What Is a Site to Site VPN?

許多組織擁有多個實體站點,每個站點都有自己的公司區域網路 (LAN)。雖然這些多個網站在地理上分開,但需要一個公司 WAN 來支援安全的跨網站通訊。

站點到站點虛擬私人網路 (VPN)透過在位於每個站點的 VPN 閘道器之間建立加密連結來實現這一點。站點到站點 VPN 隧道在一端對流量進行加密,然後透過公共 Internet 將其傳送到另一站點,在另一站點解密並路由至目的地。

深入瞭解 VPN Trial

What Is a Site to Site VPN?

站對站 VPN 的優點

網站對站 VPN 已被許多組織使用。 原因是它們為企業和其員工提供了許多福利,例如:

  • 安全連線:透過站點到站點 VPN 傳輸的所有流量均經過加密。這意味著任何經過公共網際網路交叉的商業資料都經過加密,保護它免受竊聽和修改。
  • 簡化的網路架構:組織通常在其 LAN 內使用內部 IP 位址範圍。這些位址需要轉換為外部 IP 位址,才能從公用網際網路存取。 使用網站對站 VPN,從一個 LAN 到另一個 LAN 的流量保持「內部」,這意味著所有網站都可以使用內部地址為彼此的資源。
  • 存取控制:某些網路資源僅供內部訪問,這意味著其他網站的員工應該有權訪問,但外部使用者不能訪問。由於網站到網站 VPN 用戶是「內部」用戶,因此存取控制規則的定義更簡單,因為任何非源自網路內部或透過 VPN 隧道進入的流量都可以被阻止存取這些資源。

站對站 VPN 的限制

網站對站 VPN 在多個商業網站之間提供安全連接方面有效。 但是,它們不是一個完美的解決方案,並且有其限制,例如:

  • 可擴展性有限: VPN 提供點對點連接,這表示每對連接的站點都需要唯一的連接。因此,全連接網路所需的 VPN 數量隨著站點數量呈指數級增長。
  • 路由效率低: VPN 的可擴展性有限且缺乏內建安全性,促使一些組織實施「中心輻射」網路架構,所有連接都經過總部站點進行安全檢查。雖然這減少了組織內所需的 VPN 隧道數量,但可能會導致顯著的網路延遲和總部網路的額外負載。
  • 分散的可見性:每個站點到站點 VPN 連線都獨立於所有其他連線。這意味著組織可能很難保持對其網路流量的完整、整合的可見性。因此,分散在公司 WAN 的攻擊可能會更難以有效地偵測和回應。
  • 複雜的設定和管理:每個站點到站點 VPN 隧道的獨立性使得基於 VPN 的企業 WAN 的設定和管理變得複雜。每個 VPN 隧道必須單獨設定、監控和管理。
  • 缺乏整合安全性:站點到站點 VPN 僅旨在提供兩點之間的加密連線。VPN 不對內容執行安全檢查或存取控制,為 VPN 使用者提供對目標網路的無限制存取。

站對站 VPN 與遠端存取 VPN

實現網站到網站連線並不是 VPN 的唯一應用程式。VPN 技術的另一個常見應用程式是為遠端使用者提供安全的網路存取。

在這種情況下,遠端使用者執行一個 VPN 用戶端,將其連接到企業網路內的 VPN 閘道器(與站點到站點 VPN 隧道的一端相同)。與網站到網站 VPN 一樣,遠端存取 VPN為遠端使用者和公司網路之間透過公共 Internet 傳輸的流量提供資料加密。這樣做的好處是可以保護機密性,提供類似於直接連接到公司 LAN 的使用者體驗,並確保所有業務流量都流經公司網路進行安全檢查,然後才允許繼續到達其目的地。

安全存取服務邊緣 (SASE):VPN 替代方案

站點到站點 VPN 是當公司的大多數員工和 IT 基礎架構都位於這些實體站點時設計的解決方案。隨著向雲端運算和遠端工作的轉變,公司需要一種與實體站點無關的網路解決方案。安全存取服務邊緣 (SASE)使用基於雲端的 SASE 裝置取代 VPN 端點。每個 SASE 節點都包含一個整合的安全堆疊和軟體定義的廣域網路功能,使流量能夠在節點之間進行最佳路由。此外,SASE 整合了軟體定義邊界 ( SDP ) 功能,使組織能夠輕鬆有效地實施零信任網路存取。

To learn more about secure remote access options, contact us.

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明