宋曉飛

【摘要】VPN（Virtual Private Network）是一種在公共網(wǎng)絡(luò)上構(gòu)建隧道，并在隧道上進行加密，認證等方法，從而實現(xiàn)虛擬專用網(wǎng)絡(luò)的技術(shù)。在VPN搭建的虛擬專用網(wǎng)絡(luò)通道中，數(shù)據(jù)可以進行加密傳輸，從而保證了數(shù)據(jù)的保密性，而且不用搭建專用的物理網(wǎng)絡(luò)，節(jié)省了成本。在校園網(wǎng)中，需要建立一個安全的，便捷的，性能強大的安全體系。而VPN剛好適合校園網(wǎng)需求。本文結(jié)合校園網(wǎng)實際，就VPN發(fā)展現(xiàn)狀出發(fā)，介紹VPN技術(shù)在我國以及世界上的發(fā)展及前景，并就校園網(wǎng)絡(luò)安全建設(shè)為中心，介紹三種常見安全體系：防火墻體系，入侵檢測體系，網(wǎng)絡(luò)隔離體系，并具體分析這三種網(wǎng)絡(luò)體系的原理以及不足。從而指出基于VPN技術(shù)的網(wǎng)絡(luò)體系是適合校園網(wǎng)的安全體系。最后就校園網(wǎng)的需求分析提出一個基于VPN技術(shù)的校園網(wǎng)安全體系建設(shè)方案。

【關(guān)鍵詞】VPN;校園網(wǎng)絡(luò);網(wǎng)絡(luò)安全;建設(shè)研究

1.VPN技術(shù)簡介

所謂VPN就是虛擬專用網(wǎng)絡(luò)，英文全稱Virtual Private Network，簡稱VPN。其功能是：在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠程訪問。VPN的多種分類方式中主要借助協(xié)議進行分類，VPN可通過服務(wù)器、硬件、軟件等多種方式實現(xiàn)，另外VPN具有成本低，易于使用的特點。VPN技術(shù)誕生于上個世紀(jì)90年代，1997年9月發(fā)布的RFC2194是第一個直接提及VPN的RFC。到現(xiàn)在僅僅17年的歷史，但其發(fā)展速度卻遠超我們的想象，各大網(wǎng)絡(luò)產(chǎn)品生產(chǎn)商如CISCO、H3C、Networks都把VPN作為主要的市場目標(biāo)。而當(dāng)前國內(nèi)VPN尚不成熟，自從2000開始正式起步，與信息產(chǎn)業(yè)的其他分支類似，經(jīng)歷了有金融、政府和通信行業(yè)的帶動起步的過程，取得了長足發(fā)展。隨著我國固網(wǎng)運營商的戰(zhàn)略演變，寬帶已經(jīng)成為固網(wǎng)運營商主體業(yè)務(wù)之一，目前固網(wǎng)運營商的數(shù)據(jù)網(wǎng)絡(luò)已初具規(guī)模，如中國電信的CN2，聯(lián)通的China169、163數(shù)據(jù)網(wǎng)，在市場需求的刺激下國內(nèi)各大運營商也在VPN業(yè)務(wù)上發(fā)力，把VPN業(yè)務(wù)視為一項重要的市場份額。

2.VPN網(wǎng)絡(luò)安全體系分析

2.1 防火墻體系

在網(wǎng)絡(luò)中防火墻是設(shè)置在內(nèi)網(wǎng)和外網(wǎng)之間的一系列部件的組合。以防止發(fā)生不可預(yù)測的、潛在破壞性的入侵，所有防火墻產(chǎn)品在匹配規(guī)則的基礎(chǔ)上都會采用兩條規(guī)則中的一條。一切未被允許的就是禁止的，又稱默認拒絕;或者一切為被禁止的就是允許的，又稱默認允許。當(dāng)然這種體系存在以下不足：不能對惡意的知情者進行防范、不能對不經(jīng)過它的連接進行防范以及不能對全部的威脅進行防范和不能防范病毒。

2.2 入侵檢測體系

入侵檢測技術(shù)是一種可以及時發(fā)現(xiàn)系統(tǒng)中異?，F(xiàn)象或未經(jīng)授權(quán)現(xiàn)象并及時作出報告的技術(shù)。它是保證計算機進行安全配置與設(shè)計的一項技術(shù)，同時也對計算機中的違規(guī)操作進行檢測并予以報告。存在的不足：采用的特征檢測對特征數(shù)據(jù)進行數(shù)據(jù)分析，從而進行檢測、發(fā)現(xiàn)入侵，報告入侵并記錄原始數(shù)據(jù)信息，必要時還可以通過與防火墻進行聯(lián)動，實現(xiàn)對惡意數(shù)據(jù)的切斷，不過，與防火墻系統(tǒng)一樣，對于新出現(xiàn)的未知特征數(shù)據(jù)的入侵，特征檢測方法無能為力。

2.3 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離就是把網(wǎng)絡(luò)分成多個互不交叉的安全域，并在域與域之間進行訪問的技術(shù)，其模型有內(nèi)部隔離模型和物理隔離模型。存在的不足：如內(nèi)網(wǎng)用戶無法使用許多的國際互聯(lián)網(wǎng)資源，而對于用戶來說這些又是工作中非常必須的，另外要做到真正意義上的物理隔離會導(dǎo)致投資成本的大大增加，占據(jù)更大的辦公空間，而且花費更多的維護費用。

綜上所述，以上三種體系都無法滿足校園網(wǎng)安全的需要，所以在校園網(wǎng)中實施基于VPN技術(shù)的網(wǎng)絡(luò)安全建設(shè)迫在眉睫。

3.VPN在校園網(wǎng)中應(yīng)用的現(xiàn)狀

目前校園網(wǎng)對VPN的關(guān)注熱度已上升到一個相當(dāng)?shù)母叨?，許多高校非常熱衷與VPN技術(shù)并且已經(jīng)準(zhǔn)備或已開始實施。各高校對VPN的需求主要有以下幾個方面：首先是滿足校外師生對校內(nèi)網(wǎng)站的安全訪問需求，VPN方案能夠在公眾的IP網(wǎng)絡(luò)上建立私密的數(shù)據(jù)傳輸通道從而進行分校的合作伙伴、分支辦公室、移動辦公人員等進行遠程聯(lián)接網(wǎng)絡(luò)，從而降低校園網(wǎng)的訪問負擔(dān)并節(jié)約成本[1]。其次是滿足分校之間相互訪問的需求，以方便進行管理控制，對資源進行統(tǒng)一的獲取、分配。最后是解決學(xué)校的圖書館資源的合理訪問問題，而在高校圖書館中版權(quán)問題一直都是一個重大的問題，因此需要一套可管理、可認證、安全的遠程訪問電子圖書館的電子系統(tǒng)。

4.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全建設(shè)分析

VPN建設(shè)方式分析：A方案是Internet服務(wù)商（ISP）建設(shè)，對企業(yè)要保持透明;B方案是企業(yè)關(guān)于自身方面的建設(shè)，ISP一定要透明。C方案就是企業(yè)、服務(wù)商應(yīng)該共同進行建設(shè)。很顯然，B方案更加適合當(dāng)下的校園網(wǎng)的安全建設(shè)，即關(guān)于學(xué)校自身的建設(shè)，對服務(wù)商透明。校園網(wǎng)是地理位置在校內(nèi)的計算機網(wǎng)絡(luò)，校園網(wǎng)與國際互聯(lián)網(wǎng)相聯(lián)，它有用行于國際互聯(lián)網(wǎng)這樣一個公用網(wǎng)絡(luò)的IP地址，并擁有它自己的路由設(shè)備，而且它有自我網(wǎng)絡(luò)管理系統(tǒng)和自我維護機構(gòu)[2]。對校園網(wǎng)絡(luò)有相當(dāng)強的技術(shù)支持以及管理能力。因此在校園網(wǎng)絡(luò)上運用VPN可以完全不依賴服務(wù)商，這樣學(xué)校就更有自主權(quán)，另外還可以節(jié)省經(jīng)費。

通過對校園網(wǎng)絡(luò)現(xiàn)狀的分析，在校園網(wǎng)絡(luò)上建設(shè)VPN必須與其校園網(wǎng)現(xiàn)有需求相結(jié)合，遠程訪問網(wǎng)絡(luò)。但隨著辦學(xué)條件的不斷擴大和發(fā)展，學(xué)校內(nèi)部的校園網(wǎng)使用VPN后你，兩個小區(qū)的校園網(wǎng)可以看成是學(xué)校網(wǎng)絡(luò)在兩個地區(qū)的不同組成部分。對現(xiàn)有的校園網(wǎng)絡(luò)來說基本上沒有Extranet網(wǎng)絡(luò)結(jié)構(gòu)。所以在現(xiàn)有的校園網(wǎng)絡(luò)基礎(chǔ)之上，可以采用遠程用戶訪問VPN服務(wù)器和兩校區(qū)之間的VPN服務(wù)器設(shè)想（Extranet網(wǎng)絡(luò)結(jié)構(gòu)）。

5.基于VPN技術(shù)校園網(wǎng)絡(luò)安全建設(shè)具體方案

5.1 建立一個遠程用戶訪問校園網(wǎng)的VPN服務(wù)器或者是建立一個管理服務(wù)器網(wǎng)段的VPN服務(wù)器。

5.2 兩校區(qū)之間的VPN服務(wù)器設(shè)想：運用Internet公共網(wǎng)絡(luò)從而將兩個校區(qū)的校園網(wǎng)絡(luò)相連，所以學(xué)校的就可以信息交流和數(shù)據(jù)傳輸、資源共享。首先克服了運用路由器對其訪問的局限性，同時數(shù)據(jù)傳輸?shù)陌踩杂辛吮Ｕ希硗庵档米⒁獾囊稽c是不租用專線從而節(jié)省了大筆開支。通過在兩個學(xué)校的校區(qū)之間建設(shè)VPN服務(wù)器在策略上是允許這兩地的所有用戶對其進行訪問。

5.3 VPN安全部署：在條件允許的情況下，我們可以直接部署專用設(shè)備，根據(jù)實際情況在現(xiàn)有網(wǎng)絡(luò)的出口處部署VPN。對于其他實現(xiàn)互聯(lián)的子網(wǎng)也部署相應(yīng)的VPN設(shè)備。對于普通用戶在PC機上直接安裝客戶端軟件就可以非常便利的經(jīng)過VPN架設(shè)隧道，進而對內(nèi)部網(wǎng)絡(luò)資源直接進行訪問。

6.結(jié)束語

當(dāng)前確保網(wǎng)絡(luò)安全性的確是一個網(wǎng)絡(luò)設(shè)計者和管理者特別關(guān)心和重視的一個問題，VPN校園網(wǎng)的系統(tǒng)安全是一個較為復(fù)雜的工程，從嚴(yán)格意義上講，沒有完全安全的網(wǎng)絡(luò)系統(tǒng)，在網(wǎng)絡(luò)安全日益影響我們校園網(wǎng)絡(luò)運行的情況上我們不能保障校園網(wǎng)的絕對安全，要盡可能去制止或減少非法訪問和操作的行為，把不安全因素降到最低[3]。網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展的同時，全面安全技術(shù)的應(yīng)用是網(wǎng)絡(luò)安全發(fā)展的一項重要內(nèi)容，同時還要加強網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全管理，只有這樣才能真正確保網(wǎng)絡(luò)的安全性。

參考文獻

[1]徐喆.高校網(wǎng)絡(luò)安全存在的問題與對策研究[D].燕山大學(xué)，2012.

[2]熊浩.VPN技術(shù)在校園網(wǎng)中的應(yīng)用與實現(xiàn)[D].南昌大學(xué)，2009.

[3]徐迎新.VPN技術(shù)在校園網(wǎng)安全體系架構(gòu)中的應(yīng)用研究[D].南昌大學(xué)，2009.