基于VPN的校园网分布式安全财务系统的研究与实现 Reference:利用站点到站点VPN技术在Internet中建立专用的数据传输通道具有安全性高、成本低、扩展性强、易于管理等优点,将其用于校园网,解决多校区办学模式下,财务系统面临的新问题Keys:站点到站点VPN;分布式;财务系统O引言随着高校办学规模不断扩大,多校区办学已是普遍的发展状况许多高校都在实施一校多区的办学模式为解决校区往返的高成本、低效率问题,网络是一种有效的途径财务系统是校园网中对数据安全性要求最高的业务系统之一,在单校区办学的模式下,通过几台计算机搭建一个与校园网隔离的局域网来保证财务数据的安全性和统一性在多校区的办学模式下,每个校区都有一个与校园网隔离的运行财务系统的局域网,一个很自然的解决办法是租用光缆来实现局域网的互联,继续保持与校园网物理隔离这个方案安全性有保障,但费用非常高,尤其是校区多,间隔距离长的情况下(费用[来自www.lW5U.com]=费率*长度*时间)随着网络技术的发展,尤其是VPN技术的成熟,为解决此问题提供了另一个可行的方法通过VPN技术手段实现财务分系统互联笔者结合我校多校区办学的实际情况,提出了一个将站点到站点的VPN技术应用于高校财务信息化建设的方案,并在实际中得到实施。
l VPN技术介绍VPN(Virtual Private Network)技术即虚拟专用网络技术它可以通过特殊的加密的通讯协议在连接在Intemet上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道1.1 VPN的分类按不同的网络结构,VPN可分为以下三种类型1)基于VPN的远程访问,即单机连接到网络,又称站点到站点用于提供远程移动用户对企业内部网的安全访问在校园网的应用中,主要是给出差或者在家办公的教职工提供远程拨入的方式,使用户的计[]算机与校园网建立私有的隧道,随时、随地的使用仅限校园内访问的资源2)基于VPN的网络互联,即网络连接到网络,又称站点到站点用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间信息的安全交流3)基于VPN的点对点通信,即单机到单机,又称端对端,用于企业内部网的两台主机之间的安全通信多校区办学模式的高校,每个校区都有一个相对独立的局域网来运行财务系统,要把各个校区的这些局域网安全的连接起来,需要使用站点到站点的VPN连接。
1.2站点到站点VPN技术特点站点到站点VPN连接是一种请求拨号连接,它使用VPN隧道协议(PPTP或L2TP/IPSec)来连接不同的专用网络,连接两端的每个VPN服务器都提供一个到达自己所属本地专用网络的路由连接当两台VPN服务器创建站点到站点VPN连接后,连接两端的VPN所属的专用网络均可以访问另一端的远程网络,就像访问本地网络一样请求拨号连接是指,只有当网络流量必须通过此接口转发(需要转发IP数据包到对应的远程网络)时才建立连接此时呼叫路由器(VPN客户端)初始化这个连接,应答路由器(VPN服务器)侦听连接请求,接收来自呼叫路由器的连接请求,井根据请求建立连接1.3 VPN技术的优点(1) VPN技术成本低由于VPN是在Intemet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用财务系统的安全性要求很高,但数据量不是很大,所以对路由器的性能要求不是很高,只要购买一般的支持站点到站点VPN的路由器即可,费用不是很高2) VPN技术安全性高VPN采用可靠的隧道数据通信途径、可靠的加解密技术、安全的密钥管理技术、严格的身份认证和科学的访问控制策略,因此其可以在最大程度上保证网络系统的安全,满足用户的安全需求。
3)可扩展性强当网络中需要互联的子网数增加时,只需要添加一个路由设备,就可以实现2基于VPN的分布式安全财务系统的实现苏州大学的财务部门分布在东校区(中心服务器)、新校区和本部(如图1),地域跨度大各校区的校园网已建成规模,财务VPN可以通过搭建在校园网络平台上的三个校区,建立站点到站点的VPN通道,让各校区用户可以安全地访问中心服务器这样既可以提高数据传输的稳定性,也可以使整个财务VPN网络受学校主防火墙的保护,进一步提升系统的安全性,而且不用租用昂贵的专线,节约开支建立站点到站点VPN,首先需要考虑用来建立隧道和加密流量的协议流行的隧道协议包括:点对点隧道协议(PPTP);第二层隧道协议(L2TP);Intemet协议安全(IPsec)由于IPSec和L2TP的安全性比PPTP的安全性要高,基于财务信息的安全性要求极高,所以在三个校区之间的VPN连接使用IPSec协议2.1分布式财务系统的拓扑结构如图l所示在东校区财务系统网络的边界上部署一个VPN路由器Rl,作为应答路由器(VPN服务器),在新校区和本部财务系统网络边界分别放一个VPN路由器R2和R3,作为呼叫路由器(VPN客户端)。
为了进一步保证财务系统的安全性,VPN服务器上需要设置一个严格的访问控制列表(ACL),在ACL中规定了用户对VPN资源的访问权限,用以控制用户对VPN资源的访问能力,基于ACL,财务系统对于每个接入VPN系统的用户而言是“专用”的,即VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的财务数据中当新校区或本部的用户要访问东校区的财务中心服务器时,通过VPN客户端呼叫VPN服务器,通过VPN服务器验证之后,VPN服务器会产生对称会话密钥,并分发给用户,在用户与VPN服务器的通信过程中,使用该会话密钥对网络财务数据进行加密传输2.2技术实现3小结由于多校区办学模式下的地域隔离导致财务信息不能数据同步、统一管理,而VPN技术能提供远程访问、外部网和内部网的安全链接,非常适用于对数据可靠性和安全性要求高的财务专网建设,特别是以硬件VPN技术组建的财务专网为财务管理工作实现计算机信息统一管理和维护提供了很好的网络基础平台,为财务信息化建设的进一步发展提供了强有力的技术保障 -全文完-。