VPN对企业和消费者安全都很重要
虚拟专用网(VPN),就是互联网上2台或多台计算机之间的安全隧道,可使这些计算机像在同一局域网里一样相互访问。过去,VPN主要用于公司企业安全连接外地分公司,或让出差员工连接总部网络。但今天,VPN已成为广大消费者不可或缺的重要服务,可保护消费者在接入公共无线网络时不受攻击。
鉴于VPN的重要性,以下6件事你不可不知:
1. VPN有利于隐私与安全
开放无线网络给用户带来了严重风险,因为身处同一网络的攻击者可利用各种技术嗅探网络流量,甚至劫持未使用HTTPS安全协议的网站账号。而且,某些WiFi网络运营商会有意在网络流量中注入广告,导致不必要的跟踪。
在某些地区,政府会追踪访问特定网站的用户,发现其政治倾向,识别出不同政见者,大大威胁言论自由及人权。
通过使用VPN连接,所有网络流量都可通过位于世界另一端的服务器安全路由,可保护计算机不受本地追踪和黑客侵扰,甚至对所访问的网站和服务也隐藏起用户真实IP地址。
2. VPN与VPN的区别
不同VPN技术采用不同强度的加密。比如说,点对点隧道协议(PPTP)很快,但就比使用SSL/TLS的IPSec或OpenVPN一类协议更不安全。而且,对基于TLS的VPN而言,所用加密算法类型和密钥长度也十分关键。
尽管OpenVPN支持多种密码、密钥交换协议和散列算法的组合,VPN服务提供商最常用的实现,却是采用RSA密钥交换和SHA签名的AES加密。建议的设置是AES-256加密,RSA密钥长度至少2048位,并搭配SHA-2(SHA-256) 加密散列函数,而不是SHA-1。
值得指出的是,VPN会引入一定的开销,因而加密越强,连接速度所受的影响就越大。VPN技术和加密强度的选择,应视情况而定,取决于需要传输的数据类型。
公司企业的安全需求与大多数消费者的不同,消费者通常只需要保护自身不受机会性流量嗅探攻击即可——除非特别担心受到NSA和类似情报机构的大规模监视(这种情况下就需要超强加密了)。
3. VPN可绕过地理封锁和防火墙
消费者还使用VPN访问当地不允许访问的在线内容,虽然这取决于内容拥有者实施限制的程度。VPN服务提供商通常在全球多个国家运营有服务器,允许用户在各服务器间很容易地切换。比如说,用户可以通过位于英国的服务器来访问BBC受限内容,或通过位于美国的服务器来访问本国不允许看的Netflix内容。
朝鲜、土耳其之类的民族国家,政府经常出于政治原因封锁对特定网站的访问。这些国家的用户往往就用VPN来绕过限制。
4. 免费 VS 付费
公司企业用专用网络设备设置其自有VPN,消费者则有大量商业和免费VPN服务可选。免费VPN产品往往附带广告,服务器选择受限,连接速度也慢一些——因为这些服务器通常都太挤了。但对不常用VPN的用户而言,这样也足够了。
免费VPN服务器的另一缺点在于,所用IP地址更容易被各网站封禁或过滤:免费VPN服务往往被黑客、垃圾邮件群发者和其他不良企图的用户利用。
商业VPN服务器基于订阅模式,没有下载速度或数据限制。其中一些还以不保留可能揭示用户身份的任何日志为荣。
少数反病毒厂商也提供VPN服务,处于免费和昂贵商业解决方案的中间地带——因为拥有该厂商反病毒解决方案许可的用户可获得更优惠的价格。而且,这些VPN解决方案已经过合理安全配置,用户不用操心还需自己来配置。
5. 小心当地法律
跨国部署VPN时,要确保仔细核对过当地法律和规定,因为VPN在当地有可能是被禁止的。特别是中国,今年早些时候就颁布过模棱两可的VPN规定,但可以解读为VPN是非法的。这些规则或许针对的是试图访问封禁网站的消费者,但也同时适用于连接外地分公司的公司企业。俄罗斯也有提案提出要禁止VPN,但目前为止还只停留在提案阶段。底线就是,无论VPN节点设在哪国,都要核查当地法律,确保是合法的,且没有会破坏隐私的条款。
6. 打造自己的VPN
最后,还有个选项是在家运营自己的VPN服务器,以便可以从世界任何地方访问自家网络中的服务和设备。这比直接在互联网上暴露这些服务要好,最近可是有成千上万台物联网设备被用于发起DDoS攻击——遭利用的原因就是直接暴露在互联网上了。
一般规则是,你路由器上开的端口越少,越好。应禁用通用随插即用(UPnP),防止设计不良的网络摄像头之类的设备在防火墙上刨个洞,让全世界的人都可以操控。
有些消费级路由器带有内置VPN服务器功能,就不用在自己网络里设置一个专用VPN服务器了。而且,即便你的路由器不具备这种功能,一台便宜的迷你电脑,比如树莓派,也能很好地完成VPN服务器的任务。
相关阅读