论文部分内容阅读
在信息技术的推动下,全国各地越来越多的中小学校建设有不同规模的校园网,规模小的校园网拥有几十台计算机,规模大的校园网拥有成百、甚至上千台的计算机。校园网的建成极大地促进了中小学教师教学理念的提升和教学方法的改变,扩大了中小学生的学习方法和获取知识的途径。然而,随着上网人数的剧增,学校网络信息安全问题日益突出。为此,笔者通过多年从事中小学校园网网络信息安全管理工作,并经长期研究,针对中小学校基于Linux操作系统,构建校园网网络信息安全管理系统的技术建设方案进行有益的探讨。
一、中小学校园网网络信息安全管理系统技术方案的基本内容
加强中小学校园网网络信息安全管理,从技术角度考虑,主要通过完成以下几项任务来实现。一是要配置防火墙。一方面可对进出的网络数据进行扫描,过滤信息,避免目标服务器、计算机等设备遭受攻击,另一方面可关闭特殊通信端口,降低木马和病毒传播速度和程度;二是要完成NAT(网络地址转换)。现在,可分配的IPv4地址日益枯竭,一所中小学只能申请到几个IPv4地址,而学校计算机数量动辄几十台,甚至更多,只有采取NAT方式才能保证学校所有计算机正常上网;三是要兼顾教职工使用计算机的不同实际需求,完整、有效地记录学校内部用户的上网日志。
二、基于Linux构建中小学校园网网络信息安全管理系统的技术方案
目前,市场上已有不少成熟的网络信息安全管理产品。但是,一方面这些产品价格较为昂贵,多数中小学校难以承受,无力购买;另一方面这些产品的功能设计与中小学校计算机的实际使用情况不尽相符。所以,大部分产品难以满足中小学校的实际上网需求。笔者利用免费开源的Linux操作系统,与软件开发公司合作,完成了价格低廉、维护方便、符合中小学实际的校园网网络信息安全管理系统的技术方案设计。
1.中小学校园网的基本结构
如下图所示,中小学的校园网主要由以下几部分构成。一是与互联网相接的设备,包括以ADSL方式入网的宽带Modem、以光纤方式入网的光纤收发器等;二是校园网的安全保护设备,如防火墙、UTM等设备;三是校园网的交换机等设备,包括核心交换机和接入交换机等;四是校园网接入终端,包括服务器、台式机以及移动笔记本等设备。
校园网网络信息安全管理系统技术方案的关键在于防火墙。中小学校可利用价格低廉、性能良好的计算机,构建一台符合中小学校实际需求的“防火墙”,保障学校的网络信息安全。
2.选择“防火墙”计算机合适的操作系统
“防火墙”计算机的操作系统非常重要,结合中小学校的实际情况,经过多次试验,我市确定将Linux作为“防火墙”计算机的操作系统。相对于其他操作系统,Linux具有以下几个特点。一是对硬件配置要求较低。中小学校利用一台性能较高的计算机,配置CPU双核2.0GHz、1G内存、2块100M网卡和160G硬盘,就能承载本文介绍的所有功能,满足中小学校的上网需求;二是占用内存少、性能稳定。Linux可运行在文本模式下,其内核可订制,可去掉不需要的组件;三是其补丁和漏洞的升级频率低,感染病毒危害的可能性小,维护简单方便。
3.在“防火墙”计算机上安装Linux操作系统的注意事项
本文不详细描述Linux操作系统的全部安装过程,以内核为2.6.18版本的Linux为例,在安装过程中应注意以下几点。
(1)选择中文和图形方式进行安装,选择英文和文本方式用于设备的日常运行。
(2)正确配置内外两块网卡的IP地址及网关等信息。
(3)出现“防火墙配置”页面时,安全级别选择“无防火墙”。
(4)进入“System Service”,保留“network、iptables、sshd、crond和syslog”等必要项,其他可不选。
4.配置NAT(网络地址转换)
在Linux操作系统中,利用Iptables命令可灵活方便地设置NAT,其步骤如下。
(1)设置允许IP包转发
将 /etc/sysctl.conf 中 net.ipv4.ip_forward=0 改成 net.ipv4.ip_forward=1。
(2)完成地址转换
iptables -t nat -A POSTROUTING-o eth0 -j MASQUERADE
此处的“eth0”指的是“防火墙”计算机中连接外部网络的网卡名称。
或者用
iptables -t nat -A POSTROUTING-s 192.168.0.0/24 -o eth0 -j MASQUERADE
此处的“192.168.0.0/24”指的是需要做地址转换的学校内部IP地址段。
读者可参考Iptables命令的详尽使用方法,对进出“防火墙”计算机的IP流量进行各种有效过滤和限制。
(3)保存Iptables的配置信息
执行:iptables-save> /etc/sysconfig/iptables
通过该命令可将上述做过的Iptables配置信息保存到相应文件,保证“防火墙”计算机开机后自动启动该项功能。
5.实现IP地址和网卡MAC地址的绑定
校园网时常会发生IP地址冲突、感染ARP病毒等情况,导致用户无法正常上网。采用IP地址和网卡MAC地址绑定,一定程度上可以杜绝这些现象的发生。在Linux操作系统中实现方法如下。
(1)在 /etc/ip-mac文件添加IP地址和对应网卡MAC地址
建立IP地址和MAC地址的对应表文件:/etc/ip-mac,将要绑定的IP和MAC地址写入此文件,其格式为“ip mac”。
如echo ’192.168.1.1 00:02:B3:38:08:62’>/etc/ip-mac或使用vi等编辑命令在/etc/ip-mac文件中逐一增加。
(2)设置成开机自动加载ip-mac文件
echo ’arp -f/etc/ip-mac’>>/etc/rc.d/rc.local或手动绑定执行:arp-f/etc/ip-mac。
6.记录网内计算机上网日志
中小学校上网的计算机主要分为两部分。一部分是教职工使用的计算机,另一部分是学校机房的计算机。这两部分计算机的使用方式有很大差别,后者一般是上计算机课时对全体学生开放,下课后全部关机。根据这一特点,笔者联合软件提供商编制了一套符合我市中小学校园网实际的上网日志管理系统。一是根据教职工使用计算机数量少、难以保证人手一台的特点,上网日志管理系统通过分配给每个教职工独立的账号和密码,进行常态化管理,即详细记录何人、何时、何机以及访问的页面;二是根据机房计算机使用特点,考虑到学生人数众多,不为每个学生独立分配账号和密码,减少管理难度和强度。在上网日志管理系统中设计了其他管理系统没有具备的特有功能,将机房计算机的IP地址放置在一个组中,按照课时安排。在上课期间,系统自动把这些IP地址认同为特殊IP地址,实行特殊管理,只记录何时、何机及其访问的页面,不记录使用人信息。下课后,系统自动取消这些IP地址的特权,并恢复成常态化管理。
(作者单位:河南焦作市信息技术教育中心)
一、中小学校园网网络信息安全管理系统技术方案的基本内容
加强中小学校园网网络信息安全管理,从技术角度考虑,主要通过完成以下几项任务来实现。一是要配置防火墙。一方面可对进出的网络数据进行扫描,过滤信息,避免目标服务器、计算机等设备遭受攻击,另一方面可关闭特殊通信端口,降低木马和病毒传播速度和程度;二是要完成NAT(网络地址转换)。现在,可分配的IPv4地址日益枯竭,一所中小学只能申请到几个IPv4地址,而学校计算机数量动辄几十台,甚至更多,只有采取NAT方式才能保证学校所有计算机正常上网;三是要兼顾教职工使用计算机的不同实际需求,完整、有效地记录学校内部用户的上网日志。
二、基于Linux构建中小学校园网网络信息安全管理系统的技术方案
目前,市场上已有不少成熟的网络信息安全管理产品。但是,一方面这些产品价格较为昂贵,多数中小学校难以承受,无力购买;另一方面这些产品的功能设计与中小学校计算机的实际使用情况不尽相符。所以,大部分产品难以满足中小学校的实际上网需求。笔者利用免费开源的Linux操作系统,与软件开发公司合作,完成了价格低廉、维护方便、符合中小学实际的校园网网络信息安全管理系统的技术方案设计。
1.中小学校园网的基本结构
如下图所示,中小学的校园网主要由以下几部分构成。一是与互联网相接的设备,包括以ADSL方式入网的宽带Modem、以光纤方式入网的光纤收发器等;二是校园网的安全保护设备,如防火墙、UTM等设备;三是校园网的交换机等设备,包括核心交换机和接入交换机等;四是校园网接入终端,包括服务器、台式机以及移动笔记本等设备。
校园网网络信息安全管理系统技术方案的关键在于防火墙。中小学校可利用价格低廉、性能良好的计算机,构建一台符合中小学校实际需求的“防火墙”,保障学校的网络信息安全。
2.选择“防火墙”计算机合适的操作系统
“防火墙”计算机的操作系统非常重要,结合中小学校的实际情况,经过多次试验,我市确定将Linux作为“防火墙”计算机的操作系统。相对于其他操作系统,Linux具有以下几个特点。一是对硬件配置要求较低。中小学校利用一台性能较高的计算机,配置CPU双核2.0GHz、1G内存、2块100M网卡和160G硬盘,就能承载本文介绍的所有功能,满足中小学校的上网需求;二是占用内存少、性能稳定。Linux可运行在文本模式下,其内核可订制,可去掉不需要的组件;三是其补丁和漏洞的升级频率低,感染病毒危害的可能性小,维护简单方便。
3.在“防火墙”计算机上安装Linux操作系统的注意事项
本文不详细描述Linux操作系统的全部安装过程,以内核为2.6.18版本的Linux为例,在安装过程中应注意以下几点。
(1)选择中文和图形方式进行安装,选择英文和文本方式用于设备的日常运行。
(2)正确配置内外两块网卡的IP地址及网关等信息。
(3)出现“防火墙配置”页面时,安全级别选择“无防火墙”。
(4)进入“System Service”,保留“network、iptables、sshd、crond和syslog”等必要项,其他可不选。
4.配置NAT(网络地址转换)
在Linux操作系统中,利用Iptables命令可灵活方便地设置NAT,其步骤如下。
(1)设置允许IP包转发
将 /etc/sysctl.conf 中 net.ipv4.ip_forward=0 改成 net.ipv4.ip_forward=1。
(2)完成地址转换
iptables -t nat -A POSTROUTING-o eth0 -j MASQUERADE
此处的“eth0”指的是“防火墙”计算机中连接外部网络的网卡名称。
或者用
iptables -t nat -A POSTROUTING-s 192.168.0.0/24 -o eth0 -j MASQUERADE
此处的“192.168.0.0/24”指的是需要做地址转换的学校内部IP地址段。
读者可参考Iptables命令的详尽使用方法,对进出“防火墙”计算机的IP流量进行各种有效过滤和限制。
(3)保存Iptables的配置信息
执行:iptables-save> /etc/sysconfig/iptables
通过该命令可将上述做过的Iptables配置信息保存到相应文件,保证“防火墙”计算机开机后自动启动该项功能。
5.实现IP地址和网卡MAC地址的绑定
校园网时常会发生IP地址冲突、感染ARP病毒等情况,导致用户无法正常上网。采用IP地址和网卡MAC地址绑定,一定程度上可以杜绝这些现象的发生。在Linux操作系统中实现方法如下。
(1)在 /etc/ip-mac文件添加IP地址和对应网卡MAC地址
建立IP地址和MAC地址的对应表文件:/etc/ip-mac,将要绑定的IP和MAC地址写入此文件,其格式为“ip mac”。
如echo ’192.168.1.1 00:02:B3:38:08:62’>/etc/ip-mac或使用vi等编辑命令在/etc/ip-mac文件中逐一增加。
(2)设置成开机自动加载ip-mac文件
echo ’arp -f/etc/ip-mac’>>/etc/rc.d/rc.local或手动绑定执行:arp-f/etc/ip-mac。
6.记录网内计算机上网日志
中小学校上网的计算机主要分为两部分。一部分是教职工使用的计算机,另一部分是学校机房的计算机。这两部分计算机的使用方式有很大差别,后者一般是上计算机课时对全体学生开放,下课后全部关机。根据这一特点,笔者联合软件提供商编制了一套符合我市中小学校园网实际的上网日志管理系统。一是根据教职工使用计算机数量少、难以保证人手一台的特点,上网日志管理系统通过分配给每个教职工独立的账号和密码,进行常态化管理,即详细记录何人、何时、何机以及访问的页面;二是根据机房计算机使用特点,考虑到学生人数众多,不为每个学生独立分配账号和密码,减少管理难度和强度。在上网日志管理系统中设计了其他管理系统没有具备的特有功能,将机房计算机的IP地址放置在一个组中,按照课时安排。在上课期间,系统自动把这些IP地址认同为特殊IP地址,实行特殊管理,只记录何时、何机及其访问的页面,不记录使用人信息。下课后,系统自动取消这些IP地址的特权,并恢复成常态化管理。
(作者单位:河南焦作市信息技术教育中心)