基于VPN技術的校園網絡安全建設研究

宋曉飛

【摘要】VPN（Virtual Private Network）是一種在公共網絡上構建隧道，并在隧道上進行加密，認證等方法，從而實現虛擬專用網絡的技術。在VPN搭建的虛擬專用網絡通道中，數據可以進行加密傳輸，從而保證了數據的保密性，而且不用搭建專用的物理網絡，節省了成本。在校園網中，需要建立一個安全的，便捷的，性能強大的安全體系。而VPN剛好適合校園網需求。本文結合校園網實際，就VPN發展現狀出發，介紹VPN技術在我國以及世界上的發展及前景，并就校園網絡安全建設為中心，介紹三種常見安全體系：防火墻體系，入侵檢測體系，網絡隔離體系，并具體分析這三種網絡體系的原理以及不足。從而指出基于VPN技術的網絡體系是適合校園網的安全體系。最后就校園網的需求分析提出一個基于VPN技術的校園網安全體系建設方案。

【關鍵詞】VPN;校園網絡;網絡安全;建設研究

1.VPN技術簡介

所謂VPN就是虛擬專用網絡，英文全稱Virtual Private Network，簡稱VPN。其功能是：在公共網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN的多種分類方式中主要借助協議進行分類，VPN可通過服務器、硬件、軟件等多種方式實現，另外VPN具有成本低，易于使用的特點。VPN技術誕生于上個世紀90年代，1997年9月發布的RFC2194是第一個直接提及VPN的RFC。到現在僅僅17年的歷史，但其發展速度卻遠超我們的想象，各大網絡產品生產商如CISCO、H3C、Networks都把VPN作為主要的市場目標。而當前國內VPN尚不成熟，自從2000開始正式起步，與信息產業的其他分支類似，經歷了有金融、政府和通信行業的帶動起步的過程，取得了長足發展。隨著我國固網運營商的戰略演變，寬帶已經成為固網運營商主體業務之一，目前固網運營商的數據網絡已初具規模，如中國電信的CN2，聯通的China169、163數據網，在市場需求的刺激下國內各大運營商也在VPN業務上發力，把VPN業務視為一項重要的市場份額。

2.VPN網絡安全體系分析

2.1 防火墻體系

在網絡中防火墻是設置在內網和外網之間的一系列部件的組合。以防止發生不可預測的、潛在破壞性的入侵，所有防火墻產品在匹配規則的基礎上都會采用兩條規則中的一條。一切未被允許的就是禁止的，又稱默認拒絕;或者一切為被禁止的就是允許的，又稱默認允許。當然這種體系存在以下不足：不能對惡意的知情者進行防范、不能對不經過它的連接進行防范以及不能對全部的威脅進行防范和不能防范病毒。

2.2 入侵檢測體系

入侵檢測技術是一種可以及時發現系統中異常現象或未經授權現象并及時作出報告的技術。它是保證計算機進行安全配置與設計的一項技術，同時也對計算機中的違規操作進行檢測并予以報告。存在的不足：采用的特征檢測對特征數據進行數據分析，從而進行檢測、發現入侵，報告入侵并記錄原始數據信息，必要時還可以通過與防火墻進行聯動，實現對惡意數據的切斷，不過，與防火墻系統一樣，對于新出現的未知特征數據的入侵，特征檢測方法無能為力。

2.3 網絡隔離技術

網絡隔離就是把網絡分成多個互不交叉的安全域，并在域與域之間進行訪問的技術，其模型有內部隔離模型和物理隔離模型。存在的不足：如內網用戶無法使用許多的國際互聯網資源，而對于用戶來說這些又是工作中非常必須的，另外要做到真正意義上的物理隔離會導致投資成本的大大增加，占據更大的辦公空間，而且花費更多的維護費用。

綜上所述，以上三種體系都無法滿足校園網安全的需要，所以在校園網中實施基于VPN技術的網絡安全建設迫在眉睫。

3.VPN在校園網中應用的現狀

目前校園網對VPN的關注熱度已上升到一個相當的高度，許多高校非常熱衷與VPN技術并且已經準備或已開始實施。各高校對VPN的需求主要有以下幾個方面：首先是滿足校外師生對校內網站的安全訪問需求，VPN方案能夠在公眾的IP網絡上建立私密的數據傳輸通道從而進行分校的合作伙伴、分支辦公室、移動辦公人員等進行遠程聯接網絡，從而降低校園網的訪問負擔并節約成本[1]。其次是滿足分校之間相互訪問的需求，以方便進行管理控制，對資源進行統一的獲取、分配。最后是解決學校的圖書館資源的合理訪問問題，而在高校圖書館中版權問題一直都是一個重大的問題，因此需要一套可管理、可認證、安全的遠程訪問電子圖書館的電子系統。

4.基于VPN技術的校園網絡安全建設分析

VPN建設方式分析：A方案是Internet服務商（ISP）建設，對企業要保持透明;B方案是企業關于自身方面的建設，ISP一定要透明。C方案就是企業、服務商應該共同進行建設。很顯然，B方案更加適合當下的校園網的安全建設，即關于學校自身的建設，對服務商透明。校園網是地理位置在校內的計算機網絡，校園網與國際互聯網相聯，它有用行于國際互聯網這樣一個公用網絡的IP地址，并擁有它自己的路由設備，而且它有自我網絡管理系統和自我維護機構[2]。對校園網絡有相當強的技術支持以及管理能力。因此在校園網絡上運用VPN可以完全不依賴服務商，這樣學校就更有自主權，另外還可以節省經費。

通過對校園網絡現狀的分析，在校園網絡上建設VPN必須與其校園網現有需求相結合，遠程訪問網絡。但隨著辦學條件的不斷擴大和發展，學校內部的校園網使用VPN后你，兩個小區的校園網可以看成是學校網絡在兩個地區的不同組成部分。對現有的校園網絡來說基本上沒有Extranet網絡結構。所以在現有的校園網絡基礎之上，可以采用遠程用戶訪問VPN服務器和兩校區之間的VPN服務器設想（Extranet網絡結構）。

5.基于VPN技術校園網絡安全建設具體方案

5.1 建立一個遠程用戶訪問校園網的VPN服務器或者是建立一個管理服務器網段的VPN服務器。

5.2 兩校區之間的VPN服務器設想：運用Internet公共網絡從而將兩個校區的校園網絡相連，所以學校的就可以信息交流和數據傳輸、資源共享。首先克服了運用路由器對其訪問的局限性，同時數據傳輸的安全性有了保障，另外值得注意的一點是不租用專線從而節省了大筆開支。通過在兩個學校的校區之間建設VPN服務器在策略上是允許這兩地的所有用戶對其進行訪問。

5.3 VPN安全部署：在條件允許的情況下，我們可以直接部署專用設備，根據實際情況在現有網絡的出口處部署VPN。對于其他實現互聯的子網也部署相應的VPN設備。對于普通用戶在PC機上直接安裝客戶端軟件就可以非常便利的經過VPN架設隧道，進而對內部網絡資源直接進行訪問。

6.結束語

當前確保網絡安全性的確是一個網絡設計者和管理者特別關心和重視的一個問題，VPN校園網的系統安全是一個較為復雜的工程，從嚴格意義上講，沒有完全安全的網絡系統，在網絡安全日益影響我們校園網絡運行的情況上我們不能保障校園網的絕對安全，要盡可能去制止或減少非法訪問和操作的行為，把不安全因素降到最低[3]。網絡安全技術不斷發展的同時，全面安全技術的應用是網絡安全發展的一項重要內容，同時還要加強網絡安全策略和網絡安全管理，只有這樣才能真正確保網絡的安全性。

參考文獻

[1]徐喆.高校網絡安全存在的問題與對策研究[D].燕山大學，2012.

[2]熊浩.VPN技術在校園網中的應用與實現[D].南昌大學，2009.

[3]徐迎新.VPN技術在校園網安全體系架構中的應用研究[D].南昌大學，2009.