分割隧道
本文约需 2 分钟阅读
VPN 分离隧道是指在建立 VPN 连接时,不将所有流量都经由 VPN,而是仅让特定流量通过 VPN 隧道,其余流量直接连接互联网的设置。随着远程办公的普及,许多企业为提升带宽效率和用户体验而采用该方案。截至 2025 年,随着 SASE (Secure Access Service Edge) 的普及,将分离隧道与云安全相整合的新架构正逐渐成为主流。
现场使用案例
“迁移到远程办公后,VPN 服务器的带宽变得紧张,视频会议的质量明显下降。我们通过分离隧道将 Microsoft 365 和 Zoom 的流量移到 VPN 之外后,VPN 带宽使用率降低了 60%,工作效率大幅改善。”
分离隧道概念图
远程终端
VPN 隧道
内部系统 (内网、业务应用)
直接连接
SaaS / 互联网 (Zoom、M365)
与全隧道的比较
全隧道 (所有流量都经由 VPN) 由于全部流量都可由企业的安全设备检查,因此安全性较高,但负载集中在 VPN 服务器上,存在 Zoom、Teams 等视频会议质量下降的问题。在分离隧道中,仅对内部系统的访问经由 VPN,而 SaaS 和互联网浏览则直接连接,因此在某些情况下可将带宽减少 50 到 70%。VPN 设计入门书 (Amazon)可用于系统性地学习。
安全风险与对策
分离隧道的最大风险在于,不经由 VPN 的流量会脱离企业的安全监控。感染恶意软件的终端可能会通过 VPN 之外的路径与 C2 服务器通信。作为对策,加强端点安全、通过 DNS over HTTPS 保护 DNS 查询,以及借助 CASB (Cloud Access Security Broker) 实现对 SaaS 使用情况的可视化都很有效。请使用强随机密码保护 VPN 连接账户,确保远程办公环境的安全。网络安全书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?