对于很多高校来说,在校园信息化建设中,总免不了跨校区、二级单位等相距甚远的障碍。一方面给数据传输和共享带来了负担,另一方面也给建设全校一张网的信息化推进工作带来不便。如果使用租用专线的方式将分散各处的校园网应用系统用户连接互通,不但成本难以负担,线路利用效率也让人失望。
虚拟专用网(简称VPN)因为具有低成本、数据传输安全可靠、接入灵活等优点,在高校校园网建设中得到了广泛应用。这种利用公共线路建立的专用网络,根据安全级别、网络结构、接入端类型可以选择不同类型的VPN,以满足应用系统安全、方便用户接入等需求。为了保护专用网络安全,需要在专用网络与公共网络之间建起一道安全屏障,即防火墙。本文就以中国石油大学为例,探讨如何通过防火墙虚拟化应用于虚拟专用网而实现校园专用网络的互联互通。
中国石油大学:传统模式下,多专网互联存问题
中国石油大学(华东)目前有两个校区、一个办事处、一个产业基地,两两相距20到1000公里不等,师生因教学生活等原因会在不同的地点流动,均希望能享受与主校区相同的校园信息化服务。校园信息化系统中最基础的校园一卡通系统、学校财务综合管理系统、学校医疗医保系统需要根据各分支点的情况一个或多个延伸到不同的分支机构,由于安全等问题,各自专网必须相互隔离。
按照传统模式,主校区与各分支机构需要建立一个或多个并行的虚拟网络,将其各自专网进行互联互通,如校园一卡通系统需要使用多台VPN 设备将不同分支机构的一卡通专网进行互联,与此同时,学校财务综合管理系统和学校医疗医保系统均需要购买多台独立的VPN设备进行各自专网的互联互通,这就导致同一地点VPN设备重复购买多台,前期购买成本增加,而且存在有些VPN设备数据流量不大,浪费设备资源。
三大主要校园专网的特点
中国石油大学(华东)目前跨校区跨分支机构的基础专用网络主要有三个,即校园一卡通专网、学校财务管理专网、学校医疗医保专网三个,不同校区和分支机构有不同的专网接入需求,如图1所示。根据各自专网的用途,不同的虚拟专网有各自的特点:
校园一卡通专网分布最广,几乎遍布所有校区、所有分支机构。由于提供消费、门禁、设备管理、教学管理等各方面服务,校园一卡通专网具有终端节点特别分散且分布不均衡,业务持续时间长,网络数据量大等特点,而且存在金融类消费数据传输,数据传输中的安全性、完整性、稳定性要求较高,故一般经过广域网传输的数据均必须加密。
学校财务管理专网主要为学校财务预概算、报销业务办理、住房公积金管理等业务提供服务保障,一般只能向分校区和具有财务管理权限的分支机构提供接入服务。财务管理人员一般集中在一个或几个地方,办公地点比较固定,偶尔有出差外地访问的需求。由于财务管理系统一般子系统比较多,各子系统数据传输采用明文或密文的方式,安全性无法完全保证,从较高的安全界别考虑,跨区域不可控网络必须对数据进行加密。
学校医疗医保专网主要用于两校区校医院内部医疗管理系统,存在金融数据传输,同时,两校区均需要访问地方医保专网进行医保报销等业务办理,数据传输安全性要求较高。
综合以上特点,三个专网均对数据传输的安全性、稳定性要求较高,同时部分专网有对移动端的接入需求,故可以采用IPSec VPN模式,实现网络对网络的连接和网络到终端的连接。
使用防火墙虚拟化技术,实现各专网使用虚拟网方式进行互联
防火墙作为一款安全设备,集成了IPSecVPN、PPTP等常见类型的VPN,是可以满足校园专用网对VPN的需要的。防火墙虚拟化是将一台物理防火墙划分成多个逻辑防火墙,多个逻辑防火墙共享物理防火墙硬件资源,各个逻辑防火墙间网络相互隔离,每个逻辑防火墙有独立的资源、管理、策略、认证信息等。
中国石油大学(华东)主校区和分校区有校园一卡通、学校财务、医疗医保三个专网,办事处只需要接入校园网一卡通专网,产业基地需要接入校园网一卡通和财务管理专网,根据上述情况,将有多个专网接入需求的地点采用共享的方式,如图2所示。
防火墙虚拟化后,根防火墙只负责设备的管理及虚拟防火墙的维护,保障物理虚拟防火墙的网络安全,一般由学校信息化或校园网管理部门管理;各逻辑防火墙接入到各自专网,并与其他防火墙上相应的逻辑防火墙建立虚拟网链路,组成虚拟专用网,并根据安全需要配置相适应的网络安全策略,也可以配置移动用户账号以满足移动用户的接入需要,对于虚拟防火墙的管理员和用户是完全透明的。
使用防火墙虚拟化的方式组建VPN网络后,原有的VPN设备基本上被淘汰,取而代之的是几台防火墙设备。虚拟网设备采购成本更低,硬件资源在不同虚拟网之间动态调整,设备利用率得到较大提升,同时,由于物理防火墙可以在资源足够的情况下建立更多的虚拟网,设备扩展空间很大。除此之外,由于使用虚拟化技术,省去了采购时间,虚拟网搭建速度大大提高,甚至可以作为一种服务来提供给用户。
↙更多精彩文章请猛戳!!!