基于AD域用戶認證的SSLVPN部署

佟鵬

天津廣播電視臺 天津 300070

引言

為保障網絡安全，維護網絡空間主權和國家安全，完善網絡安全的法律法規，2017年6月1日起我國開始施行《網絡安全法》，為了結合等級保護2.0的需求，2019年又對《信息安全技術信息系統安全等級保護基本要求》進行了修訂和補充。廣播電視作為國家重要的宣傳機構，網絡的安全性尤為重要。2020年4月22日，包括國家廣播電視總局在內的12個部門聯合發布了《網絡安全審核辦法》，該辦法已于2020年6月1日開始實施[1]。為了提升天津廣播業務系統的安全性，降低被網絡攻擊的風險，按照等級保護的相關規定，天津廣播的大部分業務系統放置在受防火墻保護和監管辦公網內，并沒有暴露在互聯網上。但是，廣播電視由于其行業工作的特殊性，記者大部分時間奔波于采訪現場，很難有固定的時間坐在工位上編輯稿件，特別是在新型冠狀病毒疫情期間，記者奔赴抗疫一線，長期處于與辦公局域網隔離的狀態。因此，通過互聯網安全、快速地訪問天津廣播業務系統的需求日益突顯。天津廣播電視臺結合自身的網絡拓撲，利用天津廣播網絡架構中華為防火墻SSL VPN的功能模塊，搭建VPN服務，打通了互聯網與天津廣播辦公網之間的網絡鏈路，并通過AD域用戶驗證和安全策略的配置，保證了鏈路的安全性。

1 實現原理

SSL VPN是基于安全套接字層協議建立的VPN遠程接入技術，遠程用戶使用SSL VPN可以安全、方便地接入企業內網，訪問企業內網資源，提高工作效率。防火墻向遠程用戶提供SSL VPN接入服務的功能模塊稱為虛擬網關，虛擬網關是遠程用戶訪問企業內網資源的統一入口，圖1為VPN工作的總體流程。遠程用戶在客戶端輸入虛擬網關的IP地址，并在虛擬網關登錄界面輸入天津廣播域用戶的用戶名和密碼，虛擬網關會對通過AD域控服務器對用戶身份進行認證。身份認證通過后，虛擬網關會動態分配一個虛擬IP地址，將遠程用戶與可訪問的內網資源鏈路打通，遠程用戶即可訪問對應資源。

圖1 VPN工作的總體流程

2 部署方案

2.1 配置安全策略

在防火墻上配置允許用戶與防火墻建立SSL VPN隧道，允許防火墻與AD域控服務器通信，允許指定用戶通過防火墻訪問內網資源的安全策略，打通Untrust域的互聯網通過防火墻的VPN到Trust域網絡鏈路，如圖2所示。

圖2 通過VPN從互聯網訪問辦公網示意圖

2.2 配置防火墻和AD服務器的對接參數

在防火墻上配置AD域控服務器的機器名、Base DN、過濾字段等參數，并驗證防火墻與AD域控服務器的連通性，如圖3所示。

圖3 AD服務器配置圖

2.3 配置認證域并執行服務器導入策略

新建AD域控服務器的導入策略，根據域控服務器的信息設置服務器路徑和目標用戶組，設定自動增量同步和全量同步的周期時間以及過濾參數并導入AD域控服務器上的用戶。

2.4 配置SSL VPN

創建SSL VPN虛擬網關，配置SSL VPN虛擬網關允許接入的最大用戶數和允許同時接入的最大用戶數，配置虛擬網關和認證域綁定[2]。配置SSL VPN可分配的動態地址池，用戶通過VPN客戶端安裝虛擬網卡，從SSL VPN獲取虛擬IP地址，實現對廣播辦公網資源的訪問并對不同用戶分配不同的SSL VPN訪問權限。

3 實際應用

2020年年初，新型冠狀病毒疫情爆發，為落實本單位彈性工作法遠程辦公的要求，天津廣播SSL VPN對所有天津廣播的AD域用戶開通了津云中央廚房、新華社收稿系統、“云里”系統、內網網站等資源的訪問權限，并在防火墻上根據需求制定了多條安全策略，用戶可以通過VPN的方式在臺外通過互聯網訪問廣播辦公網內的資源。VPN的使用說明通過企業微信向所有用戶發布。

圖4 疫情期間VPN登錄人次統計圖

如圖4所示，自2020年1月22日至4月26日，VPN共計使用時長將近600小時，成功登錄共計2000余人次，在疫情期間為身在抗疫前線和居家辦公的編輯、記者打通了訪問臺內業務系統的網絡鏈路，為一線記者準確、及時地發回抗疫前線的報道提供了便利和可靠的技術保障。