洪新華

浙江師范大學信息化辦公室 浙江 321004

0 引言

VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿越安全威脅無時不在的公用網(wǎng)絡的安全、穩(wěn)定的隧道。校園網(wǎng) VPN 是對校園內網(wǎng)的擴展，通過它可以實現(xiàn)用戶在任何時候、任何地點，與校園網(wǎng)建立建立可信的安全連接，訪問校園數(shù)字資源，并保證數(shù)據(jù)的安全傳輸。但是在公用網(wǎng)絡上安全威脅無時不在，且呈現(xiàn)快速增長態(tài)勢，攻擊、掃描、入侵、攻擊、蠕蟲病毒攻擊等等，而VPN作為公用網(wǎng)絡進入校園網(wǎng)的一扇門，其安全尤為重要。在向師生提供 VPN訪問校園網(wǎng)資源服務的同時，也要防范各類攻擊通過VPN通道向校園內網(wǎng)滲透，保護好內網(wǎng)安全。

1 VPN技術與安全威脅

隨著信息技術的發(fā)展，IPSec VPN、SSL VPN、MPLS VPN等VPN技術已經(jīng)投入實際進行應用，接入方式有內部接入、訪問接入、外部接入等。這三種 VPN技術各有所長、各有特色，比如IPSec VPN一般需要客戶端，而SSL VPN可不用客戶端。三種接入方式也各有所異。校本部與分校區(qū)之間通過公網(wǎng)構筑的虛擬網(wǎng)是內部接入方式。師生或學校駐派機構通過公網(wǎng)遠程撥號的方式構筑的虛擬網(wǎng)是訪問接入方式。高校之間基于資源共享通過公網(wǎng)來構筑的虛擬網(wǎng)則是外部接入方式。其中 IPSec協(xié)議是網(wǎng)絡層協(xié)議，是為保障IP通信而提供的一系列協(xié)議族，針對數(shù)據(jù)在通過公共網(wǎng)絡時的數(shù)據(jù)完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。它能為我們提供共同操作與使用的、高品質的、基于加密的安全機制，提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務。而SSL是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。SSL是一種高層安全協(xié)議，建立在應用層上，使用公鑰加密并通過SSL連接傳輸數(shù)據(jù)來工作。SSL VPN使用SSL協(xié)議和代理為終端用戶提供Http、client/server和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證，確保只有通過安全策略認證的用戶可以訪問指定的資源。

基于訪問接入方式的 VPN應用服務在校園的推廣，學校師生享受到了在校外訪問校園網(wǎng)內部資源的便利，可以通過VPN訪問校內圖書館數(shù)字資源，可以訪問校內基于ftp共享的視頻、軟件、課件等資源，可以訪問校內財務的、教學的、人事、科研的等管理信息系統(tǒng)。但與此同時也給校園網(wǎng)引入新的安全風險。公網(wǎng)上各種安全風險，如病毒蔓延、黑客攻擊等有了一個新的切入點。黑客有可能通過弱口令攻擊首先獲得一個VPN賬號，然后VPN登入校園網(wǎng)，攻擊校園網(wǎng)內個人電腦、服務器、網(wǎng)絡設備，進行篡改數(shù)據(jù)、獲取機密等攻擊活動。而合法用戶電腦上的病毒則可能在合法用戶正常 VPN登錄連接到校園網(wǎng)之后，乘機向校園內網(wǎng)蔓延，危害內網(wǎng)。合法用戶也有可能因濫用 VPN，影響其他 VPN的正常使用。若沒有合理控制機制，公網(wǎng)上的安全威脅極有可能危害校園內網(wǎng)，給我們帶來損失，由此引發(fā)的安全事件也變得很難追蹤和定位。通過實際應用，本文提出一種分級控制的VPN接入解決方案。

2 分級控制的VPN接入解決方案

（1）資源分級

連接在校園內網(wǎng)上有師生的個人電腦、服務器、網(wǎng)絡連接設備等，受到的安全威脅各不一樣。VPN接入背景下，個人電腦主要防范病毒感染，服務器則要防范病毒感染、黑客攻擊，網(wǎng)絡連接設備則主要防范黑客攻擊。服務器和網(wǎng)絡連接設備一般 7*24小時運行，則更容易成為受害對象。運行在校園網(wǎng)上服務器因應用不同而呈現(xiàn)多樣性，主要有郵件系統(tǒng)、基于ftp的文件共享系、視頻點播系統(tǒng)、管理信息系統(tǒng)(財務的、人事的、科研的、教學的等)、圖書館數(shù)字資源、bbs系統(tǒng)、科研項目系統(tǒng)等。各個系統(tǒng)對安全的要求不一樣，防范的重點也不一樣。比如郵件系統(tǒng)與管理信息系統(tǒng)要求正常運行，并保證數(shù)據(jù)的完整性、機密性等、正確性；而基于ftp的文件共享系于視頻點播系統(tǒng)要求正常運行，主要保證數(shù)據(jù)的完整性和正確性，以及防濫用、防添加非法視頻數(shù)據(jù)；圖書館數(shù)字資源要求正常為師生提供查詢服務，主要保證數(shù)據(jù)的完整性、正確性；科研項目系統(tǒng)則防范數(shù)據(jù)的機密性；bbs系統(tǒng)要重點防范不良信息的蔓延等等。通過 VPN訪問校內各應用系統(tǒng)，獲取各種校內資源，對網(wǎng)絡帶寬的資源也個不一樣，一般而言視頻點播及下載大文件會占用較大帶寬，易造成帶寬擁擠，影響其他用戶使用，需要進行QoS(Quality of Service)服務質量管理。

鑒于各資源的重要性和各系統(tǒng)對安全性的要求，將校園網(wǎng)上資源進行分級，有不開放級、低開放級、中開放級、高開放級。不開放級別包含了路由器交換機等網(wǎng)絡設備、DNS服務器、dhcp服務器、email服務器、以及其他高安全、高機密要求的不宜開放的應用系統(tǒng)。低開放及包含了視頻點播系統(tǒng)、需臨時開放的應用系統(tǒng)(比如成績錄入系統(tǒng))等。中開放級包含了財務查詢系統(tǒng)、教學資源等可以在比較大的范圍內開放的資源。高開放級，主要是圖書館的數(shù)字資源，可以向所有用戶開放，本身沒有安全漏洞，安全威脅小。

（2）用戶分級

訪問接入 VPN主要為在外師生、學校駐派機構、臨時人員等提供通過 VPN通道穿越公網(wǎng)遠程訪問校內各資源。絕大部師生(包括在教師、一般行政人員、在職研究生、合作培養(yǎng)的研究生等)都需要訪問校內圖書館數(shù)字資源，如學術期刊數(shù)據(jù)庫、萬方數(shù)據(jù)庫、天宇數(shù)據(jù)庫等；任課老師和教務管理人員需要訪問成績等教學管理系統(tǒng)進行管理，學生僅需要查詢自己的成績；在崗教工則需要進行工資等財務查詢，瀏覽校內通知等；部分教工則希望觀能訪問校內視頻點播系統(tǒng)(包括教學的和娛樂的)，而學生則希望訪問教學視頻點播系統(tǒng)；一些管理人員還希望訪問其管理的校內服務器等等。然而VPN接入的重點在向師生提供遠程訪問圖書館數(shù)字資源、教學資源，遠程瀏覽校內通知等。VPN系統(tǒng)有他自己性能瓶頸以及校園出口帶寬瓶頸，這些都影響對用戶的分級。結合用戶實際需要、安全需要和性能瓶頸，將用戶分為臨時級、學生級、教師級和管理級。臨時級人員具有在特定時間內遠程訪問校內特定資源的權限。學生級用戶僅限于遠程訪問校內學習資源，查詢成績等，教師級用戶可以遠程訪問校內教學資源、瀏覽校內通知、進行工資等財務查詢；管理級用戶則需要遠程訪問校內網(wǎng)更多的資源，進行教學的、科研的以及社會服務的活動。

（3）基于分級的安全控制

針對資源分級和用戶分級，進行有區(qū)別的控制。首先是訪問權限的控制，向各用戶按其分級發(fā)布其能訪問的校內資源，這樣用戶登錄后只能看到各自能訪問的資源。IPSec VPN下，可以為各級用戶分發(fā)不同段的內網(wǎng) IP，對不同段 IP進行包轉發(fā)控制以及訪問控制，并結合用戶分級與資源匹配以實現(xiàn)用戶分級。而SSL VPN通過用戶分級與資源匹配以實現(xiàn)用戶分級訪問控制。其次是安全的控制，針對資源分級進行區(qū)別的安全控制，在防火墻或交換機上做訪問控制，比如圖書館資源只開放http服務即80端口等，由此建立相應資源規(guī)則，設定默認規(guī)則所有資源不可見，資源規(guī)則優(yōu)先級高于默認規(guī)則。針對用戶分級進行有區(qū)別的安全控制，用戶只可見其能訪問的資源，其不可見的資源就是不能訪問的。結合分級對用戶認證進行區(qū)別對待，用戶認證可以是密碼驗證、短信驗證、數(shù)字證書、指紋認證等?？紤]到方便性和易實現(xiàn)性，對一般用戶進行密碼驗證，并區(qū)別用戶級別進行密碼強度要求。對管理級用戶要球進行短信驗證，嚴防被冒用。另外結合附加碼以及5次登錄失敗則限制其當天再次登錄等手段嚴防賬號被冒用。再則是服務質量的控制，按提供遠程訪問校內資源服務的優(yōu)先級進行服務質量控制，優(yōu)先保證遠程訪問圖書館數(shù)字資源、教學資源等網(wǎng)絡帶寬，適當限制遠程訪問娛樂資源的帶寬，可按時段區(qū)別對待。最后是審計的控制管理，做所有用戶的訪問日志，考慮到資源分級、用戶分級及管理成本，區(qū)別審計不同級別資源訪問日志、不同用戶的訪問日志，對安全風險、高安全要求的資源和高權限用戶加強審計，審計時間間隔要小。

3 結束語

VPN技術的在校園網(wǎng)上的應用，突破其物理界限，使學校師生也能在公網(wǎng)上通過 VPN訪問到校內資源，大大方便了師生在外獲取校內豐富的教學資源，更好地參與教學、科研、社會服務和管理活動中去。但 VPN接入也為校園網(wǎng)帶來了來自公網(wǎng)上的安全危險，如黑客攻擊、病毒等。通過分級控制可以有效降低 VPN接入的安全風險，并保證師生穩(wěn)定有效率地遠程訪問校內資源。

[1] 李之棠,賀濟美,雷杰.SSL VPN 的安全漏洞及其解決方案[J].計算機工程與科學.2006.

[2] 郝玉潔,馮銀付,賴攀.基于指紋識別的VPN身份認證研究[J].計算機應用.2009.

[3] 張超.SSL VPN客戶端實現(xiàn)技術研究[J].電腦知識與技術.2008.

[4] 趙暉.網(wǎng)絡安全概述[J].福建電腦.2007.

[5] 尋大勇.SSL VPN網(wǎng)絡安全技術的應用研究[J].通信技術.2009.