VPN簡介與應用 | 網絡安全 | 數據保護

前言

近來香港不少人都開始留意網絡安全、數據傳輸和隱私的問題，對於VPN服務的需求亦倍增 可能大家都聽說過甚至用過VPN，但是卻甚少人知道它的原理，那麼就藉這次機會與大家一同了解一下VPN

VPN是甚麼

VPN：英文全稱是“Virtual Private Network”，翻譯中文就是“虛擬私人網絡”。 VPN的應用主要有2種：

1. 讓世界上任意機器進入同一個虛擬的區域網絡中（加密的數據通訊）
2. 翻牆
   

在進一步了解虛擬私人網絡之前，我們先要認識「私人網絡」，因為VPN最早並不是用來翻牆的
如果你在一家跨國企業工作，公司電腦裡的的資料都是價值連城的商業秘密，若果一旦洩露，公司可能會受到巨大損失。因此，在公司內部，員工使用的互聯網其實是「專線網絡」，這種網絡和公司外面的公共網絡並不直接連接（或有嚴密的關卡），所以公司外的人（黑客）無法進入這個網絡。這樣一來便能確保公司的數據安全

那麼問題來了：假如公司員工到外地出差，必須使用當地的網絡（如酒店的Wi-Fi）遠程工作，不可能用到公司的專線，如何保證網絡傳輸中的數據安全呢？這種情況下，公司會建議員工使用VPN。 VPN雖然不是「專線網絡」，卻是「虛擬專線網絡」，即是連了VPN以後，員工就算不在公司內部，上網時也可以相當於在公司內部上網。那麼VPN是如何實現這種效果的呢？

VPN的基本原理

讓我們以上面的例子繼續了解VPN的基本原理，對於出差的員工，公司的IT部門會在員工的電腦上裝上VPN軟件。這個VPN軟件可以連接到一台由公司內部控制的電腦伺服器上，叫「VPN伺服器」（VPN Server）。出差員工連上VPN以後，他上網時就不再直接訪問公共互聯網，而是通過VPN伺服器間接訪問

例如，有個員工打開Google，如果不用VPN，他的電腦就直接去連Google的網站。而開啟VPN以後，如果他想打開Google，他的電腦就不再是直接連接Google網站，而是去連接VPN伺服器，並給VPN伺服器发一條指令——「我要訪問Google」。伺服器接到指令後，VPN會以伺服器的身份去訪問Google，收到Google網頁的內容，再把內容回傳給他，這樣使用VPN的員工最終就能看到Google網站的內容了。也就是說，使用VPN時，這個員工的所有網上訪問都通過VPN伺服器代理完成的。

此外，VPN還有一個重要特點：VPN用戶和VPN伺服器之間的通訊是加密的，這樣就不會被黑客盜取或竊聽內容。情況類似兩個打電話，是有可能被第三方竊聽的，但是如果通話的兩個人使用的是別人都聽不懂的特殊語言（好比加密後的內容），那麽即使有人監聽，打電話的內容也不會被泄露。有了這些特點，我們就可以理解為什麽使用VPN能保證用戶的網絡安全：用戶所有的網絡訪問都不直接完成，而是通過VPN伺服器作為中間人傳遞內容，而用戶和VPN伺服器之間的所有連接都是加密的。這樣黑客就無法攔截破解VPN用戶的網絡訪問內容

VPN的優點

1. 跨地理性：位於A地的電腦可跟位於B地的電腦連接
2. 安全性高：利用許多通訊加密協定來達到其高安全性
3. 成本低廉：因為是在公用網路上建立，只要公用網路的價格，不用專線的實體工程費用

VPN涉及的主要技術

VPN的原理技術主要有四種：

1. 穿隧技術（Tunneling）
2. 加密及解密技術（Encryption & Decryption）
3. 金鑰管理技術（Key management）
4. 使用者與設備身分鑑別技術（Authentication）

穿隧技術（Tunneling）

穿隧技術較為簡單，其原理就是將你原本的封包(Packet)視為資料(Data)再重新封裝(Encapsulation)，變成新的封包傳輸在公用網絡中

Data：你要傳輸的資料內容
Header1：內含的 IP Address 是區域或虛擬網路的 IP，或是自訂的 Protocol
Hearder2：內含的 IP Address 是你要傳輸到對方的IP

穿隧技術所涉及的三種網絡協議：

1. Carrier Protocol：用來在網際網路上傳遞封包用的協定
2. Encapsulation Protocol：用來包裝原本封包資料用的協定，也就是Header2所使用的協議。例如：GRE、IPSec、PPTP、L2TP….等
3. Passenger Protocol：原本封包資料所使用的協定，也就是Header1所使用的協議

加密及解密技術（Encryption & Decryption)

主要加密的方法分有兩種：

1. 對稱加密（Symmetric-key algorithm）：又稱為私鑰加密、共享密鑰加密，是密碼學中的一類加密演算法。這類演算法在加密和解密時使用相同的密鑰，或是使用兩個可以簡單地相互推算的密鑰。這組密鑰成為在兩個或多個成員間的共同祕密，以便維持專屬的通訊聯繫。與公開密鑰加密相比，要求雙方取得相同的密鑰是對稱密鑰加密的主要缺點之一

   
   
   

2. 非對稱加密（asymmetric cryptography）：也稱為公開金鑰加密（Public-key cryptography），一種密碼學演算法類型。在這種密碼學方法中，需要一對金鑰，一是個私人金鑰，另一個則是公開金鑰。這兩個金鑰是數學相關，用某用戶金鑰加密後所得的資訊，只能用該用戶的解密金鑰才能解密。如果知道了其中一個，並不能計算出另外一個。因此如果公開了一對金鑰中的一個，並不會危害到另外一個的秘密性質。稱公開的金鑰為公鑰；不公開的金鑰為私鑰

   
   
   

金鑰管理技術（Key management）

現行常用密鑰管理的技術又可分為SKIP(Simple Key management for IP)與ISAKMP/Oakley (又稱為IKE)兩種
SKIP(Simple Key Management for IP) 利用Diffee-Hellman演算法則， 應用在網路上傳輸密鑰的技術
ISAKMP/Oakley : Oakley定義如何分辨及確認密鑰，ISA KMP定義分配密鑰的方法

使用者與設備身分鑑別技術（Authentication）

這部分是為了確認跟你連接或你所連接VPN對方的身分是不是本人所建立起的機制，主要分為兩種：

1. 使用者身分鑑別部分：使用者名稱跟密碼、IC卡鑑別‧‧‧等
2. 設備身分鑑別部分：CA的X.509憑證、分享金鑰

VPN的應用

VPN主要的應用層面

VPN能夠裝置的網絡連線先透過加密連接 VPN 伺服器，然後再連接到目標，從而讓自己的真正 IP 得以隱藏。IP 可以反映出用家的實際位置，甚至用於記錄用家的瀏覽記錄。因此如果可以隱藏 IP，無論電訊商或者目標網站，要收集瀏覽者的資訊就更加困難
而主要的應用有以下五點：

1. 解除地域屏蔽：由於網站審查或地區屏蔽的原因，用家的網絡行為可能會受到限制，VPN能夠規避數字障礙，解除網絡限制
2. 保護隱私：使用VPN能夠以更安全、匿名的 IP 隱藏所有在線活動，避免第三方監督的情況出現
3. 加密數據：數據泄露可能導致財務損失和勒索等，使用數據加密能夠讓用家的數據免受數據泄露和失竊的影響
4. 串流內容：ISP會限制數據以節省帶寬。VPN能夠使用家繞過 ISP 限制，或能夠體驗流暢的高清和4K串流體驗
5. 安全銀行：黑客總是在尋找網上銀行或購物交易以便輕松賺錢。使用VPN能夠可保障用家的安全交易

VPN的實際使用

對於VPN的實際使用，網上已有不同軟件的教學示範，這裡就不多作演示
但在使用時，用家需留意其服務的範圍和功能，如有網站評測發現一些軟件的服務涵蓋被誤解：詳情請按此
例如基於WARP VPN的1.1.1.1軟件，目標只為增加連線的安全線並非給用戶「隱身」而設。因此，當用戶連接對方網站時，用戶的 IP 位址依然有機會讓對方看到。而該軟件開發公司Cloudflare亦曾介紹：
「其實 WARP 服務在官方網站亦向用戶介紹，此服務的設計並非讓你連接原國家／地區的內容服務，它或不能隱藏你的 IP 網址；網頁寫明如用戶需要更強保護性能，建議用戶使用傳統 VPN 或 Tor 等增強網絡隱身能力的服務。」



更多關於網絡安全的資訊如VPN協議等會於日後補充
最後仍然建議用家能夠多閱讀評測，及對比不同軟件的產品服務範圍
以便更好地使用其VPN功能
可供參考的評測網站：https://unwire.hk/tag/vpn/

文章參考：

https://sites.google.com/site/vpnjianjieyuqiyingyong/home

http://godleon.blogspot.com/2007/05/vpn-vpnvirtual-private-network-vpn.html

https://en.wikipedia.org/wiki/Virtual_private_network