常見的六種VPN架構!

VPN是什麼?

VPN是Virtual Private Network的縮寫,中文翻譯為虛擬私有網路,或是虛擬私人網路。
其主要作用就是透過許多加解密技術來建立虛擬的隧道(Tunnel),以用來傳輸需要保護的數位資料。

為何需要使用VPN?

  • 增加安全→在外上網時可以有效保護傳輸的資料不會被竊取破解而外洩。
  • 增加便利→在外上網時仍然可以使用家裡或辦公室中的許多資源,例如企業內部網站應用、檔案伺服器NAS等等。
  • 特殊目的→有些國家會有言論限制或是一些地域限制的應用(例如使用臉書、推特或線上串流影片服務),此時就會需要透過VPN來滿足。

企業一定會需要用VPN嗎?

可以說大多數的企業都會需要,尤其現在因為全球疫情嚴重,會更加需要!
例如企業有外務人員或遠距工作者需要使用一些企業內部的資源時,若能使用VPN連回公司再進行存取,在安全上來說 會是較好的做法;還有像是有多個門市、多點辦公室的企業,往往會需要透過VPN來串接不同據點之間的網路,然後進行有效的數位資源整合、備援規劃等等。

租用還是要自建VPN比較好?

若是技術能力夠、經濟狀況予許,我會強烈建議自建VPN,因為投資其實成本不高,但安全性和可控性會最令人放心, 而且還能建立適合企業使用的VPN。
若是真的不想自建,選擇租用第三方業者提供的VPN服務,就要小心資料是否會有外洩的風險,而且企業和個人租用的 VPN服務會不太相同,建議慎選。

出門在外,不論是否使用免費的WiFi網路,就算是咖啡廳提供的公用WiFi都是不安全的。
你以為自己手機、筆電很安全?那只是因為你不了解駭客技術!
若是所有網路通訊都是在加密通道之中,那是否就會安全了?
答案是肯定的,雖然不是百分之百安全,但已經比沒使用VPN的時候好太多了,而這也是VPN的主要用途之一!

自建VPN Server要注意什麼?

▌上網的寬頻線路
建議使用固定制IP的企業用網路,例如中華電信的光世代(有分配固定IP的那種); 若使用的是第四台業者的寬頻線路(Cable Modem)或是PPPoE的ADSL,那麼就要特別搭配DDNS服務才能使用。

▌VPN設備
一般個人或小型企業可以採買萬元以下的設備,例如Synology的RT 2600AC,還有無線基地台、防火牆等功能,若是本來就有Synology NAS、又不想花錢買新設備時,也能用NAS來提供VPN服務(僅限於Client-Server VPN,切記要透過防火牆把VPN服務轉介對外開放就好,不要直接對外)。

若是中大型企業,那麼就要視實際需求、效能和預算來做規劃,VPN通道越多、效能越強的,價格就會越貴。
若是要能支援雲端服務的設備,那就要更頂級的品牌才行,例如:Cisco、SonicWall、Juniper、Check Point等。

▌VPN架構
VPN架構有區分為Client-Server和Site To Site兩大類。 詳細的架構我會一一在後面列出,可視實際的需求來做建置。

▌VPN的軟體
使用Client-Server VPN時,很多會需要安裝VPN Server來安裝專屬的用戶端軟體,包括手機、筆電和平板電腦; 若是Site To Site VPN,只有擔任VPN Server角色的主機會需要安裝,例如使用Linux安裝OpenVPN來建置。

▌六種常見的VPN架構示意圖

Client-Server VPN架構(1)

這種架構是最多人使用的架構,因為建置最簡單,防火牆+VPN一機搞定!

Client-Server VPN架構(2)

這是我建議中小企業採用的架構,因為比較安全,不過若想連接至內部伺服器就要再特別設定!

Client-Server VPN架構(3)

和架構(2)相似,可以透過DMZ區連接至內部伺服器!

Site To Site VPN架構(1)

利用VPN把不同地方的網路串接在一起,適合有多區辦公室的企業使用。

Site To Site VPN架構(2)

分公司透過VPN連線至總公司的專屬區域,方便備份分公司的重要資料。

Site To Site VPN架構(3)

分公司透過VPN連線至總公司的DMZ區,這樣總公司的內部網路會比較安全。

VPN的架構可以千變萬化,可視實際需求來做規劃!

上面分享的僅是VPN架構的一小部份,不同企業的網路架構都會有所不同,往往都會搭配VPN來做更彈性的規劃,以滿足不同的目的,建議在規劃時要仔細考量、評估。

此外,VPN的類型也有很多,像是常見的PPTP、L2TP、IPSec、SSL VPN等等,而且還能和雲端服務進行整合,在資安問題日益受到企業重視的現在和未來,VPN絕對是企業必備的服務之一!