WebVPN提供易用、易維護(hù)的校外訪問通道

金磊，王佶， 陳賢，徐鋒

（1.浙江大學(xué)信息技術(shù)中心，浙江杭州，310000；2.溫州職業(yè)技術(shù)學(xué)院，浙江溫州，325035）

隨著信息技術(shù)的發(fā)展，在家辦公、在家學(xué)習(xí)成為高校師生工作學(xué)習(xí)的新常態(tài)，遠(yuǎn)程訪問數(shù)據(jù)庫資源、教學(xué)資源，校內(nèi)辦公平臺(tái)等需求成為學(xué)校日常工作中不可或缺的部分。部分重要的內(nèi)網(wǎng)數(shù)據(jù)資源，不能在公網(wǎng)上交互，這就要求校方提供一套支持內(nèi)網(wǎng)訪問的遠(yuǎn)程訪問控制系統(tǒng)來實(shí)現(xiàn)這部分需求。否則會(huì)嚴(yán)重影響學(xué)校的教學(xué)科研工作，所以一套遠(yuǎn)程訪問控制系統(tǒng)成為各大高校必不可少的一項(xiàng)工具。傳統(tǒng)的校外訪問技術(shù)PPTP、L2TP、SSLVPN等存在客戶端及插件兼容性欠佳、對移動(dòng)設(shè)備支持弱、網(wǎng)絡(luò)配置復(fù)雜、易受運(yùn)營商封鎖等問題[1]。一種基于Web域名改寫技術(shù)的校外訪問控制系統(tǒng)（WebVPN）受到各大高校的青睞。

1 校外訪問技術(shù)使用的基本情況

目前高校常見的校外訪問場景有：在校外訪問學(xué)校內(nèi)網(wǎng)資源和在校外訪問圖書館訂購數(shù)據(jù)庫資源。特別是圖書館數(shù)據(jù)庫資源，區(qū)別與企業(yè)場景的VPN需求，這類資源發(fā)布在公網(wǎng)環(huán)境下，但是其通過IP認(rèn)證的方式確認(rèn)訪問權(quán)限，這就要求在校外的師生必須拿到學(xué)校的IP地址，通過認(rèn)證授權(quán)的IP才能正常訪問。通過對國內(nèi)C9高校的調(diào)研，目前所有學(xué)校均提供的校外訪問服務(wù)，其中SSLVPN和WebVPN為最主要的服務(wù)技術(shù)。具體情況如表1所示。

表1 C9高校校外訪問服務(wù)

目前，所有學(xué)校俊提供兩種及以上的遠(yuǎn)程訪問方式。最普遍的PPTP/L2TP/IPSec和SSLVPN方式均屬于VPN技術(shù)，這種技術(shù)在三層網(wǎng)絡(luò)協(xié)議下構(gòu)建了一種通信環(huán)境，在該環(huán)境內(nèi)用戶訪問受到控制，允許主機(jī)在授權(quán)的范圍內(nèi)通過建立的VPN隧道進(jìn)行交互訪問。而WebVPN則是通過代理服務(wù)的方式，運(yùn)用URL改寫技術(shù)，將用戶請求指向代理服務(wù)器。相應(yīng)的代理服務(wù)器獲取真實(shí)的訪問地址頁面后，再發(fā)送給用戶[2]。具體功能對比如表2所示。

表2 校外訪問技術(shù)對比

相比較而言PPTP/L2TP/IPSec服務(wù)存在用戶使用難度大、易受運(yùn)營商封鎖、兼容性適配性差、運(yùn)維難度大、系統(tǒng)資源消耗高 等問題[1、2]。傳統(tǒng) VPN接入存在的不足大致可以總結(jié)為：（1）PPTP VPN 雖然適用性廣，但是其使用全明文的傳輸方式，存在中間鏈路可隨時(shí)被竊取信息的風(fēng)險(xiǎn)，安全性教低，現(xiàn)處在產(chǎn)品生命的末期。（2）Ipsec VPN 擁有很高的安全性，但是對用戶要求較高，需要配置客戶端。（3）SSL VPN 支持無客戶端連接，但是需要在瀏覽器上安裝相應(yīng)的插件，插件對于 IE、Chronme、Firefox 等不同瀏覽器的兼容情況各不相同，影響用戶體驗(yàn)。（4）終端要求高。傳統(tǒng) VPN 對操作系統(tǒng)兼容性有要求，一般僅支持 windows 系統(tǒng)，對蘋果 Mac 系統(tǒng)的兼容性不佳。（5） 鏈路影響大。傳統(tǒng) VPN 有時(shí)會(huì)遇到連接不穩(wěn)定的情況，主要原因?yàn)殒溌穯栴}，或 VPN 業(yè)務(wù)端口被封鎖。（6） 移動(dòng)端體驗(yàn)不佳，雖然傳統(tǒng) VPN 也提供了手機(jī) App 供使用者在移動(dòng)端使用，但是客戶端在各個(gè)品牌手機(jī)上兼容性各不相同，同時(shí)由于某些原因這類App存在被應(yīng)用商店下架的風(fēng)險(xiǎn)，無法獲取。基于以上各種原因，需要有一種便捷的遠(yuǎn)程安全訪問內(nèi)網(wǎng)解決方案。多數(shù)高校目前主要使用SSLVPN和WebVPN兩種相結(jié)合的方式提供服務(wù)。針對以Web頁面需求為主的用戶，推薦使用WebVPN服務(wù)，這種方式可以讓用戶免去下載客戶端、配置VPN參數(shù)的環(huán)節(jié)，門檻較低，用戶使用體驗(yàn)較好；對于有一定計(jì)算機(jī)水平能力的客戶，且在日常工作學(xué)習(xí)中有使用SSH、TELNET、遠(yuǎn)程控制等應(yīng)用需求的用戶推薦使用SSLVPN服務(wù)，SSLVPN服務(wù)可以建立起網(wǎng)絡(luò)層面的交互，用戶本機(jī)內(nèi)的Web、應(yīng)用程序均可通過隧道進(jìn)行交互，應(yīng)用更加廣泛。

2 WebVPN的易用性

校外訪問系統(tǒng)面向的全校師生開放，計(jì)算機(jī)水平參差不齊，過高的使用門檻將極大的降低用戶的接受度，也給前臺(tái)帶來大量的咨詢工作。而過于簡單的系統(tǒng)設(shè)計(jì)又會(huì)給內(nèi)網(wǎng)帶來安全性問題。因此兼顧安全和易用的WebVPN就成了很好的一個(gè)選擇。

相比傳統(tǒng)校外訪問控制系統(tǒng)需要用戶下載客戶端或者插件，并需要在客戶端內(nèi)配置訪問地址，訪問協(xié)議等參數(shù)，WebVPN實(shí)現(xiàn)即開即用。普通用戶在使用WebVPN服務(wù)時(shí)，只需要在瀏覽器中打開WebVPN頁面，進(jìn)行登錄授權(quán)后即可訪問內(nèi)部系統(tǒng)。WebVPN采用標(biāo)準(zhǔn)的HTTP協(xié)議，能兼容所有標(biāo)準(zhǔn)HTTP的終端，支持包括Windows、Linux、Ios、Android等多種操作系統(tǒng)，提供統(tǒng)一標(biāo)準(zhǔn)的訪問入口和操作界面，將配置工作上移至服務(wù)器側(cè),實(shí)現(xiàn)用戶側(cè)的“零配置”。從用戶使用感受角度，WebVPN更接近于打開一個(gè)Web網(wǎng)站形式的資源，通過服務(wù)側(cè)的配置，提供相應(yīng)的訪問權(quán)限。

3 WebVPN的易維護(hù)性

區(qū)別傳統(tǒng)VPN設(shè)備需要串聯(lián)進(jìn)現(xiàn)有網(wǎng)絡(luò)的部署方式，WebVPN可采用旁路模式部署，無需對現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造，且大部分廠商支持虛擬機(jī)模式部署，不需要占用額外的機(jī)房空間，通過現(xiàn)有的虛擬機(jī)就可實(shí)現(xiàn)遠(yuǎn)程部署，施工周期進(jìn)步一縮短。部署完成后的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 WebVPN平臺(tái)拓?fù)?/p>

WebVPN提供便捷的資源配置及權(quán)限管理能力。傳統(tǒng)的校外訪問技術(shù)大部分工作在網(wǎng)絡(luò)層，通過下發(fā)IP地址并對下發(fā)的地址進(jìn)行路由控制實(shí)現(xiàn)校內(nèi)訪問。在以往的工作經(jīng)驗(yàn)中，該種模式主要存在以下3點(diǎn)缺陷：校內(nèi)的內(nèi)網(wǎng)地址與用戶所在局域網(wǎng)地址沖突、默認(rèn)路由走校內(nèi)存在接口流量過高風(fēng)險(xiǎn)、圖書館數(shù)據(jù)庫資源配置繁瑣等問題。

WebVPN產(chǎn)品則正好彌補(bǔ)了以上3點(diǎn)不足。首先WebVPN工作在應(yīng)用層，不向終端下發(fā)地址及路由表，避免了地址沖突的問題。用戶在登錄WebVPN過程中，平臺(tái)并沒有下發(fā)內(nèi)網(wǎng)地址到用戶側(cè)，僅僅是將用戶端與WebVPN服務(wù)端建立了一個(gè)http的鏈接，對于客戶端原有的三層網(wǎng)絡(luò)沒有任何影響。因此用戶可以實(shí)現(xiàn)本地內(nèi)網(wǎng)和遠(yuǎn)程內(nèi)網(wǎng)的并行訪問，互不影響。

其次WebVPN僅對在平臺(tái)內(nèi)授權(quán)的資源通過平臺(tái)訪問，公網(wǎng)資源仍通過用戶原有的網(wǎng)絡(luò)通道分發(fā)，實(shí)現(xiàn)校內(nèi)校外兩張網(wǎng)并行的模式，避免了非校內(nèi)流量占用學(xué)校帶寬資源的問題。同時(shí)在WebVPN后臺(tái)可以設(shè)置黑名單模式，將優(yōu)酷、騰訊視頻等大流量非教學(xué)類網(wǎng)站禁止通過內(nèi)網(wǎng)去訪問。在多用戶、大流量并發(fā)的校外訪問場景下，采用WebVPN方案能更高效地利用學(xué)校的帶寬資源。Webvpn提供Web頁面的訪問模式，區(qū)別與傳統(tǒng)的VPN，在操作系統(tǒng)上控制內(nèi)網(wǎng)訪問數(shù)據(jù)流的分發(fā)，WebVPN在頁面端提供一種類似于嵌入式應(yīng)用的操作體驗(yàn)，用戶在該頁面下的操作通過服務(wù)器進(jìn)行代理轉(zhuǎn)發(fā)，計(jì)算機(jī)內(nèi)的其他應(yīng)用程序、操作系統(tǒng)流量等都不在代理范圍內(nèi)。

第三點(diǎn)，在圖書館數(shù)據(jù)庫的訪問問題上，傳統(tǒng)VPN需要配置域名地址，包括頁面調(diào)用的域名地址也需同步配置，容易出現(xiàn)漏配，錯(cuò)配等現(xiàn)象。WebVPN基于URL改寫技術(shù)的方案，不需要再進(jìn)行域名配置即可訪問。所有經(jīng)URL改寫頁面跳轉(zhuǎn)的鏈接全部指向WebVPN服務(wù)器側(cè)，再由服務(wù)器發(fā)起對真實(shí)目的地址的訪問，實(shí)現(xiàn)了訪問地址校內(nèi)外IP轉(zhuǎn)換。同時(shí)，由于地址改寫及應(yīng)用層訪問的特性，WebVPN也有效的避免了數(shù)據(jù)庫惡意下載的問題，用戶無法通過批量下載軟件，或者爬蟲等工具對數(shù)據(jù)庫資源進(jìn)行非法獲得。用戶只被允許在規(guī)定的http環(huán)境下，通過點(diǎn)擊獲取，極大的規(guī)避了惡意下載的風(fēng)險(xiǎn)。

4 WebVPN的安全性

WebVPN服務(wù)器部署在防火墻旁路，在外網(wǎng)用戶看來相當(dāng)于一臺(tái)內(nèi)網(wǎng)服務(wù)器。當(dāng)外網(wǎng)用戶端嘗試訪問內(nèi)容服務(wù)時(shí)，其連接會(huì)被WebVPN解析，然后通過防火墻中的特定通道將用戶端的請求發(fā)送到內(nèi)網(wǎng)服務(wù)器。內(nèi)網(wǎng)服務(wù)器再通過該通道將結(jié)果傳送回WebVPN服務(wù)器，WebVPN服務(wù)器再將結(jié)果發(fā)送回用戶端。如果內(nèi)容服務(wù)器返回錯(cuò)誤消息，WebVPN服務(wù)器會(huì)截取該消息并更改標(biāo)頭中列出的地址，然后再將消息發(fā)送給用戶端。這樣可以防止用戶端取得內(nèi)網(wǎng)服務(wù)器的重定向地址。這樣相當(dāng)于WebVPN服務(wù)器在內(nèi)網(wǎng)服務(wù)器與可能遭到的惡意攻擊之間提供了一道屏障，向內(nèi)網(wǎng)服務(wù)器發(fā)起的攻擊行為會(huì)先指向WebVPN服務(wù)器，攻擊者充其量僅能獲取一個(gè)攻擊事件所涉及的數(shù)據(jù)，而不能存取整個(gè)數(shù)據(jù)庫，保證了內(nèi)網(wǎng)服務(wù)器的安全。

WebVPN賬號(hào)系統(tǒng)支持對接CAS、Radius、LDAP等多種認(rèn)證接入方式，可以滿足目前各高校的認(rèn)證系統(tǒng)，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，支持接入用戶分組授權(quán)，支持權(quán)限自定義。對安全較高的應(yīng)用場景，提供多因子認(rèn)證，確保網(wǎng)絡(luò)的安全性。

WebVPN基于URL改寫的鏈接方式，一定程度上可以保證了內(nèi)網(wǎng)的安全性。通過改寫鏈接，避免外部終端與內(nèi)部終端的直接通信，減少了病毒在內(nèi)網(wǎng)傳播的風(fēng)險(xiǎn)。同時(shí)WebVPN不支持 Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等應(yīng)用，降低了服務(wù)器受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

5 結(jié)語

WebVPN作為校外訪問控制系統(tǒng)的一種選擇，因其部署便捷、操作簡單的特性受到各大高校的青睞。但因其基于HTTP架構(gòu)，無法提供如SSH、TELNET、遠(yuǎn)程桌面、APP接入等服務(wù)，在應(yīng)用上存在一定的局限性。現(xiàn)有部分廠商已實(shí)現(xiàn)了基于http頁面下的SSH、TELNET、遠(yuǎn)程桌面等應(yīng)用服務(wù)。WebVPN的能力越來越完善，功能也越來越全面。Webvpn 技術(shù)在高校中的應(yīng)用，讓廣大師生能夠安全、便捷地在校外訪問內(nèi)部圖書館數(shù)據(jù)庫資源及校內(nèi)業(yè)務(wù)系統(tǒng)，無需下載安裝客戶端程序及瀏覽器插件，擁有更好的兼容性和良好的使用體驗(yàn)。

未來，高校的信息化建設(shè)中對校外訪問控制的要求，依舊會(huì)朝著更便捷、更簡單、更安全的方向發(fā)展，最終實(shí)現(xiàn)無插件、無感知的訪問[3]。隨著校外訪問技術(shù)的革新和推進(jìn)，接入必將融合多種技術(shù)，優(yōu)化組合，滿足數(shù)字化校園的多種接入需求，具備良好的兼容性，實(shí)現(xiàn)更高的訪問速率和更精細(xì)化的業(yè)務(wù)權(quán)限管控。可以預(yù)見，在不久的將來，遠(yuǎn)程訪問技術(shù)在校園信息化中占據(jù)越來越重要的地位。