中國人民大學利用代理技術化解信息發布管理難題

文/馬迎 張丹東

中國人民大學利用代理技術化解信息發布管理難題

文/馬迎 張丹東

高校面臨眾多的信息發布系統以及圖書館數字資源訪問的管理和監控不完備等問題，為此采用信息發布與資源訪問統一管理方案，提供校內Web服務器的網絡安全保障，同時便于Web服務器及數字化圖書資源的有效監管，為信息化安全及管理提供技術保障和數據支撐。

隨著學校信息化建設的不斷深化，為了更好地進行信息公開、共享，學校各部門部署、發布了各類公開網站約600余個，這些系統在教學、科研和管理中發揮著各自的重要作用，各網站以往由各部門分別獨立管理，常會出現以下問題：

配置教育網或運營商網絡地址的高性能Web服務器存儲很多重要信息資源，暴露在公網中，又由于各系統維護人員的技術水平參差不齊，服務響應速度不及時，網站的系統漏洞、安全隱患，很容易被校外黑客探測到成為被攻擊的對象或 “肉雞”，發生信息被竊取、系統遭受攻擊癱瘓，或者流量異常導致局部或全網用戶無法正常訪問的惡性事件，這是部分高校都經歷過的事件。另外，缺乏對校園網站的整體管理，無法從整體上了解各網站的運行狀況、訪問狀況如何。

數字圖書資源已經成為高校師生學習、科研的主要信息來源，大部分的圖書館數字資源部署在各商家，學校購買使用權，校內用戶無需認證直接訪問數字化圖書資源，也就無法達到對使用者的管理，也無法對惡性下載等事件提供有效的預防措施；另外對數字資源的訪問量、使用率無從了解，無法從整體上了解用戶的使用狀況。

解決校內資源發布管理難題

為了保護原暴露在公網中的Web服務器，我們在想校內服務器是否也可以如同校內用戶一樣采用私網地址避免遭受到外網網絡層主動攻擊？為此采用私網IP地址替換校內各信息發布系統原真實IP地址。我們采用信息發布管理系統對校內Web服務進行統一管理，信息發布管理系統主要采用反向代理技術。反向代理是指由反向代理服務器首先接受到外網的訪問請求，并將此請求轉發給內網的各信息系統，并將從信息系統中得到的訪問結果返回給外網上請求連接的用戶。

在信息發布管理系統中，用戶請求的域名與信息發布系統的私網IP地址關聯，在出口配置多個IP地址，這些地址來自不同運營商。在域名服務器上，建立多組ACL和視圖，根據用戶IP地址所屬的運營商不同，解析出所對應的運營商IP地址。

圖1 用戶訪問校內Web資源的過程

信息發布管理系統訪問過程

1.用戶對校內信息系統進行http請求時，首先到域名服務器上進行域名解析請求；

2.域名服務器根據用戶地址不同，解析出信息發布管理系統的出口地址，此IP地址與用戶所在運營商一致；

3.用戶訪問信息發布管理系統，也就是反向代理服務器；

4.信息發布管理系統接收到用戶請求之后，在其高速存儲中查找是否有緩存信息，如果有信息則返回給信息發布管理系統；

5.信息發布管理系統在高速緩存服務器中如果沒有搜索到相應的資源則轉發用戶請求到Web服務器，Web服務器返回信息到信息發布管理系統中，并再保存一份緩存文件到高速緩存中；

6.信息發布管理系統把獲得的信息轉發給客戶端瀏覽器。

如圖1所示，在此過程中，用戶訪問Web服務器的模式沒有任何改變，用戶無感知。

信息發布管理系統具有的優勢：

1.采用Nginx做底層開發。

Nginx是一種由俄羅斯的程序設計師Igor Sysoev所開發的輕量級高性能的具有Web 和反向代理功能的服務系統。因它的穩定性、豐富的功能集、低系統資源的消耗而聞名。其特點是占有內存少，并發能力強。百度、京東、新浪、網易、騰訊、淘寶等都有使用Nginx。Nginx做底層開發可以很好地滿足代理服務器使用性能。

2. Web服務器配置私網地址，避免了網絡層攻擊。

Web服務器由于設備性能強，又存儲重要數據的特點，一直都遭受黑客們的關注，安全事件層出不窮。客戶端域名解析得到了信息發布管理系統的IP地址，無法知道Web服務器的真實IP地址，且Web服務器的IP地址為私網地址，外網無法主動發起對Web服務器的網絡攻擊，對Web服務器起到了很好的保護作用，大大增加了Web服務器的安全性。

3.部署WAF增強應用層安全防護。

Web服務器配置了私網地址，雖然避免了網絡層的外網攻擊，但是現在的攻擊主要是應用層的破壞和攻擊。Web服務器存在的主要威脅包括：（1）利用Web服務器或者第三方組件漏洞，如Apache、IIS、CMS等；（2）利用邏輯漏洞，如SQL注入、XSS等；（3）流量攻擊，如CC攻擊、高頻掃描等。應用層安全事件不斷發生。如SQL注入攻擊，利用Web應用程序對SQL語句條件檢查過濾缺陷，進行盜取數據的目的。原有的Web服務器各自獨立，大部分的Web服務器管理者沒有部署應用層防護的意識，因此需要對應用層的各類用戶請求進行統一的內容檢驗和驗證，確保其安全性和合法性。

Web應用防火墻（ Web Application Firewall，WAF）是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的軟件。在信息發布管理系統統一部署WAF，對所有經過Web服務器請求訪問進行了應用層數據檢驗和過濾，保障了各Web服務器的應用層安全，同時節省了各Web服務器分別部署WAF工作。

4.信息發布管理系統有利于細化管理。

校園600多個Web發布服務器，大部分Web服務器的運行及訪問狀況沒有統計、記錄，無法知道歷史運行狀況。信息發布管理系統對每個網站的訪問次數做以統計，記錄各網站的實時訪問流量，可以直觀看到各網站的上下行流量、訪問次數等的信息，有效了解各網站的運行及活躍情況，對系統運行有了全面掌握。

5. 解決了不同運營商間互聯互通的問題，而且節省了大量公網的IP地址。

6. 對于需要及時關閉服務的信息系統，可以一鍵做到。只要在信息發布管理系統中，取消服務，指向說明界面，很好地向訪問者說明了問題。

7. 統一及時監控各Web服務器狀態，出現問題及時以郵件、短信等方式告之管理人員。

8. 采用私網地址的Web服務器無法接受校外直接管理，服務器管理者可以通過校內堡壘主機對服務器進行管理，既解決了管理者外網管理服務器，又記錄了對堡壘主機的操作過程，訪問過程可回溯。

解決圖書館數字資源訪問的準入問題

圖書館數字資源是高校師生需要獲得的最重要的信息資源，師生從網上訪問不斷豐富圖書館數字資源，這部分資源少部分部署在校內，更多地是部署在校外。以往每年學校投入大量資金購買數字資源的使用權，校內用戶可以直接訪問期刊資源庫，無需認證，不記錄訪問過程，使圖書提供者對于期刊訪問情況無從了解，用戶非法惡意下載等行為也無法主動規避，只能事后追蹤查詢，不但影響了學校的聲譽，而且影響其他師生正常使用圖書館數字資源。

資源訪問管理系統采用正向代理技術，使用資源訪問管理系統的優勢在于：

1. 采用nginx做底層開發，保證了訪問性能。

圖2 資源訪問系統

2. 進行下載數量的限制，避免惡意下載的事件發生。

如圖2所示，在資源訪問管理系統中，對每個用戶的下載文獻的數量以及頻率加以限制，超出下載限制，不能再下載，系統并予以記錄，避免了惡意下載事件的發生。

3. 對資源訪問情況進行統計。

資源訪問管理系統中分別記錄、統計各資源庫的訪問數量，對用戶下載資源行為進行記錄，為各數據資源的使用次數、使用頻率、并發量等，提供有效的數據資料，為圖書館數字資源的購買，提供有效數據，對于鮮有人訪問的數據庫，可以減少購買量。

4. 不需要安裝客戶端。

以往使用用戶使用VPN可以實現在外網訪問圖書館數字資源，但是有20%左右的資源無法通過Web方式訪問，需要下載客戶端才能訪問。主要原因是這部分圖書館資源有防盜鏈技術，資源訪問系統與每個資源進行對接，無需安裝客戶端，實現對資源全部訪問，提升用戶體驗。

校內信息系統發布管理平臺和資源訪問管理平臺有效提升了用戶對資源訪問的體驗，對訪問資源的保護以及對訪問數據量有更精細化、數據化的記錄，為管理者和決策者的管理提供了重要的數據依據，保障了校園信息化更好地持續發展。

（責編：楊燕婷）

（作者單位為中國人民大學）