局域網(wǎng)VPN技術(shù)的應(yīng)用探析

王世杰+韓冬梅

摘 要 在全球經(jīng)濟(jì)快速發(fā)展的形式下，企業(yè)規(guī)模逐步加大，有著越來越多的分公司或分部，有著越來越多的客戶，在此環(huán)境下的企業(yè)就無法繼續(xù)采用固定物理地址的企業(yè)網(wǎng)，VPN技術(shù)就是在此需求下逐步發(fā)展起來的。文章主要對VPN技術(shù)進(jìn)行闡述，分析其工作原理和實(shí)現(xiàn)技術(shù)的方法，探討VPN網(wǎng)絡(luò)的安全性，以此來促進(jìn)企業(yè)內(nèi)部網(wǎng)絡(luò)的發(fā)展。

關(guān)鍵詞 局域網(wǎng)；VPN；安全

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）13-0113-01

在經(jīng)濟(jì)全球化的趨勢下，網(wǎng)絡(luò)經(jīng)濟(jì)呈現(xiàn)不斷發(fā)展的趨勢，特別是對于大型現(xiàn)代化企業(yè)，日常商務(wù)活動(dòng)中涉及到的網(wǎng)絡(luò)資源應(yīng)用越來越多，VPN技術(shù)的應(yīng)用有著很廣闊的前景，對于VPN技術(shù)的探討在維護(hù)網(wǎng)絡(luò)環(huán)境的安全方面有著很重要的意義。

1 VPN技術(shù)

Virtual Private Network虛擬專用網(wǎng)絡(luò)的簡稱為VPN，該技術(shù)是因特網(wǎng)服務(wù)提供商ISP和網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP的輔助下在公有網(wǎng)絡(luò)內(nèi)建立專用數(shù)據(jù)通信網(wǎng)絡(luò)。虛擬是不同用戶通過公眾網(wǎng)的資源動(dòng)態(tài)組成來連接任意兩個(gè)節(jié)點(diǎn)，此虛擬網(wǎng)絡(luò)中不再需要物理線路的鋪設(shè)，不存在傳統(tǒng)意義上的端與端之間的物理鏈路。專用網(wǎng)絡(luò)則是用戶架設(shè)的某條專線，該通訊線路是在用戶的實(shí)際需求基礎(chǔ)上形成的，為專有線路。企業(yè)應(yīng)用該技術(shù)后省去了硬件設(shè)備支出，如購買路由器和鋪設(shè)線路費(fèi)用等，只是需要支付VPN設(shè)備費(fèi)用和ISP服務(wù)的費(fèi)用，這就使得VPN技術(shù)能很好的節(jié)約成本。

虛擬專用網(wǎng)絡(luò)有兩個(gè)基本目的，在internet下相互連接遠(yuǎn)程用戶和在公共網(wǎng)絡(luò)對企業(yè)資源進(jìn)行訪問過程中保障其安全性。在虛擬專用網(wǎng)絡(luò)的幫助下，公司內(nèi)部的各個(gè)智能部門、各辦事處、遠(yuǎn)程用戶以及商業(yè)合作伙伴之間可實(shí)現(xiàn)相互訪問。VPN對數(shù)據(jù)有這較好保密性，能保證企業(yè)的重要信息及商業(yè)機(jī)密的安全，其實(shí)現(xiàn)安全保證主要是通過隧道技術(shù)，這是一種類似于點(diǎn)對點(diǎn)的鏈接技術(shù)，該隧道是在公共網(wǎng)絡(luò)中建立起來的數(shù)據(jù)通道來實(shí)現(xiàn)數(shù)據(jù)包的傳輸。傳輸?shù)倪^程首先是進(jìn)行數(shù)據(jù)包加密后進(jìn)行VPN封裝，再以IP包的形式實(shí)現(xiàn)隧道內(nèi)的傳送。

隧道的創(chuàng)建首先是需要得到兩個(gè)端點(diǎn)間的同意，然后對隧道的加密方案、壓縮、地址分配等各種協(xié)議和配置達(dá)成一致，該過程的建立與兩人間建立回話過程類似。隧道建立后，數(shù)據(jù)包在發(fā)送端經(jīng)過加密封裝變?yōu)镮P包形式，傳輸?shù)浇邮斩撕笤诮饷軘?shù)據(jù)包，再將數(shù)據(jù)發(fā)給本地路由器或遠(yuǎn)程接入服務(wù)器。

2 VPN技術(shù)的實(shí)現(xiàn)

在保障VPN技術(shù)的安全方面使用的技術(shù)主要有四項(xiàng)：密匙管理技術(shù)（Key management）、加密解密技術(shù)（Encryption & Decryption）、隧道技術(shù)（Tunneling）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

2.1 隧道技術(shù)

該技術(shù)主要是對專用網(wǎng)和公用網(wǎng)之間出現(xiàn)的兼職問題進(jìn)行解決，對某些信息進(jìn)行隱藏，包括接受者和發(fā)送者的IP地址，以及其他相關(guān)協(xié)議，提供給用戶端到端連接的同時(shí)也保證了服務(wù)過程的安全性。

隧道的形成是通過隧道協(xié)議完成的，包括第二、三層隧道協(xié)議。第二層隧道協(xié)議首先對網(wǎng)路協(xié)議進(jìn)行封裝，如從IP到PPP，隧道協(xié)議接收包裝后的數(shù)據(jù)，在此種方法下獲得的數(shù)據(jù)包傳輸是通過數(shù)據(jù)鏈路層即第二層協(xié)議實(shí)現(xiàn)，第二層隧道協(xié)議包括L2TP、PPTP以及L2F等。第三層隧道協(xié)議通過往隧道協(xié)議中接入各類網(wǎng)絡(luò)協(xié)議，通過網(wǎng)絡(luò)層即第三層協(xié)議來傳輸?shù)玫降臄?shù)據(jù)包，第三層隧道協(xié)議包括IPSec和VTP等，其中IP安全協(xié)議IPSec對系統(tǒng)的安全算法和安全協(xié)議選擇進(jìn)行了定義，對密匙服務(wù)進(jìn)行確定，以保障IP層的安全性。

2.2 加密、解密技術(shù)

加密、解密技術(shù)是一種較為成熟的數(shù)據(jù)通信技術(shù)，該技術(shù)是發(fā)送方在對數(shù)據(jù)傳輸之前根據(jù)相關(guān)算法進(jìn)行加密，得到加密之后的密文，密文傳輸?shù)浇邮辗胶蟛捎孟嗤乃惴▉斫饷?，從而獲得對應(yīng)的原文。在數(shù)據(jù)傳輸過程中的加密可保障其不被篡改或非法竊取，VPN技術(shù)可對現(xiàn)有的加密技術(shù)進(jìn)行直接調(diào)用。

2.3 密匙管理技術(shù)

公用數(shù)據(jù)的網(wǎng)上的傳輸過程中可能出現(xiàn)傳遞密匙被竊取的情況，密匙管理就是為了解決之一問題。現(xiàn)行的密匙管理協(xié)議包括SKIP和ISAKMP兩種。SKIP的密匙傳輸演算法則主要是采用Diffie-Hellman，ISAKMP協(xié)議的密匙管理上，雙方同時(shí)擁有私有密匙和公有密匙兩把密匙。

3 VPN網(wǎng)絡(luò)的安全探討

對于VPN技術(shù)的應(yīng)用，其核心問題還是網(wǎng)絡(luò)的安全性。在員工對公司網(wǎng)絡(luò)進(jìn)行訪問的過程中，安全密匙、加密協(xié)議和隧道技術(shù)能對其過程的安全性有一定保證，但是如果企業(yè)對于VPN的應(yīng)用需要設(shè)計(jì)到遠(yuǎn)程訪問時(shí)，如果存在安全隱患的個(gè)人計(jì)算機(jī)對公司網(wǎng)絡(luò)進(jìn)行訪問就有可能威脅到安全防御系統(tǒng)，這類個(gè)人計(jì)算機(jī)有可能沒有安裝防火墻，就會(huì)成文安全系統(tǒng)的漏洞。在公司的運(yùn)營活動(dòng)中，個(gè)人計(jì)算機(jī)的移動(dòng)工作提升了辦公效率，但是卻缺少了公司使用安全軟件的保護(hù)，員工在使用此類電腦在授權(quán)連接情況下接入到公司網(wǎng)絡(luò)系統(tǒng)，如果涉及到企業(yè)的一些核心內(nèi)容，如工程項(xiàng)目、工作計(jì)劃和財(cái)務(wù)管理等數(shù)據(jù)，這都會(huì)給黑客留下漏洞，成為商業(yè)競爭對手和間諜的主要供給對象。

公司員工在家辦公時(shí)通過撥號進(jìn)行網(wǎng)絡(luò)連接，他們獲得固定分配的IP地址，使得黑客的入侵變得更為簡單，如果被入侵，員工的VPN客戶端軟件有可能被遠(yuǎn)程控制。這就需要對訪問VPN時(shí)存在的安全漏洞進(jìn)行封堵，主要是通過以下幾個(gè)方面：保障個(gè)人電腦的安全，安裝個(gè)人防火墻；VPN使用過程中，遠(yuǎn)程用戶必須得到授權(quán)許可；對遠(yuǎn)程系統(tǒng)中的軟件進(jìn)行監(jiān)控，使其只能在工作中使用；員工需要再外使用時(shí)需加密敏感文件；從總部進(jìn)行控制，制定遠(yuǎn)程沾點(diǎn)的訪問規(guī)則；遠(yuǎn)程工作人員須對入侵進(jìn)行檢測，入侵檢測系統(tǒng)可記錄黑客發(fā)出的攻擊信息。

參考文獻(xiàn)

[1]劉迎仙，羅樂，趙壤.基于SSL VPN的政府網(wǎng)站信息發(fā)布系統(tǒng)的安全應(yīng)用與管理[J].信息系統(tǒng)工程，2014（3）.

[2]邵云蛟.MPLS VPN技術(shù)在安慶市電力信息系統(tǒng)中的應(yīng)用[J].電子技術(shù)與軟件工程，2014（6）.

[3]黃永龍.利用VPN技術(shù)延伸學(xué)校網(wǎng)絡(luò)資源服務(wù)[J].電子技術(shù)與軟件工程，2014（3）.

[4]劉宏.基于VPN的企業(yè)ERP應(yīng)用績效評價(jià)系統(tǒng)探索和研究[J].電子技術(shù)與軟件工程，2014（3）.endprint