SSL VPN技術在貴州省氣象信息網絡通信中的應用

湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

SSL VPN技術在貴州省氣象信息網絡通信中的應用

湯 寧，袁 順，鄒 蓓，汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

該文介紹了貴州省氣象信息SSL VPN網絡的建設以及該網絡部署后的功能和優點。通過該VPN的建設對遠程接入貴州省氣象信息內部網絡的用戶，實現統一管理和控制，極大的提高了網絡安全性。

SSL;VPN;拓撲;可靠性

1 引言

貴州省氣象信息VPN網絡已使用多年，為移動辦公提供了有力的支持保障，但隨著網絡技術的發展，該系統在資源管理方面體現出許多不足之處：用戶登錄無訪問控制、無安全認證、權限設置過大。面對日益嚴峻的網絡安全問題，貴州省氣象信息中心對VPN網絡進行了升級改造，通過采用SSL VPN技術對用戶進行分級控制、安全認證和限制權限，升級已在2010年底完成。隨著升級的完成，為貴州省氣象局遠程辦公提供了簡單、安全、高效的遠程連接技術，SSL VPN是一種新興的以HTTPS為基礎的訪問方式，對用戶遠程訪問內部網絡提供了安全保證。

2 省局SSL VPN改造前存在的問題

我省VPN系統是2003年搭建成功并開始使用，使用的是硬件IPSec和軟件L2TP兩種方式，由AR46-40路由器接入省局核心網絡實現。各地區臺站通過AR18-30路由器對接訪問省局，這兩種方式訪問省局時可以實現遠程控制、共享訪問和FTP傳輸。

2.1 軟件L2TP方式不足之處

2.1.1 用戶單一 全省都使用同一個用戶，不能有效地進行用戶管理和監控，對于什么用戶在什么時候做了什么操作，沒有一個系統的日志報表進行常規的分析和研究。

2.1.2 共享訪問提供的權限過大 用戶誤操作使文件被刪除，也可能存在某些用戶通過L2TP登錄上省局服務器后，對某些不是該用戶使用的文件和文件夾進行刪除、修改和遷移等操作。

2.1.3 無法進行流量控制 對連接的用戶上傳和下載流量都沒有限制，當用戶進行大容量的資料傳輸時，會導致網絡性能的下降。

2.2 硬件IPSec方式不足之處

①當網絡中要做調整時，需在每個AR-1830客戶端和AR4640服務器上分別做配置更改，由于省內臺站很多，做一次網絡規劃過程復雜，并且管理成本很高。

②IPSec安全協議在內部網絡的數據是透明的，包括任何密碼和在傳輸中的敏感數據。如果遠程用戶以IPSec VPN的方式與省局內部網絡建立聯系，就會給黑客得到內部網絡信息的可趁之機。另外在應對病毒入侵方面，采用IPSec連接后，若是客戶端電腦遭到病毒感染，該病毒就有機會感染到內部網絡所連接的每臺電腦。

3 省局SSL VPN改造具體步驟

3.1 SSL VPN簡介

SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與復雜的IPSec VPN相比，SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內嵌在瀏覽器中，不需要象傳統 IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這對于擁有大量機器(包括家用機、工作機和客戶機等)需要與公司機密信息相連接的用戶至關重要。

3.2 SSL VPN實現的功能及優點

3.2.1 SSL VPN功能 ①VPN設備的部署方式不影響現有網絡結構;②VPN用戶按組分類，各組分配相應權限;③個人用戶可使用證書認證，公用用戶使用密碼登錄方式;④通過日志可以查看所有用戶的登錄記錄。⑤可實現運行狀態、日志查詢、統計報表、數據管理。

3.2.2 SSL VPN優點 ①方便：SSL VPN只需要安裝配置好中心網關即可，其余客戶端是免安裝的。②容易維護：SSL VPN維護起來簡單，出現問題，維護網關即可。實在不行，換一臺，如果雙機備份的話，啟動備份機器啟動即可。③安全：SSL VPN是一個安全協議，數據全程加密傳輸的。另外，由于SSL網關隔離了內部服務器和客戶端，只留下一個web瀏覽接口，客戶端的大多數病毒木馬感染不倒內部服務器。

3.3 SSL VPN具體部署

本次貴州省氣象局VPN的升級改造，使省局業務系統的利用效率、安全性都得到了提升，主要包括以下方面。

3.3.1 可用性 由于VPN設備旁路模式部署，不需要對客戶原有的邏輯拓撲做任何改動，其部署在此位置，不會因設備出現意外情況而影響到內網里的其他設備和資源。

3.3.2 安全性 通過SSL VPN設備的部署，移動辦公人員可以安全地接入到內網里并根據預定好的權限訪問相關資源。

3.3.3 可靠性 引入HTP技術，提高在高延時、高丟包環境下的訪問速度;針對C/S應用引入動態壓縮，進一步提高壓縮效率;并為用戶提供了多種認證手段及混合認證手段;提供基于用戶的VPN專線有效保證了VPN接入安全;對用戶的分級管理，VPN資源的高細粒度權限管理控制，提供了全面的安全性保護;支持B/S和C/S應用單點登錄，通過單點登錄免除了用戶重復輸入帳號的繁瑣，簡化了工作流程;廣泛支持各種終端設備，包括移動PDA終端;頁面定制為用戶提供了全面的個性化登錄界面;集群技術有效的平衡了多臺VPN設備的負載，提高了VPN設備的使用效率;提供了跟用戶內部管理系統接合的接口，能夠更好地與用戶內部系統融合;默認服務頁面，提高用戶登錄效率。

3.4 用戶分類

根據本單位需求分別設置有省局用戶組、地州用戶組、局領導用戶組，不同用戶開通的服務可進行獨立設置，可在APP資源中對某個用戶開通哪些服務進行設置。在新建用戶時可對每個用戶的屬性進行設置，可設置公用用戶、私用用戶、認證方法(用戶/密碼、USB-key和外部認證)

3.6 SSL VPN網絡在貴州省氣象信息網絡中部署前后對照

表1 部署前后對照

4 小結

隨著該系統的部署，對于網絡管理員來說減輕了不少負擔，可統一對用戶進行管理、監控;一定程度上避免了外部病毒的侵害;通過WEB方式即可全盤掌握用戶各種信息。

［1］ 田蘭，李波，易丁，等.利用寬帶技術建設貴州省新型氣象信息交換平臺［J］. 貴州氣象，2004，28(增刊)：58-59.

［2］ 王成國，羅偉明，黨永娟.VPN技術介紹及在氣象通信中的應用［J］. 青海氣象，2005，1：43-44.

［3］ 殷廣亞，程錦霞，衛權崗，等.氣象中心VPN備份網絡設計［J］. 科技信息，2008，8：59.

TN915

B

1003-6598(2011)02-0048-02

2011-03-09

湯寧(1976-)，男，工程師，主要從事網絡管理工作。