用VPN与DMZ技术改造校园网络的研究
2 构建VPN专用网络
DMZ专区的设置,提高了内网资源的安全级别,同时也阻割了外网用户对内网资源的访问。为了让外网用户也能方便地访问内网资源,需要在DMZ基础上构建VPN专网。
2.1 虚拟网络VPN技术
VPN虚拟网络是通过源、宿(内、外网)IP地址转换,利用公用网络(通常是因特网Internet)构建虚拟局域网实现的。其关键是将来自外部网络请求的IP地址映射为一个虚拟内网IP地址。这个虚拟内网IP地址实质就是校园网内经管理员预定义的一组IP地址,它并不用于分配给任何一台主机,但是已经在VPN服务器与DMZ服务器上进行注册,并作为特殊用途保留。客户端浏览器利用其内建的VPN技术,将用户请求封包处理,通过浏览器连接到学校内部的VPN服务器,VPN服务器会对合法请求的IP地址,按照式(4)映射函数,将异地请求转变为一个虚拟的内网请求,让远程使用者也能像校内用户一样,方便地使用内网资源。VPN虚拟专网构建原理如图2所示。
2.2 合法外部请求的定义
一个能够通过VPN验证的合法外部请求需要满足以下两个条件:
1)该请求是对校内某一特定VPN服务器发出的请求,这一VPN服务器的IP地址通过网络地址转化后,与一个公网注册的IP地址唯一对应。
2)对VPN服务器发出的请求必须是合法用户发出的。即通过VPN建立虚拟专线时,客户端输入的用户名和密码必须通过VPN验证。
2.3 合法请求的提取
对于合法请求的提取,采用端口监听方式实现:首先,建立用户信息资料库,为用户访问内网,创建认证信息——包括用户名和密码等;其次,设置异地主机VPN网络,输入需要访问VPN服务器的IP地址以及验证需要的用户名、密码等信息;最后,按照流程图3编写监听程序,并在VPN服务器上部署端口监听程序。本文引用地址://m.amcfsurvey.com/article/155978.htm
评论