郝建雪

摘要：對(duì)于省級(jí)教育業(yè)務(wù)系統(tǒng)，由于數(shù)據(jù)中心硬件設(shè)備老化導(dǎo)致故障頻發(fā)，故需選擇重新遷移到政務(wù)云，以保證安全穩(wěn)定運(yùn)行。部署在政務(wù)云上的省級(jí)業(yè)務(wù)系統(tǒng)需要與教育部業(yè)務(wù)系統(tǒng)對(duì)接，重新建立省級(jí)與教育部之間的安全隧道連接。IPSec VPN的應(yīng)用可以實(shí)現(xiàn)將一條VPN隧道封裝起來(lái)，將數(shù)據(jù)信息通過(guò)公用網(wǎng)絡(luò)傳輸出去，并且能夠通過(guò)在現(xiàn)有防火墻或路由器上直接實(shí)現(xiàn)來(lái)降低成本，IPSce也具有更高的安全等級(jí)。故選擇運(yùn)用IPsec VPN技術(shù)，來(lái)保證遠(yuǎn)程訪問(wèn)服務(wù)的安全、可靠、高效和簡(jiǎn)潔性。

關(guān)鍵詞：IPSec VPN；云上業(yè)務(wù)系統(tǒng)；網(wǎng)絡(luò)和數(shù)據(jù)安全

一、前言

近年來(lái)，隨著信息技術(shù)行業(yè)的迅猛發(fā)展，VPN技術(shù)也日趨成熟。利用此技術(shù)實(shí)現(xiàn)多方互通互聯(lián)可使業(yè)務(wù)更加高效開(kāi)展。而教育作為民生的一大重要部分，在省級(jí)教育系統(tǒng)遷移上云后，環(huán)境改變的情況下，完善各省教育系統(tǒng)與教育部系統(tǒng)的對(duì)接聯(lián)通已成為迫在眉睫的需求。在滿足業(yè)務(wù)網(wǎng)絡(luò)互通需求的同時(shí)，隨著IPSec VPN技術(shù)的成熟，選擇使用IPSec VPN，設(shè)計(jì)與實(shí)現(xiàn)安全訪問(wèn)隧道，可使部省間業(yè)務(wù)系統(tǒng)順利對(duì)接完成，提供安全穩(wěn)定的服務(wù)。

二、省級(jí)業(yè)務(wù)系統(tǒng)遷移上云情況

（一）基本情況

隨著時(shí)代的發(fā)展，教育工作對(duì)信息化的依賴程度越來(lái)越高，所以教育信息系統(tǒng)的保障工作尤為重要。由于各省某些數(shù)據(jù)中心設(shè)備老化導(dǎo)致故障頻發(fā)，給系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)安全造成隱患。為了更好地支持教育業(yè)務(wù)工作的正常開(kāi)展，提高省級(jí)教育管理信息系統(tǒng)的可靠性、安全性和穩(wěn)定性，順應(yīng)政務(wù)云應(yīng)用發(fā)展的技術(shù)趨勢(shì)，需對(duì)教育信息系統(tǒng)實(shí)施遷移政務(wù)云工作。在實(shí)施此工作的過(guò)程中，需重新設(shè)計(jì)并實(shí)現(xiàn)IPSec VPN通道，從而使部省間業(yè)務(wù)系統(tǒng)順利對(duì)接完成，提供安全穩(wěn)定的服務(wù)。

（二）省級(jí)原有數(shù)據(jù)中心網(wǎng)絡(luò)情況

省級(jí)數(shù)據(jù)中心機(jī)房承載省級(jí)教育行業(yè)多套重要業(yè)務(wù)系統(tǒng)，涉及全省學(xué)前、中小學(xué)的學(xué)生、家長(zhǎng)、教師等重要數(shù)據(jù)。網(wǎng)絡(luò)線路接入分為互聯(lián)網(wǎng)、教育網(wǎng)專線、政務(wù)外網(wǎng)。其中互聯(lián)網(wǎng)區(qū)按照業(yè)務(wù)系統(tǒng)功能需求，配置IP地址及端口映射策略，教育網(wǎng)專線為省部級(jí)間、省級(jí)教育部門與下屬部門間內(nèi)部業(yè)務(wù)系統(tǒng)提供非公開(kāi)發(fā)布網(wǎng)絡(luò)策略配置，政務(wù)外網(wǎng)區(qū)為省級(jí)教育系統(tǒng)與網(wǎng)信辦共享數(shù)據(jù)交互提供網(wǎng)絡(luò)支撐。機(jī)房互聯(lián)網(wǎng)出口為聯(lián)通和教育網(wǎng)雙出口，帶寬均為1G。出口設(shè)備由2臺(tái)H3C M9000防火墻堆疊承載，2臺(tái)銳捷S8610使用VRRP協(xié)議作為主備核心交換機(jī)，2臺(tái)H3C 10508交換機(jī)堆疊作為匯聚交換機(jī)，IPS、WAF、抗DDoS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)閘等安全設(shè)備均為2臺(tái)主備，以串聯(lián)模式部署在IDC機(jī)房，SSL VPN、IPSec VPN、堡壘機(jī)、負(fù)載均衡、數(shù)據(jù)庫(kù)審計(jì)、漏掃等安全設(shè)備以旁路模式部署在機(jī)房。網(wǎng)絡(luò)策略方面，依照按需開(kāi)啟原則，所有業(yè)務(wù)系統(tǒng)均以最小化開(kāi)啟原則進(jìn)行端口級(jí)策略開(kāi)放，所有業(yè)務(wù)系統(tǒng)無(wú)特殊需求不開(kāi)放訪問(wèn)互聯(lián)網(wǎng)策略，對(duì)于需放開(kāi)互聯(lián)網(wǎng)訪問(wèn)權(quán)限的主機(jī)開(kāi)放白名單，進(jìn)行對(duì)應(yīng)IP地址及端口開(kāi)放。內(nèi)網(wǎng)訪問(wèn)層面，按照業(yè)務(wù)系統(tǒng)間關(guān)聯(lián)關(guān)系，做好物理隔離和邏輯隔離，來(lái)保障業(yè)務(wù)系統(tǒng)內(nèi)部訪問(wèn)安全。安全方面，依據(jù)負(fù)責(zé)業(yè)務(wù)系統(tǒng)部門的相關(guān)管理制度，結(jié)合人員管理及安全設(shè)備策略優(yōu)化調(diào)整，有針對(duì)性的根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際功能需求制定相應(yīng)的安全防護(hù)方案，來(lái)保證業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)和數(shù)據(jù)安全。

（三）存在的問(wèn)題

目前，省級(jí)教育管理信息系統(tǒng)均部署省級(jí)教育數(shù)據(jù)中心。雖然相關(guān)工作人員對(duì)網(wǎng)絡(luò)策略和安全方面有相應(yīng)的防護(hù)方案，但機(jī)房、軟硬件及部分信息系統(tǒng)已建設(shè)使用多年，近期硬件故障頻發(fā)。而以數(shù)據(jù)中心為依托，承載和滿足了國(guó)家教育信息系統(tǒng)在省級(jí)教育行政部門的部署和運(yùn)行；集成和支撐本級(jí)各類教育基礎(chǔ)數(shù)據(jù)庫(kù)和各類教育管理信息系統(tǒng)；服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。這些省級(jí)系統(tǒng)中包含著非常多的個(gè)人信息和行政信息，而硬件老化問(wèn)題會(huì)影響網(wǎng)絡(luò)安全和數(shù)據(jù)安全，一旦發(fā)生安全問(wèn)題，會(huì)造成嚴(yán)重的數(shù)據(jù)泄露，給系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)安全造成隱患，全省的教育系統(tǒng)都會(huì)面臨著嚴(yán)重的威脅。

（四）解決方案

由于數(shù)據(jù)中心設(shè)備老化導(dǎo)致故障頻發(fā)，影響系統(tǒng)安全運(yùn)行，為了更好地支持教育業(yè)務(wù)工作的正常開(kāi)展，考慮到現(xiàn)下的情況，對(duì)教育信息系統(tǒng)實(shí)施遷移政務(wù)云工作是當(dāng)前最合適的解決方案。在遷移政務(wù)云過(guò)程中的工作內(nèi)容包括：網(wǎng)絡(luò)接入、系統(tǒng)環(huán)境部署、應(yīng)用和數(shù)據(jù)庫(kù)節(jié)點(diǎn)遷移及測(cè)試、數(shù)據(jù)同步、業(yè)務(wù)驗(yàn)證、政務(wù)云業(yè)務(wù)割接、上線試運(yùn)行、安全防護(hù)等。而數(shù)據(jù)同步工作中部省間業(yè)務(wù)系統(tǒng)數(shù)據(jù)同步更為重要，在確保網(wǎng)絡(luò)和數(shù)據(jù)安全的前提下還應(yīng)考慮開(kāi)支的問(wèn)題。在實(shí)施省級(jí)教育信息系統(tǒng)遷移政務(wù)云的過(guò)程中，數(shù)據(jù)同步工作方面，需保證省級(jí)業(yè)務(wù)系統(tǒng)和教育部業(yè)務(wù)系統(tǒng)的對(duì)接暢通，在保證網(wǎng)絡(luò)和數(shù)據(jù)安全的現(xiàn)有情況下，選擇重新設(shè)計(jì)并實(shí)現(xiàn)IPSec VPN通道，使部省間業(yè)務(wù)系統(tǒng)順利對(duì)接完成，是目前安全保護(hù)級(jí)別較高、節(jié)省開(kāi)支的一個(gè)可運(yùn)行的方案。在與教育部專線對(duì)接上，需完成IPSec VPN數(shù)據(jù)通道互通調(diào)試，打通與教育部業(yè)務(wù)系統(tǒng)聯(lián)通性，與教育部教育管理信息中心技術(shù)人員詳細(xì)溝通業(yè)務(wù)系統(tǒng)訪問(wèn)規(guī)則，對(duì)接IPSec VPN隧道相關(guān)信息；通過(guò)防火墻配置部署IPSec VPN隧道，打通與教育部業(yè)務(wù)系統(tǒng)的訪問(wèn)通道，進(jìn)行策略調(diào)試，保障業(yè)務(wù)系統(tǒng)訪問(wèn)的穩(wěn)定性。在此不贅述省級(jí)業(yè)務(wù)系統(tǒng)從原有數(shù)據(jù)中心遷移到政務(wù)云的具體步驟和技術(shù)支撐，詳細(xì)介紹在遷移上云中省級(jí)教育業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)同步對(duì)接技術(shù)選擇和省級(jí)防火墻配置步驟。

三、VPN簡(jiǎn)介

VPN（Vitrual Private Network）全稱為虛擬專用網(wǎng)絡(luò)，其實(shí)現(xiàn)原理是利用加密技術(shù)在現(xiàn)有的公用網(wǎng)絡(luò)中建立自己使用的虛擬專用網(wǎng)絡(luò)。采用加密認(rèn)證技術(shù)，確保用戶在傳統(tǒng)專網(wǎng)數(shù)據(jù)傳輸效果相近的情況下，所要傳輸?shù)臄?shù)據(jù)能夠安全地在公網(wǎng)上傳輸。這是一張標(biāo)準(zhǔn)的VPN網(wǎng)絡(luò)。根據(jù)不同的標(biāo)準(zhǔn)，VPN主要分為：SSL（安全套接層協(xié)議層）VPN、IPSec（互聯(lián)網(wǎng)安全協(xié)議）VPN、MPLS（多協(xié)議標(biāo)簽交換）VPN等。

（一）SSL VPN：基于WEB 應(yīng)用的安全協(xié)議的VPN 技術(shù)?？蛻舳顺绦?yàn)楦鞣N安全的瀏覽器，通過(guò)認(rèn)證后進(jìn)入到服務(wù)器的VPN網(wǎng)頁(yè)，訪問(wèn)具有WEB功能的某項(xiàng)應(yīng)用，類似于一個(gè)WEB服務(wù)器。SSL VPN的優(yōu)點(diǎn)是無(wú)需單獨(dú)安裝軟件、接入方式簡(jiǎn)單、性價(jià)比較高。但SSL VPN更適合訪問(wèn)一些較為簡(jiǎn)單的應(yīng)用，例如網(wǎng)頁(yè)、電子郵件等，如要訪問(wèn)整個(gè)網(wǎng)絡(luò)則會(huì)具有局限性。

（二）MPLS VPN：采用MPLS技術(shù)（多協(xié)議標(biāo)簽交換），以每個(gè)標(biāo)簽對(duì)應(yīng)一個(gè)用戶數(shù)據(jù)流的方式，利用標(biāo)簽交換對(duì)不同用戶進(jìn)行區(qū)分，實(shí)現(xiàn)用戶間數(shù)據(jù)隔離的VPN網(wǎng)絡(luò)。MPLS VPN具有較高的靈活性和可擴(kuò)展性，可以實(shí)現(xiàn)點(diǎn)到點(diǎn)，點(diǎn)到多點(diǎn)和任意接入點(diǎn)之間互訪的全網(wǎng)狀結(jié)構(gòu)，滿足用戶不同的通信需求。MPLS VPN采用標(biāo)簽交換技術(shù)來(lái)取代傳統(tǒng)的路由查找，減少了數(shù)據(jù)在網(wǎng)絡(luò)中的尋址時(shí)間，使數(shù)據(jù)傳輸效率大大提高，但搭建VPN網(wǎng)絡(luò)建設(shè)的投資也相對(duì)較高，更適合在大規(guī)模組網(wǎng)的情況下使用，因?yàn)镸PLS VPN對(duì)網(wǎng)絡(luò)和設(shè)備的要求較高。

（三）IPSec VPN：基于GRE（通用路由封裝）技術(shù)的VPN，用戶僅需要自己在路由器或防火墻上做相關(guān)配置，建立VPN網(wǎng)關(guān)，客戶端安裝相應(yīng)的VPN軟件即可實(shí)現(xiàn)在不同地點(diǎn)的兩個(gè)節(jié)點(diǎn)進(jìn)行內(nèi)部通信。IPSec VPN主要采用隧道技術(shù)、加密技術(shù)、Key管理技術(shù)等，達(dá)到將一條VPN隧道封裝起來(lái)，通過(guò)公用網(wǎng)絡(luò)將數(shù)據(jù)信息傳遞出去的目的。IPSec VPN搭建不需要運(yùn)營(yíng)商的參與，可以直接在現(xiàn)有的防火墻或路由器上實(shí)現(xiàn)，減少成本，IPSec安全級(jí)別較高，但也需要使用者自行維護(hù)，有較高的維護(hù)能力。

四、IPSec技術(shù)原理

（一）IPSec協(xié)議原理

IPSec是為實(shí)現(xiàn)VPN功能而使用的協(xié)議。它給出了一套應(yīng)用于IP層網(wǎng)絡(luò)數(shù)據(jù)安全的體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證頭（Authentication Header，AH）協(xié)議、封裝安全荷載（Encapsulating Security Payload，ESP）協(xié)議、密鑰管理（Internet Key Exchange，IKE）協(xié)議，以及一些用于網(wǎng)絡(luò)認(rèn)證和加密算法的協(xié)議等。IPSec規(guī)定了一系列的網(wǎng)絡(luò)安全服務(wù)，如訪問(wèn)控制、數(shù)據(jù)源認(rèn)證和數(shù)據(jù)加密，提供如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換等。IPSec工作于OSI七層模型中的第三層，可供IP和上層協(xié)議（如TCP、UDP等）使用。IPSec使用AH和ESP來(lái)實(shí)現(xiàn)各種不同的功能[1-2]。AH認(rèn)證頭協(xié)議是在確認(rèn)數(shù)據(jù)分組來(lái)源的同時(shí)，保證數(shù)據(jù)的完整性、可靠性和真實(shí)性，防止重復(fù)發(fā)送同一數(shù)據(jù)包。AH協(xié)議不加密用戶數(shù)據(jù)，通常會(huì)使用安全的Hash算法來(lái)保護(hù)數(shù)據(jù)包，并且在傳輸過(guò)程中需要更改的信息數(shù)據(jù)通常不在AH協(xié)議的保護(hù)范圍內(nèi)[3-4]。ESP用于加密數(shù)據(jù)分組，提供IP通信的安全服務(wù)，以達(dá)到對(duì)機(jī)密性和完整性的要求。ESP采用對(duì)稱的加密方式，可以滿足一定的安全要求，但需長(zhǎng)期保密的數(shù)據(jù)不適合這種加密方式。也可根據(jù)安全需求的不同，只對(duì)TCP或其他數(shù)據(jù)包進(jìn)行加密并重新封裝后，通過(guò)滑動(dòng)窗口機(jī)制進(jìn)行傳輸，解決數(shù)據(jù)傳輸中的接收、重傳等問(wèn)題[5]。

（二）IPSec VPN基礎(chǔ)概念

1.安全聯(lián)盟

對(duì)于IPSec而言，安全聯(lián)盟（Security Association，SA）是它的基礎(chǔ)，是兩個(gè)應(yīng)用IPSec系統(tǒng)之間的單向邏輯連接，是為保護(hù)通信提供具體細(xì)節(jié)的安全策略的具體化和實(shí)例化，它約定了傳輸數(shù)據(jù)分組協(xié)議。SA是一種單向的“連接”，為其傳輸?shù)耐ㄐ盘峁┌踩?wù)，完成數(shù)據(jù)通信的雙向傳輸需要一對(duì)SA。而IKE的一個(gè)功能是建立和維護(hù)SA，主要是維護(hù)IPSec安全機(jī)制中的兩個(gè)組件SADB（SA數(shù)據(jù)庫(kù)）和SPDB（安全策略數(shù)據(jù)庫(kù)），AH和ESP需要使用SA來(lái)提供安全服務(wù)。IPSec提供兩個(gè)端點(diǎn)之間的安全通訊，有兩種方式可以建立安全聯(lián)盟，一種是手工方式（Manual），一種是IKE自動(dòng)協(xié)商（ISAKMP）方式。

2.封裝方式

IPSec有如下兩種工作模式： 隧道（tunnel）模式：利用用戶的整個(gè)IP數(shù)據(jù)包計(jì)算AH或ESP頭，在一個(gè)新的IP數(shù)據(jù)包中封裝AH或ESP頭以及ESP加密的用戶數(shù)據(jù)。通常情況下，兩臺(tái)設(shè)備之間的通信都會(huì)應(yīng)用隧道模式。傳輸（transport）模式：只是利用傳輸層數(shù)據(jù)計(jì)算AH或ESP頭，在原IP包頭后面放置AH或ESP頭和ESP加密的用戶數(shù)據(jù)。通常情況下，在兩臺(tái)主機(jī)之間或一臺(tái)主機(jī)與一臺(tái)設(shè)備之間進(jìn)行通訊時(shí)，都會(huì)采用傳輸方式。

3.協(xié)商方式

手動(dòng)配置比較復(fù)雜，創(chuàng)建安全聯(lián)盟所需的信息都必須手動(dòng)配置，雖然不能支持IPSec的一些高級(jí)特性，但好處是無(wú)需依賴IKE，就可實(shí)現(xiàn)IPSec功能。這種方式適合在IP地址較固定或?qū)Φ润w設(shè)備數(shù)量較少的情況下通信使用。IKE自動(dòng)協(xié)商的方式比較簡(jiǎn)單，只需要將IKE協(xié)商安全策略的信息配置好，就能創(chuàng)建和維護(hù)安全聯(lián)盟。這種方式在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境下的中大型網(wǎng)絡(luò)中是適用的。這種方式的建立，有兩個(gè)階段的過(guò)程，對(duì)提高密鑰交換的速度有很大的幫助。第一階段，協(xié)商創(chuàng)建一個(gè)通信信道（ISAKMP SA），并對(duì)信道進(jìn)行認(rèn)證，以供雙方進(jìn)一步開(kāi)展IKE通信；第二階段，利用已經(jīng)建立的ISAKMP SA建立IPSec SA。IPSec的安全服務(wù)可以采取手工輸入密鑰的方式，但是這種方式的操作性和擴(kuò)展性極差。因此在實(shí)際應(yīng)用中，大多數(shù)采取的是使用IKE（Internet密鑰交換協(xié)議）對(duì)雙方進(jìn)行動(dòng)態(tài)生成共享密鑰的方式，從而實(shí)現(xiàn)安全有效的通信。

4.引用IPSec VPN

設(shè)備將配置好的VPN隧道通過(guò)“基于策略的VPN”和“基于路由的VPN”兩種方式調(diào)用到設(shè)備上，從而實(shí)現(xiàn)流量的加密解密安全傳輸。基于策略的VPN：在策略規(guī)則中引用配置成功的VPN隧道名稱，使符合條件的流量通過(guò)指定的VPN隧道傳送?；诼酚傻腣PN：用隧道接口綁定配置成功的VPN隧道；配置靜態(tài)路由時(shí)，指定隧道接口作為下一跳路由。

五、通過(guò)防火墻配置部署IPSec VPN隧道的設(shè)計(jì)與實(shí)現(xiàn)

首先要確定省端互聯(lián)網(wǎng)出口防火墻設(shè)備與教育部端設(shè)備是否為同一廠商設(shè)備，再做不同的處理?，F(xiàn)以兩端為不同廠商設(shè)備舉例，省級(jí)與教育部業(yè)務(wù)系統(tǒng)對(duì)接需要在兩張網(wǎng)之間建立IPSec VPN隧道，省端云互聯(lián)網(wǎng)出口防火墻與教育部端設(shè)備對(duì)接屬于不同廠商間設(shè)備對(duì)接，實(shí)際拓?fù)鋱D見(jiàn)圖1。由拓?fù)鋱D可知，省端云互聯(lián)網(wǎng)內(nèi)需要訪問(wèn)教育部互聯(lián)網(wǎng)內(nèi)教師管理系統(tǒng)、學(xué)前系統(tǒng)、學(xué)籍系統(tǒng)等多個(gè)業(yè)務(wù)系統(tǒng)，但由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問(wèn)教育業(yè)務(wù)系統(tǒng)。因此通過(guò)在省端防火墻上配置源NAT，將省端云互聯(lián)網(wǎng)中業(yè)務(wù)系統(tǒng)的IP，轉(zhuǎn)換成特定的IP地址，以實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)。具體實(shí)施：首先需要與教育部對(duì)各種搭建IPSec VPN隧道相關(guān)參數(shù)信息進(jìn)行協(xié)商確認(rèn)，例如預(yù)共享密鑰、支持模式、超時(shí)檢測(cè)、加密算法等。防火墻的相關(guān)內(nèi)容參數(shù)再根據(jù)這些參數(shù)信息進(jìn)行配置。具體配置防火墻的參數(shù)步驟如下。

1.首先配置VPN對(duì)端配置

（1）在防火墻操作界面，點(diǎn)擊“VPN>IPSec VPN”進(jìn)入IPSec VPN界面。

（2）填寫(xiě)連接端的名稱并選擇建立IPSec VPN的公網(wǎng)出口。

（3）填寫(xiě)以下幾個(gè)配置情況

接口類型：IPV4；

協(xié)議標(biāo)準(zhǔn)選擇：IKEV1；

認(rèn)證模式：主模式；

類型：靜態(tài)IP。

（4）輸入對(duì)端公網(wǎng)IP地址：X.X.X.X。

（5）輸入雙方協(xié)商的預(yù)共享密鑰。

（6）點(diǎn)擊“高級(jí)配置”，由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問(wèn)教育業(yè)務(wù)系統(tǒng)，需要NAT轉(zhuǎn)換成特定地址。因此連接類型選擇“雙向”并打開(kāi)“NAT穿越”選項(xiàng)，選擇“接受對(duì)端任意ID”同時(shí)選擇“對(duì)端存活檢測(cè)”。DPD間隔與DPD重試根據(jù)協(xié)商的參數(shù)輸入。

（7）點(diǎn)擊確認(rèn)，VPN對(duì)端參數(shù)配置完成。

2.配置預(yù)協(xié)商參數(shù)

（1）點(diǎn)擊“提議1”填寫(xiě)階段1提議配置，填寫(xiě)提議名稱。

（2）在認(rèn)證欄中選擇“PRE-share（預(yù)共享密鑰）”。

（3）驗(yàn)證算法、加密算法、DH組、生存時(shí)間根據(jù)協(xié)商參數(shù)分別選擇“驗(yàn)證算法：SHA”、“加密算法：AES-256”、“CH組：Group”、“生存時(shí)間：3600秒”。

（4）階段1提議配置完成。

3.配置階段2協(xié)商參數(shù)

在階段2提議配置中，選擇“ESP”協(xié)議，驗(yàn)證算法、加密算法、DH組、生存時(shí)間根據(jù)協(xié)商參數(shù)分別選擇“驗(yàn)證算法：SHA”“加密算法：AES-256”“CH組：Group”“生存時(shí)間：3600秒”。至此，階段2提議配置完成。

4.查驗(yàn)IPSec VPN建立情

通過(guò)兩端設(shè)備協(xié)商，可以觀測(cè)到IPSec VPN隧道的架設(shè)完成。

5.建立tunnel隧道

點(diǎn)擊左側(cè)“接口”選項(xiàng)卡進(jìn)行接口配置，安全域選擇“三層安全域”“VPNHub”，開(kāi)啟HA同步，建立tunnel隧道，綁定創(chuàng)建好的IPSec VPN。Tunnel隧道建立完成。

6.配置策略路由

點(diǎn)擊防火墻操作頁(yè)面中的“網(wǎng)絡(luò)>路由>策略路由”通過(guò)配置策略路由，實(shí)現(xiàn)需要訪問(wèn)教育部的業(yè)務(wù)系統(tǒng)能夠優(yōu)先通過(guò)tunnel隧道進(jìn)行訪問(wèn)。

7.配置源NAT

由于教育部配置了安全策略，只允許特定網(wǎng)絡(luò)地址段地址訪問(wèn)教育業(yè)務(wù)系統(tǒng)。因此需要在防火墻上配置源NAT，點(diǎn)擊防火墻操作頁(yè)面左側(cè)“NAT>源NAT”進(jìn)行操作，將省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)的IP，轉(zhuǎn)換成特定的IP地址，以實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)。

8.配置目的NAT

為實(shí)現(xiàn)教育部網(wǎng)絡(luò)IP地址段訪問(wèn)省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)的IP，配置目的NAT，省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)的IP地址將轉(zhuǎn)換成特定的IP地址，以實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)。

9.配置安全策略

在防火墻操作頁(yè)面左側(cè)“安全策略>策略”中進(jìn)行配置，允許省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)地址段訪問(wèn)教育部業(yè)務(wù)系統(tǒng)IP地址。

至此，省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)之間的IPSec VPN隧道建立完成，實(shí)現(xiàn)省級(jí)政務(wù)云上系統(tǒng)對(duì)教育部業(yè)務(wù)系統(tǒng)的訪問(wèn)，保證省部級(jí)業(yè)務(wù)系統(tǒng)數(shù)據(jù)同步安全通暢，確保省級(jí)業(yè)務(wù)系統(tǒng)功能正常使用。

六、結(jié)語(yǔ)

在原有數(shù)據(jù)中心設(shè)備老化的情況下，選擇把教育系統(tǒng)分批遷移至政務(wù)云，不但保證了業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，更順應(yīng)了政務(wù)云應(yīng)用的發(fā)展目前的趨勢(shì)。在遷移上云后的網(wǎng)絡(luò)環(huán)境下，運(yùn)用IPSec VPN技術(shù)在省級(jí)政務(wù)云上業(yè)務(wù)系統(tǒng)與教育部業(yè)務(wù)系統(tǒng)之間搭建通信隧道，實(shí)現(xiàn)了異地環(huán)境下對(duì)教育部業(yè)務(wù)系統(tǒng)的安全、可靠、高效訪問(wèn)，節(jié)省了開(kāi)支，極大地提高了工作效率，保證了當(dāng)前形式下教育工作的順利進(jìn)行，更好地支持省級(jí)教育業(yè)務(wù)工作的正常開(kāi)展，提高了省級(jí)教育管理信息系統(tǒng)的可靠性、安全性和穩(wěn)定性。

參考文獻(xiàn)

[1]李石磊.基于IPSec協(xié)議的VPN代理網(wǎng)關(guān)系統(tǒng)的研究與實(shí)現(xiàn)[D].太原：太原理工大學(xué)，2013.

[2]陳紅軍，周青云，張有順.基于IPSec的虛擬專用網(wǎng)實(shí)現(xiàn)研究[J].制造業(yè)自動(dòng)化，2011，33（4）：70-72.

[3]姚立紅，謝立.IPSec與防火墻協(xié)同工作設(shè)計(jì)與實(shí)現(xiàn)[J].小型微型計(jì)算機(jī)系統(tǒng)，2004（2）：183-186.

[4]陳慶章，李興華，范聰玲，等.基于IPSec協(xié)議的VPN穿越NAT的研究與實(shí)現(xiàn)[C]//中國(guó)互聯(lián)網(wǎng)學(xué)術(shù)年會(huì).中國(guó)計(jì)算機(jī)學(xué)會(huì)，2013.

[5]李學(xué)花.網(wǎng)絡(luò)數(shù)據(jù)隧道式加密與解密的硬件實(shí)現(xiàn)[D].天津：天津大學(xué)，2006.

作者單位：天津市大數(shù)據(jù)管理中心