虚拟私人网络(英语:virtual private network,缩写:VPN)是上个20世纪90年代,互联网开始流行时出现的技术。当时的数据传输是不加密的广播传播,通信数据都是不加密的。后来,为了保障数据安全,大型跨国企业尤其是银行业,为此要铺设昂贵的数据专线。而vpn技术就是在这种情况下出现的:用于连接大型企业间私人网络的通讯方法,它利用隧道协议(Tunneling Protocol)来达到发送端认证、消息保密与准确性等功能。VPN协议,虽说大多数的VPN加密技术都经过国家标准技术研究所进行认证和开发,但是,我们普通用户肯定会有”这些VPN技术真的那么安全吗?”的担忧。为此,我们简单了解一下VPN技术的历史,并对于一下各种VPN协议的优缺点。
文章目录
VPN协议的对比
VPN协议–提供各种选项,每种协议都有独特的功能和优势。我们只需考虑自己的设备支持什么协议,权衡安全性和速度,下面是主要的VPN协议对比表:
| PPTP | L2TP/IPsec | OpenVPN | ||
| 加密 | 128 位 | 256 位 | 160位256 位 | |
| 应用程序支持 | WindowsMacAndroid | WindowsMacAndroidiOS | WindowsMacAndroid | |
| 支持手动设置 | Windows|MacOS|Linux|iOS|Android | Windows|MacOS|Linux|iOS|Android | Windows|MacOS|Linux|iOS|Android | |
| 安全 | 基本加密 | 最高加密。两次检查数据真实性,并概括数据。 | 最高加密。验证带数字证书的数据。 | |
| 速度 | 由于较低加密而快速 | 需要更多CPU处理以两次压缩数据。 | 性能最佳的协议。快速,即使等待时间长且在大范围内的连接上。 | |
| 稳定性 | 在大部分Wi-Fi热点上工作良好,很稳定。 | 在不支持NAT的设备上稳定。 | 最稳定可靠,即使在无线路由器之后,在不稳定的网络上,以及在Wi-Fi热点上。 | |
| 兼容性 | 在大部分台式机、移动设备、平板操作系统。 | 在大部分台式机、移动设备、平板操作系统上。 | 大多数台式机电脑,Android手机和平板电脑都支持它。 | |
| 结论 | PPTP是一项快速、易于使用的协议。如果你的设备不支持 OpenVPN ,它是个好选择。 | L2TP/IPsec 是个绝好的选择,如果 OpenVPN 没有得到你的设备的支持,并且安全是最高因素。 | 对于包括Windows, Mac OS X 和 Linux在内的台式机,推荐OpenVPN协议。性能最高——快速,安全,可靠。 |
PPTP
由微软公司建立的联盟进行开发,这个点对点隧道在一个拨号网络上建立起一个虚拟专用网络,自推出以来就已经是专为VPN而设的标准协议。它是第一个由Windows支援的VPN协议,PPTP通过依靠多种认证方式,如最为常见的MS_CHAP v2来提供安全保护。
优点
- 快速。
- 客户端内置于几乎所有平台。
- 容易设定。
缺点
- 受到美国国安局威胁。
- 不完全安全。
L2TP and L2TP/IPsec
二层隧道协议。不像其他的VPN协议,它没有为通过它的流量提供隐私保护或加密功能。因为这样,它通常会和一组被称为IPsec的协议一起施用来在数据被传输出去前进行加密,为用户提供隐私及安全保护。所以能和现代VPN服务兼容的设备及才做系统都内置了L2TP/IPsec。其设定和PPTP的一样快速简易,可是因为这个协议使用了UDP端口500,而这是一个很容易就会被NAT防火墙阻挡的目标,所以还是会出问题。因此,若是要和防火墙一起使用就需要进行端口转发。
优点
- 可供所有现代的设备及操作系统使用。
- 容易设定。
缺点
- 比OpenVPN慢。
- 可能受到美国国安局的威胁。
- 与限制力强的防火请一起食用会有问题。
- 美国国安局极有可能已经削弱这个协议的能力。
OpenVPN
做为一项相当新颖的开放资源技术,OpenVPN使用了SSLv3/TLSv1协议及OpenSSL资料库并结合了其他的科技,为用户提供可靠及强大的VPN服务方案。这项协议能高度进行配置并且最能在UDP端口上操作自如,可是它也能被配置来在任何端口上操作,让谷歌及其他相似的服务难以阻挡它们。
这个协议的最大优势就是其OpenSSL数据库支援各种加密运算,像是3DES、 AES、Camellia、 Blowfish、CAST-128等等,虽然VPN服务供应商几乎只使用Blowfish或AES这两种运算。OpenVPN内置128-bit的Blowfish加密功能。其实算是安全的设定,可是还有一些已知的弱点。
优点
- 具备能跨越大多数防火墙的能力。
- 高度可配置。
- 因为是开放资源,所以可以轻松修正后门。
- 能使用各种加密功能运算法。
- 高度安全性。
缺点
- 设定起来有点棘手。
- 需要用到第三方软件。
- 桌面电脑支援做得好,可是流动设备的则需要改进。
IKEv2
是一个以IPsec为基础的隧道协议,因特网密钥交换第二版由Cisco及微软共同开发,并融入Wiondos7及更新的平台。他提供了能与Linux及其他各种平台可兼容及开发开放资源的实现方案,而且支援黑莓设备。
优点
- 极度安全–支援各种密码如3DES、 AES、 AES 256等。
- 支援黑莓设备。
- 稳定,特别是在连接中断或者是交换网络使用时更是如此。
- 容易设定,至少从用户终端是如此。
- 比 L2TP、PPTP 及 SSTP相对更快速。
缺点
- 支援平台有限。
- 为基础的方案像是SSTP或OpenVPN而较容易被阻挡,因为使用UDP 端口500。
- 不是开放资源实现方案。
- 在非伺服器终端施用IKEv2比较棘手,能导致一些潜在问题。
Cisco AnyConnect
Cisco AnyConnect 是思科公司的产品,它为商业用户提供全方位的保护:Cisco Identity Services Engine (ISE) 可让您阻止不相容的装置存取网路,Duo 多重因素认证(MFA) 能协助确认使用者身分,借此获得安全的遥距存取。另外,您还能透过资讯安全防护伞在使用者未连线至VPN 时扩大保护范围。
优点:
- 简单易用,用户只需要专注于本事的业务,安全方面可以放心的交给思科
- 高度的安全性
缺点
- 价格太高,普通用户难以承受
小结
总而言之,尽可能应该一直使用OpenVPN,而至于流动设备,IKEv2是一个很好的选择。要寻求快捷的方案,L2TP能证明自己游刃有余,可是考虑到OpenVPN已经提升自己能够让流动设备使用,在所有其他协议中,比较推荐大家使用OpenVPN。
另外,思科提供给商业用户使用的Cisco AnyConnect Secure Mobility,也是个不错的选择,当然思科的VPN服务也有第三方商家提供,只是减少了一些商业方面的功能。
最后,推荐大家使用ExpressVPN和威伯斯云,他们是提供以上两种协议最为出色VPN服务,并且价格也是个人可以承受的。