虚拟私人网路,又称为虚拟专用网路(英文∶Virtual Private Network,简称VPN),是一种常用于连接中、大型企业或团体与团体间的私人网路的通讯方法。虚拟私人网路的讯息透过公用的网路架构(例如:网际网路)来传送内联网的网路讯息。
虚拟私人网路利用已加密的通道协议(Tunneling Protocol)来达到保密、传送端认证、讯息准确性等私人讯息安全效果。若使用得法,这种技术可以用不安全的网路(例如:网际网路)来传送可靠、安全的讯息。需要注意的是,加密讯息与否是可以控制的。没有加密的虚拟私人网路讯息依然有被窃取的危险。
以日常生活的例子来比喻,虚拟私人网路就像:甲公司某部门的A想寄信去乙公司某部门的B。A已知B的地址及部门,但公司与公司之间的信不能注明部门名称。于是,A请自己的秘书把指定B所属部门的信(A可以选择是否以密码与B通讯)放在寄去乙公司地址的大信封中。当乙公司的秘书收到从甲公司寄到乙公司的信件后,该秘书便会把放在该大信封内的指定部门信件以公司内部邮件方式寄给B。同样地,B会以同样的方式回信给A。
在以上例子中,A及B是身处不同公司(内联网路)的计算机(或相关机器),透过一般邮寄方式(公用网路)寄信给对方,再由对方的秘书(例如:支援虚拟私人网路的路由器或防火墙)以公司内部信件(内部网路)的方式寄至对方本人。请注意,在虚拟私人网路中,因应网路架构,秘书及收信人可以是同一人。许多现在的作业系统,例如Windows及Linux等因应所用传输协议,已有能力不用透过其它网路设备便能达到虚拟私人网路连接。
有一些网站在中国大陆被屏蔽,而采用免费或付费的VPN来突破限制成为了一种流行的翻墙手段。许多外商公司欲连接回海外的服务器也经常自行架设VPN向第三方VPN提供商购买服务。
直到20世纪90年代末,计算机网路上的计算机通过非常昂贵的专线和/或拨号连线互连。视站点间的距离,花费可达数千美元(56kbps连线)或上万美元(T1)。由于避免了租用多条各自连接网际网路的专线的需要,虚拟私人网路可减少网路开支。用户可以安全地交换私密数据,这使昂贵的专线变得多余。
安全的虚拟私人网路使用加密穿隧协议,通过阻止截听与嗅探来提供机密性,还允许发送者身份验证,以阻止身份伪造,同时通过防止信息被修改提供消息完整性。
某些虚拟私人网路不使用加密保护数据。虽然虚拟私人网路通常都会提供安全性,但未加密的虚拟私人网路严格来说不属于“安全”或“可信”的类别。例如,一条通过GRE协议在两台主机间建立的隧道属于虚拟私人网路,但既不安全也不可信。 除以上的GRE协议例子外,原生的明文穿隧协议包括L2TP(不带IPsec时)和PPTP(不使用微软点对点加密(MPPE)时)。
蕴藏许多助人的知识与智慧。