VPN在高校中的應(yīng)用探討

VPN技術(shù)在高校圖書館中的應(yīng)用探討互聯(lián)網(wǎng)的普及、移動(dòng)通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共享成為可能。中國(guó)高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點(diǎn)之一，電子圖書館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點(diǎn)。國(guó)內(nèi)很多高校近幾年都從網(wǎng)上購置了大量的電子數(shù)據(jù)供廣大師生開展教學(xué)研究。這些資源對(duì)于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點(diǎn)。然而，數(shù)字圖書館的版權(quán)問題不容忽視，不管什么類型的圖書，都要遵循數(shù)字版權(quán)保護(hù)(DigitalRightsManagement，DRM)的規(guī)定，通過安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對(duì)數(shù)字產(chǎn)品非授權(quán)使用。正是在這樣一種保護(hù)知識(shí)產(chǎn)權(quán)的背景下，高校圖書館所購買的電子資源大部分都有限制訪問的IP地址范圍。即：采購的這些數(shù)據(jù)庫不是存放在圖書館服務(wù)器上，而是存儲(chǔ)在提供商的服務(wù)器上，圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的IP地址來判斷是否是經(jīng)過授權(quán)的用戶。只要是從校園網(wǎng)出去的IP地址都是認(rèn)可的，因?yàn)樾@網(wǎng)出口IP和部分公網(wǎng)IP地址是屬于這個(gè)有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計(jì)算機(jī)都可以使用。如果教師、學(xué)生在家里上網(wǎng)或者一個(gè)老師到外地出差需要訪問這些電子資源，無論采用PSTN撥號(hào)、ADSL、小區(qū)寬帶，使用的都是社會(huì)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的IP地址，不是校園網(wǎng)的IP地址范圍，因此數(shù)據(jù)庫服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開放更多的IP地址為合法用戶，但是這要求訪問者的IP地址是固定的、靜態(tài)的，而實(shí)際上，絕大多數(shù)校外用戶使用的都是動(dòng)態(tài)IP地址，是不確定的，所以數(shù)據(jù)庫服務(wù)商無法確定訪問者的合法身份，因而自動(dòng)屏蔽。因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問電子圖書館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過鑒權(quán)后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫。到底有沒有這樣一種方案呢？虛擬專用網(wǎng)即VPN技術(shù)，給了我們很好的答案。VPN是虛擬專用網(wǎng)的簡(jiǎn)稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（InternetServiceProvider服務(wù)提供商）和其它NSP（NetworkServiceprovider網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動(dòng)態(tài)組成的。實(shí)際上，目前國(guó)內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用VPN技術(shù)來解決這個(gè)問題，而且大多是采用的IPsecVPN技術(shù)。利用IPSEC技術(shù)，校外用戶在本機(jī)安裝一個(gè)VPN客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡(luò)，IPSECVPN中心端會(huì)給每個(gè)遠(yuǎn)程用戶分配一個(gè)校園網(wǎng)IP地址，從而實(shí)現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問電子資源。雖說IPSecVPN是目前VPN的主流技術(shù)之一，但I(xiàn)PSEC協(xié)議最初是為了解決sitetosite的安全問題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來越多的endtosite應(yīng)用情況下已經(jīng)力不從心。首先是客戶端配置問題：在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了IPSec客戶端難以配置和維護(hù)的問題，但是還是無法避免在每個(gè)終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對(duì)數(shù)量也不少。其次是IPSecVPN自身安全問題：往往傳統(tǒng)的IPSec解決方案都沒有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對(duì)不同用戶身份設(shè)定對(duì)不同資源的訪問權(quán)限上也存在不少缺陷（隨著技術(shù)的發(fā)展，新興的VPN廠商已經(jīng)著手改進(jìn)這些問題并取得了相應(yīng)的成績(jī)）。然后是對(duì)網(wǎng)絡(luò)的支持問題：傳統(tǒng)的IPSecVPN在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于IPSecVPN對(duì)防火墻的安全策略的配置較為復(fù)雜（往往要開放一些非常用端口），因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。最后是移動(dòng)設(shè)備支持問題：隨著未來通訊技術(shù)的發(fā)展，移動(dòng)終端的種類將會(huì)越來越多，IPSec客戶端需要有更多的版本來適應(yīng)這些終端，但隨著終端種類的爆炸性增長(zhǎng)，這幾乎是不可能的。因此，SSLVPN技術(shù)應(yīng)運(yùn)而生。SSLVPN的突出優(yōu)勢(shì)在于Web安全和移動(dòng)接入，它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對(duì)SSLVPN公認(rèn)的三大好處是：首先來自于它的簡(jiǎn)單性，它不需要配置，可以立即安裝、立即生效；第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的InternetIP即可成功接入圖書館，SSLVPN技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問都是以SSLVPN設(shè)備的LAN口的名義發(fā)起的，所以只要SSLVPN設(shè)備的LAN口IP是一個(gè)合法的校園網(wǎng)IP，所有成功接入SSL的校外用戶都可以成功訪問這個(gè)SSLVPN設(shè)備LAN口所能訪問的資源。但SSLVPN并不能取代IPSecVPN。因?yàn)?，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過Internet建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來看，由于SSL接入方式下所有用戶的訪問請(qǐng)求都是從SSLVPN設(shè)備的LAN口發(fā)起的，對(duì)于那些對(duì)單個(gè)用戶流量有嚴(yán)格限制的資源商來說，這些SSL用戶的訪問會(huì)被當(dāng)成一個(gè)用戶對(duì)待，很快就會(huì)因?yàn)檫_(dá)到資源商的流量限制而造成該IP被禁用，也就導(dǎo)致所有SSL用戶無法繼續(xù)訪問圖書館資源。那么，高校圖書館應(yīng)該選擇何種VPN技術(shù)以解決目前校外用戶合理訪問圖書館各類資源的需求呢？從目前圖書館使用的情況來看，比較合理的應(yīng)用方式應(yīng)該是IPSEC和SSL共同使用。正如我們前面所分析的，上游資源商對(duì)于資源的應(yīng)用是有限制的，除了限制發(fā)起請(qǐng)求的IP地址外，還會(huì)限制單個(gè)IP地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個(gè)類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶（以教師為主，數(shù)量較少），另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶（以學(xué)生為主，數(shù)量較多），通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配IPSEC接入方式，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個(gè)IP流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學(xué)生用戶分配SSL接入方式，利用SSLVPN無需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)VPN在圖書館應(yīng)用的快速部署。經(jīng)過長(zhǎng)時(shí)間的測(cè)試，華師圖書館選擇使用國(guó)內(nèi)專業(yè)VPN廠商深信服科技推出了IPSEC/SSL一體化VPN平臺(tái)：SinforM5100-S。該產(chǎn)品在一臺(tái)網(wǎng)關(guān)上同時(shí)集成了IPSEC和SSLVPN功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度的降低整個(gè)VPN產(chǎn)品的投入，滿足教育行業(yè)低成本高效率IT建設(shè)的需求。除了具有集成IPSEC和SSLVPN功能這個(gè)最大特色外，作為新一代的遠(yuǎn)程接入解決方案，深信服科技推出的IPSec/SSL一體化的SinforM5100－S還具有幾個(gè)明顯特點(diǎn)，更加符合校園圖書館應(yīng)用需求，部署圖如下：方便易用由于IPSEC客戶端在部署過程中需要進(jìn)行配置，這嚴(yán)重影響了整個(gè)VPN系統(tǒng)在圖書館應(yīng)用中的使用，對(duì)于大量的校外用戶來說，VPN僅僅是其實(shí)現(xiàn)訪問校園網(wǎng)資源的一個(gè)途徑，如果需要其掌握專業(yè)的技術(shù)才能應(yīng)用，必將極大影響整個(gè)應(yīng)用的部署。針對(duì)以上難題，深信服科技推出了基于USBKEY的客戶端零配置功能，可以將遠(yuǎn)程用戶的安全策略存儲(chǔ)在類似U盤的USBKey(又名DKEY)中。這樣遠(yuǎn)程用戶隨身攜帶標(biāo)識(shí)自己身份和存儲(chǔ)了對(duì)應(yīng)安全策略配置信息的DKEY，可以在任何一臺(tái)電腦安全的接入到圖書館。安裝好IPSEC客戶端軟件后，用戶無需進(jìn)行任何配置，只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機(jī)一樣安全方便。多線路智能選路，解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)互連問題目前，大規(guī)模VPN網(wǎng)絡(luò)往往都是跨運(yùn)營(yíng)商的。但是國(guó)內(nèi)運(yùn)營(yíng)商間互聯(lián)互通的帶寬過低，導(dǎo)致不同運(yùn)營(yíng)商間的訪問速度很低，嚴(yán)重影響了VPN的應(yīng)用效果。作為國(guó)內(nèi)領(lǐng)先的VPN和網(wǎng)絡(luò)安全研發(fā)產(chǎn)商，深信服科技在IPSecVPN中，創(chuàng)新性地采用了多線路智能選路功能，并成功應(yīng)用到IPSec/SSL一體化網(wǎng)關(guān)－SinforM5100－S中。對(duì)于分布到不同運(yùn)營(yíng)商網(wǎng)絡(luò)的遠(yuǎn)程接入用戶，M5100-S會(huì)自動(dòng)遷移到最快的線路上。只要在VPN總部端，申請(qǐng)多條運(yùn)營(yíng)商線路，便能最有效地解決跨運(yùn)營(yíng)商之間連接延遲大、帶寬小的問題。若要解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)互連出現(xiàn)的問題，通常其他方案則需要單獨(dú)購買一個(gè)線路負(fù)載均衡器，才能實(shí)現(xiàn)多線路負(fù)載均衡的效果。而SinforM5100-S的多線路負(fù)載均衡，為高校圖書館節(jié)省了采購成本，并且降低了日后的維護(hù)量。對(duì)于高校圖書館來說，大量校外用戶是采用電信提供的ADSL等上網(wǎng)線路，其直接訪問教育網(wǎng)資源的速度并不理想，利用多線路智能選路這個(gè)功能，圖書館僅需向電信運(yùn)營(yíng)商申請(qǐng)一條普通線路（如ADSL），即可實(shí)現(xiàn)校外用戶的高速訪問多種認(rèn)證方式，高安全性SINFORM5100－S中SSLVPN采用SSL協(xié)議加密建立安全的專用加密通道，除了使用1024位的非對(duì)稱密鑰加強(qiáng)安全性，還使用DKEY(一種USB的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證，并使用PIN碼保護(hù)DKEY的安全。這種USBDKEY可以支持兩套VPN系統(tǒng)，安全方便。SINFORM5100－S內(nèi)置有LDAP/AD、Radius、SecurID、短信認(rèn)證等多種安全認(rèn)證方式，可以根據(jù)相應(yīng)的安全級(jí)別，對(duì)客戶端組合幾種認(rèn)證方式，最大限度地保證了接入用戶的合法性。同時(shí)，由于在隧道連接過程中，SINFORSSLVPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠(yuǎn)程客戶端入侵VPN網(wǎng)絡(luò)的可能。更細(xì)致的訪問控制功能、完善的用戶和資源管理SINFORM5100－S通過獨(dú)特的角色管理功能，提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分。通過給不同用戶設(shè)置不同角色來分配訪問授權(quán)，一個(gè)用戶可以賦予多個(gè)角色以適合各種復(fù)雜的組織結(jié)構(gòu)。基于角色的訪問限制為網(wǎng)絡(luò)提供了較強(qiáng)的安全性。通過合理的角色劃分，管理員可以根據(jù)遠(yuǎn)程用戶的身份和權(quán)限為其分配可供其訪問的各種電子資源，如教師可以訪問國(guó)外的各種資源，而學(xué)生用戶則僅能訪問國(guó)內(nèi)教育網(wǎng)資源。通過行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問記錄。SINFORM5100-S內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導(dǎo)入。M5100-S支持LDAP/AD、RADIUS等第三方認(rèn)證，可以根據(jù)組、公用帳號(hào)、私有帳號(hào)等多種方式對(duì)用戶進(jìn)行管理。同時(shí)，M5100-S集成了組用戶并發(fā)限制、公用帳號(hào)并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在M5100-S直觀式管理圖形用戶界面（GUI）的實(shí)時(shí)監(jiān)控狀態(tài)欄中，可以實(shí)時(shí)地監(jiān)控用戶的接入情況，觀察整個(gè)VPN系統(tǒng)的運(yùn)行狀況。支持動(dòng)態(tài)ip、方便易用 由于寬帶的普及以及ADSL資費(fèi)的降低，國(guó)內(nèi)中小型企業(yè)通常采用ADSL撥號(hào)等動(dòng)態(tài)ip的方式接入互聯(lián)網(wǎng)。SinforM5100－S集成了深信服科技的基于web的動(dòng)態(tài)ip尋址技術(shù)，使的SinforM5100－S在部署的時(shí)候無需固定ip，完全支持動(dòng)態(tài)ip。并且，當(dāng)企業(yè)在使用M5100－S的SSLVPN功能時(shí)，可以使用和IPSecVPN相同的webagent來解析網(wǎng)關(guān)的動(dòng)態(tài)ip，減少了管理員的維護(hù)量。移動(dòng)辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時(shí)，也更加便捷。由于支持動(dòng)態(tài)ip，M5100-S同樣也適合中小型企業(yè)。傳統(tǒng)的IPSECVPN在部署客戶端的時(shí)候，往往需要復(fù)雜的安裝和配置。借助于SinforM5100-S獨(dú)創(chuàng)的基于web的IPSec客戶端在線安裝方式，用戶可以很方便安裝使用IPSecVPN?？梢越Y(jié)合自身的需求，按需部署IPSec/SSLVPN網(wǎng)絡(luò)。適應(yīng)廣泛SINFORM5100－S不僅提供對(duì)Web系統(tǒng)的安全訪問，還能通過sslproxy技術(shù)