基于VPN技术的校园网络安全体系的研究与实现
2017-04-13刘伯忠蒋淑君
刘伯忠+蒋淑君
摘 要: 本文针对校园网络安全体系构建需求,以VPN(Virtual Private Network)技术为基础,在公共网络上构建隧道,并对其进行加密、认证,建立安全、保密的数据传输,代替物理网络,为虚拟专用通道的搭建节约成本,非常实用用于校园网络建设。本文首先产生了虚拟专用网(VPN)的概念以及其在校园网络中的应用情况,针对校园网络中存在的安全问题进行分析,从而分析校园网络安全体系的需求,以此进行校园网VPN方案设计与实现的探讨。
关键词:校园网络安全体 数据传输 VPN技术 SSL VPN
中图分类号:TP39 文献标识码:A 文章编号:1003-9082(2017)02-0006-02
引言
当前计算机技术和信息通信技术遍地开花,二者融合后的产物之一是网络。目前网络在人们的日常生活与工作中得到了大规模的普及。然而设计之初基于双方互信机制之上的网络协议造成了互联网的安全隐患,在各个领域随处可看见嗅探、篡改或重放的网络攻击现象,这严重阻碍了个用户的网上业务的发展。这对于校园网络来讲,也存在同一的网络安全问题。基于校园网络建设要本着安全有效、平台兼容和有效管理和控制的原则,本文采取VPN技术来设计与实现校园网络安全体系的建设。
一、虚拟专用网(VPN)概念
虚拟专用网(VPN)是以公用因特网为基础建立的临时、安全的连接,是横穿在混乱的公用网络中的安全而稳定的传输隧道。所谓隧道,指在非面向连接的公用IP网络中设计一个有逻辑和点对点的连接。
二、VPN技术在校园网中的应用状况
当前很多高校校园开始实施了VPN,掀起了校园网对VPN技术的关注热潮。高校实施VPN有一个共同的目的,从当前已经建立的VPN的高校中可以看到他们对VPN的需求有:引进校外学生、教职工对校内站点的访问需要,满足其对VPN接入服务,这能将各用户对校园网的访问负担进行降低,节约远程访问费用;能够保证授权者的VPN接入服务,实现本区和分区之间的VPN通道的信息传输与共享,便于整合研究服务器和实现较好的管理与控制,协调和优化资源配置;能够解决对图书馆资源进行合理访问的问题,保护数字版权。在数字图书馆资源管理中,数字版权管理问题成为了社会热点,每一类型的图书资源都需要对数字内容的分发集进行加密保护,以防产生非法使用数字资源的现象。当前高校数字图书馆基本是通过限制IP地址范围的访问来杜绝电子资源的非法利用。只有通过付费后才能浏览电子数据资源,而数据库在判断了访问者的地址是否授权后才开放其数据资源。
三、校园网络中的安全问题
高校是使用互联网最为活跃的群体之一,当前,各大高校纷纷建立了自己的校园网络,随着用户群体的增加和访问次数的频繁,再加上高校自身具有海量的教育教学资源,使得校园网络存在安全管理问题。
1.计算机系统管理不统一
高校计算机系统的设备配置不同,一般会有专门人员管理和维护计算机房终端,然而学生和教师宿舍内的各计算机为自行购置,这些计算机接入校园网后,难以实现校园计算机系统的统一管理,在制定安全防护措施方面也极为困难,即使学校行政部门的计算机系统也缺乏专门的管理维护人员。由此造成了很多非法入侵校园网络的现象。
2.学生用户群体庞大、活跃
大学生为年轻群体,他们怀着对互联网的好奇心而尝试各种新技术的应用,其中不乏缺少网络安全意识的学生,他们极有可能利用所学网络技术集进行校园网的入侵和攻击,从而破坏校园网的安全。
3.网络的开放性
由于高校教育资源是面向公众的,这就使得校园网络必须具备良好的开放性,为公众提供教育教学活科研等相关资源。在不得对电子邮件、网页浏览进行严格限制的情况下,使得校园网要能够为各种外部链接进行允许,以便公众能够获取到有关教育资源信息。校园网络的开放性容易造成很多网络安全问题。
4.投入成本有限
绝大多数高校在校园网络的建设工程中都缺乏资金投入,再加上高校领导对校园网络安全的重视程度不够,使得校园网络中心缺少必备的工作人员,导致了校园网络工作人员的工作繁琐,或者直接过滤掉一部分校园网络管理维护工作,只针对一些必要的日常管理工作进行维护,导致了校园网络容易受到攻击。
5.网络资源下载太过频繁
由于校园网络中放置了大量的系统软件、影音视频、教育教学等资源,这些资源引来了大量而频繁的下载量,导致网络带宽被大量占用,同时也带来了严重的网络安全隐患,在一些应用软件中极有可能携带木马病毒,会对安裝使用的用户造成非法入侵与破坏。
四、校园网VPN方案的设计与实现
1.需求分析
校园网络体系是构建之初,必须要满足三种需求,分别是:第一,满足大量的远程访问需求。由于对校园网络进行远程访问的数量极大,在分校区的师生都会对校内网络的数据库服务器进行访问,例如成绩查询、薪酬查询以及通知公告等查询。第二,建立主校区和分校区之间的相互网络访问连接,满足互访需求,保证主校区和分校区在校园一卡通、电子政务专网等业务方面得到整合,构建专门的、安全的网络通道,使得数据传输能够保密,得到安全保障。第三,高校图书馆资源实现远程用户访问的需求,对远程访问用户进行安全认证,并进行图书馆资源的合理分配,构建完善的用户管理、授权、防护功能的体系。VPN技术在校园网络安全体系构建中的应用,可以满足校园网络安全体系的以上3种需求。
2.VPN系统的功能模型
设计校园网VPN系统,包括了如下4项基本功能:
(1)身份识别:对VPN服务器的识别是通过数字证书方式进行的,服务器对不同的客户端采取不同的识别方式。而校园VPN网络的远程访问,服务器以用户名+密码的方式进行客户端身份识别,对于内网VPN,则是通过数字证书方式进行客户端身份的识别。
(2)访问控制:本模块为访问规则库,首先要设定访问控制策略,然后控制访问主体的访问操作。
(3)数据传输:这是校园网VPN系统的核心功能,主要通过商定好的加密算法在发送者和接收者之间进行数据发送,还负责解密功能。
(4)后台管理:本模块功能主要对VPN服务器的操作生成工作日志并入库,方便以后审查。后台管理功能是为用户提供有关网络访问、会话等信息的汇总报告。
3.技术路线
在校园网络安全体系中,IPSec VPN、SSL VPN、MPLS VPN这三种技术的应用较为成熟。其中IPSec VPN和SSL VPN从属于VPN构架的技术路线,IPSec VPN在网络层中运行,保护全部网络层上的数据和安全通信;SSL VPN主要在应用层和TCP层之间运行,以HTTP协议为基础。IPSec VPN和SSL VPN都能为远程接入提供安全保障,然而IPSec VPN技术一般在网络数据流中运行,并进行连接服务和保护。在远程分散的安全接入上,最好是应用SSL VPN技术,对于运营商以及大型用户的动态网络,则可以采用MPLS VPN技术。而校园网络的建设通常会因为资金、技术方面的不足,往往会选择IPSec VPN和SSL VPN技术。
4.方案设计与实现
4.1构建校园内部虚拟
校园内部虚拟的构建是针对主校区和分校区而言的,在两个校区之间以 Intranet VPN(专用网)光纤链路进行连接,在分校区布置网络出口,主校区网络和分校区之间通过光纤链路实现一卡通、人事档案、成绩等应用系统连接。并对光纤链路中传输的数据信息设定IPSec VPN 技术加密,保障数据通信安全。在普通用户发起主校区和分校区的访问请求时,犹如在同一个网络中。当安全级别过高时,会浪费网络系统资源,导致访问速度过慢,由此,不能将安全级别设置过高。而对待财务管理、人事档案管理、学生成绩管理等方面的敏感業务,则可通过二层协议网络隔离方式,先让用户连接到校园网络,再传输至校园网络中的核心交换机,也就使得两个校区之间的数据实现了加密传输。
将网络路由器配置在两个校区之间,使得两个校区之间的互访和数据都通过此路由器。基于海量的校园网络资源,必须要考虑到路由器的稳定性和可靠性,并兼顾成本问题。本文采用的是具备 VPN 功能的网络路由器,对其设置好安全策略,从而构建两个校区之间的VPN 通道,数据传输根据网络路由策略设置来到达规定的地址(如下图)。
4.2配置 VPN 服务器
要实现用户对校园内部网络的远程访问,或者移动用户的访问,就需要通过开放式互联网与校园内部网络的连接,并利用VPN 软件系统进行数据封装和加密功能,从而建设Ac-cess VPN(校园远程访问虚拟专用网络)。由于 Linux 操作系统由较强的稳定性和较好的扩展性,应用起来灵活,比Windows 平台更具操作性,本文中的校园网络的VPN 服务器的配置平台为 Linux 操作系统。VPN 服务器负责远程用户和移动用户对校园网络的发送请求连接。配置 IBMX366型号服务器,并在VPN 服务器中安装Open VPN 软件系统,从而建立基于SSL协议的 SSL VPN系统,对已配置了的网络地址转换设备和防火墙设备, SSL VPN的远程访问技术在进行传输时能够遍历校园网络的任何网络地址转换设备和防护墙设备,实现远程用户与移动用户对校园网的随时连接。
通过某一校园网络 IP 地址就能实现校园网络的请求访问,由此,须要通过架构一台DHCP 服务器为用户提供 IP 地址。在连接到校园网络的服务器时,远程用户须要配置校园网络的VPN服务器域名,由此,可以通过将VPN服务器域名设置在 DNS 服务器中。用户请求连接时通过对VPN 服务器域名的解析,在发起访问中就根据校园网络所提供的 URL 地址,对 SSL VPN 的服务器发起连接,然后通过身份认证再通过其权限进行服务器的分配,这能防止外部入侵与攻击。
五、结束语
综述,通过学习,对校园网络安全体系建设中进行了IPSec和SSL一般方法的研究,从而能够让VPN体系能够在校园网络中得到运行推广。此外,在校园网络安全体系的构建中,由于受到投入经费的限制,可以通过在校园网络的主干网络路由器中建立IPSec隧道功能。通过本文的学习和探索,所设计的校园网络VPN安全体系还存在的不足之处,希望能够在以后的学习和工作中做好改进,进一步提升自我。
参考文献
[1]梁文芝,刘宇翔.VPN技术在数字图书馆系统的应用[J]. 农业图书情报学刊. 2008(11)
[2]杨名川. 基于隧道模式IPSec的NAT穿越[J]. 现代计算机. 2007(05)
[3]梁石.成都纺织高等专科学校校园网的设计与实现[D]. 西华大学 2014
[4]董佳.唐山职业技术学院校园网升级改造[D]. 燕山大学 2012
[5]邹青春.基于VPN技术的多校区校园网络安全研究论述[J]. 哈尔滨职业技术学院学报. 2015(04)
[6]刘思勤.校园网络安全体系中VPN技术的应用研究[J]. 计算机光盘软件与应用. 2014(20)
[7]武杰.校园网络安全体系中VPN技术的应用探析[J]. 数字技术与应用. 2014(02)
[8]赵钊.基于VPN技术的校园网络安全体系构建[J]. 自动化与仪器仪表. 2014(01)
[9]费建英.VPN技术在校园网络安全体系中的应用[J]. 计算机光盘软件与应用. 2013(23)
[10]朱晨旭.信息化背景下的校园网络安全问题与对策[J]. 网络安全技术与应用. 2016(11)
作者简介:刘伯忠 (1968.12-),男,四川广安人,汉族,本科,副教授,主要研究方向: 计算机科学与技术。