VPN技术在图书馆网络互联中的应用(2)

        2 利用VPN实现图书馆网络互联
        要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理，并有效地利用各总馆与分馆的资源，进行内部业务交流和开展读者服务工作，必须解决两个问题：第一，要建立图书馆网络间的安全通道，保护链路的通讯安全。第二，要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。
        2.1 采用自建方式构建VPN网络 虽然可以通过ISP（Internet Service Provider，网络服务提供商）的中心交换设备来构建专用通道，但公共图书馆内部局域网互联速度相对较快，所以图书馆VPN网络互联宜采用自建的方式。其优势如下：①多数公共图书馆都具备良好的计算机基础设施和内联局域网，接入因特网带宽有百兆、甚至千兆，而总馆在这方面的优势更加突出。在此基础上自建VPN，既便捷又经济。②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略，满足不同级别的安全需要。
        2.2 VPN类型的选择 目前国内高校大多采用IPSec（IP Security）VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时，已日渐显得力不从心。
        在此情况下，SSL（Secruity Socket Layer）VPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处：一是它不需要配置，可以立即安装立即生效和使用；二是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；三是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的Internet IP即可成功接入图书馆。
        但SSL VPN并不能取代IPSec VPN，因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个局域网之间通过Intemet建立安全连接，是实现点对点之间的通信。并且，IPSec工作于网络层，不局限于Web应用。从高校应用来看，由于SSL接人方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说，集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时，就极易造成该IP被禁用，从而导致所有SSL用户无法继续访问图书馆。
        为解决这个问题，可以将图书馆大量的校外用户分为两类，一类是使用图书馆资源较为频繁、访问数据量较大的用户（比如教师，但用户数量少）；另一类则是使用次数较少、访问数据不多的用户（比如学生，但用户将数量多）。通过用户划分，我们给教师用户分配IPSec接入方式，这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题；而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSL VPN无需部署客户端的特性来降低客户端的维护工作量，从而实现VPN在图书馆应用的快速部署。        目前，许多VPN产品都能提供多种VPN接入形式，如：CiscoASA5500系列可以在单一平台上提供IPSec和基于SSL（SecureSocketsLayer，安全套协议）的VPN服务，避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。