劉伯忠+蔣淑君

摘 要： 本文針對(duì)校園網(wǎng)絡(luò)安全體系構(gòu)建需求，以VPN（Virtual Private Network）技術(shù)為基礎(chǔ)，在公共網(wǎng)絡(luò)上構(gòu)建隧道，并對(duì)其進(jìn)行加密、認(rèn)證，建立安全、保密的數(shù)據(jù)傳輸，代替物理網(wǎng)絡(luò)，為虛擬專(zhuān)用通道的搭建節(jié)約成本，非常實(shí)用用于校園網(wǎng)絡(luò)建設(shè)。本文首先產(chǎn)生了虛擬專(zhuān)用網(wǎng)（VPN）的概念以及其在校園網(wǎng)絡(luò)中的應(yīng)用情況，針對(duì)校園網(wǎng)絡(luò)中存在的安全問(wèn)題進(jìn)行分析，從而分析校園網(wǎng)絡(luò)安全體系的需求，以此進(jìn)行校園網(wǎng)VPN方案設(shè)計(jì)與實(shí)現(xiàn)的探討。

關(guān)鍵詞：校園網(wǎng)絡(luò)安全體 數(shù)據(jù)傳輸 VPN技術(shù) SSL VPN

中圖分類(lèi)號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2017）02-0006-02

引言

當(dāng)前計(jì)算機(jī)技術(shù)和信息通信技術(shù)遍地開(kāi)花，二者融合后的產(chǎn)物之一是網(wǎng)絡(luò)。目前網(wǎng)絡(luò)在人們的日常生活與工作中得到了大規(guī)模的普及。然而設(shè)計(jì)之初基于雙方互信機(jī)制之上的網(wǎng)絡(luò)協(xié)議造成了互聯(lián)網(wǎng)的安全隱患，在各個(gè)領(lǐng)域隨處可看見(jiàn)嗅探、篡改或重放的網(wǎng)絡(luò)攻擊現(xiàn)象，這嚴(yán)重阻礙了個(gè)用戶(hù)的網(wǎng)上業(yè)務(wù)的發(fā)展。這對(duì)于校園網(wǎng)絡(luò)來(lái)講，也存在同一的網(wǎng)絡(luò)安全問(wèn)題?；谛@網(wǎng)絡(luò)建設(shè)要本著安全有效、平臺(tái)兼容和有效管理和控制的原則，本文采取VPN技術(shù)來(lái)設(shè)計(jì)與實(shí)現(xiàn)校園網(wǎng)絡(luò)安全體系的建設(shè)。

一、虛擬專(zhuān)用網(wǎng)（VPN）概念

虛擬專(zhuān)用網(wǎng)（VPN）是以公用因特網(wǎng)為基礎(chǔ)建立的臨時(shí)、安全的連接，是橫穿在混亂的公用網(wǎng)絡(luò)中的安全而穩(wěn)定的傳輸隧道。所謂隧道，指在非面向連接的公用IP網(wǎng)絡(luò)中設(shè)計(jì)一個(gè)有邏輯和點(diǎn)對(duì)點(diǎn)的連接。

二、VPN技術(shù)在校園網(wǎng)中的應(yīng)用狀況

當(dāng)前很多高校校園開(kāi)始實(shí)施了VPN，掀起了校園網(wǎng)對(duì)VPN技術(shù)的關(guān)注熱潮。高校實(shí)施VPN有一個(gè)共同的目的，從當(dāng)前已經(jīng)建立的VPN的高校中可以看到他們對(duì)VPN的需求有：引進(jìn)校外學(xué)生、教職工對(duì)校內(nèi)站點(diǎn)的訪(fǎng)問(wèn)需要，滿(mǎn)足其對(duì)VPN接入服務(wù)，這能將各用戶(hù)對(duì)校園網(wǎng)的訪(fǎng)問(wèn)負(fù)擔(dān)進(jìn)行降低，節(jié)約遠(yuǎn)程訪(fǎng)問(wèn)費(fèi)用；能夠保證授權(quán)者的VPN接入服務(wù)，實(shí)現(xiàn)本區(qū)和分區(qū)之間的VPN通道的信息傳輸與共享，便于整合研究服務(wù)器和實(shí)現(xiàn)較好的管理與控制，協(xié)調(diào)和優(yōu)化資源配置；能夠解決對(duì)圖書(shū)館資源進(jìn)行合理訪(fǎng)問(wèn)的問(wèn)題，保護(hù)數(shù)字版權(quán)。在數(shù)字圖書(shū)館資源管理中，數(shù)字版權(quán)管理問(wèn)題成為了社會(huì)熱點(diǎn)，每一類(lèi)型的圖書(shū)資源都需要對(duì)數(shù)字內(nèi)容的分發(fā)集進(jìn)行加密保護(hù)，以防產(chǎn)生非法使用數(shù)字資源的現(xiàn)象。當(dāng)前高校數(shù)字圖書(shū)館基本是通過(guò)限制IP地址范圍的訪(fǎng)問(wèn)來(lái)杜絕電子資源的非法利用。只有通過(guò)付費(fèi)后才能瀏覽電子數(shù)據(jù)資源，而數(shù)據(jù)庫(kù)在判斷了訪(fǎng)問(wèn)者的地址是否授權(quán)后才開(kāi)放其數(shù)據(jù)資源。

三、校園網(wǎng)絡(luò)中的安全問(wèn)題

高校是使用互聯(lián)網(wǎng)最為活躍的群體之一，當(dāng)前，各大高校紛紛建立了自己的校園網(wǎng)絡(luò)，隨著用戶(hù)群體的增加和訪(fǎng)問(wèn)次數(shù)的頻繁，再加上高校自身具有海量的教育教學(xué)資源，使得校園網(wǎng)絡(luò)存在安全管理問(wèn)題。

1.計(jì)算機(jī)系統(tǒng)管理不統(tǒng)一

高校計(jì)算機(jī)系統(tǒng)的設(shè)備配置不同，一般會(huì)有專(zhuān)門(mén)人員管理和維護(hù)計(jì)算機(jī)房終端，然而學(xué)生和教師宿舍內(nèi)的各計(jì)算機(jī)為自行購(gòu)置，這些計(jì)算機(jī)接入校園網(wǎng)后，難以實(shí)現(xiàn)校園計(jì)算機(jī)系統(tǒng)的統(tǒng)一管理，在制定安全防護(hù)措施方面也極為困難，即使學(xué)校行政部門(mén)的計(jì)算機(jī)系統(tǒng)也缺乏專(zhuān)門(mén)的管理維護(hù)人員。由此造成了很多非法入侵校園網(wǎng)絡(luò)的現(xiàn)象。

2.學(xué)生用戶(hù)群體龐大、活躍

大學(xué)生為年輕群體，他們懷著對(duì)互聯(lián)網(wǎng)的好奇心而嘗試各種新技術(shù)的應(yīng)用，其中不乏缺少網(wǎng)絡(luò)安全意識(shí)的學(xué)生，他們極有可能利用所學(xué)網(wǎng)絡(luò)技術(shù)集進(jìn)行校園網(wǎng)的入侵和攻擊，從而破壞校園網(wǎng)的安全。

3.網(wǎng)絡(luò)的開(kāi)放性

由于高校教育資源是面向公眾的，這就使得校園網(wǎng)絡(luò)必須具備良好的開(kāi)放性，為公眾提供教育教學(xué)活科研等相關(guān)資源。在不得對(duì)電子郵件、網(wǎng)頁(yè)瀏覽進(jìn)行嚴(yán)格限制的情況下，使得校園網(wǎng)要能夠?yàn)楦鞣N外部鏈接進(jìn)行允許，以便公眾能夠獲取到有關(guān)教育資源信息。校園網(wǎng)絡(luò)的開(kāi)放性容易造成很多網(wǎng)絡(luò)安全問(wèn)題。

4.投入成本有限

絕大多數(shù)高校在校園網(wǎng)絡(luò)的建設(shè)工程中都缺乏資金投入，再加上高校領(lǐng)導(dǎo)對(duì)校園網(wǎng)絡(luò)安全的重視程度不夠，使得校園網(wǎng)絡(luò)中心缺少必備的工作人員，導(dǎo)致了校園網(wǎng)絡(luò)工作人員的工作繁瑣，或者直接過(guò)濾掉一部分校園網(wǎng)絡(luò)管理維護(hù)工作，只針對(duì)一些必要的日常管理工作進(jìn)行維護(hù)，導(dǎo)致了校園網(wǎng)絡(luò)容易受到攻擊。

5.網(wǎng)絡(luò)資源下載太過(guò)頻繁

由于校園網(wǎng)絡(luò)中放置了大量的系統(tǒng)軟件、影音視頻、教育教學(xué)等資源，這些資源引來(lái)了大量而頻繁的下載量，導(dǎo)致網(wǎng)絡(luò)帶寬被大量占用，同時(shí)也帶來(lái)了嚴(yán)重的網(wǎng)絡(luò)安全隱患，在一些應(yīng)用軟件中極有可能攜帶木馬病毒，會(huì)對(duì)安裝使用的用戶(hù)造成非法入侵與破壞。

四、校園網(wǎng)VPN方案的設(shè)計(jì)與實(shí)現(xiàn)

1.需求分析

校園網(wǎng)絡(luò)體系是構(gòu)建之初，必須要滿(mǎn)足三種需求，分別是：第一，滿(mǎn)足大量的遠(yuǎn)程訪(fǎng)問(wèn)需求。由于對(duì)校園網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的數(shù)量極大，在分校區(qū)的師生都會(huì)對(duì)校內(nèi)網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行訪(fǎng)問(wèn)，例如成績(jī)查詢(xún)、薪酬查詢(xún)以及通知公告等查詢(xún)。第二，建立主校區(qū)和分校區(qū)之間的相互網(wǎng)絡(luò)訪(fǎng)問(wèn)連接，滿(mǎn)足互訪(fǎng)需求，保證主校區(qū)和分校區(qū)在校園一卡通、電子政務(wù)專(zhuān)網(wǎng)等業(yè)務(wù)方面得到整合，構(gòu)建專(zhuān)門(mén)的、安全的網(wǎng)絡(luò)通道，使得數(shù)據(jù)傳輸能夠保密，得到安全保障。第三，高校圖書(shū)館資源實(shí)現(xiàn)遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)的需求，對(duì)遠(yuǎn)程訪(fǎng)問(wèn)用戶(hù)進(jìn)行安全認(rèn)證，并進(jìn)行圖書(shū)館資源的合理分配，構(gòu)建完善的用戶(hù)管理、授權(quán)、防護(hù)功能的體系。VPN技術(shù)在校園網(wǎng)絡(luò)安全體系構(gòu)建中的應(yīng)用，可以滿(mǎn)足校園網(wǎng)絡(luò)安全體系的以上3種需求。

2.VPN系統(tǒng)的功能模型

設(shè)計(jì)校園網(wǎng)VPN系統(tǒng)，包括了如下4項(xiàng)基本功能：

（1）身份識(shí)別：對(duì)VPN服務(wù)器的識(shí)別是通過(guò)數(shù)字證書(shū)方式進(jìn)行的，服務(wù)器對(duì)不同的客戶(hù)端采取不同的識(shí)別方式。而校園VPN網(wǎng)絡(luò)的遠(yuǎn)程訪(fǎng)問(wèn)，服務(wù)器以用戶(hù)名+密碼的方式進(jìn)行客戶(hù)端身份識(shí)別，對(duì)于內(nèi)網(wǎng)VPN，則是通過(guò)數(shù)字證書(shū)方式進(jìn)行客戶(hù)端身份的識(shí)別。

（2）訪(fǎng)問(wèn)控制：本模塊為訪(fǎng)問(wèn)規(guī)則庫(kù)，首先要設(shè)定訪(fǎng)問(wèn)控制策略，然后控制訪(fǎng)問(wèn)主體的訪(fǎng)問(wèn)操作。

（3）數(shù)據(jù)傳輸：這是校園網(wǎng)VPN系統(tǒng)的核心功能，主要通過(guò)商定好的加密算法在發(fā)送者和接收者之間進(jìn)行數(shù)據(jù)發(fā)送，還負(fù)責(zé)解密功能。

（4）后臺(tái)管理：本模塊功能主要對(duì)VPN服務(wù)器的操作生成工作日志并入庫(kù)，方便以后審查。后臺(tái)管理功能是為用戶(hù)提供有關(guān)網(wǎng)絡(luò)訪(fǎng)問(wèn)、會(huì)話(huà)等信息的匯總報(bào)告。

3.技術(shù)路線(xiàn)

在校園網(wǎng)絡(luò)安全體系中，IPSec VPN、SSL VPN、MPLS VPN這三種技術(shù)的應(yīng)用較為成熟。其中IPSec VPN和SSL VPN從屬于VPN構(gòu)架的技術(shù)路線(xiàn)，IPSec VPN在網(wǎng)絡(luò)層中運(yùn)行，保護(hù)全部網(wǎng)絡(luò)層上的數(shù)據(jù)和安全通信；SSL VPN主要在應(yīng)用層和TCP層之間運(yùn)行，以HTTP協(xié)議為基礎(chǔ)。IPSec VPN和SSL VPN都能為遠(yuǎn)程接入提供安全保障，然而IPSec VPN技術(shù)一般在網(wǎng)絡(luò)數(shù)據(jù)流中運(yùn)行，并進(jìn)行連接服務(wù)和保護(hù)。在遠(yuǎn)程分散的安全接入上，最好是應(yīng)用SSL VPN技術(shù)，對(duì)于運(yùn)營(yíng)商以及大型用戶(hù)的動(dòng)態(tài)網(wǎng)絡(luò)，則可以采用MPLS VPN技術(shù)。而校園網(wǎng)絡(luò)的建設(shè)通常會(huì)因?yàn)橘Y金、技術(shù)方面的不足，往往會(huì)選擇IPSec VPN和SSL VPN技術(shù)。

4.方案設(shè)計(jì)與實(shí)現(xiàn)

4.1構(gòu)建校園內(nèi)部虛擬

校園內(nèi)部虛擬的構(gòu)建是針對(duì)主校區(qū)和分校區(qū)而言的，在兩個(gè)校區(qū)之間以 Intranet VPN（專(zhuān)用網(wǎng)）光纖鏈路進(jìn)行連接，在分校區(qū)布置網(wǎng)絡(luò)出口，主校區(qū)網(wǎng)絡(luò)和分校區(qū)之間通過(guò)光纖鏈路實(shí)現(xiàn)一卡通、人事檔案、成績(jī)等應(yīng)用系統(tǒng)連接。并對(duì)光纖鏈路中傳輸?shù)臄?shù)據(jù)信息設(shè)定IPSec VPN 技術(shù)加密，保障數(shù)據(jù)通信安全。在普通用戶(hù)發(fā)起主校區(qū)和分校區(qū)的訪(fǎng)問(wèn)請(qǐng)求時(shí)，猶如在同一個(gè)網(wǎng)絡(luò)中。當(dāng)安全級(jí)別過(guò)高時(shí)，會(huì)浪費(fèi)網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致訪(fǎng)問(wèn)速度過(guò)慢，由此，不能將安全級(jí)別設(shè)置過(guò)高。而對(duì)待財(cái)務(wù)管理、人事檔案管理、學(xué)生成績(jī)管理等方面的敏感業(yè)務(wù)，則可通過(guò)二層協(xié)議網(wǎng)絡(luò)隔離方式，先讓用戶(hù)連接到校園網(wǎng)絡(luò)，再傳輸至校園網(wǎng)絡(luò)中的核心交換機(jī)，也就使得兩個(gè)校區(qū)之間的數(shù)據(jù)實(shí)現(xiàn)了加密傳輸。

將網(wǎng)絡(luò)路由器配置在兩個(gè)校區(qū)之間，使得兩個(gè)校區(qū)之間的互訪(fǎng)和數(shù)據(jù)都通過(guò)此路由器?；诤Ａ康男@網(wǎng)絡(luò)資源，必須要考慮到路由器的穩(wěn)定性和可靠性，并兼顧成本問(wèn)題。本文采用的是具備 VPN 功能的網(wǎng)絡(luò)路由器，對(duì)其設(shè)置好安全策略，從而構(gòu)建兩個(gè)校區(qū)之間的VPN 通道，數(shù)據(jù)傳輸根據(jù)網(wǎng)絡(luò)路由策略設(shè)置來(lái)到達(dá)規(guī)定的地址（如下圖）。

4.2配置 VPN 服務(wù)器

要實(shí)現(xiàn)用戶(hù)對(duì)校園內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程訪(fǎng)問(wèn)，或者移動(dòng)用戶(hù)的訪(fǎng)問(wèn)，就需要通過(guò)開(kāi)放式互聯(lián)網(wǎng)與校園內(nèi)部網(wǎng)絡(luò)的連接，并利用VPN 軟件系統(tǒng)進(jìn)行數(shù)據(jù)封裝和加密功能，從而建設(shè)Ac-cess VPN（校園遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng)絡(luò)）。由于 Linux 操作系統(tǒng)由較強(qiáng)的穩(wěn)定性和較好的擴(kuò)展性，應(yīng)用起來(lái)靈活，比Windows 平臺(tái)更具操作性，本文中的校園網(wǎng)絡(luò)的VPN 服務(wù)器的配置平臺(tái)為 Linux 操作系統(tǒng)。VPN 服務(wù)器負(fù)責(zé)遠(yuǎn)程用戶(hù)和移動(dòng)用戶(hù)對(duì)校園網(wǎng)絡(luò)的發(fā)送請(qǐng)求連接。配置 IBMX366型號(hào)服務(wù)器，并在VPN 服務(wù)器中安裝Open VPN 軟件系統(tǒng)，從而建立基于SSL協(xié)議的 SSL VPN系統(tǒng)，對(duì)已配置了的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備和防火墻設(shè)備， SSL VPN的遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)在進(jìn)行傳輸時(shí)能夠遍歷校園網(wǎng)絡(luò)的任何網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備和防護(hù)墻設(shè)備，實(shí)現(xiàn)遠(yuǎn)程用戶(hù)與移動(dòng)用戶(hù)對(duì)校園網(wǎng)的隨時(shí)連接。

通過(guò)某一校園網(wǎng)絡(luò) IP 地址就能實(shí)現(xiàn)校園網(wǎng)絡(luò)的請(qǐng)求訪(fǎng)問(wèn)，由此，須要通過(guò)架構(gòu)一臺(tái)DHCP 服務(wù)器為用戶(hù)提供 IP 地址。在連接到校園網(wǎng)絡(luò)的服務(wù)器時(shí)，遠(yuǎn)程用戶(hù)須要配置校園網(wǎng)絡(luò)的VPN服務(wù)器域名，由此，可以通過(guò)將VPN服務(wù)器域名設(shè)置在 DNS 服務(wù)器中。用戶(hù)請(qǐng)求連接時(shí)通過(guò)對(duì)VPN 服務(wù)器域名的解析，在發(fā)起訪(fǎng)問(wèn)中就根據(jù)校園網(wǎng)絡(luò)所提供的 URL 地址，對(duì) SSL VPN 的服務(wù)器發(fā)起連接，然后通過(guò)身份認(rèn)證再通過(guò)其權(quán)限進(jìn)行服務(wù)器的分配，這能防止外部入侵與攻擊。

五、結(jié)束語(yǔ)

綜述，通過(guò)學(xué)習(xí)，對(duì)校園網(wǎng)絡(luò)安全體系建設(shè)中進(jìn)行了IPSec和SSL一般方法的研究，從而能夠讓VPN體系能夠在校園網(wǎng)絡(luò)中得到運(yùn)行推廣。此外，在校園網(wǎng)絡(luò)安全體系的構(gòu)建中，由于受到投入經(jīng)費(fèi)的限制，可以通過(guò)在校園網(wǎng)絡(luò)的主干網(wǎng)絡(luò)路由器中建立IPSec隧道功能。通過(guò)本文的學(xué)習(xí)和探索，所設(shè)計(jì)的校園網(wǎng)絡(luò)VPN安全體系還存在的不足之處，希望能夠在以后的學(xué)習(xí)和工作中做好改進(jìn)，進(jìn)一步提升自我。

參考文獻(xiàn)

[1]梁文芝，劉宇翔.VPN技術(shù)在數(shù)字圖書(shū)館系統(tǒng)的應(yīng)用[J]. 農(nóng)業(yè)圖書(shū)情報(bào)學(xué)刊. 2008（11）

[2]楊名川. 基于隧道模式IPSec的NAT穿越[J]. 現(xiàn)代計(jì)算機(jī). 2007（05）

[3]梁石.成都紡織高等專(zhuān)科學(xué)校校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西華大學(xué) 2014

[4]董佳.唐山職業(yè)技術(shù)學(xué)院校園網(wǎng)升級(jí)改造[D]. 燕山大學(xué) 2012

[5]鄒青春.基于VPN技術(shù)的多校區(qū)校園網(wǎng)絡(luò)安全研究論述[J]. 哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報(bào). 2015（04）

[6]劉思勤.校園網(wǎng)絡(luò)安全體系中VPN技術(shù)的應(yīng)用研究[J]. 計(jì)算機(jī)光盤(pán)軟件與應(yīng)用. 2014（20）

[7]武杰.校園網(wǎng)絡(luò)安全體系中VPN技術(shù)的應(yīng)用探析[J]. 數(shù)字技術(shù)與應(yīng)用. 2014（02）

[8]趙釗.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建[J]. 自動(dòng)化與儀器儀表. 2014（01）

[9]費(fèi)建英.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用[J]. 計(jì)算機(jī)光盤(pán)軟件與應(yīng)用. 2013（23）

[10]朱晨旭.信息化背景下的校園網(wǎng)絡(luò)安全問(wèn)題與對(duì)策[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2016（11）

作者簡(jiǎn)介：劉伯忠 （1968.12-），男，四川廣安人，漢族，本科，副教授，主要研究方向： 計(jì)算機(jī)科學(xué)與技術(shù)。