ＶＰＮ技术在图书馆资源共享中的应用

　　摘要　本文在介绍VPN技术的基础上，就如何利用VPN技术解决图书馆资源远程利用问题提出了具体的解决方案。
　　关键词　公共图书馆；VPN技术；虚拟专网；资源利用
　　
　　互联网的普及、移动通讯技术的进步、信息化程度的提高，使图书馆的信息服务工作发生了翻天覆地的变化，同时，资源共享工作也面临着前所未有的重大挑战。借助图书馆平台，把全国各地和广西的优秀资源通过先进的技术进行共享，并推动全区数字图书馆网络平台的建设，这种现状迫使图书馆将数字资源远程访问等课题提上工作日程。面对这种情况，VPN技术为我们提供了一套可管理、可认证、安全的远程访问数字资源的解决方案。
　　
　　1　二种VPN的简介
　　
　　VPN(Virtual Private Network，虚拟专用网)是一种通过对网络数据进行封包和加密，在公网上传输私有数据，同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全，实现了利用公网通过加密等手段来实现单位组织自己的“专用网”。IPSec VPN、SSLVPN是目前使用主流的Intemet远程安全接入技术，它们具有类似功能特性，但也存在很大不同和各自擅长的应用取向。
　　
　　1.1　IPSee VPN
　　IPSec意思为“因特网安全协议”。IPSee协议是网络层协议，它是为保障IP通信而提供的一系列协议族，针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一整套隧道、加密和认证方案。通信双方要建立口Sec通道，首先要采用一定的方式建立通信连接。在IPSec协议中，一旦IPsec通道建立，任何IP应用都可以通过它，并且在访问内网资源时，远程用户与本地局域网内的用户几乎一样，但移动用户需要安装客户端软件。增添了使用和维护的复杂度。
　　
　　1.2　SSL VPN
　　SSL中文名为“安全套接层协议”。SSL协议是保障在Internet上基于Web的通信安全而提供的协议。SSL VPN保障Web浏览器和Web服务器之间的信息安全。它提供的是应用程序的安全服务。而不是网络的安全服务，因此，也常被称为“应用程序层的VPN”。由于常用的Intemet Explore、NetscapeNavigator等浏览器都内嵌了SSL协议。SSL的客户只需登入浏览器即可连入总部服务器，使用灵活，所以它是移动接入的最佳解决方案，但对许多C／S应用程序不兼容，且不能网对网互连。
　　
　　
　　1.3　二种VPN接入方式的比较
　　从以上看出，IPSEC和SSL VPN各有优缺点，互为补充，目前最好的方式是，采用IPSEC／SSL二合一的VPN安全网关，这样能够充分发挥IPSEC和SS—LVPN各自的技术优势，而且一机二用，无需分别购买两种网关，节省费用。
　　
　　2　图书馆VPN网络设计方案
　　
　　根据图书馆VPN信息系统实现的目标，是保障信息系统资源不受未授权的泄露、修改和任何形式的损害，从而实现信息资源和系统的保护。因此，图书馆的VPN系统应该遵循需求、风险、代价平衡的原则，综合性、整体性原则，一致性、易操作性原则，适应性、灵活性和保护性原则。
　　广西公共图书馆为实现全区公共图书馆间的网络互联和数据的调用，目前将建立基于VPN技术以广西壮族自治区图书馆和广西壮族自治区桂林图书馆为中心，辐射全广西各级公共图书馆的虚拟专网，实现数字资源的共享利用。实现方式是：广西壮族自治区图书馆和广西桂林图书馆两个网络系统之间通过VPN互联，其他市县级图书馆按区域分别接入这两个中心并受到这两个中心的管理，因此对于安全性、传输速度、稳定性以及要求都比较高。由于我区图书馆全区联网是分步骤逐步进行的，一方面纳入全区VPN系统的公共图书馆类型多样，有市、县级的，也有乡镇、社区综合文化站和各馆流通点的，规模大小不一，在中心端图书馆VPN网络规划上需要从安全、速度、稳定性、易于管理等多个方面来考虑。另一方面不但要考虑系统的多用性，还要解决需要共享图书馆资源的用户和图书馆相关人员外出时远程使用图书馆系统资源的问题，为此，在VPN网络的建设中，我们提出如下要求。
　　
　　2.1　注重VPN互联访问速度
　　搭建VPN的目的就是要保证全区各市县能够共享数字资源。由于是通过Intemet搭建的VPN网络，其速度受到多方面的影响，尤其是需要对于线路带宽的保证。这一方面涉及接入带宽的大小，另外一方面也涉及对于Internet的合理使用，因而，对于VPN设备来说，最好支持同时通过多条Intemet线路与中心节点的设备建立VPN隧道。
　　
　　
　　2.2　要求方便集中管理
　　由于搭建VPN网络，整个网络结构复杂，由于各市、县的人员有限，不可能有太多专业人员来负责网络，因此该设备还应该具有良好的易管理性，具备集中管理安全中心(Secure Center)功能，通过集中管理安全中心完成对整个网上几十个个VPN网关和上百个移动的部署和维护，将极大地降低网络管理的成本，并消除因不同VPN策略造成的安全漏洞。
　　
　　2.3　注重内外网络的安全性
　　由于VPN是网关型产品，全区公共图书馆通过VPN连接后，如果不能够很好地解决外部攻击以及内部病毒的泛滥将会带来极大的安全隐患。用户在图书馆外时可以通过SSL VPN(经过认证后)访问图书馆授权访问资源，省级和市、县级图书馆则使用IPSec VPN实现LAN TO LAN的互访。图书馆部署的网关不但要具有VPN功能外，还要能够抵御Intemet的攻击以及对内网进行有效管理。
　　
　　3　设备选择部署实施
　　
　　按照我们提出的VPN设计方案要求，我们对SINFOR MS100－S VPN网关和5100－AC进行了测试，5100－S是深信服科技IPSec／SSL VPN一体化系列产品中面向中小企业、区域总部推出的百兆VPN产品，可以部署在中小企业的网络中心，也可以部署在大型企业较大分支机构的网络中心。该产品集成IPSecVPN、SSL VPN、防火墙功能。MS100－S的IPSec VPN功能可以低成本地实现和远程分支结构的网间互联，而M5100－AC也具备移动IPSECVPN的接入功能，方便县中心的移动VPN客户的接入需求，这对于县中心来说，可以发展本地的社区馆用户，提供县中心图书馆资源浏览和应用服务。而SSL VPN功能则最适合移动办公人员和合作伙伴的远程安全接人，防火墙功能还可以有效保证企业网络的Intemet人口安全。
　　具体实施是在广西壮族自治区图书馆和广西壮族自桂林图书馆分别部署及IPSec及SSL功能于一体的VPN设备，使用SSL VPN功能用于解决需要共享图书馆资源的用户以及图书馆相关人员外出时访问内部系统的问题。在市、县中心部署集成IPSEC功能的防火墙，使用IPSECVPN解决网关到网关的互联问题。
　　在采用SSLVPN访问时，总部和分支的移动用户可以采用B／S方式，浏览中心机房开放的资源。在采用IPSEC访问的方式，可事先对总部和分支的IP地址进行规划，互不冲突，并对用户访问的权限进行限定，比如只设置用户访问对外的服务器，其他都选择拒绝，然后对于这个用户分配一个虚拟内部地址，这个虚拟内部地址是可以采用内部空余的地址，这样外部用户进人就像接入局域网络的一台机器一样，可以访问定义好的对外服务器，就像内部局域网一样，对于采用C／S运行的程序来说，可以在外部运行，保证内网安全。