利用WebVPN實現高校內網資源遠程訪問

顧 純，顧建榮

（上海工程技術大學信息化辦公室 上海 201620）

1 引言

隨著高校網絡安全建設的發展，為了進一步提高抵御外網威脅的防護能力，越來越多的高校用戶將業務應用系統訪問限制在內網，禁止來自外網的訪問。師生用戶想在校外訪問校內資源，就必須擁有校內的合法地址，否則將無權限訪問校內資源[1]。如何保障全校師生在校外更高效、穩定地訪問校內資源，也是一個必須解決的問題。

本文提出了不需要任何客戶端軟件的安裝，也不需要對服務器端進行特殊設置，通過短時間的配置就可以為用戶提供遠程訪問的解決方案，同時這種方案不需要指定客戶端設備，不需要其他的安全設備和應用程序及插件的支持，通過利用 WebVPN技術更好地解決上述問題，提升校內用戶的使用體驗。

2 VPN概述

VPN是虛擬專網（Virtual Private Network）的縮寫，被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。傳統的 VPN 技術主要有PPTP、L2TP、IPSEC 和SSL VPN等。其中，PPTP 是最簡單的點對點隧道協議，它使用PPP協議對數據進行封裝，實現了從外網用戶端到內網服務器之間數據的安全傳輸。L2TP是基于PPTP缺點改進的后續版本，用戶可以針對不同的服務質量創建不同的隧道，并提供隧道驗證。IPSEC 使用加密安全服務來保護網絡上的通信，支持網絡身份驗證、數據源身份驗證、數據完整性、數據機密性，是擁有高安全性的VPN，其部署和管理較復雜。SSL VPN基于SSL協議，可以保證信息的真實性、完整性、保密性。用戶端使用瀏覽器與SSL VPN連接，透過HTTPS協定建立出兩端間的安全連接通道。因為SSL協議被廣泛內置于瀏覽器中，可以不用安裝客戶端訪問。但是，這些傳統的VPN方式經常遭到用戶們的詬病，在使用過程中存在著各種各樣的問題[2]。常見傳統VPN主要參數比較見表1。

表1 常見傳統VPN對比表

通過表1，可以歸納出傳統的VPN主要存在以下缺點。

（1）安裝與配置復雜。傳統VPN需在終端上安裝下載客戶端或插件，并配置相應的參數，例如目標地址、加密類型、連接方式等，配置較為繁瑣。

（2）占用系統資源。傳統VPN需要在終端安裝相應的嵌套插件，插件的安裝一方面讓使用體驗變得糟糕，另一方面也是對系統資源的隱性開銷。

（3）兼容性要求高。傳統VPN對操作系統的兼容性有要求，不完整版系統或缺少系統補丁等，均會影響VPN的使用體驗。

（4）安全系數較低。PPTP VPN使用全明文的方式進行傳輸，任何人在中間鏈路可隨便竊取用戶信息，安全性相對較低。

（5）移動端體驗不佳。雖然傳統VPN也提供了手機 APP端供用戶們使用，但是移動客戶端在各品牌移動終端上兼容性各不相同，同時由于一些原因，這類APP有時會被應用商店下架，無法獲取應用程序安裝包。

3 需求分析

為了解決傳統VPN存在的問題，更好地解決校外用戶訪問校園內部資源的問題，使用一種基于Web的遠程訪問系統，比傳統VPN具有更好地安全性和使用體驗，不給管理者與用戶帶來額外的維護和使用負擔。同時，系統還應該具備以下幾點要求。

3.1 免配置，即開即用

通過瀏覽器上實現遠程訪問連接，不需要安裝客戶端和瀏覽器插件，也不需要安裝Java運行庫。其架構基于反向代理[3]。用戶只需在終端上有常規瀏覽器即可實現內部資源的訪問，無需安裝任何相關插件或客戶端軟件，即開即用，方便快捷，安全高效。

3.2 統一認證，分組授權

遠程訪問的身份認證需支持CAS、Radius、AD活動目錄、LDAP、OTP動態口令等多種認證接入方式，滿足不同應用場景的安全認證需求。同時，對安全要求嚴格的場景，提供雙因子認證，安全可靠。支持認證多策略設置，可實現校內用戶訪問不認證，校外認證。系統與現有認證系統聯動，實現統一身份認證，支持接入用戶分組授權，支持權限自定義。

3.3 終端的兼容性強

兼容和支持各類終端，通過瀏覽器可直接使用。對操作系統沒有要求，不管是Windows、Linux、MAC、IOS、Android和國產操作系統都可以使用；對瀏覽器種類和軟件版本沒有要求，不管是IE、Firefox、Chrome、Safari、360、遨游等都可以用[4]。大大降低了用戶的使用門檻；對終端設備也沒有要求，不論是PC、智能手機、平板電腦都可以直接使用，并根據用戶終端的屏幕分辨率自動適配屏幕。

3.4 部署模式靈活

部署方式支持雙機熱備模式，以旁路的方式分別部署在校園網的出口和內網中，一臺部署于出口防火墻DMZ區域，用于接受用戶連接請求（稱為Master）；一臺部署于內網區域，用于控制用戶連接需要訪問的內部服務器（稱為Tunnel Controller)。連接上Master被動接受Tunnel的連接。用戶與Master之間采用高強度SSL傳輸，Master與Tunnel采用RSA與AES混合加密體系，以確保數據在傳輸過程中的安全性。

3.5 用戶權限分配靈活

用戶可以根據用戶組分類進行關聯，用戶組可以與目標資源關聯，以限制用戶可以訪問的內部資源。具有不同權限的用戶可以根據自己的權限靈活分配各種訪問資源[5]。用戶登錄后，擁有不同權限的用戶只顯示管理員已授權的訪問資源，方便用戶直接訪問所需資源，進一步提高了內部資源的安全性。

4 系統部署

傳統VPN需要安裝客戶端或者在電腦上做復雜的參數配置，還需要安裝瀏覽器插件，無論是不同的操作系統還是不同的瀏覽器，插件或客戶端的安裝都不相同，部分用戶很難自己安裝。而使用WebVPN系統，用戶們輸入統一身份認證用戶名和密碼，就能直接訪問校園內部資源，操作簡單，用戶體驗感較好。

4.1 WebVPN概述

WebVPN是一款基于瀏覽器的遠程訪問控制系統，它區別于其他傳統的VPN，無需安裝任何瀏覽器插件或客戶端，即可實現內部系統資源的外網遠程訪問。還可以支持基于瀏覽器下的SSH、VNC、TELNET、遠程桌面等超級終端類的遠程訪問操作，和傳統VPN相比，安全性和易用性及用戶體驗可以得到進一步提高。它還具備以下幾種特點。

（1）標準HTTP協議，避免運營商封鎖，無需安裝瀏覽器插件與客戶端，完美兼容所有標準HTTP瀏覽器。

（2）兼容微軟、蘋果與安卓等主流系統的移動端設備。

（3）隨時隨地實現用戶和應用，端到端的數據SSL高強度加密訪問傳輸。

（4）為管理者提供基于瀏覽器實現SSH、VNC、TELNET、遠程桌面等訪問運維工作。

（5）應用與訪問之間新邊界，提供基于角色、應用和用戶組的權限控制。

4.2 部署模式

系統采用Master控制器+Tunnel控制器的雙機部署模式。在校園網出口防火墻DMZ區部署Master控制器，為校外用戶提供身份認證、角色和訪問權限配置以及系統和數據的基本安全功能。校園網內的服務器區，部署一臺Tunnel控制器負責與目標系統連接，來進行具體的業務權限及任務的配置與管理。這樣的部署方式可以防止大并發連接數下的單機負載過高問題。在保證系統安全的前提下，保證校外用戶能夠更安全地訪問校內的資源。

用戶在校外訪問位于出口防火墻DMZ區域的Master控制器，而Master控制器與Tunnel控制器之間的數據傳輸通過AES與RSA混合加密的方式完成，用戶訪問WebVPN采用了https方式，保證了數據在傳輸過程中的安全性。通過訪問權限的設置，不同用戶組的人員只能看到管理員授權給本用戶組的資源。不像傳統VPN連接成功后，就可以對整個內網進行訪問，減少校園內網的安全風險。

5 系統使用

師生用戶登錄只需要使用瀏覽器訪問系統，使用學校統一身份認證的用戶名與密碼即可完成系統登錄認證，用戶完成身份驗證登錄過程后，點擊系統顯示頁面中的目標鏈接就可以直接訪問。用戶資源展示頁面可以看到已經發布的校內網站和信息系統資源鏈接，系統完整的導航頁面，還包括業務系統、超級終端、圖書資源等鏈接。登錄的賬戶需要有相關訪問權限才能顯示相應的校內站點或外部圖書資源數據庫的安全鏈接，點擊訪問后可實現直接登入訪問。

在系統使用后發現，WebVPN是可以避免傳統VPN系統的缺陷，也為校外師生用戶提供一個更安全、更便捷的遠程訪問校內資源途徑。而且師生用戶無需培訓，即開即用。減輕了網絡管理人員的運維工作量，師生用戶的滿意度也得到提升。

6 結語

WebVPN系統使得教師和學生在無需下載安裝客戶端程序和瀏覽器插件的情況下，更安全、方便地訪問校園資源和業務系統，具有更好的兼容性和使用體驗。與校內統一身份認證系統做對接后，實現校內外無感知訪問，使得師生用戶更簡單、安全地訪問校內系統和資源，進一步提升用戶體驗。統一的訪問入口與校外安全訪問，構建了一個全方位的信息化平臺，能隨時隨地進行訪問與管理校內各種業務系統，使得學校業務系統實現多路的、及時的、高效便捷的使用與管理。