文/柳雄

傳統(tǒng)VPN 的信息化時代

信息化建設(shè)下的擇優(yōu)選擇

信息時代，為了更大程度發(fā)揮互聯(lián)網(wǎng)資源的共享與利用優(yōu)點，高?；蚩蒲袡C構(gòu)的電子圖書資源、校園內(nèi)部的信息系統(tǒng)等，都需要提供校外遠程接入訪問。

提到遠程接入、訪問內(nèi)網(wǎng)系統(tǒng)，大家會自然而然的想起VPN技術(shù)，VPN基于互聯(lián)網(wǎng)提供安全私密的加密隧道，讓校外用戶可以安全的接入校園內(nèi)外進行訪問，在高校信息化建設(shè)中擁有多年的應(yīng)用歷史，已經(jīng)是高校校園信息化建設(shè)必不可少的環(huán)節(jié)。

VPN根據(jù)隧道協(xié)議的不同，主要有：二層隧道協(xié)議PPTP/L2TP VPN、三層隧道協(xié)議GRE/IPSec VPN和七層隧道協(xié)議SSL VPN。在高校信息化的發(fā)展歷程中，這些VPN技術(shù)均被廣泛地在特定時期和場景下應(yīng)用，其中基于B/S架構(gòu)的SSL VPN，使用普通瀏覽器即可訪問，方便易用，已經(jīng)是遠程接入場景應(yīng)用最為廣泛和成熟的方案。

SSL VPN技術(shù)的廣泛應(yīng)用

SSL VPN技術(shù)利用標準Web瀏覽器內(nèi)嵌的SSL(Security Socket Layer)封包處理功能，在遠程接入用戶與SSL VPN服務(wù)器之間建立起VPN隧道，從而使得遠程接入用戶在通過驗證后，可訪問內(nèi)網(wǎng)的服務(wù)器資源。

基于SSL協(xié)議實現(xiàn)的SSL VPN，天然支持Web應(yīng)用的訪問，同時為了覆蓋更廣泛的應(yīng)用場景，SSL VPN也支持TCP代理轉(zhuǎn)發(fā)和虛擬網(wǎng)卡方式，能夠像其他VPN技術(shù)一樣，提供全協(xié)議的VPN通道，不僅支持B/S架構(gòu)的Web應(yīng)用，也支持C/S架構(gòu)的TCP應(yīng)用，如TELNET、遠程桌面等，還可以支持基于UDP協(xié)議的語音視頻類應(yīng)用的遠程訪問。雖然虛擬網(wǎng)卡的方式能夠支持全協(xié)議的訪問，但SSL VPN仍然保留了Web資源和TCP資源的訪問方式，每一類資源應(yīng)用在實現(xiàn)原理上都各不相同。

以Web資源來說，SSL VPN使用Web反向代理技術(shù)，實現(xiàn)用戶遠程接入后訪問內(nèi)網(wǎng)Web應(yīng)用服務(wù)器。在用戶訪問的過程中，先將用戶的訪問請求發(fā)送到VPN，由VPN進行代理轉(zhuǎn)發(fā)。

采用Web反向代理方式實現(xiàn)的SSL VPN，不依賴IE控件，可以在任意瀏覽器免插件使用，可以支持大部分B/S系統(tǒng)的遠程接入訪問，但同時由于VPN無法對各類URL資源做到完整的改寫，因此可能會出現(xiàn)圖片錯位、字體顯示不正常等兼容性問題，也無法支持本地需要瀏覽器插件的Web系統(tǒng)的訪問。

除了兼容性問題之外，對于非B/S架構(gòu)的應(yīng)用，Web反向代理也無法支持，例如在網(wǎng)絡(luò)維護中常用的TELNET、SSH、郵件、遠程桌面等基于TCP的非Web應(yīng)用?；赪eb的SSL VPN無法支持，就需要用到SSL VPN的基于TCP代理轉(zhuǎn)發(fā)（也叫端口轉(zhuǎn)發(fā)）的技術(shù)，這種技術(shù)可以通過ActiveX控件實現(xiàn)對本地TCP請求的監(jiān)聽，當監(jiān)聽到需要被代理轉(zhuǎn)發(fā)的TCP請求時，會攔截該請求，并進行代理訪問，在代理訪問的過程中，需要對收到的請求報文進行改造，將原來要發(fā)送給目標服務(wù)器的請求改為發(fā)送給客戶端本地環(huán)回地址，同時記錄改造前后的對應(yīng)關(guān)系（本地環(huán)回記錄表），便于

后續(xù)可以代替服務(wù)器應(yīng)答真正的用戶。

盡管TCP代理轉(zhuǎn)發(fā)的方式已經(jīng)能夠支持絕大部分的高校系統(tǒng)訪問，但終究是只支持TCP協(xié)議的系統(tǒng)應(yīng)用，當需要使用到非TCP協(xié)議的應(yīng)用時，如語音類協(xié)議，TCP代理轉(zhuǎn)發(fā)就無法支持了。此外，SSL VPN還支持以虛擬網(wǎng)卡的方式來建立VPN隧道。

采用虛擬網(wǎng)卡方式的SSL VPN，用戶依舊可以通過瀏覽器登陸VPN服務(wù)器，在登陸過程中安裝虛擬網(wǎng)卡等VPN組件（通過ActiveX控件或客戶端形式）。這時候客戶端與VPN服務(wù)器之間就會創(chuàng)建一條SSL VPN隧道，VPN會向客戶端下發(fā)對應(yīng)的內(nèi)部系統(tǒng)的路由信息，客戶端訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)時，經(jīng)過虛擬網(wǎng)卡發(fā)送請求，經(jīng)VPN隧道到達VPN服務(wù)器。整個訪問過程中不需要對訪問請求報文進行任何修改，完整封裝后經(jīng)虛擬網(wǎng)卡發(fā)送到VPN隧道，實現(xiàn)遠程訪問，因此這種方式也是實際應(yīng)用中最為廣泛的形式。

傳統(tǒng)VPN技術(shù)面對的新挑戰(zhàn)

近年來信息技術(shù)高速發(fā)展，尤其是智能終端的普及和移動互聯(lián)網(wǎng)的廣泛應(yīng)用，用戶追求更便捷、更簡單、更安全的網(wǎng)絡(luò)遠程接入方式，來滿足隨時隨地接入訪問的需求，在安全接入的同時，也越來越重視使用體驗。尤其是校園用戶終端類型越來越豐富，從過去單純的Windows PC終端演變到目前Windows PC、Mac PC、iOS手機、Android手機、iPad、Android Pad等多終端并存的局面，給SSL VPN在高校的應(yīng)用帶來了不少新的挑戰(zhàn)：

1.用戶體驗差

當前主流的SSL VPN，在使用中依賴ActiveX控件或客戶端程序，只能使用IE內(nèi)核瀏覽器或依靠java環(huán)境進行安裝，很難滿足用戶多元化的個性體驗，尤其是越來越多的非Windows終端被使用后，VPN插件對操作系統(tǒng)的支持也較差，很難適配豐富的系統(tǒng)類型和頻繁的系統(tǒng)更新，用不了、頻繁掉線、安裝復(fù)雜、使用繁瑣等問題嚴重影響用戶體驗。

2.運維壓力大

高校的VPN使用群體廣泛，用戶規(guī)模大，在VPN使用過程中因插件安裝、使用異常帶來的巨大運維量，信息中心往往疲于應(yīng)對。

3.適應(yīng)移動互聯(lián)網(wǎng)環(huán)境

隨著移動互聯(lián)網(wǎng)的發(fā)展，越來越多的移動終端需要使用VPN接入進行遠程訪問，校園APP也逐漸被廣泛應(yīng)用，SSL VPN需要以更加良好的用戶體驗適配這類場景。

全Web化趨勢下的新選擇

高校大部分業(yè)務(wù)系統(tǒng)已經(jīng)實現(xiàn)了Web信息化改造，基本都使用了統(tǒng)一認證平臺SSO進行統(tǒng)一身份認證，學(xué)校的用戶只需要認證一次，所有業(yè)務(wù)系統(tǒng)都實現(xiàn)單點登錄。另外建設(shè)了校園門戶站點，門戶站點作為校園所有業(yè)務(wù)系統(tǒng)的統(tǒng)一入口（包括圖書館等數(shù)據(jù)庫資源）。

在SSL VPN面臨新的挑戰(zhàn)的同時，一種號稱下一代VPN技術(shù)的WebVPN產(chǎn)品開始出現(xiàn)在高校，WebVPN提供基于Web的內(nèi)網(wǎng)應(yīng)用訪問控制，允許授權(quán)用戶訪問只對內(nèi)網(wǎng)開放的Web應(yīng)用，實現(xiàn)類似VPN的功能。WebVPN的出現(xiàn)很好的抓住了高校SSL VPN對用戶體驗和運維問題的滯后反應(yīng)，以無需用戶做任何配置或安裝客戶端軟件及瀏覽器插件的形式提供內(nèi)網(wǎng)應(yīng)用的遠程訪問，大大降低使用門檻，提升用戶體驗。

圖1 未來數(shù)字化校園安全接入平臺框架

然而，WebVPN真的是包治百病的下一代VPN技術(shù)么？在對WebVPN進行詳細分析和實際體驗中，我們發(fā)現(xiàn)，WebVPN實際上也是基于Web反向代理技術(shù)實現(xiàn)的，通過結(jié)合泛域名，來實現(xiàn)對內(nèi)網(wǎng)Web服務(wù)器的代理訪問，整個訪問過程中涉及的Web改寫與SSL VPN一致，與其說是下一代VPN，實際上更像是最早期的SSL VPN。

Web反向代理實現(xiàn)的SSL VPN因其技術(shù)本身的兼容性缺陷和無法完整覆蓋高校業(yè)務(wù)系統(tǒng)的缺陷，在SSL VPN的漫長發(fā)展歷程中，一直未能廣泛應(yīng)用。隨著用戶對使用體驗的要求增高，Web反向代理技術(shù)的免插件、對瀏覽器和操作系統(tǒng)的全面支持等優(yōu)點，再一次把WebVPN推向了前端，基于這些優(yōu)點，在應(yīng)對用戶體驗的挑戰(zhàn)上，WebVPN相比大部分基于瀏覽器插件和客戶端軟件的SSL VPN產(chǎn)品要好得多，尤其是對一些低頻訪問的用戶來說，打開瀏覽器就可以使用，省去了安裝插件和客戶端的過程。但在應(yīng)對運維壓力和移動化挑戰(zhàn)時，WebVPN并不如宣傳的那么高效。

首先，WebVPN的無插件形式，確實避免了插件的維護工作，但其技術(shù)本身的兼容性缺陷，又帶來了新的運維挑戰(zhàn)，頁面顯示異常、系統(tǒng)無法正常登陸等問題難以杜絕，且相比客戶端或VPN插件對個別用戶的影響，兼容性問題的影響面更大，勢必帶來更大的運維壓力。

其次，高校移動信息化的進程中，APP被廣泛應(yīng)用，基于瀏覽器的WebVPN無法提供APP的遠程接入訪問，僅依靠手機瀏覽器的Web訪問和微信H5應(yīng)用，用戶體驗也必然大打折扣。

數(shù)字化校園接入的未來

面對當前的使用需求，再結(jié)合Web VPN技術(shù)的應(yīng)用分析，高校在選擇安全接入類產(chǎn)品時，需要全面考慮，既要滿足安全接入的需求，也要滿足用戶的使用體驗，減輕運維壓力。面對琳瑯滿目的VPN產(chǎn)品，管理員必須認真對自身的使用場景進行分析，選擇更為匹配的VPN產(chǎn)品。

未來，高校的信息化建設(shè)中對VPN的要求，依舊會朝著更便捷、更簡單、更安全的方向發(fā)展，VPN服務(wù)商必須緊跟用戶需求變化，滿足高?？蛻舨煌瑯I(yè)務(wù)階段的需求，實現(xiàn)無插件、無感知訪問的同時，仍然需要借助多重優(yōu)化技術(shù)，提升資源訪問的速率；支持移動數(shù)字化校園接入需求，具備完美的兼容性，保障用戶接入方式的自由選擇；同時支持多套安全機制，如國產(chǎn)密碼算法下的數(shù)字簽名、數(shù)據(jù)傳輸加密、業(yè)務(wù)權(quán)限的精細化管控，保證關(guān)鍵業(yè)務(wù)的數(shù)據(jù)安全，真正實現(xiàn)更易用、更安全的校園信息化門戶的接入。

如圖1所示，未來的數(shù)字化校園接入平臺，會成為端-端緊密結(jié)合的形式，包括接入端的安全工作空間、身份認證和授權(quán)、傳輸端的高強度密碼算法安全加密、服務(wù)端的多元化資源訪問代理、審計端的7×24小時用戶審計管理，以更適應(yīng)于未來高校數(shù)字化校園的發(fā)展。