用VPN技术搭建远程办公系统方案介绍

·桂广网技专栏·
对接和“雪亮工程”乡镇、行政村全覆盖；促进了区域性视频监控联网应用工程建设、与“天网”工程级联运行。

（6）农村特别是少数民族地区农民都特别关注本地、本民族语言的文化、新闻节目，广西广电网络平台播出的区、市、县本地节目将促进当地和民族特色公共文化建设。

（7）有利于深入实施柳州市应急
广播工程建设，完善应急广播覆盖网
络，力争覆盖柳州市所有35户以上自
然屯，打造基层政务信息发布、政策
宣讲和灾害预警应急指挥平台。

广电网络是国家重要的基础信息
网络，是智慧广电建设的重要基础资
源，也是党和政府重要的文化宣传阵
地。

广西广电网络在公共文化服务体系
建设中虽取得了一些成效，但仍需结合
本地实际建立健全长效服务体系，巩固
好建设成果不断强化服务意识、提升服
务质量、切实提高服务水平，为构建新
型智慧广电公共服务体系，助推脱贫攻
坚，振兴乡村，建设壮美广西、共圆复
兴梦做出更多贡献。

RTN
在广电网络公司，外出设点收费是一个重要的业务发展手段，因此公司远程办公的能力和效率对业务的开展有很大关系。

为此，广西广电网络桂林分公司部署了一套简单可靠的VPN远程办公系统。

该系统极大地促进了公司的业务开展，特别是在新冠肺炎疫情暴发期间，系统的重要性更加凸显。

现将广西广电网络桂林分公司VPN远程办公系统设计方案、工作原理、后台管理、维护使用等方面的经验予以分享。

1 VPN系统介绍
广西广电网络桂林分公司的VPN 远程办公系统，可让用户在任何地方、任何环境下通过互联网接入公司办公系统，系统主要用于流动收费点办公、
设备远程管理以及居家办公。

在2020
年年初新冠肺炎疫情暴发期间，为了
降低疫情传播的风险，公司响应国家
和地方政府的号召，对办公室上班的
人员数量进行限制，仅让少量人员每
天到办公室上班。

但是公司很多业务
还需要正常开展，很多事情需要及时
处理，仅靠少量人员在办公室上班无
法保证公司的正常运转。

因此，公司
充分利用VPN远程办公系统，使公司
所有管理人员都可以实现居家远程办
公，远程操作的所有功能与在办公室
上班完全一样，有效解决了特殊时期
办公室上班人员不足的问题。

实践证
明，一套简单有效的VPN系统对公司
的正常运转发挥了重要作用。

VPN即虚拟私人专用网络，是企
业网在因特网等公共网络上的延伸。

VPN通过私有通道创建一个安全的私
有连接，将远程用户、公司分支机构、
公司的业务伙伴等与企业网连接起来，
形成一个扩展的公司企业网。

常用的VPN模型有Access VPN、
IPsec VPN 和SSL VPN 等几种。

Access 
VPN属于二层网络隧道技术，其安全
性和功能不能满足公司业务的需要。

IPsec VPN是网络层的VPN技术，其
安全性高，但难点在于客户端需要安
装复杂的软件，而且使用者需接受培
训才能够掌握相应的技术。

SSL VPN
协议在功能和安全性上能满足业务的
需要，同时具有网络结构简单、易于
维护、客户端不需要安装特殊软件、
性价比高等优点，因此我们选择的是
SSL VPN。

用VPN技术搭建远程办公系统方案介绍罗华 李绮琼 刘刚 宋秋滨 广西广播电视信息网络股份有限公司桂林分公司
摘要：本文结合广西广电网络桂林分公司的VPN使用经验，介绍了通过VPN搭建远程办公系统，实现居家办公和远程设备管理的方法。

关键词：VPN 远程办公 设备管理
80《广播电视网络》 2021年第2期 总第374期
《广播电视网络》 2021年第2期 总第374期
搭建SSL VPN网络，如果只需要
最基本的功能，那么一台防火墙就可
以满足需要。

我们选用的是神州数码
的DCFW-1800防火墙，该设备内置
了SSL VPN 功能；另外，还需要一个
有公网固定IP的专线用于连接互联
网，IP要求互联网上的任何网站都能
被访问，带宽最低10Mbps，上下行带
宽对等。

在软件方面，需要一个办公网地
址池内的固定IP地址，该地址必须向
上级管理部门申请，避免在分配给个
人使用时造成IP冲突。

另外，还需要
提前确定办公常用的IP地址段，为在VPN内配置路由表做准备。

SSL VPN 网络拓扑图如图1所示。

2 VPN系统安装配置过程
（1）在防火墙的两个端口分别连接互联网和办公网，并将IP地址配置成互联网公网IP和办公网固定IP，完成线路连接。

（2）防火墙配置默认路由和静态路由。

默认路由为互联网网关，即0.0.0.0/0.0.0.0 的下一跳为互联网固定IP对应的网关；静态路由为办公网需要访问的地址段，其下一跳为办公网网关。

（3）配置VPN接口地址，如“172.16.1.1”，该地址也是VPN用户获取VPN地址时的网关；配置VPN地址池，地址池为VPN用户分配的新的IP地址，必须和网络中现有的地址不冲突，如“172.16.1.10-172.16.1.100”。

（4）创建SSL VPN：在创建隧道接口时，需要输入一个端口号，端口号由用户自己定义，如4433；该端口号也是用户登录VPN时的IP地址端口。

（5）创建安全域和策略：将SSL VPN及接口定义为三层的安全域
(Trust)，办公网定义为缓冲域（DMZ），
互联网定义为非安全域（Untrust）。

制定相对的策略，只允许符合规定的
访问通过。

（6）给用户添加帐号密码，每一
个帐号只能供一名用户使用。

（7）在“用户管理”栏启用主机
检测和绑定：该功能在用户首次登录
时自动把用户名和主机ID的应用关系
加入绑定表，锁定用户的电脑硬件、
网卡MAC地址、操作系统等多项参数，
降低非法侵入的可能。

以上步骤为VPN系统的基本安装
配置过程，安装完成后即可投入使用，
其他一些附加功能配置可请厂家远程
操作完成。

3 用户远程登录流程
（1）在客户端浏览器输入防火
墙的外网地址和端口号，进入客户端
下载页面，如“https://外网IP地址：
4433”；在登录界面输入用户帐号和
密码，出现下载客户端软件的提示。

（2）按提示下载VPN客户端，
软件安装完成后Windows系统右下角
出现VPN客户端图标，点击该图标后
出现图2所示界面，输入服务器地址、
端口号及帐号密码即可。

登录成功后，
电脑右下角会出现一个绿色小图标，
否则是红色。

（3）用户成功登陆VPN后，电
脑会获取到一个新的VPN段地址和网
关，这样电脑就有2个网关，即2个
默认路由。

如图3所示，通过Route 
Print命令查看电脑路由，可以看到电
脑有2个默认路由。

第一个默认路由指向互联网接
口，跃点数25；第二个默认路由指
向VPN的接口地址，跃点数1。

由于
TCP协议优先选择跃点数少的路由，
因此当前的默认路由只有第2条有效。

此时用户只能登录办公网，不能登录
互联网。

（4）用户通过VPN登录后，可
以在
IE栏输入办公网地址登录办公网
系统，或直接管理办公网系统中的设
备，且不需要添加额外的配置。

帐号
在一台电脑成功登录后即和电脑绑定，
无法在别的电脑使用。

图1 SSL VPN网络拓扑图
81
·桂广网技专栏·
4 安全性分析
远程管理系统是一个最佳的线上办公载体,但系统的安全性也不容忽视。

本系统的安全性主要体现在以下几个方面。

（1）系统核心设备本身就是防火墙，有多种防病毒攻击能力，如IP与MAC绑定、防地址欺骗、实时监控、日记审计、入侵监控、灾难恢复等。

（2）用户帐号只能指定个人使用，并且和电脑绑定，可有效避免帐号被泄露或盗用，而且日记服务器可以记录下用户的所有访问记录。

（3）防火漆本身具有病毒过滤功能，其病毒特征库可在线升级。

（4）防火墙安全策略只允许VPN 地址访问内网地址，增加了系统的安
全性。

5 后台管理及维护经验
为保障VPN系统的正常运行，必须有专门的后台管理员进行管理。

管理员在互联网或办公网环境下都可通过防火墙的外网或内网地址登录防火墙。

在后台管理和维护工作中，管理员需要经常进行以下管理操作。

一是，给新用户添加帐号和密码，删除过期不用的帐号，重置密码等；二是，在VPN内通过Ping功能检测外网或内网是否有问题；三是，如果内网增加了新的地址段，需要及时添加防火墙的路由表；四是，查看用户登录VPN的状态，将上线后没有及时退出的用户踢出；五是，用户更改设备或重装系统后，会被防火墙认定为不符合绑定表记录而无法登录，需要删除对应绑定表后重新绑定，电脑被一个帐号登录后，如果需要换账号登录，也需要解除原来的绑定关系；六是，查看各
种日记文件，处理告警信息。

6 VPN使用经验总结
VPN远程办公系统的使用场景主
要是外出设点收费。

由于收费点流动性
较强，一般需在手提电脑上安装移动或
电信的流量卡。

用户登陆互联网，通过
VPN进入公司办公网，使用用户资料
输入和发票打印等功能；另外，公司管
理人员也可以通过该系统进行居家办
公或远程管理设备。

经过长时间使用，
我们总结SSL VPN系统具有以下特点。

（1）操作系统和客户端使用简单
易学、便于推广；后台操作界面简单，
使用方便，可灵活设置访问权限,采
用基于用户和组的认证机制，使访问
控制更易于管理。

（2）安全性方面，防火墙通过加
密算法、安全域策略及用户绑定功能，
可有效防止各种黑客和病毒攻击。

同
图3
时VPN用户只能访问内网，内网用户
不能访问外网，确保不会出现环路或
网络风暴等故障。

（3）SSL VPN不受安装在客户端
与服务器之间的防火墙等NAT设备的
影响，穿透力强，用户可以在任何地点、
利用任何设备通过VPN登录内网地址，
使用任何功能，和在办公网上登录完
全一样。

（4）当远程被管理设备需要设定
ACL等访问控制时，只需要在IP地址
范围内增加防火墙上对应的内网地址
即可。

 本文介绍的VPN远程办公系统
搭建方案，并不需要特别专业的知识，
用户只要敢于尝试就能轻松掌握。

该
系统能有效解决广电网络公司在流动
收费、居家办公、远程设备管理方面
效率不高的问题，而且对大多数企事
业单位都适用。

RTN
图2
82《广播电视网络》 2021年第2期 总第374期。