吳義三

湖北省咸寧職業(yè)技術(shù)學(xué)院(咸寧 437100)

VPN(Virtual Private Network，虛擬專用網(wǎng))能夠借助公共網(wǎng)絡(luò)(一般為互聯(lián)網(wǎng))建立安全的連接，可以使遠(yuǎn)程用戶通過Internet 安全的連接到企業(yè)內(nèi)部的局域網(wǎng)，可對(duì)企業(yè)內(nèi)部的網(wǎng)絡(luò)資源信息進(jìn)行訪問。虛擬專用網(wǎng)能夠幫助協(xié)助遠(yuǎn)距離用戶、公司分支組織、商業(yè)合伙人等，經(jīng)過互聯(lián)網(wǎng)在每一個(gè)內(nèi)部網(wǎng)絡(luò)之間設(shè)置能夠互信的安全網(wǎng)絡(luò)連接，并保障相關(guān)數(shù)據(jù)的傳送安全[1]?；赩PN 架構(gòu)中，遠(yuǎn)程用戶客戶機(jī)可以像其他位于內(nèi)部網(wǎng)絡(luò)的客戶機(jī)一樣連接到企業(yè)的網(wǎng)絡(luò)中完成公務(wù)。

1 VPN 網(wǎng)絡(luò)

VPN 是一種設(shè)立在公共網(wǎng)絡(luò)的專用網(wǎng)絡(luò)的技術(shù)。虛擬專用網(wǎng)VPN 穿越專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)(如Internet)在VPN 客戶端與VPN 服務(wù)器之間建立邏輯連接，這不是直接的物理連接，但這是安全的點(diǎn)對(duì)點(diǎn)的連接。VPN 客戶端對(duì)VPN 服務(wù)器上的虛擬性端口上實(shí)行虛擬性呼叫，訪問遠(yuǎn)距離服務(wù)器應(yīng)答虛擬性呼叫，并可對(duì)呼叫者身份實(shí)行驗(yàn)證，身份驗(yàn)證通過后建立連接，然后在VPN 客戶端與VPN 服務(wù)器之間傳輸數(shù)據(jù)，通過該連接所發(fā)送的數(shù)據(jù)以加密方式傳輸。

遠(yuǎn)程訪問VPN 連接使在家中或路途工作的用戶可以隨時(shí)使用Internet 訪問企業(yè)專用網(wǎng)絡(luò)上的服務(wù)器，VPN 客戶端與VPN 服務(wù)器之間使用基于TCP/IP 的隧道協(xié)議連接，如圖1 所示。從用戶的角度來看，VPN是客戶端與企業(yè)服務(wù)器之間的點(diǎn)對(duì)點(diǎn)連接。VPN 以邏輯形式出現(xiàn)，仿佛數(shù)據(jù)通過專用鏈路發(fā)送一樣[2]。

2 VPN 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的需求分析

2.1 VPN 連接的身份驗(yàn)證

VPN 連接的身份驗(yàn)證采用三種不同的形式：

(1)使用PPP 身份驗(yàn)證的用戶級(jí)身份驗(yàn)證。為了建立VPN 連接，VPN 服務(wù)器使用點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證方法對(duì)正在嘗試連接的VPN 客戶端進(jìn)行身份驗(yàn)證，并驗(yàn)證VPN 客戶端是否擁有相應(yīng)的授權(quán)。如果使用相互身份驗(yàn)證，VPN 客戶端也將對(duì)VPN 服務(wù)器進(jìn)行身份驗(yàn)證[3]。

(2)運(yùn)用Internet 密鑰互換(IKE)的電腦級(jí)的身份驗(yàn)證。為能夠設(shè)立 Internet 協(xié)議安全 IPsec(Internet Protocol Security)的安全連接，VPN 客戶端和VPN 服務(wù)器使用IKE 協(xié)議交換計(jì)算機(jī)證書或預(yù)共享密鑰。以這種方式連接，VPN 客戶端和VPN 服務(wù)器都在計(jì)算機(jī)級(jí)別進(jìn)行相互身份驗(yàn)證。強(qiáng)烈建議使用計(jì)算機(jī)證書身份驗(yàn)證，因?yàn)檫@種身份驗(yàn)證方法其安全性要強(qiáng)大得多。在Windows Server 2008 中對(duì)L2TP/IPsec 連接執(zhí)行計(jì)算機(jī)級(jí)身份驗(yàn)證。

2.2 VPN 的數(shù)據(jù)加密

為了保證數(shù)據(jù)在共享傳輸網(wǎng)絡(luò)或公用傳輸網(wǎng)絡(luò)上傳遞過程時(shí)數(shù)據(jù)信息的保密性，由傳遞方實(shí)行對(duì)數(shù)據(jù)的加密處理，由收取方對(duì)接收數(shù)據(jù)實(shí)行解密處理，發(fā)送方和接收方使用通用加密密鑰，加密和解密過程的完成依賴于收發(fā)雙方。

不具有能夠運(yùn)用通用加密性密鑰資質(zhì)的用戶，即便對(duì)在經(jīng)過VPN 連接的傳送網(wǎng)絡(luò)傳送的數(shù)據(jù)包進(jìn)行了截取，也不能夠解析相關(guān)數(shù)據(jù)。作為主要的安全參數(shù)的加密性密鑰的長(zhǎng)度，顯得異常重要的是應(yīng)該運(yùn)用最大化的密鑰來保障傳送的數(shù)據(jù)保密性。但是，這種方法隨著加密密鑰的增大，加密和解密的速度會(huì)降低，就需要更強(qiáng)的計(jì)算能力和更多的計(jì)算時(shí)間，因此要根據(jù)實(shí)際情況權(quán)衡，選擇適當(dāng)?shù)拿荑€長(zhǎng)度。

3 VPN 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)

為何要稱為虛擬網(wǎng)，主體是由于完整VPN 網(wǎng)絡(luò)的隨意兩個(gè)節(jié)點(diǎn)中間的連接并無固有專網(wǎng)中所需要的從端到端的物理鏈路，卻是構(gòu)架在公共網(wǎng)絡(luò)服務(wù)商所供給的網(wǎng)絡(luò)平臺(tái)(如國(guó)際互聯(lián)網(wǎng)絡(luò)Internet，ATM，F(xiàn)rame Relay 等)之上的邏輯性網(wǎng)絡(luò)，用戶數(shù)據(jù)信息傳輸通過邏輯鏈路來完成。并經(jīng)過VPN可以模擬點(diǎn)對(duì)應(yīng)點(diǎn)專線鏈路的形式，經(jīng)過同享或公共網(wǎng)絡(luò)在兩臺(tái)電腦中間進(jìn)行數(shù)據(jù)交換。虛擬性的專用聯(lián)網(wǎng)則是創(chuàng)立和設(shè)置虛擬性專用網(wǎng)的做法。需要進(jìn)行模擬點(diǎn)對(duì)應(yīng)點(diǎn)鏈路的方式，應(yīng)該包裝或壓縮或數(shù)據(jù)信息，并贈(zèng)添上一個(gè)供給路由信息所使用的報(bào)頭，此報(bào)頭能夠使數(shù)據(jù)信息經(jīng)過共享或公共網(wǎng)絡(luò)抵達(dá)其終端。為起到安全保密性的功效，倘若要進(jìn)行模擬專用性鏈路通道，則還應(yīng)對(duì)數(shù)據(jù)信息進(jìn)行加密處理。只需進(jìn)行了加密處理，如果不知曉密鑰數(shù)據(jù)，即便自同享或是公共網(wǎng)絡(luò)對(duì)數(shù)據(jù)包進(jìn)行了截取，也是很難解密的。封裝和加密專用數(shù)據(jù)之外的連接是VPN 連接。在家里或者旅途中工作的用戶可以使用VPN 連接建立到企業(yè)內(nèi)網(wǎng)的服務(wù)器的遠(yuǎn)程訪問。

對(duì)監(jiān)視器有效用的管控信息是由代理匯集和保存的，然則代理如何將此類信息傳遞給監(jiān)視器呢? 有兩類技術(shù)可使用在代理和監(jiān)視器中間的通信過程當(dāng)中。一類稱為輪詢(Polling)，一類稱為事件匯報(bào)(Event Reporting)。輪詢是一類要求呼應(yīng)式的交結(jié)功用，即從監(jiān)視器對(duì)代理發(fā)出要求，問詢其要需求的信息數(shù)值，代理再來呼應(yīng)監(jiān)視器的要求，從其所存儲(chǔ)的管控信息資源庫(kù)中獲取要求的相關(guān)信息，再次回傳給予到監(jiān)視器。請(qǐng)求可以采用各種不同的形式，例如列出一些變量的名字，要求代理返回變量的值：或者給出一種匹配模式，要求代理搜索與模式匹配的所有變量的值；監(jiān)視器可能要查詢它所管理的系統(tǒng)的配置，或者周期地詢問被管理系統(tǒng)配置改變的情況；監(jiān)視器也可能在收到一個(gè)報(bào)警后用輪詢方式詳細(xì)調(diào)查某個(gè)區(qū)域的真實(shí)情況，或者根據(jù)用戶的要求通過輪詢生成一個(gè)配置報(bào)告。

事件報(bào)告是由代理主動(dòng)發(fā)送給管理站的消息。代理可以根據(jù)管理站的需求(期間、形式等)限定時(shí)間地傳送狀況匯報(bào)，也或許在檢驗(yàn)到某類特殊限定的事情(例如型態(tài)變化)或非尋常事情(例如產(chǎn)生故障)時(shí)生成事態(tài)匯告，傳送給予管理站。事件報(bào)告對(duì)于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的問題是很有用的，特別對(duì)于監(jiān)控狀態(tài)信息不經(jīng)常改變的管理對(duì)象更有效。

路由即是指經(jīng)過互相連接的網(wǎng)絡(luò)， 將數(shù)據(jù)信息自起源位置轉(zhuǎn)移 到目的位置的行動(dòng)。普遍 而言，在對(duì)路由的進(jìn)程中，最少會(huì)通過一個(gè)或多個(gè)中段節(jié)點(diǎn)來傳送數(shù)據(jù)信息。經(jīng)常，人們會(huì)將路由過程和互換過程作為對(duì)比，這關(guān)鍵是由于在一般用戶認(rèn)為兩者所達(dá)成的功能是全部相同的。實(shí)際上，路由和互換彼此的重要區(qū)分即是互換產(chǎn)生在OSI 參照模型的第二層級(jí)(即數(shù)據(jù)的鏈路層級(jí))，而路由則產(chǎn)生在第三層級(jí)，即網(wǎng)絡(luò)層級(jí)。

路由器作為互聯(lián)網(wǎng)中的重要節(jié)點(diǎn)設(shè)置。路由器經(jīng)過路由確定數(shù)據(jù)信息的轉(zhuǎn)化發(fā)送。轉(zhuǎn)化發(fā)送策略被稱之為路由抉擇(Routing)，此亦是路由器稱謂的來源(由英文Router 翻譯而來)。作為相異網(wǎng)絡(luò)之間互相聯(lián)結(jié)的關(guān)鍵，路由器系統(tǒng)組成了基于TCP/IP 之上的國(guó)際互聯(lián)網(wǎng)絡(luò)Internet 的主要分布網(wǎng)絡(luò)，也能夠說，國(guó)際互聯(lián)網(wǎng)絡(luò)Internet 的骨架是由路由器所組成。其處置速率 是網(wǎng)絡(luò)通信當(dāng)中的重要桎梏之一，其真實(shí)性則直接對(duì)網(wǎng)絡(luò)互聯(lián)的品質(zhì)產(chǎn)生著影響。由此，現(xiàn)今在各類的園區(qū)網(wǎng)、地域網(wǎng)，甚至整體的國(guó)際互聯(lián)網(wǎng)絡(luò)Internet探究范圍中，路由器技術(shù)一直處在核心位置，其進(jìn)展過程及目標(biāo)，作為整體的國(guó)際互聯(lián)網(wǎng)絡(luò)探究的一種寫照。

4 結(jié)論

VPN 連接可以讓用戶訪問網(wǎng)絡(luò)，也可以提供兩臺(tái)路由器之間的連接。它具有很強(qiáng)的靈活性，并且只需要每一方都有網(wǎng)絡(luò)連接、VPN 軟件、必要的協(xié)議以及相同的加密機(jī)制，一旦VPN 連接建立起來，用戶就可以像撥號(hào)那樣訪問目標(biāo)網(wǎng)絡(luò)的資源。

[1]趙菁.基于量子密鑰的VPN 密鑰管理模型研究[J].計(jì)算機(jī)安全,2014,(02).

[2]單家凌,謝志成,趙崇聶.基于SSL 技術(shù)的VPN 網(wǎng)關(guān)在無線網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2014,(02).

[3]姚汝,肖堯.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(01).