用VPN與DMZ技術(shù)改造校園網(wǎng)絡(luò)的研究

3．1 構(gòu)建DMZ專區(qū)實(shí)現(xiàn)內(nèi)、外網(wǎng)分離
1)郵件、網(wǎng)站、課程網(wǎng)站等服務(wù)器被直接掛在DMZ服務(wù)器的DMZ端口上，將DMZ端口設(shè)置為非屏蔽端口，外部用戶可以通過(guò)該端口進(jìn)行訪問(wèn)。
2)ftp、內(nèi)網(wǎng)、教務(wù)、機(jī)房實(shí)訓(xùn)室以及辦公室等通過(guò)代理服務(wù)器與DMZ服務(wù)器的MZ端口連接，設(shè)置MZ端口為屏蔽端口。
3)根據(jù)需求設(shè)置DMZ訪問(wèn)原則：
①內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)：內(nèi)網(wǎng)的用戶可以自由地訪問(wèn)外網(wǎng)。這一策略，需要按照函數(shù)(2)，進(jìn)行內(nèi)外網(wǎng)IP地址轉(zhuǎn)換，將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為注冊(cè)IP地址bh；
②內(nèi)網(wǎng)可以訪問(wèn)DMZ：內(nèi)網(wǎng)用戶可以按照式(1)映射關(guān)系，通過(guò)內(nèi)網(wǎng)IP地址使用和管理DMZ中的服務(wù)器；
③外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)：內(nèi)網(wǎng)中存放的是內(nèi)部數(shù)據(jù)，這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問(wèn)；
④外網(wǎng)可以訪問(wèn)DMZ：外網(wǎng)訪問(wèn)DMZ需要進(jìn)行靜態(tài)IP地址映射，按照式(3)，完成源宿IP地址的轉(zhuǎn)換；
⑤DMZ不能訪問(wèn)內(nèi)網(wǎng)：防止當(dāng)入侵者攻擊DMZ時(shí)，內(nèi)網(wǎng)也會(huì)遭受攻擊。
3．2 部署VPN，實(shí)現(xiàn)內(nèi)網(wǎng)資源的異地共享
1)設(shè)置VPN與DMZ服務(wù)器
①在防火墻上部署VPN服務(wù)器，一端接防火墻，一端接DMZ網(wǎng)絡(luò)；
②為VPN服務(wù)器分配唯一公網(wǎng)注冊(cè)的IP地址bvpn；
③定義虛擬內(nèi)網(wǎng)段IP地址，范圍從ap．到aq；
④修改DMZ訪問(wèn)規(guī)則，將ap．到aq段IP地址定義為內(nèi)網(wǎng)IP地址；
⑤建立用戶信息資料庫(kù)，為每一個(gè)用戶建立唯一的認(rèn)證信息，包括用戶名、密碼等；
⑥在VPN服務(wù)器端，部署端口監(jiān)聽(tīng)程序，用于合法用戶的請(qǐng)求；
⑦對(duì)于合法請(qǐng)求，根據(jù)映射函數(shù)式(4)，進(jìn)行源、宿IP地址轉(zhuǎn)換，形成虛擬內(nèi)網(wǎng)訪問(wèn)請(qǐng)求。
2)設(shè)置外網(wǎng)主機(jī)
①設(shè)置異地主機(jī)的網(wǎng)絡(luò)連接。按照系統(tǒng)提示，創(chuàng)建外網(wǎng)主機(jī)到校園網(wǎng)的“虛擬專用網(wǎng)絡(luò)連接”；
②輸入被連接VPN服務(wù)器的主機(jī)IP地址bvpn；
③在“連接”對(duì)話框中，輸入用戶名和密碼，創(chuàng)建連接。

4 結(jié)束語(yǔ)
在校園網(wǎng)建設(shè)中，通過(guò)引入DMZ與VPN技術(shù)，在充分保證內(nèi)網(wǎng)資源安全的前提下，成功解決了異地用戶訪問(wèn)校內(nèi)資源的難題。但是，在應(yīng)用系統(tǒng)主導(dǎo)的獨(dú)立管理信息模式下，內(nèi)網(wǎng)是一個(gè)地理空間概念，是將用戶使用內(nèi)網(wǎng)信息的權(quán)限與用戶主機(jī)的IP地址進(jìn)行綁定，通過(guò)系統(tǒng)管理員對(duì)校園網(wǎng)內(nèi)不同IP主機(jī)的權(quán)限設(shè)置來(lái)達(dá)到是否允許用戶使用與管理內(nèi)網(wǎng)信息的目的。其實(shí)質(zhì)是通過(guò)約束機(jī)器的方法來(lái)約束人，既不靈活，也不方便，這無(wú)疑給用戶使用與網(wǎng)絡(luò)管理增添了深層次難度。要想徹底解決這一問(wèn)題，就必須做到內(nèi)網(wǎng)資源與使用者的IP地址脫鉤，使資源訪問(wèn)權(quán)限，僅與訪問(wèn)網(wǎng)絡(luò)的具體用戶相綁定，從而達(dá)到用戶所獲信息與其對(duì)應(yīng)的權(quán)限相匹配。因此，需要將學(xué)院所有的應(yīng)用系統(tǒng)統(tǒng)一整合，在此基礎(chǔ)上，建設(shè)統(tǒng)一用戶認(rèn)證平臺(tái)，通過(guò)對(duì)用戶訪問(wèn)權(quán)限設(shè)定，決定用戶獲取信息的權(quán)限，從而達(dá)到最終消除內(nèi)網(wǎng)的地理空間概念。