王東?！㈥?/p>

摘要：分析了VPN技術的特點及應用場合，然后實現了在企業(yè)中應用的3種模式。同時，針對在其應用中，隨著人數的增加和需求不斷增加，專線帶寬瓶頸越顯突出，導致分支用戶業(yè)務系統(tǒng)使用不便的問題，設計了一種優(yōu)化的方案。

關鍵詞：VPN技術；隧道；優(yōu)化

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專用網，它是利用Internet或其它公共互聯(lián)網絡的基礎設施為用戶創(chuàng)建隧道，并能提供與專用網絡一樣的安全和功能保障。[1]由于通過VPN技術可以實現資源的傳輸和共享，并實現了網絡環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應用。但其在應用過程中，隨著分支機構辦公人員數量以及需求不斷增加，多帶寬使用率的要求也越來越高，導致分支用戶業(yè)務使用不便，同時專線vpn對于移動辦公人員和各辦事處人員訪問公司的系統(tǒng)不能更好的支持。因此，對其進行優(yōu)化也顯得十分必要。

2 VPN的應用

2.1 VPN的實現原理

VPN技術并不依靠物理上的端到端的專用連接，即沒有固定的物理連接，它是利用Internet、ATM等公用網絡設施，在兩臺直接與公網連接的計算機之間建立一條專用通道，建立起虛擬的專用通路，并利用隧道技術對數據進行封裝，使數據在具有認證和加密機制的隧道中穿越，從而實現點到點或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個雙方協(xié)商好的協(xié)議進行，這樣在兩個私有網絡之間建立VPN通道將需要一個專門的過程，依賴于一系列不同的協(xié)議。這些設備和相關的設備及協(xié)議組成了一個VPN系統(tǒng)。一個完整的VPN系統(tǒng)一般包括3個單元：VPN服務器端、VPN客戶端機和VPN數據通道。

2.2 VPN 的實現

要實現VPN連接，企業(yè)內部網絡中必需配置一臺VPN內網接入設備，該設備有雙網卡，它一方面連接企業(yè)內部網絡，另一方面連接到Internet，即VPN服務器必須有一個公用的IP地址。VPN 使用三個方面的技術保證了通信的安全性：隧道協(xié)議、身份驗證和數據加密。遠程用戶使用時根本無需關心隧道的建立、數據加密、用戶認證等過程。[3]遠程用戶采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網絡結構、網絡資源和應用模式不變，以便實現快捷、廉價、保密的通信。

2.3 VPN的應用場景

VPN的應用場景分可分為3種：

1）站點到站點或者網關到網關：在不同的地方分支，各使用一個網關相互建立VPN隧道，企業(yè)內網（若干PC）之間的數據則通過這些網關建立的IPSec隧道實現安全互聯(lián)。

2）端到端或者PC到PC：兩臺PC之間的通信由兩臺PC之間的IPSec進行會話保護，而并不是網關。

3）端到站點或者PC到網關：兩臺PC之間的通信由網關和異地PC之間的IPSec進行保護。VPN只是IPSec的一種應用方式，它的目的是為IP提供高安全性特性，VPN則是在實現這種安全特性的方式下產生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設計

本方案主要是在總部和分支各部署一臺深信服（SANGFOR）加速設備，對現有專線數據傳輸進行優(yōu)化。SANGFOR VPN設備支持多種加密算法、硬件證書認證、移動客戶端專線功能，能保障用戶訪問安全和數據傳輸安全。

具體方案如下：

1）通過SANGFOR設備對專線線路重復冗余的數據進行刪減、壓縮，以減少數據傳輸量，提高分支機構和總部之間響應速度；

2）對在通信信道中傳輸的數據進行加密傳輸，避免數據裸奔在互聯(lián)網上，遭受不法分子竊取和盜用；

3）對移動辦公、出差或辦事處的人員不需要添加任何設備，只需在總部的vpn設備上為之建立賬號和設置權限，便可以進行安全訪問。

3.2 優(yōu)化后的拓撲結構

根據以上提出的優(yōu)化方案，優(yōu)化后的拓撲結構如圖1所示：

3.3 優(yōu)化的實現

SANGFOR-Vpn配置（實現分支機構-總部以及移動終端-總部）。公網地址為101.231.178.114。

1）總部相關配置：

① 首先登陸SANGFOR設備WEBUI界面，配置服務器端主webagent地址（vpn服務器端地址），其中主webagent地址為設備的wan口地址。4009為自定義的vpn數據端口。

② 配置用戶信息（vpn客戶端接入身份），在用戶管理菜單中配置用戶名、密碼，并選擇“分支”類型。以便滿足用戶登錄。

③ 配置移動vpn用戶，在增加用戶菜單中配置為移動用戶設置用戶名、密碼，并選擇“移動”類型。以便滿足移動用戶的登錄。

2）分支相關配置：

登陸SANGFOR設備WEBUI界面。配置客戶端主webagent地址（vpn服務器端地址），如圖2所示：

3）移動端相關配置：

在客戶端pc機上安裝SANGFOR的PDLAN軟件[5]（可在SANGFOR官方網站下載）。安裝完畢后，手動配置vpn服務器端地址，和用戶信息。如圖3所示：

3.4 cisco-ASA移動vpn配置

移動vpn的關鍵配置如下：

1）定義G0＼0端口為外網口outside并設置其安全等級

interface GigabitEthernet0/0

nameif outside

security-level 0

2）配置其公網地址

ip address 101.231.178.114 255.255.255.252

6） 網站受到惡意破壞

我國計算網絡系統(tǒng)不斷的更新，網絡受到的破壞也越來越多，在網絡遭到損壞的時候，校園計算機管理人員想要統(tǒng)一的管理就變得非常困難。主要的原因就是計算機設備比較多，分布也非常廣泛，所以還是經常出現計算機被無意有意破壞的情況。并且學生在破壞網絡系統(tǒng)造福自己的同時，校外的黑客人員就會借此機會攻擊網絡獲取秘密，這些行為都會影響校園網絡的正常使用。

7） 用戶發(fā)送垃圾郵件

我國高校中都是老師和學生在使用網絡，老師在課堂上經常使用郵件發(fā)送信息，所以很多學生也開始學習使用郵件，這就導致校園中垃圾郵件出現非常多，這樣的情況會導致服務器被堵塞，使整個網絡的運行速度非常慢，所以垃圾郵件也成為影響網絡速度和導致網絡被病毒入侵的主要原因。現階段，很多校園都建立起自己的郵件服務器，僅僅是為了給校園網絡用戶提供便利條件，但是因為缺乏對安全使用規(guī)定的考慮，導致校園網絡更加不安全，同時也浪費了校園網絡寬帶的使用情況[5]。

3 加強高校校園網絡安全的對策

1） 設置安全的網絡系統(tǒng)服務平臺

可以通過網絡安全系統(tǒng)的合理使用來試下校園安全防護體系的整體構建。這一舉措在校園網絡安全維護的過程中發(fā)揮了重要的作用。同時，網絡系統(tǒng)實現服務平臺的安全穩(wěn)定的運營也是校園網絡整體安全性提高的立足點和基礎?？梢酝ㄟ^網絡系統(tǒng)軟件的合理利用以及計算機安全檢測系統(tǒng)的系統(tǒng)掃描進行安全漏洞修補。同時要求管理人員對于校園總網絡終端進行最終限制，這樣能夠更好的保護校園網絡安全。

2） 校園網絡安全管理規(guī)則

近些年來，互聯(lián)網應用推廣速度越來越快，在此背景下，眾多的網絡病毒入侵系統(tǒng)也在實現病毒的更新?lián)Q代，網絡系統(tǒng)維護管理人員還需要在發(fā)現的時候及時發(fā)布信息，統(tǒng)治全校使用網絡的人員，并且讓校園網的使用客戶了解其中的安全隱患，加強防范措施。網絡管理工作人員在統(tǒng)治全校的師生之后，還需要及時下載補丁，修補網絡漏洞，并且同時通知老師和學生對所使用的數據和軟件做好備份，建立起完善的數據庫，然后及時完善和整修網絡系統(tǒng)，做好及時的應急措施。網絡管理工作人員在統(tǒng)治全校的師生之后，還需要及時下載補丁，修補網絡漏洞，并且同時通知老師和學生對所使用的數據和軟件做好備份，建立起完善的數據庫，然后及時完善和整修網絡系統(tǒng)，做好及時的應急措施。

3）網絡技術的安全保障

校園的網絡喜用首先還需要以安全防范為主，保護重要的訪問鏈接，并且保證學生和老師在使用網絡訪問的過程中，能夠保證不破壞內部的資源，并且嚴格禁止用戶進行非法的訪問和使用，校園使用秘密網站的口令和信息需要保證其唯一性，用戶在訪問之前還需要使用同一的密碼和口令，這樣才能保證網絡系統(tǒng)的安全性[6]。

4） 做好物理安全防護措施

需要使用防輻射防護還有屏幕口令等手段對于計算機網絡系統(tǒng)進行物理防護，同時在用戶使用的過程中還需要避免網絡設備和網線等受到破壞，把校園中網絡的機房等地方嚴格監(jiān)控，這樣才能保證整個信息系統(tǒng)的安全。

5） 加強對使用學生的教育及培訓

通過對網絡安全教育使用用戶知識的加強，要用戶明確網絡系統(tǒng)被破壞所產生的危害，加強用戶的網絡安全意識，讓校園中的所有人都開始關心網絡的安全使用情況，一旦發(fā)現不合理行為還需及時向有關部門報告。這樣才能夠完好的保證校園系統(tǒng)的使用情況。

4 結論

從高校角度來探討網絡安全問題，需要站在學生主體地位前提下，開展系統(tǒng)的、細致的、全面的以及深入的網絡安全教育工程。同時，在進行網絡安全教育的過程中，還需要相關專業(yè)人員的輔助監(jiān)控和監(jiān)督，完成對網絡信息以及網絡使用安全的有效管理和監(jiān)控，從而在側面上保障高校網絡使用的安全性以及網絡信息傳輸的安全程度。本文站在全面提升高校網絡安全教育的角度，利用制度的影響、技術的推動、人們內心觀點的引導等綜合影響，建立符合現代化高校發(fā)展和教育的網絡安全平臺，為師生創(chuàng)辦出符合高校素質化教育的網絡端口。促使高校網絡安全工作走上健康發(fā)展的道路。

參考文獻：

[1] 單忱.高校校園網網絡安全問題與對策[J].數字技術與應用，2015（11）：191.

[2] 浦建明.高校校園網網絡安全隱患與防范策略[J].電腦編程技巧與維護，2015（24）：133-134.

[3] 鄭志凌，李健，胡慶龍.基于ACL的高校校園網網絡流量安全控制策略研究及應用[J].電腦知識與技術，2015（2）：55-56.

[4] 王霞.高校校園網絡安全問題與治理研究[J].科技視界，2016（5）：193.

[5] 王曉卉.高校校園網絡安全策略分析[J].知識經濟，2011（1）：147-148.

[6] 杜富強.高校校園網絡信息安全技術與策略研究[J].科技信息，2012（18）：256.