SSL VPN技術(shù)在貴州省氣象信息網(wǎng)絡(luò)通信中的應(yīng)用

湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

SSL VPN技術(shù)在貴州省氣象信息網(wǎng)絡(luò)通信中的應(yīng)用

湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

該文介紹了貴州省氣象信息SSL VPN網(wǎng)絡(luò)的建設(shè)以及該網(wǎng)絡(luò)部署后的功能和優(yōu)點。通過該VPN的建設(shè)對遠程接入貴州省氣象信息內(nèi)部網(wǎng)絡(luò)的用戶，實現(xiàn)統(tǒng)一管理和控制，極大的提高了網(wǎng)絡(luò)安全性。

SSL;VPN;拓撲;可靠性

1 引言

貴州省氣象信息VPN網(wǎng)絡(luò)已使用多年，為移動辦公提供了有力的支持保障，但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，該系統(tǒng)在資源管理方面體現(xiàn)出許多不足之處：用戶登錄無訪問控制、無安全認證、權(quán)限設(shè)置過大。面對日益嚴峻的網(wǎng)絡(luò)安全問題，貴州省氣象信息中心對VPN網(wǎng)絡(luò)進行了升級改造，通過采用SSL VPN技術(shù)對用戶進行分級控制、安全認證和限制權(quán)限，升級已在2010年底完成。隨著升級的完成，為貴州省氣象局遠程辦公提供了簡單、安全、高效的遠程連接技術(shù)，SSL VPN是一種新興的以HTTPS為基礎(chǔ)的訪問方式，對用戶遠程訪問內(nèi)部網(wǎng)絡(luò)提供了安全保證。

2 省局SSL VPN改造前存在的問題

我省VPN系統(tǒng)是2003年搭建成功并開始使用，使用的是硬件IPSec和軟件L2TP兩種方式，由AR46-40路由器接入省局核心網(wǎng)絡(luò)實現(xiàn)。各地區(qū)臺站通過AR18-30路由器對接訪問省局，這兩種方式訪問省局時可以實現(xiàn)遠程控制、共享訪問和FTP傳輸。

2.1 軟件L2TP方式不足之處

2.1.1 用戶單一 全省都使用同一個用戶，不能有效地進行用戶管理和監(jiān)控，對于什么用戶在什么時候做了什么操作，沒有一個系統(tǒng)的日志報表進行常規(guī)的分析和研究。

2.1.2 共享訪問提供的權(quán)限過大 用戶誤操作使文件被刪除，也可能存在某些用戶通過L2TP登錄上省局服務(wù)器后，對某些不是該用戶使用的文件和文件夾進行刪除、修改和遷移等操作。

2.1.3 無法進行流量控制 對連接的用戶上傳和下載流量都沒有限制，當用戶進行大容量的資料傳輸時，會導(dǎo)致網(wǎng)絡(luò)性能的下降。

2.2 硬件IPSec方式不足之處

①當網(wǎng)絡(luò)中要做調(diào)整時，需在每個AR-1830客戶端和AR4640服務(wù)器上分別做配置更改，由于省內(nèi)臺站很多，做一次網(wǎng)絡(luò)規(guī)劃過程復(fù)雜，并且管理成本很高。

②IPSec安全協(xié)議在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。如果遠程用戶以IPSec VPN的方式與省局內(nèi)部網(wǎng)絡(luò)建立聯(lián)系，就會給黑客得到內(nèi)部網(wǎng)絡(luò)信息的可趁之機。另外在應(yīng)對病毒入侵方面，采用IPSec連接后，若是客戶端電腦遭到病毒感染，該病毒就有機會感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺電腦。

3 省局SSL VPN改造具體步驟

3.1 SSL VPN簡介

SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內(nèi)嵌在瀏覽器中，不需要象傳統(tǒng) IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這對于擁有大量機器(包括家用機、工作機和客戶機等)需要與公司機密信息相連接的用戶至關(guān)重要。

3.2 SSL VPN實現(xiàn)的功能及優(yōu)點

3.2.1 SSL VPN功能 ①VPN設(shè)備的部署方式不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu);②VPN用戶按組分類，各組分配相應(yīng)權(quán)限;③個人用戶可使用證書認證，公用用戶使用密碼登錄方式;④通過日志可以查看所有用戶的登錄記錄。⑤可實現(xiàn)運行狀態(tài)、日志查詢、統(tǒng)計報表、數(shù)據(jù)管理。

3.2.2 SSL VPN優(yōu)點 ①方便：SSL VPN只需要安裝配置好中心網(wǎng)關(guān)即可，其余客戶端是免安裝的。②容易維護：SSL VPN維護起來簡單，出現(xiàn)問題，維護網(wǎng)關(guān)即可。實在不行，換一臺，如果雙機備份的話，啟動備份機器啟動即可。③安全：SSL VPN是一個安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。

3.3 SSL VPN具體部署

本次貴州省氣象局VPN的升級改造，使省局業(yè)務(wù)系統(tǒng)的利用效率、安全性都得到了提升，主要包括以下方面。

3.3.1 可用性 由于VPN設(shè)備旁路模式部署，不需要對客戶原有的邏輯拓撲做任何改動，其部署在此位置，不會因設(shè)備出現(xiàn)意外情況而影響到內(nèi)網(wǎng)里的其他設(shè)備和資源。

3.3.2 安全性 通過SSL VPN設(shè)備的部署，移動辦公人員可以安全地接入到內(nèi)網(wǎng)里并根據(jù)預(yù)定好的權(quán)限訪問相關(guān)資源。

3.3.3 可靠性 引入HTP技術(shù)，提高在高延時、高丟包環(huán)境下的訪問速度;針對C/S應(yīng)用引入動態(tài)壓縮，進一步提高壓縮效率;并為用戶提供了多種認證手段及混合認證手段;提供基于用戶的VPN專線有效保證了VPN接入安全;對用戶的分級管理，VPN資源的高細粒度權(quán)限管理控制，提供了全面的安全性保護;支持B/S和C/S應(yīng)用單點登錄，通過單點登錄免除了用戶重復(fù)輸入帳號的繁瑣，簡化了工作流程;廣泛支持各種終端設(shè)備，包括移動PDA終端;頁面定制為用戶提供了全面的個性化登錄界面;集群技術(shù)有效的平衡了多臺VPN設(shè)備的負載，提高了VPN設(shè)備的使用效率;提供了跟用戶內(nèi)部管理系統(tǒng)接合的接口，能夠更好地與用戶內(nèi)部系統(tǒng)融合;默認服務(wù)頁面，提高用戶登錄效率。

3.4 用戶分類

根據(jù)本單位需求分別設(shè)置有省局用戶組、地州用戶組、局領(lǐng)導(dǎo)用戶組，不同用戶開通的服務(wù)可進行獨立設(shè)置，可在APP資源中對某個用戶開通哪些服務(wù)進行設(shè)置。在新建用戶時可對每個用戶的屬性進行設(shè)置，可設(shè)置公用用戶、私用用戶、認證方法(用戶/密碼、USB-key和外部認證)

3.6 SSL VPN網(wǎng)絡(luò)在貴州省氣象信息網(wǎng)絡(luò)中部署前后對照

表1 部署前后對照

4 小結(jié)

隨著該系統(tǒng)的部署，對于網(wǎng)絡(luò)管理員來說減輕了不少負擔，可統(tǒng)一對用戶進行管理、監(jiān)控;一定程度上避免了外部病毒的侵害;通過WEB方式即可全盤掌握用戶各種信息。

［1］ 田蘭，李波，易丁，等.利用寬帶技術(shù)建設(shè)貴州省新型氣象信息交換平臺［J］. 貴州氣象，2004，28(增刊)：58-59.

［2］ 王成國，羅偉明，黨永娟.VPN技術(shù)介紹及在氣象通信中的應(yīng)用［J］. 青海氣象，2005，1：43-44.

［3］ 殷廣亞，程錦霞，衛(wèi)權(quán)崗，等.氣象中心VPN備份網(wǎng)絡(luò)設(shè)計［J］. 科技信息，2008，8：59.

TN915

B

1003-6598(2011)02-0048-02

2011-03-09

湯寧(1976-)，男，工程師，主要從事網(wǎng)絡(luò)管理工作。