虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用

乜大偉

（山東醫(yī)學(xué)高等專科學(xué)校信息中心 山東省臨沂市 276000）

信息技術(shù)處理具有高效、高精度以及高可靠性等優(yōu)勢(shì)，但受到網(wǎng)絡(luò)技術(shù)自身特殊性的影響，在安全性要求上非常高，容易出現(xiàn)信息泄露、數(shù)據(jù)丟失等現(xiàn)象，如何保護(hù)好計(jì)算機(jī)網(wǎng)絡(luò)信息安全是我們需要解決的問題。隨著網(wǎng)絡(luò)互聯(lián)應(yīng)用的增加，也提高了風(fēng)險(xiǎn)隱患，尤其是企業(yè)跨地區(qū)網(wǎng)絡(luò)應(yīng)用、政府部門縱向分級(jí)網(wǎng)絡(luò)管理等，均存在嚴(yán)重的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。在此背景下，虛擬專用網(wǎng)絡(luò)技術(shù)逐步發(fā)展起來，通過在公共網(wǎng)絡(luò)中建立的臨時(shí)安全連接，形成安全穩(wěn)定的信息通道，為計(jì)算機(jī)網(wǎng)絡(luò)信息安全提供了有力保護(hù)。

1 虛擬專用網(wǎng)絡(luò)技術(shù)特點(diǎn)

通過深入分析虛擬專用網(wǎng)絡(luò)發(fā)現(xiàn)，由于節(jié)點(diǎn)交互存在差異，這通以前端到端進(jìn)行連接的情況不同，借助Internet、ATM 等網(wǎng)絡(luò)交互平臺(tái)，構(gòu)建局域網(wǎng)，是一種邏輯連接結(jié)構(gòu)，如此計(jì)算機(jī)網(wǎng)絡(luò)能夠順利運(yùn)行，各方面優(yōu)勢(shì)可以得到發(fā)揮，信息數(shù)據(jù)在網(wǎng)絡(luò)中傳輸將變得快捷與穩(wěn)定[1]。一般情況下該技術(shù)優(yōu)勢(shì)包括以下幾點(diǎn)：

（1）安全有保障。分析技術(shù)運(yùn)行原理可知，以VPN 為支撐，在互聯(lián)網(wǎng)內(nèi)傳輸信息數(shù)據(jù)的時(shí)候，不僅安全可靠，也能達(dá)到專用的目的。有利于采用了點(diǎn)到點(diǎn)邏輯交互形式，通過一定加密手段，避免各項(xiàng)信息數(shù)據(jù)被非法竊取，可以讓計(jì)算機(jī)網(wǎng)絡(luò)信息安全系數(shù)從整體上得到提升。

（2）可擴(kuò)展性較強(qiáng)。發(fā)揮VPN 服務(wù)功能，讓數(shù)據(jù)信息在網(wǎng)絡(luò)中正常傳輸有可靠保障，節(jié)點(diǎn)增添方面也得到了簡化，顯得更加方便。由于傳輸介質(zhì)的多樣化，音頻、視頻和圖像等可以順利傳輸，不會(huì)出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象。

（3）有利于控制。以虛擬專用網(wǎng)絡(luò)為基礎(chǔ)，在對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行管理的時(shí)候，在再局限于以往的局域網(wǎng)中，而是逐步發(fā)展到公共網(wǎng)絡(luò)平臺(tái)。部分網(wǎng)絡(luò)管理服務(wù)由于價(jià)值偏低，可以由服務(wù)商進(jìn)行把控[2]。這樣既實(shí)現(xiàn)了網(wǎng)絡(luò)管理效率的提升，也讓網(wǎng)絡(luò)安全系數(shù)變得更高。

2 常用的虛擬專用網(wǎng)絡(luò)技術(shù)

2.1 信息加密技術(shù)

信息加密技術(shù)作為虛擬專用網(wǎng)絡(luò)技術(shù)中的關(guān)鍵部分，也是最為核心的內(nèi)容。在網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天，加密技術(shù)逐步應(yīng)用于社會(huì)各領(lǐng)域過程中，可以發(fā)揮出一定的價(jià)值，然而加密方式由于缺陷的出現(xiàn)，讓不法分子有了可乘之機(jī)，在該技術(shù)支持下將作出各種違法行為。要想避免違法行為的出現(xiàn)，需要對(duì)運(yùn)行在網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行加密，在安全上給予足夠的保障，這樣用戶的信息才更加安全，防止重要數(shù)據(jù)落入犯罪分子手中[3]。分析加密原理可知，主要引入了專門的機(jī)構(gòu)負(fù)責(zé)加密所有的信息數(shù)據(jù)，確保在網(wǎng)絡(luò)中傳輸時(shí)不被他人竊密，達(dá)到了安全方面的要求。

2.2 隧道技術(shù)

圖1：用戶密鑰管理流程圖

通常來說，在計(jì)算機(jī)加密過程中必須維持統(tǒng)一性，通過這樣加密方式后，在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全時(shí)容易引起很多問題，包括關(guān)鍵數(shù)據(jù)的丟失與泄密等，從而極大增加了安全方面的風(fēng)險(xiǎn)。發(fā)揮出隧道技術(shù)的作用，其加密能力較強(qiáng)，安全上有保障，且功能多樣，有利于計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)信息得到有力保護(hù)，也讓用戶信息更加安全，促使網(wǎng)絡(luò)信息加密保護(hù)性能得到改善，完成對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息的二次加密[4]。在隧道技術(shù)應(yīng)用中，有效保護(hù)了各種信息，必須多方位了解各項(xiàng)情況，通過采取數(shù)據(jù)包、壓縮包等格式，解決數(shù)據(jù)面臨的風(fēng)險(xiǎn)問題。在Tunneling G 支持下，能夠再次對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息進(jìn)行加密，讓數(shù)據(jù)得到有力保護(hù)，確保數(shù)據(jù)在流動(dòng)中獲得可靠環(huán)境。

2.3 密鑰管理技術(shù)

該技術(shù)主要分為SKIP、ISAKMP 等部分，確保個(gè)人信息在傳輸時(shí)有安全保障。對(duì)SKIP 來說，是保護(hù)虛擬網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)的正常運(yùn)行，能夠發(fā)揮有效的保護(hù)作用。然而SKIP 也存在一定的缺點(diǎn)，主要是不能在網(wǎng)絡(luò)安全的基礎(chǔ)上讓各種數(shù)據(jù)有效傳輸，當(dāng)然也無法發(fā)揮數(shù)據(jù)的共享價(jià)值。對(duì)SAKMP 來說，既保證了關(guān)鍵性數(shù)據(jù)信息的正常傳輸，同時(shí)讓密鑰管理技術(shù)更加安全和穩(wěn)定，避免數(shù)據(jù)信息被網(wǎng)絡(luò)黑客竊取的現(xiàn)象。個(gè)人采取DES 密鑰的方式，實(shí)現(xiàn)數(shù)據(jù)信息的二次加密。針對(duì)不清楚最開始設(shè)置的密碼情況，在RSA 密鑰的支持下，有利于數(shù)據(jù)第一時(shí)間被查找到。此外，ISAKMP 與SKIP 也存在一定的區(qū)別，對(duì)密鑰進(jìn)行公開，所有人均能夠使用。基于此需要實(shí)時(shí)使用密鑰管理技術(shù)，解決數(shù)據(jù)泄露的問題[5]。如圖1 所示，為虛擬網(wǎng)絡(luò)專用技術(shù)應(yīng)用過程中的用戶密鑰管理流程圖。

2.3 身份認(rèn)證技術(shù)

虛擬專用通信網(wǎng)絡(luò)也必須使用身份認(rèn)證技術(shù)，這是維持網(wǎng)絡(luò)通信正常的關(guān)鍵，通過身份認(rèn)證后登錄至虛擬專用網(wǎng)絡(luò)后，才允許利用其中的各種資源。對(duì)身份認(rèn)證技術(shù)而言，一般借助留下的密碼與信息核對(duì)確認(rèn)用戶身份，在用戶登錄系統(tǒng)的過程中，先驗(yàn)證賬戶和密碼，通過驗(yàn)證后才允許登錄至系統(tǒng)中，否則將無法與虛擬專用網(wǎng)絡(luò)保持聯(lián)系。身份認(rèn)證技術(shù)主要采取短信密碼認(rèn)證的方式，要求用戶輸入正確的短信驗(yàn)證碼，才能正常登錄系統(tǒng)[6]。將身份認(rèn)證技術(shù)應(yīng)用到企業(yè)中，能夠讓企業(yè)工作者在利用與查詢信息時(shí)得到授權(quán)，防止員工賬號(hào)信息、身份信息等出現(xiàn)泄露的現(xiàn)象，這樣就解決了企業(yè)網(wǎng)絡(luò)安全隱患，提高了企業(yè)網(wǎng)絡(luò)安全水平。

表1：最大并發(fā)用戶數(shù)測(cè)試表

表2：VPN 服務(wù)器FTP 測(cè)試性能數(shù)據(jù)表（KB/S）

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中應(yīng)用實(shí)踐

3.1 校園網(wǎng)VPN系統(tǒng)的實(shí)現(xiàn)

3.1.1 Open VPN 簡介

Open VPN最早在2001年出現(xiàn)，并于當(dāng)年12月發(fā)布第一個(gè)版本，在多年來應(yīng)用與改進(jìn)中越來越成熟，具有強(qiáng)大的功能，安全性與可靠性有保障，擁有其他企業(yè)級(jí)VPN 難以替代的優(yōu)勢(shì)。對(duì)Open VPN軟件而言，是各自在通信中具有合法的權(quán)限，為數(shù)據(jù)保密提供了基礎(chǔ)，可以全面呈現(xiàn)出來，為了發(fā)揮VPN 服務(wù)功能，Open VPN 屬于最佳方案。SSL VPN 以網(wǎng)絡(luò)層與應(yīng)用層為主，其中網(wǎng)絡(luò)層將對(duì)資源讀取進(jìn)行控制，應(yīng)用層則采取過濾技術(shù)，對(duì)訪問進(jìn)行限制。然而這樣效率不高，通常會(huì)有多種應(yīng)用復(fù)雜的網(wǎng)絡(luò)環(huán)境，必須先解決認(rèn)證與控制等問題。Open VPN 作為典型的SSL VPN，在OSI 模型內(nèi)的二、三層建有隧道，借助SSL/TLS 加密算法，并通過ESP 完成隧道數(shù)據(jù)的封裝。Open VPN 支持虛擬網(wǎng)卡與WIN32 驅(qū)動(dòng)擴(kuò)展網(wǎng)絡(luò)，認(rèn)證方式也非常靈活，利用防火墻控制用戶或組的訪問控制[7]。Open VPN 能夠選擇遠(yuǎn)程、站到站等多種環(huán)境，支持各種加密算法，安全性極高，是一種開源軟件，有利于節(jié)約成本。

3.1.2 Open VPN 的實(shí)現(xiàn)

通過Open VPN 在學(xué)校內(nèi)網(wǎng)中建立虛擬專用網(wǎng)絡(luò)，選擇客戶端服務(wù)器模式，這樣實(shí)現(xiàn)客戶端服務(wù)器模式的SSL VPN，不同于以前的客戶端/服務(wù)器情況，通過設(shè)置VPN 網(wǎng)關(guān)，讓各自子網(wǎng)之間順利完成連接，各VPN 均設(shè)有VPN 網(wǎng)關(guān)。在校園本部設(shè)置專門的服務(wù)器，因?yàn)榉?wù)器端需要進(jìn)行加解密等過程，這樣網(wǎng)絡(luò)速度將在一定程度股面臨影響，需要使用專門的服務(wù)器，避免發(fā)生這樣的現(xiàn)象。服務(wù)器配置為CPU intel core i7；內(nèi)存16GB；網(wǎng)卡 1000M 自適應(yīng)；操作系統(tǒng)為 LINUX REDHAT 10。

VPN 客戶端在校園內(nèi)2 臺(tái)服務(wù)器上進(jìn)行設(shè)置，服務(wù)器負(fù)責(zé)對(duì)內(nèi)網(wǎng)NAT 轉(zhuǎn)換進(jìn)行處理，提供VPN 服務(wù)等功能。還安裝了2 個(gè)網(wǎng)卡，分別用于對(duì)內(nèi)/外網(wǎng)的連接，操作系統(tǒng)為WINDOWS 2008 SERVER。Open VPN 的基本模式包括Routed IP tunnels 與Brided Etherent Tunnels，其中Routed IP tunnels 省去了點(diǎn)對(duì)點(diǎn)IP 通信，大大提高了效率，也簡化了配置。而Brided Etherent Tunnels 的配置則較為復(fù)雜，一般在IP 協(xié)議與非IP 協(xié)議隧道中應(yīng)用，因此在設(shè)置時(shí)一般考慮第一種方式。Open VPN 驗(yàn)證有2 種，分別是借助RSA證書與密匙的公鑰體和提前通過存好的靜態(tài)密碼，可以保證順利驗(yàn)證。第一種嚴(yán)驗(yàn)證方法安全性較高，然而配置較為繁瑣，增加了系統(tǒng)開銷，而第二種配置更加簡化，只有安全性方面略有不足。本研究中校園內(nèi)部分為RSA 公鑰，遠(yuǎn)程訪問則選擇靜態(tài)密碼，達(dá)到驗(yàn)證客戶端的作用。

3.2 校園網(wǎng)VPN系統(tǒng)測(cè)試

3.2.1 最大并發(fā)用戶數(shù)

（1）先確定測(cè)試腳本ClientTest，呈現(xiàn)個(gè)人進(jìn)入VPN 服務(wù)器等環(huán)節(jié)情況。通過SSLVPN 服務(wù)器進(jìn)入權(quán)限后，可以擁有CA 證書，讓客戶端開始處于工作狀態(tài)。

（2）SSLVPN 服務(wù)器數(shù)據(jù)庫中設(shè)置20 組共1000 個(gè)用戶。

（3）虛擬機(jī)在運(yùn)行中無故障后，先進(jìn)行測(cè)試，分析測(cè)試腳本的情況，在測(cè)試機(jī)中完成對(duì)250 個(gè)用戶的并發(fā)，相關(guān)結(jié)果統(tǒng)計(jì)在表1 中，并得出VPN 服務(wù)器最大并發(fā)數(shù)為800 個(gè)用戶，能夠滿足學(xué)校相關(guān)要求。

3.2.2 服務(wù)器使用性能測(cè)試

由于選擇的加密算法存在差異，F(xiàn)TP 服務(wù)器上下載50M、100M、150M、200M、250M，對(duì)訪問平均速度記錄下來，具體如表2。分析表中數(shù)據(jù)能夠得出，忽視網(wǎng)絡(luò)影響條件下，加密算法對(duì)數(shù)據(jù)傳輸速度影響很大，加密算法安全性能越高，數(shù)據(jù)傳輸速度越慢，性能越好，則傳輸速率越快[8]。分析表中數(shù)據(jù)后可知，入關(guān)選擇128位RCZ-CBC 加密算法，相比于不加密條件，數(shù)據(jù)傳輸速度降低了約46%。在DES 算法加密下，這個(gè)值則降低約48%。由此可見，數(shù)據(jù)的安全主要是降低系統(tǒng)性能和搶占CPU、消耗內(nèi)存等方式實(shí)現(xiàn)。

3.3 安全性能分析

為了對(duì)系統(tǒng)安全情況進(jìn)行深入的了解，在計(jì)算中視計(jì)算機(jī)面臨病毒、黑客等威脅的幾率是P1、P2，同時(shí)各自獨(dú)立存在，雙方無干預(yù)。若客戶端感染病毒且無法清除的概率為E1，不能成功抵御黑客的概率為E2，同時(shí)設(shè)置了N 個(gè)客戶端，那么：第一，針對(duì)SSL VPN系統(tǒng)未進(jìn)行安全狀態(tài)檢測(cè)，且缺少訪問控制的情況，由獨(dú)立事件角度上分析，P（1）為1 個(gè)客戶端不出現(xiàn)風(fēng)險(xiǎn)的概率，那么有：

根據(jù)二項(xiàng)分布規(guī)律，N 個(gè)客戶端均為安全的幾率是P（N），則計(jì)算為：

如果客戶端能夠進(jìn)行安全狀態(tài)檢測(cè)，且具備訪問控制功能，這樣需要結(jié)合事件獨(dú)立理論與條件概率理論，1 臺(tái)客戶端不出現(xiàn)威脅的概率為Q（1）,那么有：

根據(jù)二項(xiàng)分布規(guī)律，N 個(gè)客戶端均為安全的幾率是Q（N），則計(jì)算為：

由（3）和（4）可得，對(duì)SSL VPN 而言，若是殺毒軟件與防火墻更新比較及時(shí)，則能夠讓e1 與e2 值降低。站在理論上說,e1與e2 越靠近0，Q(N)值則會(huì)無限靠近1。若是SSL VPN 系統(tǒng)內(nèi)有客戶端安全狀態(tài)檢測(cè)與控制訪問，那么網(wǎng)絡(luò)環(huán)境中N 臺(tái)機(jī)器安全率基本上靠近1。根據(jù)（1）、（2）、（3）和（4）可知，SSL VPN內(nèi)客戶端安全機(jī)制無法獲得保障，P1 與P2 數(shù)值在危險(xiǎn)程度加大后不斷加大。即隨著客戶端數(shù)量的增加，N 值將越來越小，且SSL VPN 系統(tǒng)更新后，以前系統(tǒng)中能保證客戶端安全的幾率也更低，在改進(jìn)后SSL VPN 系統(tǒng)內(nèi)系統(tǒng)安全率可以接近于1。從計(jì)算機(jī)測(cè)試結(jié)果發(fā)現(xiàn)，客戶端能夠安全運(yùn)行，發(fā)揮檢測(cè)技術(shù)與訪問控制等作用，安全方面的性能將顯著提升，不僅解決了系統(tǒng)漏洞的問題，也防止系統(tǒng)內(nèi)部資源更少受到外部網(wǎng)絡(luò)的威脅，提高了計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性與可靠性。

4 結(jié)語

總之，運(yùn)用虛擬專用網(wǎng)絡(luò)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全，可以取得較好的效果，在操作方面也更加簡化和便捷。因此我們要充分認(rèn)識(shí)到虛擬專用網(wǎng)絡(luò)的優(yōu)勢(shì)，積極運(yùn)用數(shù)據(jù)加密技術(shù)、隧道技術(shù)、身份認(rèn)證技術(shù)與密鑰管理技術(shù)，在虛擬專用網(wǎng)絡(luò)內(nèi)保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全，讓用戶信息數(shù)據(jù)更加安全，避免出現(xiàn)重要信息丟失以及被竊取的問題，減少經(jīng)濟(jì)損失。