摘? 要：隨著網(wǎng)絡新技術的發(fā)展，在各高校全面打造數(shù)字校園過程中，基于網(wǎng)絡的業(yè)務種類和形式不斷增加，以傳統(tǒng)網(wǎng)絡技術為主要通信手段的校園網(wǎng)發(fā)展遇到了各種瓶頸，加上校區(qū)分散、管理相對獨立等環(huán)境，基于SSL（安全套接字）協(xié)議的VPN（虛擬專用網(wǎng)絡）技術在校園網(wǎng)的應用變得越來越重要，本文從VPN技術分類開始，詳細分析了SSL VPN的實現(xiàn)原理，利用UTM設備實現(xiàn)了SSL VPN在我校的全面應用，對于提升企事業(yè)單位信息化辦公效率，具有積極示范意義。

關鍵詞：SSL協(xié)議;VPN技術;數(shù)字校園;UTM

中圖分類號：TP393.2? ? ?文獻標識碼：A

Abstract： With the development of network technology， network-based activities keep increasing in the building of digital campus throughout colleges and universities. The development of campus network with traditional network technology as the main communication means has encountered various bottlenecks. To make matters worse， college campuses are scattered and their management is relatively independent. Therefore， application of VPN （Virtual Private Network） technology based on SSL （Secure Socket Layer） protocol in campus network is becoming increasingly important. Starting from categorization of VPN technology， this paper analyzes the implementation principles of SSL VPN in detail. Equipment of UTM （Unified Threat Management） is also used to realize full application of SSL VPN in universities， which significantly improves the effectiveness of information-based office work in enterprises and institutions.

Keywords： SSL protocol; VPN technology; digital campus; UTM

1? ?引言（Introduction）

通信技術和計算機網(wǎng)絡技術的不斷發(fā)展，特別是5G技術、大數(shù)據(jù)等新技術的出現(xiàn)，如何在高速通信鏈路上安全地傳輸大量私密數(shù)據(jù)變得越來越重要，網(wǎng)絡安全的重要性慢慢在大家日常學習、生活、工作中體現(xiàn)出來。目前各種企事業(yè)單位有總部、分部、外出辦事、合作機構(gòu)等各種形式組成，在日益流行的無紙化辦公模式，結(jié)合不斷增多的日常內(nèi)部辦公文件的大環(huán)境下，大部分企業(yè)通過專網(wǎng)、發(fā)布在公網(wǎng)各類服務器、網(wǎng)絡存儲等形式來實現(xiàn)。然而，在實際使用過程中，如何在數(shù)據(jù)安全性、員工工作效率、網(wǎng)絡技術管理成本等方面，尋找一個平衡點，是大部分企事業(yè)單位面臨的重點和難點。

虛擬專用網(wǎng)是解決通信安全問題的有效方式，是目前信息安全領域重要研究領域之一[1]。虛擬專用網(wǎng)技術以共享公共網(wǎng)絡為基礎，以虛擬而非物理連接來構(gòu)建私有的專用網(wǎng)絡，而且處于私有的管理策略之下，具有獨立的地址和路由規(guī)劃，整體來看相當于穿過一個混亂的公共網(wǎng)絡，形成一個安全而又可靠的隧道，實現(xiàn)各個網(wǎng)絡的統(tǒng)一。目前，對于高校來說，多校區(qū)、多業(yè)務協(xié)同、分布式工作的業(yè)務很多，教務、圖書資源、財務、人事、校園一卡通、學生等系統(tǒng)被廣泛應用，合理利用VPN技術來搭建以上服務，為全校師生提供工作和學習的便利，是目前高校校園數(shù)字化、信息化建設過程中的一種必然趨勢。其中SSL VPN（基于安全套接層的虛擬專用網(wǎng)）也因其安全性和易用性在安全傳輸中得到廣泛使用[2]，本文就基于SSL協(xié)議的VPN技術在我校的應用進行研究。

2? ?VPN 技術（VPN technology）

2.1? ?VPN技術分類

VPN技術有以下幾種分類：（1）按業(yè)務用途分為：Access VPN、Intranet VPN、Extranet VPN;（2）按照運營的模式分為：CPE-Base VPN、Network-Based VPN;（3）按照組網(wǎng)模型分為：VPDN、VPRN、VLL、VPLS;（4）按照網(wǎng)絡層次來分：Layer 1 VPN、Layer 2 VPN、Layer 3 VPN、傳輸層 VPN、應用層VPN。其中主要的二層VPN技術有：L2TP（Layer 2 Tunneling Protocol）VPN、PPTP（Point to Point Tunneling Protocol）VPN、MPLS（Multiprotocol Label Switching）L2 VPN;三層VPN技術有：GRE （Generic Routing Encapsulation）VPN、IPsec（Internet Protocol Security）VPN、BGP（Border Gateway Protocol）VPN。

2.2? ?SSL VPN技術

SSL是在因特網(wǎng)基礎上提供的一種基于WEB應用的保證私密性的安全協(xié)議[3]。它能提供數(shù)據(jù)加密功能，用數(shù)字簽名技術對通信雙方身份驗證，抗中間人攻擊，防御密碼回滾攻擊等[4]。

Netscape公司為了保證瀏覽器與Web服務器之間數(shù)據(jù)傳輸?shù)乃矫苄裕_發(fā)了具有數(shù)據(jù)加密功能的通信協(xié)議SSL 1.0，在1996年推出了功能和安全性都比較完善的SSL 3.0。SSL協(xié)議是一種TCP服務，監(jiān)聽443端口，對上層提供端到端、有鏈接的加密傳輸服務，同時使用了C/S架構(gòu)通信模式。SSL協(xié)議包含兩層：（1）SSL記錄協(xié)議。主要作用為向高層協(xié)議提供服務、對數(shù)據(jù)進行打包、加密和壓縮等，這些作用為整個網(wǎng)絡系統(tǒng)中的基本功能。（2）SSL握手協(xié)議。該協(xié)議的位置在記錄協(xié)議之上，在正式的數(shù)據(jù)傳輸過程開始前，需要對該協(xié)議進行合理應用，在正式的數(shù)據(jù)傳輸工作開始前，該協(xié)議會開展身份認證、密鑰交換和加密算法協(xié)商工作[5]。SSL協(xié)議有三種握手過程：（1）無客戶端認證的全握手過程，在該過程中服務器端不驗證客戶端身份。（2）有客戶端身份認證的全握手過程，可以通過此過程利用數(shù)字簽名來驗證用戶身份[6]。（3）會話恢復過程，握手過程涉及較多復雜算法，SSL協(xié)議提供了會話恢復機制，使得后面建立的連接可以利用當前會話參數(shù)，避免重新協(xié)商的過程，提高建立連接的效率。

2.3? ?SSL VPN 產(chǎn)生背景

VPN技術分類中最早出現(xiàn)加密功能的是IPsec VPN，雖然其簡單高效，但是在接入過程中網(wǎng)絡互聯(lián)性不好，在客戶端用戶使用和維護要有一定的技術，帶來了管理方面的不便，訪問權限管理方面也比較粗糙。對于以上IPsec VPN的弱點，SSL VPN有良好的表現(xiàn)：（1）SSL工作在TCP層，不受NAT技術和防火墻的限制[7]。（2）借助瀏覽器來實現(xiàn)客戶端的自動安裝和配置，減少了客戶端的維護。（3）解析應用層協(xié)議，進行高粒度的訪問控制。其他詳細比較，見表1。

3? SSL VPN的實現(xiàn)原理（The implementation principle of SSL VPN）

SSL VPN的首要功能就是為遠程用戶提供訪問網(wǎng)絡內(nèi)部資源的手段。目前支持三種接入方式。

3.1? ?Web接入

用戶只通過瀏覽器就能訪問到內(nèi)部網(wǎng)絡資源的遠程接入方式，如圖1所示。SSL VPN網(wǎng)關公網(wǎng)地址是IP0，可以被遠程主機訪問到。內(nèi)部的資源服務器Server A使用的地址是IP1，IP1是私網(wǎng)地址，遠程主機無法直接訪問到。遠程用戶通過Web瀏覽器與SSL VPN網(wǎng)關（IP0）之間建立SSL連接，通過SSL連接發(fā)送http請求，請求的地址是“https：//IP0/ServerA”，這個URL并不是一個真實的路徑，而是VPN網(wǎng)關給內(nèi)網(wǎng)服務器ServerA建立的虛擬路徑。VPN網(wǎng)關解析http請求，將報文中的請求路徑“IP0/ServerA/dir1/page1”修改成為“IP1/dir1/page1”，將修改后的請求報文通過TCP連接轉(zhuǎn)發(fā)給ServerA（IP1）進行處理。ServerA處理完遠程主機發(fā)來的http請求后，返回應答報文。該報文一般情況下是一個web頁面。Web頁面文件中的連接…指向的是一個個內(nèi)網(wǎng)服務器上的地址，如“http：//IP1/dir2/page2”，這個URL是指向ServerA上的路徑“/dir2/page2”的。這個地址對遠程主機來說是不可訪問的。VPN網(wǎng)關解析ServerA返回的Web頁面，對頁面中的鏈接逐一修改，使之映射成為外網(wǎng)可見的URL地址。如圖1所示，將“http：//IP1/dir2/page2”改寫成為“https：//IP0/ServerA/dir2/page2”。這樣被改寫過的頁面?zhèn)骰亟o遠程主機后，遠程用戶就可以訪問頁面中的鏈接了。

3.2? ?TCP接入

用戶可以使用原來的TCP應用客戶端，透明地通過SSL VPN網(wǎng)絡，訪問內(nèi)網(wǎng)TCP服務的遠程接入方式，如圖2所示。VPN客戶端在遠程主機上安裝和運行起來后，會在Windows的hosts文件中設置一些靜態(tài)的主機名解析表項，將內(nèi)網(wǎng)主機名指向環(huán)回地址，如127.0.0.3 ServerA。這樣遠程主機上的應用程序在訪問主機名為ServerA的設備時，將向127.0.0.3這個地址發(fā)出請求。而這個地址是一個本地地址，VPN客戶端就監(jiān)聽在這個地址上，以接收應用程序發(fā)出的請求。應用客戶端向ServerA發(fā)出建立TCP連接的報文。經(jīng)遠程主機對主機名ServerA的解析，確定發(fā)送的報文應當發(fā)送給127.0.0.3這個地址。VPN客戶端正監(jiān)聽在127.0.0.3相應的端口上，收到應用客戶端建立TCP連接的請求后，VPN客戶端以代理的方式返回TCP連接建立的應答，在應用程序與VPN之間就建立起了一條TCP連接。VPN客戶端與VPN網(wǎng)關之間建立起一條新的SSL連接。VPN網(wǎng)關與服務器ServerA之間建立起新的TCP連接。這樣從遠程主機上的應用程序客戶端到內(nèi)網(wǎng)的服務器ServerA之間就建立起了一條通道，該通道由三端連接首尾相接而成。通過這條通道，應用程序的客戶端就可以同服務器之間像使用一條TCP連接那樣進行數(shù)據(jù)的傳輸了。

3.3? ?IP接入

一種實現(xiàn)遠程主機與內(nèi)部網(wǎng)絡之間進行IP層互聯(lián)的遠程接入方式，如圖3所示。首先需要在SSL VPN網(wǎng)關上配置一個為IP接入所使用的IP地址池。如1.1.1.1—1.1.1.255，建立一個虛接口sve1/0，配置IP地址1.1.1.1。在用戶采用IP接入時，SSL VPN會通過Web頁面在遠程主機上下載并安裝一個IP接入客戶端和一個虛擬網(wǎng)卡。在虛擬網(wǎng)卡上，配置一個由SSL VPN網(wǎng)關分配的內(nèi)網(wǎng)IP地址，圖3中所示的1.1.1.100。在遠程主機上，VPN客戶端設置若干條路由，這些路由設置了允許該用戶訪問的IP網(wǎng)段。而路由的下一條都指向SSL VPN網(wǎng)關上的虛接口地址。192.168.1.0/241.1.1.1VPN客戶端與SSL VPN網(wǎng)關之間建立起一條SSL連接。在Server A上配置默認網(wǎng)關指向VPN網(wǎng)關。通訊過程為：應用客戶端要訪問內(nèi)網(wǎng)服務器Server A，已知Server A的IP地址是192.168.1.100，于是向該地址發(fā)送一個IP報文，該IP報文的目的地址是192.168.1.100，源地址是1.1.1.100;在轉(zhuǎn)發(fā)該IP報文時，遠程主機查詢本地路由表，得知應該IP報文應該發(fā)送給默認網(wǎng)關1.1.1.1。而去往1.1.1.0網(wǎng)段的報文應該交給虛擬網(wǎng)卡處理;虛網(wǎng)卡接收到IP報文后，交給VPN客戶端轉(zhuǎn)發(fā)給SSL VPN網(wǎng)關;在SSL VPN網(wǎng)關上，IP報文被送到虛接口sve1/0。從此處再按照目的地址192.168.1.100進行路由轉(zhuǎn)發(fā)，IP報文被送到了Server A。Server A的回應報文源地址是192.168.1.100，目的地址是1.1.1.100。該報文通過查找本地的路由，將報文發(fā)送給VPN網(wǎng)關;在VPN網(wǎng)關上，查找本地路由，得知IP報文應該發(fā)送給遠程主機上的虛網(wǎng)卡，通過相應的SSL連接將報文發(fā)送給了VPN客戶端程序;VPN客戶端將IP報文發(fā)送給虛擬網(wǎng)卡，IP報文經(jīng)由虛擬網(wǎng)卡上送到遠程主機的TCP/IP協(xié)議棧，最后送達應用客戶端程序。

4? SSL VPN的權限管理（Privilege management of SSL VPN）

4.1? ?靜態(tài)授權

根據(jù)用戶的身份授予用戶相應的訪問權限，主要解決訪問權限的合法性問題。這種授權方式只與用戶的身份有關，無論用戶何時何地登錄都擁有相同的訪問權限。靜態(tài)授權涉及主要技術有身份認證和靜態(tài)權限管理。

為了便于同已有的認證系統(tǒng)集成，SSL VPN產(chǎn)品一般支持多種認證方式。其中包含本地認證和外部認證。本地認證是用戶的賬號和密碼保存在網(wǎng)關本地數(shù)據(jù)庫中，由網(wǎng)關獨立地對用戶身份進行認證。外部認證是用戶的賬號和密碼保存在外部服務器上。在接收到用戶提交的賬號和密碼后，網(wǎng)關將其交給外部服務器進行驗證。網(wǎng)關根據(jù)服務器返回的驗證結(jié)果決定是否允許用戶登錄SSL VPN。SSL VPN還支持證書認證、動態(tài)令牌認證、短信認證等目前流行的高級認證手段。

靜態(tài)權限管理是把用戶和用戶組與資源和資源組進行關聯(lián)，實現(xiàn)不同用戶對應不同的資源組，達到權限管理的目的，一般是以用戶組和資源組為單位進行設置。

4.2? ?動態(tài)授權

不僅要根據(jù)用戶的身份，還要根據(jù)遠程主機的安全狀態(tài)確定用戶可以安全地訪問哪些網(wǎng)絡資源。這樣即使是同一用戶，由于所使用遠程主機的安全狀態(tài)不同，被授予的訪問權限也有可能不同。動態(tài)授權涉及的主要技術安全策略和主機檢查。安全策略是指如何定義安全狀態(tài)，如何授予相應的管理權限，在SSL VPN系統(tǒng)中，安全策略用于定義遠程主機所處的安全狀態(tài)，以及在相應的安全狀態(tài)下，遠程主機可以安全訪問的網(wǎng)絡資源。主機檢查遠程主機的安全狀態(tài)。通過下載一個客戶端程序?qū)h程主機的安全狀態(tài)進行檢查，并將相關信息反饋給SSL VPN網(wǎng)關，網(wǎng)關可以對遠程主機的安全狀態(tài)進行評估，確定它的安全級別。

5? ?SSL VPN的實現(xiàn)（Implementation of SSL VPN）

廣東開放大學是全國六所開放大學之一。目前有19所市級開放大學、69所縣級開放大學、20余所行業(yè)學院（分校）、自身有3個校區(qū)。各市縣開放大學、自身各部門都需要在各校區(qū)共同訪問網(wǎng)絡應用系統(tǒng)，包括教務管理、財務管理、一卡通管理、圖書館管理等系統(tǒng)，以光纖鏈路在主校區(qū)與分校區(qū)之間建立虛擬專用網(wǎng)，并用IPSec VPN技術加密校區(qū)之間傳輸?shù)臄?shù)據(jù)，可以實現(xiàn)三個校區(qū)、市縣分校之間進行數(shù)據(jù)加密互訪，理論上能夠滿足網(wǎng)絡業(yè)務需要，但是維護成本較高，特別是對市縣電大客戶端網(wǎng)絡管理員技術要求比較高，為此采用了SSL VPN來部署各應用系統(tǒng)。

在廣州校本部部署一臺新華三技術有限公司的H3C SecPath U200-M作為SSL VPN服務器，三個校區(qū)、各市縣開放大學、出差員工以公網(wǎng)的形式與SSL VPN網(wǎng)關建立VPN隧道，實現(xiàn)數(shù)據(jù)的加密傳輸。如圖5所示。

在服務部署的過程中，有三類資源，教務管理、財務管理、校巴訂票等WEB應用系統(tǒng)采用了WEB連接;公共文件共享比如FTP、遠程桌面，采用TCP連接;辦公室打印等采用IP連接。同時也設置了病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、P2P/IM應用層流量控制和用戶行為審計等安全功能[8]。

6? ?結(jié)論（Conclusion）

目前技術革新速度之快，對我校對信息化提出了新的要求。隨著學校招生人數(shù)和教學規(guī)模不斷擴大，多校區(qū)、多教學點管理模式的大環(huán)境下，通過VPN技術解決了校園網(wǎng)多校區(qū)的接入問題，使分校區(qū)和校外用戶可以隨時隨地通過VPN通道訪問校園網(wǎng)各種資源，確保了各校區(qū)之間的用戶身份認證和數(shù)據(jù)加密傳輸。VPN技術在校園網(wǎng)的應用促進了我校智慧校園的發(fā)展，在校內(nèi)部管理和教學活動管理的過程中，具有積極有益的意義。

參考文獻（References）

[1] 唐鵬毅，李國春，余剛，等.基于QS-KMS的VPN增強電網(wǎng)通信安全方案[J].計算機工程，2018，44（12）：13-17.

[2] 王琳，封化民，劉飚，等.基于混合方法的SSL VPN加密流量識別研究[J].計算機應用與軟件，2019，36（2）：315-322.

[3] 杜理明.基于SSL VPN技術的無線校園網(wǎng)的設計研究[J].集寧師范學院學報，2017（3）：30-33.

[4] 何宛玲.基于SSL協(xié)議的VPN技術與應用[J].信息與電腦，2020（3）：146-148.

[5] 汪志勇.對SSL VPN安全關鍵技術的運用[J].無線互連技術，2019（9）：21-22.

[6] 陳海倩，張麗娟，賴宇陽，等.基于SSL VPN技術的電力安全網(wǎng)關設計與實現(xiàn)[J].電子設計工程，2020，28（13）：97-100.

[7] Muc A， Muchowski T， Murawski L， et al. Providing the Ability of Working Remotely on Local Company Server via VPN[J]. Multidiplinary Aspects of Production Engineering， 2020，3（1）：195-205.

[8] 張濤，蘆斌，李玎，等.一種基于軟件定義網(wǎng)絡的主機指紋抗探測模型[J].信息網(wǎng)絡安全，2020，20（7）：42-52.

作者簡介：

劉邦桂（1983-），男，碩士，講師.研究領域：服務器技術，網(wǎng)絡安全技術.