政府部門外網(wǎng)運維管理研究

宋瑩，潘振祥，王志勇

（河南省國土資源廳 信息中心，河南 鄭州 450016）

目前，我國政府部門電子政務(wù)工作的重點已從大規(guī)模網(wǎng)絡(luò)、平臺、業(yè)務(wù)系統(tǒng)的建設(shè)階段轉(zhuǎn)向以深化應(yīng)用、提升應(yīng)用效益為主要特征的“運行維護(hù)”階段[1]。承載電子政務(wù)系統(tǒng)運行的內(nèi)部辦公網(wǎng)絡(luò)一般分為內(nèi)網(wǎng)和外網(wǎng)兩個相互獨立的網(wǎng)絡(luò)，內(nèi)網(wǎng)承載政務(wù)系統(tǒng)的運行，外網(wǎng)一般不承載或者承載少量非核心的業(yè)務(wù)系統(tǒng)，與互聯(lián)網(wǎng)相連。由于內(nèi)網(wǎng)故障會直接導(dǎo)致政務(wù)審批工作的中斷，所以，內(nèi)網(wǎng)安全一直是網(wǎng)管員們關(guān)注的重點，外網(wǎng)運維管理一直放在次要的位置。但是，隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，外網(wǎng)的運維管理也越來越重要。

1 政府部門外網(wǎng)應(yīng)用需求

外網(wǎng)應(yīng)用的典型特征是要與互聯(lián)網(wǎng)保持暢通，一邊滿足服務(wù)民眾的需求，一邊滿足政府工作人員登錄互聯(lián)網(wǎng)的需求。

《中華人民共和國政府信息公開條例》自2008年實施以來，政府信息公開和政府門戶網(wǎng)站建設(shè)成為各級政府部門很重要的一項工作，納入崗位責(zé)任考核，并且不斷提高考核要求。因此，各個政府門戶網(wǎng)站信息公開內(nèi)容越來越豐富，交互服務(wù)功能也越來越多。如國土資源行業(yè)，土地和礦產(chǎn)資源的審批公告要及時公布，土地使用權(quán)交易和礦業(yè)權(quán)交易必須提前公示，讓申請人在規(guī)定時間內(nèi)提出采購申請，時效性很強(qiáng)，各級國土資源部門已把這些公告和公示從傳統(tǒng)媒體轉(zhuǎn)移到門戶網(wǎng)站，設(shè)定專門欄目予以發(fā)布。門戶網(wǎng)站的交互功能也從原來單一的郵箱功能變成公眾參與的諸多欄目，如在線咨詢、在線訪談、網(wǎng)上調(diào)查、網(wǎng)上申報等[2]，為民眾提供更加便利的服務(wù)，體現(xiàn)政府的服務(wù)職能。

政府工作人員在工作中也越來越依賴互聯(lián)網(wǎng)資源。撰寫公文，需要在互聯(lián)網(wǎng)上搜集信息，了解政策；日常辦公，大量公文及管理工作資料也常常在本級或者上級門戶網(wǎng)站公開，政府網(wǎng)站往往設(shè)計“管理工作”和“資料下載”欄目，方便工作人員下載使用；常常使用郵件、即時工具，和上下級、同行、業(yè)務(wù)支撐合作單位等保持溝通，傳遞一些不涉密的工作資料，加快推進(jìn)工作進(jìn)度。特別是，還有一些單系統(tǒng)業(yè)務(wù)數(shù)據(jù)也要通過互聯(lián)網(wǎng)鏈路及時上報上級部門。

隨著這些應(yīng)用的拓展，政府部門外網(wǎng)一旦中斷，門戶網(wǎng)站服務(wù)器將不能再對外提供服務(wù)，給民眾帶來很大的不便，工作人員辦公也會受到很大影響，因此，外網(wǎng)安全已逐漸和內(nèi)網(wǎng)網(wǎng)絡(luò)安全提到同樣重要的位置，外網(wǎng)時刻與互聯(lián)網(wǎng)保持暢通成為外網(wǎng)管理必須完成的一個任務(wù)。

2 外網(wǎng)運維管理體系

為了滿足以上外網(wǎng)運維管理需求，我廳外網(wǎng)運維管理體系分為以下3個層次。

2.1 核心網(wǎng)絡(luò)防火墻+網(wǎng)絡(luò)客戶端管理，保障網(wǎng)絡(luò)基礎(chǔ)安全

圖1 網(wǎng)絡(luò)運維管理體系圖Fig.1 Network operation and maintenance management system

對網(wǎng)絡(luò)劃分多個安全域，增加網(wǎng)絡(luò)訪問控制來提高安全級別，實現(xiàn)內(nèi)部網(wǎng)絡(luò)訪問的高安全性，目前技術(shù)最為成熟的專用網(wǎng)絡(luò)訪問控制設(shè)備就是網(wǎng)絡(luò)防火墻。作為整個政府單位網(wǎng)絡(luò)的第一道屏障，必須在外網(wǎng)部署防火墻功能，防火墻設(shè)備的性能需要參考外網(wǎng)帶寬，以及應(yīng)用要求，包括并發(fā)連接數(shù)以及每秒新建連接數(shù)指標(biāo)等[3]。網(wǎng)絡(luò)防火墻的接入實現(xiàn)有獨立防火墻設(shè)備與交換機(jī)專用防火墻模塊兩種方式，防火墻模塊安裝在核心交換機(jī)模塊擴(kuò)展槽位，通過背板連接的形式與核心交換機(jī)各板卡間實現(xiàn)了高速通信，從而將核心交換機(jī)“變成”多端口的防火墻，轉(zhuǎn)發(fā)性能超過專用的千兆防火墻。本方案采用交換機(jī)專用防火墻板，對服務(wù)器區(qū)域進(jìn)行劃分，分為管理服務(wù)器區(qū)和對外業(yè)務(wù)服務(wù)器區(qū)。

在管理服務(wù)器區(qū)架設(shè)一臺服務(wù)器部署網(wǎng)絡(luò)客戶端管理系統(tǒng)，利用該系統(tǒng)，可以對客戶端資源進(jìn)行有效管理，對IP地址實施管理，定位人員和計算機(jī)；部署安全策略，實施網(wǎng)絡(luò)接入控制，不合法的計算機(jī)不允許介入網(wǎng)絡(luò)；實施網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)殺毒軟件及操作系統(tǒng)補(bǔ)丁升級不及時則發(fā)信息提醒安裝，甚至不允許登錄網(wǎng)絡(luò)。

通過核心網(wǎng)絡(luò)防火墻和網(wǎng)絡(luò)客戶端管理系統(tǒng)，保障網(wǎng)絡(luò)基礎(chǔ)安全。

2.2 外網(wǎng)出口管理，實施互聯(lián)網(wǎng)登錄管理和流量控制

在互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)防火墻，負(fù)責(zé)網(wǎng)內(nèi)用戶上網(wǎng)的NAT轉(zhuǎn)換，對進(jìn)出外網(wǎng)的數(shù)據(jù)包進(jìn)行過濾，過濾常見網(wǎng)絡(luò)病毒，并實施門戶網(wǎng)站服務(wù)器、FTP服務(wù)器等重要服務(wù)器的對外服務(wù)轉(zhuǎn)換功能，以及對各服務(wù)器所提供的服務(wù)進(jìn)行訪問控制。在管理服務(wù)器區(qū)架設(shè)一臺服務(wù)器部署日志審計系統(tǒng)，對出口流量進(jìn)行審計，系統(tǒng)提供對多種網(wǎng)絡(luò)服務(wù)（SMTP、POP3、WEB、FTP、DHCP等）的監(jiān)視，滿足國家互聯(lián)網(wǎng)登錄管理中的相關(guān)審計要求。目前，網(wǎng)絡(luò)防火墻和日志審計系統(tǒng)已是互聯(lián)網(wǎng)出口管理必備的設(shè)備。

隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，這樣的管理手段已不能滿足管理需要，網(wǎng)內(nèi)用戶不斷抱怨網(wǎng)絡(luò)登錄速度慢，甚至常常出現(xiàn)不能登錄現(xiàn)象，通過互聯(lián)網(wǎng)向上級直報數(shù)據(jù)也往往無法登錄。通過分析，原因主要是：1）登錄互聯(lián)網(wǎng)的用戶增加，由原來的一個部門1～2臺計算機(jī)逐漸變?yōu)槊總€人一臺，網(wǎng)內(nèi)用戶約600人，在線用戶也逐漸在增加，工作時間內(nèi)在線用戶常常保持在400～500人，而出口帶寬經(jīng)過擴(kuò)容增加為100 M；2）P2P等無關(guān)業(yè)務(wù)占據(jù)了大量的傳輸資源，造成了其他應(yīng)用的接入困難；3）對P2P等無關(guān)業(yè)務(wù)缺乏監(jiān)測和管理手段，無法做到流量合理分配，單純擴(kuò)容造成資金成本提高，卻無法從根本上解決問題。近來出現(xiàn)一些P2P封殺工具，但簡單封殺并不是最根本的解決途徑，同時P2P也是一種很不錯的網(wǎng)絡(luò)應(yīng)用技[4]。如何有效地分析網(wǎng)絡(luò)應(yīng)用協(xié)議，合理規(guī)劃帶寬資源，才是最終的解決途徑[5]。因此，我們在防火墻后增加一臺專用流量控制設(shè)備，采用透明橋接方式串聯(lián)在外網(wǎng)核心交換機(jī)與防火墻之間，保證所有進(jìn)出流量可以管理。

根據(jù)實際情況，目前流量的分配如圖2所示。

重要用戶組：此組包含外網(wǎng)重點業(yè)務(wù)，如業(yè)務(wù)審批配號系統(tǒng)等的用戶，優(yōu)先保障；服務(wù)器組：此組包含外網(wǎng)WEB服務(wù)器等IT基礎(chǔ)架構(gòu)中需要進(jìn)行帶寬保證的各服務(wù)器；P2P組：此組進(jìn)行P2P，流媒體等大流量應(yīng)用的帶寬合理分配，通過帶寬限制保證不影響正常用戶的互聯(lián)網(wǎng)瀏覽等。

經(jīng)過帶寬擴(kuò)容和流量調(diào)控，在測試期，經(jīng)過不斷的觀察，收集反饋和優(yōu)化，目前我廳互聯(lián)網(wǎng)流量典型情況如圖3所示。結(jié)合日常高峰時段流量分析，P2P流量得到合理限制，在兼顧P2P下載的同時，總流量無明顯峰值，目前我廳互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)訪問速度大幅提高，網(wǎng)站瀏覽流暢，P2P流量得到了合理分配，互聯(lián)網(wǎng)登錄的不同應(yīng)用需求得到相應(yīng)保障。

2.3 入侵檢測系統(tǒng)+安全管理平臺，保障網(wǎng)絡(luò)故障的快速反應(yīng)

圖2 網(wǎng)絡(luò)流量分配策略Fig.2 Network flow distribution strategy

圖3 日常網(wǎng)絡(luò)流量趨勢圖Fig.3 Daily network flow trend

在核心交換機(jī)以旁路方式部署一臺IPS設(shè)備，它作為入侵防御系統(tǒng)可以識別并阻止惡意流量、蠕蟲、病毒和應(yīng)用程序濫用；提供智能化的威脅檢測和保護(hù)；借助聲譽過濾和全局監(jiān)測，防止威脅入侵。

在核心交換機(jī)以旁路方式部署一臺綜合安全管理平臺，全稱為安全監(jiān)控分析和響應(yīng)系統(tǒng)（MARS）。此系統(tǒng)是一個威脅管理、監(jiān)控和防御設(shè)備，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測、熱點識別和自動防御功能相結(jié)合[6]，自動實現(xiàn)威脅等級分析、網(wǎng)絡(luò)攻擊拓?fù)涿枥L、網(wǎng)絡(luò)防御方案即時生成等功能，可以幫助準(zhǔn)確識別和消除網(wǎng)絡(luò)攻擊。

設(shè)定IPS與 MARS聯(lián)動，作為探測器為MARS服務(wù)，在核心交換機(jī)上做鏡像端口，把需要檢測的流量引入到IPS。確定MARS與IPS直接的鏈路是相同的，數(shù)據(jù)可以正常到達(dá)。

3 網(wǎng)絡(luò)運維事件分析

2012年×月×日14:30左右，出現(xiàn)互聯(lián)網(wǎng)訪問困難，甚至出現(xiàn)部分Vlan全部無法訪問外網(wǎng)。通過應(yīng)用已部署的管理工具，逐步分析解決了這次故障，特別是近期部署的MARS為快速定位故障點起到了重要的作用。

3.1 簡單定位，撤掉出口流量控制設(shè)備

接到用戶電話后，分析故障現(xiàn)象，首先通過本地終端查找數(shù)據(jù)包傳輸中在哪個節(jié)點出現(xiàn)問題，操作步驟如下：

1）首先從終端PC機(jī)PING網(wǎng)關(guān)，鏈路通；

2）PING核心交換機(jī)的上連接口地址，鏈路通；

3）PING防火墻下連接口地址，出現(xiàn)大量丟包現(xiàn)象。

觀察網(wǎng)絡(luò)中設(shè)備狀況，發(fā)現(xiàn)流控設(shè)備警告燈長亮，嘗試登錄流控管理界面，已經(jīng)無法正常進(jìn)入，故將流控設(shè)備撤除，使核心與防火墻直接互聯(lián)，觀察終端訪問互聯(lián)網(wǎng)絡(luò)，發(fā)現(xiàn)問題消失，訪問外網(wǎng)正常。

事后查詢流量控制設(shè)備的統(tǒng)計報表，發(fā)現(xiàn)當(dāng)時的流量已遠(yuǎn)超過日常的100～120 M總流量如圖3所示，最高值沖到了180 M，如圖4所示。

圖4 故障期間流量趨勢圖Fig.4 Daily network flow trend during the fault

3.2 出口防火墻資源占用超高，核心交換機(jī)資源占用正常，傳統(tǒng)分析方法陷入僵局

經(jīng)過幾分鐘的使用后，網(wǎng)絡(luò)再次出現(xiàn)大量丟包現(xiàn)象，繼續(xù)查找問題所在。

通過上面排查現(xiàn)象，初步認(rèn)為是外網(wǎng)防火墻的問題。直接使用PC與防火墻的MGMT管理口相連，使用PING管理地址驗證鏈路互通情況，發(fā)現(xiàn)即使通過管理口相連，也會出現(xiàn)大量丟包現(xiàn)象，無法順暢登錄到防火墻的管理界面。根據(jù)此現(xiàn)象，懷疑防火墻的CPU與內(nèi)存利用率占用過高導(dǎo)致無法正常運轉(zhuǎn)。最后通過登錄到管理界面（速度很慢），驗證防火墻的利用率確實高達(dá)70%多。根據(jù)以上現(xiàn)象，結(jié)合部分Vlan完全無法訪問外網(wǎng)，其他用戶卻可以訪問的現(xiàn)象，初步認(rèn)定是局域網(wǎng)中有病毒大量泛洪，導(dǎo)致網(wǎng)絡(luò)癱瘓。

為了驗證是否為病毒攻擊，登錄到核心交換機(jī)查看資源利用率，從telnet到核心，查看CPU與內(nèi)存情況，截圖如圖5所示。通過查看發(fā)現(xiàn)核心交換機(jī)利用率并不高，這樣就感覺病毒攻擊引起的可能不是太大，如果為病毒泛洪，核心交換機(jī)的CPU和內(nèi)存使用率也會居高不下。

3.3 應(yīng)用MARS和客戶端管理系統(tǒng)，找到了故障原因

為了進(jìn)一步查找問題根源，使用了前期剛剛進(jìn)入試運行的MARS及IPS傳感器體系，通過查找問題發(fā)生時間段的MARS告警分析，有圖6顯示的信息。

圖5 核心交換機(jī)資源利用率Fig.5 Core switch resources utilization

圖6 故障期間網(wǎng)絡(luò)拓?fù)鋱DFig.6 Network topology during the fault

根據(jù)圖中顯示，大量客戶終端主機(jī)都通過某一臺主機(jī)訪問外部固定的公網(wǎng)地址。根據(jù)IP地址和客戶端管理系統(tǒng)，查詢到此主機(jī)為某處室人員使用，上樓查看，發(fā)現(xiàn)該處室大量終端同時都在訪問某考試網(wǎng)站觀看同一培訓(xùn)視頻。綜合以上故障現(xiàn)象，交換設(shè)備分析，并利用MARS系統(tǒng)的異常事件分析功能，排除了網(wǎng)絡(luò)中大規(guī)模病毒爆發(fā)的懷疑，問題確定為多個用戶同時訪問同一網(wǎng)站的同一視頻，造成流量控制設(shè)備先前策略無法定位，策略失效，引起帶寬的大量占用，從而導(dǎo)致其他用戶無法正常上網(wǎng)。

3.4 解決方法

登錄離線狀態(tài)的流量控制設(shè)備，更改限制單IP最大帶寬額，分別調(diào)整為原始值的50%，保存配置。經(jīng)過觀察，網(wǎng)絡(luò)使用情況恢復(fù)正常。且此策略下面對今后出現(xiàn)的類似應(yīng)用，也不會造成流控或防火墻的過高負(fù)載。至此故障解決。

4 結(jié) 論

網(wǎng)絡(luò)運維體系建設(shè)是一個不斷適應(yīng)和發(fā)展的過程。明確網(wǎng)絡(luò)應(yīng)用需求，選擇合適的網(wǎng)絡(luò)運維管理方式和技術(shù)工具，根據(jù)實際應(yīng)用，配置恰當(dāng)?shù)牟呗?，并隨著應(yīng)用的發(fā)展不斷調(diào)整。

[1]運維管理體系的論述[EB/OL].http://wenku.baidu.com/view/fc54c1c608a1284ac8504381.html.

[2]河南省國土資源廳門戶網(wǎng)站[EB/OL].http://www.hnblr.gov.cn/viewpage?path=/index.html.

[3]曾昶.政府外網(wǎng)優(yōu)化設(shè)計實踐 [J].通信與信息技術(shù)，2010（2）：60-62.ZENG Yong.Optimization design of the outside network in government[J].Communication and Information Technology，2010（2）：60-62.

[4]蔡一聞.淺談如何優(yōu)化高校網(wǎng)絡(luò)運維管理[J].科技資訊，2009（10）：31-32.CAI Yi-wen.How to optimize the operation and maintenance management in university network[J].Science and Technology Information，2009（10）：31-32.

[5]吳京偉.大學(xué)校園網(wǎng)絡(luò)運維體系研究[M].安徽：合肥工業(yè)大學(xué)，2009.

[6]安全監(jiān)控分析和響應(yīng)系統(tǒng)概覽[EB/OL].http://wenku.baidu.com/view/5a54b10abb68a98271fefaac.html.