点击上方“中国教育网络”即刻订阅
随着高校信息化建设工作的发展,高校内部的服务器数量逐渐增多,虽然硬件性能的提高、虚拟化和云服务的逐步实施减缓了这个趋势,但是设备数量仍然较大,这就给服务器的管理工作造成一些困扰,增加了不少工作量。如何提高服务器管理的水平,提高工作效率成为摆在高校信息化工作者面前的一道难题。
从实践来看,高校一般都面临以下普遍问题:
1.服务器放置位置的困扰
理论上讲,服务器应当统一放置在服务器机房。然而,实践中,高校为数众多的服务器遍布全校,好一点的情况,都放置在各部门的机房中,和实验用的计算机在一起。差一点的情况,办公室里面散布着大量服务器,和办公科研用的计算机在一起。无论怎样,用户使用的计算机与服务器混放的情况是常见的。
2.服务器网络管理、地址分配、域名解析工作量大
因为服务器的放置情况,导致网络管理工作量大,需要将服务器的固定公网地址分配到各个区域,配置到准确的位置上。因此,网络地址规划和分配工作也有一定难度,而且工作量大,难以一次规划长期实施,每隔一段时间就要调整一次规划。随之而来,对应的域名解析工作量也比较大。服务器增加和移动都需要重新调整域名解析。
3.服务器安全、信息安全工作压力大
各部门的服务器安全、信息安全工作的水平参差不齐,因为经费困难和对安全工作的认识不到位,委托一位老师或者学生管理的情况非常常见,一些服务器基本是大门敞开,高校被黑事件的新闻络绎不绝。发生问题各部门基本以水平能力为由,表示无力承担改进,学校领导一般会要求信息技术部门负责落实改进措施,把压力放到信息技术部门。
4.技术上虽然有种种方法解决,在实践中却难以实施
高校机房空间不足、老师不愿意托管、科研项目管理独立等等一系列原因导致无法集中管理服务器。为了适应服务器物理位置的无序,地址路由细碎、网络管理配置量大、修正量大、域名修正量大都是常见问题。而实践中,限于能力水平、人员数量、经费限制等原因,信息技术部门很难对服务器进行有效的安全处置,而这些服务器经常承担比较重要的教学科研宣传等工作,无法强行封闭。停不得、改不动的服务器也是很多高校的无奈现状。
通过中国人民大学实际工作中遇到的困难以及解决过程,经过与高校同行和公司技术人员的广泛交流,逐步总结出一个通过代理服务器来解决这些实际问题的技术方案。
5.外部访问内部服务器全部通过反向代理服务器
设置反向代理服务器,所有域名解析结果都指向代理服务器地址,域名解析就成为一次性工作,减轻了工作量。而且,服务器放置位置就不再成为重要的问题。
所有服务器可以设置为私网地址,代理服务器将对应域名指向服务器的私网地址,这样地址规划也成为了一次性工作。而地址分配就可以全部采用DHCP自动分配模式,网络配置管理也成为一次性工作。在DHCP服务器上绑定服务器的地址分配,服务器移动位置后进行一次调整即可,响应的工作量大大减少。
代理服务器由信息技术部门负责管理,安全管理水平大大提高。代理服务器统一进行端口开放的管理,尽量减少服务器开放端口,在各部门服务器和人员水平没有任何调整的情况下,大大提高了整体安全性。以上操作,整体实施技术难度低,效率高,效果好。中国人民大学已经初步完成了第一批九十多台服务器的调整,效果良好。
6.内部服务器访问外部网络全部通过正向代理服务器
实施反向代理服务器方案后,一些管理员和同事提出,服务器被访问的问题解决得不错,但是,服务器访问外部进行维护管理的时候还不是很方便。因为中国人民大学采用流量计费,Portal认证方式。服务器一般有两种方式访问外网,申请流量卡,通过浏览器登录通过验证后使用外网,或者申请服务器地址直通,计费完全失去管理和监控。
申请流量卡模式,主要问题是很多服务器不按照图形界面,没有浏览器,无法使用。直通模式,主要问题是使用没有监管,发生攻击异常流量现象时影响整体网络的稳定,以及滥用特权。
综上所述,通过外部反向代理服务器为校内各处的内网服务器建立安全保护机制,同时解决公网地址全校下发导致的配置和管理难题,通过对代理服务器端口管理,即可使局域网内服务器安全层级大大提高。通过内部正向代理服务器可以解决服务器校园网出口认证难题并将公用服务器纳入流量监管平台。正反代理服务器并非新技术,但是它们的合理部署和运用可以大大增加校园信息化服务和管理的水平,供各位同仁借鉴。
(作者单位为中国人民大学信息技术中心)