虛擬專網安全準入控制技術的有效性探究

◆郭占鵬 陳楊

虛擬專網安全準入控制技術的有效性探究

◆郭占鵬 陳楊

（32753部隊 湖北 430000）

隨著各種網絡技術逐漸增多，并被廣泛應用到日常工作和生活中，信息跨越有線、無線網絡，既給人們帶來了便利，同時也帶來了一些安全隱患。為此虛擬專網應運而生，在此基礎上運用豐富的措施保證網絡安全。本文首先詳細說明虛擬專網安全準入控制技術的類型，然后概述虛擬專網安全準入控制系統框架，最后闡述虛擬專網安全準入控制技術的設計方案。

虛擬專網；安全準入；控制技術

隨著國民經濟和社會信息化的日益推進，網絡和信息系統在現代社會中扮演著越來越重要的作用，政府、企業的應用層次不斷深入，用戶的網絡應用也逐步增多，為了保證在低密級公網上傳輸高密級數據，虛擬專網（VPN）應運而生，科技研究者在此基礎上，全面分析網絡安全漏洞，綜合運用隧道加密、用戶認證、訪問控制等技術，滿足特定集團用戶在安全、權限管控等方面的用網需求，維護虛擬專網的安全。虛擬專網安全準入控制系統可以起到防御的作用，保證使用者安全，為使用者營造安全的網絡環境。

1 虛擬專網安全準入控制技術的類型對比

（1）思科網絡接入控制技術

思科網絡接入控制技術是指某一網絡終端還未被接入至虛擬專網時，按照本地網絡的安全策略運行。若一些不滿足安全策略要求的網絡終端想進入虛擬專網，該技術可以有效地阻止，并采用建立網絡訪問隔離區的方法，有效地隔離和控制那些網絡終端，這類網絡終端想進入和訪問安全網絡時，訪問隔離區可以充分發揮出自身的隔離和控制作用[1]。

虛擬專網接入控制技術可以起到檢查網絡終端的作用，若客戶終端想進入虛擬專網，首先要經過網絡接入技術的檢查，挑選那些不安全、具有危險性的客戶終端，并對這類客戶終端進行防御和限制。在虛擬專網安全準入控制技術體系中，經常會采用幾種方法進行安全檢查，如在互聯網終端上安裝一些正規的操作系統，這些系統需要經過官方授權；安裝正規的殺毒軟件，并且保證軟件的正常運行等。如果使用者運用接入控制技術，那么訪問網絡需要具有一定的安全性，一旦訪問的網絡具有危險性，那么接入控制技術可以及時對該網絡進行限制和控制。

圖1 NAC over 802.1x方式認證流程

圖2 NAC over L2-IP認證流程圖

（2）微軟公司開發的虛擬專網安全接入保護技術

微軟公司開發的網絡訪問保護技術的安全策略，這種技術具有較高的強制性，首先檢查和測定系統狀態是否符合安全標準要求，若符合安全標準要求，方可放行進入至下一步操作中，若不符合安全標準，則會拒絕它的進入。虛擬專網安全接入保護技術旨在檢測自動補救等方面的內容。微軟公司曾開發了一些操作系統的組件，虛擬專網安全接入保護技術可以保證各種插件和系統的正常使用，如NAP客戶端插件等，NAP平臺可以為用戶出具一套有效的檢驗方法，該方法可以檢驗出某個系統或者插件是否安全，以此判斷客戶終端符不符合安全標準，具不具備相應的安全性，以及是否滿足安全策略的要求等，最終判斷該客戶終端的訪問等級。

（3）可信網絡計入技術

可信計算組織開發了針對虛擬專網安全準入控制的可信網絡接入技術，并把該技術當作網絡技術控制的標準框架。該框架依托可信組織開發的可信網絡計算技術，達成可信主機控制客戶終端的目的。可信網絡接入技術框架十分常用和多見，可以和目前使用的各種網絡設備和網絡技術同時工作，控制網絡的接入。

可信網絡接入技術框架的工作原理是授權第三方進行工作，并在授權第三方的基礎上研究出各種網絡準入控制協議，使可信網絡接入技術框架在多元化的網絡環境下使用，提供各種各樣的網絡安全服務，比如訪問政策等內容[2]。

以可信網絡接入技術框架為基礎建立的各種網絡系統，都是運用預置平臺配置等方法，評估那些嘗試連接虛擬專網的客戶終端。一旦客戶終端無法滿足安全策略的要求，就及時制止并拒絕它們訪問虛擬專網。大多情況下，會對客戶終端采取各種技術手段進行評估，而評估的目的大抵相同，主要是為了保證接入虛擬專網的客戶終端的安全性，其中主要包括幾個方面的內容，如管理補丁、控制設備等。但是上述的虛擬專網安全準入控制技術更加適合用在一般網絡條件下，并不是特別適合用在虛擬專網條件下，因此，現階段只能廣泛使用普通的安全準入控制技術，缺少根據虛擬專網特點創造的安全準入控制技術[3]。

圖3 系統框架

2 虛擬專網安全準入控制系統框架

（1）網絡終端安全預防技術

通常情況下，為避免網絡終端被各種危險因素破壞，都會采用一些措施來保護，如安裝防毒系統、安裝系統防火墻等。安全風險管理方案可以解決安全問題，它負責檢測可能會導致安全隱患的條件，如掃描安全漏洞和安全隱患等。其中，為了防止數據泄露，研究出數據防泄露新型技術，不僅可以幫助安全技術阻擋客戶終端和網絡帶來的安全隱患，還可以保護系統內部的各種數據，保證核心信息的安全，終端安全問題值得關注。

主機完整性控制的建立主要是為了檢測硬件的狀態、軟件的配置等內容，可以依據各種條件進行檢測，按照結果為系統防火墻制定相關的安全策略，進而更好的處理安全隱患問題。

分布式防火墻技術可以運用進程路徑，阻斷非法程序和危險因素，避免在管理過程中，修改完標識非法程序就可以進入。分布式防火墻技術可以根據各種通信端口的信息，篩選、過濾信息和數據，可以做到單向訪問，并且可以以時間等內容為基礎，制定與之相符的訪問策略[4]。

（2）模塊組成部分

當客戶終端收到網關發送的信息和指令后，按照程序設計內容將信息傳輸到相應的程序上，完成解譯工作。此過程中，規則解析、網絡訪問控制等模塊也要協助工作，從而將虛擬專網和客戶終端連接到一起。

規則解析模塊是按照一定的標準將規則進行分類，在分類的過程中，全面了解和說明安全規則中的各個內容。分類工作難度較低，只需要按照傳遞信息中的特殊標志整理好各種信息后，將這些信息和文本進行匹配，將符合匹配標準的信息傳送到具備破譯功能的程序中，最終完成解譯工作[5]。

網絡防控控制模塊是按照文本類型解譯接受上個程序傳遞的信息，完成解譯后，存儲到固定的信息儲存系統中。如果已經完成上述這兩個環節的操作，就可以控制有需求的網絡程序。

配置控制模塊是接受一些解析模塊傳送的信息，此類信息大部分都是配置控制規則。按照文本形式將信息儲存到提前準備好的數據結構中，并按照收到的配置控制規則對客戶終端采用的處理器進行管理。

3 虛擬專網安全準入控制技術的設計方案

利用NAC準入控制系統，將接入交換機基于端口的802.1x認證方式與之相結合，設計出一套能夠有效解決虛擬專網安全防護的實施方案。

（1）控制應用程序

控制應用程序實際上是在控制應用程序的同時控制網絡的訪問和登錄。每種應用程序都有不同的功能和特點，為此在訪問網絡時，網關需要充分利用現有的安全策略，判斷各個申請訪問應用程序的安全性，采取相應的動作，如阻止訪問等。這樣可以提高應用程序的安全性，避免有危險性的應用程序進入到虛擬專網，保證虛擬專網的安全性[6]。

（2）控制IP規則

控制IP規則就是在控制信息，根據相關的協議規定和網卡等內容，將所有的網絡數據和各個控制模塊進行過濾。為控制模塊提供相應的接口，保證控制模塊和應用層的溝通，進而將各個IP地址加入應用層的操作規則中。

（3）準入控制系統的接入控制

在準入控制系統中，最關鍵的就是接入控制規則。通常情況下，按照每條規則中的內容進行操作，如果無法匹配這條規則，就要查找下個可以匹配的規則。這種方式可以判別準入控制系統是否安全，以及哪些地方不安全[7]。

（4）接入交換機

接入交換機是整個系統關口，只需對網絡的準入進行控制和把關。此外還需將接入交換機配置802.1x認證，同時與準入控制服務器進行全部用戶的802.1x認證。

4 結束語

近些年，網絡的安全性不斷降低，人們逐漸將自己的關注點放在網絡安全上，為了提高虛擬專網的安全性，相關工作人員做了很多研究，通過控制應用程序、IP規則等，保證虛擬專網的安全性，減少網絡中隱藏的安全隱患，保證人們使用網絡時的安全。

[1]孫陽. 網絡安全準入控制技術在企業的應用[J]. 信息系統工程，2018（3）：83-83.

[2]劉進京. 使用準入控制實現終端安全接入[J]. 網絡安全和信息化，2018（4）：125-129.

[3]杭成寶. 淺析企業網絡安全管理授權準入控制的應用[J]. 神華科技，2018，16（9）：10-13+16.

[4]張皓然. 公安網終端計算機準入控制安全管理技術研究[J]. 科學與財富，2018（24）：34-34.

[5]洪小龍，陳崇平. 視頻網終端安全準入系統的設計與實現[J]. 廣東公安科技，2018，26（4）：9-11.

[6]楊陽，尹琴，馮磊，等. 準入控制技術在網絡安全設備中的應用[J]. 現代信息科技，2019，3（3）：156-157.

[7]趙志平. 網絡準入控制技術在企業中的應用分析[J]. 科技創新與應用，2018（35）：185-186.