关于VPN的六件事

2017 年 7 月 11 日 安全牛 nana

VPN对企业和消费者安全都很重要

虚拟专用网(VPN)，就是互联网上2台或多台计算机之间的安全隧道，可使这些计算机像在同一局域网里一样相互访问。过去，VPN主要用于公司企业安全连接外地分公司，或让出差员工连接总部网络。但今天，VPN已成为广大消费者不可或缺的重要服务，可保护消费者在接入公共无线网络时不受攻击。

鉴于VPN的重要性，以下6件事你不可不知：

1. VPN有利于隐私与安全

开放无线网络给用户带来了严重风险，因为身处同一网络的攻击者可利用各种技术嗅探网络流量，甚至劫持未使用HTTPS安全协议的网站账号。而且，某些WiFi网络运营商会有意在网络流量中注入广告，导致不必要的跟踪。

在某些地区，政府会追踪访问特定网站的用户，发现其政治倾向，识别出不同政见者，大大威胁言论自由及人权。

通过使用VPN连接，所有网络流量都可通过位于世界另一端的服务器安全路由，可保护计算机不受本地追踪和黑客侵扰，甚至对所访问的网站和服务也隐藏起用户真实IP地址。

2. VPN与VPN的区别

不同VPN技术采用不同强度的加密。比如说，点对点隧道协议(PPTP)很快，但就比使用SSL/TLS的IPSec或OpenVPN一类协议更不安全。而且，对基于TLS的VPN而言，所用加密算法类型和密钥长度也十分关键。

尽管OpenVPN支持多种密码、密钥交换协议和散列算法的组合，VPN服务提供商最常用的实现，却是采用RSA密钥交换和SHA签名的AES加密。建议的设置是AES-256加密，RSA密钥长度至少2048位，并搭配SHA-2(SHA-256) 加密散列函数，而不是SHA-1。

值得指出的是，VPN会引入一定的开销，因而加密越强，连接速度所受的影响就越大。VPN技术和加密强度的选择，应视情况而定，取决于需要传输的数据类型。

公司企业的安全需求与大多数消费者的不同，消费者通常只需要保护自身不受机会性流量嗅探攻击即可——除非特别担心受到NSA和类似情报机构的大规模监视(这种情况下就需要超强加密了)。

3. VPN可绕过地理封锁和防火墙

消费者还使用VPN访问当地不允许访问的在线内容，虽然这取决于内容拥有者实施限制的程度。VPN服务提供商通常在全球多个国家运营有服务器，允许用户在各服务器间很容易地切换。比如说，用户可以通过位于英国的服务器来访问BBC受限内容，或通过位于美国的服务器来访问本国不允许看的Netflix内容。

朝鲜、土耳其之类的民族国家，政府经常出于政治原因封锁对特定网站的访问。这些国家的用户往往就用VPN来绕过限制。

4. 免费 VS 付费

公司企业用专用网络设备设置其自有VPN，消费者则有大量商业和免费VPN服务可选。免费VPN产品往往附带广告，服务器选择受限，连接速度也慢一些——因为这些服务器通常都太挤了。但对不常用VPN的用户而言，这样也足够了。

免费VPN服务器的另一缺点在于，所用IP地址更容易被各网站封禁或过滤：免费VPN服务往往被黑客、垃圾邮件群发者和其他不良企图的用户利用。

商业VPN服务器基于订阅模式，没有下载速度或数据限制。其中一些还以不保留可能揭示用户身份的任何日志为荣。

少数反病毒厂商也提供VPN服务，处于免费和昂贵商业解决方案的中间地带——因为拥有该厂商反病毒解决方案许可的用户可获得更优惠的价格。而且，这些VPN解决方案已经过合理安全配置，用户不用操心还需自己来配置。

5. 小心当地法律

跨国部署VPN时，要确保仔细核对过当地法律和规定，因为VPN在当地有可能是被禁止的。特别是中国，今年早些时候就颁布过模棱两可的VPN规定，但可以解读为VPN是非法的。这些规则或许针对的是试图访问封禁网站的消费者，但也同时适用于连接外地分公司的公司企业。俄罗斯也有提案提出要禁止VPN，但目前为止还只停留在提案阶段。底线就是，无论VPN节点设在哪国，都要核查当地法律，确保是合法的，且没有会破坏隐私的条款。

6. 打造自己的VPN

最后，还有个选项是在家运营自己的VPN服务器，以便可以从世界任何地方访问自家网络中的服务和设备。这比直接在互联网上暴露这些服务要好，最近可是有成千上万台物联网设备被用于发起DDoS攻击——遭利用的原因就是直接暴露在互联网上了。

一般规则是，你路由器上开的端口越少，越好。应禁用通用随插即用(UPnP)，防止设计不良的网络摄像头之类的设备在防火墙上刨个洞，让全世界的人都可以操控。

有些消费级路由器带有内置VPN服务器功能，就不用在自己网络里设置一个专用VPN服务器了。而且，即便你的路由器不具备这种功能，一台便宜的迷你电脑，比如树莓派，也能很好地完成VPN服务器的任务。