我印像中IPSec VPN其實並不安全,今天同業問我,他們在評估用軟路由建用IPSec VPN來服務國外的據點。
後來我研究了一下 IPSec VPN 分別有傳輸模式(Transport Model)和隧道模式(Tunnel Mode)
比較如下
| 比較項目 | 傳輸模式 (Transport Mode) | 隧道模式 (Tunnel Mode) |
| 封裝範圍 | 僅加密原始IP封包的Payload(數據部分),IP標頭保留 | 加密整個原始IP封包,並附加新的IP標頭 |
| 適用場景 | 1. 端點間直接通信(如主機對主機) | 1. 網關對網關(Site-to-Site) |
| 2. 延遲敏感應用 | 2. 遠端存取(Client-to-Site) | |
| 資安風險 | IP標頭未加密,可能暴露路徑資訊(如源/目的IP) | 原始IP標頭完全加密,隱藏內部網路拓撲 |
| 性能開銷 | 較低(因封裝數據量小) | 較高(需處理完整封包加密和附加標頭) |
| NAT穿透支援 | 需配合NAT-T(NAT Traversal)技術 | 直接支援NAT環境(因外層標頭可修改) |
| 企業合規要求 | 可能不符合嚴格資安規範(如GDPR、ISO 27001) | 符合多數資安規範(因完整加密且隱藏內部資訊) |
| 典型應用案例 | 1. 內部伺服器間安全通信 | 1. 分支機構連線總部(Gateway to Gateway / Site-to-Site) |
| 2. 即時語音/視訊傳輸 | 2. 員工遠端存取內部資源(Client-to-Site) | |
| 防禦中間人攻擊 | 較弱(IP標頭可被篡改) | 較強(完整封包驗證+加密) |
| 網路層級可見性 | 內部網路架構可能暴露 | 隱藏內部IP,僅顯示VPN網關資訊 |
| 防火牆與 IDS 兼容性 | 原始 IP 可見,較容易與防火牆及 IDS 整合 | 封裝 IP 封包,可能影響防火牆與 IDS 分析效果 |
| 路由支援 | 需使用原始 IP 位址進行路由,不支援 NAT | 支援 NAT,封裝後使用新的 IP 位址進行路由 |
| 複雜度與部署 | 結構簡單,部署容易,但受限於應用場景 | 部署較複雜,但彈性高,可支援大型網路環境 |
企業選擇建議:
資安優先:一律選擇隧道模式(符合合規性且隱藏拓撲)。
性能優先:若為可信內部網路(如數據中心互連),可考慮傳輸模式。
混合應用:
外部通訊(如遠端辦公)→ 隧道模式
內部高頻傳輸(如備份伺服器)→ 傳輸模式
補充資安注意事項:
隧道模式需確保VPN網關的硬體加密能力,避免成為瓶頸。
傳輸模式若用於公網,建議搭配TLS/SSL VPN等應用層加密。
隨機文章
- 超爛的愛買配送服務 (2017-05-22)
- Alexa終於還我公道了 (2012-01-17)
- 回應一部分網友的留言 (2008-01-14)
- Google無法連線 (2008-05-29)
- PXE on openmediavault Prepare (2019-02-10)
隨機美圖
