任艷芳

【摘要】 近年來(lái)，黑客的攻擊目標(biāo)越來(lái)越多的從個(gè)人目標(biāo)轉(zhuǎn)向銀行、證券、政府單位等網(wǎng)站，校園網(wǎng)絡(luò)承擔(dān)信息發(fā)布的功能，也是教育教學(xué)工作的重要工具，提高校園網(wǎng)絡(luò)的安全成為重要任務(wù)，本文論述了校園網(wǎng)絡(luò)易出現(xiàn)的問(wèn)題，以及安全網(wǎng)關(guān)如何解決這些問(wèn)題，并根據(jù)我校實(shí)際情況，分析安全網(wǎng)關(guān)如何配置。

【關(guān)鍵詞】 安全網(wǎng)關(guān) 校園網(wǎng)絡(luò)

根據(jù)《2013年中國(guó)網(wǎng)絡(luò)安全報(bào)告》，2013年全年，被黑客攻破利用的網(wǎng)站20.3萬(wàn)個(gè)，這些網(wǎng)站被黑客攻破獲取到web站點(diǎn)控制權(quán)限后，在網(wǎng)站負(fù)責(zé)人毫不知情的情況下，黑客就會(huì)在該網(wǎng)站上放置釣魚(yú)欺詐的內(nèi)容或在該網(wǎng)站上傳播釣魚(yú)欺詐的鏈接。

而《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2014年）》中指出，2013年，教育機(jī)構(gòu)類(lèi)網(wǎng)站被篡改的比例占全部網(wǎng)站的0.4%，以植入暗鏈方式被攻擊的比例大幅上升。

校園網(wǎng)絡(luò)承擔(dān)學(xué)校消息發(fā)布的任務(wù)，以我校為例，學(xué)校的通知、文件、學(xué)生成績(jī)管理系統(tǒng)、教務(wù)管理系統(tǒng)等等都是在發(fā)布在校園網(wǎng)主頁(yè)上，容易被植入后門(mén)，盜取資料。

保障校園網(wǎng)絡(luò)安全，目前比較流行的管理工具是安全網(wǎng)關(guān)，也稱(chēng)為上網(wǎng)行為管理，是一種管理設(shè)備，它包括硬件及軟件，主要通過(guò)對(duì)訪問(wèn)者的身份認(rèn)證、網(wǎng)頁(yè)過(guò)濾、訪問(wèn)控制、流量管理、上網(wǎng)行為記錄、報(bào)表統(tǒng)計(jì)和安全防護(hù)功能，從而實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)訪問(wèn)行為的全面管理。

安全網(wǎng)關(guān)在使用上比硬件防火墻和軟件安全網(wǎng)關(guān)更有優(yōu)勢(shì)，具體表現(xiàn)在：1.安全網(wǎng)關(guān)可以有多種接入模式：網(wǎng)橋、路由及旁路模式等；2.安全網(wǎng)關(guān)可以提供反垃圾郵件、病毒防火、機(jī)密信息過(guò)濾等功能；

在校園網(wǎng)絡(luò)里配置安全網(wǎng)關(guān)，可以實(shí)現(xiàn)下列功能：

1.利用“安全桌面”技術(shù)，使病毒只存在虛擬的桌面，不會(huì)感染本機(jī)，退出安全桌面后，所做修改全部還原；2.通過(guò)建立“黑白名單”實(shí)現(xiàn)對(duì)訪問(wèn)網(wǎng)址的控制，禁止訪問(wèn)不安全、不健康的網(wǎng)站，維護(hù)信息安全；3.“分權(quán)管理”，學(xué)生組在規(guī)定時(shí)間內(nèi)禁止觀看視頻、網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天、網(wǎng)上購(gòu)物等，既可以規(guī)范學(xué)生行為，提高教學(xué)質(zhì)量，又可以保障帶寬，減少不必要的帶寬擁堵；4.利用”緩存加速“功能，緩存網(wǎng)頁(yè)和視頻，削減冗余流量；5.利用防火墻和網(wǎng)關(guān)殺毒，提高網(wǎng)絡(luò)安全；6.網(wǎng)絡(luò)數(shù)據(jù)中心對(duì)上網(wǎng)行為和帶寬利用情況進(jìn)行分析，統(tǒng)計(jì)網(wǎng)絡(luò)訪問(wèn)趨勢(shì)，數(shù)據(jù)中心會(huì)保留用戶(hù)上網(wǎng)記錄，必要時(shí)可作為法律舉證的重要依據(jù)；

下面將根據(jù)我校實(shí)際情況，分析使用安全網(wǎng)關(guān)的配置。

1.我校目前網(wǎng)絡(luò)分布情況：我校目前使用的是千兆校園網(wǎng)，根據(jù)學(xué)部劃分，四個(gè)學(xué)部（機(jī)械部、信息部、電氣部、財(cái)經(jīng)部）在各自的辦公場(chǎng)室辦公及教學(xué)，公共課在四棟教學(xué)樓上課，圖書(shū)館、飯?zhí)煤腕w育組各設(shè)一個(gè)接入點(diǎn)，供上網(wǎng)需要。2.網(wǎng)絡(luò)資源使用情況：所有辦公電腦都要求可以上網(wǎng)，且上班時(shí)間要保證一定的帶寬；教學(xué)場(chǎng)室電腦根據(jù)教學(xué)需要決定是否開(kāi)放上網(wǎng)；3.安全網(wǎng)關(guān)要實(shí)現(xiàn)以下功能：

①根據(jù)IP劃分用戶(hù)組，分為公共課教師組、專(zhuān)業(yè)課教師組、行政組、圖書(shū)館、飯?zhí)谩W(xué)生等，并將除學(xué)生組外其他用戶(hù)的IP地址與物理網(wǎng)卡進(jìn)行綁定；②建立身份認(rèn)證體系，具體操作即給每位老師及學(xué)生分配固定賬號(hào)，通過(guò)安全桌面使用賬號(hào)和密碼才能上網(wǎng)；③優(yōu)化帶寬資源：實(shí)訓(xùn)場(chǎng)室內(nèi)電腦只有向網(wǎng)絡(luò)管理員申請(qǐng)后才允許開(kāi)放網(wǎng)絡(luò)，上網(wǎng)的時(shí)候不允許P2P下載、網(wǎng)絡(luò)聊天或是網(wǎng)上購(gòu)物；④控制瀏覽的網(wǎng)頁(yè)范圍：在局域網(wǎng)中的用戶(hù)瀏覽網(wǎng)頁(yè)時(shí)，安全網(wǎng)關(guān)通過(guò)聯(lián)動(dòng)式分析，并根據(jù)安全網(wǎng)關(guān)默認(rèn)的設(shè)置、網(wǎng)絡(luò)管理員自定義的過(guò)濾規(guī)則對(duì)用戶(hù)需要訪問(wèn)的網(wǎng)頁(yè)進(jìn)行過(guò)濾；⑤控制其他的網(wǎng)絡(luò)應(yīng)用： 安全網(wǎng)關(guān)的深度內(nèi)容檢測(cè)已經(jīng)自帶了眾多應(yīng)用程序的數(shù)據(jù)特征文件，如網(wǎng)絡(luò)游戲、在線炒股等，可以允許或者拒絕內(nèi)網(wǎng)用戶(hù)訪問(wèn)特定的網(wǎng)絡(luò)服務(wù)；⑥通過(guò)建立網(wǎng)絡(luò)準(zhǔn)入規(guī)則（NAR）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)的控制，更好維護(hù)網(wǎng)絡(luò)安全防線：內(nèi)網(wǎng)計(jì)算機(jī)狀態(tài)不符合動(dòng)態(tài)分發(fā)準(zhǔn)入代理（ SIA）的規(guī)則設(shè)置時(shí)，安全網(wǎng)關(guān)將執(zhí)行相應(yīng)的策略；⑦建立數(shù)據(jù)中心，了解網(wǎng)絡(luò)行為：安全網(wǎng)關(guān)自帶的數(shù)據(jù)中心存儲(chǔ)容量有限，通過(guò)外置數(shù)據(jù)中心，保存90天以上數(shù)據(jù)備查；⑧根據(jù)校園網(wǎng)實(shí)際情況，安全網(wǎng)關(guān)采用網(wǎng)橋模式，對(duì)內(nèi)網(wǎng)完全監(jiān)控、控制和管理，不改變內(nèi)網(wǎng)用戶(hù)的IP劃分，具體分配如下：中心機(jī)房使用一臺(tái)標(biāo)配1000M電口，1000M光口的安全網(wǎng)關(guān)，學(xué)部大樓、公共教學(xué)樓各使用一臺(tái)標(biāo)配100M/1000M電口的安全網(wǎng)關(guān)，圖書(shū)館、飯?zhí)?、體育組各使用一臺(tái)標(biāo)配100M電口安全網(wǎng)關(guān)。部署方式：安全網(wǎng)關(guān)的WAN口同局域網(wǎng)的網(wǎng)關(guān)相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。

通過(guò)以上分析，可以看出，通過(guò)使用安全網(wǎng)關(guān)，提高了校園網(wǎng)絡(luò)的可防、可控、可維護(hù)，保障了校園網(wǎng)絡(luò)的安全，是高效可行的管理設(shè)備。

參考文獻(xiàn)

[1]《2013年中國(guó)網(wǎng)絡(luò)安全報(bào)告》

[2]《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2014年）》

[3]深信服AC手冊(cè)