远程访问校园网数字资源

文/陈正权

随着江苏信息职业技术学院信息化建设的不断推进，校园网上的各应用系统越来越多，随之而来的数字资源也越来越多，全院教职工对校园网的访问也越来越多，学院各项工作的开展几乎离不开校园网。众所周知，校园网上的资源分为两种：一种是面向公众的开放信息，只要能上因特网（Internet）的任何用户均可访问；另一种仅对校内用户开放的内部资源，如期刊数据库、电子图书、精品课程等,它们是教职工开展教学与科研活动的重要资源。然而对于有数字版权的这些数字资源来说，必须遵守数字版权保护的规定,可是学校购买的数字资源都有IP地址范围的限制访问,即校内用户可使用而校外合法用户却无法使用，为此笔者进行了仔细研究，提出相应的解决方案，并认为：由于Internet的迅速扩展，针对远程安全登录的需求也日益提升，对于使用者而言，方便安全的解决方案，才是真正适合自己需求的方案。

代理服务器方案

作为第一种方案，是采用代理服务器方案，笔者通过在校园网内架设代理服务器就可以实现学院教职工在家里访问校内数字资源和各应用系统，如教务系统、精品课程及账务查询系统等。

代理服务器的工作机制

代理服务器是接受用户的服务请求，代替用户去访问目标服务器，然后将用户所需要的信息传送给用户。许多代理服务器均具有缓冲功能，且存储空间较大，可将最新取得的数据存储到高速缓存（Cache）中。若其他用户请求的数据在Cache中而且是最新的，那么它就不用再去访问目标服务器，而直接将该数据读取出来传送给用户，这样就大大地提高了响应速度和浏览效率。

本文选用的Squid软件就是基于Cache的代理服务器软件，它支持多种协议如HTTP、FTP、SSL等，该软件具有功能强、效率高、响应快、运行稳定和设置简单等优点，只要对配置文件（squid.conf）进行修改即可实现代理功能。

代理服务器的功能特点

1.共享上网，隔离内外网

通过代理服务器共享上网,可加快内网用户的访问速度，解决公网IP的不足，让众多局域网用户共享上网，作为防火墙可将内外网隔开，还具有监控网络和记录传输信息的作用，而且还能加强局域网的安全，方便管理上网用户。

2.通过代理，加速访问

在网络出现故障或拥塞时，通过代理服务器访问目标站点，可大大加快访问速度。比如假设A是代理服务器，B要访问C，但B到C出现问题，此时B可通过A，绕道由A到C。另外代理服务器的缓存文件中存有不少最新数据，如果当前所访问的数据就在此文件中，那么就可以直接读取，不需要再去访问远程的WWW服务器，这样一来也就明显加快了访问速度。

3.隐藏自己，以防攻击或攻击目标

使用代理服务器，可以隐藏自己的真实地址，以防黑客攻击。同样黑客也可以通过代理服务器来实施各种攻击活动，比如扫描、刺探、渗透内网等，黑客经常通过多级跳板中转后攻击目标主机，以此来隐藏身份、保证自身安全。

4.突破限制，提高速度

通过局域网上网的用户，常常会被处以种种限制，如端口、目标网站、游戏、QQ软件等，现在就可以用代理服务器来突破限制。目前许多站点都提供了下载资源，但有IP地址和线程的限制，为了突破限制提高下载速度，设置一个线程一个代理就可突破IP的限制，这样就可以通过不同的代理服务器同时从WEB或FTP服务器上下载多个资源。但对用户账号的限制就不能突破论坛里对资源的限制 。

5.保护私有资源，只允许授权用户访问

一般防火墙只允许内网访问外网,但禁止外网访问内网,这就造成了合法用户无法从外网访问内网。为此互联网工作委员会专门制定了RFC1928即SOCKS v5协议。该协议位于应用层与传输层之间,它以代理原理为基础,对用户的合法性进行验证，同时给合法用户授予一定的访问权限，这样用户一旦通过合法验证就可以访问被保护的内网资源。

Squid代理服务在远程访问数字资源中的具体应用

现在不少高校都购置了如维普、知网、超星、汇文等数字资源。由于数字版权保护的原因，它们大多采用了访问控制技术，通过限制访问者的IP地址，来限制服务的地域范围。例如，在江苏信息学院，要浏览或下载这些资源，必须是校园网内用户，否则就不能使用。但有不少教职工希望在家里也能访问这些数字资源。为了满足教职工的要求，笔者架设了Squid代理服务器，通过代理服务器的用户身份验证来实现对校园网数字资源的远程访问。在Squid代理服务器上，我们为每一位需求者设置一个账户，通过用户身份验证后，他们在家中只要简单设置即可访问。

1.服务器端的安装与配置

（1）Squid的安装与配置

先从网上下载Windows版本的Squid 软件（http://www.acmeconsulting.it/SquidNT/download.html），然后解压此ZIP文件到C盘的根目录生成一个squid文件夹，即C:squid。接着在命令提示符窗口中运行如下命令：

C:squid>copy c:squidetcsquid.conf.default squid.conf

接下来对squid.conf文件进行配置，双击打开【我的电脑】，双击打开C:squid文件夹中的squid.conf文件，用文本编辑器对配置文件Squid.conf进行修改，内容如下：

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd

#设定认证程序路径与认证程序ncsa_auth.exe及密码文件passwd

auth_param basic children 10 # 指定认证程序的进程数

auth_param basic realm 苏信院代理 # 浏览器窗口弹出输入用户/密码对话框时的显示内容

auth_param basic credentialsttl 10 minute # 基本的用户认证有效时间10分钟，超过时间需要再次认证

auth_param basic casesensitive off #不区分大小写

acl password proxy_auth REQUIRED #用户需要通过认证才能访问Internet

#定义访问Squid的IP地址、访问列表及其对应的名称

……

acl CONNECT method CONNECT

http_access allow manager localhost #允许本地的manager上网

http_access deny manager #不允许非本地的manager上网

http_access deny !Safe_ports #拒绝通过非Safe_ports列表中端口进行http访问

http_access deny CONNECT !SSL_ports #拒绝通过非ssl_ports列表中端口连接进行http请求

http_access allow password #允许认证通过的用户访问

http_port 3128 #告诉squid在默认端口3128侦听HTTP请求,,也可是http_port 192.168.16.1:3128

……

cache_mem 1024 MB #设置缓存大小为1024MB

cache_dir squidvarsquid 4096 16 256 #设置硬盘缓冲区最大4096MB，16个一级目录，256个二级目录

cache_dir ufs c:/squid/var/cache 8192 16 256

cache_mgr webmaster@jsit.edu.cn #设置服务器管理员邮箱,出错时便于联系

visible_hostname proxy.jsit.edu.cn #如不配置，则在启动squid服务的时候会报错

#设置squid主机名称为proxy.jsit.edu.cn（一般为IP地址），出错时会显示在页面上。

coredump_dir c:/squid/var/cache

最后保存对squid.conf配置文件的编辑修改，并关闭此文件。

（2）生成Squid中所需要的用户认证文件即passwd文件

首先从Apache中找到htpasswd.exe文件，把它复制到C:>squidin中，然后进入到Windows命令提示符窗口中，运行如下命令：

C:squidin>htpasswd -c C:squidetcpasswd jsit 第一次生成密码文件passwd要加参数-c

C:squidin>htpasswd -b C:squidetcpasswd chenzq 5498 #往passwd文件中增加用户chenzq,密码为5498

（3）Squid的运行启动

配置完毕后在命令窗口中运行如下命令。

c:squidsbin>squid ?i #注册squid为windows服务squid ?z #生成高速缓存的目录

squid #启动squid

到此Squid服务器就搭建成功并启动运行了。

2.客户端的设置

打开IE浏览器的任意一个窗口，在IE窗口中依次使用菜单：“工具”菜单→“Internet选项”菜单项→“连接”选项卡，然后针对不同的用户进行不同的设置。

（1）ADSL拨号用户：在“拨号与虚拟专用网络设置”下面选择所用的拨号连接（此连接名称是你自己命名的，演示使用的是江苏信息），单击【设置(S)…】按钮，选择“对此连接使用代理服务器”，输入IP地址（或域名）和端口号。

（2）使用路由器的ADSL用户或LAN用户：在“连接”选项卡窗口中，点下方的【局域网设置(L)…】，在弹出的窗口中的“代理服务器”选项下面输入IP地址（58.214.11.20）或域名（proxy.jsit.edu.cn）和端口号（3128）,如图1所示。

图1 客户端设置代理服务器

最后设置完成后，再次打开网页时，代理服务器系统会要求输入密码，如用户名：jsit 密码：******，这样即可进入校园网，和校内用户一样使用内网的数字资源了。

VPN方案

VPN的概念

VPN即虚拟专用网络，虚拟专用网络（Virtual Private Network，VPN）指的是在公用网络上建立专用网络的技术，它属于远程访问技术，简单地说就是利用公网链路架设私有网络，实质上就是利用加密技术在公网上封装出一个数据通信隧道，为用户建立一个临时的、安全的连接，一条穿过复杂公用网络的安全稳定的数据传输隧道，从而为分散于不同地方的用户之间建立一条虚拟的专线，用于数据的安全传输。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源。VPN中使用的技术有隧道技术、加密解密技术、密钥管理技术和身份认证技术等，VPN的实现有多种方式，如VPN服务器、软件VPN、硬件VPN和集成VPN等。根据不同的划分标准VPN也分为多种，本文只介绍采用IPSec和SSL协议的VPN，即IPSec VPN和SSL VPN。

VPN的特点

1.使用VPN可降低成本：通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备以及远程访问设备。

2.传输数据安全可靠：虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

3.连接方便灵活：用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

4.完全控制：虚拟专用网让用户利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

IPSec VPN和SSL VPN不同之处

IPSec协议是基于网络层的安全协议，IPSec VPN必须安装复杂的客户端软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL（Secure Sockets Layer，安全套接层）是基于应用层的安全协议，被大部分浏览器集成，SSL VPN的客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。但是，不装客户端的SSL VPN只能实现简单的应用，如Http等，若需要其他的应用，如邮件、远程桌面、内部应用系统等软件，就必须安装SSL VPN的客户端。

使用SSL VPN也有更好的经济性，只要在校园网出口处部署一台VPN设备就可以实现所有用户的远程安全访问接入；但是对于IPSec VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。另外，就使用成本而言，SSL VPN具有更大的优势，即插即用，所以在易用性和安全层级上，SSL VPN也比IPSec VPN高，一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。

笔者单位部署了一台SSL VPN设备，用于全院教职工远程访问校园网内的数字资源和各应用系统，具体部署过程如下：

笔者只要在本地设置好SSL VPN设备的IP地址后，就可以在校内任何一台PC上，打开IE浏览器，在其地址栏输入地址：https://192.168.16.60:6443/SSL/admin/X_Login.jsp，然后输入用户名和密码，点“登录”，就可以对VPN设备进行相关设置,如图2所示。

图2 SSL VPN设备设置窗口

用户只要在校外任何一台PC机上打开浏览器，在浏览地址栏输入：https://58.214.11.22（如果在DNS服务器做好域名解析的话，也可以输入：https://VPN.jsit.edu.cn），如果部分浏览器会出现安全性问题的提示，请点“继续浏览网站（不推荐）”，之后就会跳出登录界面，输入账号密码即可,如图3所示。

图3 用户登录窗口

综上所述，用户可选择的远程访问解决方案很多，代理服务器方案不需要另外购置硬件设备，可以在任何一台已有的服务器上架设，其可靠性以及响应速度上也不错，但是没有对数据或信道进行加密处理。而IPSec VPN和SSL VPN却各有千秋，不过现在不少VPN设备均支持这两种协议，如果以IPSec VPN作为点对点连接方案，再搭配以SSL VPN作为远程访问方案，则能满足员工、商业伙伴与客户的安全连接需求，这也是最合适也最具性价比的组合。目前笔者已将VPN应用于学院工资查询系统、干部管理系统、教职工考核测评系统、教代会提案系统、网上报告厅、精品课程、图书馆以及知网与万方学位论文全文数据库等数字资源系统中。