選取合適的接入網(wǎng)方式是接入網(wǎng)項(xiàng)目中非常重要的一環(huán)，于是我們拿一個(gè)實(shí)例來(lái)說(shuō)明，在選取接入網(wǎng)方式時(shí)需要特別注意的地方，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。高校圖書館應(yīng)該選擇何種VPN技術(shù)以解決目前校外用戶合理訪問(wèn)圖書館各類資源的需求呢?從目前圖書館使用的情況來(lái)看，比較合理的應(yīng)用方式應(yīng)該是IPSEC和SSL共同使用。

正如我們前面所分析的，上游資源商對(duì)于資源的應(yīng)用是有限制的，除了限制發(fā)起請(qǐng)求的IP地址外，還會(huì)限制單個(gè)IP地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個(gè)類型，一類是使用圖書館資源較為頻繁、訪問(wèn)數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問(wèn)數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過(guò)用戶劃分，我們給訪問(wèn)量大但數(shù)量少的教師用戶分配IPSEC接入網(wǎng)方式，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個(gè)IP流量過(guò)大造成的問(wèn)題，而那些數(shù)量眾多但訪問(wèn)量小的學(xué)生用戶分配SSL接入網(wǎng)方式，利用SSL VPN無(wú)需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)VPN在圖書館應(yīng)用的快速部署。

經(jīng)過(guò)長(zhǎng)時(shí)間的測(cè)試，華師圖書館選擇使用國(guó)內(nèi)專業(yè)VPN廠商深信服科技推出了IPSEC/SSL 一體化VPN平臺(tái):Sinfor M5100-S。該產(chǎn)品在一臺(tái)網(wǎng)關(guān)上同時(shí)集成了IPSEC和SSL VPN功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度的降低整個(gè)VPN產(chǎn)品的投入，滿足教育行業(yè)低成本高效率IT建設(shè)的需求。

由于IPSEC客戶端在部署過(guò)程中需要進(jìn)行配置，這嚴(yán)重影響了整個(gè)VPN系統(tǒng)在圖書館應(yīng)用中的使用，對(duì)于大量的校外用戶來(lái)說(shuō)，VPN僅僅是其實(shí)現(xiàn)訪問(wèn)校園網(wǎng)資源的一個(gè)途徑，如果需要其掌握專業(yè)的技術(shù)才能應(yīng)用，必將極大影響整個(gè)應(yīng)用的部署。針對(duì)以上難題，深信服科技推出了基于USB KEY的客戶端零配置功能，可以將遠(yuǎn)程用戶的安全策略存儲(chǔ)在類似U盤的USB Key(又名DKEY)中。這樣遠(yuǎn)程用戶隨身攜帶標(biāo)識(shí)自己身份和存儲(chǔ)了對(duì)應(yīng)安全策略配置信息的DKEY，可以在任何一臺(tái)電腦安全的接入到圖書館。安裝好IPSEC客戶端軟件后，用戶無(wú)需進(jìn)行任何配置，只需要插入DKEY，輸入自己的密碼就可以完成接入網(wǎng)方式的選擇，做到了VPN客戶端零配置，和使用銀行取款機(jī)一樣安全方便。

多線路智能選路，解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)互連問(wèn)題

目前，大規(guī)模VPN網(wǎng)絡(luò)往往都是跨運(yùn)營(yíng)商的。但是國(guó)內(nèi)運(yùn)營(yíng)商間互聯(lián)互通的帶寬過(guò)低，導(dǎo)致不同運(yùn)營(yíng)商間的訪問(wèn)速度很低，嚴(yán)重影響了VPN的應(yīng)用效果。作為國(guó)內(nèi)領(lǐng)先的VPN和網(wǎng)絡(luò)安全研發(fā)產(chǎn)商，深信服科技在IPSec VPN 中，創(chuàng)新性地采用了多線路智能選路功能，并成功應(yīng)用到IPSec/SSL一體化網(wǎng)關(guān)-Sinfor M5100-S中。對(duì)于分布到不同運(yùn)營(yíng)商網(wǎng)絡(luò)的遠(yuǎn)程接入用戶，M5100-S會(huì)自動(dòng)遷移到最快的線路上。只要在VPN總部端，申請(qǐng)多條運(yùn)營(yíng)商線路，便能最有效地解決跨運(yùn)營(yíng)商之間連接延遲大、帶寬小的問(wèn)題。

若要解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)互連出現(xiàn)的問(wèn)題，通常其他方案則需要單獨(dú)購(gòu)買一個(gè)線路負(fù)載均衡器，才能實(shí)現(xiàn)多線路負(fù)載均衡的效果。而Sinfor M5100-S的多線路負(fù)載均衡，為高校圖書館節(jié)省了采購(gòu)成本，并且降低了日后的維護(hù)量。對(duì)于高校圖書館來(lái)說(shuō)，大量校外用戶是采用電信提供的ADSL等上網(wǎng)線路，其直接訪問(wèn)教育網(wǎng)資源的速度并不理想，利用多線路智能選路這個(gè)功能，圖書館僅需向電信運(yùn)營(yíng)商申請(qǐng)一條普通線路(如ADSL)，即可實(shí)現(xiàn)校外用戶的高速訪問(wèn)。

多種認(rèn)證方式，高安全性

SINFOR M5100-S中SSL VPN采用SSL協(xié)議加密建立安全的專用加密通道，除了使用1024位的非對(duì)稱密鑰加強(qiáng)安全性，還使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證，并使用PIN碼保護(hù)DKEY的安全。這種USB DKEY可以支持兩套VPN系統(tǒng)，安全方便。SINFOR M5100-S內(nèi)置有LDAP/AD、Radius、SecurID、短信認(rèn)證等多種安全認(rèn)證方式，可以根據(jù)相應(yīng)的安全級(jí)別，對(duì)客戶端組合幾種認(rèn)證方式，最大限度地保證了接入用戶的合法性。同時(shí)，由于在隧道連接過(guò)程中，SINFOR SSL VPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠(yuǎn)程客戶端入侵VPN網(wǎng)絡(luò)的可能。

更細(xì)致的訪問(wèn)控制功能、完善的用戶和資源管理

SINFOR M5100-S 通過(guò)獨(dú)特的角色管理功能，提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分。通過(guò)給不同用戶設(shè)置不同角色來(lái)分配訪問(wèn)授權(quán)，一個(gè)用戶可以賦予多個(gè)角色以適合各種復(fù)雜的組織結(jié)構(gòu)�；�于角色的訪問(wèn)限制為網(wǎng)絡(luò)提供了較強(qiáng)的安全性。通過(guò)合理的角色劃分，管理員可以根據(jù)遠(yuǎn)程用戶的身份和權(quán)限為其分配可供其訪問(wèn)的各種電子資源，如教師可以訪問(wèn)國(guó)外的各種資源，而學(xué)生用戶則僅能訪問(wèn)國(guó)內(nèi)教育網(wǎng)資源。通過(guò)行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問(wèn)記錄。

SINFOR M5100-S內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導(dǎo)入。 M5100-S支持LDAP/AD、RADIUS等第三方認(rèn)證，可以根據(jù)組、公用帳號(hào)、私有帳號(hào)等多種方式對(duì)用戶進(jìn)行管理。同時(shí)，M5100-S集成了組用戶并發(fā)限制、公用帳號(hào)并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在M5100-S直觀式管理圖形用戶界面(GUI)的實(shí)時(shí)監(jiān)控狀態(tài)欄中，可以實(shí)時(shí)地監(jiān)控用戶的接入情況，觀察整個(gè)VPN系統(tǒng)的運(yùn)行狀況。

支持動(dòng)態(tài)ip、方便易用

由于寬帶的普及以及ADSL資費(fèi)的降低，國(guó)內(nèi)中小型企業(yè)通常采用ADSL撥號(hào)等動(dòng)態(tài)ip的接入網(wǎng)方式。Sinfor M5100-S集成了深信服科技的基于web的動(dòng)態(tài)ip尋址技術(shù)，使的Sinfor M5100-S 在部署的時(shí)候無(wú)需固定ip，完全支持動(dòng)態(tài)ip。并且，當(dāng)企業(yè)在使用M5100-S的SSL VPN功能時(shí)，可以使用和IP Sec VPN 相同的webagent來(lái)解析網(wǎng)關(guān)的動(dòng)態(tài)ip，減少了管理員的維護(hù)量。移動(dòng)辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時(shí)，也更加便捷。由于支持動(dòng)態(tài)ip，M5100-S同樣也適合中小型企業(yè)。

傳統(tǒng)的IPSEC VPN在部署客戶端的時(shí)候，往往需要復(fù)雜的安裝和配置。借助于Sinfor M5100-S獨(dú)創(chuàng)的基于web的IPSec客戶端在線安裝方式，用戶可以很方便安裝使用IPSec VPN �？梢越Y(jié)合自身的需求，按需部署IPSec /SSL VPN網(wǎng)絡(luò)。

適應(yīng)廣泛

SINFOR M5100-S不僅提供對(duì)Web系統(tǒng)的安全訪問(wèn)，還能通過(guò)ssl proxy技術(shù)，實(shí)現(xiàn)對(duì)絕大多數(shù)C/S應(yīng)用的訪問(wèn)。不管是Windows還是Linux客戶端，甚至是手持設(shè)備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全的接入網(wǎng)方式。

集成防火墻，有效保護(hù)內(nèi)部服務(wù)

和多數(shù)SSL VPN不同，SINFOR M5100-S集成了高性能的企業(yè)級(jí)防火墻，對(duì)外只開放443端口，能有效保護(hù)內(nèi)部服務(wù)器免受來(lái)自Internet的各種攻擊，包括對(duì)開放端口的DOS攻擊。采用IPSEC/SSL一體化的VPN安全網(wǎng)關(guān)，可以很好的解決數(shù)字圖書館的遠(yuǎn)程訪問(wèn)應(yīng)用多方面的考慮，IPSEC/SSL VPN二合一的技術(shù)必將成為一種新的趨勢(shì)，被廣泛應(yīng)用和推廣。