黄磊

（毫州学院，安徽　毫州　236800）

基于VPN技术的校园网络安全体系构建

黄磊

（毫州学院，安徽毫州236800）

VPN技术指的是利用网络运营商提供的互联网建立一个虚拟私有通道的网络安全防护技术，为用户在开放的公共网络环境下临时搭建一个专用数据传输隧道，同时对在虚拟专用隧道中传输的数据进行加密，以达到专网专用的目标.随着现代高校信息化建设的持续推进，校园网络需要一个安全稳定、简洁实用的安全体系，以确保校园网络的正常运行.本文基于VPN技术，提出了校园网络安全体系构建方案，具有一定的实践应用价值.

VPN技术；网络安全体系；网络安全

1　引言

目前，大多数高校都建立了校园网络，校园网络承担着科学研究平台和教育教学资源利用的重要作用.近几年来，校园网络发展建设速度非常快，其教育教学资源优势使得校园网络成为了教师和学生信息交流和沟通的重要工具.随着高校扩招规模的进一步扩大，越来越多的高校开始建立各类分校区，如何确保高校各个校区之间数据信息传输的安全性和稳定性，保证处于偏远地区的分校区教师和学生随时可以访问校园网络资源，成为了高校信息化建设中亟待解决的问题.如果仍然采用传统的校园网络安全防护模式是无法实现的，尤其对于校园网络提供的涉及个人隐私信息的服务，包括学生一卡通业务、图书馆资源下载等，更需要保证数据传输的安全性和可靠性.因此，本文提出利用VPN技术构建一个成本低廉、简单易用的校园网络安全体系，以满足校园网络的安全需求.

2　VPN的概念和关键技术

VPN技术，即虚拟专用网络技术，指的是利用网络运营商提供的公共网络临时搭建一个安全、稳定、可靠的虚拟专用数据传输隧道.

2.1隧道技术

隧道技术是实现数据在VNP中传输的关键技术，是利用某一中协议实现的另一种协议数据传输技术，其本质是通过隧道协议实现的，主要包括隧道协议、传输协议和乘客协议.隧道协议的功能是建立、保持和拆除数据传输隧道；传输协议是根据隧道协议的定义实现数据传输功能；乘客协议主要是实现数据封装.利用隧道协议进行传输的数据包和数据帧本身有着不同协议，由隧道协议将数据包和数据帧封装之后再实现传输，使封装之后的数据包和数据帧准确到达目的地址，再通过解封之后获得原始数据包和数据帧.

2.2用户认证技术

在建立虚拟专用隧道传输数据之前，一般要利用用户认证技术来验证用户真实身份，以确保对网络资源的访问控制.用户认证协议的摘要技术利用哈希函数对数据报文的实际长度进行一系列变换，获得长度相同、固定不变的报文摘要.但是，由于哈希函数本身特性难以控制，导致在不同的数据报文中寻找长度固定相等的报文摘要非常困难.

2.3数据加密技术

数据包在虚拟专用网络中的传输主要采用数据加密技术对数据信息进行加密和隐藏.如果数据包在不安全的网络环境下传输，及时已经通过了用户身份认证，也不能确保VPN的安全可靠.因此，在数据发送的隧道一端，应该对用户身份认证进行加密，再完成加密数据的传输.同样，在数据接收隧道一端，已经完成身份认证的用户可以将加密数据进行解密，最终获得原始数据.数据加密技术包括对称加密和非对称加密两种，一般情况下采用的是对称加密方式，对于某些机密数据采用公钥密码体制.

2.4访问控制技术

访问控制技术的功能是决定用户是否可以访问系统资源和使用系统资源，确保授权用户可以访问特定的系统资源，并拒绝未授权用户访问系统，以实现系统资源的访问控制作用.

3　校园网络面临的安全问题

随着现代信息技术的更新发展，高等教育机构是较早使用互联网的群体.我国大部分高校都建立了属于自己的校园网络，有着用户群体密集、访问次数频繁、教育教学资源多的特征，同时使校园网络面临着一系列安全问题，导致校园网络的安全管理越来越复杂和困难.

3.1校园网络建设规模较大

高校在校园网络建设初期采用的是宽带网络的以太网技术，以太网络技术只能保证校园网络带宽速率不低于10Mbps.随着现代信息技术的进步，大多数高校已经淘汰了传统的以太网技术，采用千兆以上光纤链路作为校园网络的主干网.由于国家大力推进高校扩招政策，校园网络的用户群体从原来的几千人迅速增加到了数万人，用户群体非常密集.然而，正是由于校园网络带宽速度的提升，以及用户数量的持续激增，导致了校园网络安全问题越来越多.

3.2计算机系统管理不统一

目前，校园网络计算机系统管理非常复杂，这是由于接入校园网络的计算机购置和管理情况不统一，计算机机房的终端一般由专门人员进行管理和维护，但学生在宿舍使用的计算机大多是自己购买的，教师使用的笔记本电脑通常也是个人购置.因此，对校园网络中的计算机系统进行统一管理、制定安全防护措施非常困难.甚至有些行政部门的计算机系统在购置和搭建完成之后没有专门人员负责管理和维护，很容易导致非法入侵者利用这些计算机终端连接校园网络.

3.3庞大活跃的学生用户群体

高校学生是校园网络中最庞大、最活跃的用户群体.学生对互联网环境有着极强的好奇心，也勇于尝试应用各种新技术.如果高校学生的网络安全意识不强，很可能利用自己在网络中学到的各种攻击技术入侵校园网络，甚至对校园网络造成严重的破坏.

3.4校园网络的开放性环境

高校的教育培养特征和科学研究特性决定了校园网络必须具有良好的开放性.一般情况下，企业网络可以对电子邮件和网页浏览进行严格限制，拒绝外部发起的与企业网络建立连接的各种请求.但是，校园网络通常不能够采取过于严苛的限制，否则会导致学生无法利用教育教学资源，也无法了解一些新应用、新技术信息.

3.5各类成本投入受到限制

大多数高校在建设校园网络的过程中对网络安全问题不够重视，尤其是在聘用校园网络安全管理人员方面的资金投入不足.大多数高校的校园网络中心工作人员数量极少，甚至只有几名员工简单地负责一些日常运维工作，根本没有过多的时间和精力保证校园网络不受到攻击.

3.6网络资源下载过于频繁

校园网络中的资源包括各类系统软件、影音视频等，这些应用软件下载次数较多，占用了大量的网络带宽，更带来了严重的网络安全问题.同时，这些应用软件中很可能存在木马病毒，一旦安装了这些软件很可能会被非法入侵者利用.

4　基于VPN技术的校园网络安全体系构建

4.1VPN校园网络安全体系需求分析

基于VPN技术的校园网络安全体系构建需求可以分成三个类别，一是远程网络对校内网络站点发起访问的需求，很多分校区的教师和学生需要远程访问数据库服务器，包括学生个人成绩查询、教师薪资查询、查看校内通知等，这些功能需求都需要用户远程访问实现；二是解决主校区与分校区之间网络互连访问的需求，如何使主校区与分校区之间的业务服务进行整合，包括校园一卡通、电子政务专网等，构成一条安全的、专门的网络通道，确保这些机密数据能够在主校区与分校区之间安全传输；三是远程用户访问高校图书馆资源的需求，如何安全认证远程用户，合理分配图书馆资源，形成一套集用户管理、远程授权、安全防护功能为一体的系统.

4.2VPN校园网络安全体系方案设计

综合以上需求分析，结合校园网络实际需求，本文提出的基于VPN技术的校园网络安全体系构建方案如下:

（1）在主校区与分校区之间构建校园内部虚拟专用网，即IntranetVPN.以光纤链路连接主校区和分校区，将网络出口布置在分校区.校园网络中的学生一卡通、人事档案、学生成绩等应用系统必须经过这条光纤链路与分校区连接.同时，采用IPSecVPN技术对在该光纤链路中传输的数据信息进行加密，以确保校园网络数据通信的安全性.对于普通用户发起的访问请求来说，在设置安全策略时可以允许普通用户访问主校区和分校区网络，使其感觉在同一个网络中.由于设置过高的安全级别会导致网络系统资源的浪费，产生用户访问速度过慢的情况，因此也不必设置过高的安全级别.对于一些敏感业务用户来说，包括财务管理、人事档案管理、学生成绩管理部门的用户，可以采用二层协议网络隔离的方式使用户先与校园网络进行连接，再将数据信息传输到校园网络中的核心交换机中，实现主校区与分校区之间数据加密传输.

对于主校区与分校区来说，需要在两个校区之间配置网络路由器设备，访问对方校区的网络资源的请求和数据必须经过该路由设备，由于校园网络资源量较大，要特别注意路由设备的稳定性和可靠性，尽量降低设备投入成本.因此，本文提出在主校区和分校区采用具有VPN功能的网络路由设备，通过对VPN路由设备进行安全策略设置，实现在主校区和分校区之间构建一条VPN通道，是需要传输的数据按照网络路由策略设置到达指定地址.校园内部虚拟专用网构建方案如图1所示.

图1　校园内部虚拟专用网构建方案

（2）在校园内部网络中配置VPN服务器，如果远程用户和移动用户需要访问校园网络，可以利用VPN软件系统的数据封装和加密功能，通过网络运营商提供的开放式互联网服连接到校园内部网络中，这就是校园远程访问虚拟专用网络，即AccessVPN.当远程用户和移动用户发送请求连接到校园网络时，由配置的VPN服务器负责实现该功能.本文选择Linux操作系统作为校园网络配置VPN服务器的平台，原因是Linux操作系统具有稳定性强、扩展性好、应用灵活等优势，操作性能也强于Windows平台.在校园内部网络配置IBMX366型号服务器，同时由于OpenVPN软件是基于SSL协议开发的，因此选择在VPN服务器中安装OpenVPN软件系统，以便构建基于SSL的VPN系统.

由于校园网络中已经配置了网络地址转换设备和防火墙设备，而SSLVPN是采用了SSL协议实现的一种远程访问VPN技术，其工作在传输层之上，可以遍历校园网络中的所有网络地址转换设备和防护墙设备，使远程用户和移动用户可以随时随地连接到校园网络中.但是，远程用户和移动用户在请求访问时需要一个校园网络IP地址，因此，必须架构一台DHCP服务器，负责为远程用户和移动用户提供IP地址.远程用户想要与校园网络中的服务器连接，必须获得校园网络中配置的VPN服务器域名，这就需要在DNS服务器中设置VPN服务器域名，同时确保远程用户和移动用户在请求连接时可以解析VPN服务器域名，此时，当远程用户对校园内部网络资源发起访问时，可以利用校园网络提供的URL地址向SSLVPN服务器发起连接，当获得用户身份认证之后根据其权限分配到不同服务器中，这种远程访问虚拟专用网络的连接方式可以有效防止受到外部入侵者的攻击.校园远程访问虚拟专用网构建方案如图2所示:

图2　校园远程访问虚拟专用网构建方案

4　结论

综上所述，本文从校园网络信息化建设实际需求角度出发，基于VPN技术提出了校园网络安全体系构建方案，使远程用户和移动用户可以随时通过VPN通道访问校园网络资源，同时实现了主校区与分校区之间的用户身份认证和数据加密传输，尽量减少外部非法入侵者对校园网络的攻击，具有良好的实践应用价值.

〔1〕刘思勤.校园网络安全体系中VPN技术的应用研究［J］.计算机光盘软件与应用，2014（20）：178-179.

〔2〕邹青春.基于VPN技术的多校区校园网络安全研究论述 ［J］.哈尔滨职业技术学院学报，2015 （04）：171-172.

〔3〕李磊.基于VPN的多校区校园网络安全思考［J］.知识经济，2015（22）：146.

〔4〕赵钊.基于VPN技术的校园网络安全体系构建［J］.自动化与仪器仪表，2014（01）：158-160.

〔5〕宋晓飞.基于VPN技术的校园网络安全建设研究［J］.电子世界，2014（06）：138.

〔6〕林虹虹.基于VPN技术的跨区域校园网络方案的设计［J］.科技资讯，2014（03）：35-36.

〔7〕武杰.校园网络安全体系中VPN技术的应用探析［J］.数字技术与应用，2014（02）：189.

〔8〕费建英.VPN技术在校园网络安全体系中的应用［J］.计算机光盘软件与应用，2013（23）：150-151.

TP393.18

A

1673-260X（2016）07-0019-03

2016-04-09

安徽省级质量工程教学研究项目（2015jyxm442）