中小學兼職網管校園網絡管理策略探究

郝啟強

江蘇省南京市第十三中學(紅山校區) 江蘇南京 210002

中小學兼職網管校園網絡管理策略探究

郝啟強

江蘇省南京市第十三中學(紅山校區) 江蘇南京 210002

很多學校對校園網絡建設不夠重視，“能上網就行”，這是學校對校園網管理員的最主要要求。可是，隨著網絡技術的日益發展，瘋狂下載、網絡安全、木馬病毒等因素時刻威脅著脆弱的校園網絡，越來越讓我們提心吊膽，像一個技術維修工一樣疲于奔命地去被動“縫補”出現的各種問題，總有一天，我們會感到力不從心，其實，我們完全可以化被動維護為主動出擊，重新定位自己的角色：摒棄維修工的帽子，做一個科學的管理者！

筆者所在學校是一個擁有30多個班級的十軌制初中，現已建成了主干千兆，百兆到桌面的校園網絡，設有網絡中心一個，內有服務器4臺，教師辦公以及公用電腦200多臺，分布在3棟教學大樓里，另有學生機房2個。筆者除了擔任11個班的信息技術教學工作外，兼職負責網管工作，工作量很大，具有普遍代表性。為了能在完成教學任務的同時，做好兼職網管工作，通過不斷探索和學習，從中總結出了一些校園網絡管理和應用的具體經驗。

一、檔案

想要管好自己的校園網絡,首先必須了解它們。對學校里的網絡設備包括軟硬件等基本情況,做到心中有數。網管電腦里一定要有一份校園網基礎檔案,主要包括：校園網絡拓撲圖，信息點速查表，服務器、交換機、防火墻、路由器等設備的基本情況和配置信息，使用手冊、保修證書等，可以參考《南京市中小學網絡管理基礎性工作評估驗收表》的基本要求準備，在此列舉幾個主要檔案供大家參考：

1.拓撲圖檔案

主要是校園網絡拓撲圖和基礎布線圖。拓撲圖可用Visio或億圖軟件繪制，最好有詳細的備注，以備查驗；而基礎布線圖可以方便管理者及時查找每一棟樓宇的信息點分布情況。

2.信息點速查表

主要是配線架的對照表和IP/MAC地址/機器名對應的速查表。配線架對照表主要是將機柜匯聚的線路編號與信息點模塊編號塊一一對應，一般結合基礎布線圖共同使用，可以快速定位每位教師網絡在交換機上的具體接入位置。而IP/MAC地址/機器名對應速查表則是有切身體會教訓，ARP病毒肆虐的時代雖已過去，但是稍不注意，照樣死灰復燃；同時，機器名的規范命名也非常重要，在給教師裝系統時，記得更改計算機名、IP地址，可以有效避免因網絡重名或IP地址沖突導致無法上網。

3.主要硬件設備表

主要包括服務器、交換機、防火墻、路由器等設備的基本情況和配置數據。基本情況檔案可以包括以下幾個方面的內容：設備名稱、存放位置、配置、購買時間、保修時間、技術支持電話、用途、維修記錄等。

二、流控

隨著網絡應用的不斷豐富，特別是P2P技術的廣泛應用，在線視頻、PPlive、迅雷、BT等下載因素，使得原本就不太“寬裕”的帶寬，變得更加龜速。網速問題是學校領導和同事們最關心的，也是最容易感受到的，解決網速問題至關重要。如果沒有足夠的經濟實力升級帶寬，最實用的方法就是通過軟路由來控制優化網絡帶寬，進行流控，筆者推薦一款低成本高性能的免費流控軟件—Panabit。

Panabit是北京派網開發的基于FreeBSD Linux操作系統的“網絡應用層”流量管理系統,特別針對P2P應用的識別與控制進行開發。其標準版可以免費使用,限制并發連接256個IP地址,基本可以滿足大部分中小學網絡流量控制的需要。相比動輒數萬元的硬件流控設備,只需一臺P3級別的PC就能夠安裝。當然,如果擔心普通PC不夠穩定,可以購買一臺二手1U機架式服務器,所有費用相加,成本也不會超過1500元。

1.安裝要求

配置P3 800Mhz以上，256M內存以上，3塊網卡，128M以上電子盤或硬盤。

2.架設部署

Panabit使用的是橋接結構，支持兩種接入和部署方案：旁路監聽與透明網橋模式，推薦使用后者。以透明網橋的方式部署在出口鏈路上，對出口鏈路上的雙向流量進行協議分析、統計，同時根據所設定的規則對流量進行靈活的限制和分配。用戶既可以統計流量，又可以做訪問控制和帶寬管理。管理界面如圖1所示：

圖1 Panabit的Web管理界面

三、安全

無疑，校園網絡的安全是重中之重，尤其是現在病毒黑客的攻擊層出不窮，我們的校園網絡不能僅僅滿足于能正常運行，最好還要能健康地運行。筆者將校園網絡安全分成以下幾塊進行管理：

1.服務器安全

服務器安全主要是Web、FTP等服務器的安全防護工作，必要的正版殺毒軟件和防火墻需要實時更新，定期查殺病毒和打補丁。另外，去掉一些不必要的服務，遵循服務最小化的原則，切勿在服務器上安裝來路不明的軟件或者黑客軟件，并按要求設定本地安全策略，禁用默認共享與自動運行，設置高強度的用戶賬戶和密碼。時刻謹記：最小的權限+最少的服務=最大的安全。

(1)Web安全小技巧

ASP+ACCESS架構的網站使用的數據庫文件后綴名為.mdb,是可以通過IE下載的,所以必須對數據庫文件進行防下載處理。下面的方法雖然不能完全防止數據庫被下載,但事實證明很有效果：修改數據庫文件后綴名為.asp或.asa，并把數據庫文件名設置為無規律復雜型，在文件名前加字符“#”。如果電腦是SQL數據庫，則配置時不要使用sa賬戶做數據庫連接，必須新建一個SQL用戶作為數據庫連接用戶，慬防注入攻擊！同時一定要設置sa賬戶密碼，如有條件，應安裝SQL2005+SP2，SQL2005的安全性與執行效率要好于SQL2000。如果有多臺服務器，最好將Web服務與SQL服務分離，安裝在不同的服務器上。

(2)FTP安全小技巧

目前大多數服務器使用Serv-U為FTP服務。建議使用此軟件的最新版本以降低遭受攻擊的可能性，建議更改默認端口號，安裝目錄可以故意很復雜，例如D:Serv-U_4efmasd63e49(復雜無規則的目錄名可有效防止黑客的猜解)。

2.辦公電腦安全

我們往往忽視了辦公電腦的安全,用市面上賣的Ghost恢復盤并非一勞永逸,其安全性、時效性也是個問題,常常備份完系統,100多個漏洞補丁沒打,轉眼之間再次中毒,無疑增加了重復勞動的工作負擔。筆者所在的學校不同型號的電腦有十幾種,一張Ghost盤是遠遠不夠的。所以每隔1～2個月,為每種型號的電腦做一個符合學校具體需求的備份,保存在一臺專門的服務器上,通過Maxdos網絡Ghost恢復，5分鐘即可搞定。同時針對補丁包不及時的問題，每月定期制作補丁包集合(可通過360安全衛士hotfix文件夾收集補丁包)，上傳至校園FTP上供教師下載安裝，避免重復下載，減少帶寬資源浪費。有條件的學校，也可以通過部署架設WSUS服務(Windows Server Update Services)，這種網絡化的補丁分發方案，支持Windows XP、2000和2003的補丁分發，在很大程度上節省了網絡資源，避免帶寬的浪費。另外，對于教室等公用電腦，因為使用頻率較大，使用人員較雜，不太容易防護，可以考慮安裝硬件還原卡或者安裝影子還原系統，對C盤進行還原保護。

3.機房安全

機房學生上網一直是個讓人頭疼的問題，在機房上課，只要允許學生上網，學生立即就會下載QQ、游戲等內容，過去機房常用SyGate等軟件代理上網，很難對學生上網行為做出控制，現在有了許多很好的軟路由軟件和虛擬機技術，因此從技術上來說，可以對學生上網行為做出一定的控制，在機房里通過虛擬機安裝海蜘蛛是個不錯的選擇。海蜘蛛路由基于Linux 2.6穩定內核開發，采用嵌入式架構，體積精簡、運行高效，具有很高的可靠性、安全性及穩定性，支持DNS/IP/網址/關鍵字過濾功能(可用來屏蔽聊天、游戲網站)。現階段機房服務器大多內存超過1G，可先安裝虛擬機，然后再安裝海蜘蛛。學生通過海蜘蛛上網，同時通過DNS/IP/網址/關鍵字過濾功能，控制學生上網行為，保障學生安全健康上網,如圖2所示：

圖2 海蜘蛛過濾設置

4.數據安全

數據安全非常重要，更多的時候我們擔心的不是系統的崩潰，軟件的無法使用，而是數據丟失后無法挽回。所以數據備份非常重要，單就校園網絡數據安全來說，筆者著重對操作系統Ghost數據、重要文件數據、網站的整站以及數據庫的數據進行備份。通常采用本地和異地兩種備份機制，利用備份軟件(如FileGee備份軟件)或者利用“任務計劃”，通過批處理命令進行數據備份。例如利用Xcopy命令，例如xcopy c:srcdocs d:dstdocs /O /X /E/H /K，其中srcdocs是源文件夾，而dstdocs是目標文件夾。而SQL網站數據庫則可以通過打開管理欄目中的數據庫維護計劃，新建一個數據備份項目，對網站數據進行備份。建議隔段時間對網站整站進行異地備份，防止意外因素丟失網站數據。

總之，校園網絡管理不能單靠我們加班加點埋頭苦干，更應該講究方法，注重科學管理。在保證正常教學秩序的同時，減輕自己的工作負擔，使工作效率事半功倍，讓兼職更加稱職，真正做一名科學的管理者，而不是一名技術的維修工。

[1] 王春海.使用Panabit打造低成本流量控制方案[J].微型計算機，2010，11

[2] 袁勇新.上網安全與行為管理實驗[J].網管員世界，2010，21

郝啟強，本科，中教二級。