PM 來學： VPN 是什麼呢？

認識完資料庫基礎之後，ChatGPT 接著介紹的是網路基礎的概念。

VPN（虛擬私人網路，Virtual Private Network）

VPN 就像是一條「加密隧道」，讓你的設備可以安全地連接到內部網路，防止數據被攔截或竊聽。

🔹 VPN 的主要用途：

1. 遠端工作（WFH）：員工在家時，用 VPN 連回公司內部系統。
2. 跨國連線：跨國分公司透過 VPN 連到總公司的內部網路。
3. 安全上網：在公共 Wi-Fi（如咖啡廳）時，VPN 可以保護數據不被駭客竊取。

1. VPN 的運作方式

• 設備（你的電腦） 先連到 VPN 伺服器。
• VPN 伺服器 幫你建立加密通道，確保資料不被攔截。
• 你的流量 會透過這條「隧道」傳輸到公司內部系統，就像你人在公司一樣。

📌 關鍵點：

• VPN 讓你「偽裝」成內部網路的設備，能存取內部應用（如 ERP、內部 API）。
• VPN 流量是加密的，因此駭客無法監聽你的資料。

2. VPN 的類型

3. VPN 的限制

雖然 VPN 很好用，但它也有一些缺點：

1. 效能問題：VPN 會降低網速，尤其是高流量應用（如視訊會議）。
2. 使用體驗不佳：如果 VPN 設定不穩定，可能需要頻繁重新連線。
3. 安全性風險：如果 VPN 帳號密碼外洩，駭客可以假裝是員工，入侵公司內部系統。

🔹 解決方案：

• 零信任架構（Zero Trust）：「不管你在哪裡，想存取公司系統都要驗證你的身份 & 設備。」
  🔹 以前的做法（VPN）：
• • 員工用 VPN 連回公司內網後，就能存取所有內部系統。
  • 問題是：如果駭客偷了 VPN 帳號，他也能進來，風險很大！
  🔹 現在的做法（零信任）：
  • 每次存取內部系統時，都會驗證「你是誰 + 你用的設備是否合法」。
  • 例如：
  • • 你要開 Jira，系統會先檢查 你的帳號（如 Okta）+ 你的電腦（公司批准的設備）。
    • 只有通過這兩關，你才能進入。

📝 簡單理解：

以前 VPN 是「進了公司大門就能自由走動」，現在 零信任是「每進一個房間都要刷卡驗證」。

• SD-WAN（軟體定義廣域網）：「比 VPN 更聰明的網路技術」，可以自動選擇最快 & 最穩定的網路路徑。
  🔹 VPN 的問題：
• • 會降低網速，因為所有流量都要繞過 VPN 伺服器。
  • 如果 VPN 伺服器太遠（例如你的伺服器在美國，但人在台灣），速度會更慢。
  🔹 SD-WAN 怎麼解決？
  • 它會根據 網路狀況 自動選擇最好的連線方式，避免 VPN 塞車。
  • 例如：
  • • 你用 Zoom 開會 → 讓流量走最近的伺服器，確保不卡頓。
    • 你存取內部系統 → 讓流量經過安全的通道，不影響速度。
  📝 簡單理解：VPN 就像「高速公路」，大家都擠在同一條路上，很容易塞車。 SD-WAN 就像「導航 APP」，會自動幫你選最快的路走，確保不塞車！
  

什麼是 IPSec？

• IPSec（Internet Protocol Security） 是一種用來 保護網路資料傳輸安全 的技術，特別常用在 VPN。

IPSec = 幫網路封包加密 & 驗證，確保傳輸的資料不被偷看或篡改。

💡 它主要解決兩個問題：

1. 資料加密（防止被竊聽） → 確保傳輸的內容不會被駭客攔截後讀取。
2. 資料完整性驗證（防止被篡改） → 確保數據沒有在傳輸過程中被改過。

2. IPSec 怎麼運作？

🔹 IPSec 主要有兩個核心技術：

1. AH（Authentication Header，認證標頭）
2. • 負責 身份驗證 + 確保資料沒被改過（但不加密）。
   • 適用於只需要確認資料來源真實性的情境。
2. ESP（Encapsulating Security Payload，封裝安全負載）
3. • 負責 加密 + 身份驗證，確保數據既安全又完整。
   • 這是 VPN 最常用的模式！
3. IPSec 的兩種運作模式

IPSec 有 兩種模式，取決於你想保護「哪一部分」的資料。

💡 簡單理解：

• 傳輸模式：只保護「內容」，但 IP 地址還是可見。
• 隧道模式：把整個封包藏起來，就像「快遞包裹」，外人看不見內部資訊。

4. IPSec 為什麼重要？

✅ 企業 VPN（Site-to-Site VPN） → IPSec 是企業 VPN 的核心技術，確保兩個辦公室的 VPN 連線安全。
✅ 遠端存取安全（Remote Access） → 當你在家透過 VPN 連公司，IPSec 確保資料傳輸安全。
✅ 防止中間人攻擊（MITM） → IPSec 會驗證數據來源，確保資料沒有被竄改。

什麼是 SSL-VPN？

SSL-VPN = 用「瀏覽器」就能安全連到公司內部系統，不需要安裝 VPN 軟體！

SSL-VPN 使用 HTTPS（SSL/TLS 加密）來建立安全連線，類似我們平常連銀行網站時的加密機制。

這兩種 VPN 技術的差異，可以從 用途 & 連線方式 來比較：

3. SSL-VPN 怎麼運作？

SSL-VPN 主要有兩種模式：

1. Web 模式（Clientless VPN）
2. • 直接用 瀏覽器 連線，例如 Webmail、內部 ERP、CRM 系統。
   • ✅ 優點：無需安裝軟體，適合臨時使用。
   • ❌ 缺點：只能用於 Web 應用，無法存取內部檔案伺服器。
2. Full Tunnel 模式（Client-Based VPN）
3. • 需要安裝 VPN 軟體，然後建立 完整的 VPN 連線，讓設備像在公司內網一樣。
   • ✅ 優點：可以存取所有內部系統（如 File Server、RDP 遠端桌面）。
   • ❌ 缺點：需要安裝 VPN 軟體，使用上比 Web 模式麻煩一點。

4. 什麼時候用 SSL-VPN？

✔ 遠端員工 只需要存取內部 Web 系統（如 Jira、ERP）時，SSL-VPN 是最方便的選擇。
✔ 臨時存取（如外包廠商） → 只要提供一個 HTTPS 連結，對方就能安全存取內部資源。
✔ 企業 BYOD（自帶設備政策） → 如果公司允許員工用自己電腦辦公，SSL-VPN 讓他們用瀏覽器連線，不必安裝額外軟體。

總結

🔹 IPSec VPN 適合完整內網存取，適合「企業內部 VPN 連線」
🔹 SSL-VPN 主要用於 Web 應用存取，適合「遠端員工、臨時存取」