◆王真

VPN技術在校園網(wǎng)絡安全體系的應用

◆王真

（邢臺技師學院 河北 054000）

當前，我國科技發(fā)展愈發(fā)的成熟，校園信息化管理模式也成了時代發(fā)展的必然。院校內(nèi)會相繼構(gòu)建不同的校園網(wǎng)絡，借助校園網(wǎng)絡，讓老師和學生之間的關系變得更加的密切，保障了師生之間的友好溝通狀態(tài)。學校的規(guī)模不斷擴張，校區(qū)在不斷發(fā)展，一些院校的分校會在不同的地區(qū)構(gòu)建，想要保障分校發(fā)展的協(xié)調(diào)性，就應當借助VPN技術進行管理，這樣就可以處理校園網(wǎng)絡地區(qū)限制管理的問題，同時還會起到改善校園網(wǎng)絡應用及管理的作用。

VPN技術；校園網(wǎng)絡安全體系；應用

VPN技術主要是以網(wǎng)絡運營商供給的互聯(lián)網(wǎng)為基準，創(chuàng)建出虛擬性私有通道的網(wǎng)絡安全防護技術。其技術的應用可以供給用戶高質(zhì)量的服務，在一個開放性的網(wǎng)絡環(huán)境當中，臨時性的建立專用數(shù)據(jù)傳輸渠道，加密隧道當中傳遞的信息，實現(xiàn)專網(wǎng)專用的目的。但是隨著高校信息化建設的發(fā)展和推進，校園網(wǎng)絡的安全穩(wěn)定性要求越來越高，需要創(chuàng)建出更為簡潔且實用性較強的安全體系，這樣才能夠讓校園網(wǎng)絡保持良好正常的運行狀態(tài)，分析VPN技術在校園網(wǎng)絡安全體系中的應用要點，設計出合理的應用方案，提升其技術應用的實踐價值。

1 VPN概念及關鍵技術

1.1 數(shù)據(jù)加密技術

通常狀況下，數(shù)據(jù)加密技術隱藏或者加密數(shù)據(jù)信息是數(shù)據(jù)包在虛擬專用網(wǎng)絡當中主要的傳輸方式。若數(shù)據(jù)包處于一種安全性較差的網(wǎng)絡環(huán)境當中，其在傳輸?shù)倪^程中哪怕已經(jīng)通過了用戶身份驗證，也無法確保VPN的安全可靠性。所以，在數(shù)據(jù)發(fā)送隧道的一端，需要加密用戶的身份認證，保障加密數(shù)據(jù)的傳輸狀態(tài)。在數(shù)據(jù)接收隧道的另一端，已經(jīng)完成認證的用戶應當解密加密的數(shù)據(jù)信息，得到相應的原始數(shù)據(jù)，這類技術可以大致劃分成為兩類，其分別為非對稱加密以及對稱加密。對稱加密是使用頻率較高的一類數(shù)據(jù)加密技術，其技術可以針對一些機密性的數(shù)據(jù)采取公鑰密碼的方式進行管理[1]。

1.2 訪問控制技術

訪問控制技術功能會對用戶訪問系統(tǒng)以及使用系統(tǒng)的資源進行管理，能夠保障用戶可以訪問特定的系統(tǒng)資源，拒絕沒有授權(quán)的用戶去訪問該系統(tǒng)，從而實現(xiàn)系統(tǒng)資源訪問控制的目的。

1.3 用戶認證技術

在構(gòu)建虛擬專用隧道傳輸數(shù)據(jù)之前，通常需要使用用戶認證技術去辨別用戶真實身份，對網(wǎng)絡資源的訪問，進行合理化管控。用戶認證協(xié)議摘要技術主要是以哈希函數(shù)變換數(shù)據(jù)報文的長度，使得其得到長度相同，固定不變的報文摘要。但是這類函數(shù)會受到自身特性的影響，控制難度較大，想要在眾多的數(shù)據(jù)報文當中找到長度相同，固定不變的報文摘要，需要損耗大量的時間和精力，整體工作難度較高。

1.4 隧道技術

隧道技術是VPN傳輸?shù)闹匾夹g，該技術主要是借助某協(xié)議實現(xiàn)另外一類協(xié)議傳輸數(shù)據(jù)的技術，這一技術的應用本質(zhì)就是以隧道協(xié)議為主，該技術大致分成乘客協(xié)議、傳輸協(xié)議以及隧道協(xié)議。其中，傳輸協(xié)議是結(jié)合隧道的定義完成數(shù)據(jù)傳輸任務；乘客協(xié)議是對數(shù)據(jù)進行封裝，其對于數(shù)據(jù)幀以及數(shù)據(jù)包的協(xié)議會有所差異，需要把數(shù)據(jù)幀和數(shù)據(jù)包進行封裝處理，之后再進行傳輸，這些封裝之后的數(shù)據(jù)幀以及數(shù)據(jù)包可以較為精確地到達其目的地的地址，最后進行解封的處理，得到原始的數(shù)據(jù)幀以及數(shù)據(jù)報；隧道協(xié)議的功能就是拆除、保持以及建立數(shù)據(jù)傳輸渠道。

2 VPN技術在校園網(wǎng)絡安全體系的應用

2.1 應用原則

想要將VPN技術投入到校園當中，就需要考慮該校園網(wǎng)絡的使用需求范圍，同時還需要遵守VPN技術的應用原則。VPN網(wǎng)絡技術投入到高校應用功能當中，其模塊主要分為四類：首先是后臺管理，后臺創(chuàng)設的作用就是用來收集和VPN技術服務器相關的訪問記錄，將這些記錄內(nèi)容進行整合，重新傳輸給安全審計進行管理，在后臺去總結(jié)用戶的各項操作行為以及詳細情況。其次是瀏覽控制模塊，其模塊創(chuàng)設的主要作用就是結(jié)合VPN瀏覽控制的方案，保障其技術系統(tǒng)設定的有效度，精確的供給客戶方案服務。再次是身份驗證，要驗證客戶端，服務端和客戶端的認證方式有所差異，將數(shù)字認證技術投入到內(nèi)網(wǎng)當中，將用戶以及用戶密碼結(jié)合的形式投入到外網(wǎng)驗證當中[2]。最后是數(shù)據(jù)傳輸，數(shù)據(jù)傳輸模塊也被稱之為核心的網(wǎng)絡體系分支，其模塊存在的作用就是加密、轉(zhuǎn)發(fā)數(shù)據(jù)。在現(xiàn)階段，我國大部分高校對于VPN技術的應用要求都會比較高，特別是后勤以及財務部門，校園在連接網(wǎng)絡的階段，會使用二層隔離的方式，之后進行重心交換機的傳輸，以該種形式完成分校信息之間的傳遞任務。一些用戶的安全級別會比較低，這就會適當降低安全級別的要求，需要提高VPN技術服務器的性能。比如，在移動客戶瀏覽階段，可以借助Access VPN方案進行作業(yè)，將其服務器增設到校園網(wǎng)絡內(nèi)，移動客戶應用專門的VPN客戶端和校園網(wǎng)絡連接，這類網(wǎng)絡連接的形式僅需要ISP提供寬帶費用或者支付費用即可，并不需要再次支付其他額外的費用。在構(gòu)建高校VPN服務器階段，以基礎環(huán)境方向為主，選擇LINUX網(wǎng)絡系統(tǒng)，對其進行實踐和證明，其系統(tǒng)的拓展性會比較強，也不需要服務等任何的費用，和Windows Server平臺進行比較，其系統(tǒng)的性能會更加的優(yōu)越。

2.2 分析安全體系需求

VPN校園網(wǎng)絡安全體系需求可以大致劃分為三類：首先是遠程網(wǎng)絡對校內(nèi)網(wǎng)絡站點所發(fā)起的訪問，大部分分校區(qū)的老師和學生都要遠程訪問該數(shù)據(jù)庫，查詢學生的個人成績/查看校內(nèi)通知等，這部分功能需求往往需要借助用戶遠程訪問的形式來實現(xiàn)。其次是分校區(qū)和主校區(qū)網(wǎng)絡互聯(lián)訪問的需求，要將分校區(qū)和主校區(qū)的業(yè)務服務整合在一起，實行校園一卡通或者創(chuàng)建專門的網(wǎng)絡通道，使得這些機密數(shù)據(jù)信息可以安全性的傳輸在分校區(qū)和主校區(qū)之間。最后是遠程用戶訪問高校圖書館資源的需求，安全性認證用戶，遠程用戶對圖書館的資源進行分配，讓其構(gòu)成用戶管理、安全防護功能融合一體的系統(tǒng)[3]。

2.3 設計方案

（1）主分校區(qū)構(gòu)建校園內(nèi)部虛擬專用網(wǎng)

使用光纖鏈路將分校區(qū)和主校區(qū)連接在一起，同時把網(wǎng)絡出口增設在分校區(qū)校園網(wǎng)絡當中，要推行學習成績以及人事檔案等相應的應用系統(tǒng)，這些系統(tǒng)在使用時，必須要經(jīng)由這一光纖鏈路。應用IPSec VPN技術去加密該鏈路當中傳輸?shù)母黜棓?shù)據(jù)信息，這樣可以保障整體網(wǎng)絡信息傳遞的安全性。如果產(chǎn)生訪問請求的用戶為普通用戶，那么就可以在設計安全方式時，允許普通用戶去訪問分校區(qū)或者主校區(qū)的網(wǎng)絡，讓其能夠感覺同處在同一個網(wǎng)絡內(nèi)。若其設置較高的安全級別，則會浪費網(wǎng)絡系統(tǒng)的資源，甚至還會導致用戶訪問的速度越來越慢，所以并不需要設置較高的安全級別。如果用戶的業(yè)務較為敏感，包含人事檔案管理或者學生成績管理等方面的內(nèi)容，那么就可以使用二層協(xié)議網(wǎng)絡隔離的形式，讓校園網(wǎng)絡和用戶先連接在一起，之后再把數(shù)據(jù)信息傳遞到校園網(wǎng)絡當中的核心交換機當中，保障分校區(qū)和主校區(qū)數(shù)據(jù)加密傳輸?shù)臓顟B(tài)。此外還需要在兩個校區(qū)內(nèi)安裝網(wǎng)絡路由器設備，不管是對方校區(qū)的網(wǎng)絡資源請求，還是數(shù)據(jù)傳輸，都需要經(jīng)過該路由設備。校園網(wǎng)絡的資源量相對來說會比較大，所以在安裝路由器時，必須要重視路由器的可靠性以及穩(wěn)定度，盡可能減小設備的成本費用。在分校區(qū)以及主校區(qū)的位置增設VPN功能的網(wǎng)絡路由設備，同時還需要對其設備進行安全的管理，創(chuàng)建VPN通道，將需要傳播、傳輸?shù)臄?shù)據(jù)信息，結(jié)合網(wǎng)絡路由方式傳輸?shù)街付ǖ牡刂穂4]。

（2）校園內(nèi)部網(wǎng)絡設置VPN服務器

若移動用戶以及遠程用戶都需要訪問校園網(wǎng)絡，那么就可以借助VPN軟件系統(tǒng)，對其數(shù)據(jù)進行加密及封裝的處理，網(wǎng)絡運營商供給極具開放性的互聯(lián)網(wǎng)服務，將其和校園內(nèi)部網(wǎng)絡連接在一起，構(gòu)建訪問虛擬專用網(wǎng)絡，也就是 Ac -cess VPN。移動用戶以及遠程用戶在發(fā)送請求連接校園網(wǎng)絡的過程中，VPN服務器要實現(xiàn)其連接的功能，使用Linux操作系統(tǒng)當做校園網(wǎng)絡，配置VPN服務的平臺，這是因為操作系統(tǒng)的擴展性會比較好，使用的靈活度會比較強，能夠穩(wěn)定進行操作。其應用優(yōu)勢要往往高于Windows平臺，在其內(nèi)部網(wǎng)絡設置中增設 IBMX 366服務器，Open VPN軟件均由SSL協(xié)議進行開發(fā)，所以在選擇VPN服務器當中，應當安裝Open VPN軟件系統(tǒng)，這樣可以創(chuàng)建出以SSL為主的VPN系統(tǒng)。SSL VPN主要是以SSL協(xié)議為基準，實現(xiàn)訪問目的VPN技術。該工作會在傳輸層上，經(jīng)過校園網(wǎng)絡當中的各個網(wǎng)絡地址轉(zhuǎn)換設備以及防護墻設備等，使得移動用戶以及遠程用戶可以隨時隨地的訪問校園網(wǎng)絡。但是移動用戶以及遠程用戶在請求訪問的過程中，往往需要借助一個校園網(wǎng)絡IP地址，所以需要架構(gòu)一臺 DHCP服務器，由該服務器供給移動以及遠程用戶IP地址。若遠程用戶想要讓其和校園網(wǎng)絡服務器連接，那么就需要得到其所配置的VPN服務器域名。在DNS服務器當中，增設該域名，保障用戶請求連接的準確性，及時的解析為DNS服務器域名。如果遠程用戶發(fā)起校園內(nèi)部網(wǎng)絡資源的訪問需求，那么就可以應用校園網(wǎng)絡供給的URL地址，向這一服務器發(fā)起連接，在得到用戶身份認證之后，結(jié)合其權(quán)限劃分指相應的服務器內(nèi)，這類遠程訪問虛擬專用網(wǎng)絡的連接形式，能夠較好避免其受到外部入侵解的攻擊和干擾[5]。

3 結(jié)語

需要站在校園網(wǎng)絡信息化建設需求的立場上進行探究，制定出更為合理的VPN技術校園網(wǎng)絡安全體系應用方案，讓移動用戶以及遠程用戶均可借助VPN通用渠道訪問校園的網(wǎng)絡資源，加密傳輸各項數(shù)據(jù)信息，避免外部非法入侵者攻擊校園網(wǎng)絡，設計更適合院校發(fā)展的VPN安全體系，認證并分析該體系的構(gòu)造過程，滿足校園對于VPN應用的各類需求。

[1]費建英.VPN技術在校園網(wǎng)絡安全體系中的應用[J].計算機光盤軟件與應用，2013（23）：22-25.

[2]劉春芝.VPN技術在校園網(wǎng)絡安全架構(gòu)中的應用[J].企業(yè)家天地（理論版），2010（05），04-06.

[3]黃磊.基于VPN技術的校園網(wǎng)絡安全體系構(gòu)建[J].赤峰學院學報（自然科學版），2016（13）：14-16.

[4]陳劍.基于上網(wǎng)行為管理和VPN的校園網(wǎng)絡安全體系的設計與實現(xiàn)[J].現(xiàn)代計算機（專業(yè)版），2010（07）：01-04.

[5]宋曉飛.基于VPN技術的校園網(wǎng)絡安全建設研究[J].電子世界，2014（06）：08-09.