在VOD系统中部署SSL VPN远程接入访问

尹粤宁

【摘要】国家“三网融合”和下一代广播电视网的发展战略赋予了广电运营商新的业务生命，彻底改变了传统广播电视网的网络形态和服务模式，并从目前的“单向广播网络”向“双向广播网络”的融合网络演进，为广大人民群众提供与传统电视不同的互动点播服务。然而，要对如此庞大且复杂的视频系统进行安全可靠的远程管理和维护不是一件易事。本文主要从系统管理维护的角度出发，通过在视频系统中部署SSL VPN远程接入访问，提供一条可供广电运营商借鉴的远程安全管理维护的思路。

【关键词】广电运营商；VOD；远程接入；SSL VPN

一、VOD系统部署需求

数字电视双向综合视频业务（以下简称VOD）是广电运营商按照国家发展战略通过改造自身网络所提供的一种新形态业务，主要提供用户点播、录制、回看、时移等功能，随着VOD业务的不断开展，未来还将陆续推出诸如电视邮件、电视短信、互动游戏、电视购物、电视证券、电视支付、卡拉OK等多种新应用以提供和满足未来家庭数字电视综合信息服务的需求。

VOD系统内部署了多达成百上千台服务器以提供不同业务的功能和应用，这些服务器由多个部门、多家设备厂商等共同参与维护和管理。

为便于广电运营商对VOD系统的管理和维护，有必要为VOD系统专门建立一条安全访问通道，使得VOD系统具有远程接入能力。该通道一方面可以便于管理部门、设备厂商对各类服务器、网络路由器、交换机、防火墙等进行远程调试、分析和管理，另一方面可以跟踪并记录访问用户的操作行为，保障VOD核心系统安全稳定地运行。

二、SSL VPN远程接入

SSL VPN即指采用SSL （Security Socket Layer安全套接层协议层）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。

对于内、外部应用，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于传统的IPSEC VPN而言，SSL VPN具有部署简单、无客户端、维护成本低、网络适应强等特点。

三、SSL VPN的主要优势

◆无需安装客户端软件。

在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大、中型企业和网络服务提供商。

◆适用于大多数操作系统。

可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，不管操作系统是Windows、UNIX还是 Linux。

◆良好的安全性。

用户通过基于SSL的Web访问并不是网络的真实节点，就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此，这种方法非常安全，特别是对于外部用户的访问。

◆可以绕过防火墙和代理服务器进行访问。

基于SSL的远程访问方案中，使用NAT（网络地址转换）服务的远程用户或者因特网代理服务的用户可以从中受益。这是采用基于IPSec安全協议的远程访问所很难或者根本做不到的。

四、部署方案

使用专门支持SSL VPN的设备（如路由器、防火墙等）分别连接VOD内部网络以及Internet外部网络，为该设备分配两个IP地址。一个用于VOD内部网络的地址，一个用于外部网络的合法公网地址。

在基本策略方面，通过使用SSL VPN，远端用户不需要配置VPN客户端，只需要使用浏览器即可连接到VOD网络，为了确保VPN的安全性，必须对VPN访问策略进行控制。由于VPN使用对象针对不同部门和设备厂商，因此可以分别为上述部门定义一个组，组下建立不同的用户。

同时，针对不同的组和用户，定义每个帐号能够访问的网络资源。

为满足多个远程用户同时发起连接请求，在该设备上为用户设置了一个地址池，该地址池使用私有地址并映射为同一个VOD内部地址。这样对于每一个远程用户，其真正访问VOD系统的内部源地址实际为由私网映射成的VOD内部地址。

五、SSL VPN Client（SVC）配置步骤

以思科ASA系列防火墙为例，通过SSL VPN Client方式，客户端会自动下载并安装SSL VPN Client程序，系统自动分配给Client用户一个接入IP地址，系统通过配置访问控制列表限制Client能访问的内部网络资源。

主要配置参数和步骤如下：

1.配置VOD内部服务器全局访问列表及SSL VPN Client的地址池：

group-policy DfltGrpPolicy attributes

ip local pool VPNClient

2.配置用户组允许访问的策略

access-list SVC_ACL extended permit ip

3.配置SSL VPN Client授权用户

username member1 password

username member1 attributes