基于安全代理網(wǎng)關的高校網(wǎng)絡安全探究

羅添耀

基于安全代理網(wǎng)關的高校網(wǎng)絡安全探究

羅添耀

（廣西國際商務職業(yè)技術學院，廣西 南寧 530007）

高校為滿足教學需求搭建了各類信息系統(tǒng)。在網(wǎng)絡安全形勢日益嚴峻的情況下，原本采用的VPN訪問內網(wǎng)信息系統(tǒng)資源的方式已經(jīng)暴露出使用操作復雜、維護成本高、訪問權限控制不足等缺點。在多校區(qū)互聯(lián)、線上教學與校外遠程辦公需求下，如何解決信息系統(tǒng)訪問控制權限與使用的便利的矛盾，成為當下高校信息建設與網(wǎng)絡安全管理人員急需解決的問題。而通過部署安全代理網(wǎng)關，與學院統(tǒng)一身份認證融合，可以有效地解決訪問校內信息系統(tǒng)的安全控制問題。

安全代理網(wǎng)關；零信任；網(wǎng)絡安全

引言

在高校的不斷發(fā)展、校園規(guī)模不斷擴大、辦學呈現(xiàn)多校區(qū)辦學趨勢的背景下，在落實建設智慧校園的過程中為滿足教學的需求，信息系統(tǒng)不斷增加。受疫情、云化、數(shù)字化、移動化等因素影響，大量的高校開始嘗試開放大規(guī)模的教師遠程線上教學，與學生線上學習。但是在多校區(qū)甚至校外方位校內的信息系統(tǒng)開展線上教學面臨的網(wǎng)絡安全風險也隨之升級，攻防演練呈現(xiàn)常態(tài)化，暴露在互聯(lián)網(wǎng)的業(yè)務以及邊界防護設備成為主要攻擊目標。勒索態(tài)勢也愈演愈烈，中間件漏洞、終端釣魚成為主要入侵途徑。隨著遠程接入學校內網(wǎng)角色、終端和業(yè)務均逐漸走向多元化，遠程辦公與線上教學場景下的數(shù)據(jù)泄露風險激增。收縮互聯(lián)網(wǎng)暴露面、加強安全防護能力、以及數(shù)據(jù)防泄露能力的建設成為遠程辦公迫切需要解決的問題。

1 高校網(wǎng)絡安全現(xiàn)狀分析

1.1 網(wǎng)絡安全形勢

高校信息系統(tǒng)與數(shù)據(jù)資產在建設部署的時候為了有效利用現(xiàn)有的網(wǎng)絡硬件資源趨于集中化，但是信息系統(tǒng)與數(shù)據(jù)的集中意味著價值的集中，自然也成為攻擊者的首要攻擊目標。一方面，攻擊者大量利用弱口令、口令爆破等慣用伎倆，輕易突破高校網(wǎng)絡安全邊界。來自于校園網(wǎng)絡外部的攻擊，無論是基于登錄過程的用戶弱口令或密碼爆破，還是對于傳輸過程中的憑證截獲或偽造，其攻擊的根本目標是繞過或攻破校園網(wǎng)絡的訪問權限限制，其后在校園信息內部進行橫向攻擊破壞[1]。這種攻擊看似技術含量低，但卻是成功率較高的攻擊手段。另一方面，黑客不再滿足低效的網(wǎng)絡層的流量劫持和DDOS攻擊，轉而采用效率和隱蔽性更強，針對特定對象、長期、有計劃、有組織的定向攻擊方式。以APT為代表的高級攻擊層出不窮，其攻擊能力已超越了傳統(tǒng)網(wǎng)絡安全的防御能力，切不可掉以輕心。黑客可以很容易繞過網(wǎng)絡訪問策略進一步攻擊應用程序基礎結構。

1.2 校園信息系統(tǒng)安全問題

許多用戶的賬號往往采用默認密碼或弱密碼，存在長期不更新密碼，或者定期修改密碼的要求難以落實的情況。同時缺少必要的雙因素機制，同時賬號往往會主動或被動被他人使用，出現(xiàn)賬號共享行為。以上不安全因素導致密碼容易被冒用、泄露風險高、爆破成本低，進而導致業(yè)務被入侵。傳統(tǒng)的遠程接入方式有單獨的認證過程，往往與業(yè)務系統(tǒng)認證相互割裂，用戶認證體驗差。

學校除統(tǒng)采固定電腦終端外，還存在大量的BYOD終端，并且存在大量終端無法接入域控環(huán)境，學校難以對終端進行集中管理，往往存在終端軟件無法統(tǒng)一下發(fā)安裝，終端安全狀況良莠不齊。當終端可以同時訪問內網(wǎng)與互聯(lián)網(wǎng)的時候，容易導致因釣魚郵件、遠控木馬導致以終端為跳板對業(yè)務造成威脅。

學校建設數(shù)字化校園和線上教學與資源共享需求許多信息系統(tǒng)需要開放給校內外的師生使用訪問，并且越來越多的業(yè)務上云，導致很多業(yè)務暴露在公網(wǎng)，業(yè)務本身的脆弱性（如漏洞、弱密碼等）容易遭受黑客的攻擊。

學校信息化的快速發(fā)展導致校內越來越多的信息系統(tǒng)承載了業(yè)務重要的核心數(shù)據(jù)，在遠程辦公、在線教學、BYOD場景下，這些數(shù)據(jù)很容易被泄露并且對學校的業(yè)務造成損害。

學校安全區(qū)域內部存在過度信任，內部威脅監(jiān)測和防護能力不足。在傳統(tǒng)邊界安全理念中網(wǎng)絡位置決定了信任程度，在安全區(qū)域邊界外的用戶默認是不可信的（不安全的）[2]，沒有較多訪問權限，邊界外用戶想要接入邊界內的網(wǎng)絡需要通過防火墻、VPN等安全機制[3]。安全區(qū)域內的用戶默認都是可信的（安全的），對邊界內用戶的操作不再做過多的行為監(jiān)測，但是這就造成每個安全區(qū)域內部存在過度信任（認為是安全的，給予的權限過大）的問題。訪客、維保人員、來交流人員或者學校自己的教師攜帶BYOD設備訪問校園網(wǎng)絡以完成必要的工作任務，使校園內網(wǎng)的風險持續(xù)升高。

2 安全代理網(wǎng)關技術

2.1 零信任技術概念

Forrester是最早提出零信任（Zero Trust，ZT）概念的組織。其定義是：零信任是專注于數(shù)據(jù)保護的網(wǎng)絡安全范式。面對邊界安全的局限性，它提供了一組相對折中的安全思想：通過在信息系統(tǒng)和服務中對每個訪問請求執(zhí)行精確的且最小的訪問權限，來最小化數(shù)據(jù)訪問風險的不確定性。默認不授予任何訪問信任，而是基于對訪問程序的不斷評估動態(tài)授予執(zhí)行任務所需的最小特權，從而將資源限制為那些僅需要訪問的資源。

2.2 安全代理網(wǎng)關架構

零信任安全代理網(wǎng)關：此組件負責建立、監(jiān)視及切斷訪問主體（用戶）和客體（應用）之間的連接。它與控制中心通信，從控制器接收策略和指令。零信任安全代理網(wǎng)關支持HTTPS代理訪問和SSL隧道代理訪問，同時零信任安全代理網(wǎng)關受SPA單包授權技術對設備本身的服務進行隱身保護，只有已授權的客戶端才能通過代理網(wǎng)關代理訪問業(yè)務，否則將無法連接代理網(wǎng)關對外放通的端口服務。由于所有流量都經(jīng)過零信任安全代理網(wǎng)關，代理網(wǎng)關會記錄所有的訪問請求，包括源IP、目標IP以及訪問的URL的路徑，可進行日志審計，同時支持通過Syslog將零信任平臺的所有日志對接給第三方日志平臺。由于主體（用戶）通過網(wǎng)關訪問客體（應用）時流量被加密，且源IP、目標IP發(fā)生了變化，為了方便外部審計平臺對訪問請求進行行為分析，零信任安全代理網(wǎng)關同時可將明文流量鏡像發(fā)送給外部審計平臺，如WAF、SIP等，以便外部設備進行審計、分析。

零信任控制中心：該組件與安全代理網(wǎng)關搭配使用，負責認證、授權、策略管理與下發(fā)，是整體的調度與管理中心。負責控制建立連接和切斷主體（用戶）與客體（應用）之間的通信連接（通過給網(wǎng)關發(fā)送控制指命）。它生成用于訪問應用的身份驗證令牌或憑證用于客戶端訪問。控制中心支持自適應身份認證、動態(tài)權限控制，對接入的身份、終端、環(huán)境、行為進行信任評估，基于策略引擎配置的策略結果，決定最終允許或拒絕會話。如果會話被授權且請求已被認證，則控制器通知網(wǎng)關允許代理訪問。如果會話被拒絕（或之前的批準被拒絕），則控制器向網(wǎng)關發(fā)出指令以切斷連接。同時零信任控制中心受SPA單包授權技術對設備本身的服務進行隱身保護。只有已授權的客戶端接入，才能打開認證頁面，未授權的客戶端將無法接入控制中心對外提供的任何服務，認證頁面都無法打開。此外，零信任控制中心內置了UEM數(shù)據(jù)沙箱，保障接入時的終端數(shù)據(jù)安全。第三方組件識別的安全問題，如態(tài)勢感知平臺識別的流量攻擊行為、終端威脅管理平臺識別的終端威脅、或者DLP等數(shù)據(jù)管控平臺識別的數(shù)據(jù)泄露風險，可通過對外提供的WEB API接口，將上述風險上傳到零信任控制中心，作為風險輸入源，由零信任控制中心進行統(tǒng)一的信任評估和策略配置，來做對應的及時響應和阻斷，達到統(tǒng)一安全管控的效果。

2.3 終端安全機制

通過安全代理網(wǎng)關，管理員既可以對終端設置特定的終端環(huán)境基線，又可以針對不同業(yè)務、不同用戶群體設置特定的環(huán)境檢查標準，通過建設終端安全基線的形式來避免被動式的危險操作。用戶終端如果存在風險，接入業(yè)務服務器可能對業(yè)務服務器造成威脅，通過終端環(huán)境檢測，可確保用戶終端本身無風險時才允許接入，防止造成損失。

在終端可信應用的收集與檢測的作用下，通過用戶源IP反向收集終端進程指紋，根據(jù)進程名稱、進程簽名、指紋綜合持續(xù)信任評估判定可信應用與不可信應用。用戶終端上不可信的應用將被禁止發(fā)起對網(wǎng)站業(yè)務的訪問，從而實現(xiàn)應用級別的安全性。在B/S架構下，可通過可信應用將所有業(yè)務訪問限制于主流且合規(guī)的安全瀏覽器，如chrome、Microsoft Edge、FireFox，從而避免用戶終端存在盜版瀏覽器、木馬腳本等后臺進程在訪問期間進行惡意后臺操作的情況。在C/S架構下，可通過判斷進程簽名/HASH是否合法，來判斷用戶訪問業(yè)務的客戶端是否可信，確保用戶通過合法客戶端來進行訪問。

3 安裝部署

3.1 分離式部署實現(xiàn)方式

分離式部署是零信任的標準部署模式，即區(qū)分為控制中心和代理網(wǎng)關個組件，將控制面和數(shù)據(jù)面分離。其中控制中心主要用來實現(xiàn)用戶的認證、鑒權、策略下發(fā)和處置結果下發(fā)，負責所有的業(yè)務邏輯。代理網(wǎng)關主要用于做代理訪問，負責執(zhí)行控制器下發(fā)的策略，并收集訪問請求的原始數(shù)據(jù)。具備有擴展性好，適用于用戶數(shù)及資源數(shù)較多的場景。實施時候一般采用單臂模式進行部署，是目前十分常用部署方式，不需要改變學校現(xiàn)有的網(wǎng)絡結構，可減少對信息系統(tǒng)業(yè)務的影響。部署時分別將控制中心和代理網(wǎng)關的業(yè)務口接入到內網(wǎng)交換機，然后由通過配置網(wǎng)絡路由讓所有訪問需要保護業(yè)務系統(tǒng)的流量均經(jīng)過代理網(wǎng)關設備。實現(xiàn)用戶內外網(wǎng)應用統(tǒng)一訪問，不論是在內網(wǎng)還是外網(wǎng)，用戶訪問應用都需經(jīng)零信任認證、鑒權和環(huán)境檢查后才可訪問。消除內外網(wǎng)邊界限定，加固業(yè)務系統(tǒng)安全性。

3.2 實施關鍵操作要點

根據(jù)學校組網(wǎng)的需求與零信任安全代理網(wǎng)關設備特性，零信任控制中心和安全代理網(wǎng)關旁掛部署在核心交換機上。部署設備時需要分配管理網(wǎng)和業(yè)務網(wǎng)兩個網(wǎng)段地址，管理網(wǎng)做設備運維和聯(lián)動，業(yè)務網(wǎng)做用戶認證和業(yè)務代理訪問。部署前需在核心交換機配置安全代理網(wǎng)關IP地址，零信任設備配置設備IP地址和默認路由，出口防火前需準備公網(wǎng)IP地址做地址映射。互聯(lián)網(wǎng)出口防火墻需映射控制中心設備的443端口（可更改）給用戶做認證、鑒權、策略管理和處置結果下發(fā)。映射代理網(wǎng)關設備443端口和441端口，其中443端口作為B/S應用對外訪問端口（可更改），441端口作為C/S應用功能對外訪問端口。代理網(wǎng)關負責執(zhí)行控制器下發(fā)的策略，代理訪問各種資源，同時收集訪問請求的原始數(shù)據(jù)反饋給控制中心。內網(wǎng)的業(yè)務系統(tǒng)，需保證只允許代理網(wǎng)關地址訪問，其他地址無法訪問，保證所有用戶訪問業(yè)務系統(tǒng)時，必須經(jīng)過零信任設備才可代理訪問。

登錄配置控制中心，配置好電腦的IP地址與控制中心設備同一網(wǎng)段后打開瀏覽器，輸入控制中心地址，輸入后會出現(xiàn)一個不安全提示“您的連接不是私密連接”，點擊繼續(xù)前往即可跳轉到控制中心的登錄界面。輸入賬號密碼登錄即可。

配置網(wǎng)絡接口和路由，在菜單系統(tǒng)管理/網(wǎng)絡部署/網(wǎng)絡接口中點擊新增選擇eth1，將預先分配的業(yè)務IP地址填入。同時給該網(wǎng)口配置一個名稱，例如內網(wǎng)口；網(wǎng)口接口：選擇需要配置的網(wǎng)口，例如eth1口；類別：選擇網(wǎng)口是LAN口還是WAN口，內網(wǎng)口選擇LAN口，外網(wǎng)口選擇WAN口；網(wǎng)口配置：配置需要的業(yè)務口地址和掩碼，配置完成后點擊保存，完成該網(wǎng)口配置。路由的配置需要進入系統(tǒng)管理/網(wǎng)絡部署/路由設置，點擊新增按鈕配置路由；配置一條到any的默認路由指向下一跳網(wǎng)關，該地址為環(huán)境準備列表中的默認網(wǎng)關地址，用于轉發(fā)零信任設備的數(shù)據(jù)，配置后即可接入客戶的內網(wǎng)實現(xiàn)正常的通信。配置客戶端接入地址用于給用戶接入認證的地址，同時也可用于客戶端的下載?？稍谙到y(tǒng)管理/通用配置/客戶端接入設置中對客戶端接入地址進行配置。根據(jù)前面提供的控制中心IP配置為：https://IP地址：443。

將代理網(wǎng)關加入控制中心為最后且最關鍵的一步，操作步驟如下：第一步首先在控制中心獲取密鑰，用于在代理網(wǎng)關中填寫。第二步，登錄代理網(wǎng)關，驗證代理網(wǎng)關到控制中心的連通性，然后在系統(tǒng)管理/本機管理頁面，點擊加入控制中心，填寫本機名稱和控制中心地址。配置后即開始連接控制中心，連接成功后，等待控制中心審批。第三步，登錄控制中心在系統(tǒng)管理/代理網(wǎng)關/區(qū)域管理中點擊＋添加區(qū)域。在局域網(wǎng)訪問地址中填寫內網(wǎng)代理網(wǎng)關地址和端口。第四步，配置后點擊立即激活，然后在對話框中選擇所需的分區(qū)，最后點擊保存。

3.3 安全代理網(wǎng)關運行流程

3.3.1 內外網(wǎng)用戶接入認證流程

零信任設備控制中心和代理網(wǎng)關旁掛部署在核心交換機上，遠程接入的用戶，通過出口防火墻和核心交換機轉發(fā)，內網(wǎng)用戶通過內網(wǎng)交換機轉發(fā)。內外網(wǎng)辦公人員在瀏覽器輸入客戶端接入地址，登錄頁面輸入用戶賬號和密碼，流量經(jīng)出口防火墻和核心交換機轉發(fā)至控制中心進行認證、鑒權和安全環(huán)境檢查，通過后用戶上線。

3.3.2 業(yè)務訪問流程

內外網(wǎng)辦公人員上線后，在應用中心頁面點擊或直接輸入需要訪問的應用地址。外網(wǎng)用戶經(jīng)公網(wǎng)接入建立隧道，訪問業(yè)務地址，業(yè)務流量經(jīng)客戶端轉發(fā)到代理網(wǎng)關公網(wǎng)地址，到達出口防火墻完成NAT轉換為內網(wǎng)地址，流量到代理網(wǎng)關后，轉發(fā)訪問業(yè)務服務器。內網(wǎng)用戶上線后，訪問業(yè)務系統(tǒng)，與外網(wǎng)用戶訪問業(yè)務的數(shù)據(jù)流不同的是，內網(wǎng)用戶不經(jīng)過防火墻，而是客戶端直接轉發(fā)到經(jīng)代理網(wǎng)關，代理網(wǎng)關代理轉發(fā)到業(yè)務系統(tǒng)進行應用訪問。

4 結束語

零信任機制的安全代理網(wǎng)關不僅可以收縮信息系統(tǒng)暴露面，避免業(yè)務直接暴露在互聯(lián)網(wǎng)，還可以使得教師和學生訪問校園資源與信息系統(tǒng)的時候無需使用客戶端程序和瀏覽器插件，在使用更安全、更方便的同時具有很好的兼容性和使用體驗。通過對接校內統(tǒng)一身份認證平臺，提高用戶的訪問速度，獲得與內網(wǎng)接近一致的訪問體驗，在高性能的硬件支持下，實現(xiàn)教師與學生在校內外可以大并發(fā)量無感知訪問校內的信息系統(tǒng)資源，進一步提升用戶體驗。在確保用戶能夠方便地接入信息系統(tǒng)的同時，還能有效阻斷來自終端的風險，避免信息系統(tǒng)用戶成為風險入口，為線上教學與遠程辦公提供了安全有效的網(wǎng)絡訪問保障。

[1] 田由輝. 基于零信任架構的網(wǎng)絡安全防護思路[J]. 信息技術與信息化，2020(5): 154-157.

[2] 王智超，張琳，徐吏明，等. 一種零信任網(wǎng)絡架構及構建方法: 中國，202110728731[P]. 2021-4-28.

[3] 杜朝暉. “互聯(lián)網(wǎng)+”背景下無邊界零信任網(wǎng)絡研究與應用[J]. 現(xiàn)代信息科技，2021，5(6): 153-157.

Research on University Network Security Based on Security Proxy Gateway

Colleges and universities have built various information systems to meet the needs of teaching. Under the increasingly severe situation of network security, the original way of VPN accessing to intranet information system resources has exposed the shortcomings of complex operation, high maintenance cost, insufficient access control and so on. Under the needs of multi-campus interconnection, Online teaching and off-campus remote office, how to solve the contradiction between access control authority and convenience of information system has become an urgent problem for information construction and network security management personnel in colleges anduniversities. By deploying the security proxy gateway and integrating with the unified identity authentication of the college, the security control problem of accessing the campus information system can be effectively solved.

security proxy gateway; zero trust; network security

TP393.08

A

1008-1151(2022)09-0025-03

2022-04-30

羅添耀（1985－），男，廣西國際商務職業(yè)技術學院工程師，研究方向為計算機網(wǎng)絡安全、高職教育信息化。