文/柳雄

傳統(tǒng)VPN 的信息化時(shí)代

信息化建設(shè)下的擇優(yōu)選擇

信息時(shí)代，為了更大程度發(fā)揮互聯(lián)網(wǎng)資源的共享與利用優(yōu)點(diǎn)，高校或科研機(jī)構(gòu)的電子圖書(shū)資源、校園內(nèi)部的信息系統(tǒng)等，都需要提供校外遠(yuǎn)程接入訪問(wèn)。

提到遠(yuǎn)程接入、訪問(wèn)內(nèi)網(wǎng)系統(tǒng)，大家會(huì)自然而然的想起VPN技術(shù)，VPN基于互聯(lián)網(wǎng)提供安全私密的加密隧道，讓校外用戶(hù)可以安全的接入校園內(nèi)外進(jìn)行訪問(wèn)，在高校信息化建設(shè)中擁有多年的應(yīng)用歷史，已經(jīng)是高校校園信息化建設(shè)必不可少的環(huán)節(jié)。

VPN根據(jù)隧道協(xié)議的不同，主要有：二層隧道協(xié)議PPTP/L2TP VPN、三層隧道協(xié)議GRE/IPSec VPN和七層隧道協(xié)議SSL VPN。在高校信息化的發(fā)展歷程中，這些VPN技術(shù)均被廣泛地在特定時(shí)期和場(chǎng)景下應(yīng)用，其中基于B/S架構(gòu)的SSL VPN，使用普通瀏覽器即可訪問(wèn)，方便易用，已經(jīng)是遠(yuǎn)程接入場(chǎng)景應(yīng)用最為廣泛和成熟的方案。

SSL VPN技術(shù)的廣泛應(yīng)用

SSL VPN技術(shù)利用標(biāo)準(zhǔn)Web瀏覽器內(nèi)嵌的SSL(Security Socket Layer)封包處理功能，在遠(yuǎn)程接入用戶(hù)與SSL VPN服務(wù)器之間建立起VPN隧道，從而使得遠(yuǎn)程接入用戶(hù)在通過(guò)驗(yàn)證后，可訪問(wèn)內(nèi)網(wǎng)的服務(wù)器資源。

基于SSL協(xié)議實(shí)現(xiàn)的SSL VPN，天然支持Web應(yīng)用的訪問(wèn)，同時(shí)為了覆蓋更廣泛的應(yīng)用場(chǎng)景，SSL VPN也支持TCP代理轉(zhuǎn)發(fā)和虛擬網(wǎng)卡方式，能夠像其他VPN技術(shù)一樣，提供全協(xié)議的VPN通道，不僅支持B/S架構(gòu)的Web應(yīng)用，也支持C/S架構(gòu)的TCP應(yīng)用，如TELNET、遠(yuǎn)程桌面等，還可以支持基于UDP協(xié)議的語(yǔ)音視頻類(lèi)應(yīng)用的遠(yuǎn)程訪問(wèn)。雖然虛擬網(wǎng)卡的方式能夠支持全協(xié)議的訪問(wèn)，但SSL VPN仍然保留了Web資源和TCP資源的訪問(wèn)方式，每一類(lèi)資源應(yīng)用在實(shí)現(xiàn)原理上都各不相同。

以Web資源來(lái)說(shuō)，SSL VPN使用Web反向代理技術(shù)，實(shí)現(xiàn)用戶(hù)遠(yuǎn)程接入后訪問(wèn)內(nèi)網(wǎng)Web應(yīng)用服務(wù)器。在用戶(hù)訪問(wèn)的過(guò)程中，先將用戶(hù)的訪問(wèn)請(qǐng)求發(fā)送到VPN，由VPN進(jìn)行代理轉(zhuǎn)發(fā)。

采用Web反向代理方式實(shí)現(xiàn)的SSL VPN，不依賴(lài)IE控件，可以在任意瀏覽器免插件使用，可以支持大部分B/S系統(tǒng)的遠(yuǎn)程接入訪問(wèn)，但同時(shí)由于VPN無(wú)法對(duì)各類(lèi)URL資源做到完整的改寫(xiě)，因此可能會(huì)出現(xiàn)圖片錯(cuò)位、字體顯示不正常等兼容性問(wèn)題，也無(wú)法支持本地需要瀏覽器插件的Web系統(tǒng)的訪問(wèn)。

除了兼容性問(wèn)題之外，對(duì)于非B/S架構(gòu)的應(yīng)用，Web反向代理也無(wú)法支持，例如在網(wǎng)絡(luò)維護(hù)中常用的TELNET、SSH、郵件、遠(yuǎn)程桌面等基于TCP的非Web應(yīng)用?；赪eb的SSL VPN無(wú)法支持，就需要用到SSL VPN的基于TCP代理轉(zhuǎn)發(fā)（也叫端口轉(zhuǎn)發(fā)）的技術(shù)，這種技術(shù)可以通過(guò)ActiveX控件實(shí)現(xiàn)對(duì)本地TCP請(qǐng)求的監(jiān)聽(tīng)，當(dāng)監(jiān)聽(tīng)到需要被代理轉(zhuǎn)發(fā)的TCP請(qǐng)求時(shí)，會(huì)攔截該請(qǐng)求，并進(jìn)行代理訪問(wèn)，在代理訪問(wèn)的過(guò)程中，需要對(duì)收到的請(qǐng)求報(bào)文進(jìn)行改造，將原來(lái)要發(fā)送給目標(biāo)服務(wù)器的請(qǐng)求改為發(fā)送給客戶(hù)端本地環(huán)回地址，同時(shí)記錄改造前后的對(duì)應(yīng)關(guān)系（本地環(huán)回記錄表），便于

后續(xù)可以代替服務(wù)器應(yīng)答真正的用戶(hù)。

盡管TCP代理轉(zhuǎn)發(fā)的方式已經(jīng)能夠支持絕大部分的高校系統(tǒng)訪問(wèn)，但終究是只支持TCP協(xié)議的系統(tǒng)應(yīng)用，當(dāng)需要使用到非TCP協(xié)議的應(yīng)用時(shí)，如語(yǔ)音類(lèi)協(xié)議，TCP代理轉(zhuǎn)發(fā)就無(wú)法支持了。此外，SSL VPN還支持以虛擬網(wǎng)卡的方式來(lái)建立VPN隧道。

采用虛擬網(wǎng)卡方式的SSL VPN，用戶(hù)依舊可以通過(guò)瀏覽器登陸VPN服務(wù)器，在登陸過(guò)程中安裝虛擬網(wǎng)卡等VPN組件（通過(guò)ActiveX控件或客戶(hù)端形式）。這時(shí)候客戶(hù)端與VPN服務(wù)器之間就會(huì)創(chuàng)建一條SSL VPN隧道，VPN會(huì)向客戶(hù)端下發(fā)對(duì)應(yīng)的內(nèi)部系統(tǒng)的路由信息，客戶(hù)端訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)時(shí)，經(jīng)過(guò)虛擬網(wǎng)卡發(fā)送請(qǐng)求，經(jīng)VPN隧道到達(dá)VPN服務(wù)器。整個(gè)訪問(wèn)過(guò)程中不需要對(duì)訪問(wèn)請(qǐng)求報(bào)文進(jìn)行任何修改，完整封裝后經(jīng)虛擬網(wǎng)卡發(fā)送到VPN隧道，實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)，因此這種方式也是實(shí)際應(yīng)用中最為廣泛的形式。

傳統(tǒng)VPN技術(shù)面對(duì)的新挑戰(zhàn)

近年來(lái)信息技術(shù)高速發(fā)展，尤其是智能終端的普及和移動(dòng)互聯(lián)網(wǎng)的廣泛應(yīng)用，用戶(hù)追求更便捷、更簡(jiǎn)單、更安全的網(wǎng)絡(luò)遠(yuǎn)程接入方式，來(lái)滿(mǎn)足隨時(shí)隨地接入訪問(wèn)的需求，在安全接入的同時(shí)，也越來(lái)越重視使用體驗(yàn)。尤其是校園用戶(hù)終端類(lèi)型越來(lái)越豐富，從過(guò)去單純的Windows PC終端演變到目前Windows PC、Mac PC、iOS手機(jī)、Android手機(jī)、iPad、Android Pad等多終端并存的局面，給SSL VPN在高校的應(yīng)用帶來(lái)了不少新的挑戰(zhàn)：

1.用戶(hù)體驗(yàn)差

當(dāng)前主流的SSL VPN，在使用中依賴(lài)ActiveX控件或客戶(hù)端程序，只能使用IE內(nèi)核瀏覽器或依靠java環(huán)境進(jìn)行安裝，很難滿(mǎn)足用戶(hù)多元化的個(gè)性體驗(yàn)，尤其是越來(lái)越多的非Windows終端被使用后，VPN插件對(duì)操作系統(tǒng)的支持也較差，很難適配豐富的系統(tǒng)類(lèi)型和頻繁的系統(tǒng)更新，用不了、頻繁掉線、安裝復(fù)雜、使用繁瑣等問(wèn)題嚴(yán)重影響用戶(hù)體驗(yàn)。

2.運(yùn)維壓力大

高校的VPN使用群體廣泛，用戶(hù)規(guī)模大，在VPN使用過(guò)程中因插件安裝、使用異常帶來(lái)的巨大運(yùn)維量，信息中心往往疲于應(yīng)對(duì)。

3.適應(yīng)移動(dòng)互聯(lián)網(wǎng)環(huán)境

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的移動(dòng)終端需要使用VPN接入進(jìn)行遠(yuǎn)程訪問(wèn)，校園APP也逐漸被廣泛應(yīng)用，SSL VPN需要以更加良好的用戶(hù)體驗(yàn)適配這類(lèi)場(chǎng)景。

全Web化趨勢(shì)下的新選擇

高校大部分業(yè)務(wù)系統(tǒng)已經(jīng)實(shí)現(xiàn)了Web信息化改造，基本都使用了統(tǒng)一認(rèn)證平臺(tái)SSO進(jìn)行統(tǒng)一身份認(rèn)證，學(xué)校的用戶(hù)只需要認(rèn)證一次，所有業(yè)務(wù)系統(tǒng)都實(shí)現(xiàn)單點(diǎn)登錄。另外建設(shè)了校園門(mén)戶(hù)站點(diǎn)，門(mén)戶(hù)站點(diǎn)作為校園所有業(yè)務(wù)系統(tǒng)的統(tǒng)一入口（包括圖書(shū)館等數(shù)據(jù)庫(kù)資源）。

在SSL VPN面臨新的挑戰(zhàn)的同時(shí)，一種號(hào)稱(chēng)下一代VPN技術(shù)的WebVPN產(chǎn)品開(kāi)始出現(xiàn)在高校，WebVPN提供基于Web的內(nèi)網(wǎng)應(yīng)用訪問(wèn)控制，允許授權(quán)用戶(hù)訪問(wèn)只對(duì)內(nèi)網(wǎng)開(kāi)放的Web應(yīng)用，實(shí)現(xiàn)類(lèi)似VPN的功能。WebVPN的出現(xiàn)很好的抓住了高校SSL VPN對(duì)用戶(hù)體驗(yàn)和運(yùn)維問(wèn)題的滯后反應(yīng)，以無(wú)需用戶(hù)做任何配置或安裝客戶(hù)端軟件及瀏覽器插件的形式提供內(nèi)網(wǎng)應(yīng)用的遠(yuǎn)程訪問(wèn)，大大降低使用門(mén)檻，提升用戶(hù)體驗(yàn)。

圖1 未來(lái)數(shù)字化校園安全接入平臺(tái)框架

然而，WebVPN真的是包治百病的下一代VPN技術(shù)么？在對(duì)WebVPN進(jìn)行詳細(xì)分析和實(shí)際體驗(yàn)中，我們發(fā)現(xiàn)，WebVPN實(shí)際上也是基于Web反向代理技術(shù)實(shí)現(xiàn)的，通過(guò)結(jié)合泛域名，來(lái)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web服務(wù)器的代理訪問(wèn)，整個(gè)訪問(wèn)過(guò)程中涉及的Web改寫(xiě)與SSL VPN一致，與其說(shuō)是下一代VPN，實(shí)際上更像是最早期的SSL VPN。

Web反向代理實(shí)現(xiàn)的SSL VPN因其技術(shù)本身的兼容性缺陷和無(wú)法完整覆蓋高校業(yè)務(wù)系統(tǒng)的缺陷，在SSL VPN的漫長(zhǎng)發(fā)展歷程中，一直未能廣泛應(yīng)用。隨著用戶(hù)對(duì)使用體驗(yàn)的要求增高，Web反向代理技術(shù)的免插件、對(duì)瀏覽器和操作系統(tǒng)的全面支持等優(yōu)點(diǎn)，再一次把WebVPN推向了前端，基于這些優(yōu)點(diǎn)，在應(yīng)對(duì)用戶(hù)體驗(yàn)的挑戰(zhàn)上，WebVPN相比大部分基于瀏覽器插件和客戶(hù)端軟件的SSL VPN產(chǎn)品要好得多，尤其是對(duì)一些低頻訪問(wèn)的用戶(hù)來(lái)說(shuō)，打開(kāi)瀏覽器就可以使用，省去了安裝插件和客戶(hù)端的過(guò)程。但在應(yīng)對(duì)運(yùn)維壓力和移動(dòng)化挑戰(zhàn)時(shí)，WebVPN并不如宣傳的那么高效。

首先，WebVPN的無(wú)插件形式，確實(shí)避免了插件的維護(hù)工作，但其技術(shù)本身的兼容性缺陷，又帶來(lái)了新的運(yùn)維挑戰(zhàn)，頁(yè)面顯示異常、系統(tǒng)無(wú)法正常登陸等問(wèn)題難以杜絕，且相比客戶(hù)端或VPN插件對(duì)個(gè)別用戶(hù)的影響，兼容性問(wèn)題的影響面更大，勢(shì)必帶來(lái)更大的運(yùn)維壓力。

其次，高校移動(dòng)信息化的進(jìn)程中，APP被廣泛應(yīng)用，基于瀏覽器的WebVPN無(wú)法提供APP的遠(yuǎn)程接入訪問(wèn)，僅依靠手機(jī)瀏覽器的Web訪問(wèn)和微信H5應(yīng)用，用戶(hù)體驗(yàn)也必然大打折扣。

數(shù)字化校園接入的未來(lái)

面對(duì)當(dāng)前的使用需求，再結(jié)合Web VPN技術(shù)的應(yīng)用分析，高校在選擇安全接入類(lèi)產(chǎn)品時(shí)，需要全面考慮，既要滿(mǎn)足安全接入的需求，也要滿(mǎn)足用戶(hù)的使用體驗(yàn)，減輕運(yùn)維壓力。面對(duì)琳瑯滿(mǎn)目的VPN產(chǎn)品，管理員必須認(rèn)真對(duì)自身的使用場(chǎng)景進(jìn)行分析，選擇更為匹配的VPN產(chǎn)品。

未來(lái)，高校的信息化建設(shè)中對(duì)VPN的要求，依舊會(huì)朝著更便捷、更簡(jiǎn)單、更安全的方向發(fā)展，VPN服務(wù)商必須緊跟用戶(hù)需求變化，滿(mǎn)足高?？蛻?hù)不同業(yè)務(wù)階段的需求，實(shí)現(xiàn)無(wú)插件、無(wú)感知訪問(wèn)的同時(shí)，仍然需要借助多重優(yōu)化技術(shù)，提升資源訪問(wèn)的速率；支持移動(dòng)數(shù)字化校園接入需求，具備完美的兼容性，保障用戶(hù)接入方式的自由選擇；同時(shí)支持多套安全機(jī)制，如國(guó)產(chǎn)密碼算法下的數(shù)字簽名、數(shù)據(jù)傳輸加密、業(yè)務(wù)權(quán)限的精細(xì)化管控，保證關(guān)鍵業(yè)務(wù)的數(shù)據(jù)安全，真正實(shí)現(xiàn)更易用、更安全的校園信息化門(mén)戶(hù)的接入。

如圖1所示，未來(lái)的數(shù)字化校園接入平臺(tái)，會(huì)成為端-端緊密結(jié)合的形式，包括接入端的安全工作空間、身份認(rèn)證和授權(quán)、傳輸端的高強(qiáng)度密碼算法安全加密、服務(wù)端的多元化資源訪問(wèn)代理、審計(jì)端的7×24小時(shí)用戶(hù)審計(jì)管理，以更適應(yīng)于未來(lái)高校數(shù)字化校園的發(fā)展。