SSLVPN技术在校园网中的应用.docx

技术在校园网中的应用ssl vpn葛苏慧，王敏( 中国海洋大学 青岛学院，山东 青岛 266300 )摘要: 随着校园网规模的不断扩大，可以利用 ssl vpn 的优势来解决在校外访问校内资源的问题，使访问更加快速、安全; 同时管理人员对校园网设备能即时、简便的管理，从而降低学校的管理费用。关键词: 安全套接层协议; 虚拟专用网; 应用中图分类号: tp393文献标识码: athe application of ssl vpn in campus networkge su-hui，wang min( qingdao college of china ocean university，shandong 266300，china)abstract: with the constant expansion of campus network，ssl vpn can be used to solve accessproblems outside the campus，and make the access more rapidly and safely meanwhile，campus network equipment can be quickly and easily managed，thus reducing the management costkey words: ssl vpn; campus network; management一般来讲，高校教务系统、oa 系统建设都已初具规模，但远程的安全访问是一个噬需解决的问题。一些高校校园内部搭建了无线上网系统，采用 wlan 方式方便接入，但用户上网认证控制和计费存在 困难。对于校园网的 email 收发，如果离开校园网同样无法进行，即使把邮件服务器至于 internet 上，也 是非常不安全的。随着全国大学的扩招，现在很多学校都有了分校，如何实现分校与总校之间财务、教 务数据的安全传递，也是摆在校园信息主管面前的问题。校园的网络设备数量庞大种类繁多，一旦出现 故障，就需要网管人员立即赶到学校机房去解决问题，这样会浪费很多时间，也会有很大的延时。伴随 越来越多移动设备的出现，在校外对校内资源的访问越来越迫切，如何快速的在校外对学校资源进行访 问，同时保证访问的安全性，成了迫在眉睫的问题。考虑到以上问题，最好的方法就是采用 ssl vpn 的 连接方式。1 ssl vpn概述ssl ( secure sockets layer，安全套接层) 通过加密方式保护在互联网上传输的数据安全性，它可以 自动应用在每一个浏览器上，提供一个数字证书给 web 服务器，这个数字证书需要付费购买，相对而言 给应用程序设立 ssl 服务是比较容易的。如果应用程序本身不支持 ssl，那么就需要改变一些链接，这 只与应用程序有关。对于出现较大信息量的情况，建议给 ssl 进行加速以避免流量瓶颈，通常 ssl 加 速装置为热插拔装置。1. 1收稿日期: 2011-09-25; 修订日期: 2011-10-10通讯联系人: 葛苏慧( 1977-) ，女，山东莱州人，中国海洋大学讲师; e-mail: suhuige 126. com。156广西大学学报: 自然科学版第 36 卷vpn( virtual private network，虚拟专用网络) 主要应用于虚拟连接网络，它可以确保数据的机密性并具有一定的访问控制功能。过去 vpn 总是和 ipsec 联系在一起，因为它是 vpn 加密信息实际用到的 协议。现在要了解一下 ssl 和 vpn 是怎样结合在一起的? 大量理论可以证明 ssl 的独特性以及 vpn 所能提供的安全的远程访问控制能力。到目前为止，ssl vpn 是解决远程用户访问公司敏感数据最简 单、最安全的技术，与复杂的 ipsec vpn 相比，ssl 通过简单易用的方法实现信息远程连通。任何安装 浏览器的机器都可以使用 ssl vpn，这是因为 ssl 内嵌在浏览器中，它不需要象传统 ipsec vpn 一样 必须为每一台客户机安装客户端软件。这一点对于拥有大量机器( 包括家用机，工作机和客户机等) 与 公司机密信息相连接的用户至关重要，人们普遍认为它将成为安全远程访问的新生代。 ssl 协议与应用层协议独立无关高层的应用层协议( 如 http、ftp、telnet) 可以建立在 ssl 协议之上，由于 ssl 在应用层协议通 信之前完成加密算法、通信密钥的协商及服务器认证工作，保证在其上的应用层协议所传送的数据都会 被加密，从而确保通信的安全性: 包括数据的加密1; 数据的完整性检验; 提供检验机制对传输的加密 数据进行校验; 提供检验机制对 ssl 协议的服务器和客户端进行认证，保证使用者拥有正确身份。 面向远程访问的设计ssl vpn 面向远程访问，面向应用系统的接入和保护，特别是基于浏览器( web 方式) 的 b / s 结构 的网络应用。 无客户端访问: 不论何种 ssl vpn 产品，均可利用浏览器和 http 进行 web server 访问，避免 客户端的安装和配置工作。高端产品则提供某种基于 java 或 activex 客户端扩展，或直接安装客户端 来提供扩展应用。在 ssl vpn 部署和配置上尽量简化客户端一方，而在服务器一端表现出门户式的服务入口。强化的客户端身份认证机制和客户端安全保障，确保访问位置的无条件性和安全性。强化的安全审计，灵活的用户授权和访问控制: ssl 代理为应用层的应用服务，结合用户权限设置和安全策略，使 ssl 更容易提供细粒度远程访问控制。1. 2 应用方向 ssl vpn 网关位于企业网的边缘，介于企业服务器与远程用户之间控制二者的通信。ssl vpn 采用标准的安全套接层 ssl 对传输中的数据包进行加密，从而在应用层保护了数据的安全性2。在不 断扩展的互联网 web 站点之间、无线热点和客户端间、远程办公室、传统交易大厅等场所，ssl vpn 克 服了 ipsec vpn 的不足，用户可以轻松实现而且安全易用，无需客户端安装配置远程访问，从而降低用 户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的 ipsec vpn 非常困难，甚至是 不可能的，这是因为必须实现网络地址转换( nat) 功能和防火墙设置3。 ssl vpn 将远程安全接入延伸到其他 vpn 方案不易扩展到的地方，使更多的学生，在更多的地 方，使用更多的设备，安全访问校园网络资源，同时降低了部署和支持费用。ssl vpn 正在成为远程接入的一种模式4。 ssl vpn 不需要安装客户端软件。远程用户只需借助标准的浏览器连接 internet，即可访问企 业的网络资源，并且易于安装和配置，明显降低了成本。 ssl vpn 可以在任何地点，利用任何设备，连接到相应的网络资源上。ssl vpn 通信运行在 tcp / udp 协议上，具有穿越防火墙和 nat 的能力。这种能力使 ssl vpn 能够从网络防火墙背后的客 户端，安全访问处于中心网络的服务器资源。ipsec vpn 通常不能支持复杂的网络，这是因为需要克服 穿越防火墙、ip 地址冲突等困难。 支持多种设备，只要此设备提供标准浏览器，如可以上网的手机和 pda 通信产品。同时也适用 于大多数操作系统，windows、unix、linux 等，只要运行标准的浏览器，都可以支持 ssl vpn 对企业内部网站和 web 站点进行访问。解决方案针对高校网络的现状和信息化需求，部署 spx 系列 ssl vpn 设备，完成 ssl vpn 服务，提供数字化2增刊 1葛苏慧等: ssl vpn 技术在校园网中的应用157图书馆、无线上网管理、远程校务系统以及办公自动化系统的接入。拓扑结构如图 1 所示:图 1 ssl vpn 校园网拓扑图fig. 1 campus network topological graph based on ssl vpnarray networks ssl vpn 网关的部署，可以非常灵活的适合校园网现有的网络结构。spx 网关在网 络边缘可以采用单臂结构或双臂结构，放在防火墙后面或 dmz 区，达到 ssl vpn 网关本身的高安全 性。只需对 ssl vpn 网关开放 443 端口，即可灵活适应 nat 转换、防火墙设置，使黑客、内部不法人员 或恶意代码无发力之处5。array networks ssl vpn 只需客户端安装标准浏览器，如 ie、netscape 就可登陆 ssl vpn，不需要安 装客户端程序。array networks ssl vpn 可以支持多种用户认证方法，如 localdb、radius、ldap、rsa securid 和 ad 等，可以和校园网已有的统一认证系统完美结合。此外，array networks ssl vpn 组网方 案是面向应用的 vpn，能够做到基于应用的细粒度控制，给用户和组赋予不同的应用访问权限，并对相 关访问操作进行审计。这是一般基于网络的 vpn 所做不到的6。用户登录成功后，将看到一个统一的 使用平台，使远程访问的应用完美的呈现出来。通过 ssl vpn 功能模块实现数字图书馆的接入通过部署 ssl vpn 网关 spx，大学师生从校外公网接入必需经过 ssl vpn 的认证和授权，只有经 过认证和授权的用户才能使用接入 ssl vpn，保障了本校授权人员的权限。客户登陆后会分配一个虚 拟的网卡，此网卡地址是 ssl vpn 网关分配的，其地址体系是校内的统一地址体系，这些 ip 地址是允许 访问校内外数字图书馆的 ip 地址。这样通过 ssl vpn 隧道从公网也能够顺利访问数字图书馆，突破了 校外图书馆对于本校 ip 地址的限制。经过授权的外网用户，无论是通过电信、移动等接入 isp，还是其他运营商，使用 ssl vpn 接入技 术，远程登陆 vpn 网关设备，通过 ssl vpn 隧道，接入校园网内，这台机器就好像已经直接连到校园网 内了，无论是访问校内，还是校外数字图书馆，都不会再有限制。2. 1158广西大学学报: 自然科学版第 36 卷2. 2通过 ssl vpn 公网远程访问校务系统，办公系统array 的 ssl vpn 网关单台设备可以部署多个 ssl vpn 门户，上面已经为数字图书馆部署了一个 门户，具有自己单独的门户域名和 ip 地址。同样为办公系统分配一个 ssl vpn 门户，并具有自己的域 名和 ip 地址7。这正是 array 的 virtualization 技术，这两个门户的用户认证系统不同，分配的 ip 地址 不同，允许访问的 ip 地址也不同，可以完全将两种应用区分开来。使用 ssl vpn 接入的师生，只需要登陆此 ssl vpn 门户，经过认证和授权，就会打开 l3 vpn 通道， 通过此隧道访问校务系统，如排课系统，查看校内公布信息，收发 email 等办公任务。另外，校园网的网 络维护人员也可以通过 ssl vpn 隧道远程维护校园网的软硬件设备，尤其是在出现故障的情况下，网 管维护人员可以马上接入，无论在家，还是出差，都可以即时修复故障，保障校园信息化系统的稳定工作。通过 ssl vpn 接入完成 wlan 接入用户的管理控制和计费接入 wlan 的终端被导入到 ssl vpn 的门户上进行认证、审计，这个门户是单独为 wlan 接入分 配的，不同于数字图书馆和 oa 系统的 ssl vpn 接入门户，它同样具有自己的域名和 ip 地址，其认证是 和城市热点计费的 radius 系统相结合的，即用户登陆时，ssl vpn 网关 spx5000 会将用户名、密码等信 息通过 radius 协议提交给 radius 服务器进行认证，进而决定用户接入是否允许。spx5000 还会将用户 何时登陆、退出，提交给 radius 服务器进行计费。同时，ssl vpn 还可以控制 wlan 接入用户的访问权 限，允许或禁止访问某些网段，是否可以访问公网等接入控制。2. 4ssl vpn 保障远程网管应用sp 采用三层虚拟通道技术来实现，此项功能是在客户端和 sp 之间通过 ssl 的连接建立一条虚拟 通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和 内网地址体系一致的网址，并通过这条虚拟通道直连到内网，就好像客户端机器在内部一样，这样便可 以安全快捷的在任何时间、任何地点完成网管工作。3 ssl vpn 的配置2. 33. 1配置 web 业务资源web 网页是远程 web 服务器提供的一种服务。ssl vpn 的 web 代理服务器为用户访问 web 服务器提供了一种安全的链接方式( 见图 2) ，并且可以阻止非法用户访问受保护的 web 服务器。在导航栏中选择“资源管理 web 网站”，进入 web 代理服务器管理页面。单击 创建 按钮 可以创建新的 web 资源。“站点名称”可以配置为 ip 地址，也可以配置为域名，配置为域名时必须在命令行下正确配置 dns服务器。站点匹配模式可以使用“模糊匹配”。此例中，站点匹配模式配置成“tech. * ”进行模糊匹配，保证下挂在同一网站下的网页能够正常使 用。 更明显的例子是需 要 访 问下 的www. sina. com. cnsports. sina. com. cn、news. sina. com. cn 等网页，则只需在“站点匹配模式”下配置“* . sina. com. cn”。若需要增加多个模糊匹配条件，中间用“| ”分隔即可，创建成功后返回如下 web 服务器资源列表。图 2 web 代理服务器列表fig. 2 list of web proxy server 创建资源组( 见图 3) ，并把已配置的资源加入到资源组在导航栏中选择“资源管理 资源组”，进入资源组管理页面，单击 创建 按钮创建新的资源 组。输入资源组名称“web”，将已配置资源 “tech”加入资源组“web”，单击 应用 完成操作。增刊 1葛苏慧等: ssl vpn 技术在校园网中的应用159图 3 创建资源组fig. 3 create resource group 创建用户、用户组，并把资源组和用户组关联起来 在导航栏中选择“用户管理 本地用户”，进入本地用户页面。在导航栏中选择“用户管理 用户组”，进入用户组页面，单击 创建 按钮创建新的用户组( 见 图 4) 。输入用户组名“usergroup”，将用户“user1 ”加入用户组。 将资源组“web”赋予用户组“userg- roup”。单击 应用 完成操作。此时用户组“usergroup”中的用户“svpn”可以访问资源组“web”中 的所有资源。图 4 创建用户组fig. 4 create user group3. 2web 业务验证结果 普通用户登录输入“https: / /155. 1. 1. 1”打开用户登录界面，在用户名栏输入管理员创建的用户名 “svpn”，在“密 码”框中输入密码。单击 登录 按钮即可登录，访问 web 类资源。 远程用户成功访问 web 代理业务( 见图 5)例如，点击 web 资源“tech”，即可打开页面，且 url 成功替换为: https: / /155. 1. 1. 1 / sslvpn / proxy1275152384 / 。另外，ssl vpn 还有提供 tcp 业务资源、windows 桌面共享、outlook 邮件服务等功能。/160广西大学学报: 自然科学版第 36 卷图 5 web 代理访问fig. 5 a