APP下载

VPN技术在高校数字资源共享中的应用*

2012-10-12

河南图书馆学刊 2012年1期
关键词:校园网网关客户端

吴 旻

(西北大学图书馆,陕西 西安 710069)

随着高校信息化建设的逐渐完善,高校图书馆承担着校园网绝大多数数据的传输和信息发布,为读者提供网上浏览、信息查询、数据库检索、信息咨询等服务。通过已建成的信息系统(如图书管理系统、OA系统、数字图书资源、文献数据库等),校园网内读者可以通过网络迅速地获取信息。然而,为了提高服务质量,读者需要异地、移动等多种远程访问的场合越来越多。本文通过分析VPN(虚拟专用网)的技术特点与原理,结合图书馆数字资源网络服务的实际工作特点,介绍一种利用VPN技术做好高校数字资源共享的方法。

1 VPN技术用于高校数字资源网络服务的必要性

1.1 外联信息交换面临的安全威胁

由于Internet网采用的TCP/IP协议对任何数据都以明文的方式进行传输,整个信息服务都暴露在Internet网上,很容易被入侵者窃取或篡改,造成以下安全威胁。

(1)非授权访问:分支机构、在外工作人员基于互联网来访问校园网内图书馆的信息网络,传输的口令或密码没有采取任何加密措施的情况下,容易造成泄露,被攻击者利用,造成非授权访问。

(2)信息篡改:总校区或分校区的分支机构和在外工作人员进行数据访问的过程中,数据以明文的方式传递,容易被窃听和篡改。

(3)访问行为抵赖:部分分支机构、在外工作人员存在IP地址不固定现象,易造成抵赖行为。

1.2 分校区办公和在外工作人员的安全接入

对于图书馆来说,文献信息资源并不是无限制地对外开放,我们购买的数据库资源必须是校园网的合法用户(访问者的IP地址作为合法用户的依据)才能使用。但是随着宽带网络的大范围普及,更多的教师希望能够在家或出差在外以及各个分校和主校区之间都能实现对校园网内图书馆资源的访问。数字图书馆远程访问系统VPN的出现很好地解决了这个问题。

2 VPN在高校数字资源共享中的解决方案

2.1 VPN技术

VPN是一种公用网络,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,实现企业总部、分支机构、合作伙伴及移动办公人员之间互联互通和资源共享技术。VPN技术包括基于二层的PPTP/L2TP;基于三层的 IPSEC VPN;基于七层的SSL VPN技术。IPSEC VPN和SSL VPN应用广泛。

IPSEC VPN:IPSEC VPN是在特定的通信方之间在IP层通过加密与数据源进行验证,保证数据包在公网上传输时的保密性、完整性和真实性,适用于在局域网之间,建立基于互联网之间的安全传输通道。

SSL VPN:主要的浏览器和WEB服务器都支持SSL VPN,对于Web信息传输通道的机密性及完整性,SSL是最佳的解决方案,无需被加载到终端设备上,无需终端用户配置,无需限制终端,只需标准浏览器即可。

2.2 技术方案分析

IPSEC VPN和SSL VPN各具特色,IPSEC VPN的普遍适用性、SSL VPN的方便性等,我们将从以下方面进行分析。

2.2.1 选择合适的接入方式

SSL VPN设备通常以并联的方式接入网络,对网络结构不会产生影响;IPSEC VPN存在两种方式:串联,设备串在网络中,网络流量贯穿其中,设备故障将导致传输中断。并联,旁路方式接入网络,对网络结构不产生影响。因此,尽可能选择并联接入方式。

2.2.2 选择便于扩展的设备及结构

VPN设备因性能问题存在接入数量的限制,IPSEC VPN限制隧道数和移动用户接入数;SSL VPN限制用户接入数量。选择设备时,须考虑设备的扩展性,同时选择便于扩展的网络结构,并联方式不影响网络结构便于扩展。

2.2.3 选择多种VPN技术以适应情况变化

IPSEC VPN为网络层加密隧道,属全网接入方式,分支局域网通过网络建立隧道或者用户通过移动客户端接入后,能够对内网的网络资源进行访问,不受业务提供方式限制。当某些用户在没有移动客户端的情况下,SSL VPN凸显了不需要安装客户端的特点。因此,最好的方式是以IPSEC VPN接入为主,SSL VPN为辅。

2.3 系统安全策略设计思路

VPN设备实现身份认证和访问授权:保证合法用户的合法接入,并且只能访问授权内的办公资源用户进行身份认证和访问授权。IPSEC VPN和SSL VPN技术都采用安全加密技术和身份认证技术保障数据的加密传输。

VPN安全技术实现通信内容安全:选择具有防火墙、防病毒和内容过滤等功能的VPN网关,并且各功能相互融合,VPN数据进行检查从而拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全。

图1 VNP方案设计拓扑图

3 VPN方案设计

3.1 设备部署

VPN网关设备部署:VPN网关设备并联部署在中心机房各分支机构的防火墙之上(如图1所示)。

VPN客户端部署:在每台移动办公设备上统一安装客户端软件。

VPN集中管理软件:软件分为服务器、管理控制器和数据库三部分,分别部署在图书馆中心机房安全服务器区的服务器上。

3.2 方案安全性策略描述

(1)结构保障系统可用性:VPN网关并联接入,当设备断电或故障时,不影响各局域网员工访问互联网资源;并联方式便于扩充,通过简单的加入交换设备进行设备扩充。

(2)技术选择保障系统可用性:IPSEC VPN与SSL VPN的混合使用。正常情况下使用IPSEC VPN,任何种类的应用。在缺少VPN网关和客户端的时候使用SSL VPN临时接入,无条件支持B/S服务;采用端口转发、全网接入等技术,通过插件实现对C/S服务访问。

(3)管理保障系统可用性:通过集中管理软件的帮助,实现客户端自动部署,提高了自动部署的机动性和灵活性;增大管理容量。

(4)VPN隧道安全技术组合:利用IPSEC VPN和SSL VPN二合一网关上的IPSEC VPN功能建立与数据中心、各分支机构和移动办公终端的VPN通道,实现数据通信的机密性、完整性;在没有VPN网关设备和VPN客户端的情况下,通过浏览器与图书馆数据中心建立SSL VPN隧道,实现安全数据通信;利用身份认证功能,实现对访问校园网的用户、局域网的访问的身份认证和授权;利用防火墙、病毒防护、内容过滤等功能,对访问数据进行过滤,实现VPN的安全控制和功能。

3.3 方案效果

通过VPN设备的部署和安全策略设置,使图书馆网络服务实现了基于互联网的安全延伸,并具有以下良好效果:旁路接入的方式,对现有网络结构的影响减少到最小,有效保障网络结构的稳定性并具有良好的扩展性;通过综合使用IPSEC VPN和SSL VPN技术,覆盖了各种情况下的远程接入,具有良好的环境适应能力;通过VPN设备上的病毒过滤功能的启动,尽量减少移动用户对内网的影响;通过认证技术具有一定的抗抵赖性,通过加密技术保障数据传输的完整性和保密性。

4 制定方案需要注意的问题

4.1 保证校园网及图书馆网络的安全

产品在客户端与网关进行连接时,采用应用层进行控制,防止病毒、木马、蠕虫通过远程访问方式进入校园网进行传播;其次是在用户组和用户管理方面对用户组权限可以做详细的划分,用户只能浏览和运行我们授权其使用的校园网和电子资源。

4.2 保护数据库提供商的数字版权

在建设远程访问时,我们也必须考虑到数据版权方面的纠纷,应该做到对用户身份的强认证,保证每一个远程访问的使用者都是学校的合法用户。

4.3 有效预防恶意下载数字资源的情况发生

有些学校曾经遇到由于无法限制用户的下载流量,而经常发生恶意下载,影响了广大师生的正常访问秩序,并给大学的声誉带来了负面的影响,而且事后的警告并不会减少其他用户恶意下载的发生。对此,学校在使用了远程访问系统之后,可以在设置用户组权限时,给不同的用户组设置不同的在线时长、最大流量、平均流量等几个指标来综合限制用户的下载流量。当用户发生大流量下载时,系统会自动中断客户端与网关之间的连接,并将用户挂起,待管理员重新激活该用户时此用户才能正常使用。

4.4 方便用户申请、下载客户端、使用客户端

由于现在的大学规模越来越大,有远程访问使用需求的人员也越来越多,如果所有的人员都需要手工审核用户、建立用户、分发密码、安装客户端,必须考虑VPN产品可以方便快捷地解决这个问题。

4.5 监控用户的下载流量、资源使用情况

用户日志也是很多大学所关心的问题,通过用户活动记录可以随时调整系统设定和工作进程。所以,远程访问系统应该具有完备的网关流量审计、用户流量和行为审计,并且增加资源访问审计系统可以统计管理员设定的各种电子资源的访问流量和访问次数,为购买数据和资源整合提供依据。

4.6 扩展远程访问的应用,服务于学校自建数据库的推广

各个大学图书馆有相应的办公系统、自动化系统、自建特色库和专题库等等,通过远程访问系统自身先进的网络协议去完全承载各种形式的办公系统软件。使学校的老师在授权的范围内可以方便的做到远程办公、远程查重、远程借还书等等工作,扩展了远程访问系统使用空间,并且对自建数据库的访问用户进行严格的权限控制、严格的身份认证以及较高的加密强度,以便对自建库进行推广,使其发挥更大的作用。

5 结语

VPN利用公用网组建虚拟的专用网,使用计算机和计算机网络在校园网外就可以对数字资源随时进行访问,提高了数字资源的利用率,为读者提供数字资源共享服务。目前,市场上有多个公司的多种VPN产品,这些产品提供的功能和网络性能也不尽相同。我们可以根据本单位的具体情况。选择不同的产品,实现数字资源安全、低成本的远程访问。

[1]刘洋.IPSEC VPN和SSL VPN的分析比较[J].电脑知识与技术,2009(4).

[2]张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7).

[3]王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆建设,2006(5).

[4]张文丰.VPN技术在档案信息化中的应用[J]. 科技资讯,2007(25).

[5]邓永红.虚拟专用网技术综述[J].有线电视技术,2005(2).

猜你喜欢

校园网网关客户端
数字化校园网建设及运行的几点思考
如何看待传统媒体新闻客户端的“断舍离”?
试论最大匹配算法在校园网信息提取中的应用
县级台在突发事件报道中如何应用手机客户端
孵化垂直频道:新闻客户端新策略
NAT技术在校园网中的应用
LTE Small Cell网关及虚拟网关技术研究
应对气候变化需要打通“网关”
VPN在校园网中的集成应用
一种实时高效的伺服控制网关设计