基于SSLVPN远程资源访问应用研究

摘要：利用SSLVPN的优势来解决在校外访问校内资源的问题，大大降低了实现远程存取的建设费用，并使访问更快速、更安全。从SSLVPN的概念、特点和应用方面进行了阐述，并展示了其部分实施内容。

关键词：SSLVPN；远程资源访问；SSLVPN应用；内网资源

中图分类号：TP393文献标识码：A文章编号：1672-7800（2012）010-0142-03

作者简介：周贤波（1982-），女，硕士，宁波城市职业技术学院教务处实验师，研究方向为计算机信息技术。

0引言

随着数字化校园网的发展，学校的各类信息资源逐步实现了数字化和网络化。一方面，为了保障这些资源的安全性，许多网络资源都被放在校园内网地址当中，校内的许多数据资源都是受保护的，只有学校内部用户才可以访问资源；另一方面，学校领导或者普通员工在异地也需要处理学校的事务或者查阅学校资料，而用户身份的识别往往是利用IP地址来识别的，这就导致了学校用户利用校外网络无法访问到内网资源。SSLVPN技术为这个难题提供了可行的解决方案。

1VPN技术简介

VPN（VirtualPrivateNetwork，虚拟专用网络）指的是在公用通信网络上建立一条虚拟专用网络通道，利用公共通信网络来传输内部数据。其之所以称为虚拟专用网络通道，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，从而保证构建在公共网络之上的虚拟内部网络的有效联通性和安全性。虽然VPN的通讯是建立在公共互联网络的基础上，但实际上用户在使用过程中感觉如同使用专用网络，具有与内部网络相同的安全性、易管理性和稳定性，可当专网使用。

2SSLVPN特点及优势比较

SSLVPN就是采用SSL（SecuritySocketLayer，安全套接层协议）来实现远程接入的一种VPN技术。

SSL协议是基于WEB应用的安全协议，包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可以保证信息的真实性、完整性和保密性。

SSLVPN使用SSL协议进行认证和加密，不需要安装其它客户端软件，只要有支持SSL的浏览器就可以。因此，SSLVPN远程资源访问方案更加容易配置与管理，网络配置成本比IPSecVPN要低很多。

SSLVPN为远程用户提供一种基于SSL协议的访问通道。SSLVPN服务器位于企业防火墙内部，防火墙开通标准的HTTPS服务（443）端口。SSLVPN网络应用拓扑图如图1所示。

SSLVPN使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL协议属于高层安全机制，因而被广泛应用于WEB浏览器程序和WEB服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而用户可以通过任何的标准浏览器实现远程安全接入。

根据SSLVPN技术的特点，可以做到精细的权限控制。不同的用户可以授予不同级别的权限，比如对数字图书馆资源也可以针对不同用户进行权限细分，不同权限级别用户访问相应的资源，非授权用户则无法访问；再比如，人事管理人员可以访问人事管理系统、网络管理人员可远程调试网络设备等。SSLVPN可以建立基于分组的策略管理，例如设立教师组、学生组等，不同组赋予不同的访问权限；也可建立基于角色的策略管理，给每一个角色赋予不同的权限；还可设立临时账号，给那些需要临时访问学校内部资源的人员提供便利，在使用期限截止以后，该账号会自动注销。

身份认证手段有很多，主要有CA、USBKey、用户名/密码、LDAP/AD、Radius、短信猫/短信网关、动态令牌、硬件特征码等。

目前，SSLVPN可以支持多种用户认证方式，除了支持常规的LocalDB、LDAP/AD、Radius、SecurID等认证方式外，还可以支持USBKEY的身份认证。通过将SSL加密隧道与USBKey认证相结合，结合客户端计算机安全检查功能，可以为用户提供完善的内部网络资源的安全远程接入服务。对于校园外的移动办公用户，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户端软件就可以安全访问校园内部任何资源。

现在有更强的身份认证手段，就是通过把远程访问的应用系统账号和SSLVPN账号进行绑定来增强应用系统账号使用安全性。

目前，部分高校已经建立了统一身份认证系统，例如一卡通系统、Radius系统、Oracle/SQLServer数据库系统、AD/LDAP系统。SSLVPN可以和这些身份认证系统有机地结合在一起，以防止用户账号被盗用后，不良使用者进入学校内部网络窃取重要机密信息。高校SSLVPN的用户比较多，而且流动性较大，把SSLVPN认证与身份认证系统相结合，可大大减少网络管理员的工作量。用户可以用已有的身份认证账号进行登录，管理员不需要重复建立账号，首次登录后账号信息将自动记录到SSLVPN服务器上，以后使用SSLVPN账号需要进行双重匹配。如果某一用户账号从认证系统注销，SSLVPN就会匹配失败无法登录。

3SSLVPN在校园信息化建设中的应用

3.1通过SSLVPN实现各办公应用系统的访问

使用SSLVPN接入的师生，只需要登陆此SSLVPN门户，经过认证和授权，就可以通过SSLVPN隧道轻松访问校内各应用系统，如排课系统，即可进行查阅等操作，也可以完成信息、事务处理等校务工作。

3.2通过SSLVPN实现远程网络管理

当校园网的软件或硬件设备出现意外故障时，网络管理人员可以马上通过SSLVPN接入到校园内部网络，通过SSLVPN隧道安全快捷地在任何时间、任何地点及时修复故障，完成网络管理工作，保障校园信息化系统的稳定工作。

3.3通过SSLVPN实现数字图书馆的访问

用户在校外公网接入到校内时必需经过SSLVPN的认证和授权，只有通过认证和授权的用户才能使用接入SSLVPN，保障了学校授权人员的权限。客户登陆后SSLVPN网关会分配一个虚拟的IP地址给登陆用户，这个地址是学校内部统一地址，这些IP地址被允许访问校内的和园区的数字图书馆，这样通过SSLVPN在校外网也能顺利地访问到园区数字图书馆，解决了园区图书馆只对本校园IP地址开放的问题，保证了广大师生在校外也能随时使用大学园区图书馆。

3.4通过SSLVPN完成WLAN接入用户的管理控制和计费

用户接入校内网时在SSLVPN的门户上进行认证、审计。其认证是和城市热点计费的Radius系统相结合的，即用户登录时，SSLVPN网关会将用户名、密码等信息通过Radius协议提交给Radius服务器进行认证，进而决定用户接入是否允许。SSLVPN还会将用户登录后分配的IP地址、以及登录和退出的时间提交给Radius服务器来进行计费。同时，SSLVPN还可以对WLAN接入用户的访问权限进行控制，比如是否允许访问某些网段、公网是否可以访问等接入控制。

4SSLVPN的实施

SSLVPN是基于应用层的VPN，也就是它的工作是基于Http协议和TCP层的。SSLVPN的部署非常简便，可串接也可旁路接入，一般可把它作为一台应用服务器部署于校园网络的任意位置。正常情况下，SSLVPN部署在防火墙之后，需要将防火墙上的一个固定的公网IP地址映射到SSLVPN上，或者只映射其IP地址的443端口即可。

在配置好SSLVPN服务器的应用、用户、权限后，使用人员可在任意能够接入Internet的地方通过浏览器，采用HTTPS（SecureHypertextTransferProtocol）方式访问该固定公网IP或者对应域名，即可轻松接入校园网访问OA系统、学工系统、数字图书馆等学校内部资源。

4.1网络接口配置

这里以网关模式为例，需要配置内网接口相关信息（包括LAN口的IP地址、子网掩码）。

IP地址：172.18.0.17；子网掩码：255.255.255.0

外网线路类型有以太网和ADSL两种类型可供选择，这里选用的是以太网。

IP地址：60.190.19.108

子网掩码：255.255.255.224

首选DNS：202.96.104.16

备份DNS：202.96.104.17

默认网关：60.190.19.97

配置完成后，保存配置并重新启动所有服务，以使配置生效，接着完成其它设置。

除了网关工作模式，还有单臂模式。选择单臂模式时，只需要配置内网接口（LAN口）IP地址、子网掩码、默认网关、设置DNS。

在系统设置中，可以对网络接口的配置进行日常的维护。多IP绑定只有在外网接口为以太网模式下方可启用。

在设备外网接口能获取多个IP，需要把这些IP都映射到内网服务器时使用。通过多IP绑定，可以为WAN口绑定多个IP。WAN口绑定的多IP必须和WAN口配置的IP在同一个网段，使用相同的网关IP，否则无法在WAN口进行绑定。

4.2资源管理

SSLVPN设置主要分为三大部分，分别是资源管理、用户管理和角色管理。三者之间的关系是：通过角色把用户组或用户和资源联系起来，用户组内的用户获得相应的资源访问权限。

资源管理主要是用户定义SSLVPN内网的可用资源，包括WEB资源、APP资源和IP资源。为了更好地对资源进行管理、更符合用户使用习惯，以及VPN客户端可以更有条理地显示，可以把多个资源添加到资源组。在资源列表中，可以清楚显示对应资源。

WEB资源支持包括HTTP（S）、MAIL和FTP3种类型的页面应用。WEB资源中定义的资源是通过修改访问地址来实现访问的，有一定的局限性，而APP资源几乎支持所有的C/S应用，包括Web、Mail和Ftp等。若通过WEB资源无法实现的，可以使用APP资源来添加。

APP资源主要用于定义、配置和管理各种类型的SSLVPN内网资源，以适应各种各样的C/S结构及基于TCP协议的应用程序对SSLVPN内网资源和内网服务器的访问。

IP资源主要用于定义、配置和管理各种基于IP协议的SSLVPN内网资源，以适应各种各样的C/S结构及不同协议（TCP/UDP/ICMP）的应用程序对SSLVPN内网资源和内网服务器的访问。

5结语

SSLVPN作为一种安全的接入技术，迎合了用户低成本、高性价比远程访问的需求，并已经广泛应用于各行各业。随着理论研究的进行，其功能将更加完善，安全性能也将越来越高。本文列举了SSLVPN实施中的一些基本配置，但在实际项目运用中要结合具体情况，比如要考虑环境、设备等因素。

参考文献：

[1]马淑文.SSLVPN技术在校园网中的应用与研究[J].计算机工程与设计，2007（21）.

[2]张世永.网络安全原理与应用[M].北京：科学出版社，2005.

[3]申飞驹.SSLVPN在高校数字图书馆的应用[J].现代情报，2009（8）.