◆王真

VPN技術(shù)在校園網(wǎng)絡(luò)安全體系的應(yīng)用

◆王真

（邢臺(tái)技師學(xué)院 河北 054000）

當(dāng)前，我國科技發(fā)展愈發(fā)的成熟，校園信息化管理模式也成了時(shí)代發(fā)展的必然。院校內(nèi)會(huì)相繼構(gòu)建不同的校園網(wǎng)絡(luò)，借助校園網(wǎng)絡(luò)，讓老師和學(xué)生之間的關(guān)系變得更加的密切，保障了師生之間的友好溝通狀態(tài)。學(xué)校的規(guī)模不斷擴(kuò)張，校區(qū)在不斷發(fā)展，一些院校的分校會(huì)在不同的地區(qū)構(gòu)建，想要保障分校發(fā)展的協(xié)調(diào)性，就應(yīng)當(dāng)借助VPN技術(shù)進(jìn)行管理，這樣就可以處理校園網(wǎng)絡(luò)地區(qū)限制管理的問題，同時(shí)還會(huì)起到改善校園網(wǎng)絡(luò)應(yīng)用及管理的作用。

VPN技術(shù)；校園網(wǎng)絡(luò)安全體系；應(yīng)用

VPN技術(shù)主要是以網(wǎng)絡(luò)運(yùn)營商供給的互聯(lián)網(wǎng)為基準(zhǔn)，創(chuàng)建出虛擬性私有通道的網(wǎng)絡(luò)安全防護(hù)技術(shù)。其技術(shù)的應(yīng)用可以供給用戶高質(zhì)量的服務(wù)，在一個(gè)開放性的網(wǎng)絡(luò)環(huán)境當(dāng)中，臨時(shí)性的建立專用數(shù)據(jù)傳輸渠道，加密隧道當(dāng)中傳遞的信息，實(shí)現(xiàn)專網(wǎng)專用的目的。但是隨著高校信息化建設(shè)的發(fā)展和推進(jìn)，校園網(wǎng)絡(luò)的安全穩(wěn)定性要求越來越高，需要?jiǎng)?chuàng)建出更為簡潔且實(shí)用性較強(qiáng)的安全體系，這樣才能夠讓校園網(wǎng)絡(luò)保持良好正常的運(yùn)行狀態(tài)，分析VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用要點(diǎn)，設(shè)計(jì)出合理的應(yīng)用方案，提升其技術(shù)應(yīng)用的實(shí)踐價(jià)值。

1 VPN概念及關(guān)鍵技術(shù)

1.1 數(shù)據(jù)加密技術(shù)

通常狀況下，數(shù)據(jù)加密技術(shù)隱藏或者加密數(shù)據(jù)信息是數(shù)據(jù)包在虛擬專用網(wǎng)絡(luò)當(dāng)中主要的傳輸方式。若數(shù)據(jù)包處于一種安全性較差的網(wǎng)絡(luò)環(huán)境當(dāng)中，其在傳輸?shù)倪^程中哪怕已經(jīng)通過了用戶身份驗(yàn)證，也無法確保VPN的安全可靠性。所以，在數(shù)據(jù)發(fā)送隧道的一端，需要加密用戶的身份認(rèn)證，保障加密數(shù)據(jù)的傳輸狀態(tài)。在數(shù)據(jù)接收隧道的另一端，已經(jīng)完成認(rèn)證的用戶應(yīng)當(dāng)解密加密的數(shù)據(jù)信息，得到相應(yīng)的原始數(shù)據(jù)，這類技術(shù)可以大致劃分成為兩類，其分別為非對(duì)稱加密以及對(duì)稱加密。對(duì)稱加密是使用頻率較高的一類數(shù)據(jù)加密技術(shù)，其技術(shù)可以針對(duì)一些機(jī)密性的數(shù)據(jù)采取公鑰密碼的方式進(jìn)行管理[1]。

1.2 訪問控制技術(shù)

訪問控制技術(shù)功能會(huì)對(duì)用戶訪問系統(tǒng)以及使用系統(tǒng)的資源進(jìn)行管理，能夠保障用戶可以訪問特定的系統(tǒng)資源，拒絕沒有授權(quán)的用戶去訪問該系統(tǒng)，從而實(shí)現(xiàn)系統(tǒng)資源訪問控制的目的。

1.3 用戶認(rèn)證技術(shù)

在構(gòu)建虛擬專用隧道傳輸數(shù)據(jù)之前，通常需要使用用戶認(rèn)證技術(shù)去辨別用戶真實(shí)身份，對(duì)網(wǎng)絡(luò)資源的訪問，進(jìn)行合理化管控。用戶認(rèn)證協(xié)議摘要技術(shù)主要是以哈希函數(shù)變換數(shù)據(jù)報(bào)文的長度，使得其得到長度相同，固定不變的報(bào)文摘要。但是這類函數(shù)會(huì)受到自身特性的影響，控制難度較大，想要在眾多的數(shù)據(jù)報(bào)文當(dāng)中找到長度相同，固定不變的報(bào)文摘要，需要損耗大量的時(shí)間和精力，整體工作難度較高。

1.4 隧道技術(shù)

隧道技術(shù)是VPN傳輸?shù)闹匾夹g(shù)，該技術(shù)主要是借助某協(xié)議實(shí)現(xiàn)另外一類協(xié)議傳輸數(shù)據(jù)的技術(shù)，這一技術(shù)的應(yīng)用本質(zhì)就是以隧道協(xié)議為主，該技術(shù)大致分成乘客協(xié)議、傳輸協(xié)議以及隧道協(xié)議。其中，傳輸協(xié)議是結(jié)合隧道的定義完成數(shù)據(jù)傳輸任務(wù)；乘客協(xié)議是對(duì)數(shù)據(jù)進(jìn)行封裝，其對(duì)于數(shù)據(jù)幀以及數(shù)據(jù)包的協(xié)議會(huì)有所差異，需要把數(shù)據(jù)幀和數(shù)據(jù)包進(jìn)行封裝處理，之后再進(jìn)行傳輸，這些封裝之后的數(shù)據(jù)幀以及數(shù)據(jù)包可以較為精確地到達(dá)其目的地的地址，最后進(jìn)行解封的處理，得到原始的數(shù)據(jù)幀以及數(shù)據(jù)報(bào)；隧道協(xié)議的功能就是拆除、保持以及建立數(shù)據(jù)傳輸渠道。

2 VPN技術(shù)在校園網(wǎng)絡(luò)安全體系的應(yīng)用

2.1 應(yīng)用原則

想要將VPN技術(shù)投入到校園當(dāng)中，就需要考慮該校園網(wǎng)絡(luò)的使用需求范圍，同時(shí)還需要遵守VPN技術(shù)的應(yīng)用原則。VPN網(wǎng)絡(luò)技術(shù)投入到高校應(yīng)用功能當(dāng)中，其模塊主要分為四類：首先是后臺(tái)管理，后臺(tái)創(chuàng)設(shè)的作用就是用來收集和VPN技術(shù)服務(wù)器相關(guān)的訪問記錄，將這些記錄內(nèi)容進(jìn)行整合，重新傳輸給安全審計(jì)進(jìn)行管理，在后臺(tái)去總結(jié)用戶的各項(xiàng)操作行為以及詳細(xì)情況。其次是瀏覽控制模塊，其模塊創(chuàng)設(shè)的主要作用就是結(jié)合VPN瀏覽控制的方案，保障其技術(shù)系統(tǒng)設(shè)定的有效度，精確的供給客戶方案服務(wù)。再次是身份驗(yàn)證，要驗(yàn)證客戶端，服務(wù)端和客戶端的認(rèn)證方式有所差異，將數(shù)字認(rèn)證技術(shù)投入到內(nèi)網(wǎng)當(dāng)中，將用戶以及用戶密碼結(jié)合的形式投入到外網(wǎng)驗(yàn)證當(dāng)中[2]。最后是數(shù)據(jù)傳輸，數(shù)據(jù)傳輸模塊也被稱之為核心的網(wǎng)絡(luò)體系分支，其模塊存在的作用就是加密、轉(zhuǎn)發(fā)數(shù)據(jù)。在現(xiàn)階段，我國大部分高校對(duì)于VPN技術(shù)的應(yīng)用要求都會(huì)比較高，特別是后勤以及財(cái)務(wù)部門，校園在連接網(wǎng)絡(luò)的階段，會(huì)使用二層隔離的方式，之后進(jìn)行重心交換機(jī)的傳輸，以該種形式完成分校信息之間的傳遞任務(wù)。一些用戶的安全級(jí)別會(huì)比較低，這就會(huì)適當(dāng)降低安全級(jí)別的要求，需要提高VPN技術(shù)服務(wù)器的性能。比如，在移動(dòng)客戶瀏覽階段，可以借助Access VPN方案進(jìn)行作業(yè)，將其服務(wù)器增設(shè)到校園網(wǎng)絡(luò)內(nèi)，移動(dòng)客戶應(yīng)用專門的VPN客戶端和校園網(wǎng)絡(luò)連接，這類網(wǎng)絡(luò)連接的形式僅需要ISP提供寬帶費(fèi)用或者支付費(fèi)用即可，并不需要再次支付其他額外的費(fèi)用。在構(gòu)建高校VPN服務(wù)器階段，以基礎(chǔ)環(huán)境方向?yàn)橹鳎x擇LINUX網(wǎng)絡(luò)系統(tǒng)，對(duì)其進(jìn)行實(shí)踐和證明，其系統(tǒng)的拓展性會(huì)比較強(qiáng)，也不需要服務(wù)等任何的費(fèi)用，和Windows Server平臺(tái)進(jìn)行比較，其系統(tǒng)的性能會(huì)更加的優(yōu)越。

2.2 分析安全體系需求

VPN校園網(wǎng)絡(luò)安全體系需求可以大致劃分為三類：首先是遠(yuǎn)程網(wǎng)絡(luò)對(duì)校內(nèi)網(wǎng)絡(luò)站點(diǎn)所發(fā)起的訪問，大部分分校區(qū)的老師和學(xué)生都要遠(yuǎn)程訪問該數(shù)據(jù)庫，查詢學(xué)生的個(gè)人成績/查看校內(nèi)通知等，這部分功能需求往往需要借助用戶遠(yuǎn)程訪問的形式來實(shí)現(xiàn)。其次是分校區(qū)和主校區(qū)網(wǎng)絡(luò)互聯(lián)訪問的需求，要將分校區(qū)和主校區(qū)的業(yè)務(wù)服務(wù)整合在一起，實(shí)行校園一卡通或者創(chuàng)建專門的網(wǎng)絡(luò)通道，使得這些機(jī)密數(shù)據(jù)信息可以安全性的傳輸在分校區(qū)和主校區(qū)之間。最后是遠(yuǎn)程用戶訪問高校圖書館資源的需求，安全性認(rèn)證用戶，遠(yuǎn)程用戶對(duì)圖書館的資源進(jìn)行分配，讓其構(gòu)成用戶管理、安全防護(hù)功能融合一體的系統(tǒng)[3]。

2.3 設(shè)計(jì)方案

（1）主分校區(qū)構(gòu)建校園內(nèi)部虛擬專用網(wǎng)

使用光纖鏈路將分校區(qū)和主校區(qū)連接在一起，同時(shí)把網(wǎng)絡(luò)出口增設(shè)在分校區(qū)校園網(wǎng)絡(luò)當(dāng)中，要推行學(xué)習(xí)成績以及人事檔案等相應(yīng)的應(yīng)用系統(tǒng)，這些系統(tǒng)在使用時(shí)，必須要經(jīng)由這一光纖鏈路。應(yīng)用IPSec VPN技術(shù)去加密該鏈路當(dāng)中傳輸?shù)母黜?xiàng)數(shù)據(jù)信息，這樣可以保障整體網(wǎng)絡(luò)信息傳遞的安全性。如果產(chǎn)生訪問請求的用戶為普通用戶，那么就可以在設(shè)計(jì)安全方式時(shí)，允許普通用戶去訪問分校區(qū)或者主校區(qū)的網(wǎng)絡(luò)，讓其能夠感覺同處在同一個(gè)網(wǎng)絡(luò)內(nèi)。若其設(shè)置較高的安全級(jí)別，則會(huì)浪費(fèi)網(wǎng)絡(luò)系統(tǒng)的資源，甚至還會(huì)導(dǎo)致用戶訪問的速度越來越慢，所以并不需要設(shè)置較高的安全級(jí)別。如果用戶的業(yè)務(wù)較為敏感，包含人事檔案管理或者學(xué)生成績管理等方面的內(nèi)容，那么就可以使用二層協(xié)議網(wǎng)絡(luò)隔離的形式，讓校園網(wǎng)絡(luò)和用戶先連接在一起，之后再把數(shù)據(jù)信息傳遞到校園網(wǎng)絡(luò)當(dāng)中的核心交換機(jī)當(dāng)中，保障分校區(qū)和主校區(qū)數(shù)據(jù)加密傳輸?shù)臓顟B(tài)。此外還需要在兩個(gè)校區(qū)內(nèi)安裝網(wǎng)絡(luò)路由器設(shè)備，不管是對(duì)方校區(qū)的網(wǎng)絡(luò)資源請求，還是數(shù)據(jù)傳輸，都需要經(jīng)過該路由設(shè)備。校園網(wǎng)絡(luò)的資源量相對(duì)來說會(huì)比較大，所以在安裝路由器時(shí)，必須要重視路由器的可靠性以及穩(wěn)定度，盡可能減小設(shè)備的成本費(fèi)用。在分校區(qū)以及主校區(qū)的位置增設(shè)VPN功能的網(wǎng)絡(luò)路由設(shè)備，同時(shí)還需要對(duì)其設(shè)備進(jìn)行安全的管理，創(chuàng)建VPN通道，將需要傳播、傳輸?shù)臄?shù)據(jù)信息，結(jié)合網(wǎng)絡(luò)路由方式傳輸?shù)街付ǖ牡刂穂4]。

（2）校園內(nèi)部網(wǎng)絡(luò)設(shè)置VPN服務(wù)器

若移動(dòng)用戶以及遠(yuǎn)程用戶都需要訪問校園網(wǎng)絡(luò)，那么就可以借助VPN軟件系統(tǒng)，對(duì)其數(shù)據(jù)進(jìn)行加密及封裝的處理，網(wǎng)絡(luò)運(yùn)營商供給極具開放性的互聯(lián)網(wǎng)服務(wù)，將其和校園內(nèi)部網(wǎng)絡(luò)連接在一起，構(gòu)建訪問虛擬專用網(wǎng)絡(luò)，也就是 Ac -cess VPN。移動(dòng)用戶以及遠(yuǎn)程用戶在發(fā)送請求連接校園網(wǎng)絡(luò)的過程中，VPN服務(wù)器要實(shí)現(xiàn)其連接的功能，使用Linux操作系統(tǒng)當(dāng)做校園網(wǎng)絡(luò)，配置VPN服務(wù)的平臺(tái)，這是因?yàn)椴僮飨到y(tǒng)的擴(kuò)展性會(huì)比較好，使用的靈活度會(huì)比較強(qiáng)，能夠穩(wěn)定進(jìn)行操作。其應(yīng)用優(yōu)勢要往往高于Windows平臺(tái)，在其內(nèi)部網(wǎng)絡(luò)設(shè)置中增設(shè) IBMX 366服務(wù)器，Open VPN軟件均由SSL協(xié)議進(jìn)行開發(fā)，所以在選擇VPN服務(wù)器當(dāng)中，應(yīng)當(dāng)安裝Open VPN軟件系統(tǒng)，這樣可以創(chuàng)建出以SSL為主的VPN系統(tǒng)。SSL VPN主要是以SSL協(xié)議為基準(zhǔn)，實(shí)現(xiàn)訪問目的VPN技術(shù)。該工作會(huì)在傳輸層上，經(jīng)過校園網(wǎng)絡(luò)當(dāng)中的各個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備以及防護(hù)墻設(shè)備等，使得移動(dòng)用戶以及遠(yuǎn)程用戶可以隨時(shí)隨地的訪問校園網(wǎng)絡(luò)。但是移動(dòng)用戶以及遠(yuǎn)程用戶在請求訪問的過程中，往往需要借助一個(gè)校園網(wǎng)絡(luò)IP地址，所以需要架構(gòu)一臺(tái) DHCP服務(wù)器，由該服務(wù)器供給移動(dòng)以及遠(yuǎn)程用戶IP地址。若遠(yuǎn)程用戶想要讓其和校園網(wǎng)絡(luò)服務(wù)器連接，那么就需要得到其所配置的VPN服務(wù)器域名。在DNS服務(wù)器當(dāng)中，增設(shè)該域名，保障用戶請求連接的準(zhǔn)確性，及時(shí)的解析為DNS服務(wù)器域名。如果遠(yuǎn)程用戶發(fā)起校園內(nèi)部網(wǎng)絡(luò)資源的訪問需求，那么就可以應(yīng)用校園網(wǎng)絡(luò)供給的URL地址，向這一服務(wù)器發(fā)起連接，在得到用戶身份認(rèn)證之后，結(jié)合其權(quán)限劃分指相應(yīng)的服務(wù)器內(nèi)，這類遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò)的連接形式，能夠較好避免其受到外部入侵解的攻擊和干擾[5]。

3 結(jié)語

需要站在校園網(wǎng)絡(luò)信息化建設(shè)需求的立場上進(jìn)行探究，制定出更為合理的VPN技術(shù)校園網(wǎng)絡(luò)安全體系應(yīng)用方案，讓移動(dòng)用戶以及遠(yuǎn)程用戶均可借助VPN通用渠道訪問校園的網(wǎng)絡(luò)資源，加密傳輸各項(xiàng)數(shù)據(jù)信息，避免外部非法入侵者攻擊校園網(wǎng)絡(luò)，設(shè)計(jì)更適合院校發(fā)展的VPN安全體系，認(rèn)證并分析該體系的構(gòu)造過程，滿足校園對(duì)于VPN應(yīng)用的各類需求。

[1]費(fèi)建英.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（23）：22-25.

[2]劉春芝.VPN技術(shù)在校園網(wǎng)絡(luò)安全架構(gòu)中的應(yīng)用[J].企業(yè)家天地（理論版），2010（05），04-06.

[3]黃磊.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全體系構(gòu)建[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2016（13）：14-16.

[4]陳劍.基于上網(wǎng)行為管理和VPN的校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2010（07）：01-04.

[5]宋曉飛.基于VPN技術(shù)的校園網(wǎng)絡(luò)安全建設(shè)研究[J].電子世界，2014（06）：08-09.