方 圓 張 亮 俞駿豪 盛劍橋

（國(guó)網(wǎng)安徽省電力有限公司信息通信分公司，安徽 合肥230000）

1 概述

現(xiàn)階段，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、復(fù)雜性不斷增加、網(wǎng)絡(luò)的異構(gòu)型越來(lái)越高是計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)。目前，交換機(jī)已廣泛應(yīng)用于網(wǎng)絡(luò)建設(shè)領(lǐng)域，并已成為網(wǎng)絡(luò)建設(shè)必不可少的一部分，但隨著公司業(yè)務(wù)的拓展，交換機(jī)種類與數(shù)據(jù)不斷增加，交換機(jī)在端口安全接入方面存在端口未使用且未關(guān)閉、長(zhǎng)時(shí)間未開(kāi)啟或未關(guān)閉、HUB 端口等情況，采用人工排查的方式既浪費(fèi)時(shí)間，又無(wú)法準(zhǔn)確排查出問(wèn)題，給網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行帶來(lái)了一定安全隱患，因此，如何快速排查交換機(jī)端口安全使用情況是保障網(wǎng)絡(luò)安全運(yùn)行的重要方面之一。

通過(guò)開(kāi)展交換機(jī)端口安全接入檢測(cè)系統(tǒng)的設(shè)計(jì)與應(yīng)用，利用SNMP、SSH 技術(shù)實(shí)現(xiàn)對(duì)交換機(jī)端口情況進(jìn)行快速探測(cè)與分析，準(zhǔn)確、全面實(shí)現(xiàn)交換機(jī)端口的安全檢測(cè)，提升交換機(jī)的安全性，加強(qiáng)對(duì)交換機(jī)端口的監(jiān)測(cè)和管控。

圖1

2 系統(tǒng)設(shè)計(jì)與原理

2.1 系統(tǒng)設(shè)計(jì)

2.1.1 系統(tǒng)設(shè)計(jì)原則要求

為保證系統(tǒng)的建設(shè)、實(shí)施工作嚴(yán)格落實(shí)公司相關(guān)標(biāo)準(zhǔn)、規(guī)范，同時(shí)提高系統(tǒng)建設(shè)過(guò)程中標(biāo)準(zhǔn)化水平，確保系統(tǒng)的規(guī)范、安全、可靠、穩(wěn)定、易用，特制定以下總體設(shè)計(jì)原則如下：

遵循統(tǒng)一性、標(biāo)準(zhǔn)性原則：遵循《公司軟硬件目標(biāo)架構(gòu)設(shè)計(jì)規(guī)范》、《公司應(yīng)用安全設(shè)計(jì)規(guī)范》以及其他架構(gòu)設(shè)計(jì)和技術(shù)規(guī)范要求，堅(jiān)持統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一建設(shè)，統(tǒng)一部署，統(tǒng)一實(shí)施的工作要求，實(shí)現(xiàn)安全管理的規(guī)范化、標(biāo)準(zhǔn)化。

遵循擴(kuò)展性原則：遵循采用柔性設(shè)計(jì)，充分考慮各層面的可擴(kuò)展性，包括系統(tǒng)硬件架構(gòu)，軟件架構(gòu)，系統(tǒng)接口和數(shù)據(jù)架構(gòu)等，支持與其它系統(tǒng)的數(shù)據(jù)交換和共享，便于維護(hù)、擴(kuò)展和互聯(lián)。

遵循安全、可靠性原則：遵循《公司應(yīng)用軟件通用安全要求》中規(guī)定的各項(xiàng)安全策略，滿足公司對(duì)網(wǎng)絡(luò)和信息系統(tǒng)安全運(yùn)行的要求，全方位保障信息安全、數(shù)據(jù)安全。

遵循易用性原則：遵循系統(tǒng)在終端設(shè)備中操作簡(jiǎn)易化、便捷化。

2.1.2 架構(gòu)設(shè)計(jì)

系統(tǒng)采用B/S 的模式，主要由服務(wù)端、分析服務(wù)兩部分組成，管理端采用WEB 架構(gòu)，部署在應(yīng)用服務(wù)器中，用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備管理、端口安全檢測(cè)、端口接入總覽等功能的展示與基本操作；分析服務(wù)是由探測(cè)服務(wù)和分析服務(wù)組成，主要實(shí)現(xiàn)對(duì)交換機(jī)端口接入情況進(jìn)行探測(cè)，并根據(jù)檢測(cè)策略進(jìn)行端口接入分析；利用SSH 和SNMP 實(shí)現(xiàn)對(duì)交換機(jī)端口數(shù)據(jù)采集。

其系統(tǒng)總體架構(gòu)設(shè)計(jì)圖如圖1。

2.2 系統(tǒng)原理

系統(tǒng)采用微服務(wù)架構(gòu)，將系統(tǒng)中網(wǎng)絡(luò)設(shè)備管理、端口接入檢測(cè)等以獨(dú)立服務(wù)程序的形式進(jìn)行開(kāi)發(fā)部署，根據(jù)不同功能模塊的復(fù)雜度、數(shù)據(jù)量、訪問(wèn)壓力等因素，進(jìn)行組件搭配和彈性擴(kuò)容。系統(tǒng)邏輯劃分為三大微服務(wù)架構(gòu)（業(yè)務(wù)服務(wù)、基礎(chǔ)服務(wù)、接口交互服務(wù)）和一大應(yīng)用（WEB 端應(yīng)用）。核心業(yè)務(wù)服務(wù)分為2 個(gè)微服務(wù)模塊（WEB 端消費(fèi)服務(wù)、業(yè)務(wù)處理服務(wù)），其中業(yè)務(wù)處理服務(wù)是業(yè)務(wù)服務(wù)的核心，統(tǒng)一處理所有業(yè)務(wù)邏輯，對(duì)外分別以WEB 端消費(fèi)服務(wù)提供給應(yīng)用端調(diào)用。基礎(chǔ)服務(wù)分為用戶服務(wù)、賬號(hào)角色與權(quán)限服務(wù)、登錄日志服務(wù)，其中業(yè)務(wù)處理服務(wù)是指探測(cè)服務(wù)和分析服務(wù)，探測(cè)主要實(shí)現(xiàn)采集交換機(jī)端口數(shù)據(jù)信息，采集方式包括：SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，是一個(gè)標(biāo)準(zhǔn)的用于管理基于IP 網(wǎng)絡(luò)上設(shè)備的協(xié)議）和SSH（SSH 協(xié)議是基于應(yīng)用層的協(xié)議，為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議）；分析服務(wù)主要采用多線程、隊(duì)列等技術(shù)實(shí)現(xiàn)快速分析。

2.3 系統(tǒng)功能

圖2

2.3.1 網(wǎng)絡(luò)設(shè)備管理：主要實(shí)現(xiàn)對(duì)不同品牌的交換機(jī)設(shè)備進(jìn)行維護(hù)及展示，主要包括交換機(jī)名稱、IP 地址、類型、品牌、型號(hào)、端口數(shù)等信息展示，支持導(dǎo)入、導(dǎo)出功能，并提供交換機(jī)端口面板功能的展示。

2.3.2 端口安全檢測(cè)：根據(jù)端口安全檢測(cè)策略，對(duì)不同品牌的交換機(jī)端口信息進(jìn)行采集及安全檢測(cè)，安全檢測(cè)策略主要包括：端口未使用且未關(guān)閉、長(zhǎng)時(shí)間（7 天）未開(kāi)啟、長(zhǎng)時(shí)間（7 天）未關(guān)閉、HUB 端口。

2.3.3 端口接入總覽：主要是指交換機(jī)端口安全接入情況進(jìn)行統(tǒng)計(jì)、總覽、展示，并支持查看端口接入詳細(xì)信息。

2.3.4 用戶管理：對(duì)系統(tǒng)用戶基本信息進(jìn)行維護(hù)與管理，主要包括新增、修改、刪除、查看等功能。

2.3.5 系統(tǒng)日志：提供系統(tǒng)登錄日志、系統(tǒng)操作日志、交換機(jī)操作日志的展示等功能。

3 系統(tǒng)應(yīng)用

3.1 網(wǎng)絡(luò)設(shè)備管理：實(shí)現(xiàn)對(duì)所有交換機(jī)設(shè)備信息的展示與維護(hù)功能，包括新增、修改、刪除等操作，并提供交換機(jī)端口面板功能的展示。

圖3

3.2 端口接入總覽：實(shí)現(xiàn)依據(jù)檢測(cè)策略（端口未使用且未關(guān)閉、長(zhǎng)時(shí)間（7 天）未開(kāi)啟、長(zhǎng)時(shí)間（7 天）未關(guān)閉、HUB 端口）對(duì)交換機(jī)端口接入情況進(jìn)行展示（圖4）。

3.3 提供用戶信息的維護(hù)與管理，并支持系統(tǒng)用戶鎖定、注銷等操作（圖5）。

4 結(jié)論

能夠有效的對(duì)不同品牌及型號(hào)的交換機(jī)端口進(jìn)程安全性檢測(cè)，及時(shí)對(duì)存在問(wèn)題的端口進(jìn)行整改，加強(qiáng)交換機(jī)端口接入安全管控，提高了網(wǎng)絡(luò)管理員的端口排查工作效率，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，提高信息網(wǎng)絡(luò)的安全性。

圖4

圖5