VPN 通过对流量加密来确保连接安全和私密,但这会带来安全性和性能之间的取舍,因为某些 VPN 功能会引入延迟。
阅读本文后,您将能够:
复制文章链接
虚拟专用网络(VPN)是一种 Internet 安全服务,能够让用户像连接专用网络一样接入 Internet。VPN 可以加密 Internet 通信,并使用户活动保持匿名。
人们需要在 Internet 上获得额外一层隐私和安全性时会使用VPN。因此,VPN 在员工需要远程办公或分散于全球的公司中非常受欢迎。但 VPN 具有一个内在缺点:它们通常会造成延迟。
在 Internet 上,延迟指的是从用户发起操作到获得响应之间的时间量。例如,用户点击链接以查看图像与浏览器显示该图像之间的延迟。假设鲍勃点击一个链接,等待几秒之后图像才加载。在这一情形中,鲍勃的请求遇到了很大的延迟。
造成 Internet 延迟的一个主要原因是数据访问位置和交付位置之间的物理距离。当用户发出 Internet 请求时,请求和随后响应必须传输的距离越远,用户遇到的延迟就越长。例如,如果位于加利福尼亚的爱丽丝向某个网站发出请求,并且该网站的内容存储在几英里外的 CDN 服务器中,那么请求和响应的速度都非常快,因为需要传输的距离很短。
不过,如果 Alice 向位于韩国的网站服务器发出请求,那么请求和响应花费的时间要长得多。如同搭乘具有许多连接点的国际航班一样,每个请求和响应在从A 点传到 B 点时都要经过一系列路由器。路由器之间的每一个“跃点”都会带来更多延迟。了解有关延迟的更多信息 > >
VPN 会给请求和响应造成额外的传输时间,从而增加延迟。例如,假设鲍勃是位于俄勒冈的远程员工,并且使用基于德克萨斯的 VPN 服务来连接他的公司网络。每当鲍勃的计算机通过 Internet 通信时,都必须将请求一路发送到德克萨斯,他的 VPN 服务接着解密请求并将其转发到 Web 服务器。Web 服务器而后将响应发送回德克萨斯的 VPN 服务器,VPN 最后对响应进行加密并将其发送给俄勒冈的鲍勃。
也就是说,即使鲍勃尝试与距离他家几英里远的数据中心通信,他的请求也必须从俄勒冈一路传送到得克萨斯,再回到俄勒冈,其响应也须如此。这就是所谓的长号效应,它会带来许多延迟。
服务器负载也会增加延迟,而且连接 VPN 会给用户带来遭遇服务器负载问题的新机会。假设爱丽丝与 1000 个其他用户同时连接到某一 VPN 服务器,并且该服务器的容量仅够一次处理 300 个请求。服务器有可能会过载,并开始排队或丢弃请求,从而减慢爱丽丝以及该 VPN 的许多其他用户的加载时间。对于免费和廉价 VPN 服务,这种遭遇尤为常见。
使用 VPN 时,用户与 VPN 之间的所有通信都会加密。加密过程需要时间,具体时长因所用加密协议类型而异,这有可能显著增加互联网通信的延迟。需要权衡考虑 VPN 加密强度与通信延迟;通常,加密协议安全性越高,耗时就越久,造成的延迟也越长。(值得注意的是,TLS 1.3 等一些新型加密协议旨在通过加快加密过程来纠正此问题。)
VPN 使用的加密协议中有两种最为流行:在 OSI 模型的网络层上运行的 IPsec,以及在应用程序层上运行的 SSL(也称为 TLS)。在挑选 VPN 提供商时,客户必须要决定选择哪一种协议。
IPsec 和 SSL 提供了非常相似的性能速率,但是 IKEv2/IPSec 协议连接协商速度稍快一些,因具有些许性能优势。
需要注意的是,在涉及防火墙时 SSL VPN的性能可能会更好。由于 SSL VPN 流量与普通的 HTTPS 互联网流量没有区别,因此不太可能被防火墙阻止或限速。
在特定情况下,VPN 可以提高某些服务的速度。ISP 有时会限流或人为减慢特定类型的流量。例如,一些大型 ISP 对 Netflix 等流媒体娱乐服务实施限流。如果 ISP 限制与特定服务的通信速度,则 VPN 可以规避这种限制,因为 VPN 加密使得 ISP 无法知道用户正在与哪些服务进行通信。
Cloudflare Zero Trust 是一款身份和访问管理 (IAM) 产品,能够监控用户对于托管在 Cloudflare 平台上的任何域、应用程序或路径的访问。它可以与单点登录 (SSO) 身份提供程序(如 Okta 和 Google Auth)集成,同时还能够让管理员更改和自定义用户权限。
许多企业开始使用远程访问服务来替代其公司 VPN,因为它们更易于使用,并且不会遇到与 VPN 相同的延迟问题。由于 Cloudflare Zero Trust 利用了 Cloudflare 的全球网络,客户有望在世界任意地方获得快速性能,同时它还集成了强大的 Zero Trust 安全解决方案。要开始使用免费版 Cloudflare Zero Trust,请参阅我们的开发人员文档。