基于PBNSM实现对VPN的网络安全管理

摘要:目前,在企业中,网络架构管理已经变得非常复杂,也非常棘手。随着网络应用规模的不断扩大,网络设备的组成也由简单变为复杂。基于策略的网络安全管理(pbnsm),提高网络管理效率,节省管理成本,越来越受到网络制造商和企业的青睐,相信在不远的将来,PBNSM技术会得到广泛的应用。

关键词:PBNSM;VPN;网络安全管理;网络构架

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-00

Research of VPN Network Security Management against PBNSM Realization

Tao Weidong

(Jiangyin Vocational&Technical Education Center School,Jiangyin214433,China)

Abstract:Today,the management of network infrastructure inenterprise is becoming more and more complex,more and more daunting.The components of network equipments are more and more advanced with network application to expand continuously.PBNSM has come to get the favor of network manufacturer and enterprise because PBNSM can improve network security management efficiency and reduce management cost.It can be believed that PBNSM technology will gain extensive application.

Keywords:PBNSM;VPN;Network security management;Network construction

一、引言

随着网络规模的扩大,新的应用程序和多媒体数据在网络上应用和传输的增加,网络面临巨大的负载压力,同时网络管理人员也面临着严峻的安全管理压力。PBNSM也可以帮助管理公司网络的安全,即使是分布式的,由不同的设备以及由运行不同应用程序运行和不同数据类型的主机等组成。笔者就本文主要讨论了基于PBNSM实现对vpn的网络安全管理相关问题。

二、VPN建立和访问环境

对于VPN服务,一般有两方面的需求:

(一)安全需求:

因为像Internet一样,通过VPN的数据要经过一个公共网络,所以有必要采取保护通信数据的保密性和完整性的安全机制。

(二)QoS需求:

因为公共网络是共享的,所以有必要采用保证通信质量的机制。VPN的目的是是端对端的私有通信通过公共网络变得更加容易,特别是在减少企业的商业运行成本上更具有吸引力。但是,如果更深入的观察VPN的连接,可以发现其连接由三部分组成。因此,VPN连接的所有安全依赖于连接的不同部分的安全实施。

三、利用PBNSM进行VPN网络管理

(一)使用PBNSM的VPN管理架构

笔者提出一种管理架构以支持多种VPN应用和访问环境,在此环境中,动态地建立VPN连接以满足网络的安全和性能需求。此管理架构是基于PBNSM,并且支持基站式和移动式的VPN连接。

笔者在考虑多种情况后,确定在建立VPN连接时,VPN服务中涉及到的网络组件需要请教策略服务器。以PBNSM中策略服务器和基于策略服务器判决的动态策略规则,不同VPN连接依赖于用户开始VPN连接的位置开始的。针对VPN连接的动态化的一些规则如下:

1.从企业网络或Intranet中,策略服务器中指定的基于CPE的VPN,如果用户开始VPN连接,用户将依赖于CPE以支持VPN服务。所以,用户机器将不会包含在基于策略服务器管理架构的VPN连接中;

2.如果用户从一个公共网络开始VPN连接,并且在公共网络中企业拥有VPN服务器提供者的SLA,策略规则将详细说明VPN是从服务提供者网络的边缘路由器开始的。所以用户机器将不包含在基于策略服务器的架构的VPN连接的设定中。在基于网络和基于CPE的VPN连接的情形中,从边缘路由器或CPE设备开始的VPN连接已经建立了,因为提供的网络或服务的被多个用户共享。

3.如果用户通过一个公共网络建立VPN连接,并且在公共网络中企业没有由服务提供商提供的VPN SLA,用户机器必须调用程序进行基于策略服务器架构的VPN连接。VPN连接从用户机器开始,并且服务提供者不再包含在VPN连接中。

(二)VPN的管理与运行

在基于VPN管理的PBNSM架构中策略服务器的支持下,笔者提出的相关的VPN的管理模型的连接建立的过程由三个步骤组成:

1.用户向网络提出建立正常连接的申请,无论该网络是公共网络还是私有网络。如果用户从在线或连接已经建立的位置访问网络,软件将检测连接的存在,并且该步骤可以忽略。对于拨号连接,用户需要拨进一个是用户连接到网络的IPS中。

2.用户机器向策略服务器发出关于申请建立合适的VPN连接的询问。基于关于用户和访问环境的信息,策略服务器找到合适的策略规则指示机器如何建立VPN连接。在用户访问中,如果VPN连接必须由边缘路由器或CPE设备建立,并且连接还没有建立,策略服务器将指示边缘路由器或CPE设备建立与目标企业网络建立所需要的VPN连接。

3.用户机器调用VPN建立的程序。如果从策略服务器返回的策略说明用户机器是VPN连接的终止点,用户机器将调用程序建立与企业网络中指定的主机建立VPN连接。另外,来自策略服务器的策略说明,VPN服务也可以由别的网络组件提供,例如:边缘路由器或CPE。在后者的情形中,软件将等待来自策略服务器关于VPN连接完成的信息。

四、结语

通过利用PBNSM技术可以建立一个柔性的管理架构管理VPN,满足VPN需求,特别是安全需求,并且支持不同的VPN访问环境。

参考文献:

[1]李卫,刘小刚,李国栋,等.网络安全管理及安全联动响应的研究[J].计算机工程与应用,2003,39(26)

[2]伏晓,蔡圣闻,谢立.网络安全管理技术研究[J].计算机科学,2009,36(2)