摘要：信息安全新专业建设中，理论教学要以有效的实践环节作支撑，确保实验内容具有科学性、先进性和应用性，还要适当兼顾基础专业实验设备的资源共享，节省建设资金。VPN技术作为网络安全典型技术，学校有必要为学生开设此实验。文中给出了如何在公共基础实验室现有的实验环境中开设VPN实验。
　　关键词：网络实验室；安全专业实验；虚拟专用网；资源共享
　　文章编号：1672-5913(2010)08-0129-03
　　中图分类号：G642
　　文献标识码：B
　　
　　随着经济全球化和市场的发展，信息需求量日益增长。由于信息在网络上传输可能会导致泄密，信息安全已成为国家安全、社会安全和经济安全的重要组成部分，信息安全保障能力成为一个国家综合国力的重要组成部分。社会对信息安全专业人才的需求量达几十万人，为解决供需矛盾，加快培养信息安全领域的专业人才已成为当务之急。2001年经教育部批准，武汉大学创建了全国第一个信息安全本科专业。随后，2003年北京工业大学计算机学院也开始招收信息安全专业(以下简称安全专业)本科生。
　　安全专业是计算机、通讯工程、数学专业等领域的交叉学科，安全专业的建设，尤其是实践教学建设一直是各院校探索并逐步走向完善的艰巨任务。
　　
　　1
　　安全专业应以有效的实践环节作支撑
　　
　　安全专业是理论性强、比较枯燥、不容易理解但又应用广泛且实用性非常强的学科。为提高教学质量，应突出实践教学在安全专业课程中的地位和作用，理论教学要以有效的实践环节作支撑，以实践验证理论，以实践调动学生学习的积极性和主动性，通过实践尽快掌握理论知识和专业技能。实验教学要以实用性强和应用广泛的经典实例为实验教学的基础，加大加强实验环节在安全专业教学中显得尤为重要。
　　
　　
　　2　基础网络实验室开设安全专业实验课
　　
　　安全专业是一个新专业，又是多学科交叉且实践性很强的学科。每年只招收1～2班，建立专用学科实验室目前不大可能。如何在现有公共基础网络实验室的基础上建设有特色、有针对性和先进的安全专业实验室，是一个值得探讨的问题[I-2]。目前我们充分利用网络技术，综合网络实验室现有的设备环境，在公共基础网络实验室开设VPN(虚拟专用网)安全专业实验课。
　　
　　2，1VPN典型的应用
　　VPN的典型应用是总公司与异地子公司之间的业务信息加密传输。比如：北京总公司为了更好的发展业务，需要在上海等地建立分公司。为了确保机密数据传输相对安全，可以采用专线进行业务联系，但专线的租赁费用非常昂贵。VPN技术的出现使得上述问题迎刃而解，
　　可以使用站到站(site-to-site)模式的VPN技术，在总公司和分公司之间建立IPSEC安全隧道，确保信息在VPN隧道中实现安全通讯。网络拓扑如图1所示。
　　实验使用的设备有Cisco26系列路由器二台、Cisco2950交换机二台、PC机不限。在总公司和子公司中各选一PC机，在PC机上通过软件配置实现VPN网关，其他PC可以配置为服务器和工作站。在Cisco2950交换机划分VLAN，将内部网与外部可访问服务器做有效隔离。在Cisco26系列路由器配置单臂路由，实现VLAN间的访问，这样就可以实现VPNSite-to-Site模式实验。这些设备均为网络实验室必备设备，因此在不增加任何费用的情况下，可以开设典型安全实验。
　　实验要求：(1)实验采用IPSEC安全协议；(2)通过VPN隧道在Internet上安全、加密连接服务，实现站到站的远程访问，保证各分支机构之间数据安全传输；(3)同学可以考虑在通道上使用HUB或者交换机的端口映射功能观察数据是否被加密。
　　
　　2，2开设VPN实验的理由
　　安全专业实验教学应该综合现代科技发展的新知识、新技术和新实验教学方法，实验教学改革要具有较强的应用性、先进性、代表性和方向性，实验内容要充分体现时代特征和现代科学技术，突出锻炼培养学生的独立思考和解决问题的能力。
　　VPN技术作为典型的信息安全技术，学校有必要为学生开设此实验。VPN技术是解决Internet上的数据传输安全问题而越来越成为各界公认的热门技术之～。因为以Internet为代表的网络迅速发展，使得电子政务、电子商务等信息系统在军事、政治、金融、商业等对外关系及合作范围也越来越广，各部门敏感信息、工作数据和财务记录可能被截取。VPN最主要的优点是使用跨越公网加密替代传统的专线，降低了成本，增加了灵活性。应用VPN技术的目的是解决数据传输的安全问题，保证网络内部的关键敏感数据能够借助公共网络安全地进行数据的交换。
　　
　　2，3VPN技术
　　VPN(虚拟专用网)技术是利用开放的公用网络(以Internet为基础)，建立一条临时的、安全的、私有内部的专用网，通过采用安全隧道技术、加密技术和认证技术，实现具有高度安全性能相似专用的网络。安全隧道技术是VPN技术的底层支持技术，所谓安全隧道技术在网络中实质上是一种封装技术，将一种协议封装在另一种协议中传输，实现协议对公用网的透明性。
　　VPN隧道协议通常是在OSI体系结构的第二层和第三层中实现，如图2所示。第二层(链路层)主要隧道协议有PPTP、L2P、L2TP等，第三层(网络层)主要隧道协议有IPSec、GRE等。第二层和第三层的本质区别在于：用户的IP数据包被封装在不同的数据包中在隧道中传输。
　　
　　2，4通过实践教学让学生掌握更多先进技术
　　安全专业实验教学最显著的特点就是“实践验证理论”。实验教学的目的是运用实验的方法，验证并巩固课堂讲述的理论。开设具有先进性、广泛应用性、实用性强和具有探索性的实验题目如：ACL访问控制技术、网络攻防、病毒分析与对抗、VPN技术、加密解密算法的实现等等。使学生真正体会到“实验教学是认识世界的一个重要源头”。这些安全实验都可以通过整合现有网络实验室设备开发出来，充分利用现有资源，实现资源共享。
　　
　　2，5鼓励学生自动走进实验室
　　根据实验室现有环境，学生可以自带教学以外感兴趣实用性、工程性较强的题目，个人或小组来实验室做实验。学生自己设计实施方案、画出实验拓扑图、自己连接物理环境，自己解决实验中遇到的问题，通过实践锻炼学生的思考分析问题的能力、应变和创意能力，培养学生自学和解决问题的能力。
　　
　　3　充分利用现有资源提高设备利用率
　　
　　实验室是高校进行教学、科研的重要基地，其地位和作用随着实验手段的现代化和新学科不断发展越来越被人们高度重视。要坚持以教学为主的原则，确保实验室建设具有科学性、先进性，适当兼顾基础教学设备、专业实验设备的共享。
　　在实验室管理、实验室建设、基础实验教学和专业实验教学等方面要有全局意识，各实验室不要相对独立，不能追求小而全，这样容易造成财务资源的浪费，有制约实验教学的发展和创新，影响实验教学和学科建设的发展。实验室建设要有整体长远规划(起码保持5年内科学性、先进性、综合性、合理性)，要坚持合理配置、资源共享的原则。公共基础实验室和学科专业实验室尽可能建立在学科发展基础上，以扩大受益范围，减少开支，避免重复投入。资源共享多学科使用，使实验设备利用率大大提高。
　　目前此实验是在本校计算机学院实验中心的网络实验室中开展的，网络实验室一直承担着本校的计算机网络实验，开设了路由协议、交换、网络通信等基础实验。根据图1可以看出，VPN实验使用的设备有Cisco26系列路由器二台、Cisco2950交换机二台、PC机等，现有的网络实验室设备完全能支撑VPN安全实验，开设实验时只需重新配置一下网络拓扑即可。因此在上述原则下，应在现有的网络实验室中尽可能地挖掘潜力，共享实验设备资源，开发出新的信息安全实验。
　　
　　4　结语
　　
　　实验室是高校进行教学、科研的重要基地，其地位和作用随着实验手段的现代化和新学科不断发展越来越被人们高度重视。理论教学要以有效的实践环节作支撑，大胆尝试和摸索信息安全专业实验教学的设计和方法，确保实验内容具有科学性、先进性和应用性，还要适当兼顾基础教学设备、专业实验设备的共享。
　　随着经济全球化信息技术的日益发展，信息安全人才的需求量也与日俱增，安全专业在高校作为一个新专业，搞好学科建设、搞好实验室建设和实验教学还有待我们教师共同去努