SSL VPN技术在校园网远程访问中的应用

　　摘要：该文介绍了安全套接层协议虚拟专用网（SSLVPN）技术的概念和基本原理，设计并架构了一种基于WEB的高校SSLVPN体系结构，实现校外用户对校园网内部资源的远程访问，从而降低管理费用并满足校园网访问的安全、快速等需求。
　　关键词：SSLVPN；校园网；远程访问
　　中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）36-8239-02
　　截止到目前，高校校园网的基础建设都已经基本完成。随着数字化校园和智慧校园的发展建设，校园网已经整合了学校所有办公、教务、学生管理、科研、财务等系统和所有的图书资源，各二级单位的自建数字资源也集成在了同一个平台之上。校园网内部达到千兆甚至万兆传输速率的骨干网可以提供更加高速、优质的数据服务。然而大多数高校也同样面临的一个问题的困扰，随着教育技术和信息技术的发展，学校人员的工作和生活不仅仅局限在学校校园内部，出差、家庭办公、移动办公等都需要随时随地访问校内资源。由于教育科研网的网络带宽无法满足需求，随着服务器的增多，更多的高校租用了当地ISP线路以解决网速问题，这必然导致需要的公网IP地址会增加，租用的带宽也要增加，产生了更多的费用。而如何兼顾网络应用效果与网络运营成本，一种VPN领域的新技术──SSLVPN可以很好地解决以上问题。
　　1SSLVPN简介与特点
　　SSLVPN（SecureSocketsLayer，安全套接层）指的是利用SSL协议封包处理功能，利用校园网内部SSLVPN网关，通过网络封包转向的方式，让用户可以在远程计算机执行应用程序，读取校园网内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。
　　SSLVPN不同于传统的VPN技术。传统的VPN技术以工作在2层的L2TPVPN和工作在3层的IPsecVPN，和基于虚拟路由表和标签转发的MPLSVPN为主。配置传统的IPSecVPN非常困难，因为配置IPSecVPN还必须更改网络地址转换（NAT）和防火墙的设置。SSLVPN在TCP/IP四层架构中工作在传输层与应用层之间，像TCP连接所连接的套接字一样工作。它的特点是安装配置相对简单，只需一个或几个公网IP址即可，不需增加额外的带宽，与操作系统兼容性非常好，实施成本较低，常结合到防火墙系统中，与防火墙配合，抗攻击、抗病毒入侵，能够满足校园网的快速转发与安全性需求。
　　SSLVPN克服了IPSecVPN的不足，无需安装专用客户端，客户的浏览器就可以发起远程访问，而且配置简单、安全易用，这样就降低了用户的总成本，还能增加远程用户的工作效率。通过加密方式保护在互联网上传输的数据，登录成功后，即可以访问内网的所有资源，如同置身于校园网内部。如果要控制访问资源，可在SSLVPN网关上设置相应的安全策略。SSLVPN安全策略用于控制SSLVPN用户可以访问的网络资源。将SSLVPN用户组绑定到指定的安全策略下，该组的用户在登录后即可访问策略匹配的网络资源。
　　2SSLVPN在校园网上的实现
　　SSLVPN分为三种工作模式：
　　1）WEB模式。也叫做代理WEB页面。它将来自远端浏览器的页面请求（采用HTTPS协议）转发给WEB服务器，然后将服务器的响应回传给终端用户。支持WEB服务，FTP服务，文件共享服务以及OWA。WEB模式也是SSLVPN最简单常用的工作模式。
　　2）AGENT模式。也就是TCP代理。通过客户端的代理程序和设备建立SSL隧道来代理非WEB的TCP服务。
　　3）Tunnel模式。需要下载、运行专用客户端。客户端和SSLVPN网关设备建立SSL隧道后，网关为客户端分配IP，客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。
　　针对高校的网络现状和需求，决定采用锐捷RG-WALL1600防火墙为SSLVPN网关设备进行部署，设计采用基于WEB模式的SSLVPN结构体系，以简化用户远程访问的方式，实现外部对校园内部教务、图书等资源的访问，如图1所示。
　　图1校园网SSLVPN远程访问示意图
　　通过部署SSLVPN设备，将相应的接口放在防火墙的DMZ区域，可防御攻击、黑客等恶意行为。用户只需具有标准的浏览器，如IE、Chrome等，就可以通过公网登录SSLVPN设备，而无需安装客户端。与此同时SSLVPN网关支持多种认证方式，可以与校园网内部已有的认证系统相结合。可以对用户进行分组，赋予不同的访问权限，这也是其它VPN技术无法实现的。通过公网接入的用户，得到认证和授权以后，将获得校内合法的IP地址，就可以访问校内的资源，并可以以校内用户的地址和身份访问校外图书资源，而不会受到这些资源对IP地址来源的限制。对于所有只允许校内地址访问的服务，SSLVPN接入进来的师生，可以以合法身份查询校内信息；对于公网上可以登录的服务，通过SSLVPN接入的访问速度也会有显著的提高。网管人员可以远程维护内网设备，如同在校内办公室一样。