黃磊

（毫州學(xué)院，安徽　毫州　236800）

基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建

黃磊

（毫州學(xué)院，安徽毫州236800）

VPN技術(shù)指的是利用網(wǎng)絡(luò)運營商提供的互聯(lián)網(wǎng)建立一個虛擬私有通道的網(wǎng)絡(luò)安全防護(hù)技術(shù)，為用戶在開放的公共網(wǎng)絡(luò)環(huán)境下臨時搭建一個專用數(shù)據(jù)傳輸隧道，同時對在虛擬專用隧道中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以達(dá)到專網(wǎng)專用的目標(biāo).隨著現(xiàn)代高校信息化建設(shè)的持續(xù)推進(jìn)，校園網(wǎng)絡(luò)需要一個安全穩(wěn)定、簡潔實用的安全體系，以確保校園網(wǎng)絡(luò)的正常運行.本文基于VPN技術(shù)，提出了校園網(wǎng)絡(luò)安全體系構(gòu)建方案，具有一定的實踐應(yīng)用價值.

VPN技術(shù)；網(wǎng)絡(luò)安全體系；網(wǎng)絡(luò)安全

1　引言

目前，大多數(shù)高校都建立了校園網(wǎng)絡(luò)，校園網(wǎng)絡(luò)承擔(dān)著科學(xué)研究平臺和教育教學(xué)資源利用的重要作用.近幾年來，校園網(wǎng)絡(luò)發(fā)展建設(shè)速度非常快，其教育教學(xué)資源優(yōu)勢使得校園網(wǎng)絡(luò)成為了教師和學(xué)生信息交流和溝通的重要工具.隨著高校擴(kuò)招規(guī)模的進(jìn)一步擴(kuò)大，越來越多的高校開始建立各類分校區(qū)，如何確保高校各個校區(qū)之間數(shù)據(jù)信息傳輸?shù)陌踩院头€(wěn)定性，保證處于偏遠(yuǎn)地區(qū)的分校區(qū)教師和學(xué)生隨時可以訪問校園網(wǎng)絡(luò)資源，成為了高校信息化建設(shè)中亟待解決的問題.如果仍然采用傳統(tǒng)的校園網(wǎng)絡(luò)安全防護(hù)模式是無法實現(xiàn)的，尤其對于校園網(wǎng)絡(luò)提供的涉及個人隱私信息的服務(wù)，包括學(xué)生一卡通業(yè)務(wù)、圖書館資源下載等，更需要保證數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?因此，本文提出利用VPN技術(shù)構(gòu)建一個成本低廉、簡單易用的校園網(wǎng)絡(luò)安全體系，以滿足校園網(wǎng)絡(luò)的安全需求.

2　VPN的概念和關(guān)鍵技術(shù)

VPN技術(shù)，即虛擬專用網(wǎng)絡(luò)技術(shù)，指的是利用網(wǎng)絡(luò)運營商提供的公共網(wǎng)絡(luò)臨時搭建一個安全、穩(wěn)定、可靠的虛擬專用數(shù)據(jù)傳輸隧道.

2.1隧道技術(shù)

隧道技術(shù)是實現(xiàn)數(shù)據(jù)在VNP中傳輸?shù)年P(guān)鍵技術(shù)，是利用某一中協(xié)議實現(xiàn)的另一種協(xié)議數(shù)據(jù)傳輸技術(shù)，其本質(zhì)是通過隧道協(xié)議實現(xiàn)的，主要包括隧道協(xié)議、傳輸協(xié)議和乘客協(xié)議.隧道協(xié)議的功能是建立、保持和拆除數(shù)據(jù)傳輸隧道；傳輸協(xié)議是根據(jù)隧道協(xié)議的定義實現(xiàn)數(shù)據(jù)傳輸功能；乘客協(xié)議主要是實現(xiàn)數(shù)據(jù)封裝.利用隧道協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)包和數(shù)據(jù)幀本身有著不同協(xié)議，由隧道協(xié)議將數(shù)據(jù)包和數(shù)據(jù)幀封裝之后再實現(xiàn)傳輸，使封裝之后的數(shù)據(jù)包和數(shù)據(jù)幀準(zhǔn)確到達(dá)目的地址，再通過解封之后獲得原始數(shù)據(jù)包和數(shù)據(jù)幀.

2.2用戶認(rèn)證技術(shù)

在建立虛擬專用隧道傳輸數(shù)據(jù)之前，一般要利用用戶認(rèn)證技術(shù)來驗證用戶真實身份，以確保對網(wǎng)絡(luò)資源的訪問控制.用戶認(rèn)證協(xié)議的摘要技術(shù)利用哈希函數(shù)對數(shù)據(jù)報文的實際長度進(jìn)行一系列變換，獲得長度相同、固定不變的報文摘要.但是，由于哈希函數(shù)本身特性難以控制，導(dǎo)致在不同的數(shù)據(jù)報文中尋找長度固定相等的報文摘要非常困難.

2.3數(shù)據(jù)加密技術(shù)

數(shù)據(jù)包在虛擬專用網(wǎng)絡(luò)中的傳輸主要采用數(shù)據(jù)加密技術(shù)對數(shù)據(jù)信息進(jìn)行加密和隱藏.如果數(shù)據(jù)包在不安全的網(wǎng)絡(luò)環(huán)境下傳輸，及時已經(jīng)通過了用戶身份認(rèn)證，也不能確保VPN的安全可靠.因此，在數(shù)據(jù)發(fā)送的隧道一端，應(yīng)該對用戶身份認(rèn)證進(jìn)行加密，再完成加密數(shù)據(jù)的傳輸.同樣，在數(shù)據(jù)接收隧道一端，已經(jīng)完成身份認(rèn)證的用戶可以將加密數(shù)據(jù)進(jìn)行解密，最終獲得原始數(shù)據(jù).數(shù)據(jù)加密技術(shù)包括對稱加密和非對稱加密兩種，一般情況下采用的是對稱加密方式，對于某些機(jī)密數(shù)據(jù)采用公鑰密碼體制.

2.4訪問控制技術(shù)

訪問控制技術(shù)的功能是決定用戶是否可以訪問系統(tǒng)資源和使用系統(tǒng)資源，確保授權(quán)用戶可以訪問特定的系統(tǒng)資源，并拒絕未授權(quán)用戶訪問系統(tǒng)，以實現(xiàn)系統(tǒng)資源的訪問控制作用.

3　校園網(wǎng)絡(luò)面臨的安全問題

隨著現(xiàn)代信息技術(shù)的更新發(fā)展，高等教育機(jī)構(gòu)是較早使用互聯(lián)網(wǎng)的群體.我國大部分高校都建立了屬于自己的校園網(wǎng)絡(luò)，有著用戶群體密集、訪問次數(shù)頻繁、教育教學(xué)資源多的特征，同時使校園網(wǎng)絡(luò)面臨著一系列安全問題，導(dǎo)致校園網(wǎng)絡(luò)的安全管理越來越復(fù)雜和困難.

3.1校園網(wǎng)絡(luò)建設(shè)規(guī)模較大

高校在校園網(wǎng)絡(luò)建設(shè)初期采用的是寬帶網(wǎng)絡(luò)的以太網(wǎng)技術(shù)，以太網(wǎng)絡(luò)技術(shù)只能保證校園網(wǎng)絡(luò)帶寬速率不低于10Mbps.隨著現(xiàn)代信息技術(shù)的進(jìn)步，大多數(shù)高校已經(jīng)淘汰了傳統(tǒng)的以太網(wǎng)技術(shù)，采用千兆以上光纖鏈路作為校園網(wǎng)絡(luò)的主干網(wǎng).由于國家大力推進(jìn)高校擴(kuò)招政策，校園網(wǎng)絡(luò)的用戶群體從原來的幾千人迅速增加到了數(shù)萬人，用戶群體非常密集.然而，正是由于校園網(wǎng)絡(luò)帶寬速度的提升，以及用戶數(shù)量的持續(xù)激增，導(dǎo)致了校園網(wǎng)絡(luò)安全問題越來越多.

3.2計算機(jī)系統(tǒng)管理不統(tǒng)一

目前，校園網(wǎng)絡(luò)計算機(jī)系統(tǒng)管理非常復(fù)雜，這是由于接入校園網(wǎng)絡(luò)的計算機(jī)購置和管理情況不統(tǒng)一，計算機(jī)機(jī)房的終端一般由專門人員進(jìn)行管理和維護(hù)，但學(xué)生在宿舍使用的計算機(jī)大多是自己購買的，教師使用的筆記本電腦通常也是個人購置.因此，對校園網(wǎng)絡(luò)中的計算機(jī)系統(tǒng)進(jìn)行統(tǒng)一管理、制定安全防護(hù)措施非常困難.甚至有些行政部門的計算機(jī)系統(tǒng)在購置和搭建完成之后沒有專門人員負(fù)責(zé)管理和維護(hù)，很容易導(dǎo)致非法入侵者利用這些計算機(jī)終端連接校園網(wǎng)絡(luò).

3.3龐大活躍的學(xué)生用戶群體

高校學(xué)生是校園網(wǎng)絡(luò)中最龐大、最活躍的用戶群體.學(xué)生對互聯(lián)網(wǎng)環(huán)境有著極強(qiáng)的好奇心，也勇于嘗試應(yīng)用各種新技術(shù).如果高校學(xué)生的網(wǎng)絡(luò)安全意識不強(qiáng)，很可能利用自己在網(wǎng)絡(luò)中學(xué)到的各種攻擊技術(shù)入侵校園網(wǎng)絡(luò)，甚至對校園網(wǎng)絡(luò)造成嚴(yán)重的破壞.

3.4校園網(wǎng)絡(luò)的開放性環(huán)境

高校的教育培養(yǎng)特征和科學(xué)研究特性決定了校園網(wǎng)絡(luò)必須具有良好的開放性.一般情況下，企業(yè)網(wǎng)絡(luò)可以對電子郵件和網(wǎng)頁瀏覽進(jìn)行嚴(yán)格限制，拒絕外部發(fā)起的與企業(yè)網(wǎng)絡(luò)建立連接的各種請求.但是，校園網(wǎng)絡(luò)通常不能夠采取過于嚴(yán)苛的限制，否則會導(dǎo)致學(xué)生無法利用教育教學(xué)資源，也無法了解一些新應(yīng)用、新技術(shù)信息.

3.5各類成本投入受到限制

大多數(shù)高校在建設(shè)校園網(wǎng)絡(luò)的過程中對網(wǎng)絡(luò)安全問題不夠重視，尤其是在聘用校園網(wǎng)絡(luò)安全管理人員方面的資金投入不足.大多數(shù)高校的校園網(wǎng)絡(luò)中心工作人員數(shù)量極少，甚至只有幾名員工簡單地負(fù)責(zé)一些日常運維工作，根本沒有過多的時間和精力保證校園網(wǎng)絡(luò)不受到攻擊.

3.6網(wǎng)絡(luò)資源下載過于頻繁

校園網(wǎng)絡(luò)中的資源包括各類系統(tǒng)軟件、影音視頻等，這些應(yīng)用軟件下載次數(shù)較多，占用了大量的網(wǎng)絡(luò)帶寬，更帶來了嚴(yán)重的網(wǎng)絡(luò)安全問題.同時，這些應(yīng)用軟件中很可能存在木馬病毒，一旦安裝了這些軟件很可能會被非法入侵者利用.

4　基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建

4.1VPN校園網(wǎng)絡(luò)安全體系需求分析

基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建需求可以分成三個類別，一是遠(yuǎn)程網(wǎng)絡(luò)對校內(nèi)網(wǎng)絡(luò)站點發(fā)起訪問的需求，很多分校區(qū)的教師和學(xué)生需要遠(yuǎn)程訪問數(shù)據(jù)庫服務(wù)器，包括學(xué)生個人成績查詢、教師薪資查詢、查看校內(nèi)通知等，這些功能需求都需要用戶遠(yuǎn)程訪問實現(xiàn)；二是解決主校區(qū)與分校區(qū)之間網(wǎng)絡(luò)互連訪問的需求，如何使主校區(qū)與分校區(qū)之間的業(yè)務(wù)服務(wù)進(jìn)行整合，包括校園一卡通、電子政務(wù)專網(wǎng)等，構(gòu)成一條安全的、專門的網(wǎng)絡(luò)通道，確保這些機(jī)密數(shù)據(jù)能夠在主校區(qū)與分校區(qū)之間安全傳輸；三是遠(yuǎn)程用戶訪問高校圖書館資源的需求，如何安全認(rèn)證遠(yuǎn)程用戶，合理分配圖書館資源，形成一套集用戶管理、遠(yuǎn)程授權(quán)、安全防護(hù)功能為一體的系統(tǒng).

4.2VPN校園網(wǎng)絡(luò)安全體系方案設(shè)計

綜合以上需求分析，結(jié)合校園網(wǎng)絡(luò)實際需求，本文提出的基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建方案如下:

（1）在主校區(qū)與分校區(qū)之間構(gòu)建校園內(nèi)部虛擬專用網(wǎng)，即IntranetVPN.以光纖鏈路連接主校區(qū)和分校區(qū)，將網(wǎng)絡(luò)出口布置在分校區(qū).校園網(wǎng)絡(luò)中的學(xué)生一卡通、人事檔案、學(xué)生成績等應(yīng)用系統(tǒng)必須經(jīng)過這條光纖鏈路與分校區(qū)連接.同時，采用IPSecVPN技術(shù)對在該光纖鏈路中傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密，以確保校園網(wǎng)絡(luò)數(shù)據(jù)通信的安全性.對于普通用戶發(fā)起的訪問請求來說，在設(shè)置安全策略時可以允許普通用戶訪問主校區(qū)和分校區(qū)網(wǎng)絡(luò)，使其感覺在同一個網(wǎng)絡(luò)中.由于設(shè)置過高的安全級別會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)資源的浪費，產(chǎn)生用戶訪問速度過慢的情況，因此也不必設(shè)置過高的安全級別.對于一些敏感業(yè)務(wù)用戶來說，包括財務(wù)管理、人事檔案管理、學(xué)生成績管理部門的用戶，可以采用二層協(xié)議網(wǎng)絡(luò)隔離的方式使用戶先與校園網(wǎng)絡(luò)進(jìn)行連接，再將數(shù)據(jù)信息傳輸?shù)叫@網(wǎng)絡(luò)中的核心交換機(jī)中，實現(xiàn)主校區(qū)與分校區(qū)之間數(shù)據(jù)加密傳輸.

對于主校區(qū)與分校區(qū)來說，需要在兩個校區(qū)之間配置網(wǎng)絡(luò)路由器設(shè)備，訪問對方校區(qū)的網(wǎng)絡(luò)資源的請求和數(shù)據(jù)必須經(jīng)過該路由設(shè)備，由于校園網(wǎng)絡(luò)資源量較大，要特別注意路由設(shè)備的穩(wěn)定性和可靠性，盡量降低設(shè)備投入成本.因此，本文提出在主校區(qū)和分校區(qū)采用具有VPN功能的網(wǎng)絡(luò)路由設(shè)備，通過對VPN路由設(shè)備進(jìn)行安全策略設(shè)置，實現(xiàn)在主校區(qū)和分校區(qū)之間構(gòu)建一條VPN通道，是需要傳輸?shù)臄?shù)據(jù)按照網(wǎng)絡(luò)路由策略設(shè)置到達(dá)指定地址.校園內(nèi)部虛擬專用網(wǎng)構(gòu)建方案如圖1所示.

圖1　校園內(nèi)部虛擬專用網(wǎng)構(gòu)建方案

（2）在校園內(nèi)部網(wǎng)絡(luò)中配置VPN服務(wù)器，如果遠(yuǎn)程用戶和移動用戶需要訪問校園網(wǎng)絡(luò)，可以利用VPN軟件系統(tǒng)的數(shù)據(jù)封裝和加密功能，通過網(wǎng)絡(luò)運營商提供的開放式互聯(lián)網(wǎng)服連接到校園內(nèi)部網(wǎng)絡(luò)中，這就是校園遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)，即AccessVPN.當(dāng)遠(yuǎn)程用戶和移動用戶發(fā)送請求連接到校園網(wǎng)絡(luò)時，由配置的VPN服務(wù)器負(fù)責(zé)實現(xiàn)該功能.本文選擇Linux操作系統(tǒng)作為校園網(wǎng)絡(luò)配置VPN服務(wù)器的平臺，原因是Linux操作系統(tǒng)具有穩(wěn)定性強(qiáng)、擴(kuò)展性好、應(yīng)用靈活等優(yōu)勢，操作性能也強(qiáng)于Windows平臺.在校園內(nèi)部網(wǎng)絡(luò)配置IBMX366型號服務(wù)器，同時由于OpenVPN軟件是基于SSL協(xié)議開發(fā)的，因此選擇在VPN服務(wù)器中安裝OpenVPN軟件系統(tǒng)，以便構(gòu)建基于SSL的VPN系統(tǒng).

由于校園網(wǎng)絡(luò)中已經(jīng)配置了網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備和防火墻設(shè)備，而SSLVPN是采用了SSL協(xié)議實現(xiàn)的一種遠(yuǎn)程訪問VPN技術(shù)，其工作在傳輸層之上，可以遍歷校園網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備和防護(hù)墻設(shè)備，使遠(yuǎn)程用戶和移動用戶可以隨時隨地連接到校園網(wǎng)絡(luò)中.但是，遠(yuǎn)程用戶和移動用戶在請求訪問時需要一個校園網(wǎng)絡(luò)IP地址，因此，必須架構(gòu)一臺DHCP服務(wù)器，負(fù)責(zé)為遠(yuǎn)程用戶和移動用戶提供IP地址.遠(yuǎn)程用戶想要與校園網(wǎng)絡(luò)中的服務(wù)器連接，必須獲得校園網(wǎng)絡(luò)中配置的VPN服務(wù)器域名，這就需要在DNS服務(wù)器中設(shè)置VPN服務(wù)器域名，同時確保遠(yuǎn)程用戶和移動用戶在請求連接時可以解析VPN服務(wù)器域名，此時，當(dāng)遠(yuǎn)程用戶對校園內(nèi)部網(wǎng)絡(luò)資源發(fā)起訪問時，可以利用校園網(wǎng)絡(luò)提供的URL地址向SSLVPN服務(wù)器發(fā)起連接，當(dāng)獲得用戶身份認(rèn)證之后根據(jù)其權(quán)限分配到不同服務(wù)器中，這種遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)的連接方式可以有效防止受到外部入侵者的攻擊.校園遠(yuǎn)程訪問虛擬專用網(wǎng)構(gòu)建方案如圖2所示:

圖2　校園遠(yuǎn)程訪問虛擬專用網(wǎng)構(gòu)建方案

4　結(jié)論

綜上所述，本文從校園網(wǎng)絡(luò)信息化建設(shè)實際需求角度出發(fā)，基于VPN技術(shù)提出了校園網(wǎng)絡(luò)安全體系構(gòu)建方案，使遠(yuǎn)程用戶和移動用戶可以隨時通過VPN通道訪問校園網(wǎng)絡(luò)資源，同時實現(xiàn)了主校區(qū)與分校區(qū)之間的用戶身份認(rèn)證和數(shù)據(jù)加密傳輸，盡量減少外部非法入侵者對校園網(wǎng)絡(luò)的攻擊，具有良好的實踐應(yīng)用價值.

〔1〕劉思勤.校園網(wǎng)絡(luò)安全體系中VPN技術(shù)的應(yīng)用研究［J］.計算機(jī)光盤軟件與應(yīng)用，2014（20）：178-179.

〔2〕鄒青春.基于VPN技術(shù)的多校區(qū)校園網(wǎng)絡(luò)安全研究論述 ［J］.哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報，2015 （04）：171-172.

〔3〕李磊.基于VPN的多校區(qū)校園網(wǎng)絡(luò)安全思考［J］.知識經(jīng)濟(jì)，2015（22）：146.

〔4〕趙釗.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建［J］.自動化與儀器儀表，2014（01）：158-160.

〔5〕宋曉飛.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全建設(shè)研究［J］.電子世界，2014（06）：138.

〔6〕林虹虹.基于VPN技術(shù)的跨區(qū)域校園網(wǎng)絡(luò)方案的設(shè)計［J］.科技資訊，2014（03）：35-36.

〔7〕武杰.校園網(wǎng)絡(luò)安全體系中VPN技術(shù)的應(yīng)用探析［J］.數(shù)字技術(shù)與應(yīng)用，2014（02）：189.

〔8〕費建英.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用［J］.計算機(jī)光盤軟件與應(yīng)用，2013（23）：150-151.

TP393.18

A

1673-260X（2016）07-0019-03

2016-04-09

安徽省級質(zhì)量工程教學(xué)研究項目（2015jyxm442）