会话控制与带宽管理策略

　　会话数控制

　　使用校园网出口防火墙，通过单用户会话和流量控制功能进行相关管理。通过应用防火墙设置新建连接阀值，可以对网络中每个用户会话连接数进行控制，当阀值被触动后，动态地将非法用户添加到黑名单，直接将非法用户连接阻断，并且可以灵活的设置控制黑名单的有效时间。通过单用户会话数限制，可以做到：当校园网内机器病毒爆发时，阻止大量数据包对外建立连接，耗费网络资源；阻止黑客对网络的扫描；阻止黑客进行DDOS攻击。

　　带宽管理

　　目前很多学校都使用城市热点认证计费管理系统，为减轻防火墙负担，运用城市热点认证计费系统的带宽管理功能。在管理工具“计费策略”—“服务策略设置”定义科技楼公共机房单用户下行带宽与上行带宽的数值。

　　上网行为记录管理

　　通常，学校会使用城市热点认证计费系统中的“专线”方式让公共机房用户不需要登录即可免费上网，这样虽然达到免费上网目的，但是在上网日志中只能根据IP地址记录登录和上网情况，由于IP地址可以更改，所以这种方法不能实现实名制上网需求。

　　为了使公共机房用户也需要采用实名制上网，使用城市热点认证计费系统对机房用户不采取“专线”上网方式，仍然需要用户进行上网认证。使用“源地址资源策略”对机房用户免费，如图3所示，在管理工具“计费策略”-“源地址资源策略”中，定义策略组“ruanjianxueyuan”，将软件学院公共机房IP地址段(172.18.0.1—172.18.254.254)输入到“源地址清单中，并将“时长折扣”设置为0%。这样机房用户虽然需要登录，但认证计费系统在做计费的时候，上网时长始终为0，以达到免费上网目的。

图3 源地址资源策略定义

　　自公共机房网络安全方案在软件学院实施以来，通过规范化的机房网络运行管理，减少了软件学院公共机房维护人员工作量，机房病毒、木马爆发次数明显减小，机房网络运行稳定，为公共机房的正常运转提供了有力保障，将公共机房网络安全威胁降低至较低水平。

　　在今后的工作中，还需要在以下两方面继续努力：首先，机房网络安全策略进一步细化。随着机房发展规模扩大，服务功能多样化，网络服务对象将更加丰富，需要定义更细致的安全策略。其次随着网络迅速发展，木马和病毒种类将不断增多，针对不断遇到的安全新问题，及时更新网络安全策略。

　　(作者单位为南京信息职业技术学院)