網(wǎng)絡(luò)的出現(xiàn)在提高人們工作效率、節(jié)約辦公成本、方便生活的同時(shí)，也給我們的工作造成了不必要的負(fù)面影響。作為一名網(wǎng)管培訓(xùn)教師，我經(jīng)常遇到各校網(wǎng)管員提出這樣的問(wèn)題：很多師生在上班、上課時(shí)利用網(wǎng)絡(luò)看新聞、OICQ聊天、打網(wǎng)絡(luò)游戲等，使工作熱情轉(zhuǎn)移，學(xué)習(xí)成績(jī)下降，很讓學(xué)校管理者頭疼。有沒(méi)有辦法能保證學(xué)校管理者、多媒體機(jī)房教師可以隨時(shí)上網(wǎng)，其他教師在上班時(shí)間不能上網(wǎng)，學(xué)生在上課時(shí)間限制聊天（但要能正常收發(fā)郵件）。這些要求利用WinRoute都可以輕松實(shí)現(xiàn)。筆者結(jié)合一般學(xué)校的典型應(yīng)用環(huán)境將WinRoute的配置方法簡(jiǎn)單介紹如下：

網(wǎng)絡(luò)應(yīng)用環(huán)境

多數(shù)地區(qū)的中、小學(xué)都沒(méi)有條件接入教育網(wǎng)，一般都是利用電信光纜或ADSL接入。但電信提供的IP數(shù)量有限，為了保證整個(gè)學(xué)校的正常上網(wǎng)，讓師生在工作學(xué)習(xí)之余可以從網(wǎng)上獲取所需信息，需要增設(shè)代理服務(wù)器用于進(jìn)行地址轉(zhuǎn)換（當(dāng)然路由器也可實(shí)現(xiàn)，但因其管理難度大，需對(duì)網(wǎng)絡(luò)管理人員進(jìn)行專門(mén)的培訓(xùn)，且路由器功能相對(duì)服務(wù)器來(lái)說(shuō)比較單一，一般不為中、小學(xué)校所采用）。NAT（地址轉(zhuǎn)換）功能的采用不僅解決了IP 地址的短缺，同時(shí)也起到了防火墻的作用。為了高效利用網(wǎng)絡(luò)帶寬，一般都安裝兩塊網(wǎng)卡，一塊外接因特網(wǎng)，另一塊內(nèi)接局域網(wǎng)（圖1）。



為了保證內(nèi)網(wǎng)用戶可以正常使用所有的網(wǎng)絡(luò)服務(wù)，最簡(jiǎn)單的辦法就是在對(duì)外的網(wǎng)卡上啟用NAT，NAT啟用后，所有的內(nèi)網(wǎng)用戶正確配置IP地址后就可正常使用網(wǎng)絡(luò)了。如嫌配置內(nèi)網(wǎng)眾多的IP地址煩瑣，可以使用WinRoute本身自帶的DHCP功能來(lái)動(dòng)態(tài)分配內(nèi)網(wǎng)IP地址。



安全高效的管理

上述配置雖可實(shí)現(xiàn)網(wǎng)絡(luò)的連接共享，但沒(méi)有進(jìn)行訪問(wèn)控制。我們通過(guò)配置WinRoute的數(shù)據(jù)包過(guò)濾，可限制所有的用戶在上午8:00至下午5:00對(duì)因特網(wǎng)的訪問(wèn)，同時(shí)允許師生自由地發(fā)送E-mail。實(shí)現(xiàn)步驟如下：首先建立一個(gè)時(shí)間段，選擇“設(shè)置→高級(jí)→時(shí)間間隔”，在彈出的窗口中添加一個(gè)時(shí)間間隔（圖2）；其次配置數(shù)據(jù)包過(guò)濾，選擇“設(shè)置→高級(jí)→數(shù)據(jù)包過(guò)濾”，在收到的標(biāo)簽中對(duì)內(nèi)網(wǎng)卡進(jìn)行配置（圖3）。



對(duì)圖中的每一條解釋如下：

1. TCP協(xié)議中對(duì)特定的IP地址（比如192.168.1.188，當(dāng)然還可以有更多的IP地址）不做限制；

2. TCP協(xié)議中任何主機(jī)對(duì)外界110號(hào)端口的訪問(wèn)不做限制（因110端口是POP3端口，用于接收郵件）；

3. TCP協(xié)議中任何主機(jī)對(duì)外界25號(hào)端口的訪問(wèn)不做限制（因25端口是SMTP端口，用于發(fā)送郵件）；

4. TCP協(xié)議中任何主機(jī)對(duì)外界任何端口（除上面排除的25、110號(hào)端口）的訪問(wèn)將被拒絕，包括HTTP、FTP等很多基于TCP協(xié)議的服務(wù)；

5. UDP協(xié)議中對(duì)特定的IP地址（比如192.168.1.188，當(dāng)然還可以有更多的IP地址）不做限制；

6. UDP協(xié)議中任何主機(jī)對(duì)外界53號(hào)端口的訪問(wèn)不做限制（因53端口是客戶機(jī)用來(lái)進(jìn)行域名解析的）；

7. UDP協(xié)議中任何主機(jī)對(duì)外界任何端口（除上面排除的53號(hào)端口）的訪問(wèn)將被拒絕，包括OICQ等很多基于UDP協(xié)議的服務(wù)。

備注：添加第4條時(shí)時(shí)，別忘了在“時(shí)間間隔”中選擇“上班時(shí)間限制上網(wǎng)”（圖4）。對(duì)于第7條的操作類似。



因特網(wǎng)中的訪問(wèn)以TCP、UDP協(xié)議為主。TCP協(xié)議的110號(hào)端口用于接收郵件、25號(hào)端口用于發(fā)送郵件，UDP協(xié)議的53號(hào)端口用于DNS域名解析，對(duì)于上述三個(gè)端口始終打開(kāi)。經(jīng)過(guò)上述配置后除192.168.1.188（管理者或多媒體機(jī)房教師機(jī)的IP地址）可以在任意時(shí)間對(duì)因特網(wǎng)進(jìn)行訪問(wèn)外，其他用戶上班時(shí)間只能收發(fā)E-mail，下班時(shí)間才可以對(duì)因特網(wǎng)進(jìn)行任意訪問(wèn)。WinRoute中數(shù)據(jù)包的過(guò)濾規(guī)則是由上至下，有一條符合條件將不再繼續(xù)往下比較，如無(wú)一條件滿足，默認(rèn)的是允許通過(guò)。根據(jù)以上規(guī)則，用戶還可以根據(jù)各單位具體需要制定出更符合自身需求的過(guò)濾規(guī)則。

立即下載：