近几年来,随着学院校园信息化建设工作的不断深入,校内办公OA系统、教务管理系统、图书馆系统、邮件系统等系统的部署逐步实现了校园内部的无纸化办公、规范学院的办公制度,大大提高了工作和学习的效率。但同时面临着一个重大的问题是这些资源一旦我们离开校园就都无法使用,所以对校园网进行有效的改造,实现安全移动办公是当下我们所要解决的问题。
1.1 技术分析
虚拟专用网(VPN)是近两年非常流行的技术,它是一个综合保密性,安全性及可管理性的解决方案。VPN就是在公共网络架构上(通常是Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道,在降低联网费用的同时确保信息的安全性、完整性和真实性。SSL以及IPSec VPN是市场上最为主流的两种VPN技术,已经被成熟应用在众多的领域中。这两者在众多的虚拟专线技术中其实用性都属于领先的水平,但是ssL和IPSec两种技术本身存在的特点,决定了他们在使用领域上有所差别。
(1)IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。但IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,并且它的连接性会受到网络地址转换或受网关代理设备的影响。
(2)SSL是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器直接访问内部网Web应用。SSL VPN可在NAT代理装置上以透明模式工作,它不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响,穿透能力强。
2方案的选择与部署
考虑到学院一部分年长教师和非计算机专业教师的对于复杂的计算机操作比较难于掌握,另外一方面在方案的选择当中为了保证现有网络运行的稳定性尽量避免去改变现有的网络拓扑。所以在经过充分的调研分析后,最终选择了市场占有率比较高的SSL VPN来进行。
3次校园网改造
在对学院网络拓扑结构和网络性能进行详细的分析后,在本次改造方案中采用单臂路由的模式来部署SSL VPN 服务器,直接将服务器旁按在学院核心三层交换机下(见图1)。这样就可以在不改变原来的网络拓扑结构的基础上实现VPN的部署最大限度的降低了对原有网络的影响。SSLVPN技术帮助用户通过标准的Web浏览器就可以访问重要的学校应用资源。这使得学院的师生离开校园后,仅仅通过一台接入了Internet的计算机就能访问学校资源,这为学院师生的El常工作和学习来了便利。
另外考虑到不同角色登录SSL VPN产生的安全问题,我们这次改造方案中所选用的产品可以对接入学院的用户进行精确的的身份认证,然后对确定身份的用户进行权限划分,通过逻辑隔离服务器,让不同身份的用户接入不同的应用服务器,使用不同的业务系统及资源,从而保证数据的安全传输。并且通过SSL VPN实现应用系统访问的集中管控,降低管理和维护成本,结合SSL VPN自动登录及应用系统单点登录技术,大大提高办公系统登录易用性。
4结语
学院通过部署SSL VPN解决方案,有效的解决了校园网安全移动办公的难题,方便了广大师生离开学校后对学校各种资源的访问,提高了校园网络资源的利用率,同时也保证了在移动办公过程中数据传输的安全。
CIO之家 www.ciozj.com 公众号:imciow