淺議校園網規劃和管理

魏碧英 念云

【摘要】 規范地建設好，管理好，使用好校園網是校園網健康發展的關鍵。文章主要從校園網的設計原則和網絡結構入手，介紹校園網規劃和管理中涉及到的網絡管理和安全管理等問題。

【關鍵詞】 校園網 網絡管理 信息交流

校園網是面向校園內部師生的網絡，應該為校園內的廣大師生提供一個信息化教學環境，促進信息交流，資源共享和技術科研合作，同時根據實際所需，在必要的地方實現安全認證和計費管理，使建成的校園網形成可管理、易維護、安全、高效的新一代網絡體系。

一、校園網的設計原則和網絡結構

校園網設計時應遵從以下原則：1、先進性；2、標準化和開放性；3、可靠性和可用性；4、靈活性和兼容性；5、實用性和經濟性；6、安全性和保密性；7、擴展性和升級能力；8、網絡的靈活性及可管理性[1]。

目前，各個學校的校園網的結構基本相同，大多采用以下結構：（1）主干網采用千兆以太網，10M/100M自適應交換到桌面。 （2）整個網絡由網絡主控室、教學子網、辦公子網、圖書館子網、學生宿舍樓子網等組成，其中網絡主控室是整個網絡的主干，是網絡的總節點，其余各個子網的中心為二級節點。（3）校園網實現辦公自動化、學校內部主頁、內部電子郵件、電子教室、電子圖書館、內部信息服務等主要功能。

二、建設目標

網絡建設總體目標是采用先進實用的計算機技術及網絡通信技術，建立一個覆蓋全校所有建筑和部門的綜合網絡，建立一個技術先進、安全可靠、高效優質的校園網絡系統，為廣大師生、教研和管理人員提供一個先進的網絡環境，使學校的教學、管理和科研達到一個高效的層次。同時，通過校園網與國內外通信網絡的連通，共享國內外資源，建立一個滿實用校園網絡[2]。

三、網絡管理

3.1網絡安全的管理

校園網中的各信息點一般使用固定IP地址，科學的VLAN劃分和規范有序的IP地址管理是網絡安全管理工作的基礎，在構建網絡時要做好規劃、制定切實可行的實施方案。VLAN劃分要做到既滿足使用要求又方便網絡管理。要注意校園網VLAN劃分的策略、VLAN劃分的方法、VLAN之間的路由策略。IP地址管理要做到對網絡中所有的網絡設備的MAC地址進行登記、進行IP地址與MAC地址綁定、進行用戶認證。這樣可以有效預防局域網內發生IP地址沖突、盜用造成ARP攻擊等問題。

網絡安全要求保證網絡不被攻擊，保證重要信息不被篡改。網管人員設計并實施網絡安全解決方案，以降低被攻擊和侵害的風險。可以采取的措施有：標識重要的網絡資源，設置訪問權限；確定重要的網絡資源與其用戶間的映射關系；監視對重要資源的訪問；記錄非法登錄及對重要網絡資源的非法訪問等。

3.2校園網設備的管理

組建校園網的設備多，信息點分散，應該將網絡設備集中建立檔案，進行統一管理。主要做法如下：

（1）了解不同設備的各自性能并建立檔案備查。（2）建立每臺設備的配置檔案及更換記錄。（3）將所有網絡設備的驅動程序收集起來集中放到某臺工作站中，方便日后機器重裝。（4）將安裝好系統軟件及常用軟件的各種配置的計算機硬盤都通過GHOST軟件將其鏡像成一個文件放到服務器中。

3.3網絡管理軟件的使用

網絡管理軟件屬于網絡軟件（通信支撐平臺軟件、網絡服務支撐平臺軟件、網絡應用支撐平臺軟件、網絡應用系統、網絡管理系統以及用于特殊網絡站點）的一種，即通過軟件來支持行為，提高工作效率。借助此網管系統，網絡管理人員不僅可以進行自動化的網絡監測和管理，而且可以開發網絡管理應用程序，按照網絡管理的對象，它可以分為系統管理軟件和設備管理軟件[4]。

四、網站管理

4.1 WWW服務管理

1、IIS管理

WWW服務器為更新網站內容，一般會安裝FTP服務，所以管理WWW服務要和FTP服務協同管理。（1）只安裝必須的服務。 （2）停止默認的FTP站點、默認的Web站點、管理Web站點，在新的目錄下新建WWW服務與FTP服務。（3）安裝新的Service Pack后，重設IIS的應用程序映射。（4）設置IP拒絕訪問列表。（5）禁止對FTP服務的匿名訪問。（6）記錄并審查日志。（7）慎重設置WEB站點目錄的訪問權限。

2、網頁編程安全管理

數據檢查和文件檢查有利于防止SQL注入、防止跨站腳本攻擊、防止存在源文件的文本。

3、數據庫的安全配置]

數據庫服務是Intranet應用的基礎，也是平常維護網絡安全時容易忽視的問題，這里介紹SQL Server數據庫服務器的安全配置。（1）在服務器端腳本上過濾一些類似 ， ‘ ； @/ 等字符，防止破壞者構造惡意的SQL語句。（2）安裝SQL Server的最新補丁。（3）使用安全的密碼策略。（4）使用安全的帳號策略。（5）加強數據庫日志的記錄。（6）管理擴展存儲過程。（7）使用協議加密。（8）更改原默認的1433端口，拒絕來自1434端口的探測。

4、FTP服務管理

FTP服務容易產生較大的網絡流量，如果管理不好，就會造成網絡堵塞、服務器死機等問題。FTP服務管理涉及Serv-U的安裝、用戶的管理、域的設置等。

5、防止垃圾郵件

網絡技術的飛速發展，人類進入互聯網時代，電子郵件在人們的生活中逐漸取代傳統郵件，成為企業、個人工作生活不可或缺的聯絡方式，隨之而來出現大量垃圾郵件，占用大量傳輸、存儲和運算資源，造成資源和空間浪費。垃圾郵件還具有欺騙性，成為不良信息的主要傳播載體。因此，要制定垃圾郵件過濾規則，通過對發件人，收件人，郵件頭，郵件正文等進行比較分析，通過白名單、黑名單結合，定義過濾規則對違規郵件過濾[5]。

6、被入侵系統的恢復

網站要經常進行數據備份，萬一被入侵遭到破壞，就可以進行恢復?；謴凸ぷ鞑荒芎唵蔚剡€原系統了事，要進行認真地分析原因、采取措施、追根尋源，防止以后的入侵或對其它網絡用戶的入侵。系統恢復應該包含以下幾個方面的工作：制定安全策略；記錄恢復過程中所有的步驟；奪回對系統的控制權；將被侵入的系統從網絡上斷開；復制一份被侵入系統。

7、計費管理

計費管理是校園網管理的重要工作，計費系統的特點也可以反映出校園網管理和結構的特點。校園網及其管理要注意它的特點：獨特的計費方式；網絡出口帶寬逐步擴展；多個網絡出口的需求；接入方式多樣化；提供服務多樣化；用戶層次多樣化；管理對象多樣化；付費類型多樣化；網絡結構多樣化等。

五、入侵分析及策略研究

通過審查日志文件和系統配置文件，檢查入侵的蛛絲馬跡、入侵者對系統的修改和系統配置的脆弱性。主要檢查入侵者對系統配置文件的修改、被修改的數據、入侵者留下的工具和數據，同時審查系統日志文件，檢查網絡嗅探器程序、網絡上的其它系統和涉及到的或者受到威脅的遠程站點。具體策略首先是重裝操作系統，安裝所有補丁，及時關注系統的升級和補丁信息，取消不必要的服務，只配置系統所需要提供的服務，查閱CERT（計算機緊急響應組）的安全建議和供應商的安全提示。其次是安裝安全工具，啟動日志、檢查、記帳程序，將它們設置到準確的級別，配置防火墻對網絡進行防御，根據權威的安全指南檢查系統的安全性，從而加強系統和網絡的安全。最后，總結教訓，從記錄中總結出這起事故的教訓，有助于檢討自己的安全策略。計算事故的代價，改進安全策略，所做的修改要讓組織內的所有成員都知道，還要讓他們知道修改后對他們的影響。

參 考 文 獻

[1] 郭建波.王建國.組建高效的數字化校園網絡. 信息技術教育. 2004

[2] 李國彬.數字化校園綜合信息網構建之研究[J]. 辦公自動化.2006