適用於企業和擔心私隱者的 VPN 替代方案

我可以用什麼來代替 VPN？

VPN 經它的伺服器重新路由您的數據流量，建立通往互聯網的加密通訊隧道。要達致網絡範圍的保安，您需要做的就是登入您的裝置並運作應用程式。雖然 VPN 對於個人來說是一個非常好的解決方案，但如果您想保護您的業務，您應該留意這些壞孩子。

1. 零信任網絡存取 (ZTNA)

零信任代表連自己都不能信。這是一項主要針對公司宣傳和使用的安全措施。這是一個偏執的 VPN 替代方案：

• 預設攔截所有流量；
• 允許存取特定應用程式；
• 使用多重身份驗證（MFA）；
• 監察網絡上的所有活動；
• 要求所有網絡用戶不斷驗證保安配置；
• 以最小權限的原則運作 – 在預設情況下不向網絡中的任何人提供管理存取權。

用外行人的話說，要進一步存取網絡，您必須幾乎在每一個步驟中也要重新驗證自己。對程式來說，您是一個威脅，而且您的裝置已經成為保安的責任 – 所以要不斷的重新授權和「零信任」。

當此措施保護網絡時，管理員可以對用戶進行身份驗證並監察網絡內外的裝置。另一個巧妙的好處是網絡用戶無法在網絡邊界之外顯示他們的 IP 地址（即使在互聯網上）。

2. 安全存取服務邊緣 (SASE)

一對保安解決方案穿著 SASE（讀作：sassy）大褸。這個主意是將很多服務組合成一個以雲端為本的保安服務。

SDN + SWG + CASB + FWaaS + ZTNA = SASE

讓我們回顧一下隱藏在時髦 (sassy)大褸下的每個程式，以了解 SASE 的作用。

軟件定義網絡 (SDN) – 透過軟件管理的網絡。

網絡閘門保安 (SWG) – 防止不安全（可能是惡意）的數據流量進入網絡。

雲端存取保安代理 (CASBs) 是服務供應商和用戶之間的「敏感」點，當存取基於雲端的資源就會觸發不同的保安政策。

這些政策包括： 用戶身份驗證、授權、單一登入、憑證映射、裝置分析、加密、代幣化、日誌記錄、警報和惡意軟件偵測/預防。

防火牆即服務 (FWaaS) – 您電腦上的防火牆檢查並過濾您的數據流量。而 FWaaS 也是同樣的概念，但是適應了雲端令雲端計算更加安全。

零信任網絡存取 (ZTNA) – 正如上面已提及，它是一個嚴格的保安選項，可防止用戶看到他們沒有存取權的任何內容。

3. 代理伺服器

當比較 VPN 與代理時，兩者是有相似地方的 – 它們會重新路由您的數據並更改您的 IP 地址（互聯網協議）。但讓我們來談談代理吧。此服務代表網絡上的另一部伺服器透過代理來代表您的裝置。

您的互聯網服務供應商 (ISP) 根據您所在的位置為您提供不同的 IP。您的瀏覽器使用您的 IP 向它在網絡上聯繫的每個伺服器發出要求。

當您使用代理時，您的數據流量會透過其伺服器並獲取新的 IP。這是種很好的方式來迴避地理封鎖和逃避 IP 追蹤（以及隨之而來的一切）。

有大量的代理用於不同的目的和不同的協議，但我只會在本文章中進一步提及最相關的那些代理。

4. 智能域名伺服器（DNS）

Smart DNS 與 VPN 有一些相似之處 – 它是一種使用 DNS 伺服器和代理伺服器來更改 DNS 地址的服務。有些人將它稱為 DNS 代理。

DNS 系統是電腦用來通訊的一種語言。它使用 DNS 將網站名稱（例如 www.surfshark.com）翻譯為 IP 地址。

Smart DNS 服務透過其伺服器路由流量，並為您提供不同的 DNS 地址，而無需更改 IP。它還會強制您到訪的網站先查看您的新 DNS 地址，這通常足以繞過 ISP 發佈的地理封鎖。

但是，從保安角度來看，它什麼也沒有提供。您的 IP 還是一樣的，可以被更頑強的供應商看到。

5. Shadowsocks

這是一種半代理服務，其主要目的是在一些限制和審查制度底下挖掘（提示：它與亞洲的封鎖有關）。這項服務由一位中國程式編寫員所創立，有著令人興奮的創立歷史。

Shadowsocks 並不完全是一個代理，而是一個連接到 SOCKS5 代理伺服器的應用程式。但代理 本身與其他代理不同，它提供了三種身份驗證方法的組合：

• 無身份驗證 – 連接到代理時無需進行身份驗證。 您的密碼未經檢查就被接受；
• 使用者名稱/密碼驗證 – 只要密碼與您提供的使用者名稱相對應即被接受；
• GSS-API 身份驗證 – 這是兩部或多部電腦（您的裝置和您嘗試存取的伺服器）使用相同的身份驗證方法來驗證您身份的過程。

Shadowsocks 與 SOCKS5 配合使用，可透過遠端伺服器匯集您的流量，並在您的數據到達您想要存取的服務之前更改您的 IP 地址。

6. SSH 隧道

SSH 隧道或 SSH 埠口轉發是指透過加密的 SSH 通道傳輸任何數據（稱為任意數據）。

什麽是 SSH？ 

安全外殼協議（SSH）使用加密技術。它是一種透過文字而不是滑鼠、鍵盤或觸控螢幕發出命令的程式。您可以從不屬於您的裝置登入程式 – 這就是以 SSH 進行安全遠端工作的基礎。

請注意：SSH 把您連接到特定裝置。SSH 聽起來與 VPN 相似，但 SSH 連接到一個特定裝置，而 VPN 連接到網絡。

什麼是埠口轉發？

埠口轉發讓來自互聯網的伺服器存取私人網絡上的裝置。當來自互聯網的數據到達裝置，埠口轉發就會透過裝置上的特定入口位置（埠口）將其重定向。

什麼是 SSH 埠口轉發/SSH 隧道？

這讓您可以透過加密隧道與在同一部電腦上運作的另一個裝置應用程式作為安全外殼裝置來轉發數據。由於其加密技術和直接連接的能力，此保安協議還可用於穿越防火牆。

7. ToR

洋蔥路由器（TOR）對於個人用戶來說是一個很好的解決方案。但如果您是一家依賴速度的企業，並打算選擇 TOR 而不是 VPN的話，那麼您應該要重新考慮了。

簡而言之，什麼是 ToR ？

洋蔥路由器是指 ToR 軟件及其 ToR 伺服器網絡。此服務部分依賴義工。

ToR 是如何運作

Tor 使用一組分層的私人伺服器（義工提供他們的電腦）透過互聯網路由和加密您的互聯網流量：

1. 它連接到橫跨世界各地網絡中的一個可用節點清單；
2. 數據經過三個隨機的 TOR 節點匯集。當中每一個都是不同的，而且有獨特的加密密碼匙：

入口節點知道用戶和中繼節點。

中繼節點知道入口節點和出口節點。

出口節點知道中繼節點和目的地。

由於網絡架構，沒有任何一部電腦知道數據流的起點和最終目的地在哪裡 – 您的身份和 IP 是安全的。

但是，ToR 有一些缺點。主要的問題是 – 互聯網的速度慢，而且服務沒有使用混淆。這代表即使您的互聯網服務供應商看不到您正在瀏覽的內容，他們仍然可以看到您正使用 ToR，而這在某些國家是非法的。

總結

如果您想擴展業務並讓它保持安全，VPN 硬件將成為日益增長的麻煩。一個很好的企業傳統 VPN 替代方案就是 SASE 服務。如果您的網絡已經安全而只需一點修飾 – 可試試 ZTNA。

這完全視乎您的保安管理員的口味 – 他們喜歡仔細的網絡管理嗎？或者他們的口味還沒有那麼細緻，而您亦正在尋找更直接的解決方案。

還有，請記住，很多 VPN 硬件問題已由其接班人 – VPN 軟件所解決了。VPN 連接對於家庭使用和企業來說都是一個不錯的選擇。易於擴展、實施簡單，而且透過使用 RAM 為本的伺服器、加密和混淆來確保安全。

常見問題解答

什麼比 VPN 更安全？

據稱 ToR 憑著其服務基礎設施為個人使用提供了更多的私隱。它可助您存取暗網，並且通常用於安全通訊。儘管如此，此服務有時會造成破壞，而且沒有使用混淆 – 它不會隱藏您正在使用 ToR 的事實。

對於企業老闆 – 不建議從 VPN 換成 ToR，因為服務速度不可靠和缺乏網絡管理。

Tor 比 VPN 更好嗎？

這視乎誰在使用它以及他們為什麼需要它。給您一個簡單的 ToR vs. VPN 的概述 – 當您不關心速度而且需要中繼敏感資料時，ToR 是很好的選擇；而當您需要在日常的互聯網瀏覽中保護私隱時，VPN 是可靠的選擇 – 它在速度和方便之間取得了平衡。

VPN 比代理更安全嗎？

是的，因為 VPN 不只為您提供新的 IP，還對您的數據流量加密和混淆。代理只會重新路由您的流量並更改您的 IP，這令它非常適合跳過地理封鎖。