VPN研究报告

一、 前言

互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共享成为可能。中国高校也越来越重视数字化校园的开发，依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义，数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。

二、 选题背景

随着教育信息化的深入，很多学校都建立了校园网，为了实现校内资源优化整合，让师生们更好的进行工作和学习，他们需要在校园网内部或在校外的远程节点上，随时享受校园网内部的各项服务，然而由于互联网黑客对各高校的资源虎视眈眈，在没有经过任何允许的情况下，黑客们很容易就潜入校园网内部进行\捣乱\，为此，多数校园网都不会将自己的各种应用系统和所有信息资源完全开放，因为这样让整个校园网面临无以估量的破坏性损失，为了网络安全考虑，将VPN技术应用于基于公共互联网构架的校园网，可以较好的解决校园网多校区、远程访问、远程管理等问题。

三、 VPN简介

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

1

四、 VPN功能

VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。

VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

五、 VPN常用的网络协议

常用的虚拟私人网络协议有：

IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： VPN加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。

PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议 。在因特网上建立IP虚拟专用网

（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 L2F: Layer 2 Forwarding -- 第二层转发协议 L2TP: Layer 2 Tunneling Protocol --第二层隧道协议 GRE：VPN的第三层隧道协议

六、 VPN研究问题

? VPN如何解决校园网安全风险

对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无

2

关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。那么，校园网利用VPN技术方案，是否能避免校园网的潜在安全隐患，杜绝上述情况的发生呢？

VPN即虚拟私有网络技术，它的安全功能包括：通道协议、身份验证和数据加密，实际工作时，远程外网客户机向校园网内的VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说，VPN可以通过对校园网内的数据进行封包和加密传输，在互联网公网上传输私有数据、达到私有网络的安全级别。

? 选择IPSec VPN还是SSL VPN

校园网VPN方案可以通过公众IP网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，IPsec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，IPSEC VPN是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而SSL VPN则提供远程接入校园网服务，比如适合校园网与外网的连接。

从VPN技术架构来看，IPSec VPN是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现Internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端\置于\校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些IPSec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。

与IPSec VPN不同的是，SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间，因而SSL VPN的\零客户端\架构特别适合于远程用户连接，用户可通过任何Web浏览器访问校园网Web应用，因而SSL VPN存在一定安全风险。而IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，所以安全性更高一些。但不可否认，SSL VPN依然更加适合大多数校园网，因为在互联网时代，更多的信息交流需要实现完全互通，比如SSL VPN提

3

供更细粒度的访问控制、能够穿越NAT和防火墙设置、能够较好地抵御外部系统和病毒攻击、网络部署灵活方便等特点，为其在校园网应用中赢得了不少亮点。 ? VPN为校园网带来哪些应用

在校园网中，通过VPN给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么，VPN能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时可以通过校园网连至INTERNET用户，实现100M甚至1000M到桌面的带宽，并对财务科、人事科等科室进行单独子网管理。 还可以利用VPN在校园网内建立考试监控系统、综合多媒体教室等，比如学校具有两个多媒体教室，每个教室60台PC，通过校园网上连至INTERNET，实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的PC通过校园网上连至INTERNET，而不进行任何布置。

校园网采用VPN技术可以降低使用费，远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为通道与企业内部专用网络相连，通信费用大幅度降低；学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校，各个分校和培训场所网络整合使学校的信息化管理成本必然的增加，比如学校的数据存储，许多学校都采用了分布式存储方式，其具有较低的投资花费和软件部署的灵活性，然而其管理难度高，后期维护成本高，如果采取VPN服务器，可以对各分校进行Web通讯控制，同时又可以实现分校访问互通。

为了让师生共享图书资源，与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权，很多高校都建立了数字图书馆，但在应用上也会产生相应的约束性，比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址，或则被校方授权过的内部合法师生，此时采用VPN加密技术，数据在Internet中传输时，Internet上的用户只看到公共的IP地址，看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外；在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。 ? VPN支持哪种校园网接入方式

在教育机构的校园网，由于不同地区、不同学校的条件不同，它们选择的网络接入方式也有差异，比如条件不大好的中小学校，可能还在采取模拟电话、ISDN、ADSL拨号上网，而对于条件好的高校，则采取了光纤或DDN、帧中继等专线连接，那么，VPN方案到底支持哪种接入方式呢？实际上，VPN可以支持最常用的网络协议，因为在Internet上组建VPN，用户计算机或网络需要建立到ISP连接，与用户上网接入方式相似，比如基于IP、IPX和

4