基于VPN技术的校园网多场景安全保障策略研究

2021-10-29 12:18王岩红
网络安全技术与应用 2021年10期
关键词:校园网浏览器资源

◆王岩红

基于VPN技术的校园网多场景安全保障策略研究

◆王岩红

(广东外语外贸大学网络与信息化中心 广东 510420)

出于安全考虑,高校校园网越来越趋向多数业务系统只允许内网访问,而用户却越来越趋向在校园网的范围外进行网上活动,本文探讨了如何利用VPN技术在校园网多场景下适应这两种需求。

校园网;网络安全;VPN

随着移动互联网的飞速发展,高校内部的各种类型的网站和应用系统也越来越多,越来越复杂,师生们对各种校内业务便捷化的需求也越来越高。由于新时期下,互联网上的安全威胁也日益增加,针对高校的数据窃取及网络攻击的活动也非常频繁。在这种大环境下,校园网的安全策略更加注重内网的防护,出口防火墙都会对这些网站和业务系统有所限制,只有少部分是对校外开放的,而更多的都是只允许在校园网内网的范围内进行访问。这时候VPN技术就为校外用户访问校内业务的连续性提供了保障。本文通过对校园的多个场景下的业务需求进行分析,在兼顾安全和便捷的情况下,对如何利用VPN技术维持业务连续性进行了探讨。

1 VPN技术发展概述及SSL VPN的优势

VPN(Virtual Private Network)是指通过公共网络将物理上分布在不同地点的多个私有网络或网络节点组成逻辑上的虚拟专用网络[1]。同时为防止信息的泄露、篡改,采用了隧道技术、数据加解密技术、密钥管理技术、访问控制技术等措施,来保障信息在网络上的传输安全。VPN按技术分为基于第二层隧道技术的VPN(L2F/L2TP/PPTP)、IPSec VPN、SSL VPN等。在实际的应用中SSL VPN 凭借着易部署、维护管理成本低、访问控制灵活、适应性强等优势获得了广泛的应用。

2 高校校园网外网访问需求分类及特点

2.1 校园网内的资源按内容分类

(1)校内各业务系统。高校的各业务部门都根据自身需要开发了一系列的业务系统,如教务系统、选课系统、人事系统、薪酬系统、一卡通系统、资产系统、就业系统等等。

(2)图书馆数字资源。由于教学科研的需求,高校的图书馆都会购买很多电子数据库资源,例如中国知网、百度文库、各种外文期刊数据库等。这些数字资源一般都是通过学校网络出口IP范围注册的。也就是说,只有当这些IP范围内的IP访问这些数据库资源的时候,才可以进行浏览下载操作。简言之,就是只有在校园网内网才能访问这些图书馆资源。

(3)校内业务服务器资源。校内各单位业务系统也分别对应着很多服务器资源,这些资源一般都集中在学校网络部门维护的机房内,一般都配置的是内网IP。

2.2 按访问需求途径分类

(1)通过WEB浏览器访问校内业务

由于浏览器访问模式的普适性更强,现在高校内的业务系统绝大部分都是B/S结构的,C/S结构的业务系统正在被淘汰或转型为B/S结构。无论是PC,还是移动设备(手机或平板类移动设备),用户都可以通过使用各种WEB浏览器对业务系统进行访问

(2)通过学校APP、微信公众号及小程序访问校内业务

随着移动互联网的蓬勃发展,各高校都开发了针对本校业务的APP、微信公众号及小程序为全校师生提供便捷的业务服务。

93通过PC中的应用程序远程维护校内业务设备

高校信息化建设和维护部门的人员,以及校内各单位业务系统供应商的系统维护人员,为了快速部署、维护巡查,及时处理故障,都迫切需要通过PC中的应用程序远程对校内的业务服务器进行维护。

3 对应各个需求的VPN解决方案

SSL VPN 主要功能包括虚拟网关、WEB代理、文件共享、端口转发、网络扩展、用户安全控制和完善的日志功能等。虚拟网关可以实现针对不同需求的用户部署不同应用资源的模块化管理;WEB代理实现了无客户端的页面访问方式,充分体现了它的易用性[2]。高校中实际遇到的问题,都可以通过SSL VPN技术来实现。SSL VPN部署简单,可以单臂接入原有网络中,对原有的校园网拓扑结构影响很小,其接入结构如图1。

图1 VPN业务场景及接入位置示意图

3.1 通过基于SSL VPN的Webvpn技术,解决通过WEB浏览器访问校内业务和图书馆资源的问题

Webvpn基于反向代理技术,区别于传统VPN技术,Webvpn无需用户安装客户端软件及浏览器插件,用户只需进入Webvpn页面,输入用户名密码,通过身份验证即可登录VPN访问内网资源,真正做到了即开即用[3]。

通过将校内资源在提供Webvpn服务的设备后台进行资源配置,用户在打开Webvpn的登录页面输入用户名和密码后,就可以方便地从浏览器页面上选取可以访问的校内资源,不增加用户任何负担,简单直接,方便易用。可以很好解决用户通过WEB浏览器访问校内业务和图书馆资源的问题。

3.2 通过在调用厂商提供的SDK程序,解决在手机端校园移动门户无感登录问题

当手机用户访问校园网移动门户的时候,如果登录IP不在校园网内网,可以通过调用VPN厂商提供的SDK程序,使ticket在校内的CAS统一身份认证系统中进行认证对接以实现单点登录,用户登录统一身份认证平台后自动完成VPN认证及校内门户系统的认证,从而实现外网用户无感知访问校内移动门户。

3.3 通过将厂商提供的SDK包透明集成到APP应用中,实现APP中集成VPN功能的封装

利用厂商提供的安全加固SDK自动封装增值方案,无需APP开发商开发人员配合,通过上传、封装、下载3个动作,5分钟内完成安全加固SDK封装[4]。从而实现在登录APP的过程中,就建立了VPN的安全连接,为访问问校内业务时的连续性提供了便捷和保障。

3.4 通过SSL VPN客户端解决通过PC中的应用程序远程维护校内业务服务器的问题

对于需要通过PC中的应用程序远程维护校内业务的用户来说,还是需要安装SSL VPN的客户端,通过登录客户端从而建立起从外网到内网的专用隧道,来进行更加多样化需求的远程业务系统服务器维护。

4 结束语

随着高校对安全需求的场景增多,VPN技术也随之进化出适应校园网多场景的安全保障办法。只要我们规划好,利用好这项技术,就可以达到我们兼顾校园网安全和用户使用便利的目的。

[1]黄超,王勇. VPN技术在校园网络安全体系中的应用研究[J]. 网络安全技术与应用,2016(11).

[2]王庆刚,向文. 关于高校网络中VPN技术的探究[J]. 网络安全技术与应用,2018(6).

[3]强焜. Webvpn在高校内网访问中的运用[J]. 计算机产品与流通,2019.

[4]深信服SSL VPN产品技术白皮书. 深信服科技,2015.

猜你喜欢
校园网浏览器资源
基础教育资源展示
数字化校园网建设及运行的几点思考
一样的资源,不一样的收获
微软发布新Edge浏览器预览版下载换装Chrome内核
试论最大匹配算法在校园网信息提取中的应用
反浏览器指纹追踪
资源回收
基于VRRP和MSTP协议实现校园网高可靠性
NAT技术在校园网中的应用
资源再生 欢迎订阅