郭世聰 冼轉(zhuǎn)基

摘要：隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全的形勢也日趨嚴(yán)峻。近年來，校園網(wǎng)站、信息系統(tǒng)已經(jīng)逐漸成為攻擊者關(guān)注的重點目標(biāo)。本文主要研究在現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)下，盡可能減少投入和應(yīng)用改造成本的情況下，通過反向代理的方式實現(xiàn)信息系統(tǒng)的統(tǒng)一訪問路徑，并通過現(xiàn)有的設(shè)備進行改造實現(xiàn)，減少了暴露互聯(lián)網(wǎng)的公網(wǎng)ip地址及端口數(shù)量，達到節(jié)省目標(biāo)防護點人工工作量，節(jié)約防護成本的目標(biāo)，具有一定的應(yīng)用和推廣價值。

關(guān)鍵詞：校園網(wǎng)絡(luò)安全;暴露互聯(lián)網(wǎng);代理;安全防護

一、背景與現(xiàn)狀

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全的形勢也日趨嚴(yán)峻。校園網(wǎng)絡(luò)出口的應(yīng)用越來越多，不當(dāng)作為對外展示的窗口，也為校內(nèi)外的各類人員提供豐富應(yīng)用。同時由于系統(tǒng)的獨立建設(shè)、分散部署等原因，導(dǎo)致每增加一個系統(tǒng)，需要增加一個二級域名，同時配置一個新的公網(wǎng)ip地址，有些系統(tǒng)可能還增加了多個服務(wù)端口，隨著也帶來了一系列的安全問題，暴露面越廣，攻擊點也就越多，安全隱患也隨著增加。特別近年來，校園網(wǎng)站、信息系統(tǒng)已經(jīng)逐漸成為攻擊者關(guān)注的重點目標(biāo)，受到的網(wǎng)絡(luò)安全攻擊不斷增加，如網(wǎng)站掛馬、網(wǎng)頁篡改、DDoS攻擊等事件層出不窮，造成信息數(shù)據(jù)泄露、訪問受限等事件屢有發(fā)生，校園網(wǎng)站的安全保障工作刻不容緩。

本文研究重點在外網(wǎng)系統(tǒng)的壓減集約。原有我校暴露互聯(lián)網(wǎng)的網(wǎng)站、信息系統(tǒng)采用獨立二級域名部署方式。如：門戶網(wǎng)站采用主域名www.xxxx.edu.cn，對應(yīng)IP地址xxx.xxx.xxx.001，端口80，443;招生網(wǎng)采用二級域名zs.xxxx.edu.cn，對應(yīng)IP地址002，端口80，443;教務(wù)管理系統(tǒng)采用二級域名jwxt.xxxx.edu.cn，對應(yīng)IP地址003，端口443。以此類推，共13個域名，涉及IP地址13個，端口數(shù)量48個。

二、研究思路

目前我校的暴露互聯(lián)網(wǎng)的信息系統(tǒng)繁多，存在管理難、整改難、弱口令管控難等問題。很多系統(tǒng)由不同開發(fā)團隊負責(zé)開發(fā)，使用的技術(shù)、架構(gòu)不同，一時難以把所有系統(tǒng)通過統(tǒng)一框架進行整合或合并，對互聯(lián)網(wǎng)暴露面壓減存在難度。根據(jù)網(wǎng)絡(luò)安全管控要求，只有解決IT資產(chǎn)暴露問題，盡量減少暴露公網(wǎng)的域名、IP地址和端口，有效壓減暴露面，才能集中力量進行防護，保障學(xué)校的網(wǎng)絡(luò)安全。

根據(jù)這一思路，前期組織對現(xiàn)存的外網(wǎng)網(wǎng)站、信息系統(tǒng)及相應(yīng)的IT資產(chǎn)進行全面的分析梳理，形成系統(tǒng)清單。對照清單，研究方向定位在不改變原有的網(wǎng)絡(luò)拓撲架構(gòu)上，利用開源代理軟件及現(xiàn)有網(wǎng)絡(luò)設(shè)備，使用免費證書，利用反向代理及訪問限制策略功能，用戶在瀏覽器輸入：域名+/目錄的方式（www.xxxx.edu.cn/應(yīng)用命名）訪問到各個系統(tǒng)，起到減少暴露互聯(lián)網(wǎng)的域名、IP地址以及端口的作用，同時加強Web應(yīng)用系統(tǒng)的Web安全防護能力，能夠?qū)eb應(yīng)用系統(tǒng)主流的應(yīng)用層攻擊（如SQL注入和XSS攻擊）進行防護，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。壓降后最終希望達到對于暴露互聯(lián)網(wǎng)的網(wǎng)站、信息系統(tǒng)只有1個主域名www.xxxx.edu.cn，對應(yīng)1個IP：xxx.xxx.xxx.001以及3個端口80，443和10001文件傳輸，所有二級域名以及對應(yīng)的IP地址全部關(guān)閉。

本文研究先利用開源軟件Nginx模擬調(diào)試反向代理，對系統(tǒng)訪問的可用性、性能等方面進行測試，經(jīng)過試運行，初步達到本次研究目標(biāo)，再利用我?，F(xiàn)有相關(guān)軟硬件設(shè)備進行部署實施。利用防火墻實現(xiàn)訪問控制，用應(yīng)用交付設(shè)備網(wǎng)關(guān)實現(xiàn)代理，對信息系統(tǒng)進行簡單訪問地址改造。先通過單一系統(tǒng)的簡單改造測試后快速實現(xiàn)整體的割接。應(yīng)用只需要簡單的配置改造，同時實現(xiàn)后，大量節(jié)省目標(biāo)防護點人工工作量，減少購買多個證書費用，節(jié)約防護成本。

三、實現(xiàn)應(yīng)用

為保證網(wǎng)絡(luò)穩(wěn)定可靠，不改變網(wǎng)絡(luò)架構(gòu)情況下，在AF防火墻系統(tǒng)上啟用訪問控制策略功能，通過配置可實現(xiàn)地域、時間及IP地址等訪問限制。在防火墻旁掛T-Force ADC應(yīng)用交付設(shè)備，防火墻上DMZ區(qū)與ADC應(yīng)用控制網(wǎng)關(guān)通過透傳來實現(xiàn)需求，實現(xiàn)一對多訪問控制代理隱藏內(nèi)部網(wǎng)絡(luò)，確保穩(wěn)定安全的對外提供WEB服務(wù)。同時啟用ADC設(shè)備提供的輕量級WAF安全防護功能，能夠?qū)EB應(yīng)用系統(tǒng)主流的應(yīng)用層攻擊（如SQL注入、XXS攻擊及防掃描等）進行防護，可一定程度增加網(wǎng)絡(luò)安全防護能力。

當(dāng)用戶訪問主域名URL可訪問門戶網(wǎng)站，訪問其它內(nèi)網(wǎng)系統(tǒng)通過“主域名+/目錄”進行區(qū)分訪問，多個系統(tǒng)對應(yīng)多個目錄，取消原有二級域名以及對應(yīng)的IP地址和端口，實現(xiàn)互聯(lián)網(wǎng)暴露面壓減。另系統(tǒng)傳輸方式有HTTP與HTTPS兩種協(xié)議訪問模式，通過內(nèi)網(wǎng)統(tǒng)一改造HTTPS訪問，結(jié)合應(yīng)用交付設(shè)備的重定向配置，實現(xiàn)客戶端HTTPS統(tǒng)一訪問模式，提升網(wǎng)絡(luò)傳輸安全性。

根據(jù)實現(xiàn)思路，以教務(wù)管理系統(tǒng)為例進行實現(xiàn)改造。原訪問地址：jwglxt.xxxx.edu.cn獨立映射方式修改成反向代理模式：www.xxxx.edu.cn/jwglxt，配置條件：應(yīng)用交付控制系統(tǒng)ADC反向代理IP：192.168.2.3，端口開放80/443，教務(wù)管理系統(tǒng)后端內(nèi)網(wǎng)映射IP：192.168.4.180，端口443。具體步驟如下：

1. 修改原有教務(wù)管理系統(tǒng)的訪問路徑，使原有信息系統(tǒng)IP訪問變成IP+目錄的形式訪問。原系統(tǒng)訪問地址為https：//192.168.4.180/，修改后訪問為https：//192.168.4.180/jwglxt。

2. 新建反向代理，增加虛擬應(yīng)用IP地址，后續(xù)外網(wǎng)對外映射的內(nèi)部出口都將通過此地址流轉(zhuǎn)。

3. 配置要實現(xiàn)代理的教務(wù)管理系統(tǒng)的內(nèi)部地址及端口。

4. 配置要實現(xiàn)代理的信息系統(tǒng)的交互目錄。將HOST綁定為www.xxxx.edu.cn，完全匹配URL路徑/jwglxt。

5. 最后配置要代理信息系統(tǒng)的訪問重定向URL地址，并加入防跳轉(zhuǎn)策略，啟動虛擬服務(wù)。

6. 訪問測試：https：//www.xxxx.edu.cn/jwglxt，成功跳轉(zhuǎn)到教務(wù)系統(tǒng)頁面，登陸及操作一切正常。

同理，對數(shù)字化學(xué)習(xí)系統(tǒng)、教學(xué)質(zhì)量管理系統(tǒng)、實習(xí)管理系統(tǒng)、招生網(wǎng)、就業(yè)指導(dǎo)與服務(wù)管理系統(tǒng)等其它12個系統(tǒng)進行改造配置。完成后，為方便師生訪問，制作統(tǒng)一系統(tǒng)應(yīng)用入口頁面，將各系統(tǒng)的鏈接進行修改，后續(xù)師生訪問各系統(tǒng)只需要登陸門戶網(wǎng)站就可以訪問各系統(tǒng)。改造后具體情況如下：

四、結(jié)語

項目實施后，運行效果良好，師生訪問學(xué)校的應(yīng)用系統(tǒng)更加方便快捷，同時也實現(xiàn)了校園互聯(lián)網(wǎng)暴露面的有效壓減目標(biāo)，由原來暴露互聯(lián)網(wǎng)域名（含二級域名）13個，公網(wǎng)IP地址13個，端口48個，壓減到只有1個主域名，公網(wǎng)IP地址1個，端口3個，全部改造為https訪問，提升網(wǎng)絡(luò)傳輸安全性，ssl證書也只需配置1個，節(jié)約防護成本，提升學(xué)校信息系統(tǒng)的網(wǎng)絡(luò)防護能力，大量節(jié)省目標(biāo)防護點人工工作量。

參考文獻：

[1] 彭新哲.高校網(wǎng)站群管理平臺有效整合資源[J].中國教育網(wǎng)絡(luò)，2010（7）：78-79.

[2] 康志輝.基于反向代理的資源服務(wù)器重定向技術(shù)研究[J].西安文理學(xué)院學(xué)報：自然科學(xué)版，2017，20（1）：88-91.

[3] 馮貴蘭，李正楠.Nginx反向代理在高校網(wǎng)站系統(tǒng)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，0（6）：111-111.

作者簡介：郭世聰（1981-03），男，漢族，廣東省廣州市人，吉林大學(xué)軟件工程碩士，工程師，研究方向：信息化與網(wǎng)絡(luò)安全