钱耀刚 张海云
随着学校网络应用层次的提升,如何构建安全而高效的校园网络成了摆在学校网络管理员面前的一个重要课题。学校服务器受到黑客攻击、病毒肆虐、网络带宽被无效流量挤占等一系列的安全与管理问题成为棘手问题。笔者在此想谈谈如何利用开源、自由、免费软件构建安全高效的校园网络环境。
之所以选择免费软件,一是在倡导软件正版化的今天,免费软件既可构建安全网络,又能节约经费开支。二是免费软件功能强大,完全可以解决学校网络安全问题。
构筑坚固门户 严防外侵内扰
校园网络的第一道安全关卡就是网络防火墙,它是整个网络的门户,是构建安全网络环境的重要的环节。我们选用的是一款名为pfsense的网络防火墙,它基于FreeBsd系统开发,在网络安全领域有着坚若磐石的美誉。
硬件准备:一台计算机,加上三块网卡即可。具体的配置要求可参考下表。
软件准备:在网址(http://www.pfsense.org/mirror.php?section=downloads)下载并刻录光盘。安装过程简单,只需填写网关、子网、DNS等为数不多的参数,一个强大的防火墙很快就制成了。
防火墙的精华之处就是可以设定各种规则,防范来自内外部的网络攻击行为。pfsense是如何做的呢?
首先,我们要通过浏览器登录pfsense的管理界面(网址依安装时设置而定)。打开左侧菜单栏中的“Rules”菜单。在这里可以设置学校局域网内计算机上网的规则,也可以设置外部计算机访问学校网络的规则。
根据网络安全基本原则,一般将局域网内的计算机对网络的访问设置成不限制,而将外部计算机访问局域网计算机设置为完全禁止。同时,为了让外部的计算机可以访问学校的网页、邮件服务器等,我们还要设置一个专门用于放置服务器的DMZ(非军事区)区域。并将访问DMZ区域的权限加以限制。那么,如何定义规则呢?我们只需单击Rules菜单项的内容页上相应端口(LAN、WAN、OPT1等)下面的“+”按钮,就可以添加所需的规则了。下面就来看一下如何定义一条防火墙规则。
通过图示, 可以发现规则是非常简单的。例如,由于某教师违规使用网络,我们要限制一台IP为192.168.1.11的教师计算机不能访问外部网络。只需要在LAN端口添加这样一条规则就可以了:规则的动作设置为“block(阻止)”,源地址类型为single host or alias(单机或者别名),源地址值为192.168.1.11,规则针对的协议设置为any,目标地址类型设置为network,值设置为192.168.1.0/24,同时勾选“not”这个选项。这样,这台192.168.1.11的教师计算机就只能访问学校局域网的计算机。又如, 要限制外部计算机只能访问学校网站,只需要在WAN口添加规则。规则的动作设置为“pass(通过)”,源地址设置为any,规则协议设置为TCP,目标地址的类型设置为single host or alias,并将值设定为网站服务器IP,将目标端口号限定为80端口。为了记录访问网页服务器的详细情况,我们还可以勾选“Log packets thathandled by this rule”(记录本规则所捕获的包信息)。这样就可以通过查看网络日志监控网站安全状况了。
除此之外,pfsense还具有网络地址转换、流量整理,VPN等功能。只要善加利用,pfsense完全能够成为校园网络的安全之门。
建立顺畅通道 高效规范使用
在pfsense构建的安全校园网络基础上,是不是就可以高枕无忧了呢?还有一个最让人头疼的问题,就是如何有效控制教师使用网络为教育、教学工作服务,而不是使用网络做非本职工作。虽然pfsense能够实现部分功能,但“术业有专攻”,做专门的事还得请专家。这位专家是谁呢?它就是 panabit—— 一款国内开源程度最高的流量控制、应用控制软件。
同样的,我们需要先为它准备一台计算机,因为流量控制是一项需要密集计算的工作。因此,计算机的配置要求比较高,CPU至少800MHz以上,内存也是越多越好,还需要拥有三块网卡(建议使用Intel网卡)。在相关网址(http://www.panabit.com/download/index.html)下载文件,并按说明安装。
安装完毕,同样需要使用浏览器登录panabit服务器。它有着友好的中文界面,便于我们调试。
那么panabit是如何来完成流量控制的呢?
第一步,在“对象管理”菜单下,定义“IP群组”和“自定义协议组”。“IP群组”是用来将某一类型的IP汇总成一个群组以便于设定panabit策略。我们根据需要自定义“普通用户组”、“服务器组”、“特权用户组”等。“自定义协议组”则是用来定义我们需要禁止、限制或者放行的各类网络协议的集合。panabit已经将当前常用的200余种网络协议进行了设置,我们可根据需要进行组合,形成我们需要的“自定义协议组”。
第二步,我们就可以进入“策略管理”菜单项。Panabit的“策略管理”可以分为三大类,分别是“流量控制” “连接控制”与“HTTP管控”。
“流量控制”策略的设置是用于控制网络流量的。首先,需要设置合适的“数据通道”,将需要“限制、预留或者保证”的通道建立好。比如,我们要对某些应用限制其流量为1Mbps,那么我们需要先建立一个“数据通道”,并设置其为限制1000Kbp。
然后,就在“流量控制”中定义策略组,并将之前定义的“数据通道”应用到其中的策略中去。
最后,也是最易忽视的一步,就是要将已经设置好的“流量控制”策略组进行策略调度,也就是要给这一策略组指定发生作用的时间段。
这样,一条完整的“流量控制”策略就已经定义并生效,它将在每周的周一至周五中午12:00至13:00之间生效,生效时被定义为“一般教师”的成员访问外部网络的网络带宽被限定为1Mbps。
“连接控制”策略与“流量控制”策略有类似的操作步骤,只是它是对单个IP进行连接数的限制,通过与“流量控制”策略类似的操作,我们可以控制每台计算机的网络连接数,有效减少网络带宽占用。
“HTTP管控”则是针对网站访问专门设置的一类管理策略,通过它可以严格管理局域网的用户网页访问的行为,起到有效屏蔽有害网址、防止进入恶意网站、禁止下载违禁文件的作用。
通过以上三种不同种类的网络策略协同作用,panabit可以非常有效地对校园网络流量进行控制,同时能有效地管理客户端计算机的网络应用情况。
除此之外,panabit还拥有非常专业、强大的日志记录功能,能够将每次访问因特网的行为记录。只需要在“系统维护”菜单中,设定接收日志的服务器IP,并选择所需要记录的网络日志类型即可开启。
另外,panabit还拥有着完备的统计功能,我们可以在“监控统计”菜单项下得到各类统计数据,以便于我们对学校网络应用状况进行分析诊断。
不难看出,panabit是校园网络管理的得力助手,希望在此将它介绍给有需要的教师,让它发挥更大的作用。
完善安全节点 防止各个击破
在学校网络管理方面,除了在宏观方面使用了上面两款免费而又强大的软件之外,在教师客户端上我们也尝试使用免费软件,加强网络节点的安全性。网络安全体系被突破,往往是从内部的节点开始。所谓“千里之堤,溃于蚁穴”,在重视宏观层面安全调控措施的同时,也应加强作为网络节点的单台计算机的防护。如今免费杀毒软件已经普及,如360杀毒、金山毒霸等,这些免费软件的出现为我们提供了很大的选择余地。在使用过程中,我们发现360杀毒软件还推出了企业版,可以统一升级、杀毒,并且生成单位内部安全状况报告。通过安装这些杀毒软件,加上养成良好的网络使用习惯与计算机安全常规知识,我们完全能够保证计算机节点的安全性,从而为构建安全、高效的学校校园网络环境奠定基础。
从网关防火墙到流量控制服务器,再到杀毒软件,从整体的安全防护与管理到局部的单机安全与管理,我校的校园网络安全体系借由着这些开源、自由、免费的软件构建完成。在长期实践过程中,我们深刻感受到了它们的自由、高效与安全,它们的全面应用为网络的高效利用提供了有力的保障。
(作者单位:江苏无锡市滨湖区教育研究发展中心)
