校园上网管理系统设计方案.doc

《校园上网管理系统设计方案.doc》由会员分享，可在线阅读，更多相关《校园上网管理系统设计方案.doc（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园上网管理系统设计方案目 录一应用背景3二教育网络普遍存在问题4现状：4存在问题：5三系统整体架构和方案6系统设计原那么6建立目标6系统方案7四根本工作原理13网络信息过滤技术的分类13“过滤王名单分类生成原理13旁路侦听过滤工作原理14五产品主要功能及特点15六公司简介21一应用背景近年来，随着我国网络技术的不断开展以及网络根底设施的完善，互联网已经成为目前开展最快的主要社会媒体，并有逐步替代与超越传统媒体如报纸、电视、播送等的趋势，将成为社会主流的信息媒介与广告平台。据中国互联网络信息中心公布的数据，截止到2004年6月，我国的上网计算机总数已达3630万台，上网用户总人数为8700万人

2、，青少年网民占到了全部网民的53.5，约4650多万，占了很大比例。可见，互联网在中国正以前所未有的速度高速开展，互联网已经成为了人们工作、生活的一局部。互联网对青少年有巨大的吸引力，人们可以通过互联网学习丰富的知识、查阅丰富的信息，提高生活的质量。但由于互联网的开放性及网上信息优劣参差不齐，使得网上各种不良信息也随之泛滥，特别是反动、色情、暴力等有害信息极大地危害着社会的稳定与青少年的身心安康，而法轮功邪教组织、民运分子、各种敌对势力也利用这一舞台，对我国进展各种宣传攻势与渗透演变。人们在享受网络技术的同时，也对网上不良信息对人们的负面影响产生了担忧。特别是在中小学校，由于上网学生年龄较小，

3、好奇心强，容易受到不良信息的影响，这些有害信息通过电子邮件、论坛、留言板、网页等途径流传到校园内，给学校的信息网络平安带来极大冲击。所以加强网络管理，采取有效的技术手段防止学生访问有害网上信息是每一个上网学校的重要问题。按照国家教育部颁发的?全国教育事业“十五方案?中“校校通工程的方案，用5到10年时间，加强信息根底设施与信息资源建立，使全国90%左右独立建制的中小学校能够与网络连通，使每一名中小学师生都能共享网上教育资源。目前许多学校都已建成或正在建立校园网，校园网都与教育城域网或与INTERNET连接，实现了校园内电脑对INTERNET网信息的访问。但许多学校对网络有害信息的危害认识缺乏，

4、没有采取有效的防范措施，使学生很容易访问与接触到网上有害信息，影响身心的安康开展；而有的学校由于惧怕网上有害信息，制止学生访问互联网，使学生失去了使用网络的时机；有的学校那么采取只给学生访问指定的网站，其他的一概不许访问，这又失去互联网的最大优点能在全球范围内查找与使用信息的优点。针对日趋严峻的网络平安形势，国家公安部、教育部、文化部、信息产业部等几大部委联合公布了一系列针对危害公共网络信息平安的法律法规文件，通过开展专项整治活动打击了各种有害信息传播蔓延。教育部从2002年起公布了?教育部关于对校园网信息专项清理整治工作的实施意见?教社政20025号，其中明确指出“各级各类校在加强对学生教育

5、管理的同时，要采取在校园网上安装过滤软件等技术措施，确保网络信息平安，对目前中小学校园网日益凸显的网络信息平安问题提供了政策层面的指导，为彻底根治顽疾开出了一副良方。另外，由于前期校园网的建立主要关注硬件及应用软件系统，而对校园网络的平安关注与投入较少，系统连接互联网后容易受到外来黑客的攻击，所以必须采取网络平安防护措施，保护校园网络的平安。网络平安以及网络信息平安管理正成为学校管理者与公共信息网络平安监察部门的重要任务，而目前教育网对互联网信息平安的审计与管理较为薄弱，校园网络信息平安管理的落实必须与教育主管部门配合，共同落实，共同营造校园安康上网新环境，为此，我们提倡建立教育网信息平安管理

6、平台，平台建立的主旨是以法律为依据，在统一的中心控制与管理平台下，完成对下级互联网用户的平安、审计管理。二教育网络普遍存在问题 教育局的网络中心：做为教育网的中心，为学校“校校通提供互联与信息资源中心；一般有电信宽带与教育科研网两个出口，各级学校通过这两个出口访问互联网及教育科研网； 各级中小学的校园网：学校建有自己的校园网，可以通过教育网络中心出口访问教科网与互联网；同时，各学校也通过电信宽带接入互联网。 各级学校根本没有安装防火墙、信息过滤系统等平安设备，校园网络呈半开放状态。 网络概况如图： 作为教育网总出口，没有安装信息过滤系统保护，学生上网完全自由，互联网信息畅通无阻，各类反动、色情

7、、暴力等有害信息极大地危害校园网络安康，这些有害信息通过电子邮件、论坛、留言板、聊天软件、文件传输、网页浏览等载体蔓延，令学校管理者防不胜防； 有电信互联网出口的学校网络，没有防火墙与过滤系统，缺乏必要的网络信息平安保护，有害信息与黑客非法攻击可以长驱直入，校园网毫无平安可言； 学校上网缺乏管理，无法控制不同单位、不同身份的人使用网络资源，对上网情况无从了解，缺乏必要有效的控制手段，尤其是作为核心管理部门的教育局网络信息中心，对各种漏洞与问题更是无处下手，对网络出现的危害信息缺乏收集机制及处置措施，往往到出事时才亡羊补牢。 上网主体是未成年的中小学生，自制力差、分辩是非能力有限、容易受外界引导

8、，在网络有害信息泛滥的形势下，迫切需要强有力的保护伞。三系统整体架构与方案根据教育网的现状与存在问题，建议采用“过滤王校园网络信息平安防护整体解决方案，以到达最正确的平安及性能效果。整体系统的设计原那么：分布控制、分级管理、集中审计。 分布控制：在教育网络中心总出口与各学校网络电信宽带出口安装过滤系统，实现两级平安保护与有害信息过滤，细化到对每台电脑终端的控制与管理。 分级管理：按教育网络中心网管与校园网网管两级权限进展分级管理。 集中审计：在教育局设置信息审计中心，以便对全市/区学校上网信息进展集中审计与告警管理，提高管理效率。实现：有害信息过滤、网络平安防护、访问控制管理、信息内容审计与日

9、志统计查询等综合校园信息平安建立的目标。 建立完整的内外网防护机制，在教育网总出口设置高端的信息过滤系统，对流入的互联网信息进展高效准确过滤，同时阻断向外网散布有害信息，最大限度净化网络资源；针对有电信宽带出口的学校，可选择在出口网关处架设网关型过滤效劳器，实现根本防火墙与强大有害信息过滤功能；也可选择安装纯软件过滤系统，实现信息过滤功能；保护校园网络内网络与信息的平安； 采用分级分布控制方式，由教育局网络中心出口的防火墙与高端过滤效劳器控制各学校上网访问控制策略，再由学校网络电信出口的过滤系统控制校园网内电脑的访问控制策略，保证信息的平安与网络资源的有效利用。 通过两级信息平安系统，自动采集

10、所有终端的上网日志，通过导入数据库生成历史备份，利用报表管理工具可随时查询分析，为网络管理员了解网络状况、调整上网策略提供依据。 在教育网络中心设置审计中心，对进出教育网的信息内容进展审计，系统会智能分析处理违规的上网行为，自动阻断各类有害信息的传播，并及时发出告警，减少网管人员的工作负担，提高处理效率。 通过实施综合完善的信息平安系统，提高整个教育网络的整体平安性。根据总体设计原那么与目标，采用捷朗菱网络科技的“过滤王校园网络信息平安整体解决方案,在教育网总出口安装FG3000高端过滤系统，在各学电信宽带互联网出口安装低端过滤系统可选硬件或纯软件，同时在教育网络中心安装信息审计系统，实现对所

11、有上网信息的审计，提高整体平安性能。整体部署拓扑图如下：3.3.1 教育网总出口的平安设计在教育网的总出口，承当着所有学校与教委师生的上网任务，数据流量非常大，平安性与稳定性要求非常高，所以对该节点的平安系统性能要求很高，不能因为平安性的要求提高而降低网络与应用的性能，所以教育网整体平安系统设计的关键点与难点也在这。我们建议采用一套FG3000高端旁路过滤系统，实现信息过滤与监控的作用，该点包括过滤效劳器、控制台、日志报表管理器3局部组成。 在教育局信息中心核心交换机上设置一个镜像端口，连接一台高性能过滤效劳器FG3000硬件，对通过总出口的数据包进展监控与过滤，拦截用户对有害信息的访问与有害

12、信息的传播； FG3000过滤效劳器采用旁路侦听过滤工作方式，可满足千兆网络上万同时在线用户教育网总出口的要求，安装方便，对现有网络，无需改变系统网络构造，不影响网络用户配置；旁路方式不影响网络流量，支持无限大并发连接数，不会成为网络瓶颈，不会增加任何网络延时与掉包，即使系统出现故障，也不影响整个网络的正常运行，保持用户系统原有的带宽与效率不变。系统采用的旁路过滤技术与黑名单过滤技术代表了国际最先进的过滤技术，是一般过滤软件与网关过滤系统无法比较的，支持千兆教育网与城域网，满足教育网未来开展的需要。主要功能：完成互联网访问数据的侦听，过滤有害信息，按访问控制策略对上网学校进展集中管理，记录访问

13、日志，上网身份集中验证。 控制台软件安装在网络中心局域网内任意电脑上，采用C/S模式提高过滤系统的平安性，GUI界面方便管理员操作。实现对过滤效劳器的规那么设置与管理，制定各学校及每台电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息与用户实时上网信息。 日志报表管理系统安装于网络中心局域网内任意电脑上，通过从数据库下载用户历史访问记录，同时对节点学校上网访问记录进展查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出各节点学校对互联网的访问情况，以便调整访控制策略，从而实现对上网学校访问互联网的有效管理。3.3.2 中学校园网信息平安设计中学教育已经与计算机信息教

14、育严密结合，网络知识教学已成为中学生必修课，互联网成为学生获取知识的重要途径；中学是根底教育最后一个阶段，作为未成年人的中学生自制力较差，判断是非能力有限，净化网络信息尤显迫切。中学校园网建立普遍处于开展阶段，网络规模不大，计算机数量在数百台左右，除接入上级教科网，另外开通了电信宽带直接接入INTERNET，通过路由上网。安装防火墙的仅占少数，同时各学校网络出口的数据流量都不大，网络构造也较为简单，学校经费较宽裕，有一定自主采购权。所以我们建议采用带根本防火墙功能的FG3000低端网关型过滤系统，安装在每个校园网的电信宽带出口网关处，同时实现网络平安防护与信息过滤功能，硬件过滤网关性能出众，有

15、最正确的性价比。系统包括FG3000网关型过滤效劳器、控制台、日志报表管理器3局部组成。 对各所中学，在电信宽带出口处嵌入一台FG3000低端过滤网关，实现平安防护、信息过滤、访问控制等功能。既能抵御外网对校园网内主机的非法攻击，同时对进出校园网的数据包进展监控与过滤，拦截用户对有害信息的访问与有害信息的传播。可选择网关与透明网桥方式进展安装。FG3000过滤网关具有根本的防火墙功能，能实现IP包过滤、NAT地址转换、防DoS攻击等功能，保护整个校园网主机与终端的平安；FG3000过滤网关采用高性能软硬件一体化构造设计，基于LINUX内核的WebRoad操作系统具有性能稳定可靠、执行效率高等特

16、点，配合优化的“黑名单过滤模块，在实现根本防火墙功能的同时到达了高效的过滤性能。系统能处理百/千兆吞吐量，支持20万以上的并发连接，延时小、掉包率低，对网络性能影响小。 控制台软件安装在校园局域网内任意电脑上，采用C/S模式提高过滤系统的平安性，GUI界面方便管理员操作。实现对过滤效劳器的规那么设置与管理，制定每台上网电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息与用户实时上网信息。 日志报表管理系统安装于校园局域网内任意电脑上，通过从数据库下载用户历史访问记录，对学校各节点上网访问记录进展查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出学校信息点对互联网的

17、访问情况，以便调整访控制策略，从而实现对信息点访问互联网的有效管理。3.3.3 小学校园网信息平安设计小学教育属于启蒙教育阶段，学生接触互联网较少，网络主要效劳于办公与教学应用。总体上网络规模较小，计算机数量屈指可数数十台，向上接入教科网，另外也申请了电信宽带，一般通过代理方式上网，流量非常小，网络构造简单。学校经费较紧张，一般无力购置昂贵的硬件设备。考虑到小学的实际情况，我们建议采用纯软件过滤系统，安装在校园网的电信宽带上网代理效劳器上，实现有害信息过滤功能，软件过滤系统适用于小型的局域网，如电脑教室、电子阅览室、学校办公网等。纯软件系统投资少，性能优越，有良好的性价比。系统包括纯软件过滤系

18、统SIM for Windows、控制台、日志报表管理器3局部组成。 对各所小学，在电信宽带上网代理效劳器上安装一套过滤软件，实现信息过滤、访问控制等功能。软件自动对进出校园网的数据包进展监控与过滤，拦截用户对有害信息的访问与有害信息的传播。依托代理效劳器强大的硬件处理能力，软件过滤系统能处理百兆吞吐量，支持5000以上的并发连接，过滤效率高、延时小、掉包率低，对网络性能影响小。 控制台软件安装在校园局域网内任意电脑上，采用C/S模式提高过滤系统的平安性，GUI界面方便管理员操作。实现对过滤系统的规那么设置与管理，制定每台上网电脑的访问控制策略，同时监控网络运行，显示各类系统状况信息与用户实时

19、上网信息。 日志报表管理系统安装于校园局域网内任意电脑上，通过从数据库下载用户历史访问记录，对学校各节点上网访问记录进展查阅、统计、分析、生成多种报告，管理员可以根据统计报告提供的信息，分析出学校信息点对互联网的访问情况，以便调整访控制策略，从而实现对信息点访问互联网的有效管理。3.3.4 信息平安审计管理要保证整个教育网络的平安，必须是全方位、多层次、立体化的平安设计，除了杀毒软件、防火墙、过滤系统外，还要对信息进展审计，及时了解用户的网络活动，掌握用户的上网规律，发现存在的有害网络活动，以便制定更有效的平安管理措施。信息平安审计系统做为一套独立运行的后台管理软件，可以安装于教育网内任意一台

20、电脑上，通过教育城域网与各级学校安装的过滤系统通信，下达审计谋略与接收上报信息，实现全教育网信息的集中审计与告警管理。信息审计功能能及时发现网内的违规网络活动与有害信息的传播。 审计谋略设置：对教育网内所有上网用户设置信息平安审计谋略，信息审计主要包括IP地址、URL地址、内容关键词、FTP文件、邮件地址、邮件内容、QQ/ICQ号、MSN号、游戏帐号等；同时对触发审计规那么的上网事件设定访问控制方式：允许访问、制止访问、告警。 告警管理：可实时接收任一信息点触发审计规那么的告警事件，对该事件做出及时处理，允许或制止访问目标资源；同时向审计中心会发出告警，以便及时进展监控，告警的形式可设为电脑发

21、声、闪烁显示显示、发Email，也可将情况及时通过短信息传到值班人员的手机上。同时将所有告警记录存入后台数据库内包括学校源终端审计谋略日志告警记录管理员信息，便于统计分析，追查责任，调整平安管理策略。3.3.5 校园上网电脑管理 通过网络身份认证与访问控制管理，可杜绝网内无权用户的网络活动，提高网络平安与网络资源的有效利用。各级过滤系统具有完善的网络身份认证与访问控制管理，无需安装任何客户端软件，可细化到对每一台网内电脑的信息平安控制，具有实施简单，安装维护管理方便等特点。 可通过捆绑IP、MAC、IP+MAC、用户账号等四种方式对用户身份进展认证，IP+MAC地址认证方式可防止盗用IP地址的

22、欺骗行为，而采用用户帐号认证时，系统使用SSL加密技术通过IE窗口登陆认证，使用简单、平安性好。 完善全面的访问控制管理可细化到每一台电脑，包括：内容分类访问控制、分组访问控制、上网时段访问控制、协议访问控制、网段访问控制。实现不同单位、不同部门、不同年级学生的不同管理需要。四根本工作原理目前主要的网络信息过滤技术分为四种：关键词识别过滤、模板识别过滤、图象识别过滤、名单分类黑名单过滤。关键词识别就是根据文字信息内容中是否包含有特定的关键词以及出现的频率，判断信息内容的性质，这是最早采用的技术，实现较易，但用于文字的多意性及复杂性，很容易造成误判，误过滤性较高；模板识别就是对信息内容按特定模式

23、进展统计计算，然后与预先生成的模板进展匹配，以判断其内容的相似程度，这种方法的判断可靠性较高，但需要较长的计算时间，直接给用户使用时要求设备性能较高；图象识别技术可分辨不同暴露程度的人体图片，但只能判断局部色情图片信息；而名单分类过滤技术就是采用关键词识别、模板识别、图片识别等技术先将网站内容进展分类，生成特地的分类名单库，然后根据用户访问的URL，识别其内容等级，以决定是否过滤，其优点是过滤准确，难点是要求先收集特定的分类网站名单，其名单收集分类的准确于否决定了其过滤的准确性。目前国际上普遍采用的过滤方式是名单分类黑名单过滤。“过滤王名单分类生成原理由于全球互联网的网站达数千万个，并且每天都

24、在增加，所以必须采用网站自动智能收集分类的方式，以提高名单库的完整性。首先采用“网络机器人尽可能多地进展分类名单的收集；然后对收集的名单信息进展模板自动识别，以决定其名单类别；对识别值介乎于中间段的信息名单进展人工判断，以保证对名单分类的准确。名单收集的主要方式有：搜索引擎目录名单收集，联接名单收集，关键词搜索名单收集，网段名单收集。目前许多交换机都有镜象功能mirror，可通过一个端口对网络中某个端口或全部端口的数据进展复制，而对共享型的集线器那么可在任何一个端口侦听到所有通过集线器的数据，采用侦听方式就可获得网络中的数据，并对侦听到的数据进展协议分析与处理，而不会对网络的性能造成任何影响。

25、如下列图就是将FG3000安装在交换机的镜像端口，并对网络到路由器的所有数据进展侦听：当用户要访问一个网站时，用户在终端输入要访问网站的URL，然后向DNS效劳器发送一个请求包，请求解析被访问网站的IP地址，得到IP地址后，再向网络上的路由器发送请求，路由器根据请求包中的目的地址，将请求数据包送到被访问的效劳器，被访问的效劳器根据用户的请求向用户返回相应的内容数据。当我们安装了FG3000过滤系统后，在用户向网络发送请求包到达交换机时，FG3000通过镜象端口就获得了该用户的访问请求，这时FG3000根据用户访问的URL地址判断是否是“黑名单网站，如果是那么向用户端电脑发出一个空的应答信息或终

26、止数据包Reset，同时向被访问的效劳器发出一个终止数据包Reset，要求效劳器终止数据的传输，这样就实现了制止用户对该网站的访问，到达信息过滤的目的。由于用户到被访问的效劳器之间要通过许多的路由与网络设备，数据传输所花的时间较长，同时FG3000系统经过系统优化能在最短的时间内进展判断与发出终止包，就能保证在效劳器的应答信息还没返回给用户时，就终止用户访问的连接。由于旁路侦听工作模式时，FG3000系统效劳器只是处于旁路的状态，不对用户的通信数据进展存储与转发，所以不会造成网络数据的延时与丢包，不改变原来的网络构造，不受用户网络操作系统的限制。旁路方式对用户网络的平安性也不产生任何影响，即使本系统出现故障，也不影响用户网络的正常运行。第 13 页