基于VPN的網(wǎng)絡(luò)安全技術(shù)研究

國網(wǎng)四川省電力公司客戶服務(wù)中心 熊學(xué)鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

基于VPN的網(wǎng)絡(luò)安全技術(shù)研究

國網(wǎng)四川省電力公司客戶服務(wù)中心 熊學(xué)鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)已成為網(wǎng)絡(luò)技術(shù)發(fā)展的一個熱點。但是隨著網(wǎng)絡(luò)的不斷發(fā)展，暴露出來的安全問題也受到人們的重視，于是越來越多的人開始使用或者研究互聯(lián)網(wǎng)的安全問題。隨著研究和應(yīng)用的不斷深入，各種安全技術(shù)不斷被創(chuàng)造和改進。

網(wǎng)絡(luò)安全；VPN；應(yīng)用研究

0 引言

隨著對人們工作生活對網(wǎng)絡(luò)的使用越來越頻繁，對網(wǎng)絡(luò)安全和速度的要求也是越來越高。正是這種迫切的需求也促使著人們不斷的研究著網(wǎng)絡(luò)安全技術(shù)，改善目前的網(wǎng)絡(luò)安全問題。

1 VPN介紹

在計算機網(wǎng)絡(luò)中，除了建設(shè)物理隔離的業(yè)務(wù)網(wǎng)絡(luò)之外，還擁有更具性價比的解決方案，使用VPN（Virtual Private Network虛擬專用網(wǎng)）技術(shù)來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。

VPN利用的是包括認(rèn)證、加密、安全檢測、權(quán)限分配、訪問記錄等一系列手段來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。傳統(tǒng)的解決方法，是采用IPSec VPN來解決，而IPSec VPN協(xié)議設(shè)計是為了解決安全問題而誕生的，但在實際應(yīng)用中，在解決遠程連接的方案中已經(jīng)不能滿足當(dāng)前的網(wǎng)絡(luò)安全需求。

2 VPN技術(shù)分類

1)鏈路層VPN 技術(shù)

PPTP協(xié)議：PPTP協(xié)議又稱為點到點協(xié)議，它是一種安全協(xié)議，最初是為了解決移動終端的網(wǎng)絡(luò)安全要求，是PPP協(xié)議的擴展，為通過IP上網(wǎng)的用戶提供基于VPN的安全解決方式，而其他用戶可以通過支持PPTP協(xié)議的網(wǎng)絡(luò)來連接和訪問。

PPTP協(xié)議是在客戶端和服務(wù)器之間的安全協(xié)議，而客戶端是基于該協(xié)議的一般計算機，而服務(wù)器是在支持PPTP協(xié)議的指定服務(wù)器。客戶可以通過多種網(wǎng)絡(luò)方式接入公網(wǎng)，首先他要通過撥號連上ISP服務(wù)器，建立數(shù)據(jù)連接；然后，再建立PPTP連接，連接到PPTP服務(wù)器；它支持多種數(shù)據(jù)的封裝。

PPTP協(xié)議保證了客戶端與服務(wù)器之間的正常通信，減少網(wǎng)絡(luò)擁塞和數(shù)據(jù)丟失現(xiàn)象。它獲得了微軟公司的支持，同時具有流量控制功能。而VPN的配置需要由客戶端來進行配置，無形中就加大了客戶端的工作，同時還具有一定的安全風(fēng)險。PPTP由于不具備驗證功能，它是僅工作于IP，所以需要用戶進行驗證。

2)網(wǎng)絡(luò)層VPN技術(shù)

IPSec協(xié)議是一種公開的標(biāo)準(zhǔn)協(xié)議，它和其他協(xié)議，如PPTP協(xié)議的最大區(qū)別是它是對IP層進行加密。它實際上并不是某種特殊的算法，在它的數(shù)據(jù)結(jié)構(gòu)中也沒有加入特定的算法和規(guī)則，它是完全開放的，它是對IP數(shù)據(jù)包進行定義，而其他的算法和規(guī)則也都可以通過IPSec進行傳輸和運行。

IPSec協(xié)議主要運行方式分為隧道模式和傳輸模式。隧道模式是將數(shù)據(jù)在傳輸層進行封裝，并以安全數(shù)據(jù)IP包形式保存和傳輸。而傳輸模式則僅僅是對數(shù)據(jù)的端到端傳輸，不會對數(shù)據(jù)進行隱藏和封裝。從兩者的運行方式來看，顯然，隧道模式的安全性能更高，但是相應(yīng)的也會帶來系統(tǒng)的運行開銷增大。由于IPSec是基于網(wǎng)絡(luò)層的一種協(xié)議，因此，它不能穿越防火墻、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）等網(wǎng)絡(luò)防護設(shè)備。

3)會話層VPN技術(shù)

SOCKS協(xié)議：SOCKS處于OSI模型的會話層，在SOCKS協(xié)議中，客戶程序通常是先連接到防火墻1080端口，然后由防火墻建立到目的主機的單獨會話，這種情況下客戶程序?qū)δ康闹鳈C是不可見的。SOCKS的問題在于必須對客戶端應(yīng)用程序做修改，加入對SOCKS協(xié)議的支持。

3 VPN應(yīng)用及優(yōu)勢

1)身份認(rèn)證安全

系統(tǒng)的安全認(rèn)證方式往往采用用戶名和密碼方式，而這種方式安全性不高，特別是對于一些相對較簡單的密碼，黑客可以通過破解方式輕松獲取。而一旦系統(tǒng)密碼被破解，系統(tǒng)將暴露在互聯(lián)網(wǎng)上，數(shù)據(jù)和重要資料將被輕松盜取，尤其是領(lǐng)導(dǎo)中享有較高級權(quán)限的帳號若是遭到盜竊所造成的損失將更為嚴(yán)重。

2)終端訪問安全

雖然網(wǎng)絡(luò)中設(shè)置了防火墻、IPS等主動防御設(shè)備，但遠程終端仍可通過VPN連接，而往往這些設(shè)備很難抵御通過VPN的連接。因此，這就給網(wǎng)絡(luò)安全帶來了隱患。為了保證整體安全防御水平，就需要對接入的終端主機的安全水平采取一定的控制措施。

例如金融系統(tǒng)以及電力系統(tǒng)等包含重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)，當(dāng)用戶通過遠程接入的方式訪問到這些系統(tǒng)時，由于系統(tǒng)交互、緩存等原因往往會在終端主機上保存部分應(yīng)用數(shù)據(jù)，容易導(dǎo)致重要數(shù)據(jù)人為或是無意的泄漏，存在重大的信息安全隱患。如何讓用戶能方便快捷的遠程辦公的同時保障重要應(yīng)用系統(tǒng)、核心數(shù)據(jù)的不外泄，是IT管理人員需要考慮的一個非常重要的方面。

3)權(quán)限劃分安全

由于網(wǎng)絡(luò)和服務(wù)器中存在大量的數(shù)據(jù)和自建應(yīng)用系統(tǒng)，密碼的泄露和權(quán)限的濫用往往容易造成網(wǎng)絡(luò)攻擊和病毒的侵害，一旦數(shù)據(jù)被破壞和黑客入侵，其后果將不堪設(shè)想。因此，需要在訪問時建立權(quán)限機制。避免將重要數(shù)據(jù)暴露在網(wǎng)絡(luò)中，同時，要對數(shù)據(jù)進行加密和采取強制修改弱口令等措施。

4)應(yīng)用訪問審計安全

為了能夠追蹤到用戶的應(yīng)用使用情況，減少因外來訪問造成的系統(tǒng)安全問題，同時可以掌握用戶數(shù)據(jù)和訪問人等信息，需要對系統(tǒng)采取必要的審計措施。

5)業(yè)務(wù)數(shù)據(jù)遷移智能終端訪問安全性

隨著將業(yè)務(wù)系統(tǒng)遷移到終端，業(yè)務(wù)數(shù)據(jù)呈現(xiàn)于移動智能終端設(shè)備上，如何避免重要的業(yè)務(wù)數(shù)據(jù)隨著智能終端丟失而造成泄密的風(fēng)險，如何保障業(yè)務(wù)數(shù)據(jù)訪問安全性，需要對業(yè)務(wù)系統(tǒng)遷移至智能終端訪問做必要的安全措施。

4 結(jié)束語

VPN技術(shù)的應(yīng)用極大的降低網(wǎng)絡(luò)系統(tǒng)的運營成本，提高資源的利用效率，具有明顯的應(yīng)用價值。VPN技術(shù)與其他網(wǎng)絡(luò)技術(shù)的結(jié)合，將進一步實現(xiàn)網(wǎng)絡(luò)安全，提高傳輸性能等功能。

[1]羅智勇,尤波,蘇潔.基于VPN網(wǎng)絡(luò)的高校數(shù)字化圖書館組建模型研究[J].圖書館研究學(xué),2013(01).

[2]梁居寶,杜克明,孫忠富.基于3G和VPN的溫室遠程監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J].中國農(nóng)學(xué)通報,2011(29).

[3]勞鳳丹.余禮根.滕光輝.朱駿君. VPN遠程監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J].中國農(nóng)業(yè)大學(xué)學(xué)報,2011(02).

[4]李躍.基于SSL VPN的研究與改進[J].信息安全與通信保密,2005(02).