高校校园网安全接入解决方案

Array 校园网安全接入解决方案－SSL VPN

1.校园网安全接入现状及需求

目前我国校园网建设已经达到普及的程度，尤其是高等院校的高性能校园网络建设已接近100%。校园网教育应用平台代表了学校教育的管理水平和意识，是信息化时代的学校在管理方面的重要装备。

校园网是社会信息时代全面到来的必然产物。“科教兴国，教育为本”，在学校全面推行“应试教育”向“素质教育”的转型过程中，建设校园网，为学校的教师、学生和教学管理人员，提供具有开放性、灵活性，面向学校应用服务的多媒体教学、信息化管理、信息交流平台，是实现学校教学手段现代化，教学管理科学化，教学资源信息化的必要前提和基本途径，是学校培养面向21世纪信息化社会高素质人才的重要手段。2000年10月国家教育部正式开始推行的“校校通”工程，更进一步推动了校园网的建设和发展，明确了信息化教育事业的大方向。互联网应用的普及将为教育的发展带来前所未有的变革，网络打破了传统教育中面临的时间、地域等限制，实现面向全社会每一个人，并为其提供终生教育培训的梦想。越来越多的高校领导已经认识到实施教育信息化工程是扩大知识面的有力保证，是促进教育改革和发展的重要途径，是实现教育现代化的必由之路。

一般来讲，高校校务系统、OA系统建设都已初具规模，但远程的安全访问是一个噬需解决的问题。数字图书馆系统已经为广大师生广泛使用，但依然存在师生不在校园网内部如何访问的问题。其次，一些高校校园内部建设了无线上网系统，采用WLAN方式方便接入，但用户上网认证控制和计费需要解决。

目前校内主要的应用有校园信息发布（校园内部网站），主要包括校内新闻发布、行政办公通知、信息发布、教学信息发布、课外活动信息发布、通讯录，论坛等。这些内容的查询要完全依赖于校园网，一旦离开校园网络，就无法实现信息的查询，这显然是很不方便的。

数字图书馆，这种基于WEB的应用平台大大方便了教师、学生和教学管理人员的查询。但是如果离开校园网，同样无法进行查询。

基于校园网的EMAIL收发，如果离开校园网，同样无法进行邮件的收发。即使把邮件服务器至于INTERNET上，可以实现邮件收发，但是显然这是做非常不安全的。

随着全国大学的扩招，现在很多学校都有了分校，如何实现分校与总校之间财务数据的安全传递，也是摆在校园信息主管面前的问题。

面对很多的校园网应用，如何将多种应用整合在一起，形成一个统一的认证平台，也是校园网目前尚未解决的问题。

校园的网络设备通常是数量庞大种类繁多，一旦出现故障，就得需要网管人员立即赶到

学校机房去解决问题，这样会浪费很多的时间，对解决问题来说也自然会有很大的延时。1.1.数字图书馆远程安全访问

很多高校校园数字图书馆系统已初具规模，首先，高校将自身馆藏书籍数字化；其次与商业化合作购买阅览版权，如国内期刊；最后，与海外数字图书馆的连接，向国外商业图书馆交纳版板费，获得更多珍藏文献资料的浏览权；校外的数字图书馆系统访问需要大学统一付费。高校将数字化图书馆数据与校园网共享，让校内外师生都能方便查询各种电子文献资料。这是以教育信息化面向师生应用较为广泛应用之一。

校园数字图书馆面对的用户群是本校师生，再就是校外的移动授权用户，比如师生在家的访问问题随之产生，尤其是涉及到访问国外的图书馆。如为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址。但是，数字图书馆的应用必须拓展接入范围，方便广大师生浏览，而与国外图书馆的合作却是限制了外网接入，只能保证校内IP地址的应用。因此，要解决网络化应用，拓展数字图书馆的接入范围，就必须通过一种VPN的方式，将校外移动用户逻辑上接入校园网，通过分配校内虚拟地址访问校外图书馆。在真正意义上达到随时、随地、随需访问查询。

1.2.校务系统、办公自动化系统校外安全访问

随着教育信息化的应用逐渐规模化，高校的校务系统、办公自动化系统发展迅速，如网上排课系统、学校公告发布、邮件系统等都是典型的应用。高校的办公系统是基于Lotus Notes 开发的系统，是一种典型的应用结构。如果校务管理人员和教师不在校园网内，就出现了一个安全访问的问题，如何提供一个提供数据加密、认证授权机制，同时又是安全方便、快捷的VPN通道访问就显得非常关键了。

1.3.WLAN接入管理

WLAN无线接入已经成为广泛采用的网络接入手段，高校为了广大师生方便上网，提供了WLAN接入。但WLAN的接入管理控制是一个比较复杂的课题，高校迫切需要一个系统能够对接入的客户进行认证管理、权限管理，尤其是能够对出校园网的流量进行管理控制和计费。城市热点计费系统为高校提供了接入认证和计费平台，这就需要VPN系统能够和其Radius系统很好的结合，完成Radius的认证和计费。对师生的接入进行管理。

2.Array SSL VPN解决方案

针对以上高校的网络状况和信息化需求，Array 提供了统一的解决方案，部署了Array 的

SPX系列SSL VPN设备,完成SSL VPN服务，提供数字化图书管、无线上网管理、远程校务系统以及办公自动化系统接入。

如下图：

Array Networks SSL VPN网关的部署可以非常灵活的适合校园网现有的网络结构。SPX 网关在网络边缘可以采用单臂结构或双臂结构，可以放在防火墙后面或DMZ区，达到SSL VPN网关本身的高安全性，可以灵活适应NAT转换、防火墙只需要对SSL VPN网关只开放443端口就可以了，使黑客或内部不法人员或恶意代码无发力之处。

SSL VPN使用者不需要安装客户端程序。Array Networks SSL VPN只要客户端安装了标准浏览器，如IE、Netscape就可以登陆SSL VPN，IE是Windows的内含软件，无须单独购买，因而不会增加客户端的开支。Array Networks SSL VPN可以支持多种用户认证方法，LocalDB，Radius、LDAP、RSA SecurID、AD等等，和校园网已有的统一认证系统完美的结合起来。此外，Array Networks SSL VPN组网方案是面向应用的VPN方案，可以做到基于应用的细粒度控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。用户登录成功后，将看见一个统一的应用使用平台，将用户所能远程使用的应用完美的呈现出来。

2.1.SSL VPN功能模块L3VPN实现数字图书馆的接入

通过部署Array SSL VPN网关SPX，大学师生从校外公网接入需经过SSL VPN的认证和授权，只有经过认证和授权的用户才能使用接入SSL VPN，保障了本校授权人员的使用。客户登陆后会分配一个虚拟的网卡，此网卡地址为SSL VPN网关分配的，其地址体系是校内的统一地址体系。这些IP地址是允许访问校内外数字图书馆的IP地址。这样通过SSL VPN 隧道从公网也能够顺利访问数字图书馆，突破了校外图书馆对于本校IP地址的限制。

这样，经过授权的外网用户，无论是通过电信、还是移动等接入ISP，还是其他运营商