关于校园网远程接入方式三趋势简介 [复制链接]

2007-08-01 中国计算机报 作者：韩川疆
到现在，SSLVPN在教育行业的应用，可以归结出三个综合需求，因此形成了三个发展趋势。

  SSLVPN技术在教育信息化的发展下，已得到众多高校的广泛认可。SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术，常用于在Web浏览器与Web服务器之间建立安全通信通道。如网上银行就是基于SSL的应用建立起来的。针对SSLVPN在教育行业的应用，可以归结出如下三个综合性需求趋势：即大规模应用下的VPN接入需求、移动访问数字图书馆、校园内外网的多线路智能分流。

  大规模应用下VPN接入

  要引入VPN接入，就必须考虑到大规模应用的支持问题，必须保证外网接入校园网的需求，以及在大规模访问的应用下，来自客户端的安全性，来自于服务器端的稳定性，来自于线路传输的及服务器数据处理的高效性，还有来自于用户应用的简便性。四者缺一不可。

  综合归类，体现最为突出的问题有以下三点：大规模应用，致使服务器的超负荷运作；单点故障，致使业务风险增加；以及设备高端化，使得采购成本的增加。

  通过对以上问题的分析，对于多用户群的接入，以隧道式ICEFLOWSSLVPN安全设备为例,作为校园网络中心网关，让用户群通过SSL方式建立专用安全隧道，再以Web浏览器进行远程登陆。如此可以解决用户急需的安全接入，以及缓解专线占用的高额费用问题。

  在大规模应用下的VPN接入解决方案里，集成技术可以充分地发挥了它的作用。通过系统硬件集成，将防火墙、负载均衡等规模化应用功能，以及其他在应用上所涉及到的技术通通整合在VPN设备之中，让一机多能的设想充分实现，不仅提升设备性能的应用最大化，还在真正意义上为用户节约了设备多样化的经费投入。

  分析对比采用SSLVPN设备的情况，首先在设备成本上就节省了负载均衡设备的开支。其集成的负载均衡模块可以在出现大流量数据的状况时，根据调度算法和动态权重分配计算，将数据分流到备用服务器，以减免主服务器的超负荷运行，同时提高了资源的利用率消除冗余。

  其次，在集成了负载均衡工作策略的VPN设备中加入的应用检测与负载检测功能，还可以保障单点故障出现时，其它设备能够及时反应并接入故障设备的工作数据流。

  移动访问数字图书馆

  由于校园数字图书馆的面对用户群首先是本校师生，再就是校外的移动授权用户，所以在筹建方面，过高的成本消耗并不可取。以目前校园数字图书馆的建设方案来说，复旦大学给我们提供了较好的参考案例，如图所示。

描述:复旦大学数字图书馆架构图

图片:W020070403553996901725.jpg

构建方式首先是校园自身馆藏的数字化，然后是与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权。只是这里涉及到与国外的图书馆合作，应用上也会产生相应的约束性。比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址。

  如此看来，数字图书馆的应用必须拓展接入范围。而与国外图书馆的合作却是限制了外网接入，只能保证校内IP地址的应用，这是显而易见的矛盾。因此，要解决网络化应用，拓展数字图书馆的接入范围，就必须将图书馆的应用局限打破，在真正意义上达到随需访问。

  从图中可以看到，VPN安全设备起着关键性的作用。任何经过授权的外网用户，通过SSLVPN接入技术，远程登录VPN设备，接入校园网内，完成VPN隧道建立；接着再经由VPN设备进行源IP地址转换，引入IP地址替换技术将外网移动用户自动授权，并引导对方接入数字图书馆目录。在此，外网移动用户便可随需选择国外合作馆藏进行自由查阅，无需再次手动输入验证。

  多线路智能分流

  从外网接入需求看，保障线路并行、最优线路选择、实时路由选择是当前应用下的首要需求。相对于从内网访问需求看，优化传输、数据分流也是不可或缺的要素。

  内网用户在访问外网资源时，VPN设备将根据用户的目标地址，引导对方接入相应的资源线路。这是多线路智能分流技术的体现；当外网用户接入内网时，VPN设备将根据用户的源接入地址，引导对方接入相应的线路端口，访问目的资源，这里体现的是自适应智能选路。

  网络线路的多样化，造成了数据传输的复杂，如果不采用多线路智能分流技术，很可能在访问公网资源时，却是经由教育网线路出去的。线路的过长和带宽的差异便会产生之前提到的种种问题。而实质上，采用了智能分流应用后，校园网访问外网资源，可以由相应的接入端口线路出去，到达访问地址，从而优化传输，实现数据分流。

  多线路应用下的网络现状，体现最为突出的要属不同线路运营商之间的互联上。正常情况下，不同线路运营商之间互访，都需要经由特定网关中转，延时约在420毫秒以上，但换做集成多线路智能技术的VPN设备进行中转，则可以将延时缩小到60毫秒以下，这基本上是正常线路的传输时长，这是保证多线路并存的核心。

  未来，在应用产品中预留了对应的发展空间决定了高校发展的可持续性，将技术模块化实现后再集成到设备之中已不再是软件供应商的专利，如华为3Com、冰峰网络等VPN厂商支持模块化，另一方面也为客户缩减了设备高端化、多样化所带来的投资成本。

通过用山大的代理可以没限制上山大的校内网么?

网络技术那些名词都忘光了，补充一下，然后收藏起来


SSL 的英文全称是 "Secure Sockets Layer" ，中文名为 "安全套接层协议层 "，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层： SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写，技术上称为安全套接字，可以简单为加密通讯协议，使用SSL可以对通讯（包括电子邮件）内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。
  SSL 的英文全称是 “Secure Sockets Layer” ，中文名为 “ 安全套接层协议层 ” ，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
  VPN SSL 200 设备网关适合应用于中小企业规模，满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源（如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等）安全接入服务。企业利用自身的网络平台，创建一个增强安全性的企业私有网络。 SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法，即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。
  SSL VPN 利用三种客户端接入方式来协助用户在任何地方任何时间安全第访问公司的任何资源：

◇ 远程桌面共享

◇ Web Browser 基于浏览器的接入 ( 可以访问 Web 应用程序和文件共享 )

◇ 即时下载的 Java 小应用程序 ( 可访问客户 / 服务器应用程序 )



应用领域：

SSL VPN 提供下述情况的解决方案：企业需要通过互联网（笔记本型计算机、移动个人计算机、远程用户接入）达到广泛而全面性的信息存取。 SSL VPN 能满足所有你的远程接入需要。 SSL VPN 技术为你提供增强的灵活性，以便更好地配合你公司的安全性和基础结构需要，同时给你的用户一个统一的、容易的界面和一个简化的用户经验。 SSL VPN0 还提供了高可用性，它具有可靠的冗余能力，排除了单点故障的可能性，减少系统停机时间，另外它还具有负载均衡的能力，提高系统的整体性能。


什么是VPN？

  虚拟专用网络（VPN：Virtual Private Network）指的是在公用网络上建立专用网络的技术。能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路， 而是架构在公用网络服务商所提供的网络平台之上的逻辑网络。

名词解释：什么是SSLVPN

如果把SSL 和VPN 两个概念分开，大多数人都清楚他们的含义，但是有多少人知道他们合在一起的意思呢？从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。
　　
　　SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。
　　
　　VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。
　　
　　以上我们简要介绍了SSL和VPN，现在我们要了解一下SSL和VPN是怎样结合在一起的？大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。
　　
　　什么是SSL VPN？
　　
　　很多因素都可以证明SSL VPN 是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用， SSL VPN 已经给出了最好的答案。在最近Infonetics 的一份调查报告中，他们指出： “到2003 年， 59% 的移动用户会使用VPN， 到2005 年，这个数字将上升到74%；增加的部分大多来自SSL VPN， 因为它可以避免客户端安装和管理所带来的麻烦。" Gartner 副总裁John Girard 在最近的一份研究报告中为SSL VPN 做出了精彩评述：” 作为传统VPN 的升级，那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 作为一项新的投资。现在，许多企业已经开始使用这项基于SSL 技术，简单、易用而且不需要高额费用的VPN 解决方案部署他们的系统了。“SSL VPN 的价值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。
　　
　　访问控制SSL VPN 对访问控制更加有效，因为实施了用户集中化管理。所有的远程访问都是通过SSL VPN 控制台进行控管，这样可以更加有效的监控用户使用权限，这些用户可能是公司内部员工，合作伙伴或客户。所有访问被限制在应用层，而且可以将权限细分到一个URL 或一个文件。
　　
　　而使用IPSec VPN， 安全权限只局限到网络。
　　

嘛...应用VPN的厦大学子已经抓狂了...完...