基于雙線網(wǎng)關(guān)模式的圖書館SSL VPN遠(yuǎn)程訪問(wèn)系統(tǒng)部署策略研究

章 文

（華南理工大學(xué) 圖書館，廣東 廣州 510000）

0 引言

在進(jìn)入新世紀(jì)以后，教學(xué)科研對(duì)圖書館的數(shù)字資源的依賴性越來(lái)越強(qiáng)，所以高校圖書館的數(shù)字化建設(shè)是其中的重中之重，一個(gè)完備的數(shù)字化資源中心，能夠?qū)?duì)一個(gè)高校的科研起到極其強(qiáng)有力的支撐作用。而目前高校圖書館的數(shù)字資源，由于版權(quán)和網(wǎng)絡(luò)的問(wèn)題，一般對(duì)部分資源實(shí)行IP限制，使其只能本校師生在校內(nèi)訪問(wèn)，但如果在校外，就無(wú)能為力，怎么建立一個(gè)讓合法讀者能夠在任何地方可靠、方便、高效、安全地獲取圖書館電子資源，成了數(shù)字化圖書館建設(shè)的一個(gè)難題，SSL VPN技術(shù)的出現(xiàn)為該問(wèn)題的解決提供的可行的策略。

1 SSL VPN技術(shù)

VPN技術(shù)，其英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊隧道，通過(guò)這些隧道形成一個(gè)虛擬的私有局域網(wǎng)絡(luò)，很好的解決了遠(yuǎn)程訪問(wèn)問(wèn)題。

但是傳統(tǒng)的VPN只提供的連接隧道，并沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密，安全性不高，于是引入了SSL技術(shù)。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持，通過(guò)SSL VPN能夠完美實(shí)現(xiàn)登陸限制以及遠(yuǎn)程安全訪問(wèn)。

SSL VPN訪問(wèn)流程可以簡(jiǎn)化為下面四步：

（1）用戶提交用戶名和密碼；

（2）服務(wù)器驗(yàn)證用戶名和密碼是否正確；

（3）允許用戶接入并建立從用戶到SSL VPN服務(wù)器的通信隧道；

（4）用戶通過(guò)隧道訪問(wèn)特定資源，訪問(wèn)請(qǐng)求SSL VPN服務(wù)器后，由服務(wù)器代理用戶進(jìn)行資源訪問(wèn)，并將取回的信息通過(guò)隧道傳回給用戶。

圖1 SSL VPN遠(yuǎn)程登錄系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2 SSL VPN適合圖書館的優(yōu)點(diǎn)

2.1 使用與維護(hù)簡(jiǎn)單，易于擴(kuò)展適用人群，SSL VPN的使用不需要任何安裝，只需要一個(gè)常見(jiàn)的瀏覽器，如IE，火狐等，使用簡(jiǎn)單這一特點(diǎn)，恰好是高校圖書館最需要的。

2.2 因?yàn)镾SL VPN的會(huì)話傳輸是基于會(huì)話層的，能夠適應(yīng)各種ISP供應(yīng)商，具有超強(qiáng)的適應(yīng)性，對(duì)于近幾年興起的移動(dòng)平臺(tái)也有很好的支持性。

2.3 完善的用戶行為控制，因?yàn)橛辛薙SL進(jìn)行身份認(rèn)證，所以可以根據(jù)不同的用戶，設(shè)置不同的使用權(quán)限，同時(shí)也可以監(jiān)控每個(gè)用戶的流量以及資源的使用情況，該特性對(duì)于高校人員的劃分極其有用，高校包含了本科生，研究生，教授等不同級(jí)別的人員，對(duì)這些用戶區(qū)分是很重要的；同時(shí)，監(jiān)控統(tǒng)計(jì)每個(gè)資源的使用頻率，對(duì)評(píng)估教學(xué)科研情況也能起到了重要的作用。

2.4 SSL VPN使用SSL協(xié)議進(jìn)行加密，保證了信息的真實(shí)性、完整性和保密性，對(duì)于高校圖書館購(gòu)買的非公開(kāi)免費(fèi)資源或者一些軍工保密資源，這點(diǎn)尤其重要。

3 基于SSL VPN的圖書館數(shù)字資源遠(yuǎn)程訪問(wèn)系統(tǒng)部署方案的探討

現(xiàn)今SSL VPN平臺(tái)架構(gòu)技術(shù)越來(lái)越成熟，其強(qiáng)大的用戶驗(yàn)證及行為控制，高效穩(wěn)定安全的數(shù)據(jù)傳輸，讓各高校圖書館紛紛選擇SSL VPN作為遠(yuǎn)程訪問(wèn)的解決方案，相信各個(gè)圖書館的SSL VPN系統(tǒng)都大同小異，但是由于各個(gè)高校圖書館的網(wǎng)絡(luò)情況各不相同，這對(duì)VPN系統(tǒng)的部署提出了不同的要求。以深信服公司的M5100-S服務(wù)器為例，有兩種普通的部署模式：

（1）網(wǎng)關(guān)模式：該模式下，VPN處于局域網(wǎng)的前面，與核心交換機(jī)串聯(lián)，所有的數(shù)據(jù)都要通過(guò)VPN服務(wù)器的驗(yàn)證，從而達(dá)到過(guò)濾重復(fù)消息，阻止非法登錄的作用；

（2）單臂模式：該模式下VPN服務(wù)器位于防火墻后面，直接連到核心交換機(jī)上，允許來(lái)自局域網(wǎng)的數(shù)據(jù)不通過(guò)VPN服務(wù)器，讓防火墻的功效得到了充分的發(fā)揮，同時(shí)VPN服務(wù)器死機(jī)不會(huì)造成網(wǎng)絡(luò)的癱瘓。

筆者以某圖書館作為案列，詳細(xì)介紹在圖書館的資源情況和網(wǎng)絡(luò)環(huán)境下，究竟該部署何種部署模式,該圖書館絕大部分的數(shù)字資源都對(duì)IP進(jìn)行了限制，數(shù)字資源訪問(wèn)總的來(lái)說(shuō)可以分為本地資源請(qǐng)求和異地資源請(qǐng)求，而請(qǐng)求的來(lái)源可以分為校內(nèi)，教育網(wǎng)內(nèi)，和非教育網(wǎng)請(qǐng)求，對(duì)于來(lái)自局域網(wǎng)內(nèi)的申請(qǐng)，為了提高效率，對(duì)這類申請(qǐng)就不通過(guò)VPN服務(wù)器，所以初步選用單臂模式進(jìn)行部署。

進(jìn)一步分析，由于存在非教育網(wǎng)的請(qǐng)求，為了實(shí)現(xiàn)能夠跨網(wǎng)訪問(wèn)VPN服務(wù)器，有很多方法可以實(shí)現(xiàn)，比如在館內(nèi)接入ADSL專線直連到服務(wù)器上，但這種方法需要非教育網(wǎng)運(yùn)營(yíng)商接入專線，額外耗費(fèi)資金，該圖書館選擇對(duì)服務(wù)器的IP地址與電信網(wǎng)IP地址進(jìn)行映射的方法，讓非教育網(wǎng)用戶能夠直接訪問(wèn)VPN服務(wù)器，受技術(shù)限制，該映射為雙向映射，每次出入都會(huì)改變信息頭的IP信息，這是該校與其他學(xué)校網(wǎng)絡(luò)環(huán)境最大的不同，這點(diǎn)就導(dǎo)致了如果有讀者在電信網(wǎng)申請(qǐng)異地資源，那么因?yàn)殡p向映射，由VPN服務(wù)器發(fā)出去的申請(qǐng)所包含的IP信息因?yàn)橥ㄟ^(guò)了學(xué)校網(wǎng)關(guān)，就會(huì)映射成電信的IP，從而無(wú)法通過(guò)IP審核，導(dǎo)致申請(qǐng)失敗，于是，為了避免這種情況，該圖書館放棄了原有的單臂模式部署策略，創(chuàng)造性的采用了非常規(guī)的雙線網(wǎng)關(guān)模式，普通的網(wǎng)關(guān)模式只有一條線路，即VPN服務(wù)器本來(lái)的IP，而雙線網(wǎng)關(guān)模式使用了兩個(gè)IP，對(duì)訪問(wèn)請(qǐng)求在服務(wù)器內(nèi)部進(jìn)行內(nèi)部跳轉(zhuǎn)，用于應(yīng)付不同的情況。

在雙線網(wǎng)關(guān)模式下，VPN服務(wù)器上部署了兩個(gè)IP，這里分別標(biāo)記為IP1和IP2，IP1配置給WAN口，用于映射到公網(wǎng)，給外網(wǎng)或者外校訪問(wèn)用來(lái)登陸服務(wù)器以及建立通信隧道，來(lái)自教育網(wǎng)外的訪問(wèn)首先通過(guò)學(xué)校的映射，才能對(duì)IP1進(jìn)行訪問(wèn)，LAN口配置IP2，用于代理用戶訪問(wèn)內(nèi)網(wǎng)以及從教育網(wǎng)訪問(wèn)公網(wǎng)資源。用戶登錄SSL VPN服務(wù)器和建立通信隧道與普通部署模式相同，后面VPN代理訪問(wèn)的過(guò)程就出現(xiàn)了變化，不再是使用IP1訪問(wèn)資源，而是在服務(wù)器內(nèi)部進(jìn)行了一次線路跳轉(zhuǎn)，使用LAN口的IP2代理訪問(wèn)資源，通過(guò)IP2進(jìn)行的訪問(wèn)不存在映射變換，這樣巧妙的避過(guò)了校內(nèi)IP1出校改變IP導(dǎo)致申請(qǐng)失敗的問(wèn)題，同時(shí)所有申請(qǐng)都經(jīng)過(guò)了驗(yàn)證，安全性方面也得到了保障。

圖2 雙線網(wǎng)關(guān)模式訪問(wèn)流程圖

SSL VPN的一個(gè)重大的優(yōu)點(diǎn)就是提供身份認(rèn)證，該型號(hào)服務(wù)器支持四種認(rèn)證方式：本地密碼驗(yàn)證，LDAP認(rèn)證，Radius認(rèn)證，證書與USB-KEY認(rèn)證。最初的設(shè)想是通過(guò)LDAP技術(shù)導(dǎo)入學(xué)校認(rèn)證中心的數(shù)據(jù)，來(lái)進(jìn)行身份驗(yàn)證，但實(shí)際情況與設(shè)想出入很大，該模式安全度極低，為了安全起見(jiàn)，放棄了該種方式；其次本地密碼驗(yàn)證，采用此種方式數(shù)據(jù)維護(hù)工作量比較大，而證書認(rèn)證對(duì)用戶體驗(yàn)非常不友好，最后，確定使用Radius認(rèn)證，該認(rèn)證的方式就是在VPN服務(wù)器以外，多部署一個(gè)Radius服務(wù)器，用戶想SSL VPN發(fā)送申請(qǐng)后，VPN服務(wù)器建立隧道，并將申請(qǐng)信息轉(zhuǎn)發(fā)到Radius服務(wù)器進(jìn)行身份驗(yàn)證，Radius服務(wù)器調(diào)用圖書館核心讀者庫(kù)數(shù)據(jù)驗(yàn)證用戶身份，并根據(jù)結(jié)果返回相應(yīng)的用戶信息，調(diào)用不同的用戶資源。該種認(rèn)證方式，維護(hù)簡(jiǎn)單，同時(shí)所有服務(wù)器處于同一防火墻下面，數(shù)據(jù)在局域網(wǎng)內(nèi)部傳遞，安全性高。

該圖書館在SSL VPN的部署上，沒(méi)有馬虎了事，而是詳細(xì)調(diào)研了實(shí)際網(wǎng)絡(luò)情況和各類資源數(shù)據(jù)庫(kù)以及讀者習(xí)慣情況，同時(shí)不墨守陳規(guī)，創(chuàng)造性地采用了其他高校圖書館沒(méi)用過(guò)的部署模式，起到了極好的效果，整個(gè)系統(tǒng)穩(wěn)定、高效、安全。獲得了廣大師生的好評(píng)。

4 結(jié)束

SSL VPN的出現(xiàn)，大大降低了遠(yuǎn)程訪問(wèn)的成本，并且能夠強(qiáng)有力的控制用戶的行為，讓高校圖書館數(shù)字化建設(shè)如虎添翼，目前SSL VPN已經(jīng)成為了高校圖書館遠(yuǎn)程訪問(wèn)的主流技術(shù)。對(duì)于每個(gè)高校圖書館不同的網(wǎng)絡(luò)環(huán)境，希望能夠?yàn)镾SL VPN平臺(tái)找到一個(gè)最合適的本地部署方案，盡可能的提升遠(yuǎn)程訪問(wèn)系統(tǒng)的可靠性和高效性，為廣大師生提供一個(gè)良好的使用體驗(yàn)。

［1］曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠(yuǎn)程訪問(wèn)系統(tǒng)的構(gòu)建[J].情報(bào)科學(xué)，Vol，25 No.10.

［2］鄒凱，陳添源.基于SSL VPN的圖書館遠(yuǎn)程訪問(wèn)平臺(tái)構(gòu)建[J].教育信息化,No.39.