【摘 要】VPN技術(shù)代表了互聯(lián)網(wǎng)的發(fā)展趨勢，將傳統(tǒng)網(wǎng)絡(luò)的服務(wù)質(zhì)量和網(wǎng)絡(luò)安全結(jié)合起來，簡化了數(shù)據(jù)共享結(jié)構(gòu)，減少了通信成本，能夠建立安全的傳輸通道。相關(guān)技術(shù)人員還需要對該技術(shù)的應(yīng)用進(jìn)行不斷的探索和研究，為網(wǎng)絡(luò)安全提供可靠保障。鑒于此，本文首先介紹了VPN技術(shù)的特征，其次對網(wǎng)絡(luò)安全的VPN技術(shù)實(shí)施對策進(jìn)行了探討，最后對VPN技術(shù)安全網(wǎng)關(guān)及應(yīng)用進(jìn)行了分析，僅供參考。

【關(guān)鍵詞】VPN技術(shù)；特征；安全

一、VPN技術(shù)的特征

VPN技術(shù)的安全性指的是私有信息在VPN傳輸時(shí)能夠保證期完整性、可控性、機(jī)密性、可審計(jì)性，其基本的安全性能包括如下特征：第一，加密和隧道功能：VPN的隧道協(xié)議封裝并壓縮了多協(xié)議用戶的私有信息，隱藏了用戶的真實(shí)數(shù)據(jù)，提高了VPN技術(shù)的靈活性，能夠在IP網(wǎng)絡(luò)中提供有效的邏輯通道，實(shí)現(xiàn)了對私有數(shù)據(jù)的基本保護(hù)。由于網(wǎng)絡(luò)安全要求的提高，通過VPN技術(shù)的加密隧道能夠進(jìn)一步確保數(shù)據(jù)的完整性和私密性，使用戶信息在開放透明的網(wǎng)絡(luò)環(huán)境中傳輸時(shí)不會遭到非法篡改或窺視；第二，數(shù)據(jù)級鑒別：VPN是在公共網(wǎng)絡(luò)上構(gòu)建的，用戶信息容易遭到非法截獲和篡改并再次發(fā)送，從而造成接收的數(shù)據(jù)錯(cuò)誤，VPN技術(shù)能夠?qū)?shù)據(jù)進(jìn)行驗(yàn)證，識別接收信息是否被篡改，確保數(shù)據(jù)完整，規(guī)避了傳輸過程中的攻擊；第三，用戶級認(rèn)證：VPN技術(shù)具有用戶認(rèn)證功能，能夠保證用戶對允許訪問的資源進(jìn)行合理訪問，同時(shí)會拒絕非授權(quán)用戶的訪問請求；第四，設(shè)備級認(rèn)證：該級別的認(rèn)證功能能夠?qū)鬏斔淼榔鹗己徒K止的信任設(shè)備進(jìn)行認(rèn)證，確保通信雙方真實(shí)可靠；第五，攻擊檢測和防火墻：VPN技術(shù)中的防火墻能夠?qū)?shù)據(jù)包進(jìn)行過濾，拒絕非法訪問，攻擊檢測功能能夠?qū)?shù)據(jù)包信息進(jìn)行深入分析，確定數(shù)據(jù)是否合法，并實(shí)時(shí)提供安全應(yīng)用策略，阻斷具有非法訪問的通信連接，并給予提示和警告，自動生成非法訪問記錄，有助于跟蹤分析攻擊行為。VPN技術(shù)將攻擊檢測盒防火墻功能有機(jī)結(jié)合，能夠有效預(yù)防攻擊，確保網(wǎng)絡(luò)安全，不僅隔離了外部網(wǎng)絡(luò)的攻擊行為，也能夠?qū)?nèi)部網(wǎng)絡(luò)的非法訪問進(jìn)行過濾。

二、基于網(wǎng)絡(luò)安全的VPN技術(shù)實(shí)施對策

1、構(gòu)建VPN技術(shù)功能模型

VPN技術(shù)包括隧道技術(shù)、加密解密技術(shù)、認(rèn)證技術(shù)和密鑰管理技術(shù)，通過這些技術(shù)能夠傳輸私有數(shù)據(jù)，確保網(wǎng)絡(luò)安全。

2、隧道技術(shù)

VPN技術(shù)的基本技術(shù)就是隧道技術(shù)，是實(shí)現(xiàn)虛擬特征的基礎(chǔ)，與點(diǎn)對點(diǎn)連接相似，通過在公共網(wǎng)絡(luò)上構(gòu)建邏輯數(shù)據(jù)通道對用戶私有數(shù)據(jù)實(shí)施運(yùn)載。通過隧道協(xié)議形成隧道，包括第二層和第三層兩種協(xié)議，在建立第二層協(xié)議時(shí)，要先對不同的網(wǎng)絡(luò)協(xié)議進(jìn)行分組并封裝至PPP協(xié)議中，再將封裝數(shù)據(jù)包放入隧道協(xié)議，將雙層封裝數(shù)據(jù)包經(jīng)第二層協(xié)議實(shí)施傳輸。通常，運(yùn)用較多的第二層協(xié)議包括PPTP、L2F、L2TP等。其中PPTP是基于PPP協(xié)議制定出來的，增加了PPP協(xié)議的安全等級，為服務(wù)器和客戶之間提供可靠地加密通信，在中小企業(yè)中應(yīng)用較多，但是其安全性無法保證，并不適用于需要安全保證的通信；L2TP將PPTP和二層轉(zhuǎn)發(fā)協(xié)議的特點(diǎn)結(jié)合起來，控制隧道沿用PPTP協(xié)議，過程認(rèn)證則沿用二層轉(zhuǎn)發(fā)協(xié)議。

第三層協(xié)議則需要將分組后的網(wǎng)絡(luò)協(xié)議直接封裝在隧道協(xié)議中，并進(jìn)行傳輸，通常第三層協(xié)議為IPSec和GRE。其中GRE協(xié)議對網(wǎng)絡(luò)層協(xié)議的封裝進(jìn)行了規(guī)定，通過GRE協(xié)議，用戶能夠利用公共網(wǎng)絡(luò)和私網(wǎng)地址進(jìn)行通信互聯(lián)，并對隱藏了企業(yè)的IP地質(zhì)。GRE僅提供了數(shù)據(jù)封裝，并不具備加密功能，無法組織網(wǎng)絡(luò)攻擊或監(jiān)聽，在實(shí)際應(yīng)用中需要與IPSec結(jié)合使用；IPSec主要在IP層進(jìn)行工作，其安全服務(wù)包括訪問控制、驗(yàn)證數(shù)據(jù)來源、自動密鑰管理、防止重放保護(hù)等。

3、加密解密技術(shù)

屬于成熟的數(shù)據(jù)通信技術(shù)，包括對稱加密和公開加密兩種類型，在實(shí)際應(yīng)用中，將兩種加密技術(shù)混合。通過公開加密對數(shù)字簽名、認(rèn)證和安全會話等場合進(jìn)行加密，而對稱加密則用于保護(hù)傳輸數(shù)據(jù)的完整性。選擇性能優(yōu)越、安全性高、無縫集成隧道協(xié)議的加密解密技術(shù)能夠?yàn)榫W(wǎng)絡(luò)安全提供可靠保障。

4、認(rèn)證技術(shù)

主要是對使用設(shè)備和使用人員的身份進(jìn)行認(rèn)證，分為單因素和雙因素兩種認(rèn)證類型，應(yīng)用較為廣泛的是對用戶名、口令或密碼的簡單認(rèn)證，可以利用安全性高、復(fù)雜性強(qiáng)的身份認(rèn)證，例如動態(tài)密碼、數(shù)字證書、生物識別等，在具體實(shí)踐中通過短信息、密碼卡、聲音、指紋等進(jìn)行身份認(rèn)證。通常，VPN技術(shù)采用將簡單認(rèn)證和擴(kuò)展認(rèn)證結(jié)合起來的雙因素認(rèn)證技術(shù)，來確保網(wǎng)絡(luò)中設(shè)備和用戶的安全。

5、密鑰管理技術(shù)

與加密技術(shù)緊密聯(lián)系，其主要任務(wù)是在開放的網(wǎng)絡(luò)環(huán)境中確保傳遞密鑰安全且不被竊取。目前，密鑰管理技術(shù)包括SKIP和ISAKMP兩種，其中SKIP通過Diffie-Hellman演算法傳輸密鑰，ISAKMP則通過公開的密鑰機(jī)制，通信雙方都擁有公用和私用兩把密鑰。

三、VPN技術(shù)安全網(wǎng)關(guān)

VPN技術(shù)的網(wǎng)關(guān)是確保網(wǎng)絡(luò)安全的重要組成部分，處于互聯(lián)網(wǎng)和組織內(nèi)部網(wǎng)絡(luò)的連接位置，會受到外部網(wǎng)絡(luò)的直接威脅，要確保VPN網(wǎng)關(guān)安全，必須將網(wǎng)絡(luò)系統(tǒng)中的防火墻與網(wǎng)關(guān)集成，形成安全網(wǎng)關(guān)。

將VPN網(wǎng)關(guān)和防火墻相互協(xié)調(diào)，通過防火墻的安全性和實(shí)用性，提高網(wǎng)關(guān)的安全性，形成專用網(wǎng)關(guān)系統(tǒng)，對linux進(jìn)行重新編譯或優(yōu)化，建立VPN技術(shù)隧道并進(jìn)行加密，集成IDS，對網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵信息進(jìn)行搜集分析，可以有效預(yù)防黑客的非法攻擊；同時(shí)，安全網(wǎng)關(guān)還具有管理服務(wù)功能，對服務(wù)狀況進(jìn)行監(jiān)控并優(yōu)化服務(wù)質(zhì)量，能夠及時(shí)調(diào)整策略，滿足不同的用戶需求；此外，安全網(wǎng)關(guān)還具備安全漏洞檢測功能，可以阻隔攻擊行為。

四、VPN技術(shù)的應(yīng)用

VPN技術(shù)的核心是隧道技術(shù)，主要包括數(shù)據(jù)信息的封裝、傳輸以及解壓三個(gè)過程。由于VPN是建立在網(wǎng)絡(luò)規(guī)范的基礎(chǔ)上，因此可以保障數(shù)據(jù)信息在兩端點(diǎn)之間的建立與拆除，通過隧道技術(shù)能夠?qū)⑵渌麉f(xié)議中的數(shù)據(jù)信息包重新包裝并再次發(fā)送，而新的信息包具有提供路由信息的功能，能夠?qū)⒎庋b的信息通過互聯(lián)網(wǎng)實(shí)現(xiàn)傳遞功能，因此將數(shù)據(jù)信息在公共網(wǎng)絡(luò)進(jìn)行傳遞的路徑形象的比作隧道，當(dāng)信息傳遞到終點(diǎn)時(shí)接報(bào)的數(shù)據(jù)就被發(fā)送到最終的目的地。

VPN技術(shù)的使用者必須通過系統(tǒng)授權(quán)才能進(jìn)行訪問等操作。由于VPN技術(shù)超越公共網(wǎng)絡(luò)系統(tǒng)，對于那些沒有授權(quán)的通過隧道技術(shù)建立的冒名非法用戶將采取直接阻隔的方式阻止其入侵，即使是對于合法用戶VPN技術(shù)也采取了極其嚴(yán)格的認(rèn)證措施，對于認(rèn)證服務(wù)器也有嚴(yán)格要求，因此公司引進(jìn)VPN技術(shù)在安全性能方面就有了極大的保障，公司也不用過分擔(dān)心非法入侵給公司帶來的巨大損失了。應(yīng)用VPN技術(shù)不僅能實(shí)現(xiàn)信息傳遞與網(wǎng)絡(luò)環(huán)境的安全性，還能實(shí)現(xiàn)對網(wǎng)絡(luò)地址的管理。很多企業(yè)都有自己的分公司，為了便于管理，提高工作效率，企業(yè)必須引進(jìn)較為先進(jìn)的管理技術(shù)，VPN技術(shù)則是首選。通過VPN技術(shù)可以很好的對公用網(wǎng)絡(luò)實(shí)行加密處理，各分公司的網(wǎng)路服務(wù)器和總部集團(tuán)公司的網(wǎng)絡(luò)服務(wù)器之間可以互相交流訪問，服務(wù)器系統(tǒng)有郵件系統(tǒng)、辦公自動化系統(tǒng)、視頻會議系統(tǒng)等?？偛考瘓F(tuán)使用公司私用網(wǎng)絡(luò)地址鏈接映射到公共網(wǎng)絡(luò)后進(jìn)行訪問，分公司在此過程中需要使用集團(tuán)公司分配的私有地址才能進(jìn)行訪問。由此可見VPN技術(shù)不僅可以為各分公司的提供網(wǎng)絡(luò)聯(lián)接功能，還滿足了各分公司對于集團(tuán)總部企業(yè)內(nèi)網(wǎng)絡(luò)資源的訪問需求。

此外VPN在圖書館方面以及計(jì)算機(jī)教學(xué)資源網(wǎng)中都有很好的應(yīng)用，通過VPN技術(shù)能夠使得圖書館更好地管理圖書資源，并使得借閱與歸還系統(tǒng)圖書管理變得更加便捷；對于計(jì)算機(jī)資源網(wǎng)也有著異曲同工的效果，學(xué)生可以很好的分享計(jì)算機(jī)資源網(wǎng)中的信息，同時(shí)防止這些信息被人非法使用及傳遞，保證正常的網(wǎng)絡(luò)秩序，是相關(guān)人員更好的從事辦公事務(wù)。

結(jié)束語

電子信息時(shí)代最主要的特點(diǎn)就是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)取代了原先落后低效的辦公方法，資源的傳遞與共享以及系統(tǒng)內(nèi)部的有效管理，VPN技術(shù)則能很好地滿足人們在這方面的需求，使用VPN技術(shù)能夠?qū)崿F(xiàn)異地資源共享與傳遞，在安全的基礎(chǔ)上實(shí)現(xiàn)對整個(gè)系統(tǒng)的良好管理，且具有經(jīng)濟(jì)便捷的特點(diǎn)，是人們管理網(wǎng)絡(luò)的良好工具。

參考文獻(xiàn)：

[1]劉杰.VPN架構(gòu)下基于IPSec協(xié)議的NAT-T研究與改進(jìn)[D].淮北師范大學(xué)，2014.

[2]楊鐸.基于MPLS VPN技術(shù)的組網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué)，2014.

[3]劉陽.基于USBkey認(rèn)證的SSL VPN網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)[D].吉林大學(xué)，2014.

[4]李丞.MPLS VPN技術(shù)在電力綜合數(shù)據(jù)網(wǎng)中的應(yīng)用[D].吉林大學(xué)，2014.

[5]李金明.DS-TE應(yīng)用MPLS VPN網(wǎng)絡(luò)解決時(shí)延問題的研究[D].吉林大學(xué)，2014.