利用SSL VPN实现校内信息资源共享

王晓妮

摘 要：随着校园网规模的扩大和校内资源的增多，校外移动用户如何远程访问校内系统成为高校急需解决的难题。本文分析了高校远程访问校内资源的现状，介绍了VPN技术，提出了采用单臂方式SSL VPN网关接入设计方案，解决了校外用户无法共享校内资源困难。

关键词：校内资源；SSL VPN；远程访问

中图分类号：TP311 文献标识码：A

Using VPN SSL to Achieve Information Resources Sharing in the School

WANG Xiaoni

（Network Management Center of Xianyang Normal University，Xianyang 712000，China）

Abstract：With the expansion of the scale of the campus network and the increase in the number of college resources，how to access the campus mobile users to remote access to the school system has become an urgent problem to be solved by the University.This paper analyzes the current situation of universities remote access campus resources，introduced VPN technology， with single arm SSL VPN gateway design scheme was put forward and solve the external users to share the campus resources is difficult.

Keywords：school resources；SSL VPN；remote access

1 引言（Introduction）

随着网络技术和高校信息化的快速发展，使广大师生的工作科研和学习生活都离不开校内信息资源。而校内应用系统因其独特的保密、版权、隐私等特点，为了确保其安全性，只能允许校内合法用户使用。而高校不断扩大办学规模，因为合并扩建导致多校区并存和在校外居住师生增加，还有校领导和教职工常在异地开会学习，这些移动用户需要访问校内资源，进行事务处理和资料查阅。而用户合法身份的验证依据就是校内IP地址，这样校外用户要想访问校内应用系统就被拒之门外。所以校园网必须提供一种有效可靠的远程访问方式，这是目前数字化校园建设中急需解决的难题，然而SSL VPN技术为此提供了可行方案。通过SSL VPN技术实现了校外网络用户对校内所有的信息资源进行远程访问，既方便用户又提高了校内资源的利用率。

2 VPN技术（VPN technology）

2.1 VPN

虚拟专用网络（Virtual Private Network），它是一种在公网上建立专用临时安全的逻辑网络技术。该VNP网中任意节点间端到端的物理链路连接由网络平台架构来代替，在逻辑链路中传输数据。由于该平台由公网服务商来提供，故建设成本很低。SSL VPN和IPSec VPN是当前业界比较流行的两大VPN技术。

2.2 SSL VPN

远程安全访问通道。SSL VPN能满足用户的远程访问需求，应用很广泛。SSL协议主要包括握手、警告和记录这三种。

2.3 SSL VPN的特点

（1）零客户端、对操作系统和用户经验无要求、操作简便和兼容性好。（2）采用单独的SSL VPN网关，安全性很高。（3）便于实施、搭建管理维护低成本、性价比高[1]。（4）可扩展性强、身份认证方式多样化。（5）适应性强。

3 需求分析（Demand analysis）

伴随高校信息化发展，对网络资源的随时共享需求增加，特别是长期在校外居住或出差的教职工进行日常的教学或科研工作时，经常需要有效快速地访问校内的WEB、FTP、MAIL等各种应用服务器，共享网络资源。因为校内网络数据涉及学院的机密文件、重要通知、师生信息，如果校外用户经过公网直接访问教务系统、OA等应用服务器，那么非法用户便会窃取或篡改数据，那将损失严重，后果不堪设想。为了确保学院系统的稳定和安全，所有应用系统只对校内合法用户开放，而校园网中利用IP地址来识别用户的身份的合法性，这样所有的校外教职工和学生都无法访问系统。

3.1 存在的问题

因为校外用户访问校内网络资源访问量大、安全性要求高、用户环境复杂等特点，导致这些问题：（1）校外上网用户都想通过校园网，利用校内各种网络资源。（2）移动用户远程连接校园网，如何保证其接入的安全易用和维护工作量小？（3）不同校区访问互通，如何实现校区间的资源共享和数据传输？

3.2 技术难题

校外用户通过校园网实现资源共享是面临这两大问题：（1）开放网络资源。能否保证校外用户远程访问时，与校内用户效果相同。（2）访问权限的控制。不但要让校外用户快捷方便实现校内网资源的充分利用，而且要保证数据资源的安全和系统的稳定。这成为目前我校信息化建设中的一个急需解决的问题。考虑到我院的校园网建设现状和资金情况，采用SSL VPN技术实现远程访问应用服务器是最佳选择。

4 解决方案与部署（Solution and deployment）

采用SSL VPN技术进行方案设计时必须遵循的原则：（1）安全保障。要求进行所有用户的身份认证和权限划分，确保系统信息的完整性和数据的保密性。（2）高效的管理平台。使用户能够方便快速得查找资源，避免数据传输堵塞和系统崩溃。必须有完整的操作日志记录和安全行为审计。（3）有效的访问控制。区分用户访问权限，合法用户只能得到自己权限允许的资源。（4）多平台兼容。因为用户使用的终端各不相同，必须要保证服务器能兼容多平台，这才能实现校外上网用户随时随地访问校内网络资源。

4.1 方案设计

当前较为流行Internet远程安全接入技术为IPSec VPN 与 SSL VPN这两种，它们的功能特性很类似，但区别较大，各有利弊。分析对比详细过程见图1VPN技术对比图[2]。通过对这IPSec VPN 与 SSL VPN两种不同的VPN架构比较分析，结合我院的具体情况，我们选择采用我们选择的是单臂方式SSL VPN网关接入模式来实现校内资源共享。首先把一台SSL VPN网关设备部署在学院的防火墙内，不需修改学院现有网络拓扑结构，对校园网的整体性能几乎无影响。通过在防火墙上配置NAT，提供VPN网关在Internet访问校园网的正确IP地址。因为SSL VPN网关是安全可靠的应用层网关，经过应用层的安全策略后，能够有效保护校园网内部重要的应用服务器，无需向Internet完全暴露这些Server的第四层端口，只要开放前端的防火墙的SSL（TCP443）端口[3]，这样的设计能够充分保证校园网应用服务器的安全。

4.2 系统部署

在防火墙内的核心交换机上接入一台SSL VPN设备，并为该设备分配一个校园网合法IP地址。只需将内网接口、IP地址、子网掩码、默认网关、DNS等配置完和保存后并重新启动所有服务，以使配置生效，接着完成其它相应设置。其系统网络拓扑图如图2所示。此方案要求来自Internet的全部应用数据一律必须通过SSL VPN网关的保护后方可访问校园网，及时隔离和阻止了消息重放窃听、非法用户登录等攻击，保证了校园网的安全。

4.3 实现效果

校外用户进行远程访问时只需将系统已建好的虚拟IP地址输入IE，然后在登录页面输入个人信息，经过系统验证识别其为合法用户后便能利用SSL VPN隧道快速方便的访问校内各应用系统，进行自己权限范围类的操作，例如网络管理中的故障排除和修复、OA系统中收阅文件和查看邮件、教务系统中批改作业和课表查询、FTP服务器里下载课件和视频点播等操作，实现数据共享。经过许多校外用户的不断测试，不管何时何地只要登录VPN时，系统都会迅速排除访问瓶颈，以免用户访问失败。而根据当时的网络状况优先选择一条安全稳定快速的访问线路接入校园网，以便用户轻松进行远程访问校内信息资源，简便灵活、快速安全的办理各种业务。

5 结论（Conclusion）

使用SSL VPN技术访问校内应用系统，突破了校内资源访问瓶颈，实现了校外用户快速灵活的利用校内资源，很好地解决了我院信息化建设中难题，提高了工作效率。可是技术的发展和数字资源的数量增加，对远程访问技术的安全性要求很高。利用SSL VPN在公网中建立专用数据隧道，其成本低、易管理、扩展性强、安全性高，成为目前解决校外用户安全访问校内系统的首选方案。但SSL VPN技术也有其不足[4]，它加密仅对通信双方的某个应用通道，而非整个通道。在数据资源对信息安全连接要求较高时，无法确保其系统的可靠、安全和稳定，那就要将SSL VPN和IPSEC VPN结合起来才能满足要求。随着理论研究和信息技术的不断进步，VPN技术及其功能会更加完善，应用前景更加广阔。

参考文献（References）

[1] 强焜.SSL VPN在电子资源共享中的运用[J].信息通信，2014（12）：77.

[2] 查黄英.SSL VPN技术在校园网中的应用[J].电脑编程技巧与维护，2015（15）：77-78.

[3] 周贤波.基于SSL VPN远程资源访问应用研究[J].软件导刊，2012（10）：142-144.

[4] 张泽.SSL VPN技术在校园网中的应用[J].普尔学院学报，2015（3）：31-37.