基于校园互联网暴露面压减的研究与实践
2021-01-10郭世聪冼转基
郭世聪 冼转基
摘要:随着互联网的高速发展,网络安全的形势也日趋严峻。近年来,校园网站、信息系统已经逐渐成为攻击者关注的重点目标。本文主要研究在现有网络拓扑结构下,尽可能减少投入和应用改造成本的情况下,通过反向代理的方式实现信息系统的统一访问路径,并通过现有的设备进行改造实现,减少了暴露互联网的公网ip地址及端口数量,达到节省目标防护点人工工作量,节约防护成本的目标,具有一定的应用和推广价值。
关键词:校园网络安全;暴露互联网;代理;安全防护
一、背景与现状
随着互联网的高速发展,网络安全的形势也日趋严峻。校园网络出口的应用越来越多,不当作为对外展示的窗口,也为校内外的各类人员提供丰富应用。同时由于系统的独立建设、分散部署等原因,导致每增加一个系统,需要增加一个二级域名,同时配置一个新的公网ip地址,有些系统可能还增加了多个服务端口,随着也带来了一系列的安全问题,暴露面越广,攻击点也就越多,安全隐患也随着增加。特别近年来,校园网站、信息系统已经逐渐成为攻击者关注的重点目标,受到的网络安全攻击不断增加,如网站挂马、网页篡改、DDoS攻击等事件层出不穷,造成信息数据泄露、访问受限等事件屡有发生,校园网站的安全保障工作刻不容缓。
本文研究重点在外网系统的压减集约。原有我校暴露互联网的网站、信息系统采用独立二级域名部署方式。如:门户网站采用主域名www.xxxx.edu.cn,对应IP地址xxx.xxx.xxx.001,端口80,443;招生网采用二级域名zs.xxxx.edu.cn,对应IP地址002,端口80,443;教务管理系统采用二级域名jwxt.xxxx.edu.cn,对应IP地址003,端口443。以此类推,共13个域名,涉及IP地址13个,端口数量48个。
二、研究思路
目前我校的暴露互联网的信息系统繁多,存在管理难、整改难、弱口令管控难等问题。很多系统由不同开发团队负责开发,使用的技术、架构不同,一时难以把所有系统通过统一框架进行整合或合并,对互联网暴露面压减存在难度。根据网络安全管控要求,只有解决IT资产暴露问题,尽量减少暴露公网的域名、IP地址和端口,有效压减暴露面,才能集中力量进行防护,保障学校的网络安全。
根据这一思路,前期组织对现存的外网网站、信息系统及相应的IT资产进行全面的分析梳理,形成系统清单。对照清单,研究方向定位在不改变原有的网络拓扑架构上,利用开源代理软件及现有网络设备,使用免费证书,利用反向代理及访问限制策略功能,用户在浏览器输入:域名+/目录的方式(www.xxxx.edu.cn/应用命名)访问到各个系统,起到减少暴露互联网的域名、IP地址以及端口的作用,同时加强Web应用系统的Web安全防护能力,能够对Web应用系统主流的应用层攻击(如SQL注入和XSS攻击)进行防护,以提高Web或网络协议应用的可用性和安全性,确保业务应用能够快速、安全、可靠地交付。压降后最终希望达到对于暴露互联网的网站、信息系统只有1个主域名www.xxxx.edu.cn,对应1个IP:xxx.xxx.xxx.001以及3个端口80,443和10001文件传输,所有二级域名以及对应的IP地址全部关闭。
本文研究先利用开源软件Nginx模拟调试反向代理,对系统访问的可用性、性能等方面进行测试,经过试运行,初步达到本次研究目标,再利用我校现有相关软硬件设备进行部署实施。利用防火墙实现访问控制,用应用交付设备网关实现代理,对信息系统进行简单访问地址改造。先通过单一系统的简单改造测试后快速实现整体的割接。应用只需要简单的配置改造,同时实现后,大量节省目标防护点人工工作量,减少购买多个证书费用,节约防护成本。
三、实现应用
为保证网络稳定可靠,不改变网络架构情况下,在AF防火墙系统上启用访问控制策略功能,通过配置可实现地域、时间及IP地址等访问限制。在防火墙旁挂T-Force ADC应用交付设备,防火墙上DMZ区与ADC应用控制网关通过透传来实现需求,实现一对多访问控制代理隐藏内部网络,确保稳定安全的对外提供WEB服务。同时启用ADC设备提供的轻量级WAF安全防护功能,能够对WEB应用系统主流的应用层攻击(如SQL注入、XXS攻击及防扫描等)进行防护,可一定程度增加网络安全防护能力。
当用户访问主域名URL可访问门户网站,访问其它内网系统通过“主域名+/目录”进行区分访问,多个系统对应多个目录,取消原有二级域名以及对应的IP地址和端口,实现互联网暴露面压减。另系统传输方式有HTTP与HTTPS两种协议访问模式,通过内网统一改造HTTPS访问,结合应用交付设备的重定向配置,实现客户端HTTPS统一访问模式,提升网络传输安全性。
根据实现思路,以教务管理系统为例进行实现改造。原访问地址:jwglxt.xxxx.edu.cn独立映射方式修改成反向代理模式:www.xxxx.edu.cn/jwglxt,配置条件:应用交付控制系统ADC反向代理IP:192.168.2.3,端口开放80/443,教务管理系统后端内网映射IP:192.168.4.180,端口443。具体步骤如下:
1. 修改原有教务管理系统的访问路径,使原有信息系统IP访问变成IP+目录的形式访问。原系统访问地址为https://192.168.4.180/,修改后访问为https://192.168.4.180/jwglxt。
2. 新建反向代理,增加虚拟应用IP地址,后续外网对外映射的内部出口都将通过此地址流转。
3. 配置要实现代理的教务管理系统的内部地址及端口。
4. 配置要实现代理的信息系统的交互目录。将HOST绑定为www.xxxx.edu.cn,完全匹配URL路径/jwglxt。
5. 最后配置要代理信息系统的访问重定向URL地址,并加入防跳转策略,启动虚拟服务。
6. 访问测试:https://www.xxxx.edu.cn/jwglxt,成功跳转到教务系统页面,登陆及操作一切正常。
同理,对数字化学习系统、教学质量管理系统、实习管理系统、招生网、就业指导与服务管理系统等其它12个系统进行改造配置。完成后,为方便师生访问,制作统一系统应用入口页面,将各系统的链接进行修改,后续师生访问各系统只需要登陆门户网站就可以访问各系统。改造后具体情况如下:
四、结语
项目实施后,运行效果良好,师生访问学校的应用系统更加方便快捷,同时也实现了校园互联网暴露面的有效压减目标,由原来暴露互联网域名(含二級域名)13个,公网IP地址13个,端口48个,压减到只有1个主域名,公网IP地址1个,端口3个,全部改造为https访问,提升网络传输安全性,ssl证书也只需配置1个,节约防护成本,提升学校信息系统的网络防护能力,大量节省目标防护点人工工作量。
参考文献:
[1] 彭新哲.高校网站群管理平台有效整合资源[J].中国教育网络,2010(7):78-79.
[2] 康志辉.基于反向代理的资源服务器重定向技术研究[J].西安文理学院学报:自然科学版,2017,20(1):88-91.
[3] 冯贵兰,李正楠.Nginx反向代理在高校网站系统中的应用研究[J].网络安全技术与应用,2017,0(6):111-111.
作者简介:郭世聪(1981-03),男,汉族,广东省广州市人,吉林大学软件工程硕士,工程师,研究方向:信息化与网络安全