文/張新華

應用了深信服SSL VPN之后，河海大學在家或出差的教師可直接訪問學校所發(fā)布的資源。

資源共享、遠程辦公是網(wǎng)絡給現(xiàn)代社會最大的貢獻之一。在以科研教育為本職的高校中，各種學術文獻、教學資料及前沿技術共享的重要意義，更顯得尤為突出。而高校網(wǎng)絡環(huán)境又是較為特殊的環(huán)境，由于內(nèi)網(wǎng)主機容量大，往往組成了結構較為復雜的校園網(wǎng)絡。共享資源往往集中在圖書館搭建的本校電子數(shù)據(jù)庫，以及采用的校外電子數(shù)據(jù)庫中，形成校內(nèi)資源共享的格局。

校園網(wǎng)的壁壘

作為國內(nèi)水利研究的排頭兵，河海大學的信息化建設也走在前列。早在網(wǎng)絡技術興起之初，河海大學就著手建設以各校區(qū)為基本單位、數(shù)據(jù)互通的校園網(wǎng)絡，并以此為基礎開展校內(nèi)信息化建設。建立了圖書館電子書庫、辦公自動化平臺等一系列校內(nèi)應用，并購置了各種期刊數(shù)據(jù)庫資源，支持廣大師生的科學研究、教學及管理工作。

為了保障應用的安全穩(wěn)定運行，在建設之初就限定了將這些應用平臺、期刊數(shù)據(jù)庫資源只能在校園網(wǎng)內(nèi)使用，避免受到因特網(wǎng)上不安全因素的威脅。但在使用過程中河海大學發(fā)現(xiàn)，這樣的做法在提供安全保障的同時，卻也樹立起了一道壁壘：住在校外的教師或是出差的教師，使用的是電信或是聯(lián)通的互聯(lián)網(wǎng)線路，無法訪問使用這些圖書館電子書庫、期刊數(shù)據(jù)庫以及學校的辦公自動化平臺。教師們在校工作時這些數(shù)據(jù)庫與辦公平臺給予的助力非常大，一旦無法訪問，造成的不便可想而知。

安全延伸路在何方

近年來，VPN作為移動點網(wǎng)絡安全延伸的應用越發(fā)普遍，河海大學在接受到教師的遠程訪問需求反饋時，就將解決方案定位到這種安全虛擬專用網(wǎng)構建技術之上?，F(xiàn)今的VPN技術多樣，就網(wǎng)絡層次而言就有SSL VPN、IPSec VPN、PPTP、L2TP等多種VPN技術。但從使用的便利性、穩(wěn)定性、功能的多樣性方面考慮，SSL VPN無疑是一種最好的選擇。

從教師方面考慮，使用的便利性應該是考慮之重。IPSec VPN、PPTP、L2TP三種VPN 在用戶的使用上，都需要通過客戶端撥號的方式進行，還需要進行較為繁瑣的配置。不僅會加大IT人員管理維護上的工作量，更重要的是會加大教師們上手的難度，不易推廣。

而SSL VPN這種基于應用層實現(xiàn)的技術，依靠的是瀏覽器中內(nèi)嵌的SSL VPN協(xié)議，無需安裝客戶端軟件和配置。教師在登錄SSL VPN的時候，只需要如同日常登錄網(wǎng)銀、郵箱一樣，打開瀏覽器訪問SSL VPN登錄頁面，完成密碼認證等身份校驗，即可成功登錄，之后的使用就如同在校園內(nèi)訪問一致。這樣的VPN建立方式十分切合教師們?nèi)粘５木W(wǎng)絡使用習慣，無論是使用還是推廣上都十分便利。

SSL VPN助校園網(wǎng)安全延伸

通過SSL VPN建設方案的綜合比對，并參考其他兄弟院校的遠程接入平臺，最終河海大學選擇了深信服千兆級高端SSL VPN。將SSL VPN以單臂模式部署在核心交換機上，向互聯(lián)網(wǎng)安全的發(fā)布辦公自動化平臺、圖書館資源及期刊數(shù)據(jù)庫資源。在家或出差的教師可直接使用互聯(lián)網(wǎng)線路接入SSL VPN，訪問通過SSL VPN所發(fā)布的資源。

河海大學原有人事數(shù)據(jù)庫服務器、Radius服務器，為了保證用戶帳號的統(tǒng)一管理，避免需要記憶多套帳號密碼的麻煩，在搭建SSL VPN平臺時采用了Radius聯(lián)動、人事數(shù)據(jù)庫服務器聯(lián)動的方式設置用戶認證。同時，采用了軟鍵盤、圖形校驗碼、密碼需包含數(shù)字字母等安全策略加強認證的安全性。而在保證接入主機的安全強度上，通過客戶端安全檢查策略，規(guī)定了用戶的操作系統(tǒng)版本及補丁，避免了主機上的漏洞給校內(nèi)資源的安全防護開后門。

河海大學通過本次SSL VPN平臺的構建，便捷地實現(xiàn)校園網(wǎng)的安全延伸。經(jīng)過一年多的實際使用，教師們普遍反應使用狀況良好，大大方便了在校外的工作學習。

河海大學是一所擁有95年辦學歷史，以水利為特色，工科為主，多學科協(xié)調(diào)發(fā)展的教育部直屬全國重點大學，是實施國家“211工程”重點建設的高校之一。

針對問題：教師需要在校外調(diào)研、在家、出差等時候可訪問到辦公自動化平臺、圖書館資料庫、大量教育網(wǎng)資源等校內(nèi)應用；IT管理人員在外需要可實時接入校園網(wǎng)絡中對各種網(wǎng)絡設備進行遠程的維護。

應用規(guī)模：于河海大學主校區(qū)部署深信服SSL VPN高端設備一臺，為教師提供遠程接入訪問校內(nèi)資源服務，為IT管理人員提供校內(nèi)設備遠程維護服務。

應用效果：

1. 教師可在校外接入校園網(wǎng)絡訪問校內(nèi)、教育網(wǎng)的各種資源進行辦公、學習；

2. IT管理人員對各種網(wǎng)絡設備進行遠程維護，保證校園網(wǎng)絡順暢運行。