分級控制的VPN安全接入研究

洪新華

浙江師范大學信息化辦公室 浙江 321004

0 引言

VPN即虛擬專用網，是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿越安全威脅無時不在的公用網絡的安全、穩定的隧道。校園網 VPN 是對校園內網的擴展，通過它可以實現用戶在任何時候、任何地點，與校園網建立建立可信的安全連接，訪問校園數字資源，并保證數據的安全傳輸。但是在公用網絡上安全威脅無時不在，且呈現快速增長態勢，攻擊、掃描、入侵、攻擊、蠕蟲病毒攻擊等等，而VPN作為公用網絡進入校園網的一扇門，其安全尤為重要。在向師生提供 VPN訪問校園網資源服務的同時，也要防范各類攻擊通過VPN通道向校園內網滲透，保護好內網安全。

1 VPN技術與安全威脅

隨著信息技術的發展，IPSec VPN、SSL VPN、MPLS VPN等VPN技術已經投入實際進行應用，接入方式有內部接入、訪問接入、外部接入等。這三種 VPN技術各有所長、各有特色，比如IPSec VPN一般需要客戶端，而SSL VPN可不用客戶端。三種接入方式也各有所異。校本部與分校區之間通過公網構筑的虛擬網是內部接入方式。師生或學校駐派機構通過公網遠程撥號的方式構筑的虛擬網是訪問接入方式。高校之間基于資源共享通過公網來構筑的虛擬網則是外部接入方式。其中 IPSec協議是網絡層協議，是為保障IP通信而提供的一系列協議族，針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。它能為我們提供共同操作與使用的、高品質的、基于加密的安全機制，提供包括存取控制、無連接數據的完整性、數據源認證、防止重發攻擊、基于加密的數據機密性和受限數據流的機密性服務。而SSL是套接層協議，它是保障在Internet上基于Web的通信的安全而提供的協議。SSL是一種高層安全協議，建立在應用層上，使用公鑰加密并通過SSL連接傳輸數據來工作。SSL VPN使用SSL協議和代理為終端用戶提供Http、client/server和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證，確保只有通過安全策略認證的用戶可以訪問指定的資源。

基于訪問接入方式的 VPN應用服務在校園的推廣，學校師生享受到了在校外訪問校園網內部資源的便利，可以通過VPN訪問校內圖書館數字資源，可以訪問校內基于ftp共享的視頻、軟件、課件等資源，可以訪問校內財務的、教學的、人事、科研的等管理信息系統。但與此同時也給校園網引入新的安全風險。公網上各種安全風險，如病毒蔓延、黑客攻擊等有了一個新的切入點。黑客有可能通過弱口令攻擊首先獲得一個VPN賬號，然后VPN登入校園網，攻擊校園網內個人電腦、服務器、網絡設備，進行篡改數據、獲取機密等攻擊活動。而合法用戶電腦上的病毒則可能在合法用戶正常 VPN登錄連接到校園網之后，乘機向校園內網蔓延，危害內網。合法用戶也有可能因濫用 VPN，影響其他 VPN的正常使用。若沒有合理控制機制，公網上的安全威脅極有可能危害校園內網，給我們帶來損失，由此引發的安全事件也變得很難追蹤和定位。通過實際應用，本文提出一種分級控制的VPN接入解決方案。

2 分級控制的VPN接入解決方案

（1）資源分級

連接在校園內網上有師生的個人電腦、服務器、網絡連接設備等，受到的安全威脅各不一樣。VPN接入背景下，個人電腦主要防范病毒感染，服務器則要防范病毒感染、黑客攻擊，網絡連接設備則主要防范黑客攻擊。服務器和網絡連接設備一般 7*24小時運行，則更容易成為受害對象。運行在校園網上服務器因應用不同而呈現多樣性，主要有郵件系統、基于ftp的文件共享系、視頻點播系統、管理信息系統(財務的、人事的、科研的、教學的等)、圖書館數字資源、bbs系統、科研項目系統等。各個系統對安全的要求不一樣，防范的重點也不一樣。比如郵件系統與管理信息系統要求正常運行，并保證數據的完整性、機密性等、正確性；而基于ftp的文件共享系于視頻點播系統要求正常運行，主要保證數據的完整性和正確性，以及防濫用、防添加非法視頻數據；圖書館數字資源要求正常為師生提供查詢服務，主要保證數據的完整性、正確性；科研項目系統則防范數據的機密性；bbs系統要重點防范不良信息的蔓延等等。通過 VPN訪問校內各應用系統，獲取各種校內資源，對網絡帶寬的資源也個不一樣，一般而言視頻點播及下載大文件會占用較大帶寬，易造成帶寬擁擠，影響其他用戶使用，需要進行QoS(Quality of Service)服務質量管理。

鑒于各資源的重要性和各系統對安全性的要求，將校園網上資源進行分級，有不開放級、低開放級、中開放級、高開放級。不開放級別包含了路由器交換機等網絡設備、DNS服務器、dhcp服務器、email服務器、以及其他高安全、高機密要求的不宜開放的應用系統。低開放及包含了視頻點播系統、需臨時開放的應用系統(比如成績錄入系統)等。中開放級包含了財務查詢系統、教學資源等可以在比較大的范圍內開放的資源。高開放級，主要是圖書館的數字資源，可以向所有用戶開放，本身沒有安全漏洞，安全威脅小。

（2）用戶分級

訪問接入 VPN主要為在外師生、學校駐派機構、臨時人員等提供通過 VPN通道穿越公網遠程訪問校內各資源。絕大部師生(包括在教師、一般行政人員、在職研究生、合作培養的研究生等)都需要訪問校內圖書館數字資源，如學術期刊數據庫、萬方數據庫、天宇數據庫等；任課老師和教務管理人員需要訪問成績等教學管理系統進行管理，學生僅需要查詢自己的成績；在崗教工則需要進行工資等財務查詢，瀏覽校內通知等；部分教工則希望觀能訪問校內視頻點播系統(包括教學的和娛樂的)，而學生則希望訪問教學視頻點播系統；一些管理人員還希望訪問其管理的校內服務器等等。然而VPN接入的重點在向師生提供遠程訪問圖書館數字資源、教學資源，遠程瀏覽校內通知等。VPN系統有他自己性能瓶頸以及校園出口帶寬瓶頸，這些都影響對用戶的分級。結合用戶實際需要、安全需要和性能瓶頸，將用戶分為臨時級、學生級、教師級和管理級。臨時級人員具有在特定時間內遠程訪問校內特定資源的權限。學生級用戶僅限于遠程訪問校內學習資源，查詢成績等，教師級用戶可以遠程訪問校內教學資源、瀏覽校內通知、進行工資等財務查詢；管理級用戶則需要遠程訪問校內網更多的資源，進行教學的、科研的以及社會服務的活動。

（3）基于分級的安全控制

針對資源分級和用戶分級，進行有區別的控制。首先是訪問權限的控制，向各用戶按其分級發布其能訪問的校內資源，這樣用戶登錄后只能看到各自能訪問的資源。IPSec VPN下，可以為各級用戶分發不同段的內網 IP，對不同段 IP進行包轉發控制以及訪問控制，并結合用戶分級與資源匹配以實現用戶分級。而SSL VPN通過用戶分級與資源匹配以實現用戶分級訪問控制。其次是安全的控制，針對資源分級進行區別的安全控制，在防火墻或交換機上做訪問控制，比如圖書館資源只開放http服務即80端口等，由此建立相應資源規則，設定默認規則所有資源不可見，資源規則優先級高于默認規則。針對用戶分級進行有區別的安全控制，用戶只可見其能訪問的資源，其不可見的資源就是不能訪問的。結合分級對用戶認證進行區別對待，用戶認證可以是密碼驗證、短信驗證、數字證書、指紋認證等。考慮到方便性和易實現性，對一般用戶進行密碼驗證，并區別用戶級別進行密碼強度要求。對管理級用戶要球進行短信驗證，嚴防被冒用。另外結合附加碼以及5次登錄失敗則限制其當天再次登錄等手段嚴防賬號被冒用。再則是服務質量的控制，按提供遠程訪問校內資源服務的優先級進行服務質量控制，優先保證遠程訪問圖書館數字資源、教學資源等網絡帶寬，適當限制遠程訪問娛樂資源的帶寬，可按時段區別對待。最后是審計的控制管理，做所有用戶的訪問日志，考慮到資源分級、用戶分級及管理成本，區別審計不同級別資源訪問日志、不同用戶的訪問日志，對安全風險、高安全要求的資源和高權限用戶加強審計，審計時間間隔要小。

3 結束語

VPN技術的在校園網上的應用，突破其物理界限，使學校師生也能在公網上通過 VPN訪問到校內資源，大大方便了師生在外獲取校內豐富的教學資源，更好地參與教學、科研、社會服務和管理活動中去。但 VPN接入也為校園網帶來了來自公網上的安全危險，如黑客攻擊、病毒等。通過分級控制可以有效降低 VPN接入的安全風險，并保證師生穩定有效率地遠程訪問校內資源。

[1] 李之棠,賀濟美,雷杰.SSL VPN 的安全漏洞及其解決方案[J].計算機工程與科學.2006.

[2] 郝玉潔,馮銀付,賴攀.基于指紋識別的VPN身份認證研究[J].計算機應用.2009.

[3] 張超.SSL VPN客戶端實現技術研究[J].電腦知識與技術.2008.

[4] 趙暉.網絡安全概述[J].福建電腦.2007.

[5] 尋大勇.SSL VPN網絡安全技術的應用研究[J].通信技術.2009.