基于上网行为管理的数字化校园网络安全部署——以宁波市职教中心学校为例

☆ 苏东伟

（宁波市职教中心学校，浙江宁波 315041）

一、数字化校园的框架设计

1990年，凯尼斯·格林（Kenneth Green）教授在其主持的“信息化校园”项目中，首次提出“数字化校园”的概念。根据这一概念，笔者认为数字化校园的结构如图1所示。

图1 数字化校园的结构

从图1中可以看出，数字化校园以“数字化设施”和“网络”作为硬件基础，通过开发应用软件，对与学校教学管理各项工作相关的“数据”和“信息”进行数字化的处理，使处理后的数字资源得到充分的优化和利用。笔者认为一个完善的数字化校园应用体系一般由基础数据库体系、基础应用体系和教育应用体系三部分构成（如图2所示）。

图2 数字化校园网络应用体系

在上述体系中，“教育应用体系”是整个数字化校园应用的核心，它包含“教学、管理、资源、交流”四大部分，以宁波市职教中心学校为例，建设数字化校园的整体框架如图3所示。

图3 宁波市职教中心学校数字化校园框架

学校以“宁波市信息技术学校”特色为基础，以国家级重点示范专业为依托，结合新课改全局考虑研究形成智慧型管理理念，初步架构学校组织智慧管理框架，规划数字化校园建设方案，确立“智慧型”学校发展目标，即实现信息基础设施和实体基础设施的高效结合，利用网络技术和IT技术满足Internet、移动计算机、移动电话以及师生员工家长在任意时间、任意地点、任意方式的访问及应用，充分整合家庭、社区、学校的教育资源，建设具备开放性、互动性，规模较小、布局紧凑、效益较高的智能化管理的“智慧学校”。

学校从2010年开始对学校网络进行整改，根据学校的网络环境和实际应用，先后采用防火墙技术、上网行为管理来加强校园网的安全，以解决来自内外网的各种威胁，保障学校的各项数字化教学管理工作安全、高效的运行。

二、防火墙的部署设计

防火墙技术是目前最主要的一种网络保护技术，而采用该技术的网络安全系统叫做防火墙系统。从广泛、宏观的意义上说，防火墙是内联网络与外联网络之间的一个防御系统。它通过限制内联网络与外联网络之间的访问来防止外部用户非法使用内部资源，保护内联网络的设备不被破坏，防止内联网络的敏感数据被窃取，从而达到保护内联网络的目的。

（一）设计原则

学校按照以下原则进行防火墙的部署，以增强校园网的安全性。[1]

（1）规划正确的安全过滤规则，严格禁止来自公网对校园内部网不必要的、非法的访问。

（2）防范源地址假冒和源路由类型的攻击，防止内部网络发起的对外攻击。

（3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

（4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

（5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

（二）实施方案

学校原校园网络拓扑结构如图4所示。

图4 宁波市职教中心学校网络拓扑图

图5 部署防火墙后该校的网络拓扑

宁波市职教中心学校校园网分为“服务器群”、“各楼层办公区”、“5号楼机房”（计算机实训大楼）三个功能区，机房大楼通过一台三层交换机和路由器与其他功能区隔离，整个校园网通过S6506核心交换机汇聚，并由R2600路由器接入互联网。

根据防火墙的功能特点，将防火墙部署在R2600路由器外部（如图5所示）。这样，可以过滤进出整个校园网的数据包，并通过配置相关的安全策略对防火墙系统进行监测和维护。

1.主要从以下几个方面进行策略配置

（1）禁止非法IP地址由本校路由访问Internet。

（2）针对服务器群和其所在的子网，禁止除本身服务和基本服务外的其他所有协议和端口，以特别保护服务器群的重要数据和资源，获得最大的安全性。

（3）如有最新的IP访问信息，利用字符匹配等方法确定其合法性，如为非法访问，则列入禁止列表。

2.防火墙系统的监测和维护

在合理配置了防火墙的安全策略后，开启监测网络流量的功能，并对流量进行分析，对于异常流量应特别关注并及时分析处理。另外，还需要及时做好对防火墙的日志备份，以备以后进行日志审计和查询。[2]

我校在实际工作中根据网络结构的变化，密切关注校园网和学校工作所出现的新情况，及时调整并优化已有的防火墙策略，以确保其在校园网中发挥更好的安全作用。

三、上网行为管理的部署与应用

随着网络环境的改善，信息化建设及网络应用也不断发展并逐步完善。在享受Internet所带来的巨大便利的同时，也产生了一些负面影响，学校面临着来自内部教职工、学生不规范的上网行为所带来的种种问题。[3]

（1）带宽管理问题。在工作期间，学校有相当部分的教职工登陆与访问工作需要外的网站，从而占用了整体的带宽资源，也暴露出学校网络在规划上带宽分配不合理的问题。

（2）工作效率问题。尽管学校有相关制度约束教职工的劳动纪律，但是，网络聊天、上网炒股、淘宝购物等目前非常普及的网络应用还是很难通过人工手段进行管理，严重影响工作效率。

（3）法律追究问题。个别人员通过网络由学校内部发送数据，对社会事件或相关人员进行毫无根据地指责乃至人身攻击，有些甚至违反国家相关的法律规定，尽管为数不多，但对学校形象所造成的影响是极为恶劣的。

上述的这些问题，通过架构防火墙系统是不能解决的。因此，我校在出口架设了上网行为管理设备（深信服M5900－AC），并根据校园网运行容量和设备特性替换了原先的防火墙和R2600路由器，以此来合理利用带宽，提高工作效率并达到监管与审计的目的，构建信息安全和稳定的教育教学环境。

（一）原则和理念

在选择上网行为管理系统时，我校遵循了以下原则。

1.可靠性原则

应该具备海量数据的处理与容错能力，具有较强的性能，以确保在意外情况下不出现单点故障，保障网络的正常运转。

2.可扩充性原则

具有一定的可扩充性和前瞻性，能够根据学校未来几年的发展需要提升功能，设备的厂商和供应商能提供相应的技术升级。

3.可管理性原则

考虑到日后的维护管理工作，应能够提供有效的监控管理方式，使网络管理员能够在不中断系统运行的情况下对网络进行修改，从而达到网络管理的最优化和集中统一化。

4.实用性原则

采用的设备和部署的方式，应有教育行业成功案例的经验，以证明其产品和技术的成熟可靠，设计结果能满足教育行业客户的需求并且行之有效。

（二）上网行为管理系统在校园网中的部署

根据不同的网络环境，上网行为管理系统具有多种不同的部署方式，以深信服M5900－AC为例，主要有三种部署方式：网桥模式、网关模式、旁路模式。

结合学校目前网络用户的数量，宁波市职教中心学校采用网关模式并替换了原先的防火墙和路由器，其拓扑结构如图6所示。

图6 宁波市职教中心学校目前网络拓扑图

M5900－AC设备兼具有路由功能，并且同时能对进出校园网的数据进行监测，根据校园网的实际安全需求采用了上述的拓扑结构。通过近三年的实际运行，校园网运转正常，教职工的上网行为也得到了一定的规范和改善。

（三）上网行为管理系统在校园网中实施

根据有关政策和学校实际工作，我校利用上网行为管理系统大致实现了如下功能：

1.设计Web访问过滤

通过上网行为管理设备进行互联网网关控制，根据业务需要制定Web访问策略，将非业务信息挡在门外（如图7所示）。

图7 策略对象列表

2.进行互联网审计[3]

制定互联网活动审计策略，实时掌握互联网使用状况，根据用户、时间、应用、带宽、外发信息等的监控记录生成各种统计报表和图表（如图8所示）。

图8 上网行为查询结果

3.加强带宽流量管理

通过带宽分配策略，对上网用户的时间段、协议规则、对应的优先级等设定监控报警，合理利用宝贵的带宽资源（如图9所示）。

4.进行应用控制

根据学校管理的需要，不仅通过相关制度进行约束，更可以对一些工具软件的上网行为和记录进行监控和管理，以施行时间、部门、人员的差异管理方式（如图10所示）。

图10 上网行为管理应用程序监测与控制

四、上网行为管理与防火墙系统的比较

表1列举了上网行为管理和防火墙的主要区别，通过在实际工作中的应用和比较，对于中学来说，内网用户因为上网行为不规范而带来的问题，比来自外网的攻击更加影响网络安全。因此，采用具有路由功能的上网行为管理系统能较好地解决校园网的实际安全需要。

表1

五、小结

本文主要分析了数字化校园建设中校园网的重要性，从而说明构建校园网络安全的必要性，并且结合宁波市职教中心学校在搭建网络安全系统的实际工作，较为详细地比较了防火墙和上网行为管理系统在校园网安全方面的应用和所发挥的作用。

[1]黄春雨.校园网网络安全及防范技术[D].硕士学位论文.长春理工大学,2009.

[2]伍星.防火墙技术在校园网络安全管理中的应用研究[J].科技信息,2011,(10).

[3]赵磊,战莹.上网行为管理系统在兰州石化公司的应用[J].网络通讯及安全,2011,(3):534－535.