基于虚拟私网的企业网络安全架构设计和实现

蔡 思

（湖北省电力勘测设计院有限公司，武汉 430040）

1 虚拟私网的企业网络安全架构概述

信息化技术和互联网的发展为企业发展提供了更广阔的平台，企业网络安全指网络用户企业信息的泄漏、计算机程序的更改、系统盘文件的篡改以及硬件恶意遭到破坏的网络故障。虚拟技术是通过对企业内部服务器的虚拟化整合，使得这些资源表现为一个或多个操作环境，从而提供优于原有资源配置的访问方式的技术。虚拟私网技术即在物理模型上选用不同地址的网络结合公共网络搭建逻辑虚拟子网模型，虚拟私网运用多种技术的协调配合优化配置硬件资源，大大提高网络的安全性，基于虚拟化企业可以在低开销的基础上实现企业数据异地备份，虚拟网络技术具备很强的精简功能，是一种具有发展前景的企业内部网络解决方案，使网络服务具有更好的实用性、容错性和扩展性，虚拟私网企业网络安全管理优化了企业的数据资源整理模式，为企业业务处理和服务类型提供一个崭新的现代化平台。

虚拟私网络技术较为常用的有隧道技术、加密技术、密钥管理技术以及身份认证识别技术。虚拟私网策略采用隧道端完成信息的加密和解密操作的隧道化传输方式，通过认证、测控、机密度管控和数据完整度等方式实现数据安全传输，在虚拟网络搭建完成后双方可以在同一层级内的网络节点实现安全的数据传输。虚拟私网包括服务器和操作系统虚拟化、存储和系统管理的虚拟化管理等内容。虚拟私网通过选取策略对使用都进行身份确认，对访问虚拟私网的使用者严格限定其进入限制、权限限制；采用AES 和 3DES 等加密方法，对网络数据进行加密和解密；利用PPTP这种点对点隧道协定完成数据压缩和加密，采取IPSec 隧道方式加强IP服务端的服务安全性能，实现虚拟私网和公共网络的协议对接和信息发送。

2 基于虚拟私网的企业网络安全架构设计

虚拟网络技术可以使用以下方式组建：基于交换机端 口的VLAN、基于 MAC 地址的 VLAN 和基于应用协议的 VLAN、基于端口的 静态VLAN。虚拟网络体系安全架构由注册管理模块、证书库、证书管理模块、密钥库、密钥管理模块、策略库、策略引擎、加密及解密模块、身份认证模块和管理模块组成的总体布局。进入网络系统的管理员必须经过IP地址、TCP端口和路由网关的认证，需要有严格的身份验证客户端设备或移动用户终端才能够接入企业私网。业务数据流需认证中心注册管理模块为用户提供注册组件，通过IPSec加密，调阅证书库已注册的认证证书，分配并生成与身份验证相匹配的信息加密、解密及监督职能，为IP 及其上层业务数据传送部分提供安全加密保护。管理模块统一调虚拟私网的安全工作，其中策略库对数据安全起重要的安全保障作用，虚拟私网由协议来查阅并判断是否需要加密保护，并相应配置安全保护策略。

很多企业往往存在多虚拟网络，考虑到公司现有网络设施及对安全性要求可以在主虚拟网络安装地配署一台服务器，即安全网关，按分支机构数据信息传输需求安装VPN客户端增强软件，通过先进的加密技术及TCP/IP 的应用、VPN 专有隧道连通对企业内部部门进行网状模型设置，并依据安全级别及业务种类设置和分配访问权限，运用数据加密技术将重要保密数据变为不可读格式，保证信息的隐蔽性并建立安全的通信。

3 基于虚拟私网的企业网络安全架构实现

虚拟私网的服务端口往往基于Windows Server 2008，客户端模块为 Windows 7，虚拟网络服务装置包含企业公共网络的 IP地址和企业的内网 IP 地址，构建私网客房端并上传访问程序包；设置相应私有网络网址有子网掩码，将客户端网络和虚拟私网在区分不同的物理外围网络中，通过划分虚拟局域网、隔离不同部门，增强企业网络安全性。采用高性能全交换线路，根据数据传输具体需求采用简约的PPTP 隧道协定，获取PPTP，L2TP 以及IPsec；企业虚拟网络端口搭建成功以后，需要进行网络从内部到外部的性能测试，进行漏洞扫描加强数据安全管理、加强网络数据的存储管理系统建设，以达到增强企业网络安全性的目的。

4 结束语

综上所述，虚拟网络企业网络安全管理是保障企业网络安全的必然要求，是实现新一代企业网络的一种发展趋势，加强虚拟私网安全研究和架构设计具有重要现实作用。本文基于虚拟私网安全原理，设计虚拟私网企业网络安全架构，并研究其安全策略，不断地更新技术，完善系统运作，保障虚拟私网企业网络安全。