首都體育學院WebVPN讓校外訪問安全進行

文/沙捷 費青松

如何在不改變高校現有“網絡安全管理規則”的前提下，同時為校外的訪問者提供便利的訪問路徑，是擺在高校信息化管理部門面前的一個重要問題。

本文通過首都體育學院的實際應用場景，提出了應用服務器訪問控制系統方案，利用WebVPN遠程訪問技術很好地平衡了上述問題與矛盾。

目前常見的遠程訪問技術有：傳統VPN（PPTP、L2TP/IPSec）、SSLVPN、OpenVPN、內網代理等，技術參數比較見表1。

通過表1可以歸納出常見的遠程訪問技術存在以下缺點：1.大部分技術容易被封鎖；2.需要配置瀏覽器插件或客戶端，并且在不同操作系統上會產生兼容性問題；3.不支持加密或加密安全性弱；4.較難配置用戶權限或配置過程復雜，不易快速部署；5.不支持移動設備部署或部署過程復雜；6.對弱口令風險防范缺乏有效手段。

設計思想

為解決常見遠程訪問系統存在的問題，在此系統設計之初，我們通過對傳統遠程訪問技術的對比研究，要求在保障安全的前提下較好地解決校外用戶對校內資源的訪問，不能給管理者與使用者帶來額外的使用負擔，同時要具有符合移動趨勢、無需配置、具備管理功能、不易被封鎖、加密傳輸等特點，并且達到以下幾點設計要求。

1. 無客戶端或瀏覽器插件

傳統的VPN系統需要安裝客戶端或者瀏覽器插件，這些客戶端或瀏覽器插件往往存在兼容性差，或客戶端、瀏覽器插件與操作系統的同步更新存在問題，或存在無法支持移動設備（iOS、Android等）等問題。

使用B/S結構，且不進行插件安裝是設計該系統的基礎思想。WebVPN采用HTTP透傳技術，無需客戶端，只需使用瀏覽器像訪問普通HTTP網站那樣訪問VPN的登錄地址，進行登錄后即可訪問內網資源，實現即開即用。

表1 常見遠程訪問方式比較

HTTP透傳技術兼容所有標準HTTP客戶端，訪問設備只要支持標準HTTP協議即可使用WebVPN系統訪問內網資源。

2. 用戶“零”配置

相比傳統VPN繁瑣的參數配置過程，由于學校各種應用系統面對的使用對象師生員工大都不是專業用戶，其使用訴求基本就是“簡單、快捷”，因此要求此系統需要實現師生員工的“零”配置，即使用者無需任何配置工作。這樣的設計給使用者降低了使用要求，給管理者減輕了技術服務的工作量。

3. 不改變防火墻端口配置

對比傳統的遠程訪問技術后發現，采用特定端口與特定協議的數據傳輸往往容易被各種運行商進行封鎖，在使用過程中影響師生員工的使用體驗。

通過實驗對比，要求該系統采用HTTP透傳技術，雙機部署方案。一臺部署于防火墻的DMZ區域，用于接受用戶連接（稱為主控制器Master），其目的是接受校園網外網用戶的鏈接；另外一臺部署于校園網內網區域，其目的是連接目標服務器（稱為隧道控制器Tunnel Controller）。連接上主控制器被動接受隧道控制器的連接，無需在防火墻上開啟特殊端口，實現沒有增加防火墻配置工作的同時，保證內部安全。

4. 采用數據加密傳輸

為保證數據的安全傳輸，要求校外用戶與主控制器之間的鏈接采用HTTPS協議傳輸，主控制器與隧道控制器之間采用RSA+AES混合加密體系，保證傳輸安全。

5. 一次性動態口令

在網絡與信息安全防護過程中，口令安全往往是使用者的安全防護短板，存在口令強度不夠，容易遺忘等問題，它始終困擾著使用者與管理者。為解決上述情況，要求在系統設計時采用兩種動態口令的方式來規避上述問題的風險。PC端與移動端登錄界面如圖1所示。

圖1 PC端與移動端界面

登錄使用的密碼為一次性密碼，可以有效地防止被盜現象的發生。

動態口令驗證采用兩種方式進行驗證：短信動態口令驗證和動態令牌驗證。

（1）短信動態口令：首先把用戶名與手機號進行綁定，當用戶進行登錄時，系統會通過短信下發隨機口令到用戶的手機中，用戶輸入收到的口令即是登錄密碼，輸入事先分配的用戶名與收到的登錄密碼后即可登錄系統。

（2）動態令牌驗證：動態令牌是一種偽隨機數生成器，會每分鐘自動生成一個動態口令，而且動態口令一分鐘內有效。用戶在需要登錄系統時，填寫用戶名與動態令牌顯示的口令即可登錄系統。

采用的登錄方式，由用戶自主選擇。

6. 簡單易用的用戶權限配置

傳統遠程控制技術中，用戶一旦連入VPN網絡中，就可以沒有任何限制地訪問所有內部系統，這無疑是一種潛在的安全隱患。

因此，要求系統可以實現使用用戶與用戶組關聯，用戶組再跟目標站點關聯的方式限制用戶能訪問的站點。同時采用Web界面的方式提供簡便的配置方式。

業務邏輯

WebVPN系統采用雙機部署模式。主控制器設備（Master）放置于防火墻DMZ區域，接受用戶連接請求，隧道控制器（Tunnel）設備放置于防火墻內網區域負責與目標系統連接。

外部用戶通過HTTPS協議來訪問位于校園網內部的主控制器，而主控制器與隧道控制器之間的數據傳輸通過RSA與AES混合加密的方式完成，如圖2所示。

圖2 RSA與AES混合加密的方式

系統部署

在實際應用場景中，可以根據具體情況使用中規模以及應用系統要求采用基礎配置部署、性能配置部署和多校區配置方案。

1. 基礎配置場景

基礎配置場景是在保證系統安全的前提下，保證校外訪問校內的基礎業務。在防火墻可訪問的區域（DMZ）部署WebVPN訪問控制系統的主控制器，為校外用戶提供身份認證、角色和權限配置以及系統和數據的基本安全功能。

在內網的服務器區，部署一臺隧道控制器和一臺超級終端，來進行具體的業務任務的配置與管理。系統拓撲如圖3所示。

圖3 基礎配置系統拓撲

2.性能配置

性能配置針對校外訪大問量、高并發量的使用需求，在校外師生可訪問的區域防火墻（DMZ）部署兩臺訪問控制器，為校外用戶提供身份認證、角色和權限配置以及系統和數據的基本安全功能；在內網的服務器區，部署兩臺隧道控制器和兩臺超級終端，來進行具體的業務任務。系統拓撲如圖4所示。

圖4 性能配置系統拓撲

3. 多校區部署

針對學校存在多校區的情況，在主校區部署1臺主控制器，然后在所有校區部署隧道控制器，如圖5所示。

業務流程

1. 業務流程

用戶登錄只需要使用瀏覽器訪問WebVPN地址，輸入用戶名與密碼即可完成登錄，如圖6所示。

圖5 多校區部署拓撲

圖6 使用流程

2. 用戶使用界面

用戶完成登錄過程后，在展示頁面中點擊需要訪問的目標圖標即可進行訪問。

針對目前各高校采取的限制外網用戶訪問校內資源的情況，通過實踐發現,使用WebVPN方式可以在克服傳統遠程訪問技術存在缺陷的前提下，為校外的師生用戶提供一條安全、便捷的訪問內網資源的途徑。其具有以下特點：

（1）無需客戶端、無需瀏覽器插件，訪問簡單、快捷；

（2）加密傳輸，確保通信安全；

（3）一次性口令，降低密碼安全風險；

（4）兼容iOS、Android、WP 等移動設備。