基于SSL VPN的高校教師遠程辦公系統(tǒng)設(shè)計與實現(xiàn)

曹園青 王惠惠

摘? 要：在新冠疫情防控情勢下，為了滿足高校教師“零接觸”遠程辦公和線上教學需求，設(shè)計并實現(xiàn)一種基于SSL VPN技術(shù)的高校教師遠程辦公系統(tǒng)。首先介紹幾種主流的遠程辦公技術(shù)，考慮到新冠疫情時期高校業(yè)務(wù)的特殊性，以本地高校信息化工程實踐項目為背景，在對本校教師進行遠程辦公需求抽樣調(diào)研的基礎(chǔ)上，以需求導向為出發(fā)點，對校園網(wǎng)絡(luò)安全架構(gòu)的SSL VPN進行部署配置和測試優(yōu)化。研究結(jié)果表明，該文設(shè)計的遠程辦公系統(tǒng)具有易操作性和安全性等特點。

關(guān)鍵詞：新冠疫情；遠程辦公；SSL VPN；網(wǎng)絡(luò)安全

中圖分類號：TP311? ? 文獻標識碼：A? 文章編號：2096-4706（2023）10-0010-04

Abstract： Under the situation of COVID-19 prevention and control， in order to meet the needs of college teachers for “zero contact” remote office and online teaching， a remote office system for college teachers based on SSL VPN technology is designed and implemented. First， several mainstream remote office technologies are introduced. Considering the particularity of college business during the COVID-19， the deployment， configuration， testing and optimization of SSL VPN of campus network security architecture are carried out based on the sample survey of remote office needs of teachers in our school and the demand oriented starting point with the background of the local college informatization engineering practice project. The research results show that， the remote office system designed in this paper is easy to operate and safe.

Keywords： COVID-19; remote office; SSL VPN; network security

0? 引? 言

突如其來的新冠疫情對各行各業(yè)都產(chǎn)生了影響，高校也受到了直接沖擊。高校校園網(wǎng)是一個大型復雜局域網(wǎng)絡(luò)，由大量的網(wǎng)絡(luò)設(shè)備（交換機、路由器、HUB）、服務(wù)器和客戶端構(gòu)成，是校園網(wǎng)運行的基礎(chǔ)支撐，智慧化校園平臺、態(tài)勢感知中心、學生管理系統(tǒng)、教務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)、國有資產(chǎn)管理系統(tǒng)和教師辦公電腦都可以通過校園網(wǎng)提供校園網(wǎng)信息化服務(wù)。然而，新冠疫情期間，教師、學生和系統(tǒng)管理員的學習、辦公地點往往在家，要連接內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，訪問內(nèi)網(wǎng)的教學科研資源較為困難，需要依賴于計算機遠程辦公技術(shù)來實現(xiàn)[1]。

新形勢下對高校培養(yǎng)人才、發(fā)展科學、服務(wù)社會三大職能的支撐工作迅速適應(yīng)線上教學和遠程辦公的疫情防控需要提出了新要求。在日常的學工、教務(wù)、財務(wù)和科研工作中，往往需要頻繁的面對面接觸，這就為疫情防控背景下高校如何利用新技術(shù)、新方案完成服務(wù)持續(xù)保障提出了新的挑戰(zhàn)。因此，在新冠疫情防控背景下研究高校當前和未來遠程辦公方案及實現(xiàn)方式具有一定的理論及現(xiàn)實意義。

1? 遠程辦公技術(shù)

要實現(xiàn)遠程辦公，首先要通過互聯(lián)網(wǎng)控制終端計算機，或者訪問終端計算機的特定服務(wù)端口。隨著遠程連接技術(shù)的不斷發(fā)展，現(xiàn)在主流有以下幾種連接技術(shù)[2-5]。

1.1? RPC/SSH連接技術(shù)

這種技術(shù)較為方便，不同的用戶可以訪問及使用計算機的不同資源和應(yīng)用程序，但不適用于高校遠程辦公，因為需要為每位教師的辦公電腦做公網(wǎng)地址映射，把所有辦公電腦暴露在公共網(wǎng)絡(luò)，安全性極差，此外，辦公電腦的持續(xù)開機也會造成極大的資源浪費和安全隱患[6]。

1.2? 應(yīng)用軟件技術(shù)

現(xiàn)在有很多專業(yè)軟件或者內(nèi)嵌遠程協(xié)助功能的軟件，通過在需要開啟遠程的計算機和本地計算機上安裝相同的軟件來實現(xiàn)遠程連接，如向日葵、Teamviewer、RemoteCall、VNC、QQ等，安裝好客戶端和服務(wù)端后，可以輸入訪問地址和密碼進行訪問控制[7]。但這種方式容易使黑客通過系統(tǒng)漏洞給辦公電腦安裝木馬程序，等木馬被激活后就會自動在后臺運行，進而破壞或是竊取信息。

1.3? 辦公應(yīng)用平臺技術(shù)

這種技術(shù)需要在高校內(nèi)網(wǎng)環(huán)境中搭建辦公應(yīng)用平臺，如建立服務(wù)器集群，利用服務(wù)器操作系統(tǒng)提供的Web、ftp等其他應(yīng)用服務(wù)進行安裝，教師們就可以通過輸入平臺Web地址實現(xiàn)遠程辦公。這種方法的缺點就是經(jīng)費投入特別大，必須購買平臺軟硬件，而且由于近幾年高校信息系統(tǒng)的多樣化和復雜化，選擇一款兼容所有系統(tǒng)的平臺并非易事。

但上述已有的遠程辦公技術(shù)解決方案，并不能完全滿足新冠疫情期間高校的遠程辦公需求，因為存在兩方面的特殊性：

1）時期的特殊性。不同于寒暑假或日常的遠程辦公模式，疫情期間的遠程辦公，更具有公共突發(fā)性群體事件的不可預測性、突發(fā)性等特點，所以需要選擇一條高可靠性、強安全性的技術(shù)路線才行。

2）行業(yè)的特殊性。不同于其他企事業(yè)單位，高校具有三大職能，隨著信息化建設(shè)越來越受重視，高校建設(shè)了各類信息化項目，但這些校園網(wǎng)內(nèi)的管理應(yīng)用系統(tǒng)只能向校園網(wǎng)內(nèi)的用戶開放，屬于典型的內(nèi)部資源只供內(nèi)部人員訪問。疫情期間，高校教師需要遠程辦公和居家備課做科研，這就存在因工作地點的變化而導致網(wǎng)內(nèi)資源無法使用的問題，所以需要選擇一條高鏈路質(zhì)量保證、強私密性的技術(shù)路線才行。

綜合以上兩方面的特殊性，迫切需要設(shè)計出一種滿足新冠疫情防控期間高校教師遠程辦公需求的解決方案，而SSL VPN技術(shù)可以很好地滿足高校教師的遠程辦公需求[8]，完成內(nèi)網(wǎng)資源的私密連接和隧道加密。

2? 基于SSL VPN技術(shù)的高校教師遠程辦公系統(tǒng)設(shè)計

2.1? 需求調(diào)研

針對疫情期間遠程辦公需求，通過問卷調(diào)查的形式對高校業(yè)務(wù)部門的行政人員和教學部門的專任教師進行調(diào)研，共31個部門，其中，教學部門12個，行政部門19個，考慮到最終結(jié)果的客觀性，每個部門抽科級以下一線業(yè)務(wù)教職工7人。遠程辦公系統(tǒng)的業(yè)務(wù)系統(tǒng)需求調(diào)研統(tǒng)計結(jié)果如圖1所示，遠程辦公系統(tǒng)性能需求調(diào)研統(tǒng)計結(jié)果如圖2所示。

由圖1可以看出，由于行政人員涉及工資核算和財務(wù)報賬，所以對于財務(wù)系統(tǒng)的遠程需求要大于專任教師；此外，專任教師通過教務(wù)系統(tǒng)發(fā)布教學任務(wù)、師德師風與同行互評、錄入課程信息與學生成績，因此對教務(wù)系統(tǒng)的需求遠大于行政人員，但不乏個別行政人員也承擔代課任務(wù)；學校的教科研課題和論文的輸出主要集中在教學部門，行政部門的科研需求往往在科技處和教務(wù)處；學工系統(tǒng)的遠程辦公由行政部門的學生管理中心和教學部門的學工科來完成，而后者的人數(shù)要大于前者。

由圖2可知，專任教師的遠程辦公持續(xù)時間和頻次要多于行政人員，這是由疫情期間遠程教學的持續(xù)規(guī)律性決定的，而行政人員的遠程辦公具有間歇性和不規(guī)律性的特點。由于涉及用戶體驗，無論是專任教師還是行政人員，對方訪問延遲的要求都較高；在使用系統(tǒng)方面，行政人員比專任教師更具多樣性。

通過需求調(diào)研結(jié)果不難看出，對于行政人員來說，更傾向選擇訪問頻次不高、可遠程業(yè)務(wù)系統(tǒng)數(shù)較多、訪問延遲低、遠程時間短的遠程辦公方案，而專任教師更愿意選擇訪問時間規(guī)律性較強、支持系統(tǒng)數(shù)較少、訪問持續(xù)時間較長、訪問延遲較低的遠程辦公方案。

2.2? 設(shè)計思路

構(gòu)建SSL VPN網(wǎng)絡(luò)，若僅需基礎(chǔ)功能，在校園網(wǎng)部署一臺防火墻即能滿足需求。但由于疫情期間對遠程辦公的特殊性要求，以及專任教師與行政人員的差異化需求，除了防火墻外，還需要部署引入SSL VPN技術(shù)的硬件設(shè)備，經(jīng)過設(shè)備選型，選用型號為RG-WALL 1600-VE，除了具有SSL VPN功能外，還需要向運營商申請數(shù)個公共網(wǎng)絡(luò)IP地址，這樣在互聯(lián)網(wǎng)的任意一個網(wǎng)絡(luò)位置均能通過公網(wǎng)地址訪問內(nèi)網(wǎng)資源，帶寬最少1 Gbit/s，上行帶寬與下行帶寬相互對稱。

在軟件配置中，需要利用NAPT技術(shù)在公網(wǎng)地址池中抽取一個IP，出于網(wǎng)絡(luò)安全方面的考慮，這個地址必須通過學校行政管理部門的審批，防止地址分配過程中出現(xiàn)IP沖突。此外，在前期規(guī)劃準備階段，還需要依據(jù)業(yè)務(wù)系統(tǒng)和部門把內(nèi)網(wǎng)物理網(wǎng)段進行劃分，VPN的虛擬地址池也要分配出多個地址段與物理網(wǎng)段一一映射。

2.3? 網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)是遠程辦公系統(tǒng)的基礎(chǔ)支撐，決定著系統(tǒng)運行的穩(wěn)定性和可靠性。依據(jù)校園網(wǎng)絡(luò)架構(gòu)的整體需求，將內(nèi)部網(wǎng)絡(luò)劃分為四個網(wǎng)段，網(wǎng)段信息如表1所示。

從表1中可以看出，分配給教師外網(wǎng)用戶的虛擬網(wǎng)絡(luò)地址段為192.168.30.0/24，在配置SSL VPN時分配的虛擬子網(wǎng)不能與任何eth0口上的主網(wǎng)段相同，否則會有沖突，此外，必須為SSL VPN的eth0口分配一個獨立的網(wǎng)段，用于傳輸管理報文。

遠程辦公系統(tǒng)架構(gòu)如圖3所示，圖中虛線代表外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的來回數(shù)據(jù)走向，由網(wǎng)絡(luò)架構(gòu)圖不難看出，為了隔離交換網(wǎng)廣播，將教職工（普通用戶）、服務(wù)器、SSL VPN辦公系統(tǒng)、核心設(shè)備均劃分為不同網(wǎng)段，其中，核心網(wǎng)絡(luò)層由出口路由器、網(wǎng)絡(luò)安全網(wǎng)關(guān)及核心交換機組成，且管理地址位于同一網(wǎng)段。當內(nèi)網(wǎng)用戶訪問業(yè)務(wù)服務(wù)器資源時，只需三層設(shè)備進行網(wǎng)絡(luò)層的路由轉(zhuǎn)發(fā)。當位于公網(wǎng)的遠程辦公教師訪問學校內(nèi)網(wǎng)資源時，遠程辦公系統(tǒng)通過虛擬專用網(wǎng)絡(luò)技術(shù)將數(shù)據(jù)進行隧道加密，并轉(zhuǎn)發(fā)至出口路由的上聯(lián)端口，出口路由通過查詢距離向量路由表，將報文進行協(xié)議轉(zhuǎn)換并轉(zhuǎn)發(fā)至內(nèi)網(wǎng)上聯(lián)端口，直至服務(wù)器端傳輸過程結(jié)束。

2.4? SSL VPN配置

遠程辦公系統(tǒng)的核心是SSL VPN設(shè)備，配置過程分為以下幾個步驟：

步驟1：在旁掛拓撲的基礎(chǔ)上，將VPN設(shè)備的Eth0端口連接至核心交換機的以太網(wǎng)端口，將MGN端口連接至核心機房匯聚交換機的業(yè)務(wù)端口，用于遠程運維管理。

步驟2：配置出口路由器。出口路由器在遠程辦公系統(tǒng)中扮演網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換器和上下行數(shù)據(jù)流導向器的雙重角色，通常需要配置動態(tài)地址轉(zhuǎn)換協(xié)議和路由協(xié)議：

1）基本的上網(wǎng)配置，如內(nèi)外網(wǎng)出口IP地址池配置、端口速率和雙工模式配置等。

2）NAPT端口映射配置，其中，與SSL VPN相關(guān)的端口包括TCP：443、TCP/UDP：888、VPN的管理端口UDP 49、TCP 666。

3）配置去往內(nèi)網(wǎng)網(wǎng)段的靜態(tài)路由，目的網(wǎng)段192.168.0.0，掩碼255.255.0.0，下一跳192.168.1.2。

步驟3：配置核心交換機。由于內(nèi)網(wǎng)教師客戶端PC數(shù)量比較龐大，為了隔離廣播風暴，避免多重幀復制和MAC地址表不穩(wěn)定等網(wǎng)絡(luò)安全隱患，需要在核心交換機上配置虛擬局域網(wǎng)（VLAN）技術(shù)和缺省路由：

1）劃分VLAN 10、20、30，配置VLAN對應(yīng)的網(wǎng)關(guān)地址、上連口地址，配置默認路由，下一跳指向出口路由器的內(nèi)網(wǎng)接口。

2）把Gi0/3接口劃分到VLAN 30，與RG-WALL 1600-VE互連。

3）配置去往外網(wǎng)的默認路由。

步驟4：配置RG-WALL 1600-VE。

遠程辦公系統(tǒng)的核心設(shè)備是RG-WALL 1600-VE，為了實現(xiàn)遠程管理、虛擬辦公組劃分和物理虛擬網(wǎng)段映射等功能，需要做如下配置：

1）配置eth1接口IP：192.168.30.2/24，外網(wǎng)網(wǎng)關(guān)：192.168.30.1/24。

2）定義內(nèi)網(wǎng)用戶的網(wǎng)段和外網(wǎng)VPN用戶的網(wǎng)段，提供給接下來的訪問規(guī)則調(diào)用。

3）配置訪問規(guī)則，外網(wǎng)用戶訪問內(nèi)網(wǎng)資源的數(shù)據(jù)，源地址轉(zhuǎn)換為eth1接口的IP。

配置截圖如圖4所示。

需要強調(diào)的是，外網(wǎng)用戶訪問內(nèi)網(wǎng)的數(shù)據(jù)，經(jīng)路由器轉(zhuǎn)發(fā)給1600-VE，然后1600-VE對數(shù)據(jù)進行NAT轉(zhuǎn)換，把外網(wǎng)用戶訪問內(nèi)網(wǎng)資源數(shù)據(jù)的源地址轉(zhuǎn)換為eth0接口的IP，目標地址不變，再轉(zhuǎn)發(fā)給核心交換機，核心交換機轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。服務(wù)器接收到訪問數(shù)據(jù)并進行回應(yīng)的時候，目標地址是1600-VE的接口IP，轉(zhuǎn)發(fā)給核心交換機，核心交換機再轉(zhuǎn)發(fā)給1600-VE。

2.5? 遠程辦公系統(tǒng)訪問

在完成出口網(wǎng)關(guān)、核心交換機和VPN設(shè)備的配置后，即可進行遠程辦公系統(tǒng)的訪問，用戶訪問流程如下：

1）在客戶端PC的瀏覽器地址欄中輸入SSL VPN的公網(wǎng)IP地址加業(yè)務(wù)端口號，如http：//202.78.96.32：6586，此時，瀏覽器會彈出下載VPN客戶端的提示。

2）按提示內(nèi)容下載并安裝VPN客戶端，而后在Windows操作系統(tǒng)桌面出現(xiàn)VPN的快捷方式，雙擊該快捷方式，彈出登錄界面如圖5所示，選擇其中一種登錄方式，如用戶名口令，輸入提前申請的遠程辦公賬號和密碼，點擊“登錄”即可，此時，在桌面右下角會出現(xiàn)一個藍色的圖標，表示登錄正常，若圖標顏色為紅色，則表示VPN工作異常，需聯(lián)系IT部門進行故障報修。

3）遠程辦公系統(tǒng)用戶登錄成功后，即可像在學校一樣無感地訪問各種業(yè)務(wù)系統(tǒng)和門戶，無須進行其他配置。出于網(wǎng)絡(luò)安全方面的考慮，在VPN設(shè)備上開啟用戶名與MAC地址綁定功能，當用戶首次在一臺電腦上登錄后，在其他電腦上即無法使用。

3? 遠程辦公系統(tǒng)應(yīng)用

遠程辦公系統(tǒng)經(jīng)過部署、配置、試運行和優(yōu)化完善這四個階段，于2020年元旦正式上線，在新冠疫情期間（2019—2020學年第2學期）為全校教職員工的隔離辦公做出了重要的貢獻：

1）教務(wù)處的工作人員能夠在家通過遠程辦公系統(tǒng)訪問教務(wù)系統(tǒng)，發(fā)布與統(tǒng)籌教學任務(wù)，安排課程計劃、教學教室，錄入學生成績，打印成績單；批復與審核教學部門的人才培養(yǎng)方案，核對實習實訓計劃，并針對實習成果做核查、總結(jié)與評估；管理與維護學籍系統(tǒng)，做好學生入學、選課、考試、補考和重修等工作。

2）計財處的工作人員可通過遠程辦公系統(tǒng)登錄財務(wù)系統(tǒng)，保障了疫情期間教師工資的正常發(fā)放。

3）專任教師可通過遠程辦公系統(tǒng)登錄學校教學平臺，上傳課件，錄制微課，發(fā)布作業(yè)，考核課程，很好地完成了疫情期間的遠程教學任務(wù)。

4）IT部門系統(tǒng)管理員可通過VPN遠程管理學校的各大信息系統(tǒng)、網(wǎng)絡(luò)安全系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)備，進行網(wǎng)絡(luò)流量監(jiān)控、網(wǎng)絡(luò)負載均衡配置、網(wǎng)絡(luò)安全策略實施和網(wǎng)絡(luò)故障排查，在疫情期間為教職工提供了網(wǎng)絡(luò)服務(wù)支持與保障。

4? 結(jié)? 論

通過部署RG-WALL 1600-VE的SSL VPN解決方案，很好地解決了疫情期間高校教師的遠程辦公問題，便于線上教學或居家辦公的教師訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)中的優(yōu)質(zhì)教研資源。與此同時，也保證了數(shù)據(jù)安全和系統(tǒng)安全，在有效降低高校遠程辦公成本的前提下，為教師提供了端到端的安全信息傳輸，推動了高校遠程辦公技術(shù)的發(fā)展與進步，具有一定的借鑒意義。

參考文獻：

[1] 姚楨，胡智.新冠病毒肺炎疫情對中國計量科學研究院遠程辦公的啟示 [J].中國計量，2021（7）：36-38.

[2] 林凱.高校遠程辦公應(yīng)用整體架構(gòu)初探 [J].福建電腦，2012，28（9）：120-121+142.

[3] 安榮革.移動OA辦公自動化系統(tǒng)在高校管理中的應(yīng)用 [J].中國管理信息化，2017，20（6）：236.

[4] 許得生.搭建SSL VPN輕松實現(xiàn)遠程辦公 [J].網(wǎng)絡(luò)安全和信息化，2021（8）：78-80.

[5] 陳偉，陳欣，張競文.遠程辦公時代網(wǎng)絡(luò)安全風險及防護探究 [J].信息與電腦：理論版，2021，33（15）：211-213.

[6] 周冰，呂昕鵬，陳興奧，等.遠程協(xié)同辦公系統(tǒng)的應(yīng)用研究 [J].電腦知識與技術(shù)，2021，17（18）：253-255.

[7] 劉邦桂.虛擬專用網(wǎng)技術(shù)在校園網(wǎng)應(yīng)用中的研究與實現(xiàn) [J].軟件工程，2020，23（11）：13-16.

[8] 汪志勇.對SSL VPN安全關(guān)鍵技術(shù)的運用 [J].無線互聯(lián)科技，2019，16（9）：21-22.

作者簡介：曹園青（1985—），男，漢族，內(nèi)蒙古巴彥淖爾人，講師，碩士研究生，研究方向：計算機網(wǎng)絡(luò)、信息安全、云計算。