計算機網絡安全中虛擬專用網絡技術研究

姜希

（江蘇省南京工程高等職業學校 江蘇省南京市 211135）

計算機網絡安全問題的成因普遍為木馬程序、可植入病毒、外部破解性攻擊，同時也與計算機網絡本身的配置有關（如配置不協調會導致網絡安全性大幅降低，加大安全問題的發生概率），因此要有效防護這些因素具有一定的難度，加之這些因素本身會不斷發展，使得相同的手段難以長期保障計算機網絡安全。而虛擬專用網絡技術的出現彌補了以往手段的不足，一勞永逸的解決了計算機網絡安全問題，可以從多個角度、多個層面保護計算機網絡不被外部因素侵擾或攻擊，用戶自然可以放心使用計算機網絡。但要充分發揮虛擬專用網絡技術的作用，用戶就應當對該項技術有一定了解，并掌握技術應用方式，因此有必要展開相關研究。

1 虛擬專用網絡技術基本概念與特征

1.1 概念

虛擬專用網絡技術是一類在公共網絡環境中搭建一個私有網絡空間的技術，私有網絡空間具有私密性，對于任何未得許可的外部訪問請求會全部拒絕，使得空間只對得到許可的用戶開放，因此私有網絡空間在形式上與局域網非常相似。在原理上，常規的虛擬專用網絡（即私有網絡空間）普遍是先將一部分數據網絡集中后封閉，形成一個密閉性空間，隨即在這個空間上開發一個訪問接口，任何人想要通過訪問進入空間就必須接受訪問接口的認證審驗，審驗一般依照匹配策略來判斷訪問者身份是否合法、是否有授權的，即所有得到虛擬專用網絡訪問許可的用戶都會有一個賬號、密碼組合，這個組合保存在虛擬專用網絡空間系統內，當用戶想要訪問進入空間，就要在訪問接口界面上輸入賬號、密碼組合，而系統將會核對用戶輸入的賬號、密碼與系統保存的賬號、密碼之間是否完全匹配，只要有任意不匹配現象發生，就會拒絕訪問者訪問請求，這樣就能保護計算機網絡安全。另外，以上關于虛擬專用網絡技術原理的論述是針對常規虛擬專用網絡展開的，在其他技術形式中這種原理大體相同，但機制存在一定差異，用戶需要根據實際情況作出正確選擇[1]。

1.2 特征

虛擬專用網絡技術在實際應用中具備兩大特征，具體為：

（1）虛擬專用網絡技術對于設備的要求比較低，甚至可以在不完善的設備配置上繼續穩定運行，即虛擬專用網絡空間的基礎是公共網絡空間，因此本身并不需要太多設備，如交換機等設備就是虛擬專用網絡空間所不需要的，這一特征使得技術應用便捷性大幅提升，且不會占用太多網絡流量，人們只需要對網絡的參數進行調整就能保專用網絡穩定運行。同時硬件設備較少本身就具有一定的安全保障意義，即很多外部攻擊都是從設備著手發動的，說明虛擬專用網絡技術的安全性比較高；

（2）虛擬專用網絡技術的適用性很強，這得益于該項技術的多種形式，即虛擬專用網絡技術具有多種形式，因此能應用于不同網絡環境中，類似于企業內部網絡、電商網絡等，說明該項技術能滿足不同用戶的計算機網絡安全防護需求[2]。

2 虛擬專用網絡技術形式

2.1 VPN技術

VPN 技術是最常見的虛擬專用網絡技術形式，能夠有效保護計算機網絡的安全。VPN 技術常應用于遠距離通訊網絡中，原因在于VPN 技術在遠距離通訊中的運維成本較低，同時具有良好的安全性，這彌補了傳統遠距離通訊網絡的缺陷，即傳統遠距離通訊網絡配置中普遍需要租賃DDN 數字數據網專線，但這樣會導致通訊運維成本增加，且這種方式只能應用于PC 端，而在移動端遠距離通訊方面，普遍是通過撥號線路來進行遠距離通訊訪問的，而這樣一定會造成安全隱患，加大計算機網絡安全問題的發生概率。在這種情況下，VPN 技術的使用取代了傳統遠距離通訊網絡的配置方案，能夠在公共網絡中構建專用網絡，且專用網絡的構建不需要物理鏈路作為支撐，而是在公共網絡中的網絡平臺上假設服務器或軟件來實現，通訊時依靠邏輯隧道實現點對點數據傳輸，從網絡配置上就能阻隔大部分計算機網絡安全隱患。另外，VPN 技術還可以與加密技術、認證技術結合，實現通訊加密與用戶認證兩項功能，其中前者可以對通信過程中的數據信息提供安全保護，除了傳輸方與接收方，其他人不能干預，后者則可以識別用戶身份，避免惡意訪問等不利現象發生。

2.2 IPsee VPN技術

IPsee VPN 技術的核心是IPsee 協議，應用該項技術會使得計算機網絡中任何數據信息傳輸活動都要遵從協議進行IP地址傳輸，這種傳輸方式區別于傳統數據信息傳輸方式，在安全性上有顯著優勢，即首先IPsee VPN 技術能夠加強PC 端之間連接的安全水平，原因在于PC 端之間的連接不在依賴網關，而網關是很多外部攻擊瞄準的對象，因此當PC 端不需要網關進行連接，就等同于不會受到相關外部攻擊，說明IPsee VPN 技術對PC 端之間的數據信息傳輸提供了保護，如IPsee 會話保護等。其次IPsee VPN 技術可以讓網關之間的連接安全性提升，這一作用在企業的計算機網絡中表現最為突出，原因在于企業的計算機網絡架構復雜，且架構中每個板塊之間有必須相互關聯，因此網關是企業計算機網絡架構構建的基礎，但這也使得網關層面上的安全隱患威脅到了企業計算機網絡架構安全，而使用IPsee VPN 技術能夠對網關進行科學、合理的配置，用戶能隨時隨地調整網關參數，同步構建IPsee 隧道，隧道能支撐VPN 技術實施，借助VPN 技術保障隧道中網關通信安全性增加，還能讓網關通信更加穩定，有益于計算機網絡性能。此外，IPsee VPN 技術在不斷開發下具備了融合Trans-port 模式與隧道模式的功能，使得技術可以同時處理AH、SEP，實現外網IP 封裝，這對于計算機網絡點對點之間的數據傳輸更加有益，其有益性就體現在通信安全上。

2.3 MPLS技術

MPLS 技術的主要功能是搭建MPLS 虛擬網絡，該網絡是一種IP 專用網絡，能夠對數據信息傳輸提供安全保障。在計算機網絡安全保護方面，MPLS 技術的實際作用與其他兩項技術形式類似，本文就不多加贅述，但MPLS 技術還有益于計算機網絡的靈活性與可拓展性，這是該項技術的獨特價值。但值得注意的是，MPLS技術的應用必須建立在PE 路由器上，即要讓MPLS 技術融入計算機網絡，需要先針對PE 路游戲進行CR-LDP 配置，并設計LSP，設計形式一般采用分層設計，構成三層VPN 對立架構，隨之針對PEL 的VET 進行標記，完成VEI 表格搜索，再將搜索結果傳輸到CE 設備中，最終即可通過PE 路由器實現網絡數據表傳輸，同時可以采用PE2 路由器或者是LDP 協議發送其他連接表。可以看出，MPLS 技術對于硬件設備（即PE 路由器與PE2 路由器）具有依賴性，相比于VPN 技術與IPsee VPN 技術，MPLS 技術這一方面稍顯薄弱，但這不會造成安全性上的影響，只存在成本上的考慮。

3 虛擬專用網絡技術的應用方案

3.1 方案實施條件

參照現代計算機網絡安全問題的發展趨勢，企業計算機網絡是最常遭受惡意攻擊，也是最常出現病毒侵擾的計算機網絡，因此本文提出的虛擬專用網絡技術應用方案就針對某企業計算機網絡。

某企業在以往發展中早早實現了信息網絡化建設，建立了架構完善的計算機網絡，但自計算機網絡建立以來，該企業就不斷遭受外部惡意攻擊，同時還存在一些內部因素的影響，因此該企業對自身計算機網絡安全問題的成因進行了全面分析，結果顯示企業計算機網絡安全問題主要因為5 大因素產生，分別為企業內網安全性低、企業內網遠程訪問防護力度不足、企業對外的數據傳輸沒有加密、缺乏用戶認證機制、結構化安全管理不到位。因此本文方案要解決該企業這5 大因素，保障該企業計算機網絡安全。

3.2 方案架構

圖1 介紹了本文虛擬專用網絡技術應用方案的基本架構，結合圖1，下文將對架構進行全面解析，論證方案是否能解決該企業計算機網絡安全問題的5 大成因。

3.2.1 VPN 技術應用

參照圖1，本文方案中主要利用VPN 技術解決該企業的企業內網安全性低、企業內網遠程訪問防護力度不足兩大因素：

（1）針對該企業內網安全性現狀，首先要使用VPN 技術對企業內網進行架構整合，即企業內部存在很多職能部門，甚至有一些部分是獨立在外的，因此部分之間存在不小的隔閡，使得不同部分的計算機網絡安全防護力度出現差異，這種差異就是導致企業內網安全性低的主要原因。因此要借助VPN 技術將企業內所有職能部門的計算機網絡連接在一起，構建一個整體的局域網，這個局域網落位于公共網絡，在VPN 技術作用下具有密閉性特征，因此能夠提高內網安全性。其次出于企業管理考慮，企業可以利用VPN 技術對各職能部門進行點對點的管理，或者在局域網中進行群發，實現一對多的數據傳輸，這樣無論是局域網本身還是局域網內部的數據傳輸都得到了更高的安全保障；

（2）針對該企業內網遠程訪問防護力度不足因素，借助VPN技術可以讓局域網虛擬化（虛擬化后就完成了虛擬專用網絡搭建），在虛擬環境中實現信息資源共享，這樣只有得到網絡管理員許可的用戶才能通過遠程方位進入資源共享中心，隨即往常一系列操作，使得數據傳輸速度增快，且安全性更高。同時，建議企業在虛擬專用網絡搭建過程中也要利用VPN 技術對出口網關進行統一管理，即VPN 技術可以將各職能部門的網關連接在一起，便于企業實施統一管理，因此能有效保障網絡與數據安全，加大了遠程訪問的防護力度。

3.2.2 IPsee VPN 技術應用

本文方案主要利用IPsee VPN 技術解決該企業的企業對外的數據傳輸沒有加密、缺乏用戶認證機制因素：

（1）針對該企業對外數據傳輸沒有加密因素，因為在信息時代下企業必須積極對外進行數據傳輸，不可能降低對外傳輸的頻次，否則企業會被時代淘汰，所以企業必須采用技術手段去解決其中存在的安全問題。在這種情況下，該企業可以使用IPsee VPN 技術加強自身PC 端與對方企業PC 端的連接安全性，突破網關限制，使得對外數據傳輸不易被攻擊，傳輸過程也不容易被截取，說明對外數據傳輸安全性提升。同時出于安全性最大化考慮，該企業還能借助IPsee VPN 技術對傳輸的數據進行簽名加密，即簽名加密就是先將數據打包，隨即對數據包進行簽名，任何用戶獲取到該數據包之后要解壓讀取其中數據就必須輸入正確簽名，這樣即使數據包被截取也不會泄密，因此實現了數據加密，保障了對外數據傳輸的安全性；

（2）針對該企業缺乏用戶認證機制因素，IPsee VPN 技術可以從傳輸對象身份、訪問者身份兩個層面實現用戶認證，確保數據可以被傳輸給正確對象，且避免惡意訪問等類似現象發生，即在傳輸對象身份上，當企業對外發送數據包，數據包會先被虛擬專用網絡截留，同步向傳輸對象發送身份認證請求，只有傳輸對象輸入了正確認證秘鑰后，網絡才會繼續發送數據包。而在惡意訪問方面，IPsee VPN 技術除了會參照賬號、密碼組合進行匹配度認證以外，還會對訪問對象的IP 地址進行核實，若訪問對象的IP 地址存在變化，則會要求訪問對象輸入動態秘鑰，不通過同樣會拒絕訪問。

3.2.3 MPLS 技術應用

本文方案主要利用MPLS 技術解決該企業結構化安全管理不到位因素，旨在強化該企業結構化安全管理力度。應用中，MPLS 技術可以在虛擬專用網絡中構建專門的數據傳輸隧道，并針對隧道進行安全保護，讓安全管理結構變得更加簡單，因此安全管理力度能夠更加集中，力度自然提升。而在MPLS 技術優化后的隧道傳輸結構安全管理工作中，MPLS 技術可以通過實時安全檢驗命令等機制對傳輸過程進行檢測，若發現異常現象，MPLS 技術將自動開啟信息安全防護機制，自動完成信息備份、停止數據傳輸等，避免信息外泄、損壞。

4 結語

綜上，相比于傳統計算機網絡安全防護技術，虛擬專用網絡技術更具優勢與應用價值，本文在研究中介紹了該項技術的基本概念與特征。隨后文中圍繞該項技術的三大形式，結合案例5 大計算機安全問題成因提出了技術應用方案，通過方案可以有效解決各項因素，使得計算機網絡安全水平提升。