基于虛擬私網的企業網絡安全架構設計和實現

蔡 思

（湖北省電力勘測設計院有限公司，武漢 430040）

1 虛擬私網的企業網絡安全架構概述

信息化技術和互聯網的發展為企業發展提供了更廣闊的平臺，企業網絡安全指網絡用戶企業信息的泄漏、計算機程序的更改、系統盤文件的篡改以及硬件惡意遭到破壞的網絡故障。虛擬技術是通過對企業內部服務器的虛擬化整合，使得這些資源表現為一個或多個操作環境，從而提供優于原有資源配置的訪問方式的技術。虛擬私網技術即在物理模型上選用不同地址的網絡結合公共網絡搭建邏輯虛擬子網模型，虛擬私網運用多種技術的協調配合優化配置硬件資源，大大提高網絡的安全性，基于虛擬化企業可以在低開銷的基礎上實現企業數據異地備份，虛擬網絡技術具備很強的精簡功能，是一種具有發展前景的企業內部網絡解決方案，使網絡服務具有更好的實用性、容錯性和擴展性，虛擬私網企業網絡安全管理優化了企業的數據資源整理模式，為企業業務處理和服務類型提供一個嶄新的現代化平臺。

虛擬私網絡技術較為常用的有隧道技術、加密技術、密鑰管理技術以及身份認證識別技術。虛擬私網策略采用隧道端完成信息的加密和解密操作的隧道化傳輸方式，通過認證、測控、機密度管控和數據完整度等方式實現數據安全傳輸，在虛擬網絡搭建完成后雙方可以在同一層級內的網絡節點實現安全的數據傳輸。虛擬私網包括服務器和操作系統虛擬化、存儲和系統管理的虛擬化管理等內容。虛擬私網通過選取策略對使用都進行身份確認，對訪問虛擬私網的使用者嚴格限定其進入限制、權限限制；采用AES 和 3DES 等加密方法，對網絡數據進行加密和解密；利用PPTP這種點對點隧道協定完成數據壓縮和加密，采取IPSec 隧道方式加強IP服務端的服務安全性能，實現虛擬私網和公共網絡的協議對接和信息發送。

2 基于虛擬私網的企業網絡安全架構設計

虛擬網絡技術可以使用以下方式組建：基于交換機端 口的VLAN、基于 MAC 地址的 VLAN 和基于應用協議的 VLAN、基于端口的 靜態VLAN。虛擬網絡體系安全架構由注冊管理模塊、證書庫、證書管理模塊、密鑰庫、密鑰管理模塊、策略庫、策略引擎、加密及解密模塊、身份認證模塊和管理模塊組成的總體布局。進入網絡系統的管理員必須經過IP地址、TCP端口和路由網關的認證，需要有嚴格的身份驗證客戶端設備或移動用戶終端才能夠接入企業私網。業務數據流需認證中心注冊管理模塊為用戶提供注冊組件，通過IPSec加密，調閱證書庫已注冊的認證證書，分配并生成與身份驗證相匹配的信息加密、解密及監督職能，為IP 及其上層業務數據傳送部分提供安全加密保護。管理模塊統一調虛擬私網的安全工作，其中策略庫對數據安全起重要的安全保障作用，虛擬私網由協議來查閱并判斷是否需要加密保護，并相應配置安全保護策略。

很多企業往往存在多虛擬網絡，考慮到公司現有網絡設施及對安全性要求可以在主虛擬網絡安裝地配署一臺服務器，即安全網關，按分支機構數據信息傳輸需求安裝VPN客戶端增強軟件，通過先進的加密技術及TCP/IP 的應用、VPN 專有隧道連通對企業內部部門進行網狀模型設置，并依據安全級別及業務種類設置和分配訪問權限，運用數據加密技術將重要保密數據變為不可讀格式，保證信息的隱蔽性并建立安全的通信。

3 基于虛擬私網的企業網絡安全架構實現

虛擬私網的服務端口往往基于Windows Server 2008，客戶端模塊為 Windows 7，虛擬網絡服務裝置包含企業公共網絡的 IP地址和企業的內網 IP 地址，構建私網客房端并上傳訪問程序包；設置相應私有網絡網址有子網掩碼，將客戶端網絡和虛擬私網在區分不同的物理外圍網絡中，通過劃分虛擬局域網、隔離不同部門，增強企業網絡安全性。采用高性能全交換線路，根據數據傳輸具體需求采用簡約的PPTP 隧道協定，獲取PPTP，L2TP 以及IPsec；企業虛擬網絡端口搭建成功以后，需要進行網絡從內部到外部的性能測試，進行漏洞掃描加強數據安全管理、加強網絡數據的存儲管理系統建設，以達到增強企業網絡安全性的目的。

4 結束語

綜上所述，虛擬網絡企業網絡安全管理是保障企業網絡安全的必然要求，是實現新一代企業網絡的一種發展趨勢，加強虛擬私網安全研究和架構設計具有重要現實作用。本文基于虛擬私網安全原理，設計虛擬私網企業網絡安全架構，并研究其安全策略，不斷地更新技術，完善系統運作，保障虛擬私網企業網絡安全。