施蔚然，王笑

(福建省氣象信息中心，福建 福州 350001)

0 引言

省級(jí)氣象信息中心是全省氣象信息網(wǎng)絡(luò)的通信樞紐，通信網(wǎng)絡(luò)系統(tǒng)承載了全省氣象數(shù)據(jù)的傳輸、共享、預(yù)報(bào)服務(wù)以及辦公郵件等各項(xiàng)業(yè)務(wù)，隨著氣象業(yè)務(wù)的不斷發(fā)展和用戶需求的不斷增長，網(wǎng)絡(luò)流量越來越大，各種應(yīng)用正在大量消耗有限的帶寬資源，網(wǎng)絡(luò)面臨的潛在威脅也越來越大，對信息網(wǎng)絡(luò)系統(tǒng)運(yùn)維和管理的安全提出了更高的要求[1]。

在氣象廣域網(wǎng)絡(luò)系統(tǒng)的建設(shè)和安全策略的部署初期，主要依靠用戶數(shù)量和共享數(shù)據(jù)量對網(wǎng)絡(luò)帶寬使用情況的預(yù)估，進(jìn)行安全策略部署和網(wǎng)絡(luò)性能優(yōu)化，通過路由跟蹤和測試來驗(yàn)證，無法全面了解網(wǎng)絡(luò)運(yùn)行狀況，安全運(yùn)維管理不夠科學(xué)。通過對網(wǎng)絡(luò)中主要的業(yè)務(wù)流量進(jìn)行實(shí)時(shí)監(jiān)測、統(tǒng)計(jì)和應(yīng)用識(shí)別分析，全面掌握網(wǎng)絡(luò)的運(yùn)行狀況，為網(wǎng)絡(luò)性能的優(yōu)化和規(guī)劃設(shè)計(jì)提供科學(xué)依據(jù)，把網(wǎng)絡(luò)流量分析結(jié)果應(yīng)用到網(wǎng)絡(luò)安全和策略管理，對氣象部門關(guān)鍵信息資產(chǎn)進(jìn)行保護(hù)[2]，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，使網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)可控可管，提升網(wǎng)絡(luò)安全運(yùn)維和管理的效率。

1 省級(jí)氣象通信網(wǎng)絡(luò)架構(gòu)

全省氣象廣域網(wǎng)絡(luò)采用星形架構(gòu)，省/市/縣均采用雙路由雙線路互為熱備，并實(shí)現(xiàn)業(yè)務(wù)自動(dòng)切換，分別是MPLS VPN 線路和MSTP 線路，MSTP 線路主要承載視頻會(huì)商系統(tǒng)、辦公郵件、省級(jí)氣象業(yè)務(wù)Web 應(yīng)用和部分?jǐn)?shù)據(jù)傳輸業(yè)務(wù)[3]；MPLS VPN 線路主要承載數(shù)據(jù)下載、實(shí)景觀測、各類氣象數(shù)據(jù)共享和應(yīng)用。全省IP用戶數(shù)量約500個(gè)，日共享數(shù)據(jù)量約7TB。

在省中心核心路由器和交換機(jī)上配置端口鏡像，采用智能旁路監(jiān)聽技術(shù)，無需在應(yīng)用服務(wù)器和用戶端安裝插件，將流量監(jiān)測分析設(shè)備通過Probe（探針）口分別接入路由器和交換機(jī)，采集到全省氣象廣域網(wǎng)絡(luò)的數(shù)據(jù)傳輸、共享、視頻會(huì)商、辦公郵件系統(tǒng)等的網(wǎng)絡(luò)流量信息。省級(jí)氣象通信網(wǎng)絡(luò)架構(gòu)示意圖，如圖1所示。

圖1 省級(jí)氣象通信網(wǎng)絡(luò)架構(gòu)示意圖

2 網(wǎng)絡(luò)安全運(yùn)維策略

2.1 帶寬擴(kuò)容和優(yōu)化

對全省氣象廣域網(wǎng)絡(luò)系統(tǒng)的線路運(yùn)行狀況進(jìn)行實(shí)時(shí)的集中監(jiān)測，通過查詢、統(tǒng)計(jì)，幫助管理員全面直觀了解網(wǎng)絡(luò)使用情況，從實(shí)時(shí)監(jiān)測和定期報(bào)表分析，獲得包括專線鏈路帶寬利用率、鏈路質(zhì)量、用戶流量等信息。全省氣象寬帶網(wǎng)絡(luò)線路時(shí)延基本小于50ms，省-市帶寬利用率在各市存在較大差異。

MPLSVPN 線路主要承載數(shù)據(jù)共享，由于各地市的業(yè)務(wù)需求和用戶數(shù)量不同，帶寬利用率19%～90%，平均帶寬利用率＜50%；MSTP 線路主要承載視頻會(huì)商和辦公郵件業(yè)務(wù)，線路流量在每天的會(huì)商期間較大，帶寬利用率高達(dá)50%，其余時(shí)間則較為空閑，帶寬利用率5%～15%，平均帶寬利用率＜10%。

針對長期帶寬占用較大的地市，分析其活躍用戶和主要訪問的應(yīng)用系統(tǒng)，通過減少重復(fù)數(shù)據(jù)的調(diào)用和帶寬提速，帶寬占用率明顯下降，達(dá)到預(yù)期的目的。針對MSTP 線路較為空閑的情況，在保障視頻會(huì)商和辦公郵件的帶寬QoS 后，通過在路由器上進(jìn)行路由策略配置，遷移部分全省的數(shù)據(jù)傳輸和共享應(yīng)用到MSTP 線路，同時(shí)相應(yīng)進(jìn)行QoS 保障，實(shí)現(xiàn)帶寬的有效利用和優(yōu)化。

2.2 應(yīng)用加速

MSTP 線路主要承載視頻會(huì)議系統(tǒng)、氣象業(yè)務(wù)平臺(tái)、和辦公郵件系統(tǒng)等關(guān)鍵業(yè)務(wù)，在省中心到各市局的MSTP線路部署應(yīng)用加速設(shè)備，通過對應(yīng)用的識(shí)別，采用緩存、優(yōu)化、壓縮等技術(shù)，達(dá)到消減流量和提高帶寬利用率。從實(shí)時(shí)監(jiān)測和定期報(bào)表分析，通過部署應(yīng)用加速設(shè)備，辦公郵件和Web 等共享應(yīng)用流量削減70%-80%，保障了關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)用及服務(wù)質(zhì)量。應(yīng)用加速對流量的消減日統(tǒng)計(jì)，如圖2所示。

圖2 應(yīng)用加速對流量的消減日統(tǒng)計(jì)

同時(shí)在MSTP 路由器出口進(jìn)行了QoS 保障，參考當(dāng)前寬帶網(wǎng)出口路由器QoS 設(shè)置，保證網(wǎng)絡(luò)優(yōu)化設(shè)備帶寬管理策略與其協(xié)調(diào)一致，與路由器QoS 來共同對流量進(jìn)行管理和控制，尤其是對視頻會(huì)議系統(tǒng)的帶寬保障，保證網(wǎng)絡(luò)資源的有效利用路由選擇，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾院桶踩浴?/p>

2.3 邊界安全防護(hù)策略

流量分析設(shè)備從應(yīng)用層對網(wǎng)絡(luò)進(jìn)行深入分析是網(wǎng)絡(luò)安全運(yùn)維管理的重要基礎(chǔ)，通過網(wǎng)絡(luò)應(yīng)用識(shí)別規(guī)則和關(guān)聯(lián)數(shù)據(jù)分析，掌握當(dāng)前應(yīng)用數(shù)據(jù)流量趨勢、為系統(tǒng)管理員提供可量化的應(yīng)用系統(tǒng)性能分析數(shù)據(jù)。自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的未知端口流量，并分析其訪問的業(yè)務(wù)系統(tǒng)、目標(biāo)服務(wù)器、活躍用戶以、連接數(shù)和服務(wù)端口等信息，防范網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)。從實(shí)時(shí)監(jiān)測和定期報(bào)表分析，數(shù)據(jù)共享應(yīng)用系統(tǒng)和辦公郵件系統(tǒng)的應(yīng)用端口固定，例如提供全省數(shù)據(jù)共享下載的FTP21端口、氣象業(yè)務(wù)平臺(tái)Web 服務(wù)器的8080 端口以及省局綜合管理系統(tǒng)的80端口等。

在省級(jí)核心交換機(jī)和寬帶網(wǎng)邊界部署防火墻和IPS 設(shè)備，對各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)監(jiān)測，在防火墻上配置相關(guān)的訪問控制，開啟相應(yīng)端口的允許或拒絕服務(wù)，IPS 可以彌補(bǔ)防火墻相對靜態(tài)防御的不足[4]。梳理各業(yè)務(wù)系統(tǒng)的傳輸和共享應(yīng)用服務(wù)端口，利用防火墻或IPS 內(nèi)置的病毒特征庫，對應(yīng)用層進(jìn)行深層的流量識(shí)別和分析，及時(shí)發(fā)現(xiàn)各種異常事件和可能的攻擊企圖，并采取相應(yīng)的防范措施，避免各種網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊問題出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)信息的有效安全防護(hù)。省中心網(wǎng)絡(luò)流量應(yīng)用構(gòu)成實(shí)時(shí)監(jiān)測統(tǒng)計(jì)，如圖3所示。

圖3 省中心網(wǎng)絡(luò)流量應(yīng)用構(gòu)成實(shí)時(shí)監(jiān)測統(tǒng)計(jì)

對于近年出現(xiàn)的WannaCry 勒索病毒，針對共享的445 端口的網(wǎng)絡(luò)攻擊，在防火墻上開放用戶正常的SMB（共享）訪問，對非正常的共享應(yīng)用進(jìn)行有效攔截。通過流量的實(shí)時(shí)監(jiān)測和配置前后應(yīng)用構(gòu)成的對比查詢，驗(yàn)證防火墻策略部署的風(fēng)險(xiǎn)防護(hù)機(jī)制。

2.4 應(yīng)用負(fù)載均衡

從流量實(shí)時(shí)監(jiān)測和報(bào)表統(tǒng)計(jì)分析，數(shù)據(jù)共享應(yīng)用系統(tǒng)和辦公郵件系統(tǒng)日平均傳輸流量基本穩(wěn)定，提供全省數(shù)據(jù)共享的服務(wù)器傳輸流量較大，省到各市氣象寬帶網(wǎng)MPLSVPN 傳輸流量差異較大，大約20GB～400GB/日不等，各地市平均200GB/日，全省日共享數(shù)據(jù)量約7TB，通過寬帶網(wǎng)共享約1～2TB，省級(jí)局域網(wǎng)共享約5TB。通過對傳輸數(shù)據(jù)包的實(shí)時(shí)監(jiān)測，了解應(yīng)用緩慢時(shí)網(wǎng)絡(luò)或應(yīng)用的響應(yīng)時(shí)間，以便進(jìn)行故障排查或優(yōu)化應(yīng)用。

在用戶訪問流量較大的共享服務(wù)器集群部署應(yīng)用負(fù)載均衡設(shè)備，將大量的Web 共享應(yīng)用或FTP 共享按規(guī)則在集群中自動(dòng)進(jìn)行應(yīng)用分擔(dān)，提高系統(tǒng)服務(wù)響應(yīng)時(shí)效和服務(wù)質(zhì)量，保障關(guān)鍵業(yè)務(wù)的服務(wù)安全穩(wěn)定。

2.5 異常事件告警

通過智能流量分析，顯示異常事件，如TCP 重傳、連接關(guān)閉、連接失敗、ICMP 不可達(dá)等，查看網(wǎng)絡(luò)異常事件詳情，及時(shí)發(fā)現(xiàn)線路異常、流量異常、應(yīng)用緩慢、系統(tǒng)中斷等節(jié)點(diǎn)故障，鎖定目的/源地址以及目的/源端口，更新相關(guān)設(shè)備操作系統(tǒng)補(bǔ)丁，關(guān)閉非正常應(yīng)用端口的訪問權(quán)限，加強(qiáng)對共享端口的訪問審計(jì)。網(wǎng)絡(luò)異常事件詳情，如圖4所示。

圖4 網(wǎng)絡(luò)異常事件詳情

如已關(guān)閉非正常應(yīng)用端口訪問權(quán)限的用戶出現(xiàn)無響應(yīng)、連接失敗等異常事件，說明該用戶的安全防御有效；如網(wǎng)絡(luò)設(shè)備頻繁發(fā)起大量非正常應(yīng)用端口訪問，說明該設(shè)備可能存在非授權(quán)行為或潛在的攻擊行為，便于技術(shù)人員快速鎖定并排除故障，使網(wǎng)絡(luò)事件可發(fā)現(xiàn)可追溯。

3 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)安全管理以策略為核心[2]，通過對通信網(wǎng)絡(luò)系統(tǒng)流量的實(shí)時(shí)監(jiān)測、應(yīng)用識(shí)別、統(tǒng)計(jì)和分析，根據(jù)鏈路質(zhì)量、網(wǎng)絡(luò)負(fù)載、用戶行為，以及應(yīng)用流量趨勢的數(shù)據(jù)統(tǒng)計(jì)報(bào)表，全面直觀掌握網(wǎng)絡(luò)帶寬使用情況、流量應(yīng)用分布和網(wǎng)絡(luò)用戶行為，將統(tǒng)計(jì)和分析結(jié)果應(yīng)用到通信網(wǎng)絡(luò)帶寬優(yōu)化、應(yīng)用加速、邊界安全防護(hù)策略和負(fù)載均衡等安全策略的部署[5]，及時(shí)發(fā)現(xiàn)和有效攔截異常網(wǎng)絡(luò)流量和攻擊行為，提升氣象通信網(wǎng)絡(luò)系統(tǒng)的服務(wù)質(zhì)量和安全運(yùn)維管理水平，保障氣象信息網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全可靠。