煤矿企业计算机网络安全连接中虚拟专网应用.docVIP

煤矿企业计算机网络安全连接中虚拟专网应用 　　[摘 要] 本文基于IPSec安全协议设计了相关方案来安全、高效的连接处于偏远地带的煤炭企业各个矿区间的网络问题，该方案中所应用的控制体系为虚拟专用网内部网关策略，煤炭企业为了能够实现安全的扩展网络，采用了IP通道进行数据的传送和接收，在IP通道内利用密钥将发送端产生的数据进行高强度的封装，然后将接收端的IP地址作为通道头部地址，这样一来数据的传输就拥有了安全保障。 　　[关键词] 煤矿企业； 计算机； 网络安全连接 　　0 引言 　　矿区的信息化统一管理是通过网络技术来完成的，可是因为煤炭资源分布具有随机性，在距离城市较远和比较偏僻的地方都存在着许多矿区。所以，矿务局机关通过网络连接与矿区进行信息传递的安全问题就成为了网络技术中需要解决的关键性问题。 　　1 虚拟专用网VPN 　　借助Internet服务提供商（ISP）和网络服务提供商 （NSP）为用户打造一款专用的网络通信平台，即为虚拟专用网络VPN。属性为虚拟网络，在这个平台里不存在固定可见的物理连接，只有在用户启用网络时才会产生即时性的网络组成；该虚拟网络是以公共网络设施为依托的。包括Internet、帧中继和ATM在内的公用设施都是VPN的重要组成部分；VPN具有十分强大的安全性，它可以在两个完全不可信并且无保密措施的网络上建立起一个私密性极高的网络虚拟专用通道，利用隧道、认证和加密等安全措施，保证信息准确无误的传达。如图1结构拓扑。 　　2 煤炭企业VPN联网方案 　　2.1 网络拓扑图 　　分析网络通讯在煤炭企业的应用情况得出，因为不同单位的分布地域不同，所以高效安全的通讯便成为单位间沟通的重要通道。形如矿区的局机关和下属子矿区，平均距离都在200千米左右，为了确保计划、任务等相关信息和指令的有效传达，完成企业内部信息的安全传输，就需要建立起一个基于计算机网络安全连接的虚拟通信平台。在VPN控制系统的内部设有安全系数较高的管理和调配策略，不但能够良好的管理网络通信的内容而且有助于体系的进一步性能扩展。虚拟专用网络还专门采用了IPSec安全协议，以保证原始数据的安全性和私密性。在传输之前，网络会对数据信息进行包装加工，最外层体现的是网关外部端口的IP地址，以便其在公共网络上顺利通行，在达到企业的内部网络时再通过特有的安全密钥进行拆包分解。如图2原始数据在VPN中的传输过程。 　　2.2 VPN联网方案特点 　　（1）网络带宽速度。数据的传输速度会直接受到数据大小和所占带宽的影响，而VPN网络则能够在将文件数据流压缩的基础上在进行降低带宽的处理，这些技术的应用可以极大的提高虚拟网络的宽带传输速度，保证信息的及时性。 　　（2）可管理。在具有一定距离的两地之间建立起一个安全通讯地网络，需要考虑其后期的管理、监督和维护问题，这也是IT工作人员十分重视的一点。而现今的VPN网关系统内自带了一套健全的网络管理平台，能够为煤矿企业中负责虚拟网络的技术人员提供较大的技术支持。 　　（3）对系统用户的支持。计算机的普及，使人们从固定的台式机办公慢慢转移到了笔记本形式上的移动办公。当系统突发意外事件，移动用户可以及时对其进行问题处理，将损失降到最低。这里VPN就植入一种对移动用户身份认证的技术，对于传输中的数据进行加密解密操作，确保了工作的顺利开展。 　　（4）服务质量保证。虚拟专用网络具有十分强大的兼容性，能够同时进行数据、语音甚至视频的传输。另外，为了保证服务质量，其还能够为关键的数据流开辟出一条资源优享传输控制通道，控制原始数据的优先级，提高传输过程中的综合性能特征。 　　2.3 该联网方案存在的问题及解决方案 　　通过上面的分析可以得出虚拟专网具有极大的优势，但其仍然存在着一定的劣势。例如，如果在矿区之间安装路由器或者安全防火墙，就会产生两个局域网，在这两个LAN之间建立VPN一旦使用IPSec技术进行数据加密，整个隧道就会出现连接中断的故障。 　　首先解析虚拟专用网VPN中NAT工作原理和数据封装IPSec技术，找到问题的突破口。在VPN中所采用的封装技术IPSec共有两种模式，分别为隧道和传输模式。其主要负责原始数据即IP信息包的外部封装。区别在于，在隧道模式中会将经过认证及加密后的IP数据帧放在IP头部前端，换言之数据包由认证包头和加密格式两部分组成，当传输的接收端通过AH完成对包头的认证，随后利用ESP完成解密；传输模式则不会隐藏IP头部，而是对原IP数据包进行加密，以做到对上层载荷的保护。表1中隧道模式下封装传输前后数据的区别： 　　先进的互联网技术在为企业构建出了一个高速信息传输平台的同时也为其带来了很多安全隐患。为了避免重要信息的泄漏，煤矿企业通常会为其网络安装NAT设备和防火墙，目前，煤矿企业仍然习惯利用NAT