某多校区高校图书馆网络系统中VPN技术的应用

某多校区高校图书馆网络系统中VPN技术的应用

关键词:多校区高校图书馆网络系统VPN

随着高等教育体制改革的不断深入,该高校的建设规模也在不断扩展,由于该高校两次和其它院校合并,形成了一所高校、多个校区、地理位置分散的校园格局。面对新的校园格局和图书馆网络应用的新需求,如何使四个校区的图书馆在逻辑上连接起来,成为迫切需要解决的问题。

一、VPN概念及主要优点

虚拟专用网络是一种基于交换技术加高速主干链路,以公用开放的网络作为基本传输媒介,将处于不同位置的物理LAN逻辑地连接在一起。它简单的定义就是在公共数据网络上建立属于自己的私有数据网络,也就是说不再使用长途专线建立私有数据网络,而是将其建立在拥有完善架构的公众数据网络上。可以使多校区临时从公用网中获得一部分资源供自己专用,既可以连到公网所能达到的任何地点,而且保密性、安全性、可管理性的问题也得到解决,还可以降低网络的使用成本。

VPN网络是架构在公用网络服务商提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。因此,它具有虚电路的特点,而VPN本身的协议可以处理数据包,并对其有效负载加密,将数据包发送到目的地址。VPN具备了以下优点:(1)降低成本,用户不必租用长途专线建设专网,无需大量的网络维护人员和设备的投资;(2)容易扩展,网络路由设备配置简单;(3)控制主动权,VPN上的设施和服务掌握在学校网管服务器手中,可以把拨号访问交给NSP去做,服务器负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

二、该高校图书馆网络系统建设需求

1、现代电子化图书馆信息网络系统的要求。该高校采用的是北邮图书管理软件,要求在多校区网络环境下解决对图书数据库统一管理,集中反映各校区馆藏,实现图书通借通还、异地借还书等功能,采访人员外出采访图书时,也能通过公用网络,安全地进入图书馆内部专用网络,连接采访子系统,进行外采时的图书查重。

2、图书馆电子资源校外访问权限的要求。由于该高校已有众多的用户通过ADSL宽带等上网方式连接图书馆网络,其IP地址是动态获取的、非校园网IP地址。而该校使用的清华同方期刊数据库是通过IP地址来确认是否合法用户,无法实现对互联网上动态IP地址用户开放电子资源访问权限。所以需要一个好的技术解决方案,实现校外动态IP向校内IP的转换,解决校外用户的资源访问权限问题。

3、图书馆网络系统安全的要求。该高校已采用防火墙、VLAN等技术来防护图书馆网络系统的安全,但防火墙、VLAN等只是基础的网络安全访问控制和资源保护手段,这些技术虽能不同程度地隔离图书馆内外网络,但不能保证在开放环境下安全的数据传输服务。虽然也可以通过租用专用线路建立物理上的专用网络,但这要在设备成本、移动通讯费用和专线费用等方面付出昂贵的代价。

从以上需求出发,将VPN技术应用于到该高校图书馆网络系统,是一个最佳的选择。它在校园网和公网上建立安全的逻辑上的专用通道,来连接各校区图书馆及移动用户,在保护数据安全传输的同时,将数据流转移到低成本的IP网络上,大幅度减少了图书馆在WAN和远程网络连接上的费用。

三、解决实施方案

根据该高校各图书馆当前的网络现状和实际需求,确定VPN网络系统配置的实施方案:

1、在总馆网络端配置一台VPN网关中心设备,建立与各分馆内部网络连接的IPSec隧道,对与各分馆VPN连接设备的身份进行鉴别,对各部门的网络访问权限进行控制,包括对某个网段主机,甚至网络端口的访问控制,并实现与图书馆移动用户的连接和路由转换。

2、各分馆配置VPN网关分支设备,实现分馆网络内部网与校园网及Internet的连接和地址转换,与总馆网络建立IPSec连接隧道,进行与总馆网络连接时的设备身份鉴别,实现对外部网络的隔离和外部网络的访问控制,控制外部网络访问本地网络的访问权限,并隔离内部各部门之间的网络。

3、馆外移动用户可以通过SSLVPN方式或者虚拟专用网络连接客户端连入VPN中心网关,在实际应用中,利用SSLVPN技术,可以直接使用浏览器接入校园网络,SSLVPN网关会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问图书馆电子资源。

4、建立VPN安全管理平台,集中对图书馆整个网络中的所有VPN网关设备和客户端管理和配置,包括设备管理、安全管理、配置管理、访问控制列表管理、QoS管理、用户管理、证书管理等;在网络需要调整和升级时,能够快速构建和调整网络拓扑结构;通过管理平台进行实时的可视化的集中监控,查看和维护所有安全网关设备和客户端,包括它们的运行状况和网络链接状态,进行日志分析和审计管理等。

四、实现VPN后我们应注意的问题

在图书馆实现VPN后,并非意味着网络的安全问题没有隐患,虽然加密的隧道是安全的,连接也是正确的,但并不意味着远程客户端计算机是安全的,一旦黑客控制了这些计算机,便可以通过远程控制,记录对键盘的敲击或者查看屏幕显示,得到接入图书馆的VPN账号和密码来连入到校园网中。因此不能绝对认为远程各校区分馆或出差人员的VPN接入是完全安全的。所以,在实施有效的技术手段同时,应配备完善的安全管理策略,制定严格的网络安全管理制度,提高安全管理人员的素质,落实安全管理责任,加强对图书馆员工网络安全意识教育。

五、结语

VPN技术是当今网络发展的新趋势,无论从成本、管理、可操作性和安全性方面,都有着很大的优势,将其应用于多校区的图书馆网络中,能解决院校合并后的图书馆网络面临的具体问题,真正地实现内网和外网以及内、外网之间的安全通信。随着VPN技术的不断发展和完善,相信它的前景会更加广阔。

标签:;  ;  ;  

某多校区高校图书馆网络系统中VPN技术的应用
下载Doc文档

猜你喜欢