论文导读::它可以自动应用在每一个浏览器上。技术在校园网中的应用。
论文关键词:安全套接层协议,虚拟专用网,应用
1 引言
一般来讲,高校教务系统、OA系统建设都已初具规模,但远程的安全访问是一个噬需解决的问题。一些高校校园内部搭建了无线上网系统,采用WLAN方式方便接入,但用户上网认证控制和计费存在困难。对于校园网的Email收发,如果离开校园网,同样无法进行,即使把邮件服务器至于Internet上,显然是非常不安全的。随着全国大学的扩招,现在很多学校都有了分校,如何实现分校与总校之间财务、教务数据的安全传递,也是摆在校园信息主管面前的问题。校园的网络设备通常是数量庞大种类繁多,一旦出现故障,就需要网管人员立即赶到学校机房去解决问题,这样会浪费很多时间安全套接层协议,也会有很大的延时。随着越来越多移动设备的出现,在校外对校园资源的访问越来越迫切。如何能够快速的在校外对学校资源进行访问,同时保证访问的安全性,成了现在迫在眉睫的问题。考虑到以上问题,最好的方法是采用SSL VPN方式。
2SSL VPN
2.1 概述
SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。需要提供一个数字证书给Web 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL,那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL进行加速以避免流量瓶颈,通常SSL 加速装置为热插拔装置。
VPN 主要应用于虚拟连接网络,它可以确保数据的机密性并具有一定的访问控制功能。过去VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。现在要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SSL的独特性以及VPN所能提供的安全的远程访问控制能力。到目前为止,SSL VPN是解决远程用户访问公司敏感数据最简单最安全的技术,与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通免费论文下载。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等)与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。
(1)SSL协议与应用层协议独立无关,高层的应用层协议(例如HTTP、FTP、TELNET等)可以建立于SSL协议之上,由于SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商及服务器认证工作,保证在其上的应用层协议所传送的数据都会被加密,从而保证通信的安全性,包括数据的加密;数据的完整性检验;提供检验机制对传输的加密数据进行校验;提供检验机制对SSL协议的服务器和客户端进行认证,保证使用者拥有正确身份。
(2)面向远程访问的设计
SSL VPN面向远程访问,面向应用系统的接入和保护,特别是基于浏览器(WEB方式)的B/S结构网络应用。
u无客户端访问:不论何种SSL VPN产品,均可利用浏览器和HTTP进行WEB SERVER访问,避免客户端的安装和配置工作。高端产品则提供某种基于Java或ActiveX客户端扩展安全套接层协议,或者直接安装客户端来提供扩展应用。
u从SSLVPN部署和配置上尽量简化客户端一方,而在服务器一端表现出门户式的服务入口。
u强化的客户端身份认证机制和客户端安全保障,确保访问位置的无条件和安全。
u强化的安全审计,灵活的用户授权和访问控制:SSL代理为应用层的应用服务,结合用户权限设置和安全策略,SSL更容易提供细粒度远程访问控制。
2.2 应用方向
(1)SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、传统交易大厅等场所,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用,无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
(2)SSL VPN将远程安全接入延伸到其他VPN方案不易扩展到的地方,使更多的学生,在更多的地方,使用更多的设备,安全访问校园网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的一种模式。
(3)SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet, 即可访问企业的网络资源。这就易于安装和配置,明显降低成本。
(4)只要安装好SSL VPN,后需的专业服务需求较少,用户没有专业IT支持,部门也完全可以使用,所以维护成本可以忽略不计。
(5) SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙和NAT的能力。这种能力使SSL VPN能够从网络防火墙背后的客户端安全访问处于中心网络的服务器资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。
(6) 支持多种设备安全套接层协议,只要此设备提供标准浏览器,如可以上网的手机和PDA通信产品,也适用于大多数操作系统,Windows、UNIX、 Linux等,只要运行标准的浏览器,都可以支持SSL VPN对企业内部网站和Web站点进行访问。
3 解决方案
针对以上高校的网络状况和信息化需求,部署SPX系列SSL VPN设备,完成SSL VPN服务,提供数字化图书馆、无线上网管理、远程校务系统以及办公自动化系统接入。如下图所示:
图1 校园网拓扑图
Array Networks SSL VPN网关的部署,可以非常灵活的适合校园网现有的网络结构。SPX网关在网络边缘可以采用单臂结构或双臂结构,可以放在防火墙后面或DMZ区,达到SSL VPN网关本身的高安全性,可以灵活适应NAT转换、防火墙只需要对SSL VPN网关开放443端口就可以了,使黑客、内部不法人员或恶意代码无发力之处。
SSL VPN使用者不需要安装客户端程序。ArrayNetworks SSL VPN只要客户端安装了标准浏览器,如IE、Netscape就可以登陆SSL VPN,IE是Windows的内含软件,无须单独购买,因而不会增加客户端的开支。 Array Networks SSL VPN可以支持多种用户认证方法,LocalDB、Radius、LDAP、RSASecurID和AD等,和校园网已有的统一认证系统完美的结合起来。此外,Array Networks SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的细粒度控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计免费论文下载。这是一般基于网络的VPN所办不到的。 用户登录成功后,将看见一个统一的应用使用平台,将用户所能远程使用的应用完美的呈现出来。
3.1 SSL VPN功能模块实现数字图书馆的接入
通过部署SSL VPN网关SPX,大学师生从校外公网接入需经过SSL VPN的认证和授权,只有经过认证和授权的用户才能使用接入SSL VPN,保障了本校授权人员的使用。客户登陆后会分配一个虚拟的网卡,此网卡地址是SSLVPN网关分配的,其地址体系是校内的统一地址体系安全套接层协议,这些IP地址是允许访问校内外数字图书馆的IP地址。这样通过SSL VPN隧道从公网也能够顺利访问数字图书馆,突破了校外图书馆对于本校IP地址的限制。
这样经过授权的外网用户,无论是通过电信、移动等接入ISP,还是其他运营商上网用户,通过SSL VPN接入技术,远程登陆VPN 网关设备,通过SSL VPN隧道建立,接入校园网内,这台机器就好像已经直接连到校园网内了,无论是访问校内,还是校外数字图书馆,都不会再有限制。在此,外网移动用户便可随需选择国外合作馆藏进行自由查阅。
3.2 通过SSL VPN公网远程访问校务系统,办公系统
Array 的SSL VPN网关设备单台设备可以部署多个SSL VPN门户,上面已经为数字图书馆部署了一个门户,具有自己单独的门户域名和IP地址。同样为办公系统分配一个SSL VPN门户,具有自己的域名和IP地址。这正是Array的Virtualization技术。这样两个门户的用户认证系统不同,分配的IP地址不同,允许访问的IP地址也不同,可以完全将两种应用区分开来。
图2 SSL VPN校园网拓扑图
使用SSL VPN接入的师生,只需要登陆此SSL VPN门户,经过认证和授权,即会打开L3 VPN通道,通过此隧道访问校务系统,如排课系统等,或查看校内公布信息,收发Email等办公任务。另外,校园网的网络维护人员也可以通过SSL VPN隧道远程维护校园网的软硬件设备,尤其是在出现故障的情况下,网管维护人员可以马上接入,无论在家安全套接层协议,还是出差,都可以即时修复故障,保障校园信息化系统的稳定性工作。
3.3 通过SSL VPN接入完成WLAN接入用户的管理控制和计费
接入WLAN的终端被导入到SSL VPN的门户上面进行认证、审计。这个门户是单独为WLAN接入分配的,不同于数字图书馆和OA系统的SSL VPN接入门户,它同样具有自己的域名和IP地址,其认证是和城市热点计费的Radius系统相结合的。即用户登陆时,SSL VPN网关SPX5000会将用户名、密码等信息通过Radius协议提交给Radius服务器进行认证,进而决定用户接入是否允许。同时SPX5000还会将用户何时登陆、退出提交给Radius服务器进行计费。同时,SSL VPN还可以控制WLAN接入用户的访问权限,允许或禁止访问某些网段,是否可以访问公网等接入控制。
1/2 1 2 下一页 尾页 |
