远程访问(精选10篇)
远程访问 篇1
1 引 言
随着网络的普及应用,计量测试业务中已逐渐将远程数据访问技术应用到测量系统中。使用Microsoft ActiveX Data Objects (ADO)通过 OLE DB 提供者对在数据库服务器中的数据进行访问和操作。其主要优点是易于使用、高速、内存消耗低和占用磁盘空间较少。ADO 支持基于客户端/服务器和浏览器/服务器模型的应用。
RDS是ADO的组件,它提供快速且高效的数据连接,并为基于IE浏览器的应用程序提供数据发布框架。它采用C/S架构和分布式技术,使用HTTP,HTTPS和DOCM应用协议。通过 RDS 可以实现将数据从服务器移动到客户端应用程序或Web 页、在客户端对数据进行处理然后将更新结果返回服务器的操作。RDS改善了客户端性能和灵活性。
2 三层应用程序模型
远程数据服务技术建立在3层应用程序模型基础上。该模型包括客户端层、中间层和数据源层。
客户端层 运行Web 浏览器或单独编译的前端应用程序。Web 浏览器显示的Web 页面可以显示并处理来自远程数据源的数据。或者由前端应用程序显示并处理来自远程数据源的数据。
中间层 运行封装了组织业务规则的组件。中间层组件可以是在 Internet Information Server 上执行的 Active Server Pages 脚本,或者是单独编译的可执行文件。
数据源层 运行数据库管理系统 (DBMS),该管理系统可以是 Microsoft SQL Server 数据库或者其他的SQL数据库。
这些层不必对应网络上的物理位置。所有三层可只存在于2台计算机上。一台计算机运行Web浏览器,另一台计算机运行 Internet Information Server 和 Microsoft SQL Server;或者,一台计算机运行前端应用程序,另一台计算机运行中间层组件和 Microsoft SQL Server。
3 RDS对象模型
RDS对象模型包括3个主要的对象: RDS Server.DataFactory,RDS.DataSpace,RDS.DataControl。如图1所示。
3.1 服务器端对象RDSServer.DataFactory
RDSServer.DataFactory对数据源执行 SQL 查询并返回 Recordset 对象,或从客户端获得 Recordset 对象并更新数据源。RDS.DataFactory 不进行任何验证,也没有建立业务规则。如果需要具备验证和业务规则功能,则必须创建自定义业务对象来取代RDS.DataFactory对象。Visual Basic 6.0 企业版是创建自定义业务对象(ActiveX DLL)的一个很好用的工具。创建ActiveX DLL后,必须在服务器上注册,还必须在中间服务器上添加 DLL 的 PROGID 到系统注册表入口中给予 DLL 启动的权限:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersADCLaunch]
3.2 客户端对象RDS.DataSpace和RDS.DataControl
RDS.DataSpace 是一个非可视的客户端对象。它允许用 RDS 通过 HTTP,HTTPS 或 DCOM 创建一个位于远程服务器上的业务对象实例。RDS.DataSpace 为业务对象创建一个客户端代理。客户端代理帮助在不同的机器之间压缩、传送 (组织)和解压缩ADO记录集。
DataSpace对象负责与服务器进行通信,同时也是数据传输的通道。DataSpace对象由客户端脚本语言或用HTML语言中的
RDS.DataControl数据控件负责数据的存储及管理。它与HTML元素绑定在一起才能显示数据。数据控件为HTML元素提供数据,由HTML元素将数据显示在Internet Explorer 的 Web 页上。
绑定数据控件与HTML元素,需要设置HTML元素2个属性DATASRC和DATAFLD。DATASRC,确定包含数据的数据控件。在数据源名称前总是要加一个“#”。DATAFLD,确定绑定数据控件中的哪个字段。这些字段是数据控件管理的数据中的列名。对于一个数据库,就是表中的列名。
RDS.DataControl 对象也有其自己的方法用于定位、排序和筛选记录。这些方法与ADO Recordset 对象的方法相似。
3.3 RDS事件
RDS支持2个独立于ADO事件模型的自身事件:onReadyStateChange,onError。
在RDS.DataControl 的ReadyState 属性更改时调用onReadyStateChange事件,以此对异步操作的完成、结束或出现错误等发出通知。
当发生错误时,包括在异步操作执行的过程中发生错误时,调用onError事件。
4 RDS编程模型
RDS通过 Internet Information Server访问和更新数据源。编程模型则指定为完成这个目的所必需的活动序列。
RDS实现三层应用程序环境中的数据远程访问:客户端应用程序指定将在服务器上执行的程序,并指定用来返回相应信息的参数。服务器上被调用的程序访问指定的数据源、检索信息、对数据进行相应处理,然后将结果信息返回给客户端应用程序。
RDS 按照以下编程模型工作:
(1) 创建DataSpace对象,并指定服务器上运行的程序(DataFactory或自定义业务对象)。
(2) 将参数传送到服务器程序并调用服务器程序(DataFactory或自定义业务对象)。服务器程序通过ADO 访问数据源。
(3) 服务器程序从数据源获得Recordset 对象。DataFactory可以对Recordset 对象进行处理。
(4) 服务器程序与DataSpace对象协作将Recordset 对象返回客户端DataControl对象。
(5) DataControl对象与HTML可视化控件绑定,Recordset 对象被转换成为便于可视化控件使用的格式。
(6) 对客户端Recordset对象所做的修改都将通过DataSpace对象返回给服务器程序DataFactory或自定义业务对象,服务器程序用这些修改后的记录集更新数据源。
RDS运行流程如图2所示:
4.1 RDS对象的创建顺序
先创建DataSpace对象:
4.2 Recordset对象的使用
Web 页上的可视控件无法直接访问Recordset对象。但可以通过 DataControl访问Recordset对象。当 DataControl的SourceRecordset属性设置为Recordset对象时,DataControl 便可被可视控件使用。将可视控件对象的DATASRC参数设置为 RDS.DataControl,并将 DATAFLD 属性设置为 Recordset 对象字段。
5 RDS的安全问题
在创建DataControl对象时,如果使用Connect和SQL属性,连接服务器的名称以及数据库的相关细节就暴露出来,获得DSN、用户标识符和密码信息的外部用户可以编写将任何查询发送到该数据源的页面。安全的做法是使用URL属性。这样,用户所见到的是一个ASP网页的URL地址,没有任何有关服务器和数据库的详细信息。
"URL" VALUE="DataPage.asp">
如果希望对数据源有更多的限制访问,可以取消注册并删除 DataFactory对象 (msadcf.dll),用自定义业务对象取代DataFactory对象。
6 结 语
RDS采用基于SSL(Secure Sockets Layer)的HTTPS协议,将记录集透明地缓存到客户端,在客户端处理数据后将修改的记录集提交给服务器更新数据源。避免反复访问服务器数据,节约了服务器资源,使得开发以数据为中心的基于网络的数据库应用程序更简单,提高了远程数据访问的安全水平,从而为计量测试业务中利用该技术进行远程数据访问提供了技术支持。
参考文献
[1]John V Petersen.ADO Jumpstart for Microsoft Visual Fox-Pro Developers,1999.
[2]Kamaljit Bath.Using the Customization Handler Feature inRDS 2.1,1999.
[3]Kamaljit Bath.Remote Data Service in MDAC,1998.
[4][美]Rob Thayer.Visual Basic 6揭秘[M].北京:电子工业出版社,1999.
[5]习胜丰.基于RDS与MTS的N层事务性Web数据库应用程序的构造与实现[J].计算机系统应用,2003(11):19-21.
[6]李宁,许林英.MTS资源管理深入分析及应用[J].计算机应用研究,2002,19(5):30-40,48.
[7]丁鹏,刘莉.C/S,B/S模式中的分布式计算与MTS解决方案[J].计算机应用研究.2000,17(12):60-62.
[8]彭江平,谢勇.利用RDS实现浏览器环境下的批量数据修改[J].微型机与应用,2000,19(6):55-58.
[9]刘福明,顾文涓,李莉,等.基于MTS的三层结构的研究与实现[J].计算机应用研究,2002,19(5):92-94.
[10]邓亚玲,王新房,潘永湘,等.RDS在Web基信息管理系统开发中的应用[J].计算机工程与应用,2002,38(3):135-137.
[11]赖学成,张薇薇.基于B/S结构的数据绑定技术及远程数据服务应用的构筑[J].计算机工程,2001,27(1):130-132.
[12]李革新,陈建新.基于Web数据库的开发方案及其编程模型研究[J].计算机工程,2001,27(12):191-193.
远程访问 篇2
想要在linux系统上远程控制windows桌面。
一.安装
用yum搜索到两个软件,安装后
rpm -q rdesktop
rdesktop-1.5.0-2.fc7 yum install rdesktop
rpm -q tsclient
tsclient-0.150-1.fc7 yum install tsclient
二.rdesktop的使用
rdesktop是基于命令行的工具,使用简单,用man rdesktop可查询命令参数
#rdesktop -f -a 16 10.10.136.148
即可连接远程的Windows桌面. -f表示全屏显示,-a 16 表示使用16bit色,后面是Windows服务器的地址 ,
用Ctrl+Alt+Enter可切换到linux桌面.
注意:退出远程桌面时要选择“注销”,不要选择“关机"。
二.tsclient的使用
tsclient是图形界面,命令行输入tsclient打开主界面,输入远程计算机IP,用户名和密码就可以连接。
使用tsclient,必须安装rdesktop.
tsclient安装成功后,可从菜单应用程序->Internet->终端服务客户端 打开.
三.Windows服务器端的设置
将XP的Terminal Services禁用,可以实现多用户登录,否则另一个用户登录,则原用户自动注销。
禁用Terminal Services方法:控制面板->性能维护->管理工具->服务->Terminal Services,右键选择属性,将启动类型选为已禁用。
远程访问 篇3
【摘要】本文以某公司高层领导chen1、chen2出差在外,欲访问公司内部财务报表为背景,设计实现了在win2008、win2003、winxp不同操作系统下,基于VPN安全远程访问的实现。其中win2008为域控制器,win2003作为域中存放财务报表的成员,winxp为高层领导所用客户端。
【关键词】VPN;远程访问;域
本文以某公司高层领导chen1、chen2出差在外,欲访问、修改公司内部财务报表为背景,利用VPN技术妥善地为出差在外的公司高层提供方便、安全、快捷的财务报表远程访问服务。VPN(VirtualPrivateNetwork,虚拟专用网络)利用公网来构建专用的网络,通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同网络的组件和资源之间的相互连接,并提供同专用网络一样的安全和功能保障。
一、虚拟专用网为用户提供的功能[1]
加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
二、基于Windows操作系统安全远程访问的实现方案
VMWare虚拟机软件是一个“虚拟PC”软件,VMware可以使你在一台机器上同时运行多个操作系统。VMWare是真正主系统“同时”运行多个操作系统的平台,就如标准Windows应用程序之间的切换。而且每个操作系统都可以进行虚拟的分区、配置而不影响真实硬盘的数据,可以通过网卡将几台虚拟机用网卡连接为一个局域网,极其方便。安装在VMware操作系统性能上比直接安装在硬盘上的系统低不少,因此比较适合学习和测试。本文首先在虚拟机上安装win2008、win2003、winxp三个操作系统,之后在win2008上进行DNS服务器的安装、配置与测试[2],创建域,将服务器win2003加入到域中。至此Win2008作为域控制器,安装有活动目录AD、DNS服务器;win2003作为成员服务器,即存放公司内部财务报表的服务器;winxp为客户端,代表高层领导。本文依据虚拟专用网络VPN实现资源的远程访问,远程访问的网络传输协议采用PPTP协议,允许L2TP连接。[3]原理图如下:
三、具体实现过程
基于Windows操作系统安全远程访问的实现主要包括一)在域中发布文件夹共享并设置权限;二)VPN服务器配置:(1)安装VPN服务(2)启用“路由和远程访问服务”(3)配置路由和远程访问服务;三)客户端配置和测试PPTP客户端。具体实现过程如下:
(一)在域中发布文件夹共享并设置权限
1.在win2003中创建文件夹,名称为财务报表,在文件夹中创建文本文档,名称为2015-12财务收支.txt;2.在win2008AD中新建用户。在“ActiveDirectory用户和计算机”窗口中,右击users-->新建用户chen1、chen2,设置密码;3.赋予chen1、chen2”完全控制”权限。在“计算机管理”窗口中,右击共享-->新建共享,创建文件夹共享中选择“财务报表”-->选择chen1、chen2,赋予”完全控制”权限;4.在文件夹“财务报表”属性框“安全”选项卡中,赋予chen1“读取”权限,chen2“读取”“写入”权限
(二)VPN服务器配置
1.安装VPN服务。在“服务器管理器”界面中,添加角色-->依据添加角色向导,在服务器角色中选择“网络策略与访问服务”-->选择“路由和远程访问服务”,进行安装。
2.启用“路由和远程访问服务”。(1)网络配置,使本地连接2的IP地址、DNS服务器与内网不在一个网段;(2)在“路由和远程访问”界面中,右击win2008-->选择“配置并启用路由和远程访问”-->选择VPN,配置此服务器接受VPN连接-->选择将此服务器连接到internet的网络接口本地连接2-->为远程客户端分配IP地址;(3)在chen1、chen2属性对话框“拨入”选项卡,设置网络访问权限“允许访问”“不回拨”。
3.配置路由和远程访问服务。(1)在“路由和远程访问”窗口,右击win2008,打开属性对话框-->在“安全”选项卡中,选择“允许L2TP连接使用自定义IPsec策略”,输入欲共享的密钥-->重启路由和远程访问服务;(2)右击“端口”,在端口属性对话框中,选择PPTP,配置最多端口数-->选择L2TP,配置最多端口数。
(三)客户端配置和测试PPTP客户端
1.在网络连接中创建一个新的连接,虚拟专用网络连接,输入公司名称client及VPN服务器的IP;2.右击虚拟专用网络client,在属性对话框中选择包含windows登录域;3.右击client-->連接-->输入用户名chen1、密码、域-->点击“连接”,显示client已连接;4.在开始-运行中输入win2003的IP地址,可以看到共享文件夹,远程访问成功-->尝试chen1用户只能读取,不能写入的权限;5.重复3.4.尝试chen2的连接及读取写入权限。
参考文献
[1]张冬英.VPN技术在计算机网络中的应用[J].网络信息化,2015(10):116-117.
[2]曹立志.常见WindowsServer2008服务功能的应用[J].技术研究,2014(19):83-85.
远程访问 篇4
实现VPN主要包括两种软硬件技术:一是采用专业硬件防火墙加嵌入VPN功能的硬件模块,如思科、天融信等。这种方式适用于大型企业网,VPN同时在线可以达到几千用户数,但其价格十分昂贵、软硬件升级不便,可扩展性较差;二是采用VPN软件加自行配置PC服务器硬件的方式,如ISA Server、RouterOS等集成VPN的软件。第二种方式价格低廉,可以根据网络架构、规模的大小和VPN用户数灵活的选配硬件,同时对操作系统自身的安全性和硬件的可靠性也提出了更高的要求。
1 ISA Server集成的VPN特性
ISA Server是美国微软公司研发的一款网络安全类软件产品,用于部署企业级防火墙、网络应用层防护和VPN远程访问等。ISA Server集成了高性能的VPN服务器,支持PPTP、L2TP/IPSEC和IPSEC隧道模式的VPN协议。通过新增的多网络支持和对VPN监控状态的检查,可以轻松的设置虚拟专用网络,同时又可以防止校园网受到恶意VPN连接的威胁。ISA Server本身又是一款企业级防火墙软件,所有预配置VPN客户端网络定义的访问策略都适用于VPN用户,并且受到防火墙全局策略的控制,网络安全级别较高。
ISA Server支持两种模式的VPN:
1)远程访问的VPN连接。ISA Server作为VPN接入服务器,需在服务器端为VPN用户配置访问权限。网络用户在家中或者外地通过ADSL、无线上网、小区宽带或其它方式与Internet连通,采用VPN虚拟拨号与ISA Server服务器建立连接,验证成功后登录到远程内部网络,安全的传输数据。
2)端对端的VPN连接。即路由器与路由器通过Internet建立VPN专用数据传输隧道,将专用网络的两个部分安全互连。必须为远程VPN用户所在的整个网络授予访问权限,两个远程网络内部的计算机可以通过VPN互访,就好像使用本地局域网一样方便。
2 VPN服务器的安装与配置策略
基于ISA Server的VPN服务器部署在网络边缘,即Internet与局域网内部核心层的交汇处。通常采用双网卡的服务器架构,一端连接Internet公网交换机,一端连接内网核心层交换机,如图1。
VPN服务器的安装和配置主要包括以下几个步骤:
1)构建一个安全稳定的VPN服务器操作系统平台。
为了确保VPN运行的安全、稳定和高效,建议采用WindowsServer2003企业版作为操作系统平台。配置高性能的多核心CPU处理器、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性,在线升级和安装全部补丁程序,修复已知的各种漏洞。安装防病毒软件,防止感染计算机病毒、各种木马程序和有害插件等。关闭默认的硬盘共享属性、禁用不必要的网络服务端口,如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码,强制采用强密码策略,以减小词典攻击的可能性。取消Microsoft网络的文件和打印机共享,仅保留Internet协议(TCP/IP)等,从整体上降低网络入侵的风险。
2)安装ISA Server软件并启用VPN服务器。
由于教职工在家中或者外地访问校园网内部资源主要采取“远程访问的VPN连接”方式,所以根据网络架构,将连接Interne公网交换机的网卡标识为WAN,连接内部核心交换机的网卡标识为LAN,并配置网络参数。其中LAN口网卡不必设置默认网关和DNS服务器地址,以防发生路由混淆。2块网卡的参数配置如表1。
选用ISA Server2006标准版,按照系统推荐的方式默认安装,指定LAN口网卡标识ISA内部网络。ISA Server安装完成后,重新启动操作系统。默认状态下ISAServer的VPN功能是禁用的,首先启用VPN服务器并且做相关配置。进入ISA主界面,在“VPN客户端任务”中,启用“VPN客户端访问”属性。主要设置2个选项,即“常规”一栏中的“VPN客户端访问”,设置允许的最大VPN客户端数量,如设置200个VPN客户的同时连接数。在“协议”一栏中,启用“可用于远程访问连接的隧道协议”,PPTP为远程访问提供一个安全的连接方式,即“启用PPTP协议”。其它两个栏目(组、用户映射)保留默认设置即可。在虚拟专用网络(VPN)属性中,点击“远程访问VPN客户端连接”,选择客户端可以从中启动到VPN服务器的连接网络为“外部”。在地址分配中,选择IP静态地址池,用于ISA Server服务器通过DHCP方式为VPN拨入用户动态分配IP地址。由于上述指定了200个VPN客户同时连接数,同时地址范围一定不能与已经定义了的内部网络和DMZ网络重复,因此设置10.0.0.1至10.0.0.200的A类IP地址池。在“身份验证”栏目中,选择Microsoft加密的身份验证版本(MS-CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
3)建立防火墙策略与VPN远程访问规则。
当ISA服务器处理网络数据传输请求时,首先严格检查网络规则和防火墙策略,以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则,必须仔细规划防火墙策略与VPN远程访问规则,才能实现安全的VPN访问功能。现提供如下范例,校园网内部的核心层是192.168.0.0网段,其中IP地址192.168.0.1用于发布教务系统,192.168.0.2用于发布办公系统,2台服务器均通过HTTP协议标准的80端口以网页形式发布。远程用户通过与ISA Server建立VPN连接后,需访问上述2台服务器。因此在ISA Server中建立2个计算机对象jiaowu和office,分别对应上面2个IP地址,制定防火墙策略。为了使VPN客户端可以与内部主机互访,可以在“协议”处指定“所有出站通讯”、“从/侦听器”与“到”都包含“VPN客户端”与“内部”网络。VPN用户拨入后,允许访问教务系统和办公系统的HTTP网页,同时还可以访问Internet。由于防火墙策略是按顺序逐条匹配的,最后一条即为ISA默认的“拒绝所有通讯”。如图2。
4)为VPN用户配置拨入权限
要实现VPN网络用户远程拨入,必须在ISA Server服务器上配置帐号、密码和登录属性,以备验证。在WindowsServer2003中,默认所有用户均被拒绝拨入到VPN服务器,因此必须设置远程访问权限。右键桌面“我的电脑”图标,选择“管理”,在弹出的“计算机管理”对话框上展开“本地用户和组”,然后点击“用户”。设管理员用户已更名为“VPNUSER”,密码设置为“VPNPASSWORD”。右击“VP-NUSER”用户后选择“属性”,在“拨入”栏目中,为远程访问权限(拨入或VPN)选择“允许访问”即可。
3 VPN客户端配置与远程访问
由于为VPN用户提供的访问资源限制在校园网中的192.168.0.0网段,所以VPN客户端计算机网卡不允许设置192.168.0.0网段的IP地址。其次,如果在家中采用小型路由器上网,还需在路由器上允许VPN协议通讯。在VPN客户端计算机点击“开始”、“程序”、“附件”、“通讯”、“新建连接向导”,在网络连接类型中选择“连接到我的工作场所的网络”并创建虚拟专用网络连接。VPN服务器的拨号地址即为ISA Server的WAN口IP地址218.90.174.167。在弹出的连接对话框中,输入授权的用户名和密码,点击连接,经验证成功后就可以打开IE浏览器访问内部资源了。
4 结束语
利用ISA Server可以方便的架设性能稳定的VPN服务器,为远程用户提供VPN访问服务,同时ISA Server还可以用于架设企业级的网络防火墙。虚拟专用网是Internet的重要应用之一,在企业网、校园网、政务网、金融网等各类网络中得到了广泛的应用。在高职高专的计算机专业教育教学中,可以把VPN技术列为一门重要“高等计算机网络”、“网络安全”类实训课程,对于学生理论联系实际、提高计算机网络的管理水平,以及积累一定的实践经验都有很大的帮助
参考文献
[1]戴有炜.ISA Server2006防火墙安装与管理指南[M].北京:北京科海电子出版社,2006.
[2]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2005.
[3]Lucas M.防火墙策略与VPN配置[M].北京:中国水利水电出版社,2004.
远程访问 篇5
随着信息化办公的普及,远程访问的需求也水涨船高,越来越多的企业,已经不再只满足于信息化系统只能够在企业内部使用。由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的企业员工,提供了访问企业内部网络资源的渠道。
但是,毋庸置疑的,对企业内部网络资源的远程访问增加了企业网络的脆弱性,产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略,也没有提供独立的安全鉴别机制。或者说,需要依靠其他的安全策略,如IPSec技术或者访问控制列表来保障其安全性。所以,远程访问增加了企业内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结,跟大家一起来提高远程访问的安全性。
一、针对特定服务的攻击
企业往往会在内部网络中部署一些HTTP、FTP服务器。同时,通过一定的技术,让员工也可以从外部访问这些服务器。而很多远程访问攻击,就是针对这些服务所展开的。诸如这些支持SMTP、POP等服务的应用程序,都有其内在的安全隐患。给入侵者开了一道后门。
如WEB服务器是企业常用的服务。可惜的是,WEB服务器所采用的HTTP服务其安全性并不高。现在通过攻击WEB服务器而进行远程访问入侵的案例多如牛毛。入侵者通过利用WEB服务器和操作系统存在的缺陷和安全漏洞,可以轻易的控制WEB服务器并得到WEB内容的访问权限。如此,入侵者得手之后,就可以任意操作数据了。即可以在用户不知情的情况下秘密窃取数据,也可以对数据进行恶意更改。
针对这些特定服务的攻击,比较难于防范。但是,并不是一点对策都没有。采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。如采取如下措施,可以起到一些不错的效果。
一、是采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵企业内部网络的跳板。而HTTPS则相对来说安全的多。因为在这个协议中,加入了一些安全措施,如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。当然,天下没有免费的午餐。服务器要为此付出比较多的系统资源开销。
二、是对应用服务器进行升级。其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
三、是可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让企业内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似,但是安全性上却差很远。TFTP是一个不安全的协议,他不提供身份鉴别贡呢功能。也就是说,任何人只要能够连接到TFTP服务器上,就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问,但是只要网络安全人员限制用户匿名访问,那么就可以提高文件共享的安全性。
二、针对远程节点的攻击
远程节点的访问模式是指一台远程计算机连接到一个远程访问服务器上,并访问其上面的应用程序。如我们可以通过Telent或者SSH技术远程登陆到路由器中,并执行相关的维护命令,还可以远程启动某些程序。在远程节点的访问模式下,远程服务器可以为远程用户提供应用软件和本地存储空间,
现在远程节点访问余越来越流行。不过,其安全隐患也不小。
一是增强了网络设备等管理风险。因为路由器、邮箱服务器等等都允许远程管理。若这些网络设备的密码泄露,则即使在千里之外的入侵者,仍然可以通过远程节点访问这些设备。更可怕的是,可以对这些设备进行远程维护。如入侵者可以登陆到路由器等关键网络设备,并让路由器上的安全策略失效。如此的话,就可以为他们进一步攻击企业内部网络扫清道路。而有一些人即使不攻击企业网络,也会搞一些恶作剧。如笔者以前就遇到过,有人入侵路由器后,“燕过留声,人过留名”。入侵者竟然把路由器的管理员密码更改了。这让我郁闷了好久。所以如果网络安全管理人员允许管理员进行远程节点访问,那么就要特别注意密码的安全性。要为此设立比较复杂的密码,并经常更换。
二是采取一些比较安全的远程节点访问方法。如对于路由器或者其他应用服务器进行远程访问的话,往往即可以通过HTTP协议,也可以通过SSH协议进行远程节点访问。他们的功能大同小异。都可以远程执行服务器或者路由器上的命令、应用程序等等。但是,他们的安全性上就有很大的差异。Telent服务其安全性比较差,因为其无论是密码还是执行代码在网络中都是通过明文传输的。如此的话,其用户名与密码泄露的风险就比较大。如别有用心的入侵者可以通过网络侦听等手段窃取网络中明文传输的用户名与密码。这会给这些网络设备带来致命的打击。而SSH协议则相对来说比较安全,因为这个服务在网络上传输的数据都是加密处理过的。它可以提高远程节点访问的安全性。像Cisco公司提供的网络设备,如路由器等等,还有Linux基础上的服务器系统,默认情况下,都支持SSH服务。而往往会拒绝启用Telent服务等等。这也主要是出于安全性的考虑。不过基于微软的服务器系统,其默认情况下,支持Telent服务。不过,笔者建议,大家还是采用SSH服务为好。其安全性更高。
三、针对远程控制的攻击
远程控制是指一个远程用户控制一台位于其他地方的计算机。这台计算机可能是有专门用途的服务器系统,也可能是用户自己的计算机。他跟远程节点访问类似,但又有所不同。当用户通过远程节点访问服务器,则用户自己并不知道有人在访问自己。而通过远程控制访问的话,则在窗口中可以直接显现出来。因为远程用户使用的计算机只是作为键盘操作和现实之用,远程控制限制远程用户只能够使用驻留在企 控制的计算机上的软件程序。如像QQ远程协助,就是远程控制的一种。
相对来说,远程控制要比节点访问安全性高一点。如一些远程控制软件往往会提供加强的审计和日志功能。有些远程控制软件,如QQ远程协助等,他们还需要用户提出请求,对方才能够进行远程控制。但是,其仍然存在一些脆弱性。
一是只需要知道用户名与口令,就可以开始一个远程控制会话。也就是说,远程控制软件只会根据用户名与密码来进行身份验证。所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略,可以让只有网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件,如PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同,选择合适的身份验证方式。另外,其还具有加强的审计与日志功能,可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
远程访问 篇6
中国互联网信息中心截至2013年6月底的调查报告显示, 我国5.91亿网民中手机网民已达4.64亿, 78.5%的网民使用手机上网。智能手机、平板电脑等移动终端的逐步普及, 标志着我国已经开始进入移动互联网时代。传统的互联网服务已无法满足人们随时随地获取信息的需要, 将应用从传统互联网拓展到移动互联网是迎合人们需求的必然趋势。
1 移动终端应用构架
传统的互联网应用以采用浏览器/服务器 (简称B/S) 架构的模式为主, 移动终端应用则既有B/S架构模式, 又有客户机/服务器 (简称C/S) 架构模式。但大多数企业为体现其品牌效应, 更倾向于采用C/S架构模式开发企业独立的应用。
在现有的互联网应用上拓展移动终端应用需要解决两个关键问题: (1) 后者的数据来源必须以前者为基础, 且从安全性方面考虑前者的数据不应完全开放给后者使用; (2) 后者是基于移动网络的数据通信, 受数据传输速度和通信服务费用的影响, 其数据传输量应尽可能小。针对第一个关键问题, 本文采用了在Web服务器端增加专用API (应用程序接口) 的方法, 限定数据开放范围, 移动终端通过HTTP访问“接口”文件实现数据共享。在第二个关键问题上, 选择使用轻量级的JSON格式来解决客户端与服务器端的数据交换问题。其应用架构设计如图1所示。
2 数据访问与数据交换技术
2.1 基于HTTP协议的数据访问技术
HTTP协议是一套用于浏览器与Web服务器之间互相通信的详细规则[1]。它对传输数据的格式没有限制, 可以在客户端和服务端之间相互传送包含复杂数据的请求和响应。HTTP数据能够轻松通过防火墙, 使Web服务更可靠。
2.2 基于JSON格式的数据交换技术
JSON (JavaScript Object Notation) 是一种轻量级的数据交换格式[2]。它可以很容易地把JavaScript对象中表示的一组数据转换为文本格式的字符串, 其结构简洁, 能够在客户机与服务器端高效地进行数据的传递、解析与读写。
JSON最基本的形式是“名称/值”对, 可以表示的结构有对象和数组两种, 并在此基础上表示出更多复杂的数据结构。
(1) 对象可以用来表示一个无序的值的集合。其格式为{"名称":"值", "名称":"值", ……}。
(2) 数组可以用来表示一个有序的值的集合。其格式为[值, 值, 值, ……]。
(3) 组合结构主要体现在值的变化上, 可以是数值、字符串、布尔值、对象、数组等。
3 传统Web应用与移动终端应用间数据共享
基于B/S架构模式的Web应用程序开发技术有ASP.NET、JSP、PHP等, 它们的差异主要体现在使用不同的开发语言和不同的Web服务支持;而移动终端应用程序的开发技术则依赖于系统平台。目前的主流平台有iOS和Android两大类。下文以iOS应用开发为例, 对使用ASP.NET技术的Web服务进行拓展。该实例的工作过程为: (1) iOS客户端向Web服务器提交HTTP请求, 请求访问指定的“接口”文件; (2) “接口”文件根据请求访问数据库服务器; (3) 将读取到的数据序列化封装成JSON格式, 并返回至iOS客户端; (4) iOS客户端接收到响应返回的JSON数据后, 反序列化解析JSON格式, 并将数据绑定到界面视图中。工作过程如图2所示。
3.1 设计Web应用的“接口”文件
(1) 根据HTTP请求访问数据表, 读取数据。使用ADO.NET数据访问类读取数据库中的数据, 并存放于datatable对象中。 (该环节核心技术为ASP.NET, 此处不详细说明。)
(2) 将数据序列化封装成JSON格式, 并输出[3]。该环节的主要做法为:遍历datatable对象, 将字段中的数据按JSON格式进行排列, 追加存储于StringBuilder对象中。核心代码如下:
3.2 设计iOS应用, 获取并处理JSON格式数据
(1) 访问指定的URL, 读取数据[4,5]。该环节的主要做法为:使用iOS中自带的NSURL实例发送HTTP请求, 将返回的JSON字符串数据存放于Dictionary实例中。核心代码如下:
4 结语
将传统的Web应用拓展到移动终端, 需要解决的关键问题是异构平台间的数据共享与数据传输问题。本文以iOS终端应用访问ASP.NET技术的Web服务为例, 采用了HTTP访问方式和JSON格式的数据传输形式, 并在实践中证明了该方法的可用性。
摘要:随着移动终端设备的普及, 提出了传统的Web应用向移动终端拓展的需求。介绍了现有B/S架构模式下, 在Web应用服务端为移动终端应用设计专用数据接口, 通过HTTP请求访问远程数据库, 利用JSON格式进行数据传输的解决方案。最后通过设计iOS实例具体介绍了移动终端应用远程数据访问的实现。
关键词:移动终端,Web应用,iOS应用,JSON,远程数据访问
参考文献
[1]维基百科.超文本传输协议[DB/OL].http://zh.wikipedia.org/wiki/超文本传输协议, 2013.
[2]JSON中国.JSON介绍[DB/OL].http://www.json.org/jsonzh.html, 2013.
[3]李天平..NET深入体验与实战精要[M].北京:电子工业出版社, 2011.
[4]Mark Dalrymple.Objective-C基础教程[M].高朝勤, 译.北京:人民邮电出版社, 2009.
图书馆远程访问的构建与应用 篇7
随着信息技术的不断进步, 数字资源的种类和数量日益增长, 我国不同层次、不同类别的高校都不同程度地采购或引进了各种数字资源, 以满足本校读者对数字资源的利用需求。但由于大多数数字资源出于版权保护和商业利益的考虑, 往往仅限于校园网内使用, 使其合法用户只能在本校IP地址范围内的办公室、机房或图书馆等地使用, 而当其回家或出差在外时就将无法访问和使用这些资源, 这样, 不仅损害了图书馆合法用户的利益, 也大大降低了本馆所购数字资源的利用率。针对这种情况, 可以采取以下应对措施, 为本校合法用户提供校外远程访问数字资源服务。
1 构建虚拟专用网 (“Virtual Private Network”, 简称VPN)
图书馆的电子资源因受IP地址的限制, 目前只能被校园网内用户访问。为便于住校外教工、学生利用图书馆的电子资源, 可引入虚拟专用网 (“Virtual Private Network”, 简称VPN) 技术来解决这个问题, 获得VPN授权的用户, 可在非校园网内使用图书馆的电子资源。
1.1 虚拟专用网的简介
简单地讲, VPN就是利用开放的公众网络建立专用数据传输通道, 将远程的分支办公室、商业伙伴、移动办公人员等连接起来, 并且提供安全的端到端的数据通信的一种广域网技术。VPN本质上是一种网络互联型业务, 通过共享的网络基础架构满足企业互联需求, 在共享使用网络资源的同时具有与专网一样保证用户网络的安全性、可靠性、可管理性。VPN业务并不限制网络的使用, 它既可以构建于因特网或互联网运营商 (ISP) 的IP网络之上, 也可以构建于帧中继 (FR) 或异步传输模式 (ATM) 等网络基础架构之上, 如图1.1所示。简言之, 通过利用VPN技术, 就可以在学校内部网络与外网之间建立一个虚拟的安全通道, 从而实现学校充分利用图书馆资源的需求。
1.2 虚拟专用网 (VPN) 的优势
1) 运行成本较低
VPN只需要通过现有的公用网来建立, 不需要另外铺设如光纤之类的物理线路, 减少了专线的租用数量, 同时也减少了数据传输过程中的辅助设备, 而且VPN本身带有路由功能, 节省了费用和资源, 因此极大地降低了运行成本。
2) 具有可靠的安全性
VPN采用了隧道技术、数据加解密技术、密钥管理技术和身份认证等独特的专有技术可以实现在内部服务器上对用户资格的认证, 点对点加密及各种网络安全加密, 确保了本地网络和数据传输的安全, 保障了图书馆网络系统的安全运行。
3) 灵活的运用方式
只要网络顺畅, VPN技术就可以将图书馆内部的网络设备与外网实现安全互联。这样, 图书馆的资源就能够通过该技术传输语言、图像和数据等, 为广大师生提供了灵活便捷的使用方式。
4) 易用性
客户端不需要复杂的配置, 不在用户操作系统安装过多的插件和程序, 不改变用户使用习惯和应用快捷方式, 一键式操作, 简单易用;可以使读者在任何一台电脑上安全便捷地访问图书馆的电子资源。
5) 便于管理
对网络实行集中监测、分权管理, 并统一分配带宽资源。选用先进的网络管理平台, 具有对设备、端口等的管理、流量统计分析, 及可提供故障自动报警。
1.3 图书馆如何利用VPN技术
1) 应用VPN技术授权校园网合法IP段内的用户使用数据
例如我院图书馆每年都要购买大量的电子资源, 如CN-KI、万方、维普、EBSCO数据库、英语学习中心 (SRC) 等, 由于数字版权的原因, 这些数字资源都有限制访问的IP地址范围。图书馆支付费用以后, 数据库服务商根据访问者的IP地址来判断是否是经过授权的用户。图书馆应用VPN技术就可以授权校园网合法IP段内的用户使用数据, 无需额外支持费用, 使图书馆数字资源得到了最大程度的共享。
2) 应用VPN技术以远程访问的形式访问图书馆数据
由于数字版权的原因, 校园网及高校数字图书馆的大多数资源都不对外开放。然而又因为学校人群的特殊性, 有的教职工居住在校外, 使用的是公网IP, 不在校园网IP范围内, 无法在家或在出差的时候使用图书馆和校园网内的其他资源。暑假、寒假在家的学生同样是由于IP问题无法访问学校图书馆数据。应用VPN技术就可以轻松解决这一长期困扰图书馆的问题。用户只需要向图书馆技术管理人员申请认证证书和注册账户, 就能成为远程访问系统的合法用户。在本机上安装VPN客户端, 然后登陆该账户就能通过Internet访问图书馆资源。用户无需作任何调整, 网络配置也不必作任何改动。
2 其他解决方案
除了上述的解决方案, 还可以利用远程数字图书馆软件、RASDL以及Cookie跨域名技术;由图书馆咨询人员提供全文;利用检索充值卡;预设账户和密码等等的方案来解决远程访问问题。
3 结束语
随着校外合法用户访需求的增长, 校外访问服务的开展显得越来越急切和重要, 图书馆应综合运用多种技术方式, 尽可能地为他们提供方便。同时, 图书馆应加强电子资源的本地镜像建设, 以减少合法使用受到的限制。S
参考文献
[1]王彩虹.局域网内地方高校远程访问服务模式[J].图书馆学刊, 2011 (1) .
[2]王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆学研究, 2006 (5) .
[3]郭峰.高校图书馆VPN网络建设研究[J].情报探索, 2010 (2) .
远程访问 篇8
IPSec是实现VPN的一种协议, 正在得到越来越广泛的应用, 将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议, 但却仍然不能算是适用于所有配置的一套完整的方案, 其中仍然存在一些需要解决的问题。本文在对IPSec相关协议进行分析的基础上, 针对IPSec协议族在安全策略方面的不足, 提出在远程访问模型中使用集中式策略管理, 并对该管理系统进行了研究。
一、IPSec VPN及相关协议
IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层, 并保护上层的协议。这些服务通过使用两个安全协议:认证头和封装安全载荷。
1. 认证头 (AH) 协议。
协议的目的是用来增加IP数据包的安全性。AH协议提供无连接的完整性、数据源认证和抗重播保护服务。
2. 封装安全载荷 (ESP) 协议。
协议的目的和认证头 (AH) 一样, 是用于提高IP的安全性。ESP提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保护。
二、IPSec策略管理分析与设想
1. IPSec VPN中的策略管理。
在一个IPSec中, IP-Sec功能的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略, 这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的安全隐患。而且, 即使每个安全域策略的制订是正确的, 也可能会在不同的安全域中, 由于策略之间的交互, 出现在局部范围内安全策略的多样性, 从而造成端到端间通讯的严重问题。
2. 远程访问模型中策略系统的构想。
构建一个策略系统, 需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。目前RFC尚未制定关于策略系统的标准, 因此还没有成熟的实现方案。
现在较为流行的方案是:策略系统由四个部分组成包括安全策略仓库、策略服务器、安全网关、策略客户端。其中安全策略仓库 (Repository) 用于存储策略信息, 能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器, 除了储存管理员已经编辑好的策略信息, 还可以存储其它的网络信息和系统参数。策略决策点 (Policy Decision Point, PDP) 通常也被称为策略服务器, 是整个系统的决策中心。它负责存取策略仓库中的策略, 并根据策略信息做出决策, 然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突, 从而采取应对措施。策略执行点 (Policy Enforcement Point, PEP) 是接受策略管理的网络实体, 通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备, 负责执行由策略决策点分配来的策略。同时, 它还向策略决策点发送信息, 使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP (轻量级目录访问协议) 与数据库交互, 安全网关通过COPS (普通开放式策略服务协议) 与服务器交互, 策略服务器之间以及服务器与客户端之间通过SPP (安全策略协议) 进行通讯。
三、结束语
远程访问 篇9
1 VPN技术
IETF组织对基于IP的VPN解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。VPN技术采用隧道技术、数据加解密技术、密钥管理技术和身份认证技术,从而保证构建于公共网络之上的虚拟内部网络的有效连通性和安全性。常用VPN的工作流程大体如下。
(1)主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密并附上数字签名。
(2)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
(3)VPN设备对加密后的数据、验证包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,解封装数据包,数字签名被核对无误后,再解密数据包。
虽然VPN通信建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络。VPN在经历了大规模商用后,其技术和应用方式也发生了很大发展。其中,有两种主流的VPN技术的应用最为广泛。第一种是基于IP网络层的IPSec VPN,,一种是基于应用层的SSLVPN技术。
2 采用SSLVPN技术实现校园网远程访问
IPSec的英文全名为“InternetProtocolSecurity”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方在建立IPSec通道前,首先要协商具体的方式来建立通信连接。因为IPSec协议支持多种操作模式,所以通信双方要确定所要采用的安全策略和使用模式,这包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,而不管这些通道构建时所采用的安全和加密方法如何。
要实现该方案IPsecVPN用户需要安装Cisco公司提供的专用客户端CiscoVPN Client软件,新建一个VPN client连接,ConnectionEntry可以任意起一个,Description是用来描述连接的,Host填入IP-secVPN设备的外网接口地址,GroupAuahentication中Name和Password分别填入IPsecVPN clientgroup中设置的用户名和密码。该方案目前来说用的并不是很多,现在很多高校流行的是采用下面一种方案。
3 采用SSLVPN技术实现校园网远程访问
从概念角度讲,SSLVPN是指采用SSL(Security SocketLayer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性.对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性.采用SSLVPN技术,使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连接校园网内部的SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取校园网内部服务器的数据.相对于IPSecVPN技术,SSLVPN的“零客户端”解决方案被认为是实现远程接入的最大优势,它对缺乏维护大型IPSec配置资源的用户来说更为方便。SSLVPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网或校园网Web应用。
VPN安全设备起着关键性的作用.任何经过授权的外网用户,通过SSLVPN接入技术,远程登录VPN设备,接入校园网内,完成VPN隧道建立;接着再经由VPN设备进行源IP地址转换,引入IP地址替换技术将外网移动用户自动授权,用户便可随需选择校内馆藏资源进行自由查阅和访问,无需再次手动输入验证。
SSLVPN通过多线路优先选择技术、Internet线路叠加技术以及WebPush技术,充分利用了用户原有的带宽资源,保障了跨运营商接入的速度.SSLVPN作为VPN技术中一项安全的联网技术,其认证的丰富性决定了SSLVPN的安全性,成为避免账户丢失、被黑客利用的重要屏障,SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道,使用户突破了空间的限制,实现了随时、随地的安全接入.SSLVPN已得到众多高校的广泛认可.选择SSLVPN设备和应用方案实施时要综合考虑高校的实际应用需求。
4 结束语
在远程访问领域,SSL VPN正逐步取代IPSec VPN。但是,作为传统的站点到站点安全联接的主流技术,IPSecVPN仍然是不可取代的。当前,VPN领域的共识是:IPSecVPN更适合于站点到站点安全联接,SSLVPN是实现安全远程访问的最佳技术。据笔者所知,目前我省的大多高校采用了VPN技术,以便非校园网的师生能够自由的访问校园资源,这一现象的增多主要是因为大多高校开始了网上办公(办公自动化系统)和学生网上选课,查看成绩(教务管理系统)等,并且学校的数字图书馆具有大量的资源,使师生能阅读各种文献,获得知识。可以肯定的说,在今后的网络技术发展中,VPN技术将遍及各个领域充当越来越重要的角色.
参考文献
[1]王勇.虚拟专用网若干关键技术的研究及实践[D].华中科技大学,2006.
[2]马进宝.漳州师范学院学报[J].用VPN技术实现用户远程访问校园网资源,2008,(3):121-123.
[3]傅伟.湘潭师范学院学报[J].基于IPsec VPN的校园网远程访问应用研究,2008,30(2):58-60.
[4]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008,(11):179-180.
远程访问 篇10
对于高等院校来说,实验教学是教学过程中必不可少的环节,很多课程都以实践为基础,尤其是对于一些实践性较强的工科学科,注重的是对大学生的实际操作能力和解决问题能力的培养。但是由于资金的相对短缺使得高等院校的实验室很难购买多套先进且价格昂贵的仪器设备,很难满足学生的实验需求。
目前国内外针对网络设备的实验方式有现场操作、仿真软件和远程实验。在实验室现场操作的方式是最有效的,但由于设备成本和数量以及设备使用时间和空间限制,很难充分满足学生的实验需求。使用仿真软件的方式非常灵活,学生只需要将虚拟软件安装到电脑上就可以独立设计和配置网络设备,但仿真软件尚不完善且操作受限,缺乏真实感。
基于网络的远程实验平台技术[1]是网络教学技术的一个尝试性的探索,是实验教学领域的一次创新。通过远程实验平台,学生的实践操作将不受时间和空间的限制,学生可以自己选择合适的时间在真实网络设备上完成实验,极大地提高了实验室网络设备的利用率,网络互联设备可以在无人监管的情况下持续为学生提供实验服务。
2 网络设备远程访问平台的设计
2.1 总体结构设计。
网络设备远程访问平台的总体结构如图1所示,学生通过网络连接到网络设备远程访问平台,输入用户名和密码进入系统,然后选择使用的机架和练习的任务,服务端通过流的形式向console口写命令,从而对网络设备下发初始化配置,并通过反向telnet技术使客户端连接到网络设备。
网络设备远程服务平台的设计主要分为实验机架、前台系统和后台系统。其中前台系统包括用户登录页面、选择机架页面、选择任务页面和任务操作页面,后台系统包括管理员登录页面和功能操作页面。
2.2 远程实验机架设计。
远程实验机架的设计需要考虑到以下几点:a.用户正常登陆后能访问到网络设备;b.用户对设备的操作不会导致实验平台出现故障;c.用户完成操作后,实验机架能够快速恢复。
实验机架设计如图2所示。本实验机架全部采用思科的路由器和交换机搭建。
图2中Router0、Router1、Switch0和Switch1是用户实验所用设备,任务操作页面会有对应操作的按钮,只要点击,就可以对该设备进行操作练习。
2.3 前台系统设计。
前台系统包括:登录页面、选择机架页面、选择任务页面和任务操作页面。系统采用SSM框架模型和shiro框架实现,界面通过EasyU I组件进行页面设计。
用户登录页面:系统的入口界面,对非注册用户进行过滤拦截,确保系统安全使用。通过Ajax技术[2],实现异步的登陆口令判断,形成动态式用户名密码的验证,如果正确跳到选择机架页面,未经登录的用户直接输入URL,shiro安全框架通过对URL拦截,统一跳转回登录界面。
选择机架页面:用于显示可使用的机架。用户选择机架后,跳转到选择任务页面,并修改机架状态。当用户使用完以后(判断依据:退出选择任务页面或用户退出系统),后台恢复该机架状态。
选择任务页面:用于显示可练习的任务(由管理人员负责任务设置)。选择练习任务后,跳转到练习任务页面,同时对相应的设备进行初始化。初始化的原理为系统根据任务,把对应的配置文件通过流的形式写到该机架设备对应的console口里面。
图3是练习任务页面,用于显示任务名称、拓扑信息、任务描述信息、设备选择按钮、一键恢复按钮。用户选择对应设备的按钮,系统调用PC客户端(Windows系统)telnet组件连接到选择设备。一键恢复按钮,可恢复到初始状态。
2.4 后台系统。
后台系统包括管理员登陆页面和功能操作页面。功能操作页面包括用户管理、任务分组、任务管理和机架管理。系统采用SSM框架模型和shiro框架实现,通过EasyU I和Kindeditor组件进行页面设计。
管理员登录页面:与用户登录页面相同。
图4为功能操作页面:用于显示管理选项卡,包括用户管理、任务分组、任务管理和机架管理。
用户管理功能:新增用户和查询用户。查询用户可对用户进行修改、删除和分组。
分组管理功能:新增分组和查询分组。查询任务可对任务进行修改、删除和分组。
任务管理功能:新增任务和查询任务。查询任务可对任务进行修改、删除。
机架管理功能:新增机架和查询机架。查询机架可对机架进行修改、删除。
结束语
网络设备远程访问平台对远程实验技术进行需求分析的基础上,重点研究了基于网络的远程实验系统模型、工作原理及其实现中的关键技术,从理论和方法上进行了较为全面和深入地研究与探讨,最后开发了网络设备远程访问平台,并应用于学生的实验学习中,取得了一些实用性成果。
参考文献
[1]庞文尧,丁金婷.远程实验技术发展现状[J].科技通报,2004,20(4):311-315.