VPN技術在校園網絡安全體系的應用

◆王真

VPN技術在校園網絡安全體系的應用

◆王真

（邢臺技師學院 河北 054000）

當前，我國科技發展愈發的成熟，校園信息化管理模式也成了時代發展的必然。院校內會相繼構建不同的校園網絡，借助校園網絡，讓老師和學生之間的關系變得更加的密切，保障了師生之間的友好溝通狀態。學校的規模不斷擴張，校區在不斷發展，一些院校的分校會在不同的地區構建，想要保障分校發展的協調性，就應當借助VPN技術進行管理，這樣就可以處理校園網絡地區限制管理的問題，同時還會起到改善校園網絡應用及管理的作用。

VPN技術；校園網絡安全體系；應用

VPN技術主要是以網絡運營商供給的互聯網為基準，創建出虛擬性私有通道的網絡安全防護技術。其技術的應用可以供給用戶高質量的服務，在一個開放性的網絡環境當中，臨時性的建立專用數據傳輸渠道，加密隧道當中傳遞的信息，實現專網專用的目的。但是隨著高校信息化建設的發展和推進，校園網絡的安全穩定性要求越來越高，需要創建出更為簡潔且實用性較強的安全體系，這樣才能夠讓校園網絡保持良好正常的運行狀態，分析VPN技術在校園網絡安全體系中的應用要點，設計出合理的應用方案，提升其技術應用的實踐價值。

1 VPN概念及關鍵技術

1.1 數據加密技術

通常狀況下，數據加密技術隱藏或者加密數據信息是數據包在虛擬專用網絡當中主要的傳輸方式。若數據包處于一種安全性較差的網絡環境當中，其在傳輸的過程中哪怕已經通過了用戶身份驗證，也無法確保VPN的安全可靠性。所以，在數據發送隧道的一端，需要加密用戶的身份認證，保障加密數據的傳輸狀態。在數據接收隧道的另一端，已經完成認證的用戶應當解密加密的數據信息，得到相應的原始數據，這類技術可以大致劃分成為兩類，其分別為非對稱加密以及對稱加密。對稱加密是使用頻率較高的一類數據加密技術，其技術可以針對一些機密性的數據采取公鑰密碼的方式進行管理[1]。

1.2 訪問控制技術

訪問控制技術功能會對用戶訪問系統以及使用系統的資源進行管理，能夠保障用戶可以訪問特定的系統資源，拒絕沒有授權的用戶去訪問該系統，從而實現系統資源訪問控制的目的。

1.3 用戶認證技術

在構建虛擬專用隧道傳輸數據之前，通常需要使用用戶認證技術去辨別用戶真實身份，對網絡資源的訪問，進行合理化管控。用戶認證協議摘要技術主要是以哈希函數變換數據報文的長度，使得其得到長度相同，固定不變的報文摘要。但是這類函數會受到自身特性的影響，控制難度較大，想要在眾多的數據報文當中找到長度相同，固定不變的報文摘要，需要損耗大量的時間和精力，整體工作難度較高。

1.4 隧道技術

隧道技術是VPN傳輸的重要技術，該技術主要是借助某協議實現另外一類協議傳輸數據的技術，這一技術的應用本質就是以隧道協議為主，該技術大致分成乘客協議、傳輸協議以及隧道協議。其中，傳輸協議是結合隧道的定義完成數據傳輸任務；乘客協議是對數據進行封裝，其對于數據幀以及數據包的協議會有所差異，需要把數據幀和數據包進行封裝處理，之后再進行傳輸，這些封裝之后的數據幀以及數據包可以較為精確地到達其目的地的地址，最后進行解封的處理，得到原始的數據幀以及數據報；隧道協議的功能就是拆除、保持以及建立數據傳輸渠道。

2 VPN技術在校園網絡安全體系的應用

2.1 應用原則

想要將VPN技術投入到校園當中，就需要考慮該校園網絡的使用需求范圍，同時還需要遵守VPN技術的應用原則。VPN網絡技術投入到高校應用功能當中，其模塊主要分為四類：首先是后臺管理，后臺創設的作用就是用來收集和VPN技術服務器相關的訪問記錄，將這些記錄內容進行整合，重新傳輸給安全審計進行管理，在后臺去總結用戶的各項操作行為以及詳細情況。其次是瀏覽控制模塊，其模塊創設的主要作用就是結合VPN瀏覽控制的方案，保障其技術系統設定的有效度，精確的供給客戶方案服務。再次是身份驗證，要驗證客戶端，服務端和客戶端的認證方式有所差異，將數字認證技術投入到內網當中，將用戶以及用戶密碼結合的形式投入到外網驗證當中[2]。最后是數據傳輸，數據傳輸模塊也被稱之為核心的網絡體系分支，其模塊存在的作用就是加密、轉發數據。在現階段，我國大部分高校對于VPN技術的應用要求都會比較高，特別是后勤以及財務部門，校園在連接網絡的階段，會使用二層隔離的方式，之后進行重心交換機的傳輸，以該種形式完成分校信息之間的傳遞任務。一些用戶的安全級別會比較低，這就會適當降低安全級別的要求，需要提高VPN技術服務器的性能。比如，在移動客戶瀏覽階段，可以借助Access VPN方案進行作業，將其服務器增設到校園網絡內，移動客戶應用專門的VPN客戶端和校園網絡連接，這類網絡連接的形式僅需要ISP提供寬帶費用或者支付費用即可，并不需要再次支付其他額外的費用。在構建高校VPN服務器階段，以基礎環境方向為主，選擇LINUX網絡系統，對其進行實踐和證明，其系統的拓展性會比較強，也不需要服務等任何的費用，和Windows Server平臺進行比較，其系統的性能會更加的優越。

2.2 分析安全體系需求

VPN校園網絡安全體系需求可以大致劃分為三類：首先是遠程網絡對校內網絡站點所發起的訪問，大部分分校區的老師和學生都要遠程訪問該數據庫，查詢學生的個人成績/查看校內通知等，這部分功能需求往往需要借助用戶遠程訪問的形式來實現。其次是分校區和主校區網絡互聯訪問的需求，要將分校區和主校區的業務服務整合在一起，實行校園一卡通或者創建專門的網絡通道，使得這些機密數據信息可以安全性的傳輸在分校區和主校區之間。最后是遠程用戶訪問高校圖書館資源的需求，安全性認證用戶，遠程用戶對圖書館的資源進行分配，讓其構成用戶管理、安全防護功能融合一體的系統[3]。

2.3 設計方案

（1）主分校區構建校園內部虛擬專用網

使用光纖鏈路將分校區和主校區連接在一起，同時把網絡出口增設在分校區校園網絡當中，要推行學習成績以及人事檔案等相應的應用系統，這些系統在使用時，必須要經由這一光纖鏈路。應用IPSec VPN技術去加密該鏈路當中傳輸的各項數據信息，這樣可以保障整體網絡信息傳遞的安全性。如果產生訪問請求的用戶為普通用戶，那么就可以在設計安全方式時，允許普通用戶去訪問分校區或者主校區的網絡，讓其能夠感覺同處在同一個網絡內。若其設置較高的安全級別，則會浪費網絡系統的資源，甚至還會導致用戶訪問的速度越來越慢，所以并不需要設置較高的安全級別。如果用戶的業務較為敏感，包含人事檔案管理或者學生成績管理等方面的內容，那么就可以使用二層協議網絡隔離的形式，讓校園網絡和用戶先連接在一起，之后再把數據信息傳遞到校園網絡當中的核心交換機當中，保障分校區和主校區數據加密傳輸的狀態。此外還需要在兩個校區內安裝網絡路由器設備，不管是對方校區的網絡資源請求，還是數據傳輸，都需要經過該路由設備。校園網絡的資源量相對來說會比較大，所以在安裝路由器時，必須要重視路由器的可靠性以及穩定度，盡可能減小設備的成本費用。在分校區以及主校區的位置增設VPN功能的網絡路由設備，同時還需要對其設備進行安全的管理，創建VPN通道，將需要傳播、傳輸的數據信息，結合網絡路由方式傳輸到指定的地址[4]。

（2）校園內部網絡設置VPN服務器

若移動用戶以及遠程用戶都需要訪問校園網絡，那么就可以借助VPN軟件系統，對其數據進行加密及封裝的處理，網絡運營商供給極具開放性的互聯網服務，將其和校園內部網絡連接在一起，構建訪問虛擬專用網絡，也就是 Ac -cess VPN。移動用戶以及遠程用戶在發送請求連接校園網絡的過程中，VPN服務器要實現其連接的功能，使用Linux操作系統當做校園網絡，配置VPN服務的平臺，這是因為操作系統的擴展性會比較好，使用的靈活度會比較強，能夠穩定進行操作。其應用優勢要往往高于Windows平臺，在其內部網絡設置中增設 IBMX 366服務器，Open VPN軟件均由SSL協議進行開發，所以在選擇VPN服務器當中，應當安裝Open VPN軟件系統，這樣可以創建出以SSL為主的VPN系統。SSL VPN主要是以SSL協議為基準，實現訪問目的VPN技術。該工作會在傳輸層上，經過校園網絡當中的各個網絡地址轉換設備以及防護墻設備等，使得移動用戶以及遠程用戶可以隨時隨地的訪問校園網絡。但是移動用戶以及遠程用戶在請求訪問的過程中，往往需要借助一個校園網絡IP地址，所以需要架構一臺 DHCP服務器，由該服務器供給移動以及遠程用戶IP地址。若遠程用戶想要讓其和校園網絡服務器連接，那么就需要得到其所配置的VPN服務器域名。在DNS服務器當中，增設該域名，保障用戶請求連接的準確性，及時的解析為DNS服務器域名。如果遠程用戶發起校園內部網絡資源的訪問需求，那么就可以應用校園網絡供給的URL地址，向這一服務器發起連接，在得到用戶身份認證之后，結合其權限劃分指相應的服務器內，這類遠程訪問虛擬專用網絡的連接形式，能夠較好避免其受到外部入侵解的攻擊和干擾[5]。

3 結語

需要站在校園網絡信息化建設需求的立場上進行探究，制定出更為合理的VPN技術校園網絡安全體系應用方案，讓移動用戶以及遠程用戶均可借助VPN通用渠道訪問校園的網絡資源，加密傳輸各項數據信息，避免外部非法入侵者攻擊校園網絡，設計更適合院校發展的VPN安全體系，認證并分析該體系的構造過程，滿足校園對于VPN應用的各類需求。

[1]費建英.VPN技術在校園網絡安全體系中的應用[J].計算機光盤軟件與應用，2013（23）：22-25.

[2]劉春芝.VPN技術在校園網絡安全架構中的應用[J].企業家天地（理論版），2010（05），04-06.

[3]黃磊.基于VPN技術的校園網絡安全體系構建[J].赤峰學院學報（自然科學版），2016（13）：14-16.

[4]陳劍.基于上網行為管理和VPN的校園網絡安全體系的設計與實現[J].現代計算機（專業版），2010（07）：01-04.

[5]宋曉飛.基于VPN技術的校園網絡安全建設研究[J].電子世界，2014（06）：08-09.