VPN 分流(Split Tunneling)
VPN 分流(Split Tunneling) 是什么?
VPN 分流(Split Tunneling)一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。
分流策略在 VPN 客户端(OpenVPN、WireGuard、IKEv2、Cisco AnyConnect、Windows Always On VPN、ZTNA 代理)中配置,使特定目的地——通常是内部 IP 段、DNS 后缀或应用——通过加密隧道传输,其余流量则走本地互联网链路。优点是减轻 VPN 集中器负载、降低 SaaS 延迟、避免对云服务的双重 NAT。但缺点真实存在:终端同时处于可信网络与公网中,削弱了安全边界,使 DLP 与流量检测更复杂,并可能通过本地解析器泄露 DNS。现代设计通过对受管设备使用全隧道、按应用的 ZTNA 策略、指向公司解析器的安全 DNS,以及在每个终端部署 EDR 来弥补。
● 示例
- 01
WireGuard 客户端仅将 10.0.0.0/8 通过公司隧道,Zoom 流量直接走互联网。
- 02
Microsoft 365 的分流指南建议将 Exchange、SharePoint、Teams 优化端点从公司 VPN 中排除。
● 常见问题
VPN 分流(Split Tunneling) 是什么?
一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。 它属于网络安全的 网络安全 分类。
VPN 分流(Split Tunneling) 是什么意思?
一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。
VPN 分流(Split Tunneling) 是如何工作的?
分流策略在 VPN 客户端(OpenVPN、WireGuard、IKEv2、Cisco AnyConnect、Windows Always On VPN、ZTNA 代理)中配置,使特定目的地——通常是内部 IP 段、DNS 后缀或应用——通过加密隧道传输,其余流量则走本地互联网链路。优点是减轻 VPN 集中器负载、降低 SaaS 延迟、避免对云服务的双重 NAT。但缺点真实存在:终端同时处于可信网络与公网中,削弱了安全边界,使 DLP 与流量检测更复杂,并可能通过本地解析器泄露 DNS。现代设计通过对受管设备使用全隧道、按应用的 ZTNA 策略、指向公司解析器的安全 DNS,以及在每个终端部署 EDR 来弥补。
如何防御 VPN 分流(Split Tunneling)?
针对 VPN 分流(Split Tunneling) 的防御通常结合技术控制与运营实践,详见上方完整定义。
VPN 分流(Split Tunneling) 还有哪些其他名称?
常见的别称包括: Split Tunnel, 选择性 VPN 路由。
● 相关术语
- network-security№ 1213
VPN 紧急停断(Kill Switch)
一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。
- network-security№ 042
Always-On VPN
由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。
- privacy№ 339
DNS 泄漏
一种隐私泄漏:DNS 查询绕过 VPN 或 Tor 隧道,以明文形式发送给用户的 ISP 或默认解析器。
- network-security№ 556
IPsec
IETF 制定的一组协议,对 IP 数据包进行认证和加密,以在网络层提供安全通信。
- network-security№ 1244
WireGuard
现代化、极简的 VPN 协议,采用固定的新一代密码学原语,并作为 Linux 内核的一部分运行。