随着“校校通”工程的实施,“区域教育现代化”的推进,各地中小学相继建成了校园网络,这无疑对加快信息交流,实现资源共享都起到了无法估量的作用。但建成的校园网在安全、稳定方面存在或多或少的问题,影响了校园网的正常运行。现根据我在校园网日常管理中发现的一些安全问题以及管理实践,谈谈如何构建一个安全稳定的中小学校园网。
实施校园网用户实名认证
目前中小学校园网一般采用基于固定IP 、用户认证的两种管理方式管理客户端上网行为,记载上网日志。随着笔记本电脑的普及,教师笔记本往往需要在不同的VLAN移动办公,在教室、办公室、家庭设置不同的IP不方便也容易出错。另外对IP地址进行限制会出现IP盗用问题,如用MAC和IP绑定防IP盗用,需在三层交换机上设置,无疑会增加网管的负担和设备的投入。
基于固定IP管理方式的不足,使用用户认证方式对教师进行上网管理有着明显的优势。而对学生机房、电子阅览室等电脑位置固定的场所可继续使用固定IP加MAC绑定方式进行管理。
鉴于需对用户上网行为进行管理,用户认证需在防火墙上设置并实施。ISA、天融信防火墙、中科新业网络哨兵等都支持域用户认证和本地用户认证并记载上网日志,用户名应使用实名制。校园网用户需经身份验证后上网,也会自觉接受各种法规的约束,正确使用互联网。
控制P2P软件线程、流量
P2P指的是Peer-to-Peer,直接翻译是点对点传输,P2P与传统的少数服务器服务多个用户的CS服务模式不同,大部分的服务靠用户间互相提供服务完成。通俗的讲,就是采用“人人为我,我为人人”的服务模式,通过多线程,提高下载速度。
P2P的大量下载,会增加病毒的携带机会,从而给学校的电脑和网络带来严重的潜在危害。另外在中小学校园网采用共享有限固定带宽的联网模式下,迅雷等多线程软件用户占用过多的网络带宽,致使教师上网搜索教学资料速度缓慢,影响了正常办公,已成为校园网中普遍存在的问题。
鉴于上述问题,考虑限制用户流量或线程的方法加以解决。ISA的流量插件、天融信网络卫士、专用流量控制设备等都可以对P2P进行有效管理,通过限制线程、流量的方法减轻P2P对校园网络的危害,在域环境下还可以通过组策略禁止相关P2P软件的运行。
部署有效的防杀病毒体系
计算机病毒是危害校园网安全的主要因素。校园网中计算机病毒来源主要来自互联网和接入计算机两个方面,于是从校园网出口、用户计算机两方面构筑防杀病毒体系。
1.从校园网出口防杀病毒
网关防毒是一道有力的防毒关卡,在整个防病毒体系中占据着重要的地位,正所谓“一夫当关,万毒莫侵”。ISA 可通过安装防病毒插件,硬件防火墙一般可通过安装防毒模块实现网关防毒。
2.安装网络版杀毒软件
安装杀毒软件是防杀计算机病毒最有效的途径,网络版杀毒软件的优势在于:可对整个校园网的计算机进行查杀病毒和升级管理;可显示网络内感染病毒信息、感染病毒客户端的情况,网管员更加直观的了解网络内病毒情况,并及时进行处理。
3.构建WSUS内部升级服务器
Windows系统存在很多安全漏洞,病毒又往往利用漏洞进行传播、破坏。WSUS(Windows Server Update Services )是Windows操作系统的升级服务,通过在校园网中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中,校园网中的客户机就可以通过WSUS服务器得到更新。
外网安全访问校园网
1.安全访问DMZ服务器
DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置内部对外发布的服务器。被发布的服务器放在内网是可以的,但发布服务器出现安全问题,可能会以发布服务器为跳板,危及内网其他计算机的安全,同时也容易受到来自内部攻击。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置。
2.通过VPN访问校园网
VPN 英文全称Virtual Private Network,中文译为虚拟私人网络,又称为虚拟专用网络。VPN的核心就是在利用公共网络建立虚拟私有网。例如教师在家里或出差,怎么才能访问校园网内部服务器资源呢?VPN的解决方法是将防火墙设置为VPN服务器,校外教师连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入学校内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了VPN技术,教师无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便、安全地访问校园网资源。
校园网的安全稳定问题是一个较为复杂的系统工程,通过实施校园网用户上网认证,限制P2P线程、流量,构建多方位防杀毒体系,及时升级防病毒软件和病毒防火墙,更新系统漏洞,创建DMZ,配置VPN,从多个方面进行防范,保障校园网的安全稳定。
相关热词搜索: 中小学 校园网 构建 稳定