防火墻VPN技術在江蘇廣播中的應用

楊陽 羅清 江蘇省廣播電視總臺廣播傳媒中心

1. 前言

廣電辦公網特別是涉及公網的業(yè)務，一直以來都謹慎地與互聯網對接。隨著融合媒體的迅速發(fā)展，江蘇廣播辦公網臺外業(yè)務依賴的智能手持終端趨于多樣化，對自身網絡需求越來越高。2017《年網絡安全法》的頒布，網絡安全加固也越來越受重視。由于網站已全部遷移至荔枝云，現有公網業(yè)務僅服務于臺內人員的辦公需求，如OA和文稿系統(tǒng)，因此，我部門擬關閉原有公網地址。依托現有的技術框架，VPN技術可經濟安全地實現多終端方便安全使用內部系統(tǒng)的迫切需要。

2.VPN技術概述

VPN 即虛擬專用網，是指采用隧道技術以及加密、身份認證等方法通過公用網絡建立一個臨時、安全的連接。VPN 發(fā)展至今已經不再是一個單純的經過加密的訪問隧道，它融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，并在全球的信息安全體系中發(fā)揮著重要的作用。VPN具有兩個含義：首先，它是“虛擬”的，不再使用長途專線建立私有數據網絡，而是將其建立在分布廣泛的公用網絡；其次，它是一個專網，每個 VPN 的用戶可以臨時從公用網絡中獲得一部分資源供自己使用。

3. 江蘇廣播VPN方案

江蘇廣播臺內辦公網出口鏈路如圖1所示，防火墻為啟明星辰安全網關，出于經濟可行和技術易實現的角度考慮，采用防火墻的VPN功能模塊，通過L2TP+IPSec的方式，使得用戶可以在互聯網上構建一條訪問臺內資源的專用安全通道。L2TP 是國際標準隧道協議，能以隧道方式使 PPP 包通過各種網絡協議，包括 ATM、SONET 和幀中繼。

圖1 江蘇廣播VPN方案拓撲

1）目前，中心網絡的出口網關邊界為防火墻，采用防火墻的VPN功能模塊，建立一套既安全又經濟可行的組網方案。配置流程如下：

（1）配置防火墻網絡環(huán)境；

（2）配置VPN規(guī)則，確定本地子網為本端公網口地址；

（3）配置網關IKE；

（4）配置客戶端隧道；

（5）啟用隧道；

（6）添加L2TP賬號信息；

（7）配置L2TP參數；

（8）添加防火墻安全策略；

（9）客戶端設置。

2）安全性：VPN采用隧道加密技術，保證了互聯網中數據通道的完整性、數據源認證和抗重放保護服務，并增加了數據保密和有限的數據流保密服務；對終端網絡訪問進行有效控制的信息安全設備，在對用戶的網絡訪問進行控制的時候，通過使用有效的用戶認證（用戶名+密碼+預共享密鑰）技術來區(qū)分不同的用戶身份，以適應不同訪問級別的用戶對網絡訪問的不同權限。具體規(guī)則如下：

（1）VPN的訪問權限進行分組；

（2）VPN的用戶及密碼簡歷；

（3）訪問文稿用戶的策略配置；

（4）訪問OA用戶的策略配置。

4.推廣應用與參數配置

經濟安全的VPN建設方案，特別是采用L2TP+IPSec的方式，即不需要客戶端直接在終端本地配置VPN，其實是以犧牲一定的終端兼容性為代價的。本文也重點闡述了在多終端平臺上的實現，考慮到對臺內員工推廣VPN，我們技術開發(fā)運維團隊服務到個人，在反復的技術服務過程中中，我們同時也整理了大量的多終端兼容性問題的解決辦法。詳細如下：

1）Windows平臺：微軟操作系統(tǒng)客戶機針對連接互聯網網關NAT-T功能關閉或對VPN支持性不好，主要是對GRE及PPTP協議的NAT-T不支持。可打開網關路由的NAT-T功能，如果還是出現錯誤，則需要更換網關設備，現在市面上大多數設備已經支持。通過更換路由器或使用L2TP協議的VPN連接,需要打L2TPVPN補丁。如有VPN連接報錯可修改系統(tǒng)相關服務，為方便高效解決故障，可做成REG文件，執(zhí)行完重啟系統(tǒng)即可。Reg文件內容如下：（經測試win10、win7可通過此文件解決VPN連接問題）Windows Registry Editor Version 5.00

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetservicesRasManParameters]"ProhibitIpSec"=dword:00000001

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesPolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dwo rd:000000022）

圖2 Win10操作系統(tǒng)VPN主要配置

移動端Mac、IOS平臺：蘋果系統(tǒng)對L2TP方式兼容性較好，按如下配置即可：3）移動端安卓平臺：按圖4配置：

圖3 IOS操作系統(tǒng)VPN主要配置

圖4 安卓操作系統(tǒng)VPN主要配置

5.總結

在經濟性方面，基于防火墻的VPN功能模塊，無需增加設備，只需前期開發(fā)運維人員配置好相關功能，后期做好多終端VPN的操作指南，如當前使用主流的win7、win10和mac等系統(tǒng)配置方式，極大降低了實施和維護成本。

在管理運維方面，VPN 支持多種類型的數據流，新增節(jié)點也只需要在邏輯上進行設置，對于任何地理位置的接入點都不需要建立物理直連線路，只需在VPN上配置安全連接信息即可。在授權允許下，廣電維護人員或合作伙伴都可以隨時隨地辦公，完全控制自己的專有虛擬網絡的安全策略及網絡管理設置，自主性與私密性同時具備，滿足便捷安全辦公需求。

隨著企事業(yè)單位互聯網業(yè)務不斷擴大，對整體網絡性能要求也越來越高，建設一個更加高效、安全、靈活、完善的企業(yè)網絡也勢在必行。針對多系統(tǒng)、多終端的互聯網用戶接入企業(yè)網絡的需求，同時考慮到企業(yè)的技術實施運維成本和安全性，基于防火墻的VPN技術的引入，恰好解決了這些需要。本文旨在分析不同平臺下的VPN接入方法，結合江蘇廣電的網絡特點，提出了VPN在實際需求中的應用。新時期下對網絡安全的重視程度越來越高，隨著網絡安全加固的持續(xù)投入與管理，VPN將在廣電會有更廣泛、更系統(tǒng)化的應用。