VPN技術在企業網絡中的應用研究

摘 要：隨著網絡規模的不斷擴大，網絡安全管理成為制約網絡應用發展的阻礙之一，VPN技術就是在公用網絡上建立專用網絡，進行加密通訊，在企業網絡中有廣泛應用。文章介紹了計算機網絡安全中虛擬網技術，尤其重點對VPN技術進行了探討，并結合實際的案例對虛擬網絡技術的應用進行了研究。

關鍵詞：VPN技術；企業網絡；應用

1 概述

隨著通信技術及計算機網絡的快速發展，計算機網絡的應用性越來越強，不同的行業、領域都在使用網絡技術。資料共享和計算機網絡安全一直作為一對矛盾體而存在著。Internet這個公共開放的網絡，在為用戶傳輸信息的過程中如何保證企業及用戶的數據安全，如何創建一個安全、高效的網絡環境，更好地滿足企業需求，這是一個有必要研究和討論的問題。

2 VPN技術基礎

2.1 VPN技術優勢及技術分類

虛擬專用網絡（Virtual Private Network，簡稱VPN）是Internet與Intranet之間的專用通道，是指在公共網絡（通常為Internet中）建立一個虛擬、專用的網絡，為企業提供一個高安全、高性能、簡便易用的環境。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接是架構在網絡平臺上的邏輯的連接，并不是像傳統網絡所需的端到端的物理鏈路。

對于不移動用戶的全球因特網接入來講，VPN是通過Internet建立的一個邏輯的、安全、臨時的連接，是一條穿過公用網絡的安全、穩定的隧道，可見，實現安全接入是VPN的主要目的。VPN可用于實現企業總部和分部之間安全通信的虛擬專用線路連接，VPN也可通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。

VPN的優勢：

（1）成本低：虛擬專用網同傳統的專用網絡相比，不需要租用價格昂貴的長途電話專線，也不需要投入大量的網絡設備及網絡維護人員。直接利用廉價的Internet，比租用專線或鋪設專線要節省大量開支，而且當距離越遠時節省的越多。

（2）擴展容易：VPN設備配置較為簡單，無需增加太多的設備，節省投資。對于發展速度的企業而言，VPN的使用面更廣。如果企業要組建自己的企業專用網，當企業需要擴展時，就必須考慮到網絡的容量，鏈路的更新和升級，增加互聯設備的投入等，而如果實現了VPN后就會便捷很多，用戶只需要連接到公共網絡，對新加入的網絡設備在邏輯上進行配置，無需考慮公用網的容量問題和設備及安全問題等。

（3）完全控制主動權：VPN的設施和服務完全由企業控制。例

如，企業自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作，而把撥號訪問權等交給網絡服務協議去做，這樣大大節省了VPN服務器的負擔。

（4）安全保障：相對而言，VPN比傳統的專用網絡要更安全。為確保用戶網絡的安全和數據的安全，VPN使用了認證和加密等技術。首先，客戶端端設備要想加入到VPN網絡，必須首先經過網關的認證，只有通過網關認證的客戶端設備或移動用戶終端才能夠接入企業的VPN網絡。業務數據流通過IPSec加密，IPSEC能夠提供服務器及客戶端的雙向身份認證，并且為IP及其上層業務數據提供安全加密保護，充分保證業務數據的安全性。

2.2 VPN的安全技術

VPN采用的安全技術主要包括隧道技術、加密技術、用戶身份認證技術及密鑰管理技術。

2.2.1 隧道技術。VPN的安全首先是依靠隧道技術，所謂隧道其實可以理解為OSI模型中兩個實體的信息傳輸，源主機的應用層到物理層的協議頭部封裝，目標主機的物理層到應用層的協議頭部解封裝。隧道技術主要由二、三層隧道協議來實現。二層隧道協議是指在隧道協議中封裝PPP，但在封裝PPP之前先將所需要的網絡協議封裝至PPP。二層隧道協議有L2F、PPTP、L2TP等。三層隧道協議是指在隧道協議中把各種網絡協議直接裝入，然后將數據包依靠三層協議進行傳輸。三層隧道協議有VTP、IPSec等。

2.2.2 加解密技術。數據的安全傳輸離不開加解密技術。目前常用的加密解密技術有對稱加密技術、非對稱加密技術等。對稱加密技術主要有DES和AES，但DES只使用56位密鑰，容易破解，現在基本不在使用，AES有128，192，256三種不同長度密鑰，安全性較高。非對稱加密技術主要使用RSA和DSA技術，和對稱加密相比來說，加密/解密的時間差不多是對稱加密的1000倍，所以我們通常用其作為用戶認證，用對稱加密來實現數據加密/解密。

2.2.3 使用者與設備身份認證技術。網絡上的用戶與設備都需要確定性的身份認證。當一個用戶遠程訪問另外一個用戶的資源時，就會對用戶和接入設備進行身份認證，以確定該用戶是否能合法使用該設備，可以使用哪些資源。

2.2.4 密鑰管理技術。密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。Internet密鑰交換協議（IKE）主要用于通信雙方協商和建立安全聯盟，交換密鑰。

3 VPN技術應用案例

3.1 需求分析

某公司在發展期間，設有總公司和分公司，公司通過SDH專線和ADSL接入到Internet，總公司和分公司之間需要大量的數據傳輸，另外，總公司和分公司的出差人員需要通過移動網絡接入到公司內部網絡。由于公司規模不斷擴大，能傳輸安全性的要求也越來越高，在現有狀態下，總公司和分公司之間的網絡連接使用租用專線的方式連接，通信成本較高。另外，由于采用公用IP網絡直接傳輸信息，導致數據的安全性得不到保證，特別是一些商業機密在公網上傳輸時容易遭到不法份子的遭到竊取、篡改以及監聽，可能會給公司造成損失。

3.2 需求目標

根據以上需求分析及公司的實際業務開展情況，公司需要在總部和分部之間構建安全、穩定和高效的網絡辦公環境，出差人員和公司分部工作人員也需要通過移動客戶端高速、安全的接入企業網絡，為了達到便捷、高效的接入，客戶端不需要通過第三方軟件，僅僅通過瀏覽器便可以實現VPN的訪問，同時保護關鍵的數據不被非法竊取、篡改或泄漏，使數據具有極高的可信性。

3.3 實施方案

考慮到公司現有網絡設施及對安全性要求，選擇SSLVPN技術來實現公司的網絡部署。具體實現方案為：首先，在公司總部中心機房，部署一臺SSLVPN服務器，即安全網關，其作用是讓移動用戶、分支機構與總部實現連接?？紤]到目前公司網絡已經在正常運行，為了對現有網絡改動最小，同時不影響現有網絡的不間斷運行，建議采用“單臂連接”方式部署VPN設備，采用“單臂連接”技術部署安達通VPN安全網關，不用改動用戶原有的網絡拓撲，實施過程對用戶無任何影響；而且沒有在用戶主干線路上串接設備，不會造成額外的單點故障，而降低線路可靠性；也不會影響互聯網出口的性能。其次，各分支根據信息傳輸要求，通過安裝VPN客戶端增強軟件，建立安全隧道。最后，在分部分別安裝VPN網關，授權后允許總部和移動客戶端撥號接入。

3.4 方案實施效果

使用VPN架構，可以現實總部與分部，分部與分部之間在VPN建立的隧道內安全的通信，經由先進的加密技術安全地互相傳送，不會被惡意第三者截取分析；不管是標準或者非標準TCP/IP的應用，也可通過VPN專有隧道連通，就像在同一個局域網一樣；移動客戶端，只要可以連上Internet，即可通過VPN設定連接公司，能滿足不同的應用要求。部署擴充性較好，管理成本低，辦公室間的傳輸，例如視頻會議、語音通訊，通過VPN即不受到網路運行商的管制，帶寬不會受到限制。

根據公司對信息傳輸的需要應用虛擬網絡技術組間VPN網絡，滿足了公司總部與分公司間的信息傳輸需求，尤其在傳輸信息加密以及信息認證方面獲得了預期的目標，信息傳輸的安全性得以大大提高。而且減少了在網絡自費方面的投入，為公司效益的增加奠定了堅實的基礎。

4 結束語

綜上所述，VPN技術作為網絡數據安全傳輸的必然選擇，不僅能有效地節省投入成本和網絡資源，也可以最大限度地提高網絡的安全性和有效性，且部署方便，靈活，對工程技術人員的要求并不高。在網絡高速發展的今天，通過對VPN技術的深入研究，可幫助企業創造良好的經濟效益和社會效益，為用戶追求低成本、高效益的需求提供了較好的解決方案。

參考文獻

[1]林永菁.VPN技術在計算機網絡中的應用探究[J].信息與電腦，

2015（22）：14-16.

[2]周宇飛.計算機網絡安全中虛擬網絡技術的應用[J].電子技術與軟件工程，2015（24）：210-210.

[3]王亮.VPN技術在計算機網絡中的應用探討[J].科技展望，2016

（26）：13-13.

作者簡介：邱文軍（1972，12-），男，湖北漢川人，碩士，講師，研究方向為通信網絡技術。