國(guó)網(wǎng)四川省電力公司客戶(hù)服務(wù)中心 熊學(xué)鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

基于VPN的網(wǎng)絡(luò)安全技術(shù)研究

國(guó)網(wǎng)四川省電力公司客戶(hù)服務(wù)中心 熊學(xué)鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)已成為網(wǎng)絡(luò)技術(shù)發(fā)展的一個(gè)熱點(diǎn)。但是隨著網(wǎng)絡(luò)的不斷發(fā)展，暴露出來(lái)的安全問(wèn)題也受到人們的重視，于是越來(lái)越多的人開(kāi)始使用或者研究互聯(lián)網(wǎng)的安全問(wèn)題。隨著研究和應(yīng)用的不斷深入，各種安全技術(shù)不斷被創(chuàng)造和改進(jìn)。

網(wǎng)絡(luò)安全；VPN；應(yīng)用研究

0 引言

隨著對(duì)人們工作生活對(duì)網(wǎng)絡(luò)的使用越來(lái)越頻繁，對(duì)網(wǎng)絡(luò)安全和速度的要求也是越來(lái)越高。正是這種迫切的需求也促使著人們不斷的研究著網(wǎng)絡(luò)安全技術(shù)，改善目前的網(wǎng)絡(luò)安全問(wèn)題。

1 VPN介紹

在計(jì)算機(jī)網(wǎng)絡(luò)中，除了建設(shè)物理隔離的業(yè)務(wù)網(wǎng)絡(luò)之外，還擁有更具性?xún)r(jià)比的解決方案，使用VPN（Virtual Private Network虛擬專(zhuān)用網(wǎng)）技術(shù)來(lái)構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。

VPN利用的是包括認(rèn)證、加密、安全檢測(cè)、權(quán)限分配、訪問(wèn)記錄等一系列手段來(lái)構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。傳統(tǒng)的解決方法，是采用IPSec VPN來(lái)解決，而IPSec VPN協(xié)議設(shè)計(jì)是為了解決安全問(wèn)題而誕生的，但在實(shí)際應(yīng)用中，在解決遠(yuǎn)程連接的方案中已經(jīng)不能滿(mǎn)足當(dāng)前的網(wǎng)絡(luò)安全需求。

2 VPN技術(shù)分類(lèi)

1)鏈路層VPN 技術(shù)

PPTP協(xié)議：PPTP協(xié)議又稱(chēng)為點(diǎn)到點(diǎn)協(xié)議，它是一種安全協(xié)議，最初是為了解決移動(dòng)終端的網(wǎng)絡(luò)安全要求，是PPP協(xié)議的擴(kuò)展，為通過(guò)IP上網(wǎng)的用戶(hù)提供基于VPN的安全解決方式，而其他用戶(hù)可以通過(guò)支持PPTP協(xié)議的網(wǎng)絡(luò)來(lái)連接和訪問(wèn)。

PPTP協(xié)議是在客戶(hù)端和服務(wù)器之間的安全協(xié)議，而客戶(hù)端是基于該協(xié)議的一般計(jì)算機(jī)，而服務(wù)器是在支持PPTP協(xié)議的指定服務(wù)器?？蛻?hù)可以通過(guò)多種網(wǎng)絡(luò)方式接入公網(wǎng)，首先他要通過(guò)撥號(hào)連上ISP服務(wù)器，建立數(shù)據(jù)連接；然后，再建立PPTP連接，連接到PPTP服務(wù)器；它支持多種數(shù)據(jù)的封裝。

PPTP協(xié)議保證了客戶(hù)端與服務(wù)器之間的正常通信，減少網(wǎng)絡(luò)擁塞和數(shù)據(jù)丟失現(xiàn)象。它獲得了微軟公司的支持，同時(shí)具有流量控制功能。而VPN的配置需要由客戶(hù)端來(lái)進(jìn)行配置，無(wú)形中就加大了客戶(hù)端的工作，同時(shí)還具有一定的安全風(fēng)險(xiǎn)。PPTP由于不具備驗(yàn)證功能，它是僅工作于IP，所以需要用戶(hù)進(jìn)行驗(yàn)證。

2)網(wǎng)絡(luò)層VPN技術(shù)

IPSec協(xié)議是一種公開(kāi)的標(biāo)準(zhǔn)協(xié)議，它和其他協(xié)議，如PPTP協(xié)議的最大區(qū)別是它是對(duì)IP層進(jìn)行加密。它實(shí)際上并不是某種特殊的算法，在它的數(shù)據(jù)結(jié)構(gòu)中也沒(méi)有加入特定的算法和規(guī)則，它是完全開(kāi)放的，它是對(duì)IP數(shù)據(jù)包進(jìn)行定義，而其他的算法和規(guī)則也都可以通過(guò)IPSec進(jìn)行傳輸和運(yùn)行。

IPSec協(xié)議主要運(yùn)行方式分為隧道模式和傳輸模式。隧道模式是將數(shù)據(jù)在傳輸層進(jìn)行封裝，并以安全數(shù)據(jù)IP包形式保存和傳輸。而傳輸模式則僅僅是對(duì)數(shù)據(jù)的端到端傳輸，不會(huì)對(duì)數(shù)據(jù)進(jìn)行隱藏和封裝。從兩者的運(yùn)行方式來(lái)看，顯然，隧道模式的安全性能更高，但是相應(yīng)的也會(huì)帶來(lái)系統(tǒng)的運(yùn)行開(kāi)銷(xiāo)增大。由于IPSec是基于網(wǎng)絡(luò)層的一種協(xié)議，因此，它不能穿越防火墻、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）等網(wǎng)絡(luò)防護(hù)設(shè)備。

3)會(huì)話(huà)層VPN技術(shù)

SOCKS協(xié)議：SOCKS處于OSI模型的會(huì)話(huà)層，在SOCKS協(xié)議中，客戶(hù)程序通常是先連接到防火墻1080端口，然后由防火墻建立到目的主機(jī)的單獨(dú)會(huì)話(huà)，這種情況下客戶(hù)程序?qū)δ康闹鳈C(jī)是不可見(jiàn)的。SOCKS的問(wèn)題在于必須對(duì)客戶(hù)端應(yīng)用程序做修改，加入對(duì)SOCKS協(xié)議的支持。

3 VPN應(yīng)用及優(yōu)勢(shì)

1)身份認(rèn)證安全

系統(tǒng)的安全認(rèn)證方式往往采用用戶(hù)名和密碼方式，而這種方式安全性不高，特別是對(duì)于一些相對(duì)較簡(jiǎn)單的密碼，黑客可以通過(guò)破解方式輕松獲取。而一旦系統(tǒng)密碼被破解，系統(tǒng)將暴露在互聯(lián)網(wǎng)上，數(shù)據(jù)和重要資料將被輕松盜取，尤其是領(lǐng)導(dǎo)中享有較高級(jí)權(quán)限的帳號(hào)若是遭到盜竊所造成的損失將更為嚴(yán)重。

2)終端訪問(wèn)安全

雖然網(wǎng)絡(luò)中設(shè)置了防火墻、IPS等主動(dòng)防御設(shè)備，但遠(yuǎn)程終端仍可通過(guò)VPN連接，而往往這些設(shè)備很難抵御通過(guò)VPN的連接。因此，這就給網(wǎng)絡(luò)安全帶來(lái)了隱患。為了保證整體安全防御水平，就需要對(duì)接入的終端主機(jī)的安全水平采取一定的控制措施。

例如金融系統(tǒng)以及電力系統(tǒng)等包含重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)，當(dāng)用戶(hù)通過(guò)遠(yuǎn)程接入的方式訪問(wèn)到這些系統(tǒng)時(shí)，由于系統(tǒng)交互、緩存等原因往往會(huì)在終端主機(jī)上保存部分應(yīng)用數(shù)據(jù)，容易導(dǎo)致重要數(shù)據(jù)人為或是無(wú)意的泄漏，存在重大的信息安全隱患。如何讓用戶(hù)能方便快捷的遠(yuǎn)程辦公的同時(shí)保障重要應(yīng)用系統(tǒng)、核心數(shù)據(jù)的不外泄，是IT管理人員需要考慮的一個(gè)非常重要的方面。

3)權(quán)限劃分安全

由于網(wǎng)絡(luò)和服務(wù)器中存在大量的數(shù)據(jù)和自建應(yīng)用系統(tǒng)，密碼的泄露和權(quán)限的濫用往往容易造成網(wǎng)絡(luò)攻擊和病毒的侵害，一旦數(shù)據(jù)被破壞和黑客入侵，其后果將不堪設(shè)想。因此，需要在訪問(wèn)時(shí)建立權(quán)限機(jī)制。避免將重要數(shù)據(jù)暴露在網(wǎng)絡(luò)中，同時(shí)，要對(duì)數(shù)據(jù)進(jìn)行加密和采取強(qiáng)制修改弱口令等措施。

4)應(yīng)用訪問(wèn)審計(jì)安全

為了能夠追蹤到用戶(hù)的應(yīng)用使用情況，減少因外來(lái)訪問(wèn)造成的系統(tǒng)安全問(wèn)題，同時(shí)可以掌握用戶(hù)數(shù)據(jù)和訪問(wèn)人等信息，需要對(duì)系統(tǒng)采取必要的審計(jì)措施。

5)業(yè)務(wù)數(shù)據(jù)遷移智能終端訪問(wèn)安全性

隨著將業(yè)務(wù)系統(tǒng)遷移到終端，業(yè)務(wù)數(shù)據(jù)呈現(xiàn)于移動(dòng)智能終端設(shè)備上，如何避免重要的業(yè)務(wù)數(shù)據(jù)隨著智能終端丟失而造成泄密的風(fēng)險(xiǎn)，如何保障業(yè)務(wù)數(shù)據(jù)訪問(wèn)安全性，需要對(duì)業(yè)務(wù)系統(tǒng)遷移至智能終端訪問(wèn)做必要的安全措施。

4 結(jié)束語(yǔ)

VPN技術(shù)的應(yīng)用極大的降低網(wǎng)絡(luò)系統(tǒng)的運(yùn)營(yíng)成本，提高資源的利用效率，具有明顯的應(yīng)用價(jià)值。VPN技術(shù)與其他網(wǎng)絡(luò)技術(shù)的結(jié)合，將進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)安全，提高傳輸性能等功能。

[1]羅智勇,尤波,蘇潔.基于VPN網(wǎng)絡(luò)的高校數(shù)字化圖書(shū)館組建模型研究[J].圖書(shū)館研究學(xué),2013(01).

[2]梁居寶,杜克明,孫忠富.基于3G和VPN的溫室遠(yuǎn)程監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)農(nóng)學(xué)通報(bào),2011(29).

[3]勞鳳丹.余禮根.滕光輝.朱駿君. VPN遠(yuǎn)程監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)農(nóng)業(yè)大學(xué)學(xué)報(bào),2011(02).

[4]李躍.基于SSL VPN的研究與改進(jìn)[J].信息安全與通信保密,2005(02).