用VPN與DMZ技術(shù)改造校園網(wǎng)絡(luò )的研究

3．1 構建DMZ專(zhuān)區實(shí)現內、外網(wǎng)分離
1)郵件、網(wǎng)站、課程網(wǎng)站等服務(wù)器被直接掛在DMZ服務(wù)器的DMZ端口上，將DMZ端口設置為非屏蔽端口，外部用戶(hù)可以通過(guò)該端口進(jìn)行訪(fǎng)問(wèn)。
2)ftp、內網(wǎng)、教務(wù)、機房實(shí)訓室以及辦公室等通過(guò)代理服務(wù)器與DMZ服務(wù)器的MZ端口連接，設置MZ端口為屏蔽端口。
3)根據需求設置DMZ訪(fǎng)問(wèn)原則：
①內網(wǎng)可以訪(fǎng)問(wèn)外網(wǎng)：內網(wǎng)的用戶(hù)可以自由地訪(fǎng)問(wèn)外網(wǎng)。這一策略，需要按照函數(2)，進(jìn)行內外網(wǎng)IP地址轉換，將內網(wǎng)IP地址轉換為注冊IP地址bh；
②內網(wǎng)可以訪(fǎng)問(wèn)DMZ：內網(wǎng)用戶(hù)可以按照式(1)映射關(guān)系，通過(guò)內網(wǎng)IP地址使用和管理DMZ中的服務(wù)器；
③外網(wǎng)不能訪(fǎng)問(wèn)內網(wǎng)：內網(wǎng)中存放的是內部數據，這些數據不允許外網(wǎng)的用戶(hù)進(jìn)行訪(fǎng)問(wèn)；
④外網(wǎng)可以訪(fǎng)問(wèn)DMZ：外網(wǎng)訪(fǎng)問(wèn)DMZ需要進(jìn)行靜態(tài)IP地址映射，按照式(3)，完成源宿IP地址的轉換；
⑤DMZ不能訪(fǎng)問(wèn)內網(wǎng)：防止當入侵者攻擊DMZ時(shí)，內網(wǎng)也會(huì )遭受攻擊。
3．2 部署VPN，實(shí)現內網(wǎng)資源的異地共享
1)設置VPN與DMZ服務(wù)器
①在防火墻上部署VPN服務(wù)器，一端接防火墻，一端接DMZ網(wǎng)絡(luò )；
②為VPN服務(wù)器分配唯一公網(wǎng)注冊的IP地址bvpn；
③定義虛擬內網(wǎng)段IP地址，范圍從ap．到aq；
④修改DMZ訪(fǎng)問(wèn)規則，將ap．到aq段IP地址定義為內網(wǎng)IP地址；
⑤建立用戶(hù)信息資料庫，為每一個(gè)用戶(hù)建立唯一的認證信息，包括用戶(hù)名、密碼等；
⑥在VPN服務(wù)器端，部署端口監聽(tīng)程序，用于合法用戶(hù)的請求；
⑦對于合法請求，根據映射函數式(4)，進(jìn)行源、宿IP地址轉換，形成虛擬內網(wǎng)訪(fǎng)問(wèn)請求。
2)設置外網(wǎng)主機
①設置異地主機的網(wǎng)絡(luò )連接。按照系統提示，創(chuàng )建外網(wǎng)主機到校園網(wǎng)的“虛擬專(zhuān)用網(wǎng)絡(luò )連接”；
②輸入被連接VPN服務(wù)器的主機IP地址bvpn；
③在“連接”對話(huà)框中，輸入用戶(hù)名和密碼，創(chuàng )建連接。

4 結束語(yǔ)
在校園網(wǎng)建設中，通過(guò)引入DMZ與VPN技術(shù)，在充分保證內網(wǎng)資源安全的前提下，成功解決了異地用戶(hù)訪(fǎng)問(wèn)校內資源的難題。但是，在應用系統主導的獨立管理信息模式下，內網(wǎng)是一個(gè)地理空間概念，是將用戶(hù)使用內網(wǎng)信息的權限與用戶(hù)主機的IP地址進(jìn)行綁定，通過(guò)系統管理員對校園網(wǎng)內不同IP主機的權限設置來(lái)達到是否允許用戶(hù)使用與管理內網(wǎng)信息的目的。其實(shí)質(zhì)是通過(guò)約束機器的方法來(lái)約束人，既不靈活，也不方便，這無(wú)疑給用戶(hù)使用與網(wǎng)絡(luò )管理增添了深層次難度。要想徹底解決這一問(wèn)題，就必須做到內網(wǎng)資源與使用者的IP地址脫鉤，使資源訪(fǎng)問(wèn)權限，僅與訪(fǎng)問(wèn)網(wǎng)絡(luò )的具體用戶(hù)相綁定，從而達到用戶(hù)所獲信息與其對應的權限相匹配。因此，需要將學(xué)院所有的應用系統統一整合，在此基礎上，建設統一用戶(hù)認證平臺，通過(guò)對用戶(hù)訪(fǎng)問(wèn)權限設定，決定用戶(hù)獲取信息的權限，從而達到最終消除內網(wǎng)的地理空間概念。