网络环境下学生机房的管理策略.doc

网络环境下学生机房的管理策略台州黄岩职业中专学校在Internet教学上的管理研究课题组执笔：梁 缅【摘 要】 职业学校的机房管理是大家公认的难题。有没有简便的方法让普通的授课教师也能自如地控制互联网的通断？如何高效地对学生上网实行有效的监控，让他们既能上网查找到有用的东西，又能避免不健康的内容？本文介绍了几种常见的网络机房的管理方法，并结合本校长期的实践经历，提出了一套比较行之有效的管理策略。【关键词】网络环境 机房 管理策略一、引言作为信息时代的重要标志之一，互联网等新兴媒体的快速发展，给未成年人学习和娱乐开辟了新的渠道，互联网上的万千信息，给人们的工作、学习、生活带来了极大便利。上网开阔了学生的视野，加强了学生的对外交流，促进了学生个性化发展，拓展了学生学习的空间，互联网的信息量大、交流速度快，随着时代的发展越来越吸引更多的学生。与此同时，腐朽落后文化和有害信息也通过网络传播，腐蚀未成年人的心灵，它们给社会带来相当大的“不良信息冲击”，其中“色情”、“邪教”、“反动”等不良信息的危害更是不言而喻。另外“网上交友”、“网上聊天”、“虚拟社区”、“网上游戏”等，虽算不上不良信息，但对那些热衷于“网上生活”的学生而言，对其正常学习生活的干扰也日渐凸显。在各种消极因素影响下，少数未成年人精神空虚、行为失范，有的甚至走上违法犯罪的歧途。中共中央、国务院清醒地看到了存在的问题，于2004年3月22日提出了关于进一步加强和改进未成年人思想道德建设的若干意见，明确要求：严格审查面向未成年人的游戏软件内容，查处含有诱发未成年人违法犯罪行为和恐怖、残忍等有害内容的游戏软件产品。认真落实未成年人不得进入营业性网吧的规定，落实在网吧终端设备上安装封堵色情等不健康内容的过滤软件，有效打击违法行为，进一步优化校园周边环境。职业学校的学生机房管理是公认的难题，据新闻晚报报导：随着电脑的普及，中学生网民的数量正在呈几何级数膨胀，学生上网七成男生游戏五成女生聊天。我们经常痛心地看到这种的现象：前面上课的教师讲得满头大汗，下面一些学生则聊天、玩游戏忙得不亦乐乎。这样势必导致：（1）学生自己的学习效果差；（2）影响课堂教学的秩序，影响旁边的同学学习；（3）由于带宽的限制，如果大量的学生上课做与学习无关的事，势必还将影响其它班级的教学。作为教育工作者，我们不能因为互联网上存有一些不良信息，就禁止学生上网，而应该疏堵结合，保障有益信息的通畅，坚决阻止不良内容污染育人环境。“加强信息管理,净化育人环境”，是摆在我们面前的一个刻不容缓的课题。有没有简便的方法让普通的授课教师也能自如地控制互联网的通断？如何高效地对学生上网实行有效的监控，让他们既能上网查找到有用的东西，又能避免不健康的内容？二、背景常见的几种管理方法及其优缺点我们调查过全市39所职业学校，在被调查的学校中共有4394台学生机，90个机房，其中73个机房联成局域网、68个接入Internet，19所学校建有网络中心。各校接入Internet的形式各异，采取的管理方法也千差万别。前期大多采用以下几种方法：（一）拨网线如果只是不想让学生在教师讲课的时候上网，最简单的方法当然是：将连结Internet的网线拨出。这种方法毫无技术性可言，且久而久之，就容易导致接口接触不良，造成硬件故障，因此只能在不得已时才可为之。（二）利用交换机或路由器的管理界面来控制学生上网如果所使用的交换机是可管理的，那么就可以通过控制交换机的连接端口，实时打开或关闭网络连接来控制学生的上网行为。目前的交换机一般都支持Web方式管理，只要在IE地址栏输入交换机的IP地址，就登录到交换机，验证身份后会出现管理界面，再点击学生机房的级联端口以进入该端口的信息界面，把“state”状态设置为“Disable”即可。为了能使教师机在学生机被关闭上网功能后能继续上网，必须将网络连接的方式改造成如图1的形式。这样，只要交换机1和交换机2有一个是可管理的，就可以把它们的级联端口关掉，限制整个教室的上网。如果需要个别控制的话，则需交换机1必须是可管理的。通过路由器来控制的方法与此相似。图1 改造后的教师机连接方式通过交换机或路由器能够在不增加软件的情况下实现对机房内学生上网的灵活控制：可以对网络教室中的学生机进行整体控制，也可以单独控制教室里的每一台计算机的连接状态。缺点是：（1）交换机必须是可管理的，这就需要增加一笔费用；（2）控制端口会影响学生机的相互访问；（3）这种管理方法的权限只有网络中心的管理教师才有，绝大部分任课教师不具有这种权限。因此管理还是无法落到实处。（三）利用DNS来控制大家知道，当我们向IE浏览器输入类似的网址(域名)时，IE必须首先在网络上找到一台可以把这个地址解析成IP地址的计算机，即DNS服务器，如果没有找到，则无法通过网站的域名来访问互联网。而对某个网站访问，就是通过输入网站域名来实现的。因此，只要控制了网络中的DNS服务器，就相当于控制了通向互联网之门的道路。分析一下网络机房的结构，通常的做法是：在每个网络机房设置一台教师机，接上大屏幕投影仪，或安上网络教学软件，作为教师的指导用机，同时存放教学所用的素材及学生作业等文件。其实，就象教师的职责是“既教书又育人”一样，教师机也完全可以承担起管理学生机的职责，不妨让它来承担DNS转发的功能。这时如果教师机上安装的是Windows98的话，就需要安装如WinRout之类的具有DNS转发功能的软件，还需要在每一台学生机中设置DNS为教师机的IP地址。如果是教师机上安装的是WIN2000，则需要安装设置其“DNS client”服务。这种方法操作比较简单，不需要专门的网络管理知识，也不会影响到整个网络，各个网络教室之间可以完全分开，进行独立管理。当教师需要学生上网的时候，可以方便地“打开”互联网；当教师不希望学生上网的时候，又可以方便地”关掉”互联网。这种方法的优点是：简便、灵活、易行，效果较好。此方法的缺点是：对网络较为精通的学生可以通过改变学生机的DNS服务器地址，绕过教师机的控制；并且很快就会在学生中一传十，十传百，而造成“地球人都知道”的结果，因而也就失去了应有的效果。不过，此种方法如果再配上硬盘保护卡，那么对中小学的机房来讲，还是比较适用的。（四）利用网关来控制学生上网网关是局域网内外结合的必经之路，只要切断学生机和网关的通信，就能关闭学生上网的大门。“网络剪刀手（NetCut）”就是这样一款功能强大的软件，它可以切断局域网内任何一台主机与网关之间的通信，不论是在交换环境还是普通环境。在教师机上运行Netcut，NetCut会自动检测出局域网内正在使用的IP地址，以及所对应的用户名和MAC地址（图2）；教师可选中想断开的学生机IP（如果要进行多选，请按住shift键）；点击“剪断”后，相应的学生机就不能上网了，如果想恢复该连接，选中学生机后点击”恢复”即可。图2 网络剪刀手的管理界面如果只要求对学生机是否能上网进行控制的话，网络剪刀手（NetCut）是个非常简单有效的软件：哪台机器可以上网，哪台机器不能上网，一目了然；教师对学生机既可以全部控制，也可以单独控制；在学生无法逃避管理的同时也不会影响在网上邻居中的操作。缺点是：只能对学生机进行“能否上网”进行简单控制，一旦允许学生上网，就无法控制其对非法网站的访问，因此还达不到我们所期望的目标；更可怕的是，由于教师机与学生机的地位是对等的，一旦学生机上也安装了这样的软件，那么反过来学生也可以控制教师机是否能上网了。因此，这种方法也满足不了教学的要求。三、利用SyGate进行网络机房灵活高效的管理我校对网络机房管理的进行了长期的探索，摸索出了利用代理服务器软件SyGate对网络机房进行灵活、高效的管理方法，基本实现了：1) 封杀不良信息。封杀色情、邪教、暴力、毒品、反动言论等对学生危害性极大的信息。2) 限制敏感信息。教师可根据学生具体情况，通过有选择设定安全策略的方式，限制学生对聊天、游戏、交友、虚拟社区等网站的访问。3) 畅通“绿色”信息。可以让学生自由访问网上的教学、艺术、音乐等内容健康的信息。4) 高级访问控制。教师可以控制对FTP、ICQ/OICQ、NEWGROUP的访问。5) 对不同用户的灵活管理。教师可以根据具体情况，针对不同的学生设定多种不同的安全策略。如：对于某个网站，教师可以控制让A学生可以访问，而B学生则不能访问。6) 上网时段的控制。教师可以通过设置限定电脑上网时间，保证学生正常学习时间。其实现的步骤如下：（一）设置代理服务器与学生机工作站1 服务器（教师机）的设置让教师机充当代理服务器（如图3），需要给教师机一个静态的IP地址；然后，在教师机上运行SyGate的安装文件，选择server方式进行安装，默认教师机IP为（可更改）；输入软件注册码；其它则选择默认的安装方式。图3 把教师机作为兼职的代理服务器2工作站（学生机）的设置设定作为客户端的学生机的IP地址与教师机的IP地址同一子网，为方便管理逐一设定学生机的IP地址为：192.168.0.x(如：x从2开始每台依次有序地增加1)的形式；设置学生机中网关IP地址为教师机IP地址，同时把学生机的DNS值设为当地的服务商提供的DNS值（如台州地区可设置首选DNS服务器：96，备用DNS服务器：06）或将其中之一设为教师机的IP地址。3上网测试使用Ping命令来测试学生机是否已连入Internet或直接打开浏览器查看网页即可测试是否连通。（二）SyGate对学生机的管理应用启动了SyGate后，一般将出现如图4的管理界面，如果单击“高级”按钮，则将打开高级管理界面（如图5）。教师可以设置自已的SyGate 网络，控制网络安全，管理对Internet的访问。图4 SyGate的一般管理界面图5 SyGate的高级管理界面1 对学生上网进行简单管理只要控制教师机中SyGate的“开始/停止”，即可实现对全体学生机进行“能”、“否”上网的简单管理。2 指定“允许/不允许”上网的学生机对“允许/不允许”上网的学生机的管理可以利用SyGate的“黑/白名单”来进行的。在Sygate的高级管理界面中，单击工具栏中的“权限”，弹出的“权限编辑器”对话框（图6），即所谓的“Black List (黑名单)”与“White List(白名单)”。图6 权限编辑器对话框图7 增加“黑/白名单”对话框 “黑名单（Black List）”与“白名单（White List）”的设置界面是一样的，只不过作用是相反的。“黑/白名单”中的“内在的IP（Internal IP）”是用来规定“禁止/允许”局域网内的某些计算机对互联网访问。把允许上网的学生机的内部IP地址逐一地添加到“白名单”中（在如图7所示的内网IP地址部分输入），并激活“白名单”，即可让所有在“白名单”中的所有学生机上网，而其它的机器则一律被禁止。同样，当激活“黑名单”时，局域网内的所有添加到“黑名单”中的学生机都被限制了对互联网的访问权限。3 限定学生“允许/禁止”访问的网站“黑/白名单”设置栏中的“外部的IP（External IP）”是用来设置局域网内的学生机“允许/禁止”访问的互联网网站的IP地址的。“外部的IP地址”在如图7所示的内网IP地址部分输入。4SyGate对聊天软件的管理对学生机聊天功能的控制也是通过设置SyGate的“黑/白名单”进行的。在图7中我们可以看到，SyGate还包括对协议的控制，我们可以在“黑名单”中加入“UDP”协议，并激活“黑名单”，则相应的学生机就不能聊天了；如果把“UDP”协议加入到“白名单”中并激活，则在相应的学生机上就可以上QQ了。（三）SyGate管理的原理分析大家知道：教师机安装了代理服务器软件后，具备路由器的一些功能，它位于学生机相同的子网内（为方便叙述，不妨简称为内网），具有内网IP地址，如；同时，它又处在相对学生机房上一层的子网中（为了方便叙述，不妨称其为外网），具备外网IP地址，如我校把它设置为00。当教师机上的SyGate处于“运行”状态时，网关起效，学生机房内的计算机可以通过教师机访问Internet；而当该层SyGate处于“停止”状态或SyGate没有运行时，网关失效，学生机房内的计算机就不能通过教师机访问Internet。但此时，由于教师同时处在上层子网中，仍然可能正常上网。当设置了黑名单（或白名单）后，相应的学生机通过教师机中访问Internet时，SyGate先查找权限表，对于那些黑名单中的对象，使相应学生机上的网关失效，因而无法上网；而对于白名单中的对象，则仍可正常上网。Internet上的通信是基于TCP/IP协议的，而传输层的协议又分为TCP和UDP两种。其中浏览网页、上传下载文件、传送E-mail等都是基于最常用的TCP协议，而腾讯的聊天软件QQ是基于UDP协议的。因而我们可以利用Sy