王亮　唐永林

摘 要

現(xiàn)階段高校計(jì)算機(jī)房的管理重點(diǎn)主要在兩方面：硬盤安全和防御病毒木馬等，與此同時(shí)，還要針對計(jì)算機(jī)房的不同用途控制網(wǎng)絡(luò)的連接狀態(tài)，之前各高校采用的安裝還原卡、殺毒軟件、拔插網(wǎng)線等雖然也能解決上述問題，但比較麻煩，也存在不少問題。若是利用Router OS系統(tǒng)，上述問題可以被輕松解決。

【關(guān)鍵詞】Router OS 防火墻 高校 計(jì)算機(jī)房管理 應(yīng)用

任何一所高校，計(jì)算機(jī)房都是必不可少的基礎(chǔ)設(shè)施，用來供同學(xué)們上課、自主使用燈。一般高校的計(jì)算機(jī)房為保護(hù)計(jì)算機(jī)系統(tǒng)以及配置信息不被隨意改動，都是采用安裝還原卡的方式。雖然還原卡用來保護(hù)計(jì)算機(jī)系統(tǒng)和配置信息不被更改是十分有效的，但還原卡的防御病毒性能并不突出，仍然會有病毒穿透還原卡導(dǎo)致系統(tǒng)被感染，使得整個機(jī)房的安全都受到威脅。除了病毒的威脅，還有惡意用戶的使用、在教學(xué)過程中屏蔽無關(guān)應(yīng)用等問題，從資金投入、部署和使用的便利等方面綜合來看，在高校機(jī)房采用Mikro Tik OS系統(tǒng)是一個比較合適的方法。

1 高校在計(jì)算機(jī)房的傳統(tǒng)保護(hù)措施

隨著信息技術(shù)的發(fā)展，高校計(jì)算機(jī)房在規(guī)模和設(shè)備也都在逐步更新，但與此同時(shí)，木馬、病毒等技術(shù)也在發(fā)展，這讓計(jì)算機(jī)房的安全管理工作難度日益增大，計(jì)算機(jī)房的管理人員除了要對軟硬件進(jìn)行管理，及時(shí)對它們進(jìn)行更新和升級，更重要的是對計(jì)算機(jī)病毒、木馬進(jìn)行防御和查殺、目前，高校計(jì)算機(jī)房存在的安全隱患主要有以下幾方面：

1.1 高校計(jì)算機(jī)機(jī)房存在的安全隱患

1.1.1 硬盤損壞導(dǎo)致資料丟失。

作為計(jì)算機(jī)的核心部件，硬盤中除了有系統(tǒng)文件外，教學(xué)資料和教學(xué)軟件通常也存在硬盤中，因此硬盤在高校的教學(xué)和實(shí)踐中有著十分重要的地位。一旦對硬盤的保護(hù)不到位，導(dǎo)致硬盤損壞，不僅計(jì)算機(jī)無法正常啟動，硬盤內(nèi)存儲的資料也會丟失，給高校帶來巨大損失。在實(shí)踐中，為了防止病毒大規(guī)模泛濫，高校計(jì)算機(jī)房中的電腦通常沒有安全光驅(qū)，這也增加了計(jì)算機(jī)重裝系統(tǒng)的難度。因此，如何安全有效的保護(hù)硬盤是高校計(jì)算機(jī)房安全管理的重點(diǎn)之一。

1.1.2 計(jì)算機(jī)病毒和木馬的攻擊。

病毒和木馬的威脅一直沒有遠(yuǎn)離過高校計(jì)算機(jī)房，除了來自外部網(wǎng)絡(luò)的病毒和木馬的威脅，來自計(jì)算機(jī)自身的威脅我們也不能忽視，例如一些帶有病毒和木馬的U盤、移動硬盤、智能手機(jī)等移動設(shè)備在與計(jì)算機(jī)連接時(shí)，計(jì)算機(jī)就存在巨大安全隱患，很可能會感染病毒和木馬。

1.2 傳統(tǒng)保障計(jì)算機(jī)安全的方法

1.2.1 保護(hù)硬盤資料

為了更好地保護(hù)機(jī)房計(jì)算機(jī)硬盤，大多數(shù)高校安裝還原卡，它可以將硬盤在極短時(shí)間內(nèi)恢復(fù)成最先備份的狀態(tài)，并且還原卡的另一大優(yōu)點(diǎn)就是可操作性強(qiáng)，還原卡的安裝十分簡單，也可以對硬盤資料起到很好的保護(hù)作用。

1.2.2 防止計(jì)算機(jī)病毒和木馬攻擊

目前高校計(jì)算機(jī)房在防御計(jì)算機(jī)病毒和木馬的攻擊時(shí)，通常采用下述幾個方法：

（1）在計(jì)算機(jī)中安裝殺毒軟件?，F(xiàn)下，殺毒軟件是我們了解到的防御計(jì)算機(jī)病毒和木馬攻擊最有效的方式，現(xiàn)在市面上存在許多類似于金山毒霸、360殺毒軟件的免費(fèi)殺毒軟件，只要計(jì)算機(jī)管理人員及時(shí)更新殺毒軟件，這些軟件就可以有效保護(hù)計(jì)算機(jī)。

（2）禁止學(xué)生瀏覽不正規(guī)網(wǎng)站，下載不合法、來歷不明的資料。許多病毒和木馬的傳播方式是偽裝成正規(guī)軟件，通過免費(fèi)下載來吸引人下載，只要用戶下載、運(yùn)行，病毒和木馬就會感染此臺計(jì)算機(jī)。因此，禁止使用者下載來歷不明的文件也可以起到一定防御計(jì)算機(jī)病毒和木馬的作用，如果一定需要下載某文件，也應(yīng)用殺毒軟件掃描確定安全后再運(yùn)行。

（3）禁止學(xué)生使用自帶U盤等移動設(shè)備，因?yàn)橐坏┻@些設(shè)備中帶有計(jì)算機(jī)病毒和木馬，學(xué)生又不知道，那么在與計(jì)算機(jī)連接時(shí)就很容易使計(jì)算機(jī)感染病毒和木馬。

1.3 存在的問題

（1）高校計(jì)算機(jī)房采用安裝還原卡的方式來保護(hù)硬盤效果雖然不錯，但是還原卡無法防御計(jì)算機(jī)病毒，一旦有的病毒穿透還原卡感染了系統(tǒng)，那么整個機(jī)房的安全都將受到威脅。假如在機(jī)房接入交換機(jī)上設(shè)置端口限速，那么一旦系統(tǒng)被感染，整個機(jī)房、整個樓宇甚至是整個學(xué)校都會受到影響。如果設(shè)置了端口限速，那么計(jì)算機(jī)的還原速度就會受到影響。

（2）對于高校機(jī)房計(jì)算機(jī)的使用，教學(xué)使用占很大比例，若只是安裝殺毒軟件，可以有效防御計(jì)算機(jī)病毒和木馬的攻擊，但學(xué)生在教學(xué)時(shí)間使用類似于聊天軟件、游戲軟件等，殺毒軟件就不能實(shí)現(xiàn)對這些應(yīng)用的屏蔽。因此，高校計(jì)算機(jī)房想要使管理更便捷有效，就要應(yīng)用功能更全的系統(tǒng)。

2 Mikro Tik Router OS系統(tǒng)的特點(diǎn)

2.1 成本低，性能高

作為一種路由操作系統(tǒng)，Mikro Tik Router OS可以使一臺標(biāo)準(zhǔn)的PC電腦變成專業(yè)的路由器，并且在無線、認(rèn)證、寬帶控制、防火墻過濾、策略路由等功能上與專業(yè)路由器比都毫不遜色，甚至可以說這些功能是十分突出的。基于X86構(gòu)架的PC電腦，應(yīng)用Router OS系統(tǒng)即可具備現(xiàn)有路由系統(tǒng)的大部分功能。從這方面來看，在應(yīng)用Router OS系統(tǒng)的基礎(chǔ)上，一臺十分普通的X86電腦不僅可以實(shí)現(xiàn)路由功能，還可以在提高硬件性能的同時(shí)提高網(wǎng)絡(luò)的訪問速度和吞吐量，使這套路由器系統(tǒng)從根本上實(shí)現(xiàn)成本低但性能卻很高。

2.2 對安裝環(huán)境要求不高，安裝簡單

Router OS系統(tǒng)的另一大特點(diǎn)就是它對安裝環(huán)境的要求并不高，尤其是對硬件的需求很低，一臺非常普通的X86PC電腦就可以滿足它的安裝要求，當(dāng)然，前提是這臺X86PC要至少含有兩塊網(wǎng)卡。

2.3 功能強(qiáng)大

（1）高校計(jì)算機(jī)房常用的NAT和DHCP服務(wù)都包含在Router OS系統(tǒng)中，除此之外，該系統(tǒng)還擁有非常強(qiáng)大的防火墻過濾功能，在運(yùn)行時(shí)，Router OS系統(tǒng)可以對網(wǎng)絡(luò)的異常行為進(jìn)行實(shí)時(shí)監(jiān)控，并支持二到七層的防火墻規(guī)則，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)存在異常行為時(shí)能夠及時(shí)發(fā)現(xiàn)及時(shí)禁止。

（2）可對寬帶進(jìn)行有效管理。將Router OS系統(tǒng)應(yīng)用到高校計(jì)算機(jī)房可以進(jìn)行有效寬帶管理，將網(wǎng)絡(luò)寬帶進(jìn)行合理分配，這一功能可以盡可能地保障網(wǎng)絡(luò)傳輸?shù)耐〞?，有效預(yù)防在使用高峰期出現(xiàn)網(wǎng)絡(luò)堵塞的情況。

（3）擁有路由、網(wǎng)關(guān)、并接等多種接入方式，為有效解決一些惡意用戶在使用時(shí)影響網(wǎng)速及安全或者學(xué)生在教學(xué)時(shí)間使用無關(guān)應(yīng)用，Router OS系統(tǒng)憑借其路由、網(wǎng)關(guān)、并接等多種接入方式，在不改變原網(wǎng)絡(luò)環(huán)境的情況下，有效屏蔽非法網(wǎng)站或一些無關(guān)應(yīng)用，阻斷上網(wǎng)人員的非法上網(wǎng)行為。另外值得一提的是，Router OS系統(tǒng)擁有友好的管理界面，管理人員可通過WEB或自帶的Winbox軟件進(jìn)行管理，這兩種方式都十分便捷。

3 Mikro Tik Router OS的防火墻功能在高校計(jì)算機(jī)房管理中的應(yīng)用

3.1 防火墻功能

Router OS防火墻功能非常強(qiáng)大、靈活。Router OS防火墻屬于包過濾防火墻，可以定義一系列的規(guī)則過濾掉發(fā)往Router OS從Router OS 發(fā)出、通過Router OS轉(zhuǎn)發(fā)的數(shù)據(jù)包。在 Router OS防火墻中定義了三個防火墻（過濾）鏈，即Input、Forward、Output：Input用于處理進(jìn)入Router OS的數(shù)據(jù)包，即數(shù)據(jù)包目的IP是Router OS接口中的一個IP地址，經(jīng)過路由器的數(shù)據(jù)包不會在Input鍵中處理；Output用于處理從Router OS發(fā)出去的數(shù)據(jù)，即由路由器中某個接口發(fā)出去的數(shù)據(jù)包；Forward是用于處理通過Router OS的數(shù)據(jù)包，如內(nèi)部計(jì)算機(jī)訪問外部網(wǎng)絡(luò)，數(shù)據(jù)需要通過Router OS進(jìn)行轉(zhuǎn)發(fā)。我們可以通過在這三個鏈中定義規(guī)則，從而有效地管理機(jī)房。

3.1.1 為每個機(jī)房定義過濾規(guī)則，以允許或禁止使用網(wǎng)絡(luò)

當(dāng)以計(jì)算機(jī)房為課堂進(jìn)行授課時(shí)，經(jīng)常會出現(xiàn)這樣的情況：為了防止同學(xué)們在上課時(shí)間上網(wǎng)而不聽教師講課，教師需要將網(wǎng)絡(luò)關(guān)閉；有時(shí)教師需要學(xué)生在網(wǎng)上搜索查閱資料，需要將網(wǎng)絡(luò)打開；有時(shí)僅僅教師需要使用網(wǎng)絡(luò)，而學(xué)生不用。另外，課堂之外的時(shí)間計(jì)算機(jī)房通常是作為電子閱覽室來使用的，這時(shí)就需要網(wǎng)絡(luò)一直開放。根據(jù)不同的需求，可以定義如下規(guī)則：假設(shè)有兩個機(jī)房，一個機(jī)房的IP地址段為192.168.1.1-192.168.1.50，另一個機(jī)房的IP地址段是192.168.2.1-192.168.2.50.

規(guī)則1 星期一至星期五禁止在上課時(shí)間使用網(wǎng)絡(luò)，課余時(shí)間晚上5到8點(diǎn)開放網(wǎng)絡(luò)。

機(jī)房1：

chain=forward action=drop src-address=192.168.1.0/24

Time=17h-20h， mon， tue， wed， thu， fri

機(jī)房2：

chain=forward action=drop src-address=192.168.2.0/24

Time=17h-20h， sun， mon， tue， wed， thu， fri， sat

規(guī)則2 允許兩個機(jī)房的教師機(jī)任何時(shí)間都可以使用網(wǎng)絡(luò)。

假設(shè)機(jī)房1的教師機(jī)IP為192.168.1.1，機(jī)房2的教師機(jī)IP為192.168.2.1.

機(jī)房1：

chain=forward action=accept src-address=192.168.1.1

機(jī)房2：

chain=forward action=accept src-address=192.168.2.1

3.1.2 禁止學(xué)生上課期間使用聊天工具和游戲軟件

Router OS V3.0以上的版本都可以進(jìn)行7層協(xié)議過濾，可對類似于QQ、魔獸世界等應(yīng)用進(jìn)行限制和過濾，具體操作是在IP firewall中的Layer7 Protocols增加7層協(xié)議，7層協(xié)議的編寫可以通過在網(wǎng)上搜索想要過濾的程序的7層協(xié)議腳本，然后進(jìn)行腳本導(dǎo)入。例如，要想禁止用戶登陸QQ，在添加規(guī)則后，通過Advanced的Layer7 Protocols選擇QQ，然后在Action中設(shè)置為“drop”，這樣用戶想要登陸QQ時(shí)，系統(tǒng)就自動將這一請求丟棄了。

3.2 Router OS，讓高校計(jì)算機(jī)房管理更輕松

（1）將計(jì)算機(jī)房用作課堂還是電子閱覽室決定了網(wǎng)絡(luò)的連接狀況，一般高校在處理這一問題時(shí)是依靠拔插網(wǎng)線，這種做法的弊端一是交換機(jī)端口檢測浪費(fèi)時(shí)間，二是容易損壞交換機(jī)。利用Router OS系統(tǒng)可以輕松解決這一問題，將不同機(jī)房的地址匯總做成地址列表，分別做NAT地址轉(zhuǎn)換，只要通過Winbox禁止或啟用該機(jī)房的NAT地址轉(zhuǎn)換規(guī)則就能輕松控制某個機(jī)房網(wǎng)絡(luò)連接狀態(tài)。

（2）網(wǎng)絡(luò)是把雙刃劍，利用網(wǎng)絡(luò)可以幫助學(xué)生學(xué)習(xí)，但若監(jiān)管不力，學(xué)生也可能被網(wǎng)絡(luò)上的游戲、不良信息誘惑。利用Router OS系統(tǒng)配置Web代理功能可以做到對網(wǎng)絡(luò)上的信息進(jìn)行過濾，比如可以針對QQ的不同登陸方式，通過禁止端口和服務(wù)器地址來禁止學(xué)生在機(jī)房上課時(shí)聊天，還可以對類似于mp3、avi等后綴名的文件禁止下載，做到最大化地凈化學(xué)生的上網(wǎng)環(huán)境。

（3）Router OS系統(tǒng)強(qiáng)大的防火墻功能除了能對網(wǎng)絡(luò)連接狀態(tài)自由控制外，還可以通過定義一系列的規(guī)則將通過該系統(tǒng)轉(zhuǎn)發(fā)的文件中攜帶的木馬病毒、ARP病毒以及沖擊波等各種病毒，以便更有效的保護(hù)高校計(jì)算機(jī)房的安全。

（通訊作者：唐永林）

參考文獻(xiàn)

[1]王正奎.Router OS的防火墻功能在高校計(jì)算機(jī)房管理中的應(yīng)用[J].遼寧師專學(xué)報(bào)（自然科學(xué)版），2012（04）：38-40+84.

[2]肖琴.論高職院校計(jì)算機(jī)房安全管理策略[J].湖南工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2016（04）：122-124.

[3]徐嘉瑜，潘巍巍.論RouterOS在高校機(jī)房管理中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（19）：305-306.

作者簡介

王亮（1986-），男，碩士研究生學(xué)歷。現(xiàn)為吉林建筑大學(xué)城建學(xué)院實(shí)驗(yàn)師。研究方向?yàn)榫W(wǎng)絡(luò)工程及物聯(lián)網(wǎng)工程。

通訊作者簡介

唐永林（1957-），男，大學(xué)本科學(xué)歷。現(xiàn)為長春大學(xué)旅游學(xué)院教授。研究方向?yàn)榫W(wǎng)絡(luò)工程、計(jì)算機(jī)網(wǎng)絡(luò)教育方面。

作者單位

1.吉林建筑大學(xué)城建學(xué)院 吉林省長春市 130114

2.長春大學(xué)旅游學(xué)院 吉林省長春市 130117