SSL VPN技术在校园网远程访问中的应用

摘要：该文介绍了安全套接层协议虚拟专用网（SSL VPN）技术的概念和基本原理，设计并架构了一种基于WEB的高校SSL VPN体系结构，实现校外用户对校园网内部资源的远程访问，从而降低管理费用并满足校园网访问的安全、快速等需求。

关键词：SSL VPN； 校园网； 远程访问

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）36-8239-02

截止到目前，高校校园网的基础建设都已经基本完成。随着数字化校园和智慧校园的发展建设，校园网已经整合了学校所有办公、教务、学生管理、科研、财务等系统和所有的图书资源，各二级单位的自建数字资源也集成在了同一个平台之上。校园网内部达到千兆甚至万兆传输速率的骨干网可以提供更加高速、优质的数据服务。然而大多数高校也同样面临的一个问题的困扰，随着教育技术和信息技术的发展，学校人员的工作和生活不仅仅局限在学校校园内部，出差、家庭办公、移动办公等都需要随时随地访问校内资源。由于教育科研网的网络带宽无法满足需求，随着服务器的增多，更多的高校租用了当地ISP线路以解决网速问题，这必然导致需要的公网IP地址会增加，租用的带宽也要增加，产生了更多的费用。而如何兼顾网络应用效果与网络运营成本，一种VPN领域的新技术──SSL VPN可以很好地解决以上问题。

1 SSL VPN简介与特点

SSL VPN（Secure Sockets Layer，安全套接层）指的是利用SSL协议封包处理功能，利用校园网内部SSL VPN网关，通过网络封包转向的方式，让用户可以在远程计算机执行应用程序，读取校园网内部服务器数据。它采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。

SSL VPN不同于传统的VPN技术。传统的VPN技术以工作在2层的L2TP VPN和工作在3层的IPsec VPN，和基于虚拟路由表和标签转发的MPLS VPN为主。配置传统的IPSec VPN非常困难，因为配置IPSec VPN还必须更改网络地址转换（NAT）和防火墙的设置。SSL VPN在TCP/IP四层架构中工作在传输层与应用层之间，像TCP连接所连接的套接字一样工作。它的特点是安装配置相对简单，只需一个或几个公网IP址即可，不需增加额外的带宽，与操作系统兼容性非常好，实施成本较低，常结合到防火墙系统中，与防火墙配合，抗攻击、抗病毒入侵，能够满足校园网的快速转发与安全性需求。

SSL VPN 克服了IPSec VPN的不足，无需安装专用客户端，客户的浏览器就可以发起远程访问，而且配置简单、安全易用，这样就降低了用户的总成本，还能增加远程用户的工作效率。通过加密方式保护在互联网上传输的数据，登录成功后，即可以访问内网的所有资源，如同置身于校园网内部。如果要控制访问资源，可在SSL VPN网关上设置相应的安全策略。SSL VPN安全策略用于控制SSL VPN用户可以访问的网络资源。将SSL VPN用户组绑定到指定的安全策略下，该组的用户在登录后即可访问策略匹配的网络资源。

2 SSL VPN在校园网上的实现

SSL VPN分为三种工作模式：

1） WEB模式。也叫做WEB页面。它将来自远端浏览器的页面请求（采用HTTPS协议）转发给WEB服务器，然后将服务器的响应回传给终端用户。支持WEB服务，FTP服务，文件共享服务以及OWA。WEB模式也是SSL VPN 最简单常用的工作模式。

2）AGENT模式。也就是TCP。通过客户端的程序和设备建立SSL隧道来非WEB的TCP服务。

3）Tunnel模式。 需要下载、运行专用客户端。客户端和SSL VPN网关设备建立SSL隧道后， 网关为客户端分配IP，客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。

针对高校的网络现状和需求，决定采用锐捷RG-WALL 1600防火墙为SSL VPN网关设备进行部署，设计采用基于WEB模式的SSL VPN结构体系，以简化用户远程访问的方式，实现外部对校园内部教务、图书等资源的访问，如图1所示。

图1 校园网SSL VPN远程访问示意图

通过部署SSL VPN设备，将相应的接口放在防火墙的DMZ区域，可防御攻击、黑客等恶意行为。用户只需具有标准的浏览器，如IE、Chrome等，就可以通过公网登录SSL VPN设备，而无需安装客户端。与此同时SSL VPN网关支持多种认证方式，可以与校园网内部已有的认证系统相结合。可以对用户进行分组，赋予不同的访问权限，这也是其它VPN技术无法实现的。通过公网接入的用户，得到认证和授权以后，将获得校内合法的IP地址，就可以访问校内的资源，并可以以校内用户的地址和身份访问校外图书资源，而不会受到这些资源对IP地址来源的限制。对于所有只允许校内地址访问的服务，SSL VPN接入进来的师生，可以以合法身份查询校内信息；对于公网上可以登录的服务，通过SSL VPN接入的访问速度也会有显著的提高。网管人员可以远程维护内网设备，如同在校内办公室一样。

3 网络效果测试

SSL VPN部署以后，经过一年多时间的运行，效果良好，外网访问校园网内部资源的速度明显提高。出差人员、家庭备课教工和手机移动用户均可以快速访问校内资源，也可访问教育网专用图书资源和期刊数据库，且登录的方式简单，只需访问固定IP地址即可，成功率高。由此，基本解决了高校校园网的远程访问的问题。

4 结束语

SSL VPN在深度和广度上符合安全访问的要求，可以很好地解决高校校园网远程访问的问题，但也存在着不足。首先是接入网关的性能和安全问题，由于所有的工作都集中在SSL VPN网关设备上，随着用户的增多和传输速率要求的增加，网关必然成为影响工作效果的重要因素，因此保证网关的性能非常重要，可采用提高设备性能或双机热备方式进行解决。其次，SSL VPN虽然无需安装客户端操作简便，然而有些应用服务是采用C/S模式进行工作的，这是基于WEB的SSL VPN模式无法解决的问题，此时就必须采用Tunnel模式工作模式。

参考文献：

[1] 吴冰.基于SSL协议的VPN数字图书馆远程访问方案[D].济南：山东大学，2008.

[2] 王达，何艳辉.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2009.