清华大学SSL VPN项目案例剖析

    清华大学SSL VPN项目背景

　　作为全国著名高校，清华大学的校园信息化建设始终走在全国高校的前列，引领着教育行业网络建设和信息化建设的发展方向。十多年来，在各级领导的关怀和支持下，清华大学校园网已建设成为世界上规模最大的先进校园网之一。清华大学计算机与信息管理中心成立以来，卓有成效地开展数字校园建设的网络基础服务研究，为数字校园的建设提供技术支持与服务；负责清华大学信息系统的规划、设计、开发；学校计算机网络教学和远程教育系统研究、设计与开发；负责全校非电类专业各系的计算机基础教学工作和上机任务，同时还承担CAI的研究与开发。

　　在信息安全方面，清华大学校领导和校信息中心等有关部门领导更是高度重视，在构建先进的校园信息化网络的基础上，还要保证校园网络的稳健和安全。信息中心SSL VPN项目就是在这样的信息化和安全化的大气候下实施的。本着高标准、严要求的标准，在产品的选型上面对如为产品进行了极其严格的筛选。具体说就是要求产品既要提供强大的功能和优越的性能，又要有很好的安全性、稳定性，而且还要能和清华大学现有的网络整体规划相适应，实现与既有的网络应用无缝集成。

　　O2Micro公司自主研发的SSL VPN产品Succendo系列和ASIC千兆线速防火墙SifoWorks系列是业界领先的SSL VPN产品和防火墙产品。以Succendo为例，优越的性能、丰富的应用功能、稳定可靠的双机热备、简单易用的友好界面和非常灵活的客户定制特性给客户留下了非常良好的印象，这也是Succendo 2000冲破其他大牌厂商的包围最终胜出的原因所在。

　　清华大学SSL VPN项目特点

　　随着教育信息化的发展，清华大学校园网络建设呈现出越来越多的应用需求，也具备了很多新的特点：

　　1．大规模应用下的VPN接入需求。运用专线网络、普通拨号接入作为校区互联应用的基础，已经不是满足远程接入的必要手段。VPN技术的实现，特别是SSL VPN在B/S、C/S构架的网络上全面适应，以及高强度加密保障传输安全等性能，已逐步形成一种主流的替代模式。

　　2．移动访问校内信息，例如数字图书馆，校内各种服务器等。校园数字图书馆的应用越具规模，从工作人员将自身馆藏书籍数字化开始，到与商业化合作购买阅览版权，再将数据与校园网共享，让校内外师生都能方便查询电子文献资料。另外就是广大师生已经习惯并且开始依赖于远程办公和远程访问校园服务器内的课件等资源。这是以教育信息化直接面向师生应用较为广泛的需求。

　　3．大流量应用的负载均衡和高可用性。广大师生对校内资源的访问相当频繁，而且网络学堂和网络教室对网络的可用性和可靠性提出了更高的要求。大流量的数据在传输过程中，又会导致带宽瓶颈等问题。

　　4．和既有的网络设备和网络环境无缝集成。清华大学校园网内的网络规划非常复杂，很多网络设备的配置相当严格，而且很多应用系统都是学校师生自主开发的，所以新设备的引入必须能够和现有的网络设备和网络环境很好的兼容。

　　SSL即安全套接层（Secure Sockets Layer）是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术，常用于在Web浏览器与Web服务器之间建立安全通信通道。SSL VPN 的最大优势在于Web。SSL 在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处，首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要繁琐的安装，直接利用浏览器中内嵌的SSL 协议就行；第三个好处是兼容性好，传统的IPSec VPN 对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN 则完全没有这样的麻烦。

　　SSL VPN产品的引入，非常好地满足了校园网信息化建设中产生的以上新的需求。以SSL VPN安全产品作为校园网络中心网关，让用户群通过SSL方式建立专用安全隧道，再以Web浏览器进行远程登陆。既解决了安全接入，又缓解专线占用的高额费用问题。 一般的SSL VPN产品都提供负载均衡和双机热备功能，可以在出现大流量数据的状况时，根据调度算法和动态权重分配计算，将数据分流到备用服务器，以减免主服务器的超负荷运行，同时提高了资源的利用率消除冗余。而且在一台SSL VPN设备出现故障的时候可以将流量无缝切换到另外一台备机上面，提供很高的可靠性。针对和现有网络的无缝集成要求，不同厂商的产品提供不同程度的定制化功能，这个和厂商产品应用的灵活性和服务态度不无关系。 

[1] [2] 下一页  

【责编:Zenghui】