郝啟強

江蘇省南京市第十三中學(紅山校區(qū)) 江蘇南京 210002

中小學兼職網(wǎng)管校園網(wǎng)絡(luò)管理策略探究

郝啟強

江蘇省南京市第十三中學(紅山校區(qū)) 江蘇南京 210002

很多學校對校園網(wǎng)絡(luò)建設(shè)不夠重視，“能上網(wǎng)就行”，這是學校對校園網(wǎng)管理員的最主要要求。可是，隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，瘋狂下載、網(wǎng)絡(luò)安全、木馬病毒等因素時刻威脅著脆弱的校園網(wǎng)絡(luò)，越來越讓我們提心吊膽，像一個技術(shù)維修工一樣疲于奔命地去被動“縫補”出現(xiàn)的各種問題，總有一天，我們會感到力不從心，其實，我們完全可以化被動維護為主動出擊，重新定位自己的角色：摒棄維修工的帽子，做一個科學的管理者！

筆者所在學校是一個擁有30多個班級的十軌制初中，現(xiàn)已建成了主干千兆，百兆到桌面的校園網(wǎng)絡(luò)，設(shè)有網(wǎng)絡(luò)中心一個，內(nèi)有服務(wù)器4臺，教師辦公以及公用電腦200多臺，分布在3棟教學大樓里，另有學生機房2個。筆者除了擔任11個班的信息技術(shù)教學工作外，兼職負責網(wǎng)管工作，工作量很大，具有普遍代表性。為了能在完成教學任務(wù)的同時，做好兼職網(wǎng)管工作，通過不斷探索和學習，從中總結(jié)出了一些校園網(wǎng)絡(luò)管理和應(yīng)用的具體經(jīng)驗。

一、檔案

想要管好自己的校園網(wǎng)絡(luò),首先必須了解它們。對學校里的網(wǎng)絡(luò)設(shè)備包括軟硬件等基本情況,做到心中有數(shù)。網(wǎng)管電腦里一定要有一份校園網(wǎng)基礎(chǔ)檔案,主要包括：校園網(wǎng)絡(luò)拓撲圖，信息點速查表，服務(wù)器、交換機、防火墻、路由器等設(shè)備的基本情況和配置信息，使用手冊、保修證書等，可以參考《南京市中小學網(wǎng)絡(luò)管理基礎(chǔ)性工作評估驗收表》的基本要求準備，在此列舉幾個主要檔案供大家參考：

1.拓撲圖檔案

主要是校園網(wǎng)絡(luò)拓撲圖和基礎(chǔ)布線圖。拓撲圖可用Visio或億圖軟件繪制，最好有詳細的備注，以備查驗；而基礎(chǔ)布線圖可以方便管理者及時查找每一棟樓宇的信息點分布情況。

2.信息點速查表

主要是配線架的對照表和IP/MAC地址/機器名對應(yīng)的速查表。配線架對照表主要是將機柜匯聚的線路編號與信息點模塊編號塊一一對應(yīng)，一般結(jié)合基礎(chǔ)布線圖共同使用，可以快速定位每位教師網(wǎng)絡(luò)在交換機上的具體接入位置。而IP/MAC地址/機器名對應(yīng)速查表則是有切身體會教訓(xùn)，ARP病毒肆虐的時代雖已過去，但是稍不注意，照樣死灰復(fù)燃；同時，機器名的規(guī)范命名也非常重要，在給教師裝系統(tǒng)時，記得更改計算機名、IP地址，可以有效避免因網(wǎng)絡(luò)重名或IP地址沖突導(dǎo)致無法上網(wǎng)。

3.主要硬件設(shè)備表

主要包括服務(wù)器、交換機、防火墻、路由器等設(shè)備的基本情況和配置數(shù)據(jù)?；厩闆r檔案可以包括以下幾個方面的內(nèi)容：設(shè)備名稱、存放位置、配置、購買時間、保修時間、技術(shù)支持電話、用途、維修記錄等。

二、流控

隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，特別是P2P技術(shù)的廣泛應(yīng)用，在線視頻、PPlive、迅雷、BT等下載因素，使得原本就不太“寬裕”的帶寬，變得更加龜速。網(wǎng)速問題是學校領(lǐng)導(dǎo)和同事們最關(guān)心的，也是最容易感受到的，解決網(wǎng)速問題至關(guān)重要。如果沒有足夠的經(jīng)濟實力升級帶寬，最實用的方法就是通過軟路由來控制優(yōu)化網(wǎng)絡(luò)帶寬，進行流控，筆者推薦一款低成本高性能的免費流控軟件—Panabit。

Panabit是北京派網(wǎng)開發(fā)的基于FreeBSD Linux操作系統(tǒng)的“網(wǎng)絡(luò)應(yīng)用層”流量管理系統(tǒng),特別針對P2P應(yīng)用的識別與控制進行開發(fā)。其標準版可以免費使用,限制并發(fā)連接256個IP地址,基本可以滿足大部分中小學網(wǎng)絡(luò)流量控制的需要。相比動輒數(shù)萬元的硬件流控設(shè)備,只需一臺P3級別的PC就能夠安裝。當然,如果擔心普通PC不夠穩(wěn)定,可以購買一臺二手1U機架式服務(wù)器,所有費用相加,成本也不會超過1500元。

1.安裝要求

配置P3 800Mhz以上，256M內(nèi)存以上，3塊網(wǎng)卡，128M以上電子盤或硬盤。

2.架設(shè)部署

Panabit使用的是橋接結(jié)構(gòu)，支持兩種接入和部署方案：旁路監(jiān)聽與透明網(wǎng)橋模式，推薦使用后者。以透明網(wǎng)橋的方式部署在出口鏈路上，對出口鏈路上的雙向流量進行協(xié)議分析、統(tǒng)計，同時根據(jù)所設(shè)定的規(guī)則對流量進行靈活的限制和分配。用戶既可以統(tǒng)計流量，又可以做訪問控制和帶寬管理。管理界面如圖1所示：

圖1 Panabit的Web管理界面

三、安全

無疑，校園網(wǎng)絡(luò)的安全是重中之重，尤其是現(xiàn)在病毒黑客的攻擊層出不窮，我們的校園網(wǎng)絡(luò)不能僅僅滿足于能正常運行，最好還要能健康地運行。筆者將校園網(wǎng)絡(luò)安全分成以下幾塊進行管理：

1.服務(wù)器安全

服務(wù)器安全主要是Web、FTP等服務(wù)器的安全防護工作，必要的正版殺毒軟件和防火墻需要實時更新，定期查殺病毒和打補丁。另外，去掉一些不必要的服務(wù)，遵循服務(wù)最小化的原則，切勿在服務(wù)器上安裝來路不明的軟件或者黑客軟件，并按要求設(shè)定本地安全策略，禁用默認共享與自動運行，設(shè)置高強度的用戶賬戶和密碼。時刻謹記：最小的權(quán)限+最少的服務(wù)=最大的安全。

(1)Web安全小技巧

ASP+ACCESS架構(gòu)的網(wǎng)站使用的數(shù)據(jù)庫文件后綴名為.mdb,是可以通過IE下載的,所以必須對數(shù)據(jù)庫文件進行防下載處理。下面的方法雖然不能完全防止數(shù)據(jù)庫被下載,但事實證明很有效果：修改數(shù)據(jù)庫文件后綴名為.asp或.asa，并把數(shù)據(jù)庫文件名設(shè)置為無規(guī)律復(fù)雜型，在文件名前加字符“#”。如果電腦是SQL數(shù)據(jù)庫，則配置時不要使用sa賬戶做數(shù)據(jù)庫連接，必須新建一個SQL用戶作為數(shù)據(jù)庫連接用戶，慬防注入攻擊！同時一定要設(shè)置sa賬戶密碼，如有條件，應(yīng)安裝SQL2005+SP2，SQL2005的安全性與執(zhí)行效率要好于SQL2000。如果有多臺服務(wù)器，最好將Web服務(wù)與SQL服務(wù)分離，安裝在不同的服務(wù)器上。

(2)FTP安全小技巧

目前大多數(shù)服務(wù)器使用Serv-U為FTP服務(wù)。建議使用此軟件的最新版本以降低遭受攻擊的可能性，建議更改默認端口號，安裝目錄可以故意很復(fù)雜，例如D:Serv-U_4efmasd63e49(復(fù)雜無規(guī)則的目錄名可有效防止黑客的猜解)。

2.辦公電腦安全

我們往往忽視了辦公電腦的安全,用市面上賣的Ghost恢復(fù)盤并非一勞永逸,其安全性、時效性也是個問題,常常備份完系統(tǒng),100多個漏洞補丁沒打,轉(zhuǎn)眼之間再次中毒,無疑增加了重復(fù)勞動的工作負擔。筆者所在的學校不同型號的電腦有十幾種,一張Ghost盤是遠遠不夠的。所以每隔1～2個月,為每種型號的電腦做一個符合學校具體需求的備份,保存在一臺專門的服務(wù)器上,通過Maxdos網(wǎng)絡(luò)Ghost恢復(fù)，5分鐘即可搞定。同時針對補丁包不及時的問題，每月定期制作補丁包集合(可通過360安全衛(wèi)士hotfix文件夾收集補丁包)，上傳至校園FTP上供教師下載安裝，避免重復(fù)下載，減少帶寬資源浪費。有條件的學校，也可以通過部署架設(shè)WSUS服務(wù)(Windows Server Update Services)，這種網(wǎng)絡(luò)化的補丁分發(fā)方案，支持Windows XP、2000和2003的補丁分發(fā)，在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免帶寬的浪費。另外，對于教室等公用電腦，因為使用頻率較大，使用人員較雜，不太容易防護，可以考慮安裝硬件還原卡或者安裝影子還原系統(tǒng)，對C盤進行還原保護。

3.機房安全

機房學生上網(wǎng)一直是個讓人頭疼的問題，在機房上課，只要允許學生上網(wǎng)，學生立即就會下載QQ、游戲等內(nèi)容，過去機房常用SyGate等軟件代理上網(wǎng)，很難對學生上網(wǎng)行為做出控制，現(xiàn)在有了許多很好的軟路由軟件和虛擬機技術(shù)，因此從技術(shù)上來說，可以對學生上網(wǎng)行為做出一定的控制，在機房里通過虛擬機安裝海蜘蛛是個不錯的選擇。海蜘蛛路由基于Linux 2.6穩(wěn)定內(nèi)核開發(fā)，采用嵌入式架構(gòu)，體積精簡、運行高效，具有很高的可靠性、安全性及穩(wěn)定性，支持DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能(可用來屏蔽聊天、游戲網(wǎng)站)?，F(xiàn)階段機房服務(wù)器大多內(nèi)存超過1G，可先安裝虛擬機，然后再安裝海蜘蛛。學生通過海蜘蛛上網(wǎng)，同時通過DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能，控制學生上網(wǎng)行為，保障學生安全健康上網(wǎng),如圖2所示：

圖2 海蜘蛛過濾設(shè)置

4.數(shù)據(jù)安全

數(shù)據(jù)安全非常重要，更多的時候我們擔心的不是系統(tǒng)的崩潰，軟件的無法使用，而是數(shù)據(jù)丟失后無法挽回。所以數(shù)據(jù)備份非常重要，單就校園網(wǎng)絡(luò)數(shù)據(jù)安全來說，筆者著重對操作系統(tǒng)Ghost數(shù)據(jù)、重要文件數(shù)據(jù)、網(wǎng)站的整站以及數(shù)據(jù)庫的數(shù)據(jù)進行備份。通常采用本地和異地兩種備份機制，利用備份軟件(如FileGee備份軟件)或者利用“任務(wù)計劃”，通過批處理命令進行數(shù)據(jù)備份。例如利用Xcopy命令，例如xcopy c:srcdocs d:dstdocs /O /X /E/H /K，其中srcdocs是源文件夾，而dstdocs是目標文件夾。而SQL網(wǎng)站數(shù)據(jù)庫則可以通過打開管理欄目中的數(shù)據(jù)庫維護計劃，新建一個數(shù)據(jù)備份項目，對網(wǎng)站數(shù)據(jù)進行備份。建議隔段時間對網(wǎng)站整站進行異地備份，防止意外因素丟失網(wǎng)站數(shù)據(jù)。

總之，校園網(wǎng)絡(luò)管理不能單靠我們加班加點埋頭苦干，更應(yīng)該講究方法，注重科學管理。在保證正常教學秩序的同時，減輕自己的工作負擔，使工作效率事半功倍，讓兼職更加稱職，真正做一名科學的管理者，而不是一名技術(shù)的維修工。

[1] 王春海.使用Panabit打造低成本流量控制方案[J].微型計算機，2010，11

[2] 袁勇新.上網(wǎng)安全與行為管理實驗[J].網(wǎng)管員世界，2010，21

郝啟強，本科，中教二級。