什么是商用 VPN?│ 商用 VPN 的用途和局限

商用 VPN 让远程员工或办公室安全地连接内部网络。

Share facebook icon linkedin icon twitter icon email icon

商用 VPN

学习目标

阅读本文后,您将能够:

  • 说明企业如何使用 VPN 保护员工的 Web 流量
  • 了解商用 VPN 的类型和使用方法
  • 预测 VPN 可能具有的局限和财务风险

什么是 VPN?企业为什么要使用它们?

虚拟专用网络(VPN)是一种 Internet 安全服务,能够在用户设备与一台或多台服务器之间建立加密连接。VPN 可以使用户安全地连接公司内部网络或公共 Internet。

企业通常使用 VPN 为远程员工提供对内部应用程序和数据的访问,或在多个办公室地点之间创建单个共享的网络。不论是哪种情形,最终目标都是防止 Web 流量在开放的 Internet 上公开,特别是包含专有数据的流量。

为什么需要 VPN 才能做到这一点?我们以远程员工为例。当员工在企业设施内办公时,他们可以将计算机和移动设备直接连接到企业内部网络。但是,如果员工在远程办公,则必须通过公共 Internet 连接内部网络,而这可能会使其流量暴露于中间人攻击和其他监听敏感数据的手段。使用商用 VPN 或其他安全服务对流量进行加密,可以提高其安全性,避免遭到窥探。

商用 VPN 有哪些不同的类型?

商用 VPN 分为两类:远程访问 VPN 和点对点 VPN。

远程访问 VPN

远程访问 VPN 在个人用户和远程网络(通常是企业的内部网络)之间建立连接。远程访问 VPN 使用两个关键组件:

  • 网络访问服务器(NAS):专用的服务器或位于共享服务器上的软件应用程序,连接至企业的内部网络
  • VPN 客户端:安装在用户计算机或移动设备上的软件

用户想要访问企业的网络时,他们会激活其 VPN 客户端,从而建立通向 NAS 的加密“隧道”。有了这个加密隧道,用户既能够访问内部网络,也不会暴露其流量。对于远程工作者而言,这是一个重要的安全优势。

点对点 VPN

点对点 VPN 创建一个在多个办公地点之间共享的虚拟网络,这些办公地点各自拥有多名个人用户。在这种模型中,VPN 客户端托管在各个办公地点的本地网络上,而不是个人用户的设备上。这样,各个办公地点的用户无需分别使用 VPN 客户端,就能访问共享网络。不过,一旦离开办公室,便无法再访问这个网络。

商用 VPN 与消费者 VPN 有何区别?

商用 VPN 和面向消费者的 VPN 在工作方式上相似,都会与远程网络建立加密连接。主要区别在于使用它们的原因。

商用 VPN 帮助用户和团队连接公司的内部网络。与之相比,消费者 VPN 协助用户连接一台或一组远程服务器,这些服务器代表用户与公共 Internet 交互。

使用商用 VPN 保护远程员工访问有什么局限?

如果正常使用 VPN 并采用最新的加密协议,则 VPN 可以有效加密远程员工或团队与其公司内部网络之间的通信。此外,与从 ISP 购买安全的“租用线路”或手动将属于远程工作者的 IP 地址逐个列入“白名单”等传统解决方案相比,VPN 不仅更加便宜,也更容易管理。

但是,VPN 也有局限之处。下文总结了一些。若要了解更多信息,请阅读有关VPN 安全VPN 速度的文章。

  • 安全风险:如果攻击者能够获得远程工作者的 VPN 凭证,则攻击者就能访问相应网络上的所有应用程序和数据。
  • 延迟性惩罚:如果公司使用基于云的 VPN,其 NAS 位于物理位置与公司内部网络不同的数据中心内。额外的步骤会增加员工与网络之间每个请求的延迟。
  • 混合云复杂性:许多业务应用程序都托管在云端,而不是企业内部网络中,造成它们与 VPN 不相兼容。这些应用程序通常使用自己的安全工具来确保安全访问。IT 团队无法完全掌控这些工具,并且可能难以准确了解谁在访问这些应用程序;这两点都是至关重要的安全因素。
  • 安装成本:如果公司使用企业内部 NAS 来连接员工的 VPN 客户端,则必须定期更换其硬件,以确保能够抵御最新的网络威胁。如果员工对 VPN 的使用超过 NAS 的流量处理容量,也会出现类似的情况。公司必须更换 NAS,否则可能会出现过载和崩溃。
  • 管理时间:VPN 需要投入大量精力来维护,尤其是当企业使用多个 VPN 为不同类型的员工提供不同种类的访问时。例如,IT 团队必须在每一名远程员工的计算机上安装正确的 VPN 客户端,还要确保员工时常更新这一软件。

Cloudflare 如何保护远程员工的网络连接?

Cloudflare for Teams 产品中包含 Cloudflare Access,后者是一种身份和访问管理(IAM)产品,能够用 Cloudflare 的全球网络取代 VPN 来帮助提高远程团队的工作效率和安全性。团队不必将内部工具布置到专用网络上,而是能够:

  • 将它们部署到任何环境中,包括混合或多云模型在内
  • 将它们置于 Cloudflare 全球 Anycast 网络的后方,加快向任何位置的远程员工的交付
  • 将对应用程序的每个请求记录到受 Access 保护的应用程序中