基于雙線網(wǎng)關(guān)模式的圖書館SSL VPN遠程訪問系統(tǒng)部署策略研究

章 文

（華南理工大學 圖書館，廣東 廣州 510000）

0 引言

在進入新世紀以后，教學科研對圖書館的數(shù)字資源的依賴性越來越強，所以高校圖書館的數(shù)字化建設(shè)是其中的重中之重，一個完備的數(shù)字化資源中心，能夠?qū)σ粋€高校的科研起到極其強有力的支撐作用。而目前高校圖書館的數(shù)字資源，由于版權(quán)和網(wǎng)絡(luò)的問題，一般對部分資源實行IP限制，使其只能本校師生在校內(nèi)訪問，但如果在校外，就無能為力，怎么建立一個讓合法讀者能夠在任何地方可靠、方便、高效、安全地獲取圖書館電子資源，成了數(shù)字化圖書館建設(shè)的一個難題，SSL VPN技術(shù)的出現(xiàn)為該問題的解決提供的可行的策略。

1 SSL VPN技術(shù)

VPN技術(shù)，其英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊隧道，通過這些隧道形成一個虛擬的私有局域網(wǎng)絡(luò)，很好的解決了遠程訪問問題。

但是傳統(tǒng)的VPN只提供的連接隧道，并沒有對數(shù)據(jù)進行加密，安全性不高，于是引入了SSL技術(shù)。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持，通過SSL VPN能夠完美實現(xiàn)登陸限制以及遠程安全訪問。

SSL VPN訪問流程可以簡化為下面四步：

（1）用戶提交用戶名和密碼；

（2）服務(wù)器驗證用戶名和密碼是否正確；

（3）允許用戶接入并建立從用戶到SSL VPN服務(wù)器的通信隧道；

（4）用戶通過隧道訪問特定資源，訪問請求SSL VPN服務(wù)器后，由服務(wù)器代理用戶進行資源訪問，并將取回的信息通過隧道傳回給用戶。

圖1 SSL VPN遠程登錄系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)

2 SSL VPN適合圖書館的優(yōu)點

2.1 使用與維護簡單，易于擴展適用人群，SSL VPN的使用不需要任何安裝，只需要一個常見的瀏覽器，如IE，火狐等，使用簡單這一特點，恰好是高校圖書館最需要的。

2.2 因為SSL VPN的會話傳輸是基于會話層的，能夠適應(yīng)各種ISP供應(yīng)商，具有超強的適應(yīng)性，對于近幾年興起的移動平臺也有很好的支持性。

2.3 完善的用戶行為控制，因為有了SSL進行身份認證，所以可以根據(jù)不同的用戶，設(shè)置不同的使用權(quán)限，同時也可以監(jiān)控每個用戶的流量以及資源的使用情況，該特性對于高校人員的劃分極其有用，高校包含了本科生，研究生，教授等不同級別的人員，對這些用戶區(qū)分是很重要的；同時，監(jiān)控統(tǒng)計每個資源的使用頻率，對評估教學科研情況也能起到了重要的作用。

2.4 SSL VPN使用SSL協(xié)議進行加密，保證了信息的真實性、完整性和保密性，對于高校圖書館購買的非公開免費資源或者一些軍工保密資源，這點尤其重要。

3 基于SSL VPN的圖書館數(shù)字資源遠程訪問系統(tǒng)部署方案的探討

現(xiàn)今SSL VPN平臺架構(gòu)技術(shù)越來越成熟，其強大的用戶驗證及行為控制，高效穩(wěn)定安全的數(shù)據(jù)傳輸，讓各高校圖書館紛紛選擇SSL VPN作為遠程訪問的解決方案，相信各個圖書館的SSL VPN系統(tǒng)都大同小異，但是由于各個高校圖書館的網(wǎng)絡(luò)情況各不相同，這對VPN系統(tǒng)的部署提出了不同的要求。以深信服公司的M5100-S服務(wù)器為例，有兩種普通的部署模式：

（1）網(wǎng)關(guān)模式：該模式下，VPN處于局域網(wǎng)的前面，與核心交換機串聯(lián)，所有的數(shù)據(jù)都要通過VPN服務(wù)器的驗證，從而達到過濾重復消息，阻止非法登錄的作用；

（2）單臂模式：該模式下VPN服務(wù)器位于防火墻后面，直接連到核心交換機上，允許來自局域網(wǎng)的數(shù)據(jù)不通過VPN服務(wù)器，讓防火墻的功效得到了充分的發(fā)揮，同時VPN服務(wù)器死機不會造成網(wǎng)絡(luò)的癱瘓。

筆者以某圖書館作為案列，詳細介紹在圖書館的資源情況和網(wǎng)絡(luò)環(huán)境下，究竟該部署何種部署模式,該圖書館絕大部分的數(shù)字資源都對IP進行了限制，數(shù)字資源訪問總的來說可以分為本地資源請求和異地資源請求，而請求的來源可以分為校內(nèi)，教育網(wǎng)內(nèi)，和非教育網(wǎng)請求，對于來自局域網(wǎng)內(nèi)的申請，為了提高效率，對這類申請就不通過VPN服務(wù)器，所以初步選用單臂模式進行部署。

進一步分析，由于存在非教育網(wǎng)的請求，為了實現(xiàn)能夠跨網(wǎng)訪問VPN服務(wù)器，有很多方法可以實現(xiàn)，比如在館內(nèi)接入ADSL專線直連到服務(wù)器上，但這種方法需要非教育網(wǎng)運營商接入專線，額外耗費資金，該圖書館選擇對服務(wù)器的IP地址與電信網(wǎng)IP地址進行映射的方法，讓非教育網(wǎng)用戶能夠直接訪問VPN服務(wù)器，受技術(shù)限制，該映射為雙向映射，每次出入都會改變信息頭的IP信息，這是該校與其他學校網(wǎng)絡(luò)環(huán)境最大的不同，這點就導致了如果有讀者在電信網(wǎng)申請異地資源，那么因為雙向映射，由VPN服務(wù)器發(fā)出去的申請所包含的IP信息因為通過了學校網(wǎng)關(guān)，就會映射成電信的IP，從而無法通過IP審核，導致申請失敗，于是，為了避免這種情況，該圖書館放棄了原有的單臂模式部署策略，創(chuàng)造性的采用了非常規(guī)的雙線網(wǎng)關(guān)模式，普通的網(wǎng)關(guān)模式只有一條線路，即VPN服務(wù)器本來的IP，而雙線網(wǎng)關(guān)模式使用了兩個IP，對訪問請求在服務(wù)器內(nèi)部進行內(nèi)部跳轉(zhuǎn)，用于應(yīng)付不同的情況。

在雙線網(wǎng)關(guān)模式下，VPN服務(wù)器上部署了兩個IP，這里分別標記為IP1和IP2，IP1配置給WAN口，用于映射到公網(wǎng)，給外網(wǎng)或者外校訪問用來登陸服務(wù)器以及建立通信隧道，來自教育網(wǎng)外的訪問首先通過學校的映射，才能對IP1進行訪問，LAN口配置IP2，用于代理用戶訪問內(nèi)網(wǎng)以及從教育網(wǎng)訪問公網(wǎng)資源。用戶登錄SSL VPN服務(wù)器和建立通信隧道與普通部署模式相同，后面VPN代理訪問的過程就出現(xiàn)了變化，不再是使用IP1訪問資源，而是在服務(wù)器內(nèi)部進行了一次線路跳轉(zhuǎn)，使用LAN口的IP2代理訪問資源，通過IP2進行的訪問不存在映射變換，這樣巧妙的避過了校內(nèi)IP1出校改變IP導致申請失敗的問題，同時所有申請都經(jīng)過了驗證，安全性方面也得到了保障。

圖2 雙線網(wǎng)關(guān)模式訪問流程圖

SSL VPN的一個重大的優(yōu)點就是提供身份認證，該型號服務(wù)器支持四種認證方式：本地密碼驗證，LDAP認證，Radius認證，證書與USB-KEY認證。最初的設(shè)想是通過LDAP技術(shù)導入學校認證中心的數(shù)據(jù)，來進行身份驗證，但實際情況與設(shè)想出入很大，該模式安全度極低，為了安全起見，放棄了該種方式；其次本地密碼驗證，采用此種方式數(shù)據(jù)維護工作量比較大，而證書認證對用戶體驗非常不友好，最后，確定使用Radius認證，該認證的方式就是在VPN服務(wù)器以外，多部署一個Radius服務(wù)器，用戶想SSL VPN發(fā)送申請后，VPN服務(wù)器建立隧道，并將申請信息轉(zhuǎn)發(fā)到Radius服務(wù)器進行身份驗證，Radius服務(wù)器調(diào)用圖書館核心讀者庫數(shù)據(jù)驗證用戶身份，并根據(jù)結(jié)果返回相應(yīng)的用戶信息，調(diào)用不同的用戶資源。該種認證方式，維護簡單，同時所有服務(wù)器處于同一防火墻下面，數(shù)據(jù)在局域網(wǎng)內(nèi)部傳遞，安全性高。

該圖書館在SSL VPN的部署上，沒有馬虎了事，而是詳細調(diào)研了實際網(wǎng)絡(luò)情況和各類資源數(shù)據(jù)庫以及讀者習慣情況，同時不墨守陳規(guī)，創(chuàng)造性地采用了其他高校圖書館沒用過的部署模式，起到了極好的效果，整個系統(tǒng)穩(wěn)定、高效、安全。獲得了廣大師生的好評。

4 結(jié)束

SSL VPN的出現(xiàn)，大大降低了遠程訪問的成本，并且能夠強有力的控制用戶的行為，讓高校圖書館數(shù)字化建設(shè)如虎添翼，目前SSL VPN已經(jīng)成為了高校圖書館遠程訪問的主流技術(shù)。對于每個高校圖書館不同的網(wǎng)絡(luò)環(huán)境，希望能夠為SSL VPN平臺找到一個最合適的本地部署方案，盡可能的提升遠程訪問系統(tǒng)的可靠性和高效性，為廣大師生提供一個良好的使用體驗。

［1］曾巧紅，徐文賢，林綺屏.基于SSL VPN的圖書館遠程訪問系統(tǒng)的構(gòu)建[J].情報科學，Vol，25 No.10.

［2］鄒凱，陳添源.基于SSL VPN的圖書館遠程訪問平臺構(gòu)建[J].教育信息化,No.39.