文/陳正權(quán)

隨著江蘇信息職業(yè)技術(shù)學(xué)院信息化建設(shè)的不斷推進，校園網(wǎng)上的各應(yīng)用系統(tǒng)越來越多，隨之而來的數(shù)字資源也越來越多，全院教職工對校園網(wǎng)的訪問也越來越多，學(xué)院各項工作的開展幾乎離不開校園網(wǎng)。眾所周知，校園網(wǎng)上的資源分為兩種：一種是面向公眾的開放信息，只要能上因特網(wǎng)（Internet）的任何用戶均可訪問；另一種僅對校內(nèi)用戶開放的內(nèi)部資源，如期刊數(shù)據(jù)庫、電子圖書、精品課程等,它們是教職工開展教學(xué)與科研活動的重要資源。然而對于有數(shù)字版權(quán)的這些數(shù)字資源來說，必須遵守數(shù)字版權(quán)保護的規(guī)定,可是學(xué)校購買的數(shù)字資源都有IP地址范圍的限制訪問,即校內(nèi)用戶可使用而校外合法用戶卻無法使用，為此筆者進行了仔細研究，提出相應(yīng)的解決方案，并認為：由于Internet的迅速擴展，針對遠程安全登錄的需求也日益提升，對于使用者而言，方便安全的解決方案，才是真正適合自己需求的方案。

代理服務(wù)器方案

作為第一種方案，是采用代理服務(wù)器方案，筆者通過在校園網(wǎng)內(nèi)架設(shè)代理服務(wù)器就可以實現(xiàn)學(xué)院教職工在家里訪問校內(nèi)數(shù)字資源和各應(yīng)用系統(tǒng)，如教務(wù)系統(tǒng)、精品課程及賬務(wù)查詢系統(tǒng)等。

代理服務(wù)器的工作機制

代理服務(wù)器是接受用戶的服務(wù)請求，代替用戶去訪問目標服務(wù)器，然后將用戶所需要的信息傳送給用戶。許多代理服務(wù)器均具有緩沖功能，且存儲空間較大，可將最新取得的數(shù)據(jù)存儲到高速緩存（Cache）中。若其他用戶請求的數(shù)據(jù)在Cache中而且是最新的，那么它就不用再去訪問目標服務(wù)器，而直接將該數(shù)據(jù)讀取出來傳送給用戶，這樣就大大地提高了響應(yīng)速度和瀏覽效率。

本文選用的Squid軟件就是基于Cache的代理服務(wù)器軟件，它支持多種協(xié)議如HTTP、FTP、SSL等，該軟件具有功能強、效率高、響應(yīng)快、運行穩(wěn)定和設(shè)置簡單等優(yōu)點，只要對配置文件（squid.conf）進行修改即可實現(xiàn)代理功能。

代理服務(wù)器的功能特點

1.共享上網(wǎng)，隔離內(nèi)外網(wǎng)

通過代理服務(wù)器共享上網(wǎng),可加快內(nèi)網(wǎng)用戶的訪問速度，解決公網(wǎng)IP的不足，讓眾多局域網(wǎng)用戶共享上網(wǎng)，作為防火墻可將內(nèi)外網(wǎng)隔開，還具有監(jiān)控網(wǎng)絡(luò)和記錄傳輸信息的作用，而且還能加強局域網(wǎng)的安全，方便管理上網(wǎng)用戶。

2.通過代理，加速訪問

在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時，通過代理服務(wù)器訪問目標站點，可大大加快訪問速度。比如假設(shè)A是代理服務(wù)器，B要訪問C，但B到C出現(xiàn)問題，此時B可通過A，繞道由A到C。另外代理服務(wù)器的緩存文件中存有不少最新數(shù)據(jù)，如果當(dāng)前所訪問的數(shù)據(jù)就在此文件中，那么就可以直接讀取，不需要再去訪問遠程的WWW服務(wù)器，這樣一來也就明顯加快了訪問速度。

3.隱藏自己，以防攻擊或攻擊目標

使用代理服務(wù)器，可以隱藏自己的真實地址，以防黑客攻擊。同樣黑客也可以通過代理服務(wù)器來實施各種攻擊活動，比如掃描、刺探、滲透內(nèi)網(wǎng)等，黑客經(jīng)常通過多級跳板中轉(zhuǎn)后攻擊目標主機，以此來隱藏身份、保證自身安全。

4.突破限制，提高速度

通過局域網(wǎng)上網(wǎng)的用戶，常常會被處以種種限制，如端口、目標網(wǎng)站、游戲、QQ軟件等，現(xiàn)在就可以用代理服務(wù)器來突破限制。目前許多站點都提供了下載資源，但有IP地址和線程的限制，為了突破限制提高下載速度，設(shè)置一個線程一個代理就可突破IP的限制，這樣就可以通過不同的代理服務(wù)器同時從WEB或FTP服務(wù)器上下載多個資源。但對用戶賬號的限制就不能突破論壇里對資源的限制 。

5.保護私有資源，只允許授權(quán)用戶訪問

一般防火墻只允許內(nèi)網(wǎng)訪問外網(wǎng),但禁止外網(wǎng)訪問內(nèi)網(wǎng),這就造成了合法用戶無法從外網(wǎng)訪問內(nèi)網(wǎng)。為此互聯(lián)網(wǎng)工作委員會專門制定了RFC1928即SOCKS v5協(xié)議。該協(xié)議位于應(yīng)用層與傳輸層之間,它以代理原理為基礎(chǔ),對用戶的合法性進行驗證，同時給合法用戶授予一定的訪問權(quán)限，這樣用戶一旦通過合法驗證就可以訪問被保護的內(nèi)網(wǎng)資源。

Squid代理服務(wù)在遠程訪問數(shù)字資源中的具體應(yīng)用

現(xiàn)在不少高校都購置了如維普、知網(wǎng)、超星、匯文等數(shù)字資源。由于數(shù)字版權(quán)保護的原因，它們大多采用了訪問控制技術(shù)，通過限制訪問者的IP地址，來限制服務(wù)的地域范圍。例如，在江蘇信息學(xué)院，要瀏覽或下載這些資源，必須是校園網(wǎng)內(nèi)用戶，否則就不能使用。但有不少教職工希望在家里也能訪問這些數(shù)字資源。為了滿足教職工的要求，筆者架設(shè)了Squid代理服務(wù)器，通過代理服務(wù)器的用戶身份驗證來實現(xiàn)對校園網(wǎng)數(shù)字資源的遠程訪問。在Squid代理服務(wù)器上，我們?yōu)槊恳晃恍枨笳咴O(shè)置一個賬戶，通過用戶身份驗證后，他們在家中只要簡單設(shè)置即可訪問。

1.服務(wù)器端的安裝與配置

（1）Squid的安裝與配置

先從網(wǎng)上下載Windows版本的Squid 軟件（http://www.acmeconsulting.it/SquidNT/download.html），然后解壓此ZIP文件到C盤的根目錄生成一個squid文件夾，即C:squid。接著在命令提示符窗口中運行如下命令：

C:squid>copy c:squidetcsquid.conf.default squid.conf

接下來對squid.conf文件進行配置，雙擊打開【我的電腦】，雙擊打開C:squid文件夾中的squid.conf文件，用文本編輯器對配置文件Squid.conf進行修改，內(nèi)容如下：

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd

#設(shè)定認證程序路徑與認證程序ncsa_auth.exe及密碼文件passwd

auth_param basic children 10 # 指定認證程序的進程數(shù)

auth_param basic realm 蘇信院代理 # 瀏覽器窗口彈出輸入用戶/密碼對話框時的顯示內(nèi)容

auth_param basic credentialsttl 10 minute # 基本的用戶認證有效時間10分鐘，超過時間需要再次認證

auth_param basic casesensitive off #不區(qū)分大小寫

acl password proxy_auth REQUIRED #用戶需要通過認證才能訪問Internet

#定義訪問Squid的IP地址、訪問列表及其對應(yīng)的名稱

……

acl CONNECT method CONNECT

http_access allow manager localhost #允許本地的manager上網(wǎng)

http_access deny manager #不允許非本地的manager上網(wǎng)

http_access deny !Safe_ports #拒絕通過非Safe_ports列表中端口進行http訪問

http_access deny CONNECT !SSL_ports #拒絕通過非ssl_ports列表中端口連接進行http請求

http_access allow password #允許認證通過的用戶訪問

http_port 3128 #告訴squid在默認端口3128偵聽HTTP請求,,也可是http_port 192.168.16.1:3128

……

cache_mem 1024 MB #設(shè)置緩存大小為1024MB

cache_dir squidvarsquid 4096 16 256 #設(shè)置硬盤緩沖區(qū)最大4096MB，16個一級目錄，256個二級目錄

cache_dir ufs c:/squid/var/cache 8192 16 256

cache_mgr webmaster@jsit.edu.cn #設(shè)置服務(wù)器管理員郵箱,出錯時便于聯(lián)系

visible_hostname proxy.jsit.edu.cn #如不配置，則在啟動squid服務(wù)的時候會報錯

#設(shè)置squid主機名稱為proxy.jsit.edu.cn（一般為IP地址），出錯時會顯示在頁面上。

coredump_dir c:/squid/var/cache

最后保存對squid.conf配置文件的編輯修改，并關(guān)閉此文件。

（2）生成Squid中所需要的用戶認證文件即passwd文件

首先從Apache中找到htpasswd.exe文件，把它復(fù)制到C:>squidin中，然后進入到Windows命令提示符窗口中，運行如下命令：

C:squidin>htpasswd -c C:squidetcpasswd jsit 第一次生成密碼文件passwd要加參數(shù)-c

C:squidin>htpasswd -b C:squidetcpasswd chenzq 5498 #往passwd文件中增加用戶chenzq,密碼為5498

（3）Squid的運行啟動

配置完畢后在命令窗口中運行如下命令。

c:squidsbin>squid ?i #注冊squid為windows服務(wù)squid ?z #生成高速緩存的目錄

squid #啟動squid

到此Squid服務(wù)器就搭建成功并啟動運行了。

2.客戶端的設(shè)置

打開IE瀏覽器的任意一個窗口，在IE窗口中依次使用菜單：“工具”菜單→“Internet選項”菜單項→“連接”選項卡，然后針對不同的用戶進行不同的設(shè)置。

（1）ADSL撥號用戶：在“撥號與虛擬專用網(wǎng)絡(luò)設(shè)置”下面選擇所用的撥號連接（此連接名稱是你自己命名的，演示使用的是江蘇信息），單擊【設(shè)置(S)…】按鈕，選擇“對此連接使用代理服務(wù)器”，輸入IP地址（或域名）和端口號。

（2）使用路由器的ADSL用戶或LAN用戶：在“連接”選項卡窗口中，點下方的【局域網(wǎng)設(shè)置(L)…】，在彈出的窗口中的“代理服務(wù)器”選項下面輸入IP地址（58.214.11.20）或域名（proxy.jsit.edu.cn）和端口號（3128）,如圖1所示。

圖1 客戶端設(shè)置代理服務(wù)器

最后設(shè)置完成后，再次打開網(wǎng)頁時，代理服務(wù)器系統(tǒng)會要求輸入密碼，如用戶名：jsit 密碼：******，這樣即可進入校園網(wǎng)，和校內(nèi)用戶一樣使用內(nèi)網(wǎng)的數(shù)字資源了。

VPN方案

VPN的概念

VPN即虛擬專用網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，它屬于遠程訪問技術(shù)，簡單地說就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)，實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通信隧道，為用戶建立一個臨時的、安全的連接，一條穿過復(fù)雜公用網(wǎng)絡(luò)的安全穩(wěn)定的數(shù)據(jù)傳輸隧道，從而為分散于不同地方的用戶之間建立一條虛擬的專線，用于數(shù)據(jù)的安全傳輸。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源。VPN中使用的技術(shù)有隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和身份認證技術(shù)等，VPN的實現(xiàn)有多種方式，如VPN服務(wù)器、軟件VPN、硬件VPN和集成VPN等。根據(jù)不同的劃分標準VPN也分為多種，本文只介紹采用IPSec和SSL協(xié)議的VPN，即IPSec VPN和SSL VPN。

VPN的特點

1.使用VPN可降低成本：通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費用，而不必投入大量的人力和物力去安裝和維護廣域網(wǎng)設(shè)備以及遠程訪問設(shè)備。

2.傳輸數(shù)據(jù)安全可靠：虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

3.連接方便靈活：用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。

4.完全控制：虛擬專用網(wǎng)讓用戶利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

IPSec VPN和SSL VPN不同之處

IPSec協(xié)議是基于網(wǎng)絡(luò)層的安全協(xié)議，IPSec VPN必須安裝復(fù)雜的客戶端軟件，而且當(dāng)用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。SSL（Secure Sockets Layer，安全套接層）是基于應(yīng)用層的安全協(xié)議，被大部分瀏覽器集成，SSL VPN的客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過簡單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。但是，不裝客戶端的SSL VPN只能實現(xiàn)簡單的應(yīng)用，如Http等，若需要其他的應(yīng)用，如郵件、遠程桌面、內(nèi)部應(yīng)用系統(tǒng)等軟件，就必須安裝SSL VPN的客戶端。

使用SSL VPN也有更好的經(jīng)濟性，只要在校園網(wǎng)出口處部署一臺VPN設(shè)備就可以實現(xiàn)所有用戶的遠程安全訪問接入；但是對于IPSec VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設(shè)備。另外，就使用成本而言，SSL VPN具有更大的優(yōu)勢，即插即用，所以在易用性和安全層級上，SSL VPN也比IPSec VPN高，一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。

筆者單位部署了一臺SSL VPN設(shè)備，用于全院教職工遠程訪問校園網(wǎng)內(nèi)的數(shù)字資源和各應(yīng)用系統(tǒng)，具體部署過程如下：

筆者只要在本地設(shè)置好SSL VPN設(shè)備的IP地址后，就可以在校內(nèi)任何一臺PC上，打開IE瀏覽器，在其地址欄輸入地址：https://192.168.16.60:6443/SSL/admin/X_Login.jsp，然后輸入用戶名和密碼，點“登錄”，就可以對VPN設(shè)備進行相關(guān)設(shè)置,如圖2所示。

圖2 SSL VPN設(shè)備設(shè)置窗口

用戶只要在校外任何一臺PC機上打開瀏覽器，在瀏覽地址欄輸入：https://58.214.11.22（如果在DNS服務(wù)器做好域名解析的話，也可以輸入：https://VPN.jsit.edu.cn），如果部分瀏覽器會出現(xiàn)安全性問題的提示，請點“繼續(xù)瀏覽網(wǎng)站（不推薦）”，之后就會跳出登錄界面，輸入賬號密碼即可,如圖3所示。

圖3 用戶登錄窗口

綜上所述，用戶可選擇的遠程訪問解決方案很多，代理服務(wù)器方案不需要另外購置硬件設(shè)備，可以在任何一臺已有的服務(wù)器上架設(shè)，其可靠性以及響應(yīng)速度上也不錯，但是沒有對數(shù)據(jù)或信道進行加密處理。而IPSec VPN和SSL VPN卻各有千秋，不過現(xiàn)在不少VPN設(shè)備均支持這兩種協(xié)議，如果以IPSec VPN作為點對點連接方案，再搭配以SSL VPN作為遠程訪問方案，則能滿足員工、商業(yè)伙伴與客戶的安全連接需求，這也是最合適也最具性價比的組合。目前筆者已將VPN應(yīng)用于學(xué)院工資查詢系統(tǒng)、干部管理系統(tǒng)、教職工考核測評系統(tǒng)、教代會提案系統(tǒng)、網(wǎng)上報告廳、精品課程、圖書館以及知網(wǎng)與萬方學(xué)位論文全文數(shù)據(jù)庫等數(shù)字資源系統(tǒng)中。