文/沙捷 費(fèi)青松

如何在不改變高校現(xiàn)有“網(wǎng)絡(luò)安全管理規(guī)則”的前提下，同時(shí)為校外的訪問(wèn)者提供便利的訪問(wèn)路徑，是擺在高校信息化管理部門(mén)面前的一個(gè)重要問(wèn)題。

本文通過(guò)首都體育學(xué)院的實(shí)際應(yīng)用場(chǎng)景，提出了應(yīng)用服務(wù)器訪問(wèn)控制系統(tǒng)方案，利用WebVPN遠(yuǎn)程訪問(wèn)技術(shù)很好地平衡了上述問(wèn)題與矛盾。

目前常見(jiàn)的遠(yuǎn)程訪問(wèn)技術(shù)有：傳統(tǒng)VPN（PPTP、L2TP/IPSec）、SSLVPN、OpenVPN、內(nèi)網(wǎng)代理等，技術(shù)參數(shù)比較見(jiàn)表1。

通過(guò)表1可以歸納出常見(jiàn)的遠(yuǎn)程訪問(wèn)技術(shù)存在以下缺點(diǎn)：1.大部分技術(shù)容易被封鎖；2.需要配置瀏覽器插件或客戶端，并且在不同操作系統(tǒng)上會(huì)產(chǎn)生兼容性問(wèn)題；3.不支持加密或加密安全性弱；4.較難配置用戶權(quán)限或配置過(guò)程復(fù)雜，不易快速部署；5.不支持移動(dòng)設(shè)備部署或部署過(guò)程復(fù)雜；6.對(duì)弱口令風(fēng)險(xiǎn)防范缺乏有效手段。

設(shè)計(jì)思想

為解決常見(jiàn)遠(yuǎn)程訪問(wèn)系統(tǒng)存在的問(wèn)題，在此系統(tǒng)設(shè)計(jì)之初，我們通過(guò)對(duì)傳統(tǒng)遠(yuǎn)程訪問(wèn)技術(shù)的對(duì)比研究，要求在保障安全的前提下較好地解決校外用戶對(duì)校內(nèi)資源的訪問(wèn)，不能給管理者與使用者帶來(lái)額外的使用負(fù)擔(dān)，同時(shí)要具有符合移動(dòng)趨勢(shì)、無(wú)需配置、具備管理功能、不易被封鎖、加密傳輸?shù)忍攸c(diǎn)，并且達(dá)到以下幾點(diǎn)設(shè)計(jì)要求。

1. 無(wú)客戶端或?yàn)g覽器插件

傳統(tǒng)的VPN系統(tǒng)需要安裝客戶端或者瀏覽器插件，這些客戶端或?yàn)g覽器插件往往存在兼容性差，或客戶端、瀏覽器插件與操作系統(tǒng)的同步更新存在問(wèn)題，或存在無(wú)法支持移動(dòng)設(shè)備（iOS、Android等）等問(wèn)題。

使用B/S結(jié)構(gòu)，且不進(jìn)行插件安裝是設(shè)計(jì)該系統(tǒng)的基礎(chǔ)思想。WebVPN采用HTTP透?jìng)骷夹g(shù)，無(wú)需客戶端，只需使用瀏覽器像訪問(wèn)普通HTTP網(wǎng)站那樣訪問(wèn)VPN的登錄地址，進(jìn)行登錄后即可訪問(wèn)內(nèi)網(wǎng)資源，實(shí)現(xiàn)即開(kāi)即用。

表1 常見(jiàn)遠(yuǎn)程訪問(wèn)方式比較

HTTP透?jìng)骷夹g(shù)兼容所有標(biāo)準(zhǔn)HTTP客戶端，訪問(wèn)設(shè)備只要支持標(biāo)準(zhǔn)HTTP協(xié)議即可使用WebVPN系統(tǒng)訪問(wèn)內(nèi)網(wǎng)資源。

2. 用戶“零”配置

相比傳統(tǒng)VPN繁瑣的參數(shù)配置過(guò)程，由于學(xué)校各種應(yīng)用系統(tǒng)面對(duì)的使用對(duì)象師生員工大都不是專業(yè)用戶，其使用訴求基本就是“簡(jiǎn)單、快捷”，因此要求此系統(tǒng)需要實(shí)現(xiàn)師生員工的“零”配置，即使用者無(wú)需任何配置工作。這樣的設(shè)計(jì)給使用者降低了使用要求，給管理者減輕了技術(shù)服務(wù)的工作量。

3. 不改變防火墻端口配置

對(duì)比傳統(tǒng)的遠(yuǎn)程訪問(wèn)技術(shù)后發(fā)現(xiàn)，采用特定端口與特定協(xié)議的數(shù)據(jù)傳輸往往容易被各種運(yùn)行商進(jìn)行封鎖，在使用過(guò)程中影響師生員工的使用體驗(yàn)。

通過(guò)實(shí)驗(yàn)對(duì)比，要求該系統(tǒng)采用HTTP透?jìng)骷夹g(shù)，雙機(jī)部署方案。一臺(tái)部署于防火墻的DMZ區(qū)域，用于接受用戶連接（稱為主控制器Master），其目的是接受校園網(wǎng)外網(wǎng)用戶的鏈接；另外一臺(tái)部署于校園網(wǎng)內(nèi)網(wǎng)區(qū)域，其目的是連接目標(biāo)服務(wù)器（稱為隧道控制器Tunnel Controller）。連接上主控制器被動(dòng)接受隧道控制器的連接，無(wú)需在防火墻上開(kāi)啟特殊端口，實(shí)現(xiàn)沒(méi)有增加防火墻配置工作的同時(shí)，保證內(nèi)部安全。

4. 采用數(shù)據(jù)加密傳輸

為保證數(shù)據(jù)的安全傳輸，要求校外用戶與主控制器之間的鏈接采用HTTPS協(xié)議傳輸，主控制器與隧道控制器之間采用RSA+AES混合加密體系，保證傳輸安全。

5. 一次性動(dòng)態(tài)口令

在網(wǎng)絡(luò)與信息安全防護(hù)過(guò)程中，口令安全往往是使用者的安全防護(hù)短板，存在口令強(qiáng)度不夠，容易遺忘等問(wèn)題，它始終困擾著使用者與管理者。為解決上述情況，要求在系統(tǒng)設(shè)計(jì)時(shí)采用兩種動(dòng)態(tài)口令的方式來(lái)規(guī)避上述問(wèn)題的風(fēng)險(xiǎn)。PC端與移動(dòng)端登錄界面如圖1所示。

圖1 PC端與移動(dòng)端界面

登錄使用的密碼為一次性密碼，可以有效地防止被盜現(xiàn)象的發(fā)生。

動(dòng)態(tài)口令驗(yàn)證采用兩種方式進(jìn)行驗(yàn)證：短信動(dòng)態(tài)口令驗(yàn)證和動(dòng)態(tài)令牌驗(yàn)證。

（1）短信動(dòng)態(tài)口令：首先把用戶名與手機(jī)號(hào)進(jìn)行綁定，當(dāng)用戶進(jìn)行登錄時(shí)，系統(tǒng)會(huì)通過(guò)短信下發(fā)隨機(jī)口令到用戶的手機(jī)中，用戶輸入收到的口令即是登錄密碼，輸入事先分配的用戶名與收到的登錄密碼后即可登錄系統(tǒng)。

（2）動(dòng)態(tài)令牌驗(yàn)證：動(dòng)態(tài)令牌是一種偽隨機(jī)數(shù)生成器，會(huì)每分鐘自動(dòng)生成一個(gè)動(dòng)態(tài)口令，而且動(dòng)態(tài)口令一分鐘內(nèi)有效。用戶在需要登錄系統(tǒng)時(shí)，填寫(xiě)用戶名與動(dòng)態(tài)令牌顯示的口令即可登錄系統(tǒng)。

采用的登錄方式，由用戶自主選擇。

6. 簡(jiǎn)單易用的用戶權(quán)限配置

傳統(tǒng)遠(yuǎn)程控制技術(shù)中，用戶一旦連入VPN網(wǎng)絡(luò)中，就可以沒(méi)有任何限制地訪問(wèn)所有內(nèi)部系統(tǒng)，這無(wú)疑是一種潛在的安全隱患。

因此，要求系統(tǒng)可以實(shí)現(xiàn)使用用戶與用戶組關(guān)聯(lián)，用戶組再跟目標(biāo)站點(diǎn)關(guān)聯(lián)的方式限制用戶能訪問(wèn)的站點(diǎn)。同時(shí)采用Web界面的方式提供簡(jiǎn)便的配置方式。

業(yè)務(wù)邏輯

WebVPN系統(tǒng)采用雙機(jī)部署模式。主控制器設(shè)備（Master）放置于防火墻DMZ區(qū)域，接受用戶連接請(qǐng)求，隧道控制器（Tunnel）設(shè)備放置于防火墻內(nèi)網(wǎng)區(qū)域負(fù)責(zé)與目標(biāo)系統(tǒng)連接。

外部用戶通過(guò)HTTPS協(xié)議來(lái)訪問(wèn)位于校園網(wǎng)內(nèi)部的主控制器，而主控制器與隧道控制器之間的數(shù)據(jù)傳輸通過(guò)RSA與AES混合加密的方式完成，如圖2所示。

圖2 RSA與AES混合加密的方式

系統(tǒng)部署

在實(shí)際應(yīng)用場(chǎng)景中，可以根據(jù)具體情況使用中規(guī)模以及應(yīng)用系統(tǒng)要求采用基礎(chǔ)配置部署、性能配置部署和多校區(qū)配置方案。

1. 基礎(chǔ)配置場(chǎng)景

基礎(chǔ)配置場(chǎng)景是在保證系統(tǒng)安全的前提下，保證校外訪問(wèn)校內(nèi)的基礎(chǔ)業(yè)務(wù)。在防火墻可訪問(wèn)的區(qū)域（DMZ）部署WebVPN訪問(wèn)控制系統(tǒng)的主控制器，為校外用戶提供身份認(rèn)證、角色和權(quán)限配置以及系統(tǒng)和數(shù)據(jù)的基本安全功能。

在內(nèi)網(wǎng)的服務(wù)器區(qū)，部署一臺(tái)隧道控制器和一臺(tái)超級(jí)終端，來(lái)進(jìn)行具體的業(yè)務(wù)任務(wù)的配置與管理。系統(tǒng)拓?fù)淙鐖D3所示。

圖3 基礎(chǔ)配置系統(tǒng)拓?fù)?/p>

2.性能配置

性能配置針對(duì)校外訪大問(wèn)量、高并發(fā)量的使用需求，在校外師生可訪問(wèn)的區(qū)域防火墻（DMZ）部署兩臺(tái)訪問(wèn)控制器，為校外用戶提供身份認(rèn)證、角色和權(quán)限配置以及系統(tǒng)和數(shù)據(jù)的基本安全功能；在內(nèi)網(wǎng)的服務(wù)器區(qū)，部署兩臺(tái)隧道控制器和兩臺(tái)超級(jí)終端，來(lái)進(jìn)行具體的業(yè)務(wù)任務(wù)。系統(tǒng)拓?fù)淙鐖D4所示。

圖4 性能配置系統(tǒng)拓?fù)?/p>

3. 多校區(qū)部署

針對(duì)學(xué)校存在多校區(qū)的情況，在主校區(qū)部署1臺(tái)主控制器，然后在所有校區(qū)部署隧道控制器，如圖5所示。

業(yè)務(wù)流程

1. 業(yè)務(wù)流程

用戶登錄只需要使用瀏覽器訪問(wèn)WebVPN地址，輸入用戶名與密碼即可完成登錄，如圖6所示。

圖5 多校區(qū)部署拓?fù)?/p>

圖6 使用流程

2. 用戶使用界面

用戶完成登錄過(guò)程后，在展示頁(yè)面中點(diǎn)擊需要訪問(wèn)的目標(biāo)圖標(biāo)即可進(jìn)行訪問(wèn)。

針對(duì)目前各高校采取的限制外網(wǎng)用戶訪問(wèn)校內(nèi)資源的情況，通過(guò)實(shí)踐發(fā)現(xiàn),使用WebVPN方式可以在克服傳統(tǒng)遠(yuǎn)程訪問(wèn)技術(shù)存在缺陷的前提下，為校外的師生用戶提供一條安全、便捷的訪問(wèn)內(nèi)網(wǎng)資源的途徑。其具有以下特點(diǎn)：

（1）無(wú)需客戶端、無(wú)需瀏覽器插件，訪問(wèn)簡(jiǎn)單、快捷；

（2）加密傳輸，確保通信安全；

（3）一次性口令，降低密碼安全風(fēng)險(xiǎn)；

（4）兼容iOS、Android、WP 等移動(dòng)設(shè)備。