基于校園互聯(lián)網(wǎng)暴露面壓減的研究與實(shí)踐

郭世聰 冼轉(zhuǎn)基

摘要：隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全的形勢(shì)也日趨嚴(yán)峻。近年來(lái)，校園網(wǎng)站、信息系統(tǒng)已經(jīng)逐漸成為攻擊者關(guān)注的重點(diǎn)目標(biāo)。本文主要研究在現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下，盡可能減少投入和應(yīng)用改造成本的情況下，通過(guò)反向代理的方式實(shí)現(xiàn)信息系統(tǒng)的統(tǒng)一訪問(wèn)路徑，并通過(guò)現(xiàn)有的設(shè)備進(jìn)行改造實(shí)現(xiàn)，減少了暴露互聯(lián)網(wǎng)的公網(wǎng)ip地址及端口數(shù)量，達(dá)到節(jié)省目標(biāo)防護(hù)點(diǎn)人工工作量，節(jié)約防護(hù)成本的目標(biāo)，具有一定的應(yīng)用和推廣價(jià)值。

關(guān)鍵詞：校園網(wǎng)絡(luò)安全;暴露互聯(lián)網(wǎng);代理;安全防護(hù)

一、背景與現(xiàn)狀

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全的形勢(shì)也日趨嚴(yán)峻。校園網(wǎng)絡(luò)出口的應(yīng)用越來(lái)越多，不當(dāng)作為對(duì)外展示的窗口，也為校內(nèi)外的各類人員提供豐富應(yīng)用。同時(shí)由于系統(tǒng)的獨(dú)立建設(shè)、分散部署等原因，導(dǎo)致每增加一個(gè)系統(tǒng)，需要增加一個(gè)二級(jí)域名，同時(shí)配置一個(gè)新的公網(wǎng)ip地址，有些系統(tǒng)可能還增加了多個(gè)服務(wù)端口，隨著也帶來(lái)了一系列的安全問(wèn)題，暴露面越廣，攻擊點(diǎn)也就越多，安全隱患也隨著增加。特別近年來(lái)，校園網(wǎng)站、信息系統(tǒng)已經(jīng)逐漸成為攻擊者關(guān)注的重點(diǎn)目標(biāo)，受到的網(wǎng)絡(luò)安全攻擊不斷增加，如網(wǎng)站掛馬、網(wǎng)頁(yè)篡改、DDoS攻擊等事件層出不窮，造成信息數(shù)據(jù)泄露、訪問(wèn)受限等事件屢有發(fā)生，校園網(wǎng)站的安全保障工作刻不容緩。

本文研究重點(diǎn)在外網(wǎng)系統(tǒng)的壓減集約。原有我校暴露互聯(lián)網(wǎng)的網(wǎng)站、信息系統(tǒng)采用獨(dú)立二級(jí)域名部署方式。如：門戶網(wǎng)站采用主域名www.xxxx.edu.cn，對(duì)應(yīng)IP地址xxx.xxx.xxx.001，端口80，443;招生網(wǎng)采用二級(jí)域名zs.xxxx.edu.cn，對(duì)應(yīng)IP地址002，端口80，443;教務(wù)管理系統(tǒng)采用二級(jí)域名jwxt.xxxx.edu.cn，對(duì)應(yīng)IP地址003，端口443。以此類推，共13個(gè)域名，涉及IP地址13個(gè)，端口數(shù)量48個(gè)。

二、研究思路

目前我校的暴露互聯(lián)網(wǎng)的信息系統(tǒng)繁多，存在管理難、整改難、弱口令管控難等問(wèn)題。很多系統(tǒng)由不同開發(fā)團(tuán)隊(duì)負(fù)責(zé)開發(fā)，使用的技術(shù)、架構(gòu)不同，一時(shí)難以把所有系統(tǒng)通過(guò)統(tǒng)一框架進(jìn)行整合或合并，對(duì)互聯(lián)網(wǎng)暴露面壓減存在難度。根據(jù)網(wǎng)絡(luò)安全管控要求，只有解決IT資產(chǎn)暴露問(wèn)題，盡量減少暴露公網(wǎng)的域名、IP地址和端口，有效壓減暴露面，才能集中力量進(jìn)行防護(hù)，保障學(xué)校的網(wǎng)絡(luò)安全。

根據(jù)這一思路，前期組織對(duì)現(xiàn)存的外網(wǎng)網(wǎng)站、信息系統(tǒng)及相應(yīng)的IT資產(chǎn)進(jìn)行全面的分析梳理，形成系統(tǒng)清單。對(duì)照清單，研究方向定位在不改變?cè)械木W(wǎng)絡(luò)拓?fù)浼軜?gòu)上，利用開源代理軟件及現(xiàn)有網(wǎng)絡(luò)設(shè)備，使用免費(fèi)證書，利用反向代理及訪問(wèn)限制策略功能，用戶在瀏覽器輸入：域名+/目錄的方式（www.xxxx.edu.cn/應(yīng)用命名）訪問(wèn)到各個(gè)系統(tǒng)，起到減少暴露互聯(lián)網(wǎng)的域名、IP地址以及端口的作用，同時(shí)加強(qiáng)Web應(yīng)用系統(tǒng)的Web安全防護(hù)能力，能夠?qū)eb應(yīng)用系統(tǒng)主流的應(yīng)用層攻擊（如SQL注入和XSS攻擊）進(jìn)行防護(hù)，以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性和安全性，確保業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付。壓降后最終希望達(dá)到對(duì)于暴露互聯(lián)網(wǎng)的網(wǎng)站、信息系統(tǒng)只有1個(gè)主域名www.xxxx.edu.cn，對(duì)應(yīng)1個(gè)IP：xxx.xxx.xxx.001以及3個(gè)端口80，443和10001文件傳輸，所有二級(jí)域名以及對(duì)應(yīng)的IP地址全部關(guān)閉。

本文研究先利用開源軟件Nginx模擬調(diào)試反向代理，對(duì)系統(tǒng)訪問(wèn)的可用性、性能等方面進(jìn)行測(cè)試，經(jīng)過(guò)試運(yùn)行，初步達(dá)到本次研究目標(biāo)，再利用我校現(xiàn)有相關(guān)軟硬件設(shè)備進(jìn)行部署實(shí)施。利用防火墻實(shí)現(xiàn)訪問(wèn)控制，用應(yīng)用交付設(shè)備網(wǎng)關(guān)實(shí)現(xiàn)代理，對(duì)信息系統(tǒng)進(jìn)行簡(jiǎn)單訪問(wèn)地址改造。先通過(guò)單一系統(tǒng)的簡(jiǎn)單改造測(cè)試后快速實(shí)現(xiàn)整體的割接。應(yīng)用只需要簡(jiǎn)單的配置改造，同時(shí)實(shí)現(xiàn)后，大量節(jié)省目標(biāo)防護(hù)點(diǎn)人工工作量，減少購(gòu)買多個(gè)證書費(fèi)用，節(jié)約防護(hù)成本。

三、實(shí)現(xiàn)應(yīng)用

為保證網(wǎng)絡(luò)穩(wěn)定可靠，不改變網(wǎng)絡(luò)架構(gòu)情況下，在AF防火墻系統(tǒng)上啟用訪問(wèn)控制策略功能，通過(guò)配置可實(shí)現(xiàn)地域、時(shí)間及IP地址等訪問(wèn)限制。在防火墻旁掛T-Force ADC應(yīng)用交付設(shè)備，防火墻上DMZ區(qū)與ADC應(yīng)用控制網(wǎng)關(guān)通過(guò)透?jìng)鱽?lái)實(shí)現(xiàn)需求，實(shí)現(xiàn)一對(duì)多訪問(wèn)控制代理隱藏內(nèi)部網(wǎng)絡(luò)，確保穩(wěn)定安全的對(duì)外提供WEB服務(wù)。同時(shí)啟用ADC設(shè)備提供的輕量級(jí)WAF安全防護(hù)功能，能夠?qū)EB應(yīng)用系統(tǒng)主流的應(yīng)用層攻擊（如SQL注入、XXS攻擊及防掃描等）進(jìn)行防護(hù)，可一定程度增加網(wǎng)絡(luò)安全防護(hù)能力。

當(dāng)用戶訪問(wèn)主域名URL可訪問(wèn)門戶網(wǎng)站，訪問(wèn)其它內(nèi)網(wǎng)系統(tǒng)通過(guò)“主域名+/目錄”進(jìn)行區(qū)分訪問(wèn)，多個(gè)系統(tǒng)對(duì)應(yīng)多個(gè)目錄，取消原有二級(jí)域名以及對(duì)應(yīng)的IP地址和端口，實(shí)現(xiàn)互聯(lián)網(wǎng)暴露面壓減。另系統(tǒng)傳輸方式有HTTP與HTTPS兩種協(xié)議訪問(wèn)模式，通過(guò)內(nèi)網(wǎng)統(tǒng)一改造HTTPS訪問(wèn)，結(jié)合應(yīng)用交付設(shè)備的重定向配置，實(shí)現(xiàn)客戶端HTTPS統(tǒng)一訪問(wèn)模式，提升網(wǎng)絡(luò)傳輸安全性。

根據(jù)實(shí)現(xiàn)思路，以教務(wù)管理系統(tǒng)為例進(jìn)行實(shí)現(xiàn)改造。原訪問(wèn)地址：jwglxt.xxxx.edu.cn獨(dú)立映射方式修改成反向代理模式：www.xxxx.edu.cn/jwglxt，配置條件：應(yīng)用交付控制系統(tǒng)ADC反向代理IP：192.168.2.3，端口開放80/443，教務(wù)管理系統(tǒng)后端內(nèi)網(wǎng)映射IP：192.168.4.180，端口443。具體步驟如下：

1. 修改原有教務(wù)管理系統(tǒng)的訪問(wèn)路徑，使原有信息系統(tǒng)IP訪問(wèn)變成IP+目錄的形式訪問(wèn)。原系統(tǒng)訪問(wèn)地址為https：//192.168.4.180/，修改后訪問(wèn)為https：//192.168.4.180/jwglxt。

2. 新建反向代理，增加虛擬應(yīng)用IP地址，后續(xù)外網(wǎng)對(duì)外映射的內(nèi)部出口都將通過(guò)此地址流轉(zhuǎn)。

3. 配置要實(shí)現(xiàn)代理的教務(wù)管理系統(tǒng)的內(nèi)部地址及端口。

4. 配置要實(shí)現(xiàn)代理的信息系統(tǒng)的交互目錄。將HOST綁定為www.xxxx.edu.cn，完全匹配URL路徑/jwglxt。

5. 最后配置要代理信息系統(tǒng)的訪問(wèn)重定向URL地址，并加入防跳轉(zhuǎn)策略，啟動(dòng)虛擬服務(wù)。

6. 訪問(wèn)測(cè)試：https：//www.xxxx.edu.cn/jwglxt，成功跳轉(zhuǎn)到教務(wù)系統(tǒng)頁(yè)面，登陸及操作一切正常。

同理，對(duì)數(shù)字化學(xué)習(xí)系統(tǒng)、教學(xué)質(zhì)量管理系統(tǒng)、實(shí)習(xí)管理系統(tǒng)、招生網(wǎng)、就業(yè)指導(dǎo)與服務(wù)管理系統(tǒng)等其它12個(gè)系統(tǒng)進(jìn)行改造配置。完成后，為方便師生訪問(wèn)，制作統(tǒng)一系統(tǒng)應(yīng)用入口頁(yè)面，將各系統(tǒng)的鏈接進(jìn)行修改，后續(xù)師生訪問(wèn)各系統(tǒng)只需要登陸門戶網(wǎng)站就可以訪問(wèn)各系統(tǒng)。改造后具體情況如下：

四、結(jié)語(yǔ)

項(xiàng)目實(shí)施后，運(yùn)行效果良好，師生訪問(wèn)學(xué)校的應(yīng)用系統(tǒng)更加方便快捷，同時(shí)也實(shí)現(xiàn)了校園互聯(lián)網(wǎng)暴露面的有效壓減目標(biāo)，由原來(lái)暴露互聯(lián)網(wǎng)域名（含二級(jí)域名）13個(gè)，公網(wǎng)IP地址13個(gè)，端口48個(gè)，壓減到只有1個(gè)主域名，公網(wǎng)IP地址1個(gè)，端口3個(gè)，全部改造為https訪問(wèn)，提升網(wǎng)絡(luò)傳輸安全性，ssl證書也只需配置1個(gè)，節(jié)約防護(hù)成本，提升學(xué)校信息系統(tǒng)的網(wǎng)絡(luò)防護(hù)能力，大量節(jié)省目標(biāo)防護(hù)點(diǎn)人工工作量。

參考文獻(xiàn)：

[1] 彭新哲.高校網(wǎng)站群管理平臺(tái)有效整合資源[J].中國(guó)教育網(wǎng)絡(luò)，2010（7）：78-79.

[2] 康志輝.基于反向代理的資源服務(wù)器重定向技術(shù)研究[J].西安文理學(xué)院學(xué)報(bào)：自然科學(xué)版，2017，20（1）：88-91.

[3] 馮貴蘭，李正楠.Nginx反向代理在高校網(wǎng)站系統(tǒng)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，0（6）：111-111.

作者簡(jiǎn)介：郭世聰（1981-03），男，漢族，廣東省廣州市人，吉林大學(xué)軟件工程碩士，工程師，研究方向：信息化與網(wǎng)絡(luò)安全