用VPN与DMZ技术改造校园网络的研究

摘要：为了解决既能在异地访问内网资源，又能充分保证内网资源的高度安全，将VPN与DMZ技术应用于校园网络的升级改造。提出了针对DMZ专区的三类IP地址映射算法与合法外网用户通过VPN访问内网资源需要的虚拟IP地址转换函数，并在此基础上提出了VPN与DMZ技术在校园网上集成应用的解决方案。通过在校园网中合理构建DMZ专区与VPN网络，巧妙设置DMZ与VPN的访问规则，在先分保证校内资源安全的前提下，成功解决了异地用户共享内网资源的难题。
关键词：DMZ专区；静态IP映射；IP重载；虚拟专用网络

    目前，很多学校信息资源管理主要采用以应用系统为主导的独立管理信息模式。在这种模式下，网站信息分对内，对外两部分发布：内部信息发布在内网上，只能在校园网内部使用；公开信息发布在外网上，可以在校内、校外任何地方通过互联网访问。这种模式的好处在于实现内网信息共享的同时，充分做到数据安全保密；缺陷在于，内网信息在互联网上无法浏览，在校外不能充分使用校内资源。这对于异地用户访问内网资源带来了诸多不便。为了解决既能在校外使用内网资源，又能充分保证内网资源的高度安全，在校园信息化建设中引入了DMZ技术与VPN技术，将这两种技术有机地结合起来，通过合理设置DMZ函数映射，巧妙部署VPN网络，在充分保障信息安全的前提下，解决了内、外网数据共享的问题。

1 非军事区DMZ原理
    DMZ是非军事区(Demilitarized Zone)的简称，与军事区(信任区)相对应。它是一个既不同于外网，又不同于内网的特殊网络区域。作用是把WEB、E-mail等允许外部访问的服务器连接在DMZ服务器的DMZ(开放)端口上，把不允许外部访问的内网服务器连接在DMZ服务器的MZ(信任)端口上，实现内、外网的分离。这样设置后，可以将一些公开信息放置到DMZ专区的公用服务器上，将机密信息或仅对师生开放的信息放置到内网中，从而根据不同的需要，有针对性地采取隔离措施，在对外提供信息服务的同时，最大限度地保护内部网络安全。
    DMZ专区与内网区、外网区的通信是通过网络地址转换(NAT)原理实现的。这里主要用到了静态网络地址转换与重载两种地址转换模式：静态地址转换是指按照一对一的方式，将一个未注册的IP地址映射到一个已注册的IP地址；重载是将多个未注册的IP地址映射到一个已注册的IP地址。在进行网络配置时，需要在DMZ服务器上，按照这两种模式对内网IP地址分区间段，将一个内网IP地址映射到一个已注册的外网IP地址，如图1所示，从而达到从外网访问校内资源时，隐藏内部网络IP地址的目的。

    DMZ在对用户提供服务时，会根据请求的源、宿IP地址不同，将请求定义为内部请求、内对外请求和外对内请求3种情况，并按照这3种不同情况调用相应的映射算法，根据运算结果进行请求转发(图1)。对于内部请求按照式(1)所示映射算法，进行A→A的源、宿IP地址转换；对于内部对外部的请求，则按照重载原理进行由内到外的源、宿IP地址转换，映射算法如式(2)；对于从外到内的请求，则按照静态IP地址转换原理，由外到内进行源、宿IP地址转换，映射算法如式(3)。
    

2 构建VPN专用网络
    DMZ专区的设置，提高了内网资源的安全级别，同时也阻割了外网用户对内网资源的访问。为了让外网用户也能方便地访问内网资源，需要在DMZ基础上构建VPN专网。
2．1 虚拟网络VPN技术
    VPN虚拟网络是通过源、宿(内、外网)IP地址转换，利用公用网络(通常是因特网Internet)构建虚拟局域网实现的。其关键是将来自外部网络请求的IP地址映射为一个虚拟内网IP地址。这个虚拟内网IP地址实质就是校园网内经管理员预定义的一组IP地址，它并不用于分配给任何一台主机，但是已经在VPN服务器与DMZ服务器上进行注册，并作为特殊用途保留。客户端浏览器利用其内建的VPN技术，将用户请求封包处理，通过浏览器连接到学校内部的VPN服务器，VPN服务器会对合法请求的IP地址，按照式(4)映射函数，将异地请求转变为一个虚拟的内网请求，让远程使用者也能像校内用户一样，方便地使用内网资源。VPN虚拟专网构建原理如图2所示。
   
2．2 合法外部请求的定义
    一个能够通过VPN验证的合法外部请求需要满足以下两个条件：
    1)该请求是对校内某一特定VPN服务器发出的请求，这一VPN服务器的IP地址通过网络地址转化后，与一个公网注册的IP地址唯一对应。
    2)对VPN服务器发出的请求必须是合法用户发出的。即通过VPN建立虚拟专线时，客户端输入的用户名和密码必须通过VPN验证。
2．3 合法请求的提取
    对于合法请求的提取，采用端口监听方式实现：首先，建立用户信息资料库，为用户访问内网，创建认证信息——包括用户名和密码等；其次，设置异地主机VPN网络，输入需要访问VPN服务器的IP地址以及验证需要的用户名、密码等信息；最后，按照流程图3编写监听程序，并在VPN服务器上部署端口监听程序。

3 DMZ与VPN在校园网上的集成应用
    校园网络资源主要包括：门户网站、邮件系统、内部信息网、考试系统、图书管理系统、FTP等资源。有些资源需要对外开放(如：门户网站、邮件系统等)，这些资源应该通过内网、外网都可以访问；有些资源只对校内用户开放(如：内部信息、教务系统等)，这些资源必须限制在校园网内部范畴，只允许通过内部网络或者VPN虚拟专网进行访问。因此，需要把DMZ与VPN技术进行整合，根据网络资源的开放程度不同合理部署DMZ与VPN，将内、外网分离，构建VPN虚拟专网，实现用户的异地访问(图4)。具体做法下面将详细介绍。

3．1 构建DMZ专区实现内、外网分离
    1)邮件、网站、课程网站等服务器被直接挂在DMZ服务器的DMZ端口上，将DMZ端口设置为非屏蔽端口，外部用户可以通过该端口进行访问。
    2)ftp、内网、教务、机房实训室以及办公室等通过代理服务器与DMZ服务器的MZ端口连接，设置MZ端口为屏蔽端口。
    3)根据需求设置DMZ访问原则：
    ①内网可以访问外网：内网的用户可以自由地访问外网。这一策略，需要按照函数(2)，进行内外网IP地址转换，将内网IP地址转换为注册IP地址bh；
    ②内网可以访问DMZ：内网用户可以按照式(1)映射关系，通过内网IP地址使用和管理DMZ中的服务器；
    ③外网不能访问内网：内网中存放的是内部数据，这些数据不允许外网的用户进行访问；
    ④外网可以访问DMZ：外网访问DMZ需要进行静态IP地址映射，按照式(3)，完成源宿IP地址的转换；
    ⑤DMZ不能访问内网：防止当入侵者攻击DMZ时，内网也会遭受攻击。
3．2 部署VPN，实现内网资源的异地共享
    1)设置VPN与DMZ服务器
    ①在防火墙上部署VPN服务器，一端接防火墙，一端接DMZ网络；
    ②为VPN服务器分配唯一公网注册的IP地址bvpn；
    ③定义虚拟内网段IP地址，范围从ap．到aq；
    ④修改DMZ访问规则，将ap．到aq段IP地址定义为内网IP地址；
    ⑤建立用户信息资料库，为每一个用户建立唯一的认证信息，包括用户名、密码等；
    ⑥在VPN服务器端，部署端口监听程序，用于合法用户的请求；
    ⑦对于合法请求，根据映射函数式(4)，进行源、宿IP地址转换，形成虚拟内网访问请求。
    2)设置外网主机
    ①设置异地主机的网络连接。按照系统提示，创建外网主机到校园网的“虚拟专用网络连接”；
    ②输入被连接VPN服务器的主机IP地址bvpn；
    ③在“连接”对话框中，输入用户名和密码，创建连接。

4 结束语
    在校园网建设中，通过引入DMZ与VPN技术，在充分保证内网资源安全的前提下，成功解决了异地用户访问校内资源的难题。但是，在应用系统主导的独立管理信息模式下，内网是一个地理空间概念，是将用户使用内网信息的权限与用户主机的IP地址进行绑定，通过系统管理员对校园网内不同IP主机的权限设置来达到是否允许用户使用与管理内网信息的目的。其实质是通过约束机器的方法来约束人，既不灵活，也不方便，这无疑给用户使用与网络管理增添了深层次难度。要想彻底解决这一问题，就必须做到内网资源与使用者的IP地址脱钩，使资源访问权限，仅与访问网络的具体用户相绑定，从而达到用户所获信息与其对应的权限相匹配。因此，需要将学院所有的应用系统统一整合，在此基础上，建设统一用户认证平台，通过对用户访问权限设定，决定用户获取信息的权限，从而达到最终消除内网的地理空间概念。