利用WebVPN实现高校内网资源远程访问

顾 纯，顾建荣

（上海工程技术大学信息化办公室 上海 201620）

1 引言

随着高校网络安全建设的发展，为了进一步提高抵御外网威胁的防护能力，越来越多的高校用户将业务应用系统访问限制在内网，禁止来自外网的访问。师生用户想在校外访问校内资源，就必须拥有校内的合法地址，否则将无权限访问校内资源[1]。如何保障全校师生在校外更高效、稳定地访问校内资源，也是一个必须解决的问题。

本文提出了不需要任何客户端软件的安装，也不需要对服务器端进行特殊设置，通过短时间的配置就可以为用户提供远程访问的解决方案，同时这种方案不需要指定客户端设备，不需要其他的安全设备和应用程序及插件的支持，通过利用 WebVPN技术更好地解决上述问题，提升校内用户的使用体验。

2 VPN概述

VPN是虚拟专网（Virtual Private Network）的缩写，被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。传统的 VPN 技术主要有PPTP、L2TP、IPSEC 和SSL VPN等。其中，PPTP 是最简单的点对点隧道协议，它使用PPP协议对数据进行封装，实现了从外网用户端到内网服务器之间数据的安全传输。L2TP是基于PPTP缺点改进的后续版本，用户可以针对不同的服务质量创建不同的隧道，并提供隧道验证。IPSEC 使用加密安全服务来保护网络上的通信，支持网络身份验证、数据源身份验证、数据完整性、数据机密性，是拥有高安全性的VPN，其部署和管理较复杂。SSL VPN基于SSL协议，可以保证信息的真实性、完整性、保密性。用户端使用浏览器与SSL VPN连接，透过HTTPS协定建立出两端间的安全连接通道。因为SSL协议被广泛内置于浏览器中，可以不用安装客户端访问。但是，这些传统的VPN方式经常遭到用户们的诟病，在使用过程中存在着各种各样的问题[2]。常见传统VPN主要参数比较见表1。

表1 常见传统VPN对比表

通过表1，可以归纳出传统的VPN主要存在以下缺点。

（1）安装与配置复杂。传统VPN需在终端上安装下载客户端或插件，并配置相应的参数，例如目标地址、加密类型、连接方式等，配置较为繁琐。

（2）占用系统资源。传统VPN需要在终端安装相应的嵌套插件，插件的安装一方面让使用体验变得糟糕，另一方面也是对系统资源的隐性开销。

（3）兼容性要求高。传统VPN对操作系统的兼容性有要求，不完整版系统或缺少系统补丁等，均会影响VPN的使用体验。

（4）安全系数较低。PPTP VPN使用全明文的方式进行传输，任何人在中间链路可随便窃取用户信息，安全性相对较低。

（5）移动端体验不佳。虽然传统VPN也提供了手机 APP端供用户们使用，但是移动客户端在各品牌移动终端上兼容性各不相同，同时由于一些原因，这类APP有时会被应用商店下架，无法获取应用程序安装包。

3 需求分析

为了解决传统VPN存在的问题，更好地解决校外用户访问校园内部资源的问题，使用一种基于Web的远程访问系统，比传统VPN具有更好地安全性和使用体验，不给管理者与用户带来额外的维护和使用负担。同时，系统还应该具备以下几点要求。

3.1 免配置，即开即用

通过浏览器上实现远程访问连接，不需要安装客户端和浏览器插件，也不需要安装Java运行库。其架构基于反向代理[3]。用户只需在终端上有常规浏览器即可实现内部资源的访问，无需安装任何相关插件或客户端软件，即开即用，方便快捷，安全高效。

3.2 统一认证，分组授权

远程访问的身份认证需支持CAS、Radius、AD活动目录、LDAP、OTP动态口令等多种认证接入方式，满足不同应用场景的安全认证需求。同时，对安全要求严格的场景，提供双因子认证，安全可靠。支持认证多策略设置，可实现校内用户访问不认证，校外认证。系统与现有认证系统联动，实现统一身份认证，支持接入用户分组授权，支持权限自定义。

3.3 终端的兼容性强

兼容和支持各类终端，通过浏览器可直接使用。对操作系统没有要求，不管是Windows、Linux、MAC、IOS、Android和国产操作系统都可以使用；对浏览器种类和软件版本没有要求，不管是IE、Firefox、Chrome、Safari、360、遨游等都可以用[4]。大大降低了用户的使用门槛；对终端设备也没有要求，不论是PC、智能手机、平板电脑都可以直接使用，并根据用户终端的屏幕分辨率自动适配屏幕。

3.4 部署模式灵活

部署方式支持双机热备模式，以旁路的方式分别部署在校园网的出口和内网中，一台部署于出口防火墙DMZ区域，用于接受用户连接请求（称为Master）；一台部署于内网区域，用于控制用户连接需要访问的内部服务器（称为Tunnel Controller)。连接上Master被动接受Tunnel的连接。用户与Master之间采用高强度SSL传输，Master与Tunnel采用RSA与AES混合加密体系，以确保数据在传输过程中的安全性。

3.5 用户权限分配灵活

用户可以根据用户组分类进行关联，用户组可以与目标资源关联，以限制用户可以访问的内部资源。具有不同权限的用户可以根据自己的权限灵活分配各种访问资源[5]。用户登录后，拥有不同权限的用户只显示管理员已授权的访问资源，方便用户直接访问所需资源，进一步提高了内部资源的安全性。

4 系统部署

传统VPN需要安装客户端或者在电脑上做复杂的参数配置，还需要安装浏览器插件，无论是不同的操作系统还是不同的浏览器，插件或客户端的安装都不相同，部分用户很难自己安装。而使用WebVPN系统，用户们输入统一身份认证用户名和密码，就能直接访问校园内部资源，操作简单，用户体验感较好。

4.1 WebVPN概述

WebVPN是一款基于浏览器的远程访问控制系统，它区别于其他传统的VPN，无需安装任何浏览器插件或客户端，即可实现内部系统资源的外网远程访问。还可以支持基于浏览器下的SSH、VNC、TELNET、远程桌面等超级终端类的远程访问操作，和传统VPN相比，安全性和易用性及用户体验可以得到进一步提高。它还具备以下几种特点。

（1）标准HTTP协议，避免运营商封锁，无需安装浏览器插件与客户端，完美兼容所有标准HTTP浏览器。

（2）兼容微软、苹果与安卓等主流系统的移动端设备。

（3）随时随地实现用户和应用，端到端的数据SSL高强度加密访问传输。

（4）为管理者提供基于浏览器实现SSH、VNC、TELNET、远程桌面等访问运维工作。

（5）应用与访问之间新边界，提供基于角色、应用和用户组的权限控制。

4.2 部署模式

系统采用Master控制器+Tunnel控制器的双机部署模式。在校园网出口防火墙DMZ区部署Master控制器，为校外用户提供身份认证、角色和访问权限配置以及系统和数据的基本安全功能。校园网内的服务器区，部署一台Tunnel控制器负责与目标系统连接，来进行具体的业务权限及任务的配置与管理。这样的部署方式可以防止大并发连接数下的单机负载过高问题。在保证系统安全的前提下，保证校外用户能够更安全地访问校内的资源。

用户在校外访问位于出口防火墙DMZ区域的Master控制器，而Master控制器与Tunnel控制器之间的数据传输通过AES与RSA混合加密的方式完成，用户访问WebVPN采用了https方式，保证了数据在传输过程中的安全性。通过访问权限的设置，不同用户组的人员只能看到管理员授权给本用户组的资源。不像传统VPN连接成功后，就可以对整个内网进行访问，减少校园内网的安全风险。

5 系统使用

师生用户登录只需要使用浏览器访问系统，使用学校统一身份认证的用户名与密码即可完成系统登录认证，用户完成身份验证登录过程后，点击系统显示页面中的目标链接就可以直接访问。用户资源展示页面可以看到已经发布的校内网站和信息系统资源链接，系统完整的导航页面，还包括业务系统、超级终端、图书资源等链接。登录的账户需要有相关访问权限才能显示相应的校内站点或外部图书资源数据库的安全链接，点击访问后可实现直接登入访问。

在系统使用后发现，WebVPN是可以避免传统VPN系统的缺陷，也为校外师生用户提供一个更安全、更便捷的远程访问校内资源途径。而且师生用户无需培训，即开即用。减轻了网络管理人员的运维工作量，师生用户的满意度也得到提升。

6 结语

WebVPN系统使得教师和学生在无需下载安装客户端程序和浏览器插件的情况下，更安全、方便地访问校园资源和业务系统，具有更好的兼容性和使用体验。与校内统一身份认证系统做对接后，实现校内外无感知访问，使得师生用户更简单、安全地访问校内系统和资源，进一步提升用户体验。统一的访问入口与校外安全访问，构建了一个全方位的信息化平台，能随时随地进行访问与管理校内各种业务系统，使得学校业务系统实现多路的、及时的、高效便捷的使用与管理。