在VOD系統(tǒng)中部署SSL VPN遠(yuǎn)程接入訪問(wèn)

尹粵寧

【摘要】國(guó)家“三網(wǎng)融合”和下一代廣播電視網(wǎng)的發(fā)展戰(zhàn)略賦予了廣電運(yùn)營(yíng)商新的業(yè)務(wù)生命，徹底改變了傳統(tǒng)廣播電視網(wǎng)的網(wǎng)絡(luò)形態(tài)和服務(wù)模式，并從目前的“單向廣播網(wǎng)絡(luò)”向“雙向廣播網(wǎng)絡(luò)”的融合網(wǎng)絡(luò)演進(jìn)，為廣大人民群眾提供與傳統(tǒng)電視不同的互動(dòng)點(diǎn)播服務(wù)。然而，要對(duì)如此龐大且復(fù)雜的視頻系統(tǒng)進(jìn)行安全可靠的遠(yuǎn)程管理和維護(hù)不是一件易事。本文主要從系統(tǒng)管理維護(hù)的角度出發(fā)，通過(guò)在視頻系統(tǒng)中部署SSL VPN遠(yuǎn)程接入訪問(wèn)，提供一條可供廣電運(yùn)營(yíng)商借鑒的遠(yuǎn)程安全管理維護(hù)的思路。

【關(guān)鍵詞】廣電運(yùn)營(yíng)商；VOD；遠(yuǎn)程接入；SSL VPN

一、VOD系統(tǒng)部署需求

數(shù)字電視雙向綜合視頻業(yè)務(wù)（以下簡(jiǎn)稱VOD）是廣電運(yùn)營(yíng)商按照國(guó)家發(fā)展戰(zhàn)略通過(guò)改造自身網(wǎng)絡(luò)所提供的一種新形態(tài)業(yè)務(wù)，主要提供用戶點(diǎn)播、錄制、回看、時(shí)移等功能，隨著VOD業(yè)務(wù)的不斷開(kāi)展，未來(lái)還將陸續(xù)推出諸如電視郵件、電視短信、互動(dòng)游戲、電視購(gòu)物、電視證券、電視支付、卡拉OK等多種新應(yīng)用以提供和滿足未來(lái)家庭數(shù)字電視綜合信息服務(wù)的需求。

VOD系統(tǒng)內(nèi)部署了多達(dá)成百上千臺(tái)服務(wù)器以提供不同業(yè)務(wù)的功能和應(yīng)用，這些服務(wù)器由多個(gè)部門、多家設(shè)備廠商等共同參與維護(hù)和管理。

為便于廣電運(yùn)營(yíng)商對(duì)VOD系統(tǒng)的管理和維護(hù)，有必要為VOD系統(tǒng)專門建立一條安全訪問(wèn)通道，使得VOD系統(tǒng)具有遠(yuǎn)程接入能力。該通道一方面可以便于管理部門、設(shè)備廠商對(duì)各類服務(wù)器、網(wǎng)絡(luò)路由器、交換機(jī)、防火墻等進(jìn)行遠(yuǎn)程調(diào)試、分析和管理，另一方面可以跟蹤并記錄訪問(wèn)用戶的操作行為，保障VOD核心系統(tǒng)安全穩(wěn)定地運(yùn)行。

二、SSL VPN遠(yuǎn)程接入

SSL VPN即指采用SSL （Security Socket Layer安全套接層協(xié)議層）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。

對(duì)于內(nèi)、外部應(yīng)用，使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。

相對(duì)于傳統(tǒng)的IPSEC VPN而言，SSL VPN具有部署簡(jiǎn)單、無(wú)客戶端、維護(hù)成本低、網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)。

三、SSL VPN的主要優(yōu)勢(shì)

◆無(wú)需安裝客戶端軟件。

在大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問(wèn)是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件。只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng)，即可以通過(guò)網(wǎng)頁(yè)訪問(wèn)到企業(yè)總部的網(wǎng)絡(luò)資源。這樣無(wú)論是從軟件協(xié)議購(gòu)買成本上，還是從維護(hù)、管理成本上都可以節(jié)省一大筆資金，特別是對(duì)于大、中型企業(yè)和網(wǎng)絡(luò)服務(wù)提供商。

◆適用于大多數(shù)操作系統(tǒng)。

可以運(yùn)行標(biāo)準(zhǔn)的因特網(wǎng)瀏覽器的大多數(shù)操作系統(tǒng)都可以用來(lái)進(jìn)行基于Web的遠(yuǎn)程訪問(wèn)，不管操作系統(tǒng)是Windows、UNIX還是 Linux。

◆良好的安全性。

用戶通過(guò)基于SSL的Web訪問(wèn)并不是網(wǎng)絡(luò)的真實(shí)節(jié)點(diǎn)，就像IPSec安全協(xié)議一樣。而且還可代理訪問(wèn)公司內(nèi)部資源。因此，這種方法非常安全，特別是對(duì)于外部用戶的訪問(wèn)。

◆可以繞過(guò)防火墻和代理服務(wù)器進(jìn)行訪問(wèn)。

基于SSL的遠(yuǎn)程訪問(wèn)方案中，使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）服務(wù)的遠(yuǎn)程用戶或者因特網(wǎng)代理服務(wù)的用戶可以從中受益。這是采用基于IPSec安全協(xié)議的遠(yuǎn)程訪問(wèn)所很難或者根本做不到的。

四、部署方案

使用專門支持SSL VPN的設(shè)備（如路由器、防火墻等）分別連接VOD內(nèi)部網(wǎng)絡(luò)以及Internet外部網(wǎng)絡(luò)，為該設(shè)備分配兩個(gè)IP地址。一個(gè)用于VOD內(nèi)部網(wǎng)絡(luò)的地址，一個(gè)用于外部網(wǎng)絡(luò)的合法公網(wǎng)地址。

在基本策略方面，通過(guò)使用SSL VPN，遠(yuǎn)端用戶不需要配置VPN客戶端，只需要使用瀏覽器即可連接到VOD網(wǎng)絡(luò)，為了確保VPN的安全性，必須對(duì)VPN訪問(wèn)策略進(jìn)行控制。由于VPN使用對(duì)象針對(duì)不同部門和設(shè)備廠商，因此可以分別為上述部門定義一個(gè)組，組下建立不同的用戶。

同時(shí)，針對(duì)不同的組和用戶，定義每個(gè)帳號(hào)能夠訪問(wèn)的網(wǎng)絡(luò)資源。

為滿足多個(gè)遠(yuǎn)程用戶同時(shí)發(fā)起連接請(qǐng)求，在該設(shè)備上為用戶設(shè)置了一個(gè)地址池，該地址池使用私有地址并映射為同一個(gè)VOD內(nèi)部地址。這樣對(duì)于每一個(gè)遠(yuǎn)程用戶，其真正訪問(wèn)VOD系統(tǒng)的內(nèi)部源地址實(shí)際為由私網(wǎng)映射成的VOD內(nèi)部地址。

五、SSL VPN Client（SVC）配置步驟

以思科ASA系列防火墻為例，通過(guò)SSL VPN Client方式，客戶端會(huì)自動(dòng)下載并安裝SSL VPN Client程序，系統(tǒng)自動(dòng)分配給Client用戶一個(gè)接入IP地址，系統(tǒng)通過(guò)配置訪問(wèn)控制列表限制Client能訪問(wèn)的內(nèi)部網(wǎng)絡(luò)資源。

主要配置參數(shù)和步驟如下：

1.配置VOD內(nèi)部服務(wù)器全局訪問(wèn)列表及SSL VPN Client的地址池：

group-policy DfltGrpPolicy attributes

ip local pool VPNClient

2.配置用戶組允許訪問(wèn)的策略

access-list SVC_ACL extended permit ip

3.配置SSL VPN Client授權(quán)用戶

username member1 password

username member1 attributes