ROS防火墻高校實驗機房管理應(yīng)用研究

王亮　唐永林

摘 要

現(xiàn)階段高校計算機房的管理重點主要在兩方面：硬盤安全和防御病毒木馬等，與此同時，還要針對計算機房的不同用途控制網(wǎng)絡(luò)的連接狀態(tài)，之前各高校采用的安裝還原卡、殺毒軟件、拔插網(wǎng)線等雖然也能解決上述問題，但比較麻煩，也存在不少問題。若是利用Router OS系統(tǒng)，上述問題可以被輕松解決。

【關(guān)鍵詞】Router OS 防火墻 高校 計算機房管理 應(yīng)用

任何一所高校，計算機房都是必不可少的基礎(chǔ)設(shè)施，用來供同學(xué)們上課、自主使用燈。一般高校的計算機房為保護計算機系統(tǒng)以及配置信息不被隨意改動，都是采用安裝還原卡的方式。雖然還原卡用來保護計算機系統(tǒng)和配置信息不被更改是十分有效的，但還原卡的防御病毒性能并不突出，仍然會有病毒穿透還原卡導(dǎo)致系統(tǒng)被感染，使得整個機房的安全都受到威脅。除了病毒的威脅，還有惡意用戶的使用、在教學(xué)過程中屏蔽無關(guān)應(yīng)用等問題，從資金投入、部署和使用的便利等方面綜合來看，在高校機房采用Mikro Tik OS系統(tǒng)是一個比較合適的方法。

1 高校在計算機房的傳統(tǒng)保護措施

隨著信息技術(shù)的發(fā)展，高校計算機房在規(guī)模和設(shè)備也都在逐步更新，但與此同時，木馬、病毒等技術(shù)也在發(fā)展，這讓計算機房的安全管理工作難度日益增大，計算機房的管理人員除了要對軟硬件進行管理，及時對它們進行更新和升級，更重要的是對計算機病毒、木馬進行防御和查殺、目前，高校計算機房存在的安全隱患主要有以下幾方面：

1.1 高校計算機機房存在的安全隱患

1.1.1 硬盤損壞導(dǎo)致資料丟失。

作為計算機的核心部件，硬盤中除了有系統(tǒng)文件外，教學(xué)資料和教學(xué)軟件通常也存在硬盤中，因此硬盤在高校的教學(xué)和實踐中有著十分重要的地位。一旦對硬盤的保護不到位，導(dǎo)致硬盤損壞，不僅計算機無法正常啟動，硬盤內(nèi)存儲的資料也會丟失，給高校帶來巨大損失。在實踐中，為了防止病毒大規(guī)模泛濫，高校計算機房中的電腦通常沒有安全光驅(qū)，這也增加了計算機重裝系統(tǒng)的難度。因此，如何安全有效的保護硬盤是高校計算機房安全管理的重點之一。

1.1.2 計算機病毒和木馬的攻擊。

病毒和木馬的威脅一直沒有遠離過高校計算機房，除了來自外部網(wǎng)絡(luò)的病毒和木馬的威脅，來自計算機自身的威脅我們也不能忽視，例如一些帶有病毒和木馬的U盤、移動硬盤、智能手機等移動設(shè)備在與計算機連接時，計算機就存在巨大安全隱患，很可能會感染病毒和木馬。

1.2 傳統(tǒng)保障計算機安全的方法

1.2.1 保護硬盤資料

為了更好地保護機房計算機硬盤，大多數(shù)高校安裝還原卡，它可以將硬盤在極短時間內(nèi)恢復(fù)成最先備份的狀態(tài)，并且還原卡的另一大優(yōu)點就是可操作性強，還原卡的安裝十分簡單，也可以對硬盤資料起到很好的保護作用。

1.2.2 防止計算機病毒和木馬攻擊

目前高校計算機房在防御計算機病毒和木馬的攻擊時，通常采用下述幾個方法：

（1）在計算機中安裝殺毒軟件?，F(xiàn)下，殺毒軟件是我們了解到的防御計算機病毒和木馬攻擊最有效的方式，現(xiàn)在市面上存在許多類似于金山毒霸、360殺毒軟件的免費殺毒軟件，只要計算機管理人員及時更新殺毒軟件，這些軟件就可以有效保護計算機。

（2）禁止學(xué)生瀏覽不正規(guī)網(wǎng)站，下載不合法、來歷不明的資料。許多病毒和木馬的傳播方式是偽裝成正規(guī)軟件，通過免費下載來吸引人下載，只要用戶下載、運行，病毒和木馬就會感染此臺計算機。因此，禁止使用者下載來歷不明的文件也可以起到一定防御計算機病毒和木馬的作用，如果一定需要下載某文件，也應(yīng)用殺毒軟件掃描確定安全后再運行。

（3）禁止學(xué)生使用自帶U盤等移動設(shè)備，因為一旦這些設(shè)備中帶有計算機病毒和木馬，學(xué)生又不知道，那么在與計算機連接時就很容易使計算機感染病毒和木馬。

1.3 存在的問題

（1）高校計算機房采用安裝還原卡的方式來保護硬盤效果雖然不錯，但是還原卡無法防御計算機病毒，一旦有的病毒穿透還原卡感染了系統(tǒng)，那么整個機房的安全都將受到威脅。假如在機房接入交換機上設(shè)置端口限速，那么一旦系統(tǒng)被感染，整個機房、整個樓宇甚至是整個學(xué)校都會受到影響。如果設(shè)置了端口限速，那么計算機的還原速度就會受到影響。

（2）對于高校機房計算機的使用，教學(xué)使用占很大比例，若只是安裝殺毒軟件，可以有效防御計算機病毒和木馬的攻擊，但學(xué)生在教學(xué)時間使用類似于聊天軟件、游戲軟件等，殺毒軟件就不能實現(xiàn)對這些應(yīng)用的屏蔽。因此，高校計算機房想要使管理更便捷有效，就要應(yīng)用功能更全的系統(tǒng)。

2 Mikro Tik Router OS系統(tǒng)的特點

2.1 成本低，性能高

作為一種路由操作系統(tǒng)，Mikro Tik Router OS可以使一臺標準的PC電腦變成專業(yè)的路由器，并且在無線、認證、寬帶控制、防火墻過濾、策略路由等功能上與專業(yè)路由器比都毫不遜色，甚至可以說這些功能是十分突出的?；赬86構(gòu)架的PC電腦，應(yīng)用Router OS系統(tǒng)即可具備現(xiàn)有路由系統(tǒng)的大部分功能。從這方面來看，在應(yīng)用Router OS系統(tǒng)的基礎(chǔ)上，一臺十分普通的X86電腦不僅可以實現(xiàn)路由功能，還可以在提高硬件性能的同時提高網(wǎng)絡(luò)的訪問速度和吞吐量，使這套路由器系統(tǒng)從根本上實現(xiàn)成本低但性能卻很高。

2.2 對安裝環(huán)境要求不高，安裝簡單

Router OS系統(tǒng)的另一大特點就是它對安裝環(huán)境的要求并不高，尤其是對硬件的需求很低，一臺非常普通的X86PC電腦就可以滿足它的安裝要求，當(dāng)然，前提是這臺X86PC要至少含有兩塊網(wǎng)卡。

2.3 功能強大

（1）高校計算機房常用的NAT和DHCP服務(wù)都包含在Router OS系統(tǒng)中，除此之外，該系統(tǒng)還擁有非常強大的防火墻過濾功能，在運行時，Router OS系統(tǒng)可以對網(wǎng)絡(luò)的異常行為進行實時監(jiān)控，并支持二到七層的防火墻規(guī)則，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)存在異常行為時能夠及時發(fā)現(xiàn)及時禁止。

（2）可對寬帶進行有效管理。將Router OS系統(tǒng)應(yīng)用到高校計算機房可以進行有效寬帶管理，將網(wǎng)絡(luò)寬帶進行合理分配，這一功能可以盡可能地保障網(wǎng)絡(luò)傳輸?shù)耐〞?，有效預(yù)防在使用高峰期出現(xiàn)網(wǎng)絡(luò)堵塞的情況。

（3）擁有路由、網(wǎng)關(guān)、并接等多種接入方式，為有效解決一些惡意用戶在使用時影響網(wǎng)速及安全或者學(xué)生在教學(xué)時間使用無關(guān)應(yīng)用，Router OS系統(tǒng)憑借其路由、網(wǎng)關(guān)、并接等多種接入方式，在不改變原網(wǎng)絡(luò)環(huán)境的情況下，有效屏蔽非法網(wǎng)站或一些無關(guān)應(yīng)用，阻斷上網(wǎng)人員的非法上網(wǎng)行為。另外值得一提的是，Router OS系統(tǒng)擁有友好的管理界面，管理人員可通過WEB或自帶的Winbox軟件進行管理，這兩種方式都十分便捷。

3 Mikro Tik Router OS的防火墻功能在高校計算機房管理中的應(yīng)用

3.1 防火墻功能

Router OS防火墻功能非常強大、靈活。Router OS防火墻屬于包過濾防火墻，可以定義一系列的規(guī)則過濾掉發(fā)往Router OS從Router OS 發(fā)出、通過Router OS轉(zhuǎn)發(fā)的數(shù)據(jù)包。在 Router OS防火墻中定義了三個防火墻（過濾）鏈，即Input、Forward、Output：Input用于處理進入Router OS的數(shù)據(jù)包，即數(shù)據(jù)包目的IP是Router OS接口中的一個IP地址，經(jīng)過路由器的數(shù)據(jù)包不會在Input鍵中處理；Output用于處理從Router OS發(fā)出去的數(shù)據(jù)，即由路由器中某個接口發(fā)出去的數(shù)據(jù)包；Forward是用于處理通過Router OS的數(shù)據(jù)包，如內(nèi)部計算機訪問外部網(wǎng)絡(luò)，數(shù)據(jù)需要通過Router OS進行轉(zhuǎn)發(fā)。我們可以通過在這三個鏈中定義規(guī)則，從而有效地管理機房。

3.1.1 為每個機房定義過濾規(guī)則，以允許或禁止使用網(wǎng)絡(luò)

當(dāng)以計算機房為課堂進行授課時，經(jīng)常會出現(xiàn)這樣的情況：為了防止同學(xué)們在上課時間上網(wǎng)而不聽教師講課，教師需要將網(wǎng)絡(luò)關(guān)閉；有時教師需要學(xué)生在網(wǎng)上搜索查閱資料，需要將網(wǎng)絡(luò)打開；有時僅僅教師需要使用網(wǎng)絡(luò)，而學(xué)生不用。另外，課堂之外的時間計算機房通常是作為電子閱覽室來使用的，這時就需要網(wǎng)絡(luò)一直開放。根據(jù)不同的需求，可以定義如下規(guī)則：假設(shè)有兩個機房，一個機房的IP地址段為192.168.1.1-192.168.1.50，另一個機房的IP地址段是192.168.2.1-192.168.2.50.

規(guī)則1 星期一至星期五禁止在上課時間使用網(wǎng)絡(luò)，課余時間晚上5到8點開放網(wǎng)絡(luò)。

機房1：

chain=forward action=drop src-address=192.168.1.0/24

Time=17h-20h， mon， tue， wed， thu， fri

機房2：

chain=forward action=drop src-address=192.168.2.0/24

Time=17h-20h， sun， mon， tue， wed， thu， fri， sat

規(guī)則2 允許兩個機房的教師機任何時間都可以使用網(wǎng)絡(luò)。

假設(shè)機房1的教師機IP為192.168.1.1，機房2的教師機IP為192.168.2.1.

機房1：

chain=forward action=accept src-address=192.168.1.1

機房2：

chain=forward action=accept src-address=192.168.2.1

3.1.2 禁止學(xué)生上課期間使用聊天工具和游戲軟件

Router OS V3.0以上的版本都可以進行7層協(xié)議過濾，可對類似于QQ、魔獸世界等應(yīng)用進行限制和過濾，具體操作是在IP firewall中的Layer7 Protocols增加7層協(xié)議，7層協(xié)議的編寫可以通過在網(wǎng)上搜索想要過濾的程序的7層協(xié)議腳本，然后進行腳本導(dǎo)入。例如，要想禁止用戶登陸QQ，在添加規(guī)則后，通過Advanced的Layer7 Protocols選擇QQ，然后在Action中設(shè)置為“drop”，這樣用戶想要登陸QQ時，系統(tǒng)就自動將這一請求丟棄了。

3.2 Router OS，讓高校計算機房管理更輕松

（1）將計算機房用作課堂還是電子閱覽室決定了網(wǎng)絡(luò)的連接狀況，一般高校在處理這一問題時是依靠拔插網(wǎng)線，這種做法的弊端一是交換機端口檢測浪費時間，二是容易損壞交換機。利用Router OS系統(tǒng)可以輕松解決這一問題，將不同機房的地址匯總做成地址列表，分別做NAT地址轉(zhuǎn)換，只要通過Winbox禁止或啟用該機房的NAT地址轉(zhuǎn)換規(guī)則就能輕松控制某個機房網(wǎng)絡(luò)連接狀態(tài)。

（2）網(wǎng)絡(luò)是把雙刃劍，利用網(wǎng)絡(luò)可以幫助學(xué)生學(xué)習(xí)，但若監(jiān)管不力，學(xué)生也可能被網(wǎng)絡(luò)上的游戲、不良信息誘惑。利用Router OS系統(tǒng)配置Web代理功能可以做到對網(wǎng)絡(luò)上的信息進行過濾，比如可以針對QQ的不同登陸方式，通過禁止端口和服務(wù)器地址來禁止學(xué)生在機房上課時聊天，還可以對類似于mp3、avi等后綴名的文件禁止下載，做到最大化地凈化學(xué)生的上網(wǎng)環(huán)境。

（3）Router OS系統(tǒng)強大的防火墻功能除了能對網(wǎng)絡(luò)連接狀態(tài)自由控制外，還可以通過定義一系列的規(guī)則將通過該系統(tǒng)轉(zhuǎn)發(fā)的文件中攜帶的木馬病毒、ARP病毒以及沖擊波等各種病毒，以便更有效的保護高校計算機房的安全。

（通訊作者：唐永林）

參考文獻

[1]王正奎.Router OS的防火墻功能在高校計算機房管理中的應(yīng)用[J].遼寧師專學(xué)報（自然科學(xué)版），2012（04）：38-40+84.

[2]肖琴.論高職院校計算機房安全管理策略[J].湖南工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2016（04）：122-124.

[3]徐嘉瑜，潘巍巍.論RouterOS在高校機房管理中的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2014（19）：305-306.

作者簡介

王亮（1986-），男，碩士研究生學(xué)歷?，F(xiàn)為吉林建筑大學(xué)城建學(xué)院實驗師。研究方向為網(wǎng)絡(luò)工程及物聯(lián)網(wǎng)工程。

通訊作者簡介

唐永林（1957-），男，大學(xué)本科學(xué)歷?，F(xiàn)為長春大學(xué)旅游學(xué)院教授。研究方向為網(wǎng)絡(luò)工程、計算機網(wǎng)絡(luò)教育方面。

作者單位

1.吉林建筑大學(xué)城建學(xué)院 吉林省長春市 130114

2.長春大學(xué)旅游學(xué)院 吉林省長春市 130117