互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
然而,数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。
当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。
vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,ssl vpn技术采用了一种类似代理性质的技术,所有的访问都是以ssl vpn设备的lan口的名义发起的,所以只要ssl vpn设备的lan口ip是一个合法的校园网ip,所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。
但ssl vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些ssl用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有ssl用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和ssl共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配ssl接入方式,利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。
经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
除了具有集成ipsec和ssl vpn功能这个最大特色外,作为新一代的远程接入解决方案,深信服科技推出的ipsec/ssl一体化的sinfor m5100-s还具有几个明显特点,更加符合校园图书馆应用需求。
方便易用
由于ipsec客户端在部署过程中需要进行配置,这严重影响了整个vpn系统在图书馆应用中的使用,对于大量的校外用户来说,vpn仅仅是其实现访问校园网资源的一个途径,如果需要其掌握专业的技术才能应用,必将极大影响整个应用的部署。针对以上难题,深信服科技推出了基于usb key的客户端零配置功能,可以将远程用户的安全策略存储在类似u盘的usb key(又名dkey)中。这样远程用户随身携带标识自己身份和存储了对应安全策略配置信息的dkey,可以在任何一台电脑安全的接入到图书馆。安装好ipsec客户端软件后,用户无需进行任何配置,只需要插入dkey,输入自己的密码就可以完成接入,做到了vpn客户端零配置,和使用银行取款机一样安全方便。
多线路智能选路,解决跨运营商网络互连问题
目前,大规模vpn网络往往都是跨运营商的。但是国内运营商间互联互通的带宽过低,导致不同运营商间的访问速度很低,严重影响了vpn的应用效果。作为国内领先的vpn和网络安全研发产商,深信服科技在ipsec vpn 中,创新性地采用了多线路智能选路功能,并成功应用到ipsec/ssl一体化网关-sinfor m5100-s中。对于分布到不同运营商网络的远程接入用户,m5100-s会自动迁移到最快的线路上。只要在vpn总部端,申请多条运营商线路,便能最有效地解决跨运营商之间连接延迟大、带宽小的问题。
若要解决跨运营商网络互连出现的问题,通常其他方案则需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而sinfor m5100-s的多线路负载均衡,为高校图书馆节省了采购成本,并且降低了日后的维护量。
对于高校图书馆来说,大量校外用户是采用电信提供的adsl等上网线路,其直接访问教育网资源的速度并不理想,利用多线路智能选路这个功能,图书馆仅需向电信运营商申请一条普通线路(如adsl),即可实现校外用户的高速访问
多种认证方式,高安全性
sinfor m5100-s中ssl vpn采用ssl协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥加强安全性,还使用dkey(一种usb 的身份认证设备)进行双因素身份认证,并使用pin码保护dkey的安全。这种usb dkey可以支持两套vpn系统,安全方便。sinfor m5100-s内置有ldap/ad、radius、securid、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。同时,由于在隧道连接过程中,sinfor ssl vpn仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵vpn网络的可能。
更细致的访问控制功能、完善的用户和资源管理
sinfor m5100-s 通过独特的角色管理功能,提供了细致到每个url和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为网络提供了较强的安全性。通过合理的角色划分,管理员可以根据远程用户的身份和权限为其分配可供其访问的各种电子资源,如教师可以访问国外的各种资源,而学生用户则仅能访问国内教育网资源。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
sinfor m5100-s内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入。 m5100-s支持ldap/ad、radius等第三方认证,可以根据组、公用帐号、私有帐号等多种方式对用户进行管理。同时,m5100-s集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式,保证了用户合理地使用vpn资源。并且,在m5100-s直观式管理图形用户界面(gui)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个vpn系统的运行状况。
支持动态ip、方便易用
由于宽带的普及以及adsl资费的降低,国内中小型企业通常采用adsl拨号等动态ip的方式接入互联网。sinfor m5100-s集成了深信服科技的基于web的动态ip寻址技术,使的sinfor m5100-s 在部署的时候无需固定ip,完全支持动态ip。并且,当企业在使用m5100-s的ssl vpn功能时,可以使用和ip sec vpn 相同的webagent来解析网关的动态ip,减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态ip,m5100-s同样也适合中小型企业。
传统的ipsec
vpn在部署客户端的时候,往往需要复杂的安装和配置。借助于sinfor m5100-s独创的基于web的ipsec客户端在线安装方式,用户可以很方便安装使用ipsec vpn 。可以结合自身的需求,按需部署ipsec /ssl vpn网络。
适应广泛
sinfor m5100-s不仅提供对web系统的安全访问,还能通过ssl proxy技术,实现对绝大多数c/s应用的访问。不管是windows还是linux客户端,甚至是手持设备,只要有ssl浏览器就可以方便的使用ssl vpn安全地接入教育网内网。
集成防火墙,有效保护内部服务
和多数ssl vpn不同,sinfor m5100-s集成了高性能的企业级防火墙,对外只开放443端口,能有效保护内部服务器免受来自internet的各种攻击,包括对开放端口的dos攻击。
采用ipsec/ssl一体化的vpn安全网关,可以很好的解决数字图书馆的远程访问应用多方面的考虑,ipsec/ssl vpn二合一的技术必将成为一种新的趋势,被广泛应用和推广。
