VPN技术在信息化校园建设中的应用

祝永健

摘要：在信息化校园建设需求的推动下，学校计算机软硬件资源日趋完备、各种设施相对齐全，随着网络技术的不断发展和进步，师生对静态资源共享、动态信息发布、远程教学和协作工作的要求日益强烈，如此背景下采用合理的VPN方案既可以很好地利用Internet的丰富资源又能够保证数据传输的安全性。

关键词：VPN；信息化校园；应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）32-7692-02

信息技术的长足发展，带来了教育教学模式与方法的重大变革，越来越多的学校建立了校园网，为师生提供着丰富的办公教学资源，给予师生教学、科研等信息交流以极大的便利，同时也有效拓展了师生的教科研空间与时间。满足师生在校外能利用计算机随时随地通过互联网较安全地访问学校内部网络资源也成了信息化校园建设的一种必然需求。VPN技术以其速度快、资费低、可扩展性强、不安全因素少等特点在信息化校园建设中得到了的发展和应用。

1VPN概述

目前接入网方式还是很多的，不同的方式有不同的特点和应用领域，VPN（VirtualPrivateNetwork，虚拟专用网络）是非常常见的方式之一。通常用以实现相关组织或个人的开放式、分布式的公用网络的安全通信。其实质是，在公用网络中建立专用的数据通信网络，从而实现以极低的资费为远程用户提供能和专用网络相媲美的保密通信服务。

2VPN技术的现状

今日的VPN技术在全球的信息安全体系中发挥着重要的作用，已不只是一个单纯的经过加密的访问隧道，它融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，安全与服务质量是VPN的技术保障。近年来VPN发展有以下特点：（1）VPN产品需要同时具有SSLVPN和IPSecVPN的功能；（2）需要VPN产品具有高可用解决方案，越来越多地系统运行在VPN产品之上；（3）需要VPN解决方案必须具有更高级别的高可靠性水平，越来越多的数据通过VPN系统进行传输；（4）VPN方案及产品的易操作性要求越来越高；（5）VPN解决方案的兼容性要求越来越高，用户希望能把防火墙、网关杀毒、垃圾邮件过滤等实用功能集成于一体；（6）有效保证VPN项目中的投资，减少浪费以及保证产品能够持续使用。

3VPN服务于信息化校园建设的必然性

信息化校园，就是一个数字化、网络化、智能化和多媒体化有机结合的新型教学和科研的校园平台。培养善于获取、加工、处理和利用信息与知识的学生是建设信息化校园的主要目标。其核心技术是网络技术，通过网络技术实现信息和知识资源的充分共享。随着网络技术的不断发展和进步，信息技术在教育领域的应用也一样在发生着改变，从最初的计算机辅助教学到现在的网络化教学、多媒体教学和信息化校园，并且发展到了支持校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作等需求的新阶段，构建一个安全可靠、性能卓越、易于管理的校园网络成为必然。在信息化校园建设中引入VPN技术，利用公共通信线路，解决外联信息交换面临的安全威胁以及分校区办公和在外工作人员的安全接入问题，保持传输的信息和数据的隐蔽性和安全性是一个很好的选择。

4VPN在信息化校园中建设中的应用

1）VPN在信息化校园中建设的方式选择

VPN的建立有三种方式：一是由ISP（互联网服务提供商）建设，对学校透明；二是学校自身建设，对ISP透明；三是ISP和学校共同建设。因学校内部网络已建立，在校园网基础上建立VPN，对ISP透明，这种方案比较适合。

2）VPN在信息化校园中建设的平台选择

VPN的实现平台一般有三种：专用硬件平台、辅助硬件平台及纯软件平台。所谓的硬件可以是路由器，将VPN软件记载在路由器之上，它在实现路由功能的同时也有VPN连接的功能；也可以是防火墙，在防火墙上也能实现VPN功能；或者是专用的VPN硬件设备，具有VPN连接的专有功能，并且数据加密性也由硬件来实现，数据安全性更高。专用硬件平台需要投资大量的硬件设备，成本太高，一般学校出于对成本的考虑，会优先考虑选择纯软件平台和辅助硬件平台这两种。在对数据连接速率要求不是很高，对性能和安全性要求不强时，可以利用AventailCorp和CheckpointSoftware等公司提供的的完全基于软件的VPN产品来实现简单的VPN的功能。甚至可以不需要另外购置软件，仅依靠Windows操作系统，特别是自Windows2000版本以后的系统就可实现纯软件平台的VPN连接。如果建立的VPN网络，考虑系统安全、长期稳定运行、便捷的安装和管理、维护成本、良好的综合性能等等因素，则应考虑选用辅助硬件平台VPN，这种平台是最为通用的一种方式，比较适合大多数学校。

3）信息化校园中建设的常用VPN技术选择

IPSecVPN：通用性与整合性好、IPSec对终端用户来说是透明的。需要安装客户端软件；其连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（Proxy）的影响；IPSecVPN需要先完成客户端配置才能建立通信信道，并且配置复杂。建议中心校区与分校区之间部署网对网产品，即IPSecVPN。

SSLVPN：客户端支撑维护简单、安全性良好、细化接入控制功能，提供用户级别的鉴权，适用大多数设备、适用于大多数操作系统。主要适用于点到点的信息加密传输，建议移动办公人员与中心校区之间部署点对网产品，即SSLVPN。

4）VPN在信息化校园中建设的典型应用

典型应用一：异地校区网络的相互安全访问

需求：某教育集团有多家分校，中心校区的内部网中已经实现了行政办公系统、教务管理系统、学工管理系统、后勤管理系统等，分校区与中心校区地域跨度大，允许其能够访问中心校区的校园网，可大大简化信息资源（如电子邮件、公文流转）交流的途径，增加信息交换速度。但这样的信息交换带来的网络的复杂性增加、网络管理及安全性等诸多问题亟需解决。

解决方案：为了能够使得异地校区网络的相互安全访问，似乎一条专线是必需的，但专线只能向当地ISP或者电信运营商申请，由运营商来提供管理和监控，这样会带来安全隐患。并且租用专线费用非常昂贵，一般的学校负担不起。可以考虑现在Internet接入的费用日趋下降，利用当地ISP提供的宽带网络服务接入到Internet，再利用Internet公众网络使分校区与中心校区实现网络互联。在公用全球性网络传输的数据都不能算是安全的，学校内部公告、教科研进展动态、师生基本信息等则需要保密，不可以直接暴露在公众网络，以上的需求可通过VPN方式来进行网络互联得以解决。在各校园内部网与互联网的边界处增添VPN网关，来监控所流经的数据，并通过不同的ISP所提供的网络服务将校园网中每个独立的内部网络连入互联网。既利用Internet节省了原有的高额的专用线路租用费，又达到了一定强度的安全性，且提高了整个网络的吞吐率。

典型应用二：校外终端对校内网络资源的安全访问

需求：学校在外人员利用计算机通过互联网也能够较安全地访问学校。

解决方案：以往师生只能通过公用全球性网络的电子邮件信箱或匿名FTP来进行资料交换，而且经常受到信箱大小的限制或匿名FTP不安全因素的威胁。使用专线连接内部局域网，则需昂贵的费用。实则现在师生使用的操作系统一般为WindowsXP或Windows7，可以直接利用操作系统内置的VPN拨号功能来实现异地、安全、低资费连入到中心校区网络中。不过这类VPN网络一般性能较差，数据传输速率较低，安全性方面也比较低。考虑用辅助硬件平台VPN。SSLVPN的实现方式是在学校的防火墙后面放置一个SSLVPN网关，如果师生希望安全地连接到学校网络上，那么当师生在浏览器上输入一个URL后，连接将被SSLVPN网关取得，并验证该用户的身份，然后SSLVPN网关将提供一个远程用户与各种不同的应用服务器之间连接，这样师生无论身处何地，都可以利用当地的ISP连回中心校区，使用中心校区的网络资源，收发资料等，显著提高教育教学效率。

5总结

我们可以选择不同的VPN设计方案，但是选择结果只是相互比较后的结果，并不意味着该选择完全符合实际需要。所以，应在保持足够开放性的同时，对设计方案进行扩展，根据现有设备情况开发适合本校的VPN实例，解决校园网存在的一些问题并优化校园网的管理和应用。

参考文献：

[1]乔河宽.VPN技术在多校区网络互联中的应用[J].中国电子商务，2011（12）.

[2]刘洋.IPSECVPN和SSLVPN的分析比较[J].电脑知识与技术，2009（4）.

[3]张仕斌，潭三，易勇，等.网络安全技术[M].北京：清华大学出版社，2006.