虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

陳曉偉

摘 要：本文首先簡(jiǎn)單介紹了虛擬專用網(wǎng)絡(luò)技術(shù)，然后分析了當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題，即監(jiān)測(cè)技術(shù)有限，難以有效控制訪問(wèn)和加密技術(shù)實(shí)用性有待提高。最后，立足于這兩點(diǎn)，對(duì)虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用進(jìn)行了探討。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)技術(shù)；計(jì)算機(jī)網(wǎng)絡(luò)；信息安全

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-5168（2018）05-0022-02

The Application of Virtual Private Network Technology in the

Information Security of Computer Network

CHEN Xiaowei

（Shangqiu Polytechnic，Shangqiu Henan 476000）

Abstract： Firstly， this paper introduced the virtual private network technology. Then the problems in the current computer network information security management were analyzed： that is， the monitoring technology was limited， it was difficult to effectively control access and encryption technology， and the practicability needed to be improved. Finally， based on these two points， the application of virtual private network technology in the computer network information security was analyzed.

Keywords： virtual private network technology；computer network；information security

當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題不僅給計(jì)算機(jī)的應(yīng)用和發(fā)展帶來(lái)了一定阻礙，更成為社會(huì)重點(diǎn)關(guān)注的話題。而虛擬專用網(wǎng)絡(luò)技術(shù)不但具有傳輸數(shù)據(jù)快的優(yōu)點(diǎn)，更具有較高的安全性和穩(wěn)定性。

1 虛擬專用網(wǎng)絡(luò)技術(shù)簡(jiǎn)介

所謂虛擬專用網(wǎng)絡(luò)是指通過(guò)特殊加密的通信協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間構(gòu)建一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但并不需要真正去鋪設(shè)光纜之類的物理線路[1]。而所謂虛擬專用網(wǎng)絡(luò)技術(shù)則主要是指其中用到的各種技術(shù)，包括VPN技術(shù)、隧道技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)和密鑰技術(shù)等[2]。

2 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題

2.1 監(jiān)測(cè)技術(shù)有限

近年來(lái)，各種黑客攻擊技術(shù)手段層出不窮。同時(shí)，隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)環(huán)境也不斷變化，并日趨復(fù)雜。相應(yīng)的，網(wǎng)絡(luò)安全所面臨的問(wèn)題，在數(shù)量、種類上都有所增加，同時(shí)也愈發(fā)復(fù)雜、隱蔽，技術(shù)攻克難度也越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題觸發(fā)的后果也愈發(fā)嚴(yán)重。而現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理相關(guān)的檢測(cè)技術(shù)難以應(yīng)對(duì)這種新形勢(shì)，不僅難以辨認(rèn)各種攻擊和潛在風(fēng)險(xiǎn)，更是無(wú)從處理和應(yīng)對(duì)。

2.2 難以有效控制訪問(wèn)

當(dāng)前，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理還面臨著一個(gè)比較嚴(yán)重的問(wèn)題，即訪問(wèn)的控制問(wèn)題。訪問(wèn)控制主要控制的是接入主機(jī)的用戶身份，其目的是避免非法用戶入侵。在當(dāng)前的技術(shù)水平下，訪問(wèn)控制中最難以解決的問(wèn)題就是如何判斷、區(qū)分用戶身份的非法性和合法性，特別是一些用戶數(shù)量較多的軟件，如微博、微信等，其控制工作的難度較大。另外，為了確保用戶數(shù)量的黏著度，往往需要保證這些網(wǎng)站有較好的易用性。而在當(dāng)前技術(shù)水平下，訪問(wèn)控制與網(wǎng)站易用性之間天然就存在不可避免的沖突。

2.3 加密技術(shù)實(shí)用性有待提高

從理論上來(lái)講，當(dāng)前，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中應(yīng)用的加密技術(shù)具有極強(qiáng)的加密效果，但也存在破解的可能性。但在現(xiàn)實(shí)中，攻擊者往往很難確保有足夠的資源、時(shí)間和場(chǎng)地來(lái)開(kāi)展破解工作。從這個(gè)角度來(lái)看，當(dāng)前的加密技術(shù)能被破解的可能性微乎其微。然而，這些加密技術(shù)還存在一些應(yīng)用性問(wèn)題，影響了其作用的充分發(fā)揮。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

3.1 MPLS VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

MPLS VPN是指采用MPLS技術(shù)在運(yùn)營(yíng)商寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)安全、靈活、高效地結(jié)合在一起，為用戶提供高質(zhì)量的服務(wù)[3]。MPLS VPN技術(shù)具有安全性、穩(wěn)定性、靈活性和傳輸速度快等優(yōu)點(diǎn)，可以提供等同于專線級(jí)別的安全保護(hù)在PE設(shè)備上識(shí)別不同業(yè)務(wù)，將語(yǔ)音、視頻實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)等區(qū)分開(kāi)來(lái)，封裝到VPN中，實(shí)現(xiàn)不同業(yè)務(wù)之間的安全隔離。一般來(lái)說(shuō)，要想將MPLS技術(shù)應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中需要3個(gè)步驟。

其一，構(gòu)建一個(gè)分層服務(wù)提供商，即LSP。通常來(lái)說(shuō)，網(wǎng)絡(luò)對(duì)PE路由器中間分層服務(wù)提供商的建立都是采用CR-LDP這種方法來(lái)實(shí)現(xiàn)的。其最終所建立的分層服務(wù)提供商往往具有多種業(yè)務(wù)，如二層VPN、三層VPN，這兩者之間一般互相對(duì)立，但同時(shí)又都是將MPLS提供給網(wǎng)絡(luò)運(yùn)營(yíng)商的十分重要的步驟。

其二，在PE路由器上實(shí)現(xiàn)VPN信息。這里所說(shuō)的PE路由器是Provide的邊緣設(shè)備，服務(wù)提供商骨干網(wǎng)的邊緣路由器，其相當(dāng)于標(biāo)簽邊緣路由器。VPN技術(shù)在這一環(huán)節(jié)中的應(yīng)用，其實(shí)質(zhì)是對(duì)VPN數(shù)據(jù)傳遞形式管理的過(guò)程，為二層VPN的實(shí)現(xiàn)奠定基礎(chǔ)。上述目標(biāo)的具體實(shí)現(xiàn)過(guò)程如下。首先，需要在PEZ路由器上創(chuàng)建一個(gè)VPN轉(zhuǎn)發(fā)表數(shù)據(jù)，從而為CE設(shè)備的連接提供基礎(chǔ)性條件。而所創(chuàng)建的VPN轉(zhuǎn)發(fā)表數(shù)據(jù)中不但要包含CE設(shè)備的識(shí)別碼，也要包含CE設(shè)備的標(biāo)記值范圍等信息。接下來(lái)把轉(zhuǎn)發(fā)表數(shù)據(jù)一一安置于各個(gè)CE設(shè)備上，此時(shí)任意一個(gè)轉(zhuǎn)發(fā)數(shù)據(jù)表內(nèi)的子接口DI均帶有明確化的標(biāo)識(shí)，接下來(lái)，在LDP協(xié)議的輔助下PEZ將VPN連接表傳送至網(wǎng)絡(luò)拓?fù)鋬?nèi)的其他VPN內(nèi)，VPN連接表為VPN轉(zhuǎn)發(fā)表的子集。

其三，在完成上述步驟后，就可以開(kāi)始傳送VPN數(shù)據(jù)。

3.2 IPSec VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

IPSec VPN技術(shù)是一種借助IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)。其中，IPSec即Internet Protocol Security，是一套成體系的、比較完善的VPN技術(shù)[4]。通過(guò)利用這種技術(shù)，就能構(gòu)建起一個(gè)關(guān)于計(jì)算機(jī)IP地址的安全性較高的系統(tǒng)。從實(shí)質(zhì)上來(lái)看，IPSec是一個(gè)框架結(jié)構(gòu)，主要由ESP協(xié)議、端到端協(xié)議和PC到網(wǎng)關(guān)協(xié)議三種協(xié)議組成。ESP協(xié)議由于具有抗干擾能力強(qiáng)、同一時(shí)間段內(nèi)提供的數(shù)據(jù)較為完整等優(yōu)點(diǎn)，在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)中有著比較廣泛的應(yīng)用。端到端協(xié)議主要指的是對(duì)兩個(gè)網(wǎng)絡(luò)端點(diǎn)或兩個(gè)PC之間的IPSec協(xié)議的數(shù)據(jù)通信的保護(hù)，其保護(hù)方式與ESP協(xié)議有著較大的區(qū)別，因此其又被稱為End-to-End協(xié)議或PC到PC協(xié)議。PC到網(wǎng)關(guān)協(xié)議又被稱為End-to-Site協(xié)議，其主要保護(hù)的是兩個(gè)PC之間通信從網(wǎng)關(guān)到其他PC或異地PC之間的信息傳輸。

需要注意的是，依據(jù)具體細(xì)節(jié)的不同，IPSec VPN技術(shù)的傳輸模式又分為Transport模式和Tunnel模式兩種，即傳輸模式和隧道模式。這二者大體相似，但有一個(gè)最主要的差別：傳輸模式在AH、ESP處理前后，IP頭部保持不變，主要用于End-to-End的應(yīng)用場(chǎng)景；隧道模式則在AH、ESP處理之后再封裝了一個(gè)外網(wǎng)IP頭，主要用于Site-to-Site的應(yīng)用場(chǎng)景。

3.3 MPLS VPN技術(shù)和IPSec VPN技術(shù)的應(yīng)用對(duì)比

從系統(tǒng)可靠性方面來(lái)看，MPLS VPN技術(shù)具有較好的穩(wěn)定性，其實(shí)質(zhì)是某種意義上的專線；而IPSec技術(shù)則具有較好的容錯(cuò)性。從安全性方面來(lái)講，這兩種技術(shù)都存在一定的安全漏洞，但前者在傳輸數(shù)據(jù)時(shí)具有更好的有效性。從便捷性上來(lái)講，IPSec VPN技術(shù)要比MPLS VPN技術(shù)更加方便快捷。這兩種技術(shù)在可擴(kuò)展性和網(wǎng)絡(luò)服務(wù)質(zhì)量?jī)煞矫娴谋憩F(xiàn)則正好相反，MPLS VPN技術(shù)效果更好。

4 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全自計(jì)算機(jī)網(wǎng)絡(luò)誕生之初就是其需要重點(diǎn)關(guān)注的問(wèn)題。隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中覆蓋面的擴(kuò)大和影響力的增強(qiáng)，這一問(wèn)題逐漸受到社會(huì)的普遍重視。然而，或是受限于技術(shù)，或是因?yàn)榧夹g(shù)應(yīng)用之間的矛盾，當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全管理還存在一定的問(wèn)題。在該情況下，就可以借助虛擬專用網(wǎng)絡(luò)技術(shù)來(lái)提高計(jì)算網(wǎng)絡(luò)安全管理工作的質(zhì)量和效率。在實(shí)際應(yīng)用中，也需要注意結(jié)合具體情況和需要，使用不同的虛擬專用網(wǎng)絡(luò)技術(shù)。

參考文獻(xiàn)：

[1]梁向陽(yáng).虛擬專用網(wǎng)絡(luò)安全性分析[J].保密科學(xué)技術(shù)，2017（7）：40-41.

[2]王忠.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略探究[J].數(shù)字通訊世界，2017（8）：4414-4416.

[3]劉洋.淺析計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理技術(shù)[J].中國(guó)管理信息化，2017（11）：162-163.

[4]劉自成.計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理存在問(wèn)題及對(duì)策分析[J].通訊世界，2017（2）：41-42.