張瑛

摘要：隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全作為信息化建設(shè)的重要組成部分，安全性受到廣泛地關(guān)注。虛擬網(wǎng)絡(luò)技術(shù)的發(fā)展使計(jì)算機(jī)網(wǎng)絡(luò)安全得到很大的保障，具有可延伸性、成本低及速度快等優(yōu)勢(shì)。以基于對(duì)等計(jì)算（P2P）網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行VPN網(wǎng)關(guān)的設(shè)計(jì)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。

關(guān)鍵詞：虛擬網(wǎng)絡(luò)技術(shù)；計(jì)算機(jī)網(wǎng)絡(luò)安全；虛擬技術(shù)；企業(yè)信息安全

中圖分類號(hào)：TP13文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2018）04-66-3

Application of Virtual Network Technology in Computer Network Security

ZHANG Ying

（Wuzhai Branch， Xinzhou Normal University， Xinzhou Shanxi 036200， China）

0引言

作為信息化時(shí)代發(fā)展的產(chǎn)物，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)各領(lǐng)域的發(fā)展都發(fā)揮著重要作用。但隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，同時(shí)也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出更高的要求。虛擬網(wǎng)絡(luò)技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的核心內(nèi)容，其發(fā)展給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)新的機(jī)遇和挑戰(zhàn)，VPN虛擬技術(shù)是虛擬網(wǎng)絡(luò)技術(shù)的核心內(nèi)容。本文以P2P網(wǎng)絡(luò)為例，并以VPN的隧道封閉技術(shù)為主，對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)，進(jìn)而保障公用網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。積極探討虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用，不僅可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生率，提高網(wǎng)絡(luò)安全性，同時(shí)也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及信息安全技術(shù)等具有重要意義。

1基于P2P的VPN網(wǎng)關(guān)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

1.1 P2P網(wǎng)絡(luò)

P2P技術(shù)是網(wǎng)絡(luò)應(yīng)用較廣泛的技術(shù)，其組網(wǎng)具有可擴(kuò)展性、對(duì)等性、穩(wěn)定性、非中心化、健壯性、高性價(jià)比及隱私保護(hù)等優(yōu)點(diǎn)。其中非中心化以路由算法和索引服務(wù)器為主，實(shí)現(xiàn)每個(gè)節(jié)點(diǎn)的雙重作用（既是資料，也是服務(wù)提供者），P2P網(wǎng)絡(luò)實(shí)現(xiàn)節(jié)點(diǎn)間的直接數(shù)據(jù)傳輸，具有很好的數(shù)據(jù)安全性，不僅可以幫助云計(jì)算服務(wù)提供商組織P2P網(wǎng)絡(luò)，也可以有效保障用戶的網(wǎng)絡(luò)服務(wù)質(zhì)量[1]。

1.2 VPN網(wǎng)關(guān)系統(tǒng)實(shí)現(xiàn)目標(biāo)

企業(yè)用戶網(wǎng)絡(luò)規(guī)模比較龐大，具有多個(gè)分支機(jī)構(gòu)，處理機(jī)密業(yè)務(wù)較多。為了提高企業(yè)網(wǎng)絡(luò)的安全性和網(wǎng)絡(luò)流暢性，利用VPN設(shè)備實(shí)現(xiàn)服務(wù)器與終端間的通信，并以加密和邏輯隔離等方式提高網(wǎng)絡(luò)報(bào)文數(shù)據(jù)的安全性。根據(jù)企業(yè)實(shí)際情況，以硬件VPN在服務(wù)器端進(jìn)行優(yōu)化部署。

VPN網(wǎng)關(guān)有服務(wù)器型網(wǎng)關(guān)和桌面型網(wǎng)關(guān)2種形式，以串接方式分別部署在各級(jí)數(shù)據(jù)中心服務(wù)器出口和業(yè)務(wù)終端。對(duì)于高敏感內(nèi)部系統(tǒng)，可以有效將高敏感業(yè)務(wù)與普通業(yè)務(wù)系統(tǒng)進(jìn)行分離，建立身份認(rèn)證、訪問(wèn)控制及隧道通信等安全機(jī)制，提高企業(yè)網(wǎng)絡(luò)安全性。

1.3 VPN網(wǎng)關(guān)系統(tǒng)軟件結(jié)構(gòu)設(shè)計(jì)

P2P VPN網(wǎng)關(guān)系統(tǒng)軟件功能模塊主要由P2P拓?fù)涫占?、系統(tǒng)監(jiān)控、配置管理、VPN安全隧道通信、服務(wù)器型攻擊防護(hù)模塊、網(wǎng)絡(luò)性能優(yōu)化及數(shù)據(jù)庫(kù)等部分共同組成：①安全操作系統(tǒng)作為整體系統(tǒng)的基礎(chǔ)，是所有模塊運(yùn)行的主要平臺(tái)；②P2P拓?fù)涫占K匯集了所有的VPN安全隧道通信模擬，涉及全網(wǎng)網(wǎng)關(guān)拓?fù)湫畔ⅰ踩淼朗褂冒踩珔?shù)等重要數(shù)據(jù)；③系統(tǒng)監(jiān)控模塊實(shí)現(xiàn)對(duì)各模塊的實(shí)時(shí)監(jiān)督，同時(shí)提供系統(tǒng)修復(fù)、重啟等重要功能；④攻擊防護(hù)模塊主要是用于防止系統(tǒng)受到攻擊[2]。

2關(guān)鍵技術(shù)設(shè)計(jì)與實(shí)現(xiàn)

2.1 VPN安全隧道模塊

P2P VPN網(wǎng)關(guān)間的數(shù)據(jù)安全傳輸通道，即VPN安全隧道模塊，由數(shù)據(jù)封裝、隧道加密保護(hù)、隧道通信協(xié)議及隧道安全參數(shù)更新等多個(gè)子模塊構(gòu)成：①數(shù)據(jù)封裝子模塊實(shí)現(xiàn)對(duì)原始網(wǎng)絡(luò)報(bào)文以相關(guān)協(xié)議或加密方法進(jìn)行重新組織和打包；②隧道加密保護(hù)子模塊是以不同的、復(fù)雜的和安全的加密算法對(duì)原始網(wǎng)絡(luò)報(bào)文重新進(jìn)行加密或解密操作；③隧道通信協(xié)議子模塊主要是在2個(gè)VPN網(wǎng)關(guān)間建立隧道，進(jìn)而完成數(shù)據(jù)傳輸，直至隧道拆除。

在P2P VPN網(wǎng)關(guān)報(bào)文處理時(shí)，報(bào)文在網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò)接口接收自業(yè)務(wù)端發(fā)送的數(shù)據(jù)報(bào)文，并對(duì)其網(wǎng)關(guān)訪問(wèn)控制等進(jìn)行安全策略判斷，對(duì)高敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行封裝，VPN隧道通信程序利用安全虛擬隧道實(shí)現(xiàn)虛擬網(wǎng)卡數(shù)據(jù)加密、打包、封裝和發(fā)送。發(fā)送時(shí)將原始二層幀數(shù)據(jù)進(jìn)行HASH計(jì)算以及加密處理，并對(duì)處理的數(shù)據(jù)封裝到VPN相關(guān)的報(bào)文中，同時(shí)，為了保證傳輸過(guò)程的安全性，需對(duì)傳輸數(shù)據(jù)發(fā)送端嵌入安全標(biāo)簽，再根據(jù)報(bào)文信息分析出相應(yīng)的目的地址和終端網(wǎng)關(guān)，開(kāi)始實(shí)施數(shù)據(jù)傳送。

2.2訪問(wèn)控制模塊

訪問(wèn)控制模塊利用Netfilter實(shí)現(xiàn)，而Netfilter一般工作于Linux系統(tǒng)內(nèi)核空間，同時(shí)也自帶輕量級(jí)防火墻模塊。訪問(wèn)控制模塊以Netfilter為基礎(chǔ)實(shí)現(xiàn)源IP地址、目的IP地位、源端口、目的端口及協(xié)議等要素的信息包進(jìn)行過(guò)濾操作[3]。

同時(shí)，該模塊利用腳本讀取配置文件，并根據(jù)模塊訪問(wèn)策略生成過(guò)濾規(guī)則，即IPTables，并在Netfilter中完成生效設(shè)置。為了避免網(wǎng)絡(luò)中的各類拒絕服務(wù)攻擊此訪問(wèn)控制模塊，增加了UDP Flood及ICMP Flood等門(mén)限值，以此拒絕以上典型的拒絕服務(wù)攻擊，保證網(wǎng)絡(luò)設(shè)備的可用性和安全性。

2.3配置管理模塊

系統(tǒng)配置管理模塊主要負(fù)責(zé)對(duì)運(yùn)行參數(shù)、P2P對(duì)端網(wǎng)關(guān) IP地址及設(shè)備IP地址等相關(guān)內(nèi)容進(jìn)行維護(hù)和設(shè)置，其軟件模塊主要由參數(shù)管理、對(duì)端地址、升級(jí)管理、設(shè)備控制、服務(wù)狀態(tài)、設(shè)備狀態(tài)及本地管理方式等功能構(gòu)成。其中服務(wù)狀態(tài)可以對(duì)設(shè)備提供實(shí)時(shí)訪問(wèn)控制、P2P拓?fù)涞刂妨斜砑鞍踩淼赖确?wù)的相關(guān)運(yùn)行狀態(tài)，并根據(jù)相應(yīng)的服務(wù)狀態(tài)設(shè)置服務(wù)啟停操作。本地管理方式主要有系統(tǒng)初始化、設(shè)備IP地址設(shè)置、文件修復(fù)系統(tǒng)及時(shí)間設(shè)置等，并以串口管理為主要形式，當(dāng)系統(tǒng)設(shè)備出現(xiàn)某種故障時(shí)，可以進(jìn)行相應(yīng)的維護(hù)工作或?qū)ο到y(tǒng)進(jìn)行初始化操作。

2.4 P2P地址收集模塊

P2P地址收集模塊應(yīng)用于操作系統(tǒng)中的用戶層，實(shí)現(xiàn)對(duì)全網(wǎng)在線網(wǎng)關(guān)的虛擬網(wǎng)絡(luò)搭建、動(dòng)態(tài)監(jiān)控、雙向認(rèn)證和安全參數(shù)協(xié)調(diào)，該模塊主要是對(duì)網(wǎng)關(guān)提供認(rèn)證、協(xié)商安全參數(shù)、更新證書(shū)、注冊(cè)服務(wù)及維護(hù)全網(wǎng)等列表服務(wù)，保證網(wǎng)關(guān)的拓?fù)錉顟B(tài)，并快速搭建正確、安全的網(wǎng)絡(luò)隧道，提高網(wǎng)絡(luò)的穩(wěn)定性和健壯性。

P2P地址收集模塊的虛擬網(wǎng)絡(luò)搭建方式是P2P VPN網(wǎng)關(guān)以指定中心網(wǎng)關(guān)或臨近節(jié)點(diǎn)作為網(wǎng)絡(luò)地址拓?fù)涞钠鹗键c(diǎn)，且網(wǎng)關(guān)的全網(wǎng)在線拓?fù)涞刂沸畔⒅挥性摴?jié)點(diǎn)信息。利用節(jié)點(diǎn)信息交換的方式獲取中心網(wǎng)關(guān)或臨近全網(wǎng)拓?fù)涞刂沸畔?，同時(shí)將獲取的在線網(wǎng)關(guān)所有節(jié)點(diǎn)信息進(jìn)行合并。對(duì)新連接的網(wǎng)關(guān)進(jìn)行測(cè)試連接，并重新以速度最快的網(wǎng)關(guān)節(jié)點(diǎn)作為新的最近節(jié)點(diǎn)，利用最近節(jié)點(diǎn)實(shí)現(xiàn)全網(wǎng)在線網(wǎng)關(guān)信息交換，做好連接測(cè)試及訪問(wèn)速度測(cè)試[4]，如圖1所示。

P2P地址收集模塊組網(wǎng)方式以P2P組網(wǎng)方式為依據(jù)，可以有效避免中心服務(wù)器設(shè)置網(wǎng)關(guān)節(jié)點(diǎn)帶來(lái)的系統(tǒng)瓶頸問(wèn)題，模塊內(nèi)部主要由API證書(shū)、Epoll模型和線程池模型3部分構(gòu)成，如圖2所示。

①證書(shū)API提供網(wǎng)絡(luò)訪問(wèn)證書(shū)和校驗(yàn)證書(shū)等一系列相關(guān)證書(shū)，也可以利用該模塊驗(yàn)證網(wǎng)關(guān)證書(shū)的有效性；②Epoll模塊即程序通信模式，利用套接字訪問(wèn)方式保證程序有效應(yīng)答網(wǎng)關(guān)認(rèn)證請(qǐng)求；③線程池以建立通信監(jiān)聽(tīng)套接字，以及Epoll的監(jiān)聽(tīng)管理實(shí)現(xiàn)管理網(wǎng)關(guān)的通信請(qǐng)求。例如，當(dāng)Epoll檢測(cè)到某網(wǎng)關(guān)認(rèn)證請(qǐng)求時(shí)，程序先從線程池中分配一些線程，完成對(duì)請(qǐng)求網(wǎng)關(guān)套接字的網(wǎng)關(guān)證書(shū)、校驗(yàn)網(wǎng)關(guān)證書(shū)、協(xié)商通信密鑰、更新證書(shū)撤銷列表、生成線列表文件證明及列表的獲取操作，繼而對(duì)獲取的信息進(jìn)一步解析。

3在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用效果與發(fā)展趨勢(shì)

計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)企業(yè)發(fā)展至關(guān)重要，而虛擬網(wǎng)絡(luò)技術(shù)又可以進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)安全性。因此，虛擬網(wǎng)絡(luò)技術(shù)在企業(yè)中的廣泛應(yīng)用已成為必然趨勢(shì)。虛擬網(wǎng)絡(luò)技術(shù)對(duì)保證用戶和企業(yè)信息資源管理，以及企業(yè)與內(nèi)部員工間的遠(yuǎn)程，企業(yè)與客戶間的資源共享具有重要意義。另外，虛擬網(wǎng)絡(luò)技術(shù)提供的反追蹤程序，可以對(duì)入侵者實(shí)施抓捕，避免用戶和企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)受黑客或病毒的侵襲，最終實(shí)現(xiàn)應(yīng)用虛擬網(wǎng)絡(luò)技術(shù)提高計(jì)算機(jī)網(wǎng)絡(luò)安全性的目標(biāo)[5]。

信息化社會(huì)的不斷發(fā)展也給網(wǎng)絡(luò)技術(shù)提供很大的發(fā)展空間，而且虛擬網(wǎng)絡(luò)技術(shù)的安全性、可靠性和穩(wěn)定性等優(yōu)勢(shì)對(duì)提高計(jì)算機(jī)網(wǎng)絡(luò)安全具有重要意義。因此，加大對(duì)虛擬網(wǎng)絡(luò)技術(shù)的研究力度，探討防火墻在虛擬網(wǎng)絡(luò)技術(shù)中的應(yīng)用，發(fā)展復(fù)合型虛擬網(wǎng)絡(luò)工具，研發(fā)虛擬網(wǎng)絡(luò)技術(shù)傳輸協(xié)議等已成為虛擬網(wǎng)絡(luò)技術(shù)的主要發(fā)展趨勢(shì)[6]。同時(shí)，這些新型技術(shù)的研發(fā)也可以更大程度地提高計(jì)算機(jī)網(wǎng)絡(luò)信息安全性，促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)在各行業(yè)領(lǐng)域中的良好發(fā)展，也會(huì)對(duì)我國(guó)經(jīng)濟(jì)發(fā)展和社會(huì)發(fā)展提供助力。

4結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)在現(xiàn)代發(fā)展中極易受到計(jì)算機(jī)病毒、木馬程序以及非授權(quán)訪問(wèn)等攻擊，給網(wǎng)絡(luò)安全帶來(lái)極大隱患。實(shí)踐證明，虛擬網(wǎng)絡(luò)技術(shù)中的VPN、IPSecVPN等虛擬技術(shù)對(duì)提高網(wǎng)絡(luò)安全性具有重要的意義。因此，積極探討虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的應(yīng)用，不僅可以有效避免計(jì)算機(jī)網(wǎng)絡(luò)的非法侵入，實(shí)現(xiàn)用戶或企業(yè)網(wǎng)絡(luò)數(shù)據(jù)傳輸和資源共享的安全性，同時(shí)也可以給用戶帶來(lái)良好的網(wǎng)絡(luò)體驗(yàn)，進(jìn)一步促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)以及信息化社會(huì)建設(shè)。

參考文獻(xiàn)

[1]王小娟，黃協(xié)，白家奇.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].信息與電腦（理論版），2017（15）：210-212.

[2]陳忠菊.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].科技創(chuàng)新導(dǎo)報(bào)，2017，14（21）：158-159.

[3]何赤平.虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用探究[J].電腦知識(shí)與技術(shù)，2017，13（7）：28-29.

[4]姚芳，王亞利.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的運(yùn)用[J].電腦迷，2017（5）：3.

[5]王志軍，張帆.虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用研究[J].科技創(chuàng)新與應(yīng)用，2017（3）：93.

[6]顏光平.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)通信安全中的應(yīng)用[J].科技傳播，2017，9（8）：38-39.