跳转到主要内容

分割隧道

本文约需 2 分钟阅读

VPN 分离隧道是指在建立 VPN 连接时,不将所有流量都经由 VPN,而是仅让特定流量通过 VPN 隧道,其余流量直接连接互联网的设置。随着远程办公的普及,许多企业为提升带宽效率和用户体验而采用该方案。截至 2025 年,随着 SASE (Secure Access Service Edge) 的普及,将分离隧道与云安全相整合的新架构正逐渐成为主流。

现场使用案例

“迁移到远程办公后,VPN 服务器的带宽变得紧张,视频会议的质量明显下降。我们通过分离隧道将 Microsoft 365 和 Zoom 的流量移到 VPN 之外后,VPN 带宽使用率降低了 60%,工作效率大幅改善。”

分离隧道概念图

远程终端
VPN 隧道
内部系统 (内网、业务应用)
直接连接
SaaS / 互联网 (Zoom、M365)

与全隧道的比较

全隧道 (所有流量都经由 VPN) 由于全部流量都可由企业的安全设备检查,因此安全性较高,但负载集中在 VPN 服务器上,存在 Zoom、Teams 等视频会议质量下降的问题。在分离隧道中,仅对内部系统的访问经由 VPN,而 SaaS 和互联网浏览则直接连接,因此在某些情况下可将带宽减少 50 到 70%。VPN 设计入门书 (Amazon)可用于系统性地学习。

安全风险与对策

分离隧道的最大风险在于,不经由 VPN 的流量会脱离企业的安全监控。感染恶意软件的终端可能会通过 VPN 之外的路径与 C2 服务器通信。作为对策,加强端点安全、通过 DNS over HTTPS 保护 DNS 查询,以及借助 CASB (Cloud Access Security Broker) 实现对 SaaS 使用情况的可视化都很有效。请使用强随机密码保护 VPN 连接账户,确保远程办公环境的安全。网络安全书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena