基于VPN的网络安全技术研究

国网四川省电力公司客户服务中心 熊学锋 王良之 荣功立 王云飞 曹 鑫 罗兰溪 彭小庆

基于VPN的网络安全技术研究

国网四川省电力公司客户服务中心 熊学锋 王良之 荣功立 王云飞 曹 鑫 罗兰溪 彭小庆

随着计算机网络的不断发展，网络安全技术已成为网络技术发展的一个热点。但是随着网络的不断发展，暴露出来的安全问题也受到人们的重视，于是越来越多的人开始使用或者研究互联网的安全问题。随着研究和应用的不断深入，各种安全技术不断被创造和改进。

网络安全；VPN；应用研究

0 引言

随着对人们工作生活对网络的使用越来越频繁，对网络安全和速度的要求也是越来越高。正是这种迫切的需求也促使着人们不断的研究着网络安全技术，改善目前的网络安全问题。

1 VPN介绍

在计算机网络中，除了建设物理隔离的业务网络之外，还拥有更具性价比的解决方案，使用VPN（Virtual Private Network虚拟专用网）技术来构建安全的业务网络。

VPN利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。传统的解决方法，是采用IPSec VPN来解决，而IPSec VPN协议设计是为了解决安全问题而诞生的，但在实际应用中，在解决远程连接的方案中已经不能满足当前的网络安全需求。

2 VPN技术分类

1)链路层VPN 技术

PPTP协议：PPTP协议又称为点到点协议，它是一种安全协议，最初是为了解决移动终端的网络安全要求，是PPP协议的扩展，为通过IP上网的用户提供基于VPN的安全解决方式，而其他用户可以通过支持PPTP协议的网络来连接和访问。

PPTP协议是在客户端和服务器之间的安全协议，而客户端是基于该协议的一般计算机，而服务器是在支持PPTP协议的指定服务器。客户可以通过多种网络方式接入公网，首先他要通过拨号连上ISP服务器，建立数据连接；然后，再建立PPTP连接，连接到PPTP服务器；它支持多种数据的封装。

PPTP协议保证了客户端与服务器之间的正常通信，减少网络拥塞和数据丢失现象。它获得了微软公司的支持，同时具有流量控制功能。而VPN的配置需要由客户端来进行配置，无形中就加大了客户端的工作，同时还具有一定的安全风险。PPTP由于不具备验证功能，它是仅工作于IP，所以需要用户进行验证。

2)网络层VPN技术

IPSec协议是一种公开的标准协议，它和其他协议，如PPTP协议的最大区别是它是对IP层进行加密。它实际上并不是某种特殊的算法，在它的数据结构中也没有加入特定的算法和规则，它是完全开放的，它是对IP数据包进行定义，而其他的算法和规则也都可以通过IPSec进行传输和运行。

IPSec协议主要运行方式分为隧道模式和传输模式。隧道模式是将数据在传输层进行封装，并以安全数据IP包形式保存和传输。而传输模式则仅仅是对数据的端到端传输，不会对数据进行隐藏和封装。从两者的运行方式来看，显然，隧道模式的安全性能更高，但是相应的也会带来系统的运行开销增大。由于IPSec是基于网络层的一种协议，因此，它不能穿越防火墙、NAT（Network Address Translation，网络地址转换）等网络防护设备。

3)会话层VPN技术

SOCKS协议：SOCKS处于OSI模型的会话层，在SOCKS协议中，客户程序通常是先连接到防火墙1080端口，然后由防火墙建立到目的主机的单独会话，这种情况下客户程序对目的主机是不可见的。SOCKS的问题在于必须对客户端应用程序做修改，加入对SOCKS协议的支持。

3 VPN应用及优势

1)身份认证安全

系统的安全认证方式往往采用用户名和密码方式，而这种方式安全性不高，特别是对于一些相对较简单的密码，黑客可以通过破解方式轻松获取。而一旦系统密码被破解，系统将暴露在互联网上，数据和重要资料将被轻松盗取，尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。

2)终端访问安全

虽然网络中设置了防火墙、IPS等主动防御设备，但远程终端仍可通过VPN连接，而往往这些设备很难抵御通过VPN的连接。因此，这就给网络安全带来了隐患。为了保证整体安全防御水平，就需要对接入的终端主机的安全水平采取一定的控制措施。

例如金融系统以及电力系统等包含重要数据的业务系统，当用户通过远程接入的方式访问到这些系统时，由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据，容易导致重要数据人为或是无意的泄漏，存在重大的信息安全隐患。如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄，是IT管理人员需要考虑的一个非常重要的方面。

3)权限划分安全

由于网络和服务器中存在大量的数据和自建应用系统，密码的泄露和权限的滥用往往容易造成网络攻击和病毒的侵害，一旦数据被破坏和黑客入侵，其后果将不堪设想。因此，需要在访问时建立权限机制。避免将重要数据暴露在网络中，同时，要对数据进行加密和采取强制修改弱口令等措施。

4)应用访问审计安全

为了能够追踪到用户的应用使用情况，减少因外来访问造成的系统安全问题，同时可以掌握用户数据和访问人等信息，需要对系统采取必要的审计措施。

5)业务数据迁移智能终端访问安全性

随着将业务系统迁移到终端，业务数据呈现于移动智能终端设备上，如何避免重要的业务数据随着智能终端丢失而造成泄密的风险，如何保障业务数据访问安全性，需要对业务系统迁移至智能终端访问做必要的安全措施。

4 结束语

VPN技术的应用极大的降低网络系统的运营成本，提高资源的利用效率，具有明显的应用价值。VPN技术与其他网络技术的结合，将进一步实现网络安全，提高传输性能等功能。

[1]罗智勇,尤波,苏洁.基于VPN网络的高校数字化图书馆组建模型研究[J].图书馆研究学,2013(01).

[2]梁居宝,杜克明,孙忠富.基于3G和VPN的温室远程监控系统的设计与实现[J].中国农学通报,2011(29).

[3]劳凤丹.余礼根.滕光辉.朱骏君. VPN远程监控系统的设计与实现[J].中国农业大学学报,2011(02).

[4]李跃.基于SSL VPN的研究与改进[J].信息安全与通信保密,2005(02).