搜索
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将VPN技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。一、VPN如何解决校园网安全风险?对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用VPN技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?图1,普通校园网方案并不安全VPN即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务端,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,VPN可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。图2,校园网VPN方案更为安全二、选择IPSecVPN还是SSLVPN?校园网VPN方案可以通过公众IP网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,IPsecVPN和SSLVPN是目前校园网VPN方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,IPSECVPN是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而SSLVPN则提供远程接入校园网服务,比如适合校园网与外网的连接。图3,VPN可实现多校区资源共享从VPN技术架构来看,IPSecVPN是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现Internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。IPSecVPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些IPSec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。图4,IPSecVPN实现数据访问的原理与IPSecVPN不同的是,SSLVPN是工作在应用层(基于HTTP协议)和TCP层之间,因而SSLVPN的零客户端架构特别适合于远程用户连接,用户可通过任何Web浏览器访问校园网Web应用,因而SSLVPN存在一定安全风险。而IPSecVPN需要软件客户端支撑,不支持公共Internet站点接入,所以安全性更高一些。但不可否认,SSLVPN依然更加适合大多数校园网,因为在互联网时代,更多的信息交流需要实现完全互通,比如SSLVPN提供更细粒度的访问控制、能够穿越NAT和防火墙设置、能够较好地抵御外部系统和病毒攻击、网络部署灵活方便等特点,为其在校园网应用中赢得了不少亮点。图5,SSLVPN可实现校园网安全管理三、VPN为校园网带来哪些应用?在校园网中,通过VPN给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,VPN能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至INTERNET用户,实现100M甚至1000M到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。还可以利用VPN在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台PC,通过校园网上连至INTERNET,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的PC通过校园网上连至INTERNET,而不进行任何布置。校园网采用VPN技术可以降低使用费,远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取VPN服务器,可以对各分校进行Web通讯控制,同时又可以实现分校访问互通。图6,校园网VPN典型应用方案为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用VPN加密技术,数据在Internet中传输时,Internet上的用户只看到公共的IP地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。图7,VPN在校园数字图书馆的作用四、VPN支持哪种校园网接入方式?在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、ISDN、ADSL拨号上网,而对于条件好的高校,则采取了光纤或DDN、帧中继等专线连接,那么,VPN方案到底支持哪种接入方式呢?实际上,VPN可以支持最常用的网络协议,因为在Internet上组建VPN,用户计算机或网络需要建立到ISP连接,与用户上网接入方式相似,比如基于IP、IPX和NetBUI协议的网络中的客户机都能使用VPN方案。图8,ADSL虚拟拨号实现VPN组网其实根据接入方式的不同,校园网VPN可以为两种类型:一是专线VPN通过固定的线路连接到ISP(如DDN、帧中继等都是专线连接);其次是拨号接入VPN(简称VPDN),使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP是典型的按需连接方式,这是-种非固定线路的VPN,比如ADSL是基于ATM(异步传送模式)光缆传输接入Internet,学校可以利用ADSL的公共IP地址建立自己的服务器,因而也可以提供基于ATM的VPN(虚拟专用网)服务,从而形成虚拟的教育城域网实现资源共享。图9,在Windows中可轻易实现VPN连接小贴士:有了VPN就不要防火墙了吗?实际上,VPN技术原是路由设备具有的重要技术之一,也就是说,市场上大部分交换机、路由器都可以支持VPN功能,因而从广义上来看,目前VPN产品包括单纯VPN网关、VPN路由器、VPN防火墙、VPN服务器等。如果选择普通VPN设备,尽管其提供了身份验证和数据加密能力,但对于需要与Internet互通的校园网,安全级别还远远不够,为此,建议校园网选择VPN防火墙,或者为普通VPN设备搭配一台专用防火墙,不过要注意,如果采用普通VPN设备搭配防火墙,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定或者带来性能的损失,如防火墙无法使用NAT功能等。而如果采用VPN防火墙,则上述问题不存在或很容易解决。图10,企业级专用VPN防火墙