陳桃賢

（福建省龍巖市農(nóng)業(yè)學(xué)校，福建　龍巖　364000）

上網(wǎng)行為管理技術(shù)在校園網(wǎng)中的應(yīng)用

陳桃賢

（福建省龍巖市農(nóng)業(yè)學(xué)校，福建龍巖364000）

隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為學(xué)校辦公的重要組成部分，然而網(wǎng)絡(luò)環(huán)境和校園網(wǎng)內(nèi)部分用戶不良的上網(wǎng)行為給網(wǎng)絡(luò)中心的監(jiān)管帶來壓力。所以，學(xué)校部署了“深信服”上網(wǎng)行為管理系統(tǒng)，對網(wǎng)絡(luò)中的各種應(yīng)用內(nèi)容作出準(zhǔn)確的統(tǒng)計(jì)和分析，并且加以控制和管理。這樣就能提高網(wǎng)絡(luò)的安全性和利用率，為構(gòu)建綠色、和諧、安全的校園網(wǎng)絡(luò)環(huán)境奠定堅(jiān)實(shí)的基礎(chǔ)。

上網(wǎng)行為管理；校園網(wǎng)；網(wǎng)絡(luò)安全

1　研究背景概述

進(jìn)入21世紀(jì)以來，互聯(lián)網(wǎng)得到快速發(fā)展的同時，校園網(wǎng)絡(luò)也得到了很好的完善和發(fā)展。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)技術(shù)也是突飛猛進(jìn)，各類網(wǎng)絡(luò)應(yīng)用軟件層出不窮、與日俱增。軟件的使用一方面使用戶的日常辦公得以方便快捷，另一方面對單位網(wǎng)絡(luò)的穩(wěn)定性提出更高的要求，網(wǎng)絡(luò)上的信息資源豐富多彩，對用戶有著太多的誘惑，上班時間瀏覽與工作無關(guān)的網(wǎng)站，尤其是使用一些P2P（Peer to Peer）對等網(wǎng)絡(luò)軟件，占用了大量的網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)帶寬始終處于滿負(fù)荷的狀態(tài)。為了減少以上的各種情況，提高教職工的工作效率，學(xué)校部署了上網(wǎng)行為管理系統(tǒng)，對進(jìn)出校園網(wǎng)的數(shù)據(jù)進(jìn)行有效的控制與管理，同時管理教師和學(xué)生的上網(wǎng)行為，靈活控制各種網(wǎng)絡(luò)應(yīng)用，從而提升了帶寬的利用率。

學(xué)校要構(gòu)建一套卓有成效的上網(wǎng)行為管理系統(tǒng)，首先是要能實(shí)現(xiàn)有害信息的過濾，如對反動、迷信、色情、詐騙和機(jī)密等有礙社會公德和不便公開的信息就要進(jìn)行過濾；其次要對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行流量控制，保障數(shù)據(jù)的正常傳輸，據(jù)網(wǎng)絡(luò)流量控制現(xiàn)狀統(tǒng)計(jì)，P2P數(shù)據(jù)流量占整個互聯(lián)網(wǎng)總流量的60%，并且在用戶總數(shù)沒有顯著增加的情況下，P2P數(shù)據(jù)流量的比例仍然在快速持續(xù)地增長。因此，校園網(wǎng)絡(luò)管理部門必須在明確網(wǎng)絡(luò)需求的基礎(chǔ)上，對校園網(wǎng)用戶的上網(wǎng)行為進(jìn)行科學(xué)有效的控制和管理。

2　上網(wǎng)行為管理技術(shù)

上網(wǎng)行為管理是指幫助用戶正確地控制和管理互聯(lián)網(wǎng)的使用，包括用戶管理、帶寬的流量管理、網(wǎng)絡(luò)應(yīng)用控制、網(wǎng)頁訪問過濾、終端接入管理等。隨著計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)化辦公日益常態(tài)化，互聯(lián)網(wǎng)已經(jīng)成為教師和學(xué)生工作、生活、學(xué)習(xí)過程中不可或缺的重要工具。但是，在享受著電腦辦公和互聯(lián)網(wǎng)使用帶來便捷的同時，職工在工作時間上網(wǎng)做與工作無關(guān)的事情的現(xiàn)象越來越突出。所以，為了保證局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)信息在上傳下載等存儲以及傳輸過程中的安全性、完整性和機(jī)密性，就需要上網(wǎng)行為管理技術(shù)來通過相關(guān)的網(wǎng)絡(luò)安全策略對局域網(wǎng)以及外部網(wǎng)絡(luò)進(jìn)行全面的監(jiān)控，包括用戶的網(wǎng)絡(luò)行為以及網(wǎng)絡(luò)自身的運(yùn)行狀況等［1］。

為了實(shí)現(xiàn)上述的功能，就必須在校園網(wǎng)中部署上網(wǎng)行為管理系統(tǒng)。學(xué)校部署的是“深信服”的上網(wǎng)行為管理系統(tǒng)。它直接部署在校園網(wǎng)中的3層交換機(jī)到互聯(lián)網(wǎng)的出口處，即放置于網(wǎng)關(guān)出口之后，用戶上網(wǎng)時所有的數(shù)據(jù)都必須經(jīng)過該系統(tǒng)。這種方式設(shè)置簡單、透明，適合學(xué)校不更改網(wǎng)絡(luò)架構(gòu)的情況。它不僅包含上述的管理與控制功能，還包含了防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、路由等功能。

3　上網(wǎng)行為管理功能

3.1用戶管理

上網(wǎng)行為管理系統(tǒng)所管理的對象是終端的上網(wǎng)用戶，因此用戶是網(wǎng)絡(luò)權(quán)限分配的基本單元。校園網(wǎng)絡(luò)規(guī)模較大，教師和學(xué)生的數(shù)量較多，導(dǎo)致上網(wǎng)人員身份認(rèn)證困難，并且內(nèi)網(wǎng)的地址分辨協(xié)議（Address Resolution Protocol，ARP）欺騙多、拒絕服務(wù)（Denial of Service，DOS）攻擊多。所以，上網(wǎng)行為管理系統(tǒng)采用支持二層和三層網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)協(xié)議（Internet Protocol，IP）/媒體接入控制（Media Access Control，MAC）綁定的方式，可自動阻止非法占用他人IP地址的用戶，如果用戶電腦的IP地址與MAC地址沒有同時綁定則該用戶無法正常上網(wǎng)，這樣就可以實(shí)現(xiàn)用戶上網(wǎng)身份的唯一識別，方便了網(wǎng)絡(luò)用戶的管理。

當(dāng)網(wǎng)絡(luò)用戶較多、組織結(jié)構(gòu)較為復(fù)雜時，按照組織結(jié)構(gòu)來管理用戶是最有效的方式。學(xué)校就通過IP網(wǎng)段來劃分結(jié)構(gòu)，即根據(jù)不同的IP網(wǎng)段分為不同的組，對配置好的行為管控和審計(jì)策略最終都將賦予到用戶組上，這樣就方便了管理員管理網(wǎng)絡(luò)用戶。

3.2 流量管理

流量管理是基于網(wǎng)絡(luò)的流量狀況和流量控制方法，對數(shù)據(jù)流進(jìn)行分類識別，并實(shí)施流量控制、優(yōu)化和對關(guān)鍵網(wǎng)絡(luò)應(yīng)用進(jìn)行一定保護(hù)的相關(guān)技術(shù)。隨著網(wǎng)絡(luò)的不斷發(fā)展，各種網(wǎng)絡(luò)應(yīng)用，如利用P2P軟件下載、在線玩游戲、在線觀看電影等都擠占著有限的帶寬資源。面對日益緊張的帶寬資源，學(xué)校除了增加帶寬以外，還可以通過上網(wǎng)行為管理系統(tǒng)，制定詳細(xì)的帶寬管理策略。它可以分配合適的帶寬保證網(wǎng)絡(luò)業(yè)務(wù)的需求，原理是劃分多線路和多級父子通道，將網(wǎng)絡(luò)用戶放入不同的帶寬通道，針對繁忙或者空閑的帶寬通道執(zhí)行動態(tài)監(jiān)控功能，空閑時受限通道可以突破上限，充分提高網(wǎng)絡(luò)帶寬的利用率，同時也可以有效限制P2P流量的上傳和下載［2］。在白天上班期間，對辦公區(qū)域的IP網(wǎng)段內(nèi)的流量不受限制，生活區(qū)的IP網(wǎng)段內(nèi)的流量受限制。通過這種方式合理地分配和管理有限的帶寬資源，節(jié)省投入成本。

3.3上網(wǎng)策略管理

學(xué)校部署的上網(wǎng)行為管理系統(tǒng)可以根據(jù)用戶的權(quán)限分配情況設(shè)置不同的上網(wǎng)策略。如上網(wǎng)權(quán)限策略，其包含應(yīng)用控制、Web過濾、安全套接層（Secure Socket Layer，SSL）管理和郵件過濾等；上網(wǎng)審計(jì)策略，其包含應(yīng)用審計(jì)、外發(fā)文件告警和網(wǎng)頁內(nèi)容審計(jì)；上網(wǎng)安全策略，其包含危險行為識別和惡意網(wǎng)頁過濾等。學(xué)校網(wǎng)絡(luò)管理員可先在上網(wǎng)行為管理系統(tǒng)中配置所需要的上網(wǎng)策略，然后根據(jù)不同的用戶組或不同的IP網(wǎng)段來應(yīng)用這些上網(wǎng)策略，以達(dá)到安全上網(wǎng)的目的。

3.4上網(wǎng)行為審計(jì)和過濾

對于使用許多傳統(tǒng)的技術(shù)方法來解決對網(wǎng)絡(luò)用戶訪問的信息進(jìn)行審計(jì)、過濾，如在防火墻上做配置以及在服務(wù)器上部署相關(guān)的軟件進(jìn)行控制等。但在網(wǎng)絡(luò)規(guī)模較大、較為復(fù)雜的校園網(wǎng)絡(luò)中使用傳統(tǒng)的技術(shù)，就不太容易實(shí)現(xiàn)?！吧钚欧鄙暇W(wǎng)行為管理系統(tǒng)具有網(wǎng)絡(luò)行為審計(jì)功能，它采用用戶、應(yīng)用、目的網(wǎng)頁地址（Uniform Resource Locator，URL）、時間來準(zhǔn)確記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，有效控制信息的傳播范圍和敏感信息的泄露，其中包括對郵件的收發(fā)進(jìn)行審計(jì)和過濾，通過匹配收發(fā)郵件的標(biāo)題及內(nèi)容關(guān)鍵字等特征進(jìn)行郵件報(bào)警；對聊天工具的審計(jì)和過濾，通過審計(jì)聊天工具的收發(fā)動作、賬號、聊天內(nèi)容等，有效地為行為管理提供保障；搜索關(guān)鍵字的審計(jì)和過濾，通過記錄用戶在搜索引擎網(wǎng)站、門戶網(wǎng)站、購物網(wǎng)站、視頻信息網(wǎng)站、論壇貼吧等網(wǎng)站使用的關(guān)鍵字內(nèi)容，過濾用戶的非法搜索行為，保障校園網(wǎng)絡(luò)的安全穩(wěn)定。

3.5終端接入管理

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已經(jīng)無法解決日益復(fù)雜的內(nèi)網(wǎng)安全問題。人們在內(nèi)網(wǎng)安全的實(shí)踐中逐步意識到，多數(shù)安全的隱患來源于內(nèi)網(wǎng)中的終端，因此保證各終端的安全性顯得尤為重要，而對于接入內(nèi)網(wǎng)終端的身份認(rèn)證、安全檢查和其他安全指標(biāo)的評估成為維護(hù)內(nèi)網(wǎng)安全的重要環(huán)節(jié)［3］。目前，用戶對于學(xué)校內(nèi)部網(wǎng)絡(luò)終端的接入提出了越來越高的要求，希望能夠提供系統(tǒng)、靈活、完善的網(wǎng)絡(luò)管理方案，既能夠保證滿足不同用戶對于終端接入管理易于操作的要求，同時也要滿足網(wǎng)絡(luò)管理員對于主機(jī)配置檢查、安全性檢查，以及運(yùn)行過程中的監(jiān)管等要求。

學(xué)校組建的局域網(wǎng)，用戶較多，而這些用戶的接入，都必須經(jīng)過上網(wǎng)行為管理系統(tǒng)。當(dāng)有外來用戶需要上網(wǎng)時，要么直接開放，隨意接入，這樣就無法定位身份，安全風(fēng)險高；要么需要提前申請臨時賬號，這樣就變得管理復(fù)雜。這就要求建立一個比較完善的、便捷使用的終端接入管理系統(tǒng)。當(dāng)用戶電腦的IP/MAC與上網(wǎng)行為管理系統(tǒng)中設(shè)置的IP/MAC綁定一致時，就可以正常接入互聯(lián)網(wǎng)，否則就無法接入互聯(lián)網(wǎng)。為了便于管理校園網(wǎng)絡(luò)，禁止用戶在電腦終端使用360隨身Wifi，當(dāng)外來用戶使用手機(jī)或無線設(shè)備通過360隨身Wifi接入網(wǎng)絡(luò)時，終端接入管理會阻止外來用戶使用網(wǎng)絡(luò)。

4　結(jié)語

學(xué)校通過部署上網(wǎng)行為管理系統(tǒng)后，形成一個安全、高效和規(guī)范的網(wǎng)絡(luò)環(huán)境，不僅可以解決網(wǎng)絡(luò)使用不合理現(xiàn)象，還解決用戶的上網(wǎng)行為，引導(dǎo)教職工合理的使用網(wǎng)絡(luò)，提高工作效率，有效地減少了互聯(lián)網(wǎng)上不良信息對教職工帶來的影響，這在很大程度上提高了學(xué)校信息化建設(shè)水平。

［1］徐俐鏵.上網(wǎng)行為管理技術(shù)在計(jì)算機(jī)局域網(wǎng)安全中的應(yīng)用［J］.科技致富向?qū)В?015（9）：64.

［2］吳國祖，王洪波.基于上網(wǎng)行為管理系統(tǒng)的研究與應(yīng)用［J］.電子技術(shù)與軟件工程，2015（17）：21.

［3］臧曉晗. 終端接入控制技術(shù)［J］. 網(wǎng)管員世界，2010（21）：15-16.

Application of the Internet managing technology in campus network

Chen Taoxian
（Fujian Longyan Agricultural School， Longyan 364000， China）

As the rapid development of the Internet， the network has become an important part of school office work. Yet Internet environment and bad internet behavior by partial campus network users cause supervision of network center stress. Therefore， our school has fixed SANGFOR Internet monitoring system to make an accurate statistics and analysis for the various Internet applications and strengthen the management and control. Thus the safety and availability of the network will be promoted which can lay a solid foundation for the building of a green， harmonious and safe environment of campus network.

on-line management； campus network； network security

陳桃賢（1982— ），男，福建上杭，本科，助理講師；研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。