网络安全和日常维护
T技术
网络安全和日常维护
张现启
(铁通临沂分公司山东临沂276000)
摘要:本文通过综合运用SNMP采样、NetFlow分析和探针分析,并且利用Juniper路由器特有的端口镜像功能将这三种手段有效地结合起来,构造出一种“切片式”监控系统,可以较好地完成粗、细粒度结合的电信网络集中监控任务,从而为保障电信运营商网络安全打下一个坚实的基础。
关键词:切片式监控系统电信运营商网络安全
中图分类号:TN915.08文献标识码;A文章编号:1673—0534(2007)02(b)一0019-01
1引言
随着电信市场竞争的日趋激烈,网络质量
已成为企业赢得市场和用户的最重要手段,而
电信运行网络监控是电信公司提高网络质量
和电信网络运行效益的基本保证。
互联网从诞生的那一天起,就没有停下
飞速发展的脚步,随着互联网技术不断地发
展,其应用越来越多,但随之而来的网络安全
性问题也暴露了出来。如何通过网络监控系
统来保障运营商网络安全,特别是在大规模
的电信运营商网络中进行集中式的网络监控
一直是困扰运营商维护人员的难题。目前的
监控手段都存在着一定的局限性,无法从根
本上解决问题。网络蠕虫病毒、分布式拒绝
服务攻击(DDoS)和垃圾邮件成为影响运营商
网络正常运行的三大障碍。
解决网络安全问题的第一步是要发现网
络的异常情况,并且能够定位出现异常的原
因。只有迅速找到引发网络异常的原因,才
有可能迅速解决问题。由于网络安全事件的
爆发往往具有影响面大、传播迅速的特点,
因此对于电信运营商来说,部署一个集中式
的监控中心就显得十分必要。
2现有网络监控系统的分类
目前电信运营商普遍采用的网络监控手
段主要包括以下3种:
(1)基于SNMP的网络监控系统。简单网
络管理协议(simplenetworkmanagement
protocol,SNMP)是由互联网工程任务组定
义的一套网络管理协议。该协议基于简单网
关监视协议。
(2)基于NetFlow的网络监控和分析系
统。NetFlow技术是1996年有思科公司的
DarrenKerr和BarryBruins发明的。
NetFlow是一种数据交换方式。
(3)基于探针的网络监控和分析系统。探
针技术起源于以太网时代。以太网采用的是
载波侦听加冲突检测机制,一台主机发送出
的数据包会被集线器(Hub)转发到每一个端El
上。因此,只要拥有一台网卡就可以被设置成
混杂模式的计算机,再加上相应的软件,就可
以监听到连接在同一台PC上的所有计算机的
通信,那台用于监听的计算机就被称作探
万 方数据针。探针的威力是十分强大的,因为它能截了针对网络运行状态粗细粒度分析的完美结获网络中传递的所有数据包。虽然交换机和合,从而有效地解决了分析缺乏细节与探针光纤网络的出现使得探针的部詈难度提高,分析成本巨大这一困扰ISP多年的难题。“切但是依然可以通过端口镜像或者分光等方式片式”监控系统也有其局限性。首先,目前只进行部署。由于探针可以通过旁路的方式获有Juniper路由器有基于端El的镜像功能。因取网络中全部的数据包,因此探针配合协议此,在非Juniper路由器搭建的网络中,就难分析系统就可以构造出功能最强大的网络监以部署“切片式”监控系统。其次,如果利用控系统,可以分析网络中的每一个数据包的低带宽线路去镜像高带宽线路的流量,就必内容。须进行采样比的设置,由于无法进行1:l的流量镜像,会丢失一部分线路状态的细节。“切3“切片式”监控系统的构建和实施片式”监控系统极大地缩减了设备投入成本首先,利用“切片式”监控系统进行和人力成本,为在运营商网络中部署集中监网络安全分析的思路是,运营商通过网络集控提出了崭新的思路。进一步提高安全基线中监控来进行网络安全分析的目的在于,通的准确性、提升流量镜像的效率、增强探针分过建立一套完善的监控系统。用最少的人力析系统对各种新网络应用协议的解码和还原成本,在最短的时间内完成网络安全事件的能力是未来“切片式”监控系统发展的三个主发现、定位和取证工作。因此,需要使用要方向。粗粒度的监控来发现异常情况。在发现异常情况的时候,能通过技术手段,尽可能在集参考文献中的监控中心完成对网络由各类线路的数据【1】JUNOSportmirrorconfiguration,包级别的细粒度分析,以帮助维护人员进行http://www2.juniper.net/techpubs/网络安全事件的定位。通过数据包捕获,完flow-moinitoring—configl7.html.成网络安全事件的取证工作。“切片式”监[2]GenieATM产品解决方案,http://控系统的工作方式是,通过综合运用基于www.genienrm.com/sc/products/SNMP、NetFlow以及探针的监控手段,形products-atm2320.htm.成网络日常运行安全基线。以及出现异常时[3】Omnipeek产品解决方案,http://能够针对每一个数据包的监控能力,从而最www.wildpackets.com/products/大限度地获取最详细的网络状态信息,为异omni/omnipeek/overview.html.常故障处理提供强有力的支持。“切片式”监控系统的关键技术是,通过SNMP和NetFlow可以7×24h地对网络运行状态进行监控,并且可以根据线路的每秒流入,流出字节数和数据包数、源IP地址和端口、目的IP地址和端口以及协议类型等指标创建线路正常运行时的安全基线。当网络运行状态与安全基线发生较大偏差时就报警,通知网络管理员进行进一步的分析。4“切片式”监控系统的优缺点和今后的发展方向“切片式”监控系统的意义在于,通过将基于SNMP和NetFlow的安全基线分析与基于探针的数据报文分析的配合使用,形成
科技咨询导报ScienceandTechnologyConsultingHerald19
网络安全和日常维护作者:
作者单位:
刊名:
英文刊名:
年,卷(期):张现启铁通临沂分公司,山东临沂,276000科技咨询导报SCIENCE AND TECHNOLOGY CONSULTING HERALD2007(5)
参考文献(3条)
1. Omnipeek产品解决方案
2. GenieATM产品解决方案
3. JUNOS port mirror configuration
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kjzxdb200705014.aspx