近年來，隨著家庭辦公的普及，越來越多的公司發(fā)現(xiàn)了遠(yuǎn)程辦公的各種優(yōu)勢，于是乎各大公司紛紛推行遠(yuǎn)程辦公。

在家遠(yuǎn)程辦公的時候，不可避免地需要訪問公司內(nèi)網(wǎng)的數(shù)據(jù)資源。這個時候就不得不提今天的主角——VPN了。

 VPN是個啥 

那什么是VPN？我們?yōu)槭裁匆ㄟ^VPN來訪問公司內(nèi)網(wǎng)呢？

圖片

別著急，今天文檔君就來跟大家聊一聊VPN是如何為遠(yuǎn)程辦公的信息安全保駕護(hù)航的。

在講VPN之前，我們先簡單了解一下公司內(nèi)網(wǎng)。

所謂公司內(nèi)網(wǎng)，就是公司內(nèi)部建立的一個局域網(wǎng)。這個網(wǎng)絡(luò)是封閉的，公司外面的黑客無法訪問這個網(wǎng)絡(luò)，這樣公司內(nèi)部的資料數(shù)據(jù)就是安全的。

如果說因特網(wǎng)是一片廣闊的天地，那公司內(nèi)網(wǎng)就是被四面墻圍起來的一個小房子，只有處在這個房子里的人才能夠使用它的資源。

圖片

那在家遠(yuǎn)程辦公，處于因特網(wǎng)中的你，要如何使用房子里的資源，又不泄露房子里的秘密信息呢？

那就要悄咪咪地建立一條只有你知公司知的“秘密隧道”了。

一開始大家想到的是專線，在總部和分部拉條專線，只傳輸自己的業(yè)務(wù)，但是這個專線的費(fèi)用高昂，不是一般公司能夠承受的，而且維護(hù)也很困難。

圖片

那么有沒有物廉價美，更具有性價比的方案呢？

有，那就是VPN。

圖片

VPN：（Virtual Private Network），學(xué)名虛擬專用網(wǎng)絡(luò)，便可以幫你和公司之間搭建這么一條“秘密隧道”。當(dāng)你通過VPN訪問公司內(nèi)網(wǎng)時，數(shù)據(jù)傳遞全部通過“秘密隧道”悄悄進(jìn)行，這樣就保證了你和公司之間的網(wǎng)絡(luò)通訊是安全私密的。

圖片

但是這條隧道并不是真實(shí)存在的，而是通過數(shù)據(jù)加密技術(shù)封裝出來的一條虛擬數(shù)據(jù)通信隧道，實(shí)際上它借用的還是互聯(lián)網(wǎng)上的公共鏈路。

VPN會對你和公司之間傳遞的數(shù)據(jù)進(jìn)行加密處理，加密后的數(shù)據(jù)會在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，如同架設(shè)了一個專用網(wǎng)絡(luò)一樣。所以VPN稱為虛擬專用網(wǎng)絡(luò)。

圖片

 VPN咋工作 

那VPN具體是如何工作的呢？

1. 當(dāng)開啟VPN后，你訪問公司內(nèi)網(wǎng)的辦公網(wǎng)站時，不再直接訪問公司內(nèi)網(wǎng)的服務(wù)器，而是去訪問VPN服務(wù)器，并給VPN服務(wù)器發(fā)一條指令“我要訪問辦公網(wǎng)站”。
2. VPN服務(wù)器接到指令后，代替你去訪問辦公網(wǎng)站，收到公司辦公網(wǎng)站的內(nèi)容后，再通過“秘密隧道”將內(nèi)容回傳給你，這樣你就通過VPN成功訪問到你需要的內(nèi)網(wǎng)資源啦。

圖片

VPN關(guān)鍵技術(shù) 

隧道技術(shù)

隧道技術(shù)其實(shí)就是對傳輸?shù)膱?bào)文進(jìn)行封裝，利用公網(wǎng)的建立專用的數(shù)據(jù)傳輸通道，從而完成數(shù)據(jù)的安全可靠性傳輸。

隧道通過隧道協(xié)議實(shí)現(xiàn)。如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）等。

圖片

身份認(rèn)證

VPN網(wǎng)關(guān)對接入VPN的用戶進(jìn)行身份認(rèn)證，保證接入的用戶都是合法合規(guī)用戶。

圖片

數(shù)據(jù)加密

將明文通過加密技術(shù)成密文，哪怕信息被獲取了，也無法識別。

圖片

數(shù)據(jù)驗(yàn)證

通過數(shù)據(jù)驗(yàn)證技術(shù)驗(yàn)證報(bào)文的完整性和真?zhèn)芜M(jìn)行檢查，防止數(shù)據(jù)被篡改。

圖片

VPN好在哪 

了解了VPN的工作原理和關(guān)鍵技術(shù)，是時候總結(jié)一下它的優(yōu)點(diǎn)了。

圖片

• 安全：通過數(shù)據(jù)加密，VPN可以防止數(shù)據(jù)在互聯(lián)網(wǎng)傳輸中被竊聽，被篡改。一般數(shù)據(jù)在互聯(lián)網(wǎng)中是明文傳輸?shù)?，而?shù)據(jù)加密技術(shù)則提高了數(shù)據(jù)的安全性，降低了公司機(jī)密信息在遠(yuǎn)程通信中被泄露的風(fēng)險(xiǎn)。
• 成本低：VPN好用不貴！采用VPN可以達(dá)到與租用專線相同的效果，但所花費(fèi)用要比租用專線低40%～60%。
• 支持移動業(yè)務(wù)：支持出差時使用，VPN用戶可在任何時間、任何地點(diǎn)的移動接入，能夠滿足不斷增長的移動業(yè)務(wù)需求。
• 可擴(kuò)展性：VPN應(yīng)用靈活，具有良好的可擴(kuò)展性。如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，只需改變一些配置，或增加幾臺設(shè)備、擴(kuò)大服務(wù)范圍。

VPN分幾類

根據(jù)VPN建設(shè)單位不同進(jìn)行劃分。

• 租用運(yùn)營商VPN專線搭建企業(yè)網(wǎng)絡(luò)運(yùn)營商的專線網(wǎng)絡(luò)大多數(shù)都是使用的MPLS VPN，企業(yè)通過購買運(yùn)營商提供的VPN專線服務(wù)實(shí)現(xiàn)總部和分部間的通信需求。VPN網(wǎng)關(guān)為運(yùn)營商所有。
• 企業(yè)自建VPN網(wǎng)絡(luò)企業(yè)自己基于Internet自建vpn網(wǎng)絡(luò)，常見的如IPsec VPN、GRE VPN、L2TP VPN。

根據(jù)工作網(wǎng)絡(luò)層次進(jìn)行劃分

VPN可以按照工作層次進(jìn)行劃分：

• 應(yīng)用層：SSL VPN
• 網(wǎng)絡(luò)層：IPSEC VPN 、GRE VPN
• 數(shù)據(jù)鏈路層：L2TP VPN、PPTP VPN

圖片

工作在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的VPN又被稱為三層VPN和二層VPN。

IPSec VPN

IPSec（IP Security） VPN一般部署在企業(yè)出口設(shè)備之間，通過加密與驗(yàn)證等方式，實(shí)現(xiàn)了數(shù)據(jù)來源驗(yàn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性保證和抗重放等功能。

• 數(shù)據(jù)來源驗(yàn)證：接收方驗(yàn)證發(fā)送方身份是否合法。
• 數(shù)據(jù)加密：發(fā)送方對數(shù)據(jù)進(jìn)行加密，以密文的形式在Internet上傳送，接收方對接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。
• 數(shù)據(jù)完整性：接收方對接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。
• 抗重放：接收方拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。

GRE VPN

通用路由封裝協(xié)議（General Routing Encapsulation，GRE）是一種三層VPN封裝技術(shù)。

GRE可以對某些網(wǎng)絡(luò)層協(xié)議（如IPX、IPv4、IPv6等）的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問題。

GRE還具備封裝組播報(bào)文的能力。由于動態(tài)路由協(xié)議中會使用組播報(bào)文，因此更多時候GRE會在需要傳遞組播路由數(shù)據(jù)的場景中被用到，這也是GRE被稱為通用路由封裝協(xié)議的原因。

圖片

L2TP VPN

L2TP是虛擬私有撥號網(wǎng)VPDN（Virtual Private Dial-up Network）隧道協(xié)議的一種，它擴(kuò)展了點(diǎn)到點(diǎn)協(xié)議PPP的應(yīng)用，是一種在遠(yuǎn)程辦公場景中為出差員工或企業(yè)分支遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)的VPN。

L2TP組網(wǎng)架構(gòu)中包括LAC（L2TP Access Concentrator，L2TP訪問集中器）和LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器）。

LAC是網(wǎng)絡(luò)上具有PPP和L2TP協(xié)議處理能力的設(shè)備。LAC負(fù)責(zé)和LNS建立L2TP隧道連接。

MPLS VPN

MPLS是一種利用標(biāo)簽（Label）進(jìn)行轉(zhuǎn)發(fā)的技術(shù)，最初為了提高IP報(bào)文轉(zhuǎn)發(fā)速率而被提出，現(xiàn)主要應(yīng)用于VPN和流量工程、QoS等場景。

MPLS VPN網(wǎng)絡(luò)一般由運(yùn)營商搭建，VPN用戶購買VPN服務(wù)來實(shí)現(xiàn)用戶網(wǎng)絡(luò)之間的路由傳遞、數(shù)據(jù)互通等。

基本的MPLS VPN網(wǎng)絡(luò)架構(gòu)由CE（Customer Edge）、PE（Provider Edge）和P（Provider）三部分組成。

各VPN的隧道身份認(rèn)證、數(shù)據(jù)加密、驗(yàn)證參見下表。

VPN用何處

以上三大亮點(diǎn)使VPN在企業(yè)中廣受青睞。針對不同的需求，VPN還能提供更有針對性的應(yīng)用場景。比如：

• 遠(yuǎn)程接入VPN：用于異地辦公的員工訪問公司內(nèi)網(wǎng)。
• 內(nèi)聯(lián)網(wǎng)VPN：將企業(yè)總部和外地分公司通過虛擬專用網(wǎng)絡(luò)連接在一起。
• 外聯(lián)網(wǎng)VPN：將一個公司與另一個公司的資源進(jìn)行連接，與合作伙伴企業(yè)網(wǎng)構(gòu)成外聯(lián)網(wǎng)。

圖片

VPN就像是連接公司內(nèi)網(wǎng)和外部因特網(wǎng)的一個窗口，擴(kuò)大了公司內(nèi)網(wǎng)的邊界，使遠(yuǎn)程辦公的你我他也能安全放心地訪問公司內(nèi)網(wǎng)資源。這樣的VPN誰能不愛呢！

圖片

有VPN為我們的遠(yuǎn)程辦公安全保駕護(hù)航，相信未來我們?nèi)巳硕伎梢詫?shí)現(xiàn)在家辦公呢，到時候邊擼貓邊辦公，想一想就美滋滋！