移动 VPN
移动 VPN 是什么?
移动 VPN面向智能手机与平板的虚拟专用网络,通过蜂窝或 Wi-Fi 链路将移动设备的流量隧道化到企业网关或注重隐私的服务商。
移动 VPN 常用协议包括 IKEv2/IPsec、WireGuard 与 OpenVPN,并配合 iOS 的 Per-App VPN、Android Enterprise 的 Always-On VPN 等平台特性实现细粒度控制。企业通过 MDM 下发以管控对内部应用的访问,并与条件访问结合;消费者用它在不可信 Wi-Fi 下加密流量并隐藏 IP。风险包括应用商店中记录并出售用户流量的恶意/低信任 VPN 应用、DNS 泄露、隧道断开时 kill switch 失效导致流量暴露,以及 split tunnel 配置错误。对高风险用户,移动 VPN 越来越多地被 ZTNA 方案补充或替代:后者按请求进行身份验证,而不是将所有流量都汇聚到单一边界。
● 示例
- 01
iPhone 使用 iOS Per-App VPN 配置文件,仅将企业邮件应用的流量经过企业 IKEv2 网关。
- 02
消费者 WireGuard 应用在酒店 Wi-Fi 上加密流量,防止本地攻击者读取 HTTP 数据。
● 常见问题
移动 VPN 是什么?
面向智能手机与平板的虚拟专用网络,通过蜂窝或 Wi-Fi 链路将移动设备的流量隧道化到企业网关或注重隐私的服务商。 它属于网络安全的 移动安全 分类。
移动 VPN 是什么意思?
面向智能手机与平板的虚拟专用网络,通过蜂窝或 Wi-Fi 链路将移动设备的流量隧道化到企业网关或注重隐私的服务商。
移动 VPN 是如何工作的?
移动 VPN 常用协议包括 IKEv2/IPsec、WireGuard 与 OpenVPN,并配合 iOS 的 Per-App VPN、Android Enterprise 的 Always-On VPN 等平台特性实现细粒度控制。企业通过 MDM 下发以管控对内部应用的访问,并与条件访问结合;消费者用它在不可信 Wi-Fi 下加密流量并隐藏 IP。风险包括应用商店中记录并出售用户流量的恶意/低信任 VPN 应用、DNS 泄露、隧道断开时 kill switch 失效导致流量暴露,以及 split tunnel 配置错误。对高风险用户,移动 VPN 越来越多地被 ZTNA 方案补充或替代:后者按请求进行身份验证,而不是将所有流量都汇聚到单一边界。
如何防御 移动 VPN?
针对 移动 VPN 的防御通常结合技术控制与运营实践,详见上方完整定义。
移动 VPN 还有哪些其他名称?
常见的别称包括: 手机 VPN, 移动虚拟专用网络。
● 相关术语
- network-security№ 1212
VPN(虚拟专用网络)
在公共网络之上建立加密且经过认证的隧道,使流量看起来像是通过专用网络传输的技术。
- network-security№ 918
远程接入 VPN
允许个人用户从任意可上网的位置,通过笔记本或手机安全接入企业网络的 VPN。
- network-security№ 1092
SSL VPN
通过 TLS(历史上称为 SSL)封装隧道的 VPN,可通过标准 Web 端口实现远程访问,无需专用 VPN 协议。
- network-security№ 1052
站点到站点 VPN
在两张网络之间(分支、数据中心或云上 VPC)建立的持久加密隧道,使两侧主机可以透明互访。
- network-security№ 761
OpenVPN
在用户态运行的开源 VPN,使用 TLS/OpenSSL 进行对等端认证,并通过隧道传输任意 IP 或以太网流量。