vpn技術(shù)論文范文

前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)vpn技術(shù)論文文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

關(guān)鍵詞：虛擬專用網(wǎng)vpn遠(yuǎn)程訪問網(wǎng)絡(luò)安全

引言

隨著信息時(shí)代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個(gè)快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信，實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源，成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。

一、VPN技術(shù)簡介

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對移動(dòng)用戶和漫游用戶的支持，使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展，基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長足發(fā)展。根據(jù)企業(yè)的商務(wù)活動(dòng)，需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場響應(yīng)速度和決策速度。同時(shí)，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題，VPN技術(shù)無疑給我們提供了一個(gè)很好的解決思路。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時(shí)間，降低了企業(yè)局域網(wǎng)和Internet安全對接的成本。VPN的應(yīng)用建立在一個(gè)全開放的Internet環(huán)境之中，這樣就大大簡化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，滿足了不斷增長的移動(dòng)用戶和Internet用戶的接入，以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析

VPN技術(shù)類型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn)，能夠很好的滿足企業(yè)對VPN的常規(guī)需求。

2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互?；贗nternet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個(gè)部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜取；用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

在運(yùn)行性能方面，隨著企業(yè)電子商務(wù)活動(dòng)的激增，信息處理量日益增加，網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時(shí)應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數(shù)據(jù)傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則，又不會(huì)屏蔽低優(yōu)先級的應(yīng)用?？紤]到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長，對與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個(gè)固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān)，管理平臺要有一個(gè)定義安全策略的簡單方法，將安全策略進(jìn)行合理分布，并能管理大量網(wǎng)絡(luò)設(shè)備，確保整個(gè)運(yùn)行環(huán)境的安全穩(wěn)定。

三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用

企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò)，無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路，即可實(shí)現(xiàn)遠(yuǎn)程終端對企業(yè)資源的訪問和共享。在實(shí)際應(yīng)用中，VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。

3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”，需要對此服務(wù)進(jìn)行必要的配置使其生效。

3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口；鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”；在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步，進(jìn)入服務(wù)選擇窗口；標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡（分別對應(yīng)內(nèi)網(wǎng)和外網(wǎng)），選擇“遠(yuǎn)程訪問（撥號或VPN）”；外網(wǎng)使用的是Internet撥號上網(wǎng)，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網(wǎng)絡(luò)接口，此時(shí)會(huì)看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址，選擇連接外網(wǎng)的網(wǎng)卡；在對遠(yuǎn)程客戶端指派地址的時(shí)候，一般選擇“來自一個(gè)指定的地址范圍”，根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址，新建一個(gè)指定的起始IP地址和結(jié)束IP地址。最后，“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。

3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限。在“管理工具”中打開“計(jì)算機(jī)管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進(jìn)入用戶屬性設(shè)置；轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問”，即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。

在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性，之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c(diǎn)下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場所的網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點(diǎn)下一步；在“VPN服務(wù)器選擇”窗口里，輸入VPN服務(wù)端地址，可以是固定IP，也可以是服務(wù)器域名；點(diǎn)下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼，即可連接上VPN服務(wù)器端。:

3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后，即可訪問服務(wù)器所在局域網(wǎng)里的信息資源，就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。

四、小結(jié)

現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中，虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值，在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。

參考文獻(xiàn):

第2篇

一、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀

就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言，典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部（省級網(wǎng)絡(luò)中心）和若干個(gè)地市分支機(jī)構(gòu)、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程（撥號）用戶所組成。除遠(yuǎn)程用戶外，其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，為金融機(jī)構(gòu)中心服務(wù)所在地，同時(shí)也是該金融企業(yè)的省級網(wǎng)絡(luò)管理中心。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣，包括遠(yuǎn)程撥號、專線、Internet等。

從省級和地市金融機(jī)構(gòu)的互聯(lián)方式來看，可以分為以下三種模式：（1）移動(dòng)用戶和遠(yuǎn)程機(jī)構(gòu)用戶通過撥號訪問網(wǎng)絡(luò)，撥號訪問本身又可分為通過電話網(wǎng)絡(luò)撥入管理中心訪問服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式；（2）各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接；（3）合作伙伴（客戶、供應(yīng)商）局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。

由于各類金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史，其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中，主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營運(yùn)。

就網(wǎng)絡(luò)信息系統(tǒng)安全而言，目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的，一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施，這些措施包括利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)自身的安全設(shè)施；購買并部署商用的防火墻和防病毒產(chǎn)品等。在應(yīng)用程序的設(shè)計(jì)中，也僅考慮到了部分信息安全問題。應(yīng)該說這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的，也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性，如考慮不周很容易留下安全漏洞。此外，金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障，Internet服務(wù)提供商（ISP）采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性，而不是保護(hù)他們的客戶不被攻擊，他們對于你的安全問題的反應(yīng)可能是提供建議，也可能是盡力幫助，或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此，總的來說金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒有達(dá)到與金融系統(tǒng)信息的重要性相稱的安全級別，有的甚至對于一些常規(guī)的攻擊手段也無法抵御，這些都是金融管理信息系統(tǒng)亟待解決的安全問題。

二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求

目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅，就其攻擊手段而言可分為針對信息的攻擊、針對系統(tǒng)的攻擊、針對使用者的攻擊以及針對系統(tǒng)資源的攻擊等四類，而實(shí)施安全攻擊的人員則可能是外部人員，也可能是機(jī)構(gòu)內(nèi)部人員。

針對信息的攻擊是最常見的攻擊行為，信息攻擊是針對處于傳輸和存儲形態(tài)的信息進(jìn)行的，其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi)，也可以在廣域網(wǎng)上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動(dòng)聲色地竊取并利用信息，而無慮被發(fā)現(xiàn)；犯罪者也可以在積聚足夠的信息后驟起發(fā)難，進(jìn)行敲詐勒索。此類案件見諸報(bào)端層出不窮，而未公開案例與之相比更是數(shù)以倍數(shù)。

利用系統(tǒng)（包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng)）固有的或系統(tǒng)配置及管理過程中的安全漏洞，穿透或繞過安全設(shè)施的防護(hù)策略，達(dá)到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其他系統(tǒng)。由于我國的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺，為了照顧使用的方便性而忽略了安全性，導(dǎo)致許多安全漏洞的產(chǎn)生，如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的，可能在系統(tǒng)中預(yù)留“后門”，因此必須采用有效的技術(shù)手段加以預(yù)防。

針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑，攻擊者多利用管理者和使用者安全意識不強(qiáng)、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)，通過種種手段竊取系統(tǒng)權(quán)限，通過合法程序來達(dá)到非法目的，并可在事后嫁禍他人或毀滅證據(jù)，導(dǎo)致此類攻擊難以取證。

針對資源的攻擊是以各種手段耗盡系統(tǒng)某一資源，使之喪失繼續(xù)提供服務(wù)的能力，因此又稱為拒絕服務(wù)類攻擊。拒絕服務(wù)攻擊的高級形式為分布式拒絕服務(wù)攻擊，即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊，迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，尤其是Internet以及TCP/IP協(xié)議的固有缺陷，因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒有得到大的改進(jìn)前，難以徹底解決。

金融的安全需求安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可審查性和可控性。目前國內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問題，即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪問控制問題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問題概括起來主要有：傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。

必須指出：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。

三、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)

解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶身份、抗否認(rèn)等。

密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實(shí)際上，數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)，在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。

虛擬專用網(wǎng)絡(luò)（VPN：VirtualPrivateNetwork）技術(shù)就是在網(wǎng)絡(luò)層通過數(shù)據(jù)包封裝技術(shù)和密碼技術(shù)，使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過“加密管道”傳播，從而在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)。利用VPN技術(shù)，金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相安全的傳遞信息；另外，金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中，進(jìn)行各類網(wǎng)絡(luò)結(jié)算和匯兌。

綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪問控制技術(shù)，并通過適當(dāng)?shù)拿荑€管理機(jī)制，在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專用網(wǎng)絡(luò)系統(tǒng)，可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案。對于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下，極大地提高系統(tǒng)的安全性能，是一種較為理想的基礎(chǔ)解決方案。

當(dāng)今VPN技術(shù)中對數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層（對于TCP/IP網(wǎng)絡(luò)，發(fā)生在IP層），從而既克服了傳統(tǒng)的鏈（線）路加密技術(shù)對通訊方式、傳輸介質(zhì)、傳輸協(xié)議依賴性高，適應(yīng)性差，無統(tǒng)一標(biāo)準(zhǔn)等缺陷，又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問題，使得VPN技術(shù)具有節(jié)省成本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢，成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢。

從應(yīng)用上看虛擬專用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專用撥號網(wǎng)絡(luò)（VPDN）。虛擬企業(yè)網(wǎng)主要是使用專線上網(wǎng)的部分企業(yè)、合作伙伴間的虛擬專網(wǎng)；虛擬專用撥號網(wǎng)絡(luò)是使用電話撥號（PPP撥號）上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件：保證數(shù)據(jù)的真實(shí)性，通訊主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址假冒（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使竊聽者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。提供安全保護(hù)措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進(jìn)行訪問控制。

第3篇

在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)的高安全可靠性要求，結(jié)合南水北調(diào)中線工程需求，一方面在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)上采用層次化結(jié)構(gòu)，按照業(yè)務(wù)類別進(jìn)行物理劃分;另一方面，利用MPLSVPN技術(shù)將各應(yīng)用系統(tǒng)在邏輯上劃分為獨(dú)立的網(wǎng)絡(luò)。根據(jù)現(xiàn)有MPLSVPN計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)技術(shù)，整個(gè)網(wǎng)絡(luò)配置成一個(gè)MPLS域，將核心層、骨干層路由器配置成P設(shè)備，區(qū)域?qū)雍徒尤雽勇酚善髟O(shè)備全部配置成PE設(shè)備;P和PE設(shè)備之間運(yùn)行MPLSLDP協(xié)議，所有PE路由器之間運(yùn)行MP-iBGP協(xié)議。將接入層交換機(jī)作為CE，經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)接入的VPN用戶建立并維護(hù)獨(dú)立的VRF，根據(jù)CE設(shè)備接入端口的不同，控制其進(jìn)入相應(yīng)的VPN中，實(shí)現(xiàn)與其他VPN應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離?？偣?、分公司、管理處的各應(yīng)用系統(tǒng)都通過專用的應(yīng)用系統(tǒng)LAN交換機(jī)接入，局域網(wǎng)主干交換機(jī)作為CE，經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)應(yīng)用系統(tǒng)建立并維護(hù)獨(dú)立的VRF，根據(jù)CE設(shè)備接入端口的不同，控制其進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)VPN中，實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離。

2MPLSVPN互訪策略

在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照MPLSVPN劃分的原則，不同MPLSVPN之間不能互相訪問，這確保了VPN的安全可靠性。但是，南水北調(diào)中線干線工程自動(dòng)化應(yīng)用系統(tǒng)之間存在MPLSVPN子系統(tǒng)之間、用戶至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求。也就是說，網(wǎng)絡(luò)需要方便地控制不同MPLSVPN之間的互訪，而且要實(shí)現(xiàn)嚴(yán)格控制互訪;同時(shí)，為保障各業(yè)務(wù)系統(tǒng)安全，需要對用戶訪問采取控制措施。

2.1MPLSVPN子系統(tǒng)之間互訪

通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式，通過MP-BGP協(xié)議配置建立路由信息，來達(dá)到不同VPN之間的路由擴(kuò)散;通過VPN內(nèi)部的路由器(或防火墻)做地址過濾、報(bào)文過濾等方式控制訪問的用戶。上述兩種方式結(jié)合使用，實(shí)現(xiàn)了子系統(tǒng)的靈活受控互訪。

2.2應(yīng)用終端交互訪問不同MPLSVPN

2.2.1方案一

NAT方案此種方案是將多用途終端主機(jī)的業(yè)務(wù)流在CE進(jìn)行分類，不同的業(yè)務(wù)流進(jìn)行不同的靜態(tài)NAT(映射不同的IP地址)。對每個(gè)業(yè)務(wù)系統(tǒng)的主機(jī)/服務(wù)器可以分配連續(xù)的地址空間，PE設(shè)備只需要維護(hù)較為簡單的路由表，CE配置確定后一般不需要修改。

2.2.2方案二

PE節(jié)點(diǎn)作訪問控制在PE設(shè)備上，通過多角色主機(jī)技術(shù)，將某個(gè)VRF中指定的路由(特殊終端的路由)，引入到另外一個(gè)VRF中，在PE的CE側(cè)接口上配置策略路由，當(dāng)流量匹配ACL，則重定向到VPN組，查找并轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)不同的MPLSVPN可以同時(shí)訪問該特殊終端。

2.2.3方案三

802.1X強(qiáng)制認(rèn)證+Windows域管理802.1X協(xié)議在利用IEEE802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，與VRF路由表的導(dǎo)入導(dǎo)出機(jī)制結(jié)合使用，從而達(dá)到接受合法用戶接入、保護(hù)網(wǎng)絡(luò)安全的目的。用戶訪問其他MPLSVPN，需要禁用、再啟用網(wǎng)卡，重新輸入不同MPLSVPN的不同身份信息實(shí)現(xiàn)。顯然，基于PE節(jié)點(diǎn)作訪問控制的方案配置簡單，傳輸效率高，互通網(wǎng)絡(luò)可靠性強(qiáng)，無論從網(wǎng)絡(luò)實(shí)現(xiàn)、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理各方面分析，更適用于南水北調(diào)中線干線工程自動(dòng)化各系統(tǒng)應(yīng)用終端交互訪問不同的MPLSVPN。

3結(jié)語