校园网远程接入SSL VPN 解决方案

『网络』校园网远程接入SSL VPN 解决方案
行业现状
随着互联网的迅速发展，高校信息化的深入进行，人们的工作和生活模式几乎可以说发生了彻底改变，更加需要随时随地的获取互联网资源。

而对于校园网而言，信息量的增长巨大，应用范围的日益广泛，老师和学生对于校内网络资源以及其他数据库资源的访问需求已不仅局限在校内，而逐渐扩展到在任何具备互联网接入的地方都可以访问学校的这些资源，校园网的远程接入、方便快捷的访问校内信息资源就成为了亟需解决的问题。

行业需求
校园网校内网络上有很多资源，如图书馆内的图书资源、学术资源、各类数据库资源等。

这些资源除了部分对教育网开放，其它只对内网用户开放，想要访问这些内部资源，就必需拥有校内网络的地址，否则不能正常使用校内资源。

解决这一问题的传统方式是VPN 接入。

采用这种方式不仅配置复杂、运行维护成本高，而且缺乏对客户端点安全的评估手段，难以保证端对端的安全性。

而校园网内部信息对于安全性的要求是比较高的，外部访问内网的目的不仅要考虑高速高效的达成，还要考虑到用户接入前的身份认证及接入后的访问权限问题。

解决方案
基于校园网对于远程接入的需求和传统VPN 接入方式的不足，主要针对如下三方面内容，Juniper 制定了自己的有效解决方案。

● 远程接入内网的便利性
● 内部访问的安全性
● 运行及维护的低成本
便利性
由于IETF 的IPsec 技术规范(rfc 2401-rfc 2411) 中只定义了网关设备之间身份认证的机制，而没有定义远程用户身份认证的机制，各厂商为了通过IPsec 协议实现远程用户的VPN 接入，都对IPsec 的密钥管理协议IKE 作了不同的扩展，以实现IPsec 协议的远程用户身份认证。

但由于这些机制对IKE 的修改都破坏了IKE 协议完美的安全性，同时各个厂家的扩展还造成各种vpn 客户端软件的不兼容以及企业IT 人员需要维护大量桌面客户端软件带来的管理和运维负担，使得IPsec 并不是一种完美的移动用户VPN 接入手段。

Juniper 的SSL 安全访问产品（可简称为IVE）从根本上解决了高校师生移动作业的远程访问问题，可以为高校的教师、学生等用户提供对高校内网资源的安全远程访问。

同时
Juniper 的IVE 系统提供了三种方式的接入手段，以适应不同应用需求，消除了因为远程用户客户端的维护等带来的诸多不便。

Core Access 方式
Core Access 方式采用标准Browser/Server 机制，远程用户首先通过浏览器登陆IVE 系统进行身份认证和端点安全检查；通过认证和授权后，通过点击IVE 系统门户(Portal) 上预定义的书签(Bookmark) 或在指定的输入栏中输入内部服务器的url 地址实现对内部Web 资源的访问。

所有这些访问都由IVE 系统进行转接，用户端的浏览器并不直接建立与内部服务器的TCP 连接，因此在HTTP 会话转接过程中，IVE 系统要进行大量复杂的HTTP 报文重写(Rewrite) 工作，因此对各种Web 语言的重写能力是衡量SSL VPN 接入系统水准的重要指标。

Juniper IVE 系统支持对HTML，DHTML，Javascript，Vbscript，Java applets，ActiveX，Flash，XML 等Web 脚本的重写。

此外Juniper IVE 系统还可通过Java applet 等技术以Web 的方式支持诸如文件共享、基于Web 的mail 、终端访问、远程桌面等非web 应用。

安全应用管理器SAM(Secure Application Manager) 方式
在安全内容管理器（SAM，Secure Application Manager) 方式中，远程用户通过浏览器登陆IVE 系统，进行身份认证和端点安全检查；通过认证和授权后，远程浏览器从IVE 系统加载一个基于ActiveX 或JavaApplet 的小插件，将指定的应用程序访问指定服务器指定端口的数据流重定向到SSL 封装的隧道中传给SA 系统；再由IVE 系统转发到企业内部的应用服务器。

SAM 模式可以支持大量传统的C/S 应用而不仅仅是Web 应用。

但SAM 基于端口转发的特质也决定了它只适用于固定端口的服务，而不适用于多通道动态协商端口的应用。

Network Connect 方式
远程用户首先通过浏览器登陆到IVE 系统进行身份认证和端点安全检查；通过认证和授权后，远程浏览器从IVE 系统加载一个基于ActiveX 或JavaApplet 的小插件，以建立到IVE 系统的VPN 隧道，并把所有数据都通过该隧道进行传输。

在这种方式下，IVE 系统以类似IPsec VPN 网关的方式工作，只不过该VPN 隧道建立在TCP 443 及HTTPS 的端口之上。

可以支持全部的网络应用，包括复杂的、动态端口协商的视频会议及IP 电话等应用。

安全性
Juniper IVE 系统采用丰富的身份认证手段，支持与现有的iPlanet LDAP 目录服务器集成，强大的端点安全强制审查机制，保证端到端的安全性，以实现为教师和学生建立不同登陆域、用户属性授权、不同院系学生登陆访问不同资源等功能。

我们建议将Juniper 的IVE 系统安装在中心网络的DMZ 区。

在出口防火墙上为IVE 设备映射一个公网可路由的IP 地址，以便互联网用户可以连接到IVE 设备，同时在防火墙上也需要添加相应的安全策略，使得远程用户可以访问IVE 设备的443 端口，同时又对IVE 设备和内部服务器进行保护。

Juniper IVE 系统支持众多的身份认证方式，同时也支持多种身份认证方式的同时并存：为方便校园网网络中心进行大规模用户帐号系统的管理，可使用集中的身份认证系统来统一进行包括IVE 系统和其他业务应用系统在内的统一集中认证。

根据各高校自身特点，可以灵活选用适合自己的认证系统，比如PKI 系统，以X.509 数字证书的方式进行用户身份认证；或者通过LDAP 目录服务器/MS Active Directry 的目录系统，以基于LDAP 的组织层次结构来进行用户的分组管理；或者基于成熟的Radius 协议，基于用户的Radius 属性来进行用户身份的权限控制。

Juniper 公司本身即提供运营商级别的SBR Radius AAA 认证服务解决方案，当然还可以组合多种认证方式进行复合的身份管理。

低成本
Juniper 的IVE 系统作为用户接入手段，不需安装传统的VPN 客户端，并且可选择采用校内原有的RADIUS 对用户进行认证，大大降低运维成本。

Juniper 的IVE 设备部署和维护十分简单，不需要任何客户端软件的安装，也不需要对服务器端进行特殊设置，是目前仅有的通过很短时间的配置就可以为成千用户提供远程访问的卓越方案，同时这种方案不需要指定客户端设备，不需要其他的安全设备和应用程序的支持，而仅仅利用标准WEB 浏览器的安全功能就实现了安全的远程访问。

IVE 平台提供整体的网络访问控制，通过专利加固的系统完成对外部应用请求的转换，同时对各种连接进行细粒度的访问控制，而这种安全上的保障，是不以投资、复杂性和稳定性的牺牲为前提的。

转自：杜松之家。

关注楼主收藏转发至天涯微博作者：来吧路人甲提交日期：2008-07-23 14:02:00 1# ENLINK SSL VPN教育业解决方案
一、现状分析
对于教育界来讲，传统的教育模式已不能满足现代化建设发展的需要，尤其是自我国2001年发布《教育信息化十五发展纲要》以及全面实施“校校通”工程以来，全国上下掀起了一轮教育信息化建设浪潮，在经费投入、建设规模、软硬件平台、应用推进等各个方面，都取得了实质性的进步，出现了一大批具有启示性的教育信息化应用模式，昭示了未来教育信息化的发展趋势。

经过多年发展，多数学校尤其是高校，已经建成了数字化图书馆、OA办公系统、校长办公系统、校园一卡通等网络化平台。

但是校园网是一个封闭的局域网络，
如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用例如访问图书馆、超星、OA、FTP下载等？
随着教育规模的扩大，很多学校都设立了分校区。

如何让各校区之间的信息资源稳定、安全地互联？
另外，传统的远程教育模式因其连接费用昂贵也受到学校的质疑。

在Internet
迅猛发展的今天，如何让受教育者非常方便、安全、高效地通过Internet接受远程教育？
二、目前的接入方式
目前教育行业针对远程接入，主要有以下几种方式：
1、专线。

这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本。

因为需要铺设专门的光纤，它仅适用于各校区之间的连接，而不能用于老师、学生在家中、出差中的远程使用。

2、MPLS VPN。

这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付线路租用费用。

同样，它也不适合老师与学生的校外访问。

3、IPSEC VPN。

这一方式目前为多数学校采用，但它有几个方面的缺陷：ν安全性不够。

因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。

无权限控制。

IPSEC VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。

ν
需要安装客户端。

需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。

ν
兼容性不够。

现有的各IPSEC VPN之间可能不兼容，将造成连接不上的问题。

ν
4、反向代理。

这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，这样就无法访问。

另外它的数据是明文传输，缺乏安全性。

三、有效的解决方案
南京易安联网络技术有限公司（Nanjing Enlink Network Technology Co., Ltd）提供的ENLINK SSL VPN解决方案为教育行业提供了一种高安全、高性能、高稳定性的VPN解决方案。

该VPN组网方案作为专线、MPLS VPN、IPSEC VPN、反向代理方案的最佳替代方案，将校园网络与老师、学校紧密地联系在一起。

支持B/S、C/S等各种应用。

ν
基于应用层的加密传输，具有非常高的安全性。

ν
精细的权限控制。

ν
无须安装客户端。

通过IE建立VPN通道，大大减轻网络中心的维护工作量。

ν可与校园一卡通数据库结合。

ν
支持第三方身份认证体系。

ν
南京易安联ENLINK SSL VPN产品特点：
部署简单，使用便捷ο
无需安装客户端软件ο
支持客户端多种移动上网设备，提供跨平台应用ο
针对URL授权的颗粒访问权限控制ο
采用SSL VPN“Speed Gate™”加速技术，最大限度消除网络传输瓶颈ο
独有“e-Translati ng Engine™”技术，适应各种复杂WEB应用ο
良好的防火墙兼容性ο
超时休止设定ο
内部地址的翻译（加密）ο
支持Cluster功能ο
强大的日志审计功能ο
客户定制化的入口界面ο
丰富的认证方式支持ο
四、方案优势：
1. 大大降低企业运营成本
采用ENLINK SSL VPN系统后，学校不需要再租用专线链路即可实现远程访问及校区互连，这样可以大大节约租用网络链路的费用。

2. 轻松解决老师与学生的校外访问
只需部署ENLINK SSL VPN系统，无需改动原有应用和网络环境，即可让老师、学生在在任何地点，轻松通过Internet访问校园网内部系统如办公系统、数字图书馆、FTP下载。

3. 极大的提高内部网络以及服务器的安全性
ENLINK SSL VPN可以让所有远程接入用户都必须通过身份认证，才能使用内部网络应用，防止非法用户的侵入，并可结合物理硬件认证（如：USB Key、SecueID等）做到强度认证，从而提高了访问控制以及内部网络的安全性。

另外，所有的访问者均不能直接访问内部服务器，需要通过ENLINK SSL VPN 代理访问，有效防范了黑客、蠕虫病毒等对应用服务器的攻击，大大的提高了校园网络的安全性。

4. 方便的管理性和使用性
ENLINK SSL VPN不仅提供本地图形化配置界面和命令行配置界面，而且还可以通过Internet网络对ENLINK SSL VPN进行远程管理。

客户端无需安装软件，操作员不需要额外培训，只要会使用IE浏览器，就可通过身份认证访问校园网络内部资源，原应用系统的操作接口没有任何改变，无论在什么地方，都和在学校内部使用一样。

5. 精细的权限控制
ENLINK SSL VPN具备细颗粒度权限控制功能，可针对不同的使用人员如学校领导、老师、学生设置不同的权限，以保证学校内部信息的高度机密及合理使用。

并且，通过权限设置，不同的人员只能看到与他相关的应用，非相关应用对他不可见，加强校园网络数据信息的安全。