近年來，隨著家庭辦公的普及，越來越多的公司發現了遠程辦公的各種優勢，于是乎各大公司紛紛推行遠程辦公。

在家遠程辦公的時候，不可避免地需要訪問公司內網的數據資源。這個時候就不得不提今天的主角——VPN了。

 VPN是個啥 

那什么是VPN？我們為什么要通過VPN來訪問公司內網呢？

圖片

別著急，今天文檔君就來跟大家聊一聊VPN是如何為遠程辦公的信息安全保駕護航的。

在講VPN之前，我們先簡單了解一下公司內網。

所謂公司內網，就是公司內部建立的一個局域網。這個網絡是封閉的，公司外面的黑客無法訪問這個網絡，這樣公司內部的資料數據就是安全的。

如果說因特網是一片廣闊的天地，那公司內網就是被四面墻圍起來的一個小房子，只有處在這個房子里的人才能夠使用它的資源。

圖片

那在家遠程辦公，處于因特網中的你，要如何使用房子里的資源，又不泄露房子里的秘密信息呢？

那就要悄咪咪地建立一條只有你知公司知的“秘密隧道”了。

一開始大家想到的是專線，在總部和分部拉條專線，只傳輸自己的業務，但是這個專線的費用高昂，不是一般公司能夠承受的，而且維護也很困難。

圖片

那么有沒有物廉價美，更具有性價比的方案呢？

有，那就是VPN。

圖片

VPN：（Virtual Private Network），學名虛擬專用網絡，便可以幫你和公司之間搭建這么一條“秘密隧道”。當你通過VPN訪問公司內網時，數據傳遞全部通過“秘密隧道”悄悄進行，這樣就保證了你和公司之間的網絡通訊是安全私密的。

圖片

但是這條隧道并不是真實存在的，而是通過數據加密技術封裝出來的一條虛擬數據通信隧道，實際上它借用的還是互聯網上的公共鏈路。

VPN會對你和公司之間傳遞的數據進行加密處理，加密后的數據會在一條專用的數據鏈路上進行安全傳輸，如同架設了一個專用網絡一樣。所以VPN稱為虛擬專用網絡。

圖片

 VPN咋工作 

那VPN具體是如何工作的呢？

1. 當開啟VPN后，你訪問公司內網的辦公網站時，不再直接訪問公司內網的服務器，而是去訪問VPN服務器，并給VPN服務器發一條指令“我要訪問辦公網站”。
2. VPN服務器接到指令后，代替你去訪問辦公網站，收到公司辦公網站的內容后，再通過“秘密隧道”將內容回傳給你，這樣你就通過VPN成功訪問到你需要的內網資源啦。

圖片

VPN關鍵技術 

隧道技術

隧道技術其實就是對傳輸的報文進行封裝，利用公網的建立專用的數據傳輸通道，從而完成數據的安全可靠性傳輸。

隧道通過隧道協議實現。如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）等。

圖片

身份認證

VPN網關對接入VPN的用戶進行身份認證，保證接入的用戶都是合法合規用戶。

圖片

數據加密

將明文通過加密技術成密文，哪怕信息被獲取了，也無法識別。

圖片

數據驗證

通過數據驗證技術驗證報文的完整性和真偽進行檢查，防止數據被篡改。

圖片

VPN好在哪 

了解了VPN的工作原理和關鍵技術，是時候總結一下它的優點了。

圖片

• 安全：通過數據加密，VPN可以防止數據在互聯網傳輸中被竊聽，被篡改。一般數據在互聯網中是明文傳輸的，而數據加密技術則提高了數據的安全性，降低了公司機密信息在遠程通信中被泄露的風險。
• 成本低：VPN好用不貴！采用VPN可以達到與租用專線相同的效果，但所花費用要比租用專線低40%～60%。
• 支持移動業務：支持出差時使用，VPN用戶可在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業務需求。
• 可擴展性：VPN應用靈活，具有良好的可擴展性。如果企業想擴大VPN的容量和覆蓋范圍，只需改變一些配置，或增加幾臺設備、擴大服務范圍。

VPN分幾類

根據VPN建設單位不同進行劃分。

• 租用運營商VPN專線搭建企業網絡運營商的專線網絡大多數都是使用的MPLS VPN，企業通過購買運營商提供的VPN專線服務實現總部和分部間的通信需求。VPN網關為運營商所有。
• 企業自建VPN網絡企業自己基于Internet自建vpn網絡，常見的如IPsec VPN、GRE VPN、L2TP VPN。

根據工作網絡層次進行劃分

VPN可以按照工作層次進行劃分：

• 應用層：SSL VPN
• 網絡層：IPSEC VPN 、GRE VPN
• 數據鏈路層：L2TP VPN、PPTP VPN

圖片

工作在網絡層和數據鏈路層的VPN又被稱為三層VPN和二層VPN。

IPSec VPN

IPSec（IP Security） VPN一般部署在企業出口設備之間，通過加密與驗證等方式，實現了數據來源驗證、數據加密、數據完整性保證和抗重放等功能。

• 數據來源驗證：接收方驗證發送方身份是否合法。
• 數據加密：發送方對數據進行加密，以密文的形式在Internet上傳送，接收方對接收的加密數據進行解密后處理或直接轉發。
• 數據完整性：接收方對接收的數據進行驗證，以判定報文是否被篡改。
• 抗重放：接收方拒絕舊的或重復的數據包，防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊。

GRE VPN

通用路由封裝協議（General Routing Encapsulation，GRE）是一種三層VPN封裝技術。

GRE可以對某些網絡層協議（如IPX、IPv4、IPv6等）的報文進行封裝，使封裝后的報文能夠在另一種網絡中（如IPv4）傳輸，從而解決了跨越異種網絡的報文傳輸問題。

GRE還具備封裝組播報文的能力。由于動態路由協議中會使用組播報文，因此更多時候GRE會在需要傳遞組播路由數據的場景中被用到，這也是GRE被稱為通用路由封裝協議的原因。

圖片

L2TP VPN

L2TP是虛擬私有撥號網VPDN（Virtual Private Dial-up Network）隧道協議的一種，它擴展了點到點協議PPP的應用，是一種在遠程辦公場景中為出差員工或企業分支遠程訪問企業內網資源提供接入服務的VPN。

L2TP組網架構中包括LAC（L2TP Access Concentrator，L2TP訪問集中器）和LNS（L2TP Network Server，L2TP網絡服務器）。

LAC是網絡上具有PPP和L2TP協議處理能力的設備。LAC負責和LNS建立L2TP隧道連接。

MPLS VPN

MPLS是一種利用標簽（Label）進行轉發的技術，最初為了提高IP報文轉發速率而被提出，現主要應用于VPN和流量工程、QoS等場景。

MPLS VPN網絡一般由運營商搭建，VPN用戶購買VPN服務來實現用戶網絡之間的路由傳遞、數據互通等。

基本的MPLS VPN網絡架構由CE（Customer Edge）、PE（Provider Edge）和P（Provider）三部分組成。

各VPN的隧道身份認證、數據加密、驗證參見下表。

VPN用何處

以上三大亮點使VPN在企業中廣受青睞。針對不同的需求，VPN還能提供更有針對性的應用場景。比如：

• 遠程接入VPN：用于異地辦公的員工訪問公司內網。
• 內聯網VPN：將企業總部和外地分公司通過虛擬專用網絡連接在一起。
• 外聯網VPN：將一個公司與另一個公司的資源進行連接，與合作伙伴企業網構成外聯網。

圖片

VPN就像是連接公司內網和外部因特網的一個窗口，擴大了公司內網的邊界，使遠程辦公的你我他也能安全放心地訪問公司內網資源。這樣的VPN誰能不愛呢！

圖片

有VPN為我們的遠程辦公安全保駕護航，相信未來我們人人都可以實現在家辦公呢，到時候邊擼貓邊辦公，想一想就美滋滋！