虛擬專用網絡技術在計算機網絡信息安全中的應用

陳曉偉

摘 要：本文首先簡單介紹了虛擬專用網絡技術，然后分析了當前計算機網絡信息安全管理中存在的問題，即監測技術有限，難以有效控制訪問和加密技術實用性有待提高。最后，立足于這兩點，對虛擬專用網絡技術在計算機網絡信息安全中的應用進行了探討。

關鍵詞：虛擬專用網絡技術；計算機網絡；信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1003-5168（2018）05-0022-02

The Application of Virtual Private Network Technology in the

Information Security of Computer Network

CHEN Xiaowei

（Shangqiu Polytechnic，Shangqiu Henan 476000）

Abstract： Firstly， this paper introduced the virtual private network technology. Then the problems in the current computer network information security management were analyzed： that is， the monitoring technology was limited， it was difficult to effectively control access and encryption technology， and the practicability needed to be improved. Finally， based on these two points， the application of virtual private network technology in the computer network information security was analyzed.

Keywords： virtual private network technology；computer network；information security

當前，計算機網絡信息安全管理中存在的問題不僅給計算機的應用和發展帶來了一定阻礙，更成為社會重點關注的話題。而虛擬專用網絡技術不但具有傳輸數據快的優點，更具有較高的安全性和穩定性。

1 虛擬專用網絡技術簡介

所謂虛擬專用網絡是指通過特殊加密的通信協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間構建一條專有的通信線路，就好比是架設了一條專線一樣，但并不需要真正去鋪設光纜之類的物理線路[1]。而所謂虛擬專用網絡技術則主要是指其中用到的各種技術，包括VPN技術、隧道技術、加密技術、身份認證技術和密鑰技術等[2]。

2 當前計算機網絡信息安全管理中存在的問題

2.1 監測技術有限

近年來，各種黑客攻擊技術手段層出不窮。同時，隨著互聯網的進一步發展，網絡環境也不斷變化，并日趨復雜。相應的，網絡安全所面臨的問題，在數量、種類上都有所增加，同時也愈發復雜、隱蔽，技術攻克難度也越來越大，網絡安全問題觸發的后果也愈發嚴重。而現有的計算機網絡信息安全管理相關的檢測技術難以應對這種新形勢，不僅難以辨認各種攻擊和潛在風險，更是無從處理和應對。

2.2 難以有效控制訪問

當前，我國計算機網絡信息安全管理還面臨著一個比較嚴重的問題，即訪問的控制問題。訪問控制主要控制的是接入主機的用戶身份，其目的是避免非法用戶入侵。在當前的技術水平下，訪問控制中最難以解決的問題就是如何判斷、區分用戶身份的非法性和合法性，特別是一些用戶數量較多的軟件，如微博、微信等，其控制工作的難度較大。另外，為了確保用戶數量的黏著度，往往需要保證這些網站有較好的易用性。而在當前技術水平下，訪問控制與網站易用性之間天然就存在不可避免的沖突。

2.3 加密技術實用性有待提高

從理論上來講，當前，我國計算機網絡信息安全管理中應用的加密技術具有極強的加密效果，但也存在破解的可能性。但在現實中，攻擊者往往很難確保有足夠的資源、時間和場地來開展破解工作。從這個角度來看，當前的加密技術能被破解的可能性微乎其微。然而，這些加密技術還存在一些應用性問題，影響了其作用的充分發揮。

3 虛擬專用網絡技術在計算機網絡信息安全中的應用

3.1 MPLS VPN技術在計算機網絡信息安全中的應用

MPLS VPN是指采用MPLS技術在運營商寬帶IP網絡上構建企業IP專網，實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信，并結合差別服務、流量工程等相關技術，將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網安全、靈活、高效地結合在一起，為用戶提供高質量的服務[3]。MPLS VPN技術具有安全性、穩定性、靈活性和傳輸速度快等優點，可以提供等同于專線級別的安全保護在PE設備上識別不同業務，將語音、視頻實時業務、數據業務等區分開來，封裝到VPN中，實現不同業務之間的安全隔離。一般來說，要想將MPLS技術應用在計算機網絡信息安全中需要3個步驟。

其一，構建一個分層服務提供商，即LSP。通常來說，網絡對PE路由器中間分層服務提供商的建立都是采用CR-LDP這種方法來實現的。其最終所建立的分層服務提供商往往具有多種業務，如二層VPN、三層VPN，這兩者之間一般互相對立，但同時又都是將MPLS提供給網絡運營商的十分重要的步驟。

其二，在PE路由器上實現VPN信息。這里所說的PE路由器是Provide的邊緣設備，服務提供商骨干網的邊緣路由器，其相當于標簽邊緣路由器。VPN技術在這一環節中的應用，其實質是對VPN數據傳遞形式管理的過程，為二層VPN的實現奠定基礎。上述目標的具體實現過程如下。首先，需要在PEZ路由器上創建一個VPN轉發表數據，從而為CE設備的連接提供基礎性條件。而所創建的VPN轉發表數據中不但要包含CE設備的識別碼，也要包含CE設備的標記值范圍等信息。接下來把轉發表數據一一安置于各個CE設備上，此時任意一個轉發數據表內的子接口DI均帶有明確化的標識，接下來，在LDP協議的輔助下PEZ將VPN連接表傳送至網絡拓撲內的其他VPN內，VPN連接表為VPN轉發表的子集。

其三，在完成上述步驟后，就可以開始傳送VPN數據。

3.2 IPSec VPN技術在計算機網絡信息安全中的應用

IPSec VPN技術是一種借助IPSec協議來實現遠程接入的VPN技術。其中，IPSec即Internet Protocol Security，是一套成體系的、比較完善的VPN技術[4]。通過利用這種技術，就能構建起一個關于計算機IP地址的安全性較高的系統。從實質上來看，IPSec是一個框架結構，主要由ESP協議、端到端協議和PC到網關協議三種協議組成。ESP協議由于具有抗干擾能力強、同一時間段內提供的數據較為完整等優點，在當前計算機網絡中有著比較廣泛的應用。端到端協議主要指的是對兩個網絡端點或兩個PC之間的IPSec協議的數據通信的保護，其保護方式與ESP協議有著較大的區別，因此其又被稱為End-to-End協議或PC到PC協議。PC到網關協議又被稱為End-to-Site協議，其主要保護的是兩個PC之間通信從網關到其他PC或異地PC之間的信息傳輸。

需要注意的是，依據具體細節的不同，IPSec VPN技術的傳輸模式又分為Transport模式和Tunnel模式兩種，即傳輸模式和隧道模式。這二者大體相似，但有一個最主要的差別：傳輸模式在AH、ESP處理前后，IP頭部保持不變，主要用于End-to-End的應用場景；隧道模式則在AH、ESP處理之后再封裝了一個外網IP頭，主要用于Site-to-Site的應用場景。

3.3 MPLS VPN技術和IPSec VPN技術的應用對比

從系統可靠性方面來看，MPLS VPN技術具有較好的穩定性，其實質是某種意義上的專線；而IPSec技術則具有較好的容錯性。從安全性方面來講，這兩種技術都存在一定的安全漏洞，但前者在傳輸數據時具有更好的有效性。從便捷性上來講，IPSec VPN技術要比MPLS VPN技術更加方便快捷。這兩種技術在可擴展性和網絡服務質量兩方面的表現則正好相反，MPLS VPN技術效果更好。

4 結語

計算機網絡安全自計算機網絡誕生之初就是其需要重點關注的問題。隨著計算機網絡在社會生活中覆蓋面的擴大和影響力的增強，這一問題逐漸受到社會的普遍重視。然而，或是受限于技術，或是因為技術應用之間的矛盾，當前計算機網絡安全管理還存在一定的問題。在該情況下，就可以借助虛擬專用網絡技術來提高計算網絡安全管理工作的質量和效率。在實際應用中，也需要注意結合具體情況和需要，使用不同的虛擬專用網絡技術。

參考文獻：

[1]梁向陽.虛擬專用網絡安全性分析[J].保密科學技術，2017（7）：40-41.

[2]王忠.關于計算機網絡信息安全及防護策略探究[J].數字通訊世界，2017（8）：4414-4416.

[3]劉洋.淺析計算機網絡信息安全管理技術[J].中國管理信息化，2017（11）：162-163.

[4]劉自成.計算機網絡信息安全管理存在問題及對策分析[J].通訊世界，2017（2）：41-42.