VPN技術在高校圖書館中的應用探討

申請免費試用、咨詢電話：400-8352-114

互聯(lián)網(wǎng)的普及、移動通信技術的進步、信息化程度的提高，使全世界的數(shù)字信息高度共享成為可能。中國高校也越來越重視數(shù)字化校園的開發(fā)，依托先進的網(wǎng)絡技術開展電化教學、電子教學資源的建設。而作為電子教學資源的重點之一，電子圖書館的建設已經(jīng)成為當今數(shù)字化校園建設的新亮點。國內(nèi)很多高校近幾年都從網(wǎng)上購置了大量的電子數(shù)據(jù)供廣大師生開展教學研究。這些資源對于學校學科建設和科學研究工作有很重要的意義，數(shù)字圖書館的建設和應用已經(jīng)成為高校信息化建設和現(xiàn)代教育技術改革工作的一大重點。

然而，數(shù)字圖書館的版權問題不容忽視，不管什么類型的圖書，都要遵循數(shù)字版權保護(Digital Rights Management，DRM)的規(guī)定，通過安全和加密技術控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對數(shù)字產(chǎn)品非授權使用。

正是在這樣一種保護知識產(chǎn)權的背景下，高校圖書館所購買的電子資源大部分都有限制訪問的IP地址范圍。即：

1、 采購的這些數(shù)據(jù)庫不是存放在圖書館服務器上，而是存儲在提供商的服務器上，圖書館支付費用以后，數(shù)據(jù)庫服務商是根據(jù)訪問者的IP地址來判斷是否是經(jīng)過授權的用戶。
2、 只要是從校園網(wǎng)出去的IP地址都是認可的，因為校園網(wǎng)出口IP和部分公網(wǎng)IP地址是屬于這個有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計算機都可以使用。

3、 如果教師、學生在家里上網(wǎng)或者一個老師到外地出差需要訪問這些電子資源，無論采用PSTN撥號、ADSL、小區(qū)寬帶，使用的都是社會網(wǎng)絡運營商提供的IP地址，不是校園網(wǎng)的IP地址范圍，因此數(shù)據(jù)庫服務商認為是非授權用戶，拒絕訪問。當然，我們也可以要求服務商進一步開放更多的IP地址為合法用戶，但是這要求訪問者的IP地址是固定的、靜態(tài)的，而實際上，絕大多數(shù)校外用戶使用的都是動態(tài)IP地址，是不確定的，所以數(shù)據(jù)庫服務商無法確定訪問者的合法身份，因而自動屏蔽。

因此，就需要一套可管理、可認證、安全的遠程訪問電子圖書館的解決方案，將校園網(wǎng)當作校外用戶的中轉站，使校外用戶通過鑒權后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫。到底有沒有這樣一種方案呢？虛擬專用網(wǎng)即VPN技術，給了我們很好的答案。

VPN是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet Service Provider 服務提供商）和其它NSP（NetworkService provider網(wǎng)絡服務提供商），在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動態(tài)組成的。

實際上，目前國內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用VPN技術來解決這個問題，而且大多是采用的IPsec VPN技術。利用IPSEC技術，校外用戶在本機安裝一個VPN客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡，IPSEC VPN中心端會給每個遠程用戶分配一個校園網(wǎng)IP地址，從而實現(xiàn)遠程用戶以校園網(wǎng)用戶身份訪問電子資源。

雖說IPSec VPN是目前VPN的主流技術之一，但IPSEC協(xié)議最初是為了解決site to site的安全問題而制定的，因此在此基礎上建立的遠程接入方案在面臨越來越多的end to site應用情況下已經(jīng)力不從心。
首先是客戶端配置問題：在每個遠程接入的終端都需要安裝相應的IPSec客戶端，并且需要做復雜的配置，隨著這種遠程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡管理員帶來巨大的挑戰(zhàn)。雖然一些領先的公司已經(jīng)解決了IPSec 客戶端難以配置和維護的問題，但是還是無法避免在每個終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護的客戶端絕對數(shù)量也不少。

其次是IPSec VPN自身安全問題：往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對不同用戶身份設定對不同資源的訪問權限上也存在不少缺陷（隨著技術的發(fā)展，新興的VPN廠商已經(jīng)著手改進這些問題并取得了相應的成績）。

然后是對網(wǎng)絡的支持問題：傳統(tǒng)的IPSec VPN在網(wǎng)絡適應性上都存在一些問題，雖然一些領導廠商已經(jīng)或正在解決網(wǎng)絡兼容性問題，但由于IPSec VPN對防火墻的安全策略的配置較為復雜（往往要開放一些非常用端口），因此客戶端的網(wǎng)絡適應性還是不能做到百分之百完美。

最后是移動設備支持問題：隨著未來通訊技術的發(fā)展，移動終端的種類將會越來越多，IPSec 客戶端需要有更多的版本來適應這些終端，但隨著終端種類的爆炸性增長，這幾乎是不可能的。

因此，SSL VPN技術應運而生。SSL VPN的突出優(yōu)勢在于Web安全和移動接入，它可以提供遠程的安全接入，而無需安裝或設定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSL VPN公認的三大好處是：首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；第三個好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的Internet IP即可成功接入圖書館，SSL VPN技術采用了一種類似代理性質(zhì)的技術，所有的訪問都是以SSL VPN設備的LAN口的名義發(fā)起的，所以只要SSL VPN設備的LAN口IP是一個合法的校園網(wǎng)IP，所有成功接入SSL的校外用戶都可以成功訪問這個SSL VPN設備LAN口所能訪問的資源。

但SSL VPN并不能取代IPSec VPN。因為，這兩種技術目前應用在不同的領域。SSL VPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSec VPN是在兩個局域網(wǎng)之間通過Internet建立的安全連接，保護的是點對點之間的通信，并且，IPSec工作于網(wǎng)絡層，不局限于Web應用。它構建了局域網(wǎng)之間的虛擬專用網(wǎng)絡，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡應用，安全和應用的擴展性更強。從高校應用來看，由于SSL接入方式下所有用戶的訪問請求都是從SSL VPN設備的LAN口發(fā)起的，對于那些對單個用戶流量有嚴格限制的資源商來說，這些SSL用戶的訪問會被當成一個用戶對待，很快就會因為達到資源商的流量限制而造成該IP被禁用，也就導致所有SSL用戶無法繼續(xù)訪問圖書館資源。

那么，高校圖書館應該選擇何種VPN技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢？從目前圖書館使用的情況來看，比較合理的應用方式應該是IPSEC和SSL共同使用。

正如我們前面所分析的，上游資源商對于資源的應用是有限制的，除了限制發(fā)起請求的IP地址外，還會限制單個IP地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶（以教師為主，數(shù)量較少），另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶（以學生為主，數(shù)量較多），通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配IPSEC接入方式，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個IP流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學生用戶分配SSL接入方式，利用SSL VPN無需部署客戶端的特性大大降低客戶端的維護工作量，從而實現(xiàn)VPN在圖書館應用的快速部署。

經(jīng)過長時間的測試，華師圖書館選擇使用國內(nèi)專業(yè)VPN廠商深信服科技推出了IPSEC/SSL 一體化VPN平臺：Sinfor M5100-S。該產(chǎn)品在一臺網(wǎng)關上同時集成了IPSEC和SSL VPN功能，利用兩種技術的集成很好解決了圖書館應用的需求，同時一體化的設計能夠大幅度的降低整個VPN產(chǎn)品的投入，滿足教育行業(yè)低成本高效率IT建設的需求。

除了具有集成IPSEC和SSL VPN功能這個最大特色外，作為新一代的遠程接入解決方案，深信服科技推出的IPSec/SSL一體化的Sinfor M5100－S還具有幾個明顯特點，更加符合校園圖書館應用需求，部署圖如下：

方便易用

由于IPSEC客戶端在部署過程中需要進行配置，這嚴重影響了整個VPN系統(tǒng)在圖書館應用中的使用，對于大量的校外用戶來說，VPN僅僅是其實現(xiàn)訪問校園網(wǎng)資源的一個途徑，如果需要其掌握專業(yè)的技術才能應用，必將極大影響整個應用的部署。針對以上難題，深信服科技推出了基于USB KEY的客戶端零配置功能，可以將遠程用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣遠程用戶隨身攜帶標識自己身份和存儲了對應安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到圖書館。安裝好IPSEC客戶端軟件后，用戶無需進行任何配置，只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

多線路智能選路，解決跨運營商網(wǎng)絡互連問題

目前，大規(guī)模VPN網(wǎng)絡往往都是跨運營商的。但是國內(nèi)運營商間互聯(lián)互通的帶寬過低，導致不同運營商間的訪問速度很低，嚴重影響了VPN的應用效果。作為國內(nèi)領先的VPN和網(wǎng)絡安全研發(fā)產(chǎn)商，深信服科技在IPSec VPN 中，創(chuàng)新性地采用了多線路智能選路功能，并成功應用到IPSec/SSL一體化網(wǎng)關－Sinfor M5100－S中。對于分布到不同運營商網(wǎng)絡的遠程接入用戶，M5100-S會自動遷移到最快的線路上。只要在VPN總部端，申請多條運營商線路，便能最有效地解決跨運營商之間連接延遲大、帶寬小的問題。

若要解決跨運營商網(wǎng)絡互連出現(xiàn)的問題，通常其他方案則需要單獨購買一個線路負載均衡器，才能實現(xiàn)多線路負載均衡的效果。而Sinfor M5100-S的多線路負載均衡，為高校圖書館節(jié)省了采購成本，并且降低了日后的維護量。

對于高校圖書館來說，大量校外用戶是采用電信提供的ADSL等上網(wǎng)線路，其直接訪問教育網(wǎng)資源的速度并不理想，利用多線路智能選路這個功能，圖書館僅需向電信運營商申請一條普通線路（如ADSL），即可實現(xiàn)校外用戶的高速訪問

多種認證方式，高安全性

SINFOR M5100－S中SSL VPN采用SSL協(xié)議加密建立安全的專用加密通道，除了使用1024位的非對稱密鑰加強安全性，還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證，并使用PIN碼保護DKEY的安全。這種USB DKEY可以支持兩套VPN系統(tǒng)，安全方便。SINFOR M5100－S內(nèi)置有LDAP/AD、Radius、SecurID、短信認證等多種安全認證方式，可以根據(jù)相應的安全級別，對客戶端組合幾種認證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SINFOR SSL VPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠程客戶端入侵VPN網(wǎng)絡的可能。

更細致的訪問控制功能、完善的用戶和資源管理

SINFOR M5100－S 通過獨特的角色管理功能，提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權，一個用戶可以賦予多個角色以適合各種復雜的組織結構?；诮巧脑L問限制為網(wǎng)絡提供了較強的安全性。通過合理的角色劃分，管理員可以根據(jù)遠程用戶的身份和權限為其分配可供其訪問的各種電子資源，如教師可以訪問國外的各種資源，而學生用戶則僅能訪問國內(nèi)教育網(wǎng)資源。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。

SINFOR M5100-S內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導入。 M5100-S支持LDAP/AD、RADIUS等第三方認證，可以根據(jù)組、公用帳號、私有帳號等多種方式對用戶進行管理。同時，M5100-S集成了組用戶并發(fā)限制、公用帳號并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在M5100-S直觀式管理圖形用戶界面（GUI）的實時監(jiān)控狀態(tài)欄中，可以實時地監(jiān)控用戶的接入情況，觀察整個VPN系統(tǒng)的運行狀況。

支持動態(tài)ip、方便易用 

由于寬帶的普及以及ADSL資費的降低，國內(nèi)中小型企業(yè)通常采用ADSL撥號等動態(tài)ip的方式接入互聯(lián)網(wǎng)。Sinfor M5100－S集成了深信服科技的基于web的動態(tài)ip尋址技術，使的Sinfor M5100－S 在部署的時候無需固定ip，完全支持動態(tài)ip。并且，當企業(yè)在使用M5100－S的SSL VPN功能時，可以使用和IP Sec VPN 相同的webagent來解析網(wǎng)關的動態(tài)ip，減少了管理員的維護量。移動辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時，也更加便捷。由于支持動態(tài)ip，M5100-S同樣也適合中小型企業(yè)。

傳統(tǒng)的IPSEC VPN在部署客戶端的時候，往往需要復雜的安裝和配置。借助于Sinfor M5100-S獨創(chuàng)的基于web的IPSec客戶端在線安裝方式，用戶可以很方便安裝使用IPSec VPN ?？梢越Y合自身的需求，按需部署IPSec /SSL VPN網(wǎng)絡。

適應廣泛

SINFOR M5100－S不僅提供對Web系統(tǒng)的安全訪問，還能通過ssl proxy技術，實現(xiàn)對絕大多數(shù)C/S應用的訪問。不管是Windows還是Linux客戶端，甚至是手持設備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全地接入教育網(wǎng)內(nèi)網(wǎng)。

集成防火墻，有效保護內(nèi)部服務

和多數(shù)SSL VPN不同，SINFOR M5100－S集成了高性能的企業(yè)級防火墻，對外只開放443端口，能有效保護內(nèi)部服務器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。

采用IPSEC/SSL一體化的VPN安全網(wǎng)關，可以很好的解決數(shù)字圖書館的遠程訪問應用多方面的考慮，IPSEC/SSL VPN二合一的技術必將成為一種新的趨勢，被廣泛應用和推廣。