說明:“考點拾遺”系列基于日常為學員和網友做的答疑整理,主要涉及教材中沒有完全覆寫到的知識點。
分割隧道Split Tunnel和全隧道Full Tunnel是VPN的兩種配置。
分割隧道Split Tunnel允許VPN用戶端系統(即遠端節點)在通過VPN通路組織内網的同時直接通路網際網路。從路由表上看,遠端節點的預設路由指向網際網路網關,去往組織内網的路由指向組織的VPN集中器或實作VPN集中器功能的系統。這通常被認為是一種安全風險,因為遠端節點跨接了網際網路群組織内網,更容易傳輸惡意代碼、發起入侵或洩漏機密資料。
相對的,全通道Full Tunnel模式VPN,遠端節點的預設路由指向組織的VPN集中器,是以所有流量都通過VPN連結發送到組織網絡,包括通路網際網路的流量,這些流量會被組織網絡的代理或防火牆接口重新路由(NAT)到網際網路。全通道確定所有流量都由組織網絡的安全基礎設施過濾和管理。