計算機(jī)網(wǎng)絡(luò)安全中虛擬專用網(wǎng)絡(luò)技術(shù)研究

姜希

（江蘇省南京工程高等職業(yè)學(xué)校 江蘇省南京市 211135）

計算機(jī)網(wǎng)絡(luò)安全問題的成因普遍為木馬程序、可植入病毒、外部破解性攻擊，同時也與計算機(jī)網(wǎng)絡(luò)本身的配置有關(guān)（如配置不協(xié)調(diào)會導(dǎo)致網(wǎng)絡(luò)安全性大幅降低，加大安全問題的發(fā)生概率），因此要有效防護(hù)這些因素具有一定的難度，加之這些因素本身會不斷發(fā)展，使得相同的手段難以長期保障計算機(jī)網(wǎng)絡(luò)安全。而虛擬專用網(wǎng)絡(luò)技術(shù)的出現(xiàn)彌補(bǔ)了以往手段的不足，一勞永逸的解決了計算機(jī)網(wǎng)絡(luò)安全問題，可以從多個角度、多個層面保護(hù)計算機(jī)網(wǎng)絡(luò)不被外部因素侵?jǐn)_或攻擊，用戶自然可以放心使用計算機(jī)網(wǎng)絡(luò)。但要充分發(fā)揮虛擬專用網(wǎng)絡(luò)技術(shù)的作用，用戶就應(yīng)當(dāng)對該項技術(shù)有一定了解，并掌握技術(shù)應(yīng)用方式，因此有必要展開相關(guān)研究。

1 虛擬專用網(wǎng)絡(luò)技術(shù)基本概念與特征

1.1 概念

虛擬專用網(wǎng)絡(luò)技術(shù)是一類在公共網(wǎng)絡(luò)環(huán)境中搭建一個私有網(wǎng)絡(luò)空間的技術(shù)，私有網(wǎng)絡(luò)空間具有私密性，對于任何未得許可的外部訪問請求會全部拒絕，使得空間只對得到許可的用戶開放，因此私有網(wǎng)絡(luò)空間在形式上與局域網(wǎng)非常相似。在原理上，常規(guī)的虛擬專用網(wǎng)絡(luò)（即私有網(wǎng)絡(luò)空間）普遍是先將一部分?jǐn)?shù)據(jù)網(wǎng)絡(luò)集中后封閉，形成一個密閉性空間，隨即在這個空間上開發(fā)一個訪問接口，任何人想要通過訪問進(jìn)入空間就必須接受訪問接口的認(rèn)證審驗，審驗一般依照匹配策略來判斷訪問者身份是否合法、是否有授權(quán)的，即所有得到虛擬專用網(wǎng)絡(luò)訪問許可的用戶都會有一個賬號、密碼組合，這個組合保存在虛擬專用網(wǎng)絡(luò)空間系統(tǒng)內(nèi)，當(dāng)用戶想要訪問進(jìn)入空間，就要在訪問接口界面上輸入賬號、密碼組合，而系統(tǒng)將會核對用戶輸入的賬號、密碼與系統(tǒng)保存的賬號、密碼之間是否完全匹配，只要有任意不匹配現(xiàn)象發(fā)生，就會拒絕訪問者訪問請求，這樣就能保護(hù)計算機(jī)網(wǎng)絡(luò)安全。另外，以上關(guān)于虛擬專用網(wǎng)絡(luò)技術(shù)原理的論述是針對常規(guī)虛擬專用網(wǎng)絡(luò)展開的，在其他技術(shù)形式中這種原理大體相同，但機(jī)制存在一定差異，用戶需要根據(jù)實際情況作出正確選擇[1]。

1.2 特征

虛擬專用網(wǎng)絡(luò)技術(shù)在實際應(yīng)用中具備兩大特征，具體為：

（1）虛擬專用網(wǎng)絡(luò)技術(shù)對于設(shè)備的要求比較低，甚至可以在不完善的設(shè)備配置上繼續(xù)穩(wěn)定運(yùn)行，即虛擬專用網(wǎng)絡(luò)空間的基礎(chǔ)是公共網(wǎng)絡(luò)空間，因此本身并不需要太多設(shè)備，如交換機(jī)等設(shè)備就是虛擬專用網(wǎng)絡(luò)空間所不需要的，這一特征使得技術(shù)應(yīng)用便捷性大幅提升，且不會占用太多網(wǎng)絡(luò)流量，人們只需要對網(wǎng)絡(luò)的參數(shù)進(jìn)行調(diào)整就能保專用網(wǎng)絡(luò)穩(wěn)定運(yùn)行。同時硬件設(shè)備較少本身就具有一定的安全保障意義，即很多外部攻擊都是從設(shè)備著手發(fā)動的，說明虛擬專用網(wǎng)絡(luò)技術(shù)的安全性比較高；

（2）虛擬專用網(wǎng)絡(luò)技術(shù)的適用性很強(qiáng)，這得益于該項技術(shù)的多種形式，即虛擬專用網(wǎng)絡(luò)技術(shù)具有多種形式，因此能應(yīng)用于不同網(wǎng)絡(luò)環(huán)境中，類似于企業(yè)內(nèi)部網(wǎng)絡(luò)、電商網(wǎng)絡(luò)等，說明該項技術(shù)能滿足不同用戶的計算機(jī)網(wǎng)絡(luò)安全防護(hù)需求[2]。

2 虛擬專用網(wǎng)絡(luò)技術(shù)形式

2.1 VPN技術(shù)

VPN 技術(shù)是最常見的虛擬專用網(wǎng)絡(luò)技術(shù)形式，能夠有效保護(hù)計算機(jī)網(wǎng)絡(luò)的安全。VPN 技術(shù)常應(yīng)用于遠(yuǎn)距離通訊網(wǎng)絡(luò)中，原因在于VPN 技術(shù)在遠(yuǎn)距離通訊中的運(yùn)維成本較低，同時具有良好的安全性，這彌補(bǔ)了傳統(tǒng)遠(yuǎn)距離通訊網(wǎng)絡(luò)的缺陷，即傳統(tǒng)遠(yuǎn)距離通訊網(wǎng)絡(luò)配置中普遍需要租賃DDN 數(shù)字?jǐn)?shù)據(jù)網(wǎng)專線，但這樣會導(dǎo)致通訊運(yùn)維成本增加，且這種方式只能應(yīng)用于PC 端，而在移動端遠(yuǎn)距離通訊方面，普遍是通過撥號線路來進(jìn)行遠(yuǎn)距離通訊訪問的，而這樣一定會造成安全隱患，加大計算機(jī)網(wǎng)絡(luò)安全問題的發(fā)生概率。在這種情況下，VPN 技術(shù)的使用取代了傳統(tǒng)遠(yuǎn)距離通訊網(wǎng)絡(luò)的配置方案，能夠在公共網(wǎng)絡(luò)中構(gòu)建專用網(wǎng)絡(luò)，且專用網(wǎng)絡(luò)的構(gòu)建不需要物理鏈路作為支撐，而是在公共網(wǎng)絡(luò)中的網(wǎng)絡(luò)平臺上假設(shè)服務(wù)器或軟件來實現(xiàn)，通訊時依靠邏輯隧道實現(xiàn)點(diǎn)對點(diǎn)數(shù)據(jù)傳輸，從網(wǎng)絡(luò)配置上就能阻隔大部分計算機(jī)網(wǎng)絡(luò)安全隱患。另外，VPN 技術(shù)還可以與加密技術(shù)、認(rèn)證技術(shù)結(jié)合，實現(xiàn)通訊加密與用戶認(rèn)證兩項功能，其中前者可以對通信過程中的數(shù)據(jù)信息提供安全保護(hù)，除了傳輸方與接收方，其他人不能干預(yù)，后者則可以識別用戶身份，避免惡意訪問等不利現(xiàn)象發(fā)生。

2.2 IPsee VPN技術(shù)

IPsee VPN 技術(shù)的核心是IPsee 協(xié)議，應(yīng)用該項技術(shù)會使得計算機(jī)網(wǎng)絡(luò)中任何數(shù)據(jù)信息傳輸活動都要遵從協(xié)議進(jìn)行IP地址傳輸，這種傳輸方式區(qū)別于傳統(tǒng)數(shù)據(jù)信息傳輸方式，在安全性上有顯著優(yōu)勢，即首先IPsee VPN 技術(shù)能夠加強(qiáng)PC 端之間連接的安全水平，原因在于PC 端之間的連接不在依賴網(wǎng)關(guān)，而網(wǎng)關(guān)是很多外部攻擊瞄準(zhǔn)的對象，因此當(dāng)PC 端不需要網(wǎng)關(guān)進(jìn)行連接，就等同于不會受到相關(guān)外部攻擊，說明IPsee VPN 技術(shù)對PC 端之間的數(shù)據(jù)信息傳輸提供了保護(hù)，如IPsee 會話保護(hù)等。其次IPsee VPN 技術(shù)可以讓網(wǎng)關(guān)之間的連接安全性提升，這一作用在企業(yè)的計算機(jī)網(wǎng)絡(luò)中表現(xiàn)最為突出，原因在于企業(yè)的計算機(jī)網(wǎng)絡(luò)架構(gòu)復(fù)雜，且架構(gòu)中每個板塊之間有必須相互關(guān)聯(lián)，因此網(wǎng)關(guān)是企業(yè)計算機(jī)網(wǎng)絡(luò)架構(gòu)構(gòu)建的基礎(chǔ)，但這也使得網(wǎng)關(guān)層面上的安全隱患威脅到了企業(yè)計算機(jī)網(wǎng)絡(luò)架構(gòu)安全，而使用IPsee VPN 技術(shù)能夠?qū)W(wǎng)關(guān)進(jìn)行科學(xué)、合理的配置，用戶能隨時隨地調(diào)整網(wǎng)關(guān)參數(shù)，同步構(gòu)建IPsee 隧道，隧道能支撐VPN 技術(shù)實施，借助VPN 技術(shù)保障隧道中網(wǎng)關(guān)通信安全性增加，還能讓網(wǎng)關(guān)通信更加穩(wěn)定，有益于計算機(jī)網(wǎng)絡(luò)性能。此外，IPsee VPN 技術(shù)在不斷開發(fā)下具備了融合Trans-port 模式與隧道模式的功能，使得技術(shù)可以同時處理AH、SEP，實現(xiàn)外網(wǎng)IP 封裝，這對于計算機(jī)網(wǎng)絡(luò)點(diǎn)對點(diǎn)之間的數(shù)據(jù)傳輸更加有益，其有益性就體現(xiàn)在通信安全上。

2.3 MPLS技術(shù)

MPLS 技術(shù)的主要功能是搭建MPLS 虛擬網(wǎng)絡(luò)，該網(wǎng)絡(luò)是一種IP 專用網(wǎng)絡(luò)，能夠?qū)?shù)據(jù)信息傳輸提供安全保障。在計算機(jī)網(wǎng)絡(luò)安全保護(hù)方面，MPLS 技術(shù)的實際作用與其他兩項技術(shù)形式類似，本文就不多加贅述，但MPLS 技術(shù)還有益于計算機(jī)網(wǎng)絡(luò)的靈活性與可拓展性，這是該項技術(shù)的獨(dú)特價值。但值得注意的是，MPLS技術(shù)的應(yīng)用必須建立在PE 路由器上，即要讓MPLS 技術(shù)融入計算機(jī)網(wǎng)絡(luò)，需要先針對PE 路游戲進(jìn)行CR-LDP 配置，并設(shè)計LSP，設(shè)計形式一般采用分層設(shè)計，構(gòu)成三層VPN 對立架構(gòu)，隨之針對PEL 的VET 進(jìn)行標(biāo)記，完成VEI 表格搜索，再將搜索結(jié)果傳輸?shù)紺E 設(shè)備中，最終即可通過PE 路由器實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)表傳輸，同時可以采用PE2 路由器或者是LDP 協(xié)議發(fā)送其他連接表?？梢钥闯觯琈PLS 技術(shù)對于硬件設(shè)備（即PE 路由器與PE2 路由器）具有依賴性，相比于VPN 技術(shù)與IPsee VPN 技術(shù)，MPLS 技術(shù)這一方面稍顯薄弱，但這不會造成安全性上的影響，只存在成本上的考慮。

3 虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用方案

3.1 方案實施條件

參照現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全問題的發(fā)展趨勢，企業(yè)計算機(jī)網(wǎng)絡(luò)是最常遭受惡意攻擊，也是最常出現(xiàn)病毒侵?jǐn)_的計算機(jī)網(wǎng)絡(luò)，因此本文提出的虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用方案就針對某企業(yè)計算機(jī)網(wǎng)絡(luò)。

某企業(yè)在以往發(fā)展中早早實現(xiàn)了信息網(wǎng)絡(luò)化建設(shè)，建立了架構(gòu)完善的計算機(jī)網(wǎng)絡(luò)，但自計算機(jī)網(wǎng)絡(luò)建立以來，該企業(yè)就不斷遭受外部惡意攻擊，同時還存在一些內(nèi)部因素的影響，因此該企業(yè)對自身計算機(jī)網(wǎng)絡(luò)安全問題的成因進(jìn)行了全面分析，結(jié)果顯示企業(yè)計算機(jī)網(wǎng)絡(luò)安全問題主要因為5 大因素產(chǎn)生，分別為企業(yè)內(nèi)網(wǎng)安全性低、企業(yè)內(nèi)網(wǎng)遠(yuǎn)程訪問防護(hù)力度不足、企業(yè)對外的數(shù)據(jù)傳輸沒有加密、缺乏用戶認(rèn)證機(jī)制、結(jié)構(gòu)化安全管理不到位。因此本文方案要解決該企業(yè)這5 大因素，保障該企業(yè)計算機(jī)網(wǎng)絡(luò)安全。

3.2 方案架構(gòu)

圖1 介紹了本文虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用方案的基本架構(gòu)，結(jié)合圖1，下文將對架構(gòu)進(jìn)行全面解析，論證方案是否能解決該企業(yè)計算機(jī)網(wǎng)絡(luò)安全問題的5 大成因。

3.2.1 VPN 技術(shù)應(yīng)用

參照圖1，本文方案中主要利用VPN 技術(shù)解決該企業(yè)的企業(yè)內(nèi)網(wǎng)安全性低、企業(yè)內(nèi)網(wǎng)遠(yuǎn)程訪問防護(hù)力度不足兩大因素：

（1）針對該企業(yè)內(nèi)網(wǎng)安全性現(xiàn)狀，首先要使用VPN 技術(shù)對企業(yè)內(nèi)網(wǎng)進(jìn)行架構(gòu)整合，即企業(yè)內(nèi)部存在很多職能部門，甚至有一些部分是獨(dú)立在外的，因此部分之間存在不小的隔閡，使得不同部分的計算機(jī)網(wǎng)絡(luò)安全防護(hù)力度出現(xiàn)差異，這種差異就是導(dǎo)致企業(yè)內(nèi)網(wǎng)安全性低的主要原因。因此要借助VPN 技術(shù)將企業(yè)內(nèi)所有職能部門的計算機(jī)網(wǎng)絡(luò)連接在一起，構(gòu)建一個整體的局域網(wǎng)，這個局域網(wǎng)落位于公共網(wǎng)絡(luò)，在VPN 技術(shù)作用下具有密閉性特征，因此能夠提高內(nèi)網(wǎng)安全性。其次出于企業(yè)管理考慮，企業(yè)可以利用VPN 技術(shù)對各職能部門進(jìn)行點(diǎn)對點(diǎn)的管理，或者在局域網(wǎng)中進(jìn)行群發(fā)，實現(xiàn)一對多的數(shù)據(jù)傳輸，這樣無論是局域網(wǎng)本身還是局域網(wǎng)內(nèi)部的數(shù)據(jù)傳輸都得到了更高的安全保障；

（2）針對該企業(yè)內(nèi)網(wǎng)遠(yuǎn)程訪問防護(hù)力度不足因素，借助VPN技術(shù)可以讓局域網(wǎng)虛擬化（虛擬化后就完成了虛擬專用網(wǎng)絡(luò)搭建），在虛擬環(huán)境中實現(xiàn)信息資源共享，這樣只有得到網(wǎng)絡(luò)管理員許可的用戶才能通過遠(yuǎn)程方位進(jìn)入資源共享中心，隨即往常一系列操作，使得數(shù)據(jù)傳輸速度增快，且安全性更高。同時，建議企業(yè)在虛擬專用網(wǎng)絡(luò)搭建過程中也要利用VPN 技術(shù)對出口網(wǎng)關(guān)進(jìn)行統(tǒng)一管理，即VPN 技術(shù)可以將各職能部門的網(wǎng)關(guān)連接在一起，便于企業(yè)實施統(tǒng)一管理，因此能有效保障網(wǎng)絡(luò)與數(shù)據(jù)安全，加大了遠(yuǎn)程訪問的防護(hù)力度。

3.2.2 IPsee VPN 技術(shù)應(yīng)用

本文方案主要利用IPsee VPN 技術(shù)解決該企業(yè)的企業(yè)對外的數(shù)據(jù)傳輸沒有加密、缺乏用戶認(rèn)證機(jī)制因素：

（1）針對該企業(yè)對外數(shù)據(jù)傳輸沒有加密因素，因為在信息時代下企業(yè)必須積極對外進(jìn)行數(shù)據(jù)傳輸，不可能降低對外傳輸?shù)念l次，否則企業(yè)會被時代淘汰，所以企業(yè)必須采用技術(shù)手段去解決其中存在的安全問題。在這種情況下，該企業(yè)可以使用IPsee VPN 技術(shù)加強(qiáng)自身PC 端與對方企業(yè)PC 端的連接安全性，突破網(wǎng)關(guān)限制，使得對外數(shù)據(jù)傳輸不易被攻擊，傳輸過程也不容易被截取，說明對外數(shù)據(jù)傳輸安全性提升。同時出于安全性最大化考慮，該企業(yè)還能借助IPsee VPN 技術(shù)對傳輸?shù)臄?shù)據(jù)進(jìn)行簽名加密，即簽名加密就是先將數(shù)據(jù)打包，隨即對數(shù)據(jù)包進(jìn)行簽名，任何用戶獲取到該數(shù)據(jù)包之后要解壓讀取其中數(shù)據(jù)就必須輸入正確簽名，這樣即使數(shù)據(jù)包被截取也不會泄密，因此實現(xiàn)了數(shù)據(jù)加密，保障了對外數(shù)據(jù)傳輸?shù)陌踩裕?/p>

（2）針對該企業(yè)缺乏用戶認(rèn)證機(jī)制因素，IPsee VPN 技術(shù)可以從傳輸對象身份、訪問者身份兩個層面實現(xiàn)用戶認(rèn)證，確保數(shù)據(jù)可以被傳輸給正確對象，且避免惡意訪問等類似現(xiàn)象發(fā)生，即在傳輸對象身份上，當(dāng)企業(yè)對外發(fā)送數(shù)據(jù)包，數(shù)據(jù)包會先被虛擬專用網(wǎng)絡(luò)截留，同步向傳輸對象發(fā)送身份認(rèn)證請求，只有傳輸對象輸入了正確認(rèn)證秘鑰后，網(wǎng)絡(luò)才會繼續(xù)發(fā)送數(shù)據(jù)包。而在惡意訪問方面，IPsee VPN 技術(shù)除了會參照賬號、密碼組合進(jìn)行匹配度認(rèn)證以外，還會對訪問對象的IP 地址進(jìn)行核實，若訪問對象的IP 地址存在變化，則會要求訪問對象輸入動態(tài)秘鑰，不通過同樣會拒絕訪問。

3.2.3 MPLS 技術(shù)應(yīng)用

本文方案主要利用MPLS 技術(shù)解決該企業(yè)結(jié)構(gòu)化安全管理不到位因素，旨在強(qiáng)化該企業(yè)結(jié)構(gòu)化安全管理力度。應(yīng)用中，MPLS 技術(shù)可以在虛擬專用網(wǎng)絡(luò)中構(gòu)建專門的數(shù)據(jù)傳輸隧道，并針對隧道進(jìn)行安全保護(hù)，讓安全管理結(jié)構(gòu)變得更加簡單，因此安全管理力度能夠更加集中，力度自然提升。而在MPLS 技術(shù)優(yōu)化后的隧道傳輸結(jié)構(gòu)安全管理工作中，MPLS 技術(shù)可以通過實時安全檢驗命令等機(jī)制對傳輸過程進(jìn)行檢測，若發(fā)現(xiàn)異常現(xiàn)象，MPLS 技術(shù)將自動開啟信息安全防護(hù)機(jī)制，自動完成信息備份、停止數(shù)據(jù)傳輸?shù)龋苊庑畔⑼庑?、損壞。

4 結(jié)語

綜上，相比于傳統(tǒng)計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，虛擬專用網(wǎng)絡(luò)技術(shù)更具優(yōu)勢與應(yīng)用價值，本文在研究中介紹了該項技術(shù)的基本概念與特征。隨后文中圍繞該項技術(shù)的三大形式，結(jié)合案例5 大計算機(jī)安全問題成因提出了技術(shù)應(yīng)用方案，通過方案可以有效解決各項因素，使得計算機(jī)網(wǎng)絡(luò)安全水平提升。