淺談VPN技術在校園網中的應用

張迎春

摘要：隨著互聯網+教育的飛速發展，高校數字化校園的建設不斷深入，基于網絡技術環境支持的網絡教學、資源庫、教育教學管理等進一步完善。如何確認用戶身份，如何安全高效地使用這些資源，如何保障多個校區（異地）數據傳輸安全等問題，就成了我們必須面對和解決的問題。本文結合校園網建設實際經驗，介紹了VPN的技術及其工作原理，淺述了VPN技術校園網建設中的應用。

關鍵詞：數據化校園? VPN? 校園網

隨著互聯網+教育的飛速發展，高校數字化校園的建設不斷深入，信息化建設不斷提速，校園網作為學校信息化建設的基礎，安全、穩定和高效顯得尤為重要。通常，學校為考慮網絡安全，在校園網建設時，通常是將互聯網和校園網內網進行物理隔離，使通過互聯網的用戶，不經授權不能訪問內網資源，從而保障學校網絡信息安全。而這樣的做法，同時也導致出現了如何將校內豐富、優質的教育資源和重要的信息化應用突破空間限制，安全高效為地為師生們提供服務的問題，虛擬專用網（VPN就是一種既可保障安全、又可保障網絡開放的低廉易行的解決方案，可以使信息用戶隨時隨地享用內網資源。

一、VPN技術及其工作原理

虛擬專網指的是在公用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。虛擬專用網絡（VPN）的功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN可通過服務器、硬件、軟件等多種方式實現。

以目前較為流行的VPN為例，其工作原理為：VPN一般的實現方式是在企業的防火墻后面放置一個SSL代理服務器，SSL代理服務器將提供一個遠程用戶與各種不同的應用服務器之間的連接，實現起來主要有握手協議、記錄協議、警告協議的通信，SSLVPN的通信過程主要集中在握手協議上，主要為：一是SSL客戶機連接到SSL服務器，并要求服務器驗證身份;二是服務器通過發送它的數字證書證明自身的身份。這個交換包括整個證書鏈，直到某個證書頒發機構，通過檢查有效日期并確認證書包含可信任CA的數字簽名來驗證證書的有效性;三是服務器發出一個請求，對客戶端的證書進行驗證;四是雙方協商用于加密的消息加密算法和用于完整性檢查的HAS日函數，通常由客戶端提供它所支持的所有算法列表，然后由服務器選擇其中最強大的加密算法：五是客戶機和服務器通過下列步驟生成會話密鑰。客戶機生成一個隨機數，并使用服務器的公鑰對它加密，再送到服務器，服務器用更加隨機的數據、用客戶機的公鑰加密，發送至客戶機以表示響應，使用HAS日函數從隨機數據中生成密鑰。

二、校園網VPN建設的意義

2019年8月召開的國務院常務會議決定，推進互聯網+教育，加快建設教育專網。為我們校園網應用接入教育專網吹響了號角，教育網視頻會議系統、標準化考場系統、資源平臺系統和多校區信息業務互聯等應用給學校和師生們工作學習帶來了極大方便。

當前，高校信息化建設正飛速發展，好多院校都在不斷整合，兩個或多個校區也愈來愈常見，隨之而來的是出現多個獨立的校園網，而師生的教育教學都需要使用共同的校內資源，這就要求學校必須通過VPN技術將多個校區獨立的校園網聯接成一個虛擬局域網，使師生們可以通過互聯網訪問校園網資源。主要問題體現在：一是學生眾多，無法針對學生進行有效的身份認證和身份識別。學校擁有大量的學生、教師員工，根據國家相關規定，要求對所有人員上網做到有據可查，并能根據上網者的相關信息查詢到該用戶的所有上網記錄。二是校園網應用系統，外網無法訪問，學校的應用系統都處于學校內網，學生在家也無法使用學校的網絡資源，與學校之間互聯也存在鏈路及安全面的問題。三是教育專網安全互聯。根據教育部規定，學校必須與教育專網互通，達到資源共享，統一管理。如果架設專線，線路則無法全面覆蓋所有學校，且專線成本較高，采用專線既浪費了網絡資源，也為學校帶來了較大的成本壓力。

基于以上問題分析，我們可以看到，目前教育行業在信息化建設的主要問題，依然是以教育專網互聯、身份認證、數據互聯安全性為主，并通過合理的身份認證技術進行安全的遠程訪問，同時通過擴展的應用服務、基于應用訪問的流量控制技術、監控管理技術對校園網進行集中的管理與訪問。

三、校園網中VPN應用案例

（一）校園網建設改進方案

在校園網建設中，我們可以通過技術的設計，把多個校區的校園網通過VPN技術聯接。我們可以通過VPN技術來應用于校園網中，解決方法為：一是在多個校區之間通過IPSec協議進行安全連接，保證多個校區師生使用相關資源的安全性。IPSec VPN 在多個校區的搭建，目的是實現在防火墻上進行選擇其組網模式、配置其基本參數、配置相關地址信息、密鑰及相關算法，從而實現相關功能。二是對于不在校園網內的師生，可以通過學校購置的VPN設備訪問學校內網，獲取師生所需求的資源，師生可以通過電腦端或移動端的VPN客戶端軟件，通過身份驗證后訪問校園網資源。三是通過在主校區內網的實施訪問控制措施，在關鍵的數據必經的設備上進行訪問策略的應用，通過相關的配置，這樣訪問的客戶端在訪問控制方面就有所嚴格把控。通過防火墻的相關功能，保障校園中數據傳輸的信息安全。

（二）校園網中VPN技術應用

為保障學校網絡和數字校園應用系統安全，我校網絡資源已劃分為校園外部和內部資源，分類控制網絡訪問。校園外部網絡上（如：學校門戶網站、二級網站）的資源開放互聯網自由訪問;對于校園內部網絡上的資源，我校師生在校外需要使用VPN系統才能訪問，包括信息門戶登錄認證、辦公系統、財務系統、教務系統、學生工作、網絡教學平臺、科研管理系統、考試成績查詢、云平臺等，校外師生利用VPN方式登陸學校的VPN設備，利用賬號認證，或學校的統一身份平臺，即可直接登陸校內，實現對校內資源以及數字圖書館等資源的快速訪問。目前，大多數VPN都兼容大部分日常所用到的郵件系統和OA系統等。

在實踐中，我校使用的是NGVONE網關，提供更加全面高效的安全接入服務;在師生們的體驗性方面做了更多優化，支持當前主流瀏覽器、提供了安全監控主屏等功能，讓師生們接入方便快捷，同時給管理員直觀的監控體驗;在認證類型方面，支持多種外部認證類型;同時，也對接到了校園認證平臺，便于師生們對各類應用系統的訪問，提供全面的可信認證接入機制。

1.提供校園師生應用系統的安全訪問;校園內部辦公應用（例如OA）需教師可隨時訪問，但業務直接從互聯網訪問存在許多安全隱患，如賬號密碼過于簡單被暴力破解、后臺管理暴露出去等;使用VPN設備中的SSLVPN功能，可為師生提供移動安全接入功能，VPN可提供多種認證類型，同時可對接校園認證平臺，提供單點登錄功能;為業務系統做了一層安全防護。

2.為師生們提供遠程辦公環境;疫情影響下，遠程辦公方式成為首選，教職工可通過撥入VPN訪問對其授權的內部業務系統，提供便捷同時又保證其安全性。

3.為遠程運維人員提供連接方式;部分設備和業務需廠家或軟件方經常遠程維護，可通過VPN方式連入校園網訪問對其授權的資源在我校的校園網建設中，將VPN旁路部署在核心交換機上，向互聯網提供安全可靠的服務和校園網內的辦公自動化平臺、圖書館資源及期刊數據庫資源、教學資源等數據，這樣，校外的師生們即可直接使用互聯網線路接入VPN，訪問通過VPN校園網所發布的資源，達到安全高效的跨校區（異地）訪問目的。

參考文獻

[1]周毅;VPN技術及其未來應用發展方向[J];電子技術與軟件工程;2014年11期。

[2]潘華;基于VPN的數字校園網絡應用研究[J];電腦知識與技術;2013年28期.