Array 校园网安全接入解决方案-SSL VPN
1.校园网安全接入现状及需求
目前我国校园网建设已经达到普及的程度,尤其是高等院校的高性能校园网络建设已接近100%。校园网教育应用平台代表了学校教育的管理水平和意识,是信息化时代的学校在管理方面的重要装备。
校园网是社会信息时代全面到来的必然产物。“科教兴国,教育为本”,在学校全面推行“应试教育”向“素质教育”的转型过程中,建设校园网,为学校的教师、学生和教学管理人员,提供具有开放性、灵活性,面向学校应用服务的多媒体教学、信息化管理、信息交流平台,是实现学校教学手段现代化,教学管理科学化,教学资源信息化的必要前提和基本途径,是学校培养面向21世纪信息化社会高素质人才的重要手段。2000年10月国家教育部正式开始推行的“校校通”工程,更进一步推动了校园网的建设和发展,明确了信息化教育事业的大方向。互联网应用的普及将为教育的发展带来前所未有的变革,网络打破了传统教育中面临的时间、地域等限制,实现面向全社会每一个人,并为其提供终生教育培训的梦想。越来越多的高校领导已经认识到实施教育信息化工程是扩大知识面的有力保证,是促进教育改革和发展的重要途径,是实现教育现代化的必由之路。
一般来讲,高校校务系统、OA系统建设都已初具规模,但远程的安全访问是一个噬需解决的问题。数字图书馆系统已经为广大师生广泛使用,但依然存在师生不在校园网内部如何访问的问题。其次,一些高校
校园内部建设了无线上网系统,采用WLAN方式方便接入,但用户上网认证控制和计费需要解决。
目前校内主要的应用有校园信息发布(校园内部网站),主要包括校内新闻发布、行政办公通知、信息发布、教学信息发布、课外活动信息发布、通讯录,论坛等。这些内容的查询要完全依赖于校园网,一旦离开校园网络,就无法实现信息的查询,这显然是很不方便的。
数字图书馆,这种基于WEB的应用平台大大方便了教师、学生和教学管理人员的查询。但是如果离开校园网,同样无法进行查询。
基于校园网的EMAIL收发,如果离开校园网,同样无法进行邮件的收发。即使把邮件服务器至于INTERNET上,可以实现邮件收发,但是显然这是做非常不安全的。
随着全国大学的扩招,现在很多学校都有了分校,如何实现分校与总校之间财务数据的安全传递,也是摆在校园信息主管面前的问题。
面对很多的校园网应用,如何将多种应用整合在一起,形成一个统一的认证平台,也是校园网目前尚未解决的问题。
校园的网络设备通常是数量庞大种类繁多,一旦出现故障,就得需要网管人员立即赶到
学校机房去解决问题,这样会浪费很多的时间,对解决问题来说也自然会有很大的延时。1.1.数字图书馆远程安全访问
很多高校校园数字图书馆系统已初具规模,首先,高校将自身馆藏书籍数字化;其次与商业化合作购买阅览版权,如国内期刊;最后,与海外数字图书馆的连接,向国外商业图书馆交纳版板费,获得更多珍藏文献资料的浏览权;校外的数字图书馆系统访问需要大学统一付费。高校将数字化图书馆数据与校园网共享,让校内外师生都能方便查询各种电子文献资料。这是以教育信息化面向师生应用较为广泛应用之一。
校园数字图书馆面对的用户是本校师生,再就是校外的移动授权用户,比如师生在家的访问问题随之产生,尤其是涉及到访问国外的图书馆。如为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。但是,数字图书馆的应用必须拓展接入范围,方便广大师生浏览,而与国外图书馆的合作却是限制了外网接入,只能保证校内IP地址的应用。因此,要解决网络化应用,拓展数字图书馆的接入范围,就必须通过一种VPN的方式,将校外移动用户逻辑上接入校园网,通过分配校内虚拟地址访问校外图书馆。在真正意义上达到随时、随地、随需访问查询。
1.2.校务系统、办公自动化系统校外安全访问
随着教育信息化的应用逐渐规模化,高校的校务系统、办公自动化系统发展迅速,如网上排课系统、学
校公告发布、邮件系统等都是典型的应用。高校的办公系统是基于Lotus Notes 开发的系统,是一种典型的应用结构。如果校务管理人员和教师不在校园网内,就出现了一个安全访问的问题,如何提供一个提供数据加密、认证授权机制,同时又是安全方便、快捷的VPN通道访问就显得非常关键了。
1.3.WLAN接入管理
WLAN无线接入已经成为广泛采用的网络接入手段,高校为了广大师生方便上网,提供了WLAN接入。但WLAN的接入管理控制是一个比较复杂的课题,高校迫切需要一个系统能够对接入的客户进行认证管理、权限管理,尤其是能够对出校园网的流量进行管理控制和计费。城市热点计费系统为高校提供了接入认证和计费平台,这就需要VPN系统能够和其Radius系统很好的结合,完成Radius的认证和计费。对师生的接入进行管理。
2.Array SSL VPN解决方案
针对以上高校的网络状况和信息化需求,Array 提供了统一的解决方案,部署了Array 的
SPX系列SSL VPN设备,完成SSL VPN服务,提供数字化图书管、无线上网管理、远程校务系统以及办公自动化系统接入。
如下图:
Array Networks SSL VPN网关的部署可以非常灵活的适合校园网现有的网络结构。SPX 网关在网络边缘可以采用单臂结构或双臂结构,可以放在防火墙后面或DMZ区,达到SSL VPN网关本身的高安全性,可以灵活适应NAT转换、防火墙只需要对SSL VPN网关只开放443端口就可以了,使黑客或内部不法人员或恶意代码无发力之处。
SSL VPN使用者不需要安装客户端程序。Array Networks SSL VPN只要客户端安装了标准浏览器,如IE、Netscape就可以登陆SSL VPN,IE是Windows的内含软件,无须单独购买,因而不会增加客户端的开支。Array Networks SSL VPN可以支持多种用户认证方法,LocalDB,Radius、LDAP、RSA SecurID、AD等等,和校园网已有的统一认证系统完美的结合起来。此外,Array Networks SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的细粒度控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。用户登录成功后,将看见一个统一的应用使用平台,将用户所能远程使用的应用完美的呈现出来。
2.1.SSL VPN功能模块L3VPN实现数字图书馆的接入
通过部署Array SSL VPN网关SPX,大学师生从校外公网接入需经过SSL VPN的认证和授权,只有经过认证和授权的用户才能使用接入SSL VPN,保障了本校授权人员的使用。客户登陆后会分配一个虚拟的网卡,此网卡地址为SSL VPN网关分配的,其地址体系是校内的统一地址体系。这些IP地址是允许访问
校内外数字图书馆的IP地址。这样通过SSL VPN 隧道从公网也能够顺利访问数字图书馆,突破了校外图书馆对于本校IP地址的限制。
这样,经过授权的外网用户,无论是通过电信、还是移动等接入ISP,还是其他运营商
上网用户,通过SSL VPN接入技术,远程登陆VPN 网关设备,通过SSL VPN隧道建立,接入校园网内。这时,这台机器就好像已经直接连到校园网内了。无论是访问校内,还是校外数字图书馆,都不会再有限制了。在此,外网移动用户便可随需选择国外合作馆藏进行自由查阅。
其过程如下图:
2.2.通过SSL VPN公网远程访问校务系统,办公系统
Array 的SSL VPN网关设备单台设备可以部署多个SSL VPN门户,上面我们已经为数字图书馆部署了一个门户,具有自己单独的门户域名和IP地址。我们同样为办公系统分配一个SSL VPN门户,同样具有自己的域名和IP地址。这正是Array的Virtualization技术。这样,两个门户的用户认证系统不同,分配的IP地址不同,允许访问的IP地址也不同,可以完全将两种应用区分开来。
使用SSL VPN接入的师生,只需要登陆此SSL VPN门户,经过认证和授权,即会打开L3VPN通道,通过此隧道访问校务系统,如排课系统等,或查看校内公布信息,收发EMAIL 等办公任务。
另外,校园网的网络维护人员也可以通过SSL VPN隧道远程维护校园网的软硬件设备,尤其是在出现故障的情况下,网管维护人员可以马上接入,无论是在家,还是出差,都可以即时修复故障,保障校园信息化系统的稳定性工作。
2.3.通过SSL VPN接入完成WLAN接入用户的管理控制和计费
接入WLAN的终端被导入到SSL VPN的门户上面进行认证,审计。这个门户是单独为WLAN接入分配的,不同于数字图书馆和OA系统的SSL VPN接入门户,它同样具有自己的域名和IP地址。其认证是和城市热点计费的Radius系统相结合的。即用户登陆时,SSL VPN 网关SPX5000会将用户名、密码等信
息通过Radius协议提交给Radius服务器进行认证,进而决定用户接入是否允许。同时,SPX5000还会将用户何时登陆、退出提交给Radius服
务器进行计费。同时,SSL VPN还可以控制WLAN接入用户的访问权限,允许或禁止访问某些网段,是否可以访问公网等接入控制。
2.4.SSL VPN保障远程网管应用
SP采用三层虚拟通道技术来实现,此项功能是在客户端和SP之间通过SSL的连接建立一条虚拟通道,客户端将会生成一个虚拟网卡,并修改本机的路由表。这样,客户端虚拟网卡上就会配备一个和内网地址体系一致的网址,并通过这条虚拟通道直连到内网,就好像客户端机器在内部一样。这样便可以安全方便快捷的在任何时间任何地点均能完成网管工作。
2.5.Array隧道式VPN -L3VPN介绍
VPN是一个配置在具有广域扩展性的公网上的私有网络。这项技术被广泛应用于对内部网络资源的安全远程访问上,使得移动用户,电信运营公司以及中间合作伙伴都能够安全地访问内部网络资源。Array SPX的SSL VPN技术在实现了相当于传统的网络层VPN功能的同时,大大简化了安装和支持。
Array VPN功能被启动后,客户端软件会通过Web浏览器被自动安装在客户机上。VPN 客户端软件能够
截取所有到达内部网络的数据流,然后应用基于高效SSL引擎的Array网络隧道协议(ATP)安全地将数据通过隧道传送给SPX. 所有的数据都被安全加密了。因为Array VPN是实现在网络层上的,所以全部网络层应用都可以透明的穿过隧道,包括各种使用动态端口应用层协议。
Array L3 VPN 同时支持Standalone安装包的方式,即用户可以在客户端上单独安装L3 VPN控件,不需要用户登陆SSL VPN 门户启动L3 VPN,便于用户部署合使用当VPN隧道在客户端建立好后,SPX会给客户端分配一个内网IP地址。内网上的所有网络设备都会通过这个内网IP地址和该客户端进行交互。SPX通过认证所有的隧道来保证隧道来自于指定虚拟站点的一个合法的登陆会话。如果用户的登陆会话中断了,该用户的VPN隧道也立即中断。
3.需求、功能总结
我们通过如下表格对上述需求和解决方案进行总结:关键的挑战和需求解决方案描述
数字图书馆,由于IP限制管理,数字图书馆只能在校园网内访问,无法对校外师生开放实施了SSL VPN后,方便实现校外师生访问校内资源,实现校内资源的校外共享,甚至是通过公网仍能够对海外图书管进行访问。
当校务管理系统(如面对全校学生的选课系统),办公系统无法对校外用户安全开放使用,无法满足移动用户安全接入需求。使用SSL VPN技术,直接对用户开放相应应用系统,同时提供校内外用户使用,方便用户的使用和校方的管理,方便教师远程办公,EMAIL收发等安全接入。
WLAN接入用户的认证、权限管理和计费接入WLAN的终端被导入到SSL VPN的门户上面进行认证,进行接入权限控制。和城市热点计费Radius服务器结合,完成计费工作。
网管远程设备维护通过Array SSL VPN的L3VPN隧道功能时网管维护人员在外网
也能够对校园网的设备进行远程安全维护操作,保障校园网、应
用系统的高可靠性。
4.对高校的业务利益
●提高数字图书馆的利用率
通过SSL VPN的接入,使广大师生能够通过公网远程接入校园的数字图书馆系统,甚至是海外数字图书馆。充分发挥数字图书馆的文献作用,方便师生查阅,提高教学、研究的水平和师生工作效率。
●提高校务系统、办公系统的使用范围radius软件
通过SSL VPN访问校务系统和办公系统,可以随时随地安全接入,使使用者在校园网外部仍然可以接入,极大提高了办公效率。
●提高校内WLAN上网的方便性和可管理性
通过SSL VPN的接入和计费系统的结合,充分发挥了WLAN的作用,同时经过用户控制和计费管理,提高了对WLAN的有效管理。
●降低系统维护难度和成本:
凭借多种人性化管理维护方式和Array单台产品模块化的功能实现,Array校园网解决方案能够极大的降
低系统的维护难度和成本。结合Array专业本地化厂家技术支持和研发队伍,能够为校园网应用提供最优质的专业技术保障。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论