作者：王伟林 王迪 　
　　校园公共机房为师生提供了教学和应用平台，是教师和学生集中学习和应用信息技术的关键场所，公共机房在提供上网的同时，也遇到网络安全威胁。学生的公共机房应用分为三种类型：单机应用，即与其他电脑之间无数据传输；机房内部电脑联网应用，电脑之间可以相互传输数据；机房内网与外部网络相连并有数据传输。第一类应用不涉及网络安全威胁，第二与第三类应用由于与其他电脑和网络传输数据，在传输正常数据的同时，也存在病毒、木马等程序代码的传播，甚至成为恶意攻击、网络窃听行为的有效途径，影响机房电脑的正常应用，构成校园公共机房安全威胁。

　　机房建设和维护者通常需要考虑比较多的是机房应用需求，而忽视了网络安全，采取网络硬件隔离、电脑安装还原卡等单项措施，缺乏规范性、广泛适用性的校园公共机房网络安全体系。

　　网络安全方案

　　南京信息职业技术学院软件学院有公共机房16个，约900台机器。其中201、202机房各105台，其它每个机房约50台机器。网络拓扑结构如图1所示。

图1 软件学院公共机房及校园网网络拓扑结构

　　位于软件学院的锐捷三层交换机S6806E、校园网核心交换机S6810E、城市热点认证计费系统、防火墙为骨干网络；每个公共机房使用一台H3C E328作为二层交换机，通过多模光纤与软件学院三层交换机S6806E连接。机房内部使用一台E328交换机和一台TPlink交换机连接电脑，E328交换机(24端口)与TPlink交换机之间使用双绞线级联。E328为可配置型交换机， TPlink为不可配置型交换机。

　　安全需求分析

　　网络物理连接管理规范化

　　公共机房使用率高，交换机端口易老化；另外，人为意外造成电脑网线接口松动，经常导致网络物理连接故障。每个机房计算机不多，机房使用配线箱，不使用配线架，直接将连接电脑的网线连接交换机。由于没有跳线表等规范文档，一旦发生物理连接故障，机房维护人员往往需要花费较长时间用于物理线路排错。

　　控制学生上网行为

　　目前，公共机房用于不同学科的教学工作。一般情况下，教师的课件、有关学习资料存放在软件学院的服务器上，学生只需访问软件学院服务器即可，通常不需要访问Internet，所以需要制定机房学生上网控制策略，控制学生的上网行为。

　　防病毒传播

　　公共机房易染病毒，大量病毒通过机房在校园网迅速传播，预防和清除计算机病毒使机房管理者费时耗力。目前公共机房病毒传播主要通过文件拷贝、文件传送、下载等方式进行，U盘和网络传播成为机房病毒扩散的主要途径。需要控制病毒在公共机房内部传播，保障机房计算机稳定运行。

　　会话与流量资源的控制

　　公共机房不仅承担教学任务，还提供学生自主上网，查询资料的服务。学生经常利用BT、电驴、迅雷等P2P软件下载文件，这些软件在下载任务的同时也在上传信息，而且是多任务、多线程。此外，计算机感染木马及病毒，会向外网产生大量连接会话，消耗校园网出口带宽和并发连接会话资源，造成网络出口拥堵。需要研究并设计控制网络流量和会话资源的方案，保障校园网出口数据传输畅通。

　　追踪机房用户上网行为

　　公共机房计算机用户不固定，用户上网操作信息难以跟踪和定位。为追踪机房用户使用公共机房计算机在网上发表违法言论，需要制定追踪用户上网行为的安全策略。

机房网络安全策略

　　将连接电脑与交换机的网线两端做标记，使电脑与交换机端口对应，如图2所示。一旦某台电脑发生物理连接故障，根据对应表可以直接找到接入交换机的线缆及端口。经此规范化管理，可以减少机房维护工作量，提高网络连接故障维护工作效率。

图2 公共机房网络物理连接示意

　　机房用户上网控制策略

　　远程管理交换机

　　由于机房数目较多，为便于对各公共机房上网控制，需要确定管理员能远程登录机房二层交换机，对交换机配置管理。用Vlan 100作为交换机管理Vlan，为方便管理员记忆，使用与房间号对应的交换机管理地址，表1所示为部分示例。

　　交换机可以通过Telnet、Web和SSH登陆方式进行远程管理。

　　公共机房二层交换机E328启用SSH远程登陆方式的配置过程(以314机房的交换机为例)：

　　#生成RSA主机密钥对和服务器密钥对
　　system-view
　　[H3C] rsa local-key-pair create
　　#指定vlan 100为交换机的管理vlan(默认管理vlan为vlan1)，并定义交换机管理地址：
　　[H3C]vlan 100
　　[H3C-if]quit
　　[H3C]interface Vlan-interface 100
　　[H3C-if]ip address 172.18.1.34 255.255.255.0
　　[H3C-if]quit
　　[H3C]management-vlan 100

　　设置用户登录认证方式

　　[H3C] user-interface vty 0 4
　　[H3C-ui-vty0-4] authentication-mode scheme
　　# 设置用户接口上支持SSH 协议。
　　[H3C-ui-vty0-4] protocol inbound ssh
　　[H3C-ui-vty0-4] quit
　　# 指定用户admin 的登录协议为SSH，设计登陆密码，并指定访问的命令级别为3。
　　[H3C]local-user admin
　　[H3C-luser-admin]password cipher 4>KVP>Y*QBKQ=^Q`MAF4<1!!
　　[H3C-luser-admin] service-type ssh level 3
　　[H3C-luser-admin] quit
　　[H3C] ssh user admin authentication-type password

　　管理员完成以上配置，就可以在与交换机连接的终端上，运行支持SSH2.0 的客户端软件(SecureCRT)，以用户名admin和设置的密码登陆，远程管理交换机。

　　管理机房上网行为

　　公共机房的IP地址段为：172.18.0.0/16。软件学院的服务器IP地址属于222.192.238.0/24地址段内，用于师生上传和下载学习资料。公共机房用户上网策略为：默认机房用户可以连接Internet，如果中断连接Internet，则机房用户只能访问软件学院服务器。

　　在二层交换机上，使用ACL访问控制列表，对机房用户上网控制。交换机配置如下：

　　#定义扩展的访问控制列表
　　[H3C]acl number 3000
　　！允许机房用户访问服务器网段，过滤访问其他网络的数据
　　[H3C-acl]rule 0 deny ip
　　[H3C-acl]rule 1 permit ip destination 222.192.238.0 0.0.0.255

　　如果机房用户需要访问Internet，不需要使用该ACL。如果只允许该机房用户访问软件学院的服务器，禁止访问其他网络，在E328交换机级连光纤端口(GigabitEthernet1/1/1)上，应用定义的ACL访问策略，方向为outbound。配置如下：

　　[H3C]interface GigabitEthernet1/1/1
　　[H3C-if]packet-filter outbound ip-group 3000 rule 0
　　[H3C-if]packet-filter outbound ip-group 3000 rule 1

防病毒策略

　　划分VLAN缩小病毒广播域

　　计算机病毒一般会通过在内网广播的方式进行传播。通过对软件学院公共机房机器的IP地址段(172.18.0.0/16)做进一步的子网划分，设计每个机房使用一个24位掩码的地址段，如表2所示，为方便物理连接维护，记录每个机房二层交换机所连接的科技楼三层交换机的光纤端口。这样通过广播方式传播的病毒只会在Vlan内部，即机房内部传播，大大降低了病毒感染其他机房机器的可能性。

 

　　过滤病毒传播使用的端口

　　通过在机房二层交换机E328上应用ACL，过滤病毒传播所使用的端口，这些端口主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口)，以及远程服务访问端口3389。

　　公共机房ARP病毒防范

　　在机房主机上安装360安全卫士，开启360安全卫士ARP防火墙功能，将网关的IP与MAC地址进行手动绑定，选择“手动指定网关/DNS”，在“ARP主动防御”中选择“始终启用”。

　　防止用户U 盘病毒的传播

　　关闭U盘(包括其他设备)自动播放的功能。电脑设置成自动播放功能，但是自动播放还是有缺点的，有些病毒藏在U盘里会通过自动播放运行使电脑中毒。关闭“自动播放”的方法：选择“开始”—“运行”—输入gpedit.msc，在“用户配置”—“管理模板”—“系统”选择“关闭自动播放”，然后选择“已启用”，点击“确定”。

　　开启360杀毒软件自动扫描U盘功能。确保360安全卫士“实时防护”—“U盘防火墙”功能处于“开启”状态。

　　使用系统还原卡保护主机系统

　　还原卡的基本工作原理：把硬盘(或网络上另一部电脑)的其中一部分分割出来，用以备份硬盘的重要资料(例：操作系统、应用程序等)，以便随时可以还原。还原卡不会对硬盘资料进行备份，只是记录硬盘的读写操作。当用户设定还原点以后，不管在操作系统上安装上新的程序还是删除文件，都记录在还原点之外，不会影响原有的硬盘资料，当需要还原时，还原卡根据记录，把还原点内的资料恢复，并删除还原点以外的资料。

会话控制与带宽管理策略

　　会话数控制

　　使用校园网出口防火墙，通过单用户会话和流量控制功能进行相关管理。通过应用防火墙设置新建连接阀值，可以对网络中每个用户会话连接数进行控制，当阀值被触动后，动态地将非法用户添加到黑名单，直接将非法用户连接阻断，并且可以灵活的设置控制黑名单的有效时间。通过单用户会话数限制，可以做到：当校园网内机器病毒爆发时，阻止大量数据包对外建立连接，耗费网络资源；阻止黑客对网络的扫描；阻止黑客进行DDOS攻击。

　　带宽管理

　　目前很多学校都使用城市热点认证计费管理系统，为减轻防火墙负担，运用城市热点认证计费系统的带宽管理功能。在管理工具“计费策略”—“服务策略设置”定义科技楼公共机房单用户下行带宽与上行带宽的数值。

　　上网行为记录管理

　　通常，学校会使用城市热点认证计费系统中的“专线”方式让公共机房用户不需要登录即可免费上网，这样虽然达到免费上网目的，但是在上网日志中只能根据IP地址记录登录和上网情况，由于IP地址可以更改，所以这种方法不能实现实名制上网需求。

　　为了使公共机房用户也需要采用实名制上网，使用城市热点认证计费系统对机房用户不采取“专线”上网方式，仍然需要用户进行上网认证。使用“源地址资源策略”对机房用户免费，如图3所示，在管理工具“计费策略”-“源地址资源策略”中，定义策略组“ruanjianxueyuan”，将软件学院公共机房IP地址段(172.18.0.1—172.18.254.254)输入到“源地址清单中，并将“时长折扣”设置为0%。这样机房用户虽然需要登录，但认证计费系统在做计费的时候，上网时长始终为0，以达到免费上网目的。

图3 源地址资源策略定义

　　自公共机房网络安全方案在软件学院实施以来，通过规范化的机房网络运行管理，减少了软件学院公共机房维护人员工作量，机房病毒、木马爆发次数明显减小，机房网络运行稳定，为公共机房的正常运转提供了有力保障，将公共机房网络安全威胁降低至较低水平。

　　在今后的工作中，还需要在以下两方面继续努力：首先，机房网络安全策略进一步细化。随着机房发展规模扩大，服务功能多样化，网络服务对象将更加丰富，需要定义更细致的安全策略。其次随着网络迅速发展，木马和病毒种类将不断增多，针对不断遇到的安全新问题，及时更新网络安全策略。

　　(作者单位为南京信息职业技术学院)