用VPN與DMZ技術(shù)改造校園網(wǎng)絡(luò)的研究

摘要：為了解決既能在異地訪問(wèn)內(nèi)網(wǎng)資源，又能充分保證內(nèi)網(wǎng)資源的高度安全，將VPN與DMZ技術(shù)應(yīng)用于校園網(wǎng)絡(luò)的升級(jí)改造。提出了針對(duì)DMZ專區(qū)的三類IP地址映射算法與合法外網(wǎng)用戶通過(guò)VPN訪問(wèn)內(nèi)網(wǎng)資源需要的虛擬IP地址轉(zhuǎn)換函數(shù)，并在此基礎(chǔ)上提出了VPN與DMZ技術(shù)在校園網(wǎng)上集成應(yīng)用的解決方案。通過(guò)在校園網(wǎng)中合理構(gòu)建DMZ專區(qū)與VPN網(wǎng)絡(luò)，巧妙設(shè)置DMZ與VPN的訪問(wèn)規(guī)則，在先分保證校內(nèi)資源安全的前提下，成功解決了異地用戶共享內(nèi)網(wǎng)資源的難題。
關(guān)鍵詞：DMZ專區(qū)；靜態(tài)IP映射；IP重載；虛擬專用網(wǎng)絡(luò)

目前，很多學(xué)校信息資源管理主要采用以應(yīng)用系統(tǒng)為主導(dǎo)的獨(dú)立管理信息模式。在這種模式下，網(wǎng)站信息分對(duì)內(nèi)，對(duì)外兩部分發(fā)布：內(nèi)部信息發(fā)布在內(nèi)網(wǎng)上，只能在校園網(wǎng)內(nèi)部使用；公開(kāi)信息發(fā)布在外網(wǎng)上，可以在校內(nèi)、校外任何地方通過(guò)互聯(lián)網(wǎng)訪問(wèn)。這種模式的好處在于實(shí)現(xiàn)內(nèi)網(wǎng)信息共享的同時(shí)，充分做到數(shù)據(jù)安全保密；缺陷在于，內(nèi)網(wǎng)信息在互聯(lián)網(wǎng)上無(wú)法瀏覽，在校外不能充分使用校內(nèi)資源。這對(duì)于異地用戶訪問(wèn)內(nèi)網(wǎng)資源帶來(lái)了諸多不便。為了解決既能在校外使用內(nèi)網(wǎng)資源，又能充分保證內(nèi)網(wǎng)資源的高度安全，在校園信息化建設(shè)中引入了DMZ技術(shù)與VPN技術(shù)，將這兩種技術(shù)有機(jī)地結(jié)合起來(lái)，通過(guò)合理設(shè)置DMZ函數(shù)映射，巧妙部署VPN網(wǎng)絡(luò)，在充分保障信息安全的前提下，解決了內(nèi)、外網(wǎng)數(shù)據(jù)共享的問(wèn)題。

1 非軍事區(qū)DMZ原理
DMZ是非軍事區(qū)(Demilitarized Zone)的簡(jiǎn)稱，與軍事區(qū)(信任區(qū))相對(duì)應(yīng)。它是一個(gè)既不同于外網(wǎng)，又不同于內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。作用是把WEB、E-mail等允許外部訪問(wèn)的服務(wù)器連接在DMZ服務(wù)器的DMZ(開(kāi)放)端口上，把不允許外部訪問(wèn)的內(nèi)網(wǎng)服務(wù)器連接在DMZ服務(wù)器的MZ(信任)端口上，實(shí)現(xiàn)內(nèi)、外網(wǎng)的分離。這樣設(shè)置后，可以將一些公開(kāi)信息放置到DMZ專區(qū)的公用服務(wù)器上，將機(jī)密信息或僅對(duì)師生開(kāi)放的信息放置到內(nèi)網(wǎng)中，從而根據(jù)不同的需要，有針對(duì)性地采取隔離措施，在對(duì)外提供信息服務(wù)的同時(shí)，最大限度地保護(hù)內(nèi)部網(wǎng)絡(luò)安全。
DMZ專區(qū)與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)原理實(shí)現(xiàn)的。這里主要用到了靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換與重載兩種地址轉(zhuǎn)換模式：靜態(tài)地址轉(zhuǎn)換是指按照一對(duì)一的方式，將一個(gè)未注冊(cè)的IP地址映射到一個(gè)已注冊(cè)的IP地址；重載是將多個(gè)未注冊(cè)的IP地址映射到一個(gè)已注冊(cè)的IP地址。在進(jìn)行網(wǎng)絡(luò)配置時(shí)，需要在DMZ服務(wù)器上，按照這兩種模式對(duì)內(nèi)網(wǎng)IP地址分區(qū)間段，將一個(gè)內(nèi)網(wǎng)IP地址映射到一個(gè)已注冊(cè)的外網(wǎng)IP地址，如圖1所示，從而達(dá)到從外網(wǎng)訪問(wèn)校內(nèi)資源時(shí)，隱藏內(nèi)部網(wǎng)絡(luò)IP地址的目的。

DMZ在對(duì)用戶提供服務(wù)時(shí)，會(huì)根據(jù)請(qǐng)求的源、宿IP地址不同，將請(qǐng)求定義為內(nèi)部請(qǐng)求、內(nèi)對(duì)外請(qǐng)求和外對(duì)內(nèi)請(qǐng)求3種情況，并按照這3種不同情況調(diào)用相應(yīng)的映射算法，根據(jù)運(yùn)算結(jié)果進(jìn)行請(qǐng)求轉(zhuǎn)發(fā)(圖1)。對(duì)于內(nèi)部請(qǐng)求按照式(1)所示映射算法，進(jìn)行A→A的源、宿IP地址轉(zhuǎn)換；對(duì)于內(nèi)部對(duì)外部的請(qǐng)求，則按照重載原理進(jìn)行由內(nèi)到外的源、宿IP地址轉(zhuǎn)換，映射算法如式(2)；對(duì)于從外到內(nèi)的請(qǐng)求，則按照靜態(tài)IP地址轉(zhuǎn)換原理，由外到內(nèi)進(jìn)行源、宿IP地址轉(zhuǎn)換，映射算法如式(3)。