基于安全代理網關的高校網絡安全探究

羅添耀

基于安全代理網關的高校網絡安全探究

羅添耀

（廣西國際商務職業技術學院，廣西 南寧 530007）

高校為滿足教學需求搭建了各類信息系統。在網絡安全形勢日益嚴峻的情況下，原本采用的VPN訪問內網信息系統資源的方式已經暴露出使用操作復雜、維護成本高、訪問權限控制不足等缺點。在多校區互聯、線上教學與校外遠程辦公需求下，如何解決信息系統訪問控制權限與使用的便利的矛盾，成為當下高校信息建設與網絡安全管理人員急需解決的問題。而通過部署安全代理網關，與學院統一身份認證融合，可以有效地解決訪問校內信息系統的安全控制問題。

安全代理網關；零信任；網絡安全

引言

在高校的不斷發展、校園規模不斷擴大、辦學呈現多校區辦學趨勢的背景下，在落實建設智慧校園的過程中為滿足教學的需求，信息系統不斷增加。受疫情、云化、數字化、移動化等因素影響，大量的高校開始嘗試開放大規模的教師遠程線上教學，與學生線上學習。但是在多校區甚至校外方位校內的信息系統開展線上教學面臨的網絡安全風險也隨之升級，攻防演練呈現常態化，暴露在互聯網的業務以及邊界防護設備成為主要攻擊目標。勒索態勢也愈演愈烈，中間件漏洞、終端釣魚成為主要入侵途徑。隨著遠程接入學校內網角色、終端和業務均逐漸走向多元化，遠程辦公與線上教學場景下的數據泄露風險激增。收縮互聯網暴露面、加強安全防護能力、以及數據防泄露能力的建設成為遠程辦公迫切需要解決的問題。

1 高校網絡安全現狀分析

1.1 網絡安全形勢

高校信息系統與數據資產在建設部署的時候為了有效利用現有的網絡硬件資源趨于集中化，但是信息系統與數據的集中意味著價值的集中，自然也成為攻擊者的首要攻擊目標。一方面，攻擊者大量利用弱口令、口令爆破等慣用伎倆，輕易突破高校網絡安全邊界。來自于校園網絡外部的攻擊，無論是基于登錄過程的用戶弱口令或密碼爆破，還是對于傳輸過程中的憑證截獲或偽造，其攻擊的根本目標是繞過或攻破校園網絡的訪問權限限制，其后在校園信息內部進行橫向攻擊破壞[1]。這種攻擊看似技術含量低，但卻是成功率較高的攻擊手段。另一方面，黑客不再滿足低效的網絡層的流量劫持和DDOS攻擊，轉而采用效率和隱蔽性更強，針對特定對象、長期、有計劃、有組織的定向攻擊方式。以APT為代表的高級攻擊層出不窮，其攻擊能力已超越了傳統網絡安全的防御能力，切不可掉以輕心。黑客可以很容易繞過網絡訪問策略進一步攻擊應用程序基礎結構。

1.2 校園信息系統安全問題

許多用戶的賬號往往采用默認密碼或弱密碼，存在長期不更新密碼，或者定期修改密碼的要求難以落實的情況。同時缺少必要的雙因素機制，同時賬號往往會主動或被動被他人使用，出現賬號共享行為。以上不安全因素導致密碼容易被冒用、泄露風險高、爆破成本低，進而導致業務被入侵。傳統的遠程接入方式有單獨的認證過程，往往與業務系統認證相互割裂，用戶認證體驗差。

學校除統采固定電腦終端外，還存在大量的BYOD終端，并且存在大量終端無法接入域控環境，學校難以對終端進行集中管理，往往存在終端軟件無法統一下發安裝，終端安全狀況良莠不齊。當終端可以同時訪問內網與互聯網的時候，容易導致因釣魚郵件、遠控木馬導致以終端為跳板對業務造成威脅。

學校建設數字化校園和線上教學與資源共享需求許多信息系統需要開放給校內外的師生使用訪問，并且越來越多的業務上云，導致很多業務暴露在公網，業務本身的脆弱性（如漏洞、弱密碼等）容易遭受黑客的攻擊。

學校信息化的快速發展導致校內越來越多的信息系統承載了業務重要的核心數據，在遠程辦公、在線教學、BYOD場景下，這些數據很容易被泄露并且對學校的業務造成損害。

學校安全區域內部存在過度信任，內部威脅監測和防護能力不足。在傳統邊界安全理念中網絡位置決定了信任程度，在安全區域邊界外的用戶默認是不可信的（不安全的）[2]，沒有較多訪問權限，邊界外用戶想要接入邊界內的網絡需要通過防火墻、VPN等安全機制[3]。安全區域內的用戶默認都是可信的（安全的），對邊界內用戶的操作不再做過多的行為監測，但是這就造成每個安全區域內部存在過度信任（認為是安全的，給予的權限過大）的問題。訪客、維保人員、來交流人員或者學校自己的教師攜帶BYOD設備訪問校園網絡以完成必要的工作任務，使校園內網的風險持續升高。

2 安全代理網關技術

2.1 零信任技術概念

Forrester是最早提出零信任（Zero Trust，ZT）概念的組織。其定義是：零信任是專注于數據保護的網絡安全范式。面對邊界安全的局限性，它提供了一組相對折中的安全思想：通過在信息系統和服務中對每個訪問請求執行精確的且最小的訪問權限，來最小化數據訪問風險的不確定性。默認不授予任何訪問信任，而是基于對訪問程序的不斷評估動態授予執行任務所需的最小特權，從而將資源限制為那些僅需要訪問的資源。

2.2 安全代理網關架構

零信任安全代理網關：此組件負責建立、監視及切斷訪問主體（用戶）和客體（應用）之間的連接。它與控制中心通信，從控制器接收策略和指令。零信任安全代理網關支持HTTPS代理訪問和SSL隧道代理訪問，同時零信任安全代理網關受SPA單包授權技術對設備本身的服務進行隱身保護，只有已授權的客戶端才能通過代理網關代理訪問業務，否則將無法連接代理網關對外放通的端口服務。由于所有流量都經過零信任安全代理網關，代理網關會記錄所有的訪問請求，包括源IP、目標IP以及訪問的URL的路徑，可進行日志審計，同時支持通過Syslog將零信任平臺的所有日志對接給第三方日志平臺。由于主體（用戶）通過網關訪問客體（應用）時流量被加密，且源IP、目標IP發生了變化，為了方便外部審計平臺對訪問請求進行行為分析，零信任安全代理網關同時可將明文流量鏡像發送給外部審計平臺，如WAF、SIP等，以便外部設備進行審計、分析。

零信任控制中心：該組件與安全代理網關搭配使用，負責認證、授權、策略管理與下發，是整體的調度與管理中心。負責控制建立連接和切斷主體（用戶）與客體（應用）之間的通信連接（通過給網關發送控制指命）。它生成用于訪問應用的身份驗證令牌或憑證用于客戶端訪問。控制中心支持自適應身份認證、動態權限控制，對接入的身份、終端、環境、行為進行信任評估，基于策略引擎配置的策略結果，決定最終允許或拒絕會話。如果會話被授權且請求已被認證，則控制器通知網關允許代理訪問。如果會話被拒絕（或之前的批準被拒絕），則控制器向網關發出指令以切斷連接。同時零信任控制中心受SPA單包授權技術對設備本身的服務進行隱身保護。只有已授權的客戶端接入，才能打開認證頁面，未授權的客戶端將無法接入控制中心對外提供的任何服務，認證頁面都無法打開。此外，零信任控制中心內置了UEM數據沙箱，保障接入時的終端數據安全。第三方組件識別的安全問題，如態勢感知平臺識別的流量攻擊行為、終端威脅管理平臺識別的終端威脅、或者DLP等數據管控平臺識別的數據泄露風險，可通過對外提供的WEB API接口，將上述風險上傳到零信任控制中心，作為風險輸入源，由零信任控制中心進行統一的信任評估和策略配置，來做對應的及時響應和阻斷，達到統一安全管控的效果。

2.3 終端安全機制

通過安全代理網關，管理員既可以對終端設置特定的終端環境基線，又可以針對不同業務、不同用戶群體設置特定的環境檢查標準，通過建設終端安全基線的形式來避免被動式的危險操作。用戶終端如果存在風險，接入業務服務器可能對業務服務器造成威脅，通過終端環境檢測，可確保用戶終端本身無風險時才允許接入，防止造成損失。

在終端可信應用的收集與檢測的作用下，通過用戶源IP反向收集終端進程指紋，根據進程名稱、進程簽名、指紋綜合持續信任評估判定可信應用與不可信應用。用戶終端上不可信的應用將被禁止發起對網站業務的訪問，從而實現應用級別的安全性。在B/S架構下，可通過可信應用將所有業務訪問限制于主流且合規的安全瀏覽器，如chrome、Microsoft Edge、FireFox，從而避免用戶終端存在盜版瀏覽器、木馬腳本等后臺進程在訪問期間進行惡意后臺操作的情況。在C/S架構下，可通過判斷進程簽名/HASH是否合法，來判斷用戶訪問業務的客戶端是否可信，確保用戶通過合法客戶端來進行訪問。

3 安裝部署

3.1 分離式部署實現方式

分離式部署是零信任的標準部署模式，即區分為控制中心和代理網關個組件，將控制面和數據面分離。其中控制中心主要用來實現用戶的認證、鑒權、策略下發和處置結果下發，負責所有的業務邏輯。代理網關主要用于做代理訪問，負責執行控制器下發的策略，并收集訪問請求的原始數據。具備有擴展性好，適用于用戶數及資源數較多的場景。實施時候一般采用單臂模式進行部署，是目前十分常用部署方式，不需要改變學校現有的網絡結構，可減少對信息系統業務的影響。部署時分別將控制中心和代理網關的業務口接入到內網交換機，然后由通過配置網絡路由讓所有訪問需要保護業務系統的流量均經過代理網關設備。實現用戶內外網應用統一訪問，不論是在內網還是外網，用戶訪問應用都需經零信任認證、鑒權和環境檢查后才可訪問。消除內外網邊界限定，加固業務系統安全性。

3.2 實施關鍵操作要點

根據學校組網的需求與零信任安全代理網關設備特性，零信任控制中心和安全代理網關旁掛部署在核心交換機上。部署設備時需要分配管理網和業務網兩個網段地址，管理網做設備運維和聯動，業務網做用戶認證和業務代理訪問。部署前需在核心交換機配置安全代理網關IP地址，零信任設備配置設備IP地址和默認路由，出口防火前需準備公網IP地址做地址映射。互聯網出口防火墻需映射控制中心設備的443端口（可更改）給用戶做認證、鑒權、策略管理和處置結果下發。映射代理網關設備443端口和441端口，其中443端口作為B/S應用對外訪問端口（可更改），441端口作為C/S應用功能對外訪問端口。代理網關負責執行控制器下發的策略，代理訪問各種資源，同時收集訪問請求的原始數據反饋給控制中心。內網的業務系統，需保證只允許代理網關地址訪問，其他地址無法訪問，保證所有用戶訪問業務系統時，必須經過零信任設備才可代理訪問。

登錄配置控制中心，配置好電腦的IP地址與控制中心設備同一網段后打開瀏覽器，輸入控制中心地址，輸入后會出現一個不安全提示“您的連接不是私密連接”，點擊繼續前往即可跳轉到控制中心的登錄界面。輸入賬號密碼登錄即可。

配置網絡接口和路由，在菜單系統管理/網絡部署/網絡接口中點擊新增選擇eth1，將預先分配的業務IP地址填入。同時給該網口配置一個名稱，例如內網口；網口接口：選擇需要配置的網口，例如eth1口；類別：選擇網口是LAN口還是WAN口，內網口選擇LAN口，外網口選擇WAN口；網口配置：配置需要的業務口地址和掩碼，配置完成后點擊保存，完成該網口配置。路由的配置需要進入系統管理/網絡部署/路由設置，點擊新增按鈕配置路由；配置一條到any的默認路由指向下一跳網關，該地址為環境準備列表中的默認網關地址，用于轉發零信任設備的數據，配置后即可接入客戶的內網實現正常的通信。配置客戶端接入地址用于給用戶接入認證的地址，同時也可用于客戶端的下載。可在系統管理/通用配置/客戶端接入設置中對客戶端接入地址進行配置。根據前面提供的控制中心IP配置為：https://IP地址：443。

將代理網關加入控制中心為最后且最關鍵的一步，操作步驟如下：第一步首先在控制中心獲取密鑰，用于在代理網關中填寫。第二步，登錄代理網關，驗證代理網關到控制中心的連通性，然后在系統管理/本機管理頁面，點擊加入控制中心，填寫本機名稱和控制中心地址。配置后即開始連接控制中心，連接成功后，等待控制中心審批。第三步，登錄控制中心在系統管理/代理網關/區域管理中點擊＋添加區域。在局域網訪問地址中填寫內網代理網關地址和端口。第四步，配置后點擊立即激活，然后在對話框中選擇所需的分區，最后點擊保存。

3.3 安全代理網關運行流程

3.3.1 內外網用戶接入認證流程

零信任設備控制中心和代理網關旁掛部署在核心交換機上，遠程接入的用戶，通過出口防火墻和核心交換機轉發，內網用戶通過內網交換機轉發。內外網辦公人員在瀏覽器輸入客戶端接入地址，登錄頁面輸入用戶賬號和密碼，流量經出口防火墻和核心交換機轉發至控制中心進行認證、鑒權和安全環境檢查，通過后用戶上線。

3.3.2 業務訪問流程

內外網辦公人員上線后，在應用中心頁面點擊或直接輸入需要訪問的應用地址。外網用戶經公網接入建立隧道，訪問業務地址，業務流量經客戶端轉發到代理網關公網地址，到達出口防火墻完成NAT轉換為內網地址，流量到代理網關后，轉發訪問業務服務器。內網用戶上線后，訪問業務系統，與外網用戶訪問業務的數據流不同的是，內網用戶不經過防火墻，而是客戶端直接轉發到經代理網關，代理網關代理轉發到業務系統進行應用訪問。

4 結束語

零信任機制的安全代理網關不僅可以收縮信息系統暴露面，避免業務直接暴露在互聯網，還可以使得教師和學生訪問校園資源與信息系統的時候無需使用客戶端程序和瀏覽器插件，在使用更安全、更方便的同時具有很好的兼容性和使用體驗。通過對接校內統一身份認證平臺，提高用戶的訪問速度，獲得與內網接近一致的訪問體驗，在高性能的硬件支持下，實現教師與學生在校內外可以大并發量無感知訪問校內的信息系統資源，進一步提升用戶體驗。在確保用戶能夠方便地接入信息系統的同時，還能有效阻斷來自終端的風險，避免信息系統用戶成為風險入口，為線上教學與遠程辦公提供了安全有效的網絡訪問保障。

[1] 田由輝. 基于零信任架構的網絡安全防護思路[J]. 信息技術與信息化，2020(5): 154-157.

[2] 王智超，張琳，徐吏明，等. 一種零信任網絡架構及構建方法: 中國，202110728731[P]. 2021-4-28.

[3] 杜朝暉. “互聯網+”背景下無邊界零信任網絡研究與應用[J]. 現代信息科技，2021，5(6): 153-157.

Research on University Network Security Based on Security Proxy Gateway

Colleges and universities have built various information systems to meet the needs of teaching. Under the increasingly severe situation of network security, the original way of VPN accessing to intranet information system resources has exposed the shortcomings of complex operation, high maintenance cost, insufficient access control and so on. Under the needs of multi-campus interconnection, Online teaching and off-campus remote office, how to solve the contradiction between access control authority and convenience of information system has become an urgent problem for information construction and network security management personnel in colleges anduniversities. By deploying the security proxy gateway and integrating with the unified identity authentication of the college, the security control problem of accessing the campus information system can be effectively solved.

security proxy gateway; zero trust; network security

TP393.08

A

1008-1151(2022)09-0025-03

2022-04-30

羅添耀（1985－），男，廣西國際商務職業技術學院工程師，研究方向為計算機網絡安全、高職教育信息化。