祝永健

摘要：在信息化校園建設需求的推動下，學校計算機軟硬件資源日趨完備、各種設施相對齊全，隨著網(wǎng)絡技術的不斷發(fā)展和進步，師生對靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的要求日益強烈，如此背景下采用合理的VPN方案既可以很好地利用Internet的豐富資源又能夠保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

關鍵詞：VPN；信息化校園；應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2012）32-7692-02

信息技術的長足發(fā)展，帶來了教育教學模式與方法的重大變革，越來越多的學校建立了校園網(wǎng)，為師生提供著豐富的辦公教學資源，給予師生教學、科研等信息交流以極大的便利，同時也有效拓展了師生的教科研空間與時間。滿足師生在校外能利用計算機隨時隨地通過互聯(lián)網(wǎng)較安全地訪問學校內(nèi)部網(wǎng)絡資源也成了信息化校園建設的一種必然需求。VPN技術以其速度快、資費低、可擴展性強、不安全因素少等特點在信息化校園建設中得到了的發(fā)展和應用。

1VPN概述

目前接入網(wǎng)方式還是很多的，不同的方式有不同的特點和應用領域，VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡）是非常常見的方式之一。通常用以實現(xiàn)相關組織或個人的開放式、分布式的公用網(wǎng)絡的安全通信。其實質(zhì)是，在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡，從而實現(xiàn)以極低的資費為遠程用戶提供能和專用網(wǎng)絡相媲美的保密通信服務。

2VPN技術的現(xiàn)狀

今日的VPN技術在全球的信息安全體系中發(fā)揮著重要的作用，已不只是一個單純的經(jīng)過加密的訪問隧道，它融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，安全與服務質(zhì)量是VPN的技術保障。近年來VPN發(fā)展有以下特點：（1）VPN產(chǎn)品需要同時具有SSLVPN和IPSecVPN的功能；（2）需要VPN產(chǎn)品具有高可用解決方案，越來越多地系統(tǒng)運行在VPN產(chǎn)品之上；（3）需要VPN解決方案必須具有更高級別的高可靠性水平，越來越多的數(shù)據(jù)通過VPN系統(tǒng)進行傳輸；（4）VPN方案及產(chǎn)品的易操作性要求越來越高；（5）VPN解決方案的兼容性要求越來越高，用戶希望能把防火墻、網(wǎng)關殺毒、垃圾郵件過濾等實用功能集成于一體；（6）有效保證VPN項目中的投資，減少浪費以及保證產(chǎn)品能夠持續(xù)使用。

3VPN服務于信息化校園建設的必然性

信息化校園，就是一個數(shù)字化、網(wǎng)絡化、智能化和多媒體化有機結合的新型教學和科研的校園平臺。培養(yǎng)善于獲取、加工、處理和利用信息與知識的學生是建設信息化校園的主要目標。其核心技術是網(wǎng)絡技術，通過網(wǎng)絡技術實現(xiàn)信息和知識資源的充分共享。隨著網(wǎng)絡技術的不斷發(fā)展和進步，信息技術在教育領域的應用也一樣在發(fā)生著改變，從最初的計算機輔助教學到現(xiàn)在的網(wǎng)絡化教學、多媒體教學和信息化校園，并且發(fā)展到了支持校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作等需求的新階段，構建一個安全可靠、性能卓越、易于管理的校園網(wǎng)絡成為必然。在信息化校園建設中引入VPN技術，利用公共通信線路，解決外聯(lián)信息交換面臨的安全威脅以及分校區(qū)辦公和在外工作人員的安全接入問題，保持傳輸?shù)男畔⒑蛿?shù)據(jù)的隱蔽性和安全性是一個很好的選擇。

4VPN在信息化校園中建設中的應用

1）VPN在信息化校園中建設的方式選擇

VPN的建立有三種方式：一是由ISP（互聯(lián)網(wǎng)服務提供商）建設，對學校透明；二是學校自身建設，對ISP透明；三是ISP和學校共同建設。因?qū)W校內(nèi)部網(wǎng)絡已建立，在校園網(wǎng)基礎上建立VPN，對ISP透明，這種方案比較適合。

2）VPN在信息化校園中建設的平臺選擇

VPN的實現(xiàn)平臺一般有三種：專用硬件平臺、輔助硬件平臺及純軟件平臺。所謂的硬件可以是路由器，將VPN軟件記載在路由器之上，它在實現(xiàn)路由功能的同時也有VPN連接的功能；也可以是防火墻，在防火墻上也能實現(xiàn)VPN功能；或者是專用的VPN硬件設備，具有VPN連接的專有功能，并且數(shù)據(jù)加密性也由硬件來實現(xiàn)，數(shù)據(jù)安全性更高。專用硬件平臺需要投資大量的硬件設備，成本太高，一般學校出于對成本的考慮，會優(yōu)先考慮選擇純軟件平臺和輔助硬件平臺這兩種。在對數(shù)據(jù)連接速率要求不是很高，對性能和安全性要求不強時，可以利用AventailCorp和CheckpointSoftware等公司提供的的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN的功能。甚至可以不需要另外購置軟件，僅依靠Windows操作系統(tǒng)，特別是自Windows2000版本以后的系統(tǒng)就可實現(xiàn)純軟件平臺的VPN連接。如果建立的VPN網(wǎng)絡，考慮系統(tǒng)安全、長期穩(wěn)定運行、便捷的安裝和管理、維護成本、良好的綜合性能等等因素，則應考慮選用輔助硬件平臺VPN，這種平臺是最為通用的一種方式，比較適合大多數(shù)學校。

3）信息化校園中建設的常用VPN技術選擇

IPSecVPN：通用性與整合性好、IPSec對終端用戶來說是透明的。需要安裝客戶端軟件；其連接性會受到網(wǎng)絡地址轉換（NAT）的影響，或受網(wǎng)關代理設備（Proxy）的影響；IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。建議中心校區(qū)與分校區(qū)之間部署網(wǎng)對網(wǎng)產(chǎn)品，即IPSecVPN。

SSLVPN：客戶端支撐維護簡單、安全性良好、細化接入控制功能，提供用戶級別的鑒權，適用大多數(shù)設備、適用于大多數(shù)操作系統(tǒng)。主要適用于點到點的信息加密傳輸，建議移動辦公人員與中心校區(qū)之間部署點對網(wǎng)產(chǎn)品，即SSLVPN。

4）VPN在信息化校園中建設的典型應用

典型應用一：異地校區(qū)網(wǎng)絡的相互安全訪問

需求：某教育集團有多家分校，中心校區(qū)的內(nèi)部網(wǎng)中已經(jīng)實現(xiàn)了行政辦公系統(tǒng)、教務管理系統(tǒng)、學工管理系統(tǒng)、后勤管理系統(tǒng)等，分校區(qū)與中心校區(qū)地域跨度大，允許其能夠訪問中心校區(qū)的校園網(wǎng)，可大大簡化信息資源（如電子郵件、公文流轉）交流的途徑，增加信息交換速度。但這樣的信息交換帶來的網(wǎng)絡的復雜性增加、網(wǎng)絡管理及安全性等諸多問題亟需解決。

解決方案：為了能夠使得異地校區(qū)網(wǎng)絡的相互安全訪問，似乎一條專線是必需的，但專線只能向當?shù)豂SP或者電信運營商申請，由運營商來提供管理和監(jiān)控，這樣會帶來安全隱患。并且租用專線費用非常昂貴，一般的學校負擔不起?？梢钥紤]現(xiàn)在Internet接入的費用日趨下降，利用當?shù)豂SP提供的寬帶網(wǎng)絡服務接入到Internet，再利用Internet公眾網(wǎng)絡使分校區(qū)與中心校區(qū)實現(xiàn)網(wǎng)絡互聯(lián)。在公用全球性網(wǎng)絡傳輸?shù)臄?shù)據(jù)都不能算是安全的，學校內(nèi)部公告、教科研進展動態(tài)、師生基本信息等則需要保密，不可以直接暴露在公眾網(wǎng)絡，以上的需求可通過VPN方式來進行網(wǎng)絡互聯(lián)得以解決。在各校園內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的邊界處增添VPN網(wǎng)關，來監(jiān)控所流經(jīng)的數(shù)據(jù)，并通過不同的ISP所提供的網(wǎng)絡服務將校園網(wǎng)中每個獨立的內(nèi)部網(wǎng)絡連入互聯(lián)網(wǎng)。既利用Internet節(jié)省了原有的高額的專用線路租用費，又達到了一定強度的安全性，且提高了整個網(wǎng)絡的吞吐率。

典型應用二：校外終端對校內(nèi)網(wǎng)絡資源的安全訪問

需求：學校在外人員利用計算機通過互聯(lián)網(wǎng)也能夠較安全地訪問學校。

解決方案：以往師生只能通過公用全球性網(wǎng)絡的電子郵件信箱或匿名FTP來進行資料交換，而且經(jīng)常受到信箱大小的限制或匿名FTP不安全因素的威脅。使用專線連接內(nèi)部局域網(wǎng)，則需昂貴的費用。實則現(xiàn)在師生使用的操作系統(tǒng)一般為WindowsXP或Windows7，可以直接利用操作系統(tǒng)內(nèi)置的VPN撥號功能來實現(xiàn)異地、安全、低資費連入到中心校區(qū)網(wǎng)絡中。不過這類VPN網(wǎng)絡一般性能較差，數(shù)據(jù)傳輸速率較低，安全性方面也比較低。考慮用輔助硬件平臺VPN。SSLVPN的實現(xiàn)方式是在學校的防火墻后面放置一個SSLVPN網(wǎng)關，如果師生希望安全地連接到學校網(wǎng)絡上，那么當師生在瀏覽器上輸入一個URL后，連接將被SSLVPN網(wǎng)關取得，并驗證該用戶的身份，然后SSLVPN網(wǎng)關將提供一個遠程用戶與各種不同的應用服務器之間連接，這樣師生無論身處何地，都可以利用當?shù)氐腎SP連回中心校區(qū)，使用中心校區(qū)的網(wǎng)絡資源，收發(fā)資料等，顯著提高教育教學效率。

5總結

我們可以選擇不同的VPN設計方案，但是選擇結果只是相互比較后的結果，并不意味著該選擇完全符合實際需要。所以，應在保持足夠開放性的同時，對設計方案進行擴展，根據(jù)現(xiàn)有設備情況開發(fā)適合本校的VPN實例，解決校園網(wǎng)存在的一些問題并優(yōu)化校園網(wǎng)的管理和應用。

參考文獻：

[1]喬河寬.VPN技術在多校區(qū)網(wǎng)絡互聯(lián)中的應用[J].中國電子商務，2011（12）.

[2]劉洋.IPSECVPN和SSLVPN的分析比較[J].電腦知識與技術，2009（4）.

[3]張仕斌，潭三，易勇，等.網(wǎng)絡安全技術[M].北京：清華大學出版社，2006.