张 彬

（中邮通建设咨询有限公司，南京 210000）

引言

VPN（虚拟专用网络）普及和渗透到诸多领域，使人们享受到便利的同时也不可忽视安全管理问题，要注重对VPN网络的信息安全管理，研究和设计VPN（虚拟专用网络）监控管理软件系统。

1 VPN网络监控管理系统的相关技术研究

1.1 VPN技术

VPN虚拟专用网络借由公用因特网实现链接，成为安全稳定的通道，确保远程用户、商业伙伴实现数据的安全连接和传输。在VPN虚拟专用网络技术之中，涉及的关键技术主要包括有隧道技术、加解密技术、密钥管理技术和身份认证技术，可以根据具体需求确定不同的方案，诸如：内联网VPN、外联网VPN、远程接入VPN等。

1.2 WinPcap技术

它存在于Win32系统环境之中，借由计算机网络接口进行数据采集和捕获，主要由数据包捕获驱动器、底层动态链接库、高层静态链接库构成，通过网络编程捕获网络原始数据包、用户定义规则过滤数据包，并将用户构造的数据包传送到网络之中，进行网络流量的统计和分析。

1.3 多线程技术

这是基于Windows平台上的一种技术，它可以同时处理多个网络事务，通过共享资源进行数据的读取、写入和通信操作，极大地提高了应用程序的整体处理速度，合理改善程序的原有结构，并占用相对较少的系统资源。

1.4 Winsock技术

Windows Sockets是应用相对成熟而广泛的网络编程接口，可以利用下层的网络通讯协议功能，进行操作系统调用和通讯[1]。

2 VPN网络监控管理系统的分析

2.1 VPN网络监控管理系统的功能需求分析

2.1.1 客户端功能需求分析

VPN网络监控管理系统的客户端要与服务端自动链接，能够自动采集客户端的信息，并将其发送到服务端。

2.1.2 服务器端功能需求分析

VPN网络监控管理系统的服务器端要能够接收、采集和查看客户端传送过来的信息，并向客户端发送控制命令，确保网络链接安全。另外，还可以通过日志消息了解客户端的使用情况。

2.2 VPN网络监控管理系统的可行性分析

从VPN网络监控管理系统的可行性分析来看，就经济可行性而言，要在系统开发的过程中避免资源的浪费，并获取最大的系统预期效益。就技术可行性而言，要从不同的技术角度，探索和分析系统的资源优化配置和实现。就管理可行性而言，要注重系统的规章管理制度的完善、机构的设置及管理人员的分析。

3 VPN网络监控管理系统的设计与应用实现

VPN网络监控管理系统主要采用Windows xp操作系统、SQL Server 2008数据库以及Microsoft Visual Studio 2010的开发工具，在上述开发环境之下，该系统要能够实现全面的监控，并处于自动、安全运行的状态之下。总体设计和模块设计分别如下：

3.1 系统总体框架设计

VPN网络监控管理系统是基于客户机/服务器结构（C/S结构）的系统，它在客户机和服务器端的硬件环境背景下，将不同的任务合理分配给不同的客户端，确保客户端与服务端的通信和链接。VPN网络监控管理系统的总体架构图如下所示：

VPN网络监控管理系统总体架构图

上图中，VPN网络监控系统由客户端监控软件和服务器监控软件共同构成，其中：客户端监控软件主要是面向本主机进行自动监测和控制，将监控信息发送给服务器端并接收返回的控制命令。服务器端监控软件主要由管理员进行管理和控制，负责对客户端信息的采集和分析，使客户能够清晰地看到信息文件列表的内容；同时，还要设置服务器端的报警规则，确保内网主机的运行安全和监测管理。客户机则通过进程登录与进程监控绑定的方式，负责对系统内部所有数据源的监控，确保系统登录程序的安全稳定运行。另外，VPN网络监控系统通过集中式的数据库管理方法，实现对服务器端的数据快速检索和汇总、显示管理，以减轻客户端的负荷，增强系统的运行安全稳定性。

穿刺及手术切除标本10%中性甲醛固定，HE染色后在镜下观察。HEHE病理诊断标准：HE染色切片显示以纤维硬化区为中心，周边富于细胞，肿瘤细胞呈上皮样分化，腔内含有红细胞，免疫组织化学染色中Ⅷ因子相关抗原、CD31和CD34中的1项呈阳性。

3.2 客户端软件系统模块的设计与应用实现

客户端是安装在所有需要登录进网络的主机上，对于系统的整体质量有直接而密切的关联，可以将客户端软件系统模块具体设计为三大模块，即：初始化模块、数据捕获模块和通信模块。如下图所示：

其设计和应用实现具体表现为以下内容：

3.2.1 初始化模块

它主要是使监控软件与客户端登录软件绑定并同步启动，客户端启动之后即可以获取本主机的IP地址、MAC地址、VPN网络地址等，并将相关数据信息定时发送给服务器端。同时，当客户端处于启动运行的状态之下，如果用户意欲通过关闭进程的方式对客户端进行关闭操作，而进程是不会被用户关闭的，仍旧可以实现对客户端的监控，较好地保证了监控的实时效果[2]。

3.2.2 数据包捕获模块

VPN网络监控管理系统主要是基于用户模式下的网络数据过滤，利用WinPcap的捕包工具，实现对数据包的捕获和分析，并将分析结果反馈给服务器端，管理员则以报警规则为依据，发布相应的控制命令。在这一模块之中，对数据包的捕获和分析均是由客户端实施操作，不仅提高了实时监控的效率，而且减轻了服务器端的负荷。

基于用户的网络数据过滤方法主要有三种，即：简便易行的Winsock分层服务提供者；Windows 2000/XP封包过滤接口；替代系统自带的Winsock动态链接库。

这是链接客户端和服务器端的重要模块，一旦连接完成即可以将客户端的信息发送给服务器端，服务器端则依据规则发布操作命令。具体实现如下功能：（1）文件监测。可以通过编写驱动程序、利用API函数ReadDirectory Chargesw（）两种方式，获取被修改的文件信息，实现对文件修改的监测。（2）进程监测。在数据捕获模块定期捕获数据包的过程中，可以辨析数据包的进程，并将该进程信息发送给服务器端。（3）消息显示。服务器端接收数据包信息之后，依循VPN内网规则发送警示信息，确保客户端用户的网络安全。

3.3 服务器端软件系统模块的设计与应用实现

3.3.1 网络通信模块

在VPN网络监控管理系统之中，服务器端的网络通信模块归属于通信链接端，实现与各个客户端之间的通信。当服务器端处于启动的状态时，通过非阻塞的方式实现与客户端的链接，并对客户端发送操作指令，它采用异步事件通知I/O模型，创建一个套接字与客户端相连接，实现通信功能。

3.3.2 数据显示模块

系统管理员将服务器端接收的数据信息显示在主界面窗口之上，进行相应的查询、管理操作。在该模块之中，采用C++的两个基本输出函数：cout（）和printf（），实现数据信息显示功能；并针对列表中登陆的计算机，采用独立的线程进行应答-响应操作，确保网络的安全[3]。

3.3.3 基本监控模块

这是由服务器端对计算机实现的文件监测、进程监测和CPU监测，确保列表中登陆的计算机处于安全运行状态。

3.3.4 高级监控模块

这是管理员面向某台客户端发布高级监控的指令，并在客户端与服务器端相连接的状态下，以位图的形式进行屏幕显示。

4 结束语

综上所述，计算机网络安全是人们关注的重大研究课题，要基于现实需求，设计VPN网络监控管理系统，以隧道技术、加密技术、密钥管理技术及身份认证技术为支撑，建构基于C/S模式的网络监控管理系统，从整体框架设计和系统模块设计等方面入手，实现对服务器端、客户端的实时、连续监测，确保网络系统的安全与稳定运行。

[1] 陆超芬.基于VPN的远程监控技术研究[J].中国西部科技，2010（01）.

[2] 刘硕.基于VPN技术的网络管理系统的研究[D].华北电力大学，2011.

[3] 汤淼.]BGP协议在MPLS VPN网络组播业务中的设计与仿真[D].电子科技大学，2012.