高校面临众多的信息发布系统以及图书馆数字资源访问的管理和监控不完备等问题,为此采用信息发布与资源访问统一管理方案,提供校内Web服务器的网络安全保障,同时便于Web服务器及数字化图书资源的有效监管,为信息化安全及管理提供技术保障和数据支撑。
随着学校信息化建设的不断深化,为了更好地进行信息公开、共享,学校各部门部署、发布了各类公开网站约600余个,这些系统在教学、科研和管理中发挥着各自的重要作用,各网站以往由各部门分别独立管理,常会出现以下问题:
配置教育网或运营商网络地址的高性能Web服务器存储很多重要信息资源,暴露在公网中,又由于各系统维护人员的技术水平参差不齐,服务响应速度不及时,网站的系统漏洞、安全隐患,很容易被校外黑客探测到成为被攻击的对象或“肉鸡”,发生信息被窃取、系统遭受攻击瘫痪,或者流量异常导致局部或全网用户无法正常访问的恶性事件,这是部分高校都经历过的事件。另外,缺乏对校园网站的整体管理,无法从整体上了解各网站的运行状况、访问状况如何。
数字图书资源已经成为高校师生学习、科研的主要信息来源,大部分的图书馆数字资源部署在各商家,学校购买使用权,校内用户无需认证直接访问数字化图书资源,也就无法达到对使用者的管理,也无法对恶性下载等事件提供有效的预防措施;另外对数字资源的访问量、使用率无从了解,无法从整体上了解用户的使用状况。
解决校内资源发布管理难题
为了保护原暴露在公网中的Web服务器,我们在想校内服务器是否也可以如同校内用户一样采用私网地址避免遭受到外网网络层主动攻击?
为此采用私网IP地址替换校内各信息发布系统原真实IP地址。我们采用信息发布管理系统对校内Web服务进行统一管理,信息发布管理系统主要采用反向代理技术。反向代理是指由反向代理服务器首先接受到外网的访问请求,并将此请求转发给内网的各信息系统,并将从信息系统中得到的访问结果返回给外网上请求连接的用户。
在信息发布管理系统中,用户请求的域名与信息发布系统的私网IP地址关联,在出口配置多个IP地址,这些地址来自不同运营商。在域名服务器上,建立多组ACL和视图,根据用户IP地址所属的运营商不同,解析出所对应的运营商IP地址。
信息发布管理系统访问过程
1.用户对校内信息系统进行http请求时,首先到域名服务器上进行域名解析请求;
2.域名服务器根据用户地址不同,解析出信息发布管理系统的出口地址,此IP地址与用户所在运营商一致;
3.用户访问信息发布管理系统,也就是反向代理服务器;
4.信息发布管理系统接收到用户请求之后,在其高速存储中查找是否有缓存信息,如果有信息则返回给信息发布管理系统;
5.信息发布管理系统在高速缓存服务器中如果没有搜索到相应的资源则转发用户请求到Web服务器,Web服务器返回信息到信息发布管理系统中,并再保存一份缓存文件到高速缓存中;
6.信息发布管理系统把获得的信息转发给客户端浏览器。
如图1所示,在此过程中,用户访问Web服务器的模式没有任何改变,用户无感知。
信息发布管理系统具有的优势
1.采用Nginx做底层开发。
Nginx是一种由俄罗斯的程序设计师IgorSysoev所开发的轻量级高性能的具有Web和反向代理功能的服务系统。因它的稳定性、丰富的功能集、低系统资源的消耗而闻名。其特点是占有内存少,并发能力强。百度、京东、新浪、网易、腾讯、淘宝等都有使用Nginx。Nginx做底层开发可以很好地满足代理服务器使用性能。
2.Web服务器配置私网地址,避免了网络层攻击。
Web服务器由于设备性能强,又存储重要数据的特点,一直都遭受黑客们的关注,安全事件层出不穷。客户端域名解析得到了信息发布管理系统的IP地址,无法知道Web服务器的真实IP地址,且Web服务器的IP地址为私网地址,外网无法主动发起对Web服务器的网络攻击,对Web服务器起到了很好的保护作用,大大增加了Web服务器的安全性。
3.部署WAF增强应用层安全防护。
Web服务器配置了私网地址,虽然避免了网络层的外网攻击,但是现在的攻击主要是应用层的破坏和攻击。
Web服务器存在的主要威胁包括:(1)利用Web服务器或者第三方组件漏洞,如Apache、IIS、CMS等;(2)利用逻辑漏洞,如SQL注入、XSS等;(3)流量攻击,如CC攻击、高频扫描等。应用层安全事件不断发生。
如SQL注入攻击,利用Web应用程序对SQL语句条件检查过滤缺陷,进行盗取数据的目的。原有的Web服务器各自独立,大部分的Web服务器管理者没有部署应用层防护的意识,因此需要对应用层的各类用户请求进行统一的内容检验和验证,确保其安全性和合法性。
Web应用防火墙(WebApplicationFirewall,WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的软件。在信息发布管理系统统一部署WAF,对所有经过Web服务器请求访问进行了应用层数据检验和过滤,保障了各Web服务器的应用层安全,同时节省了各Web服务器分别部署WAF工作。
4.信息发布管理系统有利于细化管理。
校园600多个Web发布服务器,大部分Web服务器的运行及访问状况没有统计、记录,无法知道历史运行状况。信息发布管理系统对每个网站的访问次数做以统计,记录各网站的实时访问流量,可以直观看到各网站的上下行流量、访问次数等的信息,有效了解各网站的运行及活跃情况,对系统运行有了全面掌握。
5.解决了不同运营商间互联互通的问题,而且节省了大量公网的IP地址。
6.对于需要及时关闭服务的信息系统,可以一键做到。只要在信息发布管理系统中,取消服务,指向说明界面,很好地向访问者说明了问题。
7.统一及时监控各Web服务器状态,出现问题及时以邮件、短信等方式告之管理人员。
8.采用私网地址的Web服务器无法接受校外直接管理,服务器管理者可以通过校内堡垒主机对服务器进行管理,既解决了管理者外网管理服务器,又记录了对堡垒主机的操作过程,访问过程可回溯。
解决图书馆数字资源访问的准入问题
图书馆数字资源是高校师生需要获得的最重要的信息资源,师生从网上访问不断丰富图书馆数字资源,这部分资源少部分部署在校内,更多地是部署在校外。
以往每年学校投入大量资金购买数字资源的使用权,校内用户可以直接访问期刊资源库,无需认证,不记录访问过程,使图书提供者对于期刊访问情况无从了解,用户非法恶意下载等行为也无法主动规避,只能事后追踪查询,不但影响了学校的声誉,而且影响其他师生正常使用图书馆数字资源。
资源访问管理系统采用正向代理技术,使用资源访问管理系统的优势在于:
1、采用nginx做底层开发,保证了访问性能。
2、进行下载数量的限制,避免恶意下载的事件发生。
如图2所示,在资源访问管理系统中,对每个用户的下载文献的数量以及频率加以限制,超出下载限制,不能再下载,系统并予以记录,避免了恶意下载事件的发生。
3.对资源访问情况进行统计。
资源访问管理系统中分别记录、统计各资源库的访问数量,对用户下载资源行为进行记录,为各数据资源的使用次数、使用频率、并发量等,提供有效的数据资料,为图书馆数字资源的购买,提供有效数据,对于鲜有人访问的数据库,可以减少购买量。
4.不需要安装客户端。
以往使用用户使用VPN可以实现在外网访问图书馆数字资源,但是有20%左右的资源无法通过Web方式访问,需要下载客户端才能访问。主要原因是这部分图书馆资源有防盗链技术,资源访问系统与每个资源进行对接,无需安装客户端,实现对资源全部访问,提升用户体验。
校内信息系统发布管理平台和资源访问管理平台有效提升了用户对资源访问的体验,对访问资源的保护以及对访问数据量有更精细化、数据化的记录,为管理者和决策者的管理提供了重要的数据依据,保障了校园信息化更好地持续发展。
作者单位为中国人民大学
原标题:中国人民大学:利用代理技术化解信息发布管理难题
本文刊载于《中国教育网络》杂志2017年7月刊