利用ＶＰＮ技术重构高校财务网络.doc

利用ＶＰＮ技术重构高校财务网络 【摘要】随着我国高等教育从精英教育向大众教育的转变，以及高等教育内在发展要求，跨地域多校区办学模式在我国高校普遍存在为解决多校区分散核算而导致的财务数据“孤岛”问题，形成实时、统一财务数据链，专线组网方式或事前数据下发，事后数据合并的分散核算方式均不能满足财务信息化建设的发展需求和财务管理需要VPN技术因其实时性、安全性、可靠性、经济性、便移植、支持移动及远程办公等特点，必将成为多校区办学模式下高校财务信息化网络建设的主要方向本文通过简要介绍VPN技术，结合我校如何构建财务VPN网络平台及应用系统移植实例，了解VPN在高校财务信息化建设中的具体运用 　【关键词】高校财务；信息化建设；VPN网络；系统移植；应用前景　　 随着我国适应社会主义市场经济的教育体制及财政体制的逐步建立和完善，高校合并、扩招及高等教育办学质量提升要求，使高校办学规模急剧扩大，跨地域多校区办学模式是很多高校当前发展现状由于校区之间地域上的隔离，物理专线连接不经济、不便移植，而组建局域网又受距离瓶颈限制，各财务核算点的账务处理系统、学生收费系统及其他财务辅助系统等业务处理平台独立门户，没有统一的数据库服务器，造成信息不能实时处理，会计核算、学生缴费等业务处理都受校区的限制，给日常财务核算及管理工作导致极大不便，只有通过技术手段解决多校区办学模式下的财务系统数据实时处理问题，统一有效地加强全校财务管理，保证财务数据的安全和可靠传输。

VPN技术特点和高校财务强烈的现实需求，注定了二者结合是完美、典范运用 　　一 、VPN技术简介 虚拟专用网（VPN,Virtual Private Network）,被定义为通过一个公用网络(通常是因特网)上建立一个临时、安全的连接，就像一条穿过非安全网络的安全、稳定的隧道[1]它是对单位内部网在公用网上的扩展,它的架构中采用了多种安全机制,如隧道技术(Tunneling ）、加解密技术（ Encryption ）、身份认证技术（ Authentication ）及QoS机制，使用网络管理、资源管理和传统防火墙的的访问控制、地址转换、IP/MAC绑定、内容过滤、入侵防御等功能帮助远程用户、分支机构、商业伙伴及供应商同单位的内部网建立可信的安全连接，并保证数据的安全传输由于VPN可以通过互联网穿越单位内网，达到访问位于内网上数据库服务器目的，VPN技术在在电子商务、总公司与分支机构、科研单位、高等院校等相关领域的运用异常活跃　　 　　（一）隧道技术 　　网络隧道是指在公用网建立一条数据通道，让数据包通过这条隧道传输VPN的具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。

VPN解决方案中采用的隧道技术是一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装在它自己报文中要使数据顺利地被封装、传送及解封装，隧道通信协议是保证的根本，隧道协议可分为第二层（数据链路层）隧道协议L2TP、PPTP（点到点）等，第三层（网络层）隧道协议，如IPSEC、GRE 它们的区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的，前两种常用于远程访问，即客户端到网关连接，第三种可以很好实现分支机构互连，即网关到网管的连接IPSec协议是虚拟专用网络VPN主要采用的协议是IETF(Internet Engineer Task Force)正在完善的安全标准，受到了众多厂商的关注和支持通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性IPSec由Internet密钥交换协议、IP认证头AH(Authentication Header)和IP安全载荷封载ESP(Encapsulated Security Payload)组成 　（二）加解密技术信息加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容，防止通信线路上的窃听、泄漏、篡改和破坏。

信息发送时，通过数学方法，把这些明文信息翻译成密码形式，并附加密钥，拥有密钥的人将接收到的加密数据转换为原来的明文加解密技术在不段的发展和完善中，种类较多，常用的加密算法有DES（56位密钥）、三次DES（三重有效的DES密钥）、AES加密技术（可达256位密钥）三重DES和AES强度比较高，可用于敏感的数据信息加密三）用户认证技术众所周知,开放的公用网是很不安全的,来自外部的攻击和入侵难以避免高强度的数据加密可以达到保护数据目的，但却不能对客户端的合法用户和非法用户进行身份鉴别、权限分配及访问控制为防止信息不落入“敌手”，用户认证是防范网络入侵和威胁的第一道防线认证可通过传统的用户名加口令实现，也可以通过“电子证书（Ukey(u盾)）”或“数字证书”来完成　　 　　（四）访问控制技术既使通过身份验证用户，对资源能否访问、操作?访问、操作到什么程度？这就需借助网络访问控制来解决,安全就是有控制的访问它是对用户访问网络资源权限制订的条件约束规则，访问控制实质就是制订、设置系列访问策略，是网络安全防范和保护的基础策略四）IP地址转换技术（NAT）随着IPV6时代的到来，很可能互联网IP地址无法满足网络用户的需求的时代即将终结，但基于网络安全和VPN技术运用，我们不得不了解什么是NAT。

由于目前面临IPV4地址不够问题，很难为内网中每台电脑申请到上网的的合法IP，就不得不使用保留地址，由于保留地址不能直接访问互联网，保留地址与合法地址互相转换，就解决了内网与外网相互访问问题NAT不仅解决了lP地址不足，而且隐藏内部网络拓扑及真实IP，能够有效地避免内网来自网络外部的攻击网络管理、资源管理、IP/MAC绑定、内容过滤、入侵防御等内容、方法和功能因涉及基础网络知识，在此不再赘述　　（五）VPN的两种应用连接模式　　一是远程客户端到网管连接远程用户（如单位流动远程办公人员、出差人员或二级核算单位财务报账点等）要访问位于单位总部内网中数据信息，先通过拨号接入本地的ISP后，就可以通过专用的VPN客户端拨号软件建立与单位总部VPN网关连接，它是一种安全的经济的连接模式二是VPN网管到网管连接对于分支机构与分支机构之间，分支机构与单位总部之间，为实现局域网与局域网信息间访问，可分别安装VPN网关，建立VPN网管到网管的安全连接二 、我校财务信息化建设中VPN网络构建实例 下面以笔者所在高校构建财务VPN网络系统为例，说明VPN技术在多校区或分级核算模式下高校财务信息化建设中的应用，它是集高安全、便维护、经济性、适用性的财务VPN解决方案。

一）学校财务信息处理及网络现状 　　我校目前由狮子山校区、成龙校区、东校区三个部分组成，三个校区相距数公里，因多模式办学财务管理体制原因，每个校区又存在多个二级核算单位，一级财务核算在狮子山校区完成，财务中心数据机房设置在狮子山校区由于不可能将各校区及二级核算单位构建财务局域网，也没有用采用物理专线连接,实行VPN网络方案之前，各校区及二级核算单位自建局域网，分别安装核算系统、收费系统及其他财务辅助系统分条块核算，年末以报表合并方式完成财务工作造成人员使用、账务处理、经费控制、统计分析、资金管理、财务预决算极大不便，资金使用效益不高，财务工作量较大部分客户端因工作需要，通过校园网加入了不信任的互联网,没有通过地址转换及访问控制策略，财务数据存在极大的安全风险二）构建高校财务VPN系统　1. 总体方案 　　由于学校校园网络已覆盖每个校区的每个办公点，因此财务VPN网络可以依托校园网为基础平台，在三个校区（或二级单位）建立Intranet VPN，运用VPN的两种应用连接模式，建立覆盖各校区、各二级财务机构及远程、移动任何办公点的财务VPN网络方案，实现能访问设置在狮子山校区的财务数据库，达到建立统一实时的财务数据库目的，借助VPN技术特点，保证财务数据处理、传输的稳定性、安全性及经济性。

2．组网设备目前，市场上大多数生产厂家把VPN网关集成到防火墙或路由器上，基于防火墙本身具有较强的网络安全功能，我校实现财务VPN方案时采用了带内置VPN模块的企业级防火墙除狮子山校区外，考虑到成龙校区数据量、安全性及未来发展需求，特配置了一台带内置VPN模块的防火墙，建立网关到网关型VPN连接方式；其他校区（含二级单位核算点、远程用户、移动用户）采用厂商提供的专用拨入软件，与狮子山校区建立隧道，形成远程客户端到网管型连接方式设备清单如下：①天融信NGFW 4000 TG-4324-Y防火墙两台;②IPSEC VPN模块IPSECVPN-MODULE两块;③IPSECVPN-VRC-LICENSE IPSEC VPN隧道并发许可使用权50人;④TopSEC-KEY用于管理器的USB KEY方式认证及VPN密钥存储;⑤天融信入侵检测系统TopSentry 2000系列TS-2204-IDS-Y型号;⑥安全审计服务器（我校未使用）;⑦天融信入侵检测系统TopSentry 2000系列TS-2204-IDS-Y型号⑧远程客户端拨入VPN软件；⑨主财务服务器一台（可考虑一台备份服务器）、客户端主机及交换机（建议用带管理功能的三层交换机）一批，必要的连网线及UPS电源。

3.具体架构及设置 由高校财务VPN构架方案图所示，通过在狮子校区和成龙校区分别安装一台天融信NGFW4000型防火墙（带VPN模块），在两个校区之间就建立网关对网关型的财务VPN，在防火墙的通信策略中建立基于IPSec协议的通信策略、3DES数据加密的VPN互连 高校财务VPN构架方案图　建立VPN系统关键是系统配置及各种策略的制订第一次配置VPN防火墙可以通过使用串口线将管理计算机与防火墙的CONSOLE口连接后，通过windows操作系统自带的“超级终端”程序登陆后以命令方式完成基本配置在两台防火墙上先在系统管理中开放相关区域和控制地址的IPSECVPN、TELNET、PING及WEBUI服务；然后添加静态路由，指明VPN防火墙外网出口网关；接着定义内、外网接口及相应IP地址(两个校区内网不能在同一个网段,每一个内网为了便于管理控制，可以再划分为多个WLAN)，绑定内网IP地址和MAC ADDRESS；在资源管理中定义和设置地址、属性和区域；在传统防火墙设置中，设置阻断策略、地址转换（若允许内网能访问外网设置源转换，若内网计算机承担着WEB服务器功能，要设置目的转换）、访问策略当中设置为默认情况下禁止对防火墙保护区域的访问，在此基础上再配置允许对相关区域所属资源的访问服务、访问端口及访问权限；在宽带策略当中设置好各区域的带宽以充分满足业务处理的稳定性不因带宽问题而有所影响；在虚拟专网设置中，为建立静态隧道，首先进行建立隧道的默认参数设置：在狮子山校区及成龙校区协商模式均设置为主模式、认证方式可设置为共享密钥或数字证书方式、加密算法设置为3DES、校验算法设为MD5、IPSEC-Sa的安全政策属性设置为隧道模式及安全载荷封载ESP；在建立静态隧道设置中，分别在两个VPN防火墙中的本地客户端输入内网网段和掩码，远端主机输入对端公网IP，远端客户端输入对方内网网段及掩码，设置完毕后，若隧道建立成功，系统状态就显示为“第二阶段协商成功”信息。

对于我校东校区、其他二级财务机构、校内各部门、移动及远程用户，基于业务量小，使用时间短，考虑成本需要，通过安装天融信VPN远程客户端（VPN Remote Client），建立VRC与狮子山校区网关之间财务型VPN模式利用虚拟专网的VRC管理功能，在VPN防火墙上建立远程客户端相应用户名、密钥及虚拟I。