中小学校园网中心机房的安全防护
NB应用
随着网络信息化的发展,基本上大城市中的所有中小学校都建立了自己的校园网,实现了班班通和校校通。每个学校都拥有自己的服务器和网络机房,那么对于学校来说该如何有效提高内网安全,特别是做好校园网中心机房的安全防护呢?
中心机房里有什么
就笔者所在地区的中小学而言,一般会将学校服务器放置到中心机房里,数量为两台,一台安装Windows 2000或Windows 2003操作系统,一台安装红旗Linux。
另外网络核心设备——路由器以及交换机也会安放到中心机房,同时学校与区级网络联系的纽带——光纤Modem也会安置在中心机房,为学校提供网络路由和数据通讯等功能。
除了以上的设备外,其它辅助设备也会安放在校园网中心机房,这些辅助设备包括UPS不间断电源、网络管理终端(PC)、NAS类存储设备、机房专用空调等。而对于大中型学校来说,可能会根据经费的不同添置其它网络设备,如温度控制和监控系统、流量管理设备和IPS入侵检测系统等等,同时还可能采取更安全的布线方式来连接学校的各个网络节点与中心机房等。
当然所有设备并不是随意码放的,按照当地教育委员会的要求,每个学校的中心机房里都会放置专门的机柜,不管是服务器还是路由交换设备都会摆放在专业机柜里(图1)。
在校园网中心机房里,服务器的任务是最艰巨的,日常学校网络应用涉及到以下几个方面:DHCP自动分配地址服务、DNS解析服务、WWW网站服务、MAIL邮件系统服务、管理信息系统服务和资源库服务等,这些都需要服务器提供相关的网络服务。
而另一个重要设备就是路由交换设备了,一方面路由器承担路由转发数据包的功能,只有通过路由器才能够保证学校内部各个网络终端可以连接外网,另一方面交换机承担着连接各个网络终端的任务,一定要保证它们之间是通畅的(图2)。
除此之外,NAS设备为学校所需的资源提供存储功能,要知道中小学校经常会应用很多原创课件,这些课件的妥善保管是要引起特别关注的。UPS供电系统可以保证在市电中断的情况下为服务器和路由交换设备提供一定时间的电力供应,避免突然关机损坏设备的情况发生。
对于其它设备来说,它们基本上是各尽其职,IPS负责入侵检测,流量工具管理内网数据通讯等,具体设备类别很多,这里就不详细说明了。
中心机房面临的安全问题及防范措施
在了解了中小学校园网中心机房里有哪些设备以及它们的作用后,下面就来仔细分析一下校园网中心机房面临的安全问题,机房管理人员又该如何进行防护呢?
1.雷电攻击
在日常生活中,可能大家遇到家中的设备被雷电攻击的情况并不多。然而在校园网中心机房管理中,笔者遇到学校的网络设备被雷电攻击而全部损坏的情况有好几次了。
雷电攻击是校园网中心机房最大的敌人,如果没有适当的防雷系统,一旦被攻击,中心机房的一些设备将直接报废。因此作为学校网络管理人员一定要做好防雷准备。
2.供电问题
供电问题虽然很多网管都知道,但是在实际工作中却没有引起足够的重视,在日常应用时不接UPS或UPS电池已经损坏而不更换的情况经常发生。一旦断电事故发生,所有设备马上关闭,这对网络设备的损坏是很大的,特别是NAS存储设备,很可能造成数据丢失与损坏。另外突然断电对服务器硬盘的影响也是巨大的,在很大程度上会降低硬盘寿命。
另外一些人在UPS设备(图3)认知上存在问题,认为UPS系统只有在电力中断的情况下才能派上用场,实际上对于使用老式供电线路或市电电压经常不稳定的远郊地区,如果直接把市电连接到网络设备和服务器上,那么不稳定的电压会造成相关硬件被损坏。将市电引入到UPS上,然后再由UPS为网络设备提供电力,在这个过程中UPS起到了稳定电压的作用,可避免网络设备频繁发生故障。
3.服务器的管理问题
就中小学校而言,很容易出现多人管理服务器的现象,实际上这种现象非常不好。多人管理服务器的话,大家都可以随意使用,自然服务器上的各种服务和应用都在运行,BT下载等P2P软件也会24小时在线,从而严重损坏硬盘,让服务器硬盘寿命大打折扣。
因此服务器的管理应该指定专人负责,这样相关人员才能够用心管理服务器,保证服务器的安全,并且还要制定相关的管理制度。
4.网络设备的配置备份
路由交换设备上存储的是各种路由信息,包括VLAN信息、静态缺省路由、访问控制列表ACL等,如果平时不针对这些配置信息做备份的话,在网络设备出现问题后,就只能恢复为出厂配置,然后再针对原参数一一设置,从而造成学校内网长时间瘫痪。因此网络设备配置信息一定要提前通过FTP、TFTP或TXT等工具妥善备份保管。
5.NAS存储设备的安全问题
NAS存储设备的安全防护也非常重要,对学校来说,NAS存储设备中存放的都是教学资源,平时教师和学生上课都可能会通过NAS存储设备获取资源,所以NAS存储设备的稳定也非常重要。
不过很多学校特别是一些小学由于经费紧张,为了节约电力总是在放学后关闭NAS存储设备,在第二天上课后再开启,实际上这种做法是相当错误的。且不说NAS存储设备频繁开关会影响其寿命,就是NAS设备中存储的数据也很可能由于频繁开关被损坏或丢失,要知道对于NAS存储设备来说,每次开机都会自动重新建立所有数据的RAID关系,在建立RAID这段时间内我们无法使用存储设备上的任何资源。因此开机后的一段时间内NAS设备无法提供相关服务,只有等到RAID建立完成后才能够正常使用。
因此在校园网中心机房安全防护过程中,不要频繁开关NAS设备,频繁开关NAS设备一方面会大大降低NAS设备中存储介质的寿命,另一方面开机后前几个小时会由于建立RAID而无法正常使用。
6.走线问题
走线问题主要存在于一些自建网络的中小学校,这些学校由于经费原因,没有通过区级政府或市级政府采购立项,自然没有通过专业可靠的系统集成商来建立学校内部网络和部署中心机房,因此这些学校的校园网中心机房走线都不太规范,一些线缆裸露在地上,甚至被地上的防静电地板压住,这些都是非常大的安全隐患,很可能造成学校内部网络中断或性能降低。
除了走线问题外,一些学校不铺设防静电地板,直接在普通房间中放置网络设备充当机房(图4),这也是相当危险的,静电是电子设备的大敌,特别是机房这种负离子含量很多的环境,防静电是非常重要的。
总的说来,选择专业的系统集成商,在验收时仔细查看走线情况是提高机房安全度的好办法,另外通过安装防静电地板可以大大提高设备的寿命,避免因为静电造成网络设备的内部器件被损坏。
7.温度与湿度问题
最后还要谈一谈温度与湿度问题,很多学校都没有在校园网中心机房中加装空调,一到夏天机房里热得没法呆。人已如此,设备就更惨了,过高的温度一方面会影响网络设备的运行效率,另一方面还增大了设备损坏的几率。所以在校园网中心机房安装必要的降温系统是非常重要的。
除了温度外,湿度问题也要考虑到,很多网管人员认为只要将温度降下来就可以了,所以随便买了一台空调放置到校园网中心机房里。要知道机房里使用的空调不能随便买,一方面要能够针对温度进行调控,另一方面还要能够控制机房里的湿度,即具备除湿功能。毕竟湿度太高会造成设备内部电子元件被损坏,还会增大静电出现的几率,所以应该在校园网中心机房里安装具备温度和湿度双调节功能的空调。
总结:对于中小学校来说,内部网络的应用有限,校园网中心机房里的设备也很大众化,因此涉及到的相关安全问题相比大型企业来说会少一些,但是校园网出现任何问题也会影响教学,所以身为学校网络管理人员,一定不能放松警惕。