VPN技術在校園網絡安全體系中的應用

摘 要：VPN是通過公用網絡建立一個安全而臨時的連接，是一條穿過具有高威脅性公用網絡的安全隧道。現針對某高職院校校園網絡實際需求，以及VPN技術在校園網絡安全體系中應用的原則，完成VPN技術在校園網絡安全體系中的應用方案設計。

關鍵詞：VPN技術；校園網絡；安全體系

隨著計算網絡技術的迅猛發展，校園網絡建立已成為各個院校信息化管理的基礎，成為師生學習與交流的重要工具。并且隨著各個院校的擴招，各個院校的規模也在不斷擴大，建立了多個校區協調合作的發展模式。根據我國當前院校的布局來看，許多院校的多個校區可能分布于不同的城市或地區，如果簡單的采用校園局域網的形式無法實現多校區協調管理的模式。目前，許多具有多個校區的院校為加強院校統一的信息化管理，采用了VPN技術連接各個校區。雖然VPN技術實現了多校區間的連接，但其網絡安全問題也隨之暴露。因此，現以某高職院校為案例對VPN技術在校園網絡安全體系中的應用展開探討。

1 需求分析

某高職院校共有兩個校區，本文將兩個校區稱之為新校區與老校區。同時深入該高職院校了解校園網絡內的VPN總體需求情況：

1.1 解決院校兩個校區訪問互通的問題。實現兩個校區間一卡通、財務專網的整合，形成一條連接兩個校區間的網絡安全通道。保證數據能夠在安全通道內安全、快速的進行傳輸。

1.2 遠程訪問校園網絡內部站點的需求。實現兩個校區內WEB站點、郵件服務站點的整合，完成兩個區間郵件分發、公文流轉和校園信息交流等。

1.3 遠程訪問圖書館資源。兩個校區建立統一的圖書館管理系統以及認證系統，實現兩個校區間圖書館資源的聯動管理與統一認證。

2 VPN技術在校園網絡安全體系中應用的原則

2.1 安全保障

VPN技術在校園網絡安全體系中應用最基本的原則便是保障網絡安全。校園網絡VPN應用至少需要提供身份認認、數據完整性和數據保密三方面的安全保障機制。

2.2 有效的管理平臺

VPN服務器應提供界面友好的客戶端與服務器端配置工具，方便用戶操作使用。同時配置工具還應提供用戶操作日志采集功能，為安全審計提供日志記錄。

2.3 保證多平臺兼容

多平臺兼容是指為校園網絡提供的VPN服務能夠為移動辦公用戶提供隨時隨地的安全網絡接入服務。以及能實現多操作系統平臺環境的兼容等。

2.4 提供有效的訪問控制

校園網絡中涉及到多種用戶角色，各用戶角色在不同應用系統中具有不同的應用權限，因此，VPN服務應建立嚴格的安全訪問控制機制。

3 VPN技術在校園網絡安全體系中應用的功能模型

根據校園網絡的實現需求與VPN應用的基本原則，VPN技術在校園網絡安全體系中的應用功能模型包括以下四個功能模塊。

3.1 后臺管理模塊：負責VPN服務器工作日志的采集，為安全審計提供操作日志。同時也能匯總用戶的操作行為日志與詳細的使用情況。

3.2 訪問控制模塊：該模塊主要建立詳細的VPN訪問控制策略，決定用戶的訪問規則。

3.3 身份認證模塊：服務端對客戶端認證采用不同的認證方式，在內網進行認證時采用數字證書方式，在外網進行認證時采用用戶名與密碼的認證方式；客戶端對服務端進行認證采用數字證書的方式。

3.4 數據轉發模塊：該模塊是整個網絡體系的核心模塊，使用協商好的加密算法進行數據加密，并完成數據的傳輸。

4 VPN技術在校園網絡安全體系中應用方案的選擇

VPN技術在校園網絡安全體系中共有三種應用方案，分別如下：

4.1 Access VPN：該方案適用于移動或遠程辦公的需求，實現校園內外網絡的遠程連接。Access VPN適用于當前多種網絡接入方式，例如xDSL、PPPoE撥號、移動網絡、ISDN等，為移動辦公用戶提供安全的私有連接。

4.2 Intranet VPN：該方案以特有的共享網絡設施為基礎，利用Internet實現院校各分校區之間的網絡互聯。Intranet VPN充分利用了VPN隧道、加密等技術保證了信息在傳輸鏈路上的安全。

4.3 Extranet VPN：該方案通過一個使用專用網絡連接的共享基礎設施，將外部網連接到校園網絡，適用于為B2B之間的安全訪問。

通過對三種應用方案的分析，三種應用方案適用于不同的安全訪問服務。根據需求分析可知，校園網即要實現各校區間的網絡互聯，又要實現遠程用戶對校園網絡資源的訪問。因此，我們選擇Access VPN與Intranet VPN兩種應用方案作為校園網絡安全體系的架構。

5 VPN技術在校園網絡安全體系中應用方案設計

根據以上分析，結合某高職院校校園網絡實際，VPN技術在校園網絡安全體系中應用方案設計如下：

5.1 兩個校區之間采用Intranet VPN實現網絡互聯。該高職院校當前兩個校區都由中國電信提供的光纖接入提供網絡連接，網絡出口都在老校區，而且兩個校區間的信息化管理系統都需要通過該通信鏈路完成信息互通，包括一卡通、財務、人事和教務管理系統等。為保證數據傳輸的安全性，我們采用IPSec VPN技術，對應用系統數據進行加密，保障數據傳輸過程的安全性。

對于信息安全要求較高的用戶，例如財務和后勤等部門的用戶，可以采用二層隔離的方案接入校園網，再通過二層OSPF協議傳輸至核心交換機，實現兩個校區信息的加密傳輸；對于一般用戶的訪問，由于安全級別較低，可以降低安全要求，提升VPN服務器性能。

5.2 Access VPN遠程用戶訪問VPN服務器

當移動用戶需要通過遠程訪問校園網絡資源時，可采用Access VPN應用方案實現。在校園網絡內部構建VPN服務器，移動用戶使用專門的VPN客戶端通過ISP運營商提供的Internet網絡連接到校園網絡中。這種方式只需要支付ISP提供的網絡帶寬使用費用，不支付其它額外的費用。

校園網絡內的VPN服務器架設，我們選擇Linux操作系統平臺作為架構的基礎環境，Linux操作系統平臺不僅具有易擴展、免費的特點，而且其性能也優于Windows Server平臺。在硬件方面我們選用IBM System x3650 M3作為VPN服務器的載體。VPN系統軟件我們選用基于SSL協議的OpenVPN，可以架設SSL VPN應用系統。

校園網絡內部為保證信息傳輸的安全使用了防火墻與NAT設備，由于OpenVPN構建的SSL VPN工作在傳輸層之上，能夠遍歷所有的防火墻與NAT設備，保證了VPN用戶隨時隨地都能連接校園網絡。另外，遠端的VPN用戶訪問校園網絡時需要為其分配內網IP地址，因此，還需要架設一臺DHCP服務器完成自動分配IP地址的任務。對于外部網絡的移動用戶需要連接至VPN服務器時，還需要建立DNS域名服務器。當遠端用戶通過域名URL地址訪問VPN服務器時，DNS服務器完成域名解析，同時發起的VPN請求連接被SSL VPN服務器獲取，完成用戶權限認證后映射到校園網絡內的應用服務器。通過這種方式可以完成屏蔽校園網絡的結構，保證校園網絡的安全。

6 結束語

目前，VPN技術在校園網絡安全體系中的應用已成為研究的熱點，據《中國教育網絡》的調查數據可知，我國許多院校都已開始或部署VPN技術的應用。本文從校園網絡的實際出發，對多校區院校的需求展開分析，并根據需求分析的要求，規劃和設計了VPN技術在多校區校園網絡安全體系中的應用方案。

作者簡介：黎偉（1974，2-），男，民族：漢，籍貫：貴州，碩士，講師，工作單位：黔南民族職業技術學院，研究方向：計算機網絡實驗教學，計算機網絡。