淺談VPN技術(shù)在校園網(wǎng)中的應(yīng)用

張迎春

摘要：隨著互聯(lián)網(wǎng)+教育的飛速發(fā)展，高校數(shù)字化校園的建設(shè)不斷深入，基于網(wǎng)絡(luò)技術(shù)環(huán)境支持的網(wǎng)絡(luò)教學(xué)、資源庫(kù)、教育教學(xué)管理等進(jìn)一步完善。如何確認(rèn)用戶身份，如何安全高效地使用這些資源，如何保障多個(gè)校區(qū)（異地）數(shù)據(jù)傳輸安全等問(wèn)題，就成了我們必須面對(duì)和解決的問(wèn)題。本文結(jié)合校園網(wǎng)建設(shè)實(shí)際經(jīng)驗(yàn)，介紹了VPN的技術(shù)及其工作原理，淺述了VPN技術(shù)校園網(wǎng)建設(shè)中的應(yīng)用。

關(guān)鍵詞：數(shù)據(jù)化校園? VPN? 校園網(wǎng)

隨著互聯(lián)網(wǎng)+教育的飛速發(fā)展，高校數(shù)字化校園的建設(shè)不斷深入，信息化建設(shè)不斷提速，校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ)，安全、穩(wěn)定和高效顯得尤為重要。通常，學(xué)校為考慮網(wǎng)絡(luò)安全，在校園網(wǎng)建設(shè)時(shí)，通常是將互聯(lián)網(wǎng)和校園網(wǎng)內(nèi)網(wǎng)進(jìn)行物理隔離，使通過(guò)互聯(lián)網(wǎng)的用戶，不經(jīng)授權(quán)不能訪問(wèn)內(nèi)網(wǎng)資源，從而保障學(xué)校網(wǎng)絡(luò)信息安全。而這樣的做法，同時(shí)也導(dǎo)致出現(xiàn)了如何將校內(nèi)豐富、優(yōu)質(zhì)的教育資源和重要的信息化應(yīng)用突破空間限制，安全高效為地為師生們提供服務(wù)的問(wèn)題，虛擬專用網(wǎng)（VPN就是一種既可保障安全、又可保障網(wǎng)絡(luò)開放的低廉易行的解決方案，可以使信息用戶隨時(shí)隨地享用內(nèi)網(wǎng)資源。

一、VPN技術(shù)及其工作原理

虛擬專網(wǎng)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。虛擬專用網(wǎng)絡(luò)（VPN）的功能是：在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。VPN可通過(guò)服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。

以目前較為流行的VPN為例，其工作原理為：VPN一般的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器，SSL代理服務(wù)器將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間的連接，實(shí)現(xiàn)起來(lái)主要有握手協(xié)議、記錄協(xié)議、警告協(xié)議的通信，SSLVPN的通信過(guò)程主要集中在握手協(xié)議上，主要為：一是SSL客戶機(jī)連接到SSL服務(wù)器，并要求服務(wù)器驗(yàn)證身份;二是服務(wù)器通過(guò)發(fā)送它的數(shù)字證書證明自身的身份。這個(gè)交換包括整個(gè)證書鏈，直到某個(gè)證書頒發(fā)機(jī)構(gòu)，通過(guò)檢查有效日期并確認(rèn)證書包含可信任CA的數(shù)字簽名來(lái)驗(yàn)證證書的有效性;三是服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證;四是雙方協(xié)商用于加密的消息加密算法和用于完整性檢查的HAS日函數(shù)，通常由客戶端提供它所支持的所有算法列表，然后由服務(wù)器選擇其中最強(qiáng)大的加密算法：五是客戶機(jī)和服務(wù)器通過(guò)下列步驟生成會(huì)話密鑰?？蛻魴C(jī)生成一個(gè)隨機(jī)數(shù)，并使用服務(wù)器的公鑰對(duì)它加密，再送到服務(wù)器，服務(wù)器用更加隨機(jī)的數(shù)據(jù)、用客戶機(jī)的公鑰加密，發(fā)送至客戶機(jī)以表示響應(yīng)，使用HAS日函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰。

二、校園網(wǎng)VPN建設(shè)的意義

2019年8月召開的國(guó)務(wù)院常務(wù)會(huì)議決定，推進(jìn)互聯(lián)網(wǎng)+教育，加快建設(shè)教育專網(wǎng)。為我們校園網(wǎng)應(yīng)用接入教育專網(wǎng)吹響了號(hào)角，教育網(wǎng)視頻會(huì)議系統(tǒng)、標(biāo)準(zhǔn)化考場(chǎng)系統(tǒng)、資源平臺(tái)系統(tǒng)和多校區(qū)信息業(yè)務(wù)互聯(lián)等應(yīng)用給學(xué)校和師生們工作學(xué)習(xí)帶來(lái)了極大方便。

當(dāng)前，高校信息化建設(shè)正飛速發(fā)展，好多院校都在不斷整合，兩個(gè)或多個(gè)校區(qū)也愈來(lái)愈常見，隨之而來(lái)的是出現(xiàn)多個(gè)獨(dú)立的校園網(wǎng)，而師生的教育教學(xué)都需要使用共同的校內(nèi)資源，這就要求學(xué)校必須通過(guò)VPN技術(shù)將多個(gè)校區(qū)獨(dú)立的校園網(wǎng)聯(lián)接成一個(gè)虛擬局域網(wǎng)，使師生們可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)校園網(wǎng)資源。主要問(wèn)題體現(xiàn)在：一是學(xué)生眾多，無(wú)法針對(duì)學(xué)生進(jìn)行有效的身份認(rèn)證和身份識(shí)別。學(xué)校擁有大量的學(xué)生、教師員工，根據(jù)國(guó)家相關(guān)規(guī)定，要求對(duì)所有人員上網(wǎng)做到有據(jù)可查，并能根據(jù)上網(wǎng)者的相關(guān)信息查詢到該用戶的所有上網(wǎng)記錄。二是校園網(wǎng)應(yīng)用系統(tǒng)，外網(wǎng)無(wú)法訪問(wèn)，學(xué)校的應(yīng)用系統(tǒng)都處于學(xué)校內(nèi)網(wǎng)，學(xué)生在家也無(wú)法使用學(xué)校的網(wǎng)絡(luò)資源，與學(xué)校之間互聯(lián)也存在鏈路及安全面的問(wèn)題。三是教育專網(wǎng)安全互聯(lián)。根據(jù)教育部規(guī)定，學(xué)校必須與教育專網(wǎng)互通，達(dá)到資源共享，統(tǒng)一管理。如果架設(shè)專線，線路則無(wú)法全面覆蓋所有學(xué)校，且專線成本較高，采用專線既浪費(fèi)了網(wǎng)絡(luò)資源，也為學(xué)校帶來(lái)了較大的成本壓力。

基于以上問(wèn)題分析，我們可以看到，目前教育行業(yè)在信息化建設(shè)的主要問(wèn)題，依然是以教育專網(wǎng)互聯(lián)、身份認(rèn)證、數(shù)據(jù)互聯(lián)安全性為主，并通過(guò)合理的身份認(rèn)證技術(shù)進(jìn)行安全的遠(yuǎn)程訪問(wèn)，同時(shí)通過(guò)擴(kuò)展的應(yīng)用服務(wù)、基于應(yīng)用訪問(wèn)的流量控制技術(shù)、監(jiān)控管理技術(shù)對(duì)校園網(wǎng)進(jìn)行集中的管理與訪問(wèn)。

三、校園網(wǎng)中VPN應(yīng)用案例

（一）校園網(wǎng)建設(shè)改進(jìn)方案

在校園網(wǎng)建設(shè)中，我們可以通過(guò)技術(shù)的設(shè)計(jì)，把多個(gè)校區(qū)的校園網(wǎng)通過(guò)VPN技術(shù)聯(lián)接。我們可以通過(guò)VPN技術(shù)來(lái)應(yīng)用于校園網(wǎng)中，解決方法為：一是在多個(gè)校區(qū)之間通過(guò)IPSec協(xié)議進(jìn)行安全連接，保證多個(gè)校區(qū)師生使用相關(guān)資源的安全性。IPSec VPN 在多個(gè)校區(qū)的搭建，目的是實(shí)現(xiàn)在防火墻上進(jìn)行選擇其組網(wǎng)模式、配置其基本參數(shù)、配置相關(guān)地址信息、密鑰及相關(guān)算法，從而實(shí)現(xiàn)相關(guān)功能。二是對(duì)于不在校園網(wǎng)內(nèi)的師生，可以通過(guò)學(xué)校購(gòu)置的VPN設(shè)備訪問(wèn)學(xué)校內(nèi)網(wǎng)，獲取師生所需求的資源，師生可以通過(guò)電腦端或移動(dòng)端的VPN客戶端軟件，通過(guò)身份驗(yàn)證后訪問(wèn)校園網(wǎng)資源。三是通過(guò)在主校區(qū)內(nèi)網(wǎng)的實(shí)施訪問(wèn)控制措施，在關(guān)鍵的數(shù)據(jù)必經(jīng)的設(shè)備上進(jìn)行訪問(wèn)策略的應(yīng)用，通過(guò)相關(guān)的配置，這樣訪問(wèn)的客戶端在訪問(wèn)控制方面就有所嚴(yán)格把控。通過(guò)防火墻的相關(guān)功能，保障校園中數(shù)據(jù)傳輸?shù)男畔踩?/p>

（二）校園網(wǎng)中VPN技術(shù)應(yīng)用

為保障學(xué)校網(wǎng)絡(luò)和數(shù)字校園應(yīng)用系統(tǒng)安全，我校網(wǎng)絡(luò)資源已劃分為校園外部和內(nèi)部資源，分類控制網(wǎng)絡(luò)訪問(wèn)。校園外部網(wǎng)絡(luò)上（如：學(xué)校門戶網(wǎng)站、二級(jí)網(wǎng)站）的資源開放互聯(lián)網(wǎng)自由訪問(wèn);對(duì)于校園內(nèi)部網(wǎng)絡(luò)上的資源，我校師生在校外需要使用VPN系統(tǒng)才能訪問(wèn)，包括信息門戶登錄認(rèn)證、辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、教務(wù)系統(tǒng)、學(xué)生工作、網(wǎng)絡(luò)教學(xué)平臺(tái)、科研管理系統(tǒng)、考試成績(jī)查詢、云平臺(tái)等，校外師生利用VPN方式登陸學(xué)校的VPN設(shè)備，利用賬號(hào)認(rèn)證，或?qū)W校的統(tǒng)一身份平臺(tái)，即可直接登陸校內(nèi)，實(shí)現(xiàn)對(duì)校內(nèi)資源以及數(shù)字圖書館等資源的快速訪問(wèn)。目前，大多數(shù)VPN都兼容大部分日常所用到的郵件系統(tǒng)和OA系統(tǒng)等。

在實(shí)踐中，我校使用的是NGVONE網(wǎng)關(guān)，提供更加全面高效的安全接入服務(wù);在師生們的體驗(yàn)性方面做了更多優(yōu)化，支持當(dāng)前主流瀏覽器、提供了安全監(jiān)控主屏等功能，讓師生們接入方便快捷，同時(shí)給管理員直觀的監(jiān)控體驗(yàn);在認(rèn)證類型方面，支持多種外部認(rèn)證類型;同時(shí)，也對(duì)接到了校園認(rèn)證平臺(tái)，便于師生們對(duì)各類應(yīng)用系統(tǒng)的訪問(wèn)，提供全面的可信認(rèn)證接入機(jī)制。

1.提供校園師生應(yīng)用系統(tǒng)的安全訪問(wèn);校園內(nèi)部辦公應(yīng)用（例如OA）需教師可隨時(shí)訪問(wèn)，但業(yè)務(wù)直接從互聯(lián)網(wǎng)訪問(wèn)存在許多安全隱患，如賬號(hào)密碼過(guò)于簡(jiǎn)單被暴力破解、后臺(tái)管理暴露出去等;使用VPN設(shè)備中的SSLVPN功能，可為師生提供移動(dòng)安全接入功能，VPN可提供多種認(rèn)證類型，同時(shí)可對(duì)接校園認(rèn)證平臺(tái)，提供單點(diǎn)登錄功能;為業(yè)務(wù)系統(tǒng)做了一層安全防護(hù)。

2.為師生們提供遠(yuǎn)程辦公環(huán)境;疫情影響下，遠(yuǎn)程辦公方式成為首選，教職工可通過(guò)撥入VPN訪問(wèn)對(duì)其授權(quán)的內(nèi)部業(yè)務(wù)系統(tǒng)，提供便捷同時(shí)又保證其安全性。

3.為遠(yuǎn)程運(yùn)維人員提供連接方式;部分設(shè)備和業(yè)務(wù)需廠家或軟件方經(jīng)常遠(yuǎn)程維護(hù)，可通過(guò)VPN方式連入校園網(wǎng)訪問(wèn)對(duì)其授權(quán)的資源在我校的校園網(wǎng)建設(shè)中，將VPN旁路部署在核心交換機(jī)上，向互聯(lián)網(wǎng)提供安全可靠的服務(wù)和校園網(wǎng)內(nèi)的辦公自動(dòng)化平臺(tái)、圖書館資源及期刊數(shù)據(jù)庫(kù)資源、教學(xué)資源等數(shù)據(jù)，這樣，校外的師生們即可直接使用互聯(lián)網(wǎng)線路接入VPN，訪問(wèn)通過(guò)VPN校園網(wǎng)所發(fā)布的資源，達(dá)到安全高效的跨校區(qū)（異地）訪問(wèn)目的。

參考文獻(xiàn)

[1]周毅;VPN技術(shù)及其未來(lái)應(yīng)用發(fā)展方向[J];電子技術(shù)與軟件工程;2014年11期。

[2]潘華;基于VPN的數(shù)字校園網(wǎng)絡(luò)應(yīng)用研究[J];電腦知識(shí)與技術(shù);2013年28期.