一个网关搞定校园网升级改造诸多难题
2024年7月31日

暑假正是各个高校升级改造校园网的最佳时机，这就不难理解为何这段时间有多个高校选购了零信国密HTTPS加密自动化网关，笔者在这里先公开感谢这些高校网络中心/信息中心领导和老师们对零信产品的信任和支持，特撰文分享这些高校是如何使用零信网关来解决校园网升级改造难题的，以供其他高校在校园网升级改造规划时决策参考，实现多快好省的能真正解决问题的网络升级改造目标。

一、 校园网为何需要升级改造？有哪些需要改造的？

高校校园网经过这么多年的不断建设完善，已经基本上实现了满足高校教学和师生生活的网络需要的建设目标，基本上都实现了一网通行、一网通办和一卡通用等信息化管理。但是，信息化越普及，对信息系统的安全防护要求就越高，校园网急需升级改造的正是网络处处可用而带来的便利的同时带来的网络威胁和数据传输安全威胁，其升级改造核心是HTTPS加密和WAF防护。

所有教学系统、教学管理系统和师生生活服务系统都需要HTTPS加密，否则无法保证这些重要信息系统的大量教学数据和师生数据的机密信息安全，而不仅仅是校园统一身份认证系统的用户名和口令需要HTTPS加密保护。一个大学有几十个、几百个管理信息系统，这些系统都需要实现HTTPS加密，这就需要向CA购买和申请SSL证书，需要为每一个网站部署SSL证书，这是一个压在网络中心/信息中心主任和老师们头上的一副重担，不仅每上一个业务系统都必须部署SSL证书，而且每年统一更新证书时又是一件巨难的工作，这正是难为学校老师了。

不仅如此，随着各种信息系统的普及应用，一切校务和教学都在网上完成，不仅仅是在校园网，而且还需要实现远程教学，基于互联网的全球访问的登录和使用，这些应用使得WAF(Web应用防火墙)成为一个必需品，一个校园信息系统必备的应用安全防护产品。而WAF系统就是一个Web应用反向代理转发服务，必须支持HTTPS加密，也就是说，WAF设备像Web服务器一样需要为其部署SSL证书，也必须纳入SSL证书的安装部署和定期更新工作中。

还有校园网必配的SSL VPN网关，原厂默认配置的SSL证书是所有浏览器不信任的不安全的自签证书，不仅不方便师生使用，而且存在很多安全问题，必须为其配置全球信任的SSL证书，这又给网络中心增加了SSL证书的安装部署和定期更新工作。

还有，教育主管部门已经发文要求各高校深入推进IPv6规模部署和应用，这就要求高校尽快完成IPv6网络升级改造。是否有一个原Web服务器不用改造就可以实现支持IPv6的HTTPS加密访问呢？

还有，校园网DNS安全也非常重要，明文DNS已经非常不安全，无法保障校园网的各种信息系统的域名解析安全，必须尽快启用最先进的加密DNS服务-DNS over HTTPS (DoH)，而DoH服务一样需要部署SSL证书实现加密DNS服务，一样有SSL证书的安装部署和定期更新工作。

所有列举的这些与SSL证书有关的系统和设备都需要申请和部署SSL证书，都需要每年更新一次。而为了保证SSL证书密钥安全，国际标准计划把SSL证书有效期从目前的1年改为90天，也即是说，原先一年更新一次的工作量将翻5倍，一年要更新5次，为上百台服务器和网站系统更新5次，这就将是本来就人手紧张的网络中心老师们雪上加霜，使得让所有教学系统都实现HTTPS加密成为了不可能实现的目标。

不仅如此，为了保障我国关键信息系统包括高校教务系统安全，国家有关部门已经发文要求各高校全面推进商密改造工作，用商用密码来保障高校教务系统安全，这就要求实现商密HTTPS加密，这就需要对原先不支持商密算法的Web服务器进行商密改造，以支持商密算法和商密SSL证书，这是实现商密HTTPS加密所需的改造，只有完成密码算法支持改造后再申请和部署商密SSL证书才能实现商密HTTPS加密。也就是说，要应用商密算法实现HTTPS加密来保障高校教务系统安全，比应用国际算法实现HTTPS加密还要难，除了一样有以上困难之外的更多的困难。

二、 是否有解决方案可以实现一箭多雕，搞定所有难题？

笔者在第一部分列出了目前高校校园网要实现所有业务系统和各种网络设备的HTTPS加密所遇到的各种问题，这些问题严重影响了高校普及应用HTTPS加密来保障教务数据安全和师生个人隐私信息安全。怎么办？是否有好的解决方案？

大家可能会想到ACME技术(自动化证书管理环境)，笔者发现有些高校官网已经启用了Let’s Encrypt的自动化部署的国际SSL证书实现HTTPS加密，这就是一个非常好的解决方案—自动化申请和部署SSL证书。这个解决方案需要在Web服务器安装一个ACME客户端软件，但是并不是所有Web服务器可以或者放心地安装第三方软件的，有些重要的服务器是不允许安装其他软件的，而有些较老的服务器也许不支持安装这个客户端软件。还有，这个解决方案只能自动化部署RSA/ECC算法SSL证书，不能实现商密SSL证书的自动化部署，无法实现商密HTTPS加密自动化。还有，市场上各种硬件设备如SSL VPN和WAF设备都还不支持ACME技术，仍然需要人工申请和部署SSL证书。

这些都是摆在高校网络中心主管们面前的现实问题和难题，必须寻找一个好的解决方案彻底解决这些难题。

三、 零信网关，自动化搞定校园网升级改造难题

目前市场上可用的能解决以上难题的解决方案只有一个：部署零信国密HTTPS加密自动化网关，这是一个为我国HTTPS加密自动化量身打造的具有国际先进水平的自动化证书管理产品，是目前唯一一个通过商用密码产品认证的国密HTTPS加密自动化网关产品，一个采用高性能密码卡打造的高端高性能网站安全硬件密码设备，是一个集https加密加速、https卸载转发、国密算法模块、SSL证书自动化、WAF防护、负载均衡等多项功能于一体的专用于https加速和卸载的硬件密码设备，内置专业级高性能硬件密码卡实现高速密码运算和网络包转发，并且对内置操作系统、网络协议、SSL/TLS协议、ECC算法和SM2算法都进行了专业的深度优化，实现了业界领先的极致性能。

零信国密HTTPS加密自动化网关最大的特点和特色是自动化申请SSL证书、自动化安装SSL证书、自动化实现商密HTTPS加密，自适应加密算法，支持商密算法和商密证书透明的浏览器采用SM2算法实现商密HTTPS加密，不支持商密算法和商密证书透明的浏览器采用ECC算法实现HTTPS加密。这是一个端云一体的创新解决方案，国密HTTPS加密自动化网关内置国密ACME客户端，自动对接零信云SSL系统，自动化完成双SSL证书申请、部署和续期，确保业务系统零改造实现HTTPS加密，不间断地自动化为多达255个不同域名的业务系统提供自动化HTTPS加密服务和WAF防护服务。

不仅如此，某个高校客户网络中心主任告诉笔者，他还有密码学课程教学工作，有了零信网关，就有了真实的教学教具，可以让学生实际体验商用密码算法是什么样的，商密HTTPS加密是什么样的，商密SSL证书是什么样的，同国际算法SSL证书有什么不同，还可以讲商密算法证书透明是什么样的，这些都是以前纸上谈兵讲课所无法到达的更好的教学效果！

这位老师还说：更值得推荐的是零信网关免费配套的国密浏览器—零信浏览器，其为Windows打商密算法补丁功能，让讲授SM2算法和SM2数字证书更容易了，让学生能在电脑上像查看RSA算法SSL证书一样查看SM2算法SSL证书，真是太方便了，这个值得超赞。

听到这些话，笔者很是欣慰，很是为零信网关和零信浏览器能为高校的密码学相关课程教学做出了一点点贡献而高兴，这的确不仅是高校客户的意外收益，也是笔者的意外收获。普及商用密码，高校教学是关键，让学生实际体验看得见的商用密码产品和商密SSL证书，不仅能吸引青年学子去研究商用密码，提升学习兴趣和学习效率，而且一定能为学子们的将来发展提供了更多的可能和更广阔的空间，因为普及我国的商用密码应用需要更多的密码人才，这是一个利国利民的大事。

有诗为证：