錢耀剛　張海云

隨著學(xué)校網(wǎng)絡(luò)應(yīng)用層次的提升，如何構(gòu)建安全而高效的校園網(wǎng)絡(luò)成了擺在學(xué)校網(wǎng)絡(luò)管理員面前的一個(gè)重要課題。學(xué)校服務(wù)器受到黑客攻擊、病毒肆虐、網(wǎng)絡(luò)帶寬被無效流量擠占等一系列的安全與管理問題成為棘手問題。筆者在此想談?wù)勅绾卫瞄_源、自由、免費(fèi)軟件構(gòu)建安全高效的校園網(wǎng)絡(luò)環(huán)境。

之所以選擇免費(fèi)軟件，一是在倡導(dǎo)軟件正版化的今天，免費(fèi)軟件既可構(gòu)建安全網(wǎng)絡(luò)，又能節(jié)約經(jīng)費(fèi)開支。二是免費(fèi)軟件功能強(qiáng)大，完全可以解決學(xué)校網(wǎng)絡(luò)安全問題。

構(gòu)筑堅(jiān)固門戶 嚴(yán)防外侵內(nèi)擾

校園網(wǎng)絡(luò)的第一道安全關(guān)卡就是網(wǎng)絡(luò)防火墻，它是整個(gè)網(wǎng)絡(luò)的門戶，是構(gòu)建安全網(wǎng)絡(luò)環(huán)境的重要的環(huán)節(jié)。我們選用的是一款名為pfsense的網(wǎng)絡(luò)防火墻，它基于FreeBsd系統(tǒng)開發(fā)，在網(wǎng)絡(luò)安全領(lǐng)域有著堅(jiān)若磐石的美譽(yù)。

硬件準(zhǔn)備：一臺(tái)計(jì)算機(jī)，加上三塊網(wǎng)卡即可。具體的配置要求可參考下表。

軟件準(zhǔn)備：在網(wǎng)址（http：//www.pfsense.org/mirror.php？section=downloads）下載并刻錄光盤。安裝過程簡(jiǎn)單，只需填寫網(wǎng)關(guān)、子網(wǎng)、DNS等為數(shù)不多的參數(shù)，一個(gè)強(qiáng)大的防火墻很快就制成了。

防火墻的精華之處就是可以設(shè)定各種規(guī)則，防范來自內(nèi)外部的網(wǎng)絡(luò)攻擊行為。pfsense是如何做的呢？

首先，我們要通過瀏覽器登錄pfsense的管理界面（網(wǎng)址依安裝時(shí)設(shè)置而定）。打開左側(cè)菜單欄中的 “Rules”菜單。在這里可以設(shè)置學(xué)校局域網(wǎng)內(nèi)計(jì)算機(jī)上網(wǎng)的規(guī)則，也可以設(shè)置外部計(jì)算機(jī)訪問學(xué)校網(wǎng)絡(luò)的規(guī)則。

根據(jù)網(wǎng)絡(luò)安全基本原則，一般將局域網(wǎng)內(nèi)的計(jì)算機(jī)對(duì)網(wǎng)絡(luò)的訪問設(shè)置成不限制，而將外部計(jì)算機(jī)訪問局域網(wǎng)計(jì)算機(jī)設(shè)置為完全禁止。同時(shí)，為了讓外部的計(jì)算機(jī)可以訪問學(xué)校的網(wǎng)頁、郵件服務(wù)器等，我們還要設(shè)置一個(gè)專門用于放置服務(wù)器的DMZ（非軍事區(qū)）區(qū)域。并將訪問DMZ區(qū)域的權(quán)限加以限制。那么，如何定義規(guī)則呢？我們只需單擊Rules菜單項(xiàng)的內(nèi)容頁上相應(yīng)端口（LAN、WAN、OPT1等）下面的“+”按鈕，就可以添加所需的規(guī)則了。下面就來看一下如何定義一條防火墻規(guī)則。

通過圖示，可以發(fā)現(xiàn)規(guī)則是非常簡(jiǎn)單的。例如，由于某教師違規(guī)使用網(wǎng)絡(luò)，我們要限制一臺(tái)IP為192.168.1.11的教師計(jì)算機(jī)不能訪問外部網(wǎng)絡(luò)。只需要在LAN端口添加這樣一條規(guī)則就可以了：規(guī)則的動(dòng)作設(shè)置為“block（阻止）”，源地址類型為single host or alias（單機(jī)或者別名），源地址值為192.168.1.11，規(guī)則針對(duì)的協(xié)議設(shè)置為any，目標(biāo)地址類型設(shè)置為network，值設(shè)置為192.168.1.0/24，同時(shí)勾選“not”這個(gè)選項(xiàng)。這樣，這臺(tái)192.168.1.11的教師計(jì)算機(jī)就只能訪問學(xué)校局域網(wǎng)的計(jì)算機(jī)。又如， 要限制外部計(jì)算機(jī)只能訪問學(xué)校網(wǎng)站，只需要在WAN口添加規(guī)則。規(guī)則的動(dòng)作設(shè)置為“pass（通過）”，源地址設(shè)置為any，規(guī)則協(xié)議設(shè)置為TCP，目標(biāo)地址的類型設(shè)置為single host or alias，并將值設(shè)定為網(wǎng)站服務(wù)器IP，將目標(biāo)端口號(hào)限定為80端口。為了記錄訪問網(wǎng)頁服務(wù)器的詳細(xì)情況，我們還可以勾選“Log packets that handled by this rule”（記錄本規(guī)則所捕獲的包信息）。這樣就可以通過查看網(wǎng)絡(luò)日志監(jiān)控網(wǎng)站安全狀況了。

除此之外，pfsense還具有網(wǎng)絡(luò)地址轉(zhuǎn)換、流量整理，VPN等功能。只要善加利用，pfsense完全能夠成為校園網(wǎng)絡(luò)的安全之門。

建立順暢通道 高效規(guī)范使用

在pfsense構(gòu)建的安全校園網(wǎng)絡(luò)基礎(chǔ)上，是不是就可以高枕無憂了呢？還有一個(gè)最讓人頭疼的問題，就是如何有效控制教師使用網(wǎng)絡(luò)為教育、教學(xué)工作服務(wù)，而不是使用網(wǎng)絡(luò)做非本職工作。雖然pfsense能夠?qū)崿F(xiàn)部分功能，但“術(shù)業(yè)有專攻”，做專門的事還得請(qǐng)專家。這位專家是誰呢？它就是 panabit—— 一款國內(nèi)開源程度最高的流量控制、應(yīng)用控制軟件。

同樣的，我們需要先為它準(zhǔn)備一臺(tái)計(jì)算機(jī)，因?yàn)榱髁靠刂剖且豁?xiàng)需要密集計(jì)算的工作。因此，計(jì)算機(jī)的配置要求比較高，CPU至少800MHz以上，內(nèi)存也是越多越好，還需要擁有三塊網(wǎng)卡（建議使用Intel網(wǎng)卡）。在相關(guān)網(wǎng)址（http：//www.panabit.com/download/index.html）下載文件，并按說明安裝。

安裝完畢，同樣需要使用瀏覽器登錄panabit服務(wù)器。它有著友好的中文界面，便于我們調(diào)試。

那么panabit是如何來完成流量控制的呢？

第一步，在“對(duì)象管理”菜單下，定義“IP群組”和“自定義協(xié)議組”?！癐P群組”是用來將某一類型的IP匯總成一個(gè)群組以便于設(shè)定panabit策略。我們根據(jù)需要自定義“普通用戶組”、“服務(wù)器組”、“特權(quán)用戶組”等。“自定義協(xié)議組”則是用來定義我們需要禁止、限制或者放行的各類網(wǎng)絡(luò)協(xié)議的集合。panabit已經(jīng)將當(dāng)前常用的200余種網(wǎng)絡(luò)協(xié)議進(jìn)行了設(shè)置，我們可根據(jù)需要進(jìn)行組合，形成我們需要的“自定義協(xié)議組”。

第二步，我們就可以進(jìn)入“策略管理”菜單項(xiàng)。Panabit的“策略管理”可以分為三大類，分別是“流量控制” “連接控制”與“HTTP管控”。

“流量控制”策略的設(shè)置是用于控制網(wǎng)絡(luò)流量的。首先，需要設(shè)置合適的“數(shù)據(jù)通道”，將需要“限制、預(yù)留或者保證”的通道建立好。比如，我們要對(duì)某些應(yīng)用限制其流量為1Mbps，那么我們需要先建立一個(gè)“數(shù)據(jù)通道”，并設(shè)置其為限制1000Kbp。

然后，就在“流量控制”中定義策略組，并將之前定義的“數(shù)據(jù)通道”應(yīng)用到其中的策略中去。

最后，也是最易忽視的一步，就是要將已經(jīng)設(shè)置好的“流量控制”策略組進(jìn)行策略調(diào)度，也就是要給這一策略組指定發(fā)生作用的時(shí)間段。

這樣，一條完整的“流量控制”策略就已經(jīng)定義并生效，它將在每周的周一至周五中午12：00至13：00之間生效，生效時(shí)被定義為“一般教師”的成員訪問外部網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬被限定為1Mbps。

“連接控制”策略與“流量控制”策略有類似的操作步驟，只是它是對(duì)單個(gè)IP進(jìn)行連接數(shù)的限制，通過與“流量控制”策略類似的操作，我們可以控制每臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接數(shù)，有效減少網(wǎng)絡(luò)帶寬占用。

“HTTP管控”則是針對(duì)網(wǎng)站訪問專門設(shè)置的一類管理策略，通過它可以嚴(yán)格管理局域網(wǎng)的用戶網(wǎng)頁訪問的行為，起到有效屏蔽有害網(wǎng)址、防止進(jìn)入惡意網(wǎng)站、禁止下載違禁文件的作用。

通過以上三種不同種類的網(wǎng)絡(luò)策略協(xié)同作用，panabit可以非常有效地對(duì)校園網(wǎng)絡(luò)流量進(jìn)行控制，同時(shí)能有效地管理客戶端計(jì)算機(jī)的網(wǎng)絡(luò)應(yīng)用情況。

除此之外，panabit還擁有非常專業(yè)、強(qiáng)大的日志記錄功能，能夠?qū)⒚看卧L問因特網(wǎng)的行為記錄。只需要在“系統(tǒng)維護(hù)”菜單中，設(shè)定接收日志的服務(wù)器IP，并選擇所需要記錄的網(wǎng)絡(luò)日志類型即可開啟。

另外，panabit還擁有著完備的統(tǒng)計(jì)功能，我們可以在“監(jiān)控統(tǒng)計(jì)”菜單項(xiàng)下得到各類統(tǒng)計(jì)數(shù)據(jù)，以便于我們對(duì)學(xué)校網(wǎng)絡(luò)應(yīng)用狀況進(jìn)行分析診斷。

不難看出，panabit是校園網(wǎng)絡(luò)管理的得力助手，希望在此將它介紹給有需要的教師，讓它發(fā)揮更大的作用。

完善安全節(jié)點(diǎn) 防止各個(gè)擊破

在學(xué)校網(wǎng)絡(luò)管理方面，除了在宏觀方面使用了上面兩款免費(fèi)而又強(qiáng)大的軟件之外，在教師客戶端上我們也嘗試使用免費(fèi)軟件，加強(qiáng)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。網(wǎng)絡(luò)安全體系被突破，往往是從內(nèi)部的節(jié)點(diǎn)開始。所謂“千里之堤，潰于蟻穴”，在重視宏觀層面安全調(diào)控措施的同時(shí)，也應(yīng)加強(qiáng)作為網(wǎng)絡(luò)節(jié)點(diǎn)的單臺(tái)計(jì)算機(jī)的防護(hù)。如今免費(fèi)殺毒軟件已經(jīng)普及，如360殺毒、金山毒霸等，這些免費(fèi)軟件的出現(xiàn)為我們提供了很大的選擇余地。在使用過程中，我們發(fā)現(xiàn)360殺毒軟件還推出了企業(yè)版，可以統(tǒng)一升級(jí)、殺毒，并且生成單位內(nèi)部安全狀況報(bào)告。通過安裝這些殺毒軟件，加上養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣與計(jì)算機(jī)安全常規(guī)知識(shí)，我們完全能夠保證計(jì)算機(jī)節(jié)點(diǎn)的安全性，從而為構(gòu)建安全、高效的學(xué)校校園網(wǎng)絡(luò)環(huán)境奠定基礎(chǔ)。

從網(wǎng)關(guān)防火墻到流量控制服務(wù)器，再到殺毒軟件，從整體的安全防護(hù)與管理到局部的單機(jī)安全與管理，我校的校園網(wǎng)絡(luò)安全體系借由著這些開源、自由、免費(fèi)的軟件構(gòu)建完成。在長(zhǎng)期實(shí)踐過程中，我們深刻感受到了它們的自由、高效與安全，它們的全面應(yīng)用為網(wǎng)絡(luò)的高效利用提供了有力的保障。

（作者單位：江蘇無錫市濱湖區(qū)教育研究發(fā)展中心）