清华大学SSL VPN项目背景
作为全国著名高校,清华大学的校园信息化建设始终走在全国高校的前列,引领着教育行业网络建设和信息化建设的发展方向。十多年来,在各级领导的关怀和支持下,清华大学校园网已建设成为世界上规模最大的先进校园网之一。清华大学计算机与信息管理中心成立以来,卓有成效地开展数字校园建设的网络基础服务研究,为数字校园的建设提供技术支持与服务;负责清华大学信息系统的规划、设计、开发;学校计算机网络教学和远程教育系统研究、设计与开发;负责全校非电类专业各系的计算机基础教学工作和上机任务,同时还承担CAI的研究与开发。
在信息安全方面,清华大学校领导和校信息中心等有关部门领导更是高度重视,在构建先进的校园信息化网络的基础上,还要保证校园网络的稳健和安全。信息中心SSL VPN项目就是在这样的信息化和安全化的大气候下实施的。本着高标准、严要求的标准,在产品的选型上面对如为产品进行了极其严格的筛选。具体说就是要求产品既要提供强大的功能和优越的性能,又要有很好的安全性、稳定性,而且还要能和清华大学现有的网络整体规划相适应,实现与既有的网络应用无缝集成。
O2Micro公司自主研发的SSL VPN产品Succendo系列和ASIC千兆线速防火墙SifoWorks系列是业界领先的SSL VPN产品和防火墙产品。以Succendo为例,优越的性能、丰富的应用功能、稳定可靠的双机热备、简单易用的友好界面和非常灵活的客户定制特性给客户留下了非常良好的印象,这也是Succendo 2000冲破其他大牌厂商的包围最终胜出的原因所在。
清华大学SSL VPN项目特点
随着教育信息化的发展,清华大学校园网络建设呈现出越来越多的应用需求,也具备了很多新的特点:
1.大规模应用下的VPN接入需求。运用专线网络、普通拨号接入作为校区互联应用的基础,已经不是满足远程接入的必要手段。VPN技术的实现,特别是SSL VPN在B/S、C/S构架的网络上全面适应,以及高强度加密保障传输安全等性能,已逐步形成一种主流的替代模式。
2.移动访问校内信息,例如数字图书馆,校内各种服务器等。校园数字图书馆的应用越具规模,从工作人员将自身馆藏书籍数字化开始,到与商业化合作购买阅览版权,再将数据与校园网共享,让校内外师生都能方便查询电子文献资料。另外就是广大师生已经习惯并且开始依赖于远程办公和远程访问校园服务器内的课件等资源。这是以教育信息化直接面向师生应用较为广泛的需求。
3.大流量应用的负载均衡和高可用性。广大师生对校内资源的访问相当频繁,而且网络学堂和网络教室对网络的可用性和可靠性提出了更高的要求。大流量的数据在传输过程中,又会导致带宽瓶颈等问题。
4.和既有的网络设备和网络环境无缝集成。清华大学校园网内的网络规划非常复杂,很多网络设备的配置相当严格,而且很多应用系统都是学校师生自主开发的,所以新设备的引入必须能够和现有的网络设备和网络环境很好的兼容。
SSL即安全套接层(Secure Sockets Layer)是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道。SSL VPN 的最大优势在于Web。SSL 在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处,首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要繁琐的安装,直接利用浏览器中内嵌的SSL 协议就行;第三个好处是兼容性好,传统的IPSec VPN 对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN 则完全没有这样的麻烦。
SSL VPN产品的引入,非常好地满足了校园网信息化建设中产生的以上新的需求。以SSL VPN安全产品作为校园网络中心网关,让用户群通过SSL方式建立专用安全隧道,再以Web浏览器进行远程登陆。既解决了安全接入,又缓解专线占用的高额费用问题。 一般的SSL VPN产品都提供负载均衡和双机热备功能,可以在出现大流量数据的状况时,根据调度算法和动态权重分配计算,将数据分流到备用服务器,以减免主服务器的超负荷运行,同时提高了资源的利用率消除冗余。而且在一台SSL VPN设备出现故障的时候可以将流量无缝切换到另外一台备机上面,提供很高的可靠性。针对和现有网络的无缝集成要求,不同厂商的产品提供不同程度的定制化功能,这个和厂商产品应用的灵活性和服务态度不无关系。
针对以上的需求,清华大学SSL VPN项目具有以下规划目标:
1.学校各学科教师,研究生无论是上班、寒暑假或者是在外出差都可以随时随地的获得学校办公系统,视频点播系统,电子图书馆,网络管理系统等各项资源;
2.方案必须能够提供很好的性能和很高的可靠性;
3.系统必须对现有的各种网络设备和认证系统具有很好的兼容性。
清华大学SSL VPN项目方案:
该项目使用两台Succendo 2000 SSL VPN (500用户),结合原有的F5负载均衡器提供双机热备和负载均衡功能,为学校教职工提供全天候、全方位的远程安全访问方案。下图较为简单地描述了该应用的拓扑:
Succendo SSL VPN部署方式本身非常灵活,既可以作为网关设备接在网络边缘,也可以单独作为访问控制设备放置在内网,保证最大限度的利用目前的网络环境。该方案灵活、实用,既发挥了SSL VPN强大的精细粒度的控制功能,又充分利用和兼容了清华大学现有的各种网络设备,有非常高性价比,非常值得其他各大高校借鉴和推广。在防火墙上配置了到负载均衡设备的NAT规则,仅需要开放443 port即可,SSL VPN屏蔽了外部用户到内网服务器的直接访问。这个方案具有以下几个特点:
使用简单方便:无需安装客户端,用户只需要通过浏览器即可以访问内网资源;
网络适应能力强:Sucendo SSL VPN系列产品通过串连方式接入校园,无需改变清华原有网络的拓扑,包括服务器群的位置;
双机热备:有效防止了单点故障,并有效保证广大师生到内网连接的持续性。
个性化设计:用户接入页面支持中文简体,也可以更具实际的需要来设计,保证个性化的需要;
广泛的应用支持:支持丰富的TCP/UDP的应用服务,各种动态的多媒体应用服务,支持CIFS/NFS的文件共享;
高安全性 :Succendo SSL VPN结合多种安全技术,在数据加密、接入用户身份验证、接入用户权限控制等方面为用户提供了全面的安全保障。Succendo SSL VPN可以支持SecurID,Raidus,AD,LDAP,证书等认证方式。可以设置基于角色的更细致的服务访问权限来杜绝安全隐患。如在只有教师才可以使用OA系统,而普通的学生是不能使用的;教师可是使用OA系统,但是其中的某些教师不可以访问财务系统。Succendo SSL VPN可以正对不同的用户使用不同的权限。避免因权限过大造成的安全隐患。
完善的用户日志记录:有效的记录用户的连接访问活动,根据记录分析,将有利于对网络资源进行更加合理的配置,同时也使网络资源处于安全监控之下。
系统的使用现状和收益:
清华大学Sucendo SSL VPN运行以来,整个系统运行稳定,实现了当初的方案设计,解决了学校对移动办公和资源共享的需求。
对于学校的教师可以随时的使用OA办公系统来处理公务,和其它内部系统资源的查阅。
对于学校的学生来说,可以方便的进行移动选课,随时随地的查阅图书馆的电子书籍等,更有效更安全的使用学校的资源。
对于学校的网络管理员来说,可以方便的随时随地的了解学校网络运行情况,快随及时的处理网络故障,保证网络安全稳定的运行。
总之,清华大学的Sucendo SSL VPN项目具有投资少、建设时间短、见效快的特点;它的建成,提高了首师大的工作效率,拓展了全校师生的工作空间,其社会效益和经济效益是显而易见的。
