文/周正凯

　　在电信局宣传宽带的小册子上，在注意事项一栏中用黑体字非常醒目地印着本地DNS的IP地址，这在学生中一传十、十传百，很快就“地球人都知道”了；另外一些学生本来就是用教育网的代理上Internet，DNS的改变对他们更是没任何影响。

　　哪种方法适合您

　　于是，只好改回我原来的手段——改代理服务器的端口地址，其实这个方法也很简单，默认的代理服务器WWW服务端口是80，可用随便10000到65535的任意一个不会与其他服务冲突的端口号代替，具体方法大家查查代理服务器的帮助。采用这种方法只要学生不用黑客工具扫描端口就不会猜出来。

　　但实现这个方法还要找网管，太麻烦！最简单的方法当然就是拔掉教室连到中心交换机的RJ-45插头，可每次还得跑到网络中心，并且拔插次数多了插头就损坏了。其实还有更好的方法去“拔”插头，Cisco 1900以后的系列的交换机都支持Web方式管理，在IE的地址栏输入交换机的IP地址就登录到交换机，验证身份后出现管理界面上(如附图所示)，选中从教室级联的端口，“Shut Down”就行了。

　　如果交换机不支持网管，还可以在路由器上做文章。现在大部分的路由器和交换机一样，都采用了Web的管理界面，设好了IP地址后就可以用IE直接登录上去，不用专门去学IOS(交换机、路由器的操作系统，以前我可是很辛苦地学了两个月啊)的命令行。

　　一点补充

　　另外，强烈建议不要让学生的计算机直接通过路由出去。一条没有河堤的江河随时都有可能泛滥成灾，一条没有代理服务器和防火墙的Internet连接同样很危险，等于给黑客和尼姆达之类的病毒留了一个后门。

　　代理服务器的防火墙技术与以往的包过滤(Packet Filter)型防火墙不同。它是处在网络ISO/OSI模型中的最顶层，工作在TCP/IP协议栈的应用层，因而属于应用层防火墙(Application Level Firewall)。应用层防火墙是针对不同网络服务提供细致而又安全的网络保护，它可以对每一种服务分别进行安全隔离，内部网络不直接与外部网络连接。黑客在Internet上只能看到代理服务器本身。代理服务器可以大大降低分组过滤的复杂性，比如要屏蔽含有“某某”的不良站点，在代理服务器软件中加上一条“拒绝对含有‘某某’关键字站点的访问要求”过滤条件就行了，而包过滤技术只能对IP地址或服务端口屏蔽，即要么查出所有“某某”站点的IP地址并屏蔽，要么只能拒绝所有的对外部网络的WWW访问。

　　保护学生免受互联网不良信息的危害是每个教师义不容辞的责任，虽然现在有客户端过滤软件，但只维护代理服务器和每个工作站上都装客户端软件，哪个更有效、更易于管理是不言自明的。

　　(责任编辑冲锋队)