AWS VPN 功能

为什么选择 AWS VPN?

通过 AWS Site-to-Site VPN、Accelerated Site-to-Site VPN 或客户端 VPN 连接,安全且私密地访问您的云资源。

AWS Site-to-Site VPN 功能

将本地位置连接到 AWS 云时,Accelerated Site-to-Site VPN 会将您的 VPN 流量路由到最近的 AWS 边缘站点。加速的 VPN 通过缩短 Internet 上共享数据的距离并利用 AWS 全球光纤网络的可靠性和性能来提高 Site-to-Site VPN 连接的性能。Accelerated Site-to-Site VPN 是将业务关键型站点与您的全球网络连接(无论是位于本地还是 AWS 之上)的理想之选。VPN 加速会因为使用了 AWS Site-to-Site VPN 和 AWS Global Accelerator 而产生额外费用。

AWS 客户端 VPN 使用 OpenVPN,利用 TLS 加密的控制通道来协商数据通道参数。数据通道基于 SSL,但添加了额外的保护措施(如 HMAC、哈希和 x.509 证书)。

借助 AWS Site-to-Site VPN,您可以使用 AWS Direct Connect 创建故障转移和 CloudHub 解决方案。CloudHub 可实现远程站点间的相互通信,而非仅限于与 VPC 通信。它以简单的中心辐射状模型运行,有无 VPC 均可使用。这种设计适用于具有多个分支机构和现有 Internet 连接的客户,这些客户希望为这些远程办公室之间的主要或备用连接实施便捷的、潜在的低成本中心辐射状模型。

AWS Site-to-Site VPN 可提供自定义隧道选项,包括内部隧道 IP 地址、预共享密钥和边界网关协议自治系统编号 (BGP ASN)。通过这种方式,您可以设置多个安全 VPN 隧道,以增加应用程序的带宽或在出现故障的情况下提高弹性。此外,在 AWS Transit Gateway 上,AWS Site-to-Site VPN 还提供等价多路径路由 (ECMP),帮助增加多路径上的流量带宽。

AWS Site-to-Site VPN 支持 NAT 遍历应用程序,因此如果路由器具有面向 Internet 的单个公有 IP 地址,您可以在路由器后面的私有网络上使用私有 IP 地址。

私有 IP VPN 提供了使用专用 IP 地址通过 Direct Connect(DX)部署站点到站点 VPN 连接的功能。通过这种功能,您可以加密本地网络与 AWS 之间的 DX 流量,而无需使用公共 IP 地址,因此可同时增强安全性和网络隐私性。私有 IP VPN 可以使用 AWS Transit Gateway 部署,这样能够以更加安全、私密和可扩展的方式对客户的 AWS 虚拟私有云(VPC)以及与本地网络的连接进行集中管理。

AWS Site-to-Site VPN 可以将指标发送到 Amazon CloudWatch,从而提高可见性和监控力度。Amazon CloudWatch 还允许您发送自己的自定义指标并以您选择的任何顺序和速率添加数据点。您可以将这些数据点的统计信息作为一组有序的时序数据进行检索。

AWS Client VPN 功能

AWS Client VPN 提供了一个完全托管的 VPN 解决方案,可通过 Internet 连接和兼容 OpenVPN 的客户端从任何位置访问。它具有出色的弹性,能够自动扩展,满足您的需求。您的用户可以连接到 AWS 网络和本地网络。AWS Client VPN 与您现有的 AWS 基础设施(包括 Amazon VPC 和 AWS Directory Service)无缝集成,因此您无需更改网络拓扑。

AWS Client VPN 将使用 Active Directory 或证书进行身份验证。Client VPN 与 AWS Directory Service 集成,AWS Directory Service 与您现有的本地 Active Directory 相连接,因此您无需将数据从现有的 Active Directory 复制到云中。采用 Client VPN 的基于证书的身份验证与 AWS Certificate Manager 集成在一起,可轻松预置、管理和部署证书。

AWS Client VPN 提供基于网络的授权,因此您可以基于 Active Directory 组定义访问控制规则,以限制对特定网络的访问。 

AWS Client VPN 使用安全的 TLS VPN 隧道协议对流量进行加密。单个 VPN 隧道在每 个Client VPN 终端节点处终止,并为用户提供访问所有 AWS 和本地资源的权限。

您可以使用 Amazon CloudWatch Logs 从 AWS Client VPN 连接日志监控、存储和访问您的日志文件。然后,您可以从 CloudWatch Logs 中检索关联的日志数据。您可以轻松地监控、取证分析和终止特定连接,同时控制可访问您网络的用户。

AWS Client VPN 旨在将设备连接到您的网络。它允许您从基于 OpenVPN 的客户端中进行选择,从而使您的员工可以使用自己选择的设备,包括 Windows、Mac、iOS、Android 和 Linux 设备。