文 奚竹安

深信服上網(wǎng)行為管理系統(tǒng)在數(shù)字校園中的運(yùn)用

文 奚竹安

一、背景介紹

隨著數(shù)字校園的不斷普及，數(shù)字校園網(wǎng)已成為學(xué)校教育教學(xué)工作不可或缺的基礎(chǔ)設(shè)施，教職員工在利用校園網(wǎng)為教育教學(xué)工作服務(wù)的同時(shí)也出現(xiàn)了一些負(fù)面問題，這些問題主要表現(xiàn)為以下幾個(gè)方面。

1.工作效率低下

教職員工上班時(shí)間長時(shí)間上網(wǎng)聊天、炒股、購物、游戲、瀏覽與教育教學(xué)工作不相關(guān)的網(wǎng)站等行為，嚴(yán)重影響了正常的工作效率。

2.帶寬濫用

通過迅雷、BT等P2P工具下載大數(shù)據(jù)的互聯(lián)網(wǎng)資源，帶寬被濫用，甚至對一些職能部門正常的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用造成影響。

3.信息泄漏、不當(dāng)或違法甚至反動(dòng)言論等行為無法追責(zé)

數(shù)字校園網(wǎng)絡(luò)的管理人員會(huì)因?yàn)樯鲜鰡栴}承擔(dān)很大的責(zé)任和壓力，為了解決這些問題，我們在校園網(wǎng)出口處安裝了深信服AC1600，以此構(gòu)造暢通綠色的數(shù)字校園。

二、深信服上網(wǎng)行為管理系統(tǒng)的部署

根據(jù)不同的網(wǎng)絡(luò)環(huán)境，深信服AC1600具有以下3種典型的部署方式。

1.網(wǎng)關(guān)模式

又稱路由模式，使用防火墻網(wǎng)關(guān)的路由功能。AC工作在三層交換模式，通常把AC部署在內(nèi)外網(wǎng)的出口處，作為網(wǎng)關(guān)或者防火墻使用，通常還啟用源地址轉(zhuǎn)換（SNAT），用以代理內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)上網(wǎng)。或者把設(shè)備放在出口防火墻后面，常見部署圖如圖1所示。

圖1 網(wǎng)關(guān)模式部署圖

2.網(wǎng)橋模式

工作在二層交換模式，相當(dāng)于一個(gè)二層交換機(jī)，簡單來說，可以把設(shè)備視為一條帶網(wǎng)絡(luò)管理功能的網(wǎng)線使用，可以透明部署在原有的網(wǎng)絡(luò)中。通常部署在出口防火墻與三層核心交換機(jī)之間，對流經(jīng)AC的所有數(shù)據(jù)流進(jìn)行控制、攔截、流量管理等操作。網(wǎng)橋模式主要適用于不希望更改網(wǎng)絡(luò)結(jié)構(gòu)、路由配置、IP 配置的用戶，常見部署圖如圖2所示。

圖2 網(wǎng)橋模式部署圖

3.旁路模式

在出口交換機(jī)中配置鏡像端口，將AC的廣域網(wǎng)口同鏡像端口相連，實(shí)現(xiàn)對內(nèi)網(wǎng)數(shù)據(jù)包的監(jiān)聽，從而實(shí)現(xiàn)對上網(wǎng)數(shù)據(jù)的審計(jì)和控制。用旁路模式部署時(shí)，設(shè)備與交換機(jī)的鏡像端口相連，部署實(shí)施最為簡單，完全不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)，降低了網(wǎng)絡(luò)單點(diǎn)故障的發(fā)生概率，常見部署圖如圖3所示。

圖3 旁路模式部署圖

我校建設(shè)數(shù)字校園的拓?fù)鋱D如圖4所示。

圖4 網(wǎng)絡(luò)拓?fù)鋱D

因?yàn)樾枰M量不改變網(wǎng)絡(luò)架構(gòu)，上網(wǎng)行為管理設(shè)備采用網(wǎng)橋模式接入路由器防火墻與三層交換機(jī)之間。

三、上網(wǎng)行為管理系統(tǒng)的配置

1.規(guī)劃用戶分組

根據(jù)我校實(shí)際，主要以人員或設(shè)備的角色和來源進(jìn)行用戶分組，包括教師組、學(xué)生組、新疆教師組、新疆學(xué)生組、食堂組、臨時(shí)用戶組、測試組、非本校人員組、服務(wù)器組。有效地區(qū)分了用戶，防御身份冒充、權(quán)限擴(kuò)散與濫用。

2.用戶身份認(rèn)證

考慮到我校教職員工辦公、學(xué)生學(xué)習(xí)場所流動(dòng)性比較大，采用了用戶名/密碼認(rèn)證方式，啟用本地密碼登錄，配置好登錄密碼，并確認(rèn)第一次登錄時(shí)需要修改密碼。其中對學(xué)生組和新疆學(xué)生組賬號實(shí)施IP地址單向綁定，只允許他們在學(xué)生機(jī)房內(nèi)上網(wǎng)，不允許在其他場所上網(wǎng)。圖4中192.168.31.1～192.168.31.254的地址范圍為學(xué)生機(jī)房VLAN網(wǎng)段。通過用戶身份認(rèn)證幫助學(xué)校校園網(wǎng)管理員有效區(qū)分用戶，建立樹形用戶分組結(jié)構(gòu)，實(shí)現(xiàn)用戶與行為的一一對應(yīng)，方便管理員實(shí)施上網(wǎng)行為管理解決方案。

3.應(yīng)用程序控制

以我校數(shù)字校園網(wǎng)為例，我們從完善用戶管理，控制上網(wǎng)行為，合理配置資源的角度出發(fā)，制定配置了如下5條上網(wǎng)權(quán)限策略。

（1）禁止違法違規(guī)策略：在應(yīng)用控制中，勾選訪問網(wǎng)站中成人內(nèi)容和非法及不良，全天拒絕本地所有用戶訪問。

（2）禁止上班時(shí)間網(wǎng)上購物、股票、游戲策略。

（3）檢測內(nèi)網(wǎng)用戶的共享上網(wǎng)行為策略。

（4）學(xué)生組上網(wǎng)權(quán)限：對學(xué)生組來說，除了應(yīng)用了上面（1）（2）（3）三條策略之外，還有禁止IM各類通訊軟件，例如QQ、阿里旺旺等，禁止訪問一些論壇、娛樂資訊。

（5）新疆學(xué)生周末上網(wǎng)應(yīng)用權(quán)限：先添加一條新疆學(xué)生周末上網(wǎng)時(shí)間計(jì)劃組，時(shí)間段為周六至周日上午8點(diǎn)至下午5點(diǎn)。再進(jìn)行相關(guān)的應(yīng)用權(quán)限設(shè)置，除了應(yīng)用了上面（1）（2）（3）三條策略之外，禁止訪問一些論壇、宗教相關(guān)的網(wǎng)站。

4.帶寬管理

把總體帶寬劃分為多個(gè)通道，每個(gè)通道對應(yīng)不同的用戶組，為各用戶組分配合適的流量管理策略，以實(shí)現(xiàn)不同用戶組之間不同的上網(wǎng)需求。根據(jù)學(xué)校向電信申請的100 M帶寬，設(shè)置線路上行和下行帶寬為12.5 MB/s。學(xué)生組、新疆學(xué)生組啟用限制單IP最大帶寬，上行為1.5 MB/s，下行為1.5 MB/s，用戶間帶寬分配策略為平均分配。教師組、新疆教師組、臨時(shí)用戶組啟用限制單IP最大帶寬，上行為2 MB/s，下行為2 MB/s，用戶間帶寬分配策略為平均分配。

為了保證服務(wù)器相關(guān)服務(wù)主要是對外的Web服務(wù)流量帶寬，設(shè)置保證通道，上行帶寬保證40%，最大60%，下行帶寬保證20%，最大20%。

5.行為審計(jì)

落實(shí)公安部關(guān)于互聯(lián)網(wǎng)安全的相關(guān)條款，記錄并留存校園網(wǎng)內(nèi)網(wǎng)用戶發(fā)生的各種網(wǎng)絡(luò)行為日志。

（1）在應(yīng)用審計(jì)中HTTP外發(fā)內(nèi)容的設(shè)置（如圖5所示）。

圖5 HTTP外發(fā)內(nèi)容審計(jì)設(shè)置

（2）在應(yīng)用審計(jì)中訪問網(wǎng)站/下載的設(shè)置。勾選訪問的所有URL，表示將審計(jì)所有的網(wǎng)站訪問/下載行為。

（3）郵件和IM審計(jì)設(shè)置（如圖6所示）。

圖6 郵件、IM審計(jì)設(shè)置

（4）網(wǎng)絡(luò)應(yīng)用審計(jì)設(shè)置勾選（如圖7所示）。其他的網(wǎng)絡(luò)應(yīng)用，表示將審計(jì)除網(wǎng)站訪問/下載的其他網(wǎng)絡(luò)行為。不勾選未識別的網(wǎng)絡(luò)應(yīng)用，如果動(dòng)作選擇為審計(jì)，會(huì)產(chǎn)生大量的日志。

圖7 網(wǎng)絡(luò)應(yīng)用審計(jì)設(shè)置

四、部署上網(wǎng)行為管理設(shè)備的成效

在我校部署了深信服上網(wǎng)行為管理AC1600后為我們構(gòu)建了一個(gè)健康安全、高效可管的數(shù)字校園。運(yùn)用以來已體現(xiàn)了其價(jià)值。

（1）規(guī)范了上網(wǎng)行為，禁止了無關(guān)網(wǎng)頁、網(wǎng)絡(luò)炒股、網(wǎng)絡(luò)游戲等，提高了教職員工的工作效率，讓教職員工在有限的工作時(shí)間內(nèi)完成了更多的教育教學(xué)工作。

（2）針對不同用戶和相關(guān)部門具體的業(yè)務(wù)應(yīng)用進(jìn)行合理的帶寬劃分后，讓每名教職員工在有限的總帶寬內(nèi)都能使用合理充足的帶寬，也保障了相關(guān)部門網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的帶寬要求，提高了帶寬利用率。

（3）幫助學(xué)校避免因?yàn)樵L問非法網(wǎng)頁、危險(xiǎn)網(wǎng)頁而帶來的風(fēng)險(xiǎn)。對于內(nèi)網(wǎng)用戶的外發(fā)信息行為，上網(wǎng)行為管理系統(tǒng)基于內(nèi)容的外發(fā)信息過濾能幫助管理員及時(shí)攔截不良言論，或者在特殊時(shí)期采用“允許看帖不允許發(fā)帖、允許收郵件不允許發(fā)郵件”的特殊管控手段，最大限度地減少輿論風(fēng)險(xiǎn)給組織形象聲譽(yù)帶來影響。

［1］ 王紹春.實(shí)現(xiàn)上網(wǎng)行為管理構(gòu)建安全綠色校園網(wǎng)［J］.遼寧經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2009（4）：63，94.

［2］ 趙磊，戰(zhàn)瑩.上網(wǎng)行為管理系統(tǒng)在蘭州石化公司的應(yīng)用［J］.電腦知識與技術(shù)，2011，7（3）：534-535.

［3］ 邢雪梅，劉劍鋒.在校園網(wǎng)部署上網(wǎng)行為管理系統(tǒng)初探［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012（7）：60-61.

［4］ 深信服科技有限公司.SlNFOR AC上網(wǎng)行為管理產(chǎn)品白皮書［EB/OL］.http：//www.sinfors.com.

作者信息

奚竹安，本科，實(shí)驗(yàn)師。平湖市職業(yè)中等專業(yè)學(xué)校，314200