宋瑩，潘振祥，王志勇

（河南省國土資源廳 信息中心，河南 鄭州 450016）

目前，我國政府部門電子政務工作的重點已從大規(guī)模網(wǎng)絡、平臺、業(yè)務系統(tǒng)的建設階段轉(zhuǎn)向以深化應用、提升應用效益為主要特征的“運行維護”階段[1]。承載電子政務系統(tǒng)運行的內(nèi)部辦公網(wǎng)絡一般分為內(nèi)網(wǎng)和外網(wǎng)兩個相互獨立的網(wǎng)絡，內(nèi)網(wǎng)承載政務系統(tǒng)的運行，外網(wǎng)一般不承載或者承載少量非核心的業(yè)務系統(tǒng)，與互聯(lián)網(wǎng)相連。由于內(nèi)網(wǎng)故障會直接導致政務審批工作的中斷，所以，內(nèi)網(wǎng)安全一直是網(wǎng)管員們關(guān)注的重點，外網(wǎng)運維管理一直放在次要的位置。但是，隨著互聯(lián)網(wǎng)應用的發(fā)展，外網(wǎng)的運維管理也越來越重要。

1 政府部門外網(wǎng)應用需求

外網(wǎng)應用的典型特征是要與互聯(lián)網(wǎng)保持暢通，一邊滿足服務民眾的需求，一邊滿足政府工作人員登錄互聯(lián)網(wǎng)的需求。

《中華人民共和國政府信息公開條例》自2008年實施以來，政府信息公開和政府門戶網(wǎng)站建設成為各級政府部門很重要的一項工作，納入崗位責任考核，并且不斷提高考核要求。因此，各個政府門戶網(wǎng)站信息公開內(nèi)容越來越豐富，交互服務功能也越來越多。如國土資源行業(yè)，土地和礦產(chǎn)資源的審批公告要及時公布，土地使用權(quán)交易和礦業(yè)權(quán)交易必須提前公示，讓申請人在規(guī)定時間內(nèi)提出采購申請，時效性很強，各級國土資源部門已把這些公告和公示從傳統(tǒng)媒體轉(zhuǎn)移到門戶網(wǎng)站，設定專門欄目予以發(fā)布。門戶網(wǎng)站的交互功能也從原來單一的郵箱功能變成公眾參與的諸多欄目，如在線咨詢、在線訪談、網(wǎng)上調(diào)查、網(wǎng)上申報等[2]，為民眾提供更加便利的服務，體現(xiàn)政府的服務職能。

政府工作人員在工作中也越來越依賴互聯(lián)網(wǎng)資源。撰寫公文，需要在互聯(lián)網(wǎng)上搜集信息，了解政策；日常辦公，大量公文及管理工作資料也常常在本級或者上級門戶網(wǎng)站公開，政府網(wǎng)站往往設計“管理工作”和“資料下載”欄目，方便工作人員下載使用；常常使用郵件、即時工具，和上下級、同行、業(yè)務支撐合作單位等保持溝通，傳遞一些不涉密的工作資料，加快推進工作進度。特別是，還有一些單系統(tǒng)業(yè)務數(shù)據(jù)也要通過互聯(lián)網(wǎng)鏈路及時上報上級部門。

隨著這些應用的拓展，政府部門外網(wǎng)一旦中斷，門戶網(wǎng)站服務器將不能再對外提供服務，給民眾帶來很大的不便，工作人員辦公也會受到很大影響，因此，外網(wǎng)安全已逐漸和內(nèi)網(wǎng)網(wǎng)絡安全提到同樣重要的位置，外網(wǎng)時刻與互聯(lián)網(wǎng)保持暢通成為外網(wǎng)管理必須完成的一個任務。

2 外網(wǎng)運維管理體系

為了滿足以上外網(wǎng)運維管理需求，我廳外網(wǎng)運維管理體系分為以下3個層次。

2.1 核心網(wǎng)絡防火墻+網(wǎng)絡客戶端管理，保障網(wǎng)絡基礎安全

圖1 網(wǎng)絡運維管理體系圖Fig.1 Network operation and maintenance management system

對網(wǎng)絡劃分多個安全域，增加網(wǎng)絡訪問控制來提高安全級別，實現(xiàn)內(nèi)部網(wǎng)絡訪問的高安全性，目前技術(shù)最為成熟的專用網(wǎng)絡訪問控制設備就是網(wǎng)絡防火墻。作為整個政府單位網(wǎng)絡的第一道屏障，必須在外網(wǎng)部署防火墻功能，防火墻設備的性能需要參考外網(wǎng)帶寬，以及應用要求，包括并發(fā)連接數(shù)以及每秒新建連接數(shù)指標等[3]。網(wǎng)絡防火墻的接入實現(xiàn)有獨立防火墻設備與交換機專用防火墻模塊兩種方式，防火墻模塊安裝在核心交換機模塊擴展槽位，通過背板連接的形式與核心交換機各板卡間實現(xiàn)了高速通信，從而將核心交換機“變成”多端口的防火墻，轉(zhuǎn)發(fā)性能超過專用的千兆防火墻。本方案采用交換機專用防火墻板，對服務器區(qū)域進行劃分，分為管理服務器區(qū)和對外業(yè)務服務器區(qū)。

在管理服務器區(qū)架設一臺服務器部署網(wǎng)絡客戶端管理系統(tǒng)，利用該系統(tǒng)，可以對客戶端資源進行有效管理，對IP地址實施管理，定位人員和計算機；部署安全策略，實施網(wǎng)絡接入控制，不合法的計算機不允許介入網(wǎng)絡；實施網(wǎng)絡訪問控制，網(wǎng)絡殺毒軟件及操作系統(tǒng)補丁升級不及時則發(fā)信息提醒安裝，甚至不允許登錄網(wǎng)絡。

通過核心網(wǎng)絡防火墻和網(wǎng)絡客戶端管理系統(tǒng)，保障網(wǎng)絡基礎安全。

2.2 外網(wǎng)出口管理，實施互聯(lián)網(wǎng)登錄管理和流量控制

在互聯(lián)網(wǎng)出口部署網(wǎng)絡防火墻，負責網(wǎng)內(nèi)用戶上網(wǎng)的NAT轉(zhuǎn)換，對進出外網(wǎng)的數(shù)據(jù)包進行過濾，過濾常見網(wǎng)絡病毒，并實施門戶網(wǎng)站服務器、FTP服務器等重要服務器的對外服務轉(zhuǎn)換功能，以及對各服務器所提供的服務進行訪問控制。在管理服務器區(qū)架設一臺服務器部署日志審計系統(tǒng)，對出口流量進行審計，系統(tǒng)提供對多種網(wǎng)絡服務（SMTP、POP3、WEB、FTP、DHCP等）的監(jiān)視，滿足國家互聯(lián)網(wǎng)登錄管理中的相關(guān)審計要求。目前，網(wǎng)絡防火墻和日志審計系統(tǒng)已是互聯(lián)網(wǎng)出口管理必備的設備。

隨著互聯(lián)網(wǎng)應用的發(fā)展，這樣的管理手段已不能滿足管理需要，網(wǎng)內(nèi)用戶不斷抱怨網(wǎng)絡登錄速度慢，甚至常常出現(xiàn)不能登錄現(xiàn)象，通過互聯(lián)網(wǎng)向上級直報數(shù)據(jù)也往往無法登錄。通過分析，原因主要是：1）登錄互聯(lián)網(wǎng)的用戶增加，由原來的一個部門1～2臺計算機逐漸變?yōu)槊總€人一臺，網(wǎng)內(nèi)用戶約600人，在線用戶也逐漸在增加，工作時間內(nèi)在線用戶常常保持在400～500人，而出口帶寬經(jīng)過擴容增加為100 M；2）P2P等無關(guān)業(yè)務占據(jù)了大量的傳輸資源，造成了其他應用的接入困難；3）對P2P等無關(guān)業(yè)務缺乏監(jiān)測和管理手段，無法做到流量合理分配，單純擴容造成資金成本提高，卻無法從根本上解決問題。近來出現(xiàn)一些P2P封殺工具，但簡單封殺并不是最根本的解決途徑，同時P2P也是一種很不錯的網(wǎng)絡應用技[4]。如何有效地分析網(wǎng)絡應用協(xié)議，合理規(guī)劃帶寬資源，才是最終的解決途徑[5]。因此，我們在防火墻后增加一臺專用流量控制設備，采用透明橋接方式串聯(lián)在外網(wǎng)核心交換機與防火墻之間，保證所有進出流量可以管理。

根據(jù)實際情況，目前流量的分配如圖2所示。

重要用戶組：此組包含外網(wǎng)重點業(yè)務，如業(yè)務審批配號系統(tǒng)等的用戶，優(yōu)先保障；服務器組：此組包含外網(wǎng)WEB服務器等IT基礎架構(gòu)中需要進行帶寬保證的各服務器；P2P組：此組進行P2P，流媒體等大流量應用的帶寬合理分配，通過帶寬限制保證不影響正常用戶的互聯(lián)網(wǎng)瀏覽等。

經(jīng)過帶寬擴容和流量調(diào)控，在測試期，經(jīng)過不斷的觀察，收集反饋和優(yōu)化，目前我廳互聯(lián)網(wǎng)流量典型情況如圖3所示。結(jié)合日常高峰時段流量分析，P2P流量得到合理限制，在兼顧P2P下載的同時，總流量無明顯峰值，目前我廳互聯(lián)網(wǎng)業(yè)務系統(tǒng)訪問速度大幅提高，網(wǎng)站瀏覽流暢，P2P流量得到了合理分配，互聯(lián)網(wǎng)登錄的不同應用需求得到相應保障。

2.3 入侵檢測系統(tǒng)+安全管理平臺，保障網(wǎng)絡故障的快速反應

圖2 網(wǎng)絡流量分配策略Fig.2 Network flow distribution strategy

圖3 日常網(wǎng)絡流量趨勢圖Fig.3 Daily network flow trend

在核心交換機以旁路方式部署一臺IPS設備，它作為入侵防御系統(tǒng)可以識別并阻止惡意流量、蠕蟲、病毒和應用程序濫用；提供智能化的威脅檢測和保護；借助聲譽過濾和全局監(jiān)測，防止威脅入侵。

在核心交換機以旁路方式部署一臺綜合安全管理平臺，全稱為安全監(jiān)控分析和響應系統(tǒng)（MARS）。此系統(tǒng)是一個威脅管理、監(jiān)控和防御設備，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測、熱點識別和自動防御功能相結(jié)合[6]，自動實現(xiàn)威脅等級分析、網(wǎng)絡攻擊拓撲描繪、網(wǎng)絡防御方案即時生成等功能，可以幫助準確識別和消除網(wǎng)絡攻擊。

設定IPS與 MARS聯(lián)動，作為探測器為MARS服務，在核心交換機上做鏡像端口，把需要檢測的流量引入到IPS。確定MARS與IPS直接的鏈路是相同的，數(shù)據(jù)可以正常到達。

3 網(wǎng)絡運維事件分析

2012年×月×日14:30左右，出現(xiàn)互聯(lián)網(wǎng)訪問困難，甚至出現(xiàn)部分Vlan全部無法訪問外網(wǎng)。通過應用已部署的管理工具，逐步分析解決了這次故障，特別是近期部署的MARS為快速定位故障點起到了重要的作用。

3.1 簡單定位，撤掉出口流量控制設備

接到用戶電話后，分析故障現(xiàn)象，首先通過本地終端查找數(shù)據(jù)包傳輸中在哪個節(jié)點出現(xiàn)問題，操作步驟如下：

1）首先從終端PC機PING網(wǎng)關(guān)，鏈路通；

2）PING核心交換機的上連接口地址，鏈路通；

3）PING防火墻下連接口地址，出現(xiàn)大量丟包現(xiàn)象。

觀察網(wǎng)絡中設備狀況，發(fā)現(xiàn)流控設備警告燈長亮，嘗試登錄流控管理界面，已經(jīng)無法正常進入，故將流控設備撤除，使核心與防火墻直接互聯(lián)，觀察終端訪問互聯(lián)網(wǎng)絡，發(fā)現(xiàn)問題消失，訪問外網(wǎng)正常。

事后查詢流量控制設備的統(tǒng)計報表，發(fā)現(xiàn)當時的流量已遠超過日常的100～120 M總流量如圖3所示，最高值沖到了180 M，如圖4所示。

圖4 故障期間流量趨勢圖Fig.4 Daily network flow trend during the fault

3.2 出口防火墻資源占用超高，核心交換機資源占用正常，傳統(tǒng)分析方法陷入僵局

經(jīng)過幾分鐘的使用后，網(wǎng)絡再次出現(xiàn)大量丟包現(xiàn)象，繼續(xù)查找問題所在。

通過上面排查現(xiàn)象，初步認為是外網(wǎng)防火墻的問題。直接使用PC與防火墻的MGMT管理口相連，使用PING管理地址驗證鏈路互通情況，發(fā)現(xiàn)即使通過管理口相連，也會出現(xiàn)大量丟包現(xiàn)象，無法順暢登錄到防火墻的管理界面。根據(jù)此現(xiàn)象，懷疑防火墻的CPU與內(nèi)存利用率占用過高導致無法正常運轉(zhuǎn)。最后通過登錄到管理界面（速度很慢），驗證防火墻的利用率確實高達70%多。根據(jù)以上現(xiàn)象，結(jié)合部分Vlan完全無法訪問外網(wǎng)，其他用戶卻可以訪問的現(xiàn)象，初步認定是局域網(wǎng)中有病毒大量泛洪，導致網(wǎng)絡癱瘓。

為了驗證是否為病毒攻擊，登錄到核心交換機查看資源利用率，從telnet到核心，查看CPU與內(nèi)存情況，截圖如圖5所示。通過查看發(fā)現(xiàn)核心交換機利用率并不高，這樣就感覺病毒攻擊引起的可能不是太大，如果為病毒泛洪，核心交換機的CPU和內(nèi)存使用率也會居高不下。

3.3 應用MARS和客戶端管理系統(tǒng)，找到了故障原因

為了進一步查找問題根源，使用了前期剛剛進入試運行的MARS及IPS傳感器體系，通過查找問題發(fā)生時間段的MARS告警分析，有圖6顯示的信息。

圖5 核心交換機資源利用率Fig.5 Core switch resources utilization

圖6 故障期間網(wǎng)絡拓撲圖Fig.6 Network topology during the fault

根據(jù)圖中顯示，大量客戶終端主機都通過某一臺主機訪問外部固定的公網(wǎng)地址。根據(jù)IP地址和客戶端管理系統(tǒng)，查詢到此主機為某處室人員使用，上樓查看，發(fā)現(xiàn)該處室大量終端同時都在訪問某考試網(wǎng)站觀看同一培訓視頻。綜合以上故障現(xiàn)象，交換設備分析，并利用MARS系統(tǒng)的異常事件分析功能，排除了網(wǎng)絡中大規(guī)模病毒爆發(fā)的懷疑，問題確定為多個用戶同時訪問同一網(wǎng)站的同一視頻，造成流量控制設備先前策略無法定位，策略失效，引起帶寬的大量占用，從而導致其他用戶無法正常上網(wǎng)。

3.4 解決方法

登錄離線狀態(tài)的流量控制設備，更改限制單IP最大帶寬額，分別調(diào)整為原始值的50%，保存配置。經(jīng)過觀察，網(wǎng)絡使用情況恢復正常。且此策略下面對今后出現(xiàn)的類似應用，也不會造成流控或防火墻的過高負載。至此故障解決。

4 結(jié) 論

網(wǎng)絡運維體系建設是一個不斷適應和發(fā)展的過程。明確網(wǎng)絡應用需求，選擇合適的網(wǎng)絡運維管理方式和技術(shù)工具，根據(jù)實際應用，配置恰當?shù)牟呗?，并隨著應用的發(fā)展不斷調(diào)整。

[1]運維管理體系的論述[EB/OL].http://wenku.baidu.com/view/fc54c1c608a1284ac8504381.html.

[2]河南省國土資源廳門戶網(wǎng)站[EB/OL].http://www.hnblr.gov.cn/viewpage?path=/index.html.

[3]曾昶.政府外網(wǎng)優(yōu)化設計實踐 [J].通信與信息技術(shù)，2010（2）：60-62.ZENG Yong.Optimization design of the outside network in government[J].Communication and Information Technology，2010（2）：60-62.

[4]蔡一聞.淺談如何優(yōu)化高校網(wǎng)絡運維管理[J].科技資訊，2009（10）：31-32.CAI Yi-wen.How to optimize the operation and maintenance management in university network[J].Science and Technology Information，2009（10）：31-32.

[5]吳京偉.大學校園網(wǎng)絡運維體系研究[M].安徽：合肥工業(yè)大學，2009.

[6]安全監(jiān)控分析和響應系統(tǒng)概覽[EB/OL].http://wenku.baidu.com/view/5a54b10abb68a98271fefaac.html.