03-【高校】多校区链路加解密架构

🧠拓扑・全局洞察 | 🔐安全・纵深防御

📡节点・边界管控 | ⚙️架构・持续优化

---

目录

一、整体拓扑说明

二、安全设备详解

[1.NGAF 下一代应用防火墙](#1.NGAF 下一代应用防火墙)

[1.1 部署点位](#1.1 部署点位)

[1.2 核心功能](#1.2 核心功能)

[2.AC 上网行为管理](#2.AC 上网行为管理)

[2.1 部署点位](#2.1 部署点位)

[2.2 核心功能](#2.2 核心功能)

[3.AD 应用交付（负载均衡 + SSL卸载）](#3.AD 应用交付（负载均衡 + SSL卸载）)

[3.1 部署点位](#3.1 部署点位)

[3.2 核心功能](#3.2 核心功能)

[4.SSL VPN 远程接入网关](#4.SSL VPN 远程接入网关)

[4.1 部署点位](#4.1 部署点位)

[4.2 核心功能](#4.2 核心功能)

[5.WOC 广域网优化控制器](#5.WOC 广域网优化控制器)

[5.1 部署点位](#5.1 部署点位)

[5.2 核心功能](#5.2 核心功能)

[6. 三层 / 二层交换机](#6. 三层 / 二层交换机)

三、常见场景数据流转过程

[1.宿舍楼学生 PC 访问百度公网站点](#1.宿舍楼学生 PC 访问百度公网站点)

[2.校外教职工居家 SSL VPN 登录校内教务系统](#2.校外教职工居家 SSL VPN 登录校内教务系统)

3.分校区师生访问主校区图书馆电子图书资源

4.互联网考生校外访问学校招生官网

四、链路流量加解密分析

1.NGAF中间人解密模式

[1.1 分段加解密全过程](#1.1 分段加解密全过程)

[1.2 回程数据反向流程](#1.2 回程数据反向流程)

2.NGAF透传模式

[2.1 分段加解密全过程](#2.1 分段加解密全过程)

[2.2 回程数据反向流程](#2.2 回程数据反向流程)

3.身份认证两处

五、后期可拓展优化方向

[👍点赞⭐收藏 = ❤️最大支持](#👍点赞⭐收藏 = ❤️最大支持)

---

一、整体拓扑说明

本组网为某国内公办本科高校标准合规校园网架构 ，全网划分为数据中心区、主校区互联网出口区、主校区楼宇内网区、分校区广域互联区 四大逻辑安全域，物理双上联 CERNET 中国教育科研网 + 运营商 Internet 公网（电信 / 联通） 双出口链路，两条链路实现资费分流（CERNET 学术资源免费、公网承载互联网娱乐 / 商用资源）。

以下是拓扑缩略图，本文主要说明流量在**AD（应用交付 / 负载均衡）、NGAF（下一代防火墙）、AC（上网行为管理）**时都做了啥？结合访问场景阐述细节区别。

1. 数据中心区（拓扑左侧，核心业务安全域）： 作为全校数据资产底座，集中部署教务管理系统、校园一卡通平台、财务系统、第三方业务系统、官网 WEB 服务器、数据库集群 ，是校园最核心涉密资产区。
   • 组网链路： 各业务服务器分组接入到接入交换机→区域 AD 负载均衡→区域 NGAF 下一代防火墙→上联主校区核心交换机；独立旁挂SSL VPN 网关设备，打通校外安全接入通道；
   • **安全域规划：**按业务划独立 VLAN，教务 VLAN、一卡通 VLAN、WEB 公网服务区 VLAN、运维管理 VLAN 互相逻辑隔离，依托 NGAF 访问控制策略禁止跨 VLAN 非法互访，杜绝学生网段直连数据库风险。
2. 主校区互联网出口区（拓扑中上，全校统一出口安全网关集群）： 采用AD+NGAF+AC 三层设备全主备冗余架构 ，两台 AD、两台 NGAF、两台 AC 均部署双机热备，分别横向对接 CERNET、Internet 两条外网链路，是全校园互联网流量唯一出口，统一管控全校上网、外网访问校内服务器、公网发布业务。
   **设备从上至下层级：**出口 AD（链路负载）→NGAF（边界安全防火墙）→AC（上网行为与流量调度）→主校区核心交换机，层级化部署符合安全设备标准串联规范。
3. 主校区内网区（拓扑中下：图书馆、宿舍楼、教学楼、办公楼）： 两台三层核心交换机做整网内网骨干，开启虚拟化堆叠 / 冗余协议（MSTP+VRRP） 实现核心设备故障秒级切换；核心向下以光纤链路辐射 4 大楼宇接入片区，各楼宇部署接入交换机 + 无线 AP 实现师生有线 + 无线全覆盖。其中图书馆单独增设边界 NGAF ，独立划安全域，隔离图书馆电子资源服务器与宿舍学生终端，防止学生终端病毒横向扩散入侵图书馆馆藏数据库。 网段划分细则： 宿舍楼（学生用户网段）、教学楼（教学终端 / 多媒体教室网段）、办公楼（行政教职工网段）、图书馆（馆藏资源 + 读者终端网段）、数据中心（业务服务器网段）全部分割独立 VLAN，由核心交换机做三层网关。
4. 分校区互联区（拓扑右侧，跨校区广域专线组网）： 主校区核心侧、分校区边界成对部署 WOC 广域网优化 + NGAF 防火墙，依托运营商裸光纤 / MPLS 专线实现主分校二层 / 三层互通，分校区内部沿用**「接入交换机 + AP」**终端组网模式；WOC 负责专线传输优化，NGAF 承担分校区边界安全防护，兼顾分校师生上网与跨校资源访问双重需求。

---

二、安全设备详解

1.NGAF 下一代应用防火墙

NGAF 全称 Next-Generation Application Firewall，融合++传统防火墙 + IPS 入侵防御 + WAF 网站防护 + 网关杀毒 + 漏洞扫描 + 上网准入++ 于一体，是本方案纵深安全体系的基石，采用「出口全局 NGAF + 分区边界 NGAF」分布式部署思路。

1.1 部署点位

互联网出口双机主备、数据中心各业务组出口、图书馆安全域边界、分校区入网点位，实现每个独立安全域都有边界防火墙隔离，满足等保三级区域边界防护要求。

1.2 核心功能

NGAF 下一代应用防火墙可具备以下功能，按实际情况考虑是否启用。

序号	功能类别	子项/技术	防护对象	关键作用说明
1	基础边界防护	五元组 ACL 访问控制、NAT（源/目的转换）、路由协议（静态/OSPF）	互联网边界、内网用户、公网业务系统	隔离恶意流量、非法端口扫描；实现内网用户上网源 NAT，以及学校官网 / 教务系统公网发布的目的 NAT
2	IPS 入侵防御	内置漏洞特征库（缓冲区溢出、端口探测、勒索病毒横向渗透、SQL注入、XSS跨站等）	服务器、内网终端、教务系统、一卡通后台	实时拦截各类攻击；针对高校常见教务系统漏洞、一卡通后台漏洞做专项防护
3	WAF Web应用防火墙	爬虫拦截、暴力刷课防御、选课拥堵攻击防护、网站防篡改	学校官网、教务选课系统、一卡通 WEB 门户	专门保护高校业务系统，防止网站篡改、刷课及选课类攻击，是业务系统防篡改刚需
4	网关病毒查杀 + URL 过滤	文件杀毒（木马、勒索病毒阻断）、恶意网址库（钓鱼、非法色情网站过滤）	所有进出网关流量	阻断病毒下载；屏蔽恶意/违规网站，保障上网安全
5	内网准入 (NAC)	终端入网合规检查（系统补丁、杀毒软件）、不合格终端隔离至修复区	教职工/学生终端	解决校园内网终端杂乱易中毒问题，可选开启，强制合规入网
6	VPN 内置	IPSEC VPN（可扩展分支机构 IPSEC 专线加密隧道）	分支机构、远程接入	设备自带 IPSEC VPN 能力，除独立 SSL VPN 设备外，可快速拓展加密专线隧道

2.AC 上网行为管理

2.1 部署点位

AC全称 Application Control，高校出口标配合规设备 ，串联在 NGAF 与核心交换机中间，全量流量必经 AC，是校园带宽治理、上网审计的核心。

2.2 核心功能

序号	功能类别	子项/技术	适用对象/场景	关键作用说明
1	上网行为管控	应用特征识别（网课、P2P下载、抖音/游戏/直播、社交软件）、策略限制	全校师生、在线课堂、科研文献下载	精准区分应用类型；上课时段限制游戏、短视频等大流量应用，保障教学及科研带宽优先，契合高校教学场景
2	合规审计（等保硬性要求）	全量日志留存（访问网址、发帖内容、外发邮件/文件、即时通讯内容），存储≥6个月	全校上网师生	满足公安网安、教育主管部门审计溯源及等保测评核查要求
3	智能带宽管理	带宽通道划分（科研、教学、学生娱乐），时段策略（空闲时段放开娱乐带宽，教学时段收紧非业务流量）	科研带宽、教学带宽、学生娱乐带宽	动态保障关键业务带宽，提高带宽利用率，避免娱乐流量挤占教学科研
4	DNS安全防护	恶意DNS劫持拦截、钓鱼域名解析过滤	全校师生终端	防止师生误入仿冒教务等钓鱼网站，提升上网安全性
5	专线流量统计	CERNET教育网流量 vs 公网流量区分统计，提供数据报表	学校网络管理部门、运营商资费结算	为学校与运营商之间的资费结算提供精确数据支撑

3.AD 应用交付（负载均衡 + SSL卸载）

3.1 部署点位

AD 全称 Application Delivery Controller，分出口链路负载均衡 + 后端服务器负载均衡两大应用场景，分两处部署：互联网出口最前端（双线路负载）、数据中心业务服务器前端（集群负载），全机主备避免单点故障。

3.2 核心功能

序号	功能类别	子项/技术	适用对象/场景	关键作用说明
1	出口链路负载	智能选路（就近访问调度）	CERNET + Internet 双链路，访问知网、国家精品课等学术资源，及百度、腾讯等公网资源	自动选择教育网线路访问免费学术资源，公网资源走运营商线路，显著降低学校公网宽带资费
2	出口链路负载	链路健康探测（丢包、时延、中断检测，秒级切换）	两条外网链路	实时探测链路状态，某条链路断网后流量自动秒级切换至备用链路，杜绝全校断网
3	出口链路负载	带宽溢出调度（CERNET 链路达上限时，溢出学术流量临时切换公网）	CERNET 链路、学术流量	保障 CERNET 带宽饱和时科研访问不中断
4	服务器负载	轮询 / 加权分发（根据服务器 CPU、内存负载智能分发请求）	数据中心教务/一卡通集群前端，选课高峰期	避免单台服务器被打垮宕机，解决高校选课挤崩系统痛点
5	服务器负载	服务器健康巡检（自动探测后端状态，故障下线，恢复后自动加入）	教务、一卡通服务器集群	自动隔离故障服务器，修复后重新加入集群，保证服务高可用
6	服务器负载	应用优化（TCP 复用、缓存优化）	师生访问教务系统	降低后端服务器连接压力，显著提升教务系统加载速度
7	服务器负载	SSL 卸载（HTTPS 流量解密转发）	教务、一卡通等 HTTPS 业务系统	AD 设备统一处理 SSL 加密解密，减轻后端服务器加解密开销，提升访问体验，简化证书管理

4.SSL VPN 远程接入网关

4.1 部署点位

独立部署于数据中心安全域边界，采用旁路部署 / 串联部署 两种模式可选，面向教职工、校外合作人员提供加密远程内网接入。（本例是：数据中心旁挂，移动办公刚需，远程访问方案。）

4.2 核心功能

序号	功能类别	子项/技术	适用对象/场景	关键作用说明
1	多终端接入	电脑客户端、浏览器WEB接入、手机APP接入	老师居家备课、校外出差	随时随地加密接入校内内网，访问教务后台、校内共享文档、图书馆付费数据库
2	精细化权限	按岗位划分访问权限（行政人员办公系统、教务老师教务系统、财务一卡通财务网段）	行政、教务、财务等不同岗位人员	基于最小权限原则，符合等保权限管控要求，避免越权访问
3	传输加密	全程SSL/TLS隧道加密	外网公网环境下传输的数据	防止数据被抓包窃取，对比普通远程桌面/端口映射安全性更高，杜绝内网数据库暴露公网被爆破风险
4	双因素认证	短信验证码 / 动态硬件令牌 + 账号密码	所有远程接入用户	防止账号被盗后非法入侵内网，增强接入安全性

SSL VPN & IPsec VPN ？

SSL VPN：专为个人设备 灵活接入内网设计，而IPsec VPN则更擅长在多个固定网络之间构建安全通道。

对比维度	SSL VPN (如老师居家备课、校外出差)	IPsec VPN (如分校与总校区互联)
核心连接模式	点到网 (Client-to-Site)，即一个客户端到一个局域网	网到网 (Site-to-Site)，即两个或多个局域网之间
适用场景	- 移动用户远程接入 ：员工使用个人电脑或手机，从家、酒店、咖啡馆等不同地点访问公司资源 - 临时/第三方接入 ：为合作伙伴、审计人员提供有时限的访问权限 - 自带设备办公 ：在员工使用个人设备（BYOD）的场景下，提供免客户端的便捷接入 - 精细控制：仅需开放特定的Web应用（如OA、CRM、邮箱），而非整个网络	- 分支机构互联 ：将企业总部与各分公司、门店的整个内部网络连接起来，形成一个大的虚拟内网 - 数据中心互联 ：连接本地数据中心与公有云上的虚拟私有云（VPC），实现混合云架构 - 对等体互联 ：连接两个对等的网络实体，如两个公司的内网，用于B2B业务对接 - 高性能、低延迟需求：适用于对网络质量要求高的业务，如视频会议（VoIP）
安全性	- 访问控制精细 ：可控制到应用、URL甚至是具体操作，实现最小权限访问，降低横向移动风险 - 更易启用双因素：与短信、硬件令牌等二次验证方式（MFA）集成更方便	- 安全性强 ：工作在网络层，对整个IP数据包加密，对上层应用透明，安全性更强 - 强制设备认证：隧道建立前会进行双向设备认证，确保两端设备身份合法
易用性与客户端	- 体验较好 ：通常通过浏览器（HTTPS）即可访问，无需安装 复杂的客户端软件 ，用户体验更友好 - NAT穿透性强：使用标准的TCP 443端口，能轻松穿透绝大多数家用路由器、防火墙和公共Wi-Fi的NAT限制	- 配置复杂 ：需要专业人员进行复杂的配置，涉及IKE策略、加密算法、路由等多个参数 - 需专用客户端 ：通常需要在操作系统层面安装和配置VPN客户端 ，配置不当容易出错 - NAT穿透性差：协议本身设计时未考虑NAT，需要借助NAT-T（NAT穿越）技术才能工作，在某些严格网络中可能不通
核心选型建议	- 用户是从不同地点接入的移动办公人员 - 需要为临时或外部人员 开通访问权限 - 无需安装或管理复杂客户端软件是首要考虑	- 连接的是固定的办公室、数据中心或云网络 - 需要实现整个内网的无缝、全天候互联 - 对传输性能和稳定性有很高要求

5.WOC 广域网优化控制器

5.1 部署点位

WOC 全称 WAN Optimization Controller，成对部署在主校区核心侧、分校区边界，主分校专线成对部署。 它是多校区高校专线降本提速专用设备，配合专线 + NGAF 实现安全 + 提速双重能力，解决跨校区专线带宽瓶颈。

5.2 核心功能

序号	功能类别	子项/技术	适用对象/场景	关键作用说明
1	数据缩减与压缩	重复数据删除（缓存差异传输）、流量压缩	主分校之间传输的课件、教学视频、数据库备份文件	缓存重复数据，二次传输只传差异部分，最高可节省70%以上专线带宽，降低学校专线扩容成本
2	TCP协议优化	TCP传输机制优化（应对丢包、高时延）	远距离跨城专线，分校访问主校图书馆资源、大文件传输	解决跨城专线卡顿、大文件传输慢的问题，提升远程访问体验
3	应用优先级优化	跨校教务同步数据/选课数据优先转发，娱乐流量降级	跨校教务同步、选课数据传输，分校学生下载娱乐流量	保障教学业务跨区传输的带宽与低延迟，提升关键业务效率
4	与NGAF联动	WOC负责传输效率，NGAF负责攻击拦截与访问控制	分校入站流量、区域安全防护	各司其职，形成广域安全闭环：WOC优化速度，NGAF保障安全

6. 三层 / 二层交换机

包括：核心 + 接入，整网网络骨架。

序号	设备类别	子项/技术	部署位置/对象	关键作用说明
1	核心三层交换机	VRRP+MSTP冗余协议、三层网关、静态/OSPF路由、ACL访问控制、安全域网段路由	主校区内网核心骨干，汇聚全校园上下行流量	实现设备级冗余（一台故障另一台无缝接管）；负责VLAN三层网关、路由、访问控制；支持后期横向堆叠扩容，适配终端逐年增加
2	楼宇接入交换机	二层接入、端口隔离、POE供电、光纤上联	图书馆、宿舍、教学楼、办公楼弱电间，下联电脑、笔记本、无线AP、多媒体教学终端	提供终端二层接入，端口隔离提升安全性，POE为无线AP供电，光纤上联回传至核心，简化楼宇布线施工
3	无线AP	全楼宇无线覆盖、Wi-Fi漫游、AC集中管理	师生手机、笔记本，AC可集成在核心交换机或上网行为管理设备中	实现校园无线全覆盖，支持跨楼宇无缝漫游，AC统一管理AP，简化运维

---

三、常见场景数据流转过程

1.宿舍楼学生 PC 访问百度公网站点

宿舍楼接入交换机
（二层转发 + 端口隔离）
         │
         ▼
主核心交换机
（VLAN 三层转发，匹配路由）
         │
         ▼
AC 上网行为管理
  1. 识别为网页浏览应用
  2. 校验是否在管控黑名单
  3. 分配娱乐带宽通道
  4. 全量记录上网日志留存
         │
         ▼
NGAF 下一代防火墙
  1. ACL 放行访问公网策略
  2. IPS 查杀网页内嵌恶意脚本
  3. 做内网私网源 NAT 转换为公网地址
         │
         ▼
AD 应用交付
（链路健康检测，智能选路走 Internet 运营商线路）
         │
         ▼
运营商 Internet
         │
         ▼
百度服务器

2.校外教职工居家 SSL VPN 登录校内教务系统

                          公网互联网
                              │
                              ▼
                      SSL VPN 网关
                   1. 账号 + 短信双因素认证
                   2. 建立加密 SSL 隧道
                   3. 分配校内临时接入 IP 地址
                              │
                              ▼
                   数据中心边界 NGAF
          匹配放行 VPN 网段访问教务 VLAN 的安全策略
                      拦截异常攻击流量
                              │
                              ▼
                   数据中心 AD 负载均衡
            探测后端多台教务服务器负载，分发访问请求至空闲服务器
                              │
                              ▼
                    教务系统应用服务器

注意：

①部署位置：SSL VPN 网关旁挂在数据中心 NGAF 边界侧（数据中心安全域出入口） ，拓扑点位：数据中心业务区出口、NGAF 防火墙旁，不串在主链路，旁路部署。

旁路部署（本项目方案采用）：仅远程 VPN 流量走 SSL VPN，校园日常内网、服务器上网流量不走它，不影响主干带宽；

②数据流分步定位：

1. 内网侧：下联数据中心内网（教务 / 一卡通服务器网段）；
2. 外网侧：对接互联网出口链路方向（公网可达）；
3. 防护侧：进出流量必经数据中心 NGAF 防火墙做访问策略控制，也就是你这条数据流里 NGAF 紧邻 SSL VPN。

③外网侧 = SSL VPN 设备的 WAN 口，能被互联网直接访问。也就是说，外网侧配置公网IP地址，全世界互联网都能访问到这台 SSL VPN 设备。公网用户从互联网发起连接，直接寻址 SSL VPN 公网 IP ，不用先经过出口 AD / 出口 NGAF；VPN 解密完内网流量，再送入数据中心 NGAF放行进内网业务区。

**④数据流：**公网 →【SSL VPN 网关】→数据中心 NGAF →数据中心 AD →教务服务器

3.分校区师生访问主校区图书馆电子图书资源

                     分校区接入交换机
                           │
                           ▼
                    分校区 NGAF
           区域安全校验，放行跨校访问策略
                  拦截内网异常扫描
                           │
                           ▼
                    分校区 WOC
           1. 数据压缩、重复数据缓存优化
                   2. TCP 协议优化
                           │
                           ▼
                  运营商跨校专线光纤
                           │
                           ▼
                    主校区 WOC
                  （解压缩还原数据）
                           │
                           ▼
                  主校区核心交换机
                （三层 VLAN 路由转发）
                           │
                           ▼
                   图书馆专属 NGAF
              （图书馆域边界校验访问权限）
                           │
                           ▼
                   图书馆资源服务器

4.互联网考生校外访问学校招生官网

                   外网用户 Internet
                           │
                           ▼
                        出口 AD
                           │
                           ▼
                      出口 NGAF
        （目的 NAT，把公网 IP 映射至内网 WEB 服务器私网地址
                + WAF 防护拦截网站攻击）
                           │
                           ▼
                         AC
                （记录外网访问日志）
                           │
                           ▼
                      核心交换机
                           │
                           ▼
                    数据中心 NGAF
                           │
                           ▼
                     WEB 官网服务器

---

四、链路流量加解密分析

1.NGAF中间人解密模式

**场景：**教学楼中，教师在电脑浏览器输入 HTTPS 访问校内教务系统。

链路： 教师PC→ 接入交换机→核心交换机→数据中心 NGAF →数据中心 AD→教务服务器

前置配置：

NGAF 开启 SSL 中间人解密（正向代理）

AD 配置教务官方 CA 证书并开启 SSL 卸载（反向代理）

1.1 分段加解密全过程

① 教师 PC ↔ 数据中心 NGAF（第一段 SSL，HTTPS 密文，NGAF 正向代理）

**角色：**PC=SSL 客户端；NGAF=SSL 服务端

证书： NGAF 自建根证书签发代理证书，校内 PC 预先导入++NGAF 根证书++，浏览器信任该证书不告警。

具体过程：

1. 老师在PC的浏览器输入教务 HTTPS 地址，PC 作为 SSL 客户端发送 ClientHello，携带自身支持的加密算法、客户端随机数，发起 SSL 握手。
2. NGAF 作为服务端回复 ServerHello，选定加密套件，同时下发由 NGAF 自建根签发的代理证书。PC 校验证书（因为预装根证书，校验合法）。
3. PC 生成预主密钥，使用代理证书里的NGAF 公钥加密 ，发给 NGAF；NGAF 使用自身私钥解开，双方结合两端随机数，协商生成本条链路专属会话密钥。
4. 握手完成，师生的 HTTP 请求明文全部用会话密钥加密成 HTTPS 密文传输。
5. 密文抵达 NGAF 后，用协商好的会话密钥解密，流量变为明文；NGAF 对明文开展 IPS 入侵检测、恶意 SQL 注入拦截、内容审计、违规访问拦截。
6. 流量安全合规无攻击，NGAF丢掉本条连接，新开一条独立 TCP 连接，以 SSL 客户端身份去向 AD 发起第二次 SSL 握手。

小结：本段 NGAF 是正向代理（代理客户端） ，替内网所有老师主机代为访问后端业务，证书全是NGAF 自制代理证书，和教务官方证书无关。

② 数据中心 NGAF ↔ 数据中心 AD（第二段 SSL，HTTPS 密文，单纯 SSL 会话，无代理）

角色：NGAF=SSL 客户端；AD=SSL 服务端

证书：AD 存放教务官网正规 CA 颁发的商用域名证书

1. NGAF 变身 SSL 客户端，发送 ClientHello，发起全新 SSL 握手。
2. AD 作为服务端应答，下发教务正式 CA 证书，NGAF 像普通浏览器一样校验证书合法性。
3. NGAF 生成新的预主密钥，使用 AD 证书附带的公钥加密后传给 AD，AD 依靠本地私钥解密，二者协商生成第二段链路独立会话密钥。
4. NGAF 把审计完毕的业务明文，用新会话密钥加密为 HTTPS 密文，传输至 AD。
5. AD 收到密文，凭借本机存放的教务证书私钥执行 SSL 卸载解密 ，HTTPS 密文还原成HTTP 明文。

关键点：NGAF 加密本段数据用 AD 的证书公钥 ，全程不使用自己的代理证书；两段 SSL 相互独立、密钥完全不通用。

③ 数据中心 AD ↔ 教务服务器（明文 HTTP，无 SSL，AD 反向代理）

角色：AD=HTTP 客户端；多台教务服务器 = 应用服务端

链路：全明文传输，服务器不部署任何域名证书，无加解密动作

1. AD 解密得到明文后，读取 HTTP 里的 URL、Cookie 字段，依托七层负载均衡策略，将请求合理分发到集群中某一台教务服务器。
2. AD 对外统一承接用户请求、对内调度多台业务服务器，属于反向代理（代理服务器）。
3. 教务服务器接收明文请求，校验老师账号密码（用户身份合法性在这里完成认证），处理业务后返回明文应答数据。

1.2 回程数据反向流程

① 教务服务器 → AD（明文 HTTP）

教务处理完业务，明文应答数据发给 AD；本段无加密。

② AD → NGAF（HTTPS 密文，AD 是 SSL 服务端、NGAF 是 SSL 客户端）

1. AD 持有教务官方 CA 证书与私钥，使用本段之前协商好的链路会话密钥，把明文打包加密成 HTTPS 密文；
2. 密文发送至 NGAF。
3. NGAF 用第二段 SSL 会话密钥 解密密文，还原成明文，二次 IPS、内容复核审计，拦截返回报文里的恶意内容。

③ NGAF → 教师 PC（HTTPS 密文，NGAF 是 SSL 服务端、PC 是 SSL 客户端）

1. 审计无误后，NGAF 使用第一段 SSL 的会话密钥（NGAF 代理证书协商出来的密钥），把明文重新加密；
2. HTTPS 密文下发到教师电脑。

④ 教师 PC 本地

浏览器依靠之前协商的密钥解密，得到网页明文，正常展示教务页面。

总结：

NGAF 正向代理（代理PC）、NGAF自签的证书、解密安检；

AD 反向代理（代理服务器）、教务系统的证书、SSL 卸载减负。

2.NGAF透传模式

2.1 分段加解密全过程

**场景：**NGAF 纯透传（不解密、不加解密、不做审计），所有 SSL 加解密全部交给 AD。

**链路：**教师 PC → 核心 → NGAF (透传) → AD (SSL 卸载) → 教务服务器

① 教师 PC ↔ 数据中心 NGAF（HTTPS 密文，NGAF 透传）

**角色：**PC = SSL 客户端；NGAF = 纯转发设备（无 SSL 角色）

证书： 本段全程不解密、不处理证书代理

**属性：**无代理、纯二层 / 三层透传

转发过程：

• PC (SSL 客户端) 发起握手，报文密文直达 AD，NGAF 只透传不拆包；
• AD (SSL 服务端) 回复教务正式 CA 证书；
• PC 用证书内的AD 公钥 加密预主密钥发给 AD，AD 凭自身私钥解密；
• 两端协商出会话密钥，后续所有 HTTPS 数据，都用协商后的会话密钥加密传输。
• 本次HTTPS数据，就使用这个会话密钥加密，通过已建立的 SSL 连接，发送到AD。

这里注意，无需预先将教务证书的根证书预先导入PC浏览器！！！

• 教务证书由正规公共 CA 机构签发（阿里云 / 国产可信 CA） ，浏览器操作系统预装了该 CA 根证书，系统默认信任。PC 收到网站证书后，系统自动逐级校验证书链，无需管理员手动导入证书。

• 对比 NGAF 中间人场景： 中间人模式必须手动装 NGAF 自建根证书（NGAF 自签证书浏览器不认，不装就弹窗不安全）。

② 数据中心 NGAF ↔ 数据中心 AD（HTTPS 密文）

**角色：**流量透传，AD=SSL 服务端

证书： AD 部署 教务官网正式 CA 证书代理

属性： AD 为反向代理

过程：

1）AD 接收完整 HTTPS 密文，使用自身教务证书私钥完成 SSL 卸载解密 ；

2）HTTPS 密文解密为 HTTP 明文；

3）AD 读取 URL、Cookie，执行七层负载均衡，分发至对应教务服务器。

③ 数据中心 AD ↔ 教务服务器（明文 HTTP）

**角色：**AD=HTTP 客户端；教务服务器 = 应用服务端

**链路：**全程明文、无 SSL、服务器无证书代理

**属性：**AD 反向代理业务集群

过程：

1）AD 将明文请求转发给教务服务器；

2）教务系统完成用户账号密码身份认证 ，判断是否合法教师用户；

3）服务器处理业务，返回HTTP 明文响应。

2.2 回程数据反向流程

① 教务服务器 → AD（明文 HTTP）

服务器处理完成，返回明文业务数据给 AD。

② AD → NGAF（HTTPS 密文）

AD 利用教务官方 CA 证书对应的会话密钥，把明文重新加密为 HTTPS 密文，通过已建立的 SSL 连接加密回包，发送给 NGAF。

③ NGAF → 教师 PC（HTTPS 密文透传）

NGAF 依旧透传模式，不解密、不处理，直接把 HTTPS 密文原样转发给教师 PC。

④ 教师 PC 本地解密

浏览器使用之前与 AD 协商的会话密钥解密密文，得到网页明文，正常展示教务系统页面。

3.身份认证两处

1. 设备侧身份认证（校外远程访问生效，校内本机无需）
   校外居家访问：先过SSL‑VPN 设备 ，账号 / 短信 / 证书校验，设备侧认证合法后建立加密隧道再进内网；
2. 应用业务身份认证（校内必走）
   到达教务系统页面，教师输入工号密码，教务应用服务器校验用户合法性，权限不足拒绝访问。

五、后期可拓展优化方向

1. 全网零信任改造升级：后续可在现有 NGAF 基础上升级零信任访问架构，替换传统边界防护逻辑，实现「永不信任、持续校验」，进一步强化教务、一卡通等核心数据防护；
2. 智慧校园物联网安全拓展：新增智慧门禁、水电物联网、教室 IoT 设备后，在物联网接入区增设 NGAF，单独划分物联网 VLAN，隔离物联网终端与业务服务器，防范物联网漏洞入侵数据中心；
3. 云桌面配套优化：学校部署机房云桌面后，依托 AC 做机房带宽精细化管控、NGAF 防护云桌面服务器集群、AD 做云桌面服务器负载分担；
4. 5G 无线异地接入拓展：SSL VPN 拓展 5G 专网接入，校外实训基地通过 5G+IPSEC VPN 安全接入校内业务系统。

---

👍点赞⭐收藏 = ❤️最大支持