VPN技術在校園網絡安全體系中的應用研究

高淑光

摘要：隨著信息科技水平的持續提高， 校園網絡系統成了學校現代化信息技術建設的基礎平臺。一方面，校園網絡系統為學校的教學、科研、管理等工作提供了相應的服務；另一方面，很多學校在不同地區開設了分校區，為了能夠更完全地將各校區之間的網絡連接起來，在校園網絡安全體系中，必須開展VPN技術的應用。本文將全面闡述VPN技術的基本概念、主要工作原理，以及當今校園網絡發展中普遍存在的安全問題，探析VPN技術在校園網絡安全體系中的應用原則、需求分析以及應用設計。

關鍵詞：VPN技術; 校園網; 安全體系; 連接; 應用

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）28-0063-03

21世紀以來，信息技術的發展以前所未有的速度從各個方面影響著人們生活，校園網絡系統的建設也成了學校信息化技術發展的關鍵點。校園網絡的有效應用，可以讓教師和學生更好地開展教學工作，更方便地查閱電子數據資料。同時，學校規模正在不斷地擴大，很多學校在不同省份或是同省不同市之間開設起了分校，為了確保能夠有效對各個校區的網絡安全進行統一規范的管理與遠程控制，VPN技術應該被應用到整個校園網絡安全體系的開發與建設中。VPN技術的應用不僅可以隨時隨地為學校教職工提供教學服務，解決各校區之間的網絡訪問限制問題，還可以完善校園網絡的開發體系。

1 VPN的概念及工作原理

1.1 VPN的概念

VPN全稱虛擬專用網絡（Virtual Private Network） 。一般來說VPN是由客戶機、服務器、傳播媒介組成的，是利用專門的隧道將專用網絡與公共網絡進行連接，來最終實現服務器與客戶機的連接[1]。利用VPN進行網絡連接，用戶不必擁有實際的數據線路，只是通過公共網絡就可以構建一個有針對性的虛擬的專用網絡。VPN技術存在多種分類方法，一種是協議分類法，可以分為PPTP、L2TP 與 IPSec，也可以按應用將VPN技術分為Intranet VPN、Access VPN、Extranet VPN[2]。在校園網絡中對于VPN技術的應用，是將校園網和公網連接，構建專用網絡，從而為校職工以及學生提供如教職工在家辦公、在校外訪問學校圖書館查詢資料等一系列的遠程服務。

1.2 VPN的工作原理

VPN技術主要是通過三道防護屏障，來確保網絡連接的安全性，它們分別是身份驗證、數據加密以及隧道協議。工作原理：首先是數據請求方將需求發到VPN服務器上；然后，VPN服務器收到來自請求方的需求，就會通過特殊的方式來驗證請求方的身份，如果數據請求方擁有遠程訪問的權限，那么VPN服務器將會響應請求。此外，在數據傳輸過程中，數據發送方還需要加密數據需求方的身份認證，讓傳送數據的加密狀態得到保障。拆除、保持以及建立數據傳輸的渠道是隧道協議的3項主要工作[3]。

現階段主要有兩種方式的VPN連接，撥號VPN和專線VPN。撥號VPN主要是為VPN用戶提供同一個網絡內部的遠程訪問，主要運用的協議有PPTP協議和L2F協議。專線VPN指的是VPN的終端服務器通過專門的隧道與公共網絡產生連接，這種連接方式一般需要提供靜態的IP 地址[4]。

2 校園網絡存在的安全問題

隨著信息化技術的不斷進步，各大高校為學校教師和學生提供了越來越多的信息化服務，信息化門戶的服務也日趨成熟，學校的日常工作已離不開校園網絡。但即便如此，校園網絡也面臨著一些安全問題。

2.1 外網入侵與攻擊

校園網絡為了方便教學工作的順利展開，開放性很強，可以直接和互聯網相連，這就意味著校園網絡有可能會受到網絡攻擊。企業網通常會限制與企業無關或是病毒網站的網頁瀏覽，拒絕外部網頁的訪問請求。校園網絡做不到企業網絡的這一點，所以就讓有些不法分子有機可乘。這些人通過在網絡上攻擊校園網絡，非法入侵校園網來獲取校園資源、破壞學校系統、竊取機密文件、刪改數據信息等，破壞校園網的安全運行。

2.2 存在病毒與網絡漏洞

大多數校園網計算機運用的是Windows系統，且很多學校沒有及時進行版本更新，還在使用Windows系統低版本。這種網絡環境下，存在很多安全隱患。防火墻、服務器、tcp/ip 協議等都有可能引發校園網絡的安全問題，計算機病毒往往會通過這些安全漏洞來攻擊校園網絡。同時，校園網絡中的影音視頻、軟件等被反復下載，不僅占用網絡資源，還常常攜帶木馬病毒。這些病毒具有很強的傳染性以及破壞性。一旦入侵校園網絡，容易造成系統崩潰、文件丟失，還容易引來非法入侵。

2.3 校園網絡技術更新速度慢

很多學校可能會因為經費的問題，忽視校園網技術的迭代更新。比如說當我們訪問學校系統時，如果使用最新的Windows版本，將出現訪問失敗，要求將Windows系統調到低版本才可以登錄學校的系統。使用老版本，往往限制了校園網絡訪問的速度，也容易讓病毒入侵。另外，現在很多學校推出了校園微信公眾號，信息化門戶系統不僅可以在電腦上操作，也可以在手機上操作，但是由于校園網絡的維護不是很及時，經常會發生訪問不成功、速度卡頓或者出現閃退等現象。

3 VPN技術在校園網絡安全體系中的應用

3.1 VPN技術的應用原則

如果想要在校園內通暢地使用VPN技術，了解校園網絡的需求以及應用原則是必需的工作事項。VPN技術的主要應用功能模塊有4個，如圖1所示。1） 后臺管理模塊：建立VPN后臺主要是對VPN技術服務器的訪問記錄進行收集，然后根據收集的記錄內容，整理和總結用戶的訪問情況、行為習慣等。2） 瀏覽控制模塊：這個模塊主要是整合VPN 瀏覽與控制的方案，保障系統設定的正確性，給客戶提供精準性服務。3） 身份驗證：網絡兩端用戶（數據發送端、數據請求端）的身份認證方式是不一樣的，數據發送端的驗證，在校園內網中運用數字認證技術進行驗證；而對數據請求端的驗證，是在外網中利用用戶名以及用戶密碼，來達到驗證效果。4） 數據傳輸模塊：是VPN技術應用的核心模塊，主要是提供加密數據以及轉發數據的服務。

3.2 VPN技術的需求分析

據調查，VPN技術不斷地在我國各大高校引起關注，尤其是2020年初爆發肺炎疫情以來，更是加劇了校園網絡對VPN技術的需求。學校對于VPN技術的應用需求幾乎都是相同的，大致可以歸納為下面幾類：1） 電子數據資源的需求。學校圖書館或是個別院系為了教學科研需求，都會購買文獻數據庫資源，如中國知網、國外期刊數據庫等，這些數字資源的服務器并不在校內，為了保護數據的安全性，大多網站會嚴格限制訪問的IP地址，也就是說只有在校園網的條件下才能夠訪問網站并下載數據。疫情管控期間，學校師生不能隨意進出校園，不能下載這些資源做教學科研工作，為了使廣大師生在校園外也能訪問這些網站，很多高校推出了遠程訪問的VPN技術。2） 滿足師生在校外對校內網站的遠程訪問。根據業務需求，學校各部門會開發各自的業務系統，如教務系統、選課系統、就業系統、教學管理系統等。部分系統對外開放，無論校外或是校內，只需要教師或學生輸入統一身份認證即可登錄，但也有部分系統安全等級要求較高，只能夠在校園網環境下才可以操作，在校外操作時，就需要接入VPN技術，同時輸入統一身份認證后才可以訪問。當各學校開設網上課程學習時，師生只能在家訪問學校網站，通過VPN網絡，可以使廣大師生順利地訪問學校的系統，開展教學工作。3） 滿足各校區之間的互相訪問。由于學生人數變多以及經濟發展等多方面的原因，很多學校建立了好幾個校區，這些校區分布在各個地區。但各個校區不僅使用同一個校園局域網，還需要對各校區的郵件站點以及網頁站點進行統一的管理。為了滿足各校區之間的便捷且快速的互相訪問，同時也為了對分校區實施更好的安全管控，VPN技術的開發與應用必不可少。

3.3 VPN技術的應用設計

3.3.1 各校區構建校園內部虛擬專用網

學校的各個校區因為擁有其特有的共享網絡設施，各校區之間可以運用Intranet VPN技術（即網關到網關）將相互間的網絡連接在一起。對于Intranet VPN技術的應用，首先，在學校的每個校區使用相同供應商的公共網絡連接（比如中國電信、中國移動等），設置其中一個校區為主校區，網絡出口的設置要在主校區內；其次，學校為了要保證網絡的安全性，采用IPSec VPN技術可以確保數據信息是在加密的狀態下被傳輸，這樣就充分保障了數據信息是在安全的環境下進行傳播。

對于那些要求安全性比較高的系統訪問，比如教務部門、財務部門、學校一網通等，二層協議網絡隔離的技術被較多地使用，其步驟是校園網絡接收到用戶請求后，利用二層OSPF協議在校園網絡的核心交換機中完成數據的傳輸，并實現各個校區間數據的安全傳輸。而對于普通型用戶的訪問，對安全的要求等級比較低，因此在設計安全方式的時候，可以提升VPN的服務性能，允許用戶自由訪問各校區間的網絡。如果對普通用戶設置較高的安全級別，不僅會影響訪問速度，降低用戶訪問的體驗感，還會花費一些不必要的成本，浪費網絡系統資源。此外，對于主校區與分校區之間的網絡連接，還需要安裝路由器設備，在訪問網絡資源以及數據信息傳輸的時候，都需要經過這個路由器設備。面對校園網絡資源大且范圍廣的特點，學校在選擇路由器的時候，確保成本合理的情況下，最重要的是應該考慮設備的安全性以及穩定性。構建各校區安全的VPN技術通道，學校網絡中心人員應該定期檢查并維護路由器設備、終端服務器等，才可以將學校的數據、資源等安全地傳輸給用戶。

3.3.2 在校園內部網絡設置VPN服務器

當學校老師和學生，需要在校園網覆蓋范圍以外的地方遠程訪問學校資源，或者移動使用校園網絡時，就可以選擇Access VPN技術來鏈接校園網絡，Access VPN的工作原理就是，在校園網內部構建學校的VPN服務器，通過網絡運營商（如ISP） 提供的互聯網服務，將遠程用戶與校園網絡連接在一起，對數據進行加密和封裝處理，構建虛擬的專用網絡通道。用戶發送請求給校園網絡，在這過程中VPN服務器完成連接功能。以這種形式來鏈接校園網絡很方便，而且不需要支付多余的費用，只需要支付ISP網絡寬帶使用的費用即可。

Access VPN形式下，首先，可以使用Linux系統來架構校園網絡平臺的基礎環境，這是因為該系統穩定性好，擴展性強，而且可以免費使用。通過對比數據可以發現，Linux系統的性能比Windows系統良好。其次，在選擇學校的VPN系統軟件的時候，可以首要選擇Open VPN軟件，因為可以通過Open軟件來創建SSL VPN應用系統。SSL VPN的簡單應用設計如圖2所示[5]，其工作原理是SSL協議作為傳輸數據的基礎，把客戶端的請求轉發到校園內網的VPN服務器，然后通過專用的隧道實現遠程訪問。SSL VPN可以靈活接入，且操作簡單，支持較多的認證方式[6]。同時，考慮到數據的安全性，防火墻與NAT設備是一定要配備的。SSL VPN是工作在傳輸層上的，它的應用可以讓數據穿過所有的防火墻與NAT設備，SSL VPN保證了用戶可以隨時隨地通過VPN連接到校園網絡[7]。但是應用SSL VPN的話，每個需要遠程訪問校園網絡的用戶都需要有一個內網IP地址，因此DHCP服務器的配備也是必需的，而這個服務器是用來自動分配IP地址的。此外，學校還可以架構一臺LDAP服務器，通過學校的SSL VPN系統進行訪問請求的時候，要先搜索該用戶的用戶名以及密碼，確認用戶信息是否存在于學校的數據信息服務器中，確認了用戶身份后，才能建立遠程訪問的虛擬專用網絡通道。SSL VPN系統可以根據用戶的需求分配不同的訪問權限，可以有效地防止用戶的非法訪問，保障了校園網絡的安全。

4 結束語

綜上所述，隨著現代化信息技術的進一步發展，在校園網絡安全體系的建設與應用中， VPN技術的使用已經很普遍了。VPN技術的應用過程中，學校應該結合自身的需求，構建最適合本學校的VPN服務系統。本文從VPN技術的應用原則、需求分析，以及應用設計這三方面，簡單系統地探析了現階段VPN技術在校園網絡安全體系中的應用，期望能對VPN技術在校園網絡安全體系的應用研究有一定的參考意義。

參考文獻：

[1] 蔣佳霖.基于P-WPDRRC模型的校園網絡安全體系構建及實現[D].湘潭：湘潭大學，2020.

[2] 尚紅艷.VPN技術在醫院網絡建設的應用[J].電子技術與軟件工程，2018（17）：20.

[3] 王真.VPN技術在校園網絡安全體系的應用[J].網絡安全技術與應用，2021（9）：101-103.

[4] 金志敏.基于VPN技術實現高校圖書館數字資源的遠程訪問[J].辦公自動化，2020，25（15）：27-29，53.

[5] 童長衛.VPN技術在院校資源共享中的設計與實現[J].長江技術經濟，2020，4（S1）：185-187.

[6] 楊朋，殷旻昊.SSL VPN技術在統一身份認證平臺的實現與研究[J].網絡空間安全，2020，11（7）：67-70.

[7] 黎偉.VPN技術在校園網絡安全體系中的應用[J].科技創新與應用，2013（9）：40.

【通聯編輯：張薇】