【IT168 专稿】教育城域网的建设是推进素质教育、迎接知识经济时代的需要。

    教育城域网是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议(TCP/IP)建设起来的，可实现各种综合网络应用的高速计算机网络系统。它将本地区各学校及教育机构通过网络连接起来，并与CERNET、INTRENET相连，在城域网上，为本地区各学校提供可靠的、高速的和可管理的网络环境，为用户提供广泛的数据资源共享、丰富便捷的网络应用（如：实时多媒体视频/音频、网络远程教学、网络会议等），提供各种网络服务（电子邮件、文件共享、WWW信息查询等），为各用户提供多种形式的访问，实现网络的扩展，扩大联网的范围和规模，实现本地区“校校通”工程。

    总结教育城域网组网的特点，主要有以下几个方面：

    1. 教育域网的拓扑结构可以分为核心(网)、接入(网)、资源中心、外联网四大部分。

    2. 为了实现整个教育系统、学校网络的互联互通，城域网要在地市电教馆(或各个区、县电教馆)设置网络中心，便于各个学校、教育局、电教馆接入。在网络中心与城域网各接入单位（学校、教育局、电教馆）之间的IP互联线路的选择上，一般需要充分考虑到各种线路的性能价格比较和着眼于未来发展需求的思想以及当地ISP的数据通讯线路的现状。
这些统一构成了教育域网的核心(网)。

    3. 接入（网）是指连接到城域网上的各接入单位（学校、教育局、电教馆），可以根据单位网络规模的不同，选择合适的城域网接入设备和接入方式，从而访问城域网资源中心。

    4. 城域网最终需要接入到INTERNET，以后还可能接入到Cernet，同时，老师、学生在家里，领导在外面出差也有访问城域网的需求，所有这些部分构成了城域网的外联网。外联网定义为城域网与外部网络的连接。

    5. 资源中心定义为将城域网网络中心的各种资源服务器高速、稳定的互联在一起的系统。一般也位于网络中心（机房）之内。

    考虑以上教育城域网组网特点，结合各地教育城域网在建设、运维过程中遇到的一些实际问题，其存在以下安全风险和其脆弱性：

    1. 事实上，目前教育城域网内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。最严重的攻击是无法终止的攻击，DOS/DDOS攻击正是如此,尤其应受到重点关注。并且它还呈现出以下特点：攻击突发性强（攻击的突发性越来越强，很难预测和监控）、攻击随机性强（都可能成为攻击的目标, 同时攻击的频率和持续时间也很随意，很多的攻击持续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、攻击的方向不确定、攻击复杂度在提高（攻击手段和涉及的协议也在不断的提高,对防御设备的性能及部署以后的升级潜力提出更高要求）。

    不仅教育城域网内部的资源中心(服务器群)可能遭受到恶意DOS/DDOS攻击，甚至出现了对城域网网络中心内部的传统网络设备(核心交换机)的恶意DOS/DDOS攻击行为。无论是资源中心(服务器群)、城域网网络中心内部的传统网络设备(核心交换机)都应成为安全防护的重点对象。

    2. 恶意应用消耗网络带宽（P2P等）。
    校园网、教育城域网几乎可以说是P2P应用最多的场所之一，大量的P2P等非关键应用无情地吞噬着教育城域网有限的带宽资源,使得网络管理人员头痛不已。在没有对P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了网络60-70％的带宽，使得关键性应用得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。可见，必须对特定用户或者某些特定应用进行流量的控制。

    3. 城域网上的各接入单位（学校、教育局、电教馆）内部网络频繁受到ARP欺骗攻击，导致内部网络不稳定，极大影响对城域网资源中心的正常访问，降低城域网的使用价值。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。

    4. 老师、学生在家里，领导在外面出差也有访问城域网的办公应用系统、教学资源库的需要，不仅要实现其远程安全接入，而且需要针对访问者、使用者的身份进行认证并授权，为特定用户分配特定的访问资源。

    5. 对内网的监控以及内部用户上网行为进行有效控制。
    一方面，由内网到外网的安全威胁比较严重。学生用户电脑管理松散，电脑中装有各种软件甚至感染病毒，有可能成为攻击的跳板，因此还需要监督、控制全网应用协议的情况（流量分布、会话数量）、城域网每用户的使用情况（上下行流量、会话数量）等来作为辅助管理手段。

    另外一方面，学生自制力较差。有必要对其上网行为进行一定程度的控制，例如：禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站，以及其他的一些上网使用行为。

    6. 高性能、高可靠
    一方面，现在教育城域网的网络流量模型逐渐在发生着变化（小包报文比例增加，单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等），另外一方面，越来越大的流量需要处理，越来越多的功能需要开启，对于设备高处理性能的需求也是越来越迫切。

    维护网络在高安全环境下的长期稳定性和可用性是校园网用户所期望的。单设备、单链路的现象在城域网中还占据主要位置。对于设备的冗余、链路的备份，以及在出现设备或者链路故障下的自动切换，也仅仅是少数城域网达到这样的水平。那么，如何实现高可用性？如何实现自动调整对用户的透明性？即，用户无需理解复杂的技术，只需要体验最快的网速。

    这些问题都摆在了教育城域网的建设、管理者的面前。