利用RouterOS构建安全高效的信息技术课堂网络新环境研究

阮军灿

摘 要：在网络日益发展的今天，中小学信息技术课堂中利用网络开展教学的内容也越来越多，但是经常有学生在课堂上偷偷访问一些与教学无关的网站，玩游戏、下载音乐、看在线电影等行为，严重影响了正常的教学秩序。因此，信息技术课堂中，对学生的上网行为进行必要的管理，已成为信息技术课亟待解决的问题。文章作者通过尝试、研究、再改进，积累了一定的管理经验，具有一定的参考和借鉴意义。

关键词：信息技术课堂；上网行为管理；RouterOS；ROS

在教学过程中，教师经常发现有的学生访问一些与教学无关的网站，玩在线游戏，或偷偷下载某些软件私自安装，有时，还会有意无意的操作，弹出一些不良信息，极大地干扰了课堂教学，教师监管十分困难，因此，许多学校的信息技术课不敢轻易开放网络。但是不能因噎废食，在保障课堂教学正常进行时，合理地对学生上网行为进行有效的管理，已成为当今中小学信息技术课亟待解决的问题。从2009年开始，学校在机房部署了RouterOS路由器，尝试从技术上加以管控，有效解决了网络管理中的一系列问题，效果明显。

RouterOS（以下简称ROS）是一种基于Linux内核设计的软件路由系统，性能稳定功能丰富且价格低廉。ROS在身份认证、策略路由、带宽控制和防火墙过滤等功能上有着突出的表现。它提供了多种配置与管理的方式，其中WinBox控制台方式是最简单易用的，下文所有操作均基于该方式进行。

1 网络机房拓扑结构

图1为网络拓扑图，以下配置均基于该网络架构。

2 上网行为管理的实现

2.1 实现白名单、黑名单功能

有时教师只想让学生访问一些指定的站点（白名单），这时可以把它们加入到允许访问的列表中。例如，我们只允许学生访问baidu.com，除此之外都禁止，可以这样操作：

启用Web Proxy，在Web Proxy的Access中，建一条允许"*.baidu.com"的规则，再禁止所有连接，如图2所示。

同样，可以通过添加禁止访问的站点，以达到屏蔽不良网站（黑名单）的目的。注意，这里Dst. Host选项中的统配符“*”，表示匹配任意“.baidu.com”的域名，并且要注意规则的优先级。

2.2 内部DNS域名解析

设置内部DNS，可以加快内网计算机访问外网的速度，还可以自定义域名。例如，经常有学生在上课时访问一些小游戏站点，此时可以利用内部DNS，把这些游戏站点指向学校网站，这样既可以减少玩游戏现象，还起到了推广学校网站的作用。例如，把4399.com域名解析到校园网的IP上，可以这样操作：

（1）添加DNS转发功能。单击“IP--DNS”，在DNS窗口中点击“Settings”，在Servers中输入本地真实DNS服务器IP，并且勾选“Allow Remote Requests”，如图3所示。

（2）设置内部DNS域名解析。单击“+”添加一条新记录，在Name处填写想要解析的域名，在Address处则填写想要把该域名解析到的指定的IP地址，点OK即可，如图4所示。

当然，要想实现内部域名解析，学生机的首选DNS地址必须设置成ROS路由器的内网IP地址。

2.3 关键字过滤

互联网资源浩瀚如烟海，我们需要的信息大多通过关键字搜索来获取，但是对于一些敏感的信息，我们不希望学生随意查阅，这时，就可以通过限制关键字的方法来实现。方法如下：

单击“IP—Firewall”，在“Filter Rule”中单击“+”添加一条新规则，在“Advanced”中的“Content”处添加要过滤的关键字，再在“Action”中选择“drop”即可。如图4所示。

2.4 禁止下载指定类型的文件

网络机房是用来学习的场所，很多情况下，网上大量的多媒体信息，只会干扰正常的教学，我们可以采用限制相应文件扩展名来实现访问控制。表1列出了常见的文件扩展名及推荐处理方法，供参考。

以在线小游戏为例，这些游戏大多采用Flash的形式，可以采用阻止swf文件，以达到禁止的目的，方法如下：

打开Web Proxy，在Access上单击“+”新增一条连接规则，在Path中输入“*.swf”，并且在Action中选择“deny”即可。阻止其他类型的文件，设置方法类似。

3 网络带宽控制

学校网络大多采用共享式上网，带宽资源本来就十分紧张，如果不对流量加以控制，就会出现因少数人下载或观看在线电影，而拖慢整个网络，学生机房也是如此。在ROS中，控流的方式很多，最方便的是使用简单队列功能来实现。

例如，对IP为172.16.1.11的计算机限制上传下载分别为128KB/256KB，方法如下：

单击Queues，在Simple Queues中点“+”添加一条新限速规则，在“Name”处输入规则的名称，可自定，在“Target Address”处填写想要限速的目标IP（或IP段），也可以用逗号分隔开网络段或主机地址。在Max Limit处分别填写上传与下载的比率1024000/2048000，注意这里的单位是bits/s！

另外，如果想要对大量连续IP作限速，可以编写简单的脚本来实现，不过限速规则越多会影响路由器性能，一般做成动态限速，限于篇辐，这里不再赘述。

4 记录上网日志

互联网已成为我们学习、生活的一部分，在充分享受网络带来的便利之时，也不可否认其带来的负面影响和安全威胁。根据《公安部第82号令》要求，凡提供网络接入的单位必须保留60天的用户上网记录，所幸ROS也具有日志记录功能。具体设置如图5所示：

（1）单击“IP--Accouting”选项，打开“IP Traffic Accouting”对话框，单击“Traffic Accouting”按钮，打开“Traffic Accouting”对话框，选中“Enable Accounting”复选框，单击“OK”按钮。

（2）单击“IP Traffic Accouting”对话框的“Web Access”按钮，弹出“Traffic Accounting Web Access”对话框，选中“Accessible via Web”复选框，并在“Address”处填写保存日志的计算机IP。

（3）在保存日志的计算机上运行“MikroTik Log Downloader”日志下载工具，单击“Add”添加ROS的IP地址，选择日志存放的位置，如果正常的话，在Status状态下面显示“OK”，即表示设置正确。这时，系统默认每隔15秒从ROS路由器下载一次日志，保存在指定的地方。

通过以上的设置，基本解决了中小学信息技术课中学生上网的种种问题，但是也应该清醒地认识到，技术上的约束并非良方妙药，只有采用正确的方式，从源头上净化网络环境，在思想上给予学生正确引导，使其认识到互联网的利弊，提高检索、筛选、鉴别信息的能力，养成良好的上网行为习惯，只有这样才可使网络真正为教育教学服务。

[参考文献]

[1]崔北亮.RouterOS全攻略[M].北京：电子工业出版社，2010.

[2]网大科技.RouterOS v5中文网络教程[J/OL].www.mikrotik.com.cn.

Establish a Secure and Highly Efficient Network for the Information Technology Classroom Teaching with the Application of RouterOS

Ruan Juncan

（Shangyu Primary School， Shaoxing 312300， China）

Abstract： Nowadays， with a rapid development of networks， information technologies are widely applied with education purposes in middle school and primary school during daily classroom teachings. However， there still could be students accessing irrelevant Websites， playing games， downloading audios， watching online movies during the appliance of facilities， which will significantly influence the normal teaching orders and disrupt classroom disciplines. Therefore， to necessarily administrate the network usagesat the students during the information technology classes has become a urgent education issue to be solved. The author has been trying to solve the issues with practical experience， researches and modified methods. The article is to provide a discussion and a reference.

Key words： information technology education； administration of online behavior； RouterOS； ROS