VPN和SSH隧道都可以安全地通过加密连接“隧道”网络流量。它们在某些方面相似，但在其他方面不同-如果您试图决定使用哪一个，了解它们是如何工作的会很有帮助。

SSH隧道通常被称为“穷人的VPN”，因为它可以提供一些与VPN相同的功能，而无需更复杂的服务器设置过程-但是，它也有一些限制。

VPN的工作原理

VPN代表“虚拟专用网络”，顾名思义，它用于通过公共网络(如Internet)连接到专用网络。在常见的VPN使用案例中，企业可能有一个私有网络，上面有文件共享、网络打印机和其他重要设备。企业的一些员工可能会出差，并且经常需要从路上访问这些资源。然而，企业不想将他们的重要资源暴露在公共互联网上。取而代之的是，企业可以设置VPN服务器，路上的员工可以连接到公司的VPN。一旦员工联网，他们的计算机就像是企业专用网络的一部分-他们可以访问文件共享和其他网络资源，就像他们实际上在物理网络上一样。

VPN客户端通过公共Internet进行通信，并通过加密连接将计算机的网络流量发送到VPN服务器。加密提供了安全的连接，这意味着业务的竞争对手不能窥探该连接并查看敏感的业务信息。根据VPN的不同，计算机的所有网络流量都可能通过VPN发送，也可能只有部分流量(不过，通常情况下，所有网络流量都通过VPN)。如果所有Web浏览流量都通过VPN发送，则VPN客户端和服务器之间的人无法窥探Web浏览流量。这在使用公共Wi-Fi网络时提供了保护，并允许用户访问受地理限制的服务-例如，如果员工来自审查网络的国家，他们可以绕过互联网审查。对于员工通过VPN访问的网站，Web浏览流量似乎来自VPN服务器。

至关重要的是，VPN更多地在操作系统级别工作，而不是在应用程序级别工作。换句话说，当您设置了VPN连接时，您的操作系统可以通过它路由来自所有应用程序的所有网络流量(尽管这可能因VPN而异，具体取决于VPN的配置)。您不必配置每个单独的应用程序。

要开始使用您自己的VPN，请参阅我们关于在Tomato路由器上使用OpenVPN、在DD-WRT路由器上安装OpenVPN或在Debian Linux上设置VPN的指南。

SSH隧道的工作原理

SSH代表“安全外壳”，并不是专门为转发网络流量而设计的。通常，SSH用于安全地获取和使用远程终端会话-但SSH还有其他用途。SSH还使用高度加密，您可以将SSH客户端设置为充当SOCKS代理。完成后，您可以配置计算机上的应用程序(如Web浏览器)以使用SOCKS代理。流量进入在本地系统上运行的SOCKS代理，SSH客户端通过SSH连接转发它-这称为SSH隧道。这类似于通过VPN浏览Web-从Web服务器的角度来看，您的流量似乎来自SSH服务器。您的计算机和SSH服务器之间的通信是加密的，因此您可以像使用VPN一样浏览加密的连接。

但是，SSH隧道并不能提供VPN的所有好处。与VPN不同，您必须将每个应用程序配置为使用SSH隧道的代理。使用VPN，您可以确保所有流量都将通过VPN发送-但使用SSH隧道则不能保证这一点。有了VPN，您的操作系统就像您在远程网络上一样运行-这意味着连接到Windows联网文件共享将很容易。使用SSH隧道要困难得多。

有关SSH隧道的详细信息，请参阅使用PuTTY在Windows上创建SSH隧道的本指南。要在Linux上创建SSH通道，请参阅我们的SSH服务器可以做的很酷的事情列表。

哪一个更安全？

如果您担心业务使用哪个更安全，答案显然是VPN-您可以强制系统上的所有网络流量都通过它。然而，如果你只想通过咖啡店和机场的公共Wi-Fi网络进行加密连接来浏览网页，VPN和SSH服务器都有很强的加密，这将很好地服务于你。

还有其他的考虑因素。新手用户可以很容易地连接到VPN，但设置VPN服务器则是一个更为复杂的过程。对于新手用户来说，SSH隧道更令人望而生畏，但是设置SSH服务器更简单-事实上，许多人已经有了他们远程访问的SSH服务器。如果您已经可以访问SSH服务器，那么将其用作SSH隧道要比设置VPN服务器容易得多。因此，SSH隧道被称为“穷人的VPN”。

寻求更强大网络的企业将希望投资于VPN。另一方面，如果您是可以访问SSH服务器的极客，则SSH隧道是加密和隧道网络流量的一种简单方法-而且加密效果与VPN的加密效果一样好。