摘 要：VPN是通過公用網(wǎng)絡(luò)建立一個安全而臨時的連接，是一條穿過具有高威脅性公用網(wǎng)絡(luò)的安全隧道。現(xiàn)針對某高職院校校園網(wǎng)絡(luò)實(shí)際需求，以及VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用的原則，完成VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用方案設(shè)計(jì)。

關(guān)鍵詞：VPN技術(shù)；校園網(wǎng)絡(luò)；安全體系

隨著計(jì)算網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，校園網(wǎng)絡(luò)建立已成為各個院校信息化管理的基礎(chǔ)，成為師生學(xué)習(xí)與交流的重要工具。并且隨著各個院校的擴(kuò)招，各個院校的規(guī)模也在不斷擴(kuò)大，建立了多個校區(qū)協(xié)調(diào)合作的發(fā)展模式。根據(jù)我國當(dāng)前院校的布局來看，許多院校的多個校區(qū)可能分布于不同的城市或地區(qū)，如果簡單的采用校園局域網(wǎng)的形式無法實(shí)現(xiàn)多校區(qū)協(xié)調(diào)管理的模式。目前，許多具有多個校區(qū)的院校為加強(qiáng)院校統(tǒng)一的信息化管理，采用了VPN技術(shù)連接各個校區(qū)。雖然VPN技術(shù)實(shí)現(xiàn)了多校區(qū)間的連接，但其網(wǎng)絡(luò)安全問題也隨之暴露。因此，現(xiàn)以某高職院校為案例對VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用展開探討。

1 需求分析

某高職院校共有兩個校區(qū)，本文將兩個校區(qū)稱之為新校區(qū)與老校區(qū)。同時深入該高職院校了解校園網(wǎng)絡(luò)內(nèi)的VPN總體需求情況：

1.1 解決院校兩個校區(qū)訪問互通的問題。實(shí)現(xiàn)兩個校區(qū)間一卡通、財(cái)務(wù)專網(wǎng)的整合，形成一條連接兩個校區(qū)間的網(wǎng)絡(luò)安全通道。保證數(shù)據(jù)能夠在安全通道內(nèi)安全、快速的進(jìn)行傳輸。

1.2 遠(yuǎn)程訪問校園網(wǎng)絡(luò)內(nèi)部站點(diǎn)的需求。實(shí)現(xiàn)兩個校區(qū)內(nèi)WEB站點(diǎn)、郵件服務(wù)站點(diǎn)的整合，完成兩個區(qū)間郵件分發(fā)、公文流轉(zhuǎn)和校園信息交流等。

1.3 遠(yuǎn)程訪問圖書館資源。兩個校區(qū)建立統(tǒng)一的圖書館管理系統(tǒng)以及認(rèn)證系統(tǒng)，實(shí)現(xiàn)兩個校區(qū)間圖書館資源的聯(lián)動管理與統(tǒng)一認(rèn)證。

2 VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用的原則

2.1 安全保障

VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用最基本的原則便是保障網(wǎng)絡(luò)安全。校園網(wǎng)絡(luò)VPN應(yīng)用至少需要提供身份認(rèn)認(rèn)、數(shù)據(jù)完整性和數(shù)據(jù)保密三方面的安全保障機(jī)制。

2.2 有效的管理平臺

VPN服務(wù)器應(yīng)提供界面友好的客戶端與服務(wù)器端配置工具，方便用戶操作使用。同時配置工具還應(yīng)提供用戶操作日志采集功能，為安全審計(jì)提供日志記錄。

2.3 保證多平臺兼容

多平臺兼容是指為校園網(wǎng)絡(luò)提供的VPN服務(wù)能夠?yàn)橐苿愚k公用戶提供隨時隨地的安全網(wǎng)絡(luò)接入服務(wù)。以及能實(shí)現(xiàn)多操作系統(tǒng)平臺環(huán)境的兼容等。

2.4 提供有效的訪問控制

校園網(wǎng)絡(luò)中涉及到多種用戶角色，各用戶角色在不同應(yīng)用系統(tǒng)中具有不同的應(yīng)用權(quán)限，因此，VPN服務(wù)應(yīng)建立嚴(yán)格的安全訪問控制機(jī)制。

3 VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用的功能模型

根據(jù)校園網(wǎng)絡(luò)的實(shí)現(xiàn)需求與VPN應(yīng)用的基本原則，VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用功能模型包括以下四個功能模塊。

3.1 后臺管理模塊：負(fù)責(zé)VPN服務(wù)器工作日志的采集，為安全審計(jì)提供操作日志。同時也能匯總用戶的操作行為日志與詳細(xì)的使用情況。

3.2 訪問控制模塊：該模塊主要建立詳細(xì)的VPN訪問控制策略，決定用戶的訪問規(guī)則。

3.3 身份認(rèn)證模塊：服務(wù)端對客戶端認(rèn)證采用不同的認(rèn)證方式，在內(nèi)網(wǎng)進(jìn)行認(rèn)證時采用數(shù)字證書方式，在外網(wǎng)進(jìn)行認(rèn)證時采用用戶名與密碼的認(rèn)證方式；客戶端對服務(wù)端進(jìn)行認(rèn)證采用數(shù)字證書的方式。

3.4 數(shù)據(jù)轉(zhuǎn)發(fā)模塊：該模塊是整個網(wǎng)絡(luò)體系的核心模塊，使用協(xié)商好的加密算法進(jìn)行數(shù)據(jù)加密，并完成數(shù)據(jù)的傳輸。

4 VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用方案的選擇

VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中共有三種應(yīng)用方案，分別如下：

4.1 Access VPN：該方案適用于移動或遠(yuǎn)程辦公的需求，實(shí)現(xiàn)校園內(nèi)外網(wǎng)絡(luò)的遠(yuǎn)程連接。Access VPN適用于當(dāng)前多種網(wǎng)絡(luò)接入方式，例如xDSL、PPPoE撥號、移動網(wǎng)絡(luò)、ISDN等，為移動辦公用戶提供安全的私有連接。

4.2 Intranet VPN：該方案以特有的共享網(wǎng)絡(luò)設(shè)施為基礎(chǔ)，利用Internet實(shí)現(xiàn)院校各分校區(qū)之間的網(wǎng)絡(luò)互聯(lián)。Intranet VPN充分利用了VPN隧道、加密等技術(shù)保證了信息在傳輸鏈路上的安全。

4.3 Extranet VPN：該方案通過一個使用專用網(wǎng)絡(luò)連接的共享基礎(chǔ)設(shè)施，將外部網(wǎng)連接到校園網(wǎng)絡(luò)，適用于為B2B之間的安全訪問。

通過對三種應(yīng)用方案的分析，三種應(yīng)用方案適用于不同的安全訪問服務(wù)。根據(jù)需求分析可知，校園網(wǎng)即要實(shí)現(xiàn)各校區(qū)間的網(wǎng)絡(luò)互聯(lián)，又要實(shí)現(xiàn)遠(yuǎn)程用戶對校園網(wǎng)絡(luò)資源的訪問。因此，我們選擇Access VPN與Intranet VPN兩種應(yīng)用方案作為校園網(wǎng)絡(luò)安全體系的架構(gòu)。

5 VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用方案設(shè)計(jì)

根據(jù)以上分析，結(jié)合某高職院校校園網(wǎng)絡(luò)實(shí)際，VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中應(yīng)用方案設(shè)計(jì)如下：

5.1 兩個校區(qū)之間采用Intranet VPN實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。該高職院校當(dāng)前兩個校區(qū)都由中國電信提供的光纖接入提供網(wǎng)絡(luò)連接，網(wǎng)絡(luò)出口都在老校區(qū)，而且兩個校區(qū)間的信息化管理系統(tǒng)都需要通過該通信鏈路完成信息互通，包括一卡通、財(cái)務(wù)、人事和教務(wù)管理系統(tǒng)等。為保證數(shù)據(jù)傳輸?shù)陌踩?，我們采用IPSec VPN技術(shù)，對應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行加密，保障數(shù)據(jù)傳輸過程的安全性。

對于信息安全要求較高的用戶，例如財(cái)務(wù)和后勤等部門的用戶，可以采用二層隔離的方案接入校園網(wǎng)，再通過二層OSPF協(xié)議傳輸至核心交換機(jī)，實(shí)現(xiàn)兩個校區(qū)信息的加密傳輸；對于一般用戶的訪問，由于安全級別較低，可以降低安全要求，提升VPN服務(wù)器性能。

5.2 Access VPN遠(yuǎn)程用戶訪問VPN服務(wù)器

當(dāng)移動用戶需要通過遠(yuǎn)程訪問校園網(wǎng)絡(luò)資源時，可采用Access VPN應(yīng)用方案實(shí)現(xiàn)。在校園網(wǎng)絡(luò)內(nèi)部構(gòu)建VPN服務(wù)器，移動用戶使用專門的VPN客戶端通過ISP運(yùn)營商提供的Internet網(wǎng)絡(luò)連接到校園網(wǎng)絡(luò)中。這種方式只需要支付ISP提供的網(wǎng)絡(luò)帶寬使用費(fèi)用，不支付其它額外的費(fèi)用。

校園網(wǎng)絡(luò)內(nèi)的VPN服務(wù)器架設(shè)，我們選擇Linux操作系統(tǒng)平臺作為架構(gòu)的基礎(chǔ)環(huán)境，Linux操作系統(tǒng)平臺不僅具有易擴(kuò)展、免費(fèi)的特點(diǎn)，而且其性能也優(yōu)于Windows Server平臺。在硬件方面我們選用IBM System x3650 M3作為VPN服務(wù)器的載體。VPN系統(tǒng)軟件我們選用基于SSL協(xié)議的OpenVPN，可以架設(shè)SSL VPN應(yīng)用系統(tǒng)。

校園網(wǎng)絡(luò)內(nèi)部為保證信息傳輸?shù)陌踩褂昧朔阑饓εcNAT設(shè)備，由于OpenVPN構(gòu)建的SSL VPN工作在傳輸層之上，能夠遍歷所有的防火墻與NAT設(shè)備，保證了VPN用戶隨時隨地都能連接校園網(wǎng)絡(luò)。另外，遠(yuǎn)端的VPN用戶訪問校園網(wǎng)絡(luò)時需要為其分配內(nèi)網(wǎng)IP地址，因此，還需要架設(shè)一臺DHCP服務(wù)器完成自動分配IP地址的任務(wù)。對于外部網(wǎng)絡(luò)的移動用戶需要連接至VPN服務(wù)器時，還需要建立DNS域名服務(wù)器。當(dāng)遠(yuǎn)端用戶通過域名URL地址訪問VPN服務(wù)器時，DNS服務(wù)器完成域名解析，同時發(fā)起的VPN請求連接被SSL VPN服務(wù)器獲取，完成用戶權(quán)限認(rèn)證后映射到校園網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器。通過這種方式可以完成屏蔽校園網(wǎng)絡(luò)的結(jié)構(gòu)，保證校園網(wǎng)絡(luò)的安全。

6 結(jié)束語

目前，VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用已成為研究的熱點(diǎn)，據(jù)《中國教育網(wǎng)絡(luò)》的調(diào)查數(shù)據(jù)可知，我國許多院校都已開始或部署VPN技術(shù)的應(yīng)用。本文從校園網(wǎng)絡(luò)的實(shí)際出發(fā)，對多校區(qū)院校的需求展開分析，并根據(jù)需求分析的要求，規(guī)劃和設(shè)計(jì)了VPN技術(shù)在多校區(qū)校園網(wǎng)絡(luò)安全體系中的應(yīng)用方案。

作者簡介：黎偉（1974，2-），男，民族：漢，籍貫：貴州，碩士，講師，工作單位：黔南民族職業(yè)技術(shù)學(xué)院，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)，計(jì)算機(jī)網(wǎng)絡(luò)。