APP下载

防火墙VPN技术在江苏广播中的应用

2018-12-22杨阳罗清江苏省广播电视总台广播传媒中心

视听界(广播电视技术) 2018年6期
关键词:网关防火墙运维

杨阳 罗清 江苏省广播电视总台广播传媒中心

1. 前言

广电办公网特别是涉及公网的业务,一直以来都谨慎地与互联网对接。随着融合媒体的迅速发展,江苏广播办公网台外业务依赖的智能手持终端趋于多样化,对自身网络需求越来越高。2017《年网络安全法》的颁布,网络安全加固也越来越受重视。由于网站已全部迁移至荔枝云,现有公网业务仅服务于台内人员的办公需求,如OA和文稿系统,因此,我部门拟关闭原有公网地址。依托现有的技术框架,VPN技术可经济安全地实现多终端方便安全使用内部系统的迫切需要。

2.VPN技术概述

VPN 即虚拟专用网,是指采用隧道技术以及加密、身份认证等方法通过公用网络建立一个临时、安全的连接。VPN 发展至今已经不再是一个单纯的经过加密的访问隧道,它融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。VPN具有两个含义:首先,它是“虚拟”的,不再使用长途专线建立私有数据网络,而是将其建立在分布广泛的公用网络;其次,它是一个专网,每个 VPN 的用户可以临时从公用网络中获得一部分资源供自己使用。

3. 江苏广播VPN方案

江苏广播台内办公网出口链路如图1所示,防火墙为启明星辰安全网关,出于经济可行和技术易实现的角度考虑,采用防火墙的VPN功能模块,通过L2TP+IPSec的方式,使得用户可以在互联网上构建一条访问台内资源的专用安全通道。L2TP 是国际标准隧道协议,能以隧道方式使 PPP 包通过各种网络协议,包括 ATM、SONET 和帧中继。

图1 江苏广播VPN方案拓扑

1)目前,中心网络的出口网关边界为防火墙,采用防火墙的VPN功能模块,建立一套既安全又经济可行的组网方案。配置流程如下:

(1)配置防火墙网络环境;

(2)配置VPN规则,确定本地子网为本端公网口地址;

(3)配置网关IKE;

(4)配置客户端隧道;

(5)启用隧道;

(6)添加L2TP账号信息;

(7)配置L2TP参数;

(8)添加防火墙安全策略;

(9)客户端设置。

2)安全性:VPN采用隧道加密技术,保证了互联网中数据通道的完整性、数据源认证和抗重放保护服务,并增加了数据保密和有限的数据流保密服务;对终端网络访问进行有效控制的信息安全设备,在对用户的网络访问进行控制的时候,通过使用有效的用户认证(用户名+密码+预共享密钥)技术来区分不同的用户身份,以适应不同访问级别的用户对网络访问的不同权限。具体规则如下:

(1)VPN的访问权限进行分组;

(2)VPN的用户及密码简历;

(3)访问文稿用户的策略配置;

(4)访问OA用户的策略配置。

4.推广应用与参数配置

经济安全的VPN建设方案,特别是采用L2TP+IPSec的方式,即不需要客户端直接在终端本地配置VPN,其实是以牺牲一定的终端兼容性为代价的。本文也重点阐述了在多终端平台上的实现,考虑到对台内员工推广VPN,我们技术开发运维团队服务到个人,在反复的技术服务过程中中,我们同时也整理了大量的多终端兼容性问题的解决办法。详细如下:

1)Windows平台:微软操作系统客户机针对连接互联网网关NAT-T功能关闭或对VPN支持性不好,主要是对GRE及PPTP协议的NAT-T不支持。可打开网关路由的NAT-T功能,如果还是出现错误,则需要更换网关设备,现在市面上大多数设备已经支持。通过更换路由器或使用L2TP协议的VPN连接,需要打L2TPVPN补丁。如有VPN连接报错可修改系统相关服务,为方便高效解决故障,可做成REG文件,执行完重启系统即可。Reg文件内容如下:(经测试win10、win7可通过此文件解决VPN连接问题)Windows Registry Editor Version 5.00

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetservicesRasManParameters]"ProhibitIpSec"=dword:00000001

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesPolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dwo rd:000000022)

图2 Win10操作系统VPN主要配置

移动端Mac、IOS平台:苹果系统对L2TP方式兼容性较好,按如下配置即可:3)移动端安卓平台:按图4配置:

图3 IOS操作系统VPN主要配置

图4 安卓操作系统VPN主要配置

5.总结

在经济性方面,基于防火墙的VPN功能模块,无需增加设备,只需前期开发运维人员配置好相关功能,后期做好多终端VPN的操作指南,如当前使用主流的win7、win10和mac等系统配置方式,极大降低了实施和维护成本。

在管理运维方面,VPN 支持多种类型的数据流,新增节点也只需要在逻辑上进行设置,对于任何地理位置的接入点都不需要建立物理直连线路,只需在VPN上配置安全连接信息即可。在授权允许下,广电维护人员或合作伙伴都可以随时随地办公,完全控制自己的专有虚拟网络的安全策略及网络管理设置,自主性与私密性同时具备,满足便捷安全办公需求。

随着企事业单位互联网业务不断扩大,对整体网络性能要求也越来越高,建设一个更加高效、安全、灵活、完善的企业网络也势在必行。针对多系统、多终端的互联网用户接入企业网络的需求,同时考虑到企业的技术实施运维成本和安全性,基于防火墙的VPN技术的引入,恰好解决了这些需要。本文旨在分析不同平台下的VPN接入方法,结合江苏广电的网络特点,提出了VPN在实际需求中的应用。新时期下对网络安全的重视程度越来越高,随着网络安全加固的持续投入与管理,VPN将在广电会有更广泛、更系统化的应用。

猜你喜欢

网关防火墙运维
构建防控金融风险“防火墙”
运维技术研发决策中ITSS运维成熟度模型应用初探
信号系统网关设备的优化
风电运维困局
杂乱无章的光伏运维 百亿市场如何成长
基于ITIL的运维管理创新实践浅析
在舌尖上筑牢抵御“僵尸肉”的防火墙
LTE Small Cell网关及虚拟网关技术研究
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计