中小學(xué)兼職網(wǎng)管校園網(wǎng)絡(luò)管理策略探究

郝啟強(qiáng)

江蘇省南京市第十三中學(xué)(紅山校區(qū)) 江蘇南京 210002

中小學(xué)兼職網(wǎng)管校園網(wǎng)絡(luò)管理策略探究

郝啟強(qiáng)

江蘇省南京市第十三中學(xué)(紅山校區(qū)) 江蘇南京 210002

很多學(xué)校對(duì)校園網(wǎng)絡(luò)建設(shè)不夠重視，“能上網(wǎng)就行”，這是學(xué)校對(duì)校園網(wǎng)管理員的最主要要求。可是，隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，瘋狂下載、網(wǎng)絡(luò)安全、木馬病毒等因素時(shí)刻威脅著脆弱的校園網(wǎng)絡(luò)，越來越讓我們提心吊膽，像一個(gè)技術(shù)維修工一樣疲于奔命地去被動(dòng)“縫補(bǔ)”出現(xiàn)的各種問題，總有一天，我們會(huì)感到力不從心，其實(shí)，我們完全可以化被動(dòng)維護(hù)為主動(dòng)出擊，重新定位自己的角色：摒棄維修工的帽子，做一個(gè)科學(xué)的管理者！

筆者所在學(xué)校是一個(gè)擁有30多個(gè)班級(jí)的十軌制初中，現(xiàn)已建成了主干千兆，百兆到桌面的校園網(wǎng)絡(luò)，設(shè)有網(wǎng)絡(luò)中心一個(gè)，內(nèi)有服務(wù)器4臺(tái)，教師辦公以及公用電腦200多臺(tái)，分布在3棟教學(xué)大樓里，另有學(xué)生機(jī)房2個(gè)。筆者除了擔(dān)任11個(gè)班的信息技術(shù)教學(xué)工作外，兼職負(fù)責(zé)網(wǎng)管工作，工作量很大，具有普遍代表性。為了能在完成教學(xué)任務(wù)的同時(shí)，做好兼職網(wǎng)管工作，通過不斷探索和學(xué)習(xí)，從中總結(jié)出了一些校園網(wǎng)絡(luò)管理和應(yīng)用的具體經(jīng)驗(yàn)。

一、檔案

想要管好自己的校園網(wǎng)絡(luò),首先必須了解它們。對(duì)學(xué)校里的網(wǎng)絡(luò)設(shè)備包括軟硬件等基本情況,做到心中有數(shù)。網(wǎng)管電腦里一定要有一份校園網(wǎng)基礎(chǔ)檔案,主要包括：校園網(wǎng)絡(luò)拓?fù)鋱D，信息點(diǎn)速查表，服務(wù)器、交換機(jī)、防火墻、路由器等設(shè)備的基本情況和配置信息，使用手冊(cè)、保修證書等，可以參考《南京市中小學(xué)網(wǎng)絡(luò)管理基礎(chǔ)性工作評(píng)估驗(yàn)收表》的基本要求準(zhǔn)備，在此列舉幾個(gè)主要檔案供大家參考：

1.拓?fù)鋱D檔案

主要是校園網(wǎng)絡(luò)拓?fù)鋱D和基礎(chǔ)布線圖。拓?fù)鋱D可用Visio或億圖軟件繪制，最好有詳細(xì)的備注，以備查驗(yàn)；而基礎(chǔ)布線圖可以方便管理者及時(shí)查找每一棟樓宇的信息點(diǎn)分布情況。

2.信息點(diǎn)速查表

主要是配線架的對(duì)照表和IP/MAC地址/機(jī)器名對(duì)應(yīng)的速查表。配線架對(duì)照表主要是將機(jī)柜匯聚的線路編號(hào)與信息點(diǎn)模塊編號(hào)塊一一對(duì)應(yīng)，一般結(jié)合基礎(chǔ)布線圖共同使用，可以快速定位每位教師網(wǎng)絡(luò)在交換機(jī)上的具體接入位置。而IP/MAC地址/機(jī)器名對(duì)應(yīng)速查表則是有切身體會(huì)教訓(xùn)，ARP病毒肆虐的時(shí)代雖已過去，但是稍不注意，照樣死灰復(fù)燃；同時(shí)，機(jī)器名的規(guī)范命名也非常重要，在給教師裝系統(tǒng)時(shí)，記得更改計(jì)算機(jī)名、IP地址，可以有效避免因網(wǎng)絡(luò)重名或IP地址沖突導(dǎo)致無法上網(wǎng)。

3.主要硬件設(shè)備表

主要包括服務(wù)器、交換機(jī)、防火墻、路由器等設(shè)備的基本情況和配置數(shù)據(jù)。基本情況檔案可以包括以下幾個(gè)方面的內(nèi)容：設(shè)備名稱、存放位置、配置、購(gòu)買時(shí)間、保修時(shí)間、技術(shù)支持電話、用途、維修記錄等。

二、流控

隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，特別是P2P技術(shù)的廣泛應(yīng)用，在線視頻、PPlive、迅雷、BT等下載因素，使得原本就不太“寬裕”的帶寬，變得更加龜速。網(wǎng)速問題是學(xué)校領(lǐng)導(dǎo)和同事們最關(guān)心的，也是最容易感受到的，解決網(wǎng)速問題至關(guān)重要。如果沒有足夠的經(jīng)濟(jì)實(shí)力升級(jí)帶寬，最實(shí)用的方法就是通過軟路由來控制優(yōu)化網(wǎng)絡(luò)帶寬，進(jìn)行流控，筆者推薦一款低成本高性能的免費(fèi)流控軟件—Panabit。

Panabit是北京派網(wǎng)開發(fā)的基于FreeBSD Linux操作系統(tǒng)的“網(wǎng)絡(luò)應(yīng)用層”流量管理系統(tǒng),特別針對(duì)P2P應(yīng)用的識(shí)別與控制進(jìn)行開發(fā)。其標(biāo)準(zhǔn)版可以免費(fèi)使用,限制并發(fā)連接256個(gè)IP地址,基本可以滿足大部分中小學(xué)網(wǎng)絡(luò)流量控制的需要。相比動(dòng)輒數(shù)萬元的硬件流控設(shè)備,只需一臺(tái)P3級(jí)別的PC就能夠安裝。當(dāng)然,如果擔(dān)心普通PC不夠穩(wěn)定,可以購(gòu)買一臺(tái)二手1U機(jī)架式服務(wù)器,所有費(fèi)用相加,成本也不會(huì)超過1500元。

1.安裝要求

配置P3 800Mhz以上，256M內(nèi)存以上，3塊網(wǎng)卡，128M以上電子盤或硬盤。

2.架設(shè)部署

Panabit使用的是橋接結(jié)構(gòu)，支持兩種接入和部署方案：旁路監(jiān)聽與透明網(wǎng)橋模式，推薦使用后者。以透明網(wǎng)橋的方式部署在出口鏈路上，對(duì)出口鏈路上的雙向流量進(jìn)行協(xié)議分析、統(tǒng)計(jì)，同時(shí)根據(jù)所設(shè)定的規(guī)則對(duì)流量進(jìn)行靈活的限制和分配。用戶既可以統(tǒng)計(jì)流量，又可以做訪問控制和帶寬管理。管理界面如圖1所示：

圖1 Panabit的Web管理界面

三、安全

無疑，校園網(wǎng)絡(luò)的安全是重中之重，尤其是現(xiàn)在病毒黑客的攻擊層出不窮，我們的校園網(wǎng)絡(luò)不能僅僅滿足于能正常運(yùn)行，最好還要能健康地運(yùn)行。筆者將校園網(wǎng)絡(luò)安全分成以下幾塊進(jìn)行管理：

1.服務(wù)器安全

服務(wù)器安全主要是Web、FTP等服務(wù)器的安全防護(hù)工作，必要的正版殺毒軟件和防火墻需要實(shí)時(shí)更新，定期查殺病毒和打補(bǔ)丁。另外，去掉一些不必要的服務(wù)，遵循服務(wù)最小化的原則，切勿在服務(wù)器上安裝來路不明的軟件或者黑客軟件，并按要求設(shè)定本地安全策略，禁用默認(rèn)共享與自動(dòng)運(yùn)行，設(shè)置高強(qiáng)度的用戶賬戶和密碼。時(shí)刻謹(jǐn)記：最小的權(quán)限+最少的服務(wù)=最大的安全。

(1)Web安全小技巧

ASP+ACCESS架構(gòu)的網(wǎng)站使用的數(shù)據(jù)庫(kù)文件后綴名為.mdb,是可以通過IE下載的,所以必須對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行防下載處理。下面的方法雖然不能完全防止數(shù)據(jù)庫(kù)被下載,但事實(shí)證明很有效果：修改數(shù)據(jù)庫(kù)文件后綴名為.asp或.asa，并把數(shù)據(jù)庫(kù)文件名設(shè)置為無規(guī)律復(fù)雜型，在文件名前加字符“#”。如果電腦是SQL數(shù)據(jù)庫(kù)，則配置時(shí)不要使用sa賬戶做數(shù)據(jù)庫(kù)連接，必須新建一個(gè)SQL用戶作為數(shù)據(jù)庫(kù)連接用戶，慬防注入攻擊！同時(shí)一定要設(shè)置sa賬戶密碼，如有條件，應(yīng)安裝SQL2005+SP2，SQL2005的安全性與執(zhí)行效率要好于SQL2000。如果有多臺(tái)服務(wù)器，最好將Web服務(wù)與SQL服務(wù)分離，安裝在不同的服務(wù)器上。

(2)FTP安全小技巧

目前大多數(shù)服務(wù)器使用Serv-U為FTP服務(wù)。建議使用此軟件的最新版本以降低遭受攻擊的可能性，建議更改默認(rèn)端口號(hào)，安裝目錄可以故意很復(fù)雜，例如D:Serv-U_4efmasd63e49(復(fù)雜無規(guī)則的目錄名可有效防止黑客的猜解)。

2.辦公電腦安全

我們往往忽視了辦公電腦的安全,用市面上賣的Ghost恢復(fù)盤并非一勞永逸,其安全性、時(shí)效性也是個(gè)問題,常常備份完系統(tǒng),100多個(gè)漏洞補(bǔ)丁沒打,轉(zhuǎn)眼之間再次中毒,無疑增加了重復(fù)勞動(dòng)的工作負(fù)擔(dān)。筆者所在的學(xué)校不同型號(hào)的電腦有十幾種,一張Ghost盤是遠(yuǎn)遠(yuǎn)不夠的。所以每隔1～2個(gè)月,為每種型號(hào)的電腦做一個(gè)符合學(xué)校具體需求的備份,保存在一臺(tái)專門的服務(wù)器上,通過Maxdos網(wǎng)絡(luò)Ghost恢復(fù)，5分鐘即可搞定。同時(shí)針對(duì)補(bǔ)丁包不及時(shí)的問題，每月定期制作補(bǔ)丁包集合(可通過360安全衛(wèi)士hotfix文件夾收集補(bǔ)丁包)，上傳至校園FTP上供教師下載安裝，避免重復(fù)下載，減少帶寬資源浪費(fèi)。有條件的學(xué)校，也可以通過部署架設(shè)WSUS服務(wù)(Windows Server Update Services)，這種網(wǎng)絡(luò)化的補(bǔ)丁分發(fā)方案，支持Windows XP、2000和2003的補(bǔ)丁分發(fā)，在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免帶寬的浪費(fèi)。另外，對(duì)于教室等公用電腦，因?yàn)槭褂妙l率較大，使用人員較雜，不太容易防護(hù)，可以考慮安裝硬件還原卡或者安裝影子還原系統(tǒng)，對(duì)C盤進(jìn)行還原保護(hù)。

3.機(jī)房安全

機(jī)房學(xué)生上網(wǎng)一直是個(gè)讓人頭疼的問題，在機(jī)房上課，只要允許學(xué)生上網(wǎng)，學(xué)生立即就會(huì)下載QQ、游戲等內(nèi)容，過去機(jī)房常用SyGate等軟件代理上網(wǎng)，很難對(duì)學(xué)生上網(wǎng)行為做出控制，現(xiàn)在有了許多很好的軟路由軟件和虛擬機(jī)技術(shù)，因此從技術(shù)上來說，可以對(duì)學(xué)生上網(wǎng)行為做出一定的控制，在機(jī)房里通過虛擬機(jī)安裝海蜘蛛是個(gè)不錯(cuò)的選擇。海蜘蛛路由基于Linux 2.6穩(wěn)定內(nèi)核開發(fā)，采用嵌入式架構(gòu)，體積精簡(jiǎn)、運(yùn)行高效，具有很高的可靠性、安全性及穩(wěn)定性，支持DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能(可用來屏蔽聊天、游戲網(wǎng)站)。現(xiàn)階段機(jī)房服務(wù)器大多內(nèi)存超過1G，可先安裝虛擬機(jī)，然后再安裝海蜘蛛。學(xué)生通過海蜘蛛上網(wǎng)，同時(shí)通過DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能，控制學(xué)生上網(wǎng)行為，保障學(xué)生安全健康上網(wǎng),如圖2所示：

圖2 海蜘蛛過濾設(shè)置

4.數(shù)據(jù)安全

數(shù)據(jù)安全非常重要，更多的時(shí)候我們擔(dān)心的不是系統(tǒng)的崩潰，軟件的無法使用，而是數(shù)據(jù)丟失后無法挽回。所以數(shù)據(jù)備份非常重要，單就校園網(wǎng)絡(luò)數(shù)據(jù)安全來說，筆者著重對(duì)操作系統(tǒng)Ghost數(shù)據(jù)、重要文件數(shù)據(jù)、網(wǎng)站的整站以及數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行備份。通常采用本地和異地兩種備份機(jī)制，利用備份軟件(如FileGee備份軟件)或者利用“任務(wù)計(jì)劃”，通過批處理命令進(jìn)行數(shù)據(jù)備份。例如利用Xcopy命令，例如xcopy c:srcdocs d:dstdocs /O /X /E/H /K，其中srcdocs是源文件夾，而dstdocs是目標(biāo)文件夾。而SQL網(wǎng)站數(shù)據(jù)庫(kù)則可以通過打開管理欄目中的數(shù)據(jù)庫(kù)維護(hù)計(jì)劃，新建一個(gè)數(shù)據(jù)備份項(xiàng)目，對(duì)網(wǎng)站數(shù)據(jù)進(jìn)行備份。建議隔段時(shí)間對(duì)網(wǎng)站整站進(jìn)行異地備份，防止意外因素丟失網(wǎng)站數(shù)據(jù)。

總之，校園網(wǎng)絡(luò)管理不能單靠我們加班加點(diǎn)埋頭苦干，更應(yīng)該講究方法，注重科學(xué)管理。在保證正常教學(xué)秩序的同時(shí)，減輕自己的工作負(fù)擔(dān)，使工作效率事半功倍，讓兼職更加稱職，真正做一名科學(xué)的管理者，而不是一名技術(shù)的維修工。

[1] 王春海.使用Panabit打造低成本流量控制方案[J].微型計(jì)算機(jī)，2010，11

[2] 袁勇新.上網(wǎng)安全與行為管理實(shí)驗(yàn)[J].網(wǎng)管員世界，2010，21

郝啟強(qiáng)，本科，中教二級(jí)。