相关热词搜索:选型 网中 校园 VPN 外网如何进入校园网 vnp怎么用
葛 莉 陈 君 渭南师范学院 714000
【文章摘要】
随着网络技术应用的不断进步以及信息化建设在学校中的普及,校园网作为学校教育、科研、行政、管理、生活的平台,其作用越来越受到人们的关注。然而,随着校园网络规模的不断扩大及应用需求的不断增加,校园网络所存在的安全隐患也日益明显。如何保证校园网络的安全畅通,保证校园网络免受黑客入侵、病毒攻击及其他不明攻击已经成为校园网络管理的一个重要任务。虚拟专用网(Virtual Private Network,VPN ) 是平衡Internet 的适用性、安全性和价格优势的最有前途的新兴通信手段之一。它利用公共网络构建私有专用网络,通过附加的安全隧道、用户认证及访问控制等技术,实现了安全性能高、维护管理方便、适用性强的虚拟专用网络。使用VPN 实现校园一体化是一种安全、可行、适用的方案。
【关键词】
虚拟专用网络;IPSec ;SSL ;网络规划
0 引言
随着学校规模逐渐扩大及学校信息化建设的不断推进,学校的校区、师生、计算机、关键服务器都在不断增加,组建校园专用网已经成为工作的必需。相较于以往通过自建通信主干道或者租用电缆等方式组成骨干网,利用相关设备和技术构建专用网而言,通过公共网络(如Internet) 来建立自己专用网络的技术,即虚拟专用网(Virtual Private Networks,VPN)技术因其耗费低、性能高、安全性强成为了较好的选择。它可以在主校区、分校区及异地工作的校内人员间建立可信的安全连接以确保数据的安全传输,并在保证自身网络安全的同时,为公共用户提供有效的信息服务。
1 需求分析
作为学校专用网络,校园网为学校教学、科研、行政、管理、生活等提供信息交流、资源共享、数据传输的平台。与其他网络相比,校园网即是开放的,又是封闭的。它在为全校师生及其他用户提供信息交流平台的同时,校园网内的某些资源如学生的学籍信息、成绩记载、资产情况等是学校专有的,不允许被校外用户查阅和调用。
为了实现不同校区师生及异地工作的校内人员对校内数据的安全互访和同步,实现其他用户对校园网内部分数据的访问,可以在校园网内引入VPN 技术。它不但实现了高效、稳定、低廉地利用公共通信线路提供隐蔽、安全的信息和数据传输,也使得校园网的功能得到应有的运用和放大。VPN 技术主要通过在公共网络上建立虚拟的通道来传输私有数据,并通过隧道、认证、加解密、访问控制等技术保证数据的安全传输,在降低学校用于网络建设费用的同时也提高网络的安全性。
对于地理位置不同的校区间的用户,需要实现校内私有资源的共享、信息交流和数据传送,在尽可能保证网络质量的同时也要保证网络的安全;对于在异地办公的校内用户,也需要实现安全的校内私有资源的共享、信息交流和数据传送;对于其他需要访问校园网内部数据的公共用户,需要根据他们的角色(合作办学单位、合作科研机构、公共用户等)对其开放校园网部分数据,同时也要尽可能的保证校园网内部的安全。
2 VPN 实施技术简介与比较
所谓虚拟专用网VPN(Virtual Private Network),就是建立在公用网上的、由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN 用户之间没有专用的物理连线,而是通过ISP 提供的公用网络来实现通信的,其专用性表现在VPN 之外的用户无法访问VPN 内部的网络资源,VPN 内部用户之间可以实现安全通信[1]。利用虚拟专用网的隧道技术、认证和加解密等技术,能够在不可信、不安全的网络上为两个单独实体间建立一条安全可靠的专用信道。
2.1 基于点对点隧道协议
点对点隧道协议PPTP(Point to Point Tunneling Protocol)是数据链路层网络协议。它将PPP(Point-to-Point Protocol)帧封装成IP 数据报中进行传输。PPTP 通过PPTP 控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE(Generic Routing Encapsulation)将PPP 帧封装成隧道数据。PPTP 支持:TCP/IP、IPX 和NetBEUI 协议,但它只能在微软环境下工作,一般情况下不能用于混合厂家设备的网络中的运行。
2.2 基于二层隧道协议
二层隧道协议L2TP(Layer 2 Tunneling Protocol),是在PPTP 协议和L2F 协议的基础上组合发展而来的,它对需要在IP、X.25、帧中继或者ATM 网络上传送的PPP 帧进行封装。PPTP 和L2TP 均采用PPP 协议实现数据封装,通过添加附加包头来实现数据在网络上的传输。但由于其自身能力,通常情况下和IPSec 同时使用。
2.3 IPsec
IPSec 是由IETF(因特网工程任务组)发布的一组安全IP 协议集,用于保护IP 层及上层(TCP、UDP 等)数据的安全。IPSec VPN 在两个安全网关之间建立安全通道,数据在安全网关间的专有隧道上传输,通过在IP 层对数据进行加解密、认证和完整性校验等方式,确保了数据传输的安全和隐私。
IPSec 是一种高效的点到点连接方案,但由于它在实现方式上的局限性,在应用中它也存在一些缺点:在用户主机上需要预先安装客户端软件;与NAT 技术存在冲突;不允许从公网的计算机中接入专网;不适用于动态分配IP 地址的场景;不支持除TCP/IP 协议外的其他协议,且只提供单一的认证方式。因此IPSec VPN 比较适合连接固定,对访问控制要求不高的场合。
2.4 SSL
安全套接层协议层SSL(Secure Sockets Layer)是基于应用层的虚拟专用技术,通过SSL 技术和代理技术在应用程序协议(如HTTP,Telnet 和FTP 等)和TCP/IP 协议之间进行数据交换,为TCP/IP 连接提供数据加密、服务器认证以及可选的用户认证。
由于用户不需要独立安装客户端软件,SSL 无关网络层所以在添加用户或更改用户信息方面比较方便,且可以提供精细的访问控制能力,SSL 成为VPN 中远程访问的最佳方案。但由于其直接使用Web 浏览器作为客户端软件,只有通过浏览器的应用程序才可以受到保护,且黑客可以通过浏览器的cookie 或键盘输入监控软件来破解用户名和密码,使得在安全性方面SSL 的性能不如IPSec。
2.5 MPLS
多协议标签交换MPLS(multi-protocol label switching)用于快速有效的数据包交换和路由,它通过部分省略分析IP 报文头节省处理时间,并支持多种网络协议。MPLS 具有良好的扩展性、实时性,也更好地体现了网络质量。但是由于其硬件设备要布置到最终用户,成本较高,且目前尚不能实现跨运营商的网络互连,所以目前仅应用于对服务质量要求较高的高端用户。
3 校园网解决方案
3.1 校区间网络一体化解决方案
在总校区和分校区之间,为了实现异地办公,需要考虑:
(1)实施成本。由于学校资源配置及使用情况,必须要权衡成本这一因素。
(2)安全性。由于校区间是利用公共网络资源进行数据交换,必须保证数据的安全性和用户的合法性;
(3)稳定性。由于诸多的校园信息系统都运行在VPN 网络之上,该网络必须保持畅通,不能经常性地中断网络以导致许多应用中断。
(4)速度。受到信息、用户等的制约, 网络速度也是一个重要因素。
(5)易于管理维护。受到地理因素的制约,对VPN 的管理维护应该是简洁高效的。
(6)可扩展性。随着学校的不断扩大, 校园网面临用户增加,服务增加等挑战, 需要在方案实施时规划好远景。
在校园网的总校区和分校区之间,可通过租用第三方线路来实现信息互通。这
样做的优点是校园资源能够进行统一管理,实施成本低廉,不需要投资更多的人力进行管理维护,在确保信息实时互通的同时也能保证信息的安全性和私有性。
但租用第三方线路也存在着一些隐患,首先,总校区的接入互联网设备容量和接入互联网的带宽必须要满足所有校区用户需求,且要根据需要对各校区用户数量进行合理的配置,不利于大规模扩展。其次,这种方案本身并没有用户认证和授权管理,为了满足保密性和安全性,管理人员需要根据自身情况添加认证方式和权限管理,大大增加了成本。并且,当第三方需要立即收回线路时,总校区和分校区之间的网络也就随之被中断。
通过对VPN 各项技术优缺点的分析可以看出,IPSec VPN 是实现校区间一体化的最佳选择。IPSec 提供了三种结构:主机—主机结构,即客户端与服务器间的连接都是加密的;主机—网关,即整个连接除网关和远程服务器之间的那段外都是加密的;网关—网关,即只有两个网关之间的连接是加密的。
在校园网中,可通过采用网关—网关的结构,IPSec 在网关之间建立一个虚拟的安全隧道,通过对其上的数据加解密、认证等方式保障了传输数据的安全,实现了校区间用户的无差异化。同时,IPSec 支持简单的用户认证,校园网用户可以通过安装客户端软件来完成简单的认证过程。
3.2 远程对校园网的访问
随着学校发展和网络普及,越来越多的教师,学生需要在校园网外访问校内资源,这就需要在保证校园网安全的同时向这些校内用户开放相应规定的校园网内私有资源。同时,高校的一些合作办学单位、合作研究机构等也需要访问校园网内的部门资源,一些希望了解更多学校信息的公共用户也需要访问校园网内的部分资源,这些不同程度的需求就给校园网的管理带来了一个新的问题——如何为不同角色的用户开放不同程度的权限?不同级别的权限只能访问相应规定的校园网内私有资源,对超越权限的访问请求服务器应该拒绝。
鉴于IPSec VPN 的应用局限性,SSL VPN 成为远程接入的最佳选择。SSL VPN 在保证远程接入安全的同时,也提供了高细粒度的访问控制。并且通过一定的身份验证方式,SSL VPN 不但可以控制访问角色的权限,也可以对访问人员的访问和操作进行数字签名,提供了数据的不可抵赖性,进而增强了校园网数据的安全。网络管理员可以通过对用户角色的划分,对不同的角色授予不同的访问权限,并且对相应权限的用户配置其可以访问的资源集合来管理校园网的用户。
通过结合VPN 的IPSec 和SSL 技术, 不但解决了校园网的安全互通问题,也统一了数据和用户的管理、节省了开支和维护费用、提高了网络的服务质量。
4 VPN 应用的未来展望
VPN 技术通过其提供远程访问、建立安全连接、提供用户访问权限管理等,实现了校园网的资源共享、一体化管理,在减少网络投入成本的同时也降低了网络的管理维护成本,其良好的扩展性使其能够适用于未来高校规模不断扩大的局面。随着VPN 技术、应用和产品的不断成熟, 相信在将来会为用户提供更高性能、更强功能的解决方案。
【参考文献】
[1] 徐家臻.基于IPSec 与基于SSL 的VPN 的比较与分析[J].计算机工程与设计,2004,25(4) :586 ~ 588
[2] 王达, 虚拟专用网(VPN)精解[M], 北京: 清华大学出版社,2004.
[3]Matin W Murhammer a1. 虚拟专用网络技木[M]. 清华大学出版社, 2000.
[4] 姜瑜. 基于校园网的VPN 技术研究[J]. 网络安全技术与应用,2005(7):40-42.
[5] 戴宗坤, 唐三平著.VPN 与网络安全[M]. 北京: 电子工业出版社,2002.
[6]StallingsW. 虚拟专用网的创建与实现[M]. 北京海洋出版社,2002.
[7] 彭振宇,基于SSL 的虚拟专用网技术分析,网络通讯与安全,2007