楊敏 何蕓 侯波

摘要：隨著局域網(wǎng)網(wǎng)絡(luò)設(shè)備數(shù)量劇增、地震勘探部署精細(xì)化需求提升，高性能網(wǎng)絡(luò)架構(gòu)日趨復(fù)雜，處理解釋存儲(chǔ)集群綜合應(yīng)用對(duì)網(wǎng)絡(luò)安全、管理和監(jiān)測(cè)帶來很大難度和隱患。利用SolarWinds網(wǎng)絡(luò)流量監(jiān)測(cè)軟件分析網(wǎng)絡(luò)軟硬件性能指標(biāo)，流量實(shí)時(shí)探測(cè)，為地震部署設(shè)計(jì)高性能網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)流量預(yù)測(cè)與網(wǎng)絡(luò)規(guī)劃提供管理工具，同時(shí)，通過奇安信網(wǎng)絡(luò)設(shè)備針對(duì)局域網(wǎng)非法外聯(lián)、弱口令、病毒等安全隱患因素進(jìn)行排查，定期掃描監(jiān)管網(wǎng)絡(luò)狀態(tài)，提高網(wǎng)絡(luò)安全防范可控性、精準(zhǔn)性、高效性。

關(guān)鍵詞：流量采集；集中式部署；鏡像；告警

一、前言

網(wǎng)絡(luò)安全包含的特性有：保密性、完整性、可用性、可審查性。網(wǎng)絡(luò)安全面臨的威脅常見有入侵系統(tǒng)、病毒攻擊、木馬程序攻擊、后門攻擊等。每個(gè)安全層面的控制粒度相同，分為：局域網(wǎng)、廣域網(wǎng)、數(shù)據(jù)中心。筆者所在的單位屬于局域網(wǎng)，在網(wǎng)絡(luò)策略制定上，本文主要討論的是監(jiān)控策略層級(jí)，針對(duì)網(wǎng)絡(luò)管理監(jiān)控不同業(yè)務(wù)管理監(jiān)控重點(diǎn)需求差異，重點(diǎn)闡述二個(gè)工具設(shè)備軟件的性能特性及應(yīng)用實(shí)踐，通過網(wǎng)絡(luò)集中監(jiān)測(cè)、管理、規(guī)劃，不僅保障生產(chǎn)網(wǎng)絡(luò)安全、高效的運(yùn)行，也適應(yīng)未來業(yè)務(wù)的拓展和變化。

二、網(wǎng)絡(luò)監(jiān)控部署架構(gòu)

（一）集中式部署

網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)支持集中管理和多級(jí)管理來滿足不同組織的管理需求，多樣部署接入網(wǎng)絡(luò)環(huán)境。設(shè)備區(qū)域部署將實(shí)現(xiàn)區(qū)域接入網(wǎng)絡(luò)的資產(chǎn)可見、活動(dòng)可知、設(shè)備可控。

集中式部署適用于設(shè)備集中在一個(gè)區(qū)域，網(wǎng)絡(luò)光纖或?qū)＞€數(shù)據(jù)傳輸帶寬比較大，需要保障服務(wù)器和設(shè)備之間數(shù)據(jù)通信的場(chǎng)景。優(yōu)點(diǎn)是實(shí)施部署簡(jiǎn)單、成本低、控制臺(tái)統(tǒng)一管理，此種部署方式適用于規(guī)模比較小、相對(duì)比較獨(dú)立的網(wǎng)絡(luò)環(huán)境部署。如：一整棟辦公樓，或一個(gè)視頻專網(wǎng)管理片區(qū)，在這種環(huán)境下，網(wǎng)絡(luò)規(guī)模較小，網(wǎng)絡(luò)拓?fù)漭^簡(jiǎn)單，可將設(shè)備部署于網(wǎng)絡(luò)核心交換機(jī)旁，統(tǒng)一管理范圍內(nèi)的各類設(shè)備。

（二）分布式部署

分布式部署一般在眾多分支機(jī)構(gòu)被采用，機(jī)構(gòu)采用專線或站點(diǎn)對(duì)站點(diǎn)VPN的方式與總部網(wǎng)絡(luò)相連，需要確保設(shè)備安全穩(wěn)定運(yùn)行的場(chǎng)景。在分支機(jī)構(gòu)獨(dú)立部署準(zhǔn)入設(shè)備，統(tǒng)一管理平臺(tái)進(jìn)行集中管理、策略下發(fā)、設(shè)備監(jiān)測(cè)等操作，采用“分布式部署、集中式管理”模式部署。由于設(shè)備下移，管理力度加強(qiáng)，風(fēng)險(xiǎn)控制小，安全穩(wěn)定，對(duì)于各種準(zhǔn)入方式都適用。

（三）分級(jí)式部署

分級(jí)部署方式適用于眾多下屬分支機(jī)構(gòu)，并存在多級(jí)管理的需求，需要針對(duì)區(qū)域權(quán)限進(jìn)行細(xì)分控制的場(chǎng)景。通過配置準(zhǔn)入設(shè)備和同級(jí)準(zhǔn)入統(tǒng)一管理平臺(tái)對(duì)接，二級(jí)管理平臺(tái)與一級(jí)管理平臺(tái)級(jí)聯(lián)的模式。準(zhǔn)入設(shè)備由各自二級(jí)管理平臺(tái)管理，二級(jí)管理平臺(tái)受一級(jí)管理平臺(tái)監(jiān)管，接收一級(jí)管理平臺(tái)下發(fā)的策略模板，并上報(bào)基礎(chǔ)數(shù)據(jù)與告警至上級(jí)平臺(tái)，從而適應(yīng)大型組織架構(gòu)下的靈活管理。

三、網(wǎng)絡(luò)監(jiān)測(cè)軟件設(shè)備介紹

（一）SolarWinds Orion Network Performance Monitor

SolarWinds是一款體系結(jié)構(gòu)的分布式網(wǎng)絡(luò)性能監(jiān)控系統(tǒng)，基于SNMP網(wǎng)絡(luò)管理協(xié)議的一款業(yè)界領(lǐng)先的網(wǎng)絡(luò)管理軟件，部署方便，適用于各種網(wǎng)絡(luò)架構(gòu)，針對(duì)各種不同設(shè)備MIB庫(kù)，自定義添加agent節(jié)點(diǎn)交換機(jī)等設(shè)備，實(shí)時(shí)形象展示性能監(jiān)測(cè)管理、流量探測(cè)的軟件工具[1]。它通過一個(gè)至關(guān)的基于Web的用戶界面提供有設(shè)備向設(shè)備的鉆取和詳細(xì)的系統(tǒng)信息，為路由器、交換機(jī)、無(wú)線接入點(diǎn)、服務(wù)器、虛擬化環(huán)境和其他開啟SNMP協(xié)議的設(shè)備提供監(jiān)控，跟蹤UP/DOWN狀態(tài)，及時(shí)深入分析以及進(jìn)行網(wǎng)絡(luò)性能統(tǒng)計(jì)。

（二）奇安信準(zhǔn)入監(jiān)控設(shè)備

奇安信網(wǎng)神網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)解決了網(wǎng)內(nèi)設(shè)備安全接入管理難的問題[2]。它能夠輕松實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)識(shí)別、接入感知、用戶識(shí)別、多類型設(shè)備統(tǒng)一接入控制、仿冒檢測(cè)和處置、安全合規(guī)檢查、狀態(tài)監(jiān)控、IP 地址管理與使用監(jiān)控等安全管理功能?？刂浦行牟捎肂/S 架構(gòu)，接入控制器中內(nèi)置控制中心，同時(shí)支持在外部服務(wù)器通過軟件安裝包安裝控制中心，滿足不同規(guī)模單機(jī)管理或分布式集中管理的需求。

四、網(wǎng)絡(luò)監(jiān)測(cè)工具工作模式及特性

（一）工作模式

網(wǎng)絡(luò)監(jiān)控是針對(duì)局域網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行監(jiān)視和控制，奇安信設(shè)備接入控制器支持旁路監(jiān)聽、策略路由、網(wǎng)橋三種工作模式。不同的工作模式對(duì)原有網(wǎng)絡(luò)影響不同，設(shè)備管控效果不同。設(shè)備以何種方式工作需要根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境和需求而定。

1.旁路監(jiān)聽

采用旁路監(jiān)聽部署模式通過交換機(jī)流量鏡像方式獲取流量數(shù)據(jù)。旁路監(jiān)控模式部署起來靈活方便，只需要在交換機(jī)上配置鏡像端口即可，不會(huì)影響現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。而串聯(lián)模式一般要作為網(wǎng)關(guān)、網(wǎng)橋或者代理服務(wù)器，所以需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行變動(dòng)。旁路模式分析的是鏡像端口拷貝過來的數(shù)據(jù)，對(duì)原始傳遞的數(shù)據(jù)包不會(huì)造成延時(shí)，不會(huì)對(duì)網(wǎng)速造成任何影響。而串聯(lián)模式是串聯(lián)在網(wǎng)絡(luò)中的，那么所有的數(shù)據(jù)必須先經(jīng)過監(jiān)控系統(tǒng)，通過監(jiān)控系統(tǒng)的分析檢查之后，才能夠發(fā)送到各個(gè)客戶端，所以會(huì)對(duì)網(wǎng)速有一定的延時(shí)。

2.策略路由

策略路由是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。作用是：路由器通過路由圖決定如何對(duì)需要路由的數(shù)據(jù)包進(jìn)行處理，路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)路由器[3]。在策略路由模式下，接入控制器通常串聯(lián)于管控區(qū)域出口處，管控區(qū)域內(nèi)設(shè)備穿越邊界的報(bào)文。根據(jù)管控效果與成本的平衡，可適當(dāng)下移控制器部署位置以實(shí)現(xiàn)管控效果的最優(yōu)化。策略路由對(duì)所有報(bào)文進(jìn)行檢查，支持對(duì)UDP報(bào)文進(jìn)行阻斷。具有管控效果好，能夠最大利用最大帶寬等優(yōu)點(diǎn)。但同時(shí)策略路由需修改原有網(wǎng)絡(luò)拓?fù)?，不支持硬件bypass。部署時(shí)需根據(jù)實(shí)際需求進(jìn)行評(píng)估選擇。

3.網(wǎng)橋模式

IP 報(bào)文同樣經(jīng)過接入控制器的檢查，內(nèi)部不合規(guī)終端的報(bào)文無(wú)法穿越接入控制器。透明網(wǎng)橋模式下，接入控制器通常串聯(lián)于管控區(qū)域出口處，管控區(qū)域內(nèi)設(shè)備穿越邊界的報(bào)文。

（二）功能特性

經(jīng)過局域網(wǎng)絡(luò)長(zhǎng)期的測(cè)試與監(jiān)控需求，我們采用SolarWinds Orion NPM和奇安信準(zhǔn)入認(rèn)證設(shè)備組成整體解決方案。

1.Orion NPM是網(wǎng)絡(luò)管理基礎(chǔ)軟件，在故障和性能管理方面，能快速地檢測(cè)、診斷和解決網(wǎng)絡(luò)問題。使用挖掘圖表（Drill-downMap）等視圖方式，簡(jiǎn)化網(wǎng)絡(luò)問題排查。通過一個(gè)流行的備用引擎、多個(gè)輪詢引擎以及附加的網(wǎng)絡(luò)服務(wù)器進(jìn)行調(diào)整，以滿足擴(kuò)展和管理需求，通過結(jié)合相關(guān)事件、持續(xù)情況和設(shè)備狀態(tài)來實(shí)現(xiàn)高級(jí)警報(bào)。具體特性如下：

（1）自定義MIB輪詢

通過MIB輪詢，自定義MIB庫(kù)，可以靈活監(jiān)控局域網(wǎng)路由器、交換機(jī)、無(wú)線網(wǎng)卡、服務(wù)器任何支持SNMP的設(shè)備[4]。通過MIB表搜集詳細(xì)信息，監(jiān)控設(shè)備軟硬件性能。

（2）全局狀態(tài)和分析頁(yè)面

通過管理Web頁(yè)面查看數(shù)千交換機(jī)軟硬件指標(biāo)性能和端口狀態(tài)，進(jìn)行統(tǒng)計(jì)分析，快速診斷網(wǎng)絡(luò)性能和可用性問題。

（3）基于角色的的訪問控制

對(duì)部門、小組和用戶建立相應(yīng)帳號(hào)，可以精確指定用戶訪問管理界面的授權(quán)信息。管理員管理賬號(hào)，通過自定義Web視圖，查看監(jiān)控報(bào)警信息，定義重點(diǎn)管理的設(shè)備端口，查看局域網(wǎng)拓?fù)鋱D等。

2.奇安信準(zhǔn)入認(rèn)證整個(gè)設(shè)備入網(wǎng)控制工作性能流程主要包含五個(gè)環(huán)節(jié)：資產(chǎn)識(shí)別、身份認(rèn)證、合規(guī)檢查、異常處置和訪問控制，如表1所示。

（1）資產(chǎn)識(shí)別

支持多種方式發(fā)現(xiàn)與識(shí)別資產(chǎn)，包括攝像頭、打印機(jī)、電話、ATM、工控機(jī)等各類設(shè)備。設(shè)備通過學(xué)習(xí)建立行為模型，形成資產(chǎn)黑白名單，監(jiān)測(cè)非法設(shè)備接入。準(zhǔn)入系統(tǒng)支持對(duì)資產(chǎn)的廠商名稱、設(shè)備類型、設(shè)備型號(hào)、IP 地址、MAC地址、接入位置等多種屬性進(jìn)行管理，并支持資產(chǎn)的批量導(dǎo)入導(dǎo)出。

（2）身份認(rèn)證

支持Web認(rèn)證、802.1x認(rèn)證等多種準(zhǔn)入控制方式，強(qiáng)制接入網(wǎng)絡(luò)的IoT設(shè)備進(jìn)行身份認(rèn)證或資產(chǎn)登記，未通過身份認(rèn)證或資產(chǎn)登記的設(shè)備無(wú)法接入網(wǎng)絡(luò)或僅可以進(jìn)入隔離區(qū)進(jìn)行隔離修復(fù)。

（3）合規(guī)檢查

能夠通過主動(dòng)掃描及流量分析的方式探查IoT設(shè)備合規(guī)情況，可以檢查是否存在弱口令、違規(guī)開放端口、非法外聯(lián)、被其他設(shè)備仿冒等問題，檢查設(shè)備的流量是否超過管理員設(shè)定的最小值或最大值等情況。當(dāng)發(fā)現(xiàn)設(shè)備未滿足合規(guī)要求，本產(chǎn)品將根據(jù)管理員的策略配置對(duì)不合規(guī)設(shè)備進(jìn)行阻斷或日志記錄。

（4）訪問控制

基于設(shè)備的使用人信息、設(shè)備類型信息、操作系統(tǒng)、設(shè)備合規(guī)狀態(tài)等多維度進(jìn)行動(dòng)態(tài)授權(quán)和訪問控制，確保網(wǎng)內(nèi)設(shè)備僅擁有受限的網(wǎng)絡(luò)訪問權(quán)限。當(dāng)存在設(shè)備進(jìn)行超越權(quán)限的網(wǎng)絡(luò)訪問請(qǐng)求時(shí)，將根據(jù)管理員配置對(duì)越權(quán)設(shè)備進(jìn)行網(wǎng)絡(luò)阻斷。

五、網(wǎng)絡(luò)監(jiān)控管理實(shí)踐

（一）SolarWinds Orion Netork Performance Monitor軟件

建立OrionNPM管理服務(wù)器，通過實(shí)踐和網(wǎng)絡(luò)管理要求，實(shí)現(xiàn)如下應(yīng)用：

1.通過門戶管理界面監(jiān)控網(wǎng)絡(luò)設(shè)備軟硬件性能指標(biāo)， 比如端口利用率、丟包率、延時(shí)、 errors、discards 和CPU負(fù)載等，監(jiān)控完整的鏈路狀態(tài)，追蹤訪問路徑。

2.實(shí)現(xiàn)對(duì)詳細(xì)問題的診斷和網(wǎng)元分析，包括狀態(tài)、IP地址、設(shè)備類型、歷史丟包百分比、歷史延遲信息、歷史數(shù)據(jù)流量信息等等。自動(dòng)發(fā)現(xiàn)和顯示不同設(shè)備之間的連接關(guān)系。

3.自動(dòng)發(fā)現(xiàn)和顯示設(shè)備直接的連接關(guān)系，創(chuàng)建嵌套的多層拓?fù)鋱D，基于地域、部門、樓層、建筑、機(jī)房、機(jī)柜等，使用簡(jiǎn)單的拖拽，實(shí)現(xiàn)個(gè)性化拓?fù)鋱D展示。

4.通過閾值、Top排行、自定義視圖及各類圖表化的展示，突出分析網(wǎng)絡(luò)問題。

5.通過自動(dòng)化的網(wǎng)絡(luò)發(fā)現(xiàn)，通知管理員網(wǎng)絡(luò)中增加或者移除設(shè)備。

（二）奇安信準(zhǔn)入認(rèn)證設(shè)備

筆者單位網(wǎng)絡(luò)規(guī)模較小，采用集中網(wǎng)絡(luò)部署架構(gòu)，在不影響原有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，采用旁路監(jiān)聽部署模式，通過交換機(jī)流量鏡像方式獲取流量數(shù)據(jù)，取得了很好的監(jiān)管效果。實(shí)現(xiàn)如下功能應(yīng)用：

1.違規(guī)訪問報(bào)警：通過安裝客戶端周期監(jiān)測(cè)用戶非法網(wǎng)絡(luò)外聯(lián)情況；

2.資產(chǎn)登記：支持設(shè)備自動(dòng)發(fā)現(xiàn)及手動(dòng)分組、部門分類統(tǒng)計(jì)，導(dǎo)出資產(chǎn)數(shù)據(jù)表格；

3.網(wǎng)絡(luò)病毒發(fā)現(xiàn)：異常流量常規(guī)報(bào)警，防止病毒擴(kuò)散，實(shí)現(xiàn)預(yù)防查殺；

4.桌面機(jī)漏洞診斷：實(shí)時(shí)掃描監(jiān)測(cè)PC機(jī)弱口令、系統(tǒng)補(bǔ)丁漏洞等情況，實(shí)現(xiàn)問題機(jī)器阻斷網(wǎng)絡(luò)訪問；

5.全盤掃描分析：周期全盤掃描，排查可疑文件、盜版軟件安裝情況，實(shí)現(xiàn)定期網(wǎng)絡(luò)安全性檢測(cè)。

六、結(jié)語(yǔ)

高效局域網(wǎng)管理可以使現(xiàn)有的網(wǎng)絡(luò)安全達(dá)到真正的“可信”[5]。從被動(dòng)響應(yīng)到主動(dòng)合規(guī)，從日志協(xié)議到業(yè)務(wù)行為審計(jì)， 實(shí)現(xiàn)對(duì)業(yè)務(wù)行為的認(rèn)證、控制和審計(jì)；從各自為政到整體運(yùn)維，同步推進(jìn)安全技術(shù)和安全管理，雙管齊下。利用更多軟件工具、方法，擴(kuò)展開發(fā)更多功能，實(shí)施全局部署網(wǎng)絡(luò)安全監(jiān)測(cè)管理方案，通過網(wǎng)絡(luò)性能監(jiān)測(cè)和健康度評(píng)判，加強(qiáng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)管理深度廣度，取得了良好的效果。未來將更深入針對(duì)網(wǎng)絡(luò)整體架構(gòu)和設(shè)備軟硬件指標(biāo)性能以及實(shí)時(shí)動(dòng)態(tài)流量數(shù)據(jù)，進(jìn)行深度解析及監(jiān)管，實(shí)現(xiàn)智能型、信息化、高效率的網(wǎng)絡(luò)管理模式。

參考文獻(xiàn)

[1]胡存生.局域網(wǎng)——組網(wǎng)技術(shù)與維護(hù)管理[M].北京：電子工業(yè)出版社，2004.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第五版）[M].北京：電子工業(yè)出版社，2008.

[3]劉小偉.電腦局域網(wǎng)全面上手[M].北京：海洋出版社，2003.

[4]黃燕.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京：人民郵電出版社，2004.

[5]黃傳河.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)[M].武漢：武漢大學(xué)出版社，2004.

作者單位：新疆油田公司勘探開發(fā)研究院地球物理研究所