虛擬網絡技術在計算機網絡安全中的應用

張瑛

摘要：隨著網絡技術和信息技術的不斷發展，計算機網絡安全作為信息化建設的重要組成部分，安全性受到廣泛地關注。虛擬網絡技術的發展使計算機網絡安全得到很大的保障，具有可延伸性、成本低及速度快等優勢。以基于對等計算（P2P）網絡為基礎進行VPN網關的設計，實現虛擬網絡技術在計算機網絡安全中的應用。

關鍵詞：虛擬網絡技術；計算機網絡安全；虛擬技術；企業信息安全

中圖分類號：TP13文獻標志碼：A文章編號：1008-1739（2018）04-66-3

Application of Virtual Network Technology in Computer Network Security

ZHANG Ying

（Wuzhai Branch， Xinzhou Normal University， Xinzhou Shanxi 036200， China）

0引言

作為信息化時代發展的產物，計算機網絡技術對各領域的發展都發揮著重要作用。但隨著網絡技術的廣泛應用，同時也對計算機網絡安全提出更高的要求。虛擬網絡技術是計算機網絡安全的核心內容，其發展給計算機網絡安全帶來新的機遇和挑戰，VPN虛擬技術是虛擬網絡技術的核心內容。本文以P2P網絡為例，并以VPN的隧道封閉技術為主，對網絡進行設計和實現，進而保障公用網絡數據傳輸的安全性。積極探討虛擬網絡技術在計算機網絡安全中的應用，不僅可以有效降低網絡安全風險發生率，提高網絡安全性，同時也對計算機網絡技術及信息安全技術等具有重要意義。

1基于P2P的VPN網關系統結構設計

1.1 P2P網絡

P2P技術是網絡應用較廣泛的技術，其組網具有可擴展性、對等性、穩定性、非中心化、健壯性、高性價比及隱私保護等優點。其中非中心化以路由算法和索引服務器為主，實現每個節點的雙重作用（既是資料，也是服務提供者），P2P網絡實現節點間的直接數據傳輸，具有很好的數據安全性，不僅可以幫助云計算服務提供商組織P2P網絡，也可以有效保障用戶的網絡服務質量[1]。

1.2 VPN網關系統實現目標

企業用戶網絡規模比較龐大，具有多個分支機構，處理機密業務較多。為了提高企業網絡的安全性和網絡流暢性，利用VPN設備實現服務器與終端間的通信，并以加密和邏輯隔離等方式提高網絡報文數據的安全性。根據企業實際情況，以硬件VPN在服務器端進行優化部署。

VPN網關有服務器型網關和桌面型網關2種形式，以串接方式分別部署在各級數據中心服務器出口和業務終端。對于高敏感內部系統，可以有效將高敏感業務與普通業務系統進行分離，建立身份認證、訪問控制及隧道通信等安全機制，提高企業網絡安全性。

1.3 VPN網關系統軟件結構設計

P2P VPN網關系統軟件功能模塊主要由P2P拓撲收集、系統監控、配置管理、VPN安全隧道通信、服務器型攻擊防護模塊、網絡性能優化及數據庫等部分共同組成：①安全操作系統作為整體系統的基礎，是所有模塊運行的主要平臺；②P2P拓撲收集模塊匯集了所有的VPN安全隧道通信模擬，涉及全網網關拓撲信息、安全隧道使用安全參數等重要數據；③系統監控模塊實現對各模塊的實時監督，同時提供系統修復、重啟等重要功能；④攻擊防護模塊主要是用于防止系統受到攻擊[2]。

2關鍵技術設計與實現

2.1 VPN安全隧道模塊

P2P VPN網關間的數據安全傳輸通道，即VPN安全隧道模塊，由數據封裝、隧道加密保護、隧道通信協議及隧道安全參數更新等多個子模塊構成：①數據封裝子模塊實現對原始網絡報文以相關協議或加密方法進行重新組織和打包；②隧道加密保護子模塊是以不同的、復雜的和安全的加密算法對原始網絡報文重新進行加密或解密操作；③隧道通信協議子模塊主要是在2個VPN網關間建立隧道，進而完成數據傳輸，直至隧道拆除。

在P2P VPN網關報文處理時，報文在網關設備的網絡接口接收自業務端發送的數據報文，并對其網關訪問控制等進行安全策略判斷，對高敏感業務數據進行封裝，VPN隧道通信程序利用安全虛擬隧道實現虛擬網卡數據加密、打包、封裝和發送。發送時將原始二層幀數據進行HASH計算以及加密處理，并對處理的數據封裝到VPN相關的報文中，同時，為了保證傳輸過程的安全性，需對傳輸數據發送端嵌入安全標簽，再根據報文信息分析出相應的目的地址和終端網關，開始實施數據傳送。

2.2訪問控制模塊

訪問控制模塊利用Netfilter實現，而Netfilter一般工作于Linux系統內核空間，同時也自帶輕量級防火墻模塊。訪問控制模塊以Netfilter為基礎實現源IP地址、目的IP地位、源端口、目的端口及協議等要素的信息包進行過濾操作[3]。

同時，該模塊利用腳本讀取配置文件，并根據模塊訪問策略生成過濾規則，即IPTables，并在Netfilter中完成生效設置。為了避免網絡中的各類拒絕服務攻擊此訪問控制模塊，增加了UDP Flood及ICMP Flood等門限值，以此拒絕以上典型的拒絕服務攻擊，保證網絡設備的可用性和安全性。

2.3配置管理模塊

系統配置管理模塊主要負責對運行參數、P2P對端網關 IP地址及設備IP地址等相關內容進行維護和設置，其軟件模塊主要由參數管理、對端地址、升級管理、設備控制、服務狀態、設備狀態及本地管理方式等功能構成。其中服務狀態可以對設備提供實時訪問控制、P2P拓撲地址列表及安全隧道等服務的相關運行狀態，并根據相應的服務狀態設置服務啟停操作。本地管理方式主要有系統初始化、設備IP地址設置、文件修復系統及時間設置等，并以串口管理為主要形式，當系統設備出現某種故障時，可以進行相應的維護工作或對系統進行初始化操作。

2.4 P2P地址收集模塊

P2P地址收集模塊應用于操作系統中的用戶層，實現對全網在線網關的虛擬網絡搭建、動態監控、雙向認證和安全參數協調，該模塊主要是對網關提供認證、協商安全參數、更新證書、注冊服務及維護全網等列表服務，保證網關的拓撲狀態，并快速搭建正確、安全的網絡隧道，提高網絡的穩定性和健壯性。

P2P地址收集模塊的虛擬網絡搭建方式是P2P VPN網關以指定中心網關或臨近節點作為網絡地址拓撲的起始點，且網關的全網在線拓撲地址信息只有該節點信息。利用節點信息交換的方式獲取中心網關或臨近全網拓撲地址信息，同時將獲取的在線網關所有節點信息進行合并。對新連接的網關進行測試連接，并重新以速度最快的網關節點作為新的最近節點，利用最近節點實現全網在線網關信息交換，做好連接測試及訪問速度測試[4]，如圖1所示。

P2P地址收集模塊組網方式以P2P組網方式為依據，可以有效避免中心服務器設置網關節點帶來的系統瓶頸問題，模塊內部主要由API證書、Epoll模型和線程池模型3部分構成，如圖2所示。

①證書API提供網絡訪問證書和校驗證書等一系列相關證書，也可以利用該模塊驗證網關證書的有效性；②Epoll模塊即程序通信模式，利用套接字訪問方式保證程序有效應答網關認證請求；③線程池以建立通信監聽套接字，以及Epoll的監聽管理實現管理網關的通信請求。例如，當Epoll檢測到某網關認證請求時，程序先從線程池中分配一些線程，完成對請求網關套接字的網關證書、校驗網關證書、協商通信密鑰、更新證書撤銷列表、生成線列表文件證明及列表的獲取操作，繼而對獲取的信息進一步解析。

3在計算機網絡安全中的應用效果與發展趨勢

計算機網絡安全對企業發展至關重要，而虛擬網絡技術又可以進一步提高計算機網絡安全性。因此，虛擬網絡技術在企業中的廣泛應用已成為必然趨勢。虛擬網絡技術對保證用戶和企業信息資源管理，以及企業與內部員工間的遠程，企業與客戶間的資源共享具有重要意義。另外，虛擬網絡技術提供的反追蹤程序，可以對入侵者實施抓捕，避免用戶和企業計算機網絡受黑客或病毒的侵襲，最終實現應用虛擬網絡技術提高計算機網絡安全性的目標[5]。

信息化社會的不斷發展也給網絡技術提供很大的發展空間，而且虛擬網絡技術的安全性、可靠性和穩定性等優勢對提高計算機網絡安全具有重要意義。因此，加大對虛擬網絡技術的研究力度，探討防火墻在虛擬網絡技術中的應用，發展復合型虛擬網絡工具，研發虛擬網絡技術傳輸協議等已成為虛擬網絡技術的主要發展趨勢[6]。同時，這些新型技術的研發也可以更大程度地提高計算機網絡信息安全性，促進計算機網絡在各行業領域中的良好發展，也會對我國經濟發展和社會發展提供助力。

4結束語

計算機網絡在現代發展中極易受到計算機病毒、木馬程序以及非授權訪問等攻擊，給網絡安全帶來極大隱患。實踐證明，虛擬網絡技術中的VPN、IPSecVPN等虛擬技術對提高網絡安全性具有重要的意義。因此，積極探討虛擬網絡技術在計算機網絡安全方面的應用，不僅可以有效避免計算機網絡的非法侵入，實現用戶或企業網絡數據傳輸和資源共享的安全性，同時也可以給用戶帶來良好的網絡體驗，進一步促進計算機網絡安全建設以及信息化社會建設。

參考文獻

[1]王小娟，黃協，白家奇.防火墻技術在計算機網絡安全中的應用[J].信息與電腦（理論版），2017（15）：210-212.

[2]陳忠菊.計算機網絡信息安全中虛擬專用網絡技術的應用[J].科技創新導報，2017，14（21）：158-159.

[3]何赤平.虛擬網絡技術在計算機網絡安全中的應用探究[J].電腦知識與技術，2017，13（7）：28-29.

[4]姚芳，王亞利.虛擬專用網絡技術在計算機網絡信息安全中的運用[J].電腦迷，2017（5）：3.

[5]王志軍，張帆.虛擬網絡技術在計算機網絡信息安全中的應用研究[J].科技創新與應用，2017（3）：93.

[6]顏光平.數據加密技術在計算機網絡通信安全中的應用[J].科技傳播，2017，9（8）：38-39.