引言

　　上海大學(xué)的校園網(wǎng)絡(luò)由于其用戶數(shù)多、訪問(wèn)量高，素有‘小電信’之稱(chēng)。海加網(wǎng)絡(luò)型號(hào)為SRA-1000的 SSL VPN產(chǎn)品，憑借著產(chǎn)品卓越的性能，高度的可靠性，出色的性價(jià)比和快速的技術(shù)支持響應(yīng)，在上海大學(xué)SSL VPN接入項(xiàng)目中脫穎而出，摘得桂冠。

　　綜 述

　　上海大學(xué)是一所綜合性大學(xué)，是國(guó)家“ 211工程”重點(diǎn)建設(shè)高校之一，是上海市重要的人才培養(yǎng)基地。

　　隨著校園網(wǎng)信息化工作的不斷推進(jìn)和學(xué)校規(guī)模的迅速擴(kuò)大，分院校的逐漸增多，分院校的師生也有大量的訪問(wèn)學(xué)校總部網(wǎng)絡(luò)資源的需求；同時(shí)越來(lái)越多的合作院校、上級(jí)主管單位也需要經(jīng)常訪問(wèn)學(xué)校總部的網(wǎng)絡(luò)資源，如圖書(shū)館系統(tǒng)、學(xué)校人事管理系統(tǒng)等等。

　　目前，上海大學(xué)校園通信光纜聯(lián)接三個(gè)校區(qū)以及所有大樓，建成了較完整的信息網(wǎng)絡(luò)服務(wù)體系。為構(gòu)建更高標(biāo)準(zhǔn)的信息化校園網(wǎng)絡(luò)，建成與上海現(xiàn)代化國(guó)際大都市地位相適應(yīng)的高層次人才教育體系和科技創(chuàng)新體系，上海大學(xué)經(jīng)過(guò)了深入的研究和討論，決定引入國(guó)際先進(jìn)的SSL VPN產(chǎn)品來(lái)改造現(xiàn)有的校園網(wǎng)絡(luò)，以滿足越來(lái)越高的校內(nèi)資源共享和遠(yuǎn)程訪問(wèn)的需求。

　　上海大學(xué)在對(duì)市場(chǎng)上主流的國(guó)內(nèi)外產(chǎn)品進(jìn)行比較之后，選擇了包括海加網(wǎng)絡(luò)在內(nèi)的五家國(guó)內(nèi)外知名廠商的產(chǎn)品作為備選方案。

　　需求分析

　　為了保證重要業(yè)務(wù)信息在學(xué)校校園網(wǎng)以及在互聯(lián)網(wǎng)通道上傳輸?shù)陌踩瑢W(xué)校信息化工作辦公室提出了以下要求：

　　第一， 需要嚴(yán)格認(rèn)證用戶身份，保證接入人員的可控性；

　　第二， 需要對(duì)接入用戶的權(quán)限實(shí)現(xiàn)控制，保證內(nèi)部應(yīng)用的安全性；

　　第三， 需要保證鏈路通道的安全保密性，這樣可以保證數(shù)據(jù)傳輸?shù)陌踩?/P>

　　第四， 需要邏輯隔離后臺(tái)應(yīng)用系統(tǒng)，用戶需要通過(guò)代理訪問(wèn)后臺(tái)服務(wù)器，保證后臺(tái)服務(wù)器的安全，同時(shí)必須確保不改變用戶的使用習(xí)慣。

　　上海大學(xué)網(wǎng)絡(luò)中心安全接入項(xiàng)目的典型用戶有兩類(lèi)：一類(lèi)是普通教職員工，他們需要訪問(wèn)諸如教務(wù)系統(tǒng)等應(yīng)用系統(tǒng)；一類(lèi)是網(wǎng)絡(luò)管理員和領(lǐng)導(dǎo)，他們需要訪問(wèn)更多的應(yīng)用系統(tǒng)，包括對(duì)應(yīng)用系統(tǒng)的管理配置等。

　　在充分理解原有實(shí)現(xiàn)情況的基礎(chǔ)上，對(duì)上海大學(xué)網(wǎng)絡(luò)安全接入項(xiàng)目的關(guān)鍵需求進(jìn)行了分析和歸納，作為系統(tǒng)總體設(shè)計(jì)的依據(jù)，具體如下：

　　互聯(lián)互通需求

　　方案必須實(shí)現(xiàn)教職員工和管理員用戶能夠安全地接入上海大學(xué)網(wǎng)絡(luò)中心內(nèi)部，實(shí)現(xiàn)訪問(wèn)各種業(yè)務(wù)系統(tǒng)的要求，包括B/S應(yīng)用和C/S應(yīng)用。

　　身份認(rèn)證和授權(quán)需求

　　方案必須保證只有合法的用戶才能訪問(wèn)經(jīng)過(guò)授權(quán)的應(yīng)用，從而從技術(shù)上保證工作人員各司其職，防止非法訪問(wèn)和越權(quán)訪問(wèn)。

　　對(duì)一般教職員工采用USB Key數(shù)字證書(shū)認(rèn)證方式，保證用戶身份的唯一性；對(duì)于網(wǎng)絡(luò)管理員和學(xué)校領(lǐng)導(dǎo)，采用指紋USB Key數(shù)字證書(shū)認(rèn)證方式，這樣既加強(qiáng)了認(rèn)證同時(shí)又方便了用戶使用。

　　數(shù)據(jù)傳輸和交換的安全性需求

　　由于網(wǎng)絡(luò)中心包含了各種業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)，必須確保數(shù)據(jù)的安全性，在傳輸過(guò)程中不能被非法竊取，同時(shí)保證信息系統(tǒng)不受到內(nèi)部和外部的攻擊。

　　系統(tǒng)設(shè)計(jì)

　　根據(jù)上述需求分析，本系統(tǒng)設(shè)計(jì)制定并遵循了以下幾個(gè)原則：

　　第一、 安全性和保密性原則

　　本原則一是保證在業(yè)務(wù)系統(tǒng)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性，不能被非法或未授權(quán)用戶獲取和篡改；二是建立完善的用戶和設(shè)備認(rèn)證機(jī)制，確保非法用戶和非法設(shè)備不能進(jìn)入系統(tǒng)。

　　第二、 高可用性和可靠性原則

　　本原則要求在設(shè)計(jì)上要充分考慮提供安全可靠的技術(shù)和管理方式，系統(tǒng)必須要保證其工作的高可靠性和高穩(wěn)定性；能夠提供長(zhǎng)期不間斷的服務(wù)。

　　第三、 易操作性原則

　　本原則主要對(duì)安全接入系統(tǒng)的可操作性進(jìn)行嚴(yán)格要求。用戶界面友好，操作方便、簡(jiǎn)單；系統(tǒng)維護(hù)方便、簡(jiǎn)單。

　　系統(tǒng)架構(gòu)

　　

　　

　　(圖) 海加SSL VPN服務(wù)上海大學(xué)信息化建設(shè)

　　實(shí)施效果

　　1. 實(shí)現(xiàn)了安全方便的互聯(lián)互通

　　只需將海加網(wǎng)絡(luò)SSL VPN設(shè)備接入在防火墻后面，同時(shí)將443端口開(kāi)放映射到海加SSL VPN設(shè)備，用戶內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)不需要做任何改動(dòng)。用戶只需要訪問(wèn)海加SRA設(shè)備的AccessPortal門(mén)戶系統(tǒng)，通過(guò)認(rèn)證授權(quán)以后，在用戶和海加設(shè)備之間建立一條安全通道，就可以透明地訪問(wèn)內(nèi)部的B/S應(yīng)用和C/S應(yīng)用。

　　2. 數(shù)據(jù)傳輸?shù)陌踩?/STRONG>

　　網(wǎng)絡(luò)中心的用戶只有在經(jīng)過(guò)認(rèn)證和授權(quán)以后才可以訪問(wèn)網(wǎng)絡(luò)中心的應(yīng)用服務(wù)器，并且用戶對(duì)網(wǎng)絡(luò)中心的應(yīng)用服務(wù)器的訪問(wèn)是以數(shù)據(jù)加密的方式來(lái)實(shí)現(xiàn)的，從而保證了數(shù)據(jù)傳輸?shù)陌踩?/P>

　　3. 支持網(wǎng)絡(luò)中心B/S和C/S應(yīng)用

　　方案無(wú)縫地支持B/S和C/S應(yīng)用。對(duì)B/S應(yīng)用，方案提供無(wú)客戶端的接入方式，也就是說(shuō)，用戶只要通過(guò)瀏覽器就可以安全地接入網(wǎng)絡(luò)中心；對(duì)于C/S應(yīng)用，方案提供可自動(dòng)下載的插件或者客戶端軟件，實(shí)現(xiàn)對(duì)C/S應(yīng)用的支持。

　　4. 保證數(shù)據(jù)中心重要數(shù)據(jù)的安全，提供訪問(wèn)控制

　　方案重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，可以根據(jù)用戶的不同身份，給予不同的訪問(wèn)權(quán)限。就是說(shuō)，雖然不同的網(wǎng)絡(luò)中心人員或者教職員工都可以進(jìn)入網(wǎng)絡(luò)中心，但是可以為不同人員設(shè)置不同的訪問(wèn)權(quán)限。

　　5. 簡(jiǎn)單高效的維護(hù)和管理方式

　　方案采用安全方便Web界面方式，用戶只要通過(guò)SRA SSL VPN的SRA Manager管理模塊就可以管理所有的用戶和訪問(wèn)控制策略，集中實(shí)現(xiàn)對(duì)用戶的安全接入進(jìn)行控制。

　　總結(jié)：

　　上海大學(xué)對(duì)此次選型進(jìn)行了公開(kāi)招標(biāo)，最終海加網(wǎng)絡(luò)的SRA-1000 SSL VPN憑借著先進(jìn)的技術(shù)，完整的SSL VPN應(yīng)用實(shí)現(xiàn)，快速的技術(shù)支持響應(yīng)，絕佳的性價(jià)比，一舉中標(biāo)！

　　海加網(wǎng)絡(luò) SRA 系列SSL VPN是采用國(guó)際最先進(jìn)的技術(shù)，針對(duì)國(guó)內(nèi)市場(chǎng)特別設(shè)計(jì)的SSL VPN產(chǎn)品，產(chǎn)品的各項(xiàng)功能和性能技術(shù)指標(biāo)完全達(dá)到甚至超過(guò)國(guó)際一流水平。產(chǎn)品應(yīng)用了一系列業(yè)界最為先進(jìn)的技術(shù)和部分海加網(wǎng)絡(luò)專(zhuān)有技術(shù)，如可實(shí)現(xiàn)對(duì)WEB應(yīng)用的全面支持（如微軟的OWA）的專(zhuān)有動(dòng)態(tài)URL重構(gòu)技術(shù)；能夠有效防止黑客攻擊和病毒入侵的專(zhuān)有端口復(fù)用技術(shù)和代理技術(shù)；能夠?qū)崿F(xiàn)了真正意義上的無(wú)客戶端安裝；業(yè)界最完善的細(xì)粒度訪問(wèn)控制技術(shù)，確保內(nèi)部網(wǎng)絡(luò)重要數(shù)據(jù)的安全等。

　　上海大學(xué)已制定了學(xué)校中長(zhǎng)期發(fā)展戰(zhàn)略規(guī)劃，提出了更高的奮斗目標(biāo)，即發(fā)揚(yáng)自強(qiáng)不息精神，構(gòu)建綠色、文明、信息化校園，建成與上海現(xiàn)代化國(guó)際大都市地位相適應(yīng)的高層次人才教育體系和科技創(chuàng)新體系，成為國(guó)內(nèi)一流的綜合性研究型大學(xué)。海加網(wǎng)絡(luò)將繼續(xù)為上海大學(xué)的遠(yuǎn)大目標(biāo)提供最優(yōu)質(zhì)的產(chǎn)品和服務(wù)，助力高校信息化的發(fā)展！

文章作者：謝雨