基于用戶認(rèn)證控制的整合的電子政務(wù)網(wǎng)訪問隔離實現(xiàn)方法

史啟斌

摘要：玉溪電子政務(wù)網(wǎng)同時承載全市各級政府和國屬企業(yè)的政務(wù)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)，它們具有不同的網(wǎng)絡(luò)訪問需求。傳統(tǒng)通過物理端口實現(xiàn)業(yè)務(wù)隔離，一般需要兩條上行鏈路，且物理接口切換不便。該文提出在電子政務(wù)外網(wǎng)啟用不同網(wǎng)絡(luò)域的portal或PPPoE認(rèn)證，授予接入用戶相應(yīng)的訪問權(quán)限，同一時間僅能訪問一個網(wǎng)絡(luò)，既實現(xiàn)不同業(yè)務(wù)網(wǎng)絡(luò)的隔離，又防止兩套業(yè)務(wù)網(wǎng)絡(luò)的直接互通。通過統(tǒng)一政務(wù)網(wǎng)賬號，整合網(wǎng)絡(luò)最終達(dá)到一個物理網(wǎng)絡(luò)能訪問兩個邏輯隔離的網(wǎng)絡(luò)資源。

關(guān)鍵詞：政務(wù)網(wǎng);互聯(lián)網(wǎng);認(rèn)證控制;邏輯隔離;集約化建設(shè)

中圖分類號：TP391? 文獻標(biāo)識碼：A? ? ? 文章編號：1009-3044（2019）02-0280-05

A e-government Network Access Isolation Implementation Method Based on User Authentication Control

SHI Qi-bin

（Yuxi e-government Network Management Center， Yuxi 653100， China）

Abstract： Yuxi e-government network simultaneously carries government affairs and Internet business of all levels of government and state-owned enterprises， which have different network access requirements.Traditional business isolation via physical ports usually requires two uplink links， and physical interface switching is inconvenient.This paper proposes to employ portal or PPPoE authentication of different network domains to grant corresponding access rights to different access users which only can access one logic network at the same time. It realizes the isolation of different business networks and prevent the direct intercommunication between two business networks.Using the unified account in the government network， it finally achieves to access two logically isolated network resources in a integrated physical network.

Key words： government affairs network; Internet; authentication; logic isolation; intensification construction

1 網(wǎng)絡(luò)背景概述

玉溪電子政務(wù)網(wǎng)于2014年開始建設(shè)，2015年投入運營使用。由于電子政務(wù)外網(wǎng)同時承載玉溪全市各級政府和國屬企業(yè)的政務(wù)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)，而兩類業(yè)務(wù)又要求進行邏輯隔離，不能數(shù)據(jù)直接互通。如何通過技術(shù)手段實現(xiàn)隔離，同時又最大程度上不影響廣泛用戶的使用習(xí)慣，是玉溪電子政務(wù)網(wǎng)建網(wǎng)之初設(shè)計階段時就重點考慮的地方。

如圖1所示，電子政務(wù)外網(wǎng)橫向匯聚路由器一般會通過一條城域網(wǎng)專線鏈路連接每個接入單位，即一條鏈路會同時承載政務(wù)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)，并且一個終端同一時間不能同時訪問兩個業(yè)務(wù)。

傳統(tǒng)通過物理端口分別接入兩類業(yè)務(wù)確實可以實現(xiàn)業(yè)務(wù)的隔離，但一方面用戶使用不便，需要在兩個物理接口之間切換;另一方面，這種方式一般需要接入設(shè)備有兩條上行鏈路才能實現(xiàn)端到端的隔離，目前實際組網(wǎng)情況會限制這種方式的應(yīng)用。因此，必須采用一種更為合適的技術(shù)手段來匹配目前的實際網(wǎng)絡(luò)情況和業(yè)務(wù)隔離需求。

2 技術(shù)手段選擇

根據(jù)國家電子政務(wù)外網(wǎng)技術(shù)規(guī)范和要求，互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)要求邏輯隔離，采用mpls vpn可以很好地滿足該要求。在接入路由器設(shè)備上為Internet業(yè)務(wù)和電子政務(wù)外網(wǎng)業(yè)務(wù)分別建立專用的子接口，同時在上行橫向匯聚設(shè)備上建立對應(yīng)的子接口，并分別綁定相應(yīng)的VRF接口，將兩類業(yè)務(wù)進行VPN隔離。通過專用的VRF將Internet業(yè)務(wù)和電子政務(wù)外網(wǎng)業(yè)務(wù)進行邏輯VPN隔離，每個VRF維護一套獨立的路由轉(zhuǎn)發(fā)表，一個VRF的報文不會進入到其他VRF中進行轉(zhuǎn)發(fā)，從而達(dá)到各VPN安全隔離的目的。

在玉溪電子政務(wù)網(wǎng)項目實施之前，我們就針對多個解決方案進行了驗證和對接兼容測試，最終采用了通過結(jié)合LDAP的用戶認(rèn)證下發(fā)訪問權(quán)限到接入路由器網(wǎng)關(guān)，從而實現(xiàn)靈活地將用戶分配到不同業(yè)務(wù)組中，既實現(xiàn)了兩種業(yè)務(wù)的邏輯隔離，也達(dá)到了終端不能同時訪問兩個業(yè)務(wù)的目的。實現(xiàn)原理如圖2所示。

在AAA服務(wù)器上選擇基于不同Domain域名的服務(wù)模板，區(qū)分政務(wù)網(wǎng)和互聯(lián)網(wǎng)的訪問權(quán)限，客戶端認(rèn)證通過后，AAA服務(wù)器根據(jù)域名下發(fā)不同的服務(wù)模板到認(rèn)證設(shè)備（即接入路由器網(wǎng)關(guān)），從而達(dá)到業(yè)務(wù)隔離的目的。

認(rèn)證流程如圖3所示。地州縣接入用戶通過認(rèn)證客戶端首次發(fā)起訪問請求時，認(rèn)證設(shè)備（即接入路由器網(wǎng)關(guān)）會彈出認(rèn)證Portal頁面，用戶需要在Portal頁面上輸入相應(yīng)的賬號及密碼，認(rèn)證服務(wù)器設(shè)置在玉溪市級網(wǎng)絡(luò)運維區(qū)中進行全市統(tǒng)一認(rèn)證，認(rèn)證服務(wù)器對接LDAP服務(wù)器，和目前公文系統(tǒng)采用統(tǒng)一用戶賬號。賬號認(rèn)證通過后，認(rèn)證服務(wù)器會為用戶下發(fā)ACL來控制客戶訪問兩套網(wǎng)絡(luò)，認(rèn)證通過后，如用戶勾選的是訪問政務(wù)業(yè)務(wù)，則會對其下發(fā)訪問政務(wù)網(wǎng)的ACL策略，用戶就會直接通過市級骨干路由器訪問政務(wù)網(wǎng);如用戶勾選訪問互聯(lián)網(wǎng)服務(wù)，則對其下發(fā)訪問互聯(lián)網(wǎng)的ACL，用戶就會在骨干路由器上通過PPPOE方式認(rèn)證，實現(xiàn)對互聯(lián)網(wǎng)的訪問。用戶完成認(rèn)證后，僅能訪問通過認(rèn)證的業(yè)務(wù)網(wǎng)，而不能訪問另一業(yè)務(wù)網(wǎng)，防止政務(wù)網(wǎng)外聯(lián)安全隱患發(fā)生。

3 實現(xiàn)原理

此次在玉溪電子政務(wù)使用的是portal認(rèn)證方式，Portal認(rèn)證支持PAP/CHAP/EAP三種方式，此次采用的是PAP方式，客戶端可以采用認(rèn)證客戶端或網(wǎng)頁方式，支持快速認(rèn)證。認(rèn)證設(shè)備需要配置RADIUS，此次的RADIUS服務(wù)器為第三方的oracle數(shù)據(jù)庫。新建的認(rèn)證服務(wù)器在對接第三方數(shù)據(jù)的時候，具備較好的兼容性，根據(jù)我方的需求進行了定制開發(fā)。

1）接入時段控制。如圖4所示，用戶通過認(rèn)證接入網(wǎng)絡(luò)以后，認(rèn)證服務(wù)器可以很好地對用戶行為進行管理，對賬號配置靈活的接入時段，終端用戶認(rèn)證時，如果認(rèn)證時間不在接入時段內(nèi)，則認(rèn)證被拒絕，超過設(shè)置的時間后，認(rèn)證服務(wù)器會強制用戶下線。

2）下發(fā)ACL。如圖5所示，認(rèn)證服務(wù)器可以對應(yīng)賬號下發(fā)ACL規(guī)則，有手工輸入、列表選擇和接入ACL列表三種方式，手工輸入：認(rèn)證服務(wù)器下發(fā)ACL號給接入設(shè)備（該ACL需要提前在設(shè)備上配置好），由接入設(shè)備動態(tài)將該ACL作用于終端用戶，終端用戶下線后設(shè)備釋放該ACL，取消該ACL對終端用戶的控制。

3）用戶管理。已認(rèn)證通過的賬號可以顯示在在線用戶列表中，并支持消息下發(fā)、強制下線、清除在線信息、定制顯示界面等功能，能提供常用的計算機安全檢查、遠(yuǎn)程桌面連接、加入黑名單、資產(chǎn)詳細(xì)信息等功能的快捷入口顯示，認(rèn)證服務(wù)器中所有已加入黑名單的賬號管理員可以手工將賬號解除黑名單狀態(tài)。

4 配置實例

4.1 VRF配置

VRF配置規(guī)劃的主要內(nèi)容有互聯(lián)網(wǎng)VPN隧道的建立，設(shè)備互聯(lián)子接口的配置與其IP地址的劃分，路由策略與MSR26-17配置等。

4.1.1 SR8808配置

1）vpn? instance的配置：

ip vpn-instance vpn-internet

route-distinguisher 1：1

vpn-target 1：1 import-extcommunity

vpn-target 1：1 export-extcommunity

2）子接口的配置：

interface GigabitEthernet0/0.10

ip binding vpn-instance vpn-internet

ip address x.x.x.x（IP） xx.x.x（mask）

vlan-type dot1q vid 10

3）SR8808與SR8808X互連的子接口IP地址暫規(guī)劃如下，接口主IP地址沿用原有：

SR8808：59.216.0.253/30

SR8808X：59.216.0.254/30

4）為vpn-instance配置靜態(tài)路由：

ip route-static vpn-instance vpn-internet 0.0.0.0 0.0.0.0 （互聯(lián)網(wǎng)出口下一跳地址） description to Internet

4.1.2 MSR 36-17配置

1）電子政務(wù)網(wǎng)的DHCP服務(wù)配置：

dhcp server ip-pool 1

network 10.10.10.0 mask 255.255.255.0

gateway-list 10.10.10.1

dns-list 59.216.1.14 59.216.1.10

2）互聯(lián)網(wǎng)撥號的虛接口模板配置

domain system

ip pool 1 10.10.20.2 10.10.20.254

interface Virtual-Template0

ppp authentication-mode chap domain system

ppp ipcp dns 公網(wǎng)dns服務(wù)器地址

remote address pool 1

ip address 10.10.20.1 255.255.255.0

local-user 撥號用戶

password cipher 撥號密碼

service-type ppp

3）ACL配置

acl number 3002

rule 0 permit ip source 10.10.10.0 0.0.0.255

acl number 3003

rule 0 permit ip source 10.10.20.0 0.0.0.255

4）接口和子接口配置

interface GigabitEthernet0/16

port link-mode route

description to ZhengWuWang

nat outbound 3002 address-group 1

ip address 原已分配的設(shè)備IP地址 255.255.255.252

#

interface GigabitEthernet0/16.10

description to Internet

vlan-type dot1q vid 10

nat outbound 3003 address-group 2

ip address 需新規(guī)劃的子接口IP地址 255.255.255.252

5）靜態(tài)路由配置

ip route-static 0.0.0.0 0.0.0.0 互聯(lián)網(wǎng)子接口地址 description to Internet

ip route-static 59.216.0.0 255.255.0.0 電子政務(wù)接口IP地址 description to ZhengWuWang

ip route-static 59.255.0.0 255.255.0.0電子政務(wù)接口IP地址description to ZhengWuWang

ip route-static 172.16.0.0 255.248.0.0電子政務(wù)接口IP地址description to ZhengWuWang

ip route-static 172.21.0.0 255.255.0.0電子政務(wù)接口IP地址description to ZhengWuWang

4.2 接入路由器3600上的配置PORTAL認(rèn)證

#

portal server myportal ip 59.216.1.34 key simple h3c url http：//59.216.1.34：8080/portal

//配置portal認(rèn)證服務(wù)器 名稱為 myportal 秘鑰為 h3c? 配置portal web 服務(wù)器的URL為 http：//59.216.1.34：8080/portal

#

portal free-rule 1 source ip 10.0.3.5 mask 255.255.255.255 destination ip any

portal free-rule 2 source ip any destination ip 59.216.1.34 mask 255.255.255.255

portal free-rule 3 source ip 59.216.1.34 mask 255.255.255.255 destination ip any

portal free-rule 4 source ip any destination ip 114.114.114.0 mask 255.255.255.0

portal free-rule 5 source ip any destination ip 59.216.1.14 mask 255.255.255.255

portal free-rule 6 source ip any destination ip 59.216.1.10 mask 255.255.255.255

#

//配置允許在未認(rèn)證的情況下PC端可以訪問的一些地址段，比如portal服務(wù)器地址59.216.1.34 DNS地址59.216.1.14 59.216.1.10 114.114.114.114 等。

#

acl number 3000

description TO_NW

rule 0 permit ip destination 59.216.0.0 0.0.255.255

rule 5 permit ip destination 59.255.0.0 0.0.255.255

rule 10 permit ip destination 172.0.0.0 0.255.255.255

rule 15 deny ip

acl number 3001

description TO_WW

rule 0 permit ip destination 59.216.1.34 0

rule 1 deny ip destination 59.216.0.0 0.0.255.255

rule 5 deny ip destination 59.255.0.0 0.0.255.255

rule 10 deny ip destination 172.0.0.0 0.255.255.255

rule 15 permit ip

#

//配置ACL

#

radius scheme imc? ? ?//創(chuàng)建名為imc的RADIUS方案

server-type extended

primary authentication 59.216.1.34

primary accounting 59.216.1.34

key authentication simple h3c //配置認(rèn)證計費服務(wù)器地址及其共享密鑰

key accounting simple h3c

nas-ip 172.21.255.181? ? ? //本臺2600的地址

#

#

domain both

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

domain portal

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

domain yndzzw

authentication portal radius-scheme imc

authorization portal radius-scheme imc

accounting portal radius-scheme imc

access-limit disable

state active

idle-cut disable

self-service-url disable

#? ? //配置相應(yīng)業(yè)務(wù)的認(rèn)證域

#

interface GigabitEthernet0/2? ? //端口配置（以固定IP為例）

port link-mode route

ip address 10.100.78.1 255.255.255.128 sub

portal server myportal method layer3? // 配置可跨三層方式的portal認(rèn)證 認(rèn)證服務(wù)器名為 myportal

portal nas-ip 172.21.255.181? ? ? ?//配置本地服務(wù)器地址，即接入路由器的地址。

#

4.3 網(wǎng)管IMC上的配置

（1）添加設(shè)備

在“用戶-接入策略管理-接入設(shè)備管理-接入設(shè)備配置”中添加接入路由器的設(shè)備信息。

注：認(rèn)證端口和計費端口都為默認(rèn)端口，共享密鑰和接入路由器中配置的一直為：h3c。

已經(jīng)在設(shè)備列表中存在的設(shè)備，點擊選擇菜單選擇即可，沒有在設(shè)備列表中的要手工添加。

（2）PORTAL服務(wù)管理配置

點擊“用戶-接入策略管理-portal服務(wù)管理”按照向?qū)瓿膳渲谩?/p>

IP地址組配置中，添加地址段。

注：若一臺設(shè)備有多段地址段的應(yīng)該建立多個IP 地址組。

配置設(shè)備

配置端口組信息

注：a、認(rèn)證方式為PAP，心跳間隔和超時時間不為0即可;b、若一臺設(shè)備有多段地址段的，應(yīng)該配置多個端口組。

5 結(jié)束語

通過基于Portal形式的用戶認(rèn)證來下發(fā)接入用戶的訪問權(quán)限，既實現(xiàn)不同業(yè)務(wù)網(wǎng)絡(luò)的隔離，又防止兩套業(yè)務(wù)網(wǎng)絡(luò)的直接互通。這種技術(shù)手段非常靈活，并且具備無限擴展性，即使有更多的業(yè)務(wù)系統(tǒng)或定制化的業(yè)務(wù)有類似需求，都可以通過相同方案進行設(shè)置和實現(xiàn)，而且操作簡單便捷。同時，認(rèn)證服務(wù)器可以和LDAP、第三方數(shù)據(jù)庫對接，可以在政務(wù)網(wǎng)內(nèi)統(tǒng)一賬號，便于管理和維護。

堅持集約化建設(shè)原則，通過這種網(wǎng)絡(luò)認(rèn)證技術(shù)，實現(xiàn)政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的不同網(wǎng)絡(luò)訪問，在電子政務(wù)外網(wǎng)啟用portal或PPPoE認(rèn)證（不同網(wǎng)絡(luò)域），認(rèn)證通過后才可以訪問政務(wù)外網(wǎng)或互聯(lián)網(wǎng)，同一時間僅能訪問一個網(wǎng)絡(luò)，整合網(wǎng)絡(luò)最終達(dá)到一個物理網(wǎng)絡(luò)能訪問兩個邏輯隔離網(wǎng)絡(luò)資源。

玉溪市電子政務(wù)外網(wǎng)現(xiàn)已通過通過整合網(wǎng)絡(luò)、集約化建設(shè)、基于認(rèn)證控制等，實現(xiàn)網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)安全管理，有近2萬的用戶使用互聯(lián)網(wǎng)和政務(wù)外網(wǎng)，大大節(jié)約財政資金，為將來信息資源共享、業(yè)務(wù)融合打下堅實的網(wǎng)絡(luò)基礎(chǔ)。

參考文獻：

[1] 國家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn) GW0101-2014國家電子政務(wù)外網(wǎng)信息安全標(biāo)準(zhǔn)體系框架

[2] 國家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn) GW0204-2014國家電子政務(wù)外網(wǎng)安全管理系統(tǒng)技術(shù)要求與接口規(guī)范

[3] H3C SR8800 萬兆核心路由器 典型配置案例-R3725-6W100

[4] H3C MSR 系列路由器 配置指導(dǎo)（V7）-6W103

[5] H3C智能管理中心 用戶手冊-5PW123

[6] 黃榮.基于802.1x和web portal認(rèn)證技術(shù)的校園網(wǎng)用戶端點準(zhǔn)入控制系統(tǒng)的設(shè)計及應(yīng)用[J].福州大學(xué)學(xué)報：自然科學(xué)版，2008，36（5）：673-676.