ROS防火墻高校實驗機房管理應用研究

王亮　唐永林

摘 要

現階段高校計算機房的管理重點主要在兩方面：硬盤安全和防御病毒木馬等，與此同時，還要針對計算機房的不同用途控制網絡的連接狀態，之前各高校采用的安裝還原卡、殺毒軟件、拔插網線等雖然也能解決上述問題，但比較麻煩，也存在不少問題。若是利用Router OS系統，上述問題可以被輕松解決。

【關鍵詞】Router OS 防火墻 高校 計算機房管理 應用

任何一所高校，計算機房都是必不可少的基礎設施，用來供同學們上課、自主使用燈。一般高校的計算機房為保護計算機系統以及配置信息不被隨意改動，都是采用安裝還原卡的方式。雖然還原卡用來保護計算機系統和配置信息不被更改是十分有效的，但還原卡的防御病毒性能并不突出，仍然會有病毒穿透還原卡導致系統被感染，使得整個機房的安全都受到威脅。除了病毒的威脅，還有惡意用戶的使用、在教學過程中屏蔽無關應用等問題，從資金投入、部署和使用的便利等方面綜合來看，在高校機房采用Mikro Tik OS系統是一個比較合適的方法。

1 高校在計算機房的傳統保護措施

隨著信息技術的發展，高校計算機房在規模和設備也都在逐步更新，但與此同時，木馬、病毒等技術也在發展，這讓計算機房的安全管理工作難度日益增大，計算機房的管理人員除了要對軟硬件進行管理，及時對它們進行更新和升級，更重要的是對計算機病毒、木馬進行防御和查殺、目前，高校計算機房存在的安全隱患主要有以下幾方面：

1.1 高校計算機機房存在的安全隱患

1.1.1 硬盤損壞導致資料丟失。

作為計算機的核心部件，硬盤中除了有系統文件外，教學資料和教學軟件通常也存在硬盤中，因此硬盤在高校的教學和實踐中有著十分重要的地位。一旦對硬盤的保護不到位，導致硬盤損壞，不僅計算機無法正常啟動，硬盤內存儲的資料也會丟失，給高校帶來巨大損失。在實踐中，為了防止病毒大規模泛濫，高校計算機房中的電腦通常沒有安全光驅，這也增加了計算機重裝系統的難度。因此，如何安全有效的保護硬盤是高校計算機房安全管理的重點之一。

1.1.2 計算機病毒和木馬的攻擊。

病毒和木馬的威脅一直沒有遠離過高校計算機房，除了來自外部網絡的病毒和木馬的威脅，來自計算機自身的威脅我們也不能忽視，例如一些帶有病毒和木馬的U盤、移動硬盤、智能手機等移動設備在與計算機連接時，計算機就存在巨大安全隱患，很可能會感染病毒和木馬。

1.2 傳統保障計算機安全的方法

1.2.1 保護硬盤資料

為了更好地保護機房計算機硬盤，大多數高校安裝還原卡，它可以將硬盤在極短時間內恢復成最先備份的狀態，并且還原卡的另一大優點就是可操作性強，還原卡的安裝十分簡單，也可以對硬盤資料起到很好的保護作用。

1.2.2 防止計算機病毒和木馬攻擊

目前高校計算機房在防御計算機病毒和木馬的攻擊時，通常采用下述幾個方法：

（1）在計算機中安裝殺毒軟件。現下，殺毒軟件是我們了解到的防御計算機病毒和木馬攻擊最有效的方式，現在市面上存在許多類似于金山毒霸、360殺毒軟件的免費殺毒軟件，只要計算機管理人員及時更新殺毒軟件，這些軟件就可以有效保護計算機。

（2）禁止學生瀏覽不正規網站，下載不合法、來歷不明的資料。許多病毒和木馬的傳播方式是偽裝成正規軟件，通過免費下載來吸引人下載，只要用戶下載、運行，病毒和木馬就會感染此臺計算機。因此，禁止使用者下載來歷不明的文件也可以起到一定防御計算機病毒和木馬的作用，如果一定需要下載某文件，也應用殺毒軟件掃描確定安全后再運行。

（3）禁止學生使用自帶U盤等移動設備，因為一旦這些設備中帶有計算機病毒和木馬，學生又不知道，那么在與計算機連接時就很容易使計算機感染病毒和木馬。

1.3 存在的問題

（1）高校計算機房采用安裝還原卡的方式來保護硬盤效果雖然不錯，但是還原卡無法防御計算機病毒，一旦有的病毒穿透還原卡感染了系統，那么整個機房的安全都將受到威脅。假如在機房接入交換機上設置端口限速，那么一旦系統被感染，整個機房、整個樓宇甚至是整個學校都會受到影響。如果設置了端口限速，那么計算機的還原速度就會受到影響。

（2）對于高校機房計算機的使用，教學使用占很大比例，若只是安裝殺毒軟件，可以有效防御計算機病毒和木馬的攻擊，但學生在教學時間使用類似于聊天軟件、游戲軟件等，殺毒軟件就不能實現對這些應用的屏蔽。因此，高校計算機房想要使管理更便捷有效，就要應用功能更全的系統。

2 Mikro Tik Router OS系統的特點

2.1 成本低，性能高

作為一種路由操作系統，Mikro Tik Router OS可以使一臺標準的PC電腦變成專業的路由器，并且在無線、認證、寬帶控制、防火墻過濾、策略路由等功能上與專業路由器比都毫不遜色，甚至可以說這些功能是十分突出的?；赬86構架的PC電腦，應用Router OS系統即可具備現有路由系統的大部分功能。從這方面來看，在應用Router OS系統的基礎上，一臺十分普通的X86電腦不僅可以實現路由功能，還可以在提高硬件性能的同時提高網絡的訪問速度和吞吐量，使這套路由器系統從根本上實現成本低但性能卻很高。

2.2 對安裝環境要求不高，安裝簡單

Router OS系統的另一大特點就是它對安裝環境的要求并不高，尤其是對硬件的需求很低，一臺非常普通的X86PC電腦就可以滿足它的安裝要求，當然，前提是這臺X86PC要至少含有兩塊網卡。

2.3 功能強大

（1）高校計算機房常用的NAT和DHCP服務都包含在Router OS系統中，除此之外，該系統還擁有非常強大的防火墻過濾功能，在運行時，Router OS系統可以對網絡的異常行為進行實時監控，并支持二到七層的防火墻規則，當發現網絡存在異常行為時能夠及時發現及時禁止。

（2）可對寬帶進行有效管理。將Router OS系統應用到高校計算機房可以進行有效寬帶管理，將網絡寬帶進行合理分配，這一功能可以盡可能地保障網絡傳輸的通暢，有效預防在使用高峰期出現網絡堵塞的情況。

（3）擁有路由、網關、并接等多種接入方式，為有效解決一些惡意用戶在使用時影響網速及安全或者學生在教學時間使用無關應用，Router OS系統憑借其路由、網關、并接等多種接入方式，在不改變原網絡環境的情況下，有效屏蔽非法網站或一些無關應用，阻斷上網人員的非法上網行為。另外值得一提的是，Router OS系統擁有友好的管理界面，管理人員可通過WEB或自帶的Winbox軟件進行管理，這兩種方式都十分便捷。

3 Mikro Tik Router OS的防火墻功能在高校計算機房管理中的應用

3.1 防火墻功能

Router OS防火墻功能非常強大、靈活。Router OS防火墻屬于包過濾防火墻，可以定義一系列的規則過濾掉發往Router OS從Router OS 發出、通過Router OS轉發的數據包。在 Router OS防火墻中定義了三個防火墻（過濾）鏈，即Input、Forward、Output：Input用于處理進入Router OS的數據包，即數據包目的IP是Router OS接口中的一個IP地址，經過路由器的數據包不會在Input鍵中處理；Output用于處理從Router OS發出去的數據，即由路由器中某個接口發出去的數據包；Forward是用于處理通過Router OS的數據包，如內部計算機訪問外部網絡，數據需要通過Router OS進行轉發。我們可以通過在這三個鏈中定義規則，從而有效地管理機房。

3.1.1 為每個機房定義過濾規則，以允許或禁止使用網絡

當以計算機房為課堂進行授課時，經常會出現這樣的情況：為了防止同學們在上課時間上網而不聽教師講課，教師需要將網絡關閉；有時教師需要學生在網上搜索查閱資料，需要將網絡打開；有時僅僅教師需要使用網絡，而學生不用。另外，課堂之外的時間計算機房通常是作為電子閱覽室來使用的，這時就需要網絡一直開放。根據不同的需求，可以定義如下規則：假設有兩個機房，一個機房的IP地址段為192.168.1.1-192.168.1.50，另一個機房的IP地址段是192.168.2.1-192.168.2.50.

規則1 星期一至星期五禁止在上課時間使用網絡，課余時間晚上5到8點開放網絡。

機房1：

chain=forward action=drop src-address=192.168.1.0/24

Time=17h-20h， mon， tue， wed， thu， fri

機房2：

chain=forward action=drop src-address=192.168.2.0/24

Time=17h-20h， sun， mon， tue， wed， thu， fri， sat

規則2 允許兩個機房的教師機任何時間都可以使用網絡。

假設機房1的教師機IP為192.168.1.1，機房2的教師機IP為192.168.2.1.

機房1：

chain=forward action=accept src-address=192.168.1.1

機房2：

chain=forward action=accept src-address=192.168.2.1

3.1.2 禁止學生上課期間使用聊天工具和游戲軟件

Router OS V3.0以上的版本都可以進行7層協議過濾，可對類似于QQ、魔獸世界等應用進行限制和過濾，具體操作是在IP firewall中的Layer7 Protocols增加7層協議，7層協議的編寫可以通過在網上搜索想要過濾的程序的7層協議腳本，然后進行腳本導入。例如，要想禁止用戶登陸QQ，在添加規則后，通過Advanced的Layer7 Protocols選擇QQ，然后在Action中設置為“drop”，這樣用戶想要登陸QQ時，系統就自動將這一請求丟棄了。

3.2 Router OS，讓高校計算機房管理更輕松

（1）將計算機房用作課堂還是電子閱覽室決定了網絡的連接狀況，一般高校在處理這一問題時是依靠拔插網線，這種做法的弊端一是交換機端口檢測浪費時間，二是容易損壞交換機。利用Router OS系統可以輕松解決這一問題，將不同機房的地址匯總做成地址列表，分別做NAT地址轉換，只要通過Winbox禁止或啟用該機房的NAT地址轉換規則就能輕松控制某個機房網絡連接狀態。

（2）網絡是把雙刃劍，利用網絡可以幫助學生學習，但若監管不力，學生也可能被網絡上的游戲、不良信息誘惑。利用Router OS系統配置Web代理功能可以做到對網絡上的信息進行過濾，比如可以針對QQ的不同登陸方式，通過禁止端口和服務器地址來禁止學生在機房上課時聊天，還可以對類似于mp3、avi等后綴名的文件禁止下載，做到最大化地凈化學生的上網環境。

（3）Router OS系統強大的防火墻功能除了能對網絡連接狀態自由控制外，還可以通過定義一系列的規則將通過該系統轉發的文件中攜帶的木馬病毒、ARP病毒以及沖擊波等各種病毒，以便更有效的保護高校計算機房的安全。

（通訊作者：唐永林）

參考文獻

[1]王正奎.Router OS的防火墻功能在高校計算機房管理中的應用[J].遼寧師專學報（自然科學版），2012（04）：38-40+84.

[2]肖琴.論高職院校計算機房安全管理策略[J].湖南工業職業技術學院學報，2016（04）：122-124.

[3]徐嘉瑜，潘巍巍.論RouterOS在高校機房管理中的應用[J].計算機光盤軟件與應用，2014（19）：305-306.

作者簡介

王亮（1986-），男，碩士研究生學歷。現為吉林建筑大學城建學院實驗師。研究方向為網絡工程及物聯網工程。

通訊作者簡介

唐永林（1957-），男，大學本科學歷?，F為長春大學旅游學院教授。研究方向為網絡工程、計算機網絡教育方面。

作者單位

1.吉林建筑大學城建學院 吉林省長春市 130114

2.長春大學旅游學院 吉林省長春市 130117