ROS防火墙高校实验机房管理应用研究

王亮　唐永林

摘 要

现阶段高校计算机房的管理重点主要在两方面：硬盘安全和防御病毒木马等，与此同时，还要针对计算机房的不同用途控制网络的连接状态，之前各高校采用的安装还原卡、杀毒软件、拔插网线等虽然也能解决上述问题，但比较麻烦，也存在不少问题。若是利用Router OS系统，上述问题可以被轻松解决。

【关键词】Router OS 防火墙 高校 计算机房管理 应用

任何一所高校，计算机房都是必不可少的基础设施，用来供同学们上课、自主使用灯。一般高校的计算机房为保护计算机系统以及配置信息不被随意改动，都是采用安装还原卡的方式。虽然还原卡用来保护计算机系统和配置信息不被更改是十分有效的，但还原卡的防御病毒性能并不突出，仍然会有病毒穿透还原卡导致系统被感染，使得整个机房的安全都受到威胁。除了病毒的威胁，还有恶意用户的使用、在教学过程中屏蔽无关应用等问题，从资金投入、部署和使用的便利等方面综合来看，在高校机房采用Mikro Tik OS系统是一个比较合适的方法。

1 高校在计算机房的传统保护措施

随着信息技术的发展，高校计算机房在规模和设备也都在逐步更新，但与此同时，木马、病毒等技术也在发展，这让计算机房的安全管理工作难度日益增大，计算机房的管理人员除了要对软硬件进行管理，及时对它们进行更新和升级，更重要的是对计算机病毒、木马进行防御和查杀、目前，高校计算机房存在的安全隐患主要有以下几方面：

1.1 高校计算机机房存在的安全隐患

1.1.1 硬盘损坏导致资料丢失。

作为计算机的核心部件，硬盘中除了有系统文件外，教学资料和教学软件通常也存在硬盘中，因此硬盘在高校的教学和实践中有着十分重要的地位。一旦对硬盘的保护不到位，导致硬盘损坏，不仅计算机无法正常启动，硬盘内存储的资料也会丢失，给高校带来巨大损失。在实践中，为了防止病毒大规模泛滥，高校计算机房中的电脑通常没有安全光驱，这也增加了计算机重装系统的难度。因此，如何安全有效的保护硬盘是高校计算机房安全管理的重点之一。

1.1.2 计算机病毒和木马的攻击。

病毒和木马的威胁一直没有远离过高校计算机房，除了来自外部网络的病毒和木马的威胁，来自计算机自身的威胁我们也不能忽视，例如一些带有病毒和木马的U盘、移动硬盘、智能手机等移动设备在与计算机连接时，计算机就存在巨大安全隐患，很可能会感染病毒和木马。

1.2 传统保障计算机安全的方法

1.2.1 保护硬盘资料

为了更好地保护机房计算机硬盘，大多数高校安装还原卡，它可以将硬盘在极短时间内恢复成最先备份的状态，并且还原卡的另一大优点就是可操作性强，还原卡的安装十分简单，也可以对硬盘资料起到很好的保护作用。

1.2.2 防止计算机病毒和木马攻击

目前高校计算机房在防御计算机病毒和木马的攻击时，通常采用下述几个方法：

（1）在计算机中安装杀毒软件。现下，杀毒软件是我们了解到的防御计算机病毒和木马攻击最有效的方式，现在市面上存在许多类似于金山毒霸、360杀毒软件的免费杀毒软件，只要计算机管理人员及时更新杀毒软件，这些软件就可以有效保护计算机。

（2）禁止学生浏览不正规网站，下载不合法、来历不明的资料。许多病毒和木马的传播方式是伪装成正规软件，通过免费下载来吸引人下载，只要用户下载、运行，病毒和木马就会感染此台计算机。因此，禁止使用者下载来历不明的文件也可以起到一定防御计算机病毒和木马的作用，如果一定需要下载某文件，也应用杀毒软件扫描确定安全后再运行。

（3）禁止学生使用自带U盘等移动设备，因为一旦这些设备中带有计算机病毒和木馬，学生又不知道，那么在与计算机连接时就很容易使计算机感染病毒和木马。

1.3 存在的问题

（1）高校计算机房采用安装还原卡的方式来保护硬盘效果虽然不错，但是还原卡无法防御计算机病毒，一旦有的病毒穿透还原卡感染了系统，那么整个机房的安全都将受到威胁。假如在机房接入交换机上设置端口限速，那么一旦系统被感染，整个机房、整个楼宇甚至是整个学校都会受到影响。如果设置了端口限速，那么计算机的还原速度就会受到影响。

（2）对于高校机房计算机的使用，教学使用占很大比例，若只是安装杀毒软件，可以有效防御计算机病毒和木马的攻击，但学生在教学时间使用类似于聊天软件、游戏软件等，杀毒软件就不能实现对这些应用的屏蔽。因此，高校计算机房想要使管理更便捷有效，就要应用功能更全的系统。

2 Mikro Tik Router OS系统的特点

2.1 成本低，性能高

作为一种路由操作系统，Mikro Tik Router OS可以使一台标准的PC电脑变成专业的路由器，并且在无线、认证、宽带控制、防火墙过滤、策略路由等功能上与专业路由器比都毫不逊色，甚至可以说这些功能是十分突出的。基于X86构架的PC电脑，应用Router OS系统即可具备现有路由系统的大部分功能。从这方面来看，在应用Router OS系统的基础上，一台十分普通的X86电脑不仅可以实现路由功能，还可以在提高硬件性能的同时提高网络的访问速度和吞吐量，使这套路由器系统从根本上实现成本低但性能却很高。

2.2 对安装环境要求不高，安装简单

Router OS系统的另一大特点就是它对安装环境的要求并不高，尤其是对硬件的需求很低，一台非常普通的X86PC电脑就可以满足它的安装要求，当然，前提是这台X86PC要至少含有两块网卡。

2.3 功能强大

（1）高校计算机房常用的NAT和DHCP服务都包含在Router OS系统中，除此之外，该系统还拥有非常强大的防火墙过滤功能，在运行时，Router OS系统可以对网络的异常行为进行实时监控，并支持二到七层的防火墙规则，当发现网络存在异常行为时能够及时发现及时禁止。

（2）可对宽带进行有效管理。将Router OS系统应用到高校计算机房可以进行有效宽带管理，将网络宽带进行合理分配，这一功能可以尽可能地保障网络传输的通畅，有效预防在使用高峰期出现网络堵塞的情况。

（3）拥有路由、网关、并接等多种接入方式，为有效解决一些恶意用户在使用时影响网速及安全或者学生在教学时间使用无关应用，Router OS系统凭借其路由、网关、并接等多种接入方式，在不改变原网络环境的情况下，有效屏蔽非法网站或一些无关应用，阻断上网人员的非法上网行为。另外值得一提的是，Router OS系统拥有友好的管理界面，管理人员可通过WEB或自带的Winbox软件进行管理，这两种方式都十分便捷。

3 Mikro Tik Router OS的防火墙功能在高校计算机房管理中的应用

3.1 防火墙功能

Router OS防火墙功能非常强大、灵活。Router OS防火墙属于包过滤防火墙，可以定义一系列的规则过滤掉发往Router OS从Router OS 发出、通过Router OS转发的数据包。在 Router OS防火墙中定义了三个防火墙（过滤）链，即Input、Forward、Output：Input用于处理进入Router OS的数据包，即数据包目的IP是Router OS接口中的一个IP地址，经过路由器的数据包不会在Input键中处理；Output用于处理从Router OS发出去的数据，即由路由器中某个接口发出去的数据包；Forward是用于处理通过Router OS的数据包，如内部计算机访问外部网络，数据需要通过Router OS进行转发。我们可以通过在这三个链中定义规则，从而有效地管理机房。

3.1.1 为每个机房定义过滤规则，以允许或禁止使用网络

当以计算机房为课堂进行授课时，经常会出现这样的情况：为了防止同学们在上课时间上网而不听教师讲课，教师需要将网络关闭；有时教师需要学生在网上搜索查阅资料，需要将网络打开；有时仅仅教师需要使用网络，而学生不用。另外，课堂之外的时间计算机房通常是作为电子阅览室来使用的，这时就需要网络一直开放。根据不同的需求，可以定义如下规则：假设有两个机房，一个机房的IP地址段为192.168.1.1-192.168.1.50，另一个机房的IP地址段是192.168.2.1-192.168.2.50.

规则1 星期一至星期五禁止在上课时间使用网络，课余时间晚上5到8点开放网络。

机房1：

chain=forward action=drop src-address=192.168.1.0/24

Time=17h-20h， mon， tue， wed， thu， fri

机房2：

chain=forward action=drop src-address=192.168.2.0/24

Time=17h-20h， sun， mon， tue， wed， thu， fri， sat

规则2 允许两个机房的教师机任何时间都可以使用网络。

假设机房1的教师机IP为192.168.1.1，机房2的教师机IP为192.168.2.1.

机房1：

chain=forward action=accept src-address=192.168.1.1

机房2：

chain=forward action=accept src-address=192.168.2.1

3.1.2 禁止学生上课期间使用聊天工具和游戏软件

Router OS V3.0以上的版本都可以进行7层协议过滤，可对类似于QQ、魔兽世界等应用进行限制和过滤，具体操作是在IP firewall中的Layer7 Protocols增加7层协议，7层协议的编写可以通过在网上搜索想要过滤的程序的7层协议脚本，然后进行脚本导入。例如，要想禁止用户登陆QQ，在添加规则后，通过Advanced的Layer7 Protocols選择QQ，然后在Action中设置为“drop”，这样用户想要登陆QQ时，系统就自动将这一请求丢弃了。

3.2 Router OS，让高校计算机房管理更轻松

（1）将计算机房用作课堂还是电子阅览室决定了网络的连接状况，一般高校在处理这一问题时是依靠拔插网线，这种做法的弊端一是交换机端口检测浪费时间，二是容易损坏交换机。利用Router OS系统可以轻松解决这一问题，将不同机房的地址汇总做成地址列表，分别做NAT地址转换，只要通过Winbox禁止或启用该机房的NAT地址转换规则就能轻松控制某个机房网络连接状态。

（2）网络是把双刃剑，利用网络可以帮助学生学习，但若监管不力，学生也可能被网络上的游戏、不良信息诱惑。利用Router OS系统配置Web代理功能可以做到对网络上的信息进行过滤，比如可以针对QQ的不同登陆方式，通过禁止端口和服务器地址来禁止学生在机房上课时聊天，还可以对类似于mp3、avi等后缀名的文件禁止下载，做到最大化地净化学生的上网环境。

（3）Router OS系统强大的防火墙功能除了能对网络连接状态自由控制外，还可以通过定义一系列的规则将通过该系统转发的文件中携带的木马病毒、ARP病毒以及冲击波等各种病毒，以便更有效的保护高校计算机房的安全。

（通讯作者：唐永林）

参考文献

[1]王正奎.Router OS的防火墙功能在高校计算机房管理中的应用[J].辽宁师专学报（自然科学版），2012（04）：38-40+84.

[2]肖琴.论高职院校计算机房安全管理策略[J].湖南工业职业技术学院学报，2016（04）：122-124.

[3]徐嘉瑜，潘巍巍.论RouterOS在高校机房管理中的应用[J].计算机光盘软件与应用，2014（19）：305-306.

作者简介

王亮（1986-），男，硕士研究生学历。现为吉林建筑大学城建学院实验师。研究方向为网络工程及物联网工程。

通讯作者简介

唐永林（1957-），男，大学本科学历。现为长春大学旅游学院教授。研究方向为网络工程、计算机网络教育方面。

作者单位

1.吉林建筑大学城建学院 吉林省长春市 130114

2.长春大学旅游学院 吉林省长春市 130117