郝建雪

摘要：對于省級教育業(yè)務(wù)系統(tǒng)，由于數(shù)據(jù)中心硬件設(shè)備老化導(dǎo)致故障頻發(fā)，故需選擇重新遷移到政務(wù)云，以保證安全穩(wěn)定運行。部署在政務(wù)云上的省級業(yè)務(wù)系統(tǒng)需要與教育部業(yè)務(wù)系統(tǒng)對接，重新建立省級與教育部之間的安全隧道連接。IPSec VPN的應(yīng)用可以實現(xiàn)將一條VPN隧道封裝起來，將數(shù)據(jù)信息通過公用網(wǎng)絡(luò)傳輸出去，并且能夠通過在現(xiàn)有防火墻或路由器上直接實現(xiàn)來降低成本，IPSce也具有更高的安全等級。故選擇運用IPsec VPN技術(shù)，來保證遠程訪問服務(wù)的安全、可靠、高效和簡潔性。

關(guān)鍵詞：IPSec VPN；云上業(yè)務(wù)系統(tǒng)；網(wǎng)絡(luò)和數(shù)據(jù)安全

一、前言

近年來，隨著信息技術(shù)行業(yè)的迅猛發(fā)展，VPN技術(shù)也日趨成熟。利用此技術(shù)實現(xiàn)多方互通互聯(lián)可使業(yè)務(wù)更加高效開展。而教育作為民生的一大重要部分，在省級教育系統(tǒng)遷移上云后，環(huán)境改變的情況下，完善各省教育系統(tǒng)與教育部系統(tǒng)的對接聯(lián)通已成為迫在眉睫的需求。在滿足業(yè)務(wù)網(wǎng)絡(luò)互通需求的同時，隨著IPSec VPN技術(shù)的成熟，選擇使用IPSec VPN，設(shè)計與實現(xiàn)安全訪問隧道，可使部省間業(yè)務(wù)系統(tǒng)順利對接完成，提供安全穩(wěn)定的服務(wù)。

二、省級業(yè)務(wù)系統(tǒng)遷移上云情況

（一）基本情況

隨著時代的發(fā)展，教育工作對信息化的依賴程度越來越高，所以教育信息系統(tǒng)的保障工作尤為重要。由于各省某些數(shù)據(jù)中心設(shè)備老化導(dǎo)致故障頻發(fā)，給系統(tǒng)穩(wěn)定運行和數(shù)據(jù)安全造成隱患。為了更好地支持教育業(yè)務(wù)工作的正常開展，提高省級教育管理信息系統(tǒng)的可靠性、安全性和穩(wěn)定性，順應(yīng)政務(wù)云應(yīng)用發(fā)展的技術(shù)趨勢，需對教育信息系統(tǒng)實施遷移政務(wù)云工作。在實施此工作的過程中，需重新設(shè)計并實現(xiàn)IPSec VPN通道，從而使部省間業(yè)務(wù)系統(tǒng)順利對接完成，提供安全穩(wěn)定的服務(wù)。

（二）省級原有數(shù)據(jù)中心網(wǎng)絡(luò)情況

省級數(shù)據(jù)中心機房承載省級教育行業(yè)多套重要業(yè)務(wù)系統(tǒng)，涉及全省學(xué)前、中小學(xué)的學(xué)生、家長、教師等重要數(shù)據(jù)。網(wǎng)絡(luò)線路接入分為互聯(lián)網(wǎng)、教育網(wǎng)專線、政務(wù)外網(wǎng)。其中互聯(lián)網(wǎng)區(qū)按照業(yè)務(wù)系統(tǒng)功能需求，配置IP地址及端口映射策略，教育網(wǎng)專線為省部級間、省級教育部門與下屬部門間內(nèi)部業(yè)務(wù)系統(tǒng)提供非公開發(fā)布網(wǎng)絡(luò)策略配置，政務(wù)外網(wǎng)區(qū)為省級教育系統(tǒng)與網(wǎng)信辦共享數(shù)據(jù)交互提供網(wǎng)絡(luò)支撐。機房互聯(lián)網(wǎng)出口為聯(lián)通和教育網(wǎng)雙出口，帶寬均為1G。出口設(shè)備由2臺H3C M9000防火墻堆疊承載，2臺銳捷S8610使用VRRP協(xié)議作為主備核心交換機，2臺H3C 10508交換機堆疊作為匯聚交換機，IPS、WAF、抗DDoS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計、網(wǎng)閘等安全設(shè)備均為2臺主備，以串聯(lián)模式部署在IDC機房，SSL VPN、IPSec VPN、堡壘機、負載均衡、數(shù)據(jù)庫審計、漏掃等安全設(shè)備以旁路模式部署在機房。網(wǎng)絡(luò)策略方面，依照按需開啟原則，所有業(yè)務(wù)系統(tǒng)均以最小化開啟原則進行端口級策略開放，所有業(yè)務(wù)系統(tǒng)無特殊需求不開放訪問互聯(lián)網(wǎng)策略，對于需放開互聯(lián)網(wǎng)訪問權(quán)限的主機開放白名單，進行對應(yīng)IP地址及端口開放。內(nèi)網(wǎng)訪問層面，按照業(yè)務(wù)系統(tǒng)間關(guān)聯(lián)關(guān)系，做好物理隔離和邏輯隔離，來保障業(yè)務(wù)系統(tǒng)內(nèi)部訪問安全。安全方面，依據(jù)負責(zé)業(yè)務(wù)系統(tǒng)部門的相關(guān)管理制度，結(jié)合人員管理及安全設(shè)備策略優(yōu)化調(diào)整，有針對性的根據(jù)業(yè)務(wù)系統(tǒng)的實際功能需求制定相應(yīng)的安全防護方案，來保證業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)安全。

（三）存在的問題

目前，省級教育管理信息系統(tǒng)均部署省級教育數(shù)據(jù)中心。雖然相關(guān)工作人員對網(wǎng)絡(luò)策略和安全方面有相應(yīng)的防護方案，但機房、軟硬件及部分信息系統(tǒng)已建設(shè)使用多年，近期硬件故障頻發(fā)。而以數(shù)據(jù)中心為依托，承載和滿足了國家教育信息系統(tǒng)在省級教育行政部門的部署和運行；集成和支撐本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng)；服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。這些省級系統(tǒng)中包含著非常多的個人信息和行政信息，而硬件老化問題會影響網(wǎng)絡(luò)安全和數(shù)據(jù)安全，一旦發(fā)生安全問題，會造成嚴重的數(shù)據(jù)泄露，給系統(tǒng)穩(wěn)定運行和數(shù)據(jù)安全造成隱患，全省的教育系統(tǒng)都會面臨著嚴重的威脅。

（四）解決方案

由于數(shù)據(jù)中心設(shè)備老化導(dǎo)致故障頻發(fā)，影響系統(tǒng)安全運行，為了更好地支持教育業(yè)務(wù)工作的正常開展，考慮到現(xiàn)下的情況，對教育信息系統(tǒng)實施遷移政務(wù)云工作是當(dāng)前最合適的解決方案。在遷移政務(wù)云過程中的工作內(nèi)容包括：網(wǎng)絡(luò)接入、系統(tǒng)環(huán)境部署、應(yīng)用和數(shù)據(jù)庫節(jié)點遷移及測試、數(shù)據(jù)同步、業(yè)務(wù)驗證、政務(wù)云業(yè)務(wù)割接、上線試運行、安全防護等。而數(shù)據(jù)同步工作中部省間業(yè)務(wù)系統(tǒng)數(shù)據(jù)同步更為重要，在確保網(wǎng)絡(luò)和數(shù)據(jù)安全的前提下還應(yīng)考慮開支的問題。在實施省級教育信息系統(tǒng)遷移政務(wù)云的過程中，數(shù)據(jù)同步工作方面，需保證省級業(yè)務(wù)系統(tǒng)和教育部業(yè)務(wù)系統(tǒng)的對接暢通，在保證網(wǎng)絡(luò)和數(shù)據(jù)安全的現(xiàn)有情況下，選擇重新設(shè)計并實現(xiàn)IPSec VPN通道，使部省間業(yè)務(wù)系統(tǒng)順利對接完成，是目前安全保護級別較高、節(jié)省開支的一個可運行的方案。在與教育部專線對接上，需完成IPSec VPN數(shù)據(jù)通道互通調(diào)試，打通與教育部業(yè)務(wù)系統(tǒng)聯(lián)通性，與教育部教育管理信息中心技術(shù)人員詳細溝通業(yè)務(wù)系統(tǒng)訪問規(guī)則，對接IPSec VPN隧道相關(guān)信息；通過防火墻配置部署IPSec VPN隧道，打通與教育部業(yè)務(wù)系統(tǒng)的訪問通道，進行策略調(diào)試，保障業(yè)務(wù)系統(tǒng)訪問的穩(wěn)定性。在此不贅述省級業(yè)務(wù)系統(tǒng)從原有數(shù)據(jù)中心遷移到政務(wù)云的具體步驟和技術(shù)支撐，詳細介紹在遷移上云中省級教育業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)同步對接技術(shù)選擇和省級防火墻配置步驟。

三、VPN簡介

VPN（Vitrual Private Network）全稱為虛擬專用網(wǎng)絡(luò)，其實現(xiàn)原理是利用加密技術(shù)在現(xiàn)有的公用網(wǎng)絡(luò)中建立自己使用的虛擬專用網(wǎng)絡(luò)。采用加密認證技術(shù)，確保用戶在傳統(tǒng)專網(wǎng)數(shù)據(jù)傳輸效果相近的情況下，所要傳輸?shù)臄?shù)據(jù)能夠安全地在公網(wǎng)上傳輸。這是一張標(biāo)準(zhǔn)的VPN網(wǎng)絡(luò)。根據(jù)不同的標(biāo)準(zhǔn)，VPN主要分為：SSL（安全套接層協(xié)議層）VPN、IPSec（互聯(lián)網(wǎng)安全協(xié)議）VPN、MPLS（多協(xié)議標(biāo)簽交換）VPN等。

（一）SSL VPN：基于WEB 應(yīng)用的安全協(xié)議的VPN 技術(shù)?？蛻舳顺绦驗楦鞣N安全的瀏覽器，通過認證后進入到服務(wù)器的VPN網(wǎng)頁，訪問具有WEB功能的某項應(yīng)用，類似于一個WEB服務(wù)器。SSL VPN的優(yōu)點是無需單獨安裝軟件、接入方式簡單、性價比較高。但SSL VPN更適合訪問一些較為簡單的應(yīng)用，例如網(wǎng)頁、電子郵件等，如要訪問整個網(wǎng)絡(luò)則會具有局限性。

（二）MPLS VPN：采用MPLS技術(shù)（多協(xié)議標(biāo)簽交換），以每個標(biāo)簽對應(yīng)一個用戶數(shù)據(jù)流的方式，利用標(biāo)簽交換對不同用戶進行區(qū)分，實現(xiàn)用戶間數(shù)據(jù)隔離的VPN網(wǎng)絡(luò)。MPLS VPN具有較高的靈活性和可擴展性，可以實現(xiàn)點到點，點到多點和任意接入點之間互訪的全網(wǎng)狀結(jié)構(gòu)，滿足用戶不同的通信需求。MPLS VPN采用標(biāo)簽交換技術(shù)來取代傳統(tǒng)的路由查找，減少了數(shù)據(jù)在網(wǎng)絡(luò)中的尋址時間，使數(shù)據(jù)傳輸效率大大提高，但搭建VPN網(wǎng)絡(luò)建設(shè)的投資也相對較高，更適合在大規(guī)模組網(wǎng)的情況下使用，因為MPLS VPN對網(wǎng)絡(luò)和設(shè)備的要求較高。

（三）IPSec VPN：基于GRE（通用路由封裝）技術(shù)的VPN，用戶僅需要自己在路由器或防火墻上做相關(guān)配置，建立VPN網(wǎng)關(guān)，客戶端安裝相應(yīng)的VPN軟件即可實現(xiàn)在不同地點的兩個節(jié)點進行內(nèi)部通信。IPSec VPN主要采用隧道技術(shù)、加密技術(shù)、Key管理技術(shù)等，達到將一條VPN隧道封裝起來，通過公用網(wǎng)絡(luò)將數(shù)據(jù)信息傳遞出去的目的。IPSec VPN搭建不需要運營商的參與，可以直接在現(xiàn)有的防火墻或路由器上實現(xiàn)，減少成本，IPSec安全級別較高，但也需要使用者自行維護，有較高的維護能力。

四、IPSec技術(shù)原理

（一）IPSec協(xié)議原理

IPSec是為實現(xiàn)VPN功能而使用的協(xié)議。它給出了一套應(yīng)用于IP層網(wǎng)絡(luò)數(shù)據(jù)安全的體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認證頭（Authentication Header，AH）協(xié)議、封裝安全荷載（Encapsulating Security Payload，ESP）協(xié)議、密鑰管理（Internet Key Exchange，IKE）協(xié)議，以及一些用于網(wǎng)絡(luò)認證和加密算法的協(xié)議等。IPSec規(guī)定了一系列的網(wǎng)絡(luò)安全服務(wù)，如訪問控制、數(shù)據(jù)源認證和數(shù)據(jù)加密，提供如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換等。IPSec工作于OSI七層模型中的第三層，可供IP和上層協(xié)議（如TCP、UDP等）使用。IPSec使用AH和ESP來實現(xiàn)各種不同的功能[1-2]。AH認證頭協(xié)議是在確認數(shù)據(jù)分組來源的同時，保證數(shù)據(jù)的完整性、可靠性和真實性，防止重復(fù)發(fā)送同一數(shù)據(jù)包。AH協(xié)議不加密用戶數(shù)據(jù)，通常會使用安全的Hash算法來保護數(shù)據(jù)包，并且在傳輸過程中需要更改的信息數(shù)據(jù)通常不在AH協(xié)議的保護范圍內(nèi)[3-4]。ESP用于加密數(shù)據(jù)分組，提供IP通信的安全服務(wù)，以達到對機密性和完整性的要求。ESP采用對稱的加密方式，可以滿足一定的安全要求，但需長期保密的數(shù)據(jù)不適合這種加密方式。也可根據(jù)安全需求的不同，只對TCP或其他數(shù)據(jù)包進行加密并重新封裝后，通過滑動窗口機制進行傳輸，解決數(shù)據(jù)傳輸中的接收、重傳等問題[5]。

（二）IPSec VPN基礎(chǔ)概念

1.安全聯(lián)盟

對于IPSec而言，安全聯(lián)盟（Security Association，SA）是它的基礎(chǔ)，是兩個應(yīng)用IPSec系統(tǒng)之間的單向邏輯連接，是為保護通信提供具體細節(jié)的安全策略的具體化和實例化，它約定了傳輸數(shù)據(jù)分組協(xié)議。SA是一種單向的“連接”，為其傳輸?shù)耐ㄐ盘峁┌踩?wù)，完成數(shù)據(jù)通信的雙向傳輸需要一對SA。而IKE的一個功能是建立和維護SA，主要是維護IPSec安全機制中的兩個組件SADB（SA數(shù)據(jù)庫）和SPDB（安全策略數(shù)據(jù)庫），AH和ESP需要使用SA來提供安全服務(wù)。IPSec提供兩個端點之間的安全通訊，有兩種方式可以建立安全聯(lián)盟，一種是手工方式（Manual），一種是IKE自動協(xié)商（ISAKMP）方式。

2.封裝方式

IPSec有如下兩種工作模式： 隧道（tunnel）模式：利用用戶的整個IP數(shù)據(jù)包計算AH或ESP頭，在一個新的IP數(shù)據(jù)包中封裝AH或ESP頭以及ESP加密的用戶數(shù)據(jù)。通常情況下，兩臺設(shè)備之間的通信都會應(yīng)用隧道模式。傳輸（transport）模式：只是利用傳輸層數(shù)據(jù)計算AH或ESP頭，在原IP包頭后面放置AH或ESP頭和ESP加密的用戶數(shù)據(jù)。通常情況下，在兩臺主機之間或一臺主機與一臺設(shè)備之間進行通訊時，都會采用傳輸方式。

3.協(xié)商方式

手動配置比較復(fù)雜，創(chuàng)建安全聯(lián)盟所需的信息都必須手動配置，雖然不能支持IPSec的一些高級特性，但好處是無需依賴IKE，就可實現(xiàn)IPSec功能。這種方式適合在IP地址較固定或?qū)Φ润w設(shè)備數(shù)量較少的情況下通信使用。IKE自動協(xié)商的方式比較簡單，只需要將IKE協(xié)商安全策略的信息配置好，就能創(chuàng)建和維護安全聯(lián)盟。這種方式在動態(tài)網(wǎng)絡(luò)環(huán)境下的中大型網(wǎng)絡(luò)中是適用的。這種方式的建立，有兩個階段的過程，對提高密鑰交換的速度有很大的幫助。第一階段，協(xié)商創(chuàng)建一個通信信道（ISAKMP SA），并對信道進行認證，以供雙方進一步開展IKE通信；第二階段，利用已經(jīng)建立的ISAKMP SA建立IPSec SA。IPSec的安全服務(wù)可以采取手工輸入密鑰的方式，但是這種方式的操作性和擴展性極差。因此在實際應(yīng)用中，大多數(shù)采取的是使用IKE（Internet密鑰交換協(xié)議）對雙方進行動態(tài)生成共享密鑰的方式，從而實現(xiàn)安全有效的通信。

4.引用IPSec VPN

設(shè)備將配置好的VPN隧道通過“基于策略的VPN”和“基于路由的VPN”兩種方式調(diào)用到設(shè)備上，從而實現(xiàn)流量的加密解密安全傳輸。基于策略的VPN：在策略規(guī)則中引用配置成功的VPN隧道名稱，使符合條件的流量通過指定的VPN隧道傳送。基于路由的VPN：用隧道接口綁定配置成功的VPN隧道；配置靜態(tài)路由時，指定隧道接口作為下一跳路由。

五、通過防火墻配置部署IPSec VPN隧道的設(shè)計與實現(xiàn)

首先要確定省端互聯(lián)網(wǎng)出口防火墻設(shè)備與教育部端設(shè)備是否為同一廠商設(shè)備，再做不同的處理?，F(xiàn)以兩端為不同廠商設(shè)備舉例，省級與教育部業(yè)務(wù)系統(tǒng)對接需要在兩張網(wǎng)之間建立IPSec VPN隧道，省端云互聯(lián)網(wǎng)出口防火墻與教育部端設(shè)備對接屬于不同廠商間設(shè)備對接，實際拓撲圖見圖1。由拓撲圖可知，省端云互聯(lián)網(wǎng)內(nèi)需要訪問教育部互聯(lián)網(wǎng)內(nèi)教師管理系統(tǒng)、學(xué)前系統(tǒng)、學(xué)籍系統(tǒng)等多個業(yè)務(wù)系統(tǒng)，但由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問教育業(yè)務(wù)系統(tǒng)。因此通過在省端防火墻上配置源NAT，將省端云互聯(lián)網(wǎng)中業(yè)務(wù)系統(tǒng)的IP，轉(zhuǎn)換成特定的IP地址，以實現(xiàn)業(yè)務(wù)訪問。具體實施：首先需要與教育部對各種搭建IPSec VPN隧道相關(guān)參數(shù)信息進行協(xié)商確認，例如預(yù)共享密鑰、支持模式、超時檢測、加密算法等。防火墻的相關(guān)內(nèi)容參數(shù)再根據(jù)這些參數(shù)信息進行配置。具體配置防火墻的參數(shù)步驟如下。

1.首先配置VPN對端配置

（1）在防火墻操作界面，點擊“VPN>IPSec VPN”進入IPSec VPN界面。

（2）填寫連接端的名稱并選擇建立IPSec VPN的公網(wǎng)出口。

（3）填寫以下幾個配置情況

接口類型：IPV4；

協(xié)議標(biāo)準(zhǔn)選擇：IKEV1；

認證模式：主模式；

類型：靜態(tài)IP。

（4）輸入對端公網(wǎng)IP地址：X.X.X.X。

（5）輸入雙方協(xié)商的預(yù)共享密鑰。

（6）點擊“高級配置”，由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問教育業(yè)務(wù)系統(tǒng)，需要NAT轉(zhuǎn)換成特定地址。因此連接類型選擇“雙向”并打開“NAT穿越”選項，選擇“接受對端任意ID”同時選擇“對端存活檢測”。DPD間隔與DPD重試根據(jù)協(xié)商的參數(shù)輸入。

（7）點擊確認，VPN對端參數(shù)配置完成。

2.配置預(yù)協(xié)商參數(shù)

（1）點擊“提議1”填寫階段1提議配置，填寫提議名稱。

（2）在認證欄中選擇“PRE-share（預(yù)共享密鑰）”。

（3）驗證算法、加密算法、DH組、生存時間根據(jù)協(xié)商參數(shù)分別選擇“驗證算法：SHA”、“加密算法：AES-256”、“CH組：Group”、“生存時間：3600秒”。

（4）階段1提議配置完成。

3.配置階段2協(xié)商參數(shù)

在階段2提議配置中，選擇“ESP”協(xié)議，驗證算法、加密算法、DH組、生存時間根據(jù)協(xié)商參數(shù)分別選擇“驗證算法：SHA”“加密算法：AES-256”“CH組：Group”“生存時間：3600秒”。至此，階段2提議配置完成。

4.查驗IPSec VPN建立情

通過兩端設(shè)備協(xié)商，可以觀測到IPSec VPN隧道的架設(shè)完成。

5.建立tunnel隧道

點擊左側(cè)“接口”選項卡進行接口配置，安全域選擇“三層安全域”“VPNHub”，開啟HA同步，建立tunnel隧道，綁定創(chuàng)建好的IPSec VPN。Tunnel隧道建立完成。

6.配置策略路由

點擊防火墻操作頁面中的“網(wǎng)絡(luò)>路由>策略路由”通過配置策略路由，實現(xiàn)需要訪問教育部的業(yè)務(wù)系統(tǒng)能夠優(yōu)先通過tunnel隧道進行訪問。

7.配置源NAT

由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問教育業(yè)務(wù)系統(tǒng)。因此需要在防火墻上配置源NAT，點擊防火墻操作頁面左側(cè)“NAT>源NAT”進行操作，將省級政務(wù)云上業(yè)務(wù)系統(tǒng)的IP，轉(zhuǎn)換成特定的IP地址，以實現(xiàn)業(yè)務(wù)訪問。

8.配置目的NAT

為實現(xiàn)教育部網(wǎng)絡(luò)IP地址段訪問省級政務(wù)云上業(yè)務(wù)系統(tǒng)的IP，配置目的NAT，省級政務(wù)云上業(yè)務(wù)系統(tǒng)的IP地址將轉(zhuǎn)換成特定的IP地址，以實現(xiàn)業(yè)務(wù)訪問。

9.配置安全策略

在防火墻操作頁面左側(cè)“安全策略>策略”中進行配置，允許省級政務(wù)云上業(yè)務(wù)系統(tǒng)地址段訪問教育部業(yè)務(wù)系統(tǒng)IP地址。

至此，省級政務(wù)云上業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)之間的IPSec VPN隧道建立完成，實現(xiàn)省級政務(wù)云上系統(tǒng)對教育部業(yè)務(wù)系統(tǒng)的訪問，保證省部級業(yè)務(wù)系統(tǒng)數(shù)據(jù)同步安全通暢，確保省級業(yè)務(wù)系統(tǒng)功能正常使用。

六、結(jié)語

在原有數(shù)據(jù)中心設(shè)備老化的情況下，選擇把教育系統(tǒng)分批遷移至政務(wù)云，不但保證了業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，更順應(yīng)了政務(wù)云應(yīng)用的發(fā)展目前的趨勢。在遷移上云后的網(wǎng)絡(luò)環(huán)境下，運用IPSec VPN技術(shù)在省級政務(wù)云上業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)之間搭建通信隧道，實現(xiàn)了異地環(huán)境下對教育部業(yè)務(wù)系統(tǒng)的安全、可靠、高效訪問，節(jié)省了開支，極大地提高了工作效率，保證了當(dāng)前形式下教育工作的順利進行，更好地支持省級教育業(yè)務(wù)工作的正常開展，提高了省級教育管理信息系統(tǒng)的可靠性、安全性和穩(wěn)定性。

參考文獻

[1]李石磊.基于IPSec協(xié)議的VPN代理網(wǎng)關(guān)系統(tǒng)的研究與實現(xiàn)[D].太原：太原理工大學(xué)，2013.

[2]陳紅軍，周青云，張有順.基于IPSec的虛擬專用網(wǎng)實現(xiàn)研究[J].制造業(yè)自動化，2011，33（4）：70-72.

[3]姚立紅，謝立.IPSec與防火墻協(xié)同工作設(shè)計與實現(xiàn)[J].小型微型計算機系統(tǒng)，2004（2）：183-186.

[4]陳慶章，李興華，范聰玲，等.基于IPSec協(xié)議的VPN穿越NAT的研究與實現(xiàn)[C]//中國互聯(lián)網(wǎng)學(xué)術(shù)年會.中國計算機學(xué)會，2013.

[5]李學(xué)花.網(wǎng)絡(luò)數(shù)據(jù)隧道式加密與解密的硬件實現(xiàn)[D].天津：天津大學(xué)，2006.

作者單位：天津市大數(shù)據(jù)管理中心