湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽(yáng) 550002)

SSL VPN技術(shù)在貴州省氣象信息網(wǎng)絡(luò)通信中的應(yīng)用

湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽(yáng) 550002)

該文介紹了貴州省氣象信息SSL VPN網(wǎng)絡(luò)的建設(shè)以及該網(wǎng)絡(luò)部署后的功能和優(yōu)點(diǎn)。通過(guò)該VPN的建設(shè)對(duì)遠(yuǎn)程接入貴州省氣象信息內(nèi)部網(wǎng)絡(luò)的用戶，實(shí)現(xiàn)統(tǒng)一管理和控制，極大的提高了網(wǎng)絡(luò)安全性。

SSL;VPN;拓?fù)?可靠性

1 引言

貴州省氣象信息VPN網(wǎng)絡(luò)已使用多年，為移動(dòng)辦公提供了有力的支持保障，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，該系統(tǒng)在資源管理方面體現(xiàn)出許多不足之處：用戶登錄無(wú)訪問控制、無(wú)安全認(rèn)證、權(quán)限設(shè)置過(guò)大。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全問題，貴州省氣象信息中心對(duì)VPN網(wǎng)絡(luò)進(jìn)行了升級(jí)改造，通過(guò)采用SSL VPN技術(shù)對(duì)用戶進(jìn)行分級(jí)控制、安全認(rèn)證和限制權(quán)限，升級(jí)已在2010年底完成。隨著升級(jí)的完成，為貴州省氣象局遠(yuǎn)程辦公提供了簡(jiǎn)單、安全、高效的遠(yuǎn)程連接技術(shù)，SSL VPN是一種新興的以HTTPS為基礎(chǔ)的訪問方式，對(duì)用戶遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)提供了安全保證。

2 省局SSL VPN改造前存在的問題

我省VPN系統(tǒng)是2003年搭建成功并開始使用，使用的是硬件IPSec和軟件L2TP兩種方式，由AR46-40路由器接入省局核心網(wǎng)絡(luò)實(shí)現(xiàn)。各地區(qū)臺(tái)站通過(guò)AR18-30路由器對(duì)接訪問省局，這兩種方式訪問省局時(shí)可以實(shí)現(xiàn)遠(yuǎn)程控制、共享訪問和FTP傳輸。

2.1 軟件L2TP方式不足之處

2.1.1 用戶單一 全省都使用同一個(gè)用戶，不能有效地進(jìn)行用戶管理和監(jiān)控，對(duì)于什么用戶在什么時(shí)候做了什么操作，沒有一個(gè)系統(tǒng)的日志報(bào)表進(jìn)行常規(guī)的分析和研究。

2.1.2 共享訪問提供的權(quán)限過(guò)大 用戶誤操作使文件被刪除，也可能存在某些用戶通過(guò)L2TP登錄上省局服務(wù)器后，對(duì)某些不是該用戶使用的文件和文件夾進(jìn)行刪除、修改和遷移等操作。

2.1.3 無(wú)法進(jìn)行流量控制 對(duì)連接的用戶上傳和下載流量都沒有限制，當(dāng)用戶進(jìn)行大容量的資料傳輸時(shí)，會(huì)導(dǎo)致網(wǎng)絡(luò)性能的下降。

2.2 硬件IPSec方式不足之處

①當(dāng)網(wǎng)絡(luò)中要做調(diào)整時(shí)，需在每個(gè)AR-1830客戶端和AR4640服務(wù)器上分別做配置更改，由于省內(nèi)臺(tái)站很多，做一次網(wǎng)絡(luò)規(guī)劃過(guò)程復(fù)雜，并且管理成本很高。

②IPSec安全協(xié)議在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。如果遠(yuǎn)程用戶以IPSec VPN的方式與省局內(nèi)部網(wǎng)絡(luò)建立聯(lián)系，就會(huì)給黑客得到內(nèi)部網(wǎng)絡(luò)信息的可趁之機(jī)。另外在應(yīng)對(duì)病毒入侵方面，采用IPSec連接后，若是客戶端電腦遭到病毒感染，該病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。

3 省局SSL VPN改造具體步驟

3.1 SSL VPN簡(jiǎn)介

SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，不需要象傳統(tǒng) IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。這對(duì)于擁有大量機(jī)器(包括家用機(jī)、工作機(jī)和客戶機(jī)等)需要與公司機(jī)密信息相連接的用戶至關(guān)重要。

3.2 SSL VPN實(shí)現(xiàn)的功能及優(yōu)點(diǎn)

3.2.1 SSL VPN功能 ①VPN設(shè)備的部署方式不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu);②VPN用戶按組分類，各組分配相應(yīng)權(quán)限;③個(gè)人用戶可使用證書認(rèn)證，公用用戶使用密碼登錄方式;④通過(guò)日志可以查看所有用戶的登錄記錄。⑤可實(shí)現(xiàn)運(yùn)行狀態(tài)、日志查詢、統(tǒng)計(jì)報(bào)表、數(shù)據(jù)管理。

3.2.2 SSL VPN優(yōu)點(diǎn) ①方便：SSL VPN只需要安裝配置好中心網(wǎng)關(guān)即可，其余客戶端是免安裝的。②容易維護(hù)：SSL VPN維護(hù)起來(lái)簡(jiǎn)單，出現(xiàn)問題，維護(hù)網(wǎng)關(guān)即可。實(shí)在不行，換一臺(tái)，如果雙機(jī)備份的話，啟動(dòng)備份機(jī)器啟動(dòng)即可。③安全：SSL VPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個(gè)web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。

3.3 SSL VPN具體部署

本次貴州省氣象局VPN的升級(jí)改造，使省局業(yè)務(wù)系統(tǒng)的利用效率、安全性都得到了提升，主要包括以下方面。

3.3.1 可用性 由于VPN設(shè)備旁路模式部署，不需要對(duì)客戶原有的邏輯拓?fù)渥鋈魏胃膭?dòng)，其部署在此位置，不會(huì)因設(shè)備出現(xiàn)意外情況而影響到內(nèi)網(wǎng)里的其他設(shè)備和資源。

3.3.2 安全性 通過(guò)SSL VPN設(shè)備的部署，移動(dòng)辦公人員可以安全地接入到內(nèi)網(wǎng)里并根據(jù)預(yù)定好的權(quán)限訪問相關(guān)資源。

3.3.3 可靠性 引入HTP技術(shù)，提高在高延時(shí)、高丟包環(huán)境下的訪問速度;針對(duì)C/S應(yīng)用引入動(dòng)態(tài)壓縮，進(jìn)一步提高壓縮效率;并為用戶提供了多種認(rèn)證手段及混合認(rèn)證手段;提供基于用戶的VPN專線有效保證了VPN接入安全;對(duì)用戶的分級(jí)管理，VPN資源的高細(xì)粒度權(quán)限管理控制，提供了全面的安全性保護(hù);支持B/S和C/S應(yīng)用單點(diǎn)登錄，通過(guò)單點(diǎn)登錄免除了用戶重復(fù)輸入帳號(hào)的繁瑣，簡(jiǎn)化了工作流程;廣泛支持各種終端設(shè)備，包括移動(dòng)PDA終端;頁(yè)面定制為用戶提供了全面的個(gè)性化登錄界面;集群技術(shù)有效的平衡了多臺(tái)VPN設(shè)備的負(fù)載，提高了VPN設(shè)備的使用效率;提供了跟用戶內(nèi)部管理系統(tǒng)接合的接口，能夠更好地與用戶內(nèi)部系統(tǒng)融合;默認(rèn)服務(wù)頁(yè)面，提高用戶登錄效率。

3.4 用戶分類

根據(jù)本單位需求分別設(shè)置有省局用戶組、地州用戶組、局領(lǐng)導(dǎo)用戶組，不同用戶開通的服務(wù)可進(jìn)行獨(dú)立設(shè)置，可在APP資源中對(duì)某個(gè)用戶開通哪些服務(wù)進(jìn)行設(shè)置。在新建用戶時(shí)可對(duì)每個(gè)用戶的屬性進(jìn)行設(shè)置，可設(shè)置公用用戶、私用用戶、認(rèn)證方法(用戶/密碼、USB-key和外部認(rèn)證)

3.6 SSL VPN網(wǎng)絡(luò)在貴州省氣象信息網(wǎng)絡(luò)中部署前后對(duì)照

表1 部署前后對(duì)照

4 小結(jié)

隨著該系統(tǒng)的部署，對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)減輕了不少負(fù)擔(dān)，可統(tǒng)一對(duì)用戶進(jìn)行管理、監(jiān)控;一定程度上避免了外部病毒的侵害;通過(guò)WEB方式即可全盤掌握用戶各種信息。

［1］ 田蘭，李波，易丁，等.利用寬帶技術(shù)建設(shè)貴州省新型氣象信息交換平臺(tái)［J］. 貴州氣象，2004，28(增刊)：58-59.

［2］ 王成國(guó)，羅偉明，黨永娟.VPN技術(shù)介紹及在氣象通信中的應(yīng)用［J］. 青海氣象，2005，1：43-44.

［3］ 殷廣亞，程錦霞，衛(wèi)權(quán)崗，等.氣象中心VPN備份網(wǎng)絡(luò)設(shè)計(jì)［J］. 科技信息，2008，8：59.

TN915

B

1003-6598(2011)02-0048-02

2011-03-09

湯寧(1976-)，男，工程師，主要從事網(wǎng)絡(luò)管理工作。