一种基于SSL VPN在业务支撑网中部署的方法

[摘 要]随着中国移动广西公司运营支撑系统不断的完善和发展， BOSS各子系统的增加、访问需求及访问人数的增加，对系统的多平台、多系统的接入和访问控制的要求也越来越高，这也带来了包括系统准入控制与信息保密的诸多问题。因此，为了继续保持广西移动业务和服务在广西的双领先优势，确保支撑网中各系统的安全、稳定、高效运行，对原有的VPN组网进行改造势在必行。

[关键词]网络、SSL VPN 安全 业务支撑

中图分类号：TP501 文献标识码：A 文章编号：1009-914X（2015）02-0000-01

1 VPN简介

VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet Service Provider因特网服务提供商）和其它NSP（Network Service Provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。

目前常用的VPN技术有：PPTP、L2TP、IPSec和SSL

改造前支撑网中所部署的VPN为IPSec VPN，但由于IPSec VPN存在自身的缺陷。如：

1、IPSec VPN部署管理复杂，客户端配置、维护需要具备专业知识。

2、自身安全问题： IPSec 属于隧道机制，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧道，提供直接（而非）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。

3、部署费用昂贵，原IPSec VPN使用与后台RADIUS服务进行动态令牌认证。每新增一个VPN用户都需要新增一个动态令牌，增加了投资和维护成本。

4、客户端的网络容错能力不足：IPSec VPN因网络不稳定而连接中断后不会自动重连，需要再次输入密码。

5、IPSec VPN对客户端的限制手段缺乏，IPSec拨入成功后对客户端的访问控制多依赖于防火墙等安全设备，而且对拨入的客户端的属性（怎么样的终端允许拨入）不能做控制。

以上这些问题都无法满足支撑网BSS域对安全访问的求要。

因此，文本主要上述问题，讨论在广西移动支撑网中如何部署SSL VPN。

2 SSL 协议介绍

安全套接字层（Secure Socket Layer，SSL）属于高层安全机制，广泛应用于Web 浏览程序和Web 服务器程序。在SSL中，身份认证是基于证书的。服务器方向客户方的认证是必须的，而SSL 版本3 中客户方向服务方的认证只是可选项，现在逐渐得到广泛的应用。

SSL协议过程通过3个元素来完成：

（1）握手协议：这个协议负责配置用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥来生成共享密钥。

（2）记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输。接收方接收数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。

（3）警告协议：这个协议用于表示在什幺时候发生了错误或两个主机之间的会话在什幺时候终止。

3 SSL VPN技术

SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑，仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。SSL VPN网关位于企业网的边缘，介于企业服务器与远程用户之间，控制二者的通信。

3.1 SSL VPN特点

（1）SSL VPN无需安装和配置客户端程序，拨入时自动完成。

（2）SSL VPN可在NAT装置上以透明模式工作。

（3）SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强。

（4）SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用； 客户端安全检查和授权访问等操作，实现起来更加方便。

（5）SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。

4 SSL VPN在支撑网中的部署应用

4.1 SSL VPN网络部署模式

SSL VPN设备部署在支撑网与INTERNET出口的DMZ区，部署两台相同型号的设备作为双机热备，与BOSS各系统之间也部署一道防火墙，在BOSS系统与INTERNET之间做到防火墙的双层异构。除了VPN设备可以对用户访问权限进行控制外，最后一层防火墙也对访问控制启到了双保险的作用。如图1：

4.2 SSL VPN认证方式

目前SSL VPN设备支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。而在本文是，采用的方式为：Radius、硬件特征码、动态令牌和短信认证组合使用，实现双因素的认证，对于维护人员的敏咸权限则采用除加硬件特征码三因素的认证方式。

当一个VPN用户拨入输入用户名和密码（此密码为第一层静态密码）时，SSL VPN设备会到后台Radius进行第一次用户名和密码（主认证）匹配，认证通过后进入到第二层（辅）认证，如果该VPN用户配置的属性为Radius + 动态令牌组合认证，则第二次需要输入该用户动态令牌卡上的随机密码；而如果该VPN用户配置的属性为Radius + 短信认证，则第二次需要输入该用户手机号上的随机密码。输入正确后就会进入到登入成功页面，获取该用户相应的资源。通过两次的强认证后，对VPN用户做好很好的拨入控制，防止第一层口令被破解后直接能访问BOSS系统。对于维护人员的敏咸权限，则前面的认证方式上再加入硬件特征码进行访问控制，把维护人员日常固定使用PC硬件特征码写入到VPN系统中，只有匹配对的PC才允许拨入。从来更进一步提高安全性。

4.3 与Radius结合

Radius作为3A体系中重要的一个元素，对于广西移动原有就部署Radius服务器作为身份认证的情况，如果重新在SSL VPN上建立一套认证体制的化就会造成需要管理两套认证体制，因此为了减少增加认证体制所带来的麻烦。在Radius服务器设置一个用户字段用来让SSL VPN设备能够识别并读取Radius的分组权限信息，这样在Radius中已经建立好的分组就可以映射到SSL VPN中，从而实现角色的划分和资源的绑定，做到VPN用户对资源的访问控制。从而达到减少再次划分各组用户及重做访问控制所做的工作量。

4.4 日志系统部署

由于VPN用户都是从INTERNET拨入访问BOSS资源，在INTERNET上存在诸多不安全因素，因此，对VPN用户拨入成功后的操作记录就和审计功能就显得格外重要。在支撑网中，部署一套日志审计服务器，对VPN用户的操作进行记录。SSL VPN设备通过关联，把设备上的所有日志信息上传到日志服务器。通过服务器，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。SANGFOR SSL VPN安全网关丰富的日志中心，为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。

5 总结及展望

自SSL VPN在广西移动支撑网上线投入使用后，其功能和特性方便了使用人员和维护人员，提高了访问效率，降底了故障和投诉率。并而为远程VPN拨入的安全提供了重要保障。

参考文献

[1]张梅；SSLVPN关键技术研究与系统设计[D]；信息工程大学；2006.

[2]张学杰；李大兴；SSL技术在构建VPN中的应用[J]；计算机应用；2006（8）.

[3]欧阳凯；面向VPN的访问控制模型及相关技术研究；《华中科技大学》；2006.

[4]罗勇；唐飞跃；？VPN技术浅析《企业技术开发》；2008（12）.