当前基于网络信息的安全传输主要有两种方式：专线和VPN。其中，VPN技术为网络信息的安全传送提供了简单、廉价、安全、可管理以及可靠的访问通道。因此，VPN技术得到了发展和推广使用。

　　远程移动的资源访问需求日增

　　1.站点对站点的网络安全互联需求
　　许多高校都拥有多个校区，有的校区甚至分布在不同城市。这样，各个校区局域校园网与主校区校园网之间需要安全互联，形成统一校园网，共享校园网资源。
　　2.站点对站点的远程访问需求
　　高校信息化建设的发展，使得信息资源愈发集中，尤其是各类远程教育系统、教育管理信息系统、教学科研信息服务系统以及统一共享数据库的建立，师生对远程移动访问校园网信息资源的需求强烈。同时，校园网用户的数量和层次增加，管理难度增加，安全访问的技术要求增加。

　　鉴于以上背景和需求，许多高校选择了VPN技术来解决校园网安全互联和访问的问题。早期应用VPN技术的高校，其应用的侧重点基本上在校园网安全互联上，近两年应用的侧重点转移到了对远程移动访问校园网信息资源的安全保护和权限控管上。SSL VPN能解决信息在网络传输上的安全问题及应用层的身份认证及访问控制，具有很好的易用性，而且还可以与校园网原有的认证系统进行良好的融合。伴随着SSL VPN技术的不断成熟和稳定，此技术将会有更大的发展空间。

　　选择方案考察五方面

　　近年来，中国人民大学（简称：人大）的信息化建设速度迅猛，为师生提供了日益丰富完善的信息服务。但是，在校园网之外开放这些资源不仅会带来安全隐患，也会产生某些资源版权的纠纷。因此，我们选择VPN技术来提供远程资源安全访问。

　　在选择VPN解决方案时，我们首先对当前和未来三年可能的需求进行分析和评估，同时，综合考虑功能扩展性、实用性和价格等因素，最终选择了SSL和IPSec VPN一体化解决方案(下图为VPN部署图)。针对方案，我们重点要考察的有以下几个方面：

　　1.功能和对应用的支持。支持所有B/S和C/S应用以及基于UDP，ICMP的IP应用，特别关注用户和权限的管控功能，日志和审计功能。
　　2.安全性。除了依靠SSL VPN协议保证的基本的安全性外，还有加强的安全手段（例如对多种认证的支持，数字证书、USB KEY、动态令牌、一次性短信口令等），终端安全措施（如对终端的Cookie清除），客户端安全检查等。有些产品还采用硬件安全模块为数字证书提供了保护。
　　3.性能和效率。最主要的性能指标是并发用户数和加密吞吐量。由于驱动SSL会话所需的繁重的密码计算会影响运行性能，有些产品运用数据压缩和SSL加速技术，配置了SSL硬件加速模块。选择并发用户授权数量并不是越多越好，毕竟并发用户授权是按照数量购买的。有些专家建议应为实际使用用户的四分之一到三分之一之间。我们对现有资源和应用的数量和访问频率、远程访问人数以及未来三年的扩展性进行了评估，依据评估选择并发用户授权数量为3000个。
　　4.易用性和可管理性。SSL VPN的管理端和用户端界面较为简单，其插件自能够动安装和自动修复，并且灵活细致地设置访问权限，能够对原有统一身份认证系统无缝支持。
　　5.保障与服务。SSL VPN技术尚不成熟，产品技术存在漏洞，更新换代快。因此，产品服务质量、渠道响应速度和本地支持能力至关重要。

　　统筹平衡实施方案

　　在方案实施的过程中，我们遇到的主要问题是：图书馆资源的漏访。图书馆资源有个显著特点，就是其中的二三级链接的资源不在学校内，而在第三方机构，例如，中文数据库、外文数据库、超星电子图书等。对这些数据库资源的访问，学校是按用户数购买的。运营商对访问用户会进行资格限制，常用的限制手段都是按照校园网内部IP认证的方式。SSL VPN将受限资源的相关信息配置添加在SSL VPN网关中并发布至校外，让师生通过身份认证后可以在校外访问。

　　解决漏访问题

　　起初，我校使用的SSL VPN解决方案中，对应用资源的配置模式为添加资源的IP和端口到SSL VPN中，形成一个发布资源的规则。当用户访问资源时，安装在客户浏览器上的控件会将符合规则的数据包发送到用户界面。但是，大量的第三方数据库资源的IP是集群的而且也不是固定不变的，所使用的访问端口也各不相同。另外，数据库厂商既不愿将资源所在服务器的IP地址公布出来，也不愿随时通知我们IP的变动情况。也就是说我们的资源发布规则不能保证完成和准确，导致漏访问题不断出现。

　　为了解决这个问题，我们首先开放了全网段和全端口的措施。这样，用户就可以通过SSL VPN访问所有Internet资源。那么，漏访问题就解决了，不过，这又造成大量非SSL VPN发布资源流量（如对公网访问的流量）通过SSL VPN进入内网，而这部分流量并没有接受SSL VPN前端安全设备的检测和过滤，还有一些类似端口扫描的黑客程序不断被监测到，给内网安全带来了大量的安全隐患。

　　规避安全隐患

　　鉴于以上情况，我们和厂商一起尝试使用Web服务模式解决的方案来消除冲突。Web服务模式的核心是通过分析页面,包括html页面、css页面以及js页面,找到其中的子请求,修改连接地址,使之重定向到SSL VPN。这种方案在添加资源时，仅需添加资源的门户的主域名或使用“通配符加域名”模式。在测试该方案时，Web模式的缺陷却很快暴露出来。它既不支持C/S构架资源的发布，也不安装浏览器插件，导致大量视频资源以及部分复杂的页面无法访问。另外“通配符加域名”模式，也同样扩大了资源访问范围，存在着安全问题。显然，该模式对Web页面无法完全支持，漏访问题更加严重。

　　统筹两种模式

　　通过对以上两种模式的探索，我们将解决问题的重点放在如何判断客户端发起的流量是否是我们发布的资源访问的流量，避免和降低非发布流量经过，以便增强安全性。

　　于是，在以上方案的基础上，一方面对客户端安装的浏览器控件进行改进，添加了智能识别和收集机制；另一方面，对资源的配置，仅需添加资源主门户域名。这样，当用户通过SSL VPN访问人大的资源门户时，客户端的浏览器控件会对连接请求及数据流进行多次判断。

　　首先，IE在加载页面的时候会分析页面内容,我们的控件获取IE解析后的结果,判断即将要访问的网页是否从门户页面中发出；如果是从门户页面中发出,就转到SSL VPN，可解析出网页的链接地址和端口，并将地址和端口记忆在资源发布规则中，下次访问该网页时，控件就无须再解析网页，直接按照规则发布。通过对网页的解析，控件可解析网页中所有2级链接地址，以便直接对链接进行关联并放行。

　　其次，定义域名匹配规则,告诉客户端某些域名是属于内网域名，通过内网DNS进行解析，再次进行判断，将页面上一些很明显属于外网的连接也转到SSL VPN进行访问。

　　这种方案基本解决了漏访问题，也规避了安全隐患，控制了访问流量，当前该方案已经正式实施。另外，该方案只支持ISA代理服务器，而且代理服务器端必须开放443端口，除此之外都不支持。

　　目前，VPN技术顺利解决了师生移动远程访问校园网内部资源的问题，访问速度、稳定性和可管理性达到了预期的要求。

　　（作者单位为中国人民大学网络与教育技术中心）

　　来源：《中国教育网络》2009年4月刊