文/柳雄
信息时代,为了更大程度发挥互联网资源的共享与利用优点,高校或科研机构的电子图书资源、校园内部的信息系统等,都需要提供校外远程接入访问。
提到远程接入、访问内网系统,大家会自然而然的想起VPN技术,VPN基于互联网提供安全私密的加密隧道,让校外用户可以安全的接入校园内外进行访问,在高校信息化建设中拥有多年的应用历史,已经是高校校园信息化建设必不可少的环节。
VPN根据隧道协议的不同,主要有:二层隧道协议PPTP/L2TP VPN、三层隧道协议GRE/IPSec VPN和七层隧道协议SSL VPN。在高校信息化的发展历程中,这些VPN技术均被广泛地在特定时期和场景下应用,其中基于B/S架构的SSL VPN,使用普通浏览器即可访问,方便易用,已经是远程接入场景应用最为广泛和成熟的方案。
SSL VPN技术利用标准Web浏览器内嵌的SSL(Security Socket Layer)封包处理功能,在远程接入用户与SSL VPN服务器之间建立起VPN隧道,从而使得远程接入用户在通过验证后,可访问内网的服务器资源。
基于SSL协议实现的SSL VPN,天然支持Web应用的访问,同时为了覆盖更广泛的应用场景,SSL VPN也支持TCP代理转发和虚拟网卡方式,能够像其他VPN技术一样,提供全协议的VPN通道,不仅支持B/S架构的Web应用,也支持C/S架构的TCP应用,如TELNET、远程桌面等,还可以支持基于UDP协议的语音视频类应用的远程访问。虽然虚拟网卡的方式能够支持全协议的访问,但SSL VPN仍然保留了Web资源和TCP资源的访问方式,每一类资源应用在实现原理上都各不相同。
以Web资源来说,SSL VPN使用Web反向代理技术,实现用户远程接入后访问内网Web应用服务器。在用户访问的过程中,先将用户的访问请求发送到VPN,由VPN进行代理转发。
采用Web反向代理方式实现的SSL VPN,不依赖IE控件,可以在任意浏览器免插件使用,可以支持大部分B/S系统的远程接入访问,但同时由于VPN无法对各类URL资源做到完整的改写,因此可能会出现图片错位、字体显示不正常等兼容性问题,也无法支持本地需要浏览器插件的Web系统的访问。
除了兼容性问题之外,对于非B/S架构的应用,Web反向代理也无法支持,例如在网络维护中常用的TELNET、SSH、邮件、远程桌面等基于TCP的非Web应用。基于Web的SSL VPN无法支持,就需要用到SSL VPN的基于TCP代理转发(也叫端口转发)的技术,这种技术可以通过ActiveX控件实现对本地TCP请求的监听,当监听到需要被代理转发的TCP请求时,会拦截该请求,并进行代理访问,在代理访问的过程中,需要对收到的请求报文进行改造,将原来要发送给目标服务器的请求改为发送给客户端本地环回地址,同时记录改造前后的对应关系(本地环回记录表),便于
后续可以代替服务器应答真正的用户。
尽管TCP代理转发的方式已经能够支持绝大部分的高校系统访问,但终究是只支持TCP协议的系统应用,当需要使用到非TCP协议的应用时,如语音类协议,TCP代理转发就无法支持了。此外,SSL VPN还支持以虚拟网卡的方式来建立VPN隧道。
采用虚拟网卡方式的SSL VPN,用户依旧可以通过浏览器登陆VPN服务器,在登陆过程中安装虚拟网卡等VPN组件(通过ActiveX控件或客户端形式)。这时候客户端与VPN服务器之间就会创建一条SSL VPN隧道,VPN会向客户端下发对应的内部系统的路由信息,客户端访问内网业务系统时,经过虚拟网卡发送请求,经VPN隧道到达VPN服务器。整个访问过程中不需要对访问请求报文进行任何修改,完整封装后经虚拟网卡发送到VPN隧道,实现远程访问,因此这种方式也是实际应用中最为广泛的形式。
近年来信息技术高速发展,尤其是智能终端的普及和移动互联网的广泛应用,用户追求更便捷、更简单、更安全的网络远程接入方式,来满足随时随地接入访问的需求,在安全接入的同时,也越来越重视使用体验。尤其是校园用户终端类型越来越丰富,从过去单纯的Windows PC终端演变到目前Windows PC、Mac PC、iOS手机、Android手机、iPad、Android Pad等多终端并存的局面,给SSL VPN在高校的应用带来了不少新的挑战:
1.用户体验差
当前主流的SSL VPN,在使用中依赖ActiveX控件或客户端程序,只能使用IE内核浏览器或依靠java环境进行安装,很难满足用户多元化的个性体验,尤其是越来越多的非Windows终端被使用后,VPN插件对操作系统的支持也较差,很难适配丰富的系统类型和频繁的系统更新,用不了、频繁掉线、安装复杂、使用繁琐等问题严重影响用户体验。
2.运维压力大
高校的VPN使用群体广泛,用户规模大,在VPN使用过程中因插件安装、使用异常带来的巨大运维量,信息中心往往疲于应对。
3.适应移动互联网环境
随着移动互联网的发展,越来越多的移动终端需要使用VPN接入进行远程访问,校园APP也逐渐被广泛应用,SSL VPN需要以更加良好的用户体验适配这类场景。
高校大部分业务系统已经实现了Web信息化改造,基本都使用了统一认证平台SSO进行统一身份认证,学校的用户只需要认证一次,所有业务系统都实现单点登录。另外建设了校园门户站点,门户站点作为校园所有业务系统的统一入口(包括图书馆等数据库资源)。
在SSL VPN面临新的挑战的同时,一种号称下一代VPN技术的WebVPN产品开始出现在高校,WebVPN提供基于Web的内网应用访问控制,允许授权用户访问只对内网开放的Web应用,实现类似VPN的功能。WebVPN的出现很好的抓住了高校SSL VPN对用户体验和运维问题的滞后反应,以无需用户做任何配置或安装客户端软件及浏览器插件的形式提供内网应用的远程访问,大大降低使用门槛,提升用户体验。
图1 未来数字化校园安全接入平台框架
然而,WebVPN真的是包治百病的下一代VPN技术么?在对WebVPN进行详细分析和实际体验中,我们发现,WebVPN实际上也是基于Web反向代理技术实现的,通过结合泛域名,来实现对内网Web服务器的代理访问,整个访问过程中涉及的Web改写与SSL VPN一致,与其说是下一代VPN,实际上更像是最早期的SSL VPN。
Web反向代理实现的SSL VPN因其技术本身的兼容性缺陷和无法完整覆盖高校业务系统的缺陷,在SSL VPN的漫长发展历程中,一直未能广泛应用。随着用户对使用体验的要求增高,Web反向代理技术的免插件、对浏览器和操作系统的全面支持等优点,再一次把WebVPN推向了前端,基于这些优点,在应对用户体验的挑战上,WebVPN相比大部分基于浏览器插件和客户端软件的SSL VPN产品要好得多,尤其是对一些低频访问的用户来说,打开浏览器就可以使用,省去了安装插件和客户端的过程。但在应对运维压力和移动化挑战时,WebVPN并不如宣传的那么高效。
首先,WebVPN的无插件形式,确实避免了插件的维护工作,但其技术本身的兼容性缺陷,又带来了新的运维挑战,页面显示异常、系统无法正常登陆等问题难以杜绝,且相比客户端或VPN插件对个别用户的影响,兼容性问题的影响面更大,势必带来更大的运维压力。
其次,高校移动信息化的进程中,APP被广泛应用,基于浏览器的WebVPN无法提供APP的远程接入访问,仅依靠手机浏览器的Web访问和微信H5应用,用户体验也必然大打折扣。
面对当前的使用需求,再结合Web VPN技术的应用分析,高校在选择安全接入类产品时,需要全面考虑,既要满足安全接入的需求,也要满足用户的使用体验,减轻运维压力。面对琳琅满目的VPN产品,管理员必须认真对自身的使用场景进行分析,选择更为匹配的VPN产品。
未来,高校的信息化建设中对VPN的要求,依旧会朝着更便捷、更简单、更安全的方向发展,VPN服务商必须紧跟用户需求变化,满足高校客户不同业务阶段的需求,实现无插件、无感知访问的同时,仍然需要借助多重优化技术,提升资源访问的速率;支持移动数字化校园接入需求,具备完美的兼容性,保障用户接入方式的自由选择;同时支持多套安全机制,如国产密码算法下的数字签名、数据传输加密、业务权限的精细化管控,保证关键业务的数据安全,真正实现更易用、更安全的校园信息化门户的接入。
如图1所示,未来的数字化校园接入平台,会成为端-端紧密结合的形式,包括接入端的安全工作空间、身份认证和授权、传输端的高强度密码算法安全加密、服务端的多元化资源访问代理、审计端的7×24小时用户审计管理,以更适应于未来高校数字化校园的发展。