導(dǎo)語(yǔ)：校園網(wǎng)VPN技術(shù)應(yīng)用論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要VPN是一項(xiàng)迅速發(fā)展起來(lái)的新技術(shù)，其在電子商務(wù)、公司各部門信息傳送方面已經(jīng)顯現(xiàn)出了很大的發(fā)展?jié)摿ΑＯ嘈艑?lái)其在軍隊(duì)院校信息化建設(shè)和信息安全傳輸上也能發(fā)揮應(yīng)有的作用。

關(guān)鍵詞VPN；虛擬專用網(wǎng)；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)，是一項(xiàng)迅速發(fā)展起來(lái)的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來(lái)連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。一個(gè)網(wǎng)絡(luò)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過(guò)程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

2隧道技術(shù)的實(shí)現(xiàn)

假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個(gè)部門若利用因特網(wǎng)進(jìn)行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào)，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報(bào)從主機(jī)X發(fā)送給路由器R1。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào)，這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后，對(duì)其進(jìn)行解密，恢復(fù)出原來(lái)的內(nèi)部數(shù)據(jù)報(bào)，并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

3軍隊(duì)院校校園網(wǎng)建設(shè)vpn技術(shù)應(yīng)用設(shè)想

隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊(duì)院校的校園網(wǎng)建設(shè)之中。這是由軍隊(duì)院校的實(shí)際需求所決定的。首先，軍隊(duì)的特殊性要求一些信息的傳達(dá)要做到安全可靠，采用VPN技術(shù)會(huì)大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃裕坏诙婈?duì)院校不但有各教研室和學(xué)員隊(duì)，還包括保障部隊(duì)、管理機(jī)構(gòu)等，下屬部門較多，有些部門相距甚至不在一個(gè)地方，采用VPN技術(shù)可簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理；第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊(duì)院校的用戶通過(guò)軍隊(duì)網(wǎng)訪問(wèn)本校圖書(shū)館查閱資料提供便利。

而VPN技術(shù)的特點(diǎn)正好能夠滿足以上幾點(diǎn)需求。首先是安全性，VPN通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括：密碼身份驗(yàn)證協(xié)議(PAP)、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)，并且采用微軟點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)包進(jìn)行加密。對(duì)于敏感的數(shù)據(jù)，還可以使用VPN連接通過(guò)VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過(guò)遠(yuǎn)程訪問(wèn)建立與VPN服務(wù)器的VPN連接，并且可以訪問(wèn)敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。第二，在解決異地訪問(wèn)本地電子資源問(wèn)題上，這正是VPN技術(shù)的主要特點(diǎn)之一，可以讓外地的授權(quán)用戶方便地訪問(wèn)本地的資源。目前，主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種。其中IPSec技術(shù)的工作原理類似于包過(guò)濾防火墻，可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過(guò)濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。但是IPSec不同于包過(guò)濾防火墻的是，對(duì)IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外還能對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。而SSLVPN技術(shù)則是近幾年發(fā)展起來(lái)的新技術(shù)，它能夠更加有效地進(jìn)行訪問(wèn)控制，而且安全易用，不需要高額的費(fèi)用。該技術(shù)主要具有以下幾個(gè)特點(diǎn)：第一，安全性高；第二，便于擴(kuò)展；第三，簡(jiǎn)單性；第四，兼容性好。

我認(rèn)為軍隊(duì)院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)。首先因?yàn)槠浒踩院茫捎贗PSecVPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對(duì)于通過(guò)VPN的使用者來(lái)說(shuō)是透明的，只要是通過(guò)了IPSecVPN網(wǎng)關(guān)，它可以在內(nèi)部為所欲為。因此，IPSecVPN的目標(biāo)是建立起來(lái)一個(gè)虛擬的IP網(wǎng)，而無(wú)法保護(hù)內(nèi)部數(shù)據(jù)的安全，而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用，而不是企業(yè)的整個(gè)網(wǎng)絡(luò)。它可以根據(jù)用戶的不同身份，給予不同的訪問(wèn)權(quán)限，從而保護(hù)具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來(lái)保證。對(duì)于軍隊(duì)機(jī)構(gòu)，安全保密應(yīng)該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴(kuò)展性。可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器。而IPSecVPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSecVPN就要重新部署。第三，操作的復(fù)雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSLVPN的兼容性很好，而不像傳統(tǒng)的IPSecVPN對(duì)客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經(jīng)濟(jì)性，這是因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問(wèn)接入；但是對(duì)于IPSecVPN來(lái)說(shuō)，每增加一個(gè)需要訪問(wèn)的分支就需要添加一個(gè)硬件設(shè)備。

雖然SSLVPN的優(yōu)點(diǎn)很多，但也可結(jié)合使用IPSecVPN技術(shù)。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過(guò)網(wǎng)絡(luò)建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，IPSecVPN工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。可用于軍校之間建立虛擬專用網(wǎng)，進(jìn)行安全可靠的信息傳送。

4結(jié)論

總之，VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)，目前的運(yùn)用還不是非常地普及，在軍隊(duì)網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求，VPN技術(shù)將會(huì)發(fā)揮其應(yīng)有的作用。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版).北京：電子工業(yè)出版社，2003

[2]CiscoSystems公司，CiscoNetworkingAcademyProgram.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程(第一、二學(xué)期)(第三版).北京：人民郵電出版社，2004