中國人民大學(xué)利用代理技術(shù)化解信息發(fā)布管理難題

文/馬迎 張丹東

中國人民大學(xué)利用代理技術(shù)化解信息發(fā)布管理難題

文/馬迎 張丹東

高校面臨眾多的信息發(fā)布系統(tǒng)以及圖書館數(shù)字資源訪問的管理和監(jiān)控不完備等問題，為此采用信息發(fā)布與資源訪問統(tǒng)一管理方案，提供校內(nèi)Web服務(wù)器的網(wǎng)絡(luò)安全保障，同時便于Web服務(wù)器及數(shù)字化圖書資源的有效監(jiān)管，為信息化安全及管理提供技術(shù)保障和數(shù)據(jù)支撐。

隨著學(xué)校信息化建設(shè)的不斷深化，為了更好地進(jìn)行信息公開、共享，學(xué)校各部門部署、發(fā)布了各類公開網(wǎng)站約600余個，這些系統(tǒng)在教學(xué)、科研和管理中發(fā)揮著各自的重要作用，各網(wǎng)站以往由各部門分別獨(dú)立管理，常會出現(xiàn)以下問題：

配置教育網(wǎng)或運(yùn)營商網(wǎng)絡(luò)地址的高性能Web服務(wù)器存儲很多重要信息資源，暴露在公網(wǎng)中，又由于各系統(tǒng)維護(hù)人員的技術(shù)水平參差不齊，服務(wù)響應(yīng)速度不及時，網(wǎng)站的系統(tǒng)漏洞、安全隱患，很容易被校外黑客探測到成為被攻擊的對象或 “肉雞”，發(fā)生信息被竊取、系統(tǒng)遭受攻擊癱瘓，或者流量異常導(dǎo)致局部或全網(wǎng)用戶無法正常訪問的惡性事件，這是部分高校都經(jīng)歷過的事件。另外，缺乏對校園網(wǎng)站的整體管理，無法從整體上了解各網(wǎng)站的運(yùn)行狀況、訪問狀況如何。

數(shù)字圖書資源已經(jīng)成為高校師生學(xué)習(xí)、科研的主要信息來源，大部分的圖書館數(shù)字資源部署在各商家，學(xué)校購買使用權(quán)，校內(nèi)用戶無需認(rèn)證直接訪問數(shù)字化圖書資源，也就無法達(dá)到對使用者的管理，也無法對惡性下載等事件提供有效的預(yù)防措施；另外對數(shù)字資源的訪問量、使用率無從了解，無法從整體上了解用戶的使用狀況。

解決校內(nèi)資源發(fā)布管理難題

為了保護(hù)原暴露在公網(wǎng)中的Web服務(wù)器，我們在想校內(nèi)服務(wù)器是否也可以如同校內(nèi)用戶一樣采用私網(wǎng)地址避免遭受到外網(wǎng)網(wǎng)絡(luò)層主動攻擊？為此采用私網(wǎng)IP地址替換校內(nèi)各信息發(fā)布系統(tǒng)原真實(shí)IP地址。我們采用信息發(fā)布管理系統(tǒng)對校內(nèi)Web服務(wù)進(jìn)行統(tǒng)一管理，信息發(fā)布管理系統(tǒng)主要采用反向代理技術(shù)。反向代理是指由反向代理服務(wù)器首先接受到外網(wǎng)的訪問請求，并將此請求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的各信息系統(tǒng)，并將從信息系統(tǒng)中得到的訪問結(jié)果返回給外網(wǎng)上請求連接的用戶。

在信息發(fā)布管理系統(tǒng)中，用戶請求的域名與信息發(fā)布系統(tǒng)的私網(wǎng)IP地址關(guān)聯(lián)，在出口配置多個IP地址，這些地址來自不同運(yùn)營商。在域名服務(wù)器上，建立多組ACL和視圖，根據(jù)用戶IP地址所屬的運(yùn)營商不同，解析出所對應(yīng)的運(yùn)營商IP地址。

圖1 用戶訪問校內(nèi)Web資源的過程

信息發(fā)布管理系統(tǒng)訪問過程

1.用戶對校內(nèi)信息系統(tǒng)進(jìn)行http請求時，首先到域名服務(wù)器上進(jìn)行域名解析請求；

2.域名服務(wù)器根據(jù)用戶地址不同，解析出信息發(fā)布管理系統(tǒng)的出口地址，此IP地址與用戶所在運(yùn)營商一致；

3.用戶訪問信息發(fā)布管理系統(tǒng)，也就是反向代理服務(wù)器；

4.信息發(fā)布管理系統(tǒng)接收到用戶請求之后，在其高速存儲中查找是否有緩存信息，如果有信息則返回給信息發(fā)布管理系統(tǒng)；

5.信息發(fā)布管理系統(tǒng)在高速緩存服務(wù)器中如果沒有搜索到相應(yīng)的資源則轉(zhuǎn)發(fā)用戶請求到Web服務(wù)器，Web服務(wù)器返回信息到信息發(fā)布管理系統(tǒng)中，并再保存一份緩存文件到高速緩存中；

6.信息發(fā)布管理系統(tǒng)把獲得的信息轉(zhuǎn)發(fā)給客戶端瀏覽器。

如圖1所示，在此過程中，用戶訪問Web服務(wù)器的模式?jīng)]有任何改變，用戶無感知。

信息發(fā)布管理系統(tǒng)具有的優(yōu)勢：

1.采用Nginx做底層開發(fā)。

Nginx是一種由俄羅斯的程序設(shè)計師Igor Sysoev所開發(fā)的輕量級高性能的具有Web 和反向代理功能的服務(wù)系統(tǒng)。因它的穩(wěn)定性、豐富的功能集、低系統(tǒng)資源的消耗而聞名。其特點(diǎn)是占有內(nèi)存少，并發(fā)能力強(qiáng)。百度、京東、新浪、網(wǎng)易、騰訊、淘寶等都有使用Nginx。Nginx做底層開發(fā)可以很好地滿足代理服務(wù)器使用性能。

2. Web服務(wù)器配置私網(wǎng)地址，避免了網(wǎng)絡(luò)層攻擊。

Web服務(wù)器由于設(shè)備性能強(qiáng)，又存儲重要數(shù)據(jù)的特點(diǎn)，一直都遭受黑客們的關(guān)注，安全事件層出不窮?？蛻舳擞蛎馕龅玫搅诵畔l(fā)布管理系統(tǒng)的IP地址，無法知道Web服務(wù)器的真實(shí)IP地址，且Web服務(wù)器的IP地址為私網(wǎng)地址，外網(wǎng)無法主動發(fā)起對Web服務(wù)器的網(wǎng)絡(luò)攻擊，對Web服務(wù)器起到了很好的保護(hù)作用，大大增加了Web服務(wù)器的安全性。

3.部署WAF增強(qiáng)應(yīng)用層安全防護(hù)。

Web服務(wù)器配置了私網(wǎng)地址，雖然避免了網(wǎng)絡(luò)層的外網(wǎng)攻擊，但是現(xiàn)在的攻擊主要是應(yīng)用層的破壞和攻擊。Web服務(wù)器存在的主要威脅包括：（1）利用Web服務(wù)器或者第三方組件漏洞，如Apache、IIS、CMS等；（2）利用邏輯漏洞，如SQL注入、XSS等；（3）流量攻擊，如CC攻擊、高頻掃描等。應(yīng)用層安全事件不斷發(fā)生。如SQL注入攻擊，利用Web應(yīng)用程序?qū)QL語句條件檢查過濾缺陷，進(jìn)行盜取數(shù)據(jù)的目的。原有的Web服務(wù)器各自獨(dú)立，大部分的Web服務(wù)器管理者沒有部署應(yīng)用層防護(hù)的意識，因此需要對應(yīng)用層的各類用戶請求進(jìn)行統(tǒng)一的內(nèi)容檢驗(yàn)和驗(yàn)證，確保其安全性和合法性。

Web應(yīng)用防火墻（ Web Application Firewall，WAF）是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的軟件。在信息發(fā)布管理系統(tǒng)統(tǒng)一部署WAF，對所有經(jīng)過Web服務(wù)器請求訪問進(jìn)行了應(yīng)用層數(shù)據(jù)檢驗(yàn)和過濾，保障了各Web服務(wù)器的應(yīng)用層安全，同時節(jié)省了各Web服務(wù)器分別部署WAF工作。

4.信息發(fā)布管理系統(tǒng)有利于細(xì)化管理。

校園600多個Web發(fā)布服務(wù)器，大部分Web服務(wù)器的運(yùn)行及訪問狀況沒有統(tǒng)計、記錄，無法知道歷史運(yùn)行狀況。信息發(fā)布管理系統(tǒng)對每個網(wǎng)站的訪問次數(shù)做以統(tǒng)計，記錄各網(wǎng)站的實(shí)時訪問流量，可以直觀看到各網(wǎng)站的上下行流量、訪問次數(shù)等的信息，有效了解各網(wǎng)站的運(yùn)行及活躍情況，對系統(tǒng)運(yùn)行有了全面掌握。

5. 解決了不同運(yùn)營商間互聯(lián)互通的問題，而且節(jié)省了大量公網(wǎng)的IP地址。

6. 對于需要及時關(guān)閉服務(wù)的信息系統(tǒng)，可以一鍵做到。只要在信息發(fā)布管理系統(tǒng)中，取消服務(wù)，指向說明界面，很好地向訪問者說明了問題。

7. 統(tǒng)一及時監(jiān)控各Web服務(wù)器狀態(tài)，出現(xiàn)問題及時以郵件、短信等方式告之管理人員。

8. 采用私網(wǎng)地址的Web服務(wù)器無法接受校外直接管理，服務(wù)器管理者可以通過校內(nèi)堡壘主機(jī)對服務(wù)器進(jìn)行管理，既解決了管理者外網(wǎng)管理服務(wù)器，又記錄了對堡壘主機(jī)的操作過程，訪問過程可回溯。

解決圖書館數(shù)字資源訪問的準(zhǔn)入問題

圖書館數(shù)字資源是高校師生需要獲得的最重要的信息資源，師生從網(wǎng)上訪問不斷豐富圖書館數(shù)字資源，這部分資源少部分部署在校內(nèi)，更多地是部署在校外。以往每年學(xué)校投入大量資金購買數(shù)字資源的使用權(quán)，校內(nèi)用戶可以直接訪問期刊資源庫，無需認(rèn)證，不記錄訪問過程，使圖書提供者對于期刊訪問情況無從了解，用戶非法惡意下載等行為也無法主動規(guī)避，只能事后追蹤查詢，不但影響了學(xué)校的聲譽(yù)，而且影響其他師生正常使用圖書館數(shù)字資源。

資源訪問管理系統(tǒng)采用正向代理技術(shù)，使用資源訪問管理系統(tǒng)的優(yōu)勢在于：

1. 采用nginx做底層開發(fā)，保證了訪問性能。

圖2 資源訪問系統(tǒng)

2. 進(jìn)行下載數(shù)量的限制，避免惡意下載的事件發(fā)生。

如圖2所示，在資源訪問管理系統(tǒng)中，對每個用戶的下載文獻(xiàn)的數(shù)量以及頻率加以限制，超出下載限制，不能再下載，系統(tǒng)并予以記錄，避免了惡意下載事件的發(fā)生。

3. 對資源訪問情況進(jìn)行統(tǒng)計。

資源訪問管理系統(tǒng)中分別記錄、統(tǒng)計各資源庫的訪問數(shù)量，對用戶下載資源行為進(jìn)行記錄，為各數(shù)據(jù)資源的使用次數(shù)、使用頻率、并發(fā)量等，提供有效的數(shù)據(jù)資料，為圖書館數(shù)字資源的購買，提供有效數(shù)據(jù)，對于鮮有人訪問的數(shù)據(jù)庫，可以減少購買量。

4. 不需要安裝客戶端。

以往使用用戶使用VPN可以實(shí)現(xiàn)在外網(wǎng)訪問圖書館數(shù)字資源，但是有20%左右的資源無法通過Web方式訪問，需要下載客戶端才能訪問。主要原因是這部分圖書館資源有防盜鏈技術(shù)，資源訪問系統(tǒng)與每個資源進(jìn)行對接，無需安裝客戶端，實(shí)現(xiàn)對資源全部訪問，提升用戶體驗(yàn)。

校內(nèi)信息系統(tǒng)發(fā)布管理平臺和資源訪問管理平臺有效提升了用戶對資源訪問的體驗(yàn)，對訪問資源的保護(hù)以及對訪問數(shù)據(jù)量有更精細(xì)化、數(shù)據(jù)化的記錄，為管理者和決策者的管理提供了重要的數(shù)據(jù)依據(jù)，保障了校園信息化更好地持續(xù)發(fā)展。

（責(zé)編：楊燕婷）

（作者單位為中國人民大學(xué)）