Skip to content Skip to navigation Skip to footer

什么是 VPN 隧道分离?

什么是隧道分离?

虚拟专用网络 (VPN) 的隧道分离让您将某些应用程序或设备的流量通过加密的 VPN,而其他应用程序或设备可直接访问互联网。如果您想享受在位置已知情况下表现最佳的服务,同时也享受对潜在敏感的通信和数据的安全访问,这种方式特别有用。 

在考虑这一方案时,务必要记住它也有安全风险(稍后将进一步讨论这些风险)。

虚拟专用网络 (VPN)

VPN 为用户提供了一个安全的隧道,通过该隧道,进出其设备的所有数据都经过加密处理。这能够让他们享受安全的远程访问和受保护的文件共享,同时如果他们选择这样做,他们也可以隐藏自己的位置。 

但是在使用 VPN 时,由于必须对通过的数据进行加密,您可能会遇到网络速度慢和带宽的问题。

选择哪些流量通过 VPN

通过分离隧道连接,用户可以通过加密的 VPN 连接发送一些互联网流量,并让其他流量通过开放互联网上的不同隧道。VPN 的默认设置是通过 VPN 传输 100% 的互联网流量,但如果您想访问本地设备或在加密特定数据时获得更快的速度,请考虑使用隧道分离。

分离隧道的优点

隧道分离可能不适合所有组织,但您可以在设置 VPN 时选择将其打开。许多拥有 VPN 的组织都有带宽限制,尤其是因为 VPN 必须同时加密数据并将其发送到位于不同位置的服务器。如果未实施隧道分离,则可能导致性能问题。

节省带宽

当启用隧道分离时,本可能被 VPN 加密的流量(传输速度可能更慢)将通过其他隧道发送。通过公用网络的流量可以增强性能,因为无需加密。

为远程工作者提供安全连接

远程工作的员工可以从通过 VPN 实现的安全网络连接中获益,VPN 加密了他们对敏感文件和邮件的访问。同时,他们可以通过互联网服务提供商 (ISP) 以更高的速度访问其他互联网资源。

在局域网 (LAN) 上工作

当您连接到 VPN 时,加密可能会阻止您访问 LAN。通过隧道分离,您仍然可以通过 LAN 访问打印机等本地资源,同时享受到 VPN 的安全性。

在不使用外部 IP 地址的情况下观看内容

在国外旅行时观看内容,并享受在拥有本地互联网协议 (IP) 地址时才能享受到的网路服务。您可以使用 VPN 连接到您本国的内容,启用隧道分离功能后,您可以充分利用在您原本位置发挥最佳效果的网站和搜索引擎。

什么是隧道分离安全风险?

使用分流隧道存在风险,必须根据其益处权衡这些风险。负责企业环境信息安全的人员使用防御技术来保护端点并阻止用户执行某些任务,无论是有意还是无意的。

传统上,用户可以绕过用于监管和保护网络使用情况的代理服务器和其他设备。因此,如果用户在不安全的网络中工作,他们可能会将组织网络置于危险之中。如果黑客能够通过隧道分离的方式破坏用户工作所在的网络,则黑客可能也能够让组织剩余的网络处于危险之中。只要公司计算机受到危害,组织的网络也会面临风险。

用户还可以绕过域名系统 (DNS)(这有助于识别和阻止入侵者)、防止数据丢失的设备以及其他设备和系统。所有这些设备或系统在保护数据和通信方面都发挥着重要作用。因此,绕开其中任何一个只是为了减少流量或提高性能,但或许并无益处。

代理服务器的一个功能是限制前往性质和声誉可疑的网站的流量。它们还可让组织跟踪其员工正在做什么或访问什么。此外,代理通过防止与由黑客操纵的命令控制 (C&C) 服务器的通信,为企业端点提供保护。另一个益处是监控流量并对其进行控制。例如,代理会限制或阻止访问 Spotify、YouTube 或 Netflix 等站点,这些站点提供音乐、电影和其他形式的娱乐内容。

如果员工的系统受到感染,则企业 IT 人员将无法看到通过分离隧道设发送给 C&C 系统的数据。当装置或网络被破坏并与入侵系统进行通信时,用户在上班时间内可能会访问不体面的网站。由于启用了分离隧道,组织没有意识到安全风险或员工工作效率的下降。

通过安全驱动型网络解决方案保护您的组织

正确配置 VPN 分离隧道和防火墙非常重要,因为它们可能由于其他隧道缺失加密而面临安全风险。FortiClient 终端防御软件可提高终端的安全性,为远程员工提供安全访问。它还包括一个内置 VPN,您可以对其配置以实现隧道分离。

为了保护您的网络免受攻击并管理漏洞,您可以使用 FortiGate 下一代防火墙 (NGFW) Fortinet 软件定义的广域网 (SD-WAN)。借助 FortiGate,所有流量都会接受深度检测,并在检测到威胁时对其进行处理。Fortinet Secure SD-WAN 解决方案为您提供网页过滤、沙盒、安全套层 (SSL) 检测以及更多安全功能,同时通过单一管理平台带来对数据中心、用户、设备和业务应用程序的全面可见性。