安全網關在校園網絡中的應用

任艷芳

【摘要】 近年來，黑客的攻擊目標越來越多的從個人目標轉向銀行、證券、政府單位等網站，校園網絡承擔信息發布的功能，也是教育教學工作的重要工具，提高校園網絡的安全成為重要任務，本文論述了校園網絡易出現的問題，以及安全網關如何解決這些問題，并根據我校實際情況，分析安全網關如何配置。

【關鍵詞】 安全網關 校園網絡

根據《2013年中國網絡安全報告》，2013年全年，被黑客攻破利用的網站20.3萬個，這些網站被黑客攻破獲取到web站點控制權限后，在網站負責人毫不知情的情況下，黑客就會在該網站上放置釣魚欺詐的內容或在該網站上傳播釣魚欺詐的鏈接。

而《中國互聯網站發展狀況及其安全報告（2014年）》中指出，2013年，教育機構類網站被篡改的比例占全部網站的0.4%，以植入暗鏈方式被攻擊的比例大幅上升。

校園網絡承擔學校消息發布的任務，以我校為例，學校的通知、文件、學生成績管理系統、教務管理系統等等都是在發布在校園網主頁上，容易被植入后門，盜取資料。

保障校園網絡安全，目前比較流行的管理工具是安全網關，也稱為上網行為管理，是一種管理設備，它包括硬件及軟件，主要通過對訪問者的身份認證、網頁過濾、訪問控制、流量管理、上網行為記錄、報表統計和安全防護功能，從而實現對互聯網訪問行為的全面管理。

安全網關在使用上比硬件防火墻和軟件安全網關更有優勢，具體表現在：1.安全網關可以有多種接入模式：網橋、路由及旁路模式等；2.安全網關可以提供反垃圾郵件、病毒防火、機密信息過濾等功能；

在校園網絡里配置安全網關，可以實現下列功能：

1.利用“安全桌面”技術，使病毒只存在虛擬的桌面，不會感染本機，退出安全桌面后，所做修改全部還原；2.通過建立“黑白名單”實現對訪問網址的控制，禁止訪問不安全、不健康的網站，維護信息安全；3.“分權管理”，學生組在規定時間內禁止觀看視頻、網絡下載、網絡聊天、網上購物等，既可以規范學生行為，提高教學質量，又可以保障帶寬，減少不必要的帶寬擁堵；4.利用”緩存加速“功能，緩存網頁和視頻，削減冗余流量；5.利用防火墻和網關殺毒，提高網絡安全；6.網絡數據中心對上網行為和帶寬利用情況進行分析，統計網絡訪問趨勢，數據中心會保留用戶上網記錄，必要時可作為法律舉證的重要依據；

下面將根據我校實際情況，分析使用安全網關的配置。

1.我校目前網絡分布情況：我校目前使用的是千兆校園網，根據學部劃分，四個學部（機械部、信息部、電氣部、財經部）在各自的辦公場室辦公及教學，公共課在四棟教學樓上課，圖書館、飯堂和體育組各設一個接入點，供上網需要。2.網絡資源使用情況：所有辦公電腦都要求可以上網，且上班時間要保證一定的帶寬；教學場室電腦根據教學需要決定是否開放上網；3.安全網關要實現以下功能：

①根據IP劃分用戶組，分為公共課教師組、專業課教師組、行政組、圖書館、飯堂、學生等，并將除學生組外其他用戶的IP地址與物理網卡進行綁定；②建立身份認證體系，具體操作即給每位老師及學生分配固定賬號，通過安全桌面使用賬號和密碼才能上網；③優化帶寬資源：實訓場室內電腦只有向網絡管理員申請后才允許開放網絡，上網的時候不允許P2P下載、網絡聊天或是網上購物；④控制瀏覽的網頁范圍：在局域網中的用戶瀏覽網頁時，安全網關通過聯動式分析，并根據安全網關默認的設置、網絡管理員自定義的過濾規則對用戶需要訪問的網頁進行過濾；⑤控制其他的網絡應用： 安全網關的深度內容檢測已經自帶了眾多應用程序的數據特征文件，如網絡游戲、在線炒股等，可以允許或者拒絕內網用戶訪問特定的網絡服務；⑥通過建立網絡準入規則（NAR）實現對網絡訪問的控制，更好維護網絡安全防線：內網計算機狀態不符合動態分發準入代理（ SIA）的規則設置時，安全網關將執行相應的策略；⑦建立數據中心，了解網絡行為：安全網關自帶的數據中心存儲容量有限，通過外置數據中心，保存90天以上數據備查；⑧根據校園網實際情況，安全網關采用網橋模式，對內網完全監控、控制和管理，不改變內網用戶的IP劃分，具體分配如下：中心機房使用一臺標配1000M電口，1000M光口的安全網關，學部大樓、公共教學樓各使用一臺標配100M/1000M電口的安全網關，圖書館、飯堂、體育組各使用一臺標配100M電口安全網關。部署方式：安全網關的WAN口同局域網的網關相連，LAN口（DMZ口）同局域網交換機連接。

通過以上分析，可以看出，通過使用安全網關，提高了校園網絡的可防、可控、可維護，保障了校園網絡的安全，是高效可行的管理設備。

參考文獻

[1]《2013年中國網絡安全報告》

[2]《中國互聯網站發展狀況及其安全報告（2014年）》

[3]深信服AC手冊