應用SSL VPN實現(xiàn)安全移動辦公

摘 要:現(xiàn)在，隨著移動存儲技術的發(fā)展，選擇遠程辦公的人越來越多。隨著信息技術的不斷普及，高校對師生移動辦公、遠程接入校園內部網(wǎng)辦公的需求越來越強，特別是WLAN技術、無線技術的發(fā)展更加劇了這種趨勢。如何實現(xiàn)移動辦公并且實現(xiàn)網(wǎng)絡中數(shù)據(jù)隔離、服務器隔離，構建安全子網(wǎng)，供日常學習辦公使用，已成為學院信息技術管理者面臨的重大挑戰(zhàn)。

關鍵詞:SSL Ipsec VPN 協(xié)議 單臂路由

中圖分類號:TP315文獻標識碼:A文章編號:1674-098X(2011)11(c)-0021-01

1 引言

近幾年來，隨著學院校園信息化建設工作的不斷深入，校內辦公OA系統(tǒng)、教務管理系統(tǒng)、圖書館系統(tǒng)、郵件系統(tǒng)等系統(tǒng)的部署逐步實現(xiàn)了校園內部的無紙化辦公、規(guī)范學院的辦公制度，大大提高了工作和學習的效率。但同時面臨著一個重大的問題是這些資源一旦我們離開校園就都無法使用，所以對校園網(wǎng)進行有效的改造，實現(xiàn)安全移動辦公是當下我們所要解決的問題。

1.1 技術分析

虛擬專用網(wǎng)(VPN)是近兩年非常流行的技術，它是一個綜合保密性，安全性及可管理性的解決方案。VPN就是在公共網(wǎng)絡架構上(通常是Internet)利用安全、認證、加密等技術建立企業(yè)的專用線路，也就是一個安全的網(wǎng)絡隧道，在降低聯(lián)網(wǎng)費用的同時確保信息的安全性、完整性和真實性。SSL以及IPSec VPN是市場上最為主流的兩種VPN技術，已經(jīng)被成熟應用在眾多的領域中。這兩者在眾多的虛擬專線技術中其實用性都屬于領先的水平，但是SSL和IPSec兩種技術本身存在的特點，決定了他們在使用領域上有所差別。

(1)IPSec工作于網(wǎng)絡層，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡應用。它在事實上將遠程客戶端“置于”企業(yè)內部網(wǎng)，使遠程客戶端擁有內部網(wǎng)用戶一樣的權限和操作功能。但IPSec VPN要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設備，并且它的連接性會受到網(wǎng)絡地址轉換或受網(wǎng)關代理設備的影響。

(2)SSL是在Internet基礎上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務器應用之間的通信不被攻擊者竊聽，并且始終對服務器進行認證，還可選擇對客戶進行認證。SSL VPN的“零客戶端”架構特別適合于遠程用戶連接，用戶可通過任何Web瀏覽器直接訪問內部網(wǎng)Web應用。SSL VPN可在NAT代理裝置上以透明模式工作，它不會受到安裝在客戶端與服務器之間的防火墻等NAT設備的影響，穿透能力強。

2 方案的選擇與部署

考慮到學院一部分年長教師和非計算機專業(yè)教師的對于復雜的計算機操作比較難于掌握，另外一方面在方案的選擇當中為了保證現(xiàn)有網(wǎng)絡運行的穩(wěn)定性盡量避免去改變現(xiàn)有的網(wǎng)絡拓撲。所以在經(jīng)過充分的調研分析后，最終選擇了市場占有率比較高的SSL VPN來進行本

3 次校園網(wǎng)改造

在對學院網(wǎng)絡拓撲結構和網(wǎng)絡性能進行詳細的分析后，在本次改造方案中采用單臂路由的模式來部署SSL VPN服務器，直接將服務器旁接在學院核心三層交換機下(見圖1)。這樣就可以在不改變原來的網(wǎng)絡拓撲結構的基礎上實現(xiàn)VPN的部署最大限度的降低了對原有網(wǎng)絡的影響。SSL VPN技術幫助用戶通過標準的Web瀏覽器就可以訪問重要的學校應用資源。這使得學院的師生離開校園后，僅僅通過一臺接入了Internet的計算機就能訪問學校資源，這為學院師生的日常工作和學習來了便利。

另外考慮到不同角色登錄SSL VPN產(chǎn)生的安全問題，我們這次改造方案中所選用的產(chǎn)品可以對接入學院的用戶進行精確的的身份認證，然后對確定身份的用戶進行權限劃分，通過邏輯隔離服務器，讓不同身份的用戶接入不同的應用服務器，使用不同的業(yè)務系統(tǒng)及資源，從而保證數(shù)據(jù)的安全傳輸。并且通過SSL VPN實現(xiàn)應用系統(tǒng)訪問的集中管控，降低管理和維護成本，結合SSL VPN自動登錄及應用系統(tǒng)單點登錄技術，大大提高辦公系統(tǒng)登錄易用性。

4 結語

學院通過部署SSL VPN解決方案，有效的解決了校園網(wǎng)安全移動辦公的難題，方便了廣大師生離開學校后對學校各種資源的訪問，提高了校園網(wǎng)絡資源的利用率，同時也保證了在移動辦公過程中數(shù)據(jù)傳輸?shù)陌踩?/p>

參考文獻

[1]戴宗坤，唐三平.VPN與網(wǎng)絡安全[M].電子工業(yè)出版社，2002:120–140.

[2]王達.虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學出版社，2004.

[3]孫為清.VPN隧道技術[J].計算機應用研究所，2000，17(8):55-58.

[4]StallingsW.虛擬專用網(wǎng)的創(chuàng)建與實現(xiàn)[M].北京海洋出版社，2002.