在VOD系統中部署SSL VPN遠程接入訪問

尹粵寧

【摘要】國家“三網融合”和下一代廣播電視網的發展戰略賦予了廣電運營商新的業務生命，徹底改變了傳統廣播電視網的網絡形態和服務模式，并從目前的“單向廣播網絡”向“雙向廣播網絡”的融合網絡演進，為廣大人民群眾提供與傳統電視不同的互動點播服務。然而，要對如此龐大且復雜的視頻系統進行安全可靠的遠程管理和維護不是一件易事。本文主要從系統管理維護的角度出發，通過在視頻系統中部署SSL VPN遠程接入訪問，提供一條可供廣電運營商借鑒的遠程安全管理維護的思路。

【關鍵詞】廣電運營商；VOD；遠程接入；SSL VPN

一、VOD系統部署需求

數字電視雙向綜合視頻業務（以下簡稱VOD）是廣電運營商按照國家發展戰略通過改造自身網絡所提供的一種新形態業務，主要提供用戶點播、錄制、回看、時移等功能，隨著VOD業務的不斷開展，未來還將陸續推出諸如電視郵件、電視短信、互動游戲、電視購物、電視證券、電視支付、卡拉OK等多種新應用以提供和滿足未來家庭數字電視綜合信息服務的需求。

VOD系統內部署了多達成百上千臺服務器以提供不同業務的功能和應用，這些服務器由多個部門、多家設備廠商等共同參與維護和管理。

為便于廣電運營商對VOD系統的管理和維護，有必要為VOD系統專門建立一條安全訪問通道，使得VOD系統具有遠程接入能力。該通道一方面可以便于管理部門、設備廠商對各類服務器、網絡路由器、交換機、防火墻等進行遠程調試、分析和管理，另一方面可以跟蹤并記錄訪問用戶的操作行為，保障VOD核心系統安全穩定地運行。

二、SSL VPN遠程接入

SSL VPN即指采用SSL （Security Socket Layer安全套接層協議層）協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議，它包括：服務器認證、客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。

對于內、外部應用，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL協議被內置于IE等瀏覽器中，使用SSL協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。

相對于傳統的IPSEC VPN而言，SSL VPN具有部署簡單、無客戶端、維護成本低、網絡適應強等特點。

三、SSL VPN的主要優勢

◆無需安裝客戶端軟件。

在大多數執行基于SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟件。只需通過標準的Web瀏覽器連接因特網，即可以通過網頁訪問到企業總部的網絡資源。這樣無論是從軟件協議購買成本上，還是從維護、管理成本上都可以節省一大筆資金，特別是對于大、中型企業和網絡服務提供商。

◆適用于大多數操作系統。

可以運行標準的因特網瀏覽器的大多數操作系統都可以用來進行基于Web的遠程訪問，不管操作系統是Windows、UNIX還是 Linux。

◆良好的安全性。

用戶通過基于SSL的Web訪問并不是網絡的真實節點，就像IPSec安全協議一樣。而且還可代理訪問公司內部資源。因此，這種方法非常安全，特別是對于外部用戶的訪問。

◆可以繞過防火墻和代理服務器進行訪問。

基于SSL的遠程訪問方案中，使用NAT（網絡地址轉換）服務的遠程用戶或者因特網代理服務的用戶可以從中受益。這是采用基于IPSec安全協議的遠程訪問所很難或者根本做不到的。

四、部署方案

使用專門支持SSL VPN的設備（如路由器、防火墻等）分別連接VOD內部網絡以及Internet外部網絡，為該設備分配兩個IP地址。一個用于VOD內部網絡的地址，一個用于外部網絡的合法公網地址。

在基本策略方面，通過使用SSL VPN，遠端用戶不需要配置VPN客戶端，只需要使用瀏覽器即可連接到VOD網絡，為了確保VPN的安全性，必須對VPN訪問策略進行控制。由于VPN使用對象針對不同部門和設備廠商，因此可以分別為上述部門定義一個組，組下建立不同的用戶。

同時，針對不同的組和用戶，定義每個帳號能夠訪問的網絡資源。

為滿足多個遠程用戶同時發起連接請求，在該設備上為用戶設置了一個地址池，該地址池使用私有地址并映射為同一個VOD內部地址。這樣對于每一個遠程用戶，其真正訪問VOD系統的內部源地址實際為由私網映射成的VOD內部地址。

五、SSL VPN Client（SVC）配置步驟

以思科ASA系列防火墻為例，通過SSL VPN Client方式，客戶端會自動下載并安裝SSL VPN Client程序，系統自動分配給Client用戶一個接入IP地址，系統通過配置訪問控制列表限制Client能訪問的內部網絡資源。

主要配置參數和步驟如下：

1.配置VOD內部服務器全局訪問列表及SSL VPN Client的地址池：

group-policy DfltGrpPolicy attributes

ip local pool VPNClient

2.配置用戶組允許訪問的策略

access-list SVC_ACL extended permit ip

3.配置SSL VPN Client授權用戶

username member1 password

username member1 attributes