基于VPN技术的校园网远程资源利用研究

2009-02-04 05:35许桂芳
广东教育·职教版 2009年11期
关键词:校园网

许桂芳

摘要: 本文分析校园网资源远程访问的需求,提出采用VPN技术解决方案,在公用网络中建立专用的数据通信网络,实现高校师生远程快速安全地从校外访问校内网络资源,实现资源的有效利用。

关键词:VPN 校园网;利用研究

近年来,随着校园网网络教学资源的日益丰富,网络应用日渐成熟,学校师生对校园网资源的依赖性越来越大。但由于安全性及知识产权的限制,这些资源大多只能在校园内访问,而很多学校存在教师部分或全部住在校外等情况,校园网资源远远无法得到充分利用。因此,借助VPN技术,能够满足校外师生随时随地获取校园网资源,极大方便教师移动备课和学生数字化学习,能够有效提高教学质量。

一、校园网资源远程访问的需求

校园网资源的远程访问,最主要解决的问题有五大方面:

(一)支持多种应用。

多数校园网资源为了保证数据信息的知识产权,浏览者主机必须是已缴纳版权费的校园网内网IP地址才能实现对校园网内资源的访问。这些应用系统不仅是Web访问,还包括了mail、FTP等多种协议,系统架构有B/S结构,也有C/S结构。

(二)提供细粒度访问控制。

校园网资源的开放必然会导致安全性的降低,而不同身份的用户对资源的使用权限也不一样,需要针对师生用户的不同要求,通过设定不同的角色和访问权限等加以限制。

(三)安全性要求高。

校外访问有时无法辨别身份,同时当用户使用公用计算机进行操作时也会有一定的安全漏洞,用户计算机也有可能存在中病毒等情况,所以当用户使用不安全的计算机通过VPN访问校内网时,会给内网带来安全隐患。因此,要求VPN认证网关有相应的认证措施,加密措施及用户记录清除措施。

(四)满足不同用户环境访问。

用户所处外部环境通常都很复杂,包括从电信、联通、铁通等不同ISP接入到公网来访问学院校园网,所以在部署上会较为复杂。

(五)使用便捷,方便管理。

由于用户较分散,用户对计算机的熟悉程度也不同,所以VPN网关设备的设置,必须具备一定的简易程度与高灵活度等特性,以满足不同地点和不同上网方式需求的弹性空间,实现客户端进行轻松的VPN连机,同时也方便网管进行远程控管。

二、VPN技术

VPN指的是依靠ISP和其他NSP,在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。这种连接再通过对用户的身份验证、地址管理、数据加密以及密钥管理等特殊管理功能,保证了合法用户在校外访问校内电子资源的权利,并使访问的安全性得到了大大提高。由于虚拟专用网技术将校园网之外的远程终端或局域网以虚拟网络的形式纳入到校园网之内,所以校外合法用户经身份验证后就可以像校内用户一样使用校内的电子资源。

(一)VPN技术选择。

目前VPN技术国际上比较流行的协议主要有 IPSec、MPLS、SSL等,这些的协议各有其独特的优势和缺陷。

第一,由于MPLS VPN的构建需要全网路由转发设备都支持MPLS协议,因此多为网络运营商部署。

第二,IPSec VPN在一组基于密码学的安全的开放网络安全协议体系之上,通过为通信双方建立一个安全隧道来保障通信安全。但是,IPSec VPN需打开多个端口,且每个客户端都需要安装并配置好客户端软件才能建立连接,当网络环境发生变化时,VPN的管理难度将呈几何级数增长,并不适用分散移动用户的远程安全接入。

第三,SSL(Secure Sockets Layer)安全套接层协议是由Netscape公司设计的基于Web应用的安全协议,它指定了一种在应用程序协议(如Http、Telnet、SMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便可能带来的大量病毒和蠕虫的入侵等问题。SSL VPN的缺点是仅支持有限的Web应用。

显然, 针对学校主要访问WEB、FTP、Email等应用、大量师生需从校外远程访问的需求现状,SSL VPN 的应用特点更适合应用于远程移动分散用户的安全接入。

(二)SSL VPN实现方式。

SSL VPN基本组件包括VPN网关和客户端,VPN网关类似网关服务器,是实现外网到局域网连接的设备,它的一端连接企业内部的局域网络,另一端则接入公共网络。

当一个位于公共网络线路上的用户需要访问校园内部网时,用户的上网设备称为客户端,他需要设置一个用于VPN的虚拟拨号连接,对应的IP地址和帐号密码均由校园内架设的 VPN网关提供。所需的操作过程与平时上网没什么两样,当通讯链路成功建立后,这台计算机就被视为校园局域网中的一台内部计算机,进行方便快捷的资源共享与数据交换。

根据VPN网关的搭建方式,SSL VPN可以有以下几种实现方式:

1. 基于VPN软件(VPN服务器)的系统。

基于独立VPN软件的系统解决方案主要是在路由器上做相应的端口映射到主机,再采用VPN软件构建VPN服务器,提供远程客户端的访问。一般LINUX操作系统可以采用openVPN等软件来配置服务器,而WINDOWS server操作系统本身就集成了VPN远程访问服务器。基于独立VPN软件的系统解决方案优点是配置简单,在校园网现有设备基础上实现,无需另外增加设备,更为灵活。但是,建出的VPN不稳定,难以管理,安全方面也会受到影响。在性能要求不高的情况下软件产品可能是最好的选择。

2.基于含VPN防火墙的系统。

一个防火墙VPN本质上是一个带有增强的安全和防火墙功能的远程访问VPN,基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。使用基于防火墙的VPN很经济,而且易于加固和管理。但是,这要求必须学校本身防火墙支持SSL协议,这有一定局限性。

3.基于专业的VPN硬件产品的系统。

基于硬件的VPN产品是由专业公司研制的高度集成化VPN产品,结合了业界领先的高速路由技术及VPN服务套件,集成了VPN隧道的关键特性如:数据加密、安全、高级带宽管理和服务级确认,具有企业级防火墙功能、多WAN口路由功能、专业VPN功能等,能利用它的防火墙对内网机器进行限制、划分Vlan、QoS、行为管理等。同时一般这些公司会开发增强安全、认证等方面功能的客户端软件。这种解决方案优点在于解决方案简单、高安全性以及管理方便,但是投入相对较大。

在VPN产品和解决方案的选择上学校可以根据访问量的需求和所能投入的资金预算进行灵活配置。本文主要介绍采用通用的SSL VPN网关产品进行VPN的部署的基本方法。

三、校园网VPN的部署

校园网SSL VPN 可采用路由模式部署、透明模式部署、单臂路由模式、混合部署和集中管理模式等多种部署,可根据网络规模不同设置进行不同的部署。路由模式部署、透明模式部署由于部署在出口,容易在出口处形成瓶颈。一般为了不造成访问的压力,学校SSL VPN采用单臂路由方式接入网络,在原有网络不做任何改动的情况下,终端用户通过VPN安全访问内网资源。移动用户可以同时访问Internet数据和企业内部网络数据,彼此之间不会有任何干扰。管理员可以在不变动原有网络的情况下,将SSL VPN看作内网的一台主机,直接放置在网络中使用,降低了用户管理和使用的复杂度(见下图)。

对SSL VPN服务器配置完成后,用户通过在客户端浏览器输入 https://VPN的地址,即可看到登陆界面。目前为了解决SSL VPN对非Web的应用程序的支持,许多VPN厂商在他们的SSL VPN设备上使用Java、JavaScript、ActiveX和Flash应用程序等组件,这些组件通过不同方式(生成软件网卡、截获TCP/IP协议栈的网络数据等方式)使非Web的应用程序通过SSL隧道传输,从而实现对非Web的应用程序的支持。如果是专业VPN产品在每台主机第一次登录SSL VPN会自动弹出客户端插件要求安装,按提示安装后才能完成链接,此后可信任资源的访问都将通过SSL VPN加密传输。

因此,通过SSL VPN加密的虚拟专网接入方式,不需要做任何的设置,在统一的认证平台上,通过教师证号、学号等就可以实现单点登陆,对校园网资源、进行快速远程安全访问,实现资源的共享,促进了学术交流,使校园网资源得到更充分的利用,社会效益较大。

(作者单位:广东金融学院计算机网络与教育技术中心)

参考文献:

[1]付向东,孙宁,王焕民.基于VPN技术的校园网教学资源远程访问[J].电化教育研究,2009,(2):84.

[2]闫晓弟,耶健.基于VPN的电子资源远程访问系统的研究与实现[J].情报杂志,2009,(8):159.

[3]马进宝.用VPN技术实现用户远程访问校园网资源[J].漳州师范学院学报(自然科学版).2008,(3):121.

责任编辑朱守锂

猜你喜欢
校园网
中职学校校园网教育功能应用现状及对策的研究
高职院校校园网应用存在的问题与对策
网络安全技术在校园网中的应用
校园网如何为大学生提供安全可控的情绪宣泄环境的研究与实践
高校网络管理问题及对策初探
校园网贷 今生后世