论文部分内容阅读
摘 要:高校机房是校园网的重要组成部分,机房的管理水平会对校园网运行产生影响。本文从校园网的全局角度出发,统筹考虑各机房的技术规范,提出了针对出口宽带分配、网络病毒防范、信息安全管理等突出问题的具体解决方案。
关键词:校园网;机房管理;信息安全;计算机机房
中图分类号:TP393.1文献标识码:A文章编号:1673-8454(2010)09-0013-02
随着高校信息化建设的飞速发展,计算机机房规模不断扩大,计算机总拥有量通常超过千台,成为校园网的最大用户。机房在校园网平台的支撑下,为教学工作发挥了重要的作用,但是由于其分属不同部门、技术人员水平参差不齐、使用者流动性大、病毒入侵频繁等原因,不仅给机房管理工作带来了很大的不便,还对校园网管理带来了不利。本文结合工作实际,分析了机房目前所突出存在的出口宽带占用、网络病毒、信息安全管理等问题,提出一套利用校园网平台实现计算机机房统筹管理的方案。
一、校园网在机房统筹管理中的优势
校园网是高校信息化建设的基础平台,网络中心作为这个平台的制高点,集中了设备、软件、技术、管理等多方面的优势。计算机机房对校园网带来的不便主要体现在出口带宽占用、网络病毒、信息安全管理等方面,这些问题如果依靠机房工作人员去解决,无论从设备还是技术上都难以落实。目前,校园网的管理已经逐步向精细化发展,所选用的软硬件也支持一定程度的细化管理,网络中心人员可以从全局角度考虑机房管理的技术方案,并主导此方案的具体实施。
二、机房出口带宽的统筹管理
近年来,各种大流量网络应用软件层出不穷,受到用户广泛认可。在机房上机的学生常常一边实习一边利用迅雷下载电影,机房计算机数量较多,如不加以限制,往往一个机房就会占用大部分出口带宽,影响整个校园网的运行。
目前,各高校大都采用流控设备、认证计费系统、防火墙的CoS/QoS功能等方式进行用户流量的管理。网络中心应从校园网全局出发,制定合理的出口流量分配策略。可以根据机房的不同用途建立不同的带宽组,在带宽组规则中设置该组最大总带宽、最大单机(IP)带宽、单机最大并发数、单机每秒最大数据包数等流量控制参数。在实际使用中,每个机房都归属于一个特定的带宽组,遵从带宽组所定义的规则。机房里每台机器都受到单机最大出口流量额度的限制,而整个机房又受到本机房总出口流量额度的限制。由于这些控制是在校园网出口边界上实现,具有管理效果好、流量分配合理、部署方便等优点。
三、机房病毒防范的统筹管理
机房的计算机大都采用网络克隆方式统一安装,计算机的软件系统完全一致,在受到网络病毒攻击时,往往一损俱损,引起大面积中毒。大量中毒计算机发起的数据包会对校园网造成很大的压力,导致网络带宽拥塞等情况。从校园网层面统筹机房病毒防范工作,不仅有利于机房,也有利于校园网的平稳运行。
1.合理规划校园网拓扑,细分机房VLAN
VLAN技术可以将局域网细分,减少广播包的范围,因此VLAN划分在一定范围内可以减少某些类型病毒的影响。在机房规划中合理划分VLAN,将每一个机房都细分在一个VLAN中,在一定程度上可以限制病毒的传播。另外,合理划分VLAN也是其他一些病毒防范手段的基础,有助于管理人员对病毒源的快速定位和处理。
在网络规划时还应将机房VLAN尽量集中,接入汇聚层设备,这样可以提高校园网核心层的安全性。因为机房电脑感染蠕虫病毒的后果都比较严重,大量的中毒计算机同时发送小数据包会造成三层设备的CPU过载。在这种情况下,采用汇聚层接入的方式可以保证校园网核心层正常运行,并迅速定位故障源。
2.利用校园网部署机房专用的病毒库升级服务器
机房的电脑通常在学期初进行统一安装,期间依靠系统保护卡的开机还原功能维持。这就带来了新问题,即开机还原后,病毒库又会恢复到系统安装时的状态,这时候一些新的病毒就可能有机可乘。另外,所有机器都要从互联网上重新下载更新病毒库,一旦重启又要重新下载,每天上千台电脑反复从互联网做重复性下载,一方面机房病毒库更新速度很慢,另一方面也造成了巨大的、毫无意义的流量浪费。
为了解决上述问题,应该利用校园网部署机房专用的病毒库升级服务器,实现病毒库下载更新的本地化。网络中心可以引导各机房使用相同的杀毒软件,比如NOD32,在校园网上部署NOD32升级服务器,并通过LNS防火墙设置为仅对机房和电脑开放。在机房电脑的克隆母盘制作时统一设定好升级服务器的位置,这样机房电脑重启后,可以从校园网内部迅速升级更新病毒库文件。从实际工作的情况来看,一般NOD32病毒库每个月的增量部分大约600K左右,一般从校园网升级服务器下载更新只需要数秒钟,而且升级服务器的硬件要求很低,一般的PC就可以满足服务要求。利用这种方式既保证了机房杀毒软件的可靠运行,又节省了出口带宽,从管理上也统一了各个机房的防病毒技术规范,对机房和校园网的管理都起到了很好的作用。
四、机房信息安全的统筹管理
机房使用人员的流动性较大,并且用户上网日志的留存无法在本机上实现,这给信息安全管理工作带来了一定的难度。为了保证信息安全事件的追查,必须依靠完整有效日志,网络中心和机房可以相互配合,实现用户上网日志保存功能。机房电脑都必须使用校园网分配的地址,不允许采用NAT方式接入,这样才可以追查到具体的电脑。校园网出口设备的日志可以追查到某个IP地址,再利用机房的上机管理系统日志就可以查出具体的上机人员。从实践效果来看,这种方式便于操作,效果较好。
五、结束语
高校机房通常规模大,计算机数量多,机房管理水平对校园网的运行具有一定的影响。本文从校园网的全局角度出发,统筹考虑各机房的技术规范,提出了针对出口带宽分配、网络病毒防范、信息安全管理等突出问题的具体解决方案。这些措施在实际工作中都已经运用,收到了良好的效果。?筅
参考文献:
[1]姚军.校园网接入模式的研究与实现[J].西安科技大学学报,2006(4).
[2]陈兵.网络安全体系结构研究[J].计算机工程与应用,2002(7):138-140.
[3]林蕴森.电子阅览室及公共机房管理与维护[J].现代图书情报技术,2006(08).
(编辑:杨馥红)
关键词:校园网;机房管理;信息安全;计算机机房
中图分类号:TP393.1文献标识码:A文章编号:1673-8454(2010)09-0013-02
随着高校信息化建设的飞速发展,计算机机房规模不断扩大,计算机总拥有量通常超过千台,成为校园网的最大用户。机房在校园网平台的支撑下,为教学工作发挥了重要的作用,但是由于其分属不同部门、技术人员水平参差不齐、使用者流动性大、病毒入侵频繁等原因,不仅给机房管理工作带来了很大的不便,还对校园网管理带来了不利。本文结合工作实际,分析了机房目前所突出存在的出口宽带占用、网络病毒、信息安全管理等问题,提出一套利用校园网平台实现计算机机房统筹管理的方案。
一、校园网在机房统筹管理中的优势
校园网是高校信息化建设的基础平台,网络中心作为这个平台的制高点,集中了设备、软件、技术、管理等多方面的优势。计算机机房对校园网带来的不便主要体现在出口带宽占用、网络病毒、信息安全管理等方面,这些问题如果依靠机房工作人员去解决,无论从设备还是技术上都难以落实。目前,校园网的管理已经逐步向精细化发展,所选用的软硬件也支持一定程度的细化管理,网络中心人员可以从全局角度考虑机房管理的技术方案,并主导此方案的具体实施。
二、机房出口带宽的统筹管理
近年来,各种大流量网络应用软件层出不穷,受到用户广泛认可。在机房上机的学生常常一边实习一边利用迅雷下载电影,机房计算机数量较多,如不加以限制,往往一个机房就会占用大部分出口带宽,影响整个校园网的运行。
目前,各高校大都采用流控设备、认证计费系统、防火墙的CoS/QoS功能等方式进行用户流量的管理。网络中心应从校园网全局出发,制定合理的出口流量分配策略。可以根据机房的不同用途建立不同的带宽组,在带宽组规则中设置该组最大总带宽、最大单机(IP)带宽、单机最大并发数、单机每秒最大数据包数等流量控制参数。在实际使用中,每个机房都归属于一个特定的带宽组,遵从带宽组所定义的规则。机房里每台机器都受到单机最大出口流量额度的限制,而整个机房又受到本机房总出口流量额度的限制。由于这些控制是在校园网出口边界上实现,具有管理效果好、流量分配合理、部署方便等优点。
三、机房病毒防范的统筹管理
机房的计算机大都采用网络克隆方式统一安装,计算机的软件系统完全一致,在受到网络病毒攻击时,往往一损俱损,引起大面积中毒。大量中毒计算机发起的数据包会对校园网造成很大的压力,导致网络带宽拥塞等情况。从校园网层面统筹机房病毒防范工作,不仅有利于机房,也有利于校园网的平稳运行。
1.合理规划校园网拓扑,细分机房VLAN
VLAN技术可以将局域网细分,减少广播包的范围,因此VLAN划分在一定范围内可以减少某些类型病毒的影响。在机房规划中合理划分VLAN,将每一个机房都细分在一个VLAN中,在一定程度上可以限制病毒的传播。另外,合理划分VLAN也是其他一些病毒防范手段的基础,有助于管理人员对病毒源的快速定位和处理。
在网络规划时还应将机房VLAN尽量集中,接入汇聚层设备,这样可以提高校园网核心层的安全性。因为机房电脑感染蠕虫病毒的后果都比较严重,大量的中毒计算机同时发送小数据包会造成三层设备的CPU过载。在这种情况下,采用汇聚层接入的方式可以保证校园网核心层正常运行,并迅速定位故障源。
2.利用校园网部署机房专用的病毒库升级服务器
机房的电脑通常在学期初进行统一安装,期间依靠系统保护卡的开机还原功能维持。这就带来了新问题,即开机还原后,病毒库又会恢复到系统安装时的状态,这时候一些新的病毒就可能有机可乘。另外,所有机器都要从互联网上重新下载更新病毒库,一旦重启又要重新下载,每天上千台电脑反复从互联网做重复性下载,一方面机房病毒库更新速度很慢,另一方面也造成了巨大的、毫无意义的流量浪费。
为了解决上述问题,应该利用校园网部署机房专用的病毒库升级服务器,实现病毒库下载更新的本地化。网络中心可以引导各机房使用相同的杀毒软件,比如NOD32,在校园网上部署NOD32升级服务器,并通过LNS防火墙设置为仅对机房和电脑开放。在机房电脑的克隆母盘制作时统一设定好升级服务器的位置,这样机房电脑重启后,可以从校园网内部迅速升级更新病毒库文件。从实际工作的情况来看,一般NOD32病毒库每个月的增量部分大约600K左右,一般从校园网升级服务器下载更新只需要数秒钟,而且升级服务器的硬件要求很低,一般的PC就可以满足服务要求。利用这种方式既保证了机房杀毒软件的可靠运行,又节省了出口带宽,从管理上也统一了各个机房的防病毒技术规范,对机房和校园网的管理都起到了很好的作用。
四、机房信息安全的统筹管理
机房使用人员的流动性较大,并且用户上网日志的留存无法在本机上实现,这给信息安全管理工作带来了一定的难度。为了保证信息安全事件的追查,必须依靠完整有效日志,网络中心和机房可以相互配合,实现用户上网日志保存功能。机房电脑都必须使用校园网分配的地址,不允许采用NAT方式接入,这样才可以追查到具体的电脑。校园网出口设备的日志可以追查到某个IP地址,再利用机房的上机管理系统日志就可以查出具体的上机人员。从实践效果来看,这种方式便于操作,效果较好。
五、结束语
高校机房通常规模大,计算机数量多,机房管理水平对校园网的运行具有一定的影响。本文从校园网的全局角度出发,统筹考虑各机房的技术规范,提出了针对出口带宽分配、网络病毒防范、信息安全管理等突出问题的具体解决方案。这些措施在实际工作中都已经运用,收到了良好的效果。?筅
参考文献:
[1]姚军.校园网接入模式的研究与实现[J].西安科技大学学报,2006(4).
[2]陈兵.网络安全体系结构研究[J].计算机工程与应用,2002(7):138-140.
[3]林蕴森.电子阅览室及公共机房管理与维护[J].现代图书情报技术,2006(08).
(编辑:杨馥红)