基于校園互聯網暴露面壓減的研究與實踐

郭世聰 冼轉基

摘要：隨著互聯網的高速發展，網絡安全的形勢也日趨嚴峻。近年來，校園網站、信息系統已經逐漸成為攻擊者關注的重點目標。本文主要研究在現有網絡拓撲結構下，盡可能減少投入和應用改造成本的情況下，通過反向代理的方式實現信息系統的統一訪問路徑，并通過現有的設備進行改造實現，減少了暴露互聯網的公網ip地址及端口數量，達到節省目標防護點人工工作量，節約防護成本的目標，具有一定的應用和推廣價值。

關鍵詞：校園網絡安全;暴露互聯網;代理;安全防護

一、背景與現狀

隨著互聯網的高速發展，網絡安全的形勢也日趨嚴峻。校園網絡出口的應用越來越多，不當作為對外展示的窗口，也為校內外的各類人員提供豐富應用。同時由于系統的獨立建設、分散部署等原因，導致每增加一個系統，需要增加一個二級域名，同時配置一個新的公網ip地址，有些系統可能還增加了多個服務端口，隨著也帶來了一系列的安全問題，暴露面越廣，攻擊點也就越多，安全隱患也隨著增加。特別近年來，校園網站、信息系統已經逐漸成為攻擊者關注的重點目標，受到的網絡安全攻擊不斷增加，如網站掛馬、網頁篡改、DDoS攻擊等事件層出不窮，造成信息數據泄露、訪問受限等事件屢有發生，校園網站的安全保障工作刻不容緩。

本文研究重點在外網系統的壓減集約。原有我校暴露互聯網的網站、信息系統采用獨立二級域名部署方式。如：門戶網站采用主域名www.xxxx.edu.cn，對應IP地址xxx.xxx.xxx.001，端口80，443;招生網采用二級域名zs.xxxx.edu.cn，對應IP地址002，端口80，443;教務管理系統采用二級域名jwxt.xxxx.edu.cn，對應IP地址003，端口443。以此類推，共13個域名，涉及IP地址13個，端口數量48個。

二、研究思路

目前我校的暴露互聯網的信息系統繁多，存在管理難、整改難、弱口令管控難等問題。很多系統由不同開發團隊負責開發，使用的技術、架構不同，一時難以把所有系統通過統一框架進行整合或合并，對互聯網暴露面壓減存在難度。根據網絡安全管控要求，只有解決IT資產暴露問題，盡量減少暴露公網的域名、IP地址和端口，有效壓減暴露面，才能集中力量進行防護，保障學校的網絡安全。

根據這一思路，前期組織對現存的外網網站、信息系統及相應的IT資產進行全面的分析梳理，形成系統清單。對照清單，研究方向定位在不改變原有的網絡拓撲架構上，利用開源代理軟件及現有網絡設備，使用免費證書，利用反向代理及訪問限制策略功能，用戶在瀏覽器輸入：域名+/目錄的方式（www.xxxx.edu.cn/應用命名）訪問到各個系統，起到減少暴露互聯網的域名、IP地址以及端口的作用，同時加強Web應用系統的Web安全防護能力，能夠對Web應用系統主流的應用層攻擊（如SQL注入和XSS攻擊）進行防護，以提高Web或網絡協議應用的可用性和安全性，確保業務應用能夠快速、安全、可靠地交付。壓降后最終希望達到對于暴露互聯網的網站、信息系統只有1個主域名www.xxxx.edu.cn，對應1個IP：xxx.xxx.xxx.001以及3個端口80，443和10001文件傳輸，所有二級域名以及對應的IP地址全部關閉。

本文研究先利用開源軟件Nginx模擬調試反向代理，對系統訪問的可用性、性能等方面進行測試，經過試運行，初步達到本次研究目標，再利用我?，F有相關軟硬件設備進行部署實施。利用防火墻實現訪問控制，用應用交付設備網關實現代理，對信息系統進行簡單訪問地址改造。先通過單一系統的簡單改造測試后快速實現整體的割接。應用只需要簡單的配置改造，同時實現后，大量節省目標防護點人工工作量，減少購買多個證書費用，節約防護成本。

三、實現應用

為保證網絡穩定可靠，不改變網絡架構情況下，在AF防火墻系統上啟用訪問控制策略功能，通過配置可實現地域、時間及IP地址等訪問限制。在防火墻旁掛T-Force ADC應用交付設備，防火墻上DMZ區與ADC應用控制網關通過透傳來實現需求，實現一對多訪問控制代理隱藏內部網絡，確保穩定安全的對外提供WEB服務。同時啟用ADC設備提供的輕量級WAF安全防護功能，能夠對WEB應用系統主流的應用層攻擊（如SQL注入、XXS攻擊及防掃描等）進行防護，可一定程度增加網絡安全防護能力。

當用戶訪問主域名URL可訪問門戶網站，訪問其它內網系統通過“主域名+/目錄”進行區分訪問，多個系統對應多個目錄，取消原有二級域名以及對應的IP地址和端口，實現互聯網暴露面壓減。另系統傳輸方式有HTTP與HTTPS兩種協議訪問模式，通過內網統一改造HTTPS訪問，結合應用交付設備的重定向配置，實現客戶端HTTPS統一訪問模式，提升網絡傳輸安全性。

根據實現思路，以教務管理系統為例進行實現改造。原訪問地址：jwglxt.xxxx.edu.cn獨立映射方式修改成反向代理模式：www.xxxx.edu.cn/jwglxt，配置條件：應用交付控制系統ADC反向代理IP：192.168.2.3，端口開放80/443，教務管理系統后端內網映射IP：192.168.4.180，端口443。具體步驟如下：

1. 修改原有教務管理系統的訪問路徑，使原有信息系統IP訪問變成IP+目錄的形式訪問。原系統訪問地址為https：//192.168.4.180/，修改后訪問為https：//192.168.4.180/jwglxt。

2. 新建反向代理，增加虛擬應用IP地址，后續外網對外映射的內部出口都將通過此地址流轉。

3. 配置要實現代理的教務管理系統的內部地址及端口。

4. 配置要實現代理的信息系統的交互目錄。將HOST綁定為www.xxxx.edu.cn，完全匹配URL路徑/jwglxt。

5. 最后配置要代理信息系統的訪問重定向URL地址，并加入防跳轉策略，啟動虛擬服務。

6. 訪問測試：https：//www.xxxx.edu.cn/jwglxt，成功跳轉到教務系統頁面，登陸及操作一切正常。

同理，對數字化學習系統、教學質量管理系統、實習管理系統、招生網、就業指導與服務管理系統等其它12個系統進行改造配置。完成后，為方便師生訪問，制作統一系統應用入口頁面，將各系統的鏈接進行修改，后續師生訪問各系統只需要登陸門戶網站就可以訪問各系統。改造后具體情況如下：

四、結語

項目實施后，運行效果良好，師生訪問學校的應用系統更加方便快捷，同時也實現了校園互聯網暴露面的有效壓減目標，由原來暴露互聯網域名（含二級域名）13個，公網IP地址13個，端口48個，壓減到只有1個主域名，公網IP地址1個，端口3個，全部改造為https訪問，提升網絡傳輸安全性，ssl證書也只需配置1個，節約防護成本，提升學校信息系統的網絡防護能力，大量節省目標防護點人工工作量。

參考文獻：

[1] 彭新哲.高校網站群管理平臺有效整合資源[J].中國教育網絡，2010（7）：78-79.

[2] 康志輝.基于反向代理的資源服務器重定向技術研究[J].西安文理學院學報：自然科學版，2017，20（1）：88-91.

[3] 馮貴蘭，李正楠.Nginx反向代理在高校網站系統中的應用研究[J].網絡安全技術與應用，2017，0（6）：111-111.

作者簡介：郭世聰（1981-03），男，漢族，廣東省廣州市人，吉林大學軟件工程碩士，工程師，研究方向：信息化與網絡安全