3．1 構建DMZ專區(qū)實現(xiàn)內、外網分離
1)郵件、網站、課程網站等服務器被直接掛在DMZ服務器的DMZ端口上，將DMZ端口設置為非屏蔽端口，外部用戶可以通過該端口進行訪問。
2)ftp、內網、教務、機房實訓室以及辦公室等通過代理服務器與DMZ服務器的MZ端口連接，設置MZ端口為屏蔽端口。
3)根據需求設置DMZ訪問原則：
①內網可以訪問外網：內網的用戶可以自由地訪問外網。這一策略，需要按照函數(2)，進行內外網IP地址轉換，將內網IP地址轉換為注冊IP地址bh；
②內網可以訪問DMZ：內網用戶可以按照式(1)映射關系，通過內網IP地址使用和管理DMZ中的服務器；
③外網不能訪問內網：內網中存放的是內部數據，這些數據不允許外網的用戶進行訪問；
④外網可以訪問DMZ：外網訪問DMZ需要進行靜態(tài)IP地址映射，按照式(3)，完成源宿IP地址的轉換；
⑤DMZ不能訪問內網：防止當入侵者攻擊DMZ時，內網也會遭受攻擊。
3．2 部署VPN，實現(xiàn)內網資源的異地共享
1)設置VPN與DMZ服務器
①在防火墻上部署VPN服務器，一端接防火墻，一端接DMZ網絡；
②為VPN服務器分配唯一公網注冊的IP地址bvpn；
③定義虛擬內網段IP地址，范圍從ap．到aq；
④修改DMZ訪問規(guī)則，將ap．到aq段IP地址定義為內網IP地址；
⑤建立用戶信息資料庫，為每一個用戶建立唯一的認證信息，包括用戶名、密碼等；
⑥在VPN服務器端，部署端口監(jiān)聽程序，用于合法用戶的請求；
⑦對于合法請求，根據映射函數式(4)，進行源、宿IP地址轉換，形成虛擬內網訪問請求。
2)設置外網主機
①設置異地主機的網絡連接。按照系統(tǒng)提示，創(chuàng)建外網主機到校園網的“虛擬專用網絡連接”；
②輸入被連接VPN服務器的主機IP地址bvpn；
③在“連接”對話框中，輸入用戶名和密碼，創(chuàng)建連接。

4 結束語
在校園網建設中，通過引入DMZ與VPN技術，在充分保證內網資源安全的前提下，成功解決了異地用戶訪問校內資源的難題。但是，在應用系統(tǒng)主導的獨立管理信息模式下，內網是一個地理空間概念，是將用戶使用內網信息的權限與用戶主機的IP地址進行綁定，通過系統(tǒng)管理員對校園網內不同IP主機的權限設置來達到是否允許用戶使用與管理內網信息的目的。其實質是通過約束機器的方法來約束人，既不靈活，也不方便，這無疑給用戶使用與網絡管理增添了深層次難度。要想徹底解決這一問題，就必須做到內網資源與使用者的IP地址脫鉤，使資源訪問權限，僅與訪問網絡的具體用戶相綁定，從而達到用戶所獲信息與其對應的權限相匹配。因此，需要將學院所有的應用系統(tǒng)統(tǒng)一整合，在此基礎上，建設統(tǒng)一用戶認證平臺，通過對用戶訪問權限設定，決定用戶獲取信息的權限，從而達到最終消除內網的地理空間概念。