基于VPN技術(shù)的校園網(wǎng)多場景安全保障策略研究

◆王巖紅

基于VPN技術(shù)的校園網(wǎng)多場景安全保障策略研究

◆王巖紅

（廣東外語外貿(mào)大學(xué)網(wǎng)絡(luò)與信息化中心 廣東 510420）

出于安全考慮，高校校園網(wǎng)越來越趨向多數(shù)業(yè)務(wù)系統(tǒng)只允許內(nèi)網(wǎng)訪問，而用戶卻越來越趨向在校園網(wǎng)的范圍外進(jìn)行網(wǎng)上活動，本文探討了如何利用VPN技術(shù)在校園網(wǎng)多場景下適應(yīng)這兩種需求。

校園網(wǎng)；網(wǎng)絡(luò)安全；VPN

隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，高校內(nèi)部的各種類型的網(wǎng)站和應(yīng)用系統(tǒng)也越來越多，越來越復(fù)雜，師生們對各種校內(nèi)業(yè)務(wù)便捷化的需求也越來越高。由于新時期下，互聯(lián)網(wǎng)上的安全威脅也日益增加，針對高校的數(shù)據(jù)竊取及網(wǎng)絡(luò)攻擊的活動也非常頻繁。在這種大環(huán)境下，校園網(wǎng)的安全策略更加注重內(nèi)網(wǎng)的防護(hù)，出口防火墻都會對這些網(wǎng)站和業(yè)務(wù)系統(tǒng)有所限制，只有少部分是對校外開放的，而更多的都是只允許在校園網(wǎng)內(nèi)網(wǎng)的范圍內(nèi)進(jìn)行訪問。這時候VPN技術(shù)就為校外用戶訪問校內(nèi)業(yè)務(wù)的連續(xù)性提供了保障。本文通過對校園的多個場景下的業(yè)務(wù)需求進(jìn)行分析，在兼顧安全和便捷的情況下，對如何利用VPN技術(shù)維持業(yè)務(wù)連續(xù)性進(jìn)行了探討。

1 VPN技術(shù)發(fā)展概述及SSL VPN的優(yōu)勢

VPN（Virtual Private Network）是指通過公共網(wǎng)絡(luò)將物理上分布在不同地點(diǎn)的多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)組成邏輯上的虛擬專用網(wǎng)絡(luò)[1]。同時為防止信息的泄露、篡改，采用了隧道技術(shù)、數(shù)據(jù)加解密技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)等措施，來保障信息在網(wǎng)絡(luò)上的傳輸安全。VPN按技術(shù)分為基于第二層隧道技術(shù)的VPN（L2F/L2TP/PPTP）、IPSec VPN、SSL VPN等。在實(shí)際的應(yīng)用中SSL VPN 憑借著易部署、維護(hù)管理成本低、訪問控制靈活、適應(yīng)性強(qiáng)等優(yōu)勢獲得了廣泛的應(yīng)用。

2 高校校園網(wǎng)外網(wǎng)訪問需求分類及特點(diǎn)

2.1 校園網(wǎng)內(nèi)的資源按內(nèi)容分類

（1）校內(nèi)各業(yè)務(wù)系統(tǒng)。高校的各業(yè)務(wù)部門都根據(jù)自身需要開發(fā)了一系列的業(yè)務(wù)系統(tǒng)，如教務(wù)系統(tǒng)、選課系統(tǒng)、人事系統(tǒng)、薪酬系統(tǒng)、一卡通系統(tǒng)、資產(chǎn)系統(tǒng)、就業(yè)系統(tǒng)等等。

（2）圖書館數(shù)字資源。由于教學(xué)科研的需求，高校的圖書館都會購買很多電子數(shù)據(jù)庫資源，例如中國知網(wǎng)、百度文庫、各種外文期刊數(shù)據(jù)庫等。這些數(shù)字資源一般都是通過學(xué)校網(wǎng)絡(luò)出口IP范圍注冊的。也就是說，只有當(dāng)這些IP范圍內(nèi)的IP訪問這些數(shù)據(jù)庫資源的時候，才可以進(jìn)行瀏覽下載操作。簡言之，就是只有在校園網(wǎng)內(nèi)網(wǎng)才能訪問這些圖書館資源。

（3）校內(nèi)業(yè)務(wù)服務(wù)器資源。校內(nèi)各單位業(yè)務(wù)系統(tǒng)也分別對應(yīng)著很多服務(wù)器資源，這些資源一般都集中在學(xué)校網(wǎng)絡(luò)部門維護(hù)的機(jī)房內(nèi)，一般都配置的是內(nèi)網(wǎng)IP。

2.2 按訪問需求途徑分類

（1）通過WEB瀏覽器訪問校內(nèi)業(yè)務(wù)

由于瀏覽器訪問模式的普適性更強(qiáng)，現(xiàn)在高校內(nèi)的業(yè)務(wù)系統(tǒng)絕大部分都是B/S結(jié)構(gòu)的，C/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)正在被淘汰或轉(zhuǎn)型為B/S結(jié)構(gòu)。無論是PC，還是移動設(shè)備（手機(jī)或平板類移動設(shè)備），用戶都可以通過使用各種WEB瀏覽器對業(yè)務(wù)系統(tǒng)進(jìn)行訪問

（2）通過學(xué)校APP、微信公眾號及小程序訪問校內(nèi)業(yè)務(wù)

隨著移動互聯(lián)網(wǎng)的蓬勃發(fā)展，各高校都開發(fā)了針對本校業(yè)務(wù)的APP、微信公眾號及小程序?yàn)槿熒峁┍憬莸臉I(yè)務(wù)服務(wù)。

93通過PC中的應(yīng)用程序遠(yuǎn)程維護(hù)校內(nèi)業(yè)務(wù)設(shè)備

高校信息化建設(shè)和維護(hù)部門的人員，以及校內(nèi)各單位業(yè)務(wù)系統(tǒng)供應(yīng)商的系統(tǒng)維護(hù)人員，為了快速部署、維護(hù)巡查，及時處理故障，都迫切需要通過PC中的應(yīng)用程序遠(yuǎn)程對校內(nèi)的業(yè)務(wù)服務(wù)器進(jìn)行維護(hù)。

3 對應(yīng)各個需求的VPN解決方案

SSL VPN 主要功能包括虛擬網(wǎng)關(guān)、WEB代理、文件共享、端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)擴(kuò)展、用戶安全控制和完善的日志功能等。虛擬網(wǎng)關(guān)可以實(shí)現(xiàn)針對不同需求的用戶部署不同應(yīng)用資源的模塊化管理；WEB代理實(shí)現(xiàn)了無客戶端的頁面訪問方式，充分體現(xiàn)了它的易用性[2]。高校中實(shí)際遇到的問題，都可以通過SSL VPN技術(shù)來實(shí)現(xiàn)。SSL VPN部署簡單，可以單臂接入原有網(wǎng)絡(luò)中，對原有的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)影響很小，其接入結(jié)構(gòu)如圖1。

圖1 VPN業(yè)務(wù)場景及接入位置示意圖

3.1 通過基于SSL VPN的Webvpn技術(shù)，解決通過WEB瀏覽器訪問校內(nèi)業(yè)務(wù)和圖書館資源的問題

Webvpn基于反向代理技術(shù)，區(qū)別于傳統(tǒng)VPN技術(shù)，Webvpn無需用戶安裝客戶端軟件及瀏覽器插件，用戶只需進(jìn)入Webvpn頁面，輸入用戶名密碼，通過身份驗(yàn)證即可登錄VPN訪問內(nèi)網(wǎng)資源，真正做到了即開即用[3]。

通過將校內(nèi)資源在提供Webvpn服務(wù)的設(shè)備后臺進(jìn)行資源配置，用戶在打開Webvpn的登錄頁面輸入用戶名和密碼后，就可以方便地從瀏覽器頁面上選取可以訪問的校內(nèi)資源，不增加用戶任何負(fù)擔(dān)，簡單直接，方便易用。可以很好解決用戶通過WEB瀏覽器訪問校內(nèi)業(yè)務(wù)和圖書館資源的問題。

3.2 通過在調(diào)用廠商提供的SDK程序，解決在手機(jī)端校園移動門戶無感登錄問題

當(dāng)手機(jī)用戶訪問校園網(wǎng)移動門戶的時候，如果登錄IP不在校園網(wǎng)內(nèi)網(wǎng)，可以通過調(diào)用VPN廠商提供的SDK程序，使ticket在校內(nèi)的CAS統(tǒng)一身份認(rèn)證系統(tǒng)中進(jìn)行認(rèn)證對接以實(shí)現(xiàn)單點(diǎn)登錄，用戶登錄統(tǒng)一身份認(rèn)證平臺后自動完成VPN認(rèn)證及校內(nèi)門戶系統(tǒng)的認(rèn)證，從而實(shí)現(xiàn)外網(wǎng)用戶無感知訪問校內(nèi)移動門戶。

3.3 通過將廠商提供的SDK包透明集成到APP應(yīng)用中，實(shí)現(xiàn)APP中集成VPN功能的封裝

利用廠商提供的安全加固SDK自動封裝增值方案，無需APP開發(fā)商開發(fā)人員配合，通過上傳、封裝、下載3個動作，5分鐘內(nèi)完成安全加固SDK封裝[4]。從而實(shí)現(xiàn)在登錄APP的過程中，就建立了VPN的安全連接，為訪問問校內(nèi)業(yè)務(wù)時的連續(xù)性提供了便捷和保障。

3.4 通過SSL VPN客戶端解決通過PC中的應(yīng)用程序遠(yuǎn)程維護(hù)校內(nèi)業(yè)務(wù)服務(wù)器的問題

對于需要通過PC中的應(yīng)用程序遠(yuǎn)程維護(hù)校內(nèi)業(yè)務(wù)的用戶來說，還是需要安裝SSL VPN的客戶端，通過登錄客戶端從而建立起從外網(wǎng)到內(nèi)網(wǎng)的專用隧道，來進(jìn)行更加多樣化需求的遠(yuǎn)程業(yè)務(wù)系統(tǒng)服務(wù)器維護(hù)。

4 結(jié)束語

隨著高校對安全需求的場景增多，VPN技術(shù)也隨之進(jìn)化出適應(yīng)校園網(wǎng)多場景的安全保障辦法。只要我們規(guī)劃好，利用好這項技術(shù)，就可以達(dá)到我們兼顧校園網(wǎng)安全和用戶使用便利的目的。

[1]黃超，王勇. VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（11）.

[2]王慶剛，向文. 關(guān)于高校網(wǎng)絡(luò)中VPN技術(shù)的探究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（6）.

[3]強(qiáng)焜. Webvpn在高校內(nèi)網(wǎng)訪問中的運(yùn)用[J]. 計算機(jī)產(chǎn)品與流通，2019.

[4]深信服SSL VPN產(chǎn)品技術(shù)白皮書. 深信服科技，2015.