VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究

摘 要：隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全管理成為制約網(wǎng)絡(luò)應(yīng)用發(fā)展的阻礙之一，VPN技術(shù)就是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊，在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。文章介紹了計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)技術(shù)，尤其重點對VPN技術(shù)進行了探討，并結(jié)合實際的案例對虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用進行了研究。

關(guān)鍵詞：VPN技術(shù)；企業(yè)網(wǎng)絡(luò)；應(yīng)用

1 概述

隨著通信技術(shù)及計算機網(wǎng)絡(luò)的快速發(fā)展，計算機網(wǎng)絡(luò)的應(yīng)用性越來越強，不同的行業(yè)、領(lǐng)域都在使用網(wǎng)絡(luò)技術(shù)。資料共享和計算機網(wǎng)絡(luò)安全一直作為一對矛盾體而存在著。Internet這個公共開放的網(wǎng)絡(luò)，在為用戶傳輸信息的過程中如何保證企業(yè)及用戶的數(shù)據(jù)安全，如何創(chuàng)建一個安全、高效的網(wǎng)絡(luò)環(huán)境，更好地滿足企業(yè)需求，這是一個有必要研究和討論的問題。

2 VPN技術(shù)基礎(chǔ)

2.1 VPN技術(shù)優(yōu)勢及技術(shù)分類

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）是Internet與Intranet之間的專用通道，是指在公共網(wǎng)絡(luò)（通常為Internet中）建立一個虛擬、專用的網(wǎng)絡(luò)，為企業(yè)提供一個高安全、高性能、簡便易用的環(huán)境。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接是架構(gòu)在網(wǎng)絡(luò)平臺上的邏輯的連接，并不是像傳統(tǒng)網(wǎng)絡(luò)所需的端到端的物理鏈路。

對于不移動用戶的全球因特網(wǎng)接入來講，VPN是通過Internet建立的一個邏輯的、安全、臨時的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，可見，實現(xiàn)安全接入是VPN的主要目的。VPN可用于實現(xiàn)企業(yè)總部和分部之間安全通信的虛擬專用線路連接，VPN也可通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。

VPN的優(yōu)勢：

（1）成本低：虛擬專用網(wǎng)同傳統(tǒng)的專用網(wǎng)絡(luò)相比，不需要租用價格昂貴的長途電話專線，也不需要投入大量的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)維護人員。直接利用廉價的Internet，比租用專線或鋪設(shè)專線要節(jié)省大量開支，而且當距離越遠時節(jié)省的越多。

（2）擴展容易：VPN設(shè)備配置較為簡單，無需增加太多的設(shè)備，節(jié)省投資。對于發(fā)展速度的企業(yè)而言，VPN的使用面更廣。如果企業(yè)要組建自己的企業(yè)專用網(wǎng)，當企業(yè)需要擴展時，就必須考慮到網(wǎng)絡(luò)的容量，鏈路的更新和升級，增加互聯(lián)設(shè)備的投入等，而如果實現(xiàn)了VPN后就會便捷很多，用戶只需要連接到公共網(wǎng)絡(luò)，對新加入的網(wǎng)絡(luò)設(shè)備在邏輯上進行配置，無需考慮公用網(wǎng)的容量問題和設(shè)備及安全問題等。

（3）完全控制主動權(quán)：VPN的設(shè)施和服務(wù)完全由企業(yè)控制。例

如，企業(yè)自己負責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作，而把撥號訪問權(quán)等交給網(wǎng)絡(luò)服務(wù)協(xié)議去做，這樣大大節(jié)省了VPN服務(wù)器的負擔(dān)。

（4）安全保障：相對而言，VPN比傳統(tǒng)的專用網(wǎng)絡(luò)要更安全。為確保用戶網(wǎng)絡(luò)的安全和數(shù)據(jù)的安全，VPN使用了認證和加密等技術(shù)。首先，客戶端端設(shè)備要想加入到VPN網(wǎng)絡(luò)，必須首先經(jīng)過網(wǎng)關(guān)的認證，只有通過網(wǎng)關(guān)認證的客戶端設(shè)備或移動用戶終端才能夠接入企業(yè)的VPN網(wǎng)絡(luò)。業(yè)務(wù)數(shù)據(jù)流通過IPSec加密，IPSEC能夠提供服務(wù)器及客戶端的雙向身份認證，并且為IP及其上層業(yè)務(wù)數(shù)據(jù)提供安全加密保護，充分保證業(yè)務(wù)數(shù)據(jù)的安全性。

2.2 VPN的安全技術(shù)

VPN采用的安全技術(shù)主要包括隧道技術(shù)、加密技術(shù)、用戶身份認證技術(shù)及密鑰管理技術(shù)。

2.2.1 隧道技術(shù)。VPN的安全首先是依靠隧道技術(shù)，所謂隧道其實可以理解為OSI模型中兩個實體的信息傳輸，源主機的應(yīng)用層到物理層的協(xié)議頭部封裝，目標主機的物理層到應(yīng)用層的協(xié)議頭部解封裝。隧道技術(shù)主要由二、三層隧道協(xié)議來實現(xiàn)。二層隧道協(xié)議是指在隧道協(xié)議中封裝PPP，但在封裝PPP之前先將所需要的網(wǎng)絡(luò)協(xié)議封裝至PPP。二層隧道協(xié)議有L2F、PPTP、L2TP等。三層隧道協(xié)議是指在隧道協(xié)議中把各種網(wǎng)絡(luò)協(xié)議直接裝入，然后將數(shù)據(jù)包依靠三層協(xié)議進行傳輸。三層隧道協(xié)議有VTP、IPSec等。

2.2.2 加解密技術(shù)。數(shù)據(jù)的安全傳輸離不開加解密技術(shù)。目前常用的加密解密技術(shù)有對稱加密技術(shù)、非對稱加密技術(shù)等。對稱加密技術(shù)主要有DES和AES，但DES只使用56位密鑰，容易破解，現(xiàn)在基本不在使用，AES有128，192，256三種不同長度密鑰，安全性較高。非對稱加密技術(shù)主要使用RSA和DSA技術(shù)，和對稱加密相比來說，加密/解密的時間差不多是對稱加密的1000倍，所以我們通常用其作為用戶認證，用對稱加密來實現(xiàn)數(shù)據(jù)加密/解密。

2.2.3 使用者與設(shè)備身份認證技術(shù)。網(wǎng)絡(luò)上的用戶與設(shè)備都需要確定性的身份認證。當一個用戶遠程訪問另外一個用戶的資源時，就會對用戶和接入設(shè)備進行身份認證，以確定該用戶是否能合法使用該設(shè)備，可以使用哪些資源。

2.2.4 密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。Internet密鑰交換協(xié)議（IKE）主要用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。

3 VPN技術(shù)應(yīng)用案例

3.1 需求分析

某公司在發(fā)展期間，設(shè)有總公司和分公司，公司通過SDH專線和ADSL接入到Internet，總公司和分公司之間需要大量的數(shù)據(jù)傳輸，另外，總公司和分公司的出差人員需要通過移動網(wǎng)絡(luò)接入到公司內(nèi)部網(wǎng)絡(luò)。由于公司規(guī)模不斷擴大，能傳輸安全性的要求也越來越高，在現(xiàn)有狀態(tài)下，總公司和分公司之間的網(wǎng)絡(luò)連接使用租用專線的方式連接，通信成本較高。另外，由于采用公用IP網(wǎng)絡(luò)直接傳輸信息，導(dǎo)致數(shù)據(jù)的安全性得不到保證，特別是一些商業(yè)機密在公網(wǎng)上傳輸時容易遭到不法份子的遭到竊取、篡改以及監(jiān)聽，可能會給公司造成損失。

3.2 需求目標

根據(jù)以上需求分析及公司的實際業(yè)務(wù)開展情況，公司需要在總部和分部之間構(gòu)建安全、穩(wěn)定和高效的網(wǎng)絡(luò)辦公環(huán)境，出差人員和公司分部工作人員也需要通過移動客戶端高速、安全的接入企業(yè)網(wǎng)絡(luò)，為了達到便捷、高效的接入，客戶端不需要通過第三方軟件，僅僅通過瀏覽器便可以實現(xiàn)VPN的訪問，同時保護關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。

3.3 實施方案

考慮到公司現(xiàn)有網(wǎng)絡(luò)設(shè)施及對安全性要求，選擇SSLVPN技術(shù)來實現(xiàn)公司的網(wǎng)絡(luò)部署。具體實現(xiàn)方案為：首先，在公司總部中心機房，部署一臺SSLVPN服務(wù)器，即安全網(wǎng)關(guān)，其作用是讓移動用戶、分支機構(gòu)與總部實現(xiàn)連接。考慮到目前公司網(wǎng)絡(luò)已經(jīng)在正常運行，為了對現(xiàn)有網(wǎng)絡(luò)改動最小，同時不影響現(xiàn)有網(wǎng)絡(luò)的不間斷運行，建議采用“單臂連接”方式部署VPN設(shè)備，采用“單臂連接”技術(shù)部署安達通VPN安全網(wǎng)關(guān)，不用改動用戶原有的網(wǎng)絡(luò)拓撲，實施過程對用戶無任何影響；而且沒有在用戶主干線路上串接設(shè)備，不會造成額外的單點故障，而降低線路可靠性；也不會影響互聯(lián)網(wǎng)出口的性能。其次，各分支根據(jù)信息傳輸要求，通過安裝VPN客戶端增強軟件，建立安全隧道。最后，在分部分別安裝VPN網(wǎng)關(guān)，授權(quán)后允許總部和移動客戶端撥號接入。

3.4 方案實施效果

使用VPN架構(gòu)，可以現(xiàn)實總部與分部，分部與分部之間在VPN建立的隧道內(nèi)安全的通信，經(jīng)由先進的加密技術(shù)安全地互相傳送，不會被惡意第三者截取分析；不管是標準或者非標準TCP/IP的應(yīng)用，也可通過VPN專有隧道連通，就像在同一個局域網(wǎng)一樣；移動客戶端，只要可以連上Internet，即可通過VPN設(shè)定連接公司，能滿足不同的應(yīng)用要求。部署擴充性較好，管理成本低，辦公室間的傳輸，例如視頻會議、語音通訊，通過VPN即不受到網(wǎng)路運行商的管制，帶寬不會受到限制。

根據(jù)公司對信息傳輸?shù)男枰獞?yīng)用虛擬網(wǎng)絡(luò)技術(shù)組間VPN網(wǎng)絡(luò)，滿足了公司總部與分公司間的信息傳輸需求，尤其在傳輸信息加密以及信息認證方面獲得了預(yù)期的目標，信息傳輸?shù)陌踩缘靡源蟠筇岣?。而且減少了在網(wǎng)絡(luò)自費方面的投入，為公司效益的增加奠定了堅實的基礎(chǔ)。

4 結(jié)束語

綜上所述，VPN技術(shù)作為網(wǎng)絡(luò)數(shù)據(jù)安全傳輸?shù)谋厝贿x擇，不僅能有效地節(jié)省投入成本和網(wǎng)絡(luò)資源，也可以最大限度地提高網(wǎng)絡(luò)的安全性和有效性，且部署方便，靈活，對工程技術(shù)人員的要求并不高。在網(wǎng)絡(luò)高速發(fā)展的今天，通過對VPN技術(shù)的深入研究，可幫助企業(yè)創(chuàng)造良好的經(jīng)濟效益和社會效益，為用戶追求低成本、高效益的需求提供了較好的解決方案。

參考文獻

[1]林永菁.VPN技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用探究[J].信息與電腦，

2015（22）：14-16.

[2]周宇飛.計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程，2015（24）：210-210.

[3]王亮.VPN技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用探討[J].科技展望，2016

（26）：13-13.

作者簡介：邱文軍（1972，12-），男，湖北漢川人，碩士，講師，研究方向為通信網(wǎng)絡(luò)技術(shù)。