1 非军事区DMZ原理
DMZ是非军事区(Demilitarized Zone)的简称,与军事区(信任区)相对应。它是一个既不同于外网,又不同于内网的特殊网络区域。作用是把WEB、E-mail等允许外部访问的服务器连接在DMZ服务器的DMZ(开放)端口上,把不允许外部访问的内网服务器连接在DMZ服务器的MZ(信任)端口上,实现内、外网的分离。这样设置后,可以将一些公开信息放置到DMZ专区的公用服务器上,将机密信息或仅对师生开放的信息放置到内网中,从而根据不同的需要,有针对性地采取隔离措施,在对外提供信息服务的同时,最大限度地保护内部网络安全。
DMZ专区与内网区、外网区的通信是通过网络地址转换(NAT)原理实现的。这里主要用到了静态网络地址转换与重载两种地址转换模式:静态地址转换是指按照一对一的方式,将一个未注册的IP地址映射到一个已注册的IP地址;重载是将多个未注册的IP地址映射到一个已注册的IP地址。在进行网络配置时,需要在DMZ服务器上,按照这两种模式对内网IP地址分区间段,将一个内网IP地址映射到一个已注册的外网IP地址,如图1所示,从而达到从外网访问校内资源时,隐藏内部网络IP地址的目的。
DMZ在对用户提供服务时,会根据请求的源、宿IP地址不同,将请求定义为内部请求、内对外请求和外对内请求3种情况,并按照这3种不同情况调用相应的映射算法,根据运算结果进行请求转发(图1)。对于内部请求按照式(1)所示映射算法,进行A→A的源、宿IP地址转换;对于内部对外部的请求,则按照重载原理进行由内到外的源、宿IP地址转换,映射算法如式(2);对于从外到内的请求,则按照静态IP地址转换原理,由外到内进行源、宿IP地址转换,映射算法如式(3)。
2 构建VPN专用网络
DMZ专区的设置,提高了内网资源的安全级别,同时也阻割了外网用户对内网资源的访问。为了让外网用户也能方便地访问内网资源,需要在DMZ基础上构建VPN专网。
2.1 虚拟网络VPN技术
VPN虚拟网络是通过源、宿(内、外网)IP地址转换,利用公用网络(通常是因特网Internet)构建虚拟局域网实现的。其关键是将来自外部网络请求的IP地址映射为一个虚拟内网IP地址。这个虚拟内网IP地址实质就是校园网内经管理员预定义的一组IP地址,它并不用于分配给任何一台主机,但是已经在VPN服务器与DMZ服务器上进行注册,并作为特殊用途保留。客户端浏览器利用其内建的VPN技术,将用户请求封包处理,通过浏览器连接到学校内部的VPN服务器,VPN服务器会对合法请求的IP地址,按照式(4)映射函数,将异地请求转变为一个虚拟的内网请求,让远程使用者也能像校内用户一样,方便地使用内网资源。VPN虚拟专网构建原理如图2所示。
2.2 合法外部请求的定义
一个能够通过VPN验证的合法外部请求需要满足以下两个条件:
1)该请求是对校内某一特定VPN服务器发出的请求,这一VPN服务器的IP地址通过网络地址转化后,与一个公网注册的IP地址唯一对应。
2)对VPN服务器发出的请求必须是合法用户发出的。即通过VPN建立虚拟专线时,客户端输入的用户名和密码必须通过VPN验证。
2.3 合法请求的提取
对于合法请求的提取,采用端口监听方式实现:首先,建立用户信息资料库,为用户访问内网,创建认证信息——包括用户名和密码等;其次,设置异地主机VPN网络,输入需要访问VPN服务器的IP地址以及验证需要的用户名、密码等信息;最后,按照流程图3编写监听程序,并在VPN服务器上部署端口监听程序。
3 DMZ与VPN在校园网上的集成应用
校园网络资源主要包括:门户网站、邮件系统、内部信息网、考试系统、图书管理系统、FTP等资源。有些资源需要对外开放(如:门户网站、邮件系统等),这些资源应该通过内网、外网都可以访问;有些资源只对校内用户开放(如:内部信息、教务系统等),这些资源必须限制在校园网内部范畴,只允许通过内部网络或者VPN虚拟专网进行访问。因此,需要把DMZ与VPN技术进行整合,根据网络资源的开放程度不同合理部署DMZ与VPN,将内、外网分离,构建VPN虚拟专网,实现用户的异地访问(图4)。具体做法下面将详细介绍。
3.1 构建DMZ专区实现内、外网分离
1)邮件、网站、课程网站等服务器被直接挂在DMZ服务器的DMZ端口上,将DMZ端口设置为非屏蔽端口,外部用户可以通过该端口进行访问。
2)ftp、内网、教务、机房实训室以及办公室等通过代理服务器与DMZ服务器的MZ端口连接,设置MZ端口为屏蔽端口。
3)根据需求设置DMZ访问原则:
①内网可以访问外网:内网的用户可以自由地访问外网。这一策略,需要按照函数(2),进行内外网IP地址转换,将内网IP地址转换为注册IP地址bh;
②内网可以访问DMZ:内网用户可以按照式(1)映射关系,通过内网IP地址使用和管理DMZ中的服务器;
③外网不能访问内网:内网中存放的是内部数据,这些数据不允许外网的用户进行访问;
④外网可以访问DMZ:外网访问DMZ需要进行静态IP地址映射,按照式(3),完成源宿IP地址的转换;
⑤DMZ不能访问内网:防止当入侵者攻击DMZ时,内网也会遭受攻击。
3.2 部署VPN,实现内网资源的异地共享
1)设置VPN与DMZ服务器
①在防火墙上部署VPN服务器,一端接防火墙,一端接DMZ网络;
②为VPN服务器分配唯一公网注册的IP地址bvpn;
③定义虚拟内网段IP地址,范围从ap.到aq;
④修改DMZ访问规则,将ap.到aq段IP地址定义为内网IP地址;
⑤建立用户信息资料库,为每一个用户建立唯一的认证信息,包括用户名、密码等;
⑥在VPN服务器端,部署端口监听程序,用于合法用户的请求;
⑦对于合法请求,根据映射函数式(4),进行源、宿IP地址转换,形成虚拟内网访问请求。
2)设置外网主机
①设置异地主机的网络连接。按照系统提示,创建外网主机到校园网的“虚拟专用网络连接”;
②输入被连接VPN服务器的主机IP地址bvpn;
③在“连接”对话框中,输入用户名和密码,创建连接。
4 结束语
在校园网建设中,通过引入DMZ与VPN技术,在充分保证内网资源安全的前提下,成功解决了异地用户访问校内资源的难题。但是,在应用系统主导的独立管理信息模式下,内网是一个地理空间概念,是将用户使用内网信息的权限与用户主机的IP地址进行绑定,通过系统管理员对校园网内不同IP主机的权限设置来达到是否允许用户使用与管理内网信息的目的。其实质是通过约束机器的方法来约束人,既不灵活,也不方便,这无疑给用户使用与网络管理增添了深层次难度。要想彻底解决这一问题,就必须做到内网资源与使用者的IP地址脱钩,使资源访问权限,仅与访问网络的具体用户相绑定,从而达到用户所获信息与其对应的权限相匹配。因此,需要将学院所有的应用系统统一整合,在此基础上,建设统一用户认证平台,通过对用户访问权限设定,决定用户获取信息的权限,从而达到最终消除内网的地理空间概念。