WebVPN提供易用、易維護的校外訪問通道

金磊，王佶， 陳賢，徐鋒

（1.浙江大學信息技術中心，浙江杭州，310000；2.溫州職業技術學院，浙江溫州，325035）

隨著信息技術的發展，在家辦公、在家學習成為高校師生工作學習的新常態，遠程訪問數據庫資源、教學資源，校內辦公平臺等需求成為學校日常工作中不可或缺的部分。部分重要的內網數據資源，不能在公網上交互，這就要求校方提供一套支持內網訪問的遠程訪問控制系統來實現這部分需求。否則會嚴重影響學校的教學科研工作，所以一套遠程訪問控制系統成為各大高校必不可少的一項工具。傳統的校外訪問技術PPTP、L2TP、SSLVPN等存在客戶端及插件兼容性欠佳、對移動設備支持弱、網絡配置復雜、易受運營商封鎖等問題[1]。一種基于Web域名改寫技術的校外訪問控制系統（WebVPN）受到各大高校的青睞。

1 校外訪問技術使用的基本情況

目前高校常見的校外訪問場景有：在校外訪問學校內網資源和在校外訪問圖書館訂購數據庫資源。特別是圖書館數據庫資源，區別與企業場景的VPN需求，這類資源發布在公網環境下，但是其通過IP認證的方式確認訪問權限，這就要求在校外的師生必須拿到學校的IP地址，通過認證授權的IP才能正常訪問。通過對國內C9高校的調研，目前所有學校均提供的校外訪問服務，其中SSLVPN和WebVPN為最主要的服務技術。具體情況如表1所示。

表1 C9高校校外訪問服務

目前，所有學校俊提供兩種及以上的遠程訪問方式。最普遍的PPTP/L2TP/IPSec和SSLVPN方式均屬于VPN技術，這種技術在三層網絡協議下構建了一種通信環境，在該環境內用戶訪問受到控制，允許主機在授權的范圍內通過建立的VPN隧道進行交互訪問。而WebVPN則是通過代理服務的方式，運用URL改寫技術，將用戶請求指向代理服務器。相應的代理服務器獲取真實的訪問地址頁面后，再發送給用戶[2]。具體功能對比如表2所示。

表2 校外訪問技術對比

相比較而言PPTP/L2TP/IPSec服務存在用戶使用難度大、易受運營商封鎖、兼容性適配性差、運維難度大、系統資源消耗高 等問題[1、2]。傳統 VPN接入存在的不足大致可以總結為：（1）PPTP VPN 雖然適用性廣，但是其使用全明文的傳輸方式，存在中間鏈路可隨時被竊取信息的風險，安全性教低，現處在產品生命的末期。（2）Ipsec VPN 擁有很高的安全性，但是對用戶要求較高，需要配置客戶端。（3）SSL VPN 支持無客戶端連接，但是需要在瀏覽器上安裝相應的插件，插件對于 IE、Chronme、Firefox 等不同瀏覽器的兼容情況各不相同，影響用戶體驗。（4）終端要求高。傳統 VPN 對操作系統兼容性有要求，一般僅支持 windows 系統，對蘋果 Mac 系統的兼容性不佳。（5） 鏈路影響大。傳統 VPN 有時會遇到連接不穩定的情況，主要原因為鏈路問題，或 VPN 業務端口被封鎖。（6） 移動端體驗不佳，雖然傳統 VPN 也提供了手機 App 供使用者在移動端使用，但是客戶端在各個品牌手機上兼容性各不相同，同時由于某些原因這類App存在被應用商店下架的風險，無法獲取。基于以上各種原因，需要有一種便捷的遠程安全訪問內網解決方案。多數高校目前主要使用SSLVPN和WebVPN兩種相結合的方式提供服務。針對以Web頁面需求為主的用戶，推薦使用WebVPN服務，這種方式可以讓用戶免去下載客戶端、配置VPN參數的環節，門檻較低，用戶使用體驗較好；對于有一定計算機水平能力的客戶，且在日常工作學習中有使用SSH、TELNET、遠程控制等應用需求的用戶推薦使用SSLVPN服務，SSLVPN服務可以建立起網絡層面的交互，用戶本機內的Web、應用程序均可通過隧道進行交互，應用更加廣泛。

2 WebVPN的易用性

校外訪問系統面向的全校師生開放，計算機水平參差不齊，過高的使用門檻將極大的降低用戶的接受度，也給前臺帶來大量的咨詢工作。而過于簡單的系統設計又會給內網帶來安全性問題。因此兼顧安全和易用的WebVPN就成了很好的一個選擇。

相比傳統校外訪問控制系統需要用戶下載客戶端或者插件，并需要在客戶端內配置訪問地址，訪問協議等參數，WebVPN實現即開即用。普通用戶在使用WebVPN服務時，只需要在瀏覽器中打開WebVPN頁面，進行登錄授權后即可訪問內部系統。WebVPN采用標準的HTTP協議，能兼容所有標準HTTP的終端，支持包括Windows、Linux、Ios、Android等多種操作系統，提供統一標準的訪問入口和操作界面，將配置工作上移至服務器側,實現用戶側的“零配置”。從用戶使用感受角度，WebVPN更接近于打開一個Web網站形式的資源，通過服務側的配置，提供相應的訪問權限。

3 WebVPN的易維護性

區別傳統VPN設備需要串聯進現有網絡的部署方式，WebVPN可采用旁路模式部署，無需對現有網絡進行改造，且大部分廠商支持虛擬機模式部署，不需要占用額外的機房空間，通過現有的虛擬機就可實現遠程部署，施工周期進步一縮短。部署完成后的網絡結構如圖1所示。

圖1 WebVPN平臺拓撲

WebVPN提供便捷的資源配置及權限管理能力。傳統的校外訪問技術大部分工作在網絡層，通過下發IP地址并對下發的地址進行路由控制實現校內訪問。在以往的工作經驗中，該種模式主要存在以下3點缺陷：校內的內網地址與用戶所在局域網地址沖突、默認路由走校內存在接口流量過高風險、圖書館數據庫資源配置繁瑣等問題。

WebVPN產品則正好彌補了以上3點不足。首先WebVPN工作在應用層，不向終端下發地址及路由表，避免了地址沖突的問題。用戶在登錄WebVPN過程中，平臺并沒有下發內網地址到用戶側，僅僅是將用戶端與WebVPN服務端建立了一個http的鏈接，對于客戶端原有的三層網絡沒有任何影響。因此用戶可以實現本地內網和遠程內網的并行訪問，互不影響。

其次WebVPN僅對在平臺內授權的資源通過平臺訪問，公網資源仍通過用戶原有的網絡通道分發，實現校內校外兩張網并行的模式，避免了非校內流量占用學校帶寬資源的問題。同時在WebVPN后臺可以設置黑名單模式，將優酷、騰訊視頻等大流量非教學類網站禁止通過內網去訪問。在多用戶、大流量并發的校外訪問場景下，采用WebVPN方案能更高效地利用學校的帶寬資源。Webvpn提供Web頁面的訪問模式，區別與傳統的VPN，在操作系統上控制內網訪問數據流的分發，WebVPN在頁面端提供一種類似于嵌入式應用的操作體驗，用戶在該頁面下的操作通過服務器進行代理轉發，計算機內的其他應用程序、操作系統流量等都不在代理范圍內。

第三點，在圖書館數據庫的訪問問題上，傳統VPN需要配置域名地址，包括頁面調用的域名地址也需同步配置，容易出現漏配，錯配等現象。WebVPN基于URL改寫技術的方案，不需要再進行域名配置即可訪問。所有經URL改寫頁面跳轉的鏈接全部指向WebVPN服務器側，再由服務器發起對真實目的地址的訪問，實現了訪問地址校內外IP轉換。同時，由于地址改寫及應用層訪問的特性，WebVPN也有效的避免了數據庫惡意下載的問題，用戶無法通過批量下載軟件，或者爬蟲等工具對數據庫資源進行非法獲得。用戶只被允許在規定的http環境下，通過點擊獲取，極大的規避了惡意下載的風險。

4 WebVPN的安全性

WebVPN服務器部署在防火墻旁路，在外網用戶看來相當于一臺內網服務器。當外網用戶端嘗試訪問內容服務時，其連接會被WebVPN解析，然后通過防火墻中的特定通道將用戶端的請求發送到內網服務器。內網服務器再通過該通道將結果傳送回WebVPN服務器，WebVPN服務器再將結果發送回用戶端。如果內容服務器返回錯誤消息，WebVPN服務器會截取該消息并更改標頭中列出的地址，然后再將消息發送給用戶端。這樣可以防止用戶端取得內網服務器的重定向地址。這樣相當于WebVPN服務器在內網服務器與可能遭到的惡意攻擊之間提供了一道屏障，向內網服務器發起的攻擊行為會先指向WebVPN服務器，攻擊者充其量僅能獲取一個攻擊事件所涉及的數據，而不能存取整個數據庫，保證了內網服務器的安全。

WebVPN賬號系統支持對接CAS、Radius、LDAP等多種認證接入方式，可以滿足目前各高校的認證系統，實現統一身份認證，支持接入用戶分組授權，支持權限自定義。對安全較高的應用場景，提供多因子認證，確保網絡的安全性。

WebVPN基于URL改寫的鏈接方式，一定程度上可以保證了內網的安全性。通過改寫鏈接，避免外部終端與內部終端的直接通信，減少了病毒在內網傳播的風險。同時WebVPN不支持 Notes、Telnet、SSH、MS RDP、VNC、FTP、Oracle等應用，降低了服務器受到網絡攻擊的風險。

5 結語

WebVPN作為校外訪問控制系統的一種選擇，因其部署便捷、操作簡單的特性受到各大高校的青睞。但因其基于HTTP架構，無法提供如SSH、TELNET、遠程桌面、APP接入等服務，在應用上存在一定的局限性。現有部分廠商已實現了基于http頁面下的SSH、TELNET、遠程桌面等應用服務。WebVPN的能力越來越完善，功能也越來越全面。Webvpn 技術在高校中的應用，讓廣大師生能夠安全、便捷地在校外訪問內部圖書館數據庫資源及校內業務系統，無需下載安裝客戶端程序及瀏覽器插件，擁有更好的兼容性和良好的使用體驗。

未來，高校的信息化建設中對校外訪問控制的要求，依舊會朝著更便捷、更簡單、更安全的方向發展，最終實現無插件、無感知的訪問[3]。隨著校外訪問技術的革新和推進，接入必將融合多種技術，優化組合，滿足數字化校園的多種接入需求，具備良好的兼容性，實現更高的訪問速率和更精細化的業務權限管控。可以預見，在不久的將來，遠程訪問技術在校園信息化中占據越來越重要的地位。