用VPN与DMZ技术改造校园网络的研究

摘要：为了解决既能在异地访问内网资源，又能充分保证内网资源的高度安全，将VPN与DMZ技术应用于校园网络的升级改造。提出了针对DMZ专区的三类IP地址映射算法与合法外网用户通过VPN访问内网资源需要的虚拟IP地址转换函数，并在此基础上提出了VPN与DMZ技术在校园网上集成应用的解决方案。通过在校园网中合理构建DMZ专区与VPN网络，巧妙设置DMZ与VPN的访问规则，在先分保证校内资源安全的前提下，成功解决了异地用户共享内网资源的难题。
关键词：DMZ专区；静态IP映射；IP重载；虚拟专用网络

目前，很多学校信息资源管理主要采用以应用系统为主导的独立管理信息模式。在这种模式下，网站信息分对内，对外两部分发布：内部信息发布在内网上，只能在校园网内部使用；公开信息发布在外网上，可以在校内、校外任何地方通过互联网访问。这种模式的好处在于实现内网信息共享的同时，充分做到数据安全保密；缺陷在于，内网信息在互联网上无法浏览，在校外不能充分使用校内资源。这对于异地用户访问内网资源带来了诸多不便。为了解决既能在校外使用内网资源，又能充分保证内网资源的高度安全，在校园信息化建设中引入了DMZ技术与VPN技术，将这两种技术有机地结合起来，通过合理设置DMZ函数映射，巧妙部署VPN网络，在充分保障信息安全的前提下，解决了内、外网数据共享的问题。

1 非军事区DMZ原理
DMZ是非军事区(Demilitarized Zone)的简称，与军事区(信任区)相对应。它是一个既不同于外网，又不同于内网的特殊网络区域。作用是把WEB、E-mail等允许外部访问的服务器连接在DMZ服务器的DMZ(开放)端口上，把不允许外部访问的内网服务器连接在DMZ服务器的MZ(信任)端口上，实现内、外网的分离。这样设置后，可以将一些公开信息放置到DMZ专区的公用服务器上，将机密信息或仅对师生开放的信息放置到内网中，从而根据不同的需要，有针对性地采取隔离措施，在对外提供信息服务的同时，最大限度地保护内部网络安全。
DMZ专区与内网区、外网区的通信是通过网络地址转换(NAT)原理实现的。这里主要用到了静态网络地址转换与重载两种地址转换模式：静态地址转换是指按照一对一的方式，将一个未注册的IP地址映射到一个已注册的IP地址；重载是将多个未注册的IP地址映射到一个已注册的IP地址。在进行网络配置时，需要在DMZ服务器上，按照这两种模式对内网IP地址分区间段，将一个内网IP地址映射到一个已注册的外网IP地址，如图1所示，从而达到从外网访问校内资源时，隐藏内部网络IP地址的目的。

DMZ在对用户提供服务时，会根据请求的源、宿IP地址不同，将请求定义为内部请求、内对外请求和外对内请求3种情况，并按照这3种不同情况调用相应的映射算法，根据运算结果进行请求转发(图1)。对于内部请求按照式(1)所示映射算法，进行A→A的源、宿IP地址转换；对于内部对外部的请求，则按照重载原理进行由内到外的源、宿IP地址转换，映射算法如式(2)；对于从外到内的请求，则按照静态IP地址转换原理，由外到内进行源、宿IP地址转换，映射算法如式(3)。


2 构建VPN专用网络
DMZ专区的设置，提高了内网资源的安全级别，同时也阻割了外网用户对内网资源的访问。为了让外网用户也能方便地访问内网资源，需要在DMZ基础上构建VPN专网。
2．1 虚拟网络VPN技术
VPN虚拟网络是通过源、宿(内、外网)IP地址转换，利用公用网络(通常是因特网Internet)构建虚拟局域网实现的。其关键是将来自外部网络请求的IP地址映射为一个虚拟内网IP地址。这个虚拟内网IP地址实质就是校园网内经管理员预定义的一组IP地址，它并不用于分配给任何一台主机，但是已经在VPN服务器与DMZ服务器上进行注册，并作为特殊用途保留。客户端浏览器利用其内建的VPN技术，将用户请求封包处理，通过浏览器连接到学校内部的VPN服务器，VPN服务器会对合法请求的IP地址，按照式(4)映射函数，将异地请求转变为一个虚拟的内网请求，让远程使用者也能像校内用户一样，方便地使用内网资源。VPN虚拟专网构建原理如图2所示。

2．2 合法外部请求的定义
一个能够通过VPN验证的合法外部请求需要满足以下两个条件：
1)该请求是对校内某一特定VPN服务器发出的请求，这一VPN服务器的IP地址通过网络地址转化后，与一个公网注册的IP地址唯一对应。
2)对VPN服务器发出的请求必须是合法用户发出的。即通过VPN建立虚拟专线时，客户端输入的用户名和密码必须通过VPN验证。
2．3 合法请求的提取
对于合法请求的提取，采用端口监听方式实现：首先，建立用户信息资料库，为用户访问内网，创建认证信息——包括用户名和密码等；其次，设置异地主机VPN网络，输入需要访问VPN服务器的IP地址以及验证需要的用户名、密码等信息；最后，按照流程图3编写监听程序，并在VPN服务器上部署端口监听程序。