摘要：信息安全新專業(yè)建設(shè)中，理論教學(xué)要以有效的實(shí)踐環(huán)節(jié)作支撐，確保實(shí)驗(yàn)內(nèi)容具有科學(xué)性、先進(jìn)性和應(yīng)用性，還要適當(dāng)兼顧基礎(chǔ)專業(yè)實(shí)驗(yàn)設(shè)備的資源共享，節(jié)省建設(shè)資金。VPN技術(shù)作為網(wǎng)絡(luò)安全典型技術(shù)，學(xué)校有必要為學(xué)生開設(shè)此實(shí)驗(yàn)。文中給出了如何在公共基礎(chǔ)實(shí)驗(yàn)室現(xiàn)有的實(shí)驗(yàn)環(huán)境中開設(shè)VPN實(shí)驗(yàn)。
　　關(guān)鍵詞：網(wǎng)絡(luò)實(shí)驗(yàn)室；安全專業(yè)實(shí)驗(yàn)；虛擬專用網(wǎng)；資源共享
　　文章編號(hào)：1672-5913(2010)08-0129-03
　　中圖分類號(hào)：G642
　　文獻(xiàn)標(biāo)識(shí)碼：B
　　
　　隨著經(jīng)濟(jì)全球化和市場(chǎng)的發(fā)展，信息需求量日益增長(zhǎng)。由于信息在網(wǎng)絡(luò)上傳輸可能會(huì)導(dǎo)致泄密，信息安全已成為國(guó)家安全、社會(huì)安全和經(jīng)濟(jì)安全的重要組成部分，信息安全保障能力成為一個(gè)國(guó)家綜合國(guó)力的重要組成部分。社會(huì)對(duì)信息安全專業(yè)人才的需求量達(dá)幾十萬(wàn)人，為解決供需矛盾，加快培養(yǎng)信息安全領(lǐng)域的專業(yè)人才已成為當(dāng)務(wù)之急。2001年經(jīng)教育部批準(zhǔn)，武漢大學(xué)創(chuàng)建了全國(guó)第一個(gè)信息安全本科專業(yè)。隨后，2003年北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院也開始招收信息安全專業(yè)(以下簡(jiǎn)稱安全專業(yè))本科生。
　　安全專業(yè)是計(jì)算機(jī)、通訊工程、數(shù)學(xué)專業(yè)等領(lǐng)域的交叉學(xué)科，安全專業(yè)的建設(shè)，尤其是實(shí)踐教學(xué)建設(shè)一直是各院校探索并逐步走向完善的艱巨任務(wù)。
　　
　　1
　　安全專業(yè)應(yīng)以有效的實(shí)踐環(huán)節(jié)作支撐
　　
　　安全專業(yè)是理論性強(qiáng)、比較枯燥、不容易理解但又應(yīng)用廣泛且實(shí)用性非常強(qiáng)的學(xué)科。為提高教學(xué)質(zhì)量，應(yīng)突出實(shí)踐教學(xué)在安全專業(yè)課程中的地位和作用，理論教學(xué)要以有效的實(shí)踐環(huán)節(jié)作支撐，以實(shí)踐驗(yàn)證理論，以實(shí)踐調(diào)動(dòng)學(xué)生學(xué)習(xí)的積極性和主動(dòng)性，通過(guò)實(shí)踐盡快掌握理論知識(shí)和專業(yè)技能。實(shí)驗(yàn)教學(xué)要以實(shí)用性強(qiáng)和應(yīng)用廣泛的經(jīng)典實(shí)例為實(shí)驗(yàn)教學(xué)的基礎(chǔ)，加大加強(qiáng)實(shí)驗(yàn)環(huán)節(jié)在安全專業(yè)教學(xué)中顯得尤為重要。
　　
　　
　　2　基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室開設(shè)安全專業(yè)實(shí)驗(yàn)課
　　
　　安全專業(yè)是一個(gè)新專業(yè)，又是多學(xué)科交叉且實(shí)踐性很強(qiáng)的學(xué)科。每年只招收1～2班，建立專用學(xué)科實(shí)驗(yàn)室目前不大可能。如何在現(xiàn)有公共基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室的基礎(chǔ)上建設(shè)有特色、有針對(duì)性和先進(jìn)的安全專業(yè)實(shí)驗(yàn)室，是一個(gè)值得探討的問(wèn)題[I-2]。目前我們充分利用網(wǎng)絡(luò)技術(shù)，綜合網(wǎng)絡(luò)實(shí)驗(yàn)室現(xiàn)有的設(shè)備環(huán)境，在公共基礎(chǔ)網(wǎng)絡(luò)實(shí)驗(yàn)室開設(shè)VPN(虛擬專用網(wǎng))安全專業(yè)實(shí)驗(yàn)課。
　　
　　2，1VPN典型的應(yīng)用
　　VPN的典型應(yīng)用是總公司與異地子公司之間的業(yè)務(wù)信息加密傳輸。比如：北京總公司為了更好的發(fā)展業(yè)務(wù)，需要在上海等地建立分公司。為了確保機(jī)密數(shù)據(jù)傳輸相對(duì)安全，可以采用專線進(jìn)行業(yè)務(wù)聯(lián)系，但專線的租賃費(fèi)用非常昂貴。VPN技術(shù)的出現(xiàn)使得上述問(wèn)題迎刃而解，
　　可以使用站到站(site-to-site)模式的VPN技術(shù)，在總公司和分公司之間建立IPSEC安全隧道，確保信息在VPN隧道中實(shí)現(xiàn)安全通訊。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。
　　實(shí)驗(yàn)使用的設(shè)備有Cisco26系列路由器二臺(tái)、Cisco2950交換機(jī)二臺(tái)、PC機(jī)不限。在總公司和子公司中各選一PC機(jī)，在PC機(jī)上通過(guò)軟件配置實(shí)現(xiàn)VPN網(wǎng)關(guān)，其他PC可以配置為服務(wù)器和工作站。在Cisco2950交換機(jī)劃分VLAN，將內(nèi)部網(wǎng)與外部可訪問(wèn)服務(wù)器做有效隔離。在Cisco26系列路由器配置單臂路由，實(shí)現(xiàn)VLAN間的訪問(wèn)，這樣就可以實(shí)現(xiàn)VPNSite-to-Site模式實(shí)驗(yàn)。這些設(shè)備均為網(wǎng)絡(luò)實(shí)驗(yàn)室必備設(shè)備，因此在不增加任何費(fèi)用的情況下，可以開設(shè)典型安全實(shí)驗(yàn)。
　　實(shí)驗(yàn)要求：(1)實(shí)驗(yàn)采用IPSEC安全協(xié)議；(2)通過(guò)VPN隧道在Internet上安全、加密連接服務(wù)，實(shí)現(xiàn)站到站的遠(yuǎn)程訪問(wèn)，保證各分支機(jī)構(gòu)之間數(shù)據(jù)安全傳輸；(3)同學(xué)可以考慮在通道上使用HUB或者交換機(jī)的端口映射功能觀察數(shù)據(jù)是否被加密。
　　
　　2，2開設(shè)VPN實(shí)驗(yàn)的理由
　　安全專業(yè)實(shí)驗(yàn)教學(xué)應(yīng)該綜合現(xiàn)代科技發(fā)展的新知識(shí)、新技術(shù)和新實(shí)驗(yàn)教學(xué)方法，實(shí)驗(yàn)教學(xué)改革要具有較強(qiáng)的應(yīng)用性、先進(jìn)性、代表性和方向性，實(shí)驗(yàn)內(nèi)容要充分體現(xiàn)時(shí)代特征和現(xiàn)代科學(xué)技術(shù)，突出鍛煉培養(yǎng)學(xué)生的獨(dú)立思考和解決問(wèn)題的能力。
　　VPN技術(shù)作為典型的信息安全技術(shù)，學(xué)校有必要為學(xué)生開設(shè)此實(shí)驗(yàn)。VPN技術(shù)是解決Internet上的數(shù)據(jù)傳輸安全問(wèn)題而越來(lái)越成為各界公認(rèn)的熱門技術(shù)之～。因?yàn)橐訧nternet為代表的網(wǎng)絡(luò)迅速發(fā)展，使得電子政務(wù)、電子商務(wù)等信息系統(tǒng)在軍事、政治、金融、商業(yè)等對(duì)外關(guān)系及合作范圍也越來(lái)越廣，各部門敏感信息、工作數(shù)據(jù)和財(cái)務(wù)記錄可能被截取。VPN最主要的優(yōu)點(diǎn)是使用跨越公網(wǎng)加密替代傳統(tǒng)的專線，降低了成本，增加了靈活性。應(yīng)用VPN技術(shù)的目的是解決數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，保證網(wǎng)絡(luò)內(nèi)部的關(guān)鍵敏感數(shù)據(jù)能夠借助公共網(wǎng)絡(luò)安全地進(jìn)行數(shù)據(jù)的交換。
　　
　　2，3VPN技術(shù)
　　VPN(虛擬專用網(wǎng))技術(shù)是利用開放的公用網(wǎng)絡(luò)(以Internet為基礎(chǔ))，建立一條臨時(shí)的、安全的、私有內(nèi)部的專用網(wǎng)，通過(guò)采用安全隧道技術(shù)、加密技術(shù)和認(rèn)證技術(shù)，實(shí)現(xiàn)具有高度安全性能相似專用的網(wǎng)絡(luò)。安全隧道技術(shù)是VPN技術(shù)的底層支持技術(shù)，所謂安全隧道技術(shù)在網(wǎng)絡(luò)中實(shí)質(zhì)上是一種封裝技術(shù)，將一種協(xié)議封裝在另一種協(xié)議中傳輸，實(shí)現(xiàn)協(xié)議對(duì)公用網(wǎng)的透明性。
　　VPN隧道協(xié)議通常是在OSI體系結(jié)構(gòu)的第二層和第三層中實(shí)現(xiàn)，如圖2所示。第二層(鏈路層)主要隧道協(xié)議有PPTP、L2P、L2TP等，第三層(網(wǎng)絡(luò)層)主要隧道協(xié)議有IPSec、GRE等。第二層和第三層的本質(zhì)區(qū)別在于：用戶的IP數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。
　　
　　2，4通過(guò)實(shí)踐教學(xué)讓學(xué)生掌握更多先進(jìn)技術(shù)
　　安全專業(yè)實(shí)驗(yàn)教學(xué)最顯著的特點(diǎn)就是“實(shí)踐驗(yàn)證理論”。實(shí)驗(yàn)教學(xué)的目的是運(yùn)用實(shí)驗(yàn)的方法，驗(yàn)證并鞏固課堂講述的理論。開設(shè)具有先進(jìn)性、廣泛應(yīng)用性、實(shí)用性強(qiáng)和具有探索性的實(shí)驗(yàn)題目如：ACL訪問(wèn)控制技術(shù)、網(wǎng)絡(luò)攻防、病毒分析與對(duì)抗、VPN技術(shù)、加密解密算法的實(shí)現(xiàn)等等。使學(xué)生真正體會(huì)到“實(shí)驗(yàn)教學(xué)是認(rèn)識(shí)世界的一個(gè)重要源頭”。這些安全實(shí)驗(yàn)都可以通過(guò)整合現(xiàn)有網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備開發(fā)出來(lái)，充分利用現(xiàn)有資源，實(shí)現(xiàn)資源共享。
　　
　　2，5鼓勵(lì)學(xué)生自動(dòng)走進(jìn)實(shí)驗(yàn)室
　　根據(jù)實(shí)驗(yàn)室現(xiàn)有環(huán)境，學(xué)生可以自帶教學(xué)以外感興趣實(shí)用性、工程性較強(qiáng)的題目，個(gè)人或小組來(lái)實(shí)驗(yàn)室做實(shí)驗(yàn)。學(xué)生自己設(shè)計(jì)實(shí)施方案、畫出實(shí)驗(yàn)拓?fù)鋱D、自己連接物理環(huán)境，自己解決實(shí)驗(yàn)中遇到的問(wèn)題，通過(guò)實(shí)踐鍛煉學(xué)生的思考分析問(wèn)題的能力、應(yīng)變和創(chuàng)意能力，培養(yǎng)學(xué)生自學(xué)和解決問(wèn)題的能力。
　　
　　3　充分利用現(xiàn)有資源提高設(shè)備利用率
　　
　　實(shí)驗(yàn)室是高校進(jìn)行教學(xué)、科研的重要基地，其地位和作用隨著實(shí)驗(yàn)手段的現(xiàn)代化和新學(xué)科不斷發(fā)展越來(lái)越被人們高度重視。要堅(jiān)持以教學(xué)為主的原則，確保實(shí)驗(yàn)室建設(shè)具有科學(xué)性、先進(jìn)性，適當(dāng)兼顧基礎(chǔ)教學(xué)設(shè)備、專業(yè)實(shí)驗(yàn)設(shè)備的共享。
　　在實(shí)驗(yàn)室管理、實(shí)驗(yàn)室建設(shè)、基礎(chǔ)實(shí)驗(yàn)教學(xué)和專業(yè)實(shí)驗(yàn)教學(xué)等方面要有全局意識(shí)，各實(shí)驗(yàn)室不要相對(duì)獨(dú)立，不能追求小而全，這樣容易造成財(cái)務(wù)資源的浪費(fèi)，有制約實(shí)驗(yàn)教學(xué)的發(fā)展和創(chuàng)新，影響實(shí)驗(yàn)教學(xué)和學(xué)科建設(shè)的發(fā)展。實(shí)驗(yàn)室建設(shè)要有整體長(zhǎng)遠(yuǎn)規(guī)劃(起碼保持5年內(nèi)科學(xué)性、先進(jìn)性、綜合性、合理性)，要堅(jiān)持合理配置、資源共享的原則。公共基礎(chǔ)實(shí)驗(yàn)室和學(xué)科專業(yè)實(shí)驗(yàn)室盡可能建立在學(xué)科發(fā)展基礎(chǔ)上，以擴(kuò)大受益范圍，減少開支，避免重復(fù)投入。資源共享多學(xué)科使用，使實(shí)驗(yàn)設(shè)備利用率大大提高。
　　目前此實(shí)驗(yàn)是在本校計(jì)算機(jī)學(xué)院實(shí)驗(yàn)中心的網(wǎng)絡(luò)實(shí)驗(yàn)室中開展的，網(wǎng)絡(luò)實(shí)驗(yàn)室一直承擔(dān)著本校的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)，開設(shè)了路由協(xié)議、交換、網(wǎng)絡(luò)通信等基礎(chǔ)實(shí)驗(yàn)。根據(jù)圖1可以看出，VPN實(shí)驗(yàn)使用的設(shè)備有Cisco26系列路由器二臺(tái)、Cisco2950交換機(jī)二臺(tái)、PC機(jī)等，現(xiàn)有的網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)備完全能支撐VPN安全實(shí)驗(yàn)，開設(shè)實(shí)驗(yàn)時(shí)只需重新配置一下網(wǎng)絡(luò)拓?fù)浼纯?。因此在上述原則下，應(yīng)在現(xiàn)有的網(wǎng)絡(luò)實(shí)驗(yàn)室中盡可能地挖掘潛力，共享實(shí)驗(yàn)設(shè)備資源，開發(fā)出新的信息安全實(shí)驗(yàn)。
　　
　　4　結(jié)語(yǔ)
　　
　　實(shí)驗(yàn)室是高校進(jìn)行教學(xué)、科研的重要基地，其地位和作用隨著實(shí)驗(yàn)手段的現(xiàn)代化和新學(xué)科不斷發(fā)展越來(lái)越被人們高度重視。理論教學(xué)要以有效的實(shí)踐環(huán)節(jié)作支撐，大膽嘗試和摸索信息安全專業(yè)實(shí)驗(yàn)教學(xué)的設(shè)計(jì)和方法，確保實(shí)驗(yàn)內(nèi)容具有科學(xué)性、先進(jìn)性和應(yīng)用性，還要適當(dāng)兼顧基礎(chǔ)教學(xué)設(shè)備、專業(yè)實(shí)驗(yàn)設(shè)備的共享。
　　隨著經(jīng)濟(jì)全球化信息技術(shù)的日益發(fā)展，信息安全人才的需求量也與日俱增，安全專業(yè)在高校作為一個(gè)新專業(yè)，搞好學(xué)科建設(shè)、搞好實(shí)驗(yàn)室建設(shè)和實(shí)驗(yàn)教學(xué)還有待我們教師共同去努