1 概况。
为了解决远程用户安全访问私网数据的问题,神州数码DCFW-1800系列防火墙提供基于SSL的远程登陆解决方案--Secure connect VPN,简称为SCVPN.SCVPN功能可以通过简单易用的方法实现信息的远程连通。神州数码DCFW-1800系列防火墙SCVPN功能包含设备端和客户端两部分,配置了SCVPN功能的防火墙作为设备端,具有通过客户端自动拨号与之连接并为客户端分配 IP 地址等功能。
目前百色遥测系统中心机房的网络拓扑结构大致为星型布局,与基层测站的网络连接方式为有线的VPN方式,为节约资源、最大限度利用现有硬件配置为水文信息便捷、快速的传输服务,我们开展了通过利用神州数码防火墙SCVPN功能与遥测系统中心机房内网的连接,实现基层测站利用SCVPN功能进行内网访问的研究,通过防火墙合理配置使得在分中心机房内网无需增加任何硬件的情况下水文信息在内、外网间互交传输,最后达到了预期的目的。
2 遥测系统现状及存在问题。
近年来,随着水文信息化建设不断推进,百色市遥测系统站点规模不断扩大,目前遥测系统主要有南京水利水文自动化研究所的水情分中心项目、北京金水燕禹的中小河流系统项目、陕西山脉公司中小河流系统项目等。水情机房基本配置有:前置接收服务器、查询发布服务器、数据交换服务器、网络防火墙、交换机等如下图1所示。
遥测站的水文信息直接从遥测站发送到百色中心机房,编码后形成标准报文入前置服务器、数据交换服务器并在数据交换服务器中完成数据交换,通过100 M专线网络实时交换到区水文局水情处;通过有线VPN信道将有关各县水文信息发送到基层测站数据库服务器。值班员通过浏览广西水情信息在线分析系统及本地的水雨情查询发布系统等网站查看辖区内实时水文数据。
但由于各种原因,水文信息网站查询系统每年也有出故障的情况,而有线VPN网络受通信线路不稳定、雷击等影响,每年还需要一笔租赁专线费用。由于SCVPN完全免费,只要设备端和客户端网络畅通就可以保证能进行数据传输。如果能利用SCVPN功能进行水文数据传输,可以作为中心机房与基层测站进行水文数据传输的备份传输信道。
3 工程实例。
百色中心机房的水情专用网络与测站网络系统互不相连,是两个独立的系统,要进行数据传输,就必须先进行必要的网络配置,使外网用户通过internet使用SSL VPN接入内网,达到SSL VPN用户接入后访问内网的数据库器的目的,本实例内网服务器IP定为10.45.229.2,防火墙以DCFW-1800S系列产品为例。
3.1 防火墙配置。
(1)首先进行地址池配置,名称为scvpn-td,起始 IP 地址设置为 173.16.1.10,终止 IP 地址设置为173.16.1.20并绑定了一个IP为173.16.1.15的地址指定给客户端。
(2)进行SCVPN实例配置。在SCVPN实例配置模式下需要进行如下配置:指定上一步配置的地址池名称、配置设备端出接口为防火墙的ethemet0/1口、配置HTTPS端口号为4430、配置SCVPN隧道路由为内网服务器 IP 地址 10.45.229.2/255.225.255.255.
(3)在网络菜单下安全域选项中新建名称为scvpn-td的安全域,类型为三层安全域。
(4)创建隧道接口并引用SCVPN隧道。具体配置如下:在网络菜单下接口选项中选择新建-隧道接口,在出现配置界面中IP配置为173.16.1.1,这样配置一个网关接口,使得SCVPN客户端能与防火墙上指定接口ethemet0/1所属区域之间正常路由转发,隧道绑定名称设置为scvpn-td,这就将创建好的SCVPN实例绑定到该接口上。
(5)创建安全策略。在防火墙/策略中添加访问策略,允许通过SCVPN到内网的访问。
(6)添加SCVPN用户帐号。在防火墙用户菜单中新建用户名为tdswj,密码自定义,便创建SCVPN登陆帐号,至此,在防火墙中的配置全部完成。
3.2 应用配置。
在客户端上打开浏览器在地址栏中键入:(本例外网端口 218.65.219.240,HTTPS端口号为4430),在登陆界面中填入用户帐号和密码即可自动下载客户端拨号小软件DigitalChina Secure Connect,安装后客户端连接成功后,防火墙会将内网网段10.45.229.2的路由下发到拨号客户端,外网用户通过Internet使用SCVPN接入内网,访问内网的应用服务器。配置案例示意图如下图 2 所示,客户端连接成功如图 3 所示。
4 数据交换测试。
基于上述防火墙本配置后,本案例选择了百色市田东县水文局作为测试点,因该局地处县城郊外,单独布线成本大,网络供应商不愿意重新布一条新的VPN专线,只能充分利用原来已有的网络线使用SCVPN功能与百色市水情分中心机房的数据服务器相连。
在田东县水文局配置水情数据客户端,安装SQL2008数据库、水情信息交换系统并进行基本参数的配置,如本地数据库配置,外地单位IP地址设为内网的服务器10.45.229.2,系统参数设置中本地IP地址设为173.16.1.15.安装完成后进行实时数据交换测试。
测试证明:水情分中心的水文信息可以通过SCVPN传输给田东局,数据传输稳定,可以作为备份系统应用。
5 结语。
通过对现有硬件设备的配置和整合,实现中心机房网络无需增加任何硬件的情况下水文信息在内、外网间交互传输,使得使水情信息的传输多了一份保障,而且节省了一笔经费。为不方便布设有线VPN的测站的数据传输开设新的传输方式。
参考文献
[1] 龚然会,梁显俊。卫星小站系统在实时雨水情数据交换中的应用[J].广西水利水电,2015(3):48-49.