◆王真
VPN技术在校园网络安全体系的应用
◆王真
(邢台技师学院 河北 054000)
当前,我国科技发展愈发的成熟,校园信息化管理模式也成了时代发展的必然。院校内会相继构建不同的校园网络,借助校园网络,让老师和学生之间的关系变得更加的密切,保障了师生之间的友好沟通状态。学校的规模不断扩张,校区在不断发展,一些院校的分校会在不同的地区构建,想要保障分校发展的协调性,就应当借助VPN技术进行管理,这样就可以处理校园网络地区限制管理的问题,同时还会起到改善校园网络应用及管理的作用。
VPN技术;校园网络安全体系;应用
VPN技术主要是以网络运营商供给的互联网为基准,创建出虚拟性私有通道的网络安全防护技术。其技术的应用可以供给用户高质量的服务,在一个开放性的网络环境当中,临时性的建立专用数据传输渠道,加密隧道当中传递的信息,实现专网专用的目的。但是随着高校信息化建设的发展和推进,校园网络的安全稳定性要求越来越高,需要创建出更为简洁且实用性较强的安全体系,这样才能够让校园网络保持良好正常的运行状态,分析VPN技术在校园网络安全体系中的应用要点,设计出合理的应用方案,提升其技术应用的实践价值。
通常状况下,数据加密技术隐藏或者加密数据信息是数据包在虚拟专用网络当中主要的传输方式。若数据包处于一种安全性较差的网络环境当中,其在传输的过程中哪怕已经通过了用户身份验证,也无法确保VPN的安全可靠性。所以,在数据发送隧道的一端,需要加密用户的身份认证,保障加密数据的传输状态。在数据接收隧道的另一端,已经完成认证的用户应当解密加密的数据信息,得到相应的原始数据,这类技术可以大致划分成为两类,其分别为非对称加密以及对称加密。对称加密是使用频率较高的一类数据加密技术,其技术可以针对一些机密性的数据采取公钥密码的方式进行管理[1]。
访问控制技术功能会对用户访问系统以及使用系统的资源进行管理,能够保障用户可以访问特定的系统资源,拒绝没有授权的用户去访问该系统,从而实现系统资源访问控制的目的。
在构建虚拟专用隧道传输数据之前,通常需要使用用户认证技术去辨别用户真实身份,对网络资源的访问,进行合理化管控。用户认证协议摘要技术主要是以哈希函数变换数据报文的长度,使得其得到长度相同,固定不变的报文摘要。但是这类函数会受到自身特性的影响,控制难度较大,想要在众多的数据报文当中找到长度相同,固定不变的报文摘要,需要损耗大量的时间和精力,整体工作难度较高。
隧道技术是VPN传输的重要技术,该技术主要是借助某协议实现另外一类协议传输数据的技术,这一技术的应用本质就是以隧道协议为主,该技术大致分成乘客协议、传输协议以及隧道协议。其中,传输协议是结合隧道的定义完成数据传输任务;乘客协议是对数据进行封装,其对于数据帧以及数据包的协议会有所差异,需要把数据帧和数据包进行封装处理,之后再进行传输,这些封装之后的数据帧以及数据包可以较为精确地到达其目的地的地址,最后进行解封的处理,得到原始的数据帧以及数据报;隧道协议的功能就是拆除、保持以及建立数据传输渠道。
想要将VPN技术投入到校园当中,就需要考虑该校园网络的使用需求范围,同时还需要遵守VPN技术的应用原则。VPN网络技术投入到高校应用功能当中,其模块主要分为四类:首先是后台管理,后台创设的作用就是用来收集和VPN技术服务器相关的访问记录,将这些记录内容进行整合,重新传输给安全审计进行管理,在后台去总结用户的各项操作行为以及详细情况。其次是浏览控制模块,其模块创设的主要作用就是结合VPN浏览控制的方案,保障其技术系统设定的有效度,精确的供给客户方案服务。再次是身份验证,要验证客户端,服务端和客户端的认证方式有所差异,将数字认证技术投入到内网当中,将用户以及用户密码结合的形式投入到外网验证当中[2]。最后是数据传输,数据传输模块也被称之为核心的网络体系分支,其模块存在的作用就是加密、转发数据。在现阶段,我国大部分高校对于VPN技术的应用要求都会比较高,特别是后勤以及财务部门,校园在连接网络的阶段,会使用二层隔离的方式,之后进行重心交换机的传输,以该种形式完成分校信息之间的传递任务。一些用户的安全级别会比较低,这就会适当降低安全级别的要求,需要提高VPN技术服务器的性能。比如,在移动客户浏览阶段,可以借助Access VPN方案进行作业,将其服务器增设到校园网络内,移动客户应用专门的VPN客户端和校园网络连接,这类网络连接的形式仅需要ISP提供宽带费用或者支付费用即可,并不需要再次支付其他额外的费用。在构建高校VPN服务器阶段,以基础环境方向为主,选择LINUX网络系统,对其进行实践和证明,其系统的拓展性会比较强,也不需要服务等任何的费用,和Windows Server平台进行比较,其系统的性能会更加的优越。
VPN校园网络安全体系需求可以大致划分为三类:首先是远程网络对校内网络站点所发起的访问,大部分分校区的老师和学生都要远程访问该数据库,查询学生的个人成绩/查看校内通知等,这部分功能需求往往需要借助用户远程访问的形式来实现。其次是分校区和主校区网络互联访问的需求,要将分校区和主校区的业务服务整合在一起,实行校园一卡通或者创建专门的网络通道,使得这些机密数据信息可以安全性的传输在分校区和主校区之间。最后是远程用户访问高校图书馆资源的需求,安全性认证用户,远程用户对图书馆的资源进行分配,让其构成用户管理、安全防护功能融合一体的系统[3]。
(1)主分校区构建校园内部虚拟专用网
使用光纤链路将分校区和主校区连接在一起,同时把网络出口增设在分校区校园网络当中,要推行学习成绩以及人事档案等相应的应用系统,这些系统在使用时,必须要经由这一光纤链路。应用IPSec VPN技术去加密该链路当中传输的各项数据信息,这样可以保障整体网络信息传递的安全性。如果产生访问请求的用户为普通用户,那么就可以在设计安全方式时,允许普通用户去访问分校区或者主校区的网络,让其能够感觉同处在同一个网络内。若其设置较高的安全级别,则会浪费网络系统的资源,甚至还会导致用户访问的速度越来越慢,所以并不需要设置较高的安全级别。如果用户的业务较为敏感,包含人事档案管理或者学生成绩管理等方面的内容,那么就可以使用二层协议网络隔离的形式,让校园网络和用户先连接在一起,之后再把数据信息传递到校园网络当中的核心交换机当中,保障分校区和主校区数据加密传输的状态。此外还需要在两个校区内安装网络路由器设备,不管是对方校区的网络资源请求,还是数据传输,都需要经过该路由设备。校园网络的资源量相对来说会比较大,所以在安装路由器时,必须要重视路由器的可靠性以及稳定度,尽可能减小设备的成本费用。在分校区以及主校区的位置增设VPN功能的网络路由设备,同时还需要对其设备进行安全的管理,创建VPN通道,将需要传播、传输的数据信息,结合网络路由方式传输到指定的地址[4]。
(2)校园内部网络设置VPN服务器
若移动用户以及远程用户都需要访问校园网络,那么就可以借助VPN软件系统,对其数据进行加密及封装的处理,网络运营商供给极具开放性的互联网服务,将其和校园内部网络连接在一起,构建访问虚拟专用网络,也就是 Ac cess VPN。移动用户以及远程用户在发送请求连接校园网络的过程中,VPN服务器要实现其连接的功能,使用Linux操作系统当做校园网络,配置VPN服务的平台,这是因为操作系统的扩展性会比较好,使用的灵活度会比较强,能够稳定进行操作。其应用优势要往往高于Windows平台,在其内部网络设置中增设 IBMX 366服务器,Open VPN软件均由SSL协议进行开发,所以在选择VPN服务器当中,应当安装Open VPN软件系统,这样可以创建出以SSL为主的VPN系统。SSL VPN主要是以SSL协议为基准,实现访问目的VPN技术。该工作会在传输层上,经过校园网络当中的各个网络地址转换设备以及防护墙设备等,使得移动用户以及远程用户可以随时随地的访问校园网络。但是移动用户以及远程用户在请求访问的过程中,往往需要借助一个校园网络IP地址,所以需要架构一台 DHCP服务器,由该服务器供给移动以及远程用户IP地址。若远程用户想要让其和校园网络服务器连接,那么就需要得到其所配置的VPN服务器域名。在DNS服务器当中,增设该域名,保障用户请求连接的准确性,及时的解析为DNS服务器域名。如果远程用户发起校园内部网络资源的访问需求,那么就可以应用校园网络供给的URL地址,向这一服务器发起连接,在得到用户身份认证之后,结合其权限划分指相应的服务器内,这类远程访问虚拟专用网络的连接形式,能够较好避免其受到外部入侵解的攻击和干扰[5]。
需要站在校园网络信息化建设需求的立场上进行探究,制定出更为合理的VPN技术校园网络安全体系应用方案,让移动用户以及远程用户均可借助VPN通用渠道访问校园的网络资源,加密传输各项数据信息,避免外部非法入侵者攻击校园网络,设计更适合院校发展的VPN安全体系,认证并分析该体系的构造过程,满足校园对于VPN应用的各类需求。
[1]费建英.VPN技术在校园网络安全体系中的应用[J].计算机光盘软件与应用,2013(23):22-25.
[2]刘春芝.VPN技术在校园网络安全架构中的应用[J].企业家天地(理论版),2010(05),04-06.
[3]黄磊.基于VPN技术的校园网络安全体系构建[J].赤峰学院学报(自然科学版),2016(13):14-16.
[4]陈剑.基于上网行为管理和VPN的校园网络安全体系的设计与实现[J].现代计算机(专业版),2010(07):01-04.
[5]宋晓飞.基于VPN技术的校园网络安全建设研究[J].电子世界,2014(06):08-09.