桃園縣學校建置無線網路，安全至上

桃園縣政府日前在中、小學、縣立高中等縣教育局所轄240所學校中都建置了無線網路，供作教師和行政人員教育訓練與辦公使用。並且為了無線網路的安全，整體網路機制採用SSL VPN中央管理，所有學校的使用者都必須連回桃園縣教育局設立的SSL VPN，才能連上網際網路。

負責建置此案的桃園縣教育局系統工程師莊斯凱表示，由於學術網路在校園內是開放使用的模式，使得過去學術網路常常成為釣魚（Phishing）網站、跳板攻擊等網路攻擊手法的中繼點，於是此次建置無線網路時，就是以安全為最主要的考量點，也才選擇以統一連回教育局管理的SSL VPN，再連到網際網路的模式來建置。預計未來該網路的使用者將有2萬人左右，同時上線的使用量約2,500人。

其實莊斯凱考慮過不少建置模式，原本想要採用Thin AP的建置方式，不過考慮到各校專業資訊人員可能不足，Thin AP對於學校來說維護的困難較大，所以才決定採用現在的建置模式。SSL VPN是利用WEB介面從遠端連回企業或組織內部網路存取資料，而桃園縣政府此次建置的方式，則是讓所有使用者，先透過學校內的具備防火牆功能的閘道器，再連回教育局的SSL VPN，然後輸入正確的帳號密碼後，系統才自動分配IP給使用者，讓使用者能夠與網際網路連結。此一過程使用者完全沒有機會與教育局的內網連結，與過去傳統SSL VPN的運用方式有所不同。「現在這個方法等於是把過去SSL VPN的應用方式反過來用。」莊斯凱說。

此外，為了維護方便，莊斯凱當初在選擇SSL VPN時，都盡量選擇不是單純使用WEB介面登入的產品。「由於每個學校資訊專業人力的狀況不一，如果使用單純WEB介面登入的產品，發生網頁被擋或是其他問題的時候，完全不懂資訊的老師將難以解決。」莊斯凱說。此舉等於是將大部份需要維護管理的責任都交由桃園縣教育局這端來解決，進而彌補各校資訊專業人力不一定充足的情形。

除了維護上的問題需要考量外，莊斯凱表示，這樣的建置方式有2個優點，由於使用者必須透過教育局發放的帳號、密碼才能由無線網路連至網際網路，將能夠減少無線網路被不明人士使用的可能性。此外，即便惡意使用者用正確的帳號、密碼登入SSL VPN，由於IP是由教育局的系統發配，若是發現使用者有不正常的使用狀況，也能立刻透過IP查出該帳號的歸屬人，確認該使用者是否外洩了帳號、密碼，決定是否要予以封鎖，減少透過學術網路進行跳板攻擊的可能性。「過去發生跳板攻擊的時候，都必須檢視Log檔，一筆一筆比對才能知道是哪個學校的哪個帳號，現在這個方式就能杜絕這樣的情形發生，加快反應速度。」莊斯凱說。另一個優點則在於無線網路的擴建將較為容易。由於沒有採用Thin AP的架構，於是相容性的問題較小，這使得學校在擴建無線網路AP時將會更為容易。

不過莊斯凱也表示，能夠以這種方式管理無線網路，前提是在於教育局對外的網路頻寬速率高達100Mbps，才能負荷各個學校連回的流量。經過莊斯凱的測試，目前所有使用該無線網路的使用者，除了在第一次登入SSL VPN時，都必須由教育局端下載安裝SSL VPN的驅動引擎，整體花費時間約2分半外，正常使用的每次登入，都不會有延遲的狀況。未來桃園縣教育局也考慮將會透過此一連線機制，自動由SSL VPN檢查使用者是否有更新最新的病毒碼、修補程式等，減少病毒流竄的危險。

桃園縣教育局採用的SSL VPN設備是Juniper的SA 6000，整體無線網路建置花費約2,300多萬元，平均每校9萬多元，8月左右完全建置完成。文⊙劉哲銘