摘要：為了解決既能在異地訪問內網資源，又能充分保證內網資源的高度安全，將VPN與DMZ技術應用于校園網絡的升級改造。提出了針對DMZ專區(qū)的三類IP地址映射算法與合法外網用戶通過VPN訪問內網資源需要的虛擬IP地址轉換函數(shù)，并在此基礎上提出了VPN與DMZ技術在校園網上集成應用的解決方案。通過在校園網中合理構建DMZ專區(qū)與VPN網絡，巧妙設置DMZ與VPN的訪問規(guī)則，在先分保證校內資源安全的前提下，成功解決了異地用戶共享內網資源的難題。
關鍵詞：DMZ專區(qū)；靜態(tài)IP映射；IP重載；虛擬專用網絡

目前，很多學校信息資源管理主要采用以應用系統(tǒng)為主導的獨立管理信息模式。在這種模式下，網站信息分對內，對外兩部分發(fā)布：內部信息發(fā)布在內網上，只能在校園網內部使用；公開信息發(fā)布在外網上，可以在校內、校外任何地方通過互聯(lián)網訪問。這種模式的好處在于實現(xiàn)內網信息共享的同時，充分做到數(shù)據(jù)安全保密；缺陷在于，內網信息在互聯(lián)網上無法瀏覽，在校外不能充分使用校內資源。這對于異地用戶訪問內網資源帶來了諸多不便。為了解決既能在校外使用內網資源，又能充分保證內網資源的高度安全，在校園信息化建設中引入了DMZ技術與VPN技術，將這兩種技術有機地結合起來，通過合理設置DMZ函數(shù)映射，巧妙部署VPN網絡，在充分保障信息安全的前提下，解決了內、外網數(shù)據(jù)共享的問題。

1 非軍事區(qū)DMZ原理
DMZ是非軍事區(qū)(Demilitarized Zone)的簡稱，與軍事區(qū)(信任區(qū))相對應。它是一個既不同于外網，又不同于內網的特殊網絡區(qū)域。作用是把WEB、E-mail等允許外部訪問的服務器連接在DMZ服務器的DMZ(開放)端口上，把不允許外部訪問的內網服務器連接在DMZ服務器的MZ(信任)端口上，實現(xiàn)內、外網的分離。這樣設置后，可以將一些公開信息放置到DMZ專區(qū)的公用服務器上，將機密信息或僅對師生開放的信息放置到內網中，從而根據(jù)不同的需要，有針對性地采取隔離措施，在對外提供信息服務的同時，最大限度地保護內部網絡安全。
DMZ專區(qū)與內網區(qū)、外網區(qū)的通信是通過網絡地址轉換(NAT)原理實現(xiàn)的。這里主要用到了靜態(tài)網絡地址轉換與重載兩種地址轉換模式：靜態(tài)地址轉換是指按照一對一的方式，將一個未注冊的IP地址映射到一個已注冊的IP地址；重載是將多個未注冊的IP地址映射到一個已注冊的IP地址。在進行網絡配置時，需要在DMZ服務器上，按照這兩種模式對內網IP地址分區(qū)間段，將一個內網IP地址映射到一個已注冊的外網IP地址，如圖1所示，從而達到從外網訪問校內資源時，隱藏內部網絡IP地址的目的。

DMZ在對用戶提供服務時，會根據(jù)請求的源、宿IP地址不同，將請求定義為內部請求、內對外請求和外對內請求3種情況，并按照這3種不同情況調用相應的映射算法，根據(jù)運算結果進行請求轉發(fā)(圖1)。對于內部請求按照式(1)所示映射算法，進行A→A的源、宿IP地址轉換；對于內部對外部的請求，則按照重載原理進行由內到外的源、宿IP地址轉換，映射算法如式(2)；對于從外到內的請求，則按照靜態(tài)IP地址轉換原理，由外到內進行源、宿IP地址轉換，映射算法如式(3)。