WebVPN提供易用、易維護(hù)的校外訪(fǎng)問(wèn)通道

金磊，王佶， 陳賢，徐鋒

（1.浙江大學(xué)信息技術(shù)中心，浙江杭州，310000；2.溫州職業(yè)技術(shù)學(xué)院，浙江溫州，325035）

隨著信息技術(shù)的發(fā)展，在家辦公、在家學(xué)習(xí)成為高校師生工作學(xué)習(xí)的新常態(tài)，遠(yuǎn)程訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)資源、教學(xué)資源，校內(nèi)辦公平臺(tái)等需求成為學(xué)校日常工作中不可或缺的部分。部分重要的內(nèi)網(wǎng)數(shù)據(jù)資源，不能在公網(wǎng)上交互，這就要求校方提供一套支持內(nèi)網(wǎng)訪(fǎng)問(wèn)的遠(yuǎn)程訪(fǎng)問(wèn)控制系統(tǒng)來(lái)實(shí)現(xiàn)這部分需求。否則會(huì)嚴(yán)重影響學(xué)校的教學(xué)科研工作，所以一套遠(yuǎn)程訪(fǎng)問(wèn)控制系統(tǒng)成為各大高校必不可少的一項(xiàng)工具。傳統(tǒng)的校外訪(fǎng)問(wèn)技術(shù)PPTP、L2TP、SSLVPN等存在客戶(hù)端及插件兼容性欠佳、對(duì)移動(dòng)設(shè)備支持弱、網(wǎng)絡(luò)配置復(fù)雜、易受運(yùn)營(yíng)商封鎖等問(wèn)題[1]。一種基于Web域名改寫(xiě)技術(shù)的校外訪(fǎng)問(wèn)控制系統(tǒng)（WebVPN）受到各大高校的青睞。

1 校外訪(fǎng)問(wèn)技術(shù)使用的基本情況

目前高校常見(jiàn)的校外訪(fǎng)問(wèn)場(chǎng)景有：在校外訪(fǎng)問(wèn)學(xué)校內(nèi)網(wǎng)資源和在校外訪(fǎng)問(wèn)圖書(shū)館訂購(gòu)數(shù)據(jù)庫(kù)資源。特別是圖書(shū)館數(shù)據(jù)庫(kù)資源，區(qū)別與企業(yè)場(chǎng)景的VPN需求，這類(lèi)資源發(fā)布在公網(wǎng)環(huán)境下，但是其通過(guò)IP認(rèn)證的方式確認(rèn)訪(fǎng)問(wèn)權(quán)限，這就要求在校外的師生必須拿到學(xué)校的IP地址，通過(guò)認(rèn)證授權(quán)的IP才能正常訪(fǎng)問(wèn)。通過(guò)對(duì)國(guó)內(nèi)C9高校的調(diào)研，目前所有學(xué)校均提供的校外訪(fǎng)問(wèn)服務(wù)，其中SSLVPN和WebVPN為最主要的服務(wù)技術(shù)。具體情況如表1所示。

表1 C9高校校外訪(fǎng)問(wèn)服務(wù)

目前，所有學(xué)校俊提供兩種及以上的遠(yuǎn)程訪(fǎng)問(wèn)方式。最普遍的PPTP/L2TP/IPSec和SSLVPN方式均屬于VPN技術(shù)，這種技術(shù)在三層網(wǎng)絡(luò)協(xié)議下構(gòu)建了一種通信環(huán)境，在該環(huán)境內(nèi)用戶(hù)訪(fǎng)問(wèn)受到控制，允許主機(jī)在授權(quán)的范圍內(nèi)通過(guò)建立的VPN隧道進(jìn)行交互訪(fǎng)問(wèn)。而WebVPN則是通過(guò)代理服務(wù)的方式，運(yùn)用URL改寫(xiě)技術(shù)，將用戶(hù)請(qǐng)求指向代理服務(wù)器。相應(yīng)的代理服務(wù)器獲取真實(shí)的訪(fǎng)問(wèn)地址頁(yè)面后，再發(fā)送給用戶(hù)[2]。具體功能對(duì)比如表2所示。

表2 校外訪(fǎng)問(wèn)技術(shù)對(duì)比

相比較而言PPTP/L2TP/IPSec服務(wù)存在用戶(hù)使用難度大、易受運(yùn)營(yíng)商封鎖、兼容性適配性差、運(yùn)維難度大、系統(tǒng)資源消耗高 等問(wèn)題[1、2]。傳統(tǒng) VPN接入存在的不足大致可以總結(jié)為：（1）PPTP VPN 雖然適用性廣，但是其使用全明文的傳輸方式，存在中間鏈路可隨時(shí)被竊取信息的風(fēng)險(xiǎn)，安全性教低，現(xiàn)處在產(chǎn)品生命的末期。（2）Ipsec VPN 擁有很高的安全性，但是對(duì)用戶(hù)要求較高，需要配置客戶(hù)端。（3）SSL VPN 支持無(wú)客戶(hù)端連接，但是需要在瀏覽器上安裝相應(yīng)的插件，插件對(duì)于 IE、Chronme、Firefox 等不同瀏覽器的兼容情況各不相同，影響用戶(hù)體驗(yàn)。（4）終端要求高。傳統(tǒng) VPN 對(duì)操作系統(tǒng)兼容性有要求，一般僅支持 windows 系統(tǒng)，對(duì)蘋(píng)果 Mac 系統(tǒng)的兼容性不佳。（5） 鏈路影響大。傳統(tǒng) VPN 有時(shí)會(huì)遇到連接不穩(wěn)定的情況，主要原因?yàn)殒溌穯?wèn)題，或 VPN 業(yè)務(wù)端口被封鎖。（6） 移動(dòng)端體驗(yàn)不佳，雖然傳統(tǒng) VPN 也提供了手機(jī) App 供使用者在移動(dòng)端使用，但是客戶(hù)端在各個(gè)品牌手機(jī)上兼容性各不相同，同時(shí)由于某些原因這類(lèi)App存在被應(yīng)用商店下架的風(fēng)險(xiǎn)，無(wú)法獲取。基于以上各種原因，需要有一種便捷的遠(yuǎn)程安全訪(fǎng)問(wèn)內(nèi)網(wǎng)解決方案。多數(shù)高校目前主要使用SSLVPN和WebVPN兩種相結(jié)合的方式提供服務(wù)。針對(duì)以Web頁(yè)面需求為主的用戶(hù)，推薦使用WebVPN服務(wù)，這種方式可以讓用戶(hù)免去下載客戶(hù)端、配置VPN參數(shù)的環(huán)節(jié)，門(mén)檻較低，用戶(hù)使用體驗(yàn)較好；對(duì)于有一定計(jì)算機(jī)水平能力的客戶(hù)，且在日常工作學(xué)習(xí)中有使用SSH、TELNET、遠(yuǎn)程控制等應(yīng)用需求的用戶(hù)推薦使用SSLVPN服務(wù)，SSLVPN服務(wù)可以建立起網(wǎng)絡(luò)層面的交互，用戶(hù)本機(jī)內(nèi)的Web、應(yīng)用程序均可通過(guò)隧道進(jìn)行交互，應(yīng)用更加廣泛。

2 WebVPN的易用性

校外訪(fǎng)問(wèn)系統(tǒng)面向的全校師生開(kāi)放，計(jì)算機(jī)水平參差不齊，過(guò)高的使用門(mén)檻將極大的降低用戶(hù)的接受度，也給前臺(tái)帶來(lái)大量的咨詢(xún)工作。而過(guò)于簡(jiǎn)單的系統(tǒng)設(shè)計(jì)又會(huì)給內(nèi)網(wǎng)帶來(lái)安全性問(wèn)題。因此兼顧安全和易用的WebVPN就成了很好的一個(gè)選擇。

相比傳統(tǒng)校外訪(fǎng)問(wèn)控制系統(tǒng)需要用戶(hù)下載客戶(hù)端或者插件，并需要在客戶(hù)端內(nèi)配置訪(fǎng)問(wèn)地址，訪(fǎng)問(wèn)協(xié)議等參數(shù)，WebVPN實(shí)現(xiàn)即開(kāi)即用。普通用戶(hù)在使用WebVPN服務(wù)時(shí)，只需要在瀏覽器中打開(kāi)WebVPN頁(yè)面，進(jìn)行登錄授權(quán)后即可訪(fǎng)問(wèn)內(nèi)部系統(tǒng)。WebVPN采用標(biāo)準(zhǔn)的HTTP協(xié)議，能兼容所有標(biāo)準(zhǔn)HTTP的終端，支持包括Windows、Linux、Ios、Android等多種操作系統(tǒng)，提供統(tǒng)一標(biāo)準(zhǔn)的訪(fǎng)問(wèn)入口和操作界面，將配置工作上移至服務(wù)器側(cè),實(shí)現(xiàn)用戶(hù)側(cè)的“零配置”。從用戶(hù)使用感受角度，WebVPN更接近于打開(kāi)一個(gè)Web網(wǎng)站形式的資源，通過(guò)服務(wù)側(cè)的配置，提供相應(yīng)的訪(fǎng)問(wèn)權(quán)限。

3 WebVPN的易維護(hù)性

區(qū)別傳統(tǒng)VPN設(shè)備需要串聯(lián)進(jìn)現(xiàn)有網(wǎng)絡(luò)的部署方式，WebVPN可采用旁路模式部署，無(wú)需對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造，且大部分廠商支持虛擬機(jī)模式部署，不需要占用額外的機(jī)房空間，通過(guò)現(xiàn)有的虛擬機(jī)就可實(shí)現(xiàn)遠(yuǎn)程部署，施工周期進(jìn)步一縮短。部署完成后的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 WebVPN平臺(tái)拓?fù)?/p>

WebVPN提供便捷的資源配置及權(quán)限管理能力。傳統(tǒng)的校外訪(fǎng)問(wèn)技術(shù)大部分工作在網(wǎng)絡(luò)層，通過(guò)下發(fā)IP地址并對(duì)下發(fā)的地址進(jìn)行路由控制實(shí)現(xiàn)校內(nèi)訪(fǎng)問(wèn)。在以往的工作經(jīng)驗(yàn)中，該種模式主要存在以下3點(diǎn)缺陷：校內(nèi)的內(nèi)網(wǎng)地址與用戶(hù)所在局域網(wǎng)地址沖突、默認(rèn)路由走校內(nèi)存在接口流量過(guò)高風(fēng)險(xiǎn)、圖書(shū)館數(shù)據(jù)庫(kù)資源配置繁瑣等問(wèn)題。

WebVPN產(chǎn)品則正好彌補(bǔ)了以上3點(diǎn)不足。首先WebVPN工作在應(yīng)用層，不向終端下發(fā)地址及路由表，避免了地址沖突的問(wèn)題。用戶(hù)在登錄WebVPN過(guò)程中，平臺(tái)并沒(méi)有下發(fā)內(nèi)網(wǎng)地址到用戶(hù)側(cè)，僅僅是將用戶(hù)端與WebVPN服務(wù)端建立了一個(gè)http的鏈接，對(duì)于客戶(hù)端原有的三層網(wǎng)絡(luò)沒(méi)有任何影響。因此用戶(hù)可以實(shí)現(xiàn)本地內(nèi)網(wǎng)和遠(yuǎn)程內(nèi)網(wǎng)的并行訪(fǎng)問(wèn)，互不影響。

其次WebVPN僅對(duì)在平臺(tái)內(nèi)授權(quán)的資源通過(guò)平臺(tái)訪(fǎng)問(wèn)，公網(wǎng)資源仍通過(guò)用戶(hù)原有的網(wǎng)絡(luò)通道分發(fā)，實(shí)現(xiàn)校內(nèi)校外兩張網(wǎng)并行的模式，避免了非校內(nèi)流量占用學(xué)校帶寬資源的問(wèn)題。同時(shí)在WebVPN后臺(tái)可以設(shè)置黑名單模式，將優(yōu)酷、騰訊視頻等大流量非教學(xué)類(lèi)網(wǎng)站禁止通過(guò)內(nèi)網(wǎng)去訪(fǎng)問(wèn)。在多用戶(hù)、大流量并發(fā)的校外訪(fǎng)問(wèn)場(chǎng)景下，采用WebVPN方案能更高效地利用學(xué)校的帶寬資源。Webvpn提供Web頁(yè)面的訪(fǎng)問(wèn)模式，區(qū)別與傳統(tǒng)的VPN，在操作系統(tǒng)上控制內(nèi)網(wǎng)訪(fǎng)問(wèn)數(shù)據(jù)流的分發(fā)，WebVPN在頁(yè)面端提供一種類(lèi)似于嵌入式應(yīng)用的操作體驗(yàn)，用戶(hù)在該頁(yè)面下的操作通過(guò)服務(wù)器進(jìn)行代理轉(zhuǎn)發(fā)，計(jì)算機(jī)內(nèi)的其他應(yīng)用程序、操作系統(tǒng)流量等都不在代理范圍內(nèi)。

第三點(diǎn)，在圖書(shū)館數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)問(wèn)題上，傳統(tǒng)VPN需要配置域名地址，包括頁(yè)面調(diào)用的域名地址也需同步配置，容易出現(xiàn)漏配，錯(cuò)配等現(xiàn)象。WebVPN基于URL改寫(xiě)技術(shù)的方案，不需要再進(jìn)行域名配置即可訪(fǎng)問(wèn)。所有經(jīng)URL改寫(xiě)頁(yè)面跳轉(zhuǎn)的鏈接全部指向WebVPN服務(wù)器側(cè)，再由服務(wù)器發(fā)起對(duì)真實(shí)目的地址的訪(fǎng)問(wèn)，實(shí)現(xiàn)了訪(fǎng)問(wèn)地址校內(nèi)外IP轉(zhuǎn)換。同時(shí)，由于地址改寫(xiě)及應(yīng)用層訪(fǎng)問(wèn)的特性，WebVPN也有效的避免了數(shù)據(jù)庫(kù)惡意下載的問(wèn)題，用戶(hù)無(wú)法通過(guò)批量下載軟件，或者爬蟲(chóng)等工具對(duì)數(shù)據(jù)庫(kù)資源進(jìn)行非法獲得。用戶(hù)只被允許在規(guī)定的http環(huán)境下，通過(guò)點(diǎn)擊獲取，極大的規(guī)避了惡意下載的風(fēng)險(xiǎn)。

4 WebVPN的安全性

WebVPN服務(wù)器部署在防火墻旁路，在外網(wǎng)用戶(hù)看來(lái)相當(dāng)于一臺(tái)內(nèi)網(wǎng)服務(wù)器。當(dāng)外網(wǎng)用戶(hù)端嘗試訪(fǎng)問(wèn)內(nèi)容服務(wù)時(shí)，其連接會(huì)被WebVPN解析，然后通過(guò)防火墻中的特定通道將用戶(hù)端的請(qǐng)求發(fā)送到內(nèi)網(wǎng)服務(wù)器。內(nèi)網(wǎng)服務(wù)器再通過(guò)該通道將結(jié)果傳送回WebVPN服務(wù)器，WebVPN服務(wù)器再將結(jié)果發(fā)送回用戶(hù)端。如果內(nèi)容服務(wù)器返回錯(cuò)誤消息，WebVPN服務(wù)器會(huì)截取該消息并更改標(biāo)頭中列出的地址，然后再將消息發(fā)送給用戶(hù)端。這樣可以防止用戶(hù)端取得內(nèi)網(wǎng)服務(wù)器的重定向地址。這樣相當(dāng)于WebVPN服務(wù)器在內(nèi)網(wǎng)服務(wù)器與可能遭到的惡意攻擊之間提供了一道屏障，向內(nèi)網(wǎng)服務(wù)器發(fā)起的攻擊行為會(huì)先指向WebVPN服務(wù)器，攻擊者充其量?jī)H能獲取一個(gè)攻擊事件所涉及的數(shù)據(jù)，而不能存取整個(gè)數(shù)據(jù)庫(kù)，保證了內(nèi)網(wǎng)服務(wù)器的安全。

WebVPN賬號(hào)系統(tǒng)支持對(duì)接CAS、Radius、LDAP等多種認(rèn)證接入方式，可以滿(mǎn)足目前各高校的認(rèn)證系統(tǒng)，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，支持接入用戶(hù)分組授權(quán)，支持權(quán)限自定義。對(duì)安全較高的應(yīng)用場(chǎng)景，提供多因子認(rèn)證，確保網(wǎng)絡(luò)的安全性。

WebVPN基于URL改寫(xiě)的鏈接方式，一定程度上可以保證了內(nèi)網(wǎng)的安全性。通過(guò)改寫(xiě)鏈接，避免外部終端與內(nèi)部終端的直接通信，減少了病毒在內(nèi)網(wǎng)傳播的風(fēng)險(xiǎn)。同時(shí)WebVPN不支持 Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等應(yīng)用，降低了服務(wù)器受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

5 結(jié)語(yǔ)

WebVPN作為校外訪(fǎng)問(wèn)控制系統(tǒng)的一種選擇，因其部署便捷、操作簡(jiǎn)單的特性受到各大高校的青睞。但因其基于HTTP架構(gòu)，無(wú)法提供如SSH、TELNET、遠(yuǎn)程桌面、APP接入等服務(wù)，在應(yīng)用上存在一定的局限性?，F(xiàn)有部分廠商已實(shí)現(xiàn)了基于http頁(yè)面下的SSH、TELNET、遠(yuǎn)程桌面等應(yīng)用服務(wù)。WebVPN的能力越來(lái)越完善，功能也越來(lái)越全面。Webvpn 技術(shù)在高校中的應(yīng)用，讓廣大師生能夠安全、便捷地在校外訪(fǎng)問(wèn)內(nèi)部圖書(shū)館數(shù)據(jù)庫(kù)資源及校內(nèi)業(yè)務(wù)系統(tǒng)，無(wú)需下載安裝客戶(hù)端程序及瀏覽器插件，擁有更好的兼容性和良好的使用體驗(yàn)。

未來(lái)，高校的信息化建設(shè)中對(duì)校外訪(fǎng)問(wèn)控制的要求，依舊會(huì)朝著更便捷、更簡(jiǎn)單、更安全的方向發(fā)展，最終實(shí)現(xiàn)無(wú)插件、無(wú)感知的訪(fǎng)問(wèn)[3]。隨著校外訪(fǎng)問(wèn)技術(shù)的革新和推進(jìn)，接入必將融合多種技術(shù)，優(yōu)化組合，滿(mǎn)足數(shù)字化校園的多種接入需求，具備良好的兼容性，實(shí)現(xiàn)更高的訪(fǎng)問(wèn)速率和更精細(xì)化的業(yè)務(wù)權(quán)限管控。可以預(yù)見(jiàn)，在不久的將來(lái)，遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)在校園信息化中占據(jù)越來(lái)越重要的地位。