VPN技術(shù)在信息化校園建設(shè)中的應(yīng)用

祝永健

摘要：在信息化校園建設(shè)需求的推動(dòng)下，學(xué)校計(jì)算機(jī)軟硬件資源日趨完備、各種設(shè)施相對(duì)齊全，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步，師生對(duì)靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的要求日益強(qiáng)烈，如此背景下采用合理的VPN方案既可以很好地利用Internet的豐富資源又能夠保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

關(guān)鍵詞：VPN；信息化校園；應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）32-7692-02

信息技術(shù)的長足發(fā)展，帶來了教育教學(xué)模式與方法的重大變革，越來越多的學(xué)校建立了校園網(wǎng)，為師生提供著豐富的辦公教學(xué)資源，給予師生教學(xué)、科研等信息交流以極大的便利，同時(shí)也有效拓展了師生的教科研空間與時(shí)間。滿足師生在校外能利用計(jì)算機(jī)隨時(shí)隨地通過互聯(lián)網(wǎng)較安全地訪問學(xué)校內(nèi)部網(wǎng)絡(luò)資源也成了信息化校園建設(shè)的一種必然需求。VPN技術(shù)以其速度快、資費(fèi)低、可擴(kuò)展性強(qiáng)、不安全因素少等特點(diǎn)在信息化校園建設(shè)中得到了的發(fā)展和應(yīng)用。

1VPN概述

目前接入網(wǎng)方式還是很多的，不同的方式有不同的特點(diǎn)和應(yīng)用領(lǐng)域，VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是非常常見的方式之一。通常用以實(shí)現(xiàn)相關(guān)組織或個(gè)人的開放式、分布式的公用網(wǎng)絡(luò)的安全通信。其實(shí)質(zhì)是，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)，從而實(shí)現(xiàn)以極低的資費(fèi)為遠(yuǎn)程用戶提供能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)。

2VPN技術(shù)的現(xiàn)狀

今日的VPN技術(shù)在全球的信息安全體系中發(fā)揮著重要的作用，已不只是一個(gè)單純的經(jīng)過加密的訪問隧道，它融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，安全與服務(wù)質(zhì)量是VPN的技術(shù)保障。近年來VPN發(fā)展有以下特點(diǎn)：（1）VPN產(chǎn)品需要同時(shí)具有SSLVPN和IPSecVPN的功能；（2）需要VPN產(chǎn)品具有高可用解決方案，越來越多地系統(tǒng)運(yùn)行在VPN產(chǎn)品之上；（3）需要VPN解決方案必須具有更高級(jí)別的高可靠性水平，越來越多的數(shù)據(jù)通過VPN系統(tǒng)進(jìn)行傳輸；（4）VPN方案及產(chǎn)品的易操作性要求越來越高；（5）VPN解決方案的兼容性要求越來越高，用戶希望能把防火墻、網(wǎng)關(guān)殺毒、垃圾郵件過濾等實(shí)用功能集成于一體；（6）有效保證VPN項(xiàng)目中的投資，減少浪費(fèi)以及保證產(chǎn)品能夠持續(xù)使用。

3VPN服務(wù)于信息化校園建設(shè)的必然性

信息化校園，就是一個(gè)數(shù)字化、網(wǎng)絡(luò)化、智能化和多媒體化有機(jī)結(jié)合的新型教學(xué)和科研的校園平臺(tái)。培養(yǎng)善于獲取、加工、處理和利用信息與知識(shí)的學(xué)生是建設(shè)信息化校園的主要目標(biāo)。其核心技術(shù)是網(wǎng)絡(luò)技術(shù)，通過網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)信息和知識(shí)資源的充分共享。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和進(jìn)步，信息技術(shù)在教育領(lǐng)域的應(yīng)用也一樣在發(fā)生著改變，從最初的計(jì)算機(jī)輔助教學(xué)到現(xiàn)在的網(wǎng)絡(luò)化教學(xué)、多媒體教學(xué)和信息化校園，并且發(fā)展到了支持校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作等需求的新階段，構(gòu)建一個(gè)安全可靠、性能卓越、易于管理的校園網(wǎng)絡(luò)成為必然。在信息化校園建設(shè)中引入VPN技術(shù)，利用公共通信線路，解決外聯(lián)信息交換面臨的安全威脅以及分校區(qū)辦公和在外工作人員的安全接入問題，保持傳輸?shù)男畔⒑蛿?shù)據(jù)的隱蔽性和安全性是一個(gè)很好的選擇。

4VPN在信息化校園中建設(shè)中的應(yīng)用

1）VPN在信息化校園中建設(shè)的方式選擇

VPN的建立有三種方式：一是由ISP（互聯(lián)網(wǎng)服務(wù)提供商）建設(shè)，對(duì)學(xué)校透明；二是學(xué)校自身建設(shè)，對(duì)ISP透明；三是ISP和學(xué)校共同建設(shè)。因?qū)W校內(nèi)部網(wǎng)絡(luò)已建立，在校園網(wǎng)基礎(chǔ)上建立VPN，對(duì)ISP透明，這種方案比較適合。

2）VPN在信息化校園中建設(shè)的平臺(tái)選擇

VPN的實(shí)現(xiàn)平臺(tái)一般有三種：專用硬件平臺(tái)、輔助硬件平臺(tái)及純軟件平臺(tái)。所謂的硬件可以是路由器，將VPN軟件記載在路由器之上，它在實(shí)現(xiàn)路由功能的同時(shí)也有VPN連接的功能；也可以是防火墻，在防火墻上也能實(shí)現(xiàn)VPN功能；或者是專用的VPN硬件設(shè)備，具有VPN連接的專有功能，并且數(shù)據(jù)加密性也由硬件來實(shí)現(xiàn)，數(shù)據(jù)安全性更高。專用硬件平臺(tái)需要投資大量的硬件設(shè)備，成本太高，一般學(xué)校出于對(duì)成本的考慮，會(huì)優(yōu)先考慮選擇純軟件平臺(tái)和輔助硬件平臺(tái)這兩種。在對(duì)數(shù)據(jù)連接速率要求不是很高，對(duì)性能和安全性要求不強(qiáng)時(shí)，可以利用AventailCorp和CheckpointSoftware等公司提供的的完全基于軟件的VPN產(chǎn)品來實(shí)現(xiàn)簡單的VPN的功能。甚至可以不需要另外購置軟件，僅依靠Windows操作系統(tǒng)，特別是自Windows2000版本以后的系統(tǒng)就可實(shí)現(xiàn)純軟件平臺(tái)的VPN連接。如果建立的VPN網(wǎng)絡(luò)，考慮系統(tǒng)安全、長期穩(wěn)定運(yùn)行、便捷的安裝和管理、維護(hù)成本、良好的綜合性能等等因素，則應(yīng)考慮選用輔助硬件平臺(tái)VPN，這種平臺(tái)是最為通用的一種方式，比較適合大多數(shù)學(xué)校。

3）信息化校園中建設(shè)的常用VPN技術(shù)選擇

IPSecVPN：通用性與整合性好、IPSec對(duì)終端用戶來說是透明的。需要安裝客戶端軟件；其連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（Proxy）的影響；IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復(fù)雜。建議中心校區(qū)與分校區(qū)之間部署網(wǎng)對(duì)網(wǎng)產(chǎn)品，即IPSecVPN。

SSLVPN：客戶端支撐維護(hù)簡單、安全性良好、細(xì)化接入控制功能，提供用戶級(jí)別的鑒權(quán)，適用大多數(shù)設(shè)備、適用于大多數(shù)操作系統(tǒng)。主要適用于點(diǎn)到點(diǎn)的信息加密傳輸，建議移動(dòng)辦公人員與中心校區(qū)之間部署點(diǎn)對(duì)網(wǎng)產(chǎn)品，即SSLVPN。

4）VPN在信息化校園中建設(shè)的典型應(yīng)用

典型應(yīng)用一：異地校區(qū)網(wǎng)絡(luò)的相互安全訪問

需求：某教育集團(tuán)有多家分校，中心校區(qū)的內(nèi)部網(wǎng)中已經(jīng)實(shí)現(xiàn)了行政辦公系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)工管理系統(tǒng)、后勤管理系統(tǒng)等，分校區(qū)與中心校區(qū)地域跨度大，允許其能夠訪問中心校區(qū)的校園網(wǎng)，可大大簡化信息資源（如電子郵件、公文流轉(zhuǎn)）交流的途徑，增加信息交換速度。但這樣的信息交換帶來的網(wǎng)絡(luò)的復(fù)雜性增加、網(wǎng)絡(luò)管理及安全性等諸多問題亟需解決。

解決方案：為了能夠使得異地校區(qū)網(wǎng)絡(luò)的相互安全訪問，似乎一條專線是必需的，但專線只能向當(dāng)?shù)豂SP或者電信運(yùn)營商申請(qǐng)，由運(yùn)營商來提供管理和監(jiān)控，這樣會(huì)帶來安全隱患。并且租用專線費(fèi)用非常昂貴，一般的學(xué)校負(fù)擔(dān)不起?？梢钥紤]現(xiàn)在Internet接入的費(fèi)用日趨下降，利用當(dāng)?shù)豂SP提供的寬帶網(wǎng)絡(luò)服務(wù)接入到Internet，再利用Internet公眾網(wǎng)絡(luò)使分校區(qū)與中心校區(qū)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。在公用全球性網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)都不能算是安全的，學(xué)校內(nèi)部公告、教科研進(jìn)展動(dòng)態(tài)、師生基本信息等則需要保密，不可以直接暴露在公眾網(wǎng)絡(luò)，以上的需求可通過VPN方式來進(jìn)行網(wǎng)絡(luò)互聯(lián)得以解決。在各校園內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的邊界處增添VPN網(wǎng)關(guān)，來監(jiān)控所流經(jīng)的數(shù)據(jù)，并通過不同的ISP所提供的網(wǎng)絡(luò)服務(wù)將校園網(wǎng)中每個(gè)獨(dú)立的內(nèi)部網(wǎng)絡(luò)連入互聯(lián)網(wǎng)。既利用Internet節(jié)省了原有的高額的專用線路租用費(fèi)，又達(dá)到了一定強(qiáng)度的安全性，且提高了整個(gè)網(wǎng)絡(luò)的吞吐率。

典型應(yīng)用二：校外終端對(duì)校內(nèi)網(wǎng)絡(luò)資源的安全訪問

需求：學(xué)校在外人員利用計(jì)算機(jī)通過互聯(lián)網(wǎng)也能夠較安全地訪問學(xué)校。

解決方案：以往師生只能通過公用全球性網(wǎng)絡(luò)的電子郵件信箱或匿名FTP來進(jìn)行資料交換，而且經(jīng)常受到信箱大小的限制或匿名FTP不安全因素的威脅。使用專線連接內(nèi)部局域網(wǎng)，則需昂貴的費(fèi)用。實(shí)則現(xiàn)在師生使用的操作系統(tǒng)一般為WindowsXP或Windows7，可以直接利用操作系統(tǒng)內(nèi)置的VPN撥號(hào)功能來實(shí)現(xiàn)異地、安全、低資費(fèi)連入到中心校區(qū)網(wǎng)絡(luò)中。不過這類VPN網(wǎng)絡(luò)一般性能較差，數(shù)據(jù)傳輸速率較低，安全性方面也比較低?？紤]用輔助硬件平臺(tái)VPN。SSLVPN的實(shí)現(xiàn)方式是在學(xué)校的防火墻后面放置一個(gè)SSLVPN網(wǎng)關(guān)，如果師生希望安全地連接到學(xué)校網(wǎng)絡(luò)上，那么當(dāng)師生在瀏覽器上輸入一個(gè)URL后，連接將被SSLVPN網(wǎng)關(guān)取得，并驗(yàn)證該用戶的身份，然后SSLVPN網(wǎng)關(guān)將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間連接，這樣師生無論身處何地，都可以利用當(dāng)?shù)氐腎SP連回中心校區(qū)，使用中心校區(qū)的網(wǎng)絡(luò)資源，收發(fā)資料等，顯著提高教育教學(xué)效率。

5總結(jié)

我們可以選擇不同的VPN設(shè)計(jì)方案，但是選擇結(jié)果只是相互比較后的結(jié)果，并不意味著該選擇完全符合實(shí)際需要。所以，應(yīng)在保持足夠開放性的同時(shí)，對(duì)設(shè)計(jì)方案進(jìn)行擴(kuò)展，根據(jù)現(xiàn)有設(shè)備情況開發(fā)適合本校的VPN實(shí)例，解決校園網(wǎng)存在的一些問題并優(yōu)化校園網(wǎng)的管理和應(yīng)用。

參考文獻(xiàn)：

[1]喬河寬.VPN技術(shù)在多校區(qū)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用[J].中國電子商務(wù)，2011（12）.

[2]劉洋.IPSECVPN和SSLVPN的分析比較[J].電腦知識(shí)與技術(shù)，2009（4）.

[3]張仕斌，潭三，易勇，等.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，2006.