Vpn 技術(shù)在企業(yè)中的應(yīng)用與優(yōu)化

王東海　劉陳

摘要：分析了VPN技術(shù)的特點(diǎn)及應(yīng)用場(chǎng)合，然后實(shí)現(xiàn)了在企業(yè)中應(yīng)用的3種模式。同時(shí)，針對(duì)在其應(yīng)用中，隨著人數(shù)的增加和需求不斷增加，專線帶寬瓶頸越顯突出，導(dǎo)致分支用戶業(yè)務(wù)系統(tǒng)使用不便的問(wèn)題，設(shè)計(jì)了一種優(yōu)化的方案。

關(guān)鍵詞：VPN技術(shù)；隧道；優(yōu)化

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專用網(wǎng)，它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并能提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過(guò)VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享，并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過(guò)程中，隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加，多帶寬使用率的要求也越來(lái)越高，導(dǎo)致分支用戶業(yè)務(wù)使用不便，同時(shí)專線vpn對(duì)于移動(dòng)辦公人員和各辦事處人員訪問(wèn)公司的系統(tǒng)不能更好的支持。因此，對(duì)其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專用連接，即沒有固定的物理連接，它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施，在兩臺(tái)直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專用通道，建立起虛擬的專用通路，并利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝，使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過(guò)程的打包和解包工作則必須通過(guò)一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專門的過(guò)程，依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元：VPN服務(wù)器端、VPN客戶端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺(tái)VPN內(nèi)網(wǎng)接入設(shè)備，該設(shè)備有雙網(wǎng)卡，它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò)，另一方面連接到Internet，即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶使用時(shí)根本無(wú)需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶認(rèn)證等過(guò)程。[3]遠(yuǎn)程用戶采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變，以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場(chǎng)景

VPN的應(yīng)用場(chǎng)景分可分為3種：

1）站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)：在不同的地方分支，各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)則通過(guò)這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2）端到端或者PC到PC：兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec進(jìn)行會(huì)話保護(hù)，而并不是網(wǎng)關(guān)。

3）端到站點(diǎn)或者PC到網(wǎng)關(guān)：兩臺(tái)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式，它的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺(tái)深信服（SANGFOR）加速設(shè)備，對(duì)現(xiàn)有專線數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書認(rèn)證、移動(dòng)客戶端專線功能，能保障用戶訪問(wèn)安全和數(shù)據(jù)傳輸安全。

具體方案如下：

1）通過(guò)SANGFOR設(shè)備對(duì)專線線路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮，以減少數(shù)據(jù)傳輸量，提高分支機(jī)構(gòu)和總部之間響應(yīng)速度；

2）對(duì)在通信信道中傳輸?shù)臄?shù)據(jù)進(jìn)行加密傳輸，避免數(shù)據(jù)裸奔在互聯(lián)網(wǎng)上，遭受不法分子竊取和盜用；

3）對(duì)移動(dòng)辦公、出差或辦事處的人員不需要添加任何設(shè)備，只需在總部的vpn設(shè)備上為之建立賬號(hào)和設(shè)置權(quán)限，便可以進(jìn)行安全訪問(wèn)。

3.2 優(yōu)化后的拓?fù)浣Y(jié)構(gòu)

根據(jù)以上提出的優(yōu)化方案，優(yōu)化后的拓?fù)浣Y(jié)構(gòu)如圖1所示：

3.3 優(yōu)化的實(shí)現(xiàn)

SANGFOR-Vpn配置（實(shí)現(xiàn)分支機(jī)構(gòu)-總部以及移動(dòng)終端-總部）。公網(wǎng)地址為101.231.178.114。

1）總部相關(guān)配置：

① 首先登陸SANGFOR設(shè)備WEBUI界面，配置服務(wù)器端主webagent地址（vpn服務(wù)器端地址），其中主webagent地址為設(shè)備的wan口地址。4009為自定義的vpn數(shù)據(jù)端口。

② 配置用戶信息（vpn客戶端接入身份），在用戶管理菜單中配置用戶名、密碼，并選擇“分支”類型。以便滿足用戶登錄。

③ 配置移動(dòng)vpn用戶，在增加用戶菜單中配置為移動(dòng)用戶設(shè)置用戶名、密碼，并選擇“移動(dòng)”類型。以便滿足移動(dòng)用戶的登錄。

2）分支相關(guān)配置：

登陸SANGFOR設(shè)備WEBUI界面。配置客戶端主webagent地址（vpn服務(wù)器端地址），如圖2所示：

3）移動(dòng)端相關(guān)配置：

在客戶端pc機(jī)上安裝SANGFOR的PDLAN軟件[5]（可在SANGFOR官方網(wǎng)站下載）。安裝完畢后，手動(dòng)配置vpn服務(wù)器端地址，和用戶信息。如圖3所示：

3.4 cisco-ASA移動(dòng)vpn配置

移動(dòng)vpn的關(guān)鍵配置如下：

1）定義G0＼0端口為外網(wǎng)口outside并設(shè)置其安全等級(jí)

interface GigabitEthernet0/0

nameif outside

security-level 0

2）配置其公網(wǎng)地址

ip address 101.231.178.114 255.255.255.252

6） 網(wǎng)站受到惡意破壞

我國(guó)計(jì)算網(wǎng)絡(luò)系統(tǒng)不斷的更新，網(wǎng)絡(luò)受到的破壞也越來(lái)越多，在網(wǎng)絡(luò)遭到損壞的時(shí)候，校園計(jì)算機(jī)管理人員想要統(tǒng)一的管理就變得非常困難。主要的原因就是計(jì)算機(jī)設(shè)備比較多，分布也非常廣泛，所以還是經(jīng)常出現(xiàn)計(jì)算機(jī)被無(wú)意有意破壞的情況。并且學(xué)生在破壞網(wǎng)絡(luò)系統(tǒng)造福自己的同時(shí)，校外的黑客人員就會(huì)借此機(jī)會(huì)攻擊網(wǎng)絡(luò)獲取秘密，這些行為都會(huì)影響校園網(wǎng)絡(luò)的正常使用。

7） 用戶發(fā)送垃圾郵件

我國(guó)高校中都是老師和學(xué)生在使用網(wǎng)絡(luò)，老師在課堂上經(jīng)常使用郵件發(fā)送信息，所以很多學(xué)生也開始學(xué)習(xí)使用郵件，這就導(dǎo)致校園中垃圾郵件出現(xiàn)非常多，這樣的情況會(huì)導(dǎo)致服務(wù)器被堵塞，使整個(gè)網(wǎng)絡(luò)的運(yùn)行速度非常慢，所以垃圾郵件也成為影響網(wǎng)絡(luò)速度和導(dǎo)致網(wǎng)絡(luò)被病毒入侵的主要原因。現(xiàn)階段，很多校園都建立起自己的郵件服務(wù)器，僅僅是為了給校園網(wǎng)絡(luò)用戶提供便利條件，但是因?yàn)槿狈?duì)安全使用規(guī)定的考慮，導(dǎo)致校園網(wǎng)絡(luò)更加不安全，同時(shí)也浪費(fèi)了校園網(wǎng)絡(luò)寬帶的使用情況[5]。

3 加強(qiáng)高校校園網(wǎng)絡(luò)安全的對(duì)策

1） 設(shè)置安全的網(wǎng)絡(luò)系統(tǒng)服務(wù)平臺(tái)

可以通過(guò)網(wǎng)絡(luò)安全系統(tǒng)的合理使用來(lái)試下校園安全防護(hù)體系的整體構(gòu)建。這一舉措在校園網(wǎng)絡(luò)安全維護(hù)的過(guò)程中發(fā)揮了重要的作用。同時(shí)，網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)服務(wù)平臺(tái)的安全穩(wěn)定的運(yùn)營(yíng)也是校園網(wǎng)絡(luò)整體安全性提高的立足點(diǎn)和基礎(chǔ)?？梢酝ㄟ^(guò)網(wǎng)絡(luò)系統(tǒng)軟件的合理利用以及計(jì)算機(jī)安全檢測(cè)系統(tǒng)的系統(tǒng)掃描進(jìn)行安全漏洞修補(bǔ)。同時(shí)要求管理人員對(duì)于校園總網(wǎng)絡(luò)終端進(jìn)行最終限制，這樣能夠更好的保護(hù)校園網(wǎng)絡(luò)安全。

2） 校園網(wǎng)絡(luò)安全管理規(guī)則

近些年來(lái)，互聯(lián)網(wǎng)應(yīng)用推廣速度越來(lái)越快，在此背景下，眾多的網(wǎng)絡(luò)病毒入侵系統(tǒng)也在實(shí)現(xiàn)病毒的更新?lián)Q代，網(wǎng)絡(luò)系統(tǒng)維護(hù)管理人員還需要在發(fā)現(xiàn)的時(shí)候及時(shí)發(fā)布信息，統(tǒng)治全校使用網(wǎng)絡(luò)的人員，并且讓校園網(wǎng)的使用客戶了解其中的安全隱患，加強(qiáng)防范措施。網(wǎng)絡(luò)管理工作人員在統(tǒng)治全校的師生之后，還需要及時(shí)下載補(bǔ)丁，修補(bǔ)網(wǎng)絡(luò)漏洞，并且同時(shí)通知老師和學(xué)生對(duì)所使用的數(shù)據(jù)和軟件做好備份，建立起完善的數(shù)據(jù)庫(kù)，然后及時(shí)完善和整修網(wǎng)絡(luò)系統(tǒng)，做好及時(shí)的應(yīng)急措施。網(wǎng)絡(luò)管理工作人員在統(tǒng)治全校的師生之后，還需要及時(shí)下載補(bǔ)丁，修補(bǔ)網(wǎng)絡(luò)漏洞，并且同時(shí)通知老師和學(xué)生對(duì)所使用的數(shù)據(jù)和軟件做好備份，建立起完善的數(shù)據(jù)庫(kù)，然后及時(shí)完善和整修網(wǎng)絡(luò)系統(tǒng)，做好及時(shí)的應(yīng)急措施。

3）網(wǎng)絡(luò)技術(shù)的安全保障

校園的網(wǎng)絡(luò)喜用首先還需要以安全防范為主，保護(hù)重要的訪問(wèn)鏈接，并且保證學(xué)生和老師在使用網(wǎng)絡(luò)訪問(wèn)的過(guò)程中，能夠保證不破壞內(nèi)部的資源，并且嚴(yán)格禁止用戶進(jìn)行非法的訪問(wèn)和使用，校園使用秘密網(wǎng)站的口令和信息需要保證其唯一性，用戶在訪問(wèn)之前還需要使用同一的密碼和口令，這樣才能保證網(wǎng)絡(luò)系統(tǒng)的安全性[6]。

4） 做好物理安全防護(hù)措施

需要使用防輻射防護(hù)還有屏幕口令等手段對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理防護(hù)，同時(shí)在用戶使用的過(guò)程中還需要避免網(wǎng)絡(luò)設(shè)備和網(wǎng)線等受到破壞，把校園中網(wǎng)絡(luò)的機(jī)房等地方嚴(yán)格監(jiān)控，這樣才能保證整個(gè)信息系統(tǒng)的安全。

5） 加強(qiáng)對(duì)使用學(xué)生的教育及培訓(xùn)

通過(guò)對(duì)網(wǎng)絡(luò)安全教育使用用戶知識(shí)的加強(qiáng)，要用戶明確網(wǎng)絡(luò)系統(tǒng)被破壞所產(chǎn)生的危害，加強(qiáng)用戶的網(wǎng)絡(luò)安全意識(shí)，讓校園中的所有人都開始關(guān)心網(wǎng)絡(luò)的安全使用情況，一旦發(fā)現(xiàn)不合理行為還需及時(shí)向有關(guān)部門報(bào)告。這樣才能夠完好的保證校園系統(tǒng)的使用情況。

4 結(jié)論

從高校角度來(lái)探討網(wǎng)絡(luò)安全問(wèn)題，需要站在學(xué)生主體地位前提下，開展系統(tǒng)的、細(xì)致的、全面的以及深入的網(wǎng)絡(luò)安全教育工程。同時(shí)，在進(jìn)行網(wǎng)絡(luò)安全教育的過(guò)程中，還需要相關(guān)專業(yè)人員的輔助監(jiān)控和監(jiān)督，完成對(duì)網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)使用安全的有效管理和監(jiān)控，從而在側(cè)面上保障高校網(wǎng)絡(luò)使用的安全性以及網(wǎng)絡(luò)信息傳輸?shù)陌踩潭取１疚恼驹谌嫣嵘咝＞W(wǎng)絡(luò)安全教育的角度，利用制度的影響、技術(shù)的推動(dòng)、人們內(nèi)心觀點(diǎn)的引導(dǎo)等綜合影響，建立符合現(xiàn)代化高校發(fā)展和教育的網(wǎng)絡(luò)安全平臺(tái)，為師生創(chuàng)辦出符合高校素質(zhì)化教育的網(wǎng)絡(luò)端口。促使高校網(wǎng)絡(luò)安全工作走上健康發(fā)展的道路。

參考文獻(xiàn)：

[1] 單忱.高校校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策[J].數(shù)字技術(shù)與應(yīng)用，2015（11）：191.

[2] 浦建明.高校校園網(wǎng)網(wǎng)絡(luò)安全隱患與防范策略[J].電腦編程技巧與維護(hù)，2015（24）：133-134.

[3] 鄭志凌，李健，胡慶龍.基于ACL的高校校園網(wǎng)網(wǎng)絡(luò)流量安全控制策略研究及應(yīng)用[J].電腦知識(shí)與技術(shù)，2015（2）：55-56.

[4] 王霞.高校校園網(wǎng)絡(luò)安全問(wèn)題與治理研究[J].科技視界，2016（5）：193.

[5] 王曉卉.高校校園網(wǎng)絡(luò)安全策略分析[J].知識(shí)經(jīng)濟(jì)，2011（1）：147-148.

[6] 杜富強(qiáng).高校校園網(wǎng)絡(luò)信息安全技術(shù)與策略研究[J].科技信息，2012（18）：256.