摘要：靈活安全的廣域通信方式在越來越多的企業(yè)中實現(xiàn)。對于傳統(tǒng)網(wǎng)絡(luò)解決方案的處理能力的不足問題，分析了Internet連接和基于IP網(wǎng)絡(luò)錯綜復(fù)雜環(huán)境下的網(wǎng)絡(luò)發(fā)展情況，對于目前各個公司的網(wǎng)絡(luò)連通來說，基于IP的虛擬專用網(wǎng)（VPN）解決方案成為可行之道。本文主要探討了從構(gòu)建和通過研究VPN基本算法方面進行了對VPN技術(shù)的簡要分析，并通過構(gòu)建實例和實際應(yīng)用中遇到的問題及問題的解決加以必要的闡述。

關(guān)鍵詞：虛擬專用網(wǎng)；隧道技術(shù)；數(shù)據(jù)加密；安全性；協(xié)議

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1007-9599（2012）24-0089-02

1 引言

目前隨著Internet網(wǎng)絡(luò)迅速發(fā)展，對于企事業(yè)單位和個人用戶都帶來了深遠影響，為了使得提高辦事效率和反應(yīng)速度更具有競爭力，他們通過Internet可以把重要數(shù)據(jù)進行異地取回，同時，也面臨著這種互聯(lián)網(wǎng)開放性所帶來的數(shù)據(jù)安全的新挑戰(zhàn)。為了使得客戶、銷售商、移動用戶、遠程用戶和內(nèi)部用戶的安全訪問，這樣的通過臨時的、安全的連接的公用網(wǎng)絡(luò)還是存在一定問題，可以看作是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的“隧道”；以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的“戰(zhàn)壕”和“隧道”，而這個“戰(zhàn)壕”就是防火墻，“隧道”就是VPN（虛擬專用網(wǎng)）[1]。

2 利用防火墻構(gòu)建VPN設(shè)計

2.1 體系結(jié)構(gòu)設(shè)計

首先，對于安全隧道代理（STA）來說，在VPN用戶代理（UA）的請求建立安全隧道條件下，在接受安全隧道代理，然后可以通過VPN管理中心的相應(yīng)的管理和控制，安全隧道可以在公用互聯(lián)網(wǎng)絡(luò)上建立，第二步然后進行透明傳輸用戶端信息。其中，對于用戶身份認證與管理及密鑰的分配管理來說，這是相對獨立的，同時，都是由用戶認證管理中心和VPN密鑰分配中心進行管理。對于用戶代理來說，往往存在以下三種形式，即用戶認證功能（UAF）， 訪問控制功能（ACF），安全隧道終端功能（STF）。完整的VPN服務(wù)由上述幾個部分向用戶高層應(yīng)用進行服務(wù)提供[2]。

為了信息的安全傳輸和系統(tǒng)的管理功能更好在公用互聯(lián)明絡(luò)基礎(chǔ)上進行實現(xiàn)，對于安全隧道代理（STA）和VPN管理中心（MC）來說，其可以組成VPN安全傳輸平面（STP），對于作為安全傳輸平面的輔助平面的公共功能平面（CFP）來說，其主要由VPN密鑰分配中心（KDC）和用戶認證管理中心（UAAC）組成。其中，管理及密鑰的分配管理，另外還有向VPN用戶代理提供相對獨立的用戶身份認證則是其的主要功能。

對于與VPN用戶代理直接聯(lián)系的用戶認證管理中心（UAAC）來說，VPN用戶代理的身份認證通過向安全隧道代理提供，同時還可以在需要的情況下同安全隧道代理（STA）聯(lián)系，同時，雙向的身份認證在VPN用戶代理和安全隧道代理中提供。

2.2 利用的軟件的介紹

本文所提到的設(shè)計方法是利用以色列的Check Point公司出品的Check Point Firewall-1，這是種硬件防火墻。對于這種市場上老資格的軟件防火墻產(chǎn)品來說，其具有多重平臺的可移植性，包括Unix、WinNT、Win2K等系統(tǒng)平臺，同時具有較為優(yōu)秀的中和性能，這種檢測狀態(tài)和多平臺兼容性使其優(yōu)點。

3 實現(xiàn)利用防火墻構(gòu)建VPN實例步驟

在FireWall-1中，可以將規(guī)則加入到Policy Editor的規(guī)則集中，以覆蓋所有的VPN操作。只需要加入兩條規(guī)則就能啟用密鑰的交換，以便在兩個網(wǎng)絡(luò)之間建立加密通信。還需要即將Encrypt加入規(guī)則集的Action列。（1） 單擊“開始”，指向“程序”，再指向Check Point Management Clients，然后單擊Policy Editor NG FP2來打開Check Point Policy Editor窗口，輸入口令，單擊OK。（2） 單擊Rules，指向Add Rule，單擊Below，再在Policy Editor的Rule Base面板中單擊Desktop Security|Standard。（3）在Inbound Rules，右擊Action，選擇Query Column；（4）在Rule Base Query Clause對話框中，在Not in list欄單擊Encrypt，但后單擊Add將Encrypt移動到In List欄中。（5）單擊Close。（6）對于Outbound Rules重復(fù)3和4步。（7）單擊Rules，指向Add Rule，選擇Below。（8）在Inbound Rules區(qū)域，往下拉該列表到最底下的新規(guī)則。在Source欄中右擊Any，選擇Add，打開Add Object對話框。（9）單擊Local Gateway，然后單擊OK；（10）在Inbound Rules區(qū)域，單擊Rules，指向Add Rule，單擊Below來創(chuàng)建第二條VPN規(guī)則； （11）單擊Remote Gateway，然后單擊OK；（12）右擊Action欄下Accept，選擇Encrypt；（13）右擊Track欄下的None，選擇Log；（14）高亮顯示Inbound Rules區(qū)域，單擊Rules，指向Add Rule，單擊Below來創(chuàng)建第二條VPN；（15） 在Source欄右擊Any，選擇Add。隨后出現(xiàn)Add Object對話框。（16） 單擊Remote_Gateway，然后單擊OK；（17） 高亮顯示Outbound Rules區(qū)域，右擊Destination欄下的Any，選擇Add-Add Object對話框；（18） 單擊Local_Gateway，然后單擊OK；（19）右擊Action欄下的Accept，單擊Encrypt；（20）右擊Track欄下的None，選擇Log；（21）單擊File，選擇Save；（22） 單擊File，選擇Exit關(guān)閉Check Point Policy Editor返回桌面。

4 實例模型實現(xiàn)關(guān)鍵技術(shù)

4.1 建立VPN通道的協(xié)議：IPSECIPSec在機密性、完整性、認證性方面保證了公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)包的安全。對于以上三種保護形式來說，IPSec主要包括以下三種基本要素。即安全加載封裝、認證協(xié)議頭以及互聯(lián)網(wǎng)密鑰管理協(xié)議。其中，對于認證協(xié)議頭和安全加載封裝來說，為了保證所希望的保護等級，可以通過分開或組合而進行使用。認證和加密對于VPN來說顯得尤為需要，因為未經(jīng)授權(quán)的用戶只有在雙重安全的條件及措施下，不能進入VPN。VPN上傳輸?shù)男畔⒍粦?yīng)該被Internet上的竊聽者進行截取。對于密鑰交換功能來說，手工或自動交換密鑰則是兩種基本方式。數(shù)據(jù)加密標(biāo)準（DES）在IPSec中常常采用，其它多種加密方法也被其采用。目前，常用的兩種密鑰管理方式則是手工和自動兩種方式。

4.2 IPSec的實現(xiàn)方式

為了盡可能的避免相關(guān)的網(wǎng)絡(luò)資源升級的需要，IPSec可以通過共享網(wǎng)絡(luò)而進行設(shè)備訪問，這可以在相關(guān)的所有的主機和服務(wù)器上完全實現(xiàn)。傳送模式和隧道模式則是IPSec的兩種實現(xiàn)方式。另外，在壓縮原始IP地址和數(shù)據(jù)的隧道模式中，IPSec數(shù)據(jù)包可以進行傳輸，另外對于當(dāng)ESP在一臺主機（客戶機或服務(wù)器）上實現(xiàn)時使用的傳輸模式情況下，原始明文IP頭在只加密數(shù)據(jù)的情況下，這種傳輸模式是包括其TCP和UDP頭。

在ESP在關(guān)聯(lián)到多臺主機的網(wǎng)絡(luò)訪問介入裝置實現(xiàn)的情況下，隧道模式處理整個IP數(shù)據(jù)包具體包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，其實現(xiàn)的方式則是用自己的地址做為源地址加入到新的IP頭。

5 結(jié)束語

為了保證VPN這條安全的數(shù)據(jù)通道，在構(gòu)建其協(xié)議中需要注意以下幾點問題：（1）保證數(shù)據(jù)的真實性，抵抗地址冒認（IP Spoofing）的功能能夠保證通信主機必須是經(jīng)過授權(quán)的；（2）保證通道的機密性，為了使得偷聽者不能破解攔截到的通道數(shù)據(jù)，則必須進行提供強有力的加密手段；（3）保證數(shù)據(jù)的完整性，應(yīng)該具有抵抗不法分子纂改數(shù)據(jù)的能力，這樣才能保證接收到的數(shù)據(jù)必須與發(fā)送時的一致。

參考文獻：

[1]黃樂輝.局域網(wǎng)安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用[J].甘肅科技，2006，22（6）.

[2]蔣韜，劉積仁，秦揚.一種集成的可伸縮的網(wǎng)絡(luò)安全系統(tǒng)[J].軟件學(xué)報，2002，13（3）.