◆王巖紅

基于VPN技術的校園網(wǎng)多場景安全保障策略研究

◆王巖紅

（廣東外語外貿(mào)大學網(wǎng)絡與信息化中心 廣東 510420）

出于安全考慮，高校校園網(wǎng)越來越趨向多數(shù)業(yè)務系統(tǒng)只允許內(nèi)網(wǎng)訪問，而用戶卻越來越趨向在校園網(wǎng)的范圍外進行網(wǎng)上活動，本文探討了如何利用VPN技術在校園網(wǎng)多場景下適應這兩種需求。

校園網(wǎng)；網(wǎng)絡安全；VPN

隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，高校內(nèi)部的各種類型的網(wǎng)站和應用系統(tǒng)也越來越多，越來越復雜，師生們對各種校內(nèi)業(yè)務便捷化的需求也越來越高。由于新時期下，互聯(lián)網(wǎng)上的安全威脅也日益增加，針對高校的數(shù)據(jù)竊取及網(wǎng)絡攻擊的活動也非常頻繁。在這種大環(huán)境下，校園網(wǎng)的安全策略更加注重內(nèi)網(wǎng)的防護，出口防火墻都會對這些網(wǎng)站和業(yè)務系統(tǒng)有所限制，只有少部分是對校外開放的，而更多的都是只允許在校園網(wǎng)內(nèi)網(wǎng)的范圍內(nèi)進行訪問。這時候VPN技術就為校外用戶訪問校內(nèi)業(yè)務的連續(xù)性提供了保障。本文通過對校園的多個場景下的業(yè)務需求進行分析，在兼顧安全和便捷的情況下，對如何利用VPN技術維持業(yè)務連續(xù)性進行了探討。

1 VPN技術發(fā)展概述及SSL VPN的優(yōu)勢

VPN（Virtual Private Network）是指通過公共網(wǎng)絡將物理上分布在不同地點的多個私有網(wǎng)絡或網(wǎng)絡節(jié)點組成邏輯上的虛擬專用網(wǎng)絡[1]。同時為防止信息的泄露、篡改，采用了隧道技術、數(shù)據(jù)加解密技術、密鑰管理技術、訪問控制技術等措施，來保障信息在網(wǎng)絡上的傳輸安全。VPN按技術分為基于第二層隧道技術的VPN（L2F/L2TP/PPTP）、IPSec VPN、SSL VPN等。在實際的應用中SSL VPN 憑借著易部署、維護管理成本低、訪問控制靈活、適應性強等優(yōu)勢獲得了廣泛的應用。

2 高校校園網(wǎng)外網(wǎng)訪問需求分類及特點

2.1 校園網(wǎng)內(nèi)的資源按內(nèi)容分類

（1）校內(nèi)各業(yè)務系統(tǒng)。高校的各業(yè)務部門都根據(jù)自身需要開發(fā)了一系列的業(yè)務系統(tǒng)，如教務系統(tǒng)、選課系統(tǒng)、人事系統(tǒng)、薪酬系統(tǒng)、一卡通系統(tǒng)、資產(chǎn)系統(tǒng)、就業(yè)系統(tǒng)等等。

（2）圖書館數(shù)字資源。由于教學科研的需求，高校的圖書館都會購買很多電子數(shù)據(jù)庫資源，例如中國知網(wǎng)、百度文庫、各種外文期刊數(shù)據(jù)庫等。這些數(shù)字資源一般都是通過學校網(wǎng)絡出口IP范圍注冊的。也就是說，只有當這些IP范圍內(nèi)的IP訪問這些數(shù)據(jù)庫資源的時候，才可以進行瀏覽下載操作。簡言之，就是只有在校園網(wǎng)內(nèi)網(wǎng)才能訪問這些圖書館資源。

（3）校內(nèi)業(yè)務服務器資源。校內(nèi)各單位業(yè)務系統(tǒng)也分別對應著很多服務器資源，這些資源一般都集中在學校網(wǎng)絡部門維護的機房內(nèi)，一般都配置的是內(nèi)網(wǎng)IP。

2.2 按訪問需求途徑分類

（1）通過WEB瀏覽器訪問校內(nèi)業(yè)務

由于瀏覽器訪問模式的普適性更強，現(xiàn)在高校內(nèi)的業(yè)務系統(tǒng)絕大部分都是B/S結構的，C/S結構的業(yè)務系統(tǒng)正在被淘汰或轉型為B/S結構。無論是PC，還是移動設備（手機或平板類移動設備），用戶都可以通過使用各種WEB瀏覽器對業(yè)務系統(tǒng)進行訪問

（2）通過學校APP、微信公眾號及小程序訪問校內(nèi)業(yè)務

隨著移動互聯(lián)網(wǎng)的蓬勃發(fā)展，各高校都開發(fā)了針對本校業(yè)務的APP、微信公眾號及小程序為全校師生提供便捷的業(yè)務服務。

93通過PC中的應用程序遠程維護校內(nèi)業(yè)務設備

高校信息化建設和維護部門的人員，以及校內(nèi)各單位業(yè)務系統(tǒng)供應商的系統(tǒng)維護人員，為了快速部署、維護巡查，及時處理故障，都迫切需要通過PC中的應用程序遠程對校內(nèi)的業(yè)務服務器進行維護。

3 對應各個需求的VPN解決方案

SSL VPN 主要功能包括虛擬網(wǎng)關、WEB代理、文件共享、端口轉發(fā)、網(wǎng)絡擴展、用戶安全控制和完善的日志功能等。虛擬網(wǎng)關可以實現(xiàn)針對不同需求的用戶部署不同應用資源的模塊化管理；WEB代理實現(xiàn)了無客戶端的頁面訪問方式，充分體現(xiàn)了它的易用性[2]。高校中實際遇到的問題，都可以通過SSL VPN技術來實現(xiàn)。SSL VPN部署簡單，可以單臂接入原有網(wǎng)絡中，對原有的校園網(wǎng)拓撲結構影響很小，其接入結構如圖1。

圖1 VPN業(yè)務場景及接入位置示意圖

3.1 通過基于SSL VPN的Webvpn技術，解決通過WEB瀏覽器訪問校內(nèi)業(yè)務和圖書館資源的問題

Webvpn基于反向代理技術，區(qū)別于傳統(tǒng)VPN技術，Webvpn無需用戶安裝客戶端軟件及瀏覽器插件，用戶只需進入Webvpn頁面，輸入用戶名密碼，通過身份驗證即可登錄VPN訪問內(nèi)網(wǎng)資源，真正做到了即開即用[3]。

通過將校內(nèi)資源在提供Webvpn服務的設備后臺進行資源配置，用戶在打開Webvpn的登錄頁面輸入用戶名和密碼后，就可以方便地從瀏覽器頁面上選取可以訪問的校內(nèi)資源，不增加用戶任何負擔，簡單直接，方便易用?？梢院芎媒鉀Q用戶通過WEB瀏覽器訪問校內(nèi)業(yè)務和圖書館資源的問題。

3.2 通過在調(diào)用廠商提供的SDK程序，解決在手機端校園移動門戶無感登錄問題

當手機用戶訪問校園網(wǎng)移動門戶的時候，如果登錄IP不在校園網(wǎng)內(nèi)網(wǎng)，可以通過調(diào)用VPN廠商提供的SDK程序，使ticket在校內(nèi)的CAS統(tǒng)一身份認證系統(tǒng)中進行認證對接以實現(xiàn)單點登錄，用戶登錄統(tǒng)一身份認證平臺后自動完成VPN認證及校內(nèi)門戶系統(tǒng)的認證，從而實現(xiàn)外網(wǎng)用戶無感知訪問校內(nèi)移動門戶。

3.3 通過將廠商提供的SDK包透明集成到APP應用中，實現(xiàn)APP中集成VPN功能的封裝

利用廠商提供的安全加固SDK自動封裝增值方案，無需APP開發(fā)商開發(fā)人員配合，通過上傳、封裝、下載3個動作，5分鐘內(nèi)完成安全加固SDK封裝[4]。從而實現(xiàn)在登錄APP的過程中，就建立了VPN的安全連接，為訪問問校內(nèi)業(yè)務時的連續(xù)性提供了便捷和保障。

3.4 通過SSL VPN客戶端解決通過PC中的應用程序遠程維護校內(nèi)業(yè)務服務器的問題

對于需要通過PC中的應用程序遠程維護校內(nèi)業(yè)務的用戶來說，還是需要安裝SSL VPN的客戶端，通過登錄客戶端從而建立起從外網(wǎng)到內(nèi)網(wǎng)的專用隧道，來進行更加多樣化需求的遠程業(yè)務系統(tǒng)服務器維護。

4 結束語

隨著高校對安全需求的場景增多，VPN技術也隨之進化出適應校園網(wǎng)多場景的安全保障辦法。只要我們規(guī)劃好，利用好這項技術，就可以達到我們兼顧校園網(wǎng)安全和用戶使用便利的目的。

[1]黃超，王勇. VPN技術在校園網(wǎng)絡安全體系中的應用研究[J]. 網(wǎng)絡安全技術與應用，2016（11）.

[2]王慶剛，向文. 關于高校網(wǎng)絡中VPN技術的探究[J]. 網(wǎng)絡安全技術與應用，2018（6）.

[3]強焜. Webvpn在高校內(nèi)網(wǎng)訪問中的運用[J]. 計算機產(chǎn)品與流通，2019.

[4]深信服SSL VPN產(chǎn)品技術白皮書. 深信服科技，2015.