安全網(wǎng)關(guān)在校園網(wǎng)絡(luò)中的應(yīng)用

任艷芳

【摘要】 近年來，黑客的攻擊目標(biāo)越來越多的從個人目標(biāo)轉(zhuǎn)向銀行、證券、政府單位等網(wǎng)站，校園網(wǎng)絡(luò)承擔(dān)信息發(fā)布的功能，也是教育教學(xué)工作的重要工具，提高校園網(wǎng)絡(luò)的安全成為重要任務(wù)，本文論述了校園網(wǎng)絡(luò)易出現(xiàn)的問題，以及安全網(wǎng)關(guān)如何解決這些問題，并根據(jù)我校實(shí)際情況，分析安全網(wǎng)關(guān)如何配置。

【關(guān)鍵詞】 安全網(wǎng)關(guān) 校園網(wǎng)絡(luò)

根據(jù)《2013年中國網(wǎng)絡(luò)安全報(bào)告》，2013年全年，被黑客攻破利用的網(wǎng)站20.3萬個，這些網(wǎng)站被黑客攻破獲取到web站點(diǎn)控制權(quán)限后，在網(wǎng)站負(fù)責(zé)人毫不知情的情況下，黑客就會在該網(wǎng)站上放置釣魚欺詐的內(nèi)容或在該網(wǎng)站上傳播釣魚欺詐的鏈接。

而《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2014年）》中指出，2013年，教育機(jī)構(gòu)類網(wǎng)站被篡改的比例占全部網(wǎng)站的0.4%，以植入暗鏈方式被攻擊的比例大幅上升。

校園網(wǎng)絡(luò)承擔(dān)學(xué)校消息發(fā)布的任務(wù)，以我校為例，學(xué)校的通知、文件、學(xué)生成績管理系統(tǒng)、教務(wù)管理系統(tǒng)等等都是在發(fā)布在校園網(wǎng)主頁上，容易被植入后門，盜取資料。

保障校園網(wǎng)絡(luò)安全，目前比較流行的管理工具是安全網(wǎng)關(guān)，也稱為上網(wǎng)行為管理，是一種管理設(shè)備，它包括硬件及軟件，主要通過對訪問者的身份認(rèn)證、網(wǎng)頁過濾、訪問控制、流量管理、上網(wǎng)行為記錄、報(bào)表統(tǒng)計(jì)和安全防護(hù)功能，從而實(shí)現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理。

安全網(wǎng)關(guān)在使用上比硬件防火墻和軟件安全網(wǎng)關(guān)更有優(yōu)勢，具體表現(xiàn)在：1.安全網(wǎng)關(guān)可以有多種接入模式：網(wǎng)橋、路由及旁路模式等；2.安全網(wǎng)關(guān)可以提供反垃圾郵件、病毒防火、機(jī)密信息過濾等功能；

在校園網(wǎng)絡(luò)里配置安全網(wǎng)關(guān)，可以實(shí)現(xiàn)下列功能：

1.利用“安全桌面”技術(shù)，使病毒只存在虛擬的桌面，不會感染本機(jī)，退出安全桌面后，所做修改全部還原；2.通過建立“黑白名單”實(shí)現(xiàn)對訪問網(wǎng)址的控制，禁止訪問不安全、不健康的網(wǎng)站，維護(hù)信息安全；3.“分權(quán)管理”，學(xué)生組在規(guī)定時間內(nèi)禁止觀看視頻、網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天、網(wǎng)上購物等，既可以規(guī)范學(xué)生行為，提高教學(xué)質(zhì)量，又可以保障帶寬，減少不必要的帶寬擁堵；4.利用”緩存加速“功能，緩存網(wǎng)頁和視頻，削減冗余流量；5.利用防火墻和網(wǎng)關(guān)殺毒，提高網(wǎng)絡(luò)安全；6.網(wǎng)絡(luò)數(shù)據(jù)中心對上網(wǎng)行為和帶寬利用情況進(jìn)行分析，統(tǒng)計(jì)網(wǎng)絡(luò)訪問趨勢，數(shù)據(jù)中心會保留用戶上網(wǎng)記錄，必要時可作為法律舉證的重要依據(jù)；

下面將根據(jù)我校實(shí)際情況，分析使用安全網(wǎng)關(guān)的配置。

1.我校目前網(wǎng)絡(luò)分布情況：我校目前使用的是千兆校園網(wǎng)，根據(jù)學(xué)部劃分，四個學(xué)部（機(jī)械部、信息部、電氣部、財(cái)經(jīng)部）在各自的辦公場室辦公及教學(xué)，公共課在四棟教學(xué)樓上課，圖書館、飯?zhí)煤腕w育組各設(shè)一個接入點(diǎn)，供上網(wǎng)需要。2.網(wǎng)絡(luò)資源使用情況：所有辦公電腦都要求可以上網(wǎng)，且上班時間要保證一定的帶寬；教學(xué)場室電腦根據(jù)教學(xué)需要決定是否開放上網(wǎng)；3.安全網(wǎng)關(guān)要實(shí)現(xiàn)以下功能：

①根據(jù)IP劃分用戶組，分為公共課教師組、專業(yè)課教師組、行政組、圖書館、飯?zhí)谩W(xué)生等，并將除學(xué)生組外其他用戶的IP地址與物理網(wǎng)卡進(jìn)行綁定；②建立身份認(rèn)證體系，具體操作即給每位老師及學(xué)生分配固定賬號，通過安全桌面使用賬號和密碼才能上網(wǎng)；③優(yōu)化帶寬資源：實(shí)訓(xùn)場室內(nèi)電腦只有向網(wǎng)絡(luò)管理員申請后才允許開放網(wǎng)絡(luò)，上網(wǎng)的時候不允許P2P下載、網(wǎng)絡(luò)聊天或是網(wǎng)上購物；④控制瀏覽的網(wǎng)頁范圍：在局域網(wǎng)中的用戶瀏覽網(wǎng)頁時，安全網(wǎng)關(guān)通過聯(lián)動式分析，并根據(jù)安全網(wǎng)關(guān)默認(rèn)的設(shè)置、網(wǎng)絡(luò)管理員自定義的過濾規(guī)則對用戶需要訪問的網(wǎng)頁進(jìn)行過濾；⑤控制其他的網(wǎng)絡(luò)應(yīng)用： 安全網(wǎng)關(guān)的深度內(nèi)容檢測已經(jīng)自帶了眾多應(yīng)用程序的數(shù)據(jù)特征文件，如網(wǎng)絡(luò)游戲、在線炒股等，可以允許或者拒絕內(nèi)網(wǎng)用戶訪問特定的網(wǎng)絡(luò)服務(wù)；⑥通過建立網(wǎng)絡(luò)準(zhǔn)入規(guī)則（NAR）實(shí)現(xiàn)對網(wǎng)絡(luò)訪問的控制，更好維護(hù)網(wǎng)絡(luò)安全防線：內(nèi)網(wǎng)計(jì)算機(jī)狀態(tài)不符合動態(tài)分發(fā)準(zhǔn)入代理（ SIA）的規(guī)則設(shè)置時，安全網(wǎng)關(guān)將執(zhí)行相應(yīng)的策略；⑦建立數(shù)據(jù)中心，了解網(wǎng)絡(luò)行為：安全網(wǎng)關(guān)自帶的數(shù)據(jù)中心存儲容量有限，通過外置數(shù)據(jù)中心，保存90天以上數(shù)據(jù)備查；⑧根據(jù)校園網(wǎng)實(shí)際情況，安全網(wǎng)關(guān)采用網(wǎng)橋模式，對內(nèi)網(wǎng)完全監(jiān)控、控制和管理，不改變內(nèi)網(wǎng)用戶的IP劃分，具體分配如下：中心機(jī)房使用一臺標(biāo)配1000M電口，1000M光口的安全網(wǎng)關(guān)，學(xué)部大樓、公共教學(xué)樓各使用一臺標(biāo)配100M/1000M電口的安全網(wǎng)關(guān)，圖書館、飯?zhí)?、體育組各使用一臺標(biāo)配100M電口安全網(wǎng)關(guān)。部署方式：安全網(wǎng)關(guān)的WAN口同局域網(wǎng)的網(wǎng)關(guān)相連，LAN口（DMZ口）同局域網(wǎng)交換機(jī)連接。

通過以上分析，可以看出，通過使用安全網(wǎng)關(guān)，提高了校園網(wǎng)絡(luò)的可防、可控、可維護(hù)，保障了校園網(wǎng)絡(luò)的安全，是高效可行的管理設(shè)備。

參考文獻(xiàn)

[1]《2013年中國網(wǎng)絡(luò)安全報(bào)告》

[2]《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告（2014年）》

[3]深信服AC手冊