信息時代高校VPN的適配抉擇高校信息化建設對VPN的要求，朝著更便捷、更簡單、更安全的方向發(fā)展。

文/柳雄

傳統(tǒng)VPN 的信息化時代

信息化建設下的擇優(yōu)選擇

信息時代，為了更大程度發(fā)揮互聯(lián)網資源的共享與利用優(yōu)點，高校或科研機構的電子圖書資源、校園內部的信息系統(tǒng)等，都需要提供校外遠程接入訪問。

提到遠程接入、訪問內網系統(tǒng)，大家會自然而然的想起VPN技術，VPN基于互聯(lián)網提供安全私密的加密隧道，讓校外用戶可以安全的接入校園內外進行訪問，在高校信息化建設中擁有多年的應用歷史，已經是高校校園信息化建設必不可少的環(huán)節(jié)。

VPN根據(jù)隧道協(xié)議的不同，主要有：二層隧道協(xié)議PPTP/L2TP VPN、三層隧道協(xié)議GRE/IPSec VPN和七層隧道協(xié)議SSL VPN。在高校信息化的發(fā)展歷程中，這些VPN技術均被廣泛地在特定時期和場景下應用，其中基于B/S架構的SSL VPN，使用普通瀏覽器即可訪問，方便易用，已經是遠程接入場景應用最為廣泛和成熟的方案。

SSL VPN技術的廣泛應用

SSL VPN技術利用標準Web瀏覽器內嵌的SSL(Security Socket Layer)封包處理功能，在遠程接入用戶與SSL VPN服務器之間建立起VPN隧道，從而使得遠程接入用戶在通過驗證后，可訪問內網的服務器資源。

基于SSL協(xié)議實現(xiàn)的SSL VPN，天然支持Web應用的訪問，同時為了覆蓋更廣泛的應用場景，SSL VPN也支持TCP代理轉發(fā)和虛擬網卡方式，能夠像其他VPN技術一樣，提供全協(xié)議的VPN通道，不僅支持B/S架構的Web應用，也支持C/S架構的TCP應用，如TELNET、遠程桌面等，還可以支持基于UDP協(xié)議的語音視頻類應用的遠程訪問。雖然虛擬網卡的方式能夠支持全協(xié)議的訪問，但SSL VPN仍然保留了Web資源和TCP資源的訪問方式，每一類資源應用在實現(xiàn)原理上都各不相同。

以Web資源來說，SSL VPN使用Web反向代理技術，實現(xiàn)用戶遠程接入后訪問內網Web應用服務器。在用戶訪問的過程中，先將用戶的訪問請求發(fā)送到VPN，由VPN進行代理轉發(fā)。

采用Web反向代理方式實現(xiàn)的SSL VPN，不依賴IE控件，可以在任意瀏覽器免插件使用，可以支持大部分B/S系統(tǒng)的遠程接入訪問，但同時由于VPN無法對各類URL資源做到完整的改寫，因此可能會出現(xiàn)圖片錯位、字體顯示不正常等兼容性問題，也無法支持本地需要瀏覽器插件的Web系統(tǒng)的訪問。

除了兼容性問題之外，對于非B/S架構的應用，Web反向代理也無法支持，例如在網絡維護中常用的TELNET、SSH、郵件、遠程桌面等基于TCP的非Web應用。基于Web的SSL VPN無法支持，就需要用到SSL VPN的基于TCP代理轉發(fā)（也叫端口轉發(fā)）的技術，這種技術可以通過ActiveX控件實現(xiàn)對本地TCP請求的監(jiān)聽，當監(jiān)聽到需要被代理轉發(fā)的TCP請求時，會攔截該請求，并進行代理訪問，在代理訪問的過程中，需要對收到的請求報文進行改造，將原來要發(fā)送給目標服務器的請求改為發(fā)送給客戶端本地環(huán)回地址，同時記錄改造前后的對應關系（本地環(huán)回記錄表），便于

后續(xù)可以代替服務器應答真正的用戶。

盡管TCP代理轉發(fā)的方式已經能夠支持絕大部分的高校系統(tǒng)訪問，但終究是只支持TCP協(xié)議的系統(tǒng)應用，當需要使用到非TCP協(xié)議的應用時，如語音類協(xié)議，TCP代理轉發(fā)就無法支持了。此外，SSL VPN還支持以虛擬網卡的方式來建立VPN隧道。

采用虛擬網卡方式的SSL VPN，用戶依舊可以通過瀏覽器登陸VPN服務器，在登陸過程中安裝虛擬網卡等VPN組件（通過ActiveX控件或客戶端形式）。這時候客戶端與VPN服務器之間就會創(chuàng)建一條SSL VPN隧道，VPN會向客戶端下發(fā)對應的內部系統(tǒng)的路由信息，客戶端訪問內網業(yè)務系統(tǒng)時，經過虛擬網卡發(fā)送請求，經VPN隧道到達VPN服務器。整個訪問過程中不需要對訪問請求報文進行任何修改，完整封裝后經虛擬網卡發(fā)送到VPN隧道，實現(xiàn)遠程訪問，因此這種方式也是實際應用中最為廣泛的形式。

傳統(tǒng)VPN技術面對的新挑戰(zhàn)

近年來信息技術高速發(fā)展，尤其是智能終端的普及和移動互聯(lián)網的廣泛應用，用戶追求更便捷、更簡單、更安全的網絡遠程接入方式，來滿足隨時隨地接入訪問的需求，在安全接入的同時，也越來越重視使用體驗。尤其是校園用戶終端類型越來越豐富，從過去單純的Windows PC終端演變到目前Windows PC、Mac PC、iOS手機、Android手機、iPad、Android Pad等多終端并存的局面，給SSL VPN在高校的應用帶來了不少新的挑戰(zhàn)：

1.用戶體驗差

當前主流的SSL VPN，在使用中依賴ActiveX控件或客戶端程序，只能使用IE內核瀏覽器或依靠java環(huán)境進行安裝，很難滿足用戶多元化的個性體驗，尤其是越來越多的非Windows終端被使用后，VPN插件對操作系統(tǒng)的支持也較差，很難適配豐富的系統(tǒng)類型和頻繁的系統(tǒng)更新，用不了、頻繁掉線、安裝復雜、使用繁瑣等問題嚴重影響用戶體驗。

2.運維壓力大

高校的VPN使用群體廣泛，用戶規(guī)模大，在VPN使用過程中因插件安裝、使用異常帶來的巨大運維量，信息中心往往疲于應對。

3.適應移動互聯(lián)網環(huán)境

隨著移動互聯(lián)網的發(fā)展，越來越多的移動終端需要使用VPN接入進行遠程訪問，校園APP也逐漸被廣泛應用，SSL VPN需要以更加良好的用戶體驗適配這類場景。

全Web化趨勢下的新選擇

高校大部分業(yè)務系統(tǒng)已經實現(xiàn)了Web信息化改造，基本都使用了統(tǒng)一認證平臺SSO進行統(tǒng)一身份認證，學校的用戶只需要認證一次，所有業(yè)務系統(tǒng)都實現(xiàn)單點登錄。另外建設了校園門戶站點，門戶站點作為校園所有業(yè)務系統(tǒng)的統(tǒng)一入口（包括圖書館等數(shù)據(jù)庫資源）。

在SSL VPN面臨新的挑戰(zhàn)的同時，一種號稱下一代VPN技術的WebVPN產品開始出現(xiàn)在高校，WebVPN提供基于Web的內網應用訪問控制，允許授權用戶訪問只對內網開放的Web應用，實現(xiàn)類似VPN的功能。WebVPN的出現(xiàn)很好的抓住了高校SSL VPN對用戶體驗和運維問題的滯后反應，以無需用戶做任何配置或安裝客戶端軟件及瀏覽器插件的形式提供內網應用的遠程訪問，大大降低使用門檻，提升用戶體驗。

圖1 未來數(shù)字化校園安全接入平臺框架

然而，WebVPN真的是包治百病的下一代VPN技術么？在對WebVPN進行詳細分析和實際體驗中，我們發(fā)現(xiàn)，WebVPN實際上也是基于Web反向代理技術實現(xiàn)的，通過結合泛域名，來實現(xiàn)對內網Web服務器的代理訪問，整個訪問過程中涉及的Web改寫與SSL VPN一致，與其說是下一代VPN，實際上更像是最早期的SSL VPN。

Web反向代理實現(xiàn)的SSL VPN因其技術本身的兼容性缺陷和無法完整覆蓋高校業(yè)務系統(tǒng)的缺陷，在SSL VPN的漫長發(fā)展歷程中，一直未能廣泛應用。隨著用戶對使用體驗的要求增高，Web反向代理技術的免插件、對瀏覽器和操作系統(tǒng)的全面支持等優(yōu)點，再一次把WebVPN推向了前端，基于這些優(yōu)點，在應對用戶體驗的挑戰(zhàn)上，WebVPN相比大部分基于瀏覽器插件和客戶端軟件的SSL VPN產品要好得多，尤其是對一些低頻訪問的用戶來說，打開瀏覽器就可以使用，省去了安裝插件和客戶端的過程。但在應對運維壓力和移動化挑戰(zhàn)時，WebVPN并不如宣傳的那么高效。

首先，WebVPN的無插件形式，確實避免了插件的維護工作，但其技術本身的兼容性缺陷，又帶來了新的運維挑戰(zhàn)，頁面顯示異常、系統(tǒng)無法正常登陸等問題難以杜絕，且相比客戶端或VPN插件對個別用戶的影響，兼容性問題的影響面更大，勢必帶來更大的運維壓力。

其次，高校移動信息化的進程中，APP被廣泛應用，基于瀏覽器的WebVPN無法提供APP的遠程接入訪問，僅依靠手機瀏覽器的Web訪問和微信H5應用，用戶體驗也必然大打折扣。

數(shù)字化校園接入的未來

面對當前的使用需求，再結合Web VPN技術的應用分析，高校在選擇安全接入類產品時，需要全面考慮，既要滿足安全接入的需求，也要滿足用戶的使用體驗，減輕運維壓力。面對琳瑯滿目的VPN產品，管理員必須認真對自身的使用場景進行分析，選擇更為匹配的VPN產品。

未來，高校的信息化建設中對VPN的要求，依舊會朝著更便捷、更簡單、更安全的方向發(fā)展，VPN服務商必須緊跟用戶需求變化，滿足高校客戶不同業(yè)務階段的需求，實現(xiàn)無插件、無感知訪問的同時，仍然需要借助多重優(yōu)化技術，提升資源訪問的速率；支持移動數(shù)字化校園接入需求，具備完美的兼容性，保障用戶接入方式的自由選擇；同時支持多套安全機制，如國產密碼算法下的數(shù)字簽名、數(shù)據(jù)傳輸加密、業(yè)務權限的精細化管控，保證關鍵業(yè)務的數(shù)據(jù)安全，真正實現(xiàn)更易用、更安全的校園信息化門戶的接入。

如圖1所示，未來的數(shù)字化校園接入平臺，會成為端-端緊密結合的形式，包括接入端的安全工作空間、身份認證和授權、傳輸端的高強度密碼算法安全加密、服務端的多元化資源訪問代理、審計端的7×24小時用戶審計管理，以更適應于未來高校數(shù)字化校園的發(fā)展。