中小学兼职网管校园网络管理策略探究

郝啟强

江苏省南京市第十三中学(红山校区) 江苏南京 210002

中小学兼职网管校园网络管理策略探究

郝啟强

江苏省南京市第十三中学(红山校区) 江苏南京 210002

很多学校对校园网络建设不够重视，“能上网就行”，这是学校对校园网管理员的最主要要求。可是，随着网络技术的日益发展，疯狂下载、网络安全、木马病毒等因素时刻威胁着脆弱的校园网络，越来越让我们提心吊胆，像一个技术维修工一样疲于奔命地去被动“缝补”出现的各种问题，总有一天，我们会感到力不从心，其实，我们完全可以化被动维护为主动出击，重新定位自己的角色：摒弃维修工的帽子，做一个科学的管理者！

笔者所在学校是一个拥有30多个班级的十轨制初中，现已建成了主干千兆，百兆到桌面的校园网络，设有网络中心一个，内有服务器4台，教师办公以及公用电脑200多台，分布在3栋教学大楼里，另有学生机房2个。笔者除了担任11个班的信息技术教学工作外，兼职负责网管工作，工作量很大，具有普遍代表性。为了能在完成教学任务的同时，做好兼职网管工作，通过不断探索和学习，从中总结出了一些校园网络管理和应用的具体经验。

一、档案

想要管好自己的校园网络,首先必须了解它们。对学校里的网络设备包括软硬件等基本情况,做到心中有数。网管电脑里一定要有一份校园网基础档案,主要包括：校园网络拓扑图，信息点速查表，服务器、交换机、防火墙、路由器等设备的基本情况和配置信息，使用手册、保修证书等，可以参考《南京市中小学网络管理基础性工作评估验收表》的基本要求准备，在此列举几个主要档案供大家参考：

1.拓扑图档案

主要是校园网络拓扑图和基础布线图。拓扑图可用Visio或亿图软件绘制，最好有详细的备注，以备查验；而基础布线图可以方便管理者及时查找每一栋楼宇的信息点分布情况。

2.信息点速查表

主要是配线架的对照表和IP/MAC地址/机器名对应的速查表。配线架对照表主要是将机柜汇聚的线路编号与信息点模块编号块一一对应，一般结合基础布线图共同使用，可以快速定位每位教师网络在交换机上的具体接入位置。而IP/MAC地址/机器名对应速查表则是有切身体会教训，ARP病毒肆虐的时代虽已过去，但是稍不注意，照样死灰复燃；同时，机器名的规范命名也非常重要，在给教师装系统时，记得更改计算机名、IP地址，可以有效避免因网络重名或IP地址冲突导致无法上网。

3.主要硬件设备表

主要包括服务器、交换机、防火墙、路由器等设备的基本情况和配置数据。基本情况档案可以包括以下几个方面的内容：设备名称、存放位置、配置、购买时间、保修时间、技术支持电话、用途、维修记录等。

二、流控

随着网络应用的不断丰富，特别是P2P技术的广泛应用，在线视频、PPlive、迅雷、BT等下载因素，使得原本就不太“宽裕”的带宽，变得更加龟速。网速问题是学校领导和同事们最关心的，也是最容易感受到的，解决网速问题至关重要。如果没有足够的经济实力升级带宽，最实用的方法就是通过软路由来控制优化网络带宽，进行流控，笔者推荐一款低成本高性能的免费流控软件—Panabit。

Panabit是北京派网开发的基于FreeBSD Linux操作系统的“网络应用层”流量管理系统,特别针对P2P应用的识别与控制进行开发。其标准版可以免费使用,限制并发连接256个IP地址,基本可以满足大部分中小学网络流量控制的需要。相比动辄数万元的硬件流控设备,只需一台P3级别的PC就能够安装。当然,如果担心普通PC不够稳定,可以购买一台二手1U机架式服务器,所有费用相加,成本也不会超过1500元。

1.安装要求

配置P3 800Mhz以上，256M内存以上，3块网卡，128M以上电子盘或硬盘。

2.架设部署

Panabit使用的是桥接结构，支持两种接入和部署方案：旁路监听与透明网桥模式，推荐使用后者。以透明网桥的方式部署在出口链路上，对出口链路上的双向流量进行协议分析、统计，同时根据所设定的规则对流量进行灵活的限制和分配。用户既可以统计流量，又可以做访问控制和带宽管理。管理界面如图1所示：

图1 Panabit的Web管理界面

三、安全

无疑，校园网络的安全是重中之重，尤其是现在病毒黑客的攻击层出不穷，我们的校园网络不能仅仅满足于能正常运行，最好还要能健康地运行。笔者将校园网络安全分成以下几块进行管理：

1.服务器安全

服务器安全主要是Web、FTP等服务器的安全防护工作，必要的正版杀毒软件和防火墙需要实时更新，定期查杀病毒和打补丁。另外，去掉一些不必要的服务，遵循服务最小化的原则，切勿在服务器上安装来路不明的软件或者黑客软件，并按要求设定本地安全策略，禁用默认共享与自动运行，设置高强度的用户账户和密码。时刻谨记：最小的权限+最少的服务=最大的安全。

(1)Web安全小技巧

ASP+ACCESS架构的网站使用的数据库文件后缀名为.mdb,是可以通过IE下载的,所以必须对数据库文件进行防下载处理。下面的方法虽然不能完全防止数据库被下载,但事实证明很有效果：修改数据库文件后缀名为.asp或.asa，并把数据库文件名设置为无规律复杂型，在文件名前加字符“#”。如果电脑是SQL数据库，则配置时不要使用sa账户做数据库连接，必须新建一个SQL用户作为数据库连接用户，慬防注入攻击！同时一定要设置sa账户密码，如有条件，应安装SQL2005+SP2，SQL2005的安全性与执行效率要好于SQL2000。如果有多台服务器，最好将Web服务与SQL服务分离，安装在不同的服务器上。

(2)FTP安全小技巧

目前大多数服务器使用Serv-U为FTP服务。建议使用此软件的最新版本以降低遭受攻击的可能性，建议更改默认端口号，安装目录可以故意很复杂，例如D:Serv-U_4efmasd63e49(复杂无规则的目录名可有效防止黑客的猜解)。

2.办公电脑安全

我们往往忽视了办公电脑的安全,用市面上卖的Ghost恢复盘并非一劳永逸,其安全性、时效性也是个问题,常常备份完系统,100多个漏洞补丁没打,转眼之间再次中毒,无疑增加了重复劳动的工作负担。笔者所在的学校不同型号的电脑有十几种,一张Ghost盘是远远不够的。所以每隔1～2个月,为每种型号的电脑做一个符合学校具体需求的备份,保存在一台专门的服务器上,通过Maxdos网络Ghost恢复，5分钟即可搞定。同时针对补丁包不及时的问题，每月定期制作补丁包集合(可通过360安全卫士hotfix文件夹收集补丁包)，上传至校园FTP上供教师下载安装，避免重复下载，减少带宽资源浪费。有条件的学校，也可以通过部署架设WSUS服务(Windows Server Update Services)，这种网络化的补丁分发方案，支持Windows XP、2000和2003的补丁分发，在很大程度上节省了网络资源，避免带宽的浪费。另外，对于教室等公用电脑，因为使用频率较大，使用人员较杂，不太容易防护，可以考虑安装硬件还原卡或者安装影子还原系统，对C盘进行还原保护。

3.机房安全

机房学生上网一直是个让人头疼的问题，在机房上课，只要允许学生上网，学生立即就会下载QQ、游戏等内容，过去机房常用SyGate等软件代理上网，很难对学生上网行为做出控制，现在有了许多很好的软路由软件和虚拟机技术，因此从技术上来说，可以对学生上网行为做出一定的控制，在机房里通过虚拟机安装海蜘蛛是个不错的选择。海蜘蛛路由基于Linux 2.6稳定内核开发，采用嵌入式架构，体积精简、运行高效，具有很高的可靠性、安全性及稳定性，支持DNS/IP/网址/关键字过滤功能(可用来屏蔽聊天、游戏网站)。现阶段机房服务器大多内存超过1G，可先安装虚拟机，然后再安装海蜘蛛。学生通过海蜘蛛上网，同时通过DNS/IP/网址/关键字过滤功能，控制学生上网行为，保障学生安全健康上网,如图2所示：

图2 海蜘蛛过滤设置

4.数据安全

数据安全非常重要，更多的时候我们担心的不是系统的崩溃，软件的无法使用，而是数据丢失后无法挽回。所以数据备份非常重要，单就校园网络数据安全来说，笔者着重对操作系统Ghost数据、重要文件数据、网站的整站以及数据库的数据进行备份。通常采用本地和异地两种备份机制，利用备份软件(如FileGee备份软件)或者利用“任务计划”，通过批处理命令进行数据备份。例如利用Xcopy命令，例如xcopy c:srcdocs d:dstdocs /O /X /E/H /K，其中srcdocs是源文件夹，而dstdocs是目标文件夹。而SQL网站数据库则可以通过打开管理栏目中的数据库维护计划，新建一个数据备份项目，对网站数据进行备份。建议隔段时间对网站整站进行异地备份，防止意外因素丢失网站数据。

总之，校园网络管理不能单靠我们加班加点埋头苦干，更应该讲究方法，注重科学管理。在保证正常教学秩序的同时，减轻自己的工作负担，使工作效率事半功倍，让兼职更加称职，真正做一名科学的管理者，而不是一名技术的维修工。

[1] 王春海.使用Panabit打造低成本流量控制方案[J].微型计算机，2010，11

[2] 袁勇新.上网安全与行为管理实验[J].网管员世界，2010，21

郝啟强，本科，中教二级。