局域網VPN技術的應用探析

王世杰+韓冬梅

摘 要 在全球經濟快速發展的形式下，企業規模逐步加大，有著越來越多的分公司或分部，有著越來越多的客戶，在此環境下的企業就無法繼續采用固定物理地址的企業網，VPN技術就是在此需求下逐步發展起來的。文章主要對VPN技術進行闡述，分析其工作原理和實現技術的方法，探討VPN網絡的安全性，以此來促進企業內部網絡的發展。

關鍵詞 局域網；VPN；安全

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）13-0113-01

在經濟全球化的趨勢下，網絡經濟呈現不斷發展的趨勢，特別是對于大型現代化企業，日常商務活動中涉及到的網絡資源應用越來越多，VPN技術的應用有著很廣闊的前景，對于VPN技術的探討在維護網絡環境的安全方面有著很重要的意義。

1 VPN技術

Virtual Private Network虛擬專用網絡的簡稱為VPN，該技術是因特網服務提供商ISP和網絡服務提供商NSP的輔助下在公有網絡內建立專用數據通信網絡。虛擬是不同用戶通過公眾網的資源動態組成來連接任意兩個節點，此虛擬網絡中不再需要物理線路的鋪設，不存在傳統意義上的端與端之間的物理鏈路。專用網絡則是用戶架設的某條專線，該通訊線路是在用戶的實際需求基礎上形成的，為專有線路。企業應用該技術后省去了硬件設備支出，如購買路由器和鋪設線路費用等，只是需要支付VPN設備費用和ISP服務的費用，這就使得VPN技術能很好的節約成本。

虛擬專用網絡有兩個基本目的，在internet下相互連接遠程用戶和在公共網絡對企業資源進行訪問過程中保障其安全性。在虛擬專用網絡的幫助下，公司內部的各個智能部門、各辦事處、遠程用戶以及商業合作伙伴之間可實現相互訪問。VPN對數據有這較好保密性，能保證企業的重要信息及商業機密的安全，其實現安全保證主要是通過隧道技術，這是一種類似于點對點的鏈接技術，該隧道是在公共網絡中建立起來的數據通道來實現數據包的傳輸。傳輸的過程首先是進行數據包加密后進行VPN封裝，再以IP包的形式實現隧道內的傳送。

隧道的創建首先是需要得到兩個端點間的同意，然后對隧道的加密方案、壓縮、地址分配等各種協議和配置達成一致，該過程的建立與兩人間建立回話過程類似。隧道建立后，數據包在發送端經過加密封裝變為IP包形式，傳輸到接收端后在解密數據包，再將數據發給本地路由器或遠程接入服務器。

2 VPN技術的實現

在保障VPN技術的安全方面使用的技術主要有四項：密匙管理技術（Key management）、加密解密技術（Encryption & Decryption）、隧道技術（Tunneling）、使用者與設備身份認證技術（Authentication）。

2.1 隧道技術

該技術主要是對專用網和公用網之間出現的兼職問題進行解決，對某些信息進行隱藏，包括接受者和發送者的IP地址，以及其他相關協議，提供給用戶端到端連接的同時也保證了服務過程的安全性。

隧道的形成是通過隧道協議完成的，包括第二、三層隧道協議。第二層隧道協議首先對網路協議進行封裝，如從IP到PPP，隧道協議接收包裝后的數據，在此種方法下獲得的數據包傳輸是通過數據鏈路層即第二層協議實現，第二層隧道協議包括L2TP、PPTP以及L2F等。第三層隧道協議通過往隧道協議中接入各類網絡協議，通過網絡層即第三層協議來傳輸得到的數據包，第三層隧道協議包括IPSec和VTP等，其中IP安全協議IPSec對系統的安全算法和安全協議選擇進行了定義，對密匙服務進行確定，以保障IP層的安全性。

2.2 加密、解密技術

加密、解密技術是一種較為成熟的數據通信技術，該技術是發送方在對數據傳輸之前根據相關算法進行加密，得到加密之后的密文，密文傳輸到接收方后采用相同的算法來解密，從而獲得對應的原文。在數據傳輸過程中的加密可保障其不被篡改或非法竊取，VPN技術可對現有的加密技術進行直接調用。

2.3 密匙管理技術

公用數據的網上的傳輸過程中可能出現傳遞密匙被竊取的情況，密匙管理就是為了解決之一問題。現行的密匙管理協議包括SKIP和ISAKMP兩種。SKIP的密匙傳輸演算法則主要是采用Diffie-Hellman，ISAKMP協議的密匙管理上，雙方同時擁有私有密匙和公有密匙兩把密匙。

3 VPN網絡的安全探討

對于VPN技術的應用，其核心問題還是網絡的安全性。在員工對公司網絡進行訪問的過程中，安全密匙、加密協議和隧道技術能對其過程的安全性有一定保證，但是如果企業對于VPN的應用需要設計到遠程訪問時，如果存在安全隱患的個人計算機對公司網絡進行訪問就有可能威脅到安全防御系統，這類個人計算機有可能沒有安裝防火墻，就會成文安全系統的漏洞。在公司的運營活動中，個人計算機的移動工作提升了辦公效率，但是卻缺少了公司使用安全軟件的保護，員工在使用此類電腦在授權連接情況下接入到公司網絡系統，如果涉及到企業的一些核心內容，如工程項目、工作計劃和財務管理等數據，這都會給黑客留下漏洞，成為商業競爭對手和間諜的主要供給對象。

公司員工在家辦公時通過撥號進行網絡連接，他們獲得固定分配的IP地址，使得黑客的入侵變得更為簡單，如果被入侵，員工的VPN客戶端軟件有可能被遠程控制。這就需要對訪問VPN時存在的安全漏洞進行封堵，主要是通過以下幾個方面：保障個人電腦的安全，安裝個人防火墻；VPN使用過程中，遠程用戶必須得到授權許可；對遠程系統中的軟件進行監控，使其只能在工作中使用；員工需要再外使用時需加密敏感文件；從總部進行控制，制定遠程沾點的訪問規則；遠程工作人員須對入侵進行檢測，入侵檢測系統可記錄黑客發出的攻擊信息。

參考文獻

[1]劉迎仙，羅樂，趙壤.基于SSL VPN的政府網站信息發布系統的安全應用與管理[J].信息系統工程，2014（3）.

[2]邵云蛟.MPLS VPN技術在安慶市電力信息系統中的應用[J].電子技術與軟件工程，2014（6）.

[3]黃永龍.利用VPN技術延伸學校網絡資源服務[J].電子技術與軟件工程，2014（3）.

[4]劉宏.基于VPN的企業ERP應用績效評價系統探索和研究[J].電子技術與軟件工程，2014（3）.endprint