基于AD域用戶認(rèn)證的SSLVPN部署

佟鵬

天津廣播電視臺 天津 300070

引言

為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全，完善網(wǎng)絡(luò)安全的法律法規(guī)，2017年6月1日起我國開始施行《網(wǎng)絡(luò)安全法》，為了結(jié)合等級保護(hù)2.0的需求，2019年又對《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》進(jìn)行了修訂和補(bǔ)充。廣播電視作為國家重要的宣傳機(jī)構(gòu)，網(wǎng)絡(luò)的安全性尤為重要。2020年4月22日，包括國家廣播電視總局在內(nèi)的12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審核辦法》，該辦法已于2020年6月1日開始實(shí)施[1]。為了提升天津廣播業(yè)務(wù)系統(tǒng)的安全性，降低被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，按照等級保護(hù)的相關(guān)規(guī)定，天津廣播的大部分業(yè)務(wù)系統(tǒng)放置在受防火墻保護(hù)和監(jiān)管辦公網(wǎng)內(nèi)，并沒有暴露在互聯(lián)網(wǎng)上。但是，廣播電視由于其行業(yè)工作的特殊性，記者大部分時間奔波于采訪現(xiàn)場，很難有固定的時間坐在工位上編輯稿件，特別是在新型冠狀病毒疫情期間，記者奔赴抗疫一線，長期處于與辦公局域網(wǎng)隔離的狀態(tài)。因此，通過互聯(lián)網(wǎng)安全、快速地訪問天津廣播業(yè)務(wù)系統(tǒng)的需求日益突顯。天津廣播電視臺結(jié)合自身的網(wǎng)絡(luò)拓?fù)?，利用天津廣播網(wǎng)絡(luò)架構(gòu)中華為防火墻SSL VPN的功能模塊，搭建VPN服務(wù)，打通了互聯(lián)網(wǎng)與天津廣播辦公網(wǎng)之間的網(wǎng)絡(luò)鏈路，并通過AD域用戶驗(yàn)證和安全策略的配置，保證了鏈路的安全性。

1 實(shí)現(xiàn)原理

SSL VPN是基于安全套接字層協(xié)議建立的VPN遠(yuǎn)程接入技術(shù)，遠(yuǎn)程用戶使用SSL VPN可以安全、方便地接入企業(yè)內(nèi)網(wǎng)，訪問企業(yè)內(nèi)網(wǎng)資源，提高工作效率。防火墻向遠(yuǎn)程用戶提供SSL VPN接入服務(wù)的功能模塊稱為虛擬網(wǎng)關(guān)，虛擬網(wǎng)關(guān)是遠(yuǎn)程用戶訪問企業(yè)內(nèi)網(wǎng)資源的統(tǒng)一入口，圖1為VPN工作的總體流程。遠(yuǎn)程用戶在客戶端輸入虛擬網(wǎng)關(guān)的IP地址，并在虛擬網(wǎng)關(guān)登錄界面輸入天津廣播域用戶的用戶名和密碼，虛擬網(wǎng)關(guān)會對通過AD域控服務(wù)器對用戶身份進(jìn)行認(rèn)證。身份認(rèn)證通過后，虛擬網(wǎng)關(guān)會動態(tài)分配一個虛擬IP地址，將遠(yuǎn)程用戶與可訪問的內(nèi)網(wǎng)資源鏈路打通，遠(yuǎn)程用戶即可訪問對應(yīng)資源。

圖1 VPN工作的總體流程

2 部署方案

2.1 配置安全策略

在防火墻上配置允許用戶與防火墻建立SSL VPN隧道，允許防火墻與AD域控服務(wù)器通信，允許指定用戶通過防火墻訪問內(nèi)網(wǎng)資源的安全策略，打通Untrust域的互聯(lián)網(wǎng)通過防火墻的VPN到Trust域網(wǎng)絡(luò)鏈路，如圖2所示。

圖2 通過VPN從互聯(lián)網(wǎng)訪問辦公網(wǎng)示意圖

2.2 配置防火墻和AD服務(wù)器的對接參數(shù)

在防火墻上配置AD域控服務(wù)器的機(jī)器名、Base DN、過濾字段等參數(shù)，并驗(yàn)證防火墻與AD域控服務(wù)器的連通性，如圖3所示。

圖3 AD服務(wù)器配置圖

2.3 配置認(rèn)證域并執(zhí)行服務(wù)器導(dǎo)入策略

新建AD域控服務(wù)器的導(dǎo)入策略，根據(jù)域控服務(wù)器的信息設(shè)置服務(wù)器路徑和目標(biāo)用戶組，設(shè)定自動增量同步和全量同步的周期時間以及過濾參數(shù)并導(dǎo)入AD域控服務(wù)器上的用戶。

2.4 配置SSL VPN

創(chuàng)建SSL VPN虛擬網(wǎng)關(guān)，配置SSL VPN虛擬網(wǎng)關(guān)允許接入的最大用戶數(shù)和允許同時接入的最大用戶數(shù)，配置虛擬網(wǎng)關(guān)和認(rèn)證域綁定[2]。配置SSL VPN可分配的動態(tài)地址池，用戶通過VPN客戶端安裝虛擬網(wǎng)卡，從SSL VPN獲取虛擬IP地址，實(shí)現(xiàn)對廣播辦公網(wǎng)資源的訪問并對不同用戶分配不同的SSL VPN訪問權(quán)限。

3 實(shí)際應(yīng)用

2020年年初，新型冠狀病毒疫情爆發(fā)，為落實(shí)本單位彈性工作法遠(yuǎn)程辦公的要求，天津廣播SSL VPN對所有天津廣播的AD域用戶開通了津云中央廚房、新華社收稿系統(tǒng)、“云里”系統(tǒng)、內(nèi)網(wǎng)網(wǎng)站等資源的訪問權(quán)限，并在防火墻上根據(jù)需求制定了多條安全策略，用戶可以通過VPN的方式在臺外通過互聯(lián)網(wǎng)訪問廣播辦公網(wǎng)內(nèi)的資源。VPN的使用說明通過企業(yè)微信向所有用戶發(fā)布。

圖4 疫情期間VPN登錄人次統(tǒng)計(jì)圖

如圖4所示，自2020年1月22日至4月26日，VPN共計(jì)使用時長將近600小時，成功登錄共計(jì)2000余人次，在疫情期間為身在抗疫前線和居家辦公的編輯、記者打通了訪問臺內(nèi)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)鏈路，為一線記者準(zhǔn)確、及時地發(fā)回抗疫前線的報(bào)道提供了便利和可靠的技術(shù)保障。