SSL-VPN技术在气象业务中的应用

摘要：该文对SSL-VPN 的技术特点及其在气象业务中的应用作了分析研究，提出了远程用户登录气象业务网络，获取内部资源的解决方案，提高了工作效率，也提升了气象服务的质量和水平。

关键词：SSL-VPN；气象；网络

中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)30-7401-02

随着气象业务系统的飞速发展，传统的专线接入方式已经难以满足现代化气象业务的发展需求。越来越多的场合尤其是在气象灾害预警体系中迫切需要能够快速、便捷, 并且安全的访问气象内部资源。基于SSL协议的VPN技术凭借其完善的应用层访问控制、多种数据加密技术、严格的认证机制、易于部署等特点逐渐被广泛应用。

1 SSL-VPN技术简介

1.1 VPN技术

虚拟专用网(VPN) 是指公众互联网建立私有传输通路，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种技术[1]。它有两层含义：第一，它是虚拟的，即用户实际上并不存在一个独立专用的网络，既不需要建设或租用专线，也不需要装备专用的设备，而是将其建立在分布广泛的公共网络上， 就能组成一个属于自己专用的网络；第二，它是专用的，相对于公用来说，它强调私有性和安全可靠性。目前主流的VPN技术包括MPLS VPN、IPSec VPN和SSL VPN。

1.2 SSL-VPN技术

SSL( Secure Sockets Layer 安全套接层) 是由网景(Netscape) 公司提出的基于Web 应用的安全协议, 它指定了一种在应用程序协议( 如Http、Telnet、SMTP 和FT P 等) 和TCP/IP 协议之间提供数据安全性分层的机制，它为TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证[2]。SSL 协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

SSL-VPN 是指采用SSL 协议来实现远程接入的一种新型VPN。用户利用浏览器内建的SSL封包处理功能，通过浏览器连接到公司内部SSLVPN 服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层( SSL )对传输中的数据包进行加密，从而在应用层保护了数据的安全性。SSL-VPN 网络示意图如图1所示。

1.3 SSL-VPN的优点

SSL VPN 继承了IPSec VPN远程接入与应用无关的优点，避免了因为客户端而导致的使用维护不便，同时提供了网络访问、网上应用程序、Windows 文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，以及C/S 应用和B/S应用访问，避免了IPSec VPN的缺点。SSL VPN 的安全性高，可扩展性强，最适合移动办公人员对总部资源的访问。

2 SSL-VPN技术在气象业务中的应用

2.1 基于SSL-VPN技术的远程接入方案

本文以克拉玛依气象局局域网为例，采用天清汉马USG 一体化安全网关设备，介绍建立基于SSL VPN技术的远程接入方案。

克拉玛依气象局网络拓扑图如图2所示，采用天清汉马USG 一体化安全网关，将外网用户和内网连接，在一体化安全网关上面使用SSL协议，建立CA用户证书认证和用户组，配置用户资源和相关安全策略。

1）首先需要启用SSL VPN 服务，设置登录端口，用户超时时间，访问路由等；

2）建立SSL VPN CA服务认证；

3）配置SSL VPN Web 访问功能，包括：配置要过滤的HTTP 方法和启用HTML重写功能；

4）根据用户组配置资源组，资源组是将现有的资源进行按类别组合，可以根据业务类型、用户权限级别等来对资源进行分类，如邮件访问，WEB 服务器访问，远程登录访问等；

5）配置客户端安全检查。分为客户端操作系统检测及运行进程检测，对违反策略的处理方式有两种，即禁止登录和限制访问。若选择了禁止登录且客户端操作系统和/或运行进程与客户端检查策略不匹配，则将禁止用户登录；若选择了限制访问，则违反准入控制策略的用户可登陆成功，但无法访问内网资源；

6）配置SSL VPN 安全策略。用于控制SSL VPN 用户可以访问的网络资源。将SSLVPN 用户组绑定到指定的SSL VPN 安全策略下，该组的用户在登录后即可访问策略匹配的网络资源。

通过以上方案，即可完成基本的SSL VPN的远程接入。在此基础上还可以根据需要更加系统的对VPN进行设置。

2.2 气象业务系统的远程接入

远程用户通过在浏览器中输入指定的IP 地址, 利用管理员分配的帐号，便可进入登录页面。SSL-VPN 设备提供客户端应用绑定功能，让用户可以针对某一个应用服务设定使用哪一种或多种应用客户端软件。当用户登录到内部网络时便可看到可访问的应用服务列表。在应用服务表中，管理员可通过设置服务来绑定应用及启动该应用所需要的参数。一旦完成了以上设定，用户登录系统后便能直接点击服务名称来开启应用软件。

3 结束语

目前，SSL-VPN 技术是解决远程用户访问气象内部信息资源的首选方案。尽管SSL-VPN 技术还存在着某些不足之处，如只对通信双方的应用程序进行加密，而不对通信双方的网络传输进行加密。但SSL-VPN 的确能够让用户随时随地连接至内部网络中，不但打破了局域网地理位置上的局限性，同时提高了工作效率，也提升了气象服务的质量和水平。

参考文献：

[1] 王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.

[2] [美]Ivan Pepelnjak,Jim Guichard,Jeff Apcar.卢MPLS和VPN体系结构[M].2卷,卢泽新,朱培栋,齐宁,译.北京:人民邮电出版社,2004.

[3] 蔡亮,李芬,何拥凤.SSL-VPN 技术在市级气象业务网络中的研究与应用[J].科技广场,2009,7.