現(xiàn)代公司很少住在同一棟樓里。他們運(yùn)營(yíng)分支機(jī)構(gòu)、云工作負(fù)載，甚至在活動(dòng)中設(shè)置彈窗網(wǎng)站。所有這些地點(diǎn)每分鐘都在共享數(shù)據(jù)。如果這些流量在沒有保護(hù)的公共網(wǎng)絡(luò)上傳輸，攻擊者可能會(huì)讀取、篡改或劫持它。站點(diǎn)對(duì)站點(diǎn)VPN通過對(duì)每個(gè)比特進(jìn)行強(qiáng)加密包裹，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)之間的安全連接。

站點(diǎn)對(duì)站點(diǎn)VPN定義

站點(diǎn)對(duì)站點(diǎn)VPN是一種通過加密隧道連接兩個(gè)或多個(gè)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)的VPN連接。它依賴互聯(lián)網(wǎng)協(xié)議安全（IPsec）或類似協(xié)議套件來認(rèn)證VPN端點(diǎn)、加密數(shù)據(jù)并保持完整性。

由于隧道連接整個(gè)網(wǎng)絡(luò)，人們有時(shí)稱之為“網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)”或“路由器對(duì)路由器”VPN。最常見的部署方式是將本地局域網(wǎng)連接到分支機(jī)構(gòu)網(wǎng)絡(luò)或云VPC。

簡(jiǎn)而言之，站點(diǎn)VPN允許多個(gè)站點(diǎn)作為一個(gè)私人網(wǎng)絡(luò)通信，盡管流量穿越公共網(wǎng)絡(luò)。與一次只保護(hù)一臺(tái)設(shè)備的遠(yuǎn)程訪問VPN不同，站點(diǎn)對(duì)站點(diǎn)設(shè)置通過網(wǎng)關(guān)保護(hù)整個(gè)網(wǎng)絡(luò)。它也不同于代理網(wǎng)絡(luò)流量的無客戶端SSL門戶，因?yàn)樗Ａ袅怂?/span>IP級(jí)協(xié)議，并允許任何應(yīng)用跨站點(diǎn)通信。

什么時(shí)候使用站點(diǎn)對(duì)站點(diǎn)VPN才有意義？

當(dāng)組織需要持續(xù)且透明的地點(diǎn)連接時(shí)，站點(diǎn)對(duì)站點(diǎn)VPN效果最佳。它們比租用線路或臨時(shí)用戶VPN更好地平衡了安全性、成本和管理性。請(qǐng)考慮以下場(chǎng)景下的這種架構(gòu)：

多個(gè)實(shí)體地點(diǎn)：如果你運(yùn)營(yíng)多個(gè)辦公室、倉(cāng)庫(kù)或數(shù)據(jù)中心，你需要它們之間的安全通信。站點(diǎn)對(duì)站點(diǎn)設(shè)計(jì)保持資源共享的快速且私密。

分公司網(wǎng)絡(luò)連接：零售連鎖店、醫(yī)療診所和學(xué)校通常會(huì)維護(hù)數(shù)百個(gè)小型分店。每個(gè)分支機(jī)構(gòu)都需要安全、可預(yù)測(cè)地訪問總部或云端托管的企業(yè)應(yīng)用。

云擴(kuò)展：將工作負(fù)載遷移到AWS、Azure或Google Cloud并不能消除專用網(wǎng)絡(luò)的需求。站點(diǎn)VPN安全地將本地局域網(wǎng)連接到云VPC，同時(shí)不向公共互聯(lián)網(wǎng)暴露服務(wù)。

并購(gòu)：新合并的公司通常會(huì)運(yùn)行獨(dú)立的基礎(chǔ)設(shè)施，直到完成全面遷移。臨時(shí)站點(diǎn)VPN允許數(shù)據(jù)傳輸和協(xié)作，無需等待徹底重新設(shè)計(jì)。

合作伙伴或供應(yīng)商合作：制造商與外部用戶合作，如供應(yīng)商，這些用戶需要對(duì)設(shè)計(jì)系統(tǒng)或庫(kù)存API的有限訪問權(quán)限。外聯(lián)網(wǎng)站點(diǎn)隧道提供這種訪問，同時(shí)遵守嚴(yán)格的訪問控制規(guī)則。

合規(guī)性：HIPAA、PCI-DSS和GDPR等框架要求傳輸過程中加密。帶有IPsec隧道的站點(diǎn)對(duì)站點(diǎn)VPN證明敏感數(shù)據(jù)在不同地點(diǎn)之間得到保護(hù)。

專用線路的經(jīng)濟(jì)替代方案：專用MPLS線路提供可預(yù)測(cè)的帶寬性能，但每個(gè)站點(diǎn)每月可能花費(fèi)數(shù)千美元。通過企業(yè)寬帶的VPN連接，以較低的價(jià)格提供類似的安全保障。

在所有這些情況下，該技術(shù)都能提供加密且可預(yù)測(cè)的路徑，而無需強(qiáng)制每個(gè)員工或應(yīng)用改變其工作流程。通過在網(wǎng)絡(luò)層的隧道，它與現(xiàn)有的路由和安全策略無縫融合。

何時(shí)使用站點(diǎn)對(duì)站點(diǎn)VPN

雖然各廠商實(shí)現(xiàn)細(xì)節(jié)不同，但每個(gè)站點(diǎn)對(duì)站點(diǎn)VPN遵循相同的基本生命周期。網(wǎng)關(guān)相互發(fā)現(xiàn)，協(xié)商加密參數(shù)，然后封裝流量，使其能夠安全穿越不受信任的網(wǎng)絡(luò)。從高層次來看，工作流程大致如下：

VPN網(wǎng)關(guān)部署：每個(gè)地點(diǎn)都有一臺(tái)能夠處理VPN軟件和加密的設(shè)備。這些設(shè)備可能是下一代企業(yè)防火墻、IaaS平臺(tái)中的虛擬路由器，或是分公司中的小型硬件設(shè)備。

隧道建設(shè)：網(wǎng)關(guān)交換身份信息，并創(chuàng)建一個(gè)稱為互聯(lián)網(wǎng)密鑰交換（IKE）階段的安全通道。他們?cè)诩用芩惴ā⒐：瘮?shù)和會(huì)話計(jì)時(shí)器上達(dá)成一致。

認(rèn)證：網(wǎng)關(guān)之間通過預(yù)先共享的密鑰或數(shù)字證書相互驗(yàn)證。此步驟阻止惡意端點(diǎn)并維護(hù)信任網(wǎng)絡(luò)。

數(shù)據(jù)封裝：當(dāng)設(shè)備向遠(yuǎn)程站點(diǎn)的IP地址發(fā)送流量時(shí)，網(wǎng)關(guān)會(huì)攔截該數(shù)據(jù)包，進(jìn)行加密，并將其封裝在另一個(gè)IP頭中。該封裝器承載目的網(wǎng)關(guān)的公共IP地址。

安全運(yùn)輸：封裝后的數(shù)據(jù)包通過公共互聯(lián)網(wǎng)傳輸。任何捕獲它的人只看到被打亂的字節(jié)和傳輸所需的元數(shù)據(jù)。

解封與轉(zhuǎn)發(fā)：目的網(wǎng)關(guān)剝離外部頭部，解密有效載荷，并將原始數(shù)據(jù)包發(fā)送到目標(biāo)系統(tǒng)。對(duì)內(nèi)部服務(wù)器和工作站來說，信息看起來像是來自局域網(wǎng)。

現(xiàn)代網(wǎng)關(guān)會(huì)定期刷新密鑰，檢測(cè)鏈路故障，并在提供商丟包時(shí)幾秒鐘內(nèi)重新建立隧道。管理員可以運(yùn)行多個(gè)并行隧道以實(shí)現(xiàn)冗余或負(fù)載共享。這些協(xié)議套件經(jīng)過數(shù)十年加固，使得成功的密碼攻擊極為困難。由于整個(gè)過程是自動(dòng)化的，用戶體驗(yàn)到無縫且安全的通信體驗(yàn)。

不同類型的站點(diǎn)對(duì)站點(diǎn)VPN

站點(diǎn)到站點(diǎn)架構(gòu)大致分為兩大類，具體取決于誰(shuí)控制了隧道兩側(cè)的網(wǎng)絡(luò)。理解這種區(qū)別有助于你選擇合適的訪問控制和合規(guī)模式。

基于內(nèi)聯(lián)網(wǎng)的站點(diǎn)對(duì)站點(diǎn)VPN連接了屬于同一公司的多個(gè)網(wǎng)絡(luò)。例如，一家全球制造商可能將三個(gè)國(guó)家的工廠連接到其中央企業(yè)資源計(jì)劃（ERP）系統(tǒng)。所有流量都留在由企業(yè)IT控制的私有網(wǎng)絡(luò)中。

基于外聯(lián)網(wǎng)的站點(diǎn)對(duì)站點(diǎn)VPN將你的企業(yè)網(wǎng)絡(luò)連接到外部組織。VPN連接只允許合作伙伴訪問經(jīng)批準(zhǔn)的子網(wǎng)或服務(wù)。仔細(xì)配置網(wǎng)絡(luò)、訪問控制列表和監(jiān)控對(duì)于保護(hù)您的其他基礎(chǔ)設(shè)施至關(guān)重要。

許多組織還將站點(diǎn)對(duì)站點(diǎn)模型擴(kuò)展到云端。公共IaaS廠商提供托管VPN網(wǎng)關(guān)，這些網(wǎng)關(guān)在你的辦公防火墻和云VPC中的虛擬路由器之間形成加密隧道。這種方法將云工作負(fù)載保留在企業(yè)網(wǎng)絡(luò)內(nèi)，同時(shí)不暴露SSH或RDP給公共互聯(lián)網(wǎng)。

擁有數(shù)十個(gè)分支機(jī)構(gòu)網(wǎng)絡(luò)站點(diǎn)的企業(yè)有時(shí)會(huì)部署動(dòng)態(tài)多點(diǎn)VPN（DMVPN）或類似的樞紐輻射架構(gòu)。通過DMVPN，一個(gè)分支可以直接創(chuàng)建臨時(shí)VPN隧道到另一個(gè)分支，從而削減延遲并卸載總部的流量。這兩種方案都遵循數(shù)據(jù)加密、安全通信和策略驅(qū)動(dòng)訪問控制的相同原則，但它們?cè)诜植际骄W(wǎng)絡(luò)中更具擴(kuò)展性。

站點(diǎn)對(duì)站點(diǎn)VPN在安全網(wǎng)絡(luò)架構(gòu)中的優(yōu)勢(shì)

在站點(diǎn)之間部署加密鏈接不僅僅是滿足合規(guī)要求。它可以簡(jiǎn)化日常運(yùn)營(yíng)，降低電信成本，并賦予團(tuán)隊(duì)將工作負(fù)載配置最合理位置的自由。

所有路徑的加密連接：數(shù)據(jù)加密阻止了對(duì)公共互聯(lián)網(wǎng)的竊聽。攻擊者即使捕獲了數(shù)據(jù)包，也只能看到密文。

統(tǒng)一的企業(yè)網(wǎng)絡(luò)：?jiǎn)T工無論身處何地，都能訪問共享硬盤、內(nèi)聯(lián)網(wǎng)和VoIP服務(wù)。

更低的運(yùn)營(yíng)成本：寬帶鏈路配合IPsec隧道的成本低于MPLS線路，且隨著增加多個(gè)辦事處，擴(kuò)展速度更快。

簡(jiǎn)化管理：IT部門管理少數(shù)VPN網(wǎng)關(guān)，而非數(shù)百名個(gè)人用戶。所有連接網(wǎng)絡(luò)的策略保持一致。

可擴(kuò)展性：通過配置新網(wǎng)關(guān)和更新路由表來添加新站點(diǎn)。無需更換所有終端設(shè)備。

業(yè)務(wù)連續(xù)性：冗余隧道和多樣化的服務(wù)提供商鏈路，即使有一家ISP故障，關(guān)鍵應(yīng)用仍能保持在線。

這些優(yōu)勢(shì)共同使企業(yè)在保護(hù)敏感數(shù)據(jù)的同時(shí)實(shí)現(xiàn)更快的擴(kuò)張。結(jié)合現(xiàn)代監(jiān)控和自動(dòng)化工具，站點(diǎn)對(duì)站點(diǎn)結(jié)構(gòu)成為零信任網(wǎng)絡(luò)架構(gòu)的重要組成部分。

站點(diǎn)對(duì)站點(diǎn)VPN有哪些局限性？

盡管有其優(yōu)勢(shì)，站點(diǎn)對(duì)站點(diǎn)VPN并非萬(wàn)能的解決方案。在決定大規(guī)模部署前，你應(yīng)權(quán)衡以下權(quán)衡。

依賴網(wǎng)絡(luò)連接質(zhì)量：公網(wǎng)中的丟包或高延遲會(huì)影響VPN隧道的性能。

設(shè)置復(fù)雜度：選擇兼容的加密設(shè)置、解決IP地址重疊以及更新防火墻規(guī)則都需要專業(yè)知識(shí)。

硬件開銷：加密和解密消耗CPU周期。隨著帶寬增長(zhǎng)，老舊的VPN設(shè)備可能會(huì)成為瓶頸。

對(duì)流動(dòng)員工的支持有限：站點(diǎn)對(duì)站點(diǎn)VPN保護(hù)整個(gè)網(wǎng)絡(luò)，但對(duì)在酒店或家庭辦公的遠(yuǎn)程工作者幫助有限。他們?nèi)匀恍枰踩倪h(yuǎn)程訪問解決方案，比如遠(yuǎn)程訪問VPN客戶端。

監(jiān)測(cè)挑戰(zhàn)：很難確定文件傳輸慢是源自WAN鏈路、VPN隧道還是應(yīng)用程序本身。

擴(kuò)展到非常龐大的生態(tài)系統(tǒng)：隨著隧道數(shù)量的增加，手動(dòng)配置變得容易出錯(cuò)。網(wǎng)狀拓?fù)淇赡苄枰呒?jí)工具，或轉(zhuǎn)向安全訪問服務(wù)邊緣。

這些痛點(diǎn)大多隨著隧道數(shù)量增加而加劇，因此提前規(guī)劃可擴(kuò)展性和投資自動(dòng)化配置工具可以避免后續(xù)的運(yùn)營(yíng)麻煩。

如何設(shè)置站點(diǎn)對(duì)站點(diǎn)VPN

構(gòu)建可靠的站點(diǎn)到站點(diǎn)部署既是技術(shù)工作，也是項(xiàng)目管理的過程。以下步驟概述了一個(gè)經(jīng)過驗(yàn)證的推出流程，以最大限度地減少停機(jī)時(shí)間和意外。

評(píng)估需求：列出站點(diǎn)數(shù)量、預(yù)期帶寬、安全措施和合規(guī)需求。

選擇硬件或虛擬網(wǎng)關(guān)：確保每個(gè)網(wǎng)關(guān)支持IPsec隧道、強(qiáng)加密和基于路由的VPN。

計(jì)劃處理：分配獨(dú)特的私有IP地址范圍，以避免兩個(gè)或多個(gè)網(wǎng)絡(luò)合并時(shí)發(fā)生沖突。

提供互聯(lián)網(wǎng)服務(wù)：訂購(gòu)帶有服務(wù)水平協(xié)議（SLA）的商務(wù)級(jí)寬帶或光纖。考慮為關(guān)鍵辦公室添加冗余鏈接。

定義政策：決定哪些子網(wǎng)可以通信，哪些訪問控制列表適用，以及是使用靜態(tài)路由還是動(dòng)態(tài)路由。

配置每個(gè)網(wǎng)關(guān)：輸入對(duì)等IP地址、預(yù)共享密鑰或證書、加密算法和隧道壽命。

確定路線：使用靜態(tài)路由、邊界網(wǎng)關(guān)協(xié)議（BGP）或開放最短路徑優(yōu)先（OSPF），以便流量找到隧道。

測(cè)試VPN隧道：通過鏈路ping 通主機(jī)，運(yùn)行吞吐量測(cè)試，并模擬故障轉(zhuǎn)移場(chǎng)景。

記錄和監(jiān)控：將配置存儲(chǔ)在版本控制的倉(cāng)庫(kù)中。啟用日志、SNMP或NetFlow來跟蹤性能。

對(duì)于缺乏深厚網(wǎng)絡(luò)經(jīng)驗(yàn)的團(tuán)隊(duì)，托管VPN提供商或基于云的SASE平臺(tái)能提供更快的部署和持續(xù)支持。這些服務(wù)將常規(guī)更新、補(bǔ)丁管理和容量規(guī)劃交給專家，釋放內(nèi)部團(tuán)隊(duì)專注于核心業(yè)務(wù)目標(biāo)。

他們還提供統(tǒng)一儀表盤，實(shí)時(shí)顯示指標(biāo)，在用戶感受到影響前提醒你問題。評(píng)估供應(yīng)商時(shí)，注意透明的SLA、與身份提供商的集成以及詳細(xì)的審計(jì)日志。

常見問題解答

問：站點(diǎn)對(duì)站點(diǎn)VPN和遠(yuǎn)程訪問VPN有什么區(qū)別？

答：站點(diǎn)對(duì)站點(diǎn)VPN通過網(wǎng)關(guān)設(shè)備永久連接兩個(gè)或多個(gè)網(wǎng)絡(luò)。它保護(hù)了這些網(wǎng)絡(luò)上的每一個(gè)系統(tǒng)，無需每個(gè)用戶手動(dòng)作。遠(yuǎn)程訪問VPN，有時(shí)也稱為點(diǎn)對(duì)點(diǎn)VPN，是從一個(gè)設(shè)備到中央網(wǎng)絡(luò)建立按需隧道。用戶啟動(dòng)VPN軟件，認(rèn)證后再聯(lián)系企業(yè)資源。

問：安全訪問服務(wù)邊緣（SASE）能替代站點(diǎn)對(duì)站點(diǎn)VPN嗎？

答：SASE 是一種將 WAN 連接與云端安全（包括 VPN、防火墻和門禁控制）相結(jié)合的架構(gòu)。SASE 可以替代傳統(tǒng)的站點(diǎn)對(duì)站點(diǎn) VPN，或與之集成。許多組織為關(guān)鍵數(shù)據(jù)中心保留IPsec隧道，但使用SASE網(wǎng)關(guān)來擴(kuò)展對(duì)云應(yīng)用和遠(yuǎn)程工作者的安全訪問。

問：建立站點(diǎn)對(duì)站點(diǎn)VPN需要什么硬件？

答：每個(gè)地點(diǎn)都需要一個(gè)支持 VPN 的防火墻、路由器或?qū)Ｓ迷O(shè)備。現(xiàn)代網(wǎng)關(guān)通常包含用于IPsec隧道的加速芯片。你還需要可靠的企業(yè)級(jí)互聯(lián)網(wǎng)連接，理想情況下，還需要冗余的電源和鏈路以實(shí)現(xiàn)高可用性。

問：站點(diǎn)對(duì)站點(diǎn)VPN中常用的協(xié)議是什么？

答：IPsec 最受歡迎，因?yàn)樗峁┝藦?qiáng)大的數(shù)據(jù)加密、認(rèn)證和完整性檢查。一些廠商支持基于SSL/TLS的隧道以滿足特定用例，而較新的平臺(tái)則提供低延遲連接的WireGuard?。MPLS在服務(wù)提供商層工作，可以承載VPN流量，但本身并不是加密協(xié)議。大多數(shù)企業(yè)依賴IPsec隧道，因?yàn)樗鼈兡芸缭讲煌?/span>VPN設(shè)備和服務(wù)提供商進(jìn)行互作。