什么是VPN？互联网上的安全网络

VPN的历史可以追溯到1990年代，当时公共互联网几乎缺乏任何形式的安全性，该技术的开发是为了在这个不安全的环境中提供安全且具有成本效益的连接。

VPN 已在企业网络中广泛部署，并在大流行期间经历了激增，当时公司不得不争先恐后地为突然在家工作的员工提供安全的远程访问。

VPN今天仍然很受欢迎，但它们也正在缓慢但肯定地被更灵活，更安全，更精细的替代方案所取代，例如SD-WAN，零信任网络架构（ZTNA）和SASE，一种基于云的服务，包括SD-WAN，ZTNA和其他安全功能。边缘计算网关

什么是 VPN？

虚拟专用网络 （VPN） 通过不安全的网络（如公共互联网）创建连接，旨在与跨内部物理网络的连接一样安全和私密。

VPN 最常用于将远程工作人员安全地连接到企业网络或将多个远程站点相互连接。另一个新兴用例是将物联网 （IoT） 设备连接到网络。

VPN 如何工作？

在典型方案中，最终用户将部署 VPN 客户端（其计算机或设备上的软件程序）以连接到 VPN 服务器，该服务器管理客户端设备与他们所连接的网络之间的连接。

从客户端的角度来看，安装 VPN 很简单。MacOS，Windows，iOS和Android带有内置的VPN客户端，其他具有更多功能和选项的客户端程序是免费提供的。但是，这些客户端需要连接到VPN服务器，这是一种更复杂（且昂贵）的工具，通常由公司IT部门安装。

建立连接后，最终用户的计算机将显示给与之交互的其他设备，就好像它是该网络的一部分一样。如果该网络上有内部文件服务器或其他专用资源，最终用户将能够访问它们。

如果最终用户尝试访问公共互联网上的资源，则其网络流量必须通过他们连接到的专用网络。例如，假设您实际在美国，并且您使用VPN访问公司在加拿大的专用网络。

如果您随后打开网络浏览器并开始访问各种网站，即使您访问的服务器位于美国，互联网流量也会通过您公司的加拿大办事处进行路由。从这些 Web 服务器的角度来看，您似乎在加拿大，具有由您的公司网络分配的 IP 地址。

这可能会导致网络流量效率低下，但在隐私和访问受限站点方面也有优势。

什么是VPN隧道？

 从客户端计算机移动到公司网络的网络数据包通过开放的 Internet 传输。虽然此流量可能以某种方式（可能通过 SSL/TLS）加密，但情况并非总是如此。数据包标头将包含将它们送到目的地所需的路由信息，这些信息可能会泄露有关其目标网络的潜在敏感信息。

这意味着这样的连接不一定是安全的，这就是VPN隧道旨在解决的问题。

VPN 通过加密网络数据包（包括其标头）并将其包含在其他数据包中，在客户端和服务器之间创建（隐喻）隧道。“外部”数据包具有标头，其中包含说明如何将它们从VPN客户端路由到服务器的信息，反之亦然。

一旦数据包到达VPN服务器，服务器就会对其进行解密以查找“内部”数据包。该内部数据包的标头具有用于在公司网络中导航的路由信息。这就是为什么从客户端和专用网络上的其他客户端的角度来看，就好像客户端在同一栋楼或校园里一样。

VPN 协议：IPSec 与 SSL

虽然所有VPN都遵循相同的基本模式，但有各种各样的实现使用不同的底层技术 - 例如，它们可以使用不同类型的加密，或者可以在OSI模型的不同层上运行。

如果远程办公室的最终用户想要访问内部企业资源，他们可能会使用 IPSec VPN。IPSec是用于VPN的原始协议，与IP协议在同一OSI层上运行。这种连接将允许客户端访问所有公司资源，就像他们在办公室一样，包括共享驱动器、应用程序和其他资产。

另一方面，客户端可以使用SSL VPN，而是在传输层上运行。此类 VPN 通常提供与单个应用程序的连接，而不是整个内部网络。这些 VPN 可以内置到 Web 浏览器中，并用于访问公司内部网。

SSL VPN 变得越来越流行，因为 SSL 协议需要更少的计算资源，并使 IT 能够更好地控制远程用户可以看到或看不到的内容。限制对一组特定应用程序的访问可以在用户设备遭到破坏时保护组织。还有许多其他VPN协议，其中一些是开放标准，另一些是专有的。 

VPN有什么好处？

VPN可以在开放的互联网上提供安全连接，以访问需要访问超出标准互联网协议能力的资源。如果您需要远程访问敏感文件或其他资源，VPN 可能是最好的工具之一。VPN还使远程计算机的行为（从网络角度来看）像内部网络上的平等伙伴一样。

事实上，VPN还可以使用相同的技术将两个或多个网络而不是一台计算机组合到一个网络，从而使单独的专用网络就像一个网络一样。

VPN的另一个用途是提高隐私性。在我们的场景中，美国 VPN 客户端连接到其加拿大办公室并获取加拿大 IP 地址，该客户端可以在混淆其真实位置的情况下浏览网络。

这可以帮助用户在线覆盖他们的踪迹，并绕过政府施加的访问限制。它还允许用户访问可能在其区域设置中被禁止或阻止的内容。

我可以免费使用 VPN 吗？

如果您使用 VPN 连接到公司网络，您通常可以免费这样做，因为您的雇主将设置您将连接到的服务器。但是，如果您想使用 VPN 来实现其安全性或区域设置混淆质量，但没有要连接的服务器，该怎么办？有各种各样的商业VPN服务可以满足这些需求。

有些是免费的，但它们往往通过用侵入性广告轰炸您或出售您的浏览数据来赚钱——侵犯了您寻求保护的隐私。相反，请查看受信任的付费服务，其中许多提供免费试用和合理的价格。

VPN有哪些类型？

两个主要类别是远程访问 VPN，它将单个设备连接到专用网络，以及点对点 VPN，它将网络相互连接。

远程访问 VPN

远程访问 VPN 是最常见的类型。它们允许用户访问公司资源，即使他们没有直接连接到公司网络。远程访问 VPN 通常是临时连接，当用户完成他们正在处理的任何任务时，这些连接将被关闭。

用户端点和专用网络之间的安全隧道是通过某种身份验证建立的——密码、令牌、生物识别。有时用户名和密码嵌入在位于用户端点上的 VPN 软件中，以使用户易于连接，但总会有某种形式的身份验证。

优点：使用远程访问VPN的好处是，工作人员可以连接到任何公司资源，无论他们身在何处，也没有专用的物理电路。这降低了成本，但也实现了以前无法实现的连接。

缺点： 通过VPN远程访问的缺点是，性能可能会因多种因素而有很大差异。其中包括正在使用的互联网服务或加密方法，或用户连接的终结点。例如，通过住宅光纤连接的工作人员可能比通过共享 Wi-Fi 从酒店建立 VPN 会话时的性能要好得多。不幸的是，这些问题通常远远超出了公司IT部门的控制范围。

任何企业服务都可以通过远程访问VPN访问，而且大多数都可以正常运行。但是，消耗大量带宽（如视频）或具有低延迟要求（如 IP 语音 （VoIP））的应用程序可能会执行不稳定。