基于SSLVPN远程资源访问应用探究.docVIP

基于SSLVPN远程资源访问应用探究 　　摘要：利用SSLVPN的优势来解决在校外访问校内资源的问题，大大降低了实现远程存取的建设费用，并使访问更快速、更安全。从SSLVPN的概念、特点和应用方面进行了阐述，并展示了其部分实施内容。 关键词：SSLVPN；远程资源访问；SSLVPN应用；内网资源 中图分类号：TP393文献标识码：A文章编号：1672-7800（2012）010-0142-03 作者简介：周贤波（1982-），女，硕士，宁波城市职业技术学院教务处实验师，研究方向为计算机信息技术。 0引言 随着数字化校园网的发展，学校的各类信息资源逐步实现了数字化和网络化。一方面，为了保障这些资源的安全性，许多网络资源都被放在校园内网地址当中，校内的许多数据资源都是受保护的，只有学校内部用户才可以访问资源；另一方面，学校领导或者普通员工在异地也需要处理学校的事务或者查阅学校资料，而用户身份的识别往往是利用IP地址来识别的，这就导致了学校用户利用校外网络无法访问到内网资源。SSLVPN技术为这个难题提供了可行的解决方案。 1VPN技术简介 VPN（VirtualPrivateNetwork，虚拟专用网络）指的是在公用通信网络上建立一条虚拟专用网络通道，利用公共通信网络来传输内部数据。其之所以称为虚拟专用网络通道，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，从而保证构建在公共网络之上的虚拟内部网络的有效联通性和安全性。虽然VPN的通讯是建立在公共互联网络的基础上，但实际上用户在使用过程中感觉如同使用专用网络，具有与内部网络相同的安全性、易管理性和稳定性，可当专网使用。 2SSLVPN特点及优势比较 SSLVPN就是采用SSL（SecuritySocketLayer，安全套接层协议）来实现远程接入的一种VPN技术。 SSL协议是基于WEB应用的安全协议，包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可以保证信息的真实性、完整性和保密性。 SSLVPN使用SSL协议进行认证和加密，不需要安装其它客户端软件，只要有支持SSL的浏览器就可以。因此，SSLVPN远程资源访问方案更加容易配置与管理，网络配置成本比IPSecVPN要低很多。 SSLVPN为远程用户提供一种基于SSL协议的访问通道。SSLVPN服务器位于企业防火墙内部，防火墙开通标准的HTTPS服务（443）端口。SSLVPN网络应用拓扑图如图1所示。 SSLVPN使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL协议属于高层安全机制，因而被广泛应用于WEB浏览器程序和WEB服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而用户可以通过任何的标准浏览器实现远程安全接入。 根据SSLVPN技术的特点，可以做到精细的权限控制。不同的用户可以授予不同级别的权限，比如对数字图书馆资源也可以针对不同用户进行权限细分，不同权限级别用户访问相应的资源，非授权用户则无法访问；再比如，人事管理人员可以访问人事管理系统、网络管理人员可远程调试网络设备等。SSLVPN可以建立基于分组的策略管理，例如设立教师组、学生组等，不同组赋予不同的访问权限；也可建立基于角色的策略管理，给每一个角色赋予不同的权限；还可设立临时账号，给那些需要临时访问学校内部资源的人员提供便利，在使用期限截止以后，该账号会自动注销。 身份认证手段有很多，主要有CA、USBKey、用户名/密码、LDAP/AD、Radius、短信猫/短信网关、动态令牌、硬件特征码等。 目前，SSLVPN可以支持多种用户认证方式，除了支持常规的LocalDB、LDAP/AD、Radius、SecurID等认证方式外，还可以支持USBKEY的身份认证。通过将SSL加密隧道与USBKey认证相结合，结合客户端计算机安全检查功能，可以为用户提供完善的内部网络资源的安全远程接入服务。对于校园外的移动办公用户，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户端软件就可以安全访问校园内部任何资源。 现在有更强的身份认证手段，就是通过把远程访问的应用系统账号和SSLVPN账号进行绑定来增强应用系统账号使用安全性。 目前，部分高校已经建立了统一身份认证系统，例如一卡通系统、Radius系统、Oracle/SQLServer数据