虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

胡珉 張曉靖 余景原

（上海市信息網(wǎng)絡(luò)有限公司 上海市 200081）

虛擬專用網(wǎng)絡(luò)技術(shù)，也就是常說的VPN 技術(shù)，是目前計(jì)算機(jī)網(wǎng)絡(luò)體系中主流的交互模式，可以有效提升設(shè)備存儲(chǔ)數(shù)據(jù)資料的安全程度，還關(guān)系到網(wǎng)絡(luò)環(huán)境的架設(shè)。伴隨科學(xué)水平的持續(xù)攀升，也讓生產(chǎn)生活面臨更高等級(jí)的信息安全風(fēng)險(xiǎn)，對(duì)于虛擬網(wǎng)絡(luò)專用技術(shù)來(lái)說，是將傳統(tǒng)的公共網(wǎng)絡(luò)作為核心，優(yōu)化網(wǎng)絡(luò)節(jié)點(diǎn)的交互方式，為用戶提供了虛擬化的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)同網(wǎng)絡(luò)世界的交互，由此完成數(shù)據(jù)資料的傳輸。基于上述模式，不僅能夠發(fā)揮出計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的特點(diǎn)，帶動(dòng)經(jīng)濟(jì)發(fā)展，還可以保證信息交互過程中的安全，防止由于安全問題造成的經(jīng)濟(jì)損失。虛擬專用網(wǎng)絡(luò)技術(shù)可以把數(shù)據(jù)和用戶更好的融為一體，顯著提高了系統(tǒng)運(yùn)行速率，部分公司和用戶要從自身需求出發(fā)，逐步將虛擬網(wǎng)絡(luò)技術(shù)應(yīng)用于實(shí)際操作之中。

1 虛擬專用網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用特點(diǎn)與發(fā)展趨勢(shì)

虛擬專用網(wǎng)絡(luò)技術(shù)順應(yīng)著科學(xué)技術(shù)水平的進(jìn)步，符合當(dāng)前技術(shù)需要。換句話說，虛擬專用網(wǎng)絡(luò)能夠確保網(wǎng)絡(luò)環(huán)境、計(jì)算機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性和安全性，有效彌補(bǔ)信息管理體系中的不足之處。同時(shí)公司可以結(jié)合自身需要，逐步將其應(yīng)用于實(shí)際管理之中，保證數(shù)據(jù)資料不受到惡意侵犯。

1.1 虛擬專用網(wǎng)絡(luò)技術(shù)的特征

通常來(lái)說，虛擬專用網(wǎng)絡(luò)技術(shù)具有以下幾方面優(yōu)勢(shì)。

（1）安全程度較高。采用虛擬專用網(wǎng)絡(luò)技術(shù)進(jìn)行優(yōu)化，能夠完成數(shù)據(jù)的加密操作。因此，只有獲取到密鑰后才可以對(duì)數(shù)據(jù)包進(jìn)行解析，所以即使在數(shù)據(jù)傳輸過程中被惡意盜取，不法分子也無(wú)法獲取到數(shù)據(jù)包中的信息，這樣就可以有效提高網(wǎng)絡(luò)信息的安全系數(shù)。

（2）運(yùn)行效率較高。虛擬專用網(wǎng)絡(luò)技術(shù)在解決運(yùn)行異常時(shí)效率極高，可以為公司縮減成本投入，減輕技術(shù)人員的工作負(fù)擔(dān)。

（3）系統(tǒng)簡(jiǎn)化。采用虛擬專用網(wǎng)絡(luò)對(duì)原有的公司網(wǎng)絡(luò)體系進(jìn)行優(yōu)化，能夠顯著簡(jiǎn)化信息管理架構(gòu)，無(wú)需增設(shè)線路通道即可快速達(dá)成系統(tǒng)穩(wěn)定運(yùn)行的目標(biāo)。

（4）操作簡(jiǎn)便。虛擬專用網(wǎng)絡(luò)技術(shù)實(shí)際運(yùn)行過程中無(wú)需較為繁瑣的操控，不需要技術(shù)人員具備很高的專業(yè)技能，由此就可以更好的在公司系統(tǒng)中普及。

總的來(lái)說，虛擬專用網(wǎng)絡(luò)技術(shù)相較于傳統(tǒng)模式來(lái)說，優(yōu)勢(shì)明顯，在目前市場(chǎng)中具備良好的核心競(jìng)爭(zhēng)力，可以幫助公司優(yōu)化管理體系，確保信息傳輸?shù)陌踩煽俊?/p>

1.2 應(yīng)用特點(diǎn)

從虛擬專用網(wǎng)絡(luò)的實(shí)際應(yīng)用來(lái)說，已經(jīng)逐步融入到信息傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)庫(kù)維護(hù)以及公司交互等方面，整體上操作簡(jiǎn)便，不但可以顯著改善信息管理體系，還可以減輕技術(shù)人員的工作負(fù)擔(dān)。此外，采用虛擬專用網(wǎng)絡(luò)能夠避免大規(guī)模鋪設(shè)線路通道，為公司、用戶降低成本投入，獲取更多的經(jīng)濟(jì)收益。以當(dāng)前虛擬專用網(wǎng)絡(luò)的特性來(lái)看，系統(tǒng)架構(gòu)清晰，技術(shù)人員可以很快掌握各項(xiàng)基礎(chǔ)操作，能夠快速融入到各個(gè)領(lǐng)域之中。

1.3 發(fā)展趨勢(shì)

從改革開放發(fā)展至今，國(guó)內(nèi)公司正朝著信息化和網(wǎng)絡(luò)化的趨勢(shì)前行，逐步拓展虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍，同時(shí)伴隨科技水平的快速提高，虛擬專用網(wǎng)絡(luò)技術(shù)也逐步完善，不管是穩(wěn)定度、安全性還是運(yùn)行效率都有了明顯提高。與此同時(shí)，電信領(lǐng)域呈現(xiàn)出下滑的發(fā)展態(tài)勢(shì)，期望更好的維護(hù)計(jì)算機(jī)數(shù)據(jù)安全，就需要將虛擬專用網(wǎng)絡(luò)更好的融入到日常生產(chǎn)生活之中。作為全新的發(fā)展方向，防火墻、綜合化網(wǎng)絡(luò)體系都受到公司和用戶的一致好評(píng)。可以預(yù)見的是，未來(lái)虛擬專用網(wǎng)絡(luò)必將會(huì)迎來(lái)更大的發(fā)展空間。

2 虛擬專用網(wǎng)絡(luò)技術(shù)的分類

目前，科學(xué)技術(shù)更迭速度較快，虛擬專用網(wǎng)絡(luò)技術(shù)也朝著多元化、體系化的方向發(fā)展，能夠更好的保護(hù)網(wǎng)絡(luò)信息不受到惡意侵犯。結(jié)合技術(shù)特點(diǎn)來(lái)看，通常可以按照加密方式進(jìn)行劃分，公司要綜合分析發(fā)展?fàn)顩r，選用最為適宜的技術(shù)來(lái)保證信息安全。

2.1 計(jì)算機(jī)隧道安全技術(shù)

計(jì)算機(jī)隧道安全技術(shù)本質(zhì)上可以劃入加密體系之中，其是將虛擬網(wǎng)絡(luò)中的加密協(xié)議作為核心，增設(shè)配套的路由器等。可以有效聯(lián)通虛擬專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)，在傳輸信息數(shù)據(jù)時(shí)可以二次加密，確保安全程度滿足需求。利用隧道實(shí)現(xiàn)虛擬網(wǎng)絡(luò)和公共網(wǎng)絡(luò)交互過程中的數(shù)據(jù)加密，主要有解析和傳輸兩部分，期望兩個(gè)環(huán)節(jié)均能順利實(shí)現(xiàn)，需要在基礎(chǔ)的隧道傳輸體系中，增設(shè)以路由器為主的輔助設(shè)備，由此來(lái)保證隧道技術(shù)更好的發(fā)揮出應(yīng)有作用，創(chuàng)建出更為安全的網(wǎng)絡(luò)環(huán)境。

2.2 計(jì)算機(jī)身份認(rèn)證安全技術(shù)

身份安全認(rèn)證模式是虛擬專用網(wǎng)絡(luò)體系中主流的信息保護(hù)方式，也是目前應(yīng)用最為廣泛的安全管理方式，通過設(shè)置對(duì)應(yīng)的用戶賬號(hào)和密碼，將用戶的信息資料傳輸?shù)綌?shù)據(jù)庫(kù)中，實(shí)際運(yùn)行時(shí)，將用戶錄入的數(shù)據(jù)信息和數(shù)據(jù)庫(kù)中的資料進(jìn)行匹配，進(jìn)而生成相應(yīng)的動(dòng)態(tài)口令，以保證數(shù)據(jù)信息的安全性。當(dāng)系統(tǒng)完成認(rèn)證操作后，可以調(diào)用其他的VPC 網(wǎng)絡(luò)體系來(lái)實(shí)現(xiàn)環(huán)境連接，順利進(jìn)入到公司的虛擬網(wǎng)絡(luò)。用戶按照上述流程操作后，就能夠獲取到期望信息并實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境優(yōu)化。采用身份認(rèn)證安全模式，可以保證系統(tǒng)的運(yùn)行效率，確保數(shù)據(jù)信息不受到惡意侵犯，且能夠充分發(fā)揮網(wǎng)絡(luò)信息的應(yīng)有效用，為公司可持續(xù)發(fā)展奠定穩(wěn)固基礎(chǔ)。

2.3 加密信息安全技術(shù)

加密信息安全模式也是虛擬網(wǎng)絡(luò)體系中核心的組成部分，具有其他安全管理模式無(wú)法替代的優(yōu)點(diǎn)。值得注意的是，虛擬專用網(wǎng)絡(luò)并不能和傳統(tǒng)的公用網(wǎng)絡(luò)劃等號(hào)，前者具有獨(dú)立性，是將公共網(wǎng)絡(luò)中的部分區(qū)域劃定成自身進(jìn)行信息傳輸?shù)沫h(huán)境，以計(jì)算機(jī)邏輯語(yǔ)言為核心，對(duì)網(wǎng)絡(luò)環(huán)境中交叉的部分進(jìn)行加密處理，由此可以確保信息數(shù)據(jù)的運(yùn)行速率，為公司和用戶的信息管理提供穩(wěn)定環(huán)境。整體上需要投入更多精力到加密技術(shù)方面，分析發(fā)展情況，構(gòu)建起完善的虛擬網(wǎng)絡(luò)環(huán)境，達(dá)成信息安全的目標(biāo)。

2.4 計(jì)算機(jī)密鑰安全技術(shù)

計(jì)算機(jī)密鑰安全模式是以ISAKMP 和SKIP 兩大技術(shù)為核心建立起來(lái)的，在網(wǎng)絡(luò)信息傳輸和安全管理方面具有重要地位。前者會(huì)將密鑰進(jìn)行公開，讓用戶更好的獲取數(shù)據(jù)包。所以，應(yīng)用這一技術(shù)時(shí)，要結(jié)合自身發(fā)展情況謹(jǐn)慎判別，尤其是重要等級(jí)較高的信息管理，不應(yīng)采用該項(xiàng)技術(shù)。而SKIP 是將Diffie 為核心，能夠有效保證數(shù)據(jù)安全，且提高密鑰的管理強(qiáng)度，為公司和用戶建立起可靠的交互環(huán)境。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

3.1 MPLS VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

MPLS VPN 指的是利用MPLS 技術(shù)在原有的運(yùn)行商IP 體系中架構(gòu)出公司的專用網(wǎng)絡(luò)，由此保證信息數(shù)據(jù)、圖像資料可以安全傳輸，并提升運(yùn)行效率。此外，還可以融入差別服務(wù)、流量管理等功能，對(duì)專用網(wǎng)絡(luò)進(jìn)行擴(kuò)展，為用戶提供更多的功能服務(wù)。MPLS VPN 在實(shí)際應(yīng)用時(shí)，不管是安全程度還是穩(wěn)定性都有著明顯提升，其安全等級(jí)可以同專線結(jié)構(gòu)相媲美，對(duì)各項(xiàng)數(shù)據(jù)信息均能夠進(jìn)行合理劃分，并融入到VPN 體系之中，建立起安全的隔離環(huán)境。通常來(lái)講，利用MPLS VPN 優(yōu)化計(jì)算機(jī)體系可以從以下三個(gè)方面出發(fā)：

（1）搭建出分層服務(wù)管理模式，也就是LSP。普遍來(lái)看，網(wǎng)絡(luò)體系中PE 分層的搭建均是基于CR-LDP 模式完成的。架設(shè)出來(lái)的分層服務(wù)結(jié)構(gòu)會(huì)為用戶提供多項(xiàng)操作功能，諸如二層VPN 等。雖然功能相互獨(dú)立，但都是MPLS 進(jìn)行網(wǎng)絡(luò)體系架構(gòu)的關(guān)鍵環(huán)節(jié)。

（2）以PE 路由器為基礎(chǔ)搭建VPN 架構(gòu)。其中PE 路由器也就是常說的Provide 邊緣裝置，為服務(wù)供應(yīng)商提供邊緣架構(gòu)，可以看作是標(biāo)簽邊緣路由設(shè)備。整個(gè)過程中在應(yīng)用VPN 時(shí)，本質(zhì)上是以數(shù)據(jù)傳輸?shù)姆绞竭M(jìn)行VPN 管理，從而建立出二層VPN 結(jié)構(gòu)。以上操作具體流程如下：第一步，要以PEZ 路由器為基礎(chǔ)搭建起VPN 數(shù)據(jù)傳輸體系，由此可以實(shí)現(xiàn)CE 裝置的聯(lián)通。架設(shè)的VPN數(shù)據(jù)表不僅要含有CE 裝置的認(rèn)證碼，還需要明確CE 裝置的標(biāo)記區(qū)間。第二步，在CE 裝置中裝設(shè)數(shù)據(jù)表，要明確對(duì)應(yīng)數(shù)據(jù)表的接口信息。第三步，通過LDP 協(xié)議實(shí)現(xiàn)VPN 網(wǎng)絡(luò)中的數(shù)據(jù)交互。

（3）在完成上述步驟后，就可以開始傳送VPN 數(shù)據(jù)。

3.2 IPSec VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

IPSec VPN 技術(shù)也是VPN 體系中的重要組成部分，是利用IPSec 協(xié)議進(jìn)行架設(shè)。目前IPSec 的發(fā)展已經(jīng)較為成熟，借助該項(xiàng)技術(shù)可以為計(jì)算機(jī)系統(tǒng)建立起較為安全的IP 環(huán)境。本質(zhì)來(lái)說，IPSec 屬于框架模式，融入ESP 協(xié)議、端到端協(xié)議和PC 到網(wǎng)關(guān)協(xié)議三個(gè)部分。其中ESP 協(xié)議能夠有效抵抗外部干擾，在數(shù)據(jù)傳輸過程中較為可靠，是目前計(jì)算機(jī)網(wǎng)絡(luò)中的主流架構(gòu)。端到端協(xié)議是指兩個(gè)節(jié)點(diǎn)或兩臺(tái)設(shè)備之間的數(shù)據(jù)交互，相較于ESP 協(xié)議有著明顯差別。PC 到網(wǎng)關(guān)協(xié)議主要是保護(hù)PC 設(shè)備到異地設(shè)備的數(shù)據(jù)傳輸過程。

值得注意的是，根據(jù)技術(shù)的差異，IPSec VPN 體系也能夠劃分出Transport 結(jié)構(gòu)和Tunnel 結(jié)構(gòu)兩大類。兩種模式整體上較為類似，最為核心的差異是：前者在分析AH、ESP 數(shù)據(jù)時(shí)，IP 地址前端不發(fā)生變化；而后者在處理數(shù)據(jù)時(shí)會(huì)額外加裝外部網(wǎng)絡(luò)的IP 地址。

3.3 MPLS VPN技術(shù)和IPSec VPN技術(shù)的應(yīng)用

橫向?qū)Ρ确治鰞煞N技術(shù)不難看出，MPLS VPN 的穩(wěn)定程度更高，在某些情況下可以視作是專線網(wǎng)絡(luò)；但I(xiàn)PSec 則具備更高的容錯(cuò)能力。以安全角度出發(fā)，兩種模式均有自身不足之處，但I(xiàn)PSec VPN的數(shù)據(jù)傳輸效率更高。所以僅從效率角度來(lái)看，IPSec VPN 技術(shù)是系統(tǒng)首選模式。

4 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的實(shí)踐應(yīng)用策略

4.1 應(yīng)用在企業(yè)總部門與遠(yuǎn)程分支部門之間

公司總部機(jī)關(guān)和下屬部門間，通常會(huì)有大量的數(shù)據(jù)傳輸和信息交互，如何保證總部和下設(shè)部門之間網(wǎng)絡(luò)信息傳輸?shù)陌踩潭葷M足需求，直接關(guān)系到公司信息交互效率以及公司的經(jīng)濟(jì)收益。采用虛擬專用網(wǎng)絡(luò)進(jìn)行優(yōu)化，公司能夠建立起同下設(shè)部門直接信息傳輸?shù)膶倬W(wǎng)絡(luò)環(huán)境，保證各個(gè)部門之間可以有效聯(lián)通，不僅提高數(shù)據(jù)的傳輸效率，還能滿足信息的安全要求。采用虛擬網(wǎng)絡(luò)，總部能夠更為快速的建立起網(wǎng)絡(luò)會(huì)議系統(tǒng)，完成各項(xiàng)數(shù)據(jù)信息的共享，保證公司的穩(wěn)定運(yùn)行，防止重要資料被惡意盜取。

4.2 應(yīng)用在企業(yè)局域網(wǎng)和遠(yuǎn)程員工之間

公司具有的遠(yuǎn)程職工通常有以下兩種類別，其一是本部員工因公外出，其二是公司通過遠(yuǎn)程聘用的外地職工。搭建起虛擬專用網(wǎng)絡(luò)環(huán)境，可以讓公司和遠(yuǎn)程職工在局域網(wǎng)內(nèi)進(jìn)行數(shù)據(jù)交互，且該網(wǎng)絡(luò)環(huán)境安全可靠，降低成本投入。不僅如此，虛擬專用網(wǎng)絡(luò)還可以讓公司在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)運(yùn)行異常后快速的獲取技術(shù)支持，保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行

4.3 應(yīng)用在企業(yè)與供應(yīng)商及合作商之間

公司數(shù)據(jù)資料通常存在有公開和非公開兩大類，同供應(yīng)企業(yè)進(jìn)行信息交互時(shí)，不僅需要提交公開資料，還需要保證機(jī)要數(shù)據(jù)的安全。公司建立起身份認(rèn)證體系，為供應(yīng)商設(shè)置對(duì)應(yīng)的訪問權(quán)限，由此便可以獲取到期望的數(shù)據(jù)信息。而對(duì)于機(jī)要資料來(lái)說，要建立起完善的認(rèn)證機(jī)制，確保訪問用戶的權(quán)限達(dá)到標(biāo)準(zhǔn)。

5 結(jié)語(yǔ)

綜上所述，將虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)信息安全防范中，用戶可結(jié)合虛擬網(wǎng)絡(luò)空間的特點(diǎn)，選擇不同類型的加密技術(shù)，確保計(jì)算機(jī)信息的安全。隨著人們對(duì)電腦等計(jì)算機(jī)設(shè)備依賴程度越來(lái)越深，網(wǎng)絡(luò)信息安全問題越發(fā)突出，在這種時(shí)代背景下，相關(guān)企業(yè)應(yīng)加大對(duì)信息安全的重視程度，不斷創(chuàng)新虛擬專用安全技術(shù)，引進(jìn)先進(jìn)信息安全保護(hù)設(shè)備，綜合考慮市場(chǎng)變化、技術(shù)發(fā)展特點(diǎn)，更好地服務(wù)于用戶。