清华大学的校园信息化建设始终走在全国高校的前列,十多年来,清华大学校园网已建设成为世界上规模最大、最先进校园网之一。清华大学计算机与信息管理中心成立以来卓有成效地开展数字校园建设的网络基础服务研究,为数字校园的建设提供技术支持与服务;同时负责清华大学信息系统的规划、设计、开发;学校计算机网络教学和远程教育系统研究、设计与开发;全校非电类专业各系的计算机基础教学工作和上机任务。此外,还承担CAI 的研究与开发。
清华大学信息中心高度重视信息安全,在构建先进的校园信息化网络的基础上,还要保证校园网络的稳健和安全。信息中心SSL VPN项目就是在这样的信息化和安全化的大气候下实施的。本着高标准、严要求的原则,在产品的选型上对入围产品进行了极其严格的筛选。具体说就是要求产品既要提供强大的功能和优越的性能,又要有很好的安全性、稳定性,而且还要能和清华大学现有的网络整体规划相适应,实现与既有的网络应用无缝集成。
凹凸科技自主研发的SSL VPN产品Succendo系列以优越的性能、丰富的应用功能、稳定可靠的双机热备、简单易用的友好界面和非常灵活的客户定制特性获得了对远程接入解决方案要求异常严格的清华大学计算机信息管理中心的高度认可。
需求分析
随着教育信息化的发展,清华大学校园网络建设呈现出越来越多的应用需求,也具备了很多新的特点:
1、大规模远程接入需求:运用专线网络、普通拨号接入、IPSec连接等,已经无法满足大规模远程接入的需求。SSL VPN在B/S、C/S构架的网络上全面适应、无需安装客户端软件以及高强度加密保障传输安全等特性,已逐步形成一种主流的替代模式。
2、移动用户分权限访问校内信息:例如数字图书馆,校内各种服务器等服务可被广大师生公开访问。远程办公和远程访问校园服务器内的课件等服务则只有教师可拥有访问权限。
3、大流量应用的负载均衡和高可用性:广大师生对校内资源的访问相当频繁,而且网络学堂和网络教室对网络的可用性和可靠性提出了更高的要求。大流量的数据在传输过程中,又会导致带宽瓶颈等问题。
4、和既有的网络设备和网络环境无缝集成:清华大学校园网内的网络规划非常复杂,很多网络设备的配置相当严格,而且很多应用系统都是学校师生自主开发的,所以新设备的引入必须能够和现有的网络设备和网络环境很好地兼容。
解决方案
SSL即安全套接层是一套提供身份验证、数据保密性和数据完整性的协议,它使用了多种加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道。SSL VPN在Web的易用性和远程接入应用的多样性、安全性之间架起了一座桥梁。目前,对SSL VPN公认的三大好处,首先来自于它的简单性,它不需要针对客户端的配置,可以立即安装、立即生效;其次,客户端不需要进行繁琐的安装与后续的维护;第三,兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
该解决方案使用两台Succendo 2000 (500 用户),结合原有的负载均衡器提供双机热备和负载均衡功能,为学校师生提供全天候、全方位的远程安全访问方案。下图较为简单地描述了该应用的拓扑:
SSL VPN-Succendo部署方式本身非常灵活,既可以作为网关设备部署在网络边缘,也可以单独作为远程接入设备部署在内网,保证最大限度地利用目前的网络环境。该方案灵活、实用,既发挥了SSL VPN强大的精细粒度的控制功能,又充分利用和兼容了清华大学现有的各种网络设备,有非常高的性价比,非常值得其他高校借鉴和推广。SSL VPN屏蔽了外部用户到内网服务器的直接访问,进一步提高了内部网络的安全性。
这个方案具有以下几个特点:
使用简单方便:无需安装客户端,用户只需要通过浏览器即可以访问内网资源;
网络适应能力强:Succendo系列产品通过旁路方式接入校园网,无需改变清华大学原有网络的拓扑,包括服务器群的位置;
双机热备与负载均衡:有效防止了单点故障,并通过与原有设备的连接实现负载均衡,提升设备的利用效率,有效保证广大师生到内网连接的持续性;
个性化设计:用户接入页面支持中文简体,也可以根据实际的需要来设计,保证个性化的需要;
广泛的应用支持:支持丰富的TCP/UDP的应用服务,各种动态的多媒体应用服务,支持CIFS/NFS的文件共享;
高安全性:Succendo结合多种安全技术,在数据加密、接入用户身份验证、接入用户权限控制等方面为用户提供了全面的安全保障。Succendo可以支持SecurID、Radius、AD、LDAP、证书等认证方式,可以设置基于角色的更细致的服务访问权限来杜绝安全隐患;
完善的用户日志记录:有效地记录用户的连接访问活动,根据记录分析,将有利于对网络资源进行更加合理的配置,同时也使网络资源处于安全监控之下。
总结
清华大学SSL VPN-Succendo运行以来,整个系统运行稳定,实现了本方案的设计目的,解决了学校对移动办公和资源共享的需求。
学校的教师可以随时随地远程接入校园网,在权限定义范围内实现异地办公及资源共享;学生们可以方便的进行移动选课,随时随地查阅图书馆的电子书籍等,更有效更安全地使用学校的资源;对于学校的网络管理员来说,可以方便的随时随地的了解学校网络运行情况,快捷及时地处理网络故障,保证网络安全稳定的运行。
总之,清华大学的Succendo项目具有投资少、建设时间短、见效快的特点。它的建成,提高了清华大学师生的工作效率,拓展了全校师生的工作空间,其经济效益是显而易见的。
