APP下载

如何构筑教育城域网络安全防线的思考

2019-12-24◆罗

网络安全技术与应用 2019年4期
关键词:城域网IP地址网络安全

◆罗 勇

(台州市黄岩区教育局 浙江 318020)

1 教育城域网特点及问题分析

1.1 用户规模大,群体活跃

我区有70多所公办中小学、幼儿园和100多所民办学校接入教育城域网。公办学校通过 1000M 裸光纤,民办学校通过1000M电信汇聚光纤跟教育局信息中心互联。入网主机数量庞大,上网用户数大。部分学生对网络技术充满好奇,会用网上学到的各种攻击技术进行尝试,可能对网络产生一定的破坏和影响。

1.2 学校网络布线凌乱,缺少合理规划

我区大部分校园网始建于10几年前,随着学校的发展、建设需要,设备不断扩充、改造,原有的网络架构已经面目全非,不能适应目前复杂的应用。严重影响了网络性能和安全,造成网速缓慢,安全、可靠性难以保证。

1.3 网络环境开放,缺乏足够的防护

教育城域网网内用户为教师和学生,因此城域网承担着教育、学习等方方面面的应用,它的特殊性决定了网络环境的开放性,网络出口面临的安全风险是最大的,一旦受到攻击或感染蠕虫病毒,轻则引起网络卡顿,重则导致骨干网瘫痪。

1.4 互联网信息量大,管控难

互联网是极度开放的信息空间,跨地域、跨时空,上面有着丰富的资源但也充斥着大量色情、暴力等危害性极强的信息,学生接收信息能力强,主观分辨能力弱,极易模仿一些不良行为,对孩子造成极大伤害。有些教师在工作之余也存在浏览股票、网上购物等行为,这严重影响着正常的教学秩序。

1.5 非正常资源下载,侵蚀网络带宽

师生为了获取网上资源,往往通过BT、迅雷、P2P等下载软件,而这些软件在结束下载任务后还驻留系统后台,向外发送数据,严重消耗网络带宽,在不影响用户体验的情况下,有效的控流手段势在必行。

1.6 手动设置IP地址,冲突严重

学校视规模大小都有几十甚至几百台电脑。以前网管员会通过手动方式设定 IP地址,但随着管理维护或其他人为原因,时间一长IP地址混乱,造成校园内IP冲突,轻则部分电脑不能上网,如果跟网络核心设备冲突,会造成整个网络瘫痪。

1.7 网管员专业知识缺乏,教师版权意识薄弱

学校网管员大都是从事信息技术教学的教师,没有接受过网络安全方面的专业培训,因此很难具备相应的意识和技术手段。

多数教师版权意识淡薄,会使用一些盗版、试用的软件,这些软件可能携带病毒和恶意代码,具有明显的破坏性。

2 完善教育城域网网络安全的几点建议

2.1 三层骨干架构、校间网络隔离

我区早期教育城域网骨干架构为二层三层混合模式,部分学校跟局信息中心二层对接。运行一段时间后出现学校获取局DHCP服务器异常,通过Ping 局核心网关,发现网络延时严重,甚至出现丢包现象。经过各方面排查始终找不到问题点,困惑了很长一段时间。到学校实地排查后,最终发现是一个办公室的小交换机出问题,一拔掉网线骨干网恢复正常。这个学校当时是二层接入局核心交换机,分析原因可能是交换机故障向外发送异常广播数据包,导致数据包透传到核心交换机,影响整个骨干网。如果当时该学校采用三层交换路由方式对接,校内的异常数据包就不会广播到局核心交换机,因为能够避免此类问题的发生。后来对全区二层接入的学校进行了三层网络改造。至今没有发生类似情况,网络正常运行。

为保障学校间数据安全,避免因病毒或人为攻击造成的影响,在局核心层和学校汇聚层交换机上做ACL访问控制列表,使学校之间不能数据互访。如2018年爆发的“勒索病毒”利用TCP 445、135、138、139端口进行攻击,通过配置ACL策略,阻断这些敏感端口的数据包,防止病毒蔓延。假如此时病毒已经进入城域网内或由师生通过物理介质带入网内,也使其只能在某个学校内部传播,而不会在城域网内大范围扩散。

2.2 合理规划VLAN,特殊应用间链路物理隔离

目前 IP地址资源紧缺,科学规划,合理分配是网络设计的重要环节。学校根据局分配的IP地址段,切合自身实际,进行校内VLAN划分,实现不同网段的逻辑隔离,抑制广播风暴。

校园无线网、视频监控网,跟教学办公网脱离,进行物理链路独立组网,对一些内部应用如门禁系统等要求不接入城域网。通过此种方式做到办公、教学、应用互不影响,也减少因个别终端的安全问题影响整个校园网络。

2.3 安全防护设备联动、取长补短

教育城域网的建立,对教育起到了很好的辅助作用,但与此同时网络安全问题也变得越发突出。一般的城域网络都具备网络安全措施,但大多数安全设备都属于静态安全技术范畴,如防火墙。在这种情况下,入侵检测系统应运而生。它属于动态安全技术,能够弥补防火墙的缺陷,除了能够检测来自外网的入侵,也能检测内网不被允许的动作行为。

2.4 管控黄、赌、毒网站,实行身份认证

当前网络安全形势非常严峻,上级安全部门对网络安全有严格的要求。按照要求我区积极开展相应的工作。在信息中心部署了行为审计、身份认证系统。对一些涉及黄、赌、毒等的不良网站进行过滤阻断,对师生上网日志进行记录,当出现网络安全事故做到有据可查。

同时启用了有线、无线用户实名身份认证系统,并且跟浙江省师训平台进行对接,共享教师账号信息。这样不仅减少了学校网管员管理教师账号的工作量,而且有效防止教师随意泄露无线账号的风险。

目前我区无线城域网已经建成,在无线体验上,为免去教师跨学校要重新登录的麻烦,部署了无感知认证系统,登录后在全区任何学校都无须重新认证。

2.5 点、面结合,多管齐下,优化网络带宽

网内用户资源下载量非常大,而城域网出口带宽毕竟有限。有些非正常带宽是因为教师使用软件不当造成的无谓浪费,如迅雷、BT、视频播放器等。这些软件在默认退出时会驻留内存,向外网继续分享数据,作为普通教师根本毫无察觉。当网内存在众多此类情况时,累计的网络流量是巨大的,严重侵占带宽资源。

对此,我区采用以下几种方式进行带宽优化:

(1)借校本培训机会,指导教师进行此类软件的使用,强调下载、浏览完资源后及时关闭软件,并传授通过软件设置及手动退出后台进程的方法。

(2)在局信息中心部署流控设备,根据实际情况限制单IP的下载上传速率。

(3)在局信息中心部署内容缓存设备,当多个用户下载相同资源时,这个资源会缓存到本地设备中,接下来的用户会直接从本地下载此资源,节省出口带宽。

2.6 使用DHCP服务,避免地址冲突,减轻网管员维护量

随着信息技术的应用普及,学校内部的计算机数量极速增加,少则几十台,多的几百台,手动分配 IP地址的方式已经无法满足需求。特别是由于管理维护或其他人为原因经常会造成 IP地址冲突现象,DHCP技术是解决问题的有效方式。

每个学校单独设立DHCP服务器不仅增加设备投入,而且增加网管员维护量。我区采取的做法是在局信息中心设立两台DHCP服务器,一主一副,相互冗余备份,在各学校汇聚层交换机做DHCP中继。考虑到学校各网段内有固定设备如打印机等,在DHCP配置中排除前10位地址供此类设备手工指定使用。

2.7 增强网管员安全管理技能,提高教师日常应用水平

学校网管员是落实网络安全的主力军,提升网管员的安全意识,是落实网络安全的根本保障。教师是最终使用者,他们不具备深层次的安全技能,但要有适当的制约,有责任去维护好自身计算机的安全。网管员通过定期开展校本培训,以服务教学为核心思想和宗旨,对校内教师进行简单实用的使用指导。

3 结束语

综上所述,当今时代教育城域网为我国的教育教学提供非常便利的使用条件,同时还为教师学生提供了信息化教学和学习的保障,本文结合自身在教育城域网中担任网管的相关工作经验,对城域网的使用和管理进行了深度的分析和总结、思考,希望通过本文可以为从事教育城域网管理的同行提供一些参考依据。

猜你喜欢

城域网IP地址网络安全
IP城域网/智能城域网BGP收敛震荡的分析方法
新量子通信线路保障网络安全
上网时如何注意网络安全?
100G波分技术在城域网中的应用研究
城域网的特征与技术方案选择
网络重构2016:联合创新跑出先发优势
公安网络中IP地址智能管理的研究与思考
网络安全监测数据分析——2015年11月
《IP地址及其管理》教学设计
我国拟制定网络安全法