虚拟私人网络(英语:Virtual Private Network,缩写为VPN)
是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。
需要注意的是,加密消息与否是可以控制的。
没有加密的虚拟专用网消息依然有被窃取的危险。
以日常生活的例子来比喻,虚拟专用网就像:甲公司某部门的A想寄信去乙公司某部门的B。A已知B的地址及部门,但公司与公司之间的信不能注明部门名称。于是,A请自己的秘书把指定B所属部门的信(A可以选择是否以密码与B通信)放在寄去乙公司地址的大信封中。当乙公司的秘书收到从甲公司寄到乙公司的信件后,该秘书便会把放在该大信封内的指定部门信件以公司内部邮件方式寄给B。同样地,B会以同样的方式回信给A。
在以上例子中,A及B是身处不同公司(内部网路)的计算机(或相关机器),通过一般邮寄方式(公用网络)寄信给对方,再由对方的秘书(例如:支持虚拟专用网的路由器或防火墙)以公司内部信件(内部网络)的方式寄至对方本人。请注意,在虚拟专用网中,因应网络架构,秘书及收信人可以是同一人。许多现在的操作系统,例如Windows及Linux等因其所用传输协议,已有能力不用通过其它网络设备便能达到虚拟专用网连接。
20世纪90年代,计算机网络上的计算机通过非常昂贵的专线和/或拨号连线互连。视站点间的距离,花费可达数千美元(56kbps连线)或上万美元(T1)。
由于为了避免租用多条各自连接互联网的专线,因为虚拟私人网络可减少网络开支,用户可以安全地交换私密数据,虚拟私人网络变得普及,使昂贵的专线变得多余。
安全的虚拟私人网络使用加密穿隧协议,通过阻止截听与嗅探来提供机密性,还允许发送者身份验证,以阻止身份伪造,同时通过防止信息被修改提供消息完整性。
某些虚拟私人网络不使用加密保护数据。虽然虚拟私人网络通常都会提供安全性,但未加密的虚拟私人网络严格来说是不“安全”或“可信”的。例如,一条通过GRE协议在两台主机间创建的隧道属于虚拟私人网络,但既不安全也不可信。 除以上的GRE协议例子外,本地的明文穿隧协议包括L2TP(不带IPsec时)和PPTP(不使用微软点对点加密(MPPE)时)。
常用的虚拟专用网协议.png常用的虚拟专用网协议有:
特殊使用
由于中国大陆境内对于海外网络的限制及封锁,所以中国大陆兴盛起以采用免费或付费的虚拟专用网(VPN)进行海外网络连接服务的方法进行翻墙,或许多外商公司欲连接回海外网站也多自行架设VPN或采用付费的VPN服务。2015年1月起,中国开始加强对外国VPN服务的封锁。VPN供应商Astrill通知用户,因防火长城升级,使用IPSec、L2TP/IPSec和PPTP协议的设备无法访问它的服务,受影响的主要是iOS设备。
2017年1月22日,工业和信息化部发布《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,规定未经电信主管部门(各一级行政区通信管理局)批准,不得自行创建或租用VPN、国际专线等其他信道开展跨境经营活动至2018年3月31日。
而在境内VPN属于《商用密码管理条例》须经国家密码管理局批准。这也意味着在中国大陆的ISP、IDC或CDN提供商租用或创建VPN或国际专线开展业务,必须获取各一级行政区通信管理局的批准。
外部链接
OpenVPN(英文) OpenVPN,一个开源的VPN实现
Openswan(英文)
Vpntaiwan
参考文献
Feilner, Markus. "Chapter 1 - VPN—Virtual Private Network". OpenVPN: Building and** Integrating **Virtual Private Networks: Learn How to Build Secure VPNs Using this Powerful Open Source Application. Packt Publishing.
Foreign VPN service unavailable in China
商用密码管理条例. www.oscca.gov.cn. [2017-06-25].
工业和信息化部关于清理规范互联网网络接入服务市场的通知. 中华人民共和国工业和信息化部. 2017-01-22 [2017-01-30].
互联网观察家,专栏作者,专注成长、科技、投资,微信【YourTime2018】,公众号“相克相生” 【OnlyTimeKnow】。
文章见于艾问、今日头条、雪球、网易科技、搜狐等媒体平台。
网友评论