宋曉飛

【摘要】VPN（Virtual Private Network）是一種在公共網(wǎng)絡(luò)上構(gòu)建隧道，并在隧道上進(jìn)行加密，認(rèn)證等方法，從而實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)的技術(shù)。在VPN搭建的虛擬專用網(wǎng)絡(luò)通道中，數(shù)據(jù)可以進(jìn)行加密傳輸，從而保證了數(shù)據(jù)的保密性，而且不用搭建專用的物理網(wǎng)絡(luò)，節(jié)省了成本。在校園網(wǎng)中，需要建立一個(gè)安全的，便捷的，性能強(qiáng)大的安全體系。而VPN剛好適合校園網(wǎng)需求。本文結(jié)合校園網(wǎng)實(shí)際，就VPN發(fā)展現(xiàn)狀出發(fā)，介紹VPN技術(shù)在我國(guó)以及世界上的發(fā)展及前景，并就校園網(wǎng)絡(luò)安全建設(shè)為中心，介紹三種常見(jiàn)安全體系：防火墻體系，入侵檢測(cè)體系，網(wǎng)絡(luò)隔離體系，并具體分析這三種網(wǎng)絡(luò)體系的原理以及不足。從而指出基于VPN技術(shù)的網(wǎng)絡(luò)體系是適合校園網(wǎng)的安全體系。最后就校園網(wǎng)的需求分析提出一個(gè)基于VPN技術(shù)的校園網(wǎng)安全體系建設(shè)方案。

【關(guān)鍵詞】VPN;校園網(wǎng)絡(luò);網(wǎng)絡(luò)安全;建設(shè)研究

1.VPN技術(shù)簡(jiǎn)介

所謂VPN就是虛擬專用網(wǎng)絡(luò)，英文全稱Virtual Private Network，簡(jiǎn)稱VPN。其功能是：在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。VPN的多種分類方式中主要借助協(xié)議進(jìn)行分類，VPN可通過(guò)服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)，另外VPN具有成本低，易于使用的特點(diǎn)。VPN技術(shù)誕生于上個(gè)世紀(jì)90年代，1997年9月發(fā)布的RFC2194是第一個(gè)直接提及VPN的RFC。到現(xiàn)在僅僅17年的歷史，但其發(fā)展速度卻遠(yuǎn)超我們的想象，各大網(wǎng)絡(luò)產(chǎn)品生產(chǎn)商如CISCO、H3C、Networks都把VPN作為主要的市場(chǎng)目標(biāo)。而當(dāng)前國(guó)內(nèi)VPN尚不成熟，自從2000開(kāi)始正式起步，與信息產(chǎn)業(yè)的其他分支類似，經(jīng)歷了有金融、政府和通信行業(yè)的帶動(dòng)起步的過(guò)程，取得了長(zhǎng)足發(fā)展。隨著我國(guó)固網(wǎng)運(yùn)營(yíng)商的戰(zhàn)略演變，寬帶已經(jīng)成為固網(wǎng)運(yùn)營(yíng)商主體業(yè)務(wù)之一，目前固網(wǎng)運(yùn)營(yíng)商的數(shù)據(jù)網(wǎng)絡(luò)已初具規(guī)模，如中國(guó)電信的CN2，聯(lián)通的China169、163數(shù)據(jù)網(wǎng)，在市場(chǎng)需求的刺激下國(guó)內(nèi)各大運(yùn)營(yíng)商也在VPN業(yè)務(wù)上發(fā)力，把VPN業(yè)務(wù)視為一項(xiàng)重要的市場(chǎng)份額。

2.VPN網(wǎng)絡(luò)安全體系分析

2.1 防火墻體系

在網(wǎng)絡(luò)中防火墻是設(shè)置在內(nèi)網(wǎng)和外網(wǎng)之間的一系列部件的組合。以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，所有防火墻產(chǎn)品在匹配規(guī)則的基礎(chǔ)上都會(huì)采用兩條規(guī)則中的一條。一切未被允許的就是禁止的，又稱默認(rèn)拒絕;或者一切為被禁止的就是允許的，又稱默認(rèn)允許。當(dāng)然這種體系存在以下不足：不能對(duì)惡意的知情者進(jìn)行防范、不能對(duì)不經(jīng)過(guò)它的連接進(jìn)行防范以及不能對(duì)全部的威脅進(jìn)行防范和不能防范病毒。

2.2 入侵檢測(cè)體系

入侵檢測(cè)技術(shù)是一種可以及時(shí)發(fā)現(xiàn)系統(tǒng)中異?，F(xiàn)象或未經(jīng)授權(quán)現(xiàn)象并及時(shí)作出報(bào)告的技術(shù)。它是保證計(jì)算機(jī)進(jìn)行安全配置與設(shè)計(jì)的一項(xiàng)技術(shù)，同時(shí)也對(duì)計(jì)算機(jī)中的違規(guī)操作進(jìn)行檢測(cè)并予以報(bào)告。存在的不足：采用的特征檢測(cè)對(duì)特征數(shù)據(jù)進(jìn)行數(shù)據(jù)分析，從而進(jìn)行檢測(cè)、發(fā)現(xiàn)入侵，報(bào)告入侵并記錄原始數(shù)據(jù)信息，必要時(shí)還可以通過(guò)與防火墻進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)惡意數(shù)據(jù)的切斷，不過(guò)，與防火墻系統(tǒng)一樣，對(duì)于新出現(xiàn)的未知特征數(shù)據(jù)的入侵，特征檢測(cè)方法無(wú)能為力。

2.3 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離就是把網(wǎng)絡(luò)分成多個(gè)互不交叉的安全域，并在域與域之間進(jìn)行訪問(wèn)的技術(shù)，其模型有內(nèi)部隔離模型和物理隔離模型。存在的不足：如內(nèi)網(wǎng)用戶無(wú)法使用許多的國(guó)際互聯(lián)網(wǎng)資源，而對(duì)于用戶來(lái)說(shuō)這些又是工作中非常必須的，另外要做到真正意義上的物理隔離會(huì)導(dǎo)致投資成本的大大增加，占據(jù)更大的辦公空間，而且花費(fèi)更多的維護(hù)費(fèi)用。

綜上所述，以上三種體系都無(wú)法滿足校園網(wǎng)安全的需要，所以在校園網(wǎng)中實(shí)施基于VPN技術(shù)的網(wǎng)絡(luò)安全建設(shè)迫在眉睫。

3.VPN在校園網(wǎng)中應(yīng)用的現(xiàn)狀

目前校園網(wǎng)對(duì)VPN的關(guān)注熱度已上升到一個(gè)相當(dāng)?shù)母叨?，許多高校非常熱衷與VPN技術(shù)并且已經(jīng)準(zhǔn)備或已開(kāi)始實(shí)施。各高校對(duì)VPN的需求主要有以下幾個(gè)方面：首先是滿足校外師生對(duì)校內(nèi)網(wǎng)站的安全訪問(wèn)需求，VPN方案能夠在公眾的IP網(wǎng)絡(luò)上建立私密的數(shù)據(jù)傳輸通道從而進(jìn)行分校的合作伙伴、分支辦公室、移動(dòng)辦公人員等進(jìn)行遠(yuǎn)程聯(lián)接網(wǎng)絡(luò)，從而降低校園網(wǎng)的訪問(wèn)負(fù)擔(dān)并節(jié)約成本[1]。其次是滿足分校之間相互訪問(wèn)的需求，以方便進(jìn)行管理控制，對(duì)資源進(jìn)行統(tǒng)一的獲取、分配。最后是解決學(xué)校的圖書(shū)館資源的合理訪問(wèn)問(wèn)題，而在高校圖書(shū)館中版權(quán)問(wèn)題一直都是一個(gè)重大的問(wèn)題，因此需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問(wèn)電子圖書(shū)館的電子系統(tǒng)。

4.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全建設(shè)分析

VPN建設(shè)方式分析：A方案是Internet服務(wù)商（ISP）建設(shè)，對(duì)企業(yè)要保持透明;B方案是企業(yè)關(guān)于自身方面的建設(shè)，ISP一定要透明。C方案就是企業(yè)、服務(wù)商應(yīng)該共同進(jìn)行建設(shè)。很顯然，B方案更加適合當(dāng)下的校園網(wǎng)的安全建設(shè)，即關(guān)于學(xué)校自身的建設(shè)，對(duì)服務(wù)商透明。校園網(wǎng)是地理位置在校內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)，校園網(wǎng)與國(guó)際互聯(lián)網(wǎng)相聯(lián)，它有用行于國(guó)際互聯(lián)網(wǎng)這樣一個(gè)公用網(wǎng)絡(luò)的IP地址，并擁有它自己的路由設(shè)備，而且它有自我網(wǎng)絡(luò)管理系統(tǒng)和自我維護(hù)機(jī)構(gòu)[2]。對(duì)校園網(wǎng)絡(luò)有相當(dāng)強(qiáng)的技術(shù)支持以及管理能力。因此在校園網(wǎng)絡(luò)上運(yùn)用VPN可以完全不依賴服務(wù)商，這樣學(xué)校就更有自主權(quán)，另外還可以節(jié)省經(jīng)費(fèi)。

通過(guò)對(duì)校園網(wǎng)絡(luò)現(xiàn)狀的分析，在校園網(wǎng)絡(luò)上建設(shè)VPN必須與其校園網(wǎng)現(xiàn)有需求相結(jié)合，遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)。但隨著辦學(xué)條件的不斷擴(kuò)大和發(fā)展，學(xué)校內(nèi)部的校園網(wǎng)使用VPN后你，兩個(gè)小區(qū)的校園網(wǎng)可以看成是學(xué)校網(wǎng)絡(luò)在兩個(gè)地區(qū)的不同組成部分。對(duì)現(xiàn)有的校園網(wǎng)絡(luò)來(lái)說(shuō)基本上沒(méi)有Extranet網(wǎng)絡(luò)結(jié)構(gòu)。所以在現(xiàn)有的校園網(wǎng)絡(luò)基礎(chǔ)之上，可以采用遠(yuǎn)程用戶訪問(wèn)VPN服務(wù)器和兩校區(qū)之間的VPN服務(wù)器設(shè)想（Extranet網(wǎng)絡(luò)結(jié)構(gòu)）。

5.基于VPN技術(shù)校園網(wǎng)絡(luò)安全建設(shè)具體方案

5.1 建立一個(gè)遠(yuǎn)程用戶訪問(wèn)校園網(wǎng)的VPN服務(wù)器或者是建立一個(gè)管理服務(wù)器網(wǎng)段的VPN服務(wù)器。

5.2 兩校區(qū)之間的VPN服務(wù)器設(shè)想：運(yùn)用Internet公共網(wǎng)絡(luò)從而將兩個(gè)校區(qū)的校園網(wǎng)絡(luò)相連，所以學(xué)校的就可以信息交流和數(shù)據(jù)傳輸、資源共享。首先克服了運(yùn)用路由器對(duì)其訪問(wèn)的局限性，同時(shí)數(shù)據(jù)傳輸?shù)陌踩杂辛吮Ｕ?，另外值得注意的一點(diǎn)是不租用專線從而節(jié)省了大筆開(kāi)支。通過(guò)在兩個(gè)學(xué)校的校區(qū)之間建設(shè)VPN服務(wù)器在策略上是允許這兩地的所有用戶對(duì)其進(jìn)行訪問(wèn)。

5.3 VPN安全部署：在條件允許的情況下，我們可以直接部署專用設(shè)備，根據(jù)實(shí)際情況在現(xiàn)有網(wǎng)絡(luò)的出口處部署VPN。對(duì)于其他實(shí)現(xiàn)互聯(lián)的子網(wǎng)也部署相應(yīng)的VPN設(shè)備。對(duì)于普通用戶在PC機(jī)上直接安裝客戶端軟件就可以非常便利的經(jīng)過(guò)VPN架設(shè)隧道，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)資源直接進(jìn)行訪問(wèn)。

6.結(jié)束語(yǔ)

當(dāng)前確保網(wǎng)絡(luò)安全性的確是一個(gè)網(wǎng)絡(luò)設(shè)計(jì)者和管理者特別關(guān)心和重視的一個(gè)問(wèn)題，VPN校園網(wǎng)的系統(tǒng)安全是一個(gè)較為復(fù)雜的工程，從嚴(yán)格意義上講，沒(méi)有完全安全的網(wǎng)絡(luò)系統(tǒng)，在網(wǎng)絡(luò)安全日益影響我們校園網(wǎng)絡(luò)運(yùn)行的情況上我們不能保障校園網(wǎng)的絕對(duì)安全，要盡可能去制止或減少非法訪問(wèn)和操作的行為，把不安全因素降到最低[3]。網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展的同時(shí)，全面安全技術(shù)的應(yīng)用是網(wǎng)絡(luò)安全發(fā)展的一項(xiàng)重要內(nèi)容，同時(shí)還要加強(qiáng)網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全管理，只有這樣才能真正確保網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)

[1]徐喆.高校網(wǎng)絡(luò)安全存在的問(wèn)題與對(duì)策研究[D].燕山大學(xué)，2012.

[2]熊浩.VPN技術(shù)在校園網(wǎng)中的應(yīng)用與實(shí)現(xiàn)[D].南昌大學(xué)，2009.

[3]徐迎新.VPN技術(shù)在校園網(wǎng)安全體系架構(gòu)中的應(yīng)用研究[D].南昌大學(xué)，2009.