虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用

陳曉偉

摘 要：本文首先簡單介紹了虛擬專用網(wǎng)絡(luò)技術(shù)，然后分析了當(dāng)前計算機網(wǎng)絡(luò)信息安全管理中存在的問題，即監(jiān)測技術(shù)有限，難以有效控制訪問和加密技術(shù)實用性有待提高。最后，立足于這兩點，對虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用進行了探討。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)技術(shù)；計算機網(wǎng)絡(luò)；信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1003-5168（2018）05-0022-02

The Application of Virtual Private Network Technology in the

Information Security of Computer Network

CHEN Xiaowei

（Shangqiu Polytechnic，Shangqiu Henan 476000）

Abstract： Firstly， this paper introduced the virtual private network technology. Then the problems in the current computer network information security management were analyzed： that is， the monitoring technology was limited， it was difficult to effectively control access and encryption technology， and the practicability needed to be improved. Finally， based on these two points， the application of virtual private network technology in the computer network information security was analyzed.

Keywords： virtual private network technology；computer network；information security

當(dāng)前，計算機網(wǎng)絡(luò)信息安全管理中存在的問題不僅給計算機的應(yīng)用和發(fā)展帶來了一定阻礙，更成為社會重點關(guān)注的話題。而虛擬專用網(wǎng)絡(luò)技術(shù)不但具有傳輸數(shù)據(jù)快的優(yōu)點，更具有較高的安全性和穩(wěn)定性。

1 虛擬專用網(wǎng)絡(luò)技術(shù)簡介

所謂虛擬專用網(wǎng)絡(luò)是指通過特殊加密的通信協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間構(gòu)建一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但并不需要真正去鋪設(shè)光纜之類的物理線路[1]。而所謂虛擬專用網(wǎng)絡(luò)技術(shù)則主要是指其中用到的各種技術(shù)，包括VPN技術(shù)、隧道技術(shù)、加密技術(shù)、身份認證技術(shù)和密鑰技術(shù)等[2]。

2 當(dāng)前計算機網(wǎng)絡(luò)信息安全管理中存在的問題

2.1 監(jiān)測技術(shù)有限

近年來，各種黑客攻擊技術(shù)手段層出不窮。同時，隨著互聯(lián)網(wǎng)的進一步發(fā)展，網(wǎng)絡(luò)環(huán)境也不斷變化，并日趨復(fù)雜。相應(yīng)的，網(wǎng)絡(luò)安全所面臨的問題，在數(shù)量、種類上都有所增加，同時也愈發(fā)復(fù)雜、隱蔽，技術(shù)攻克難度也越來越大，網(wǎng)絡(luò)安全問題觸發(fā)的后果也愈發(fā)嚴重。而現(xiàn)有的計算機網(wǎng)絡(luò)信息安全管理相關(guān)的檢測技術(shù)難以應(yīng)對這種新形勢，不僅難以辨認各種攻擊和潛在風(fēng)險，更是無從處理和應(yīng)對。

2.2 難以有效控制訪問

當(dāng)前，我國計算機網(wǎng)絡(luò)信息安全管理還面臨著一個比較嚴重的問題，即訪問的控制問題。訪問控制主要控制的是接入主機的用戶身份，其目的是避免非法用戶入侵。在當(dāng)前的技術(shù)水平下，訪問控制中最難以解決的問題就是如何判斷、區(qū)分用戶身份的非法性和合法性，特別是一些用戶數(shù)量較多的軟件，如微博、微信等，其控制工作的難度較大。另外，為了確保用戶數(shù)量的黏著度，往往需要保證這些網(wǎng)站有較好的易用性。而在當(dāng)前技術(shù)水平下，訪問控制與網(wǎng)站易用性之間天然就存在不可避免的沖突。

2.3 加密技術(shù)實用性有待提高

從理論上來講，當(dāng)前，我國計算機網(wǎng)絡(luò)信息安全管理中應(yīng)用的加密技術(shù)具有極強的加密效果，但也存在破解的可能性。但在現(xiàn)實中，攻擊者往往很難確保有足夠的資源、時間和場地來開展破解工作。從這個角度來看，當(dāng)前的加密技術(shù)能被破解的可能性微乎其微。然而，這些加密技術(shù)還存在一些應(yīng)用性問題，影響了其作用的充分發(fā)揮。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用

3.1 MPLS VPN技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用

MPLS VPN是指采用MPLS技術(shù)在運營商寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)安全、靈活、高效地結(jié)合在一起，為用戶提供高質(zhì)量的服務(wù)[3]。MPLS VPN技術(shù)具有安全性、穩(wěn)定性、靈活性和傳輸速度快等優(yōu)點，可以提供等同于專線級別的安全保護在PE設(shè)備上識別不同業(yè)務(wù)，將語音、視頻實時業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)等區(qū)分開來，封裝到VPN中，實現(xiàn)不同業(yè)務(wù)之間的安全隔離。一般來說，要想將MPLS技術(shù)應(yīng)用在計算機網(wǎng)絡(luò)信息安全中需要3個步驟。

其一，構(gòu)建一個分層服務(wù)提供商，即LSP。通常來說，網(wǎng)絡(luò)對PE路由器中間分層服務(wù)提供商的建立都是采用CR-LDP這種方法來實現(xiàn)的。其最終所建立的分層服務(wù)提供商往往具有多種業(yè)務(wù)，如二層VPN、三層VPN，這兩者之間一般互相對立，但同時又都是將MPLS提供給網(wǎng)絡(luò)運營商的十分重要的步驟。

其二，在PE路由器上實現(xiàn)VPN信息。這里所說的PE路由器是Provide的邊緣設(shè)備，服務(wù)提供商骨干網(wǎng)的邊緣路由器，其相當(dāng)于標簽邊緣路由器。VPN技術(shù)在這一環(huán)節(jié)中的應(yīng)用，其實質(zhì)是對VPN數(shù)據(jù)傳遞形式管理的過程，為二層VPN的實現(xiàn)奠定基礎(chǔ)。上述目標的具體實現(xiàn)過程如下。首先，需要在PEZ路由器上創(chuàng)建一個VPN轉(zhuǎn)發(fā)表數(shù)據(jù)，從而為CE設(shè)備的連接提供基礎(chǔ)性條件。而所創(chuàng)建的VPN轉(zhuǎn)發(fā)表數(shù)據(jù)中不但要包含CE設(shè)備的識別碼，也要包含CE設(shè)備的標記值范圍等信息。接下來把轉(zhuǎn)發(fā)表數(shù)據(jù)一一安置于各個CE設(shè)備上，此時任意一個轉(zhuǎn)發(fā)數(shù)據(jù)表內(nèi)的子接口DI均帶有明確化的標識，接下來，在LDP協(xié)議的輔助下PEZ將VPN連接表傳送至網(wǎng)絡(luò)拓撲內(nèi)的其他VPN內(nèi)，VPN連接表為VPN轉(zhuǎn)發(fā)表的子集。

其三，在完成上述步驟后，就可以開始傳送VPN數(shù)據(jù)。

3.2 IPSec VPN技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用

IPSec VPN技術(shù)是一種借助IPSec協(xié)議來實現(xiàn)遠程接入的VPN技術(shù)。其中，IPSec即Internet Protocol Security，是一套成體系的、比較完善的VPN技術(shù)[4]。通過利用這種技術(shù)，就能構(gòu)建起一個關(guān)于計算機IP地址的安全性較高的系統(tǒng)。從實質(zhì)上來看，IPSec是一個框架結(jié)構(gòu)，主要由ESP協(xié)議、端到端協(xié)議和PC到網(wǎng)關(guān)協(xié)議三種協(xié)議組成。ESP協(xié)議由于具有抗干擾能力強、同一時間段內(nèi)提供的數(shù)據(jù)較為完整等優(yōu)點，在當(dāng)前計算機網(wǎng)絡(luò)中有著比較廣泛的應(yīng)用。端到端協(xié)議主要指的是對兩個網(wǎng)絡(luò)端點或兩個PC之間的IPSec協(xié)議的數(shù)據(jù)通信的保護，其保護方式與ESP協(xié)議有著較大的區(qū)別，因此其又被稱為End-to-End協(xié)議或PC到PC協(xié)議。PC到網(wǎng)關(guān)協(xié)議又被稱為End-to-Site協(xié)議，其主要保護的是兩個PC之間通信從網(wǎng)關(guān)到其他PC或異地PC之間的信息傳輸。

需要注意的是，依據(jù)具體細節(jié)的不同，IPSec VPN技術(shù)的傳輸模式又分為Transport模式和Tunnel模式兩種，即傳輸模式和隧道模式。這二者大體相似，但有一個最主要的差別：傳輸模式在AH、ESP處理前后，IP頭部保持不變，主要用于End-to-End的應(yīng)用場景；隧道模式則在AH、ESP處理之后再封裝了一個外網(wǎng)IP頭，主要用于Site-to-Site的應(yīng)用場景。

3.3 MPLS VPN技術(shù)和IPSec VPN技術(shù)的應(yīng)用對比

從系統(tǒng)可靠性方面來看，MPLS VPN技術(shù)具有較好的穩(wěn)定性，其實質(zhì)是某種意義上的專線；而IPSec技術(shù)則具有較好的容錯性。從安全性方面來講，這兩種技術(shù)都存在一定的安全漏洞，但前者在傳輸數(shù)據(jù)時具有更好的有效性。從便捷性上來講，IPSec VPN技術(shù)要比MPLS VPN技術(shù)更加方便快捷。這兩種技術(shù)在可擴展性和網(wǎng)絡(luò)服務(wù)質(zhì)量兩方面的表現(xiàn)則正好相反，MPLS VPN技術(shù)效果更好。

4 結(jié)語

計算機網(wǎng)絡(luò)安全自計算機網(wǎng)絡(luò)誕生之初就是其需要重點關(guān)注的問題。隨著計算機網(wǎng)絡(luò)在社會生活中覆蓋面的擴大和影響力的增強，這一問題逐漸受到社會的普遍重視。然而，或是受限于技術(shù)，或是因為技術(shù)應(yīng)用之間的矛盾，當(dāng)前計算機網(wǎng)絡(luò)安全管理還存在一定的問題。在該情況下，就可以借助虛擬專用網(wǎng)絡(luò)技術(shù)來提高計算網(wǎng)絡(luò)安全管理工作的質(zhì)量和效率。在實際應(yīng)用中，也需要注意結(jié)合具體情況和需要，使用不同的虛擬專用網(wǎng)絡(luò)技術(shù)。

參考文獻：

[1]梁向陽.虛擬專用網(wǎng)絡(luò)安全性分析[J].保密科學(xué)技術(shù)，2017（7）：40-41.

[2]王忠.關(guān)于計算機網(wǎng)絡(luò)信息安全及防護策略探究[J].數(shù)字通訊世界，2017（8）：4414-4416.

[3]劉洋.淺析計算機網(wǎng)絡(luò)信息安全管理技術(shù)[J].中國管理信息化，2017（11）：162-163.

[4]劉自成.計算機網(wǎng)絡(luò)信息安全管理存在問題及對策分析[J].通訊世界，2017（2）：41-42.