郭世聪 冼转基

摘要：随着互联网的高速发展，网络安全的形势也日趋严峻。近年来，校园网站、信息系统已经逐渐成为攻击者关注的重点目标。本文主要研究在现有网络拓扑结构下，尽可能减少投入和应用改造成本的情况下，通过反向代理的方式实现信息系统的统一访问路径，并通过现有的设备进行改造实现，减少了暴露互联网的公网ip地址及端口数量，达到节省目标防护点人工工作量，节约防护成本的目标，具有一定的应用和推广价值。

关键词：校园网络安全;暴露互联网;代理;安全防护

一、背景与现状

随着互联网的高速发展，网络安全的形势也日趋严峻。校园网络出口的应用越来越多，不当作为对外展示的窗口，也为校内外的各类人员提供丰富应用。同时由于系统的独立建设、分散部署等原因，导致每增加一个系统，需要增加一个二级域名，同时配置一个新的公网ip地址，有些系统可能还增加了多个服务端口，随着也带来了一系列的安全问题，暴露面越广，攻击点也就越多，安全隐患也随着增加。特别近年来，校园网站、信息系统已经逐渐成为攻击者关注的重点目标，受到的网络安全攻击不断增加，如网站挂马、网页篡改、DDoS攻击等事件层出不穷，造成信息数据泄露、访问受限等事件屡有发生，校园网站的安全保障工作刻不容缓。

本文研究重点在外网系统的压减集约。原有我校暴露互联网的网站、信息系统采用独立二级域名部署方式。如：门户网站采用主域名www.xxxx.edu.cn，对应IP地址xxx.xxx.xxx.001，端口80，443;招生网采用二级域名zs.xxxx.edu.cn，对应IP地址002，端口80，443;教务管理系统采用二级域名jwxt.xxxx.edu.cn，对应IP地址003，端口443。以此类推，共13个域名，涉及IP地址13个，端口数量48个。

二、研究思路

目前我校的暴露互联网的信息系统繁多，存在管理难、整改难、弱口令管控难等问题。很多系统由不同开发团队负责开发，使用的技术、架构不同，一时难以把所有系统通过统一框架进行整合或合并，对互联网暴露面压减存在难度。根据网络安全管控要求，只有解决IT资产暴露问题，尽量减少暴露公网的域名、IP地址和端口，有效压减暴露面，才能集中力量进行防护，保障学校的网络安全。

根据这一思路，前期组织对现存的外网网站、信息系统及相应的IT资产进行全面的分析梳理，形成系统清单。对照清单，研究方向定位在不改变原有的网络拓扑架构上，利用开源代理软件及现有网络设备，使用免费证书，利用反向代理及访问限制策略功能，用户在浏览器输入：域名+/目录的方式（www.xxxx.edu.cn/应用命名）访问到各个系统，起到减少暴露互联网的域名、IP地址以及端口的作用，同时加强Web应用系统的Web安全防护能力，能够对Web应用系统主流的应用层攻击（如SQL注入和XSS攻击）进行防护，以提高Web或网络协议应用的可用性和安全性，确保业务应用能够快速、安全、可靠地交付。压降后最终希望达到对于暴露互联网的网站、信息系统只有1个主域名www.xxxx.edu.cn，对应1个IP：xxx.xxx.xxx.001以及3个端口80，443和10001文件传输，所有二级域名以及对应的IP地址全部关闭。

本文研究先利用开源软件Nginx模拟调试反向代理，对系统访问的可用性、性能等方面进行测试，经过试运行，初步达到本次研究目标，再利用我校现有相关软硬件设备进行部署实施。利用防火墙实现访问控制，用应用交付设备网关实现代理，对信息系统进行简单访问地址改造。先通过单一系统的简单改造测试后快速实现整体的割接。应用只需要简单的配置改造，同时实现后，大量节省目标防护点人工工作量，减少购买多个证书费用，节约防护成本。

三、实现应用

为保证网络稳定可靠，不改变网络架构情况下，在AF防火墙系统上启用访问控制策略功能，通过配置可实现地域、时间及IP地址等访问限制。在防火墙旁挂T-Force ADC应用交付设备，防火墙上DMZ区与ADC应用控制网关通过透传来实现需求，实现一对多访问控制代理隐藏内部网络，确保稳定安全的对外提供WEB服务。同时启用ADC设备提供的轻量级WAF安全防护功能，能够对WEB应用系统主流的应用层攻击（如SQL注入、XXS攻击及防扫描等）进行防护，可一定程度增加网络安全防护能力。

当用户访问主域名URL可访问门户网站，访问其它内网系统通过“主域名+/目录”进行区分访问，多个系统对应多个目录，取消原有二级域名以及对应的IP地址和端口，实现互联网暴露面压减。另系统传输方式有HTTP与HTTPS两种协议访问模式，通过内网统一改造HTTPS访问，结合应用交付设备的重定向配置，实现客户端HTTPS统一访问模式，提升网络传输安全性。

根据实现思路，以教务管理系统为例进行实现改造。原访问地址：jwglxt.xxxx.edu.cn独立映射方式修改成反向代理模式：www.xxxx.edu.cn/jwglxt，配置条件：应用交付控制系统ADC反向代理IP：192.168.2.3，端口开放80/443，教务管理系统后端内网映射IP：192.168.4.180，端口443。具体步骤如下：

1. 修改原有教务管理系统的访问路径，使原有信息系统IP访问变成IP+目录的形式访问。原系统访问地址为https：//192.168.4.180/，修改后访问为https：//192.168.4.180/jwglxt。

2. 新建反向代理，增加虚拟应用IP地址，后续外网对外映射的内部出口都将通过此地址流转。

3. 配置要实现代理的教务管理系统的内部地址及端口。

4. 配置要实现代理的信息系统的交互目录。将HOST绑定为www.xxxx.edu.cn，完全匹配URL路径/jwglxt。

5. 最后配置要代理信息系统的访问重定向URL地址，并加入防跳转策略，启动虚拟服务。

6. 访问测试：https：//www.xxxx.edu.cn/jwglxt，成功跳转到教务系统页面，登陆及操作一切正常。

同理，对数字化学习系统、教学质量管理系统、实习管理系统、招生网、就业指导与服务管理系统等其它12个系统进行改造配置。完成后，为方便师生访问，制作统一系统应用入口页面，将各系统的链接进行修改，后续师生访问各系统只需要登陆门户网站就可以访问各系统。改造后具体情况如下：

四、结语

项目实施后，运行效果良好，师生访问学校的应用系统更加方便快捷，同时也实现了校园互联网暴露面的有效压减目标，由原来暴露互联网域名（含二級域名）13个，公网IP地址13个，端口48个，压减到只有1个主域名，公网IP地址1个，端口3个，全部改造为https访问，提升网络传输安全性，ssl证书也只需配置1个，节约防护成本，提升学校信息系统的网络防护能力，大量节省目标防护点人工工作量。

参考文献：

[1] 彭新哲.高校网站群管理平台有效整合资源[J].中国教育网络，2010（7）：78-79.

[2] 康志辉.基于反向代理的资源服务器重定向技术研究[J].西安文理学院学报：自然科学版，2017，20（1）：88-91.

[3] 冯贵兰，李正楠.Nginx反向代理在高校网站系统中的应用研究[J].网络安全技术与应用，2017，0（6）：111-111.

作者简介：郭世聪（1981-03），男，汉族，广东省广州市人，吉林大学软件工程硕士，工程师，研究方向：信息化与网络安全