摘要：為了解決既能在異地訪問內網資源，又能充分保證內網資源的高度安全，將VPN與DMZ技術應用于校園網絡的升級改造。提出了針對DMZ專區(qū)的三類IP地址映射算法與合法外網用戶通過VPN訪問內網資源需要的虛擬IP地址轉換函數(shù)，并在此基礎上提出了VPN與DMZ技術在校園網上集成應用的解決方案。通過在校園網中合理構建DMZ專區(qū)與VPN網絡，巧妙設置DMZ與VPN的訪問規(guī)則，在先分保證校內資源安全的前提下，成功解決了異地用戶共享內網資源的難題。
關鍵詞：DMZ專區(qū)；靜態(tài)IP映射；IP重載；虛擬專用網絡

    目前，很多學校信息資源管理主要采用以應用系統(tǒng)為主導的獨立管理信息模式。在這種模式下，網站信息分對內，對外兩部分發(fā)布：內部信息發(fā)布在內網上，只能在校園網內部使用；公開信息發(fā)布在外網上，可以在校內、校外任何地方通過互聯(lián)網訪問。這種模式的好處在于實現(xiàn)內網信息共享的同時，充分做到數(shù)據安全保密；缺陷在于，內網信息在互聯(lián)網上無法瀏覽，在校外不能充分使用校內資源。這對于異地用戶訪問內網資源帶來了諸多不便。為了解決既能在校外使用內網資源，又能充分保證內網資源的高度安全，在校園信息化建設中引入了DMZ技術與VPN技術，將這兩種技術有機地結合起來，通過合理設置DMZ函數(shù)映射，巧妙部署VPN網絡，在充分保障信息安全的前提下，解決了內、外網數(shù)據共享的問題。

1 非軍事區(qū)DMZ原理
    DMZ是非軍事區(qū)(Demilitarized Zone)的簡稱，與軍事區(qū)(信任區(qū))相對應。它是一個既不同于外網，又不同于內網的特殊網絡區(qū)域。作用是把WEB、E-mail等允許外部訪問的服務器連接在DMZ服務器的DMZ(開放)端口上，把不允許外部訪問的內網服務器連接在DMZ服務器的MZ(信任)端口上，實現(xiàn)內、外網的分離。這樣設置后，可以將一些公開信息放置到DMZ專區(qū)的公用服務器上，將機密信息或僅對師生開放的信息放置到內網中，從而根據不同的需要，有針對性地采取隔離措施，在對外提供信息服務的同時，最大限度地保護內部網絡安全。
    DMZ專區(qū)與內網區(qū)、外網區(qū)的通信是通過網絡地址轉換(NAT)原理實現(xiàn)的。這里主要用到了靜態(tài)網絡地址轉換與重載兩種地址轉換模式：靜態(tài)地址轉換是指按照一對一的方式，將一個未注冊的IP地址映射到一個已注冊的IP地址；重載是將多個未注冊的IP地址映射到一個已注冊的IP地址。在進行網絡配置時，需要在DMZ服務器上，按照這兩種模式對內網IP地址分區(qū)間段，將一個內網IP地址映射到一個已注冊的外網IP地址，如圖1所示，從而達到從外網訪問校內資源時，隱藏內部網絡IP地址的目的。

    DMZ在對用戶提供服務時，會根據請求的源、宿IP地址不同，將請求定義為內部請求、內對外請求和外對內請求3種情況，并按照這3種不同情況調用相應的映射算法，根據運算結果進行請求轉發(fā)(圖1)。對于內部請求按照式(1)所示映射算法，進行A→A的源、宿IP地址轉換；對于內部對外部的請求，則按照重載原理進行由內到外的源、宿IP地址轉換，映射算法如式(2)；對于從外到內的請求，則按照靜態(tài)IP地址轉換原理，由外到內進行源、宿IP地址轉換，映射算法如式(3)。
    

2 構建VPN專用網絡
    DMZ專區(qū)的設置，提高了內網資源的安全級別，同時也阻割了外網用戶對內網資源的訪問。為了讓外網用戶也能方便地訪問內網資源，需要在DMZ基礎上構建VPN專網。
2．1 虛擬網絡VPN技術
    VPN虛擬網絡是通過源、宿(內、外網)IP地址轉換，利用公用網絡(通常是因特網Internet)構建虛擬局域網實現(xiàn)的。其關鍵是將來自外部網絡請求的IP地址映射為一個虛擬內網IP地址。這個虛擬內網IP地址實質就是校園網內經管理員預定義的一組IP地址，它并不用于分配給任何一臺主機，但是已經在VPN服務器與DMZ服務器上進行注冊，并作為特殊用途保留。客戶端瀏覽器利用其內建的VPN技術，將用戶請求封包處理，通過瀏覽器連接到學校內部的VPN服務器，VPN服務器會對合法請求的IP地址，按照式(4)映射函數(shù)，將異地請求轉變?yōu)橐粋€虛擬的內網請求，讓遠程使用者也能像校內用戶一樣，方便地使用內網資源。VPN虛擬專網構建原理如圖2所示。
   
2．2 合法外部請求的定義
    一個能夠通過VPN驗證的合法外部請求需要滿足以下兩個條件：
    1)該請求是對校內某一特定VPN服務器發(fā)出的請求，這一VPN服務器的IP地址通過網絡地址轉化后，與一個公網注冊的IP地址唯一對應。
    2)對VPN服務器發(fā)出的請求必須是合法用戶發(fā)出的。即通過VPN建立虛擬專線時，客戶端輸入的用戶名和密碼必須通過VPN驗證。
2．3 合法請求的提取
    對于合法請求的提取，采用端口監(jiān)聽方式實現(xiàn)：首先，建立用戶信息資料庫，為用戶訪問內網，創(chuàng)建認證信息——包括用戶名和密碼等；其次，設置異地主機VPN網絡，輸入需要訪問VPN服務器的IP地址以及驗證需要的用戶名、密碼等信息；最后，按照流程圖3編寫監(jiān)聽程序，并在VPN服務器上部署端口監(jiān)聽程序。

3 DMZ與VPN在校園網上的集成應用
    校園網絡資源主要包括：門戶網站、郵件系統(tǒng)、內部信息網、考試系統(tǒng)、圖書管理系統(tǒng)、FTP等資源。有些資源需要對外開放(如：門戶網站、郵件系統(tǒng)等)，這些資源應該通過內網、外網都可以訪問；有些資源只對校內用戶開放(如：內部信息、教務系統(tǒng)等)，這些資源必須限制在校園網內部范疇，只允許通過內部網絡或者VPN虛擬專網進行訪問。因此，需要把DMZ與VPN技術進行整合，根據網絡資源的開放程度不同合理部署DMZ與VPN，將內、外網分離，構建VPN虛擬專網，實現(xiàn)用戶的異地訪問(圖4)。具體做法下面將詳細介紹。

3．1 構建DMZ專區(qū)實現(xiàn)內、外網分離
    1)郵件、網站、課程網站等服務器被直接掛在DMZ服務器的DMZ端口上，將DMZ端口設置為非屏蔽端口，外部用戶可以通過該端口進行訪問。
    2)ftp、內網、教務、機房實訓室以及辦公室等通過代理服務器與DMZ服務器的MZ端口連接，設置MZ端口為屏蔽端口。
    3)根據需求設置DMZ訪問原則：
    ①內網可以訪問外網：內網的用戶可以自由地訪問外網。這一策略，需要按照函數(shù)(2)，進行內外網IP地址轉換，將內網IP地址轉換為注冊IP地址bh；
    ②內網可以訪問DMZ：內網用戶可以按照式(1)映射關系，通過內網IP地址使用和管理DMZ中的服務器；
    ③外網不能訪問內網：內網中存放的是內部數(shù)據，這些數(shù)據不允許外網的用戶進行訪問；
    ④外網可以訪問DMZ：外網訪問DMZ需要進行靜態(tài)IP地址映射，按照式(3)，完成源宿IP地址的轉換；
    ⑤DMZ不能訪問內網：防止當入侵者攻擊DMZ時，內網也會遭受攻擊。
3．2 部署VPN，實現(xiàn)內網資源的異地共享
    1)設置VPN與DMZ服務器
    ①在防火墻上部署VPN服務器，一端接防火墻，一端接DMZ網絡；
    ②為VPN服務器分配唯一公網注冊的IP地址bvpn；
    ③定義虛擬內網段IP地址，范圍從ap．到aq；
    ④修改DMZ訪問規(guī)則，將ap．到aq段IP地址定義為內網IP地址；
    ⑤建立用戶信息資料庫，為每一個用戶建立唯一的認證信息，包括用戶名、密碼等；
    ⑥在VPN服務器端，部署端口監(jiān)聽程序，用于合法用戶的請求；
    ⑦對于合法請求，根據映射函數(shù)式(4)，進行源、宿IP地址轉換，形成虛擬內網訪問請求。
    2)設置外網主機
    ①設置異地主機的網絡連接。按照系統(tǒng)提示，創(chuàng)建外網主機到校園網的“虛擬專用網絡連接”；
    ②輸入被連接VPN服務器的主機IP地址bvpn；
    ③在“連接”對話框中，輸入用戶名和密碼，創(chuàng)建連接。

4 結束語
    在校園網建設中，通過引入DMZ與VPN技術，在充分保證內網資源安全的前提下，成功解決了異地用戶訪問校內資源的難題。但是，在應用系統(tǒng)主導的獨立管理信息模式下，內網是一個地理空間概念，是將用戶使用內網信息的權限與用戶主機的IP地址進行綁定，通過系統(tǒng)管理員對校園網內不同IP主機的權限設置來達到是否允許用戶使用與管理內網信息的目的。其實質是通過約束機器的方法來約束人，既不靈活，也不方便，這無疑給用戶使用與網絡管理增添了深層次難度。要想徹底解決這一問題，就必須做到內網資源與使用者的IP地址脫鉤，使資源訪問權限，僅與訪問網絡的具體用戶相綁定，從而達到用戶所獲信息與其對應的權限相匹配。因此，需要將學院所有的應用系統(tǒng)統(tǒng)一整合，在此基礎上，建設統(tǒng)一用戶認證平臺，通過對用戶訪問權限設定，決定用戶獲取信息的權限，從而達到最終消除內網的地理空間概念。