楊敏 何蕓 侯波

摘要：隨著局域網(wǎng)網(wǎng)絡(luò)設(shè)備數(shù)量劇增、地震勘探部署精細化需求提升，高性能網(wǎng)絡(luò)架構(gòu)日趨復雜，處理解釋存儲集群綜合應用對網(wǎng)絡(luò)安全、管理和監(jiān)測帶來很大難度和隱患。利用SolarWinds網(wǎng)絡(luò)流量監(jiān)測軟件分析網(wǎng)絡(luò)軟硬件性能指標，流量實時探測，為地震部署設(shè)計高性能網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務流量預測與網(wǎng)絡(luò)規(guī)劃提供管理工具，同時，通過奇安信網(wǎng)絡(luò)設(shè)備針對局域網(wǎng)非法外聯(lián)、弱口令、病毒等安全隱患因素進行排查，定期掃描監(jiān)管網(wǎng)絡(luò)狀態(tài)，提高網(wǎng)絡(luò)安全防范可控性、精準性、高效性。

關(guān)鍵詞：流量采集；集中式部署；鏡像；告警

一、前言

網(wǎng)絡(luò)安全包含的特性有：保密性、完整性、可用性、可審查性。網(wǎng)絡(luò)安全面臨的威脅常見有入侵系統(tǒng)、病毒攻擊、木馬程序攻擊、后門攻擊等。每個安全層面的控制粒度相同，分為：局域網(wǎng)、廣域網(wǎng)、數(shù)據(jù)中心。筆者所在的單位屬于局域網(wǎng)，在網(wǎng)絡(luò)策略制定上，本文主要討論的是監(jiān)控策略層級，針對網(wǎng)絡(luò)管理監(jiān)控不同業(yè)務管理監(jiān)控重點需求差異，重點闡述二個工具設(shè)備軟件的性能特性及應用實踐，通過網(wǎng)絡(luò)集中監(jiān)測、管理、規(guī)劃，不僅保障生產(chǎn)網(wǎng)絡(luò)安全、高效的運行，也適應未來業(yè)務的拓展和變化。

二、網(wǎng)絡(luò)監(jiān)控部署架構(gòu)

（一）集中式部署

網(wǎng)絡(luò)安全準入控制系統(tǒng)支持集中管理和多級管理來滿足不同組織的管理需求，多樣部署接入網(wǎng)絡(luò)環(huán)境。設(shè)備區(qū)域部署將實現(xiàn)區(qū)域接入網(wǎng)絡(luò)的資產(chǎn)可見、活動可知、設(shè)備可控。

集中式部署適用于設(shè)備集中在一個區(qū)域，網(wǎng)絡(luò)光纖或?qū)＞€數(shù)據(jù)傳輸帶寬比較大，需要保障服務器和設(shè)備之間數(shù)據(jù)通信的場景。優(yōu)點是實施部署簡單、成本低、控制臺統(tǒng)一管理，此種部署方式適用于規(guī)模比較小、相對比較獨立的網(wǎng)絡(luò)環(huán)境部署。如：一整棟辦公樓，或一個視頻專網(wǎng)管理片區(qū)，在這種環(huán)境下，網(wǎng)絡(luò)規(guī)模較小，網(wǎng)絡(luò)拓撲較簡單，可將設(shè)備部署于網(wǎng)絡(luò)核心交換機旁，統(tǒng)一管理范圍內(nèi)的各類設(shè)備。

（二）分布式部署

分布式部署一般在眾多分支機構(gòu)被采用，機構(gòu)采用專線或站點對站點VPN的方式與總部網(wǎng)絡(luò)相連，需要確保設(shè)備安全穩(wěn)定運行的場景。在分支機構(gòu)獨立部署準入設(shè)備，統(tǒng)一管理平臺進行集中管理、策略下發(fā)、設(shè)備監(jiān)測等操作，采用“分布式部署、集中式管理”模式部署。由于設(shè)備下移，管理力度加強，風險控制小，安全穩(wěn)定，對于各種準入方式都適用。

（三）分級式部署

分級部署方式適用于眾多下屬分支機構(gòu)，并存在多級管理的需求，需要針對區(qū)域權(quán)限進行細分控制的場景。通過配置準入設(shè)備和同級準入統(tǒng)一管理平臺對接，二級管理平臺與一級管理平臺級聯(lián)的模式。準入設(shè)備由各自二級管理平臺管理，二級管理平臺受一級管理平臺監(jiān)管，接收一級管理平臺下發(fā)的策略模板，并上報基礎(chǔ)數(shù)據(jù)與告警至上級平臺，從而適應大型組織架構(gòu)下的靈活管理。

三、網(wǎng)絡(luò)監(jiān)測軟件設(shè)備介紹

（一）SolarWinds Orion Network Performance Monitor

SolarWinds是一款體系結(jié)構(gòu)的分布式網(wǎng)絡(luò)性能監(jiān)控系統(tǒng)，基于SNMP網(wǎng)絡(luò)管理協(xié)議的一款業(yè)界領(lǐng)先的網(wǎng)絡(luò)管理軟件，部署方便，適用于各種網(wǎng)絡(luò)架構(gòu)，針對各種不同設(shè)備MIB庫，自定義添加agent節(jié)點交換機等設(shè)備，實時形象展示性能監(jiān)測管理、流量探測的軟件工具[1]。它通過一個至關(guān)的基于Web的用戶界面提供有設(shè)備向設(shè)備的鉆取和詳細的系統(tǒng)信息，為路由器、交換機、無線接入點、服務器、虛擬化環(huán)境和其他開啟SNMP協(xié)議的設(shè)備提供監(jiān)控，跟蹤UP/DOWN狀態(tài)，及時深入分析以及進行網(wǎng)絡(luò)性能統(tǒng)計。

（二）奇安信準入監(jiān)控設(shè)備

奇安信網(wǎng)神網(wǎng)絡(luò)安全準入控制系統(tǒng)解決了網(wǎng)內(nèi)設(shè)備安全接入管理難的問題[2]。它能夠輕松實現(xiàn)網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)識別、接入感知、用戶識別、多類型設(shè)備統(tǒng)一接入控制、仿冒檢測和處置、安全合規(guī)檢查、狀態(tài)監(jiān)控、IP 地址管理與使用監(jiān)控等安全管理功能。控制中心采用B/S 架構(gòu)，接入控制器中內(nèi)置控制中心，同時支持在外部服務器通過軟件安裝包安裝控制中心，滿足不同規(guī)模單機管理或分布式集中管理的需求。

四、網(wǎng)絡(luò)監(jiān)測工具工作模式及特性

（一）工作模式

網(wǎng)絡(luò)監(jiān)控是針對局域網(wǎng)內(nèi)的計算機進行監(jiān)視和控制，奇安信設(shè)備接入控制器支持旁路監(jiān)聽、策略路由、網(wǎng)橋三種工作模式。不同的工作模式對原有網(wǎng)絡(luò)影響不同，設(shè)備管控效果不同。設(shè)備以何種方式工作需要根據(jù)實際網(wǎng)絡(luò)環(huán)境和需求而定。

1.旁路監(jiān)聽

采用旁路監(jiān)聽部署模式通過交換機流量鏡像方式獲取流量數(shù)據(jù)。旁路監(jiān)控模式部署起來靈活方便，只需要在交換機上配置鏡像端口即可，不會影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。而串聯(lián)模式一般要作為網(wǎng)關(guān)、網(wǎng)橋或者代理服務器，所以需要對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行變動。旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù)，對原始傳遞的數(shù)據(jù)包不會造成延時，不會對網(wǎng)速造成任何影響。而串聯(lián)模式是串聯(lián)在網(wǎng)絡(luò)中的，那么所有的數(shù)據(jù)必須先經(jīng)過監(jiān)控系統(tǒng)，通過監(jiān)控系統(tǒng)的分析檢查之后，才能夠發(fā)送到各個客戶端，所以會對網(wǎng)速有一定的延時。

2.策略路由

策略路由是一種比基于目標網(wǎng)絡(luò)進行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機制。作用是：路由器通過路由圖決定如何對需要路由的數(shù)據(jù)包進行處理，路由圖決定了一個數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器[3]。在策略路由模式下，接入控制器通常串聯(lián)于管控區(qū)域出口處，管控區(qū)域內(nèi)設(shè)備穿越邊界的報文。根據(jù)管控效果與成本的平衡，可適當下移控制器部署位置以實現(xiàn)管控效果的最優(yōu)化。策略路由對所有報文進行檢查，支持對UDP報文進行阻斷。具有管控效果好，能夠最大利用最大帶寬等優(yōu)點。但同時策略路由需修改原有網(wǎng)絡(luò)拓撲，不支持硬件bypass。部署時需根據(jù)實際需求進行評估選擇。

3.網(wǎng)橋模式

IP 報文同樣經(jīng)過接入控制器的檢查，內(nèi)部不合規(guī)終端的報文無法穿越接入控制器。透明網(wǎng)橋模式下，接入控制器通常串聯(lián)于管控區(qū)域出口處，管控區(qū)域內(nèi)設(shè)備穿越邊界的報文。

（二）功能特性

經(jīng)過局域網(wǎng)絡(luò)長期的測試與監(jiān)控需求，我們采用SolarWinds Orion NPM和奇安信準入認證設(shè)備組成整體解決方案。

1.Orion NPM是網(wǎng)絡(luò)管理基礎(chǔ)軟件，在故障和性能管理方面，能快速地檢測、診斷和解決網(wǎng)絡(luò)問題。使用挖掘圖表（Drill-downMap）等視圖方式，簡化網(wǎng)絡(luò)問題排查。通過一個流行的備用引擎、多個輪詢引擎以及附加的網(wǎng)絡(luò)服務器進行調(diào)整，以滿足擴展和管理需求，通過結(jié)合相關(guān)事件、持續(xù)情況和設(shè)備狀態(tài)來實現(xiàn)高級警報。具體特性如下：

（1）自定義MIB輪詢

通過MIB輪詢，自定義MIB庫，可以靈活監(jiān)控局域網(wǎng)路由器、交換機、無線網(wǎng)卡、服務器任何支持SNMP的設(shè)備[4]。通過MIB表搜集詳細信息，監(jiān)控設(shè)備軟硬件性能。

（2）全局狀態(tài)和分析頁面

通過管理Web頁面查看數(shù)千交換機軟硬件指標性能和端口狀態(tài)，進行統(tǒng)計分析，快速診斷網(wǎng)絡(luò)性能和可用性問題。

（3）基于角色的的訪問控制

對部門、小組和用戶建立相應帳號，可以精確指定用戶訪問管理界面的授權(quán)信息。管理員管理賬號，通過自定義Web視圖，查看監(jiān)控報警信息，定義重點管理的設(shè)備端口，查看局域網(wǎng)拓撲圖等。

2.奇安信準入認證整個設(shè)備入網(wǎng)控制工作性能流程主要包含五個環(huán)節(jié)：資產(chǎn)識別、身份認證、合規(guī)檢查、異常處置和訪問控制，如表1所示。

（1）資產(chǎn)識別

支持多種方式發(fā)現(xiàn)與識別資產(chǎn)，包括攝像頭、打印機、電話、ATM、工控機等各類設(shè)備。設(shè)備通過學習建立行為模型，形成資產(chǎn)黑白名單，監(jiān)測非法設(shè)備接入。準入系統(tǒng)支持對資產(chǎn)的廠商名稱、設(shè)備類型、設(shè)備型號、IP 地址、MAC地址、接入位置等多種屬性進行管理，并支持資產(chǎn)的批量導入導出。

（2）身份認證

支持Web認證、802.1x認證等多種準入控制方式，強制接入網(wǎng)絡(luò)的IoT設(shè)備進行身份認證或資產(chǎn)登記，未通過身份認證或資產(chǎn)登記的設(shè)備無法接入網(wǎng)絡(luò)或僅可以進入隔離區(qū)進行隔離修復。

（3）合規(guī)檢查

能夠通過主動掃描及流量分析的方式探查IoT設(shè)備合規(guī)情況，可以檢查是否存在弱口令、違規(guī)開放端口、非法外聯(lián)、被其他設(shè)備仿冒等問題，檢查設(shè)備的流量是否超過管理員設(shè)定的最小值或最大值等情況。當發(fā)現(xiàn)設(shè)備未滿足合規(guī)要求，本產(chǎn)品將根據(jù)管理員的策略配置對不合規(guī)設(shè)備進行阻斷或日志記錄。

（4）訪問控制

基于設(shè)備的使用人信息、設(shè)備類型信息、操作系統(tǒng)、設(shè)備合規(guī)狀態(tài)等多維度進行動態(tài)授權(quán)和訪問控制，確保網(wǎng)內(nèi)設(shè)備僅擁有受限的網(wǎng)絡(luò)訪問權(quán)限。當存在設(shè)備進行超越權(quán)限的網(wǎng)絡(luò)訪問請求時，將根據(jù)管理員配置對越權(quán)設(shè)備進行網(wǎng)絡(luò)阻斷。

五、網(wǎng)絡(luò)監(jiān)控管理實踐

（一）SolarWinds Orion Netork Performance Monitor軟件

建立OrionNPM管理服務器，通過實踐和網(wǎng)絡(luò)管理要求，實現(xiàn)如下應用：

1.通過門戶管理界面監(jiān)控網(wǎng)絡(luò)設(shè)備軟硬件性能指標， 比如端口利用率、丟包率、延時、 errors、discards 和CPU負載等，監(jiān)控完整的鏈路狀態(tài)，追蹤訪問路徑。

2.實現(xiàn)對詳細問題的診斷和網(wǎng)元分析，包括狀態(tài)、IP地址、設(shè)備類型、歷史丟包百分比、歷史延遲信息、歷史數(shù)據(jù)流量信息等等。自動發(fā)現(xiàn)和顯示不同設(shè)備之間的連接關(guān)系。

3.自動發(fā)現(xiàn)和顯示設(shè)備直接的連接關(guān)系，創(chuàng)建嵌套的多層拓撲圖，基于地域、部門、樓層、建筑、機房、機柜等，使用簡單的拖拽，實現(xiàn)個性化拓撲圖展示。

4.通過閾值、Top排行、自定義視圖及各類圖表化的展示，突出分析網(wǎng)絡(luò)問題。

5.通過自動化的網(wǎng)絡(luò)發(fā)現(xiàn)，通知管理員網(wǎng)絡(luò)中增加或者移除設(shè)備。

（二）奇安信準入認證設(shè)備

筆者單位網(wǎng)絡(luò)規(guī)模較小，采用集中網(wǎng)絡(luò)部署架構(gòu)，在不影響原有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，采用旁路監(jiān)聽部署模式，通過交換機流量鏡像方式獲取流量數(shù)據(jù)，取得了很好的監(jiān)管效果。實現(xiàn)如下功能應用：

1.違規(guī)訪問報警：通過安裝客戶端周期監(jiān)測用戶非法網(wǎng)絡(luò)外聯(lián)情況；

2.資產(chǎn)登記：支持設(shè)備自動發(fā)現(xiàn)及手動分組、部門分類統(tǒng)計，導出資產(chǎn)數(shù)據(jù)表格；

3.網(wǎng)絡(luò)病毒發(fā)現(xiàn)：異常流量常規(guī)報警，防止病毒擴散，實現(xiàn)預防查殺；

4.桌面機漏洞診斷：實時掃描監(jiān)測PC機弱口令、系統(tǒng)補丁漏洞等情況，實現(xiàn)問題機器阻斷網(wǎng)絡(luò)訪問；

5.全盤掃描分析：周期全盤掃描，排查可疑文件、盜版軟件安裝情況，實現(xiàn)定期網(wǎng)絡(luò)安全性檢測。

六、結(jié)語

高效局域網(wǎng)管理可以使現(xiàn)有的網(wǎng)絡(luò)安全達到真正的“可信”[5]。從被動響應到主動合規(guī)，從日志協(xié)議到業(yè)務行為審計， 實現(xiàn)對業(yè)務行為的認證、控制和審計；從各自為政到整體運維，同步推進安全技術(shù)和安全管理，雙管齊下。利用更多軟件工具、方法，擴展開發(fā)更多功能，實施全局部署網(wǎng)絡(luò)安全監(jiān)測管理方案，通過網(wǎng)絡(luò)性能監(jiān)測和健康度評判，加強局域網(wǎng)內(nèi)部網(wǎng)絡(luò)管理深度廣度，取得了良好的效果。未來將更深入針對網(wǎng)絡(luò)整體架構(gòu)和設(shè)備軟硬件指標性能以及實時動態(tài)流量數(shù)據(jù)，進行深度解析及監(jiān)管，實現(xiàn)智能型、信息化、高效率的網(wǎng)絡(luò)管理模式。

參考文獻

[1]胡存生.局域網(wǎng)——組網(wǎng)技術(shù)與維護管理[M].北京：電子工業(yè)出版社，2004.

[2]謝希仁.計算機網(wǎng)絡(luò)（第五版）[M].北京：電子工業(yè)出版社，2008.

[3]劉小偉.電腦局域網(wǎng)全面上手[M].北京：海洋出版社，2003.

[4]黃燕.計算機網(wǎng)絡(luò)教程[M].北京：人民郵電出版社，2004.

[5]黃傳河.計算機網(wǎng)絡(luò)應用設(shè)計[M].武漢：武漢大學出版社，2004.

作者單位：新疆油田公司勘探開發(fā)研究院地球物理研究所