什么是商用 VPN?│ 商用 VPN 的用途和局限

商用 VPN 让远程员工或办公室安全地连接内部网络。

学习目标

阅读本文后,您将能够:

  • 说明企业如何使用 VPN 保护员工的 Web 流量
  • 了解商用 VPN 的类型和使用方法
  • 预测 VPN 可能具有的局限和财务风险

复制文章链接

什么是 VPN?企业为什么要使用它们?

虚拟专用网络(VPN)是一种 Internet 安全服务,能够在用户设备与一台或多台服务器之间建立加密连接。VPN 可以使用户安全地连接公司内部网络或公共 Internet。

企业通常使用 VPN 为远程员工提供对内部应用程序和数据的访问,或在多个办公室地点之间创建单个共享的网络。不论是哪种情形,最终目标都是防止 Web 流量在开放的 Internet 上公开,特别是包含专有数据的流量。

Why are VPNs necessary to accomplish this? Take remote employees as an example. When employees work on-premises, they can connect their computer and mobile device directly to the business’s internal network. However, if an employee works remotely, their connection to that internal network must take place over the public Internet, potentially exposing their traffic to on-path attacks and other methods of snooping on sensitive data. Encrypting that traffic with a business VPN or another security service keeps it safer from prying eyes.

商用 VPN 有哪些不同的类型?

商用 VPN 分为两类:远程访问 VPN 和点对点 VPN。

远程访问 VPN

远程访问 VPN 在个人用户和远程网络(通常是企业的内部网络)之间建立连接。远程访问 VPN 使用两个关键组件:

  • 网络访问服务器(NAS):专用的服务器或位于共享服务器上的软件应用程序,连接至企业的内部网络
  • VPN 客户端:安装在用户计算机或移动设备上的软件

用户想要访问企业的网络时,他们会激活其 VPN 客户端,从而建立通向 NAS 的加密“隧道”。有了这个加密隧道,用户既能够访问内部网络,也不会暴露其流量。对于远程工作者而言,这是一个重要的安全优势。

点对点 VPN

点对点 VPN 创建一个在多个办公地点之间共享的虚拟网络,这些办公地点各自拥有多名个人用户。在这种模型中,VPN 客户端托管在各个办公地点的本地网络上,而不是个人用户的设备上。这样,各个办公地点的用户无需分别使用 VPN 客户端,就能访问共享网络。不过,一旦离开办公室,便无法再访问这个网络。

商用 VPN 与消费者 VPN 有何区别?

商用 VPN 和面向消费者的 VPN 在工作方式上相似,都会与远程网络建立加密连接。主要区别在于使用它们的原因。

商用 VPN 帮助用户和团队连接公司的内部网络。与之相比,消费者 VPN 协助用户连接一台或一组远程服务器,这些服务器代表用户与公共 Internet 交互。

使用商用 VPN 保护远程员工访问有什么局限?

When a VPN is used as intended — and uses up-to-date cryptographic protocols — it can effectively encrypt traffic between remote employees or teams and their company’s internal network. In addition, VPNs are cheaper and easier to manage than legacy solutions like buying a secure ‘leased line’ from an ISP or manually ‘allowlisting’ individual IP addresses that belong to remote workers.

但是,VPN 也有局限之处。下文总结了一些。若要了解更多信息,请阅读有关VPN 安全VPN 速度的文章。

  • 安全风险:如果攻击者能够获得远程工作者的 VPN 凭证,则攻击者就能访问相应网络上的所有应用程序和数据。
  • 延迟性惩罚:如果公司使用基于云的 VPN,其 NAS 位于物理位置与公司内部网络不同的数据中心内。额外的步骤会增加员工与网络之间每个请求的延迟。
  • 混合云复杂性:许多业务应用程序都托管在云端,而不是企业内部网络中,造成它们与 VPN 不相兼容。这些应用程序通常使用自己的安全工具来确保安全访问。IT 团队无法完全掌控这些工具,并且可能难以准确了解谁在访问这些应用程序;这两点都是至关重要的安全因素。
  • 安装成本:如果公司使用企业内部 NAS 来连接员工的 VPN 客户端,则必须定期更换其硬件,以确保能够抵御最新的网络威胁。如果员工对 VPN 的使用超过 NAS 的流量处理容量,也会出现类似的情况。公司必须更换 NAS,否则可能会出现过载和崩溃。
  • 管理时间:VPN 需要投入大量精力来维护,尤其是当企业使用多个 VPN 为不同类型的员工提供不同种类的访问时。例如,IT 团队必须在每一名远程员工的计算机上安装正确的 VPN 客户端,还要确保员工时常更新这一软件。

Cloudflare 如何保护远程员工的网络连接?

Cloudflare for Teams 产品中包含 Cloudflare Access,后者是一种身份和访问管理(IAM)产品,能够用 Cloudflare 的全球网络取代 VPN 来帮助提高远程团队的工作效率和安全性。团队不必将内部工具布置到专用网络上,而是能够:

  • 将它们部署到任何环境中,包括混合或多云模型在内
  • 将它们置于 Cloudflare 全球 Anycast 网络的后方,加快向任何位置的远程员工的交付
  • 将对应用程序的每个请求记录到受 Access 保护的应用程序中