基于开源系统的企业VPN安全接入系统的实现

随着互联网访问的增加，普通的互联网接入服务已不能满足用户安全网络访问的需求。VPN利用公用网络来连接到企业私有网络，从逻辑上建立一个虚拟的私有网络，通过安全机制来保障机密型，实现可靠真实性和严格的访问控制。开源操作系统的自由开放性和技术先进性，顺应了用户及广大软件开发商对信息系统知情权的要求，赢得了普遍的认同和支持。开源操作系统开发的VPN系列产品，是针对自己核心开发运行于自己系统的操作系统VPNOS。在硬件配置相同的情况下，性能与稳定性开源系统表现更优秀，得以迅速传播。

【关键词】VPN 网络安全 操作系统

VPN技术是利用现有的公用网络建立一条虚拟的网络隧道。为了保证数据安全，VPN加密处理了服务器和客户机之间的通讯数据。数据是在一条专用的数据链路上进行安全传输，使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，是对企业内部网的扩展，帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立安全连接，并保证数据的安全传输。有了VPN技术，用户无论何时何地，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中广泛应用的原因。

1 企业网络安全接入形式

全球互联网的相对开放性，使VPN最大的优势在于企业用户对网络接入拥有高度控制权，特别是在安全性上。建立VPN网络能使企业对网络的访问、安全认证以及访问情况进行控制，最终建立端到端的安全系统，使内部安全技术得到很好的集成和协调。

根据VPN的应用，可以将VPN分为硬件VPN和软件VPN两大类。

1.1 硬件VPN

硬件VPN一般采用专用操作系统来实现。系统存储在Flash中，运行时系统资源占有较少，但是升级相对困难，主要表现以下方面：

（1）硬件VPN是核心很小的系统，完全由硬件厂商开发。专用系统很少有病毒可以感染，但系统的漏洞和后门不容易修复，并且很难发现厂商隐藏的集成电路代码或在产品里实施的相应后门程序。

（2）硬件VPN采用专用的硬件和专门的系统，购买费用相对较高。维护一般需要与硬件厂商签订长期的合约。硬件设备使用会逐步老化，性能也将逐渐下降，如果淘汰，则需要重新部署新的VPN网络。

1.2 软件VPN

软件VPN一般都采用通用操作系统，小型的VPN网络不需要专用的服务器来运行，采用专用的服务器搭建集群可以实现大型的VPN网络，主要表现以下方面：

（1）软件VPN是基于常用的网络操作系统，比如Linux，Ubuntu等，操作系统一般都会有漏洞。目前的病毒和攻击工具，大多数是针对Windows操作系统。

（2）软件VPN可靠性取决于安装软件的主机。如果服务器系统出现故障，VPN可迅速迁移至备用服务器，对整个网络影响较小。

（3）采用纯软件的VPN，企业没有额外的硬件投入，市场价格一般都比硬件VPN低很多。购买后可以终身使用，并可随时根据网络环境进行升级，产品成本和维护成本成为VPN的主要成本。

2 开源软件VPN是企业安全接入的理想选择

在VPN领域里面，硬件和软件都是一个系列产品提供给客户的。市场占有率较高的产品如CISCO、NORTEL都是有硬件方式和软件方式。软件主要是提供给移动用户使用的。VPN技术引入国内之后，发展成为了软件VPN产品，功能上主要作为VPN网关使用。

现在国内的软件VPN一般都采用Linux和Windows操作系统。Linux操作系统开发的VPN系列产品，是针对Linux核心开发运行于自己系统的操作系统VPNOS。在硬件配置相同的情况下，Windows的性能与稳定性要比Linux差很多，且基于windows软件VPN，受到病毒、黑客攻击的可能性较大。相比较下，开源系统的VPN由于性能的稳定性和系统的开源免费性，得到越来越多企业的青睐。

3 开源系统VPN的实现

开源操作系统，有很好的系统稳定性，得到社区及专业机构的支持，用户可自主改进，没有功能限制，系统永远免费，且对于"企业版本"没有任何额外的费用。系统的开发目的是为了使个人电脑变得简单易用，同时也提供服务器版本来针对企业应用。

3.1 linux VPN的接入

Linux是基于UNIX操作系统的，主要应用于基于Intel x86系列CPU的计算机上，由全球各地的程序员设计和实现，目的是建立不受任何商品化软件版权制约的全球都能自由使用的UNIX兼容产品。

Linux VPN所需的软件包：

（1）dkms-2.0.10-1.noarch.rpm ：DKMS是Dell公司的动态模组支持包。

（2）kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm ：使Linux下的PPTP支持MPPE加密。

（3）ppp-2.4.3-5.rhel4.i386.rpm：升级PPP到2.4.3版本，使其支持MPPE加密。

（4）pptpd-1.3.3-1.rhel4.i386.rpm：PPTP的RPM安装包。

VPN服务的主要配置文件：

配置基于linux的VPN服务器，需要修改/etc/pptpd.conf、/etc/ppp/chap-secrets和/etc/ppp/options.pptpd三个文件。

VPN服务器的运行需要设置localip和remoteip两个参数的值，/etc/ppp/chap-secrets 帐号文件保存了客户端拨入时的用户名、密码和分配给该用户的IP地址。

3.2 Ubuntu VPN的完美接入

在Ubuntu上搭建VPN服务器有很多方法，主要有PPTP，L2TP/IPsec和OpenVPN。三种选择中，后两种的安全性相对较高。其中OpenVPN在Windows/Mac平台上需要客户端，由于OpenVPN的通用性和安全性，得到了企业广泛应用。

OpenVPN相对于其它三个系统中，是最稳定的，实现步骤如下：

（1）. OpenVPN安装

sudo apt-get install openvpn

（2）.OpenVPN配置

通过终端实现

sudo cp -a /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa

cd /etc/openvpn/easy-rsa/

sudo ln -s easy-rsa/keys /etc/openvpn/keys

sudo mkdir /var/lib/openvpn/

（3）.在终端中实现服务器文件的配置：

Sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/

Sudo gunzip server.conf.gz

（4）.客户端配置

在Ubuntu服务器端etc/openvpn/keys目录里，找到ca.crt、clinent.crt、clinet.key三个文件，移动到Windows或其他操作系统中安装客户端，并从网络上下载windows client文件客户端。

4 未来企业VPN的发展

各方面的数据看，基于开源系统的企业级应用占据了大部分比例。在VPN的接入技术上，主要表现有以下的几个方向：

4.1 IPSec VPN势头强劲

IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障。目前防火墙产品中集成的VPN多为使用IPSec协议，在国内还将持续增长。

4.2 MPLS VPN蓬勃发展

MPLS VPN是一种基于MPLS技术的IP-VPN。中国网通和中国电信等各大ISP在各自的宽带互联网上都推出了基于MPLS技术的IP-VPN业务，使得MPLS VPN的发展势头很好。

4.3 SSL VPN风起云涌

SSL是在网络上保证发送信息安全的通用协议，采用B/S结构。现在许多企业对于SSL VPN的需求非常强烈，而且未来这种企业网络安全需求发展会更加强劲。

4.4 OpenVPN方兴未艾

OpenVPN允许参与建立VPN的单点使用预设的私钥、第三方证书、用户名/密码来进行身份验证。OpenVPN使用通用网络协议的特点使它成为其他VPN协议的理想替代。

5 结论

VPN上传输的是经过加密处理的数据流，它综合了传统数据网络的安全和QOS，以及共享数据网络结构的简单和低成本，建立安全的数据通信通道，且保证数据的真实性、完整性和通道的机密性，提供动态密钥交换、安全防护和访问控制，抵抗黑客通过VPN通道攻击企业网络。基于开源系统的企业级应用占据了大量市场。使用最广的Linux版本是Red hat和Ubuntu，而且比例有上升的趋势。在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求。因此，VPN必将成为未来网络发展的主要方向。

参考文献

[1]佩佩恩雅克，吉查德，爱普卡，孙余强译.MPLS和VPN体系结构[M].人民邮电出版社，2012.

[2]Vijay Bollapragada Mohamed Khalid Scott Wainner 著，IPsec VPN设计[M].人民邮电出版社，2012.

[3]龙淑萍，VPN技术在数字图书馆中的实现[J]，中国科技信息，2006.

[4]王桐.IP VPN及Internet VPN分类研究[J].华中师范大学学报（自然科学版），2009（03）.

作者简介

杨林海（1982-），男，白族，云南省大理市人。硕士学位。现为云南工商学院机电信息学院教师、网络工程师。主要从事数据通信、网络安全研究。

李荣峰（1977-），男，白族，云南省昆明市人。硕士学位。现为昆明钢铁集团公司信息中心工程师，软件设计师，主要从事软件开发、网络安全研究。

作者单位

1.云南工商学院 云南省昆明市 651700

2.昆明钢铁集团公司信息中心 云南省昆明市 650302