分級(jí)控制的VPN安全接入研究

洪新華

浙江師范大學(xué)信息化辦公室 浙江 321004

0 引言

VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿越安全威脅無時(shí)不在的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。校園網(wǎng) VPN 是對(duì)校園內(nèi)網(wǎng)的擴(kuò)展，通過它可以實(shí)現(xiàn)用戶在任何時(shí)候、任何地點(diǎn)，與校園網(wǎng)建立建立可信的安全連接，訪問校園數(shù)字資源，并保證數(shù)據(jù)的安全傳輸。但是在公用網(wǎng)絡(luò)上安全威脅無時(shí)不在，且呈現(xiàn)快速增長態(tài)勢，攻擊、掃描、入侵、攻擊、蠕蟲病毒攻擊等等，而VPN作為公用網(wǎng)絡(luò)進(jìn)入校園網(wǎng)的一扇門，其安全尤為重要。在向師生提供 VPN訪問校園網(wǎng)資源服務(wù)的同時(shí)，也要防范各類攻擊通過VPN通道向校園內(nèi)網(wǎng)滲透，保護(hù)好內(nèi)網(wǎng)安全。

1 VPN技術(shù)與安全威脅

隨著信息技術(shù)的發(fā)展，IPSec VPN、SSL VPN、MPLS VPN等VPN技術(shù)已經(jīng)投入實(shí)際進(jìn)行應(yīng)用，接入方式有內(nèi)部接入、訪問接入、外部接入等。這三種 VPN技術(shù)各有所長、各有特色，比如IPSec VPN一般需要客戶端，而SSL VPN可不用客戶端。三種接入方式也各有所異。校本部與分校區(qū)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)是內(nèi)部接入方式。師生或?qū)W校駐派機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)是訪問接入方式。高校之間基于資源共享通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)則是外部接入方式。其中 IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議，是為保障IP通信而提供的一系列協(xié)議族，針對(duì)數(shù)據(jù)在通過公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計(jì)了一整套隧道、加密和認(rèn)證方案。它能為我們提供共同操作與使用的、高品質(zhì)的、基于加密的安全機(jī)制，提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。而SSL是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。SSL是一種高層安全協(xié)議，建立在應(yīng)用層上，使用公鑰加密并通過SSL連接傳輸數(shù)據(jù)來工作。SSL VPN使用SSL協(xié)議和代理為終端用戶提供Http、client/server和共享的文件資源的訪問認(rèn)證和訪問安全SSL VPN傳遞用戶層的認(rèn)證，確保只有通過安全策略認(rèn)證的用戶可以訪問指定的資源。

基于訪問接入方式的 VPN應(yīng)用服務(wù)在校園的推廣，學(xué)校師生享受到了在校外訪問校園網(wǎng)內(nèi)部資源的便利，可以通過VPN訪問校內(nèi)圖書館數(shù)字資源，可以訪問校內(nèi)基于ftp共享的視頻、軟件、課件等資源，可以訪問校內(nèi)財(cái)務(wù)的、教學(xué)的、人事、科研的等管理信息系統(tǒng)。但與此同時(shí)也給校園網(wǎng)引入新的安全風(fēng)險(xiǎn)。公網(wǎng)上各種安全風(fēng)險(xiǎn)，如病毒蔓延、黑客攻擊等有了一個(gè)新的切入點(diǎn)。黑客有可能通過弱口令攻擊首先獲得一個(gè)VPN賬號(hào)，然后VPN登入校園網(wǎng)，攻擊校園網(wǎng)內(nèi)個(gè)人電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備，進(jìn)行篡改數(shù)據(jù)、獲取機(jī)密等攻擊活動(dòng)。而合法用戶電腦上的病毒則可能在合法用戶正常 VPN登錄連接到校園網(wǎng)之后，乘機(jī)向校園內(nèi)網(wǎng)蔓延，危害內(nèi)網(wǎng)。合法用戶也有可能因?yàn)E用 VPN，影響其他 VPN的正常使用。若沒有合理控制機(jī)制，公網(wǎng)上的安全威脅極有可能危害校園內(nèi)網(wǎng)，給我們帶來損失，由此引發(fā)的安全事件也變得很難追蹤和定位。通過實(shí)際應(yīng)用，本文提出一種分級(jí)控制的VPN接入解決方案。

2 分級(jí)控制的VPN接入解決方案

（1）資源分級(jí)

連接在校園內(nèi)網(wǎng)上有師生的個(gè)人電腦、服務(wù)器、網(wǎng)絡(luò)連接設(shè)備等，受到的安全威脅各不一樣。VPN接入背景下，個(gè)人電腦主要防范病毒感染，服務(wù)器則要防范病毒感染、黑客攻擊，網(wǎng)絡(luò)連接設(shè)備則主要防范黑客攻擊。服務(wù)器和網(wǎng)絡(luò)連接設(shè)備一般 7*24小時(shí)運(yùn)行，則更容易成為受害對(duì)象。運(yùn)行在校園網(wǎng)上服務(wù)器因應(yīng)用不同而呈現(xiàn)多樣性，主要有郵件系統(tǒng)、基于ftp的文件共享系、視頻點(diǎn)播系統(tǒng)、管理信息系統(tǒng)(財(cái)務(wù)的、人事的、科研的、教學(xué)的等)、圖書館數(shù)字資源、bbs系統(tǒng)、科研項(xiàng)目系統(tǒng)等。各個(gè)系統(tǒng)對(duì)安全的要求不一樣，防范的重點(diǎn)也不一樣。比如郵件系統(tǒng)與管理信息系統(tǒng)要求正常運(yùn)行，并保證數(shù)據(jù)的完整性、機(jī)密性等、正確性；而基于ftp的文件共享系于視頻點(diǎn)播系統(tǒng)要求正常運(yùn)行，主要保證數(shù)據(jù)的完整性和正確性，以及防濫用、防添加非法視頻數(shù)據(jù)；圖書館數(shù)字資源要求正常為師生提供查詢服務(wù)，主要保證數(shù)據(jù)的完整性、正確性；科研項(xiàng)目系統(tǒng)則防范數(shù)據(jù)的機(jī)密性；bbs系統(tǒng)要重點(diǎn)防范不良信息的蔓延等等。通過 VPN訪問校內(nèi)各應(yīng)用系統(tǒng)，獲取各種校內(nèi)資源，對(duì)網(wǎng)絡(luò)帶寬的資源也個(gè)不一樣，一般而言視頻點(diǎn)播及下載大文件會(huì)占用較大帶寬，易造成帶寬擁擠，影響其他用戶使用，需要進(jìn)行QoS(Quality of Service)服務(wù)質(zhì)量管理。

鑒于各資源的重要性和各系統(tǒng)對(duì)安全性的要求，將校園網(wǎng)上資源進(jìn)行分級(jí)，有不開放級(jí)、低開放級(jí)、中開放級(jí)、高開放級(jí)。不開放級(jí)別包含了路由器交換機(jī)等網(wǎng)絡(luò)設(shè)備、DNS服務(wù)器、dhcp服務(wù)器、email服務(wù)器、以及其他高安全、高機(jī)密要求的不宜開放的應(yīng)用系統(tǒng)。低開放及包含了視頻點(diǎn)播系統(tǒng)、需臨時(shí)開放的應(yīng)用系統(tǒng)(比如成績錄入系統(tǒng))等。中開放級(jí)包含了財(cái)務(wù)查詢系統(tǒng)、教學(xué)資源等可以在比較大的范圍內(nèi)開放的資源。高開放級(jí)，主要是圖書館的數(shù)字資源，可以向所有用戶開放，本身沒有安全漏洞，安全威脅小。

（2）用戶分級(jí)

訪問接入 VPN主要為在外師生、學(xué)校駐派機(jī)構(gòu)、臨時(shí)人員等提供通過 VPN通道穿越公網(wǎng)遠(yuǎn)程訪問校內(nèi)各資源。絕大部師生(包括在教師、一般行政人員、在職研究生、合作培養(yǎng)的研究生等)都需要訪問校內(nèi)圖書館數(shù)字資源，如學(xué)術(shù)期刊數(shù)據(jù)庫、萬方數(shù)據(jù)庫、天宇數(shù)據(jù)庫等；任課老師和教務(wù)管理人員需要訪問成績等教學(xué)管理系統(tǒng)進(jìn)行管理，學(xué)生僅需要查詢自己的成績；在崗教工則需要進(jìn)行工資等財(cái)務(wù)查詢，瀏覽校內(nèi)通知等；部分教工則希望觀能訪問校內(nèi)視頻點(diǎn)播系統(tǒng)(包括教學(xué)的和娛樂的)，而學(xué)生則希望訪問教學(xué)視頻點(diǎn)播系統(tǒng)；一些管理人員還希望訪問其管理的校內(nèi)服務(wù)器等等。然而VPN接入的重點(diǎn)在向師生提供遠(yuǎn)程訪問圖書館數(shù)字資源、教學(xué)資源，遠(yuǎn)程瀏覽校內(nèi)通知等。VPN系統(tǒng)有他自己性能瓶頸以及校園出口帶寬瓶頸，這些都影響對(duì)用戶的分級(jí)。結(jié)合用戶實(shí)際需要、安全需要和性能瓶頸，將用戶分為臨時(shí)級(jí)、學(xué)生級(jí)、教師級(jí)和管理級(jí)。臨時(shí)級(jí)人員具有在特定時(shí)間內(nèi)遠(yuǎn)程訪問校內(nèi)特定資源的權(quán)限。學(xué)生級(jí)用戶僅限于遠(yuǎn)程訪問校內(nèi)學(xué)習(xí)資源，查詢成績等，教師級(jí)用戶可以遠(yuǎn)程訪問校內(nèi)教學(xué)資源、瀏覽校內(nèi)通知、進(jìn)行工資等財(cái)務(wù)查詢；管理級(jí)用戶則需要遠(yuǎn)程訪問校內(nèi)網(wǎng)更多的資源，進(jìn)行教學(xué)的、科研的以及社會(huì)服務(wù)的活動(dòng)。

（3）基于分級(jí)的安全控制

針對(duì)資源分級(jí)和用戶分級(jí)，進(jìn)行有區(qū)別的控制。首先是訪問權(quán)限的控制，向各用戶按其分級(jí)發(fā)布其能訪問的校內(nèi)資源，這樣用戶登錄后只能看到各自能訪問的資源。IPSec VPN下，可以為各級(jí)用戶分發(fā)不同段的內(nèi)網(wǎng) IP，對(duì)不同段 IP進(jìn)行包轉(zhuǎn)發(fā)控制以及訪問控制，并結(jié)合用戶分級(jí)與資源匹配以實(shí)現(xiàn)用戶分級(jí)。而SSL VPN通過用戶分級(jí)與資源匹配以實(shí)現(xiàn)用戶分級(jí)訪問控制。其次是安全的控制，針對(duì)資源分級(jí)進(jìn)行區(qū)別的安全控制，在防火墻或交換機(jī)上做訪問控制，比如圖書館資源只開放http服務(wù)即80端口等，由此建立相應(yīng)資源規(guī)則，設(shè)定默認(rèn)規(guī)則所有資源不可見，資源規(guī)則優(yōu)先級(jí)高于默認(rèn)規(guī)則。針對(duì)用戶分級(jí)進(jìn)行有區(qū)別的安全控制，用戶只可見其能訪問的資源，其不可見的資源就是不能訪問的。結(jié)合分級(jí)對(duì)用戶認(rèn)證進(jìn)行區(qū)別對(duì)待，用戶認(rèn)證可以是密碼驗(yàn)證、短信驗(yàn)證、數(shù)字證書、指紋認(rèn)證等。考慮到方便性和易實(shí)現(xiàn)性，對(duì)一般用戶進(jìn)行密碼驗(yàn)證，并區(qū)別用戶級(jí)別進(jìn)行密碼強(qiáng)度要求。對(duì)管理級(jí)用戶要球進(jìn)行短信驗(yàn)證，嚴(yán)防被冒用。另外結(jié)合附加碼以及5次登錄失敗則限制其當(dāng)天再次登錄等手段嚴(yán)防賬號(hào)被冒用。再則是服務(wù)質(zhì)量的控制，按提供遠(yuǎn)程訪問校內(nèi)資源服務(wù)的優(yōu)先級(jí)進(jìn)行服務(wù)質(zhì)量控制，優(yōu)先保證遠(yuǎn)程訪問圖書館數(shù)字資源、教學(xué)資源等網(wǎng)絡(luò)帶寬，適當(dāng)限制遠(yuǎn)程訪問娛樂資源的帶寬，可按時(shí)段區(qū)別對(duì)待。最后是審計(jì)的控制管理，做所有用戶的訪問日志，考慮到資源分級(jí)、用戶分級(jí)及管理成本，區(qū)別審計(jì)不同級(jí)別資源訪問日志、不同用戶的訪問日志，對(duì)安全風(fēng)險(xiǎn)、高安全要求的資源和高權(quán)限用戶加強(qiáng)審計(jì)，審計(jì)時(shí)間間隔要小。

3 結(jié)束語

VPN技術(shù)的在校園網(wǎng)上的應(yīng)用，突破其物理界限，使學(xué)校師生也能在公網(wǎng)上通過 VPN訪問到校內(nèi)資源，大大方便了師生在外獲取校內(nèi)豐富的教學(xué)資源，更好地參與教學(xué)、科研、社會(huì)服務(wù)和管理活動(dòng)中去。但 VPN接入也為校園網(wǎng)帶來了來自公網(wǎng)上的安全危險(xiǎn)，如黑客攻擊、病毒等。通過分級(jí)控制可以有效降低 VPN接入的安全風(fēng)險(xiǎn)，并保證師生穩(wěn)定有效率地遠(yuǎn)程訪問校內(nèi)資源。

[1] 李之棠,賀濟(jì)美,雷杰.SSL VPN 的安全漏洞及其解決方案[J].計(jì)算機(jī)工程與科學(xué).2006.

[2] 郝玉潔,馮銀付,賴攀.基于指紋識(shí)別的VPN身份認(rèn)證研究[J].計(jì)算機(jī)應(yīng)用.2009.

[3] 張超.SSL VPN客戶端實(shí)現(xiàn)技術(shù)研究[J].電腦知識(shí)與技術(shù).2008.

[4] 趙暉.網(wǎng)絡(luò)安全概述[J].福建電腦.2007.

[5] 尋大勇.SSL VPN網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].通信技術(shù).2009.