论文部分内容阅读
【摘 要】校园网是教育环境下的局域网,它是以承载教育教学信息为主的服务教师、学生为主的高专业性网络。多年来的校园网络建设为教育事业的发展做了巨大贡献,但是由于使用及管理人员的非专业型,使得网络环境日益恶化。如何使校园网络发挥高效性、安全性、易管理性就越来越凸现出来,合理的硬件建设和网络管理模式日渐重要。
【关键字】教育网;校园网;网络行为;网络安全
教育城域网是通过光纤骨干网连接区域内各校园网的传输网络,它以网络技术为依托,以各种信息设施为支持,以教育软件和资源为基础,以实现现代化教育和管理为目的,为区域教育提供全方位信息化应用服务。
沈阳市教育城域网始建于2001年,由市电教馆做教育城域网骨干网建设,建设网络信息中心,向上通过教育网、联通、电信等出口与互联网联通。向下通过光纤连接各区域二级站,再经由二级站连接各校校园网。整个城域网的路由、网络安全、信息安全、带宽控制等都由市一级网络中心负责,下属学校只要通过光纤转发器连接网络接口,无需任何设置就可以使用教育城域网以及互联网资源。
教育城域网建成以来,极大地方便了一线基层教师对网络的需求,同时也减轻了基层网管的压力,享受了高速互联带给教育的便利,促进了教育信息化的发展。但是,随着新媒体新技术的不断涌现,以及业务流量的不断增加,这种集中管控的网络管理模式越来越显示出他的局限性。
目前,建设模式原始简单。校园网内各个网络终端通过交换机连接在一起,然后直接通过光纤转发器连接教育城域网。这种原始的校园网模式建设,以最小的建设成本,实现了学校的互联互通。但是由于没有任何安全管理与网络管理造成了很大的安全隐患,同时导致网络效率明显下降。
近年来,基层学校老师上网经常感到网速很慢,可实际上经过市里的监控发现网络带宽的80%是无用的垃圾流量和跑p2p流量。由于校园网没有网络管理措施,病毒可以长驱直入,危害校园网络,同时在校园网内和网间泛滥。
那么,我们需要什么样的校园网呢?
根据学校规模大小,网络拓扑使用核心交换机、汇聚交换机、接入交换机三层结构。学校可以根据不同形式划分区域,比如规模小的学校划分出教室区、教师办公区、计算机机房等区域;多教学楼的,可以根据不同的楼宇情况划分区域;也可以通过楼层的方式划分区域等。每个区域通过接入交换机连接,然后上连入该区域的汇聚交换机。各个区域根据距离远近或数据量的大小通过光缆或网线连接进入核心交换机。特别注意的是,涉及跨楼连接,户外布线的,必须使用光缆进行连接,以防止雷电对网络设备的破坏。
另外,很多学校在安防上使用网络监控摄像头,通过网络连接至监控主机,做到网通监控通,同时管理人员可以在任意网络位置查看监控。这种监控模式理论上,将网络摄像头插入任意网络节点就可以实现监控。但是,在实际操作中必须要做到监控网络和信息网络分开。即监控系统必须单独布线,使用独立的交换机。在双网融合对接上,使用线缆在双网各自核心层上连接在一起,只有在信息网络调用监控视频的时候,才会有部分数据进入信息网络。这样做可以保证双网相对独立,避免信息网络发生广播风暴,或大数据量访问时对监控网进行冲击,保证监控质量实时稳定。同时监控网网络实时传输的大视频流量不会占用信息网络带宽,保证信息网络畅通。
在电源管理上,因为学校停电往往是整个学校整体断电,停电时所有计算机都无法工作,信息网络也没有保持畅通的必要。所以学校在做好电涌保护的前提下,只需给监控网络提供ups后备供电即可,有服务器的学校,为服务器配备能保证15-30分钟,保证正常关机的单机ups就可以了。整个信息网络无需配置后备电源,可以节省这部分资金投入。
在物理硬件架构确定后,要对网络设备进行合理的设置,优化网络性能。这一步也是很多学校容易忽视的地方。在不同的区域链路来源,在核心层交换机和汇聚层交换机上设置不同的VLAN,将监控服务、应用服务器、以及不同区域的计算机隔离成一个个小的网络有效的抑制广播风暴的产生,又能通过三层交换的路由功能实现互联,达到优化网络的目的。
在核心交换之上,还需要实现路由功能、入侵防御、行为管理、流量控制、网络审计等功能。以往,我们都是通过路由器或者防火墙,网络行为管理系统,审计设备等多个设备实现以上功能。而近年很火的下一代防火墙,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。这种单一设备就可以满足中小学网络规模的安全需求,在价格上也比单一功能设备组合有很大优势,是解决中小规模网络安全及管理的理想设备。
在网络及安全管理上,校园网应该做好以下部署:
一、做好网络路由,实现的网络畅通。必要时使用地址转换,实现外部网络对内网服务器的访问。同时做好入侵防御和攻击防范工作。
二、做好网络行为管理,可以依据教师和学生网络需求,制定不同的策略,对不同网络软件进行控制。屏蔽与教育教学无关的软件和应用,如网络游戏、金融软件、P2P下载、电影、涉黄涉暴等信息。
三、做好流量管理工作,可以根据教育教学的业务数据类型,划分出关键业务、一般业务、抑制业务等。按照不用的优先级排列,在带宽不足时保证关键业务带宽,限制抑制业务数据,以保证正常的教育教学工作的开展。
四、做好日常网络审计工作,通过设备的审计日志或报表,查看遭攻击情况、异常连接用户详情等信息。查询DoS攻击,Web攻击,IPS,病毒,僵尸网络,网站访问,应用控制,用户登录/注销,系统操作日志等。
通过以上的优化和部署,校园网就会在一个可控可知的范围内运行,提高网络性能,给学生一个绿色的网络环境,同时保证教育信息化的健康稳步的发展。
【关键字】教育网;校园网;网络行为;网络安全
教育城域网是通过光纤骨干网连接区域内各校园网的传输网络,它以网络技术为依托,以各种信息设施为支持,以教育软件和资源为基础,以实现现代化教育和管理为目的,为区域教育提供全方位信息化应用服务。
沈阳市教育城域网始建于2001年,由市电教馆做教育城域网骨干网建设,建设网络信息中心,向上通过教育网、联通、电信等出口与互联网联通。向下通过光纤连接各区域二级站,再经由二级站连接各校校园网。整个城域网的路由、网络安全、信息安全、带宽控制等都由市一级网络中心负责,下属学校只要通过光纤转发器连接网络接口,无需任何设置就可以使用教育城域网以及互联网资源。
教育城域网建成以来,极大地方便了一线基层教师对网络的需求,同时也减轻了基层网管的压力,享受了高速互联带给教育的便利,促进了教育信息化的发展。但是,随着新媒体新技术的不断涌现,以及业务流量的不断增加,这种集中管控的网络管理模式越来越显示出他的局限性。
目前,建设模式原始简单。校园网内各个网络终端通过交换机连接在一起,然后直接通过光纤转发器连接教育城域网。这种原始的校园网模式建设,以最小的建设成本,实现了学校的互联互通。但是由于没有任何安全管理与网络管理造成了很大的安全隐患,同时导致网络效率明显下降。
近年来,基层学校老师上网经常感到网速很慢,可实际上经过市里的监控发现网络带宽的80%是无用的垃圾流量和跑p2p流量。由于校园网没有网络管理措施,病毒可以长驱直入,危害校园网络,同时在校园网内和网间泛滥。
那么,我们需要什么样的校园网呢?
根据学校规模大小,网络拓扑使用核心交换机、汇聚交换机、接入交换机三层结构。学校可以根据不同形式划分区域,比如规模小的学校划分出教室区、教师办公区、计算机机房等区域;多教学楼的,可以根据不同的楼宇情况划分区域;也可以通过楼层的方式划分区域等。每个区域通过接入交换机连接,然后上连入该区域的汇聚交换机。各个区域根据距离远近或数据量的大小通过光缆或网线连接进入核心交换机。特别注意的是,涉及跨楼连接,户外布线的,必须使用光缆进行连接,以防止雷电对网络设备的破坏。
另外,很多学校在安防上使用网络监控摄像头,通过网络连接至监控主机,做到网通监控通,同时管理人员可以在任意网络位置查看监控。这种监控模式理论上,将网络摄像头插入任意网络节点就可以实现监控。但是,在实际操作中必须要做到监控网络和信息网络分开。即监控系统必须单独布线,使用独立的交换机。在双网融合对接上,使用线缆在双网各自核心层上连接在一起,只有在信息网络调用监控视频的时候,才会有部分数据进入信息网络。这样做可以保证双网相对独立,避免信息网络发生广播风暴,或大数据量访问时对监控网进行冲击,保证监控质量实时稳定。同时监控网网络实时传输的大视频流量不会占用信息网络带宽,保证信息网络畅通。
在电源管理上,因为学校停电往往是整个学校整体断电,停电时所有计算机都无法工作,信息网络也没有保持畅通的必要。所以学校在做好电涌保护的前提下,只需给监控网络提供ups后备供电即可,有服务器的学校,为服务器配备能保证15-30分钟,保证正常关机的单机ups就可以了。整个信息网络无需配置后备电源,可以节省这部分资金投入。
在物理硬件架构确定后,要对网络设备进行合理的设置,优化网络性能。这一步也是很多学校容易忽视的地方。在不同的区域链路来源,在核心层交换机和汇聚层交换机上设置不同的VLAN,将监控服务、应用服务器、以及不同区域的计算机隔离成一个个小的网络有效的抑制广播风暴的产生,又能通过三层交换的路由功能实现互联,达到优化网络的目的。
在核心交换之上,还需要实现路由功能、入侵防御、行为管理、流量控制、网络审计等功能。以往,我们都是通过路由器或者防火墙,网络行为管理系统,审计设备等多个设备实现以上功能。而近年很火的下一代防火墙,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。这种单一设备就可以满足中小学网络规模的安全需求,在价格上也比单一功能设备组合有很大优势,是解决中小规模网络安全及管理的理想设备。
在网络及安全管理上,校园网应该做好以下部署:
一、做好网络路由,实现的网络畅通。必要时使用地址转换,实现外部网络对内网服务器的访问。同时做好入侵防御和攻击防范工作。
二、做好网络行为管理,可以依据教师和学生网络需求,制定不同的策略,对不同网络软件进行控制。屏蔽与教育教学无关的软件和应用,如网络游戏、金融软件、P2P下载、电影、涉黄涉暴等信息。
三、做好流量管理工作,可以根据教育教学的业务数据类型,划分出关键业务、一般业务、抑制业务等。按照不用的优先级排列,在带宽不足时保证关键业务带宽,限制抑制业务数据,以保证正常的教育教学工作的开展。
四、做好日常网络审计工作,通过设备的审计日志或报表,查看遭攻击情况、异常连接用户详情等信息。查询DoS攻击,Web攻击,IPS,病毒,僵尸网络,网站访问,应用控制,用户登录/注销,系统操作日志等。
通过以上的优化和部署,校园网就会在一个可控可知的范围内运行,提高网络性能,给学生一个绿色的网络环境,同时保证教育信息化的健康稳步的发展。