王曉妮

摘 要：隨著校園網(wǎng)規(guī)模的擴(kuò)大和校內(nèi)資源的增多，校外移動(dòng)用戶如何遠(yuǎn)程訪問(wèn)校內(nèi)系統(tǒng)成為高校急需解決的難題。本文分析了高校遠(yuǎn)程訪問(wèn)校內(nèi)資源的現(xiàn)狀，介紹了VPN技術(shù)，提出了采用單臂方式SSL VPN網(wǎng)關(guān)接入設(shè)計(jì)方案，解決了校外用戶無(wú)法共享校內(nèi)資源困難。

關(guān)鍵詞：校內(nèi)資源；SSL VPN；遠(yuǎn)程訪問(wèn)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

Using VPN SSL to Achieve Information Resources Sharing in the School

WANG Xiaoni

（Network Management Center of Xianyang Normal University，Xianyang 712000，China）

Abstract：With the expansion of the scale of the campus network and the increase in the number of college resources，how to access the campus mobile users to remote access to the school system has become an urgent problem to be solved by the University.This paper analyzes the current situation of universities remote access campus resources，introduced VPN technology， with single arm SSL VPN gateway design scheme was put forward and solve the external users to share the campus resources is difficult.

Keywords：school resources；SSL VPN；remote access

1 引言（Introduction）

隨著網(wǎng)絡(luò)技術(shù)和高校信息化的快速發(fā)展，使廣大師生的工作科研和學(xué)習(xí)生活都離不開校內(nèi)信息資源。而校內(nèi)應(yīng)用系統(tǒng)因其獨(dú)特的保密、版權(quán)、隱私等特點(diǎn)，為了確保其安全性，只能允許校內(nèi)合法用戶使用。而高校不斷擴(kuò)大辦學(xué)規(guī)模，因?yàn)楹喜U(kuò)建導(dǎo)致多校區(qū)并存和在校外居住師生增加，還有校領(lǐng)導(dǎo)和教職工常在異地開會(huì)學(xué)習(xí)，這些移動(dòng)用戶需要訪問(wèn)校內(nèi)資源，進(jìn)行事務(wù)處理和資料查閱。而用戶合法身份的驗(yàn)證依據(jù)就是校內(nèi)IP地址，這樣校外用戶要想訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)就被拒之門外。所以校園網(wǎng)必須提供一種有效可靠的遠(yuǎn)程訪問(wèn)方式，這是目前數(shù)字化校園建設(shè)中急需解決的難題，然而SSL VPN技術(shù)為此提供了可行方案。通過(guò)SSL VPN技術(shù)實(shí)現(xiàn)了校外網(wǎng)絡(luò)用戶對(duì)校內(nèi)所有的信息資源進(jìn)行遠(yuǎn)程訪問(wèn)，既方便用戶又提高了校內(nèi)資源的利用率。

2 VPN技術(shù)（VPN technology）

2.1 VPN

虛擬專用網(wǎng)絡(luò)（Virtual Private Network），它是一種在公網(wǎng)上建立專用臨時(shí)安全的邏輯網(wǎng)絡(luò)技術(shù)。該VNP網(wǎng)中任意節(jié)點(diǎn)間端到端的物理鏈路連接由網(wǎng)絡(luò)平臺(tái)架構(gòu)來(lái)代替，在邏輯鏈路中傳輸數(shù)據(jù)。由于該平臺(tái)由公網(wǎng)服務(wù)商來(lái)提供，故建設(shè)成本很低。SSL VPN和IPSec VPN是當(dāng)前業(yè)界比較流行的兩大VPN技術(shù)。

2.2 SSL VPN

遠(yuǎn)程安全訪問(wèn)通道。SSL VPN能滿足用戶的遠(yuǎn)程訪問(wèn)需求，應(yīng)用很廣泛。SSL協(xié)議主要包括握手、警告和記錄這三種。

2.3 SSL VPN的特點(diǎn)

（1）零客戶端、對(duì)操作系統(tǒng)和用戶經(jīng)驗(yàn)無(wú)要求、操作簡(jiǎn)便和兼容性好。（2）采用單獨(dú)的SSL VPN網(wǎng)關(guān)，安全性很高。（3）便于實(shí)施、搭建管理維護(hù)低成本、性價(jià)比高[1]。（4）可擴(kuò)展性強(qiáng)、身份認(rèn)證方式多樣化。（5）適應(yīng)性強(qiáng)。

3 需求分析（Demand analysis）

伴隨高校信息化發(fā)展，對(duì)網(wǎng)絡(luò)資源的隨時(shí)共享需求增加，特別是長(zhǎng)期在校外居住或出差的教職工進(jìn)行日常的教學(xué)或科研工作時(shí)，經(jīng)常需要有效快速地訪問(wèn)校內(nèi)的WEB、FTP、MAIL等各種應(yīng)用服務(wù)器，共享網(wǎng)絡(luò)資源。因?yàn)樾?nèi)網(wǎng)絡(luò)數(shù)據(jù)涉及學(xué)院的機(jī)密文件、重要通知、師生信息，如果校外用戶經(jīng)過(guò)公網(wǎng)直接訪問(wèn)教務(wù)系統(tǒng)、OA等應(yīng)用服務(wù)器，那么非法用戶便會(huì)竊取或篡改數(shù)據(jù)，那將損失嚴(yán)重，后果不堪設(shè)想。為了確保學(xué)院系統(tǒng)的穩(wěn)定和安全，所有應(yīng)用系統(tǒng)只對(duì)校內(nèi)合法用戶開放，而校園網(wǎng)中利用IP地址來(lái)識(shí)別用戶的身份的合法性，這樣所有的校外教職工和學(xué)生都無(wú)法訪問(wèn)系統(tǒng)。

3.1 存在的問(wèn)題

因?yàn)樾Ｍ庥脩粼L問(wèn)校內(nèi)網(wǎng)絡(luò)資源訪問(wèn)量大、安全性要求高、用戶環(huán)境復(fù)雜等特點(diǎn)，導(dǎo)致這些問(wèn)題：（1）校外上網(wǎng)用戶都想通過(guò)校園網(wǎng)，利用校內(nèi)各種網(wǎng)絡(luò)資源。（2）移動(dòng)用戶遠(yuǎn)程連接校園網(wǎng)，如何保證其接入的安全易用和維護(hù)工作量?。浚?）不同校區(qū)訪問(wèn)互通，如何實(shí)現(xiàn)校區(qū)間的資源共享和數(shù)據(jù)傳輸？

3.2 技術(shù)難題

校外用戶通過(guò)校園網(wǎng)實(shí)現(xiàn)資源共享是面臨這兩大問(wèn)題：（1）開放網(wǎng)絡(luò)資源。能否保證校外用戶遠(yuǎn)程訪問(wèn)時(shí)，與校內(nèi)用戶效果相同。（2）訪問(wèn)權(quán)限的控制。不但要讓校外用戶快捷方便實(shí)現(xiàn)校內(nèi)網(wǎng)資源的充分利用，而且要保證數(shù)據(jù)資源的安全和系統(tǒng)的穩(wěn)定。這成為目前我校信息化建設(shè)中的一個(gè)急需解決的問(wèn)題?？紤]到我院的校園網(wǎng)建設(shè)現(xiàn)狀和資金情況，采用SSL VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)應(yīng)用服務(wù)器是最佳選擇。

4 解決方案與部署（Solution and deployment）

采用SSL VPN技術(shù)進(jìn)行方案設(shè)計(jì)時(shí)必須遵循的原則：（1）安全保障。要求進(jìn)行所有用戶的身份認(rèn)證和權(quán)限劃分，確保系統(tǒng)信息的完整性和數(shù)據(jù)的保密性。（2）高效的管理平臺(tái)。使用戶能夠方便快速得查找資源，避免數(shù)據(jù)傳輸堵塞和系統(tǒng)崩潰。必須有完整的操作日志記錄和安全行為審計(jì)。（3）有效的訪問(wèn)控制。區(qū)分用戶訪問(wèn)權(quán)限，合法用戶只能得到自己權(quán)限允許的資源。（4）多平臺(tái)兼容。因?yàn)橛脩羰褂玫慕K端各不相同，必須要保證服務(wù)器能兼容多平臺(tái)，這才能實(shí)現(xiàn)校外上網(wǎng)用戶隨時(shí)隨地訪問(wèn)校內(nèi)網(wǎng)絡(luò)資源。

4.1 方案設(shè)計(jì)

當(dāng)前較為流行Internet遠(yuǎn)程安全接入技術(shù)為IPSec VPN 與 SSL VPN這兩種，它們的功能特性很類似，但區(qū)別較大，各有利弊。分析對(duì)比詳細(xì)過(guò)程見圖1VPN技術(shù)對(duì)比圖[2]。通過(guò)對(duì)這IPSec VPN 與 SSL VPN兩種不同的VPN架構(gòu)比較分析，結(jié)合我院的具體情況，我們選擇采用我們選擇的是單臂方式SSL VPN網(wǎng)關(guān)接入模式來(lái)實(shí)現(xiàn)校內(nèi)資源共享。首先把一臺(tái)SSL VPN網(wǎng)關(guān)設(shè)備部署在學(xué)院的防火墻內(nèi)，不需修改學(xué)院現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對(duì)校園網(wǎng)的整體性能幾乎無(wú)影響。通過(guò)在防火墻上配置NAT，提供VPN網(wǎng)關(guān)在Internet訪問(wèn)校園網(wǎng)的正確IP地址。因?yàn)镾SL VPN網(wǎng)關(guān)是安全可靠的應(yīng)用層網(wǎng)關(guān)，經(jīng)過(guò)應(yīng)用層的安全策略后，能夠有效保護(hù)校園網(wǎng)內(nèi)部重要的應(yīng)用服務(wù)器，無(wú)需向Internet完全暴露這些Server的第四層端口，只要開放前端的防火墻的SSL（TCP443）端口[3]，這樣的設(shè)計(jì)能夠充分保證校園網(wǎng)應(yīng)用服務(wù)器的安全。

4.2 系統(tǒng)部署

在防火墻內(nèi)的核心交換機(jī)上接入一臺(tái)SSL VPN設(shè)備，并為該設(shè)備分配一個(gè)校園網(wǎng)合法IP地址。只需將內(nèi)網(wǎng)接口、IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS等配置完和保存后并重新啟動(dòng)所有服務(wù)，以使配置生效，接著完成其它相應(yīng)設(shè)置。其系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。此方案要求來(lái)自Internet的全部應(yīng)用數(shù)據(jù)一律必須通過(guò)SSL VPN網(wǎng)關(guān)的保護(hù)后方可訪問(wèn)校園網(wǎng)，及時(shí)隔離和阻止了消息重放竊聽、非法用戶登錄等攻擊，保證了校園網(wǎng)的安全。

4.3 實(shí)現(xiàn)效果

校外用戶進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)只需將系統(tǒng)已建好的虛擬IP地址輸入IE，然后在登錄頁(yè)面輸入個(gè)人信息，經(jīng)過(guò)系統(tǒng)驗(yàn)證識(shí)別其為合法用戶后便能利用SSL VPN隧道快速方便的訪問(wèn)校內(nèi)各應(yīng)用系統(tǒng)，進(jìn)行自己權(quán)限范圍類的操作，例如網(wǎng)絡(luò)管理中的故障排除和修復(fù)、OA系統(tǒng)中收閱文件和查看郵件、教務(wù)系統(tǒng)中批改作業(yè)和課表查詢、FTP服務(wù)器里下載課件和視頻點(diǎn)播等操作，實(shí)現(xiàn)數(shù)據(jù)共享。經(jīng)過(guò)許多校外用戶的不斷測(cè)試，不管何時(shí)何地只要登錄VPN時(shí)，系統(tǒng)都會(huì)迅速排除訪問(wèn)瓶頸，以免用戶訪問(wèn)失敗。而根據(jù)當(dāng)時(shí)的網(wǎng)絡(luò)狀況優(yōu)先選擇一條安全穩(wěn)定快速的訪問(wèn)線路接入校園網(wǎng)，以便用戶輕松進(jìn)行遠(yuǎn)程訪問(wèn)校內(nèi)信息資源，簡(jiǎn)便靈活、快速安全的辦理各種業(yè)務(wù)。

5 結(jié)論（Conclusion）

使用SSL VPN技術(shù)訪問(wèn)校內(nèi)應(yīng)用系統(tǒng)，突破了校內(nèi)資源訪問(wèn)瓶頸，實(shí)現(xiàn)了校外用戶快速靈活的利用校內(nèi)資源，很好地解決了我院信息化建設(shè)中難題，提高了工作效率?？墒羌夹g(shù)的發(fā)展和數(shù)字資源的數(shù)量增加，對(duì)遠(yuǎn)程訪問(wèn)技術(shù)的安全性要求很高。利用SSL VPN在公網(wǎng)中建立專用數(shù)據(jù)隧道，其成本低、易管理、擴(kuò)展性強(qiáng)、安全性高，成為目前解決校外用戶安全訪問(wèn)校內(nèi)系統(tǒng)的首選方案。但SSL VPN技術(shù)也有其不足[4]，它加密僅對(duì)通信雙方的某個(gè)應(yīng)用通道，而非整個(gè)通道。在數(shù)據(jù)資源對(duì)信息安全連接要求較高時(shí)，無(wú)法確保其系統(tǒng)的可靠、安全和穩(wěn)定，那就要將SSL VPN和IPSEC VPN結(jié)合起來(lái)才能滿足要求。隨著理論研究和信息技術(shù)的不斷進(jìn)步，VPN技術(shù)及其功能會(huì)更加完善，應(yīng)用前景更加廣闊。

參考文獻(xiàn)（References）

[1] 強(qiáng)焜.SSL VPN在電子資源共享中的運(yùn)用[J].信息通信，2014（12）：77.

[2] 查黃英.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用[J].電腦編程技巧與維護(hù)，2015（15）：77-78.

[3] 周賢波.基于SSL VPN遠(yuǎn)程資源訪問(wèn)應(yīng)用研究[J].軟件導(dǎo)刊，2012（10）：142-144.

[4] 張澤.SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用[J].普爾學(xué)院學(xué)報(bào)，2015（3）：31-37.