宋晓飞
【摘要】VPN(Virtual Private Network)是一种在公共网络上构建隧道,并在隧道上进行加密,认证等方法,从而实现虚拟专用网络的技术。在VPN搭建的虚拟专用网络通道中,数据可以进行加密传输,从而保证了数据的保密性,而且不用搭建专用的物理网络,节省了成本。在校园网中,需要建立一个安全的,便捷的,性能强大的安全体系。而VPN刚好适合校园网需求。本文结合校园网实际,就VPN发展现状出发,介绍VPN技术在我国以及世界上的发展及前景,并就校园网络安全建设为中心,介绍三种常见安全体系:防火墙体系,入侵检测体系,网络隔离体系,并具体分析这三种网络体系的原理以及不足。从而指出基于VPN技术的网络体系是适合校园网的安全体系。最后就校园网的需求分析提出一个基于VPN技术的校园网安全体系建设方案。
【关键词】VPN;校园网络;网络安全;建设研究
1.VPN技术简介
所谓VPN就是虚拟专用网络,英文全称Virtual Private Network,简称VPN。其功能是:在公共网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN的多种分类方式中主要借助协议进行分类,VPN可通过服务器、硬件、软件等多种方式实现,另外VPN具有成本低,易于使用的特点。VPN技术诞生于上个世纪90年代,1997年9月发布的RFC2194是第一个直接提及VPN的RFC。到现在仅仅17年的历史,但其发展速度却远超我们的想象,各大网络产品生产商如CISCO、H3C、Networks都把VPN作为主要的市场目标。而当前国内VPN尚不成熟,自从2000开始正式起步,与信息产业的其他分支类似,经历了有金融、政府和通信行业的带动起步的过程,取得了长足發展。随着我国固网运营商的战略演变,宽带已经成为固网运营商主体业务之一,目前固网运营商的数据网络已初具规模,如中国电信的CN2,联通的China169、163数据网,在市场需求的刺激下国内各大运营商也在VPN业务上发力,把VPN业务视为一项重要的市场份额。
2.VPN网络安全体系分析
2.1 防火墙体系
在网络中防火墙是设置在内网和外网之间的一系列部件的组合。以防止发生不可预测的、潜在破坏性的入侵,所有防火墙产品在匹配规则的基础上都会采用两条规则中的一条。一切未被允许的就是禁止的,又称默认拒绝;或者一切为被禁止的就是允许的,又称默认允许。当然这种体系存在以下不足:不能对恶意的知情者进行防范、不能对不经过它的连接进行防范以及不能对全部的威胁进行防范和不能防范病毒。
2.2 入侵检测体系
入侵检测技术是一种可以及时发现系统中异常现象或未经授权现象并及时作出报告的技术。它是保证计算机进行安全配置与设计的一项技术,同时也对计算机中的违规操作进行检测并予以报告。存在的不足:采用的特征检测对特征数据进行数据分析,从而进行检测、发现入侵,报告入侵并记录原始数据信息,必要时还可以通过与防火墙进行联动,实现对恶意数据的切断,不过,与防火墙系统一样,对于新出现的未知特征数据的入侵,特征检测方法无能为力。
2.3 网络隔离技术
网络隔离就是把网络分成多个互不交叉的安全域,并在域与域之间进行访问的技术,其模型有内部隔离模型和物理隔离模型。存在的不足:如内网用户无法使用许多的国际互联网资源,而对于用户来说这些又是工作中非常必须的,另外要做到真正意义上的物理隔离会导致投资成本的大大增加,占据更大的办公空间,而且花费更多的维护费用。
综上所述,以上三种体系都无法满足校园网安全的需要,所以在校园网中实施基于VPN技术的网络安全建设迫在眉睫。
3.VPN在校园网中应用的现状
目前校园网对VPN的关注热度已上升到一个相当的高度,许多高校非常热衷与VPN技术并且已经准备或已开始实施。各高校对VPN的需求主要有以下几个方面:首先是满足校外师生对校内网站的安全访问需求,VPN方案能够在公众的IP网络上建立私密的数据传输通道从而进行分校的合作伙伴、分支办公室、移动办公人员等进行远程联接网络,从而降低校园网的访问负担并节约成本[1]。其次是满足分校之间相互访问的需求,以方便进行管理控制,对资源进行统一的获取、分配。最后是解决学校的图书馆资源的合理访问问题,而在高校图书馆中版权问题一直都是一个重大的问题,因此需要一套可管理、可认证、安全的远程访问电子图书馆的电子系统。
4.基于VPN技术的校园网络安全建设分析
VPN建设方式分析:A方案是Internet服务商(ISP)建设,对企业要保持透明;B方案是企业关于自身方面的建设,ISP一定要透明。C方案就是企业、服务商应该共同进行建设。很显然,B方案更加适合当下的校园网的安全建设,即关于学校自身的建设,对服务商透明。校园网是地理位置在校内的计算机网络,校园网与国际互联网相联,它有用行于国际互联网这样一个公用网络的IP地址,并拥有它自己的路由设备,而且它有自我网络管理系统和自我维护机构[2]。对校园网络有相当强的技术支持以及管理能力。因此在校园网络上运用VPN可以完全不依赖服务商,这样学校就更有自主权,另外还可以节省经费。
通过对校园网络现状的分析,在校园网络上建设VPN必须与其校园网现有需求相结合,远程访问网络。但随着办学条件的不断扩大和发展,学校内部的校园网使用VPN后你,两个小区的校园网可以看成是学校网络在两个地区的不同组成部分。对现有的校园网络来说基本上没有Extranet网络结构。所以在现有的校园网络基础之上,可以采用远程用户访问VPN服务器和两校区之间的VPN服务器设想(Extranet网络结构)。
5.基于VPN技术校园网络安全建设具体方案
5.1 建立一个远程用户访问校园网的VPN服务器或者是建立一个管理服务器网段的VPN服务器。
5.2 两校区之间的VPN服务器设想:运用Internet公共网络从而将两个校区的校园网络相连,所以学校的就可以信息交流和数据传输、资源共享。首先克服了运用路由器对其访问的局限性,同时数据传输的安全性有了保障,另外值得注意的一点是不租用专线从而节省了大笔开支。通过在两个学校的校区之间建设VPN服务器在策略上是允许这两地的所有用户对其进行访问。
5.3 VPN安全部署:在条件允许的情况下,我们可以直接部署专用设备,根据实际情况在现有网络的出口处部署VPN。对于其他实现互联的子网也部署相应的VPN设备。对于普通用户在PC机上直接安装客户端软件就可以非常便利的经过VPN架设隧道,进而对内部网络资源直接进行访问。
6.结束语
当前确保网络安全性的确是一个网络设计者和管理者特别关心和重视的一个问题,VPN校园网的系统安全是一个较为复杂的工程,从严格意义上讲,没有完全安全的网络系统,在网络安全日益影响我们校园网络运行的情况上我们不能保障校园网的绝对安全,要尽可能去制止或减少非法访问和操作的行为,把不安全因素降到最低[3]。网络安全技术不断发展的同时,全面安全技术的应用是网络安全发展的一项重要内容,同时还要加强网络安全策略和网络安全管理,只有这样才能真正确保网络的安全性。
参考文献
[1]徐喆.高校网络安全存在的问题与对策研究[D].燕山大学,2012.
[2]熊浩.VPN技术在校园网中的应用与实现[D].南昌大学,2009.
[3]徐迎新.VPN技术在校园网安全体系架构中的应用研究[D].南昌大学,2009.
