对远程访问进行安全控制(图)

沧州供电公司管辖的数十座变电站、下属的各个县（市）电力局、公司的一些分散部门和一些家庭用户都需要登录到公司的计算机网络进行信息交换和数据处理，如果每一个远程单位都铺设一条光纤，显然是很不现实的。因此，沧州供电公司在进行企业Intranet的规划和建设时，就将远程拨号访问系统作为一项重要的内容。限于当时公司的实际情况，远程拨号访问系统比较简单，可以支持16路用户的同时拨入，能够基本满足公司的需要。随着公司业务的不断发展和计算机逐渐走入家庭，公司原有的远程访问系统已经不能满足工作和日常生活的需要，需要对远程访问系统进行升级，经过多方论证，决定用3Com公司的电信级的远程访问产品Total Control 1000重新构建公司的远程访问系统。

原有远程访问 系统的局限性

公司的计算机网络是由3个北电的ATM交换机C100通过单膜光纤互相连接形成一个环形的以ATM为主干，边缘为以太交换接入的网络。整个网络划分为信息中心、用电、办公和生产四个子网，由BLN-2路由器为跨子网提供路由能力。远程访问服务器为北电的RAS2000，并采用了一个16路速率为33.6K的Modem池，可以同时满足16个远程用户的拨入请求。同时在信息中心子网中划分了16个IP地址用于远程用户。远程用户通过PSTN或系统内部电话远程拨号登录到公司的网络后获得一个分配的动态IP地址，成功连接后可以访问数据库服务器进行MIS数据的处理，访问OA服务器完成公司内部电子邮件和办公自动化信息的处理，通过代理服务器来访问Internet或通过网络防毒服务器进行病毒的预防和清除。原有的远程访问系统结构示意如下所示：

随着公司信息化建设的加快以及计算机的迅速普及，原有的远程访问系统逐渐暴露出以下不足：
* 提供的访问能力有限。16路的远程拨入，远远不能满足需要，而设备的扩充能力又不好，要在原有基础上进行扩容，需要同时添加远程访问服务器和Modem池，同时以后升级也存在这个问题。
* 连接的速率不高。由于Modem池的连接速率为33.6K，也就决定了远程用户的访问速率为33.6K，这个速率对于远程用户来说有些不能忍受。
* 安全性低。原有的拨号访问系统没有用户认证机制，只要知道拨入的电话号码和拨号的设置，任何人都可以通过电话访问公司的网络，这对于网络来说无疑是一个非常大的安全隐患。为了防止这一点，公司采取的措施是通过调度通信在PBX上对可以拨打远程访问的电话号码进行限制。这样做虽然提高了安全性，但远程访问的用户限定在一个较小的范围内，是治标不治本的办法，不能适应发展的要求。

用Total Control 1000 构建远程访问系统

针对原有的远程访问系统存在的问题，对系统进行升级时，公司主要从以下几个方面考虑远程访问设备的选型：①产品要具有高性能，同时技术要非常成熟，能提供足够的访问能力满足目前的需求，并具有很好的扩充性，为将来留有足够的升级空间；②提供比较高的连接速率；③具有较好的可管理性，网络管理基于SNMP，并支持RMON和RMON2；④系统具备较高的容错性和完整的用户认证机制。

本着以上几条原则，选择了3Com的远程访问产品Total Control 1000。Total Control 1000采用了以网络接口和应用卡为基础的模块化体系结构，这些网络接口和应用卡可以在系统正在运行的情况下被插入或拔出，它将信道处理单元库(channel bank)、CSU/DSU、调制解调器、CODEC、ISDN设备、访问路由器和终端服务器的功能集于一身，并可以组合使用接口卡和软件，支持多种配置和系统密度，可以根据实际需要选择相应的模块，从而保护投资，提供一个可顺利向未来配置升级的平台。基于SNMP协议的Total Control 1000网管软件可以在一个中心位置对设备进行监测、控制和管理。通过Total Control 1000对RADIUS协议的支持，可以跨越整个网络对用户进行身份认证，利用口令加密、回拨和其他一些基于 RADIUS标准的安全性措施为网络提供严密的防护功能。Total Control 1000的这些特性都非常适合公司的需求。
Total Control 1000共有17个槽位，可以支持14 块Hiper DSP Card，每一块Hiper DSP Card（高密度的用户接入卡）可同时支持30个PSTN用户的接入。支持两块ARC（访问路由卡）和一块NMC（网络管理卡）。在系统的具体实施中，根据公司的需求情况，为Total Control 1000配置了3块Hiper DSP Card，可以同时满足90个远程用户通过拨号对公司网络进行访问；配置一块ARC访问路由卡）可以灵活地对Total Control 1000进行路由设置，以满足局域网网络结构变化时的需要；配置了一块NMC（网络管理卡）用于对设备进行监控和管理。

由于公司的远程访问系统涉及计算机网络和调度通信系统，考虑到目前网络的实际情况和系统实施的灵活性，将Total Control 1000放置在运东的调度通信机房内，通过Hiper DSP Card上的E1接口与调度通信的PBX的E1接口相连，将模拟式呼叫路由到以太网。每块Hiper DSP Card上包含专用的数字信令处理芯片，能够支持国际标准的V.90技术，可以提供56K的连接速率。通过ARC卡的以太端口和通信机房的一台100M以太交换机相连，以太交换机通过光电转换器以单膜光纤和运东机房的ATM交换机C100中隶属于信息中心子网的以太端口相连。同时在信息中心子网中重新划分了90个IP地址用于远程访问。远程用户通过拨号登录网络后，获得一个动态IP地址，通过ARC卡路由到公司的网络系统上，实现对网络资源的访问。升级后的远程访问系统结构示意图如下所示：

为了便于对远程访问系统的管理，我们在Internet代理服务器中安装了一套基于Windows平台的Total Control 1000网络管理软件TCM（Total Control Manager）。虽然Total Control 1000的设备没有放置在信息中心机房，但是通过NMC卡和TCM软件丝毫不会影响管理员对Total Control 1000进行配置和管理。通过TCM软件，管理员可以随时对每块DSP（数字信号处理）卡上有多少个连接用户、利用率、端口为哪个用户所使用、由哪个电话拨入等信息进行查询，并在需要时对用户的行为进行控制。

用户认证方面，我们在Internet代理服务器中安装了1套3Com公司的基于Windows系统和Access数据库平台的RADIUS认证软件，并根据实际需要进行了相关的配置。通过这个认证软件，可以对远程用户的身份进行认证、审核、监控，同时也可以对用户进行限制，将用户名与用户的电话号码捆绑起来，只有用户名对应的正确的电话号码才可拨入登录，其他电话用此账号无法登录，最大程度地保证了网络的安全。
基于Total Control 1000的远程访问系统虽然投入运行的时间不长，但是它从根本上解决了原来的远程访问系统存在诸多不足，不论在接入能力、连接速率、可扩展性还是安全性方面，都提供了非常好的性能。真正可以做到对远程访问进行全面控制。
 

作者:尹燕