SSL VPN技术在贵州省气象信息网络通信中的应用

汤 宁，袁 顺，邹 蓓，汪 华

(贵州省气象信息中心，贵州 贵阳 550002)

SSL VPN技术在贵州省气象信息网络通信中的应用

汤 宁，袁 顺，邹 蓓，汪 华

(贵州省气象信息中心，贵州 贵阳 550002)

该文介绍了贵州省气象信息SSL VPN网络的建设以及该网络部署后的功能和优点。通过该VPN的建设对远程接入贵州省气象信息内部网络的用户，实现统一管理和控制，极大的提高了网络安全性。

SSL;VPN;拓扑;可靠性

1 引言

贵州省气象信息VPN网络已使用多年，为移动办公提供了有力的支持保障，但随着网络技术的发展，该系统在资源管理方面体现出许多不足之处：用户登录无访问控制、无安全认证、权限设置过大。面对日益严峻的网络安全问题，贵州省气象信息中心对VPN网络进行了升级改造，通过采用SSL VPN技术对用户进行分级控制、安全认证和限制权限，升级已在2010年底完成。随着升级的完成，为贵州省气象局远程办公提供了简单、安全、高效的远程连接技术，SSL VPN是一种新兴的以HTTPS为基础的访问方式，对用户远程访问内部网络提供了安全保证。

2 省局SSL VPN改造前存在的问题

我省VPN系统是2003年搭建成功并开始使用，使用的是硬件IPSec和软件L2TP两种方式，由AR46-40路由器接入省局核心网络实现。各地区台站通过AR18-30路由器对接访问省局，这两种方式访问省局时可以实现远程控制、共享访问和FTP传输。

2.1 软件L2TP方式不足之处

2.1.1 用户单一 全省都使用同一个用户，不能有效地进行用户管理和监控，对于什么用户在什么时候做了什么操作，没有一个系统的日志报表进行常规的分析和研究。

2.1.2 共享访问提供的权限过大 用户误操作使文件被删除，也可能存在某些用户通过L2TP登录上省局服务器后，对某些不是该用户使用的文件和文件夹进行删除、修改和迁移等操作。

2.1.3 无法进行流量控制 对连接的用户上传和下载流量都没有限制，当用户进行大容量的资料传输时，会导致网络性能的下降。

2.2 硬件IPSec方式不足之处

①当网络中要做调整时，需在每个AR-1830客户端和AR4640服务器上分别做配置更改，由于省内台站很多，做一次网络规划过程复杂，并且管理成本很高。

②IPSec安全协议在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。如果远程用户以IPSec VPN的方式与省局内部网络建立联系，就会给黑客得到内部网络信息的可趁之机。另外在应对病毒入侵方面，采用IPSec连接后，若是客户端电脑遭到病毒感染，该病毒就有机会感染到内部网络所连接的每台电脑。

3 省局SSL VPN改造具体步骤

3.1 SSL VPN简介

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，不需要象传统 IPSec VPN一样必须为每一台客户机安装客户端软件。这对于拥有大量机器(包括家用机、工作机和客户机等)需要与公司机密信息相连接的用户至关重要。

3.2 SSL VPN实现的功能及优点

3.2.1 SSL VPN功能 ①VPN设备的部署方式不影响现有网络结构;②VPN用户按组分类，各组分配相应权限;③个人用户可使用证书认证，公用用户使用密码登录方式;④通过日志可以查看所有用户的登录记录。⑤可实现运行状态、日志查询、统计报表、数据管理。

3.2.2 SSL VPN优点 ①方便：SSL VPN只需要安装配置好中心网关即可，其余客户端是免安装的。②容易维护：SSL VPN维护起来简单，出现问题，维护网关即可。实在不行，换一台，如果双机备份的话，启动备份机器启动即可。③安全：SSL VPN是一个安全协议，数据全程加密传输的。另外，由于SSL网关隔离了内部服务器和客户端，只留下一个web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。

3.3 SSL VPN具体部署

本次贵州省气象局VPN的升级改造，使省局业务系统的利用效率、安全性都得到了提升，主要包括以下方面。

3.3.1 可用性 由于VPN设备旁路模式部署，不需要对客户原有的逻辑拓扑做任何改动，其部署在此位置，不会因设备出现意外情况而影响到内网里的其他设备和资源。

3.3.2 安全性 通过SSL VPN设备的部署，移动办公人员可以安全地接入到内网里并根据预定好的权限访问相关资源。

3.3.3 可靠性 引入HTP技术，提高在高延时、高丢包环境下的访问速度;针对C/S应用引入动态压缩，进一步提高压缩效率;并为用户提供了多种认证手段及混合认证手段;提供基于用户的VPN专线有效保证了VPN接入安全;对用户的分级管理，VPN资源的高细粒度权限管理控制，提供了全面的安全性保护;支持B/S和C/S应用单点登录，通过单点登录免除了用户重复输入帐号的繁琐，简化了工作流程;广泛支持各种终端设备，包括移动PDA终端;页面定制为用户提供了全面的个性化登录界面;集群技术有效的平衡了多台VPN设备的负载，提高了VPN设备的使用效率;提供了跟用户内部管理系统接合的接口，能够更好地与用户内部系统融合;默认服务页面，提高用户登录效率。

3.4 用户分类

根据本单位需求分别设置有省局用户组、地州用户组、局领导用户组，不同用户开通的服务可进行独立设置，可在APP资源中对某个用户开通哪些服务进行设置。在新建用户时可对每个用户的属性进行设置，可设置公用用户、私用用户、认证方法(用户/密码、USB-key和外部认证)

3.6 SSL VPN网络在贵州省气象信息网络中部署前后对照

表1 部署前后对照

4 小结

随着该系统的部署，对于网络管理员来说减轻了不少负担，可统一对用户进行管理、监控;一定程度上避免了外部病毒的侵害;通过WEB方式即可全盘掌握用户各种信息。

［1］ 田兰，李波，易丁，等.利用宽带技术建设贵州省新型气象信息交换平台［J］. 贵州气象，2004，28(增刊)：58-59.

［2］ 王成国，罗伟明，党永娟.VPN技术介绍及在气象通信中的应用［J］. 青海气象，2005，1：43-44.

［3］ 殷广亚，程锦霞，卫权岗，等.气象中心VPN备份网络设计［J］. 科技信息，2008，8：59.

TN915

B

1003-6598(2011)02-0048-02

2011-03-09

汤宁(1976-)，男，工程师，主要从事网络管理工作。