计算机网络安全中虚拟专用网络技术研究

姜希

（江苏省南京工程高等职业学校 江苏省南京市 211135）

计算机网络安全问题的成因普遍为木马程序、可植入病毒、外部破解性攻击，同时也与计算机网络本身的配置有关（如配置不协调会导致网络安全性大幅降低，加大安全问题的发生概率），因此要有效防护这些因素具有一定的难度，加之这些因素本身会不断发展，使得相同的手段难以长期保障计算机网络安全。而虚拟专用网络技术的出现弥补了以往手段的不足，一劳永逸的解决了计算机网络安全问题，可以从多个角度、多个层面保护计算机网络不被外部因素侵扰或攻击，用户自然可以放心使用计算机网络。但要充分发挥虚拟专用网络技术的作用，用户就应当对该项技术有一定了解，并掌握技术应用方式，因此有必要展开相关研究。

1 虚拟专用网络技术基本概念与特征

1.1 概念

虚拟专用网络技术是一类在公共网络环境中搭建一个私有网络空间的技术，私有网络空间具有私密性，对于任何未得许可的外部访问请求会全部拒绝，使得空间只对得到许可的用户开放，因此私有网络空间在形式上与局域网非常相似。在原理上，常规的虚拟专用网络（即私有网络空间）普遍是先将一部分数据网络集中后封闭，形成一个密闭性空间，随即在这个空间上开发一个访问接口，任何人想要通过访问进入空间就必须接受访问接口的认证审验，审验一般依照匹配策略来判断访问者身份是否合法、是否有授权的，即所有得到虚拟专用网络访问许可的用户都会有一个账号、密码组合，这个组合保存在虚拟专用网络空间系统内，当用户想要访问进入空间，就要在访问接口界面上输入账号、密码组合，而系统将会核对用户输入的账号、密码与系统保存的账号、密码之间是否完全匹配，只要有任意不匹配现象发生，就会拒绝访问者访问请求，这样就能保护计算机网络安全。另外，以上关于虚拟专用网络技术原理的论述是针对常规虚拟专用网络展开的，在其他技术形式中这种原理大体相同，但机制存在一定差异，用户需要根据实际情况作出正确选择[1]。

1.2 特征

虚拟专用网络技术在实际应用中具备两大特征，具体为：

（1）虚拟专用网络技术对于设备的要求比较低，甚至可以在不完善的设备配置上继续稳定运行，即虚拟专用网络空间的基础是公共网络空间，因此本身并不需要太多设备，如交换机等设备就是虚拟专用网络空间所不需要的，这一特征使得技术应用便捷性大幅提升，且不会占用太多网络流量，人们只需要对网络的参数进行调整就能保专用网络稳定运行。同时硬件设备较少本身就具有一定的安全保障意义，即很多外部攻击都是从设备着手发动的，说明虚拟专用网络技术的安全性比较高；

（2）虚拟专用网络技术的适用性很强，这得益于该项技术的多种形式，即虚拟专用网络技术具有多种形式，因此能应用于不同网络环境中，类似于企业内部网络、电商网络等，说明该项技术能满足不同用户的计算机网络安全防护需求[2]。

2 虚拟专用网络技术形式

2.1 VPN技术

VPN 技术是最常见的虚拟专用网络技术形式，能够有效保护计算机网络的安全。VPN 技术常应用于远距离通讯网络中，原因在于VPN 技术在远距离通讯中的运维成本较低，同时具有良好的安全性，这弥补了传统远距离通讯网络的缺陷，即传统远距离通讯网络配置中普遍需要租赁DDN 数字数据网专线，但这样会导致通讯运维成本增加，且这种方式只能应用于PC 端，而在移动端远距离通讯方面，普遍是通过拨号线路来进行远距离通讯访问的，而这样一定会造成安全隐患，加大计算机网络安全问题的发生概率。在这种情况下，VPN 技术的使用取代了传统远距离通讯网络的配置方案，能够在公共网络中构建专用网络，且专用网络的构建不需要物理链路作为支撑，而是在公共网络中的网络平台上假设服务器或软件来实现，通讯时依靠逻辑隧道实现点对点数据传输，从网络配置上就能阻隔大部分计算机网络安全隐患。另外，VPN 技术还可以与加密技术、认证技术结合，实现通讯加密与用户认证两项功能，其中前者可以对通信过程中的数据信息提供安全保护，除了传输方与接收方，其他人不能干预，后者则可以识别用户身份，避免恶意访问等不利现象发生。

2.2 IPsee VPN技术

IPsee VPN 技术的核心是IPsee 协议，应用该项技术会使得计算机网络中任何数据信息传输活动都要遵从协议进行IP地址传输，这种传输方式区别于传统数据信息传输方式，在安全性上有显著优势，即首先IPsee VPN 技术能够加强PC 端之间连接的安全水平，原因在于PC 端之间的连接不在依赖网关，而网关是很多外部攻击瞄准的对象，因此当PC 端不需要网关进行连接，就等同于不会受到相关外部攻击，说明IPsee VPN 技术对PC 端之间的数据信息传输提供了保护，如IPsee 会话保护等。其次IPsee VPN 技术可以让网关之间的连接安全性提升，这一作用在企业的计算机网络中表现最为突出，原因在于企业的计算机网络架构复杂，且架构中每个板块之间有必须相互关联，因此网关是企业计算机网络架构构建的基础，但这也使得网关层面上的安全隐患威胁到了企业计算机网络架构安全，而使用IPsee VPN 技术能够对网关进行科学、合理的配置，用户能随时随地调整网关参数，同步构建IPsee 隧道，隧道能支撑VPN 技术实施，借助VPN 技术保障隧道中网关通信安全性增加，还能让网关通信更加稳定，有益于计算机网络性能。此外，IPsee VPN 技术在不断开发下具备了融合Trans-port 模式与隧道模式的功能，使得技术可以同时处理AH、SEP，实现外网IP 封装，这对于计算机网络点对点之间的数据传输更加有益，其有益性就体现在通信安全上。

2.3 MPLS技术

MPLS 技术的主要功能是搭建MPLS 虚拟网络，该网络是一种IP 专用网络，能够对数据信息传输提供安全保障。在计算机网络安全保护方面，MPLS 技术的实际作用与其他两项技术形式类似，本文就不多加赘述，但MPLS 技术还有益于计算机网络的灵活性与可拓展性，这是该项技术的独特价值。但值得注意的是，MPLS技术的应用必须建立在PE 路由器上，即要让MPLS 技术融入计算机网络，需要先针对PE 路游戏进行CR-LDP 配置，并设计LSP，设计形式一般采用分层设计，构成三层VPN 对立架构，随之针对PEL 的VET 进行标记，完成VEI 表格搜索，再将搜索结果传输到CE 设备中，最终即可通过PE 路由器实现网络数据表传输，同时可以采用PE2 路由器或者是LDP 协议发送其他连接表。可以看出，MPLS 技术对于硬件设备（即PE 路由器与PE2 路由器）具有依赖性，相比于VPN 技术与IPsee VPN 技术，MPLS 技术这一方面稍显薄弱，但这不会造成安全性上的影响，只存在成本上的考虑。

3 虚拟专用网络技术的应用方案

3.1 方案实施条件

参照现代计算机网络安全问题的发展趋势，企业计算机网络是最常遭受恶意攻击，也是最常出现病毒侵扰的计算机网络，因此本文提出的虚拟专用网络技术应用方案就针对某企业计算机网络。

某企业在以往发展中早早实现了信息网络化建设，建立了架构完善的计算机网络，但自计算机网络建立以来，该企业就不断遭受外部恶意攻击，同时还存在一些内部因素的影响，因此该企业对自身计算机网络安全问题的成因进行了全面分析，结果显示企业计算机网络安全问题主要因为5 大因素产生，分别为企业内网安全性低、企业内网远程访问防护力度不足、企业对外的数据传输没有加密、缺乏用户认证机制、结构化安全管理不到位。因此本文方案要解决该企业这5 大因素，保障该企业计算机网络安全。

3.2 方案架构

图1 介绍了本文虚拟专用网络技术应用方案的基本架构，结合图1，下文将对架构进行全面解析，论证方案是否能解决该企业计算机网络安全问题的5 大成因。

3.2.1 VPN 技术应用

参照图1，本文方案中主要利用VPN 技术解决该企业的企业内网安全性低、企业内网远程访问防护力度不足两大因素：

（1）针对该企业内网安全性现状，首先要使用VPN 技术对企业内网进行架构整合，即企业内部存在很多职能部门，甚至有一些部分是独立在外的，因此部分之间存在不小的隔阂，使得不同部分的计算机网络安全防护力度出现差异，这种差异就是导致企业内网安全性低的主要原因。因此要借助VPN 技术将企业内所有职能部门的计算机网络连接在一起，构建一个整体的局域网，这个局域网落位于公共网络，在VPN 技术作用下具有密闭性特征，因此能够提高内网安全性。其次出于企业管理考虑，企业可以利用VPN 技术对各职能部门进行点对点的管理，或者在局域网中进行群发，实现一对多的数据传输，这样无论是局域网本身还是局域网内部的数据传输都得到了更高的安全保障；

（2）针对该企业内网远程访问防护力度不足因素，借助VPN技术可以让局域网虚拟化（虚拟化后就完成了虚拟专用网络搭建），在虚拟环境中实现信息资源共享，这样只有得到网络管理员许可的用户才能通过远程方位进入资源共享中心，随即往常一系列操作，使得数据传输速度增快，且安全性更高。同时，建议企业在虚拟专用网络搭建过程中也要利用VPN 技术对出口网关进行统一管理，即VPN 技术可以将各职能部门的网关连接在一起，便于企业实施统一管理，因此能有效保障网络与数据安全，加大了远程访问的防护力度。

3.2.2 IPsee VPN 技术应用

本文方案主要利用IPsee VPN 技术解决该企业的企业对外的数据传输没有加密、缺乏用户认证机制因素：

（1）针对该企业对外数据传输没有加密因素，因为在信息时代下企业必须积极对外进行数据传输，不可能降低对外传输的频次，否则企业会被时代淘汰，所以企业必须采用技术手段去解决其中存在的安全问题。在这种情况下，该企业可以使用IPsee VPN 技术加强自身PC 端与对方企业PC 端的连接安全性，突破网关限制，使得对外数据传输不易被攻击，传输过程也不容易被截取，说明对外数据传输安全性提升。同时出于安全性最大化考虑，该企业还能借助IPsee VPN 技术对传输的数据进行签名加密，即签名加密就是先将数据打包，随即对数据包进行签名，任何用户获取到该数据包之后要解压读取其中数据就必须输入正确签名，这样即使数据包被截取也不会泄密，因此实现了数据加密，保障了对外数据传输的安全性；

（2）针对该企业缺乏用户认证机制因素，IPsee VPN 技术可以从传输对象身份、访问者身份两个层面实现用户认证，确保数据可以被传输给正确对象，且避免恶意访问等类似现象发生，即在传输对象身份上，当企业对外发送数据包，数据包会先被虚拟专用网络截留，同步向传输对象发送身份认证请求，只有传输对象输入了正确认证秘钥后，网络才会继续发送数据包。而在恶意访问方面，IPsee VPN 技术除了会参照账号、密码组合进行匹配度认证以外，还会对访问对象的IP 地址进行核实，若访问对象的IP 地址存在变化，则会要求访问对象输入动态秘钥，不通过同样会拒绝访问。

3.2.3 MPLS 技术应用

本文方案主要利用MPLS 技术解决该企业结构化安全管理不到位因素，旨在强化该企业结构化安全管理力度。应用中，MPLS 技术可以在虚拟专用网络中构建专门的数据传输隧道，并针对隧道进行安全保护，让安全管理结构变得更加简单，因此安全管理力度能够更加集中，力度自然提升。而在MPLS 技术优化后的隧道传输结构安全管理工作中，MPLS 技术可以通过实时安全检验命令等机制对传输过程进行检测，若发现异常现象，MPLS 技术将自动开启信息安全防护机制，自动完成信息备份、停止数据传输等，避免信息外泄、损坏。

4 结语

综上，相比于传统计算机网络安全防护技术，虚拟专用网络技术更具优势与应用价值，本文在研究中介绍了该项技术的基本概念与特征。随后文中围绕该项技术的三大形式，结合案例5 大计算机安全问题成因提出了技术应用方案，通过方案可以有效解决各项因素，使得计算机网络安全水平提升。