我印像中IPSec VPN其實並不安全,今天同業問我,他們在評估用軟路由建用IPSec VPN來服務國外的據點。
後來我研究了一下 IPSec VPN 分別有傳輸模式(Transport Model)和隧道模式(Tunnel Mode)
比較如下
| 比較項目 | 傳輸模式 (Transport Mode) | 隧道模式 (Tunnel Mode) |
| 封裝範圍 | 僅加密原始IP封包的Payload(數據部分),IP標頭保留 | 加密整個原始IP封包,並附加新的IP標頭 |
| 適用場景 | 1. 端點間直接通信(如主機對主機) | 1. 網關對網關(Site-to-Site) |
| 2. 延遲敏感應用 | 2. 遠端存取(Client-to-Site) | |
| 資安風險 | IP標頭未加密,可能暴露路徑資訊(如源/目的IP) | 原始IP標頭完全加密,隱藏內部網路拓撲 |
| 性能開銷 | 較低(因封裝數據量小) | 較高(需處理完整封包加密和附加標頭) |
| NAT穿透支援 | 需配合NAT-T(NAT Traversal)技術 | 直接支援NAT環境(因外層標頭可修改) |
| 企業合規要求 | 可能不符合嚴格資安規範(如GDPR、ISO 27001) | 符合多數資安規範(因完整加密且隱藏內部資訊) |
| 典型應用案例 | 1. 內部伺服器間安全通信 | 1. 分支機構連線總部(Gateway to Gateway / Site-to-Site) |
| 2. 即時語音/視訊傳輸 | 2. 員工遠端存取內部資源(Client-to-Site) | |
| 防禦中間人攻擊 | 較弱(IP標頭可被篡改) | 較強(完整封包驗證+加密) |
| 網路層級可見性 | 內部網路架構可能暴露 | 隱藏內部IP,僅顯示VPN網關資訊 |
| 防火牆與 IDS 兼容性 | 原始 IP 可見,較容易與防火牆及 IDS 整合 | 封裝 IP 封包,可能影響防火牆與 IDS 分析效果 |
| 路由支援 | 需使用原始 IP 位址進行路由,不支援 NAT | 支援 NAT,封裝後使用新的 IP 位址進行路由 |
| 複雜度與部署 | 結構簡單,部署容易,但受限於應用場景 | 部署較複雜,但彈性高,可支援大型網路環境 |
企業選擇建議:
資安優先:一律選擇隧道模式(符合合規性且隱藏拓撲)。
性能優先:若為可信內部網路(如數據中心互連),可考慮傳輸模式。
混合應用:
外部通訊(如遠端辦公)→ 隧道模式
內部高頻傳輸(如備份伺服器)→ 傳輸模式
補充資安注意事項:
隧道模式需確保VPN網關的硬體加密能力,避免成為瓶頸。
傳輸模式若用於公網,建議搭配TLS/SSL VPN等應用層加密。
隨機文章
- 可以在Facbook上做行銷的Apps (2011-07-16)
- 踼到鐵板的山寨筆電 (2009-09-07)
- UNKNOW USER ON WordPress USER Table wp_users WordPress使用者資料表 出現不明的使用者 (2020-06-29)
- 金橋取得廣達OLPC RF天線訂單 11月起出貨 明年擴產倍增 (2007-11-03)
- 20091003 豬哥會社內容 (2009-10-04)
隨機美圖
