基于VPN技術的校園網多場景安全保障策略研究

◆王巖紅

基于VPN技術的校園網多場景安全保障策略研究

◆王巖紅

（廣東外語外貿大學網絡與信息化中心 廣東 510420）

出于安全考慮，高校校園網越來越趨向多數業務系統只允許內網訪問，而用戶卻越來越趨向在校園網的范圍外進行網上活動，本文探討了如何利用VPN技術在校園網多場景下適應這兩種需求。

校園網；網絡安全；VPN

隨著移動互聯網的飛速發展，高校內部的各種類型的網站和應用系統也越來越多，越來越復雜，師生們對各種校內業務便捷化的需求也越來越高。由于新時期下，互聯網上的安全威脅也日益增加，針對高校的數據竊取及網絡攻擊的活動也非常頻繁。在這種大環境下，校園網的安全策略更加注重內網的防護，出口防火墻都會對這些網站和業務系統有所限制，只有少部分是對校外開放的，而更多的都是只允許在校園網內網的范圍內進行訪問。這時候VPN技術就為校外用戶訪問校內業務的連續性提供了保障。本文通過對校園的多個場景下的業務需求進行分析，在兼顧安全和便捷的情況下，對如何利用VPN技術維持業務連續性進行了探討。

1 VPN技術發展概述及SSL VPN的優勢

VPN（Virtual Private Network）是指通過公共網絡將物理上分布在不同地點的多個私有網絡或網絡節點組成邏輯上的虛擬專用網絡[1]。同時為防止信息的泄露、篡改，采用了隧道技術、數據加解密技術、密鑰管理技術、訪問控制技術等措施，來保障信息在網絡上的傳輸安全。VPN按技術分為基于第二層隧道技術的VPN（L2F/L2TP/PPTP）、IPSec VPN、SSL VPN等。在實際的應用中SSL VPN 憑借著易部署、維護管理成本低、訪問控制靈活、適應性強等優勢獲得了廣泛的應用。

2 高校校園網外網訪問需求分類及特點

2.1 校園網內的資源按內容分類

（1）校內各業務系統。高校的各業務部門都根據自身需要開發了一系列的業務系統，如教務系統、選課系統、人事系統、薪酬系統、一卡通系統、資產系統、就業系統等等。

（2）圖書館數字資源。由于教學科研的需求，高校的圖書館都會購買很多電子數據庫資源，例如中國知網、百度文庫、各種外文期刊數據庫等。這些數字資源一般都是通過學校網絡出口IP范圍注冊的。也就是說，只有當這些IP范圍內的IP訪問這些數據庫資源的時候，才可以進行瀏覽下載操作。簡言之，就是只有在校園網內網才能訪問這些圖書館資源。

（3）校內業務服務器資源。校內各單位業務系統也分別對應著很多服務器資源，這些資源一般都集中在學校網絡部門維護的機房內，一般都配置的是內網IP。

2.2 按訪問需求途徑分類

（1）通過WEB瀏覽器訪問校內業務

由于瀏覽器訪問模式的普適性更強，現在高校內的業務系統絕大部分都是B/S結構的，C/S結構的業務系統正在被淘汰或轉型為B/S結構。無論是PC，還是移動設備（手機或平板類移動設備），用戶都可以通過使用各種WEB瀏覽器對業務系統進行訪問

（2）通過學校APP、微信公眾號及小程序訪問校內業務

隨著移動互聯網的蓬勃發展，各高校都開發了針對本校業務的APP、微信公眾號及小程序為全校師生提供便捷的業務服務。

93通過PC中的應用程序遠程維護校內業務設備

高校信息化建設和維護部門的人員，以及校內各單位業務系統供應商的系統維護人員，為了快速部署、維護巡查，及時處理故障，都迫切需要通過PC中的應用程序遠程對校內的業務服務器進行維護。

3 對應各個需求的VPN解決方案

SSL VPN 主要功能包括虛擬網關、WEB代理、文件共享、端口轉發、網絡擴展、用戶安全控制和完善的日志功能等。虛擬網關可以實現針對不同需求的用戶部署不同應用資源的模塊化管理；WEB代理實現了無客戶端的頁面訪問方式，充分體現了它的易用性[2]。高校中實際遇到的問題，都可以通過SSL VPN技術來實現。SSL VPN部署簡單，可以單臂接入原有網絡中，對原有的校園網拓撲結構影響很小，其接入結構如圖1。

圖1 VPN業務場景及接入位置示意圖

3.1 通過基于SSL VPN的Webvpn技術，解決通過WEB瀏覽器訪問校內業務和圖書館資源的問題

Webvpn基于反向代理技術，區別于傳統VPN技術，Webvpn無需用戶安裝客戶端軟件及瀏覽器插件，用戶只需進入Webvpn頁面，輸入用戶名密碼，通過身份驗證即可登錄VPN訪問內網資源，真正做到了即開即用[3]。

通過將校內資源在提供Webvpn服務的設備后臺進行資源配置，用戶在打開Webvpn的登錄頁面輸入用戶名和密碼后，就可以方便地從瀏覽器頁面上選取可以訪問的校內資源，不增加用戶任何負擔，簡單直接，方便易用。可以很好解決用戶通過WEB瀏覽器訪問校內業務和圖書館資源的問題。

3.2 通過在調用廠商提供的SDK程序，解決在手機端校園移動門戶無感登錄問題

當手機用戶訪問校園網移動門戶的時候，如果登錄IP不在校園網內網，可以通過調用VPN廠商提供的SDK程序，使ticket在校內的CAS統一身份認證系統中進行認證對接以實現單點登錄，用戶登錄統一身份認證平臺后自動完成VPN認證及校內門戶系統的認證，從而實現外網用戶無感知訪問校內移動門戶。

3.3 通過將廠商提供的SDK包透明集成到APP應用中，實現APP中集成VPN功能的封裝

利用廠商提供的安全加固SDK自動封裝增值方案，無需APP開發商開發人員配合，通過上傳、封裝、下載3個動作，5分鐘內完成安全加固SDK封裝[4]。從而實現在登錄APP的過程中，就建立了VPN的安全連接，為訪問問校內業務時的連續性提供了便捷和保障。

3.4 通過SSL VPN客戶端解決通過PC中的應用程序遠程維護校內業務服務器的問題

對于需要通過PC中的應用程序遠程維護校內業務的用戶來說，還是需要安裝SSL VPN的客戶端，通過登錄客戶端從而建立起從外網到內網的專用隧道，來進行更加多樣化需求的遠程業務系統服務器維護。

4 結束語

隨著高校對安全需求的場景增多，VPN技術也隨之進化出適應校園網多場景的安全保障辦法。只要我們規劃好，利用好這項技術，就可以達到我們兼顧校園網安全和用戶使用便利的目的。

[1]黃超，王勇. VPN技術在校園網絡安全體系中的應用研究[J]. 網絡安全技術與應用，2016（11）.

[2]王慶剛，向文. 關于高校網絡中VPN技術的探究[J]. 網絡安全技術與應用，2018（6）.

[3]強焜. Webvpn在高校內網訪問中的運用[J]. 計算機產品與流通，2019.

[4]深信服SSL VPN產品技術白皮書. 深信服科技，2015.