聚生网管学校绿色上网管理解决方案

一、概念

    现在很多的大、中、小学校，都已经为学生开通上网服务。但是互联网上的信息形形色色，很多信息都是影响学生健康成长的信息，必须把这些信息和学生隔离，使学生不能访问这些信息。所以，随之而来的问题是，怎样对学生的上网行为进行有效的管理，就成为学校管理者迫切需要解决的问题。这种管理，就被称之为学生的绿色上网管理。

    学校绿色上网管理，主要需要达到以下其中的几个或者全部目标：

1、禁止访问色情、暴力、毒品、邪教、成人等网站。
2、禁止使用QQ、MSN等聊天交友工具。
3、禁止访问不良游戏站点。
4、禁止点对点通信等浪费网络带宽资源的行为。
5、禁止发送不良信息。
6、对学生上网时间段和上网时长进行控制，防止沉溺于上网。
7、对访问日志进行记录保存，可以随时检查学生是否有不良访问。
8、对发送信息数据进行备份，可以随时检查学生是否有不良操作，在网上发布不良信息。

    归结起来，学校对学生的上网管理，存在3个方面的需求：1、控制学生上网时间长短和允许上网时间段；2、限制学生的访问网站范围；3、记录学生的访问日志和通信数据。落实到技术层面，就是学生电脑Internet通信的控制和过滤。

    如果您有这样的需求，或者类似的需求，那么，聚生网管学校绿色上网管理解决方案，正是您急切寻找需求的产品。

    聚生网管学校绿色上网管理解决方案，基于聚生网管过滤产品的强大功能，可以无缝透明地满足学校上网管理的需求，成本低廉，简单实用。该方案，也可适用于有着类似需求的非学校客户。

二、聚生网管过滤产品介绍

    聚生网管过滤系统是一款纯软件通信产品，全部功能都是为上网过滤管理需求而设计。产品是一个通用的上网过滤平台，适应学校、企业、政府部门等多种上网过滤和管理的需求，可灵活定制上层的各种过滤管理应用功能。通信数据的过滤处理，产品还支持第三方过滤器组件的二次开发，随时实现按需定制过滤。

    聚生网管过滤软件基于透明代理技术，实现网络通信数据的过滤处理。产品具有非常广泛的适应性，适应各种网络结构下的上网过滤需求。无论客户是通过网关服务器共享上网，还是通过硬件路由器上网，还是其它设备上网；无论客户的上网出口是何种方式，电话拨号、ADSL拨号、DDN、ISDN、专线静态IP、光纤接入等；无论是单上网出口，还是多上网出口负载均衡（或故障接管）；当需要上网过滤和管理时，聚生网管过滤产品都完全支持。而且聚生网管过滤产品还提供客户机流量带宽管理等附加功能，提供更为全面的上网管理。

三、两种典型网络结构的上网行为管理解决方案

    两种典型情况：网关服务器共享上网、硬件路由器上网，是学校常用的上网方式，详细说明如下。通过防火墙上网，是路由器上网的一种特殊方式，不再单独叙述。

1、网关服务器共享上网

    如图一，很多用户，都是通过一台服务器当作内部网络共享上网的网关服务器，上网接口是ADSL拨号（或者ADSL固定IP，或者ADSL非拨号动态IP），或者光纤拨号（或者光纤固定IP，或者光纤非拨号动态IP）。网关服务器具有双网卡，一块网卡接ISP提供的网线接口，另一块网卡接内部网络的交换机。

图一、网关服务器共享上网拓扑结构示意图

    在这种结构下，需要添加上网过滤和管理的功能，使用聚生网管过滤产品，则可以非常简单地得到实现。只需要在现有的网关服务器上安装聚生网管过滤软件及其过滤管理系统，即可达到上网管理和过滤的目标。网关服务器只要使用的是WIN2000、WINXP、WIN2003操作系统，不需要重装服务器，只需要安装聚生网管过滤系统，即可过滤。网关服务器上配置无需作什么其它改动，学生上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。如图二。

图二、网关服务器共享上网管理拓扑结构示意图

    在这种方式下，添加聚生网管过滤管理软件后，学生客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。在上网管理系统中，设置该学生ID号的过滤规则，对学生访问网站范围进行限制，该学生上网即受到限制，只能浏览规定范围内的网站，其它网站不能浏览。同时，网关服务器上的聚生网管过滤系统软件，自动对该学生的上网情况进行记录，并进行保存。同时，网关服务器上的聚生网管过滤系统软件，自动对该学生的上网时间进行控制，时间一到，立即禁止该电脑继续上网。

2、硬件路由器上网

    如图三，现在也有很多学校是通过一台硬件路由器上网（或者是通过硬件防火墙上网，原理同路由器）。路由器一端接内部网络的交换机，另一端接ISP提供的网线接口。上网出口方式多种多样，只要路由器支持，就都可使用。

图三、路由器上网拓扑结构示意图

    在这种结构下，怎样来添加上网管理的应用功能呢？在聚生网管的解决方案中，使用聚生网管过滤软件的桥接方式来达到上网管理的功能。

    如图四，该方案就是在交换机和路由器之间，插入一台计算机。该计算机具有双网卡，一块网卡连接路由器，另一块网卡连接交换机。安装聚生网管产品后，启用产品本身的网桥功能。该计算机成为一个网桥设备，透明地把交换机和路由器两端的通信连接起来。内部网络、内部电脑和路由器的配置都不用作任何改变，好象不存在这台网桥一样。网桥在网络中完全是透明的，因为网桥属于数据链路层设备，对上层TCP/IP通信透明。

图四、网桥上网管理拓扑结构示意图

    路由器配置无需作任何改变，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。

    在这种方式下，添加网桥计算机和聚生网管过滤软件后，学生客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。网桥过滤机上的聚生网管过滤软件，自动对每台客户机进行过滤。

    该方式非常灵活方便。需要过滤时，把过滤机到总交换机和路由器中间。不需要过滤时，或者过滤机出现故障，可以撤下过滤机，让总交换机和路由器直接连接，内部客户机无需做任何设置，仍然可以继续上网，不会受到任何影响。

    在这种方式下，添加聚生网管过滤管理软件后，学生客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。在上网管理系统中，设置该学生ID号的过滤规则，对学生访问网站范围进行限制，该学生上网即受到限制，只能浏览规定范围内的网站，其它网站不能浏览。同时，网关服务器上的聚生网管过滤系统软件，自动对该学生的上网情况进行记录，并进行保存。同时，网关服务器上的聚生网管过滤系统软件，自动对该学生的上网时间进行控制，时间一到，立即禁止该电脑继续上网。

四、方案可以达到的上网管理功能

1、聚生网管过滤系统产品，具有以下的上网管理功能，可以对学生上网进行日常管理。

1) 注册用户：为学生注册一个上网用户ID，对该学生的所有管理，就以该注册用户ID来进行。

2) 上网清单查询：查询用户在一个时间段内的上网清单、总时间、总流量。

3) 用户查询：查询用户的基本资料和上网统计情况。

4) 用户属性修改：修改用户的基本属性。

5) 注销用户：可以注销某个学生的帐号，禁止其继续使用。

6) 恢复用户：把前面注销的用户恢复过来，使其可以继续上网。

7) 每日注册用户清单：列出每天注册的用户清单。

8) 每月注册用户清单：列出每月注册的用户清单。

9) 统计日报表：统计每天的注册情况和上网情况。

10) 统计月报表：统计每月的注册情况和上网情况。

11) 统计年报表：统计每年的注册情况和上网情况。

12) 时间段统计报表：统计某个时间段（如本周）范围的注册情况和上网情况。

13) 使用时间排序表：对学生每月的上网时间量进行排序。

14) 使用流量排序表：对学生每月的上网总流量进行排序。

15) 操作员管理：系统可以限制不同操作员的不同操作权限，并记录每个操作员的关键操作日志。

16) 组管理：可以对用户ID进行分组管理，可以对一个组内的用户进行一次性的上网属性设置，方便简化操作。

17) 用户上网带宽管理：既可按用户组设置带宽，也可对某个用户单独设置带宽。

18) 每天允许上网时间管理。可以设置用户每天允许上网的时间，一天较多可以设置10个时间段，用户在这些时间段内才能上网，其它时间不能上网。不同用户，可以进行不同的设置。可以按组别设置，简化操作。

19) 用户ID、MAC地址和IP地址绑定：可以设置和修改用户可以使用的客户机电脑MAC地址，或者IP地址，使得某个帐号只能在某个MAC地址或者IP地址的电脑上使用。

20) 删除注销用户：当一个学生离职时，可以把该学生的数据彻底删除，避免浪费数据库空间。

2、聚生网管过滤产品，具有如下的过滤管理功能，可以对学生的上网行为，进行全面的过滤和记录。

支持TCP通信和UDP通信，两种数据的透明代理过滤。

支持网桥透明过滤。服务器配置成网桥，直接连到网络中，不改变现有网络任何设置，透明过滤。

可以设置某些客户机不进行透明代理，直接走IP路由通信，适应特殊通信的需要。

可以设置某些网站不进行透明代理，直接走IP路由通信，适应特殊通信的需要。

某个用户可以单独停止过滤，满足特殊情况的需要。

某个网站可以单独停止过滤，满足特殊情况的需要。

合理的过滤规则管理方法。缺省网站过滤规则、全局规则、用户组规则、用户规则，可以分4级设置不同的过滤规则，灵活方便地适应复杂过滤规则管理的需要。既解决巨大数量网站的规则管理问题，又适应少数特殊网站特殊设置例外规则的需要。

合理的过滤规则管理方法，使聚生网管支持上百万、上千万数量级的网站黑名单过滤，并且不显著降低过滤速度。

支持网站黑名单（禁止访问）、白名单（只允许访问），并且支持网站域名、网站IP地址、网站URL，三种设置方式。支持网站分类管理。

支持端口过滤。禁止访问哪些网站端口，或者只允许访问哪些网站端口。端口过滤支持FTP动态端口，但必须使用被动FTP模式。

支持IP地址段过滤。禁止访问哪些IP地址段的网站，或者只允许访问哪些IP地址段的网站。

支持文件扩展名过滤。禁止访问哪些扩展文件名的URL，或者只允许访问哪些文件扩展名的URL。此功能可以禁止下载、BT、电炉等。

支持内容MIME类型过滤。禁止访问哪些MIME类型的资源，或者只允许访问哪些MIME类型的资源。此功能可以禁止下载、BT、电炉等。

支持通信协议过滤。禁止哪些应用通信协议，或者只允许哪些应用通信协议。此功能可以禁止QQ、MSN、SMTP、POP3，等等通信。支持设置不同协议的识别规则，以管理各种不同的应用协议，适应灵活扩展需要，适应网络应用的不断发展。

支持HTTP请求头部字段过滤。禁止含有设定字段的HTTP请求数据包通过。

支持HTTP响应头部字段过滤。禁止含有设定字段的HTTP响应数据包通过。

支持HTTP通信数据的内容过滤。对通信网页内容进行关键词过滤，含有不良非法信息的网页，禁止浏览，也禁止在网上发表含有不良非法信息的内容。

内容过滤更支持一种独具特色的过滤方式，多关键词并发过滤。同时满足并发的多个关键词，才算满足条件；只包含其中的一个或几个，不是全部包含，不算满足条件。使内容过滤更加准确。

支持三种不同的过滤措施，满足实际不同需要。（1）、记录过滤日志，禁止访问。这是常规意义上的过滤概念。（2）、只记录过滤日志，但允许访问。一种高级的过滤技术。只把用户的触发过滤规则的日志记录下来，以备事后查看，但是并不实时干预用户的上网行为。（3）、不记录过滤日志，且禁止访问。较早种过滤措施的补充，避免过滤日志数据量过大。

支持创新性的三种内容过滤方式，使内容过滤更准确，措施更合适，避免一刀切。（1）、只要包含关键词就禁止访问网页。这是常规意义上的内容过滤行为。（2）、正文中包含就禁止访问网页，只在链接中包含则允许访问网页。该方式适应门户网站链接不良信息网站，但网页本身可以浏览。（3）、正文中包含就删除关键词，链接中包含则删除整个链接，但网页允许访问。该方式更为友好，直接把不良词语删除，但网页还是可以浏览。

过滤规则中，网站域名、URL等，都既支持完全匹配，又支持模糊匹配。

日志的选择性记录。访问日志和过滤日志，为了避免带来太多数量的日志，可以设置哪些文件扩展名的资源，不记录日志。例如网页中包含的大量gif、jpg、png等小图片的访问，对日志记录就无太大意义，可以不用记录这些文件的访问日志。

访问日志和过滤日志，可以选择保存到数据库中，也可以选择保存在文件中。如果保存到数据中，支持定期删除过期日志数据。如果保存到文件中，支持日志文件的自动备份和重新创建，避免日志文件过大。

可以监控每个上网连接会话的并发TCP连接数量。每个用户，可以设置不同的允许较大并发TCP连接并发数。

支持用户上网通信原始数据的备份保存。可以把用户的原始通信数据，原样备份保存到文件中，并可以按保存规则，解析数据，还原原始通信过程。

原始通信数据的保存，支持按多种方式保存，灵活适应实际需要。（1）、全部保存。（2）、只保存发送的HTTP数据，例如POST的数据。（3）、只保存指定协议的全部数据。例如只保存outlook收发邮件的原始通信数据。（4）、只保存指定协议的全部数据和发送的HTTP数据。第2种和第3种数据都保存。

原始数据保存文件，可以设置较大长度。超过较大长度，自动备份，并重新创建备份文件，重新开始备份，避免文件过大。

完善的日志记录功能。访问日志，记录用户ID、客户机IP、访问时间、站点和URL、端口、协议类型、方法（GET、POST等）、传输方向（发送、接收）。过滤日志，除记录下访问日志具有的所有数据外，还记录触发的是哪一类规则、触发的是哪一条规则，让管理员对过滤情况清楚把握，对用户的上网情况清楚了解。

灵活方便的日志查询功能。

支持通信数据过滤的第三方扩展。用户可以根据自己实际情况的需要，开发自己的过滤器组件，对
客户机通信数据进行自己需要的过滤和记录处理。

五、说明

1、学生上网身份识别

    要有效地对学生上网进行管理，上网时学生身份的识别，就非常重要。在本方案中，有多种方法可以识别上网学生身份。

    较早种方法是，学生上网，必须先进行上网登录，输入其ID号和密码，验证通过后，才能上网，否则不能上网。如此，可以明确地得知每个上网学生的身份，就可以准确地对学生上网进行管理。上网的登录，后台上网管理服务器会自动在学生上网时显示，操作非常方便，不会对学生上网造成大的不便。登录支持WEB登录和拨号客户端登录两种方式。

    第二种方法是，学生上网不需要登录，以学生电脑的网卡IP地址或者MAC地址来识别不同学生的身份，更进一步简化操作。但该种方法也有很大缺陷，因为网卡的IP地址或者MAC地址，都很容易被其它学生探知，从而可以修改自己的网卡MAC地址，冒充其它学生的身份。尤其是现在ARP病毒泛滥，该种方法的实际可用性，更为降低。

    学校可以根据自己实际情况，选择其中一种学生身份识别方法。

2、关于学生上网计费

    有的学校，在学生宿舍区也提供上网服务，除了需要进行绿色上网管理外，还需要对宿舍区的学生上网，进行计费。聚生网管过滤产品，也可以提供集成的计费功能。除上面所述的绿色上网过滤管理外，聚生网管产品还可以提供以下宽带计费功能。

1) 计费类型管理：可以随时修改不同计费类型的单价，增加和修改计费策略。限制、超量、封顶等计费策略，均可实现。

2) 注册用户：注册不同计费类型的用户，收取费用。

3) 上网续费：对于先付费购买上网时间或流量的用户，购买的数量使用完后，用户就不能再上网。该用户如果需要继续上网，可以续费。继续再购买一定数量，接着上网。续费可以在未到期之前续费，在原来的基础上延长。支持在线续费，不中断上网，及时生效。

4) 上网结帐：对于先使用后结算的用户，可以在需要的时候，对其进行结帐，根据计费策略，进行结算，计算出总费用。结帐后，既可注销用户；也可以不注销，继续使用，重新开始计算费用。

5) 注销用户：一个用户ID，当其不再需要继续上网，可以注销其帐号，禁止继续使用。也可强制把某个用户注销，阻止其继续使用。

6) 恢复用户：把前面注销的用户恢复过来，使其可以继续上网。

7) 上网清单查询：查询用户在一个时间段内的上网清单、总时间、总流量。

8) 用户查询：查询用户的基本资料和上网统计情况。

9) 用户属性修改：修改用户的基本属性。

10) 时间类型用户到期列表：对于先付费后使用、而且是时间类型的用户，购买时间已经用完到期的用户列表。

11) 流量类型用户到限列表：对于先付费后使用、而且是流量类型的用户，购买流量已经用完的用户列表。

12) 本月到期用户列表：对于先付费后使用、而且是时间类型的用户，购买时间在本月内到期的用户列表。

13) 先使用后结算类型用户上网统计列表：统计显示该类型所有用户已经使用的情况，列出已经使用费用。

14) 每日注册用户清单：列出每天注册的用户清单。

15) 每日结帐用户清单：列出每天结帐的用户清单。

16) 每日续费用户清单：列出每天续费的用户清单。

17) 每月注册用户清单：列出每月注册的用户清单。

18) 每月结帐用户清单：列出每月结帐的用户清单。

19) 每月续费用户清单：列出每月续费的用户清单。

20) 统计日报表：统计每天的基本情况，分为注册情况、结帐情况、续费情况、上网情况，并且按照每种类型分别列出。

21) 统计月报表：统计每月的基本情况，分为注册情况、结帐情况、续费情况、上网情况，并且按照每种类型分别列出。

22) 统计年报表：统计每年的基本情况，分为注册情况、结帐情况、续费情况、上网情况，并且按照每种类型分别列出。

23) 时间段统计报表：统计某个时间段（如本周）范围的基本情况，分为注册情况、结帐情况、续费情况、上网情况，并且按照每种类型分别列出。

24) 操作员管理，可以创建不同的操作员，限制不同操作员的操作权限，并记录每个操作员的每次关键操作日志。

25) 批次开户：指定开户起始用户ID号和数量，自动生成该批次用户ID号。可以立即激活，也可以单独激活。可以用此功能制作上网卡。

26) 组管理：可以对用户ID进行分组管理，可以对一个组内的用户进行一次性的组续费，方便学校等场所的上网管理。

27) VIP用户管理：可以设定长期用户的VIP级别，查询其累计消费情况，实行优惠、赠送等优惠措施。

28) 用户上网带宽管理：既可按用户组设置带宽，也可对某个用户单独设置带宽。

29) 退费处理。对于先购买后使用类型，用户中途可以退费，把未使用的部分退还用户。可以按天、月查询退费清单和总计。

30) 欠费处理：对于先使用后结算的类型，超过一定的使用量还不来结帐，或者押金已经不够，可以设置其为欠费状态，阻止其继续使用。结帐后，才能继续使用。

31) 每天允许上网时间管理。可以设置用户每天允许上网的时间，一天较多可以设置10个时间段，用户在这些时间段内才能上网，其它时间不能上网。不同用户，可以进行不同的设置。可以按组别设置，简化操作。

32) 用户ID、MAC地址和IP地址绑定：可以设置和修改用户可以使用的客户机电脑MAC地址，或者IP地址，使得某个帐号只能在某个MAC地址或者IP地址的电脑上使用。该功能方便学校等大用户数量情况的管理。

33) 自助注册确认生效：对用户自助注册的记录，进行确认，然后用户才能使用。

34) 控制一个帐号的并发使用人数：可以指定一个到多个。无论是先购买后使用、还是先使用后结算的用户，费用控制和结算，都是所有使用该帐号的用户的使用量的总合。

35) 押金管理：支持先使用后结算类型用户的押金收取，结帐时，多退少补。可以多次收取押金。

36) 全面的资金管理：对于各种业务资金，均可加以管理，并能够区分不同的操作员。支持购买款、押金款、结帐款、押金转结帐款、退购买款、退押金款，6种资金款项的分类管理和查询统计。

37) 优惠时段管理：支持优惠上网时段业务，不同时段内上网，价格不同。无论是按上网时间计费，还是按上网流量计费，优惠时段内，均可享受优惠价格。支持每年节假日优惠、每周闲时上网优惠、每天闲时上网优惠，这三大优惠类型。

38) 禁止用户运行二级代理：可以设置哪些用户禁止代理，哪些不需要禁止。既可按用户组设置，也可对每个用户单独设置。