虛擬網(wǎng)絡技術在網(wǎng)絡信息安全的應用

1、虛擬網(wǎng)絡技術在網(wǎng)絡信息安全的應用當前，計算機網(wǎng)絡信息安全管理中存在的問題不僅給計算機的應用和發(fā)展帶來了一定阻礙，更成為社會重點關注的話題。而虛擬專用網(wǎng)絡技術不但具有傳輸數(shù)據(jù)快的優(yōu)點，更具有較高的安全性和穩(wěn)定性。 1虛擬專用網(wǎng)絡技術簡介 所謂虛擬專用網(wǎng)絡是指通過特殊加密的通信協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間構(gòu)建一條專有的通信線路，就好比是架設了一條專線一樣，但并不需要真正去鋪設光纜之類的物理線路1。而所謂虛擬專用網(wǎng)絡技術則主要是指其中用到的各種技術，包括VPN技術、隧道技術、加密技術、身份認證技術和密鑰技術等2。 2當前計算機網(wǎng)絡信息安全管理中存在的問題 2

2、.1監(jiān)測技術有限。近年來，各種黑客攻擊技術手段層出不窮。同時，隨著互聯(lián)網(wǎng)的進一步發(fā)展，網(wǎng)絡環(huán)境也不斷變化，并日趨復雜。相應的，網(wǎng)絡安全所面臨的問題，在數(shù)量、種類上都有所增加，同時也愈發(fā)復雜、隱蔽，技術攻克難度也越來越大，網(wǎng)絡安全問題觸發(fā)的后果也愈發(fā)嚴重。而現(xiàn)有的計算機網(wǎng)絡信息安全管理相關的檢測技術難以應對這種新形勢，不僅難以辨認各種攻擊和潛在風險，更是無從處理和應對。2.2難以有效控制訪問。當前，我國計算機網(wǎng)絡信息安全管理還面臨著一個比較嚴重的問題，即訪問的控制問題。訪問控制主要控制的是接入主機的用戶身份，其目的是避免非法用戶入侵。在當前的技術水平下，訪問控制中最難以解決的問題就是如何判斷、區(qū)

3、分用戶身份的非法性和合法性，特別是一些用戶數(shù)量較多的軟件，如微博、微信等，其控制工作的難度較大。另外，為了確保用戶數(shù)量的黏著度，往往需要保證這些網(wǎng)站有較好的易用性。而在當前技術水平下，訪問控制與網(wǎng)站易用性之間天然就存在不可避免的沖突。2.3加密技術實用性有待提高。從理論上來講，當前，我國計算機網(wǎng)絡信息安全管理中應用的加密技術具有極強的加密效果，但也存在破解的可能性。但在現(xiàn)實中，攻擊者往往很難確保有足夠的資源、時間和場地來開展破解工作。從這個角度來看，當前的加密技術能被破解的可能性微乎其微。然而，這些加密技術還存在一些應用性問題，影響了其作用的充分發(fā)揮。 3虛擬專用網(wǎng)絡技術在計算機網(wǎng)絡信息安全中

4、的應用 3.1MPLSVPN技術在計算機網(wǎng)絡信息安全中的應用。MPLSVPN是指采用MPLS技術在運營商寬帶IP網(wǎng)絡上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，并結(jié)合差別服務、流量工程等相關技術，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)安全、靈活、高效地結(jié)合在一起，為用戶提供高質(zhì)量的服務3。MPLSVPN技術具有安全性、穩(wěn)定性、靈活性和傳輸速度快等優(yōu)點，可以提供等同于專線級別的安全保護在PE設備上識別不同業(yè)務，將語音、視頻實時業(yè)務、數(shù)據(jù)業(yè)務等區(qū)分開來，封裝到VPN中，實現(xiàn)不同業(yè)務之間的安全隔離。一般來說，要想將MPLS技術應用在計算機網(wǎng)絡信息安全中

5、需要3個步驟。其一，構(gòu)建一個分層服務提供商，即LSP。通常來說，網(wǎng)絡對PE路由器中間分層服務提供商的建立都是采用CR-LDP這種方法來實現(xiàn)的。其最終所建立的分層服務提供商往往具有多種業(yè)務，如二層VPN、三層VPN，這兩者之間一般互相對立，但同時又都是將MPLS提供給網(wǎng)絡運營商的十分重要的步驟。其二，在PE路由器上實現(xiàn)VPN信息。這里所說的PE路由器是Provide的邊緣設備，服務提供商骨干網(wǎng)的邊緣路由器，其相當于標簽邊緣路由器。VPN技術在這一環(huán)節(jié)中的應用，其實質(zhì)是對VPN數(shù)據(jù)傳遞形式管理的過程，為二層VPN的實現(xiàn)奠定基礎。上述目標的具體實現(xiàn)過程如下。首先，需要在PEZ路由器上創(chuàng)建一個VPN轉(zhuǎn)

6、發(fā)表數(shù)據(jù)，從而為CE設備的連接提供基礎性條件。而所創(chuàng)建的VPN轉(zhuǎn)發(fā)表數(shù)據(jù)中不但要包含CE設備的識別碼，也要包含CE設備的標記值范圍等信息。接下來把轉(zhuǎn)發(fā)表數(shù)據(jù)一一安置于各個CE設備上，此時任意一個轉(zhuǎn)發(fā)數(shù)據(jù)表內(nèi)的子接口DI均帶有明確化的標識，接下來，在LDP協(xié)議的輔助下PEZ將VPN連接表傳送至網(wǎng)絡拓撲內(nèi)的其他VPN內(nèi)，VPN連接表為VPN轉(zhuǎn)發(fā)表的子集。其三，在完成上述步驟后，就可以開始傳送VPN數(shù)據(jù)。3.2IPSecVPN技術在計算機網(wǎng)絡信息安全中的應用。IPSecVPN技術是一種借助IPSec協(xié)議來實現(xiàn)遠程接入的VPN技術。其中，IPSec即InternetProtocolSecurity，是

7、一套成體系的、比較完善的VPN技術4。通過利用這種技術，就能構(gòu)建起一個關于計算機IP地址的安全性較高的系統(tǒng)。從實質(zhì)上來看，IPSec是一個框架結(jié)構(gòu)，主要由ESP協(xié)議、端到端協(xié)議和PC到網(wǎng)關協(xié)議三種協(xié)議組成。ESP協(xié)議由于具有抗干擾能力強、同一時間段內(nèi)提供的數(shù)據(jù)較為完整等優(yōu)點，在當前計算機網(wǎng)絡中有著比較廣泛的應用。端到端協(xié)議主要指的是對兩個網(wǎng)絡端點或兩個PC之間的IPSec協(xié)議的數(shù)據(jù)通信的保護，其保護方式與ESP協(xié)議有著較大的區(qū)別，因此其又被稱為End-to-End協(xié)議或PC到PC協(xié)議。PC到網(wǎng)關協(xié)議又被稱為End-to-Site協(xié)議，其主要保護的是兩個PC之間通信從網(wǎng)關到其他PC或異地PC之間

8、的信息傳輸。需要注意的是，依據(jù)具體細節(jié)的不同，IPSecVPN技術的傳輸模式又分為Transport模式和Tunnel模式兩種，即傳輸模式和隧道模式。這二者大體相似，但有一個最主要的差別：傳輸模式在AH、ESP處理前后，IP頭部保持不變，主要用于End-to-End的應用場景；隧道模式則在AH、ESP處理之后再封裝了一個外網(wǎng)IP頭，主要用于Site-to-Site的應用場景。3.3MPLSVPN技術和IPSecVPN技術的應用對比。從系統(tǒng)可靠性方面來看，MPLSVPN技術具有較好的穩(wěn)定性，其實質(zhì)是某種意義上的專線；而IPSec技術則具有較好的容錯性。從安全性方面來講，這兩種技術都存在一定的安全

9、漏洞，但前者在傳輸數(shù)據(jù)時具有更好的有效性。從便捷性上來講，IPSecVPN技術要比MPLSVPN技術更加方便快捷。這兩種技術在可擴展性和網(wǎng)絡服務質(zhì)量兩方面的表現(xiàn)則正好相反，MPLSVPN技術效果更好。 4結(jié)語 計算機網(wǎng)絡安全自計算機網(wǎng)絡誕生之初就是其需要重點關注的問題。隨著計算機網(wǎng)絡在社會生活中覆蓋面的擴大和影響力的增強，這一問題逐漸受到社會的普遍重視。然而，或是受限于技術，或是因為技術應用之間的矛盾，當前計算機網(wǎng)絡安全管理還存在一定的問題。在該情況下，就可以借助虛擬專用網(wǎng)絡技術來提高計算網(wǎng)絡安全管理工作的質(zhì)量和效率。在實際應用中，也需要注意結(jié)合具體情況和需要，使用不同的虛擬專用網(wǎng)絡技術。 參考文獻： 1梁向陽.虛擬專用網(wǎng)絡安全性分析J.保密科學技術，2017（7）：40-41.