谈校园网存在的问题及解决策略
2024-08-02
来源:易榕旅网
信息技术 SClENCE&丁ECHN0LOGY 谈校园网存在的问题及解决策略 倪玉林 (北京电子科技职业学院 北京 1 00029) 摘要:本文在校园网络管理实践的基础上,总结了校园网建设和使用中表现出来的几个常见问题,并从管理和技术两个层面提出了解决 策略及具体应用,以促进校园网的不断优化。 关键词:校园网 问题 解决策略 网络应用 中图分类号:TP39 3.I 8 文献标识码:A 文章编号:1672—3791(2o11)05(b)一0007--02 随着社会信息化进程的不断加快,信 设中应遵循的整体性、可靠性、适度超前 2.1.1统一规划、统一建设 息技术对学校教育改革产生了深刻的影 性、开放性、可扩充性、多功能性、安全性和 各类数据库系统的建立和完善,各类 响。校园网络的建设和完善不仅是实现教 保密性等原则,从而导致了校园网络的规 网络电子教学系统的开发,各职能部门、院 育现代化、管理信息自动化的一个重要途 划不合理,如表现在网络拓扑和子网结构 系、馆等的网站建设,学校0A系统建设等, 径,而且已成为衡量各级各类学校教育信 不合理,设备不稳定,系统生命周期不长、 都有必要在学校的统一规划管理下统一建 息化、现代化的一个重要标志。大多数有条 效益发挥不充分,设备型号断档或不配套, 设,以发挥整体优势,节约资源,提高效益。 件的学校已经完成了校园网的硬件工程建 不适用未来的业务需求,网络运转不正常 2.1.2加强校园网络制度建设 设,但建设中盲目追求高投入而缺乏有建 及泄密等方面。有的学校教学用网、办公用 校园网络安全同样是“三分技术,七分 设性的综合规划及开发应用的现象时有发 网、科研用网、学生用网等混杂在一起,局 管理”,因而用制度进行管理尤为重要。为 生。目前一些学校仍停留在高性能设备堆 部网络有问题出现时,可能致使校园网络 保障校园网络建设的合理性,可建立缝全 积的阶段,认为只要投资建好校园网的硬 整体瘫痪。有的是因教学等需要将部分办 校园网络建设开发及审批制度。为完善网 件工程,接入Internet,就等于实现了教学和 公室改为教学实训室时,原有网络线路不 络管理的基础性工作,可制定网络软、硬件 办公的自动化和信息化。然而,校园网络资 能满足教学实训需求,还需重新建设。 维护工作日常制度及其工作流程、应急处 源浪费严重、使用效率低下,网络规划不合 1.3网络安全隐患多 理程序等。为保障校园网络安全,可建立健 理,网络安全隐患多等问题,限制了网络设 在校园网络建设中,校园网络安全防 全网络安全管理制度及其应急响应方案, 备性能的充分发挥,并在一定程度上消减 范工作自然是至关重要的,特别是核心区 如包括:病毒防治、机房管理、保密规定、认 了校园网在学校管理、教育教学中的实际 与互联区的安全。黑客攻击、服务被拒绝、 证授权、访问控制、安全审计、安全教育、故 效益。本文在校园网络管理实践的基础上, 恶意软件泛滥、数据丢失等中的任一项均 障通报等,安全制度覆盖范围有物理环境、 针对所总结的校园网建设和使用中表现出 可能对网络造成致命的打击。但随着校园 机房、实体设备、网络、主机、数据库、应用 来的上述常见问题,提出了解决策略及其 网规模的不断扩大、用户数量的不断增加 系统、服务等。…为保障对外网络信息安全, 应用,以促进校园网的不断优化。 以及网络应用的快速发展,学园网络管理 亦可建立网上信息发布审批签发程序等。 和安全隐患中的问题尚未得到全面而有效 2.1.3提高网络管理人员的能力和素 1校园网存在的问题 解决,这必然影响学校的信息化建设。例 质,规范校园网络用户的使用行为 1.1资源浪费情况严重、使用效率低下 如,有的学校网络安全防范意识低,防攻击 可通过加强对校园网络管理人员的培 与校园网的硬件工程建设相比,有些 措施不到位,网络非法访问、非法信息得以 训和继续教育,增强管理人员的责任意识, 学校的软件建设成效不佳,尤其体现在外 传播和发布,网络设备出现意外故障,网络 提升服务水平。同时通过加强对教职工和 购软件与学校的实际需求存在差异,软件 系统遭受人为攻击及恶意软件的破坏,网 学生的用网教育,规范其行为,指导其正确 的及时升级不易保障;部门间相对独立、重 络堵塞等网络安全隐患频频出现,这些网 使用校园网络,以实现管好校园网,用好校 复建设,且兼容性差;信息化管理人员专业 络安全问题在不同程度上影响着校园网络 园网,发挥校园网的最大效益。例如,可以 化程度参差不齐,专业软件系统使用效率 的正常运行。 在校园网中使用域管理,规定教职工和学 不高等方面,致使学校资源浪费严重,使用 生的电脑接收域控制器的管理,严格控制 效率低下。 2解决策略及其应用 用户权限;规定办公电脑实行实名负责制, 1.2网络规划不合理 基于校园网络管理实践,本文认为校 以有效保护办公环境,在出现网络问题的 由于盲目追求校园网建设的高速度, 园网建设和使用中存在的上述常见问题, 时候,使得管理员能够准确定位,快速得出 没有进行全面系统的需求分析等因素,在 可以通过管理和技术两个层面加以解决。 处理方案;规定学生电脑在上课期间禁止 校园网建设初期往往容易忽视了校园网建 2.1管理层面 使用占用网络带宽严重的软件及工具等。 2.2技术层面 流 2.2.1网络部署方面 校园网 负 J里 公 网络建设初期,调研小组应从学校整 办公子网}._— 科研子网 载 控 体的角度对校园网建设做需求分析,得出 均 制 教育网 的结论要尽可能具有前瞻性,着眼未来。在 T教学子网I , , 衡 形 整 Interne L 建设时,应合理地规划和设计网络结构,使 用路由和交换技术等将网络分出层次;使 l +r 设用访问控制列表(ACL)等技术控制网间的 —— l 学生子网 备 备 设 通讯方向;使用负载均衡、流量整形控制技 术等,合理分配有限的网络出口带宽,提高 图1 使用效率,降低网络堵塞的范围。例如图l 科技资讯SCIENCE&TECHNOLOGY INFORMATION 7 匪匿囫 所不。 信息技术 内重要主机的系统Et志和它的网络实时连 也已出现了不少使用该技术的硬件设备和 接作智能分析及判断,并采取有效措施,才 能有利干加强校园网络安全。 软件产品。 在此图中,即通过路由和交换技术在 校园网络中设置教学用子网、办公用子网、 (4)使用负载均衡设备。为了在完成同 (3)使用网络防病毒技术:随着计算机 样功能的多个网络设备之间实现合理的业 分出层次,做一定程度的隔离,并根据实际 病毒形式及传播途径的多样化,建立多层 务量分配,提高整个校园网络系统的处理 情况,控制子网之间的通讯方向。使用ACL 次、立体的防病毒体系,才能更有利于保障 能力,满足校园网络用户需求,可以考虑采 科研用子网、学生用子网,将它们在逻辑上 技术限制学生子网终端访问办公子网终 端、科研用网终端;允许办公子网终端与教 整个校园网络不受或尽量少受计算机病毒 用负载均衡的方法。通过使用负载均衡设 的侵害。网络防病毒软件也是校园网络防 备,既可以减少用户等待响应的时间,又可 学子网终端、办公子网终端与科研子网终 病毒体系中不可或缺的组成部分。如可采 以大幅提高网络系统的处理能力。因为这 端、科研子网终端与教学子网终端、教学子 用赛门铁克企业网络防病毒系统,Kill网络 种方法能够把大量的并发访问或者数据流 网终端与学生子网终端之间能够相互访 防病毒系统等,以实时监测并记录校园网 问,以控制网络内部的广播风暴、保障信息 量分担到多台节点设备上分别处理,也能 内所有网络终端的病毒监控、检测和清除 够将单个重负载的运算分担到多台节点设 安全等。当校园网络中的任一子网出现故 信息,减少校园网安全漏洞,并保障校园网 障时,网络管理维护人员只需着重分析该 内子网间的正常通讯,有效实现对整个校 子网的逻辑结构有没有被破坏,子网内部 园网络防护系统的自动控制,增强校园网 主机有没有遭受网络病毒的攻击等,及时 络的病毒抵御能力。 将网络恢复至正常状态,而不必担心其它 2.3网络应用方面 子网的用户会因此受到影响。在校园网络 在加强网络部署和网络防护的基础 和外部网络之间架设负载均衡、流量整形 上,本文认为还应重点强调以下七个应用。 等设备,可以在一定程度上有效解决校园 (1)限制网络行为。由于现行的诸多网 网拥塞、断网等问题,以及提高整个校园网 络应用采用P2P等技术,造成了网络“堵 络系统的处理能力。 车”,干扰了校园网的正常运行,因而合理 2.2.2网络防护方面 管理校园网络资源的首要前提是限制校园 (1)使用防火墙技术:防火墙对校园网 网用户的网络行为。可以使用网管软、硬件 安全具有很好的保护作用。防火墙主要由 限制P2P下载,通过限制端口、服务器IP、传 服务访问规则、验证工具、包过滤和应用网 输协议等方法,禁止用户的某些网络行为, 关四部分组成,是一种计算机硬件和软件 净化校园网络环境;同时还要防止非P2P行 的结合。使用防火墙技术,可以构造一层保 为的过量占用校园网带宽的行为,进而实 护屏障,强化网络安全策略,有效记录网络 现对校园网合理有效利用。如在控制学生 日志,防止影响一个网段的问题通过整个 在机房的上网行为方面,可以考虑利用 网络传播,是可疑的访问拒之门外。如图1 routeros等路由操作系统将学校原有的低 所示,可以在校园网络和教育网络之间、校 配置服务器配置成专业路由器,用最少的 园网络与Internet网络之间、校园网络与其 投入,利用无线、认证、策略路由、带宽控制 内部主机之间架设防火墙,对流经它们的 和防火墙过滤等功能,控制学生在机房的 网络通信进行扫描,过滤掉一些攻击,关闭 上网行为。 不使用的端口,禁止特定端口的流出通信, (2)限制网络流量。对此,从技术和计费 封锁特洛伊木马,禁止来自特殊站点的访 制度两方面着手可取得较好的效果。例如, 问等,从而防止来自不明入侵者的所有通 对网段、时间段、用户终端等进行网速限 信。例如只打开80(HTTP)、21(FTP),25 制,同时建立身份认证计费系统,制定限流 (SMTP)、l1O(POP3)、443(I{TTPS)端口等所 量等校园网使用政策。在校园网计费制度 必需的服务端口,控制不需要的流量,限制 上,可每月设定一定的免费流量,以满足正 访问外网的时间,绑定IP地址和MAC地址, 常的办公和学习需求,当流量超出使用规 定期查看防火墙访问日志,严格控制管理 定时,如需继续访问校园的外部网络,则需 员权限等。目前较多使用的软件防火墙主 根据实际需求通过审批或是支付相应的流 要有360防火墙、瑞星防火墙、天网防火墙 量费用获得流量。 等;较多使用的硬件防火墙主要有cisco防 (3)使用流量整形技术。为尽可能避免 火墙、神州数码防火墙等。 校园网使用中不必要的断网和拥塞,可以 (2)使用入侵检测技术:为了有效保障校 通过使用流量整形技术,对校园网络流量 园网络系统安全,使用能够及时发现并报告 进行识别和控制。这一技术可以解决多种 系统中未授权或异常现象的技术尤为必要。 服务共用同一端口的问题,可以进行校园 如可以配置用于检测校园网络中违反安全 网基于业务分类(比如按协议、子网进行分 策略行为的入侵检测设备和软件,对校园网 类)的流量整形,可以设定带宽大小,在允 中的重要网段及主机进行入侵检测分析及 许的条件下还可以允许突发传输,以保障 采取相应的保护措施。只有不停地对校园网 网络通信的质量。使用流量整形技术,不需 络中的每一个可疑数据包进行分析,及时发 对现有网络结构进行大的调整,就可以实 现异常并发出预警、限制网络连接,对校园 现校园网络流量的合理分配。目前市场上 8 科技资讯SCIENCE&TECHNOLOGY INFORMATION 备上做并行处理,每个节点设备处理结束 后,将结果汇总,再返回给用户,不会出现 校园网络中一台设备过忙而其他的设备却 没有充分发挥处理能力的情况。 (5)使用代理服务器,提升网络资源的 使用效率。如将Squid代理服务器配置成代 理缓冲器,通过使用代理缓冲器的透明模 式,在不增加用户使用复杂度的前提下,达 到提高校园网内部访问公网的速度,有效 缓解带宽压力的目的。 (6)架设校园网络电话视频系统。为了 充分校园网络资源,可以使用GUN协议下 的SIP套件,配合廉价服务器会构建一套性 价比极高的V0IP系统,降低校园内部语音 费。其基本模式如下:构建用户代理服务 器、代理服务器、重定向服务器以及注册服 务器实现功能强大的IP PBX,负责建立校 园网络中的所有SIP电话通话。 (7)建立校园网络U盘。即建立可以随 时随地上传、下载文件且功能强大的校园 网络U盘,并为每一位教职工和学生建立校 园网络u盘账号。这种做法既方便教学,又 可以在一段程度上有效地降低校园网用户 对移动存储设备的依赖,进而降低恶意软 件经移动设备在校园网内部传播的风险。 校园网存在的问题是复杂且不断变化 的,随着网络信息技术的不断更新和校园网 络建设的不断发展,优化校园网络仍将是一 项长期的综合性的工作。及时发现并解决校 园网络中存在的问题,不仅是需投入大量的 资金和人力,关键是要根据网络环境和技术 的发展,从学校实际情况出发,综合考虑现 有软硬件情况、服务需求和安全风险等方 面,不断调整解决策略,寻求最佳的管理和 技术的组合,循序渐进,逐步完善。 参考文献 【1]刘善文,郑海新,刘建宏,等.网络安全 立体防护体系的构建[J】.计算机安全, 2009,l0.