分布式的网络安全部署在教育城域网中的应用

随着网络的普及和发展，我国的教育系统网络建设也进入了一个高速发展的阶段，但是由于种种原因，还存在着一些问题，主要有：

◆技术人员缺乏。在教育城域网中，特别是学校校园网络的管理中，计算机核心技术的管理人员相对缺乏。由于病毒或网络风暴的影响，学校网络边界安全部署及相关策略设置不合理，造成教育城域网主干流量普遍偏高、速度偏慢现象严重。

◆安全漏洞定位困难。学校终端用户数量大，病毒感染的几率高，学校网络中心对病毒暴发源缺乏有效的探测与定位，终端病毒感染与传播速度快，加上各类多线程或P2P的应用软件无限制使用，造成学校网络出口严重阻塞，学校网络带宽使用率低。

◆监控机制不完善。学校上网高峰期集中，师生上网行为复杂，监控机制不完善，造成城域网中心与学校网络中心对师生上网行为安全的监管及时性不够，不良信息的传播很难得到有效的监控与防范。

安全需求

需要对教育城域网接入学校边界进行统一的监管：学校分散面广，接入Internet的类型不可控制，学校网络管理员力量薄弱，使得安全隐患大，安全策略定制合理性不强。独立的边界防火墙在学校网络中的部署不能达到预期安全防范的效果，因此采用分布式的学校边界安全部署，可以充分发挥教育城域网络管理人员的技术优势来对学校边界安全进行管理，有效控制教育城域网的主干安全与校园网内部的安全防范需求。

需要对师生上网行为进行统一的、有效的监管：由于学校终端数量多，师生上网行为复杂，任何人都可以通过Internet发布不良信息甚至非法信息，互联网中大量的不良信息充斥整个校园网络。为了加强对师生上网行为管理与监控，实现文明上网、安全上网，营造绿色网络环境，应采用分布式的上网行为审计系统部署。

需要对终端病毒的感染与传播进行有效的防范：学校缺乏对病毒的感染和传播进行有效防范，因此采用统一的网络防病毒软件的部署，统一实时更新病毒库，控制端实时监控终端感染病毒情况，及时对病毒的防杀，有效地防范了终端病毒的传播，进一步优化网络安全的管理机制，实现高速上网、放心上网。

技术难点

在当今这个信息化社会中，现代社会生活对网络的高度依赖，保障网络的通畅、可靠就显得尤其重要，防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。但是这些产品大部分功能分散、各自为战，形成了相互没有关联的、隔离的“安全孤岛”；各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作。因此需解决的技术难点主要包括：统一的工作业务界面、统一的控制平台、统一的分布式部署连接方式、统一的用户权限分配、统一的安全事件分析。

部署架构

分布式网络安全中探测引擎的部署架构：分布式的网络安全部署主要由两部分组成，包括分布式边界安全（防火墙）部署和分布式审计系统部署，部署形式主要由探测引擎、数据管理中心和分布式中心三个部分组成。

分布式防火墙和审计系统都采用三级管理架构，一个数据管理中心可以连接多个探测引擎。数据中心和探测引擎物理上可以分开安装在两个专用服务器上，也可以安装在同一台专用服务器上，一个探测引擎同时只能和一个数据管理中心连接。

数据管理中心主要包含以下几个部分：数据库管理、策略配置、人机界面、探测引擎管理、其他管理；安全审计的数据管理中心采用B/S架构，通过提供浏览器服务端，使管理人员很方便地通过网页浏览器对数据管理中心进行操作管理；防火墙的数据管理中心采用C/S架构，最大限度确保边界数据的安全。

分布式中心可以管理多个数据管理中心。分布式中心可以统一制定并下发控管策略，可以定制需要接收、集中的相应数据，并具有完善的报表统计功能，集中关联处理网络中的所有安全事件。

分布式网络安全系统在教育城域网中的部署架构：分布式网络安全系统在教育城域网中的具体部署（整体方案的部署适合未接入教育网的用户，如采用ADSL的PPOE拨号用户），分布式中心可以统一或者定制下发策略到每个学校，从而实现对整个教育城域网内学校的边界安全和上网行为管理。

现实应用

我区采用分布式的网络安全部署囊括了所有公办中小学校，共部署91台防火墙（清华比威）、91台安全审计（网络哨兵）设备和近12000个网络防病毒点（卡巴斯基）。学校网络安全的分布式部署、统一管理在我区实际应用中取得了很好的实效。统一管理的应用主要有以下几方面：

学校边界防火墙分布式部署、统一管理在我区的应用

1.学校网络状态显示及防火墙边界的远程协管分布式部署。在各学校的防火墙，采用内建VPN连入控管中心防火墙，控管中心SERVER按15秒轮巡的方式实时监控学校网络的出口状态，一目了然地了解学校网络实时运行的健康状况。在分布式的部署中，城域网中心根据学校网络管理员的实际处理网络安全事故的能力情况，下发相应的策略管理员权限给学校网络管理员，学校网络出现故障而学校网管员无法解决时，城域网中心可以通过控管平台直接连入学校防火墙设备，进行远程协管工作。

2.防火墙中心控管策略统一定制与下发。在充分调研学校网络应用的情况下，城域网中心根据各类学校的实际需求，下发相关的防火墙控管策略，策略下发可单个学校进行，也可分批、分组进行。统一策略的管理，可以确保城域网主干网的干净、畅通，可以及时避免网络安全事故，十分有利于城域网主干安全的管理，节省大量的人力和物力。

3.网络安全评估报表。网络安全评估报表包括“安全日志报表”和“流量日志报表”，有目的调整相应策略和及时做好学校终端设备的管理，如及时的打补丁、病毒的防杀、安全隐患的消除等，更好地优化学校校园网络环境，保证学校网络的高速、畅通。

4.网络安全日志及流量信息统计。分布式部署、统一管理可以对所有学校的上网日志进行统一的管理和存储，确保了日志的完整性，也便于对全区学校网络流量及相关数据的整体分析，为城域网中心全面了解学校网络的运行情况提供必要的数据，如通过整体的安全日志的实时情况，可以充分了解各学校终端病毒暴发的情况、了解学校边界防火墙策略设置的情况等。

学校上网行为安全审计分布式部署、统一管理在我区的应用

通过使用网页过滤库，在校园内全方位阻挡不良网上信息对学生的毒害，通过调用内置的强大网页分类过滤库，针对每一类网站的访问行为进行控制，过滤不良网页，屏蔽不良信息（黄、赌、毒、邪等）。网管员可以自定义过滤库，增加了管理的灵活性。

系统实现了对基于HTTP（WEB、POST）、FTP、BT、邮件（SMTP、POP3、WEBMAIL、LOTUS）、聊天（ICQ、QQ、MSN、网易泡泡、Yahoo Messenger、UC）、Telnet、游戏（反恐精英、星际争霸、魔兽争霸、暗黑破坏神等十几种游戏）、音视频等协议的行为进行审计及账号报警。对通过SMTP、POP3协议以及通过网页收发的邮件内容及附件，通过网页发送的其他数据内容例如BBS内容，通过ICQ、MSN、网易泡泡、Yahoo Messenger等聊天工具发送的即时信息内容，以及FTP（等工具）上传文件的内容进行审计及内容报警。

完善的审计信息查询：为了方便查询和使用，系统提供强大的查询功能。用户可以按照不同的协议、不同的审计内容以及通过相应关键字查询所需要的审计信息。

学校上网行为安全审计中心策略的定制与下发：系统通过使用管理策略实现对各种上网行为进行的细粒度的审计和管理。分布式中心可以设置每个客户端的数据上传策略，实现对指定学校校园网信息的收集、统计和分析。

系统可自动解析所有审计对象的机器名、获得对象的IP地址、MAC地址；手动绑定审计对象的IP与MAC

地址；根据用户组织结构或IP地址分配特点划分不同的审计对象组；通过使用“使用者”，系统管理员等可以以直观的学校名来管理机器等信息；系统可以在全局、本地、审计组以及单个审计对象四个级别部署和下发对应审计控制策略。系统实现了对校园网内的上网流量进行管理，能实时显示各个审计对象（组）、多种协议流量，并进行流量排名。

提供强大的报表分析功能：按照时间、网络应用、操作结果、审计对象等条件生成报表；在已经生成的报表界面内，可以按照需要生成对应的图形报表。报表可以导出为TXT、HTML、EXCEL等格式。根据学校流量、访问量与网页访问的次数数值，作为衡量学校信息化应用情况的有效数据，根据站点访问情况的站点排名，可以发现和推荐一些好的资源应用站点。

结束语

分布式的网络安全部署有效解决了教育城域网面广、用户终端数量大、难管理的缺点，有效地整合了网络管理员的人力资源，完善了城域网安全的管理机制，规范了师生的上网行为，优化了校园内外网络环境。

分布式的网络安全部署从技术解决层面上不仅可以大面积应用在教育城域网络上，在很大程度上可以部署在网吧、酒店等复杂的公众网络环境，上级管理部门可以集中管理和监控各类上网行为，规范社会网络行为。