隨著網(wǎng)絡(luò)的普及和發(fā)展，我國的教育系統(tǒng)網(wǎng)絡(luò)建設(shè)也進(jìn)入了一個高速發(fā)展的階段，但是由于種種原因，還存在著一些問題，主要有：
　　◆技術(shù)人員缺乏。在教育城域網(wǎng)中，特別是學(xué)校校園網(wǎng)絡(luò)的管理中，計算機(jī)核心技術(shù)的管理人員相對缺乏。由于病毒或網(wǎng)絡(luò)風(fēng)暴的影響，學(xué)校網(wǎng)絡(luò)邊界安全部署及相關(guān)策略設(shè)置不合理，造成教育城域網(wǎng)主干流量普遍偏高、速度偏慢現(xiàn)象嚴(yán)重。
　　◆安全漏洞定位困難。學(xué)校終端用戶數(shù)量大，病毒感染的幾率高，學(xué)校網(wǎng)絡(luò)中心對病毒暴發(fā)源缺乏有效的探測與定位，終端病毒感染與傳播速度快，加上各類多線程或P2P的應(yīng)用軟件無限制使用，造成學(xué)校網(wǎng)絡(luò)出口嚴(yán)重阻塞，學(xué)校網(wǎng)絡(luò)帶寬使用率低。
　　◆監(jiān)控機(jī)制不完善。學(xué)校上網(wǎng)高峰期集中，師生上網(wǎng)行為復(fù)雜，監(jiān)控機(jī)制不完善，造成城域網(wǎng)中心與學(xué)校網(wǎng)絡(luò)中心對師生上網(wǎng)行為安全的監(jiān)管及時性不夠，不良信息的傳播很難得到有效的監(jiān)控與防范。
　　
　　安全需求
　　
　　需要對教育城域網(wǎng)接入學(xué)校邊界進(jìn)行統(tǒng)一的監(jiān)管：學(xué)校分散面廣，接入Internet的類型不可控制，學(xué)校網(wǎng)絡(luò)管理員力量薄弱，使得安全隱患大，安全策略定制合理性不強(qiáng)。獨(dú)立的邊界防火墻在學(xué)校網(wǎng)絡(luò)中的部署不能達(dá)到預(yù)期安全防范的效果，因此采用分布式的學(xué)校邊界安全部署，可以充分發(fā)揮教育城域網(wǎng)絡(luò)管理人員的技術(shù)優(yōu)勢來對學(xué)校邊界安全進(jìn)行管理，有效控制教育城域網(wǎng)的主干安全與校園網(wǎng)內(nèi)部的安全防范需求。
　　需要對師生上網(wǎng)行為進(jìn)行統(tǒng)一的、有效的監(jiān)管：由于學(xué)校終端數(shù)量多，師生上網(wǎng)行為復(fù)雜，任何人都可以通過Internet發(fā)布不良信息甚至非法信息，互聯(lián)網(wǎng)中大量的不良信息充斥整個校園網(wǎng)絡(luò)。為了加強(qiáng)對師生上網(wǎng)行為管理與監(jiān)控，實現(xiàn)文明上網(wǎng)、安全上網(wǎng)，營造綠色網(wǎng)絡(luò)環(huán)境，應(yīng)采用分布式的上網(wǎng)行為審計系統(tǒng)部署。
　　需要對終端病毒的感染與傳播進(jìn)行有效的防范：學(xué)校缺乏對病毒的感染和傳播進(jìn)行有效防范，因此采用統(tǒng)一的網(wǎng)絡(luò)防病毒軟件的部署，統(tǒng)一實時更新病毒庫，控制端實時監(jiān)控終端感染病毒情況，及時對病毒的防殺，有效地防范了終端病毒的傳播，進(jìn)一步優(yōu)化網(wǎng)絡(luò)安全的管理機(jī)制，實現(xiàn)高速上網(wǎng)、放心上網(wǎng)。
　　
　　技術(shù)難點(diǎn)
　　
　　在當(dāng)今這個信息化社會中，現(xiàn)代社會生活對網(wǎng)絡(luò)的高度依賴，保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要，防火墻、VPN、IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。但是這些產(chǎn)品大部分功能分散、各自為戰(zhàn)，形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”；各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制，不能互相支撐、協(xié)同工作。因此需解決的技術(shù)難點(diǎn)主要包括：統(tǒng)一的工作業(yè)務(wù)界面、統(tǒng)一的控制平臺、統(tǒng)一的分布式部署連接方式、統(tǒng)一的用戶權(quán)限分配、統(tǒng)一的安全事件分析。
　　
　　部署架構(gòu)
　　
　　分布式網(wǎng)絡(luò)安全中探測引擎的部署架構(gòu)：分布式的網(wǎng)絡(luò)安全部署主要由兩部分組成，包括分布式邊界安全（防火墻）部署和分布式審計系統(tǒng)部署，部署形式主要由探測引擎、數(shù)據(jù)管理中心和分布式中心三個部分組成。
　　分布式防火墻和審計系統(tǒng)都采用三級管理架構(gòu)，一個數(shù)據(jù)管理中心可以連接多個探測引擎。數(shù)據(jù)中心和探測引擎物理上可以分開安裝在兩個專用服務(wù)器上，也可以安裝在同一臺專用服務(wù)器上，一個探測引擎同時只能和一個數(shù)據(jù)管理中心連接。
　　數(shù)據(jù)管理中心主要包含以下幾個部分：數(shù)據(jù)庫管理、策略配置、人機(jī)界面、探測引擎管理、其他管理；安全審計的數(shù)據(jù)管理中心采用B/S架構(gòu)，通過提供瀏覽器服務(wù)端，使管理人員很方便地通過網(wǎng)頁瀏覽器對數(shù)據(jù)管理中心進(jìn)行操作管理；防火墻的數(shù)據(jù)管理中心采用C/S架構(gòu)，最大限度確保邊界數(shù)據(jù)的安全。
　　分布式中心可以管理多個數(shù)據(jù)管理中心。分布式中心可以統(tǒng)一制定并下發(fā)控管策略，可以定制需要接收、集中的相應(yīng)數(shù)據(jù)，并具有完善的報表統(tǒng)計功能，集中關(guān)聯(lián)處理網(wǎng)絡(luò)中的所有安全事件。
　　分布式網(wǎng)絡(luò)安全系統(tǒng)在教育城域網(wǎng)中的部署架構(gòu)：分布式網(wǎng)絡(luò)安全系統(tǒng)在教育城域網(wǎng)中的具體部署（整體方案的部署適合未接入教育網(wǎng)的用戶，如采用ADSL的PPOE撥號用戶），分布式中心可以統(tǒng)一或者定制下發(fā)策略到每個學(xué)校，從而實現(xiàn)對整個教育城域網(wǎng)內(nèi)學(xué)校的邊界安全和上網(wǎng)行為管理。
　　
　　現(xiàn)實應(yīng)用
　　
　　我區(qū)采用分布式的網(wǎng)絡(luò)安全部署囊括了所有公辦中小學(xué)校，共部署91臺防火墻（清華比威）、91臺安全審計（網(wǎng)絡(luò)哨兵）設(shè)備和近12000個網(wǎng)絡(luò)防病毒點(diǎn)（卡巴斯基）。學(xué)校網(wǎng)絡(luò)安全的分布式部署、統(tǒng)一管理在我區(qū)實際應(yīng)用中取得了很好的實效。統(tǒng)一管理的應(yīng)用主要有以下幾方面：
　　
　　學(xué)校邊界防火墻分布式部署、統(tǒng)一管理在我區(qū)的應(yīng)用
　　1.學(xué)校網(wǎng)絡(luò)狀態(tài)顯示及防火墻邊界的遠(yuǎn)程協(xié)管分布式部署。在各學(xué)校的防火墻，采用內(nèi)建VPN連入控管中心防火墻，控管中心SERVER按15秒輪巡的方式實時監(jiān)控學(xué)校網(wǎng)絡(luò)的出口狀態(tài)，一目了然地了解學(xué)校網(wǎng)絡(luò)實時運(yùn)行的健康狀況。在分布式的部署中，城域網(wǎng)中心根據(jù)學(xué)校網(wǎng)絡(luò)管理員的實際處理網(wǎng)絡(luò)安全事故的能力情況，下發(fā)相應(yīng)的策略管理員權(quán)限給學(xué)校網(wǎng)絡(luò)管理員，學(xué)校網(wǎng)絡(luò)出現(xiàn)故障而學(xué)校網(wǎng)管員無法解決時，城域網(wǎng)中心可以通過控管平臺直接連入學(xué)校防火墻設(shè)備，進(jìn)行遠(yuǎn)程協(xié)管工作。
　　2.防火墻中心控管策略統(tǒng)一定制與下發(fā)。在充分調(diào)研學(xué)校網(wǎng)絡(luò)應(yīng)用的情況下，城域網(wǎng)中心根據(jù)各類學(xué)校的實際需求，下發(fā)相關(guān)的防火墻控管策略，策略下發(fā)可單個學(xué)校進(jìn)行，也可分批、分組進(jìn)行。統(tǒng)一策略的管理，可以確保城域網(wǎng)主干網(wǎng)的干凈、暢通，可以及時避免網(wǎng)絡(luò)安全事故，十分有利于城域網(wǎng)主干安全的管理，節(jié)省大量的人力和物力。
　　3.網(wǎng)絡(luò)安全評估報表。網(wǎng)絡(luò)安全評估報表包括“安全日志報表”和“流量日志報表”，有目的調(diào)整相應(yīng)策略和及時做好學(xué)校終端設(shè)備的管理，如及時的打補(bǔ)丁、病毒的防殺、安全隱患的消除等，更好地優(yōu)化學(xué)校校園網(wǎng)絡(luò)環(huán)境，保證學(xué)校網(wǎng)絡(luò)的高速、暢通。
　　4.網(wǎng)絡(luò)安全日志及流量信息統(tǒng)計。分布式部署、統(tǒng)一管理可以對所有學(xué)校的上網(wǎng)日志進(jìn)行統(tǒng)一的管理和存儲，確保了日志的完整性，也便于對全區(qū)學(xué)校網(wǎng)絡(luò)流量及相關(guān)數(shù)據(jù)的整體分析，為城域網(wǎng)中心全面了解學(xué)校網(wǎng)絡(luò)的運(yùn)行情況提供必要的數(shù)據(jù)，如通過整體的安全日志的實時情況，可以充分了解各學(xué)校終端病毒暴發(fā)的情況、了解學(xué)校邊界防火墻策略設(shè)置的情況等。
　　
　　學(xué)校上網(wǎng)行為安全審計分布式部署、統(tǒng)一管理在我區(qū)的應(yīng)用
　　通過使用網(wǎng)頁過濾庫，在校園內(nèi)全方位阻擋不良網(wǎng)上信息對學(xué)生的毒害，通過調(diào)用內(nèi)置的強(qiáng)大網(wǎng)頁分類過濾庫，針對每一類網(wǎng)站的訪問行為進(jìn)行控制，過濾不良網(wǎng)頁，屏蔽不良信息（黃、賭、毒、邪等）。網(wǎng)管員可以自定義過濾庫，增加了管理的靈活性。
　　系統(tǒng)實現(xiàn)了對基于HTTP（WEB、POST）、FTP、BT、郵件（SMTP、POP3、WEBMAIL、LOTUS）、聊天（ICQ、QQ、MSN、網(wǎng)易泡泡、Yahoo Messenger、UC）、Telnet、游戲（反恐精英、星際爭霸、魔獸爭霸、暗黑破壞神等十幾種游戲）、音視頻等協(xié)議的行為進(jìn)行審計及賬號報警。對通過SMTP、POP3協(xié)議以及通過網(wǎng)頁收發(fā)的郵件內(nèi)容及附件，通過網(wǎng)頁發(fā)送的其他數(shù)據(jù)內(nèi)容例如BBS內(nèi)容，通過ICQ、MSN、網(wǎng)易泡泡、Yahoo Messenger等聊天工具發(fā)送的即時信息內(nèi)容，以及FTP（等工具）上傳文件的內(nèi)容進(jìn)行審計及內(nèi)容報警。
　　完善的審計信息查詢：為了方便查詢和使用，系統(tǒng)提供強(qiáng)大的查詢功能。用戶可以按照不同的協(xié)議、不同的審計內(nèi)容以及通過相應(yīng)關(guān)鍵字查詢所需要的審計信息。
　　學(xué)校上網(wǎng)行為安全審計中心策略的定制與下發(fā)：系統(tǒng)通過使用管理策略實現(xiàn)對各種上網(wǎng)行為進(jìn)行的細(xì)粒度的審計和管理。分布式中心可以設(shè)置每個客戶端的數(shù)據(jù)上傳策略，實現(xiàn)對指定學(xué)校校園網(wǎng)信息的收集、統(tǒng)計和分析。
　　系統(tǒng)可自動解析所有審計對象的機(jī)器名、獲得對象的IP地址、MAC地址；手動綁定審計對象的IP與MAC
　　地址；根據(jù)用戶組織結(jié)構(gòu)或IP地址分配特點(diǎn)劃分不同的審計對象組；通過使用“使用者”，系統(tǒng)管理員等可以以直觀的學(xué)校名來管理機(jī)器等信息；系統(tǒng)可以在全局、本地、審計組以及單個審計對象四個級別部署和下發(fā)對應(yīng)審計控制策略。系統(tǒng)實現(xiàn)了對校園網(wǎng)內(nèi)的上網(wǎng)流量進(jìn)行管理，能實時顯示各個審計對象（組）、多種協(xié)議流量，并進(jìn)行流量排名。
　　提供強(qiáng)大的報表分析功能：按照時間、網(wǎng)絡(luò)應(yīng)用、操作結(jié)果、審計對象等條件生成報表；在已經(jīng)生成的報表界面內(nèi)，可以按照需要生成對應(yīng)的圖形報表。報表可以導(dǎo)出為TXT、HTML、EXCEL等格式。根據(jù)學(xué)校流量、訪問量與網(wǎng)頁訪問的次數(shù)數(shù)值，作為衡量學(xué)校信息化應(yīng)用情況的有效數(shù)據(jù)，根據(jù)站點(diǎn)訪問情況的站點(diǎn)排名，可以發(fā)現(xiàn)和推薦一些好的資源應(yīng)用站點(diǎn)。
　　
　　結(jié)束語
　　
　　分布式的網(wǎng)絡(luò)安全部署有效解決了教育城域網(wǎng)面廣、用戶終端數(shù)量大、難管理的缺點(diǎn)，有效地整合了網(wǎng)絡(luò)管理員的人力資源，完善了城域網(wǎng)安全的管理機(jī)制，規(guī)范了師生的上網(wǎng)行為，優(yōu)化了校園內(nèi)外網(wǎng)絡(luò)環(huán)境。
　　分布式的網(wǎng)絡(luò)安全部署從技術(shù)解決層面上不僅可以大面積應(yīng)用在教育城域網(wǎng)絡(luò)上，在很大程度上可以部署在網(wǎng)吧、酒店等復(fù)雜的公眾網(wǎng)絡(luò)環(huán)境，上級管理部門可以集中管理和監(jiān)控各類上網(wǎng)行為，規(guī)范社會網(wǎng)絡(luò)行為。