郝啟強(qiáng)

江蘇省南京市第十三中學(xué)(紅山校區(qū)) 江蘇南京 210002

中小學(xué)兼職網(wǎng)管校園網(wǎng)絡(luò)管理策略探究

郝啟強(qiáng)

江蘇省南京市第十三中學(xué)(紅山校區(qū)) 江蘇南京 210002

很多學(xué)校對校園網(wǎng)絡(luò)建設(shè)不夠重視，“能上網(wǎng)就行”，這是學(xué)校對校園網(wǎng)管理員的最主要要求。可是，隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，瘋狂下載、網(wǎng)絡(luò)安全、木馬病毒等因素時刻威脅著脆弱的校園網(wǎng)絡(luò)，越來越讓我們提心吊膽，像一個技術(shù)維修工一樣疲于奔命地去被動“縫補(bǔ)”出現(xiàn)的各種問題，總有一天，我們會感到力不從心，其實(shí)，我們完全可以化被動維護(hù)為主動出擊，重新定位自己的角色：摒棄維修工的帽子，做一個科學(xué)的管理者！

筆者所在學(xué)校是一個擁有30多個班級的十軌制初中，現(xiàn)已建成了主干千兆，百兆到桌面的校園網(wǎng)絡(luò)，設(shè)有網(wǎng)絡(luò)中心一個，內(nèi)有服務(wù)器4臺，教師辦公以及公用電腦200多臺，分布在3棟教學(xué)大樓里，另有學(xué)生機(jī)房2個。筆者除了擔(dān)任11個班的信息技術(shù)教學(xué)工作外，兼職負(fù)責(zé)網(wǎng)管工作，工作量很大，具有普遍代表性。為了能在完成教學(xué)任務(wù)的同時，做好兼職網(wǎng)管工作，通過不斷探索和學(xué)習(xí)，從中總結(jié)出了一些校園網(wǎng)絡(luò)管理和應(yīng)用的具體經(jīng)驗。

一、檔案

想要管好自己的校園網(wǎng)絡(luò),首先必須了解它們。對學(xué)校里的網(wǎng)絡(luò)設(shè)備包括軟硬件等基本情況,做到心中有數(shù)。網(wǎng)管電腦里一定要有一份校園網(wǎng)基礎(chǔ)檔案,主要包括：校園網(wǎng)絡(luò)拓?fù)鋱D，信息點(diǎn)速查表，服務(wù)器、交換機(jī)、防火墻、路由器等設(shè)備的基本情況和配置信息，使用手冊、保修證書等，可以參考《南京市中小學(xué)網(wǎng)絡(luò)管理基礎(chǔ)性工作評估驗收表》的基本要求準(zhǔn)備，在此列舉幾個主要檔案供大家參考：

1.拓?fù)鋱D檔案

主要是校園網(wǎng)絡(luò)拓?fù)鋱D和基礎(chǔ)布線圖。拓?fù)鋱D可用Visio或億圖軟件繪制，最好有詳細(xì)的備注，以備查驗；而基礎(chǔ)布線圖可以方便管理者及時查找每一棟樓宇的信息點(diǎn)分布情況。

2.信息點(diǎn)速查表

主要是配線架的對照表和IP/MAC地址/機(jī)器名對應(yīng)的速查表。配線架對照表主要是將機(jī)柜匯聚的線路編號與信息點(diǎn)模塊編號塊一一對應(yīng)，一般結(jié)合基礎(chǔ)布線圖共同使用，可以快速定位每位教師網(wǎng)絡(luò)在交換機(jī)上的具體接入位置。而IP/MAC地址/機(jī)器名對應(yīng)速查表則是有切身體會教訓(xùn)，ARP病毒肆虐的時代雖已過去，但是稍不注意，照樣死灰復(fù)燃；同時，機(jī)器名的規(guī)范命名也非常重要，在給教師裝系統(tǒng)時，記得更改計算機(jī)名、IP地址，可以有效避免因網(wǎng)絡(luò)重名或IP地址沖突導(dǎo)致無法上網(wǎng)。

3.主要硬件設(shè)備表

主要包括服務(wù)器、交換機(jī)、防火墻、路由器等設(shè)備的基本情況和配置數(shù)據(jù)?；厩闆r檔案可以包括以下幾個方面的內(nèi)容：設(shè)備名稱、存放位置、配置、購買時間、保修時間、技術(shù)支持電話、用途、維修記錄等。

二、流控

隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，特別是P2P技術(shù)的廣泛應(yīng)用，在線視頻、PPlive、迅雷、BT等下載因素，使得原本就不太“寬?！钡膸?，變得更加龜速。網(wǎng)速問題是學(xué)校領(lǐng)導(dǎo)和同事們最關(guān)心的，也是最容易感受到的，解決網(wǎng)速問題至關(guān)重要。如果沒有足夠的經(jīng)濟(jì)實(shí)力升級帶寬，最實(shí)用的方法就是通過軟路由來控制優(yōu)化網(wǎng)絡(luò)帶寬，進(jìn)行流控，筆者推薦一款低成本高性能的免費(fèi)流控軟件—Panabit。

Panabit是北京派網(wǎng)開發(fā)的基于FreeBSD Linux操作系統(tǒng)的“網(wǎng)絡(luò)應(yīng)用層”流量管理系統(tǒng),特別針對P2P應(yīng)用的識別與控制進(jìn)行開發(fā)。其標(biāo)準(zhǔn)版可以免費(fèi)使用,限制并發(fā)連接256個IP地址,基本可以滿足大部分中小學(xué)網(wǎng)絡(luò)流量控制的需要。相比動輒數(shù)萬元的硬件流控設(shè)備,只需一臺P3級別的PC就能夠安裝。當(dāng)然,如果擔(dān)心普通PC不夠穩(wěn)定,可以購買一臺二手1U機(jī)架式服務(wù)器,所有費(fèi)用相加,成本也不會超過1500元。

1.安裝要求

配置P3 800Mhz以上，256M內(nèi)存以上，3塊網(wǎng)卡，128M以上電子盤或硬盤。

2.架設(shè)部署

Panabit使用的是橋接結(jié)構(gòu)，支持兩種接入和部署方案：旁路監(jiān)聽與透明網(wǎng)橋模式，推薦使用后者。以透明網(wǎng)橋的方式部署在出口鏈路上，對出口鏈路上的雙向流量進(jìn)行協(xié)議分析、統(tǒng)計，同時根據(jù)所設(shè)定的規(guī)則對流量進(jìn)行靈活的限制和分配。用戶既可以統(tǒng)計流量，又可以做訪問控制和帶寬管理。管理界面如圖1所示：

圖1 Panabit的Web管理界面

三、安全

無疑，校園網(wǎng)絡(luò)的安全是重中之重，尤其是現(xiàn)在病毒黑客的攻擊層出不窮，我們的校園網(wǎng)絡(luò)不能僅僅滿足于能正常運(yùn)行，最好還要能健康地運(yùn)行。筆者將校園網(wǎng)絡(luò)安全分成以下幾塊進(jìn)行管理：

1.服務(wù)器安全

服務(wù)器安全主要是Web、FTP等服務(wù)器的安全防護(hù)工作，必要的正版殺毒軟件和防火墻需要實(shí)時更新，定期查殺病毒和打補(bǔ)丁。另外，去掉一些不必要的服務(wù)，遵循服務(wù)最小化的原則，切勿在服務(wù)器上安裝來路不明的軟件或者黑客軟件，并按要求設(shè)定本地安全策略，禁用默認(rèn)共享與自動運(yùn)行，設(shè)置高強(qiáng)度的用戶賬戶和密碼。時刻謹(jǐn)記：最小的權(quán)限+最少的服務(wù)=最大的安全。

(1)Web安全小技巧

ASP+ACCESS架構(gòu)的網(wǎng)站使用的數(shù)據(jù)庫文件后綴名為.mdb,是可以通過IE下載的,所以必須對數(shù)據(jù)庫文件進(jìn)行防下載處理。下面的方法雖然不能完全防止數(shù)據(jù)庫被下載,但事實(shí)證明很有效果：修改數(shù)據(jù)庫文件后綴名為.asp或.asa，并把數(shù)據(jù)庫文件名設(shè)置為無規(guī)律復(fù)雜型，在文件名前加字符“#”。如果電腦是SQL數(shù)據(jù)庫，則配置時不要使用sa賬戶做數(shù)據(jù)庫連接，必須新建一個SQL用戶作為數(shù)據(jù)庫連接用戶，慬防注入攻擊！同時一定要設(shè)置sa賬戶密碼，如有條件，應(yīng)安裝SQL2005+SP2，SQL2005的安全性與執(zhí)行效率要好于SQL2000。如果有多臺服務(wù)器，最好將Web服務(wù)與SQL服務(wù)分離，安裝在不同的服務(wù)器上。

(2)FTP安全小技巧

目前大多數(shù)服務(wù)器使用Serv-U為FTP服務(wù)。建議使用此軟件的最新版本以降低遭受攻擊的可能性，建議更改默認(rèn)端口號，安裝目錄可以故意很復(fù)雜，例如D:Serv-U_4efmasd63e49(復(fù)雜無規(guī)則的目錄名可有效防止黑客的猜解)。

2.辦公電腦安全

我們往往忽視了辦公電腦的安全,用市面上賣的Ghost恢復(fù)盤并非一勞永逸,其安全性、時效性也是個問題,常常備份完系統(tǒng),100多個漏洞補(bǔ)丁沒打,轉(zhuǎn)眼之間再次中毒,無疑增加了重復(fù)勞動的工作負(fù)擔(dān)。筆者所在的學(xué)校不同型號的電腦有十幾種,一張Ghost盤是遠(yuǎn)遠(yuǎn)不夠的。所以每隔1～2個月,為每種型號的電腦做一個符合學(xué)校具體需求的備份,保存在一臺專門的服務(wù)器上,通過Maxdos網(wǎng)絡(luò)Ghost恢復(fù)，5分鐘即可搞定。同時針對補(bǔ)丁包不及時的問題，每月定期制作補(bǔ)丁包集合(可通過360安全衛(wèi)士hotfix文件夾收集補(bǔ)丁包)，上傳至校園FTP上供教師下載安裝，避免重復(fù)下載，減少帶寬資源浪費(fèi)。有條件的學(xué)校，也可以通過部署架設(shè)WSUS服務(wù)(Windows Server Update Services)，這種網(wǎng)絡(luò)化的補(bǔ)丁分發(fā)方案，支持Windows XP、2000和2003的補(bǔ)丁分發(fā)，在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免帶寬的浪費(fèi)。另外，對于教室等公用電腦，因為使用頻率較大，使用人員較雜，不太容易防護(hù)，可以考慮安裝硬件還原卡或者安裝影子還原系統(tǒng)，對C盤進(jìn)行還原保護(hù)。

3.機(jī)房安全

機(jī)房學(xué)生上網(wǎng)一直是個讓人頭疼的問題，在機(jī)房上課，只要允許學(xué)生上網(wǎng)，學(xué)生立即就會下載QQ、游戲等內(nèi)容，過去機(jī)房常用SyGate等軟件代理上網(wǎng)，很難對學(xué)生上網(wǎng)行為做出控制，現(xiàn)在有了許多很好的軟路由軟件和虛擬機(jī)技術(shù)，因此從技術(shù)上來說，可以對學(xué)生上網(wǎng)行為做出一定的控制，在機(jī)房里通過虛擬機(jī)安裝海蜘蛛是個不錯的選擇。海蜘蛛路由基于Linux 2.6穩(wěn)定內(nèi)核開發(fā)，采用嵌入式架構(gòu)，體積精簡、運(yùn)行高效，具有很高的可靠性、安全性及穩(wěn)定性，支持DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能(可用來屏蔽聊天、游戲網(wǎng)站)?，F(xiàn)階段機(jī)房服務(wù)器大多內(nèi)存超過1G，可先安裝虛擬機(jī)，然后再安裝海蜘蛛。學(xué)生通過海蜘蛛上網(wǎng)，同時通過DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能，控制學(xué)生上網(wǎng)行為，保障學(xué)生安全健康上網(wǎng),如圖2所示：

圖2 海蜘蛛過濾設(shè)置

4.數(shù)據(jù)安全

數(shù)據(jù)安全非常重要，更多的時候我們擔(dān)心的不是系統(tǒng)的崩潰，軟件的無法使用，而是數(shù)據(jù)丟失后無法挽回。所以數(shù)據(jù)備份非常重要，單就校園網(wǎng)絡(luò)數(shù)據(jù)安全來說，筆者著重對操作系統(tǒng)Ghost數(shù)據(jù)、重要文件數(shù)據(jù)、網(wǎng)站的整站以及數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行備份。通常采用本地和異地兩種備份機(jī)制，利用備份軟件(如FileGee備份軟件)或者利用“任務(wù)計劃”，通過批處理命令進(jìn)行數(shù)據(jù)備份。例如利用Xcopy命令，例如xcopy c:srcdocs d:dstdocs /O /X /E/H /K，其中srcdocs是源文件夾，而dstdocs是目標(biāo)文件夾。而SQL網(wǎng)站數(shù)據(jù)庫則可以通過打開管理欄目中的數(shù)據(jù)庫維護(hù)計劃，新建一個數(shù)據(jù)備份項目，對網(wǎng)站數(shù)據(jù)進(jìn)行備份。建議隔段時間對網(wǎng)站整站進(jìn)行異地備份，防止意外因素丟失網(wǎng)站數(shù)據(jù)。

總之，校園網(wǎng)絡(luò)管理不能單靠我們加班加點(diǎn)埋頭苦干，更應(yīng)該講究方法，注重科學(xué)管理。在保證正常教學(xué)秩序的同時，減輕自己的工作負(fù)擔(dān)，使工作效率事半功倍，讓兼職更加稱職，真正做一名科學(xué)的管理者，而不是一名技術(shù)的維修工。

[1] 王春海.使用Panabit打造低成本流量控制方案[J].微型計算機(jī)，2010，11

[2] 袁勇新.上網(wǎng)安全與行為管理實(shí)驗[J].網(wǎng)管員世界，2010，21

郝啟強(qiáng)，本科，中教二級。