我最近一直在寻找 VPN 提供商,我注意到Vypyr VPN提供防火墙,每月额外收费。在他们的防火墙页面上,它说如下:
当您连接到 VyprVPN 时,您会通过您的无线路由器并获得您自己的专用互联网连接。此连接不共享,因此......不再阻止未请求的入站扫描。
HMA是我正在寻找的另一个提供商,我注意到他们没有提到防火墙。所以我拍摄了他们并通过电子邮件发送并得到了以下回复:
VPN 不会绕过您的操作系统/路由器防火墙。VPN 也不能充当防火墙。我们不提供附加防火墙服务。您将需要一个良好的防病毒/防火墙保护套件来防止恶意软件和入侵。
那么谁是对的?VPN 连接是否绕过路由器防火墙?我是否只是错误地阅读了 Vypyr 的网站?
wol*_*gsz 10
VPN 本身不会绕过防火墙,它们“隧道”穿过防火墙。让我试着更详细地解释一下。
当您的计算机想要获取例如特定网页的内容时,它会创建一个 HTTP 请求。这个数据包被包装成一个TCP数据包,网站名称解析为一个IP地址,TCP数据包交给IP层进行路由。IP 层根据 IP 地址及其路由表决定将数据包发送到何处(下一跳路由器,通常是您的默认网关)。它将 TCP 数据包包装成 IP 数据报,将下一跳路由器的 MAC 地址放入其中,并将其移交给以太网接口,以太网接口将整个 shebang 传输到线路上。
防火墙在整个机器的 IP 层工作(嗯,通常是这样)。您的普通 SOHO 路由器/网关/调制解调器设备将有一个防火墙,允许传出连接和任何返回数据包。
现在当您建立 VPN 连接时会发生什么?VPN 客户端创建到其他地方的 VPN 服务器的连接。重要的部分是它随后还会更改您的路由表,这通常会导致 IP 层现在将所有或部分传出流量路由到 VPN 客户端,而不是直接从接口传出。VPN 客户端然后将整个 IP 数据报包装到另一个 TCP 数据包中(此时原始数据包变得对 IP 层有效地不可见),并且这个数据包现在被发送到 VPN 服务器(打开它然后将其传递给 VPN 服务器) )。
这样做的净效果是“隧道”。通常应用于数据包的防火墙和路由规则通过将数据包推送到 VPN 连接来“绕过”。这也意味着,如果 VPN 隧道处理您所有的传出流量,那么应用于 SOHO 路由器的任何保护机制现在都无效。
我希望这可以解释在这种情况下“绕过”的含义。
为了最大限度地发挥作用,他们都错了——而且都是对的。
VPN 将允许原本可能被中间防火墙阻止的流量通过,仅仅是因为流量看起来不像防火墙规则旨在阻止的任何流量。例如,如果防火墙配置为阻止所有发往内部机器的传入连接,如果流量封装在 VPN 中,则防火墙不会阻止该流量,原因很简单,从防火墙的角度来看,流量看起来像VPN 流量。
另一方面,防火墙仍然能够制定规则来阻止 VPN 流量本身(无论 VPN 流量是什么),如果配置为这样做(这意味着您的 VPN 将无法工作)——所以你确实需要注意这方面的防火墙规则。
此外,VPN 端点的防火墙会影响流量,因为它们可以看到从 VPN 隧道出来并成为常规流量的流量。我怀疑 Vypyr 的防火墙服务可以在流量进入 VPN 并到达您的端点之前对其进行过滤,从而节省您必须携带该流量而在您的一端丢弃该流量的成本。
| 归档时间: |
|
| 查看次数: |
36981 次 |
| 最近记录: |