楊陽 羅清 江蘇省廣播電視總臺廣播傳媒中心

1. 前言

廣電辦公網(wǎng)特別是涉及公網(wǎng)的業(yè)務(wù)，一直以來都謹(jǐn)慎地與互聯(lián)網(wǎng)對接。隨著融合媒體的迅速發(fā)展，江蘇廣播辦公網(wǎng)臺外業(yè)務(wù)依賴的智能手持終端趨于多樣化，對自身網(wǎng)絡(luò)需求越來越高。2017《年網(wǎng)絡(luò)安全法》的頒布，網(wǎng)絡(luò)安全加固也越來越受重視。由于網(wǎng)站已全部遷移至荔枝云，現(xiàn)有公網(wǎng)業(yè)務(wù)僅服務(wù)于臺內(nèi)人員的辦公需求，如OA和文稿系統(tǒng)，因此，我部門擬關(guān)閉原有公網(wǎng)地址。依托現(xiàn)有的技術(shù)框架，VPN技術(shù)可經(jīng)濟(jì)安全地實(shí)現(xiàn)多終端方便安全使用內(nèi)部系統(tǒng)的迫切需要。

2.VPN技術(shù)概述

VPN 即虛擬專用網(wǎng)，是指采用隧道技術(shù)以及加密、身份認(rèn)證等方法通過公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)、安全的連接。VPN 發(fā)展至今已經(jīng)不再是一個(gè)單純的經(jīng)過加密的訪問隧道，它融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，并在全球的信息安全體系中發(fā)揮著重要的作用。VPN具有兩個(gè)含義：首先，它是“虛擬”的，不再使用長途專線建立私有數(shù)據(jù)網(wǎng)絡(luò)，而是將其建立在分布廣泛的公用網(wǎng)絡(luò)；其次，它是一個(gè)專網(wǎng)，每個(gè) VPN 的用戶可以臨時(shí)從公用網(wǎng)絡(luò)中獲得一部分資源供自己使用。

3. 江蘇廣播VPN方案

江蘇廣播臺內(nèi)辦公網(wǎng)出口鏈路如圖1所示，防火墻為啟明星辰安全網(wǎng)關(guān)，出于經(jīng)濟(jì)可行和技術(shù)易實(shí)現(xiàn)的角度考慮，采用防火墻的VPN功能模塊，通過L2TP+IPSec的方式，使得用戶可以在互聯(lián)網(wǎng)上構(gòu)建一條訪問臺內(nèi)資源的專用安全通道。L2TP 是國際標(biāo)準(zhǔn)隧道協(xié)議，能以隧道方式使 PPP 包通過各種網(wǎng)絡(luò)協(xié)議，包括 ATM、SONET 和幀中繼。

圖1 江蘇廣播VPN方案拓?fù)?/p>

1）目前，中心網(wǎng)絡(luò)的出口網(wǎng)關(guān)邊界為防火墻，采用防火墻的VPN功能模塊，建立一套既安全又經(jīng)濟(jì)可行的組網(wǎng)方案。配置流程如下：

（1）配置防火墻網(wǎng)絡(luò)環(huán)境；

（2）配置VPN規(guī)則，確定本地子網(wǎng)為本端公網(wǎng)口地址；

（3）配置網(wǎng)關(guān)IKE；

（4）配置客戶端隧道；

（5）啟用隧道；

（6）添加L2TP賬號信息；

（7）配置L2TP參數(shù)；

（8）添加防火墻安全策略；

（9）客戶端設(shè)置。

2）安全性：VPN采用隧道加密技術(shù)，保證了互聯(lián)網(wǎng)中數(shù)據(jù)通道的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，并增加了數(shù)據(jù)保密和有限的數(shù)據(jù)流保密服務(wù)；對終端網(wǎng)絡(luò)訪問進(jìn)行有效控制的信息安全設(shè)備，在對用戶的網(wǎng)絡(luò)訪問進(jìn)行控制的時(shí)候，通過使用有效的用戶認(rèn)證（用戶名+密碼+預(yù)共享密鑰）技術(shù)來區(qū)分不同的用戶身份，以適應(yīng)不同訪問級別的用戶對網(wǎng)絡(luò)訪問的不同權(quán)限。具體規(guī)則如下：

（1）VPN的訪問權(quán)限進(jìn)行分組；

（2）VPN的用戶及密碼簡歷；

（3）訪問文稿用戶的策略配置；

（4）訪問OA用戶的策略配置。

4.推廣應(yīng)用與參數(shù)配置

經(jīng)濟(jì)安全的VPN建設(shè)方案，特別是采用L2TP+IPSec的方式，即不需要客戶端直接在終端本地配置VPN，其實(shí)是以犧牲一定的終端兼容性為代價(jià)的。本文也重點(diǎn)闡述了在多終端平臺上的實(shí)現(xiàn)，考慮到對臺內(nèi)員工推廣VPN，我們技術(shù)開發(fā)運(yùn)維團(tuán)隊(duì)服務(wù)到個(gè)人，在反復(fù)的技術(shù)服務(wù)過程中中，我們同時(shí)也整理了大量的多終端兼容性問題的解決辦法。詳細(xì)如下：

1）Windows平臺：微軟操作系統(tǒng)客戶機(jī)針對連接互聯(lián)網(wǎng)網(wǎng)關(guān)NAT-T功能關(guān)閉或?qū)PN支持性不好，主要是對GRE及PPTP協(xié)議的NAT-T不支持。可打開網(wǎng)關(guān)路由的NAT-T功能，如果還是出現(xiàn)錯(cuò)誤，則需要更換網(wǎng)關(guān)設(shè)備，現(xiàn)在市面上大多數(shù)設(shè)備已經(jīng)支持。通過更換路由器或使用L2TP協(xié)議的VPN連接,需要打L2TPVPN補(bǔ)丁。如有VPN連接報(bào)錯(cuò)可修改系統(tǒng)相關(guān)服務(wù)，為方便高效解決故障，可做成REG文件，執(zhí)行完重啟系統(tǒng)即可。Reg文件內(nèi)容如下：（經(jīng)測試win10、win7可通過此文件解決VPN連接問題）Windows Registry Editor Version 5.00

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetservicesRasManParameters]"ProhibitIpSec"=dword:00000001

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesPolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dwo rd:000000022）

圖2 Win10操作系統(tǒng)VPN主要配置

移動端Mac、IOS平臺：蘋果系統(tǒng)對L2TP方式兼容性較好，按如下配置即可：3）移動端安卓平臺：按圖4配置：

圖3 IOS操作系統(tǒng)VPN主要配置

圖4 安卓操作系統(tǒng)VPN主要配置

5.總結(jié)

在經(jīng)濟(jì)性方面，基于防火墻的VPN功能模塊，無需增加設(shè)備，只需前期開發(fā)運(yùn)維人員配置好相關(guān)功能，后期做好多終端VPN的操作指南，如當(dāng)前使用主流的win7、win10和mac等系統(tǒng)配置方式，極大降低了實(shí)施和維護(hù)成本。

在管理運(yùn)維方面，VPN 支持多種類型的數(shù)據(jù)流，新增節(jié)點(diǎn)也只需要在邏輯上進(jìn)行設(shè)置，對于任何地理位置的接入點(diǎn)都不需要建立物理直連線路，只需在VPN上配置安全連接信息即可。在授權(quán)允許下，廣電維護(hù)人員或合作伙伴都可以隨時(shí)隨地辦公，完全控制自己的專有虛擬網(wǎng)絡(luò)的安全策略及網(wǎng)絡(luò)管理設(shè)置，自主性與私密性同時(shí)具備，滿足便捷安全辦公需求。

隨著企事業(yè)單位互聯(lián)網(wǎng)業(yè)務(wù)不斷擴(kuò)大，對整體網(wǎng)絡(luò)性能要求也越來越高，建設(shè)一個(gè)更加高效、安全、靈活、完善的企業(yè)網(wǎng)絡(luò)也勢在必行。針對多系統(tǒng)、多終端的互聯(lián)網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)的需求，同時(shí)考慮到企業(yè)的技術(shù)實(shí)施運(yùn)維成本和安全性，基于防火墻的VPN技術(shù)的引入，恰好解決了這些需要。本文旨在分析不同平臺下的VPN接入方法，結(jié)合江蘇廣電的網(wǎng)絡(luò)特點(diǎn)，提出了VPN在實(shí)際需求中的應(yīng)用。新時(shí)期下對網(wǎng)絡(luò)安全的重視程度越來越高，隨著網(wǎng)絡(luò)安全加固的持續(xù)投入與管理，VPN將在廣電會有更廣泛、更系統(tǒng)化的應(yīng)用。