顧 純，顧建榮

（上海工程技術(shù)大學(xué)信息化辦公室 上海 201620）

1 引言

隨著高校網(wǎng)絡(luò)安全建設(shè)的發(fā)展，為了進(jìn)一步提高抵御外網(wǎng)威脅的防護(hù)能力，越來越多的高校用戶將業(yè)務(wù)應(yīng)用系統(tǒng)訪問限制在內(nèi)網(wǎng)，禁止來自外網(wǎng)的訪問。師生用戶想在校外訪問校內(nèi)資源，就必須擁有校內(nèi)的合法地址，否則將無權(quán)限訪問校內(nèi)資源[1]。如何保障全校師生在校外更高效、穩(wěn)定地訪問校內(nèi)資源，也是一個(gè)必須解決的問題。

本文提出了不需要任何客戶端軟件的安裝，也不需要對(duì)服務(wù)器端進(jìn)行特殊設(shè)置，通過短時(shí)間的配置就可以為用戶提供遠(yuǎn)程訪問的解決方案，同時(shí)這種方案不需要指定客戶端設(shè)備，不需要其他的安全設(shè)備和應(yīng)用程序及插件的支持，通過利用 WebVPN技術(shù)更好地解決上述問題，提升校內(nèi)用戶的使用體驗(yàn)。

2 VPN概述

VPN是虛擬專網(wǎng)（Virtual Private Network）的縮寫，被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。傳統(tǒng)的 VPN 技術(shù)主要有PPTP、L2TP、IPSEC 和SSL VPN等。其中，PPTP 是最簡(jiǎn)單的點(diǎn)對(duì)點(diǎn)隧道協(xié)議，它使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，實(shí)現(xiàn)了從外網(wǎng)用戶端到內(nèi)網(wǎng)服務(wù)器之間數(shù)據(jù)的安全傳輸。L2TP是基于PPTP缺點(diǎn)改進(jìn)的后續(xù)版本，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道，并提供隧道驗(yàn)證。IPSEC 使用加密安全服務(wù)來保護(hù)網(wǎng)絡(luò)上的通信，支持網(wǎng)絡(luò)身份驗(yàn)證、數(shù)據(jù)源身份驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性，是擁有高安全性的VPN，其部署和管理較復(fù)雜。SSL VPN基于SSL協(xié)議，可以保證信息的真實(shí)性、完整性、保密性。用戶端使用瀏覽器與SSL VPN連接，透過HTTPS協(xié)定建立出兩端間的安全連接通道。因?yàn)镾SL協(xié)議被廣泛內(nèi)置于瀏覽器中，可以不用安裝客戶端訪問。但是，這些傳統(tǒng)的VPN方式經(jīng)常遭到用戶們的詬病，在使用過程中存在著各種各樣的問題[2]。常見傳統(tǒng)VPN主要參數(shù)比較見表1。

表1 常見傳統(tǒng)VPN對(duì)比表

通過表1，可以歸納出傳統(tǒng)的VPN主要存在以下缺點(diǎn)。

（1）安裝與配置復(fù)雜。傳統(tǒng)VPN需在終端上安裝下載客戶端或插件，并配置相應(yīng)的參數(shù)，例如目標(biāo)地址、加密類型、連接方式等，配置較為繁瑣。

（2）占用系統(tǒng)資源。傳統(tǒng)VPN需要在終端安裝相應(yīng)的嵌套插件，插件的安裝一方面讓使用體驗(yàn)變得糟糕，另一方面也是對(duì)系統(tǒng)資源的隱性開銷。

（3）兼容性要求高。傳統(tǒng)VPN對(duì)操作系統(tǒng)的兼容性有要求，不完整版系統(tǒng)或缺少系統(tǒng)補(bǔ)丁等，均會(huì)影響VPN的使用體驗(yàn)。

（4）安全系數(shù)較低。PPTP VPN使用全明文的方式進(jìn)行傳輸，任何人在中間鏈路可隨便竊取用戶信息，安全性相對(duì)較低。

（5）移動(dòng)端體驗(yàn)不佳。雖然傳統(tǒng)VPN也提供了手機(jī) APP端供用戶們使用，但是移動(dòng)客戶端在各品牌移動(dòng)終端上兼容性各不相同，同時(shí)由于一些原因，這類APP有時(shí)會(huì)被應(yīng)用商店下架，無法獲取應(yīng)用程序安裝包。

3 需求分析

為了解決傳統(tǒng)VPN存在的問題，更好地解決校外用戶訪問校園內(nèi)部資源的問題，使用一種基于Web的遠(yuǎn)程訪問系統(tǒng)，比傳統(tǒng)VPN具有更好地安全性和使用體驗(yàn)，不給管理者與用戶帶來額外的維護(hù)和使用負(fù)擔(dān)。同時(shí)，系統(tǒng)還應(yīng)該具備以下幾點(diǎn)要求。

3.1 免配置，即開即用

通過瀏覽器上實(shí)現(xiàn)遠(yuǎn)程訪問連接，不需要安裝客戶端和瀏覽器插件，也不需要安裝Java運(yùn)行庫。其架構(gòu)基于反向代理[3]。用戶只需在終端上有常規(guī)瀏覽器即可實(shí)現(xiàn)內(nèi)部資源的訪問，無需安裝任何相關(guān)插件或客戶端軟件，即開即用，方便快捷，安全高效。

3.2 統(tǒng)一認(rèn)證，分組授權(quán)

遠(yuǎn)程訪問的身份認(rèn)證需支持CAS、Radius、AD活動(dòng)目錄、LDAP、OTP動(dòng)態(tài)口令等多種認(rèn)證接入方式，滿足不同應(yīng)用場(chǎng)景的安全認(rèn)證需求。同時(shí)，對(duì)安全要求嚴(yán)格的場(chǎng)景，提供雙因子認(rèn)證，安全可靠。支持認(rèn)證多策略設(shè)置，可實(shí)現(xiàn)校內(nèi)用戶訪問不認(rèn)證，校外認(rèn)證。系統(tǒng)與現(xiàn)有認(rèn)證系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，支持接入用戶分組授權(quán)，支持權(quán)限自定義。

3.3 終端的兼容性強(qiáng)

兼容和支持各類終端，通過瀏覽器可直接使用。對(duì)操作系統(tǒng)沒有要求，不管是Windows、Linux、MAC、IOS、Android和國(guó)產(chǎn)操作系統(tǒng)都可以使用；對(duì)瀏覽器種類和軟件版本沒有要求，不管是IE、Firefox、Chrome、Safari、360、遨游等都可以用[4]。大大降低了用戶的使用門檻；對(duì)終端設(shè)備也沒有要求，不論是PC、智能手機(jī)、平板電腦都可以直接使用，并根據(jù)用戶終端的屏幕分辨率自動(dòng)適配屏幕。

3.4 部署模式靈活

部署方式支持雙機(jī)熱備模式，以旁路的方式分別部署在校園網(wǎng)的出口和內(nèi)網(wǎng)中，一臺(tái)部署于出口防火墻DMZ區(qū)域，用于接受用戶連接請(qǐng)求（稱為Master）；一臺(tái)部署于內(nèi)網(wǎng)區(qū)域，用于控制用戶連接需要訪問的內(nèi)部服務(wù)器（稱為Tunnel Controller)。連接上Master被動(dòng)接受Tunnel的連接。用戶與Master之間采用高強(qiáng)度SSL傳輸，Master與Tunnel采用RSA與AES混合加密體系，以確保數(shù)據(jù)在傳輸過程中的安全性。

3.5 用戶權(quán)限分配靈活

用戶可以根據(jù)用戶組分類進(jìn)行關(guān)聯(lián)，用戶組可以與目標(biāo)資源關(guān)聯(lián)，以限制用戶可以訪問的內(nèi)部資源。具有不同權(quán)限的用戶可以根據(jù)自己的權(quán)限靈活分配各種訪問資源[5]。用戶登錄后，擁有不同權(quán)限的用戶只顯示管理員已授權(quán)的訪問資源，方便用戶直接訪問所需資源，進(jìn)一步提高了內(nèi)部資源的安全性。

4 系統(tǒng)部署

傳統(tǒng)VPN需要安裝客戶端或者在電腦上做復(fù)雜的參數(shù)配置，還需要安裝瀏覽器插件，無論是不同的操作系統(tǒng)還是不同的瀏覽器，插件或客戶端的安裝都不相同，部分用戶很難自己安裝。而使用WebVPN系統(tǒng)，用戶們輸入統(tǒng)一身份認(rèn)證用戶名和密碼，就能直接訪問校園內(nèi)部資源，操作簡(jiǎn)單，用戶體驗(yàn)感較好。

4.1 WebVPN概述

WebVPN是一款基于瀏覽器的遠(yuǎn)程訪問控制系統(tǒng)，它區(qū)別于其他傳統(tǒng)的VPN，無需安裝任何瀏覽器插件或客戶端，即可實(shí)現(xiàn)內(nèi)部系統(tǒng)資源的外網(wǎng)遠(yuǎn)程訪問。還可以支持基于瀏覽器下的SSH、VNC、TELNET、遠(yuǎn)程桌面等超級(jí)終端類的遠(yuǎn)程訪問操作，和傳統(tǒng)VPN相比，安全性和易用性及用戶體驗(yàn)可以得到進(jìn)一步提高。它還具備以下幾種特點(diǎn)。

（1）標(biāo)準(zhǔn)HTTP協(xié)議，避免運(yùn)營(yíng)商封鎖，無需安裝瀏覽器插件與客戶端，完美兼容所有標(biāo)準(zhǔn)HTTP瀏覽器。

（2）兼容微軟、蘋果與安卓等主流系統(tǒng)的移動(dòng)端設(shè)備。

（3）隨時(shí)隨地實(shí)現(xiàn)用戶和應(yīng)用，端到端的數(shù)據(jù)SSL高強(qiáng)度加密訪問傳輸。

（4）為管理者提供基于瀏覽器實(shí)現(xiàn)SSH、VNC、TELNET、遠(yuǎn)程桌面等訪問運(yùn)維工作。

（5）應(yīng)用與訪問之間新邊界，提供基于角色、應(yīng)用和用戶組的權(quán)限控制。

4.2 部署模式

系統(tǒng)采用Master控制器+Tunnel控制器的雙機(jī)部署模式。在校園網(wǎng)出口防火墻DMZ區(qū)部署Master控制器，為校外用戶提供身份認(rèn)證、角色和訪問權(quán)限配置以及系統(tǒng)和數(shù)據(jù)的基本安全功能。校園網(wǎng)內(nèi)的服務(wù)器區(qū)，部署一臺(tái)Tunnel控制器負(fù)責(zé)與目標(biāo)系統(tǒng)連接，來進(jìn)行具體的業(yè)務(wù)權(quán)限及任務(wù)的配置與管理。這樣的部署方式可以防止大并發(fā)連接數(shù)下的單機(jī)負(fù)載過高問題。在保證系統(tǒng)安全的前提下，保證校外用戶能夠更安全地訪問校內(nèi)的資源。

用戶在校外訪問位于出口防火墻DMZ區(qū)域的Master控制器，而Master控制器與Tunnel控制器之間的數(shù)據(jù)傳輸通過AES與RSA混合加密的方式完成，用戶訪問WebVPN采用了https方式，保證了數(shù)據(jù)在傳輸過程中的安全性。通過訪問權(quán)限的設(shè)置，不同用戶組的人員只能看到管理員授權(quán)給本用戶組的資源。不像傳統(tǒng)VPN連接成功后，就可以對(duì)整個(gè)內(nèi)網(wǎng)進(jìn)行訪問，減少校園內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。

5 系統(tǒng)使用

師生用戶登錄只需要使用瀏覽器訪問系統(tǒng)，使用學(xué)校統(tǒng)一身份認(rèn)證的用戶名與密碼即可完成系統(tǒng)登錄認(rèn)證，用戶完成身份驗(yàn)證登錄過程后，點(diǎn)擊系統(tǒng)顯示頁面中的目標(biāo)鏈接就可以直接訪問。用戶資源展示頁面可以看到已經(jīng)發(fā)布的校內(nèi)網(wǎng)站和信息系統(tǒng)資源鏈接，系統(tǒng)完整的導(dǎo)航頁面，還包括業(yè)務(wù)系統(tǒng)、超級(jí)終端、圖書資源等鏈接。登錄的賬戶需要有相關(guān)訪問權(quán)限才能顯示相應(yīng)的校內(nèi)站點(diǎn)或外部圖書資源數(shù)據(jù)庫的安全鏈接，點(diǎn)擊訪問后可實(shí)現(xiàn)直接登入訪問。

在系統(tǒng)使用后發(fā)現(xiàn)，WebVPN是可以避免傳統(tǒng)VPN系統(tǒng)的缺陷，也為校外師生用戶提供一個(gè)更安全、更便捷的遠(yuǎn)程訪問校內(nèi)資源途徑。而且?guī)熒脩魺o需培訓(xùn)，即開即用。減輕了網(wǎng)絡(luò)管理人員的運(yùn)維工作量，師生用戶的滿意度也得到提升。

6 結(jié)語

WebVPN系統(tǒng)使得教師和學(xué)生在無需下載安裝客戶端程序和瀏覽器插件的情況下，更安全、方便地訪問校園資源和業(yè)務(wù)系統(tǒng)，具有更好的兼容性和使用體驗(yàn)。與校內(nèi)統(tǒng)一身份認(rèn)證系統(tǒng)做對(duì)接后，實(shí)現(xiàn)校內(nèi)外無感知訪問，使得師生用戶更簡(jiǎn)單、安全地訪問校內(nèi)系統(tǒng)和資源，進(jìn)一步提升用戶體驗(yàn)。統(tǒng)一的訪問入口與校外安全訪問，構(gòu)建了一個(gè)全方位的信息化平臺(tái)，能隨時(shí)隨地進(jìn)行訪問與管理校內(nèi)各種業(yè)務(wù)系統(tǒng)，使得學(xué)校業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)多路的、及時(shí)的、高效便捷的使用與管理。