VPN 分流分割通道
何謂「分割通道」?
虛擬私人網路 (VPN) 分割通道,可讓您透過加密的 VPN 傳送某些應用程式或裝置流量,其他應用程式或裝置則可直接存取網際網路。如果想在得知位置時獲得最佳效能的服務,同時安全存取可能帶有敏感通訊和資料時,這尤其有用。
考慮此選項時,請務必評估安全風險(稍後詳細解說)。
虛擬私人網路 (VPN)
VPN 為使用者提供安全通道,所有進出其裝置的資料都會經過加密。如此一來,他們便能享受安全的遠端存取和受保護的檔案分享,並隱藏他們的位置。
不過,使用 VPN 時,因為必須對所有透過 VPN 傳輸的資料加密,網路速度和頻寬問題可能因此變慢。
選擇要通過 VPN 的流量
透過分割通道連線,使用者可以透過加密的 VPN 連線,傳送一部分的網際網路流量,並允許其餘的通過公開網際網路上的不同通道。VPN 的預設設定是透過 VPN 傳遞全部的網際網路流量,但如果要在本機裝置加密特定資料時存取,或取得更快的速度,請考慮使用分割通道。
分割通道的優點
分割通道不一定適用所有組織,但您可以在設定 VPN 時選擇開機。由於 VPN 必須加密資料並發送到不同位置的伺服器,因此許多使用 VPN 的組織都有頻寬限制。如果未實施分割通道,可能會導致效能問題。
節省頻寬
啓用分割通道後,VPN 加密的流量將透過另一通道傳送,傳送速度可能會減慢。透過公用網路傳遞流量因為不需要加密,因此效能會提升。
為遠端工作者提供安全連線
遠端員工可以透過 VPN 獲得安全的網路連線,以便加密存取敏感檔案和電子郵件。同時,他們還可以透過網路服務供應商 (ISP) 高速存取其他網際網路資源。
在區域網路 (LAN) 上工作
當您連線到 VPN 時,加密可能會封鎖對您存取 LAN。透過分割通道,您仍可以透過 LAN 存取本機資源(如印表機),同時保有 VPN 的安全性。
不使用外部 IP 位址串流資訊
可在出國旅行時取得特定串流內容,這些網路服務依據當地網際網路通訊協定 (IP) 位址提供服務。您可以使用 VPN 連線取得母國的内容,並啟用分割通道功能,充分利用所在地的網站和搜尋引擎。
分割通道有哪些安全風險?
使用分割通道可能會有風險,必須自己權衡得失。企業環境中,負責資訊安全的人員使用防禦性技術來保護端點,並阻止使用者執行特定任務,不論有意還是無意。
傳統上,使用者可以規避用於監管和保護網路所使用的代理伺服器及其他裝置。因此,如果使用者在不安全的網路工作,可能會讓組織的網路暴露於風險中。如果駭客利用分割通道入侵使用者所使用的網路,那麼駭客將能對企業網路內其他裝置展開攻擊。只要公司電腦遭到入侵,組織的網路也會持續面臨風險。
使用者也可能會繞過域名系統 (DNS),該系統可協助辨識入侵者、防止資料遺失的裝置,以及其他裝置和系統。這些裝置或系統在保護資料和通訊方面都發揮重要作用。因此,為了減少流量或提高效能而規避其中任何一項,可能並非好事。
代理伺服器的其中一項功能,是限制可疑或聲譽不佳的網站流量。同時讓組織能掌握員工的行為或存取資訊。除此之外,代理伺服器還可提供企業端點防護,防止駭客與幕後操縱 (C&C) 伺服器通訊。另一個好處是監控流量並進行管理。例如,限制或阻止存取串流音樂、電影和其他形式的娛樂,如 Spotify、YouTube 或 Netflix 等網站的代理。
如果員工的系統受到感染,企業 IT 將無法看到分割通道設定中傳送至 C&C 系統的資料。當裝置或網路遭到入侵,並與入侵的系統進行通訊時,使用者可能會花費大量時間在無謂的網站上。此外,由於啟用分割通道,因此組織無法意識到安全風險或員工損失的工作效率。
使用安全導向的網路方案來保護您的組織
請務必正確設定您的 VPN 分割通道和防火牆,因為其他缺乏加密的通道,可能會讓您暴露在安全風險中。FortiClient 改善端點安全性,為遠端員工提供安全存取。還包含您可以為分割通道設定的嵌入式 VPN。
為保護您的網路免受攻擊和管理漏洞,您可以使用 FortiGate 新一代防火牆 (NGFW) 和 Fortinet 軟體定義的廣域網路 (SD-WAN)。透過 FortiGate,所有流量都會經過縝密審查,並移除偵測到的威脅。Fortinet Secure SD-WAN 解决方案為您提供網站過濾、沙箱技術、安全通訊端層 (SSL) 檢測和更多安全功能,同時透過單一視窗全面瞭解您的資料中心、使用者、裝置和商業應用程式。
