小学信息技术课系统安全与行为管理实验Word文件下载.docx
- 文档编号:22094155
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:12
- 大小:134.03KB
小学信息技术课系统安全与行为管理实验Word文件下载.docx
《小学信息技术课系统安全与行为管理实验Word文件下载.docx》由会员分享,可在线阅读,更多相关《小学信息技术课系统安全与行为管理实验Word文件下载.docx(12页珍藏版)》请在冰豆网上搜索。
有没有更好的方法呢?
通过实验,我采用了授权共享的方法。
具体做法是:
在服务器上给每班建一个文件夹进行共享,班级文件夹内再给每个学生建一个文件夹,并授权访问,学生只能访问自己的文件夹。
此方法虽然好,但如果班级多的话,教师设置的工作量巨大。
经过实验,使用批处理文件按机号创建学生文件夹,每个文件夹按不同机号的用户名进行授权、设置密码,效率高,效果好。
批处理文件分为《批量创建用户帐号》、《批量删除用户帐号》《批量创建文件夹》三个文件。
《批量创建用户帐号》批处理的代码为:
setlocalenabledelayedexpansion
set/pyh=请输入要建的帐号前缀:
set/pnub=请输入要建的用户数:
set/ppaw=请输入要建帐号的密码:
for/l%%iin(1,1,!
nub!
)do(
set/aaa=%%i
if!
aa!
lss10(
setaa=0!
)else(
lss100(
setaa=!
geq100setaa=!
))
netuser!
yh!
!
!
paw!
/add
)
Pause
解释一下:
①要建的帐号前缀,是指根据不同学校机房建立的帐号的前面部分,例如:
wx01,wx02,wx03……,前面的“wx”部分。
②要创建的用户数指定后,批处理文件会自动建立从01到指定的数字作后缀的用户,比如要建30个用户,则会建立从01到30为后缀的用户。
例如:
帐号前缀为“wx”的帐号为wx01到wx30。
③新建帐号的用户组为“users”。
④帐号和密码一定要与相对应的学生机的帐号密码相同,当然,这里每个学生的帐号虽然不同,但密码是一样的。
这样学生访问时就不需要输入密码了(学生也不知道密码)。
如果要批量删除帐号,可以使用《批量删除帐号》批处理文件,代码为:
@echooff
set/pyh=请输入要删除的用户前缀:
set/pnub=请输入要删除的用户数:
/delete
注意:
这里是从01开始删除,不是从中间删除,如果想删除某个数至某个数之间的帐号,则要修改批处理文件。
这里就不赘述了。
学生帐号建好后,就要按班级建立文件夹了,可以使用批处理文件在批量创建文件夹的同时进行授权,《批量创建文件夹》的批处理文件代码为:
echooff
set/pnub=请输入你要创建的文件夹数(不能大于帐户数):
set/pmin=请输入文件夹前缀:
set/pyh=请输入授权帐号的前缀:
echoy|md!
min!
echoy|Cacls!
/t/c/gadministrators:
f!
:
f
使用此批处理建立的文件夹也是按01至指定数字为后缀进行命名的,同时进行与文件夹数字后缀相对应的用户授权,这里每个文件夹都给管理员帐号进行了授权,以方便教师进行管理。
这样的操作,每个班文件夹的创建和授权只需要几秒钟,提高了工作效率,也方便了教师的管理。
以上所有批处理文件全部经过虚拟机实验,在windowsXP或者windows2003server中可以成功完成设计要求。
上哪班的课,就共享哪班的文件夹(windows2003server中共享班级文件夹时,在“共享”的“权限”里要设置完全控制,否则学生没有写的权限,但在“安全”项的权限里,users只给只读就可以了,这不会影响学生个人文件夹的权限)。
学生通过网上邻居访问自己的文件夹,就和在本地自己的计算机中访问文件夹一样,不需要输入密码,符合学生的使用习惯,但只能访问自己班级中自己的文件夹,而不能访问其他同学的文件夹,这样就可以防止学生互相抄袭的现象,又方便了学生访问自己的文件夹,上传、修改自己完成的作业。
教学用的共享文件另建文件夹,每个学生只有只读权限,没有写和执行的权限。
教师管理很方便。
在教学中需要上网时,教师在教学中往往会遇到一些尴尬的现象:
开放网络,有些学生就会访问与教学无关的网站,或者上网做与教学无关的事,特别是个别学生会玩网络游戏,教师监管起来比较麻烦,花费了极大的精力。
有时还有一些不良网站,会弹出一些不良信息。
这些都极大地干扰了课堂教学。
可是不开放网络,有些教学目标就无法完成。
那么怎样才能做到对学生的上网行为进行有效地管理呢?
对此我进行了多次实验,通过实验,获得了很好的效果。
通过建立过滤网关的方法,控制学生的上网行为。
(一)网络行为管理的设计
我们要对学生机房的网络行为进行如下管理:
1.能设定网页关键词过滤;
2.能过滤具有不良信息的网站;
3.能控制学生所上的网站,做到不允许的网站不能访问;
4.一但学生访问不允许访问的网站时,强制跳到预定的网站;
5.可以做到允许上网的学生上网,不允许上网的学生不能上网。
目前针对网络行为管理,一种是使用硬件安全网关,通过安全网关的过滤功能对网络行为进行管理,其代价是很高的,一般少则一万多元,多则要几万元;
还有一种是使用网络行为管理软件,C/S架构,有服务器端和客户端,通过服务器端对客户端进行网络行为管理,安装麻烦不说,购买也要数千元。
通过实验、对比,选择免费的软路由《海蜘蛛》做学生机房的网关,可以进行有效的网络行为管理。
而海蜘蛛软路由是一款linux软件,需要一台专门运行的机器,一般制作防火墙的方法都是使用一台淘汰的旧机器作为网关和防火墙,成本较低。
然而现在一是难以找到这样的旧机器,如果使用新机器必然增加成本,二是即使有这样的机器,由于机房线路都是走管线安装的,安装接线也是很麻烦的。
现在机房的服务器一般都是双核至强的CPU,双网卡,1G以上的内存,功能很强大,而服务器平时主要是用来存储学生的作业,利用率不高,所以使用虚拟机制作一台防火墙应该是一件成本低、效率高的事情。
初步决定:
使用虚拟机作为网关设备,免费版的海蜘蛛作为软件平台。
(二)网络行为管理的实施
1.安装虚拟机平台:
首先,在机房的server上安装VMwareWorkstation6.0,安装完成后,打开虚拟机平台:
单击“文件”菜单——>
“新建”——>
“虚拟机”,弹出“新建虚拟机向导”对话框“虚拟机配置”设置窗口。
一般选择典型即可,点击“下一步”,进入“客户机操作系统”设置对话框,这里选择“linux”操作系统,点击“下一步”,设置“虚拟机名称”。
在这里可以指定名称,也可以使用缺省的名称,最好是自己定义,根据自己的爱好,便于记忆的原则取名。
由于我们是要安装“海蜘蛛”防火墙系统,所以这里输入“海蜘蛛”。
点击“下一步”,进入“网络连接”,选择“使用桥接网络”,后再点击“下一步”,进行“磁盘容量”设置。
缺省的硬盘为8G,这里只需要0.2G就可以了。
设好点击“下一步”,至此,虚拟机已被建好,点击“关闭”,关掉向导窗口。
建好的虚拟机配置如下:
1.内存256M;
2.硬盘0.2G,如果你主机使用的是sata硬盘,缺省是“scsi”,也可以自定义为“IDE”;
3.CD-ROM驱动器;
4.软驱;
5.以太网卡;
6.USB控制器;
7.音频适配器;
8.显示卡;
9.处理器(CPU)一个。
(根据主机情况可以设为2个)
把不需要的设备,如usb控制器,声卡,软驱等删除,具体操作如下:
点击“编辑虚拟机设置”,弹出“虚拟机设置”窗口,选择要删除的设备,点击“移除”。
然后再添加一块网卡,点击“添加”,弹出“添加硬件向导”窗口,选择“以太网适配器”,再点击“下一步”,选择“桥接”。
点击“完成”,完成设置。
至此,虚拟机的硬件系统配置完成,当然,你如果对配置不满意还可以重新配置,也可以改变内存的大小。
由于海蜘蛛进行过滤要开启web缓存代理,所以我把内存调整为512M。
2.配置虚拟机网卡
因为服务器上有两块网卡,因此,虚拟机的两块网卡必须指定,这样才能分清内外网,以便使防火墙能正常工作。
在打开的VMwareWorkstation6.0虚拟机平台菜单点击“编辑”——>
“虚拟网络设置”,打开“虚拟网络编辑器”。
(1)自动桥接配置如图:
首先要单击“添加”,选择外网网卡,排除外网的网卡,使其不能自动桥接,这样虚拟机就能自动桥接内网的网卡,而外网的网卡需要单独进行指定。
(2)进行虚拟网络映射
单击“主机虚拟网络映射”选项卡,
VMnet0:
桥接到一个自动选择的适配器,这是缺省的,不需要改动;
VMnet1:
VMwareNetworkAdapterVMnet1,这是虚拟网卡,也是缺省的,不需要修改;
VMnet2:
原来是“未桥接”,现在选择你的外网网卡,一般是第二块网卡,作为外网指定网卡(其实可以在VMnet2-VMnet7中任意指定);
VMnet8:
VMwareNetworkAdapterVMnet8,这是缺省的,不需要更改。
设置结果如图:
(3)在虚拟机中指定第2块网卡即外网网卡:
点击“编辑虚拟机设置”,添加一块网卡“以太网2”,在“虚拟机设置”窗口中选择“以太网2”,在窗口右边的“网络连接”中改为“自定义”,点击下拉箭头,选择“VMnet2(桥接)”,把虚拟机中的第2块网卡指定到VMnet2,设置如图:
这样就配置好了两块网卡。
3.安装海蜘蛛软路由
可以到http:
//www.hi-下载海蜘蛛免费版本3.2.9(这个版本对虚拟机兼容性最好),下载的是光盘镜像,完成后,设置虚拟机的光驱从光盘镜像启动,具体设置如下:
加载镜像,单击“编辑虚拟机设置”,弹出“虚拟机设置”窗口,选择CD-ROM设备,在右边选择“使用iso镜像”,通过浏览加载海蜘蛛3.2.9版光盘镜像文件,然后单击“确定”,完成配置。
单击“启动该虚拟机”或者单击工具栏上的绿色播放按钮,启动虚拟机。
海蜘蛛是全中文安装界面,
一路选择“y”,安装到设置网络,可以修改缺省的lan接口IP地址和子网掩码。
最后系统提示把光盘取出后按回车键重新启动。
系统启动后,进入控制台登陆界面,窗口提示web登陆地址和控制台登陆用户名与密码。
这表示安装全部完成了。
4.配置海蜘蛛软路由,实行上网行为管理
选择一台学生机设置与路由相同网段的地址进行登陆,我的路由地址是
http:
//192.168.3.1:
880,在弹出的登陆窗口中输入用户名:
admin,密码:
admin,即可以进入web管理界面。
我们要设置的项目有:
①web登陆和控制台登陆密码设置,这是安全的需要。
②接入设置,设置广域网接口中的IP地址、网关地址和DNS服务器地址。
③防火墙设置,这里是重点,很多过滤规则就在这里设置。
④流量控制。
这是网络访问顺畅的保证。
⑤服务管理设置,主要是DHCP服务,PPPOE拨号服务,WEB加速等。
这里重点来说说防火墙设置和流量控制,以及服务管理,因为要想对学生进行网络行为管理,这几项最关键。
(1)首先,在“接入设置”中设置DNS服务器,同时选中下面的“启用DNS代理服务”和“强制使用DNS代理”,并保存设置。
这是防止客户机另设DNS,不受过滤控制的必要设置。
(2)单击“防火墙”,进入过滤设置的“DNS过滤”,DNS过滤模块可以过滤内部电脑向互联网发出的域名查询请求(DNS协议),即在域名解析时就进行限制。
使用DNS过滤,能更快更有效的限制对域名的访问,过滤得也更彻底,强于URL过滤。
在“启用DNS过滤”前打上勾,并在下面的文本域中输入要过滤的域名关键字,每条记录占一行,然后保存设置。
(3)进入“防火墙”过滤设置的“网址过滤”,勾选“启用网址过滤”,过滤模式有“黑名单模式”和“白名单模式”,如果启用“黑名单模式”,则下面文本域中输入的每行一条记录的网址不可访问,适合相对开放的课程,只过滤部分网站;
如果启用“白名单模式”则客户机只能访问下面文本域中输入的每行一条记录的网址,这种模式适合学习特定内容的课程,只允许访问部分网站。
保存设置后,还要启用“web代理缓存”才能起作用。
(4)进入“防火墙”过滤设置的“内容过滤”,在文本域中输入要过滤的关键词或者要过滤文件的扩展名。
(5)进入“服务管理”的“web加速”,勾选“启用web加速”,根据机器内存的大小修改“用于缓存的物理内存大小(MB”,在下面的“访问被拒绝页面参数定制”中勾选“启用”,设置跳转页面的时间和网址。
这样的设置,可以使前面的网址过滤和内容过滤有效,并使客户端在访问被过滤的网站或网页时,自动跳到预先设定的网站,以达到强制访问某个网站的目的。
(6)进入“防火墙”的“内网DNS转向”,勾选“启用内网DNS转向”。
内网DNS转向功能可以实现当客户机请求某一域名解析(访问某一网址)时,将其重定向到指定的IP上。
比如内网有一台服务器,要让内网所有IP通过自定义的域名就可访问到它,则对此域名作DNS转向即可实现,以方便教学中用域名访问。
此外,此功能还可以用来禁止内网访问某些外网网址,当用户访问此网址时,自动跳转到自定义的页面上,也可以跳转到一个不存在的IP地址上。
这里有单个域名转向和批量域名转向两个文本域。
单个域名转向只要在文本域的每一行中输入要转向的域名和IP地址即可。
比如:
“192.168.10.1”。
批量域名转向可以将多个域名跳转到一个IP地址上。
勾选“订阅恶意网址服务”和“自动从服务器下载更新”并保存设置。
通过以上的设置,过滤不良网址和定制访问网站就可以实现了。
(7)MAC与IP绑定。
进入“防火墙”的“访问控制”,选择“MAC与IP绑定”,按照每条记录占一行,格式为:
IPMAC可选注释,或者MACIP可选注释,输入要绑定的IP地址和MAC地址及机号。
同时选定“启用MAC地址和IP绑定”(前面打勾),MAC-IP模式选择“强制模式”。
(8)有时我们想控制只让部分完成作业的学生上网,其他学生不允许上网,或者防止ARP病毒的危害,可以使用PPPOE拨号来实现。
进入“服务管理”的“PPPOE拨号”,勾选“启用PPPoE拨号”和“PPPoE连接带宽限制...”下的“启用”,并修改其中的参数,以限制每台客户机的带宽流量,最后保存设置。
这时还不能保证只通过拨号才能上网,要进入“NAT模式设置”,勾选“所有客户机必须通过PPPoE拨号才能访问Internet”,然后提交修改。
此时,所有客户端都无法上网,只能通过拨号才能上网。
我们可以在VIP客户段输入允许上网学生的IP地址,该学生即可不拨号上网,而其他学生却无法上网。
此方法虽然可以控制学生是否可以上网,但却不能进行网站过滤和关键词过滤。
如果想既能控制上网,又能进行过滤,我们也可以在开放网络的情况下,通过在前面设置的MAC与IP绑定的界面里,将禁止上网的IP与MAC前加入#号,这时加#号的学生机就不能上网了,而能上网的学生是受过滤控制的。
(9)除了拨号上网可以控制带宽流量外,我们还可以在取消拨号的情况下进行带宽管理。
进入“流量控制”,可以设置“全局带宽”,上传、下载,P2P下载控制,进行流量监控。
海蜘蛛软路由的防火墙功能还有很多,这里没有面面俱到,只说明了网络行为管理相关的部分。
经过这样的一番设置,就可以实现对学生上网行为进行有效的管理。
当学生访问被过滤的网站或网页时,会出现提示页面,然后会自动跳转到设定好的页面。
四.系统安全与软件使用行为的管理
1.系统安全管理
在小学计算机网络机房中,学生使用U盘拷贝文件,有时会不经意间传染计算机病毒,致使计算机操作系统瘫痪或者网络速度变慢。
以前都是使用硬盘保护卡进行即时还原,以保护操作系统。
然而,现在网络上的“机器狗”病毒,却能攻破还原卡的大门,造成系统中毒。
而硬件保护卡升级比较麻烦。
针对这样的情况,我采取了多管齐下的方法:
(1)安装免费杀毒软件进行系统保护,定期升级;
(2)安装免费的还原保护软件《冰冻精灵》,可以及时还原,还能升级,并能随时禁用U盘,使系统得到有效保护;
(3)在机房安装操作系统补丁升级中心,定时进行补丁升级。
下面重点介绍《冰冻精灵》与《补丁升级中心》的安装与使用。
(1)《冰冻精灵》的安装与使用
首先到
选择一台学生机运行FreezeMagic-netbar.exe,选择要保护的盘符,最后一步选择“母盘模式”,输入正确的服务器地址,按界面提示安装。
注意,服务器地址设好后就不能再改了。
然后重启,制作ghost镜像文件。
机房全部机器进行网络克隆后,在教师机上运行服务器端FreezeServer.exe(服务器端不需要安装,直接运行。
),学生机启动后服务器端会显示未安装信息,选择所有未安装的机器,单击右键选择“安装”,在弹出的设置框内填写好“冰冻分区列表”、“选项”中选中“禁用U盘”,设置好密码后,点击“确定”,客户端即开始进行安装(注意“允许重启客户端计算机”,后可能会出现部分计算机不能正常重启,可以手动重启计算机)。
计算机重启后,即显示计算机的IP地址与MAC地址及冰冻状态,可以随时设置冰冻、解冻和禁用U盘。
设置冰冻或者解冻时,计算机要重启后才能起作用,禁用U盘可以即时起作用,不用重启计算机。
安装好《冰冻精灵》后,当需要升级杀毒软件或者需要升级系统补丁时,可以在服务器端全部解冻后进行升级操作。
升级后再进行冰冻,完成保护硬盘的操作。
(2)系统补丁升级中心的安装与使用
先到下载《360漏洞修复网管版》软件。
此款软件具有以下优点:
①集中下载,节省带宽,同时实现内网实时更新
②按需分发,自动获取缺省补丁
③客户端开机自启动,全程免打扰设计
④个性配置不同客户端更新需求
⑤服务端控制客户端运行,实时监控客户端更新状态
安装分为服务器端和客户端。
分别安装后,打开服务器端后进行如下设置:
1软件配置。
主要是设置“启动运行”、“补丁分发服务”及“客户端控制”,可以根据具体情况自由设定。
但补丁分发服务还是选定手动分发为好,这样便于控制在学生机解冻期间进行升级。
2补丁管理。
进入“补丁库”选项栏,首先选择要升级的操作系统,再选择需要下载的补丁,然后单击“下载补丁”按钮,服务器会把需要的补丁全部下载到本地服务器上,以便客户机随时升级。
当学生机需要升级时,在机器解冻的情况下,单击“启动颁发”按钮,客户端收到分发的信息后,自动从服务器下载补丁,并进行自动安装升级。
通过这样的管理,机房能保持一个系统稳定、安全的网络环境,有利于教学工作的进行。
2.软件使用行为管理
(1)禁用U盘,可以防止学生从U盘拷贝软件安装,杜绝了从U盘传染病毒的可能。
(2)在网关上的防火墙内容过滤中,禁止学生下载“EXE”、“RAR”、“ZIP”等可以安装的文件类型。
(3)机房使用《极域电子教室2007豪华版》,对学生机进行软件程序的限制。
电子教室控制栏中单击“程序限制”按钮,在弹出的菜单中选择“高级”,在“选择应用程序策略”窗口中双击“黑名单”,再单击“添加限制访问的程序”按钮,“文件名或路径”栏输入要限制的文件名,在“匹配方式”栏选择“匹配文件名”,这样,无论这个程序在什么位置都不可运行,达到了限制程序的目的。
参考文献:
1.《网管员世界》2008.11A期《用虚拟机打造机房防火墙》(本人发表)。
2.http:
//www.hi-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 小学 信息技术 系统安全 行为 管理 实验