基于VPN技術的校園網絡安全體系的研究與實現

劉伯忠+蔣淑君

摘 要： 本文針對校園網絡安全體系構建需求，以VPN（Virtual Private Network）技術為基礎，在公共網絡上構建隧道，并對其進行加密、認證，建立安全、保密的數據傳輸，代替物理網絡，為虛擬專用通道的搭建節約成本，非常實用用于校園網絡建設。本文首先產生了虛擬專用網（VPN）的概念以及其在校園網絡中的應用情況，針對校園網絡中存在的安全問題進行分析，從而分析校園網絡安全體系的需求，以此進行校園網VPN方案設計與實現的探討。

關鍵詞：校園網絡安全體 數據傳輸 VPN技術 SSL VPN

中圖分類號：TP39 文獻標識碼：A 文章編號：1003-9082（2017）02-0006-02

引言

當前計算機技術和信息通信技術遍地開花，二者融合后的產物之一是網絡。目前網絡在人們的日常生活與工作中得到了大規模的普及。然而設計之初基于雙方互信機制之上的網絡協議造成了互聯網的安全隱患，在各個領域隨處可看見嗅探、篡改或重放的網絡攻擊現象，這嚴重阻礙了個用戶的網上業務的發展。這對于校園網絡來講，也存在同一的網絡安全問題。基于校園網絡建設要本著安全有效、平臺兼容和有效管理和控制的原則，本文采取VPN技術來設計與實現校園網絡安全體系的建設。

一、虛擬專用網（VPN）概念

虛擬專用網（VPN）是以公用因特網為基礎建立的臨時、安全的連接，是橫穿在混亂的公用網絡中的安全而穩定的傳輸隧道。所謂隧道，指在非面向連接的公用IP網絡中設計一個有邏輯和點對點的連接。

二、VPN技術在校園網中的應用狀況

當前很多高校校園開始實施了VPN，掀起了校園網對VPN技術的關注熱潮。高校實施VPN有一個共同的目的，從當前已經建立的VPN的高校中可以看到他們對VPN的需求有：引進校外學生、教職工對校內站點的訪問需要，滿足其對VPN接入服務，這能將各用戶對校園網的訪問負擔進行降低，節約遠程訪問費用；能夠保證授權者的VPN接入服務，實現本區和分區之間的VPN通道的信息傳輸與共享，便于整合研究服務器和實現較好的管理與控制，協調和優化資源配置；能夠解決對圖書館資源進行合理訪問的問題，保護數字版權。在數字圖書館資源管理中，數字版權管理問題成為了社會熱點，每一類型的圖書資源都需要對數字內容的分發集進行加密保護，以防產生非法使用數字資源的現象。當前高校數字圖書館基本是通過限制IP地址范圍的訪問來杜絕電子資源的非法利用。只有通過付費后才能瀏覽電子數據資源，而數據庫在判斷了訪問者的地址是否授權后才開放其數據資源。

三、校園網絡中的安全問題

高校是使用互聯網最為活躍的群體之一，當前，各大高校紛紛建立了自己的校園網絡，隨著用戶群體的增加和訪問次數的頻繁，再加上高校自身具有海量的教育教學資源，使得校園網絡存在安全管理問題。

1.計算機系統管理不統一

高校計算機系統的設備配置不同，一般會有專門人員管理和維護計算機房終端，然而學生和教師宿舍內的各計算機為自行購置，這些計算機接入校園網后，難以實現校園計算機系統的統一管理，在制定安全防護措施方面也極為困難，即使學校行政部門的計算機系統也缺乏專門的管理維護人員。由此造成了很多非法入侵校園網絡的現象。

2.學生用戶群體龐大、活躍

大學生為年輕群體，他們懷著對互聯網的好奇心而嘗試各種新技術的應用，其中不乏缺少網絡安全意識的學生，他們極有可能利用所學網絡技術集進行校園網的入侵和攻擊，從而破壞校園網的安全。

3.網絡的開放性

由于高校教育資源是面向公眾的，這就使得校園網絡必須具備良好的開放性，為公眾提供教育教學活科研等相關資源。在不得對電子郵件、網頁瀏覽進行嚴格限制的情況下，使得校園網要能夠為各種外部鏈接進行允許，以便公眾能夠獲取到有關教育資源信息。校園網絡的開放性容易造成很多網絡安全問題。

4.投入成本有限

絕大多數高校在校園網絡的建設工程中都缺乏資金投入，再加上高校領導對校園網絡安全的重視程度不夠，使得校園網絡中心缺少必備的工作人員，導致了校園網絡工作人員的工作繁瑣，或者直接過濾掉一部分校園網絡管理維護工作，只針對一些必要的日常管理工作進行維護，導致了校園網絡容易受到攻擊。

5.網絡資源下載太過頻繁

由于校園網絡中放置了大量的系統軟件、影音視頻、教育教學等資源，這些資源引來了大量而頻繁的下載量，導致網絡帶寬被大量占用，同時也帶來了嚴重的網絡安全隱患，在一些應用軟件中極有可能攜帶木馬病毒，會對安裝使用的用戶造成非法入侵與破壞。

四、校園網VPN方案的設計與實現

1.需求分析

校園網絡體系是構建之初，必須要滿足三種需求，分別是：第一，滿足大量的遠程訪問需求。由于對校園網絡進行遠程訪問的數量極大，在分校區的師生都會對校內網絡的數據庫服務器進行訪問，例如成績查詢、薪酬查詢以及通知公告等查詢。第二，建立主校區和分校區之間的相互網絡訪問連接，滿足互訪需求，保證主校區和分校區在校園一卡通、電子政務專網等業務方面得到整合，構建專門的、安全的網絡通道，使得數據傳輸能夠保密，得到安全保障。第三，高校圖書館資源實現遠程用戶訪問的需求，對遠程訪問用戶進行安全認證，并進行圖書館資源的合理分配，構建完善的用戶管理、授權、防護功能的體系。VPN技術在校園網絡安全體系構建中的應用，可以滿足校園網絡安全體系的以上3種需求。

2.VPN系統的功能模型

設計校園網VPN系統，包括了如下4項基本功能：

（1）身份識別：對VPN服務器的識別是通過數字證書方式進行的，服務器對不同的客戶端采取不同的識別方式。而校園VPN網絡的遠程訪問，服務器以用戶名+密碼的方式進行客戶端身份識別，對于內網VPN，則是通過數字證書方式進行客戶端身份的識別。

（2）訪問控制：本模塊為訪問規則庫，首先要設定訪問控制策略，然后控制訪問主體的訪問操作。

（3）數據傳輸：這是校園網VPN系統的核心功能，主要通過商定好的加密算法在發送者和接收者之間進行數據發送，還負責解密功能。

（4）后臺管理：本模塊功能主要對VPN服務器的操作生成工作日志并入庫，方便以后審查。后臺管理功能是為用戶提供有關網絡訪問、會話等信息的匯總報告。

3.技術路線

在校園網絡安全體系中，IPSec VPN、SSL VPN、MPLS VPN這三種技術的應用較為成熟。其中IPSec VPN和SSL VPN從屬于VPN構架的技術路線，IPSec VPN在網絡層中運行，保護全部網絡層上的數據和安全通信；SSL VPN主要在應用層和TCP層之間運行，以HTTP協議為基礎。IPSec VPN和SSL VPN都能為遠程接入提供安全保障，然而IPSec VPN技術一般在網絡數據流中運行，并進行連接服務和保護。在遠程分散的安全接入上，最好是應用SSL VPN技術，對于運營商以及大型用戶的動態網絡，則可以采用MPLS VPN技術。而校園網絡的建設通常會因為資金、技術方面的不足，往往會選擇IPSec VPN和SSL VPN技術。

4.方案設計與實現

4.1構建校園內部虛擬

校園內部虛擬的構建是針對主校區和分校區而言的，在兩個校區之間以 Intranet VPN（專用網）光纖鏈路進行連接，在分校區布置網絡出口，主校區網絡和分校區之間通過光纖鏈路實現一卡通、人事檔案、成績等應用系統連接。并對光纖鏈路中傳輸的數據信息設定IPSec VPN 技術加密，保障數據通信安全。在普通用戶發起主校區和分校區的訪問請求時，猶如在同一個網絡中。當安全級別過高時，會浪費網絡系統資源，導致訪問速度過慢，由此，不能將安全級別設置過高。而對待財務管理、人事檔案管理、學生成績管理等方面的敏感業務，則可通過二層協議網絡隔離方式，先讓用戶連接到校園網絡，再傳輸至校園網絡中的核心交換機，也就使得兩個校區之間的數據實現了加密傳輸。

將網絡路由器配置在兩個校區之間，使得兩個校區之間的互訪和數據都通過此路由器?；诤Ａ康男@網絡資源，必須要考慮到路由器的穩定性和可靠性，并兼顧成本問題。本文采用的是具備 VPN 功能的網絡路由器，對其設置好安全策略，從而構建兩個校區之間的VPN 通道，數據傳輸根據網絡路由策略設置來到達規定的地址（如下圖）。

4.2配置 VPN 服務器

要實現用戶對校園內部網絡的遠程訪問，或者移動用戶的訪問，就需要通過開放式互聯網與校園內部網絡的連接，并利用VPN 軟件系統進行數據封裝和加密功能，從而建設Ac-cess VPN（校園遠程訪問虛擬專用網絡）。由于 Linux 操作系統由較強的穩定性和較好的擴展性，應用起來靈活，比Windows 平臺更具操作性，本文中的校園網絡的VPN 服務器的配置平臺為 Linux 操作系統。VPN 服務器負責遠程用戶和移動用戶對校園網絡的發送請求連接。配置 IBMX366型號服務器，并在VPN 服務器中安裝Open VPN 軟件系統，從而建立基于SSL協議的 SSL VPN系統，對已配置了的網絡地址轉換設備和防火墻設備， SSL VPN的遠程訪問技術在進行傳輸時能夠遍歷校園網絡的任何網絡地址轉換設備和防護墻設備，實現遠程用戶與移動用戶對校園網的隨時連接。

通過某一校園網絡 IP 地址就能實現校園網絡的請求訪問，由此，須要通過架構一臺DHCP 服務器為用戶提供 IP 地址。在連接到校園網絡的服務器時，遠程用戶須要配置校園網絡的VPN服務器域名，由此，可以通過將VPN服務器域名設置在 DNS 服務器中。用戶請求連接時通過對VPN 服務器域名的解析，在發起訪問中就根據校園網絡所提供的 URL 地址，對 SSL VPN 的服務器發起連接，然后通過身份認證再通過其權限進行服務器的分配，這能防止外部入侵與攻擊。

五、結束語

綜述，通過學習，對校園網絡安全體系建設中進行了IPSec和SSL一般方法的研究，從而能夠讓VPN體系能夠在校園網絡中得到運行推廣。此外，在校園網絡安全體系的構建中，由于受到投入經費的限制，可以通過在校園網絡的主干網絡路由器中建立IPSec隧道功能。通過本文的學習和探索，所設計的校園網絡VPN安全體系還存在的不足之處，希望能夠在以后的學習和工作中做好改進，進一步提升自我。

參考文獻

[1]梁文芝，劉宇翔.VPN技術在數字圖書館系統的應用[J]. 農業圖書情報學刊. 2008（11）

[2]楊名川. 基于隧道模式IPSec的NAT穿越[J]. 現代計算機. 2007（05）

[3]梁石.成都紡織高等?？茖W校校園網的設計與實現[D]. 西華大學 2014

[4]董佳.唐山職業技術學院校園網升級改造[D]. 燕山大學 2012

[5]鄒青春.基于VPN技術的多校區校園網絡安全研究論述[J]. 哈爾濱職業技術學院學報. 2015（04）

[6]劉思勤.校園網絡安全體系中VPN技術的應用研究[J]. 計算機光盤軟件與應用. 2014（20）

[7]武杰.校園網絡安全體系中VPN技術的應用探析[J]. 數字技術與應用. 2014（02）

[8]趙釗.基于VPN技術的校園網絡安全體系構建[J]. 自動化與儀器儀表. 2014（01）

[9]費建英.VPN技術在校園網絡安全體系中的應用[J]. 計算機光盤軟件與應用. 2013（23）

[10]朱晨旭.信息化背景下的校園網絡安全問題與對策[J]. 網絡安全技術與應用. 2016（11）

作者簡介：劉伯忠 （1968.12-），男，四川廣安人，漢族，本科，副教授，主要研究方向： 計算機科學與技術。