基于安全代理网关的高校网络安全探究

罗添耀

基于安全代理网关的高校网络安全探究

罗添耀

（广西国际商务职业技术学院，广西 南宁 530007）

高校为满足教学需求搭建了各类信息系统。在网络安全形势日益严峻的情况下，原本采用的VPN访问内网信息系统资源的方式已经暴露出使用操作复杂、维护成本高、访问权限控制不足等缺点。在多校区互联、线上教学与校外远程办公需求下，如何解决信息系统访问控制权限与使用的便利的矛盾，成为当下高校信息建设与网络安全管理人员急需解决的问题。而通过部署安全代理网关，与学院统一身份认证融合，可以有效地解决访问校内信息系统的安全控制问题。

安全代理网关；零信任；网络安全

引言

在高校的不断发展、校园规模不断扩大、办学呈现多校区办学趋势的背景下，在落实建设智慧校园的过程中为满足教学的需求，信息系统不断增加。受疫情、云化、数字化、移动化等因素影响，大量的高校开始尝试开放大规模的教师远程线上教学，与学生线上学习。但是在多校区甚至校外方位校内的信息系统开展线上教学面临的网络安全风险也随之升级，攻防演练呈现常态化，暴露在互联网的业务以及边界防护设备成为主要攻击目标。勒索态势也愈演愈烈，中间件漏洞、终端钓鱼成为主要入侵途径。随着远程接入学校内网角色、终端和业务均逐渐走向多元化，远程办公与线上教学场景下的数据泄露风险激增。收缩互联网暴露面、加强安全防护能力、以及数据防泄露能力的建设成为远程办公迫切需要解决的问题。

1 高校网络安全现状分析

1.1 网络安全形势

高校信息系统与数据资产在建设部署的时候为了有效利用现有的网络硬件资源趋于集中化，但是信息系统与数据的集中意味着价值的集中，自然也成为攻击者的首要攻击目标。一方面，攻击者大量利用弱口令、口令爆破等惯用伎俩，轻易突破高校网络安全边界。来自于校园网络外部的攻击，无论是基于登录过程的用户弱口令或密码爆破，还是对于传输过程中的凭证截获或伪造，其攻击的根本目标是绕过或攻破校园网络的访问权限限制，其后在校园信息内部进行横向攻击破坏[1]。这种攻击看似技术含量低，但却是成功率较高的攻击手段。另一方面，黑客不再满足低效的网络层的流量劫持和DDOS攻击，转而采用效率和隐蔽性更强，针对特定对象、长期、有计划、有组织的定向攻击方式。以APT为代表的高级攻击层出不穷，其攻击能力已超越了传统网络安全的防御能力，切不可掉以轻心。黑客可以很容易绕过网络访问策略进一步攻击应用程序基础结构。

1.2 校园信息系统安全问题

许多用户的账号往往采用默认密码或弱密码，存在长期不更新密码，或者定期修改密码的要求难以落实的情况。同时缺少必要的双因素机制，同时账号往往会主动或被动被他人使用，出现账号共享行为。以上不安全因素导致密码容易被冒用、泄露风险高、爆破成本低，进而导致业务被入侵。传统的远程接入方式有单独的认证过程，往往与业务系统认证相互割裂，用户认证体验差。

学校除统采固定电脑终端外，还存在大量的BYOD终端，并且存在大量终端无法接入域控环境，学校难以对终端进行集中管理，往往存在终端软件无法统一下发安装，终端安全状况良莠不齐。当终端可以同时访问内网与互联网的时候，容易导致因钓鱼邮件、远控木马导致以终端为跳板对业务造成威胁。

学校建设数字化校园和线上教学与资源共享需求许多信息系统需要开放给校内外的师生使用访问，并且越来越多的业务上云，导致很多业务暴露在公网，业务本身的脆弱性（如漏洞、弱密码等）容易遭受黑客的攻击。

学校信息化的快速发展导致校内越来越多的信息系统承载了业务重要的核心数据，在远程办公、在线教学、BYOD场景下，这些数据很容易被泄露并且对学校的业务造成损害。

学校安全区域内部存在过度信任，内部威胁监测和防护能力不足。在传统边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的（不安全的）[2]，没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制[3]。安全区域内的用户默认都是可信的（安全的），对边界内用户的操作不再做过多的行为监测，但是这就造成每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。访客、维保人员、来交流人员或者学校自己的教师携带BYOD设备访问校园网络以完成必要的工作任务，使校园内网的风险持续升高。

2 安全代理网关技术

2.1 零信任技术概念

Forrester是最早提出零信任（Zero Trust，ZT）概念的组织。其定义是：零信任是专注于数据保护的网络安全范式。面对边界安全的局限性，它提供了一组相对折中的安全思想：通过在信息系统和服务中对每个访问请求执行精确的且最小的访问权限，来最小化数据访问风险的不确定性。默认不授予任何访问信任，而是基于对访问程序的不断评估动态授予执行任务所需的最小特权，从而将资源限制为那些仅需要访问的资源。

2.2 安全代理网关架构

零信任安全代理网关：此组件负责建立、监视及切断访问主体（用户）和客体（应用）之间的连接。它与控制中心通信，从控制器接收策略和指令。零信任安全代理网关支持HTTPS代理访问和SSL隧道代理访问，同时零信任安全代理网关受SPA单包授权技术对设备本身的服务进行隐身保护，只有已授权的客户端才能通过代理网关代理访问业务，否则将无法连接代理网关对外放通的端口服务。由于所有流量都经过零信任安全代理网关，代理网关会记录所有的访问请求，包括源IP、目标IP以及访问的URL的路径，可进行日志审计，同时支持通过Syslog将零信任平台的所有日志对接给第三方日志平台。由于主体（用户）通过网关访问客体（应用）时流量被加密，且源IP、目标IP发生了变化，为了方便外部审计平台对访问请求进行行为分析，零信任安全代理网关同时可将明文流量镜像发送给外部审计平台，如WAF、SIP等，以便外部设备进行审计、分析。

零信任控制中心：该组件与安全代理网关搭配使用，负责认证、授权、策略管理与下发，是整体的调度与管理中心。负责控制建立连接和切断主体（用户）与客体（应用）之间的通信连接（通过给网关发送控制指命）。它生成用于访问应用的身份验证令牌或凭证用于客户端访问。控制中心支持自适应身份认证、动态权限控制，对接入的身份、终端、环境、行为进行信任评估，基于策略引擎配置的策略结果，决定最终允许或拒绝会话。如果会话被授权且请求已被认证，则控制器通知网关允许代理访问。如果会话被拒绝（或之前的批准被拒绝），则控制器向网关发出指令以切断连接。同时零信任控制中心受SPA单包授权技术对设备本身的服务进行隐身保护。只有已授权的客户端接入，才能打开认证页面，未授权的客户端将无法接入控制中心对外提供的任何服务，认证页面都无法打开。此外，零信任控制中心内置了UEM数据沙箱，保障接入时的终端数据安全。第三方组件识别的安全问题，如态势感知平台识别的流量攻击行为、终端威胁管理平台识别的终端威胁、或者DLP等数据管控平台识别的数据泄露风险，可通过对外提供的WEB API接口，将上述风险上传到零信任控制中心，作为风险输入源，由零信任控制中心进行统一的信任评估和策略配置，来做对应的及时响应和阻断，达到统一安全管控的效果。

2.3 终端安全机制

通过安全代理网关，管理员既可以对终端设置特定的终端环境基线，又可以针对不同业务、不同用户群体设置特定的环境检查标准，通过建设终端安全基线的形式来避免被动式的危险操作。用户终端如果存在风险，接入业务服务器可能对业务服务器造成威胁，通过终端环境检测，可确保用户终端本身无风险时才允许接入，防止造成损失。

在终端可信应用的收集与检测的作用下，通过用户源IP反向收集终端进程指纹，根据进程名称、进程签名、指纹综合持续信任评估判定可信应用与不可信应用。用户终端上不可信的应用将被禁止发起对网站业务的访问，从而实现应用级别的安全性。在B/S架构下，可通过可信应用将所有业务访问限制于主流且合规的安全浏览器，如chrome、Microsoft Edge、FireFox，从而避免用户终端存在盗版浏览器、木马脚本等后台进程在访问期间进行恶意后台操作的情况。在C/S架构下，可通过判断进程签名/HASH是否合法，来判断用户访问业务的客户端是否可信，确保用户通过合法客户端来进行访问。

3 安装部署

3.1 分离式部署实现方式

分离式部署是零信任的标准部署模式，即区分为控制中心和代理网关个组件，将控制面和数据面分离。其中控制中心主要用来实现用户的认证、鉴权、策略下发和处置结果下发，负责所有的业务逻辑。代理网关主要用于做代理访问，负责执行控制器下发的策略，并收集访问请求的原始数据。具备有扩展性好，适用于用户数及资源数较多的场景。实施时候一般采用单臂模式进行部署，是目前十分常用部署方式，不需要改变学校现有的网络结构，可减少对信息系统业务的影响。部署时分别将控制中心和代理网关的业务口接入到内网交换机，然后由通过配置网络路由让所有访问需要保护业务系统的流量均经过代理网关设备。实现用户内外网应用统一访问，不论是在内网还是外网，用户访问应用都需经零信任认证、鉴权和环境检查后才可访问。消除内外网边界限定，加固业务系统安全性。

3.2 实施关键操作要点

根据学校组网的需求与零信任安全代理网关设备特性，零信任控制中心和安全代理网关旁挂部署在核心交换机上。部署设备时需要分配管理网和业务网两个网段地址，管理网做设备运维和联动，业务网做用户认证和业务代理访问。部署前需在核心交换机配置安全代理网关IP地址，零信任设备配置设备IP地址和默认路由，出口防火前需准备公网IP地址做地址映射。互联网出口防火墙需映射控制中心设备的443端口（可更改）给用户做认证、鉴权、策略管理和处置结果下发。映射代理网关设备443端口和441端口，其中443端口作为B/S应用对外访问端口（可更改），441端口作为C/S应用功能对外访问端口。代理网关负责执行控制器下发的策略，代理访问各种资源，同时收集访问请求的原始数据反馈给控制中心。内网的业务系统，需保证只允许代理网关地址访问，其他地址无法访问，保证所有用户访问业务系统时，必须经过零信任设备才可代理访问。

登录配置控制中心，配置好电脑的IP地址与控制中心设备同一网段后打开浏览器，输入控制中心地址，输入后会出现一个不安全提示“您的连接不是私密连接”，点击继续前往即可跳转到控制中心的登录界面。输入账号密码登录即可。

配置网络接口和路由，在菜单系统管理/网络部署/网络接口中点击新增选择eth1，将预先分配的业务IP地址填入。同时给该网口配置一个名称，例如内网口；网口接口：选择需要配置的网口，例如eth1口；类别：选择网口是LAN口还是WAN口，内网口选择LAN口，外网口选择WAN口；网口配置：配置需要的业务口地址和掩码，配置完成后点击保存，完成该网口配置。路由的配置需要进入系统管理/网络部署/路由设置，点击新增按钮配置路由；配置一条到any的默认路由指向下一跳网关，该地址为环境准备列表中的默认网关地址，用于转发零信任设备的数据，配置后即可接入客户的内网实现正常的通信。配置客户端接入地址用于给用户接入认证的地址，同时也可用于客户端的下载。可在系统管理/通用配置/客户端接入设置中对客户端接入地址进行配置。根据前面提供的控制中心IP配置为：https://IP地址：443。

将代理网关加入控制中心为最后且最关键的一步，操作步骤如下：第一步首先在控制中心获取密钥，用于在代理网关中填写。第二步，登录代理网关，验证代理网关到控制中心的连通性，然后在系统管理/本机管理页面，点击加入控制中心，填写本机名称和控制中心地址。配置后即开始连接控制中心，连接成功后，等待控制中心审批。第三步，登录控制中心在系统管理/代理网关/区域管理中点击＋添加区域。在局域网访问地址中填写内网代理网关地址和端口。第四步，配置后点击立即激活，然后在对话框中选择所需的分区，最后点击保存。

3.3 安全代理网关运行流程

3.3.1 内外网用户接入认证流程

零信任设备控制中心和代理网关旁挂部署在核心交换机上，远程接入的用户，通过出口防火墙和核心交换机转发，内网用户通过内网交换机转发。内外网办公人员在浏览器输入客户端接入地址，登录页面输入用户账号和密码，流量经出口防火墙和核心交换机转发至控制中心进行认证、鉴权和安全环境检查，通过后用户上线。

3.3.2 业务访问流程

内外网办公人员上线后，在应用中心页面点击或直接输入需要访问的应用地址。外网用户经公网接入建立隧道，访问业务地址，业务流量经客户端转发到代理网关公网地址，到达出口防火墙完成NAT转换为内网地址，流量到代理网关后，转发访问业务服务器。内网用户上线后，访问业务系统，与外网用户访问业务的数据流不同的是，内网用户不经过防火墙，而是客户端直接转发到经代理网关，代理网关代理转发到业务系统进行应用访问。

4 结束语

零信任机制的安全代理网关不仅可以收缩信息系统暴露面，避免业务直接暴露在互联网，还可以使得教师和学生访问校园资源与信息系统的时候无需使用客户端程序和浏览器插件，在使用更安全、更方便的同时具有很好的兼容性和使用体验。通过对接校内统一身份认证平台，提高用户的访问速度，获得与内网接近一致的访问体验，在高性能的硬件支持下，实现教师与学生在校内外可以大并发量无感知访问校内的信息系统资源，进一步提升用户体验。在确保用户能够方便地接入信息系统的同时，还能有效阻断来自终端的风险，避免信息系统用户成为风险入口，为线上教学与远程办公提供了安全有效的网络访问保障。

[1] 田由辉. 基于零信任架构的网络安全防护思路[J]. 信息技术与信息化，2020(5): 154-157.

[2] 王智超，张琳，徐吏明，等. 一种零信任网络架构及构建方法: 中国，202110728731[P]. 2021-4-28.

[3] 杜朝晖. “互联网+”背景下无边界零信任网络研究与应用[J]. 现代信息科技，2021，5(6): 153-157.

Research on University Network Security Based on Security Proxy Gateway

Colleges and universities have built various information systems to meet the needs of teaching. Under the increasingly severe situation of network security, the original way of VPN accessing to intranet information system resources has exposed the shortcomings of complex operation, high maintenance cost, insufficient access control and so on. Under the needs of multi-campus interconnection, Online teaching and off-campus remote office, how to solve the contradiction between access control authority and convenience of information system has become an urgent problem for information construction and network security management personnel in colleges anduniversities. By deploying the security proxy gateway and integrating with the unified identity authentication of the college, the security control problem of accessing the campus information system can be effectively solved.

security proxy gateway; zero trust; network security

TP393.08

A

1008-1151(2022)09-0025-03

2022-04-30

罗添耀（1985－），男，广西国际商务职业技术学院工程师，研究方向为计算机网络安全、高职教育信息化。