用VPN与DMZ技术改造校园网络的研究
摘要:为了解决既能在异地访问内网资源,又能充分保证内网资源的高度安全,将VPN与DMZ技术应用于校园网络的升级改造。提出了针对DMZ专区的三类IP地址映射算法与合法外网用户通过VPN访问内网资源需要的虚拟IP地址转换函数,并在此基础上提出了VPN与DMZ技术在校园网上集成应用的解决方案。通过在校园网中合理构建DMZ专区与VPN网络,巧妙设置DMZ与VPN的访问规则,在先分保证校内资源安全的前提下,成功解决了异地用户共享内网资源的难题。
关键词:DMZ专区;静态IP映射;IP重载;虚拟专用网络
目前,很多学校信息资源管理主要采用以应用系统为主导的独立管理信息模式。在这种模式下,网站信息分对内,对外两部分发布:内部信息发布在内网上,只能在校园网内部使用;公开信息发布在外网上,可以在校内、校外任何地方通过互联网访问。这种模式的好处在于实现内网信息共享的同时,充分做到数据安全保密;缺陷在于,内网信息在互联网上无法浏览,在校外不能充分使用校内资源。这对于异地用户访问内网资源带来了诸多不便。为了解决既能在校外使用内网资源,又能充分保证内网资源的高度安全,在校园信息化建设中引入了DMZ技术与VPN技术,将这两种技术有机地结合起来,通过合理设置DMZ函数映射,巧妙部署VPN网络,在充分保障信息安全的前提下,解决了内、外网数据共享的问题。
1 非军事区DMZ原理
DMZ是非军事区(Demilitarized Zone)的简称,与军事区(信任区)相对应。它是一个既不同于外网,又不同于内网的特殊网络区域。作用是把WEB、E-mail等允许外部访问的服务器连接在DMZ服务器的DMZ(开放)端口上,把不允许外部访问的内网服务器连接在DMZ服务器的MZ(信任)端口上,实现内、外网的分离。这样设置后,可以将一些公开信息放置到DMZ专区的公用服务器上,将机密信息或仅对师生开放的信息放置到内网中,从而根据不同的需要,有针对性地采取隔离措施,在对外提供信息服务的同时,最大限度地保护内部网络安全。
DMZ专区与内网区、外网区的通信是通过网络地址转换(NAT)原理实现的。这里主要用到了静态网络地址转换与重载两种地址转换模式:静态地址转换是指按照一对一的方式,将一个未注册的IP地址映射到一个已注册的IP地址;重载是将多个未注册的IP地址映射到一个已注册的IP地址。在进行网络配置时,需要在DMZ服务器上,按照这两种模式对内网IP地址分区间段,将一个内网IP地址映射到一个已注册的外网IP地址,如图1所示,从而达到从外网访问校内资源时,隐藏内部网络IP地址的目的。
DMZ在对用户提供服务时,会根据请求的源、宿IP地址不同,将请求定义为内部请求、内对外请求和外对内请求3种情况,并按照这3种不同情况调用相应的映射算法,根据运算结果进行请求转发(图1)。对于内部请求按照式(1)所示映射算法,进行A→A的源、宿IP地址转换;对于内部对外部的请求,则按照重载原理进行由内到外的源、宿IP地址转换,映射算法如式(2);对于从外到内的请求,则按照静态IP地址转换原理,由外到内进行源、宿IP地址转换,映射算法如式(3)。
评论