基于VPN探析校內網絡安全體系的構建策略

◆洪育瓊

?

基于VPN探析校內網絡安全體系的構建策略

◆洪育瓊

（廣東省高級技工學校 廣東 510800）

本文針對當前的校園網絡安全的現狀，分析了幾種比較普遍的安全體系，通過結合VPN技術來探索構建網絡安全體系的途徑。另外，以VPN技術為出發點，對VPN的種類以及關鍵的技術進行了敘述，并研究了基于VPN探析校內網絡安全體系的構建策略。

VPN；校內網絡；安全體系

0 前言

在公共的網絡上建立起一條通道，而這條通道經過層層的加密以及認證之后，就能保障網絡虛擬空間的安全，這就是VPN技術。通過VPN技術所建立起來的網絡虛擬通道，能夠在信息傳輸的時候進行加密，而這也在一定程度上保障了數據的隱私性，VPN這種技術不需要將專門物理性網絡重新設立起來，而只需要投入很少的資金，就有非常明顯的安全效果。

1 計算機安全保障的層次框架

1.1 框架的內涵

在計算機安全保障的層次框架當中，有一個非常重要的原則，簡單的來講，這個原則蘊含了三層意思。第一層，在免于受到環境威脅的前提下，對系統元素當中安全級別的要求；第二層，所有關于系統元素的服務都能實現；第三個層面，為了使得用戶的需求得到滿足，需要提供的一套安全服務。要想將網絡安全體系構建起來，還要重視其他的一些方面，比如計算機設備、通信、網絡管理、網路設備以及物理網絡等等[1]。

1.2 常見的網絡安全體系

（1）入侵檢測系統

入侵檢測系統能夠分辨出沒有經過授權的信息以及網絡異常的現象，然后就會把這些不在一定匹配范圍內的信息向安全系統報告。它的作用主要體現在信息與計算機安全匹配，另外也能夠在網絡當中的一些違反安全行為當中起到作用。通過結合硬件和軟件，排除各種有入侵意向的信息。同網絡防火墻以及普通的安全策略相比，在網絡的安全上，入侵檢測系統有更多的創新。而這些創新主要體現在對信息體征和數據進行自主分析的分析日志上，以及系統日志上。假若在這當中發現有任何入侵的行為就會及時的發出警告，然后把一些可疑的數據生成報告，接著再給管理員這些報告的數據[2]。

（2）網絡防火墻

網絡防火墻的原理就是在外部網絡與內部網絡之間將設立控制信息傳遞的系統。而為了保障網絡信息的安全性，可以對系統自帶的控制功能進行利用，而對安全防范和安全策略的優先性級別進行設置。這在一定程度上，能夠通過管理外網的信息對內網訪問信息進行命令。防火墻要想將上述功能實現，就要有一定的處理方法、安全等級以及安全策略，而這些內容又是由兩塊內容來組成。這當中的優先級，是利用其配對和條件使用邏輯的運算符將邏輯量和關系表達式連接起來的式子來完成，并通過這種方式了解到信息在兩網之間傳遞所包含的一些特殊的取值范圍，然后再計算出式的表達或真或假[3]。

（3）網絡隔離技術

把一個比較完整的網絡劃分成很多個，沒有關聯以及交叉的安全領域，在兩個域或者兩個以上域之間實現訪問物理基礎和控制，并對相關的規則和約束進行定義，在安全的網絡環境下，確保完成交換數據的一種技術就是網絡隔離技術。網絡隔離的技術的運作設備是在網絡的分界上工作，可以算作是網絡的防御者，能夠起到一定的安全防護作用。

③河網水系暢通工程任務艱巨。伴隨經濟社會的快速發展和城市化進程的加快，河道水系被打散打亂，以暢通河道為主的河網水系恢復工程任務艱巨，想要恢復到20世紀70年代的河網水系和水質狀況，需要付出幾倍的物力、財力。

2 VPN的關鍵技術

VPN的幾種關鍵技術，請見表1。

表1 VPN的幾種關鍵技術

3 基于VPN技術構建校內網絡安全體系的策略

3.1 安全體系的需求

在校園網內，VPN技術主要有兩大需求的方向：第一個方向是對校內網站進行遠程訪問，很多的教師和學生假如身在異地，而需要對校內的網絡服務器進行訪問。比如說收發郵件、查考分以及看薪酬等等，而這些需求都需要通過訪問互聯網的形式得以實現；第二個方向是分校區和主校區進行訪問互通，怎樣讓老校區和新校區的信息實現互聯傳輸和共享，整合財務專網以及一卡通，通過設置校園網絡的安全通道進行安全的傳輸，確保一些需要加密的資源能夠快速且安全的傳輸，是需要考慮的問題。

3.2 VPN技術的路線

當前已經有很成熟的幾種技術，包括IPsecVPN、MPLSVPN 、SSLVPN，分析得知，IPsecVPN同SSLVPN這兩種技術，是從技術路線中相區別開來的VPN構架。而IPsecVPN是在網絡層中運行的構架，能夠在整體的網絡層上，保護相對透明的安全通信以及傳輸數據。另外SSLVPN技術是在TCP層間以及應用層上運行的，從總體上來講，這兩種系統都能夠給遠程接入提供一定的安全保障。

3.3 方案的設計

根據以上研究的分析，并對校園網的實際情況需求進行考慮，可以對校園網VPN進行以下部署：

（1）新校區和老校區采取hitranctVPN技術

在校區本部以及新校區之間將IntranctVPN網絡體系構建起來，校區本部以及新校區通過光纖連接起來，將統一的出口設置在新校區。而且在校園網當中的一些相關應用，包括人事管理、財務薪酬系統以及一卡通的應用，這些都可以通過這種網絡同主校區進行連接。所以，可以采用IPsecVPN技術，在新校區同老校區原有的鏈路上，加密以上的應用，這樣能夠對傳輸數據起到一定的保護作用。

（2）AccessVPN訪問VPN服務器

在校園網的內部可以架設VPN服務器，一些移動用戶和遠程用戶就可以通過利用VPN軟件客戶端以及VPN協議當中的封轉加密能力，通過AccessVPN更便于用戶在校園網外使用本地的ISP提供的網絡，只要支付本地的ISP網絡，不需要再支付其他的費用。假如一些遠程的用戶想要同校園的VPN連接在一起，就要在校園網絡的內部構建一套VPN的服務器，這套服務器主要用于給一些遠程的用戶提供連接的服務。而SSLVPN技術能夠為遠程客戶解決訪問校園網絡數據的問題，可以通過一些簡單且方便的方法實現信息的遠程連接，而這種技術安裝上任何的瀏覽器都可以使用。

4 結束語

目前，我國正處于經濟高速發展的時期，很多的高校都在不斷地拓展招生，也在想方設法建立分校，擴大校區的面積。而怎樣才能夠讓高校的內部能夠享受到比較優質的校園網服務，實現數據的安全傳遞，是需要考慮的問題。而VPN技術剛好能夠使得校園網的需要得到滿足，除了能夠節省成本，還能夠從根本上使得高校的網絡安全體系得以完善，因此應用VPN技術是校園發展的必然趨勢。

[1]肖陽，李陽.校園網絡的多層安全體系研究[J].中南林業科技大學學報，2010.

[2]趙清江，楊春艷，崔巖等.融合Samba與Proftpd技術實現校內資源庫的安全訪問[J].價值工程，2011.

[3]敖謙，劉華.高校校內網絡資源的外部訪問研究[J].上饒師范學院學報，2010.