基于VPN的網絡安全技術研究

國網四川省電力公司客戶服務中心 熊學鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

基于VPN的網絡安全技術研究

國網四川省電力公司客戶服務中心 熊學鋒 王良之 榮功立 王云飛 曹 鑫 羅蘭溪 彭小慶

隨著計算機網絡的不斷發展，網絡安全技術已成為網絡技術發展的一個熱點。但是隨著網絡的不斷發展，暴露出來的安全問題也受到人們的重視，于是越來越多的人開始使用或者研究互聯網的安全問題。隨著研究和應用的不斷深入，各種安全技術不斷被創造和改進。

網絡安全；VPN；應用研究

0 引言

隨著對人們工作生活對網絡的使用越來越頻繁，對網絡安全和速度的要求也是越來越高。正是這種迫切的需求也促使著人們不斷的研究著網絡安全技術，改善目前的網絡安全問題。

1 VPN介紹

在計算機網絡中，除了建設物理隔離的業務網絡之外，還擁有更具性價比的解決方案，使用VPN（Virtual Private Network虛擬專用網）技術來構建安全的業務網絡。

VPN利用的是包括認證、加密、安全檢測、權限分配、訪問記錄等一系列手段來構建安全的業務網絡。傳統的解決方法，是采用IPSec VPN來解決，而IPSec VPN協議設計是為了解決安全問題而誕生的，但在實際應用中，在解決遠程連接的方案中已經不能滿足當前的網絡安全需求。

2 VPN技術分類

1)鏈路層VPN 技術

PPTP協議：PPTP協議又稱為點到點協議，它是一種安全協議，最初是為了解決移動終端的網絡安全要求，是PPP協議的擴展，為通過IP上網的用戶提供基于VPN的安全解決方式，而其他用戶可以通過支持PPTP協議的網絡來連接和訪問。

PPTP協議是在客戶端和服務器之間的安全協議，而客戶端是基于該協議的一般計算機，而服務器是在支持PPTP協議的指定服務器。客戶可以通過多種網絡方式接入公網，首先他要通過撥號連上ISP服務器，建立數據連接；然后，再建立PPTP連接，連接到PPTP服務器；它支持多種數據的封裝。

PPTP協議保證了客戶端與服務器之間的正常通信，減少網絡擁塞和數據丟失現象。它獲得了微軟公司的支持，同時具有流量控制功能。而VPN的配置需要由客戶端來進行配置，無形中就加大了客戶端的工作，同時還具有一定的安全風險。PPTP由于不具備驗證功能，它是僅工作于IP，所以需要用戶進行驗證。

2)網絡層VPN技術

IPSec協議是一種公開的標準協議，它和其他協議，如PPTP協議的最大區別是它是對IP層進行加密。它實際上并不是某種特殊的算法，在它的數據結構中也沒有加入特定的算法和規則，它是完全開放的，它是對IP數據包進行定義，而其他的算法和規則也都可以通過IPSec進行傳輸和運行。

IPSec協議主要運行方式分為隧道模式和傳輸模式。隧道模式是將數據在傳輸層進行封裝，并以安全數據IP包形式保存和傳輸。而傳輸模式則僅僅是對數據的端到端傳輸，不會對數據進行隱藏和封裝。從兩者的運行方式來看，顯然，隧道模式的安全性能更高，但是相應的也會帶來系統的運行開銷增大。由于IPSec是基于網絡層的一種協議，因此，它不能穿越防火墻、NAT（Network Address Translation，網絡地址轉換）等網絡防護設備。

3)會話層VPN技術

SOCKS協議：SOCKS處于OSI模型的會話層，在SOCKS協議中，客戶程序通常是先連接到防火墻1080端口，然后由防火墻建立到目的主機的單獨會話，這種情況下客戶程序對目的主機是不可見的。SOCKS的問題在于必須對客戶端應用程序做修改，加入對SOCKS協議的支持。

3 VPN應用及優勢

1)身份認證安全

系統的安全認證方式往往采用用戶名和密碼方式，而這種方式安全性不高，特別是對于一些相對較簡單的密碼，黑客可以通過破解方式輕松獲取。而一旦系統密碼被破解，系統將暴露在互聯網上，數據和重要資料將被輕松盜取，尤其是領導中享有較高級權限的帳號若是遭到盜竊所造成的損失將更為嚴重。

2)終端訪問安全

雖然網絡中設置了防火墻、IPS等主動防御設備，但遠程終端仍可通過VPN連接，而往往這些設備很難抵御通過VPN的連接。因此，這就給網絡安全帶來了隱患。為了保證整體安全防御水平，就需要對接入的終端主機的安全水平采取一定的控制措施。

例如金融系統以及電力系統等包含重要數據的業務系統，當用戶通過遠程接入的方式訪問到這些系統時，由于系統交互、緩存等原因往往會在終端主機上保存部分應用數據，容易導致重要數據人為或是無意的泄漏，存在重大的信息安全隱患。如何讓用戶能方便快捷的遠程辦公的同時保障重要應用系統、核心數據的不外泄，是IT管理人員需要考慮的一個非常重要的方面。

3)權限劃分安全

由于網絡和服務器中存在大量的數據和自建應用系統，密碼的泄露和權限的濫用往往容易造成網絡攻擊和病毒的侵害，一旦數據被破壞和黑客入侵，其后果將不堪設想。因此，需要在訪問時建立權限機制。避免將重要數據暴露在網絡中，同時，要對數據進行加密和采取強制修改弱口令等措施。

4)應用訪問審計安全

為了能夠追蹤到用戶的應用使用情況，減少因外來訪問造成的系統安全問題，同時可以掌握用戶數據和訪問人等信息，需要對系統采取必要的審計措施。

5)業務數據遷移智能終端訪問安全性

隨著將業務系統遷移到終端，業務數據呈現于移動智能終端設備上，如何避免重要的業務數據隨著智能終端丟失而造成泄密的風險，如何保障業務數據訪問安全性，需要對業務系統遷移至智能終端訪問做必要的安全措施。

4 結束語

VPN技術的應用極大的降低網絡系統的運營成本，提高資源的利用效率，具有明顯的應用價值。VPN技術與其他網絡技術的結合，將進一步實現網絡安全，提高傳輸性能等功能。

[1]羅智勇,尤波,蘇潔.基于VPN網絡的高校數字化圖書館組建模型研究[J].圖書館研究學,2013(01).

[2]梁居寶,杜克明,孫忠富.基于3G和VPN的溫室遠程監控系統的設計與實現[J].中國農學通報,2011(29).

[3]勞鳳丹.余禮根.滕光輝.朱駿君. VPN遠程監控系統的設計與實現[J].中國農業大學學報,2011(02).

[4]李躍.基于SSL VPN的研究與改進[J].信息安全與通信保密,2005(02).