校园公共机房为师生提供了教学和应用平台,是教师和学生集中学习和应用信息技术的关键场所,公共机房在提供上网的同时,也遇到网络安全威胁。学生的公共机房应用分为三种类型:单机应用,即与其他电脑之间无数据传输;机房内部电脑联网应用,电脑之间可以相互传输数据;机房内网与外部网络相连并有数据传输。第一类应用不涉及网络安全威胁,第二与第三类应用由于与其他电脑和网络传输数据,在传输正常数据的同时,也存在病毒、木马等程序代码的传播,甚至成为恶意攻击、网络窃听行为的有效途径,影响机房电脑的正常应用,构成校园公共机房安全威胁。
机房建设和维护者通常需要考虑比较多的是机房应用需求,而忽视了网络安全,采取网络硬件隔离、电脑安装还原卡等单项措施,缺乏规范性、广泛适用性的校园公共机房网络安全体系。
南京信息职业技术学院软件学院有公共机房16个,约900台机器。其中201、202机房各105台,其它每个机房约50台机器。网络拓扑结构如图1所示。
图1 软件学院公共机房及校园网网络拓扑结构
位于软件学院的锐捷三层交换机S6806E、校园网核心交换机S6810E、城市热点认证计费系统、防火墙为骨干网络;每个公共机房使用一台H3C E328作为二层交换机,通过多模光纤与软件学院三层交换机S6806E连接。机房内部使用一台E328交换机和一台TPlink交换机连接电脑,E328交换机(24端口)与TPlink交换机之间使用双绞线级联。E328为可配置型交换机, TPlink为不可配置型交换机。
安全需求分析
网络物理连接管理规范化
公共机房使用率高,交换机端口易老化;另外,人为意外造成电脑网线接口松动,经常导致网络物理连接故障。每个机房计算机不多,机房使用配线箱,不使用配线架,直接将连接电脑的网线连接交换机。由于没有跳线表等规范文档,一旦发生物理连接故障,机房维护人员往往需要花费较长时间用于物理线路排错。
控制学生上网行为
目前,公共机房用于不同学科的教学工作。一般情况下,教师的课件、有关学习资料存放在软件学院的服务器上,学生只需访问软件学院服务器即可,通常不需要访问Internet,所以需要制定机房学生上网控制策略,控制学生的上网行为。
防病毒传播
公共机房易染病毒,大量病毒通过机房在校园网迅速传播,预防和清除计算机病毒使机房管理者费时耗力。目前公共机房病毒传播主要通过文件拷贝、文件传送、下载等方式进行,U盘和网络传播成为机房病毒扩散的主要途径。需要控制病毒在公共机房内部传播,保障机房计算机稳定运行。
会话与流量资源的控制
公共机房不仅承担教学任务,还提供学生自主上网,查询资料的服务。学生经常利用BT、电驴、迅雷等P2P软件下载文件,这些软件在下载任务的同时也在上传信息,而且是多任务、多线程。此外,计算机感染木马及病毒,会向外网产生大量连接会话,消耗校园网出口带宽和并发连接会话资源,造成网络出口拥堵。需要研究并设计控制网络流量和会话资源的方案,保障校园网出口数据传输畅通。
追踪机房用户上网行为
公共机房计算机用户不固定,用户上网操作信息难以跟踪和定位。为追踪机房用户使用公共机房计算机在网上发表违法言论,需要制定追踪用户上网行为的安全策略。
将连接电脑与交换机的网线两端做标记,使电脑与交换机端口对应,如图2所示。一旦某台电脑发生物理连接故障,根据对应表可以直接找到接入交换机的线缆及端口。经此规范化管理,可以减少机房维护工作量,提高网络连接故障维护工作效率。
图2 公共机房网络物理连接示意
机房用户上网控制策略
远程管理交换机
由于机房数目较多,为便于对各公共机房上网控制,需要确定管理员能远程登录机房二层交换机,对交换机配置管理。用Vlan 100作为交换机管理Vlan,为方便管理员记忆,使用与房间号对应的交换机管理地址,表1所示为部分示例。
交换机可以通过Telnet、Web和SSH登陆方式进行远程管理。
公共机房二层交换机E328启用SSH远程登陆方式的配置过程(以314机房的交换机为例):
#生成RSA主机密钥对和服务器密钥对
<H3C>system-view
[H3C] rsa local-key-pair create
#指定vlan 100为交换机的管理vlan(默认管理vlan为vlan1),并定义交换机管理地址:
[H3C]vlan 100
[H3C-if]quit
[H3C]interface Vlan-interface 100
[H3C-if]ip address 172.18.1.34 255.255.255.0
[H3C-if]quit
[H3C]management-vlan 100
(责任编辑:闫小琪)
