淺述IPSec VPN和SSL VPN技術在校園網中的應用

[摘 要]本文論述了VPN系統的優點，產生的歷史原因和適用范圍，以及VPN系統在國內外發展的現狀。分析了高職院校中校園網的現狀及存在的問題。為了更好地解決學校在移動辦公、遠程辦公、分校區的通信和資源共享以及通信安全等方面的問題，同時考慮到節約費用和靈活配置，提出了構建適合高職校需要的VPN網絡的方法與步驟。

[關鍵詞]VPN技術 虛擬專用網 校園網

[中圖分類號] TP393.071[文獻標識碼] A[文章編號] 2095-3437（2012）11-0068-02

隨著我國經濟建設的飛速發展，教育事業近年來也突飛猛進，各高校校園網建設步伐不斷加快，同時校園網規模擴大，甚至是跨地域分布，且遠程教育也越來越普及。這使得校園網的應用和管理面臨著很大的技術和經濟壓力。如何既利用好互聯網的豐富資源，又能夠保證數據傳輸的高效、安全、低成本，是當前校園網建設的一個難題。同時，如何使地理及物理上分布分散的若干校區網絡能從邏輯上有效集成，實現資源有效共享；如何使學校的老師、學生、家長以及外出人員根據需要隨時隨地聯入校園網等，這些問題都成為制約高校校園網建設和發展的一個瓶頸。虛擬專用網絡（VPN）技術的誕生就很好地解決了這一問題。

一、VPN 簡介

（一）VPN概述

虛擬專用網VPN（Virtual Private Network） 是利用公眾網資源為客戶構成專用網的一種業務。相對于實際的專有網絡而言的，它是利用虛擬專用網的隧道技術、認證和加密技術，能夠在Internet/Intranet 等公用開放的傳輸媒體上，為兩個單獨實體之間建立一條安全可信的專用信道。

它綜合了傳統數據網絡的性能優點（安全和 QOS ）和共享數據網絡結構的優點（簡單和低成本），能夠提供遠程訪問，外部網和內部網的連接，價格比DDN專線或者幀中繼網絡要低得多。而且， VPN 在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求。

（二）VPN關鍵技術分析

VPN具有專線連接的專用、安全、保密、高性能等特點，通過對數據包的頭部信息和有效的封裝加密來保證數據包安全性，通過散列功能的處理保證數據的完整性。構建一個VPN，需要解決的關鍵技術包括隧道技術、加解密技術、密鑰管理技術和身份認證技術[1]。

（三）VPN技術應用

根據VPN應用的類型，可以將VPN分為三類：遠程訪問虛擬專網（Access VPN）、企業內部虛擬專網（Intranet VPN）和擴展的企業內部虛擬專網（Extranet VPN）[2]

二、 IPSec 協議與 IPSec VPN

（一）IPSec協議的體系結構[3]

IPSec（Internet Protocol Security，網際協議安全）是一個標準的第三層安全協議，它實際上是一個協議包。IPSec在IP層上對數據包進行高強度的安全處理，提供訪問控制、數據源認證、數據完整性與反重放、數據機密性、抗重播和有限的通信流機密性等安全服務，具有良好的安全一致性、共享性及應用范圍。IPSec可連續或遞歸應用，實現端到端安全、虛擬專用網和安全隧道技術。[4]

IPSec主要包括驗證頭協議（AH）、封裝安全載荷協議Encapsulating Security Payload （ESP）、密鑰分配協議Internet KeyExchange（IKE）以及用于網絡認證和加密的一些算法。

（二）IPSec VPN的優缺點

1.IPSEC VPN的優點

（1）IPSEC是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協議，對應用層協議完全透明。

并且IPSec定義了一套用于認證、保護私有性和完整性的標準協議，所以其具有通用性。

（2）IPSec VPN網關一般整合了網絡防火墻的功能，整合性非常好。

2.IPSEC VPN的缺點

（1）IPSEC VPN配置部署復雜，需要專門的客戶端軟件，而且不同提供商之間的設備兼容性較差。

（2）網絡適應性不佳，由于是IP層的協議，對于防火墻等訪問控制設備不透明，對網絡地址轉換（NAT）和應用代理（Proxy）等穿透性差。

（3）應用層安全性方面，只能提供IP地址和傳輸層端口這種粒度的訪問控制，對應用層協議的細粒度強訪問控制能力較弱，入侵檢測與防御、防病毒、抗攻擊等深層次的安全功能也相對薄弱。

三、SSL 協議與 SSL VPN

（一）SSL協議的體系結構

SSL VPN是指采用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。

作為應用層協議，SSL使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，但它不能保證信息的不可抵賴性。[5]

SSL安全協議主要提供三方面的服務：

1.認證用戶和服務器，使得它們能夠確信數據將被發送到正確的客戶機和服務器上；

2.加密數據以隱藏被傳送的數據；

3.確保數據的完整性，以便其在傳輸過程中不被改變。

SSL協議包括SSL記錄協議、握手協議、密鑰更改協議和警告協議，它們共同為應用訪問連接提供認證、加密和防篡改功能。

四、2SSL VPN技術及優缺點

（一）SSL VPN技術

SSL VPN技術幫助用戶通過標準的Web瀏覽器就可以訪問重要的企業資源。這使得移動辦公入員僅僅通過一臺接入了Internet的計算機就能訪問企業資源，這為企業提高了效率也帶來了方便。SSL VPN網關位于企業網的邊緣，介于企業服務器與遠程用戶之間，控制二者的通信。

掌握三個關鍵術語的含義有助于理解SSL VPN是如何實現的。即：代理（proxying）、應用轉換（application translation）、端口轉發（portforwarding）。

（二）SSL VPN優缺點

作為一種新的VPN技術，SSL VPN相對于傳統的IPSEC VPN有其自身的技術特點。

1.SSL VPN的主要優點：①應用的客戶端程序，如常用瀏覽器等已經預裝在了終端設備中，因此維護方便。②安全性突出，抵御外部系統和病毒攻擊效果明顯。③網絡部署靈活方便，適合大多數設備與操作系統。

2.SSL VPN的主要不足：①SSL VPN安全認證是通過單向的證書方式實現的。 ②SSl VPN應用受到限制。一般都用于B/S模式，用戶只能訪問基于Web服務器的應用。③SSL VPN 加密在應用層，性能相對會有一定的影響。 ④SSL VPN不適用做點對點的VPN，后者通常是使用IPSec/IKE技術。

五、IPSec VPN與SSL VPN比較

通過以上IPSEL與SSL優缺點的分析，我們可以得出以下結論：

VPN的架構決定了兩者之間的不同。IPSEC VPN主要應用在網絡層，提供所有在網絡層上的數據保護和透明的安全通信，而SSL VPN是工作在應用層（基于HTTP協議）和TCP層之間的，從整體的安全等級看，它們都能提供遠程安全接入。但是，IPSEC VPN技術主要用于連接和保護在信任網絡中的數據流，所以它更適合為不同的網絡提供通信安全保障，而SSL VPN則更適合應用于移動辦公人員的安全接入。

六、IPSec VPN與SSL VPN一體化解決方案

IPSec VPN解決方案是提供網絡層接入和加密。它需要用戶必須安裝特定的客戶端軟件，這需要專業技術人員進行操作。此外IPSec VPN不能透過NET防火墻。且IPSec VPN 不允許從公網計算機接入專網。

SSL VPN解決方案則提供應用層接入和加密，它不需要安裝任何客戶端軟件，用戶只需輸入SSL服務器的URL，然后再輸入用戶名及密碼，即可完成遠程登錄的操作。

故SSL VPN最適合學校遠程訪問接入。而Ipsec VPN適合校區間點對點連接。

目前SSL VPN和IPSEC VPN應用在不同的領域，各有千秋，相互不能取代，在未來一段時間內兩者將共存。因此選擇集成IPSEC VPN和SSL VPN一體化的方案，將是我校的最佳選擇，同時它也是未來VPN的發展趨勢之一。

通過重點研究與分析比較IPSec VPN和SSL VPN的這兩種VPN解決方案，同時結合高職院校中網絡的實際情況，提出了基于策略和路由的VPN實現解決方案，從而突破了校園專用網的區域性限制，進一步解決了當前校園網中存在的一些問題。

[參考文獻]

[1]常青.VPN技術綜述（上）[J].中國計算機用戶，2006，（31）：47-48.

[2]Zhensheng Zhang，Ya-Qin Zhang，Xiaowen Chun，BoLi.An Overview of Virtual Private Network （VPN）： IP VPN and Optical VPN[J].Photonic Network Communications，2007，7（3）：213-225.

[3]張煥明.基于IPSec的VPN關鍵技術研究[J].微計算機信息，2006，22（3）：56，58，130.

[3]趙金水.IPSec與MPLS實現VPN的對比與融合[J].電信技術，2004，（5）.

[5]汪穎，吳俊，陳朝峰.VPN技術在專用網絡中的應用[J].九江學院學報，2008，（3）.

[責任編輯：戴禎杰]

[收稿時間]2012-09-11

[作者簡介] 谷巖（1975-），男，江蘇淮安人，本科，講師，主要從事計算機方的教學和研究工作。