金磊，王佶， 陳賢，徐鋒

（1.浙江大學信息技術(shù)中心，浙江杭州，310000；2.溫州職業(yè)技術(shù)學院，浙江溫州，325035）

隨著信息技術(shù)的發(fā)展，在家辦公、在家學習成為高校師生工作學習的新常態(tài)，遠程訪問數(shù)據(jù)庫資源、教學資源，校內(nèi)辦公平臺等需求成為學校日常工作中不可或缺的部分。部分重要的內(nèi)網(wǎng)數(shù)據(jù)資源，不能在公網(wǎng)上交互，這就要求校方提供一套支持內(nèi)網(wǎng)訪問的遠程訪問控制系統(tǒng)來實現(xiàn)這部分需求。否則會嚴重影響學校的教學科研工作，所以一套遠程訪問控制系統(tǒng)成為各大高校必不可少的一項工具。傳統(tǒng)的校外訪問技術(shù)PPTP、L2TP、SSLVPN等存在客戶端及插件兼容性欠佳、對移動設(shè)備支持弱、網(wǎng)絡(luò)配置復(fù)雜、易受運營商封鎖等問題[1]。一種基于Web域名改寫技術(shù)的校外訪問控制系統(tǒng)（WebVPN）受到各大高校的青睞。

1 校外訪問技術(shù)使用的基本情況

目前高校常見的校外訪問場景有：在校外訪問學校內(nèi)網(wǎng)資源和在校外訪問圖書館訂購數(shù)據(jù)庫資源。特別是圖書館數(shù)據(jù)庫資源，區(qū)別與企業(yè)場景的VPN需求，這類資源發(fā)布在公網(wǎng)環(huán)境下，但是其通過IP認證的方式確認訪問權(quán)限，這就要求在校外的師生必須拿到學校的IP地址，通過認證授權(quán)的IP才能正常訪問。通過對國內(nèi)C9高校的調(diào)研，目前所有學校均提供的校外訪問服務(wù)，其中SSLVPN和WebVPN為最主要的服務(wù)技術(shù)。具體情況如表1所示。

表1 C9高校校外訪問服務(wù)

目前，所有學?？√峁﹥煞N及以上的遠程訪問方式。最普遍的PPTP/L2TP/IPSec和SSLVPN方式均屬于VPN技術(shù)，這種技術(shù)在三層網(wǎng)絡(luò)協(xié)議下構(gòu)建了一種通信環(huán)境，在該環(huán)境內(nèi)用戶訪問受到控制，允許主機在授權(quán)的范圍內(nèi)通過建立的VPN隧道進行交互訪問。而WebVPN則是通過代理服務(wù)的方式，運用URL改寫技術(shù)，將用戶請求指向代理服務(wù)器。相應(yīng)的代理服務(wù)器獲取真實的訪問地址頁面后，再發(fā)送給用戶[2]。具體功能對比如表2所示。

表2 校外訪問技術(shù)對比

相比較而言PPTP/L2TP/IPSec服務(wù)存在用戶使用難度大、易受運營商封鎖、兼容性適配性差、運維難度大、系統(tǒng)資源消耗高 等問題[1、2]。傳統(tǒng) VPN接入存在的不足大致可以總結(jié)為：（1）PPTP VPN 雖然適用性廣，但是其使用全明文的傳輸方式，存在中間鏈路可隨時被竊取信息的風險，安全性教低，現(xiàn)處在產(chǎn)品生命的末期。（2）Ipsec VPN 擁有很高的安全性，但是對用戶要求較高，需要配置客戶端。（3）SSL VPN 支持無客戶端連接，但是需要在瀏覽器上安裝相應(yīng)的插件，插件對于 IE、Chronme、Firefox 等不同瀏覽器的兼容情況各不相同，影響用戶體驗。（4）終端要求高。傳統(tǒng) VPN 對操作系統(tǒng)兼容性有要求，一般僅支持 windows 系統(tǒng)，對蘋果 Mac 系統(tǒng)的兼容性不佳。（5） 鏈路影響大。傳統(tǒng) VPN 有時會遇到連接不穩(wěn)定的情況，主要原因為鏈路問題，或 VPN 業(yè)務(wù)端口被封鎖。（6） 移動端體驗不佳，雖然傳統(tǒng) VPN 也提供了手機 App 供使用者在移動端使用，但是客戶端在各個品牌手機上兼容性各不相同，同時由于某些原因這類App存在被應(yīng)用商店下架的風險，無法獲取?；谝陨细鞣N原因，需要有一種便捷的遠程安全訪問內(nèi)網(wǎng)解決方案。多數(shù)高校目前主要使用SSLVPN和WebVPN兩種相結(jié)合的方式提供服務(wù)。針對以Web頁面需求為主的用戶，推薦使用WebVPN服務(wù)，這種方式可以讓用戶免去下載客戶端、配置VPN參數(shù)的環(huán)節(jié)，門檻較低，用戶使用體驗較好；對于有一定計算機水平能力的客戶，且在日常工作學習中有使用SSH、TELNET、遠程控制等應(yīng)用需求的用戶推薦使用SSLVPN服務(wù)，SSLVPN服務(wù)可以建立起網(wǎng)絡(luò)層面的交互，用戶本機內(nèi)的Web、應(yīng)用程序均可通過隧道進行交互，應(yīng)用更加廣泛。

2 WebVPN的易用性

校外訪問系統(tǒng)面向的全校師生開放，計算機水平參差不齊，過高的使用門檻將極大的降低用戶的接受度，也給前臺帶來大量的咨詢工作。而過于簡單的系統(tǒng)設(shè)計又會給內(nèi)網(wǎng)帶來安全性問題。因此兼顧安全和易用的WebVPN就成了很好的一個選擇。

相比傳統(tǒng)校外訪問控制系統(tǒng)需要用戶下載客戶端或者插件，并需要在客戶端內(nèi)配置訪問地址，訪問協(xié)議等參數(shù)，WebVPN實現(xiàn)即開即用。普通用戶在使用WebVPN服務(wù)時，只需要在瀏覽器中打開WebVPN頁面，進行登錄授權(quán)后即可訪問內(nèi)部系統(tǒng)。WebVPN采用標準的HTTP協(xié)議，能兼容所有標準HTTP的終端，支持包括Windows、Linux、Ios、Android等多種操作系統(tǒng)，提供統(tǒng)一標準的訪問入口和操作界面，將配置工作上移至服務(wù)器側(cè),實現(xiàn)用戶側(cè)的“零配置”。從用戶使用感受角度，WebVPN更接近于打開一個Web網(wǎng)站形式的資源，通過服務(wù)側(cè)的配置，提供相應(yīng)的訪問權(quán)限。

3 WebVPN的易維護性

區(qū)別傳統(tǒng)VPN設(shè)備需要串聯(lián)進現(xiàn)有網(wǎng)絡(luò)的部署方式，WebVPN可采用旁路模式部署，無需對現(xiàn)有網(wǎng)絡(luò)進行改造，且大部分廠商支持虛擬機模式部署，不需要占用額外的機房空間，通過現(xiàn)有的虛擬機就可實現(xiàn)遠程部署，施工周期進步一縮短。部署完成后的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 WebVPN平臺拓撲

WebVPN提供便捷的資源配置及權(quán)限管理能力。傳統(tǒng)的校外訪問技術(shù)大部分工作在網(wǎng)絡(luò)層，通過下發(fā)IP地址并對下發(fā)的地址進行路由控制實現(xiàn)校內(nèi)訪問。在以往的工作經(jīng)驗中，該種模式主要存在以下3點缺陷：校內(nèi)的內(nèi)網(wǎng)地址與用戶所在局域網(wǎng)地址沖突、默認路由走校內(nèi)存在接口流量過高風險、圖書館數(shù)據(jù)庫資源配置繁瑣等問題。

WebVPN產(chǎn)品則正好彌補了以上3點不足。首先WebVPN工作在應(yīng)用層，不向終端下發(fā)地址及路由表，避免了地址沖突的問題。用戶在登錄WebVPN過程中，平臺并沒有下發(fā)內(nèi)網(wǎng)地址到用戶側(cè)，僅僅是將用戶端與WebVPN服務(wù)端建立了一個http的鏈接，對于客戶端原有的三層網(wǎng)絡(luò)沒有任何影響。因此用戶可以實現(xiàn)本地內(nèi)網(wǎng)和遠程內(nèi)網(wǎng)的并行訪問，互不影響。

其次WebVPN僅對在平臺內(nèi)授權(quán)的資源通過平臺訪問，公網(wǎng)資源仍通過用戶原有的網(wǎng)絡(luò)通道分發(fā)，實現(xiàn)校內(nèi)校外兩張網(wǎng)并行的模式，避免了非校內(nèi)流量占用學校帶寬資源的問題。同時在WebVPN后臺可以設(shè)置黑名單模式，將優(yōu)酷、騰訊視頻等大流量非教學類網(wǎng)站禁止通過內(nèi)網(wǎng)去訪問。在多用戶、大流量并發(fā)的校外訪問場景下，采用WebVPN方案能更高效地利用學校的帶寬資源。Webvpn提供Web頁面的訪問模式，區(qū)別與傳統(tǒng)的VPN，在操作系統(tǒng)上控制內(nèi)網(wǎng)訪問數(shù)據(jù)流的分發(fā)，WebVPN在頁面端提供一種類似于嵌入式應(yīng)用的操作體驗，用戶在該頁面下的操作通過服務(wù)器進行代理轉(zhuǎn)發(fā)，計算機內(nèi)的其他應(yīng)用程序、操作系統(tǒng)流量等都不在代理范圍內(nèi)。

第三點，在圖書館數(shù)據(jù)庫的訪問問題上，傳統(tǒng)VPN需要配置域名地址，包括頁面調(diào)用的域名地址也需同步配置，容易出現(xiàn)漏配，錯配等現(xiàn)象。WebVPN基于URL改寫技術(shù)的方案，不需要再進行域名配置即可訪問。所有經(jīng)URL改寫頁面跳轉(zhuǎn)的鏈接全部指向WebVPN服務(wù)器側(cè)，再由服務(wù)器發(fā)起對真實目的地址的訪問，實現(xiàn)了訪問地址校內(nèi)外IP轉(zhuǎn)換。同時，由于地址改寫及應(yīng)用層訪問的特性，WebVPN也有效的避免了數(shù)據(jù)庫惡意下載的問題，用戶無法通過批量下載軟件，或者爬蟲等工具對數(shù)據(jù)庫資源進行非法獲得。用戶只被允許在規(guī)定的http環(huán)境下，通過點擊獲取，極大的規(guī)避了惡意下載的風險。

4 WebVPN的安全性

WebVPN服務(wù)器部署在防火墻旁路，在外網(wǎng)用戶看來相當于一臺內(nèi)網(wǎng)服務(wù)器。當外網(wǎng)用戶端嘗試訪問內(nèi)容服務(wù)時，其連接會被WebVPN解析，然后通過防火墻中的特定通道將用戶端的請求發(fā)送到內(nèi)網(wǎng)服務(wù)器。內(nèi)網(wǎng)服務(wù)器再通過該通道將結(jié)果傳送回WebVPN服務(wù)器，WebVPN服務(wù)器再將結(jié)果發(fā)送回用戶端。如果內(nèi)容服務(wù)器返回錯誤消息，WebVPN服務(wù)器會截取該消息并更改標頭中列出的地址，然后再將消息發(fā)送給用戶端。這樣可以防止用戶端取得內(nèi)網(wǎng)服務(wù)器的重定向地址。這樣相當于WebVPN服務(wù)器在內(nèi)網(wǎng)服務(wù)器與可能遭到的惡意攻擊之間提供了一道屏障，向內(nèi)網(wǎng)服務(wù)器發(fā)起的攻擊行為會先指向WebVPN服務(wù)器，攻擊者充其量僅能獲取一個攻擊事件所涉及的數(shù)據(jù)，而不能存取整個數(shù)據(jù)庫，保證了內(nèi)網(wǎng)服務(wù)器的安全。

WebVPN賬號系統(tǒng)支持對接CAS、Radius、LDAP等多種認證接入方式，可以滿足目前各高校的認證系統(tǒng)，實現(xiàn)統(tǒng)一身份認證，支持接入用戶分組授權(quán)，支持權(quán)限自定義。對安全較高的應(yīng)用場景，提供多因子認證，確保網(wǎng)絡(luò)的安全性。

WebVPN基于URL改寫的鏈接方式，一定程度上可以保證了內(nèi)網(wǎng)的安全性。通過改寫鏈接，避免外部終端與內(nèi)部終端的直接通信，減少了病毒在內(nèi)網(wǎng)傳播的風險。同時WebVPN不支持 Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等應(yīng)用，降低了服務(wù)器受到網(wǎng)絡(luò)攻擊的風險。

5 結(jié)語

WebVPN作為校外訪問控制系統(tǒng)的一種選擇，因其部署便捷、操作簡單的特性受到各大高校的青睞。但因其基于HTTP架構(gòu)，無法提供如SSH、TELNET、遠程桌面、APP接入等服務(wù)，在應(yīng)用上存在一定的局限性?，F(xiàn)有部分廠商已實現(xiàn)了基于http頁面下的SSH、TELNET、遠程桌面等應(yīng)用服務(wù)。WebVPN的能力越來越完善，功能也越來越全面。Webvpn 技術(shù)在高校中的應(yīng)用，讓廣大師生能夠安全、便捷地在校外訪問內(nèi)部圖書館數(shù)據(jù)庫資源及校內(nèi)業(yè)務(wù)系統(tǒng)，無需下載安裝客戶端程序及瀏覽器插件，擁有更好的兼容性和良好的使用體驗。

未來，高校的信息化建設(shè)中對校外訪問控制的要求，依舊會朝著更便捷、更簡單、更安全的方向發(fā)展，最終實現(xiàn)無插件、無感知的訪問[3]。隨著校外訪問技術(shù)的革新和推進，接入必將融合多種技術(shù)，優(yōu)化組合，滿足數(shù)字化校園的多種接入需求，具備良好的兼容性，實現(xiàn)更高的訪問速率和更精細化的業(yè)務(wù)權(quán)限管控?？梢灶A(yù)見，在不久的將來，遠程訪問技術(shù)在校園信息化中占據(jù)越來越重要的地位。