用VPN與DMZ技術(shù)改造校園網(wǎng)絡(luò)的研究

摘要：為了解決既能在異地訪問內(nèi)網(wǎng)資源，又能充分保證內(nèi)網(wǎng)資源的高度安全，將VPN與DMZ技術(shù)應(yīng)用于校園網(wǎng)絡(luò)的升級(jí)改造。提出了針對(duì)DMZ專區(qū)的三類IP地址映射算法與合法外網(wǎng)用戶通過VPN訪問內(nèi)網(wǎng)資源需要的虛擬IP地址轉(zhuǎn)換函數(shù)，并在此基礎(chǔ)上提出了VPN與DMZ技術(shù)在校園網(wǎng)上集成應(yīng)用的解決方案。通過在校園網(wǎng)中合理構(gòu)建DMZ專區(qū)與VPN網(wǎng)絡(luò)，巧妙設(shè)置DMZ與VPN的訪問規(guī)則，在先分保證校內(nèi)資源安全的前提下，成功解決了異地用戶共享內(nèi)網(wǎng)資源的難題。
關(guān)鍵詞：DMZ專區(qū)；靜態(tài)IP映射；IP重載；虛擬專用網(wǎng)絡(luò)

    目前，很多學(xué)校信息資源管理主要采用以應(yīng)用系統(tǒng)為主導(dǎo)的獨(dú)立管理信息模式。在這種模式下，網(wǎng)站信息分對(duì)內(nèi)，對(duì)外兩部分發(fā)布：內(nèi)部信息發(fā)布在內(nèi)網(wǎng)上，只能在校園網(wǎng)內(nèi)部使用；公開信息發(fā)布在外網(wǎng)上，可以在校內(nèi)、校外任何地方通過互聯(lián)網(wǎng)訪問。這種模式的好處在于實(shí)現(xiàn)內(nèi)網(wǎng)信息共享的同時(shí)，充分做到數(shù)據(jù)安全保密；缺陷在于，內(nèi)網(wǎng)信息在互聯(lián)網(wǎng)上無法瀏覽，在校外不能充分使用校內(nèi)資源。這對(duì)于異地用戶訪問內(nèi)網(wǎng)資源帶來了諸多不便。為了解決既能在校外使用內(nèi)網(wǎng)資源，又能充分保證內(nèi)網(wǎng)資源的高度安全，在校園信息化建設(shè)中引入了DMZ技術(shù)與VPN技術(shù)，將這兩種技術(shù)有機(jī)地結(jié)合起來，通過合理設(shè)置DMZ函數(shù)映射，巧妙部署VPN網(wǎng)絡(luò)，在充分保障信息安全的前提下，解決了內(nèi)、外網(wǎng)數(shù)據(jù)共享的問題。

1 非軍事區(qū)DMZ原理
    DMZ是非軍事區(qū)(Demilitarized Zone)的簡稱，與軍事區(qū)(信任區(qū))相對(duì)應(yīng)。它是一個(gè)既不同于外網(wǎng)，又不同于內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。作用是把WEB、E-mail等允許外部訪問的服務(wù)器連接在DMZ服務(wù)器的DMZ(開放)端口上，把不允許外部訪問的內(nèi)網(wǎng)服務(wù)器連接在DMZ服務(wù)器的MZ(信任)端口上，實(shí)現(xiàn)內(nèi)、外網(wǎng)的分離。這樣設(shè)置后，可以將一些公開信息放置到DMZ專區(qū)的公用服務(wù)器上，將機(jī)密信息或僅對(duì)師生開放的信息放置到內(nèi)網(wǎng)中，從而根據(jù)不同的需要，有針對(duì)性地采取隔離措施，在對(duì)外提供信息服務(wù)的同時(shí)，最大限度地保護(hù)內(nèi)部網(wǎng)絡(luò)安全。
    DMZ專區(qū)與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)原理實(shí)現(xiàn)的。這里主要用到了靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換與重載兩種地址轉(zhuǎn)換模式：靜態(tài)地址轉(zhuǎn)換是指按照一對(duì)一的方式，將一個(gè)未注冊(cè)的IP地址映射到一個(gè)已注冊(cè)的IP地址；重載是將多個(gè)未注冊(cè)的IP地址映射到一個(gè)已注冊(cè)的IP地址。在進(jìn)行網(wǎng)絡(luò)配置時(shí)，需要在DMZ服務(wù)器上，按照這兩種模式對(duì)內(nèi)網(wǎng)IP地址分區(qū)間段，將一個(gè)內(nèi)網(wǎng)IP地址映射到一個(gè)已注冊(cè)的外網(wǎng)IP地址，如圖1所示，從而達(dá)到從外網(wǎng)訪問校內(nèi)資源時(shí)，隱藏內(nèi)部網(wǎng)絡(luò)IP地址的目的。

    DMZ在對(duì)用戶提供服務(wù)時(shí)，會(huì)根據(jù)請(qǐng)求的源、宿IP地址不同，將請(qǐng)求定義為內(nèi)部請(qǐng)求、內(nèi)對(duì)外請(qǐng)求和外對(duì)內(nèi)請(qǐng)求3種情況，并按照這3種不同情況調(diào)用相應(yīng)的映射算法，根據(jù)運(yùn)算結(jié)果進(jìn)行請(qǐng)求轉(zhuǎn)發(fā)(圖1)。對(duì)于內(nèi)部請(qǐng)求按照式(1)所示映射算法，進(jìn)行A→A的源、宿IP地址轉(zhuǎn)換；對(duì)于內(nèi)部對(duì)外部的請(qǐng)求，則按照重載原理進(jìn)行由內(nèi)到外的源、宿IP地址轉(zhuǎn)換，映射算法如式(2)；對(duì)于從外到內(nèi)的請(qǐng)求，則按照靜態(tài)IP地址轉(zhuǎn)換原理，由外到內(nèi)進(jìn)行源、宿IP地址轉(zhuǎn)換，映射算法如式(3)。
    

2 構(gòu)建VPN專用網(wǎng)絡(luò)
    DMZ專區(qū)的設(shè)置，提高了內(nèi)網(wǎng)資源的安全級(jí)別，同時(shí)也阻割了外網(wǎng)用戶對(duì)內(nèi)網(wǎng)資源的訪問。為了讓外網(wǎng)用戶也能方便地訪問內(nèi)網(wǎng)資源，需要在DMZ基礎(chǔ)上構(gòu)建VPN專網(wǎng)。
2．1 虛擬網(wǎng)絡(luò)VPN技術(shù)
    VPN虛擬網(wǎng)絡(luò)是通過源、宿(內(nèi)、外網(wǎng))IP地址轉(zhuǎn)換，利用公用網(wǎng)絡(luò)(通常是因特網(wǎng)Internet)構(gòu)建虛擬局域網(wǎng)實(shí)現(xiàn)的。其關(guān)鍵是將來自外部網(wǎng)絡(luò)請(qǐng)求的IP地址映射為一個(gè)虛擬內(nèi)網(wǎng)IP地址。這個(gè)虛擬內(nèi)網(wǎng)IP地址實(shí)質(zhì)就是校園網(wǎng)內(nèi)經(jīng)管理員預(yù)定義的一組IP地址，它并不用于分配給任何一臺(tái)主機(jī)，但是已經(jīng)在VPN服務(wù)器與DMZ服務(wù)器上進(jìn)行注冊(cè)，并作為特殊用途保留。客戶端瀏覽器利用其內(nèi)建的VPN技術(shù)，將用戶請(qǐng)求封包處理，通過瀏覽器連接到學(xué)校內(nèi)部的VPN服務(wù)器，VPN服務(wù)器會(huì)對(duì)合法請(qǐng)求的IP地址，按照式(4)映射函數(shù)，將異地請(qǐng)求轉(zhuǎn)變?yōu)橐粋€(gè)虛擬的內(nèi)網(wǎng)請(qǐng)求，讓遠(yuǎn)程使用者也能像校內(nèi)用戶一樣，方便地使用內(nèi)網(wǎng)資源。VPN虛擬專網(wǎng)構(gòu)建原理如圖2所示。
   
2．2 合法外部請(qǐng)求的定義
    一個(gè)能夠通過VPN驗(yàn)證的合法外部請(qǐng)求需要滿足以下兩個(gè)條件：
    1)該請(qǐng)求是對(duì)校內(nèi)某一特定VPN服務(wù)器發(fā)出的請(qǐng)求，這一VPN服務(wù)器的IP地址通過網(wǎng)絡(luò)地址轉(zhuǎn)化后，與一個(gè)公網(wǎng)注冊(cè)的IP地址唯一對(duì)應(yīng)。
    2)對(duì)VPN服務(wù)器發(fā)出的請(qǐng)求必須是合法用戶發(fā)出的。即通過VPN建立虛擬專線時(shí)，客戶端輸入的用戶名和密碼必須通過VPN驗(yàn)證。
2．3 合法請(qǐng)求的提取
    對(duì)于合法請(qǐng)求的提取，采用端口監(jiān)聽方式實(shí)現(xiàn)：首先，建立用戶信息資料庫，為用戶訪問內(nèi)網(wǎng)，創(chuàng)建認(rèn)證信息——包括用戶名和密碼等；其次，設(shè)置異地主機(jī)VPN網(wǎng)絡(luò)，輸入需要訪問VPN服務(wù)器的IP地址以及驗(yàn)證需要的用戶名、密碼等信息；最后，按照流程圖3編寫監(jiān)聽程序，并在VPN服務(wù)器上部署端口監(jiān)聽程序。

3 DMZ與VPN在校園網(wǎng)上的集成應(yīng)用
    校園網(wǎng)絡(luò)資源主要包括：門戶網(wǎng)站、郵件系統(tǒng)、內(nèi)部信息網(wǎng)、考試系統(tǒng)、圖書管理系統(tǒng)、FTP等資源。有些資源需要對(duì)外開放(如：門戶網(wǎng)站、郵件系統(tǒng)等)，這些資源應(yīng)該通過內(nèi)網(wǎng)、外網(wǎng)都可以訪問；有些資源只對(duì)校內(nèi)用戶開放(如：內(nèi)部信息、教務(wù)系統(tǒng)等)，這些資源必須限制在校園網(wǎng)內(nèi)部范疇，只允許通過內(nèi)部網(wǎng)絡(luò)或者VPN虛擬專網(wǎng)進(jìn)行訪問。因此，需要把DMZ與VPN技術(shù)進(jìn)行整合，根據(jù)網(wǎng)絡(luò)資源的開放程度不同合理部署DMZ與VPN，將內(nèi)、外網(wǎng)分離，構(gòu)建VPN虛擬專網(wǎng)，實(shí)現(xiàn)用戶的異地訪問(圖4)。具體做法下面將詳細(xì)介紹。

3．1 構(gòu)建DMZ專區(qū)實(shí)現(xiàn)內(nèi)、外網(wǎng)分離
    1)郵件、網(wǎng)站、課程網(wǎng)站等服務(wù)器被直接掛在DMZ服務(wù)器的DMZ端口上，將DMZ端口設(shè)置為非屏蔽端口，外部用戶可以通過該端口進(jìn)行訪問。
    2)ftp、內(nèi)網(wǎng)、教務(wù)、機(jī)房實(shí)訓(xùn)室以及辦公室等通過代理服務(wù)器與DMZ服務(wù)器的MZ端口連接，設(shè)置MZ端口為屏蔽端口。
    3)根據(jù)需求設(shè)置DMZ訪問原則：
    ①內(nèi)網(wǎng)可以訪問外網(wǎng)：內(nèi)網(wǎng)的用戶可以自由地訪問外網(wǎng)。這一策略，需要按照函數(shù)(2)，進(jìn)行內(nèi)外網(wǎng)IP地址轉(zhuǎn)換，將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為注冊(cè)IP地址bh；
    ②內(nèi)網(wǎng)可以訪問DMZ：內(nèi)網(wǎng)用戶可以按照式(1)映射關(guān)系，通過內(nèi)網(wǎng)IP地址使用和管理DMZ中的服務(wù)器；
    ③外網(wǎng)不能訪問內(nèi)網(wǎng)：內(nèi)網(wǎng)中存放的是內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問；
    ④外網(wǎng)可以訪問DMZ：外網(wǎng)訪問DMZ需要進(jìn)行靜態(tài)IP地址映射，按照式(3)，完成源宿IP地址的轉(zhuǎn)換；
    ⑤DMZ不能訪問內(nèi)網(wǎng)：防止當(dāng)入侵者攻擊DMZ時(shí)，內(nèi)網(wǎng)也會(huì)遭受攻擊。
3．2 部署VPN，實(shí)現(xiàn)內(nèi)網(wǎng)資源的異地共享
    1)設(shè)置VPN與DMZ服務(wù)器
    ①在防火墻上部署VPN服務(wù)器，一端接防火墻，一端接DMZ網(wǎng)絡(luò)；
    ②為VPN服務(wù)器分配唯一公網(wǎng)注冊(cè)的IP地址bvpn；
    ③定義虛擬內(nèi)網(wǎng)段IP地址，范圍從ap．到aq；
    ④修改DMZ訪問規(guī)則，將ap．到aq段IP地址定義為內(nèi)網(wǎng)IP地址；
    ⑤建立用戶信息資料庫，為每一個(gè)用戶建立唯一的認(rèn)證信息，包括用戶名、密碼等；
    ⑥在VPN服務(wù)器端，部署端口監(jiān)聽程序，用于合法用戶的請(qǐng)求；
    ⑦對(duì)于合法請(qǐng)求，根據(jù)映射函數(shù)式(4)，進(jìn)行源、宿IP地址轉(zhuǎn)換，形成虛擬內(nèi)網(wǎng)訪問請(qǐng)求。
    2)設(shè)置外網(wǎng)主機(jī)
    ①設(shè)置異地主機(jī)的網(wǎng)絡(luò)連接。按照系統(tǒng)提示，創(chuàng)建外網(wǎng)主機(jī)到校園網(wǎng)的“虛擬專用網(wǎng)絡(luò)連接”；
    ②輸入被連接VPN服務(wù)器的主機(jī)IP地址bvpn；
    ③在“連接”對(duì)話框中，輸入用戶名和密碼，創(chuàng)建連接。

4 結(jié)束語
    在校園網(wǎng)建設(shè)中，通過引入DMZ與VPN技術(shù)，在充分保證內(nèi)網(wǎng)資源安全的前提下，成功解決了異地用戶訪問校內(nèi)資源的難題。但是，在應(yīng)用系統(tǒng)主導(dǎo)的獨(dú)立管理信息模式下，內(nèi)網(wǎng)是一個(gè)地理空間概念，是將用戶使用內(nèi)網(wǎng)信息的權(quán)限與用戶主機(jī)的IP地址進(jìn)行綁定，通過系統(tǒng)管理員對(duì)校園網(wǎng)內(nèi)不同IP主機(jī)的權(quán)限設(shè)置來達(dá)到是否允許用戶使用與管理內(nèi)網(wǎng)信息的目的。其實(shí)質(zhì)是通過約束機(jī)器的方法來約束人，既不靈活，也不方便，這無疑給用戶使用與網(wǎng)絡(luò)管理增添了深層次難度。要想徹底解決這一問題，就必須做到內(nèi)網(wǎng)資源與使用者的IP地址脫鉤，使資源訪問權(quán)限，僅與訪問網(wǎng)絡(luò)的具體用戶相綁定，從而達(dá)到用戶所獲信息與其對(duì)應(yīng)的權(quán)限相匹配。因此，需要將學(xué)院所有的應(yīng)用系統(tǒng)統(tǒng)一整合，在此基礎(chǔ)上，建設(shè)統(tǒng)一用戶認(rèn)證平臺(tái)，通過對(duì)用戶訪問權(quán)限設(shè)定，決定用戶獲取信息的權(quán)限，從而達(dá)到最終消除內(nèi)網(wǎng)的地理空間概念。