許桂芳

摘要: 本文分析校園網資源遠程訪問的需求,提出采用VPN技術解決方案,在公用網絡中建立專用的數據通信網絡,實現高校師生遠程快速安全地從校外訪問校內網絡資源,實現資源的有效利用。

關鍵詞:VPN 校園網;利用研究

近年來,隨著校園網網絡教學資源的日益豐富,網絡應用日漸成熟,學校師生對校園網資源的依賴性越來越大。但由于安全性及知識產權的限制,這些資源大多只能在校園內訪問,而很多學校存在教師部分或全部住在校外等情況,校園網資源遠遠無法得到充分利用。因此,借助VPN技術,能夠滿足校外師生隨時隨地獲取校園網資源,極大方便教師移動備課和學生數字化學習,能夠有效提高教學質量。

一、校園網資源遠程訪問的需求

校園網資源的遠程訪問,最主要解決的問題有五大方面:

(一)支持多種應用。

多數校園網資源為了保證數據信息的知識產權,瀏覽者主機必須是已繳納版權費的校園網內網IP地址才能實現對校園網內資源的訪問。這些應用系統(tǒng)不僅是Web訪問,還包括了mail、FTP等多種協(xié)議,系統(tǒng)架構有B/S結構,也有C/S結構。

(二)提供細粒度訪問控制。

校園網資源的開放必然會導致安全性的降低,而不同身份的用戶對資源的使用權限也不一樣,需要針對師生用戶的不同要求,通過設定不同的角色和訪問權限等加以限制。

(三)安全性要求高。

校外訪問有時無法辨別身份,同時當用戶使用公用計算機進行操作時也會有一定的安全漏洞,用戶計算機也有可能存在中病毒等情況,所以當用戶使用不安全的計算機通過VPN訪問校內網時,會給內網帶來安全隱患。因此,要求VPN認證網關有相應的認證措施,加密措施及用戶記錄清除措施。

(四)滿足不同用戶環(huán)境訪問。

用戶所處外部環(huán)境通常都很復雜,包括從電信、聯(lián)通、鐵通等不同ISP接入到公網來訪問學院校園網,所以在部署上會較為復雜。

(五)使用便捷,方便管理。

由于用戶較分散,用戶對計算機的熟悉程度也不同,所以VPN網關設備的設置,必須具備一定的簡易程度與高靈活度等特性,以滿足不同地點和不同上網方式需求的彈性空間,實現客戶端進行輕松的VPN連機,同時也方便網管進行遠程控管。

二、VPN技術

VPN指的是依靠ISP和其他NSP,在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網所需的端到端的物理鏈路,而是利用某種公眾網的物理鏈路資源動態(tài)組成的。這種連接再通過對用戶的身份驗證、地址管理、數據加密以及密鑰管理等特殊管理功能,保證了合法用戶在校外訪問校內電子資源的權利,并使訪問的安全性得到了大大提高。由于虛擬專用網技術將校園網之外的遠程終端或局域網以虛擬網絡的形式納入到校園網之內,所以校外合法用戶經身份驗證后就可以像校內用戶一樣使用校內的電子資源。

(一)VPN技術選擇。

目前VPN技術國際上比較流行的協(xié)議主要有 IPSec、MPLS、SSL等,這些的協(xié)議各有其獨特的優(yōu)勢和缺陷。

第一,由于MPLS VPN的構建需要全網路由轉發(fā)設備都支持MPLS協(xié)議,因此多為網絡運營商部署。

第二,IPSec VPN在一組基于密碼學的安全的開放網絡安全協(xié)議體系之上,通過為通信雙方建立一個安全隧道來保障通信安全。但是,IPSec VPN需打開多個端口,且每個客戶端都需要安裝并配置好客戶端軟件才能建立連接,當網絡環(huán)境發(fā)生變化時,VPN的管理難度將呈幾何級數增長,并不適用分散移動用戶的遠程安全接入。

第三,SSL(Secure Sockets Layer)安全套接層協(xié)議是由Netscape公司設計的基于Web應用的安全協(xié)議,它指定了一種在應用程序協(xié)議(如Http、Telnet、SMTP和FTP等)和TCP/IP協(xié)議之間提供數據安全性分層的機制,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致、與應用無關的優(yōu)點,避免了因有客戶端而導致的使用維護不便可能帶來的大量病毒和蠕蟲的入侵等問題。SSL VPN的缺點是僅支持有限的Web應用。

顯然, 針對學校主要訪問WEB、FTP、Email等應用、大量師生需從校外遠程訪問的需求現狀,SSL VPN 的應用特點更適合應用于遠程移動分散用戶的安全接入。

(二)SSL VPN實現方式。

SSL VPN基本組件包括VPN網關和客戶端,VPN網關類似網關服務器,是實現外網到局域網連接的設備,它的一端連接企業(yè)內部的局域網絡,另一端則接入公共網絡。

當一個位于公共網絡線路上的用戶需要訪問校園內部網時,用戶的上網設備稱為客戶端,他需要設置一個用于VPN的虛擬撥號連接,對應的IP地址和帳號密碼均由校園內架設的 VPN網關提供。所需的操作過程與平時上網沒什么兩樣,當通訊鏈路成功建立后,這臺計算機就被視為校園局域網中的一臺內部計算機,進行方便快捷的資源共享與數據交換。

根據VPN網關的搭建方式,SSL VPN可以有以下幾種實現方式:

1. 基于VPN軟件(VPN服務器)的系統(tǒng)。

基于獨立VPN軟件的系統(tǒng)解決方案主要是在路由器上做相應的端口映射到主機,再采用VPN軟件構建VPN服務器,提供遠程客戶端的訪問。一般LINUX操作系統(tǒng)可以采用openVPN等軟件來配置服務器,而WINDOWS server操作系統(tǒng)本身就集成了VPN遠程訪問服務器?；讵毩PN軟件的系統(tǒng)解決方案優(yōu)點是配置簡單,在校園網現有設備基礎上實現,無需另外增加設備,更為靈活。但是,建出的VPN不穩(wěn)定,難以管理,安全方面也會受到影響。在性能要求不高的情況下軟件產品可能是最好的選擇。

2.基于含VPN防火墻的系統(tǒng)。

一個防火墻VPN本質上是一個帶有增強的安全和防火墻功能的遠程訪問VPN,基于防火墻的VPN充分利用防火墻的安全機制,包括對內部網絡的訪問限制。它還執(zhí)行地址轉換,符合強認證要求,發(fā)出實時警報,并提供廣泛記錄功能。使用基于防火墻的VPN很經濟,而且易于加固和管理。但是,這要求必須學校本身防火墻支持SSL協(xié)議,這有一定局限性。

3.基于專業(yè)的VPN硬件產品的系統(tǒng)。

基于硬件的VPN產品是由專業(yè)公司研制的高度集成化VPN產品,結合了業(yè)界領先的高速路由技術及VPN服務套件,集成了VPN隧道的關鍵特性如:數據加密、安全、高級帶寬管理和服務級確認,具有企業(yè)級防火墻功能、多WAN口路由功能、專業(yè)VPN功能等,能利用它的防火墻對內網機器進行限制、劃分Vlan、QoS、行為管理等。同時一般這些公司會開發(fā)增強安全、認證等方面功能的客戶端軟件。這種解決方案優(yōu)點在于解決方案簡單、高安全性以及管理方便,但是投入相對較大。

在VPN產品和解決方案的選擇上學?？梢愿鶕L問量的需求和所能投入的資金預算進行靈活配置。本文主要介紹采用通用的SSL VPN網關產品進行VPN的部署的基本方法。

三、校園網VPN的部署

校園網SSL VPN 可采用路由模式部署、透明模式部署、單臂路由模式、混合部署和集中管理模式等多種部署,可根據網絡規(guī)模不同設置進行不同的部署。路由模式部署、透明模式部署由于部署在出口,容易在出口處形成瓶頸。一般為了不造成訪問的壓力,學校SSL VPN采用單臂路由方式接入網絡,在原有網絡不做任何改動的情況下,終端用戶通過VPN安全訪問內網資源。移動用戶可以同時訪問Internet數據和企業(yè)內部網絡數據,彼此之間不會有任何干擾。管理員可以在不變動原有網絡的情況下,將SSL VPN看作內網的一臺主機,直接放置在網絡中使用,降低了用戶管理和使用的復雜度(見下圖)。

對SSL VPN服務器配置完成后,用戶通過在客戶端瀏覽器輸入 https://VPN的地址,即可看到登陸界面。目前為了解決SSL VPN對非Web的應用程序的支持,許多VPN廠商在他們的SSL VPN設備上使用Java、JavaScript、ActiveX和Flash應用程序等組件,這些組件通過不同方式(生成軟件網卡、截獲TCP/IP協(xié)議棧的網絡數據等方式)使非Web的應用程序通過SSL隧道傳輸,從而實現對非Web的應用程序的支持。如果是專業(yè)VPN產品在每臺主機第一次登錄SSL VPN會自動彈出客戶端插件要求安裝,按提示安裝后才能完成鏈接,此后可信任資源的訪問都將通過SSL VPN加密傳輸。

因此,通過SSL VPN加密的虛擬專網接入方式,不需要做任何的設置,在統(tǒng)一的認證平臺上,通過教師證號、學號等就可以實現單點登陸,對校園網資源、進行快速遠程安全訪問,實現資源的共享,促進了學術交流,使校園網資源得到更充分的利用,社會效益較大。

(作者單位:廣東金融學院計算機網絡與教育技術中心)

參考文獻:

[1]付向東,孫寧,王煥民.基于VPN技術的校園網教學資源遠程訪問[J].電化教育研究,2009,(2):84.

[2]閆曉弟,耶健.基于VPN的電子資源遠程訪問系統(tǒng)的研究與實現[J].情報雜志,2009,(8):159.

[3]馬進寶.用VPN技術實現用戶遠程訪問校園網資源[J].漳州師范學院學報(自然科學版).2008,(3):121.

責任編輯朱守鋰