浅谈VPN技术在校园网中的应用

张迎春

摘要：随着互联网+教育的飞速发展，高校数字化校园的建设不断深入，基于网络技术环境支持的网络教学、资源库、教育教学管理等进一步完善。如何确认用户身份，如何安全高效地使用这些资源，如何保障多个校区（异地）数据传输安全等问题，就成了我们必须面对和解决的问题。本文结合校园网建设实际经验，介绍了VPN的技术及其工作原理，浅述了VPN技术校园网建设中的应用。

关键词：数据化校园  VPN  校园网

随着互联网+教育的飞速发展，高校数字化校园的建设不断深入，信息化建设不断提速，校园网作为学校信息化建设的基础，安全、稳定和高效显得尤为重要。通常，学校为考虑网络安全，在校园网建设时，通常是将互联网和校园网内网进行物理隔离，使通过互联网的用户，不经授权不能访问内网资源，从而保障学校网络信息安全。而这样的做法，同时也导致出现了如何将校内丰富、优质的教育资源和重要的信息化应用突破空间限制，安全高效为地为师生们提供服务的问题，虚拟专用网（VPN就是一种既可保障安全、又可保障网络开放的低廉易行的解决方案，可以使信息用户随时随地享用内网资源。

一、VPN技术及其工作原理

虚拟专网指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。虚拟专用网络（VPN）的功能是：在公用网络上建立专用网络，进行加密通讯。在企业網络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

以目前较为流行的VPN为例，其工作原理为：VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器，SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间的连接，实现起来主要有握手协议、记录协议、警告协议的通信，SSLVPN的通信过程主要集中在握手协议上，主要为：一是SSL客户机连接到SSL服务器，并要求服务器验证身份;二是服务器通过发送它的数字证书证明自身的身份。这个交换包括整个证书链，直到某个证书颁发机构，通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性;三是服务器发出一个请求，对客户端的证书进行验证;四是双方协商用于加密的消息加密算法和用于完整性检查的HAS日函数，通常由客户端提供它所支持的所有算法列表，然后由服务器选择其中最强大的加密算法：五是客户机和服务器通过下列步骤生成会话密钥。客户机生成一个随机数，并使用服务器的公钥对它加密，再送到服务器，服务器用更加随机的数据、用客户机的公钥加密，发送至客户机以表示响应，使用HAS日函数从随机数据中生成密钥。

二、校园网VPN建设的意义

2019年8月召开的国务院常务会议决定，推进互联网+教育，加快建设教育专网。为我们校园网应用接入教育专网吹响了号角，教育网视频会议系统、标准化考场系统、资源平台系统和多校区信息业务互联等应用给学校和师生们工作学习带来了极大方便。

当前，高校信息化建设正飞速发展，好多院校都在不断整合，两个或多个校区也愈来愈常见，随之而来的是出现多个独立的校园网，而师生的教育教学都需要使用共同的校内资源，这就要求学校必须通过VPN技术将多个校区独立的校园网联接成一个虚拟局域网，使师生们可以通过互联网访问校园网资源。主要问题体现在：一是学生众多，无法针对学生进行有效的身份认证和身份识别。学校拥有大量的学生、教师员工，根据国家相关规定，要求对所有人员上网做到有据可查，并能根据上网者的相关信息查询到该用户的所有上网记录。二是校园网应用系统，外网无法访问，学校的应用系统都处于学校内网，学生在家也无法使用学校的网络资源，与学校之间互联也存在链路及安全面的问题。三是教育专网安全互联。根据教育部规定，学校必须与教育专网互通，达到资源共享，统一管理。如果架设专线，线路则无法全面覆盖所有学校，且专线成本较高，采用专线既浪费了网络资源，也为学校带来了较大的成本压力。

基于以上问题分析，我们可以看到，目前教育行业在信息化建设的主要问题，依然是以教育专网互联、身份认证、数据互联安全性为主，并通过合理的身份认证技术进行安全的远程访问，同时通过扩展的应用服务、基于应用访问的流量控制技术、监控管理技术对校园网进行集中的管理与访问。

三、校园网中VPN应用案例

（一）校园网建设改进方案

在校园网建设中，我们可以通过技术的设计，把多个校区的校园网通过VPN技术联接。我们可以通过VPN技术来应用于校园网中，解决方法为：一是在多个校区之间通过IPSec协议进行安全连接，保证多个校区师生使用相关资源的安全性。IPSec VPN 在多个校区的搭建，目的是实现在防火墙上进行选择其组网模式、配置其基本参数、配置相关地址信息、密钥及相关算法，从而实现相关功能。二是对于不在校园网内的师生，可以通过学校购置的VPN设备访问学校内网，获取师生所需求的资源，师生可以通过电脑端或移动端的VPN客户端软件，通过身份验证后访问校园网资源。三是通过在主校区内网的实施访问控制措施，在关键的数据必经的设备上进行访问策略的应用，通过相关的配置，这样访问的客户端在访问控制方面就有所严格把控。通过防火墙的相关功能，保障校园中数据传输的信息安全。

（二）校园网中VPN技术应用

为保障学校网络和数字校园应用系统安全，我校网络资源已划分为校园外部和内部资源，分类控制网络访问。校园外部网络上（如：学校门户网站、二级网站）的资源开放互联网自由访问;对于校园内部网络上的资源，我校师生在校外需要使用VPN系统才能访问，包括信息门户登录认证、办公系统、财务系统、教务系统、学生工作、网络教学平台、科研管理系统、考试成绩查询、云平台等，校外师生利用VPN方式登陆学校的VPN设备，利用账号认证，或学校的统一身份平台，即可直接登陆校内，实现对校内资源以及数字图书馆等资源的快速访问。目前，大多数VPN都兼容大部分日常所用到的邮件系统和OA系统等。

在实践中，我校使用的是NGVONE网关，提供更加全面高效的安全接入服务;在师生们的体验性方面做了更多优化，支持当前主流浏览器、提供了安全监控主屏等功能，让师生们接入方便快捷，同时给管理员直观的监控体验;在认证类型方面，支持多种外部认证类型;同时，也对接到了校园认证平台，便于师生们对各类应用系统的访问，提供全面的可信认证接入机制。

1.提供校园师生应用系统的安全访问;校园内部办公应用（例如OA）需教师可随时访问，但业务直接从互联网访问存在许多安全隐患，如账号密码过于简单被暴力破解、后台管理暴露出去等;使用VPN设备中的SSLVPN功能，可为师生提供移动安全接入功能，VPN可提供多种认证类型，同时可对接校园认证平台，提供单点登录功能;为业务系统做了一层安全防护。

2.为师生们提供远程办公环境;疫情影响下，远程办公方式成为首选，教职工可通过拨入VPN访问对其授权的内部业务系统，提供便捷同时又保证其安全性。

3.为远程运维人员提供连接方式;部分设备和业务需厂家或软件方经常远程维护，可通过VPN方式连入校园网访问对其授权的资源在我校的校园网建设中，将VPN旁路部署在核心交换机上，向互联网提供安全可靠的服务和校园网内的办公自动化平台、图书馆资源及期刊数据库资源、教学资源等数据，这样，校外的师生们即可直接使用互联网线路接入VPN，访问通过VPN校园网所发布的资源，达到安全高效的跨校区（异地）访问目的。

参考文献

[1]周毅;VPN技术及其未来应用发展方向[J];电子技术与软件工程;2014年11期。

[2]潘华;基于VPN的数字校园网络应用研究[J];电脑知识与技术;2013年28期.