自由 安全 高效

錢耀剛　張海云

隨著學校網絡應用層次的提升，如何構建安全而高效的校園網絡成了擺在學校網絡管理員面前的一個重要課題。學校服務器受到黑客攻擊、病毒肆虐、網絡帶寬被無效流量擠占等一系列的安全與管理問題成為棘手問題。筆者在此想談談如何利用開源、自由、免費軟件構建安全高效的校園網絡環境。

之所以選擇免費軟件，一是在倡導軟件正版化的今天，免費軟件既可構建安全網絡，又能節約經費開支。二是免費軟件功能強大，完全可以解決學校網絡安全問題。

構筑堅固門戶 嚴防外侵內擾

校園網絡的第一道安全關卡就是網絡防火墻，它是整個網絡的門戶，是構建安全網絡環境的重要的環節。我們選用的是一款名為pfsense的網絡防火墻，它基于FreeBsd系統開發，在網絡安全領域有著堅若磐石的美譽。

硬件準備：一臺計算機，加上三塊網卡即可。具體的配置要求可參考下表。

軟件準備：在網址（http：//www.pfsense.org/mirror.php？section=downloads）下載并刻錄光盤。安裝過程簡單，只需填寫網關、子網、DNS等為數不多的參數，一個強大的防火墻很快就制成了。

防火墻的精華之處就是可以設定各種規則，防范來自內外部的網絡攻擊行為。pfsense是如何做的呢？

首先，我們要通過瀏覽器登錄pfsense的管理界面（網址依安裝時設置而定）。打開左側菜單欄中的 “Rules”菜單。在這里可以設置學校局域網內計算機上網的規則，也可以設置外部計算機訪問學校網絡的規則。

根據網絡安全基本原則，一般將局域網內的計算機對網絡的訪問設置成不限制，而將外部計算機訪問局域網計算機設置為完全禁止。同時，為了讓外部的計算機可以訪問學校的網頁、郵件服務器等，我們還要設置一個專門用于放置服務器的DMZ（非軍事區）區域。并將訪問DMZ區域的權限加以限制。那么，如何定義規則呢？我們只需單擊Rules菜單項的內容頁上相應端口（LAN、WAN、OPT1等）下面的“+”按鈕，就可以添加所需的規則了。下面就來看一下如何定義一條防火墻規則。

通過圖示，可以發現規則是非常簡單的。例如，由于某教師違規使用網絡，我們要限制一臺IP為192.168.1.11的教師計算機不能訪問外部網絡。只需要在LAN端口添加這樣一條規則就可以了：規則的動作設置為“block（阻止）”，源地址類型為single host or alias（單機或者別名），源地址值為192.168.1.11，規則針對的協議設置為any，目標地址類型設置為network，值設置為192.168.1.0/24，同時勾選“not”這個選項。這樣，這臺192.168.1.11的教師計算機就只能訪問學校局域網的計算機。又如， 要限制外部計算機只能訪問學校網站，只需要在WAN口添加規則。規則的動作設置為“pass（通過）”，源地址設置為any，規則協議設置為TCP，目標地址的類型設置為single host or alias，并將值設定為網站服務器IP，將目標端口號限定為80端口。為了記錄訪問網頁服務器的詳細情況，我們還可以勾選“Log packets that handled by this rule”（記錄本規則所捕獲的包信息）。這樣就可以通過查看網絡日志監控網站安全狀況了。

除此之外，pfsense還具有網絡地址轉換、流量整理，VPN等功能。只要善加利用，pfsense完全能夠成為校園網絡的安全之門。

建立順暢通道 高效規范使用

在pfsense構建的安全校園網絡基礎上，是不是就可以高枕無憂了呢？還有一個最讓人頭疼的問題，就是如何有效控制教師使用網絡為教育、教學工作服務，而不是使用網絡做非本職工作。雖然pfsense能夠實現部分功能，但“術業有專攻”，做專門的事還得請專家。這位專家是誰呢？它就是 panabit—— 一款國內開源程度最高的流量控制、應用控制軟件。

同樣的，我們需要先為它準備一臺計算機，因為流量控制是一項需要密集計算的工作。因此，計算機的配置要求比較高，CPU至少800MHz以上，內存也是越多越好，還需要擁有三塊網卡（建議使用Intel網卡）。在相關網址（http：//www.panabit.com/download/index.html）下載文件，并按說明安裝。

安裝完畢，同樣需要使用瀏覽器登錄panabit服務器。它有著友好的中文界面，便于我們調試。

那么panabit是如何來完成流量控制的呢？

第一步，在“對象管理”菜單下，定義“IP群組”和“自定義協議組”?！癐P群組”是用來將某一類型的IP匯總成一個群組以便于設定panabit策略。我們根據需要自定義“普通用戶組”、“服務器組”、“特權用戶組”等?！白远x協議組”則是用來定義我們需要禁止、限制或者放行的各類網絡協議的集合。panabit已經將當前常用的200余種網絡協議進行了設置，我們可根據需要進行組合，形成我們需要的“自定義協議組”。

第二步，我們就可以進入“策略管理”菜單項。Panabit的“策略管理”可以分為三大類，分別是“流量控制” “連接控制”與“HTTP管控”。

“流量控制”策略的設置是用于控制網絡流量的。首先，需要設置合適的“數據通道”，將需要“限制、預留或者保證”的通道建立好。比如，我們要對某些應用限制其流量為1Mbps，那么我們需要先建立一個“數據通道”，并設置其為限制1000Kbp。

然后，就在“流量控制”中定義策略組，并將之前定義的“數據通道”應用到其中的策略中去。

最后，也是最易忽視的一步，就是要將已經設置好的“流量控制”策略組進行策略調度，也就是要給這一策略組指定發生作用的時間段。

這樣，一條完整的“流量控制”策略就已經定義并生效，它將在每周的周一至周五中午12：00至13：00之間生效，生效時被定義為“一般教師”的成員訪問外部網絡的網絡帶寬被限定為1Mbps。

“連接控制”策略與“流量控制”策略有類似的操作步驟，只是它是對單個IP進行連接數的限制，通過與“流量控制”策略類似的操作，我們可以控制每臺計算機的網絡連接數，有效減少網絡帶寬占用。

“HTTP管控”則是針對網站訪問專門設置的一類管理策略，通過它可以嚴格管理局域網的用戶網頁訪問的行為，起到有效屏蔽有害網址、防止進入惡意網站、禁止下載違禁文件的作用。

通過以上三種不同種類的網絡策略協同作用，panabit可以非常有效地對校園網絡流量進行控制，同時能有效地管理客戶端計算機的網絡應用情況。

除此之外，panabit還擁有非常專業、強大的日志記錄功能，能夠將每次訪問因特網的行為記錄。只需要在“系統維護”菜單中，設定接收日志的服務器IP，并選擇所需要記錄的網絡日志類型即可開啟。

另外，panabit還擁有著完備的統計功能，我們可以在“監控統計”菜單項下得到各類統計數據，以便于我們對學校網絡應用狀況進行分析診斷。

不難看出，panabit是校園網絡管理的得力助手，希望在此將它介紹給有需要的教師，讓它發揮更大的作用。

完善安全節點 防止各個擊破

在學校網絡管理方面，除了在宏觀方面使用了上面兩款免費而又強大的軟件之外，在教師客戶端上我們也嘗試使用免費軟件，加強網絡節點的安全性。網絡安全體系被突破，往往是從內部的節點開始。所謂“千里之堤，潰于蟻穴”，在重視宏觀層面安全調控措施的同時，也應加強作為網絡節點的單臺計算機的防護。如今免費殺毒軟件已經普及，如360殺毒、金山毒霸等，這些免費軟件的出現為我們提供了很大的選擇余地。在使用過程中，我們發現360殺毒軟件還推出了企業版，可以統一升級、殺毒，并且生成單位內部安全狀況報告。通過安裝這些殺毒軟件，加上養成良好的網絡使用習慣與計算機安全常規知識，我們完全能夠保證計算機節點的安全性，從而為構建安全、高效的學校校園網絡環境奠定基礎。

從網關防火墻到流量控制服務器，再到殺毒軟件，從整體的安全防護與管理到局部的單機安全與管理，我校的校園網絡安全體系借由著這些開源、自由、免費的軟件構建完成。在長期實踐過程中，我們深刻感受到了它們的自由、高效與安全，它們的全面應用為網絡的高效利用提供了有力的保障。

（作者單位：江蘇無錫市濱湖區教育研究發展中心）