選取合適的接入網(wǎng)方式是接入網(wǎng)項目中非常重要的一環(huán)，于是我們拿一個實例來說明，在選取接入網(wǎng)方式時需要特別注意的地方，在這里拿出來和大家分享一下，希望對大家有用。高校圖書館應(yīng)該選擇何種VPN技術(shù)以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看，比較合理的應(yīng)用方式應(yīng)該是IPSEC和SSL共同使用。

正如我們前面所分析的，上游資源商對于資源的應(yīng)用是有限制的，除了限制發(fā)起請求的IP地址外，還會限制單個IP地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配IPSEC接入網(wǎng)方式，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個IP流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學(xué)生用戶分配SSL接入網(wǎng)方式，利用SSL VPN無需部署客戶端的特性大大降低客戶端的維護工作量，從而實現(xiàn)VPN在圖書館應(yīng)用的快速部署。

經(jīng)過長時間的測試，華師圖書館選擇使用國內(nèi)專業(yè)VPN廠商深信服科技推出了IPSEC/SSL 一體化VPN平臺:Sinfor M5100-S。該產(chǎn)品在一臺網(wǎng)關(guān)上同時集成了IPSEC和SSL VPN功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時一體化的設(shè)計能夠大幅度的降低整個VPN產(chǎn)品的投入，滿足教育行業(yè)低成本高效率IT建設(shè)的需求。

由于IPSEC客戶端在部署過程中需要進行配置，這嚴重影響了整個VPN系統(tǒng)在圖書館應(yīng)用中的使用，對于大量的校外用戶來說，VPN僅僅是其實現(xiàn)訪問校園網(wǎng)資源的一個途徑，如果需要其掌握專業(yè)的技術(shù)才能應(yīng)用，必將極大影響整個應(yīng)用的部署。針對以上難題，深信服科技推出了基于USB KEY的客戶端零配置功能，可以將遠程用戶的安全策略存儲在類似U盤的USB Key(又名DKEY)中。這樣遠程用戶隨身攜帶標(biāo)識自己身份和存儲了對應(yīng)安全策略配置信息的DKEY，可以在任何一臺電腦安全的接入到圖書館。安裝好IPSEC客戶端軟件后，用戶無需進行任何配置，只需要插入DKEY，輸入自己的密碼就可以完成接入網(wǎng)方式的選擇，做到了VPN客戶端零配置，和使用銀行取款機一樣安全方便。

多線路智能選路，解決跨運營商網(wǎng)絡(luò)互連問題

目前，大規(guī)模VPN網(wǎng)絡(luò)往往都是跨運營商的。但是國內(nèi)運營商間互聯(lián)互通的帶寬過低，導(dǎo)致不同運營商間的訪問速度很低，嚴重影響了VPN的應(yīng)用效果。作為國內(nèi)領(lǐng)先的VPN和網(wǎng)絡(luò)安全研發(fā)產(chǎn)商，深信服科技在IPSec VPN 中，創(chuàng)新性地采用了多線路智能選路功能，并成功應(yīng)用到IPSec/SSL一體化網(wǎng)關(guān)-Sinfor M5100-S中。對于分布到不同運營商網(wǎng)絡(luò)的遠程接入用戶，M5100-S會自動遷移到最快的線路上。只要在VPN總部端，申請多條運營商線路，便能最有效地解決跨運營商之間連接延遲大、帶寬小的問題。

若要解決跨運營商網(wǎng)絡(luò)互連出現(xiàn)的問題，通常其他方案則需要單獨購買一個線路負載均衡器，才能實現(xiàn)多線路負載均衡的效果。而Sinfor M5100-S的多線路負載均衡，為高校圖書館節(jié)省了采購成本，并且降低了日后的維護量。對于高校圖書館來說，大量校外用戶是采用電信提供的ADSL等上網(wǎng)線路，其直接訪問教育網(wǎng)資源的速度并不理想，利用多線路智能選路這個功能，圖書館僅需向電信運營商申請一條普通線路(如ADSL)，即可實現(xiàn)校外用戶的高速訪問。

多種認證方式，高安全性

SINFOR M5100-S中SSL VPN采用SSL協(xié)議加密建立安全的專用加密通道，除了使用1024位的非對稱密鑰加強安全性，還使用DKEY(一種USB 的身份認證設(shè)備)進行雙因素身份認證，并使用PIN碼保護DKEY的安全。這種USB DKEY可以支持兩套VPN系統(tǒng)，安全方便。SINFOR M5100-S內(nèi)置有LDAP/AD、Radius、SecurID、短信認證等多種安全認證方式，可以根據(jù)相應(yīng)的安全級別，對客戶端組合幾種認證方式，最大限度地保證了接入用戶的合法性。同時，由于在隧道連接過程中，SINFOR SSL VPN僅僅使用443端口傳輸數(shù)據(jù)，大大降低了病毒從遠程客戶端入侵VPN網(wǎng)絡(luò)的可能。

更細致的訪問控制功能、完善的用戶和資源管理

SINFOR M5100-S 通過獨特的角色管理功能，提供了細致到每個URL和不同應(yīng)用的權(quán)限劃分。通過給不同用戶設(shè)置不同角色來分配訪問授權(quán)，一個用戶可以賦予多個角色以適合各種復(fù)雜的組織結(jié)構(gòu)?；诮巧脑L問限制為網(wǎng)絡(luò)提供了較強的安全性。通過合理的角色劃分，管理員可以根據(jù)遠程用戶的身份和權(quán)限為其分配可供其訪問的各種電子資源，如教師可以訪問國外的各種資源，而學(xué)生用戶則僅能訪問國內(nèi)教育網(wǎng)資源。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。

SINFOR M5100-S內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導(dǎo)入。 M5100-S支持LDAP/AD、RADIUS等第三方認證，可以根據(jù)組、公用帳號、私有帳號等多種方式對用戶進行管理。同時，M5100-S集成了組用戶并發(fā)限制、公用帳號并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在M5100-S直觀式管理圖形用戶界面(GUI)的實時監(jiān)控狀態(tài)欄中，可以實時地監(jiān)控用戶的接入情況，觀察整個VPN系統(tǒng)的運行狀況。

支持動態(tài)ip、方便易用

由于寬帶的普及以及ADSL資費的降低，國內(nèi)中小型企業(yè)通常采用ADSL撥號等動態(tài)ip的接入網(wǎng)方式。Sinfor M5100-S集成了深信服科技的基于web的動態(tài)ip尋址技術(shù)，使的Sinfor M5100-S 在部署的時候無需固定ip，完全支持動態(tài)ip。并且，當(dāng)企業(yè)在使用M5100-S的SSL VPN功能時，可以使用和IP Sec VPN 相同的webagent來解析網(wǎng)關(guān)的動態(tài)ip，減少了管理員的維護量。移動辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時，也更加便捷。由于支持動態(tài)ip，M5100-S同樣也適合中小型企業(yè)。

傳統(tǒng)的IPSEC VPN在部署客戶端的時候，往往需要復(fù)雜的安裝和配置。借助于Sinfor M5100-S獨創(chuàng)的基于web的IPSec客戶端在線安裝方式，用戶可以很方便安裝使用IPSec VPN ?？梢越Y(jié)合自身的需求，按需部署IPSec /SSL VPN網(wǎng)絡(luò)。

適應(yīng)廣泛

SINFOR M5100-S不僅提供對Web系統(tǒng)的安全訪問，還能通過ssl proxy技術(shù)，實現(xiàn)對絕大多數(shù)C/S應(yīng)用的訪問。不管是Windows還是Linux客戶端，甚至是手持設(shè)備，只要有SSL瀏覽器就可以方便的使用SSL VPN安全的接入網(wǎng)方式。

集成防火墻，有效保護內(nèi)部服務(wù)

和多數(shù)SSL VPN不同，SINFOR M5100-S集成了高性能的企業(yè)級防火墻，對外只開放443端口，能有效保護內(nèi)部服務(wù)器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。采用IPSEC/SSL一體化的VPN安全網(wǎng)關(guān)，可以很好的解決數(shù)字圖書館的遠程訪問應(yīng)用多方面的考慮，IPSEC/SSL VPN二合一的技術(shù)必將成為一種新的趨勢，被廣泛應(yīng)用和推廣。