使用OpenBSD构建安全校园网络及构建策略.docVIP

使用OpenBSD构建安全校园网络 广州市白云区沙凤小学 曾祥潘 广州市白云区教育发展中心 龙丽嫦 摘 要： 本文主要从本区学校网络建设情况出发，利用旧设备对校园网架构进行改造实验。实验有效解决了在资金不足的情况下利用已有设备提高校园网的安全性，保障了网络的正常运行。 关键字： 信息技术 校园网 网络安全 OpenBSD 白云区地处广州市北郊，是典型的城乡二元化地区，既有近郊的街道也有远郊的农村。由于城乡发展进程不同，镇街之间在经济收入方面差距很大，教育投入也存在很大差异。学校在区域中分布很广，学校之间在教育资源、科研成果等诸多方面差距明显。利用信息技术缩小教育差距、促进均衡发展成为白云区教育发展的重要方向。 自二00三年起，白云区政府、教育局大力推进“白云区教育信息化工程”，区内各中小学逐步建立了电脑机房、配备了教师办公电脑、架设了校园网，连上了互联网。由于信息化建设经费缺口相当严重，校园网络在架设时偏重于简单实用，降低建设成本，在网络分层、安全控制方面未能投入足够资金。 近年来，随着网上公文系统等网络应用的增加，校园网的使用率不断攀升，教育教研活动对网络的依赖也越来越大：通知的收发、活动信息交流、网上教研会议、课件下载等。网络有效地促进了教育活动的顺利进行。另一方面，网络病毒、木马、恶意软件的传播对校园网的安全造成了极大的威胁。提高校园网的安全管理、保障校园网络畅通是每所学校都必须重视的问题。 安全现状分析： 白云区共有中小学近300所，2005年有29所学校接入教育科研网，其余大部分学校暂无法使用光纤接入互联网，只能采用较为普及的ADSL接入互连网。这些学校的网络结构比较简单，基本架构相似，见下图： 由上图可知，校内所有电脑通过交换机直接相连并通过ADSL宽带路由器共享连接互联网。这种上网方式会受到宽带路由器性能限制，客户机较多时上网速度会变得很慢。如果改为用PC安装WinGate等代理软件上网的方式又会存在稳定性差、容易受病毒干扰等问题。网络中没有防火墙设备，容易受到外网的攻击。此外，由于办公电脑和电脑室学生电脑直接连接，对于校园网内的攻击无法进行控制，办公共享文档等文件容易受破坏，共享打印机容易被恶意使用。 要解决上述问题，一般的解决方法是购买高档交换机、路由器、防火墙，划分VLAN隔离不同用途电脑。对于普通学校来说，高档的设备许多功能用不上，而且需要投入大笔的资金，小规模学校更是难以承受改造费用。 面对这些困难，我们利用旧设备、使用OpenBSD系统，对校园网进行了升级改造。经过半年的实验运行，效果令人满意，很好地解决了上述问题。 解决方案 整个校园网可以划分成三部分，一是外网即互联网；二是办公室电脑；三是学生用电脑（电脑室、电子阅览室等）。三部分既要连接在一起又要用防火墙隔离开。我们使用了一台旧电脑安装了OpenBSD系统，把三部分网络连接在一起。 关于OpenBSD OpenBSD是一款优秀的开放源代码的操作系统。此系统以安全性高著称，在OpenBSD主页上，第一句话是：Only one remote hole in the default install, in more than 8 years! (八年多来，使用默认安装只发现了一个远程安全漏洞)。对于防火墙、网关应用，OpenBSD是一个很好的选择。目前，OpenBSD最新版本是3.8版。我们使用OpenBSD自带的PF(Pack Filter, TCP/IP流量过滤和网络地址转换软件系统)软件进行宽带共享。 （二）硬件准备及连接 OpenBSD对于硬件要求不高，很低的配置就能很好地工作。为了保证路由性能，还是选用赛杨500或以上的CPU，内存不要少于64M，硬盘空间500M以上。网卡需要三张，一张普通的RTL8139网卡(接ADSL Modem)，两张性能较好的网卡，如3COM或Intel(分别连接办公网络和学生电脑室)。网络线路连接见图： 整个网络分为三部分，一个外部网络(Internet)，两个内部网络。两个内部网络没有直接相连，而且网段不一样，不能直接访问共享文件夹和打印机，通过OpenBSD进行路由访问服务器资源。 OpenBSD配置 1．网卡设置。在OpenBSD中，每张网卡都对应有一个配置文件，RTL8139的配置文件是/etc/hostname.rl0，两张Intel网卡分别是/etc/hostname.fxp0和/etc/hostname.fxp1。rl0网卡连接ADSL Modem，地址不要跟Modem冲突即可，使用vi /etc/hostname.rl0 修改文件内容为：inet NONE，意思是设定IP地址：，子网掩码：，连接介质：自动识别。用同样方法修改其余两张网卡地址：和。 2．路由及PF软件开启 我们需要为