上網行為管理技術在校園網中的應用

陳桃賢

（福建省龍巖市農業學校，福建　龍巖　364000）

上網行為管理技術在校園網中的應用

陳桃賢

（福建省龍巖市農業學校，福建龍巖364000）

隨著互聯網的迅速發展，網絡已經成為學校辦公的重要組成部分，然而網絡環境和校園網內部分用戶不良的上網行為給網絡中心的監管帶來壓力。所以，學校部署了“深信服”上網行為管理系統，對網絡中的各種應用內容作出準確的統計和分析，并且加以控制和管理。這樣就能提高網絡的安全性和利用率，為構建綠色、和諧、安全的校園網絡環境奠定堅實的基礎。

上網行為管理；校園網；網絡安全

1　研究背景概述

進入21世紀以來，互聯網得到快速發展的同時，校園網絡也得到了很好的完善和發展。隨著網絡的發展，網絡技術也是突飛猛進，各類網絡應用軟件層出不窮、與日俱增。軟件的使用一方面使用戶的日常辦公得以方便快捷，另一方面對單位網絡的穩定性提出更高的要求，網絡上的信息資源豐富多彩，對用戶有著太多的誘惑，上班時間瀏覽與工作無關的網站，尤其是使用一些P2P（Peer to Peer）對等網絡軟件，占用了大量的網絡資源，使網絡帶寬始終處于滿負荷的狀態。為了減少以上的各種情況，提高教職工的工作效率，學校部署了上網行為管理系統，對進出校園網的數據進行有效的控制與管理，同時管理教師和學生的上網行為，靈活控制各種網絡應用，從而提升了帶寬的利用率。

學校要構建一套卓有成效的上網行為管理系統，首先是要能實現有害信息的過濾，如對反動、迷信、色情、詐騙和機密等有礙社會公德和不便公開的信息就要進行過濾；其次要對進出網絡的數據進行流量控制，保障數據的正常傳輸，據網絡流量控制現狀統計，P2P數據流量占整個互聯網總流量的60%，并且在用戶總數沒有顯著增加的情況下，P2P數據流量的比例仍然在快速持續地增長。因此，校園網絡管理部門必須在明確網絡需求的基礎上，對校園網用戶的上網行為進行科學有效的控制和管理。

2　上網行為管理技術

上網行為管理是指幫助用戶正確地控制和管理互聯網的使用，包括用戶管理、帶寬的流量管理、網絡應用控制、網頁訪問過濾、終端接入管理等。隨著計算機、網絡技術的迅速發展，網絡化辦公日益常態化，互聯網已經成為教師和學生工作、生活、學習過程中不可或缺的重要工具。但是，在享受著電腦辦公和互聯網使用帶來便捷的同時，職工在工作時間上網做與工作無關的事情的現象越來越突出。所以，為了保證局域網內部的網絡信息在上傳下載等存儲以及傳輸過程中的安全性、完整性和機密性，就需要上網行為管理技術來通過相關的網絡安全策略對局域網以及外部網絡進行全面的監控，包括用戶的網絡行為以及網絡自身的運行狀況等［1］。

為了實現上述的功能，就必須在校園網中部署上網行為管理系統。學校部署的是“深信服”的上網行為管理系統。它直接部署在校園網中的3層交換機到互聯網的出口處，即放置于網關出口之后，用戶上網時所有的數據都必須經過該系統。這種方式設置簡單、透明，適合學校不更改網絡架構的情況。它不僅包含上述的管理與控制功能，還包含了防火墻、網絡地址轉換（Network Address Translation，NAT）、路由等功能。

3　上網行為管理功能

3.1用戶管理

上網行為管理系統所管理的對象是終端的上網用戶，因此用戶是網絡權限分配的基本單元。校園網絡規模較大，教師和學生的數量較多，導致上網人員身份認證困難，并且內網的地址分辨協議（Address Resolution Protocol，ARP）欺騙多、拒絕服務（Denial of Service，DOS）攻擊多。所以，上網行為管理系統采用支持二層和三層網絡環境下的網絡協議（Internet Protocol，IP）/媒體接入控制（Media Access Control，MAC）綁定的方式，可自動阻止非法占用他人IP地址的用戶，如果用戶電腦的IP地址與MAC地址沒有同時綁定則該用戶無法正常上網，這樣就可以實現用戶上網身份的唯一識別，方便了網絡用戶的管理。

當網絡用戶較多、組織結構較為復雜時，按照組織結構來管理用戶是最有效的方式。學校就通過IP網段來劃分結構，即根據不同的IP網段分為不同的組，對配置好的行為管控和審計策略最終都將賦予到用戶組上，這樣就方便了管理員管理網絡用戶。

3.2 流量管理

流量管理是基于網絡的流量狀況和流量控制方法，對數據流進行分類識別，并實施流量控制、優化和對關鍵網絡應用進行一定保護的相關技術。隨著網絡的不斷發展，各種網絡應用，如利用P2P軟件下載、在線玩游戲、在線觀看電影等都擠占著有限的帶寬資源。面對日益緊張的帶寬資源，學校除了增加帶寬以外，還可以通過上網行為管理系統，制定詳細的帶寬管理策略。它可以分配合適的帶寬保證網絡業務的需求，原理是劃分多線路和多級父子通道，將網絡用戶放入不同的帶寬通道，針對繁忙或者空閑的帶寬通道執行動態監控功能，空閑時受限通道可以突破上限，充分提高網絡帶寬的利用率，同時也可以有效限制P2P流量的上傳和下載［2］。在白天上班期間，對辦公區域的IP網段內的流量不受限制，生活區的IP網段內的流量受限制。通過這種方式合理地分配和管理有限的帶寬資源，節省投入成本。

3.3上網策略管理

學校部署的上網行為管理系統可以根據用戶的權限分配情況設置不同的上網策略。如上網權限策略，其包含應用控制、Web過濾、安全套接層（Secure Socket Layer，SSL）管理和郵件過濾等；上網審計策略，其包含應用審計、外發文件告警和網頁內容審計；上網安全策略，其包含危險行為識別和惡意網頁過濾等。學校網絡管理員可先在上網行為管理系統中配置所需要的上網策略，然后根據不同的用戶組或不同的IP網段來應用這些上網策略，以達到安全上網的目的。

3.4上網行為審計和過濾

對于使用許多傳統的技術方法來解決對網絡用戶訪問的信息進行審計、過濾，如在防火墻上做配置以及在服務器上部署相關的軟件進行控制等。但在網絡規模較大、較為復雜的校園網絡中使用傳統的技術，就不太容易實現。“深信服”上網行為管理系統具有網絡行為審計功能，它采用用戶、應用、目的網頁地址（Uniform Resource Locator，URL）、時間來準確記錄內網用戶的上網行為，有效控制信息的傳播范圍和敏感信息的泄露，其中包括對郵件的收發進行審計和過濾，通過匹配收發郵件的標題及內容關鍵字等特征進行郵件報警；對聊天工具的審計和過濾，通過審計聊天工具的收發動作、賬號、聊天內容等，有效地為行為管理提供保障；搜索關鍵字的審計和過濾，通過記錄用戶在搜索引擎網站、門戶網站、購物網站、視頻信息網站、論壇貼吧等網站使用的關鍵字內容，過濾用戶的非法搜索行為，保障校園網絡的安全穩定。

3.5終端接入管理

傳統的網絡安全架構已經無法解決日益復雜的內網安全問題。人們在內網安全的實踐中逐步意識到，多數安全的隱患來源于內網中的終端，因此保證各終端的安全性顯得尤為重要，而對于接入內網終端的身份認證、安全檢查和其他安全指標的評估成為維護內網安全的重要環節［3］。目前，用戶對于學校內部網絡終端的接入提出了越來越高的要求，希望能夠提供系統、靈活、完善的網絡管理方案，既能夠保證滿足不同用戶對于終端接入管理易于操作的要求，同時也要滿足網絡管理員對于主機配置檢查、安全性檢查，以及運行過程中的監管等要求。

學校組建的局域網，用戶較多，而這些用戶的接入，都必須經過上網行為管理系統。當有外來用戶需要上網時，要么直接開放，隨意接入，這樣就無法定位身份，安全風險高；要么需要提前申請臨時賬號，這樣就變得管理復雜。這就要求建立一個比較完善的、便捷使用的終端接入管理系統。當用戶電腦的IP/MAC與上網行為管理系統中設置的IP/MAC綁定一致時，就可以正常接入互聯網，否則就無法接入互聯網。為了便于管理校園網絡，禁止用戶在電腦終端使用360隨身Wifi，當外來用戶使用手機或無線設備通過360隨身Wifi接入網絡時，終端接入管理會阻止外來用戶使用網絡。

4　結語

學校通過部署上網行為管理系統后，形成一個安全、高效和規范的網絡環境，不僅可以解決網絡使用不合理現象，還解決用戶的上網行為，引導教職工合理的使用網絡，提高工作效率，有效地減少了互聯網上不良信息對教職工帶來的影響，這在很大程度上提高了學校信息化建設水平。

［1］徐俐鏵.上網行為管理技術在計算機局域網安全中的應用［J］.科技致富向導，2015（9）：64.

［2］吳國祖，王洪波.基于上網行為管理系統的研究與應用［J］.電子技術與軟件工程，2015（17）：21.

［3］臧曉晗. 終端接入控制技術［J］. 網管員世界，2010（21）：15-16.

Application of the Internet managing technology in campus network

Chen Taoxian
（Fujian Longyan Agricultural School， Longyan 364000， China）

As the rapid development of the Internet， the network has become an important part of school office work. Yet Internet environment and bad internet behavior by partial campus network users cause supervision of network center stress. Therefore， our school has fixed SANGFOR Internet monitoring system to make an accurate statistics and analysis for the various Internet applications and strengthen the management and control. Thus the safety and availability of the network will be promoted which can lay a solid foundation for the building of a green， harmonious and safe environment of campus network.

on-line management； campus network； network security

陳桃賢（1982— ），男，福建上杭，本科，助理講師；研究方向：計算機網絡。