代理和 VPN 有何區別?
代理伺服器和虛擬私有網路 (VPN) 都是組織內部企業網路與公用網際網路之間的中介技術。您的組織可以透過代理伺服器、VPN 或兩者路由傳送所有傳入和傳出的網路流量。代理伺服器可提供流量來源匿名化。或許還能支援流量分佈,或者有可能根據預先決定的安全政策掃描和檢查網路資料封包。相較之下,VPN 則是使用加密來遮罩 IP 地址和資料,故未經授權的使用者無法讀取。這兩種技術因其在組織網路架構中的位置不同而能滿足不同的使用案例。
代理伺服器如何運作?
在網際網路上進行的所有通訊都透過資料封包進行。應用程式和使用者裝置會以請求和回應的形式交換資料。用戶端透過使用伺服器的 IP 地址向任何應用程序或 Web 伺服器傳送請求,而伺服器將回應傳送回用戶端的 IP 地址。
在直接網路連線中,用戶端和伺服器都知道彼此的 IP 地址。但是,代理伺服器在用戶端和伺服器之間引入了另一層。您可以在用戶端 (轉寄代理) 或應用程式伺服器 (反向代理) 之前使用代理伺服器。這些方法的運作方式如下。
轉寄代理伺服器
以下是在使用轉寄代理伺服器時用戶端和伺服器互動的方式:
- 當用戶端傳送 Web 請求時,它首先進入用戶端的代理伺服器
- 代理伺服器會以自己的 IP 地址取代用戶端的 IP 地址
- 代理伺服器將 Web 請求轉寄至應用程式伺服器
- 應用程式伺服器處理請求並將回應資料傳送回代理伺服器
- 代理伺服器將回應轉寄回用戶端
使用轉寄代理伺服器時,伺服器不知道實際的用戶端,並將代理視為用戶端。
在內部公司裝置為用戶端的使用案例中,轉寄代理伺服器會很有幫助。例如,當您的員工瀏覽網際網路時,他們的請求可以透過代理傳送至其他第三方應用程式。轉寄代理可保護私有網絡資料並向外部人員匿名化。
反向代理伺服器
反向代理是託管應用程式的伺服器與最終使用者之間的中介伺服器。反向代理會在傳入的網際網路流量到達您的應用程式之前,監控並攔截所有此類流量。它掃描您的訪客流量是否存在未經授權的活動。
Web 管理員可以設定反向代理以封鎖特定流量來源。反向代理只會將符合其安全性政策的請求轉寄至您的應用程式伺服器。
反向代理伺服器為您的應用程式或資料庫伺服器增加額外的安全性、匿名性和流量分配管理層。
VPN 如何運作?
虛擬私有網路 (VPN) 結合加密與代理伺服器,以建立更安全的通訊通道。基礎技術會將用戶端流量加密並路由至 VPN 伺服器,進一步匿名化 IP 地址並將其路由至第三方網站。在此類使用案例中,您可以將 VPN 伺服器視為同時加密資料的轉寄代理伺服器。
但是,VPN 技術具有更進階的應用,具體取決於加密的設定方式。組織可以使用用戶端型 VPN 或 Site-to-Site VPN。
用戶端型 VPN
若要使用用戶端型 VPN,請在遠端裝置上安裝 VPN 用戶端應用程式。裝置使用者然後會使用 VPN 用戶端應用程式連線至組織的網路。
VPN 用戶端使用 IPsec 建立遠端使用者與網路之間的安全連線。IPsec 是一組通訊規則或通訊協定,可將加密和驗證新增至標準 TCP/IP 通訊協定,使其更安全。
用戶端型 VPN 透過設定稱為 IPsec 通道的加密電路來保護網路資料,該電路會對兩個端點之間傳送的所有資料進行加密。實際上,它會在遠端使用者和組織的網路之間建立私有通訊通道。
Site-to-Site VPN
對於具有多個分散的地理位置的公司而言,可採用 Site-to-Site VPN 作為內部私有網路。它透過 IPsec 無縫且安全地連線不同的內部網路,讓組織中的員工能夠在不同的內部網路之間共用資源。Site-to-Site VPN 會在內部網路之間建立私有通訊通道。
主要相似之處:代理與VPN
代理伺服器和虛擬私有網路 (VPN) 都可以改善組織的隱私性和安全性。員工可以使用代理伺服器或 VPN 安全匿名地瀏覽網際網路。VPN 和代理伺服器都會匿名化組織的內部 IP 位址。
同樣,個人可以獲得 VPN 服務或向代理服務供應商註冊以匿名瀏覽網際網路。在這種情況下,VPN 供應商允許個別使用者透過加密通道存取網際網路,而代理服務則會透過代理伺服器路由使用者的網際網路活動。市場上有許多免費的代理連線和免費 VPN 供個人使用者使用。
主要區別:代理與VPN
對於組織而言,虛擬私有網路 (VPN) 服務具有比代理伺服器更廣泛的應用和功能,這是因為 VPN 提供加密。大多數組織都偏好僅使用 VPN,而不是同時使用 VPN 和代理伺服器。
接下來,我們討論 VPN 和代理伺服器之間的一些關鍵區別。
傳出網路流量
轉寄代理連線從使用者存取的 Web 伺服器隱藏員工的 IP 地址。
VPN 連線會隱藏使用者的 IP 地址和位置,因此無法辨識它們。同時,該服務使用 IPsec 的端到端加密,因此網際網路服務供應商 (ISP) 或任何外部路由器也無法存取使用者資料。員工可以安全地交換敏感資料,因為未經授權的第三方無法讀取加密通訊內容。
傳入網路流量
反向代理伺服器可以篩選和控制傳入您的應用程式伺服器的流量。但是,這些伺服器仍然允許任何外部來源向其傳送流量。
VPN 連線只允許授權的流量進入網路。只有具有遠端存取 VPN 用戶端的裝置才能存取公司網路。這樣,您可以更妥善地控制傳入的連線。
負載平衡
在尖峰期間,Web 請求可能會讓應用程式伺服器不堪重負。反向代理伺服器可以充當負載平衡器,將這些請求分配到備份伺服器。
VPN 不提供任何負載平衡功能。
差異摘要:代理與VPN
代理 |
VPN |
|
用戶端伺服器通訊中的角色 |
代理伺服器匿名化用戶端和伺服器之間的通訊。 |
VPN 會匿名化並加密用戶端和伺服器之間的通訊。 |
傳入流量 |
反向代理伺服器篩選和分配傳入流量。您無法控制到達代理伺服器的流量。 |
VPN 會加密遠端裝置上安裝的 VPN 用戶端軟體與企業網路之間的流量。您控制誰可以存取網路。 |
傳出流量 |
轉寄代理伺服器會匿名化傳出流量。 |
VPN 匿名化和加密傳出流量。 |
範例使用案例 |
反向代理伺服器支援負載平衡和流量分配。 |
用戶端 VPN 可讓遠端使用者安全地連線至組織的網路。 |
AWS 如何支援您的 VPN 或代理伺服器需求?
Amazon Web Services (AWS) 提供許多服務來支援您的虛擬私有網路 (VPN) 或代理伺服器要求。
適用於代理伺服器的 AWS 服務
AWS Amplify 託管可讓您部署和託管可擴展的現代 Web 內容。您可以透過從不同位置重寫內容,同時維護 Web 網域,從而反向代理應用程式。
同樣,Amazon RDS Proxy 是用於 Amazon Relational Database Service (Amazon RDS) 的全受管的、高度可用的資料庫代理,讓應用程式更具擴展性、資料庫失敗的恢復能力更強、並且更安全。
適用於 VPN 的 AWS 服務
AWS Client VPN 是全受管的彈性 VPN 服務,可根據使用者需求自動擴展或縮減。由於該服務是雲端 VPN 解決方案,因此不需要安裝和管理硬體或軟體解決方案。而且,您不必嘗試估計一次要支援多少遠端使用者。
同樣,AWS Site-to-Site VPN 在您的資料中心或分公司與您的 AWS 雲端資源之間建立安全連線。對於全球分散式應用程式,站點至站點加速 VPN 選項與 AWS Global Accelerator 配合使用可提供更高的效能。
立即建立帳戶,開始使用 AWS 上的代理伺服器和 VPN。