【 摘 要 】 六安烟草当前的网络已经建设的较为完善,但是网络中还是会经常出现一些疑难的故障。由于网络中有大量的业务在运行,所以保障网络安全、稳定、高效运行是目前六安烟草运维的目标,而要做到这样就需要能够透视网络,对网络的运行情况有一个详细的了解,能够及时发现并准确定位网络中行为不正常的终端,对入网设备进行准入控制等。通过网络分析的手段和终端准入技术相结合,由点到面,全面监控,使六安烟草的信息网络系统可以做到纲举目张。
【 关键词 】 网络分析技术;终端实名;网络可视化
1 引言
六安烟草当前的业务均是依赖于网络而运行的,网络体系的稳定性、安全性直接影响网络中众多业务的正常运行。一旦网络中任何一点出现故障、攻击等不稳定的因素,将会严重影响重要业务的正常办理,给我们带来难以估计的负面影响。而网络本身是一个复杂而又庞大系统,在运维网络时,如何做到统一管理,简化管理,提高网络管理效率,是我们工作的一个重点。
另外,网络中经常会出现一些看似稀奇古怪、莫名其妙的故障现象,例如网络突然变慢、业务系统某个操作出现很大的延时、某个业务应用出现问题等。网络无法完全避免这些问题的产生,关键是在问题出现之前如何事先预警,在问题出现时如何快速定位问题根源,在最短的时间内解决问题,从而提高网络的稳定性、安全性。
六安烟草正在建设和完善“电话订货、网络订货、网上配货、电子结算、现代物流”为主要内容的现代流通体系,办公系统和生产系统对网络可靠性要求很高,但我们在日常使用和维护信息系统网络时有以现有手段无法解决的问题。
日常网络每条线路、每个部门、楼与楼之间、各个区域之间、到各个银行的网络流量我们无法掌握,这样网络管理员无法提前预测网络瓶颈,也无法合理优化服务器布局和网络拓扑。
发现了有网络行为不正常的终端,但因网络内终端众多,无法确定这个终端的位置,对不遵守管理办法的终端,没有准入控制手段。
为解决以上问题,本项目把终端管理和网络可视化分析结合到日常运维过程中,提前预测瓶颈,合理优化布局,迅速解决故障点,可以进一步完善网络功能和提升网络运行质量,保证网络的安全持续的运行。
2 网络运行可视化理念
2.1 网络运行可视化概念
面对一个网络,我们可见的就是PC机、交换机、防火墙、路由器、服务器、流控设备、网线等,而对于网络中交互的数据、访问的流量、产生的行为等却是知之甚少,甚至是一无所知。若将网络类比为人体,全面了解人体结构、机能、状态等才能更有效地预防疾病。网络也是一样,想要有效地管理网络,则需全面地了解网络,对网络的运行情况做精细地监控。
网络运行可视化是指通过技术手段和相关产品对网络中运行的数据,流量进行可视的了解,即可以通过图形化的人机交互方式展示出网络中正在运行的内容,如图1所示。
2.2 网络运行可视化的意义
随着网络的基础的架构完善,大多数的网络都是进行到网络运维的环节,而对于网络运维网络运行可视化是不可跨越的一个环节。所谓的网络运行可视化就是通过捕获网络通讯过程中的数据包(数据包是网络通讯过程中有意义的、最小的组成单元),并对捕获到的数据包进行深入的统计和分析,从而洞悉各个层面的网络运行情况,及时发现网络中的安全问题、业务情况、评估性能、定位故障的一种运维手段,如图2所示。
3 六安烟草现状
3.1 网络现状
六安烟草已经建立较完善的行业内网,订单、配送、分拣、一号工程、财务、专卖和机关办公等业务都依赖这个网络来正常运转。网络中流动着到国家局、省局、县局和银行的各种各样信息,一旦单位网络中任何一点出现故障、攻击等不稳定的因素,将会严重影响重要业务的正常办理,给我们带来难以估计的负面影响。但日常运维过程中的终端管理和网络运行情况在现有技术手段下无法掌握,如图3所示。
3.2 网络运维难题
在六安烟草实际的网络运维过程中,经常会遇到各种奇怪的问题,且由于网络范围大,使用人员多,运维管理起来困难重重。归纳总结为几点。
(1)网络中经常会出现一些看似稀奇古怪、莫名其妙的故障现象。例如,网络突然变慢、业务系统某个操作出现很大的延时、某个业务应用出现问题等。网络无法完全避免这些问题的产生,关键是:在问题出现之前如何事先预警;在问题出现时如何快速定位问题根源,在最短的时间内解决问题,从而提高网络的稳定性、安全性。
(2)六安烟草正在建设和完善"电话订货、网络订货、网上配货、电子结算、现代物流"为主要内容的现代流通体系,但是日常网络每条线路、每个部门、楼与楼之间、各个区域之间、到各个银行的网络流量无法掌握,这样网络管理员无法提前预测网络瓶颈,也无法合理优化服务器布局和网络拓扑。
(3)发现了有网络行为不正常的终端,但因网络内终端众多,无法确定这个终端的位置,对不遵守管理办法的终端,没有准入控制手段。
(4)在运维网络时,由于网络使用者众多,网络设备多样,难以做到统一管理,简化管理,如何提高网络管理效率是目前运维过程中较为头疼的事。
4 终端准入和可视分析
4.1 运维解决思路
鉴于上述的六安烟草中存在的问题,我们想要通过终端准入和网络运行可视作为运维和管理手段,把网络中服务器、用户工作站都看成一个一个信息点,统称为终端,连接这些终端的是网络,实名制管理好这些终端信息点,实时了解和分析网络中的流量,如果终端是点,网络是面,点面结合的运维分析管理,使信息系统运行情况了然于胸,可以预测瓶颈或故障,更好地保障六安烟草信息系统的稳定流畅运行。
结合六安烟草计算机网络实际情况,结合现有的产品和技术,抓好终端准入与授信,做到终端入网实名制,网络实时运行情况可视化分析,实时动态实名制了解每个终端,了解网络中流动信息,做信息网络系统运维就可以做到纲举目张,如图4所示。
4.2 具体实现方法
(1)使用终端准入控制技术手段对现有市公司及下辖的县分局(营销部)的服务器和桌面客户端进行实名登记,明确使用人和位置信息。
(2)使用终端准入控制技术手段对所有终端实现授信审核、非法入侵终端IP准入等准入控制方案、IP地址绑定、健康状态检查解等功能。
(3)使用可视化分析软件对现有市公司及下辖的县分局(营销部)的桌面客户端、互联的网络设备、市公司及县分局(营销部)网站、服务器及业务系统之间的网络通信情况进行统一的监控和综合的管理,实现全公司及县分局(营销部)的下属各单位的全网络的可视化管理并及时定位故障或安全隐患地址,以便快速的进行故障或安全隐患的排除,保障公司网络安全。
5 研发内容
5.1 主要内容
该项目的研发重点在通过终端连入内网的准入和授信控制,终端管理实名制、可控化,网络实时运行的可视化分析,从点到面掌控网络运行情况。终端管理通过终端入网审核、授信审核、内我安全域、非法终端入侵,保证连入内网的终端都是实名制且安全,地理位置明确、可控。网络运行可视化分析主要是通过底层捕获网络中交互的数据包,对网络中的流量、协议、安全、故障等进行分析定位的产品,主要特点就是能够快速地定位网络中出现的故障、分析网络的性能情况及网络中是否有异常流量。
所以该项目的主要研发内容可以归纳为几点。
(1)透视网络。通过捕获网络中交互的数据包,分析数据包交互的内容,分析传输的数据是否正常,网络中在交互一些什么样的信息,从而透视网络的运行情况。
(2)安全分析。网络异常分析,自动发现网络安全隐患;发现网络扫描,进行安全预警;查找并识别攻击,侦查伪造数据。
(3)实名认证。实名认证上网,对IP地址进行绑定,这样可以对网络用户进行有效的管理,知道什么人连接到网络中,如果网络由于内网用户恶意或是操作不当导致网络异常,可以责任到人。
(4)故障诊断。快速精确定位网络故障,提供相应解决方案;定位攻击源,快速找到攻击者;检测网络中的蠕虫病毒、攻击;自动定位网络故障异常,评估应用的性能是否达到要求,评估内部网络的运行是否正常。
(5)性能管理。建立企业网络性能及安全基线,合理规划网络管理,提高工作效率;借助预警机制实现主动防御,为管理人员提供准确有效的安全策略;数据分析覆盖整个OSI七层模型,透视网络运行全状况,建立可视化的网络全景信息。
(6)终端管理。通过分析网络分析可以快速的发现网络中有无异常的流量,异常的访问行为,结合实名认证,可以定位到具体的使用人员,异常地址的位置,对终端用户进行断网、限速等方面的终端管理。
网络分析都是一款不可或缺的网络管理工具,网络分析工具的配备可以从本质上检测到网络中的问题,协调和支持各种网络管理工具的使用,并最大化的完善网络管理。而和实名制认证相结合,更加可以定位到具体的机器的位置和使用的员工,从发现异常,到定位异常位置,可以再结合网络中现有的管理设备对异常的终端进行实时管理,从而提高网络运行的安全性、稳定性。
5.2 技术关键与技术路线
5.2.1 技术关键
网络分析产品通过捕获网络通讯过程中的数据包(数据包是网络通讯过程中有意义的、最小的组成单元),并对捕获到的数据包进行深入的分析,从而洞穿网络运行的各个层面(包括性能、安全、业务以及故障等)的本质的一种微观的网络管理技术。应用安全产品符合信息系统安全的国际标准和国家标准,对安全产品要采取硬、软结合的方针,应用安全产品的部署不能成为信息系统运行的瓶颈。
研究路线:通过使用网络分析系统做网络状况分析,主要有三种研究路线。
(1)数据包分析法。主要通过专有的网络分析工具将业务相关的数据包捕获下来进行深度分析,并通过分析发现相应的业务应用网络行为特征、网络带宽消耗以及响应时延等。另外使用数据包分析法,通过抓取部分楼层办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析,通过分析来发现网络链路的性能使用情况以及相应的链路层、网络层、应用层的问题。
(2)对比分析法。就是在中间设备两端(数据包的进口、数据包转发口)同时抓包,并对进出口处所抓取到的数据包做相应的对比,从而发现中间设备对相应数据包的处理情况,包括更改、丢弃、转发以及经过中间设备后的延时等。
(3)关联分析法。一个数据包或数据流在经过一个中间设备时,被中间设备做了更改,我们利用数据包的IP标识、应用层字段、数据流的五元组等特性,将中间设备前后的数据包、数据流对应起来的方法。
终端准入授信控制技术和准入策略的制定,好的准入策略能使管理严密,效率提高。
网络运行可视化分析中以六安烟草信息网络实际架构为基础,设立合理的逻辑单位,这样才能直观准确反映数据包流通情况。
5.2.2 技术路线
本次科研项目采取的技术路线主要如图5所示。
6 研发步骤
6.1 研发环境
本次研发的主要目的是为了通过网络可视化,来快速地发现网络中的异常行为,然后结合终端管理技术对异常的机器进行管理,所以对本次研发的环境要求有几点。
(1)需要服务器一台,为安装分析软件做准备。
服务器基本要求:
根据实际监控的流量,监控大流量使用性能稍好的服务器,否则可能会出现丢包的情况。
(2)需要一台可网管的交换机,有支持做端口镜像的功能,如果测试的环境需要监控网络中大部分数据,则建议选取网络中主核心交换,这样只要是经过主核心交换机的数据我们都可以捕获到,网络中大部分交互的数据都可以被捕获到。
(3)实名制认证系统,对网络中上网的机器进行实名制认证,保证能够确认上网的人员。
6.2 研发过程
6.2.1 网络分析系统安装与配置
选定好的服务器上安装网络分析系统;根据服务器的性能设置网络分析的缓存空间,并根据用户的需求做相应的设置,如设置过滤器、捕包方案等。
网络分析系统主要是通过抓取网络中底层交互的数据包,并对数据包进行分析,通过图表、列表、报表等形式直观的展示出网络的运行情况,是本项目的研发基础。
6.2.2配置交换机
由于要查看网络中大部分的数据交互情况,所以建议在主核心交换上部署网络分析系统,所以需要在核心交换上做端口镜像,将需要监控的流量都通过端口镜像的命令来复制数据到接网络分析系统的接口上。(安装网络分析系统的机器需要直接连接到核心交换上)
6.2.3网络分析系统部署
将安装网络分析系统的服务器直接接到研发交换机的端口镜像口上,部署示意如图6所示。
6.2.4 安装部署实名认证设备
将实名认证设备部署到测试的网络中,让网络中的用户必须实名制上网,可以明细到什么人做了什么事。
6.2.5 结合网络分析和实名认证
主要研发通过网络分析技术发现网络中的异常交互行为,定位到发送异常流量的地址,然后结合实名认证定位到终端用户,通过设置策略进行终端管理。
7 产品实际环境实施
7.1 部署示意图
要对网络运行状态做长期透视化监控,则需要能够获取到网络底层交互的数据包,才能够从微观层面更全面的透视网络。为此,我们将网络分析系统通过旁路部署的方式部署到六安烟草的核心交换机处,通过端口镜像的方式采集六安烟草网络中运行交互的的流量,监控整个网络的运行状态,对网络做透视化的管理,如图7所示。
网络分析系统是通过捕获网络中通信的数据包,对数据包进行统计解码,它不需要和网络有数据交互,只需要获取到交互的数据包,所以将其通过端口镜像部署在核心交换机上就可以有效分析网络的运行情况。
7.2 部署后实现的功能
通过部署网络分析系统,捕获网络中所有通过核心的数据包,对网络中交互的信息做归纳统计后,可以做到几点。
网络流量分组统计。通过网络分析系统中的网络分组功能,可以便捷的了解各部分的网络运行状态,对各部门、各区县的网络访问情况做同一归纳监控,当网络中出现异常流量时可快速定位出异常流量位置。
IP地址流量实名统计。通过网络分系统中的名字表功能,可以直观的了解网络主机流量分布情况,通过对流量排名可以一目了然的看到是谁产生的流量最大,经常产生大流量的谁,当出现异常流量时能在短时间内找到是由谁产生的。
网络应用自定义统计。网络有特殊端口使用的应用系统,可以通过自定义应用协议功能对该协议进行可视化分析。
对全网运行状态进行可视化监控。通过对经过核心交换机的数据进行捕获,可以通过网络运行的底层——数据包了解网络运行情况,站在数据包交互层面,详细的、直观的了解数据包的运行情况,对全网的运行状态做长时间的监控。
8 结束语
通过本项目的研发,可以实现由点及面的网络管理,通过对网络异常行为、流量的发现,结合实名定位到具体的异常主机,异常位置,然后对异常的终端进行管理,对网络中的每个点进行管理,避免由于某一点的异常行为扩大影响到整个网络,并且通过对整个网络面的监控,可以实时的了解网络运行情况,这样就可以点面结合,对整个网络做全面的运维防护。
总体归纳总结为几点:可以看到全部终端实际使用人的部门和姓名;可以准确对用户授信且不可随意更改自己的权限;可以实时看到整个六安烟草网络运行情况;可以对网络内部流量和出口带宽分析;病毒、攻击预警和快速定位;网络内部端点和应用协议以及会话的分析;缩短了故障解决的时间,降低了企业的成本;提高六安烟草整个网络安全高效运行。
作者简介:
薛绍松(1974-),男,汉族,安徽六安人,本科,计算机专业;主要研究方向和关注领域:网络安全、网站维护、信息管理。