我们正在将一个小型远程办公室搬到新地点,这意味着需要新的互联网连接和新的路由器。我注意到他们目前配置为通过 VPN 使用远程网关,因此他们所有的互联网流量都通过中央办公室的连接,这对我来说似乎很慢而且效率低下。
我正在考虑配置它们以使用本地网关进行非 VPN 流量。有什么理由我不应该这样做吗?在我看来,这是最好的方法。不幸的是,设置这个的人早已不在了,我不确定你有什么理由这样做。
答案1
我认为这样做通常有两个原因。
正如 Robert Kaucher 所提到的,“中心站点”的内容过滤、记录和执行是一个重要原因。许多内容过滤产品允许在远程站点部署“从属”服务器,以根据中央“策略服务器”执行过滤和记录。但是,对于没有任何服务器计算机的远程站点,组织可能只是选择将所有流量路由回中央过滤服务器。
集中式防火墙规则和监控是我见过这样做的另一个常见原因(特别是对于用户到站点的 VPN,但我也见过站点到站点的情况)。“拆分隧道”(即允许远程 VPN 端点直接与 Internet 通信,并仅通过 VPN 管道将流量发送到公司网络)被一些人视为主要安全风险。在站点到站点环境中,您可以要求将远程办公室的防火墙配置为允许安全的直接 Internet 访问,但我见过一些情况,认为将所有 Internet 流量路由到“中心”站点“更好”(我想是因为远程站点的防火墙规则最终基本上是“仅允许 VPN 流量”)。
通过移至分割隧道,您应该会看到“中心”站点的带宽利用率有所提高,远程站点的响应能力也有所提高。只要您在远程站点拥有可靠的防火墙规则(以及您想要的任何监控基础设施、内容过滤器等),就没有理由不允许它直接访问互联网并节省“中心”站点的带宽。
答案2
您可能想要这样做的唯一真正原因是内容过滤 - 至少据我所知。这样对您来说管理起来会更容易,因为只需要担心一个内容过滤器。
答案3
这些可能不太可能,但可以排除以下可能性:
- 隐藏个人所在分支机构
- 隐藏分支站点的低端连接
- 主站点池外分配的公共 IP
- 那里的某些服务器需要从外部访问,并且 NAT 需要在主站点进行
- 访问与源 IP 相关的一些资源(不幸的是,这在教育领域很常见)
正如 Evan 所说,我怀疑真正的原因是防火墙规则,可能是因为旧设备没有良好的状态防火墙。假设现在有一个,我看不出有什么理由不让他们的互联网流量直接发送出去。这就是我工作场所的远程站点一直运行的方式。