VPN技术在高校中的应用

互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共享成为可能，中国高校也不例外。在重视数字化校园建设和电子教学资源开发的同时，如何依托VPN等先进技术，解决使用非校园内IP的校园内外师生的24小时远程访问问题，值得关注和探讨。

　目前，中国高校也越来越重视数字化校园的开发，依托先进的网络技术开展电化教学、电子教学资源的建设，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近年都购置了大量的电子数据供广大师生开展教学研究。这些资源对于学科建设和科学研究工作有很重要的意义。数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。

　版权保护下的访问难题

　然而，数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(Digital Rights Management，DRM)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。

　正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。即:

　1. 采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上。图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。

　2. 只要是从校园网出去的IP地址都是认可的，因为校园网出口IP和部分公网IP地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。

　3. 如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，我们也可以要求服务商进一步开放更多的IP地址为合法用户，但是这要求访问者的IP地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态IP地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

　因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。

　IPSec的局限

　面对这种情况，VPN技术给了我们很好的答案。

　VPN(虚拟专用网)并不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider服务提供商)和其他NSP(NetworkService provider，网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。

　实际上，目前国内已经有不少高校采用了或者正尝试使用VPN技术来解决这个问题，而且大多是采用IPSec VPN技术。利用IPSec技术，校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络，IPSec VPN中心端会给每个远程用户分配一个校园网IP地址，从而实现远程用户以校园网用户身份访问电子资源。

　虽说IPSec VPN是目前VPN的主流技术之一，但IPSec协议最初是为了解决“站点到站点”的安全问题而制定的，因此在此基础上建立的远程接入方案在面临越来越多的“终端到站点”应用情况下已经力不从心。

　首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端，并且需要做复杂的配置，这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题，但还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，随着用户数量的增多，每天需要维护的客户端绝对数量也不少。

　其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好地解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展，新兴的VPN厂商已经着手改进这些问题并取得了一定的成绩)。

　然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口)，因此客户端的网络适应性还是不能做到百分之百完美。

　最后是移动设备支持问题，随着未来通讯技术的发展，IPSec 客户端需要有更多的版本来适应不同种类的终端，但终端种类的爆炸性增长使之成为不可能。

SSL+IPSec=?

　因此，SSL VPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入，它可以提供远程的安全接入，而无须安装或设定客户端软件。SSL在Web的易用性和安全性上架起了一座桥梁。

目前，对SSL VPN公认的三大好处，首先来自于它的简单性，它不需要配置，可以立即安装，立即生效;第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好，适用任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的Internet IP即可成功接入图书馆。SSL VPN技术采用了一种类似代理性质的技术，所有的访问都是以SSL VPN设备的LAN口的名义发起的，所以只要SSL VPN设备的LAN口IP是一个合法的校园网IP，所有成功接入SSL的校外用户都可以成功访问这个SSL VPN设备LAN口所能访问的资源。

　但SSL VPN并不能取代IPSec VPN。因为，这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点之间的通信。并且，IPSec工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。从高校应用来看，由于SSL接入方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的，对于那些对单个用户流量有严格限制的资源商来说，这些SSL用户的访问会被当成一个用户对待，很快就会因为达到资源商的流量限制而造成该IP被禁用，也就导致所有SSL用户无法继续访问图书馆资源。

　那么，高校图书馆应该选择何种VPN技术以解决目前校外用户合理访问图书馆各类资源的需求呢?目前比较合理的应用方式应该是IPSec和SSL共同使用。

　事实上，上游资源商对于资源的应用是有限制的，除了限制发起请求的IP地址外，还会限制单个IP地址所产生的流量。因此在图书馆大量的校外用户群中，我们将用户分为两个类型，一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主，数量较少)，另一类则是使用次数较少、访问数据不多的用户(以学生为主，数量较多)。通过用户划分，我们给访问量大但数量少的教师用户分配IPSec接入方式，这样就可以把大量的用户流量分配到不同的IP地址上，避免单个IP流量过大造成的问题。而那些数量众多但访问量小的学生用户分配SSL接入方式，利用SSL VPN无须部署客户端的特性大大降低客户端的维护工作量，从而实现VPN的快速部署。