上网行为管理技术在校园网中的应用

陈桃贤

（福建省龙岩市农业学校，福建　龙岩　364000）

上网行为管理技术在校园网中的应用

陈桃贤

（福建省龙岩市农业学校，福建龙岩364000）

随着互联网的迅速发展，网络已经成为学校办公的重要组成部分，然而网络环境和校园网内部分用户不良的上网行为给网络中心的监管带来压力。所以，学校部署了“深信服”上网行为管理系统，对网络中的各种应用内容作出准确的统计和分析，并且加以控制和管理。这样就能提高网络的安全性和利用率，为构建绿色、和谐、安全的校园网络环境奠定坚实的基础。

上网行为管理；校园网；网络安全

1　研究背景概述

进入21世纪以来，互联网得到快速发展的同时，校园网络也得到了很好的完善和发展。随着网络的发展，网络技术也是突飞猛进，各类网络应用软件层出不穷、与日俱增。软件的使用一方面使用户的日常办公得以方便快捷，另一方面对单位网络的稳定性提出更高的要求，网络上的信息资源丰富多彩，对用户有着太多的诱惑，上班时间浏览与工作无关的网站，尤其是使用一些P2P（Peer to Peer）对等网络软件，占用了大量的网络资源，使网络带宽始终处于满负荷的状态。为了减少以上的各种情况，提高教职工的工作效率，学校部署了上网行为管理系统，对进出校园网的数据进行有效的控制与管理，同时管理教师和学生的上网行为，灵活控制各种网络应用，从而提升了带宽的利用率。

学校要构建一套卓有成效的上网行为管理系统，首先是要能实现有害信息的过滤，如对反动、迷信、色情、诈骗和机密等有碍社会公德和不便公开的信息就要进行过滤；其次要对进出网络的数据进行流量控制，保障数据的正常传输，据网络流量控制现状统计，P2P数据流量占整个互联网总流量的60%，并且在用户总数没有显著增加的情况下，P2P数据流量的比例仍然在快速持续地增长。因此，校园网络管理部门必须在明确网络需求的基础上，对校园网用户的上网行为进行科学有效的控制和管理。

2　上网行为管理技术

上网行为管理是指帮助用户正确地控制和管理互联网的使用，包括用户管理、带宽的流量管理、网络应用控制、网页访问过滤、终端接入管理等。随着计算机、网络技术的迅速发展，网络化办公日益常态化，互联网已经成为教师和学生工作、生活、学习过程中不可或缺的重要工具。但是，在享受着电脑办公和互联网使用带来便捷的同时，职工在工作时间上网做与工作无关的事情的现象越来越突出。所以，为了保证局域网内部的网络信息在上传下载等存储以及传输过程中的安全性、完整性和机密性，就需要上网行为管理技术来通过相关的网络安全策略对局域网以及外部网络进行全面的监控，包括用户的网络行为以及网络自身的运行状况等［1］。

为了实现上述的功能，就必须在校园网中部署上网行为管理系统。学校部署的是“深信服”的上网行为管理系统。它直接部署在校园网中的3层交换机到互联网的出口处，即放置于网关出口之后，用户上网时所有的数据都必须经过该系统。这种方式设置简单、透明，适合学校不更改网络架构的情况。它不仅包含上述的管理与控制功能，还包含了防火墙、网络地址转换（Network Address Translation，NAT）、路由等功能。

3　上网行为管理功能

3.1用户管理

上网行为管理系统所管理的对象是终端的上网用户，因此用户是网络权限分配的基本单元。校园网络规模较大，教师和学生的数量较多，导致上网人员身份认证困难，并且内网的地址分辨协议（Address Resolution Protocol，ARP）欺骗多、拒绝服务（Denial of Service，DOS）攻击多。所以，上网行为管理系统采用支持二层和三层网络环境下的网络协议（Internet Protocol，IP）/媒体接入控制（Media Access Control，MAC）绑定的方式，可自动阻止非法占用他人IP地址的用户，如果用户电脑的IP地址与MAC地址没有同时绑定则该用户无法正常上网，这样就可以实现用户上网身份的唯一识别，方便了网络用户的管理。

当网络用户较多、组织结构较为复杂时，按照组织结构来管理用户是最有效的方式。学校就通过IP网段来划分结构，即根据不同的IP网段分为不同的组，对配置好的行为管控和审计策略最终都将赋予到用户组上，这样就方便了管理员管理网络用户。

3.2 流量管理

流量管理是基于网络的流量状况和流量控制方法，对数据流进行分类识别，并实施流量控制、优化和对关键网络应用进行一定保护的相关技术。随着网络的不断发展，各种网络应用，如利用P2P软件下载、在线玩游戏、在线观看电影等都挤占着有限的带宽资源。面对日益紧张的带宽资源，学校除了增加带宽以外，还可以通过上网行为管理系统，制定详细的带宽管理策略。它可以分配合适的带宽保证网络业务的需求，原理是划分多线路和多级父子通道，将网络用户放入不同的带宽通道，针对繁忙或者空闲的带宽通道执行动态监控功能，空闲时受限通道可以突破上限，充分提高网络带宽的利用率，同时也可以有效限制P2P流量的上传和下载［2］。在白天上班期间，对办公区域的IP网段内的流量不受限制，生活区的IP网段内的流量受限制。通过这种方式合理地分配和管理有限的带宽资源，节省投入成本。

3.3上网策略管理

学校部署的上网行为管理系统可以根据用户的权限分配情况设置不同的上网策略。如上网权限策略，其包含应用控制、Web过滤、安全套接层（Secure Socket Layer，SSL）管理和邮件过滤等；上网审计策略，其包含应用审计、外发文件告警和网页内容审计；上网安全策略，其包含危险行为识别和恶意网页过滤等。学校网络管理员可先在上网行为管理系统中配置所需要的上网策略，然后根据不同的用户组或不同的IP网段来应用这些上网策略，以达到安全上网的目的。

3.4上网行为审计和过滤

对于使用许多传统的技术方法来解决对网络用户访问的信息进行审计、过滤，如在防火墙上做配置以及在服务器上部署相关的软件进行控制等。但在网络规模较大、较为复杂的校园网络中使用传统的技术，就不太容易实现。“深信服”上网行为管理系统具有网络行为审计功能，它采用用户、应用、目的网页地址（Uniform Resource Locator，URL）、时间来准确记录内网用户的上网行为，有效控制信息的传播范围和敏感信息的泄露，其中包括对邮件的收发进行审计和过滤，通过匹配收发邮件的标题及内容关键字等特征进行邮件报警；对聊天工具的审计和过滤，通过审计聊天工具的收发动作、账号、聊天内容等，有效地为行为管理提供保障；搜索关键字的审计和过滤，通过记录用户在搜索引擎网站、门户网站、购物网站、视频信息网站、论坛贴吧等网站使用的关键字内容，过滤用户的非法搜索行为，保障校园网络的安全稳定。

3.5终端接入管理

传统的网络安全架构已经无法解决日益复杂的内网安全问题。人们在内网安全的实践中逐步意识到，多数安全的隐患来源于内网中的终端，因此保证各终端的安全性显得尤为重要，而对于接入内网终端的身份认证、安全检查和其他安全指标的评估成为维护内网安全的重要环节［3］。目前，用户对于学校内部网络终端的接入提出了越来越高的要求，希望能够提供系统、灵活、完善的网络管理方案，既能够保证满足不同用户对于终端接入管理易于操作的要求，同时也要满足网络管理员对于主机配置检查、安全性检查，以及运行过程中的监管等要求。

学校组建的局域网，用户较多，而这些用户的接入，都必须经过上网行为管理系统。当有外来用户需要上网时，要么直接开放，随意接入，这样就无法定位身份，安全风险高；要么需要提前申请临时账号，这样就变得管理复杂。这就要求建立一个比较完善的、便捷使用的终端接入管理系统。当用户电脑的IP/MAC与上网行为管理系统中设置的IP/MAC绑定一致时，就可以正常接入互联网，否则就无法接入互联网。为了便于管理校园网络，禁止用户在电脑终端使用360随身Wifi，当外来用户使用手机或无线设备通过360随身Wifi接入网络时，终端接入管理会阻止外来用户使用网络。

4　结语

学校通过部署上网行为管理系统后，形成一个安全、高效和规范的网络环境，不仅可以解决网络使用不合理现象，还解决用户的上网行为，引导教职工合理的使用网络，提高工作效率，有效地减少了互联网上不良信息对教职工带来的影响，这在很大程度上提高了学校信息化建设水平。

［1］徐俐铧.上网行为管理技术在计算机局域网安全中的应用［J］.科技致富向导，2015（9）：64.

［2］吴国祖，王洪波.基于上网行为管理系统的研究与应用［J］.电子技术与软件工程，2015（17）：21.

［3］臧晓晗. 终端接入控制技术［J］. 网管员世界，2010（21）：15-16.

Application of the Internet managing technology in campus network

Chen Taoxian
（Fujian Longyan Agricultural School， Longyan 364000， China）

As the rapid development of the Internet， the network has become an important part of school office work. Yet Internet environment and bad internet behavior by partial campus network users cause supervision of network center stress. Therefore， our school has fixed SANGFOR Internet monitoring system to make an accurate statistics and analysis for the various Internet applications and strengthen the management and control. Thus the safety and availability of the network will be promoted which can lay a solid foundation for the building of a green， harmonious and safe environment of campus network.

on-line management； campus network； network security

陈桃贤（1982— ），男，福建上杭，本科，助理讲师；研究方向：计算机网络。