您好,欢迎来到华佗小知识。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页电子政务网建设方案

电子政务网建设方案

来源:华佗小知识
电子政务网建设

技术建议书

目 录

1 前 言

及事业单位一直是中国信息化的先行者,网络的建设已经比较完善。随着“电子政务”建设的进一步深入,信息化建设重点变化明显,电子政务业务系统的受重视程度继续加强;而办公自动化、信息安全和门户网站建设的受重视程度显着加强。

按照网络管理的要求,必须保障含有信息的“内网”不但要求的绝对安全。但随着电子政务、网上、自身的信息化业务系统等的发展,与自身各分支机构、外界相关单位信息交互的“”安全和互连互通就变得更为必要。此络的安全问题日益显得尤为重要。

2 网络平台需求分析

随着电子政务系统信息化的发展,电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化,成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道,以及方便地实现流程整合。

统一网络平台解决了业务专网建设思路存在的问题,其优势如下:

利于网络扩展:当增加新的业务系统时不需要建设新的专网,而是由网络平台统一分配网络资源;当业务专网扩容时不需要单独扩容,首先通过统一网络平台扩展其容量,当统一网络平台容量不足时再考虑对整个平台进行扩容。

管理成本低:统一网络平台由专门的部门统一维护,不需要每个业务部门都设置网络管理员及网管,极大地降低了管理成本。

网络资源利用率高:由于各业务系统对网络资源(如带宽)的需求由统一网络平台来满足,可以根据各业务系统实际的流量动态调整带宽,充分利用网络资源。

利于业务系统之间的信息共享和流程整合:由于各业务系统采用统一的网络平台,相互之间很容易实现互访,为在将来进行信息共享及业务横向提供了良好的基础。

为充分满足电子政务系统信息化发展的要求,统一网络平台还需要满足以下的关键业务需求:

部门系统之间的安全隔离:不同部门系统之间需要提供安全隔离,避免非法访问。

电子政务系统业务系统之间的互访:部分业务系统,如领导决策公文下发数据、公布、业务数据上报业务等之间有相互访问的需求,随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起;网络平台必须满足各单位系统互访的要求及安全性。

不同业务系统的差别服务(COS):不同业务系统,需要网络平台提供

差别服务,诸如电子政务系统对OA办公和语音通话等有很大的需求,数据、视频和监控对带宽、实时性有不同的要求。

为业务系统提供灵活的网络拓扑:各应用系统的业务网络逻辑模型是不同的,有的业务需要星型结构的网络,有的系统需要网状结构。

电信级的可靠性:电子政务网是系统关键业务平台,其网络平台必须具有电信级的可靠性,在设计中要充分考虑设备、链路、路由的冗余,以及快速自愈恢复能力。

可管理:建议引入电信级的网络管理和业务管理方法,以确保网络和业务运行的稳定可靠。

可扩展:网络平台的设计应该是能够充分考虑可扩展性,包括链路带宽的扩展、设备容量的扩展,以及拓朴的优化。

可优化:可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个“客户”。网络平台需要对每一个客户(如监控、视频系统)等进行实时的监控,不断优化其网络资源。

电子政务网方案本着先进性、现实性和经济性统一的原则进行设计,设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点,能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的网络技术和高速设备,为电子政务等各类信息系统提供统一的综合业务网络平台,与原有设备和网络实现良好的互通,降低管理成本和提高管理效率。

2.1 网络建设目标

电子政务内,主要包括所需要的路由器、交换机、网管、网络准入系统、防火墙、IPS等设备及工程所需要的配套设备等。工程功能可实现系统的内网办公、上联市一级电子政务内网、访问Internet等需求。

网络的建设是为业务的发展服务,综合考虑几年内业务发展及现有网络状况,电子政务内网建设要达到如下目标:

电子政务内网业务数据由同一网络平台承载,电子政务网络的建设,应该考虑到网络的扩展性、可靠性、安全性。IP电话业务、监控和会议电视,为各部门工作的开展提供灵活方便的手段。数据、语音等(后续将要运行的监控、视频)各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据分布特征等方面各有其特点。因此,在进行电子政务内网的建设时,需要在网上开展IP视频业务、监控业务及会议电视等相关的业务。建立统一的综合信息系统平台网络。按照业务的需要,建设骨干网络,统一全网的安全控制措施和安全监测手段。集中网络管理,实施分级维护;进一步规范IP地址的应用;积极开展网络综合应用。将电子政务内建设成为一个综合、高性能的网络:

综合性

为多种业务应用与信息网络提供统一的综合业务传送平台。 支持QOS

能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预

留,拥塞控制,报文分类,流量整形等强大的IP QOS功能。

高可靠性

具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。

高性能

在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。 安全性

具有保证系统安全,防止系统被人为破坏的能力。支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLS VPN。

扩展性

易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。

开放性

符合开放性规范,方便接入不同厂商的设备和网络产品。 标准化

通讯协议和接口符合国际标准。 实用性

具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干息

量大、信息流集中的特点。

易管理

为达到集中管理的目的,网络平台支持虚拟网络,并可与路由器、骨干和局域网交换机配合,整个网络可以进行远程控制。集中网管具体方案参见网管部分的描述。

有效性

保证5年以内硬件设备无需升级,就可满足一般业务的需要,且运行稳定可靠。

2.2 网络建设原则

为达到网络优化和将来扩展的目标要求,在电子政务内,应始终坚持以下建网原则:

高可靠性

网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。

标准开放性

支持国际上通用标准的网络协议(如TCP/IP)、国际标准的大型的动态路由协议(如BGP,OSPF)等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。

灵活性及可扩展性

根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。

可管理性

对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。

安全性

制订统一的骨干网安全策略,整体考虑网络平台的安全性。可以通过VPN和VLAN实现各业务子网隔离,全网统一规划IP地址,根据不同的业务划分不同的子网(subnet),相同物理LAN通过VLAN的方式隔离,不同子网间的互通性由路由策略决定。

保护现有投资

在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,对其他的设备用作骨干网外联的接入设备。

统一标准、统一平台

网络的互联及互通关键是对相同标准的遵循,在网络中,由于有多个网络并存,要使这些网络能融合到一起,实现业务整合及数据集中等业务,就必须统一标准。在具体实施中,必须统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平

台等,才能保证实现网络的统一,并确保网络的可扩展性。

3 网络平台基础建设

3.1 网络整体结构

电子政务系统整个网络系统划分成内网和,两个物理隔离的网络。内网和整个电子政务网络相连,承载上联上一级电子政务网、办公OA等业务。主要负载一些对外业务,如访问Internet、网站信息公示等。

从系统行政管理和技术的角度来看,建议采用层次化的网络设计结构,这样既方便了管理,也有利于扩展和灵活布置。

采用层次性设计方案的优势: 网络及路由层次清晰:

分层网络结构,路由设计更清晰,可以尽量避免核心区域的路由受到边缘链路震荡的影响。

网络及业务扩展性好,降低建设成本:

采用分层结构之后,在电子政务系统内网业务扩展(带宽扩展、节点扩展)时,可以通过内网核心层扩展端口来实现。当增加一个部门或科室,直接在核心核心交换机上扩展端口,降低了投资成本,提高了网络的扩展性。

分层结构在业务扩展时对网络核心层及路由规划没有影响,平滑过渡。而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路由规划。

网络可靠性高:

采用分层结构之后,功能模块相互,如FE/GE接入、N×2M接入、核心转发由不同的设备来完成,不会相互影响,提高了整个网络的可靠性。

整个网络方案在路由备份、物理位置分离、局域网链路备份、虚拟路由备份、设备级可靠性等方面做了比较充分的考虑,可有效保证电子政务网络的健壮性。

便于维护

采用分层结构之后,功能模块相互,如FE/GE接入、E1接入、核心转发由不同的设备来完成,设备的配置大大简化,便于维护,也便于网络故障定位。

采用分层结构,在业务扩展时简单高效,极大降低了管理难度。 基于上面对层次化设计、局域网技术和广域网技术的分析,设计了电子政务网络。在网络的设计上主要考虑了网络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。

整个电子政务系统的内设计采用层次结构,除了可以满足本身业务上和实现办公自动化等的一些基本应用外,未来也可以实现远程监控、视频会议等一些增值的应用。下面介绍一下网络的总体结构。

3.2 电子政务内网解决方案

新建办公大楼共23层,主机房位于第四层,分机房在1-3层部署一间,其余每隔2层部署一间机房,内网的建设对各项业务的运转至关重要。

下面内网的拓扑图: 整个内网的主要架构特点:

1) 电子政务内网采用核心、接入的扁平化两层架构,提高了访问速度,管理更方便。

2) 网络核心处采用一台高端交换机作为网络的核心,采用双引擎双电源,增强核心设备的可靠性,同时保证数据在双引擎转发的负载分担。 3) 各楼宇的接入交换机通过千兆光纤链路上行,与核心交换机相连。整个网络千兆骨干、百兆到桌面,数据传输在链路上没有拥塞。 4) 每个分机房部署一台48口的接入交换机,接入各层的信息点。 5) 内部局域网安全隐患远远高于外部,在某些PC终端在感染了攻击性病毒后,会不停的对网络中的其他PC终端和服务器发动网络攻击,轻者导致一些用户不能正常上网,重者导致服务器和网络瘫痪。因为网络中所有数据都通过核心交换机进行转发,只要在核心交换机上扩展一块内置防火墙模块,其功能就相当于在核心交换机上的每条链路都部署了一台高性能防火墙,通过这种方式来防御下面终端的攻击。而且防火墙模块可以对不同的部门进行访问权限的划分,控制各种用户访问权限。 6) 为防御外部和内部的4-7层的网络攻击,特别是一些恶性病毒,如木马、蠕虫病毒等,建议在网络中部署IPS系统。但把IPS设备部署到网络前端时,会出现路由器、IPS、防火墙等串行单点部署的情况,整个内网运转时一旦一台设备出现故障,会导致整个网络出口中断,后果不堪设想。我们建议将单独的IPS设备替换成一块能在核心交换机上扩展的IPS模块,不但能有效的解决串行单点部署的情况,而且因为它部署

在核心交换机上,所有经过核心交换机的数据都能经过IPS模块过滤,对数据中心的服务器进行应用层保护,可以有效的防止DDOS攻击,和数据库数据更改等黑客行为,整网安全性进一步提高。

7) 服务器均以千兆链路直接连接核心交换机,提高服务器的访问速度。 8) 在网络的出口处,部署一台高性能的路由器,承担数据的路由转发功能,上联上一级电子政务网。在同时对内网地址做NAT地址转换(NAT地址转换的功能也可以放在核心交换机的防火墙模块上)。

9) 为有效防范非法计算机接入到上下级电子政务网内部网络中,和防范合法计算机在安全状态不满足要求的情况接入到网络中,并根据不同用户享

使

10)

内网承载的业务多为重要的业务,需要信息中心工作人员对

整网的安全事件时刻关注,且网络的安全状况通常是根据各种网络设备的日志来进行分析的,为方便网络管理员对整网安全事件进行统一管理,建议在服务器区配置一台安全管理中心SecCenter,对整网设备的安全日志进行统一收集并分析。并可生成各种形式的报告,方便向上级领导汇报。

11) 为避免多个业务系统采用不同网管软件给管理员带来的麻烦

和困扰,建议对整网网络设备、业务、用户进行综合管理,方便管理员进行统一管理。 12)

为帮助管理员方便的对设备配置文件和软件文件进行集中管

理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能,在iMC上附送了一个中心业务组件iCC。 13)

为帮助管理员对整个网络流量进行有效监控,如可以统计设

备接口、、IP地址组、的(准)实时流量信息,包括流入、流出速率以及当前速率相对于链路最大速率的比例等,建议配置一套网络流量分析系统,包括在核心交换机上扩展一块网络流量分析模块,和在智能管理中枢iMC上配置一个网络流量分析组件NTA。

3.3 电子政务解决方案

上运行的业务相对内网而言,虽然承载的业务重要性要低些,但在网络设计和设备选型不能降低标准。下面是电子政务拓扑图: 整个的主要架构特点:

1) 网络核心处采用一台高性价比交换机作为网络的核心,配置双电源。 2) 各楼宇的接入交换机通过千兆光纤链路上行,与核心交换机相连, 3) 整个网络千兆骨干、百兆到桌面,数据传输在链路上没有拥塞。 4) 服务器均以千兆链路直接连接核心交换机,提高服务器的访问速度。 5) 在网络的出口处,部署一台高扩展性的路由器,承担数据的路由转发功能。

6) 每个分机房部署一台48口的接入交换机,接入各层的信息点。 7) 在路由器的后端部署一台防火墙,对数据进行过滤,并对内网地址做NAT地址转换。此种组网方式避免了出口的单点故障,一旦防火墙模块出现问题,也不会出现断网情况,路由器本身有较强的NAT地址转换功能,可接替防火墙的职责。

8) 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰,建议对整网网络设备、业务、用户进行综合管理,方便管理员进行统一管理。

9) 为帮助管理员方便的对设备配置文件和软件文件进行集中管理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能,在iMC上附送了一个中心业务组件iCC。 10)

为方便管理员对终端用户的上网行为进行事后审计,追查用户的网

络行为,满足相关部门对用户网络访问日志进行审计的硬性要求,建议配置一套网络行为审计系统,包括在智能管理中枢iMC上配置一个网络用户行为审计组件UBAS,和一个能生成七层日志的DIG探针。 11)

建议在上部署一套无线系统,无线平台将依托电子政务平

台,采用集中控制、分布式部署的模式来建设。在电子政务上扩展无线插卡来实现对于全网无线系统的统一管理和配置,对前端的无线AP进行统一的配置管理及认证管理。由于接入层设备能够支持较好的POE功能,所以在无线网络部署时,不需要考虑其电源位置,使无线AP能够更加灵活的部署。

3.4 电子政务安全解决方案

网络安全问题已成为信息时代企业和个人共同面临的挑战,电子政务网络安全状态也很严峻。现在计算机系统受病毒感染和破坏的情况相当严重,电脑黑客活动已形成重要威胁,信息基础设施面临网络安全的挑战,信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

本次方案设计的H3C的网络设备提供很高的安全性,通过这些安全特性可用构成一个安全的网络环境。

(1)端口+IP+MAC地址的绑定 用户上网的安全性非常重要,端口+IP+ (2)接入层防Proxy的功能

考虑到系统用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司交换机配合H3C公司的的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),H3C系列交换机将会下发指令将该用户直接踢下线。

(3)MAC地址盗用的防止

在网络的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由接入系列交换机来实现的。

(4)防止对DHCP服务器的攻击

使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。

H3C交换机可以支持多种禁止私设DHCP Server的方法。 (5)Private VLAN

解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。

(6)访问控制列表

对于有三层功能的交换机,可以用访问列表来实现。

就是定义一个访问列表,该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合interface range命令来减少命令的输入量。

新的命令

因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置:

service dhcp-offer deny [exclude interface interface-type

interface-number ][ interface interface-type interface-numbert | none]

如果输入不带选项的命令no dhcp-offer,那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。

exclude interface interface-type interface-number :是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。

interface interface-type interface-numbert | none:当明确知道私设DHCP服务器是在哪个物理端口上的时候,就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器,那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。

(7)防止ARP的攻击

随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于现在用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的管理人员头痛不已,也对网络的接入安全提出了新的挑战。

ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型: 中间人攻击:

按照 ARP 协议的原理,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

仿冒网关:

攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。

在DHCP的网络环境中,使能DHCP Snooping功能,交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。H3C交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非法用户

的ARP攻击。

本次方案设计的华三核心设备都是支持专业的安全板卡,可以在保护用户投资的情况下,增加这些板卡让网络具有更高的安全性。如果硬件安全板卡的性能不能满足流量的要求的时候,可以通过增加多个板卡起到动态扩容,负载分担的作用。

4 网络平台QOS保障

4.1 QoS 及其功能

在传统的IP网络中,所有的报文都被无区别的等同对待,每个路由器对所有的报文均采用先入先出FIFO 的策略进行处理,它尽最大的努力Best-Effort 将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何保证。

网络发展日新月异,随着IP网络上新应用的不断出现,对IP网络的服务质量也提出了新的要求,例如IP监控等实时业务就对报文的传输延迟提出了较高要求,如果报文传送延时太长,将是用户所不能接受的(相对而言E-Mail和FTP业务对时间延迟并不敏感)。为了支持具有不同服务需求的监控、视频以及数据等业务,要求网络能够区分出不同的通信进而为之提供相应的服务传统IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要QoS。

Quality of Service 服务质量技术的出现便致力于解决这个问题。

QoS旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为

实现上述目的QoS提供了下述功能:

➢ 报文分类和着色 ➢ 网络拥塞管理 ➢ 网络拥塞避免 ➢ 流量监管和流量整形

如果随着电子政务网络的扩展出现拥塞,可采用的QOS技术有:IP优先级分类、CAR、WRED、WFQ、CBWFQ、ATM COS等。

QOS是一个需要消耗很多处理器资源的应用,为了达到全网最好的使用效率,建议无论是采用VLAN+ACL方案,还是采用MPLS BGP VPN方案,建议均采用DiffServ机制。

在充分计算了各类业务流量的前提下,在接入路由器上采用CAR技术对各类业务流做流量限定、设定IP优先级;在路由器广域网接口上采用CBWFQ技术为每一类业务提供确定带宽;通过上述技术可实现QoS。

4.2 电子政务网络QOS设计原则

建议QoS设计符合下面的原则:

✓ 差异性:为不同的业务提供不同的QoS保证; ✓ 可管理:灵活的带宽控制策略;

✓ 经济性:有效利用网络资源,包括带宽、VLAN、端口等; ✓ 高可用性:设计备份路径,采用具备热备份、热插拔能力的设备,并对关键的网络节点进行冗余备份;

✓ 可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。

4.3 体系结构的选择

为了在IP网络上提供QoS,IETF提出了许多服务模型和协议,其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。

IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源预留状态,需要通过IP包头识别出所有的用户应用流(进行MF分类),同时为每个经过的应用流设置单独的内列以分别进行监管(Policing)、调度(Scheduling)、整形(Shaping)等操作。对于现在大型运营网络中的节点,这种应用流(活动的)的数量非常庞大,会远远超出节点设备所能够处理的能力,而且可扩展性差,仅适合在小规模网络中使用。

DiffServ模型的基本原理是将网络中的流量分成多个类,每个类接受不同的处理,尤其是网络出现拥塞时不同的类会享受不同的优先处理,从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下,IETF已经定义了EF(Expedite Forwarding)、

AF1-AF4(Assured Forwarding)、BE(Best Effort)等六种标准PHB(Per-hop Behavior)及业务。

此外,有些厂商实现了基于TOS的分类服务(COS),并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似,不过比DiffServ更简单,并且不象DiffServ那样定义了一组标准的业务。

DiffServ对聚合的业务类提供QoS保证,可扩展性好,便于在大规模网络中使用。本次工程推荐使用DeffServ机制实现QOS。

DiffServ域将设备分为两类,边缘设备和核心设备,其中边缘设备承担了较多的工作,如流分类、标记、带宽、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理,开销较大,容易形成网络瓶颈,因此需要将这些功能分布到不同的设备上去,如流分类功尽量在边缘实现。在现有网络中,建议在Access Network中进行流分类,并通过VLAN、等进行标记,在POP点进行带宽(CAR)和拥塞避免(RED),在所有节点上基于优先级采用优先级队列调度,实现拥塞管理。

如果在整个Access Network中,通过在业务流经的所有二、三层设备上部署CAR、队列机制,这样能够基于VLAN、等信息保证每个用户,每个业务的带宽,实际上就实现了一种类似IntServ的机制,只不过这时源还是用户,而目的不是远程用户,而是POP点(干线节点及边沿节点)。在POP点和骨干网中根据/继承标记进行DiffServ处理,可以看作是IntServ同DiffServ的一种结合。这种机制为用

户提供了虚拟专线,其QoS可同真正的专线相媲美。

4.4 H3C路由器DiffServ模型

H3C路由器提供基于DiffServ的QOS模型如下图所示: 采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分类,打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发,保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS,需要所有相关设备支持,特别对边沿节点有很强QOS能力需求。

在边沿结点的Ingress方向,路由器通常需要进行基于MF(Multi-field)的流分类、基于用户流的流量监管、DSCP标记和重标记、队列管理和队列调度、流量整形。基于MF的流分类能力是DiffServ边沿路由器最重要的考虑因素,主要体现在允许参与流分类的报文的域(Field)的丰富程度(决定路由器识别用户流量的灵活度)、可配置的流分类规则数的多少(决定路由器识别用户流量的精细度)、流分类处理性能。Ingress方向的流量监管需要对每个用户流分别进行监管,因此需要路由器具有对大量用户流进行监管的能力。队列管理涉及Buffer管理和拥塞控制功能。

在边沿的Egress方向,路由器需要进行基于DSCP的流分类、DSCP重标记/TOS标记、流量整形、队列管理和调度。如果下游域还是DiffServ域,业务流量出口前根据ISP双方的SLA可能需要进行DSCP

的重标记;如果下游域是COS域,便需要进行TOS标记。Egress方向的流量整形使发出到下游域的业务流量的带宽和突发流量属性符合同下游域的运营者所签订的SLA。

核心结点需要完成基于DSCP的流分类、队列管理和队列调度,任务简单却要求在高速接口(如时的线速处理性能。

4.5 H3C路由器QOS实现机制

H3C MSR路由器是针对运营商或者企业网网络骨干及边缘应用的开放多业务路由器,设计并实现了承载包括实时业务在内的综合业务的QoS特性,尤其对DiffServ提供了基于标准的完善支持,包括流分类、流量监管(Policing)、流量整形(Shaping)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。

4.5.1 流分类

MSR路由器允许根据报文头中的控制域信息进行流分类,具体可以包括下面描述的报文1、2、3、4层的控制信息域。

首先输入端口号可以作为重要的分类依据,它可以单独使用,也可以结合报文的其他信息对流分类。

二层的重要控制域就是源MAC地址。

三层可以参与分类的控制域包括:源和目的IP地址、TOS/DSCP

字节、Protocol(协议ID)、分段标志、ICMP报文类型。

四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。

MSR路由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类,可以通过灵活的流分类手段精确地识别大量进入的用户业务流,充分满足组建大型骨干QoS网络时边沿结点的要求。

4.5.2 流量监管

流量监管也就是通常所说的CAR,是流分类之后的动作之一。 通过CAR,运营商可以从网络边沿进入的各类业务的最大流量,控制网络整体资源的使用,从而保证网络整体的QoS。运营商合用之间都签有服务水平协议(SLA) ,其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数,对超出SLA约定的流量报文可指定给予pass(通过)、drop(直接丢弃)或markdown(降级)等处理,此处降级是指提高丢弃的可能性(标记为丢弃优先级降低),降级报文在网络拥塞时将被优先丢弃,从而保证在SLA约定范围之内的报文享受到SLA预定的服务。

4.5.3 DHCP标记/重标记

标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即:EF、AF1-AF4、BE,并且通过定义各类业务的PHB (Per-hop

Behavior)明确了这六类业务的服务实现要求,即设备处理各类业务的具体实现要求。从业务的外在表现看,基本上可认为EF流要求低时延、低抖动、低丢包率,对应于实际应用中的Video、语音、会议电视等实时业务;AF流要求较低的延迟、 低丢包率、 高可靠性,对应于数据可靠性要求高的业务如电子商务、企业VPN等;对BE流则不保证最低信息速率和时延,对应于传统Internet业务。

在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记(如上游域是DSCP域的情形,或者用户自己进行了DSCP的标记),但是根据SLA,又需要对DSCP进行重新标记。

H3C路由器和交换机支持RFC定义的标准的DSCP DS CODE,还支持现在有些网上可能使用的COS。COS是以TOS的前三比特作为业务区分点,总共可分8个业务等级,对每一种业务等级均有特定的定义。

4.5.4 队列管理

队列管理的主要目的就是通过合理控制Buffer的使用,对可能出现的拥塞进行控制。其常用的方法是采用RED/WRED算法,在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃,以避免在拥塞时直接进行末尾丢弃引起着名的TCP全局同步问题,同时保护级别较高的业务不受拥塞的影响。

4.5.5 队列调度和流量整形

对于时延要求严格的实时业务等,可以利用内部特有的低时延调度算法满足业务要求;对于带宽要求的业务,带宽保证算法可以实现严格的带宽保证。应用时用户不必关心内部抽象的调度算法,只需要描述业务的流量特征,比如保证多少兆的带宽、峰值最多多少兆的带宽、要占剩余带宽的比例权重等

H3C路由器内部将自动采用如下的一种或几种算法来调度: LLS 低时延带宽保证算法,基于时间片的调度; NLS 一般时延带宽保证算法,基于时间片的调度; PBS 峰值带宽保证算法,基于时间片的调度 WFQ 算法,基于weight值的调度

上述算法在完成队列调度的同时,也通过带宽分配和保证实现了流量整形。

对于DiffServ模型,系统为每个端口预留6个业务队列,分别对应BE、AF1-AF4、EF等业务类别,对AF1~AF4以及EF队列用户可配置其流量参数,数据报文根据由流分类得到的业务类别进入不同的队列,队列根据所配置的流量参数采用不同的调度算法调度报文。

4.6 QOS配置和管理

QoS配置管理中配置、管理QoS分为上行和下行两个阶段。在上

行首先对报文进行分类,方法有两种,一是在Diffserv域中,根据报文的服务等级标识DSCP作简单映射得到相应的QoS参数;二是在边缘,根据报文的链路层、网络层、传输层信息对报文进行复杂流分类,对匹配某条规则的流执行相应动作,动作可以分为过滤动作,或给报文加上DSCP、对流的接入速率进行控制、将流重定向到本地或指定下一跳或MPLS的LSP。然后还要根据分类的服务级别,采用RED算法对报文进行流量控制。

在下行输出时,根据上行分出的服务等级,入相应队列保证输出带宽,同时也要进行流量控制。在不需要QoS保证不进行流分类的情况下,或者报文通过流分类没有相匹配的规则时,对报文作尽力转发(BestEffort)处理。

以下根据配置的相关性分Diffserv的配置、复杂流分类的配置和流控算法的配置三部分描述配置方法。QoS配置管理的内容主要包括ACL配置,ACL应用配置,行为聚集表配置,上下流控配置,队列配置,采用配置管理,采样数据浏览。

ACL配置包括:规则配置,动作配置,时间段配置。规则的配置主要涉及到链路组配置。动作的配置主要涉及到流量参数配置。队列配置主要涉及到流量参数配置。

因此在配置设备ACL应用时必须顺序完成以下几个步骤:链路组配置,流量参数配置,规则配置,动作配置,时间段配置,ACL配置,最后将一条ACL应用到对应的接口上,或进行全局应用。

在QoS管理中,可以完成下面性能数据的统计: 流队列转发字节记数、流队列包转发记数、流队列尾丢弃字节记数、流队列颜色丢弃字节记数、规则匹配记数、监管绿色包个数、监管黄色包个数、监管红色包个数等。

5 网络管理平台解决方案

信息化的深入对各行各业都产生了及其深远的影响,行业也不例外。信息化对行业的影响,毫无疑问是向着正面方向发展,信息化在行业中起着越来越重要的作用。随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。

5.1 网管实施方案

在电子政务内各配置一套全网网管中心系统(对整个网络的设备及链路进行监控管理)。全网网管中心全面负责全网设备的管理,能对全网所有设备进行监视和控制。

5.2 运维建议 5.2.1 网管运维建议

根据上下级网管中心的操作职能,建议将网管人员分为以下几种

角色。

网管中心系统管理员 维护人员 业务发放人员

各个角色的权限不同,分别为: 角色名称 主要工作职能 高 技术等级 网管中心系1. 监控全网运行状况 统管理员 2. 分析网络性能 3. 组织网络规划 网管维护人1. 监控本地网运行状况 员 2. 负责日常设备具体维护 3. 分析处理突发故障 业务发放人发放具体业务 员 中 一般 5.2.2 网管安全措施

网管的安全管理,操作员的帐号与IP地址、登录时间等进行绑定,在一定范围限定非法入侵。

进行网管组网设计时,设备的业务网段与网管的管理网段进行隔离,例如:采用VLAN隔离的方式,业务用户无法访问网管网。

网管增加登录、命令操作等方面的日志功能。

5.2.3 路由器/交换机相关参数设置

SNMP相关版本设置

SNMP协议的相应版本统一。 SNMP设置团体名

SNMP采用团体名认证,与设备认可的团体名不符的SNMP报文将被丢弃。可将对应省调的团体设置为读写(read-write)访问模式,而将对应各地调的团体设置为只读(read-only)模式,不同地区的团体名设置成不同。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。 Trap报文相关属性设置

允许被管理设备主动向区网管工作站发送Trap报文,所属设备也向网管工作站发送Trap报文。

设置被管理设备发送Trap的源地址为该设备的loopback地址(路由器)或管理地址(交换机)。

6 网络流量分析解决方案

因为网络中承载的业务非常丰富,管理员需要及时的了解到网络中承载的业务,及时的掌握网络流量特征,以便使网络带宽配置最优化,及时解决网络性能问题。目前业务专网在管理网络当中普遍遭遇到了如下的问题:

1) 网络的可视性:网络利用率如何什么样的程序在网络中运行主要用户有哪些网络中是否产生异常流量有没有长期的趋势数据用作网络带宽规划

2) 应用的可视性:当前网内有哪些应用分别产生了多少流量网络中应用使用的模式是什么电子政务系统内部重要应用执行状况如何 3) 用户使用网络模式的可视性:哪些用户产生的流量最多哪些服务器接收的流量最多哪些会话产生了流量分别使用了哪些应用

6.1 NetStream技术

NetStream技术是基于“流”的IP信息收集方案,一个流是指来自相同的子接口,有相同的源和目的IP地址,协议类型,相同的源和目的协议端口号,以及相同的ToS的报文。例如,下图中就包括四条流:

从Client A到WWW Server的HTTP请求流 从WWW Server到Client A的HTTP应答流 从Client B到FTP Server的FTP请求流

HTTP请求,Client A至WW ServerHTTP应答,WWW Server至Client AClient AWWW Server FTP ServerClient BFTP请求,Client B至WW ServerFTP应答,WWW Server至Client B从FTP Server到Client B的FTP应答流

从上例中可以很容易地理解,流是单向的,同时流也是基于协议的。形象地说,通过NetStream流可以记录下来网络中who、what、when、where、how。

NetStream是H3C公司基于“流”的概念,定义的一种用于路由器/交换机输出网络流量的统计数据方法,路由器/交换机对通过其的IP数据包进行统计和分析,并上报给数据采集机,采集机把搜集的数据包及统计数据传送到中心服务器,经合并处理后存入数据库,并进行进一步的分析处理。通过对上述原始、详细的基本IP数据流进行分析,准确把握网络运行状态,准实时发现网络异常情况并进行处理,也能支持面对业务应用的精细管理和计费。NetStream技术可利用网

络中数据流创造价值,并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。

6.2 方案逻辑组成

iMC NTA解决方案包括:网络设备、DIG日志采集器(可选)、iMC NTA网络流量分析组件,三部分之间的关系如下图所示: 1)网络设备

提供NetStream技术接口的网络设备,负责对设备各个端口进出的网络报文进行流分类统计,然后打包输出。 2)DIG日志采集器

适用于配合不支持NetStream技术的网络设备进行流量分析的组网环境,DIG日志采集器过滤和统计DIG日志报文,形成DIG日志输出。DIG采集器有以下两种方式对网络设备端口的数据报文进行采集: 1、

从镜像端口采集

对于支持镜像端口的交换机、路由器设备,可以将镜像端口直接同DIG日志探针组件的采集网卡相连,实现数据采集。此类采集方式,需要设置设备镜像端口,保证镜像端口和采集网卡的类型匹配、带宽匹配。 2、

分流器采集

在设备不支持镜像端口的情况下,为了不影响设备性能,比较专业的采集方案是采用分流器,从设备端口接收网络数据报文。此

方案通常应用于光纤链路。 3)iMC NTA网络流量分析组件

iMC NTA网络流量分析组件是本方案的核心,其根据不同应用对采集来的流量数据进行详细的分析处理。使用分布式数据集中和分析的方法,具备高效的分析样本以及细化的统计粒度。为便于网络管理人员的操作,采用基于Web的直观的、图形化的管理界面。

6.3 H3C iMC NTA解决方案功能特点

多角度的网络流量分析

NTA网络流量分析系统可以统计设备接口、、IP地址组、的(准)实时流量信息,包括流入、流出速率以及当前速率相对于链路最大速率的比例。

NTA网络流量分析系统可以从多个角度对网络流量进行分析,并生成报表,包括基于分析报表、报表、节点(包括源、目的IP)报表、会话等几大类报表。

总体流量趋势分析

总体流量趋势报表可反映被监控对象(如一个接口、接口组、IP地址组)的入、出流量随时间变化的趋势。

图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、采样点速率最小值和平均速率的信息。对于设备接口,还可提供带宽资源利用率的统计。

支持按主机统计流量Top5,显示给定时间段内的流量使用在在前5名的主机流量统计情况,以及每个主机使用的前5名的应用流量统

计。

同时还支持流量明细报表,可提供各采样时间点上的流量和平均速率值。

应用流量分析

应用流量分析报表反映被考察对象(如一个接口)的流入(或流出)方向上,带宽被各种网络应用占用的比例随时间变化的趋势,包含报表统计时间内的该应用的总流量、平均流速和占所有应用总流量的百分比等。

同时还支持对该应用的流量信息进一步的数据挖掘,分析使用该

应用流量的最大来源和目的地址TopN列表。

来源\\目的\\会话流量分析

来源\\目的\\会话流量分析报表反映被考察对象(如一个接口)的流入(或流出)方向上,在指定时间范围内总流量最大的网络节点(源、目的)、以及网络节点间会话的排名。

同时还支持对节点、会话流量进行进一步的数据挖掘,分析节点流量中使用最多的应用和与该节点通讯最多的节点、分析会话流量中双方节点使用应用的排名信息。

未知应用流量分析

未知应用流量分析对系统中没有定义的TCP、UDP应用进行了深入的分析,提供按照端口号、源IP和目的IP分组的未知应用流量信息,并可查看到某一个端口、源IP和目的IP的详细通信信息,提供按源、目的分类的流量TopN情况。

可以按协议和端口将统计到的位置应用定义为已知应用。

七层应用流量分析

端口不固定的应用,如P2P、BT、eDonkey等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类,NTA可针对百兆链路提供对常见P2P、BT、eDonkey等应用的网络占用带宽趋势图和流量趋势图及应用的详细信息列表等报表,实现对此类应用流量的监控。

系统已经将大部分常见的端口不固定的应用设定为系统预定义的应用,如:BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。

用户可根据需要,定义其它的应用识别。

七层应用识别只对DIG日志有效,对其他类型的日志无效。

主机识别

系统提供了根据IP地址获取对应的主机名称/域名和MAC地址的功能,并可与用户接入管理进行联动,获取特定时间段内使用该IP地址的用户上网明细信息。

流量审计

通过流量原始日志对特定节点、协议、端口、时间范围内的流量趋势、来源、目的和会话进行审计,给出对应的通信明细(包括流量、包数、包长等),并可根据来源IP、目的IP、端口等进行分类统计,以便跟踪解决网络流量异常问题。

结合拓扑、设备管理直观展示网络流量

在拓扑中增加网流分析功能的菜单入口,对设备、接口等对象直观的展示其相关流量的分析报表;设备管理页面中也能融合管理网络流量 。

网络应用自定义

支持网络应用的自定义。通常情况下,网络应用由一组(或多组)固定的网络协议和通讯端口的组合进行标识,如http应用对应TCP协议和80端口。网络流量分析系统会预设近三百种常用应用定义,管理员可以直接使用。根据网络的实际使用情况,管理员也可以自定义关心的应用来进行数据的统计分析。例如将FTP应用定义为TCP/21和UDP/21,NTA网络流量分析系统就会依据协议类型和端口号信息统计符合FTP应用定义的流量信息,帮助管理员获取更为实用的网络流

量统计结果。

设备信息和接口分组管理

在NetStream V5日志数据采集方式下,管理员可以通过设备信息管理定义系统中开启流量分析的设备和接口,并将多个接口设定为一个接口组。NTA网络流量分析系统可以依据接口组的定义,对接口组所对应的流量信息进行统一分析,帮助管理员获取不同层次的流量统计报表。

日志接收管理

日志服务配置和下发功能将配置好的日志采集策略下发给接收器和处理器,其目的是为了保证系统能够根据实际需要完成日志数据信息的采集工作。同时还可以对接收器和处理器的当前状态进行检测,包括CPU利用率、处理出错的报文、内存利用率、已用磁盘空间、磁盘访问率和空闲磁盘空间等信息,帮助管理员监控系统的运行状态。

7 用户行为审计解决方案

iMC UBAS用户行为审计组件通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。

UBAS用户行为审计组件提供日志、日志、NetStream V5日志、DIG日志的查询审计功能,网络管理员可以根据网络日志对上网用户的网络行为进行审计。

7.1 用户行为审计技术

简单地说,用户行为审计技术是一种对用户上网行为进行记录和分析的方法,包括用户上网数据的采集和用户上网数据的分析两方面的内容。这个看似简单的数据记录与分析过程在实际应用中却面临着多方面的挑战,其主要原因是用户行为的审计必须解决以下三个相互关联的技术难点:  数据采集技术

网络中的信息流是纷繁复杂且稍纵即逝的,用户上网行为数据就蕴含在包括各种应用协议报文(如WEB页面、电子邮件、文件传输等)的巨大网络流量中。为了及时从中获取能有效监控和审计用户行为的数据,我们必须综合利用网络中的各种数据来源。流经网络设备的报文数据记录了每一个网络连接的详细信息,是用户上网行为的直接反映;路由器中的NAT信息包含了电子政务系统网络中内络的地址转换信息,是用户访问外部网络的凭据;用户接入网络时的认证、计费信息则记录了用户的上网时间、流量和认证记录。只有对这些信息进行全面的记录,才能为分析审计用户的上网行为、加强对用户的监控与管理提供第一手资料。  数据清理技术

即使我们通过各种技术手段采集到了来自网络中的各种网络访问信息,却不得不面对这样一个无法回避的实事:信息量太庞大了,足以使任何一个网络管理者淹没在数据的海洋里。我们必

须能够提取出反映用户上网行为特征的关键数据,而又不应丢失数据中的有效信息。在以审计用户上网行为为目的的前提下,对各种用户网络访问信息进行相应剪裁、过滤和聚合是获取关键数据的必要手段。这也就是所谓的数据“清理”技术——剔除重复的、冗余的、无效的和细枝末节的数据,将无序的、杂乱的数据整理成有序的、完备的数据,为审计用户行为奠定坚实的数据基础。

 数据分析技术

单纯的数据是孤立的、静态的,如果不通过精心设计的分析手段对数据进行关联、统计与挖掘,我们辛苦采集和整理的数据也只不过是一条条枯燥、乏味的数字列表,不能给网络的管理则带来任何决策上的指导。谁访问了不法网站谁发表了不当言论哪里的网络经常拥塞……我们必须对数据进行有目的的分析与挖掘,并辅以直观的展示形态,才能使网络管理者清晰、明了地找到以上问题的答案,并采取相应的解决措施。

由此可见,用户行为审计技术决不仅仅是简单的数据记录和查询,只有广泛采集网络信息,对数据进行剪裁、过滤、聚合、统计与分析,并以直观的形态展示,才能使用户行为审计技术真正成为网络管理者的决策助手。H3C在认真总结实际运营情况的基础上,以网络管理者的需求为出发点,结合公司多年来在网络建设和管理领域与各大高校合作的经验,提出了完整的用户行为审计解决方案,为用户行为审计提供了技术上的保障。

7.2 H3C UBAS用户行为审计解决方案

H3C用户行为审计解决方案的核心是H3C UBAS日志分析系统。与用户行为审计技术的技术难点相对应,H3C UBAS日志分析系统由数据采集器、数据处理器和数据分析器三个部件组成,分别解决用户行为审计中的数据采集、数据清理与数据分析问题,为网络的管理者提供了丰富、直观的查询、统计和分析报表,是对用户进行行为审计和管理的技术保障。

H3C UBAS日志分析系统在网络中的组网结构如下图所示,以下我们将从用户上网行为数据的采集、清理和分析三个方面介绍H3C用户行为审计解决方案的特点。  数据采集

H3C UBAS日志分析系统的采集器专门用于采集各种类型的用户上网行为数据,可以全面采集用户的上网日志、访问明细日志和NAT转换日志,为分析审计用户的上网行为提供详尽的第一手资料。

1、用户上网日志

H3C UBAS 数据采集器可以采集H3C三层交换机设备中记录和发送的用户上下线日志,准确记录用户在何时上网、何时下线以及使用的IP地址。此外,H3C UBAS 在H3C CAMS(AAA认证服务器)的配合下,还可以更进一步的定位用户上网时使用的接入设备、接入端口和MAC地址。这些信息能够帮助日志

分析系统标识和定位上网用户。

H3C UBAS日日志分析系统在网络中的组网结构图

2、访问明细日志

用户访问明细志主要是对用户访问的目的站点、端口号、访问时长和流量等信息的详细记录。H3C UBAS 数据采集器可以通过H3C三层交换机中记录的FLOW日志获取这些信息。此外,还可以通过网络流量镜像方式来进一步获取更加详尽的、包括应用层协议信息(如发送的Email的信息、FTP下载信息等)的用户日志。这些信息是监控用户是否访问了不法网站、追查发表不当言论的用户、分析网络流量变化趋势的基础。 3、NAT转换日志

NAT是网络中常用的一种用于节约IP地址空间、提高内网安全的地址转换技术。NAT转换屏蔽了内网的IP地址,造成用户访问的源IP地址丢失,给跟踪和定位用户带来了困难。H3C UBAS采集器可以通过采集H3C路由器/防火墙中记录和发送的NAT日志,详细记录用户的内网IP地址、访问时转换的IP地址和端口号等信息,为网络管理者按照公网监管部门的审计信息准确定位用户提供依据。  数据清理

H3C UBAS日志分析系统具有独特的数据清理技术,通过剪裁、过滤、聚合等技术手段,有效地剔除了重复的、冗余的和细枝末节的数据,在确保用户上网行为关键信息不丢失的前提下,将庞

杂、无序的各种网络日志组合成完备、紧凑的用户上网行为数据,可以最大程度地减少数据存储的空间,提高分析效率。 1、剪裁

H3C UBAS采集器在采集网络流量和各种日志信息时,可以针对用户行为审计的目的和不同数据的特点,对网络流量和日志信息进行自定义剪裁,从海量的网络流量和日志中提取必要的数据,最大程度的减少无效信息。 2、过滤

经过剪裁的用户上网行为数据中仍然存在大量对特定审计需求不必要的冗余记录。H3C UBAS采集器和处理器提供了可灵活自定义的、细粒度的过滤策略,通过精心设计的算法,可以高效、准确地对用户上网数据进行处理,使得网络管理者可以依据审计需求灵活地选择按照上网时间、目的站点、协议类型等进行数据过滤。 3、聚合

在用户上网行为日志中的大量数据可能只反映了同一种上网行为,比如用户访问非法站点时可能产生大量的访问日志,但对管理者来说,只要其中一条日志就可以满足其查找访问非法站点行为的需求。针对用户上网行为数据的这个特点,H3C UBAS采集器和处理器提供了多条件的聚合策略,可以按源IP、目的IP、协议类型、时间段等对日志记录进行聚合。  数据分析

数据分析可以说是用户行为审计技术的核心,H3C UBAS日志分析系统通过自动分析引擎和丰富的统计报表,为网络的管理者提供了清晰、直观的用户上网行为展示。通过自定义的统计分析和报表引擎,可根据用户需求灵活定制分析策略。

1、可以掌握用户上网的时间、地点、IP地址、MAC地址等信息,有效地防止用户账号盗用。

2、可以直观地监控用户在上网过程中所访问的URL、发送Email的记录,追查访问不法站点和发表不当言论的用户。 3、利用各种日志分析统计报表,网络管理员可以追踪发起网络攻击的攻击源,采取有效的防范和治理措施。

4、通过对日志信息中包含的协议类型的分析,可以实现对网络中非法服务的跟踪,有效防止私设DHCP服务器等影响内网络正常运行的行为。

5、通过H3C UBAS提供的丰富多样的统计报表,可以获知网络不同节点的网络流量、用户访问热点、用户下载热点等信息,全面了解网络的运行状况,为网络的结构优化提供坚实的数据基础。 用户行为审计技术在电子政务中的应用,可以将网络的管理提高到一个新的层次。在用户行为审计技术提供的各种分析数据基础上,管理者可以根据网络使用状况及时调整网络结构,对网络安全、用户行为进行有效的监控和管理。

8 网络内部控制解决方案

8.1 网络内部控制的重要性

网络安全问题的解决,三分靠技术,七分靠管理,严格管理是网络用户免受网络安全问题威胁的重要措施。事实上,多数部门都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件等行为也比比皆是。

为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了端点准入防御(EAD,Endpoint Admission Defense)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产品的联动,对接入网络的用户终端强制实施电子政务系统安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。

EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合电子政务系统网络安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。

8.2 H3C EAD端点准入方案简介

EAD端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。

方案思路:

EAD解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对网络安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对电子政务系统网络带来的危害。为达到以上目的,H3C提出了包括检查、隔离、修复、监控的整体解决思路。 1. 检查:

 检查网络接入用户的身份;  检查网络接入用户的访问权限;  检查网络接入用户终端的安全状态; 2. 隔离:

 隔离非法用户终端和越权访问;

 隔离存在重大安全问题或安全隐患的用户终端; 3. 修复:

 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络; 4. 监控:

 实时监控在线用户的终端安全状态,及时获取终端安全信息;

 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;

 通过制定新的安全策略,持续保障网络的安全。 方案组成部分:

为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合电子政务系统网络终端安全策略,顺利接入网络进行工作。EAD解决方案的组成部分见下图:

EAD解决方案组成部分

如上图所示,EAD解决方案的基本部件包括EAD安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。 1)EAD安全策略服务器

EAD方案的核心是整合与联动,而EAD安全策略服务器(CAMS服

务器)是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

用户管理。在电子政务网络的网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。

安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。

1) 修复服务器

在EAD方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。

EAD解决方案与微软SMS产品可以无缝集成,能够实现系统补丁检查和自动升级,推荐使用SMS桌面管理软件与EAD解决方案配合部署。同时EAD解决方案与瑞星、金山、江民防病毒软件可以实现联动病毒检查,强制终端用户进行入网前得病毒检查,推荐使用瑞星、金山、江民防病毒软件与EAD配合部署。 3)安全联动设备

安全联动设备是电子政务网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:

强制网络接入终端进行身份认证和安全状态评估。

隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。

提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。

4)安全客户端

H3C客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:

提供、Portal等多种认证方式,可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。

检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到EAD安全策略服务器,执行端点准入的判断与控制。

安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被在隔离区。

实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。

8.3 H3C EAD端点准入方案部署

在电子政务内将接入层设备作为安全准入控制点,对试图接入网络的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等定义的安全策略检查,防止非法用户和不符合安全策略的终端接入网络,降低病毒、蠕虫等安全威胁扩散的风险。

8.4 H3C EAD解决了哪些问题

通过部署EAD系统与网络设备联动,可以为用户解决以下日常终端用户出现的问题,从而确保网络的安全。

功能详细功能 分类 安全检测 终端补丁检测 评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 保证全网终端操作系统补丁及时安装;保证终端操功能描述 解决问题 2000、XP、Server2003等,不包括Windows 作系统符合统一的安全策略98)等符合微软补丁规范的热补丁 提供与微软WSUS/SMS协同的自动补丁要求 与微软无缝集成,实现终端操作系统补丁自动升级,提升系统易用性 开放的系统架构,与LANDesk、微软SMS联动实现资产管理、USB等外设存储监控 支持与瑞星、江民、金山、趋势科技、与多厂商防病毒软件广泛合作,保证终端系统安全性 自动补丁管理,当用户安全认证时,自动检查、下管理 载、安装补丁。 EAD支持与LANDesk、SMS、BigFix、、第三方桌北信源VRV、中软等桌面软件进行联动配面软件联动合。 (特色功能) 多厂商防病毒联动 McAfee、Symantec、安博士、卡巴斯基、北信源、CA、Kill等厂商的防病毒软件联动,支持安装运行状态等的检测 病毒库版本检测 终端病毒感染状态 ARP网关绑定(特色功能) 检测终端安装的防病毒软件和病毒库的版本是否合格。 用户上网前的杀毒记录,可以强制用户在接入网络前首先查杀病毒。 提供用户网关IP、MAC地址配置信息。iNode客户端在得到该信息后可防止本地受到假冒网关方式的ARP欺骗。 实时检测终端病毒库版本,保证终端系统安全性 杜绝感染病毒终端用户接入网络 防止ARP欺骗 异常流量监控(特色功能) 根据流量监控策略进行流量监控。可针对告警级别的不同对应不同的处理 抑制和阻断广播风暴 检测终端应用程序、进程的运行状态。软件黑白可以接入网络的用户必须安装、运行名单控制(特或禁止安装、运行其中某些软件;必须运色功能) 行或禁止运行其中某些进程。 强制或提醒不符合安全策略的终端用终端强制或提醒修复 杜绝安装/运行非法软件用户接入网络,提升用户终端控制力度 强制控制异常终端修户主机进行防病毒软件升级,病毒库升级,复,防止异常终端用户危害补丁安装; 网络安全 下线模式、监控模式、提醒模式和隔离模式,以适应不同客户对安全准入控制的不同要求。 1、下线模式:安全认证检查结果为不通过时,直接断开网络连接。 2、VIP模式:安全认证检查结果为不通过时,开放用户上网权限,只记录不合多种安全格的用户终端信息,不进行修复提醒。 模式 3、Guest模式:安全认证检查结果为不通过时,开放用户上网权限,记录不合格的用户终端信息并进行修复提醒。 4、隔离模式:安全认证检查结果为不通过时,用户终端只能访问隔离区的服务器,只有系统修复后,才能正常访问网络。 支持基于单一安全检查项(防病毒软安全模式件、软件补丁、应用软件、进程等)设置设置 不同的安全模式 针对普通用户、Guest用户、VIP用户分别提供不同安全控制力度,便于用户分级安全管理,提供灵活的安全控制策略。 针对不同的安全检查项分别提供不同安全控制力度,提供灵活的安全控制策略。 1、黑名单用户接入管理:列入黑名单的用户禁止接入网络。 2、支持手工加入和多次尝试密码失败用户黑名自动划入隔离区。 单功能 3、黑名单增强功能:对于多次尝试密码用户,只尝试密码所使用终端不能登录,不其它终端登录。 身基于的身支持多种认证方式,如PAP、CHAP、EAP-MD5、EAP-TLS和PEAP-CHAP V2认证 解决用户安全认证方式问题 提供恶意用户鉴别功能,保护系统安全性 份管理 份认证和安全认证 VPN远程登录、无线接入身份认证和安全认证(特色功能) Windows域统一认证(特色功能) 安全证书认证 与LDAP服务器的同步认证 LDAP服支持IPSec VPN接入用户、无线接入用户的身份认证和安全认证 解决同事办公出差通过公网访问内部网络、全网无线接入用户安全认证问题 与支持、Portal和Windows域统一认提供Windows域单点登证,实现网络登录与域登录的一次性认证。 录功能,提升系统易用性 支持EAP-TLS认证和PEAP-MSCHAP V2认证方式。 支持与第三方邮件或Proxy系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。 支持手动和自动同步LDAP服务器上的提供安全证书认证支持,完善用户认证的安全性 LDAP组网环境中,提供单点认证功能。提升系统易用性 LDAP组网环境中,提供LDAP用户同步管理功能。提升系统易用性 务器数据同步 数据,便于EAD与LDAP同步认真。 匿名认证iNode智能客户端和IMC EAD提供匿名为初期部署、Guest用户、VIP用户认证提供方便,(特色功能) 认证用户,用户不需要输入用户名、密码即可完成身份认证和安全认证。 解决EAD客户部署复杂问题 多元素绑定功能(特色功能) 1、在验证用户名、密码的同时,支持用户名与设备IP地址、端口、VLAN、用户IP地址和MAC地址的绑定认证 2、并具备绑定信息自学习功能,自动学习绑定信息,可以减少管理员手工录入的工作量; 3、支持一个用户绑定多对IP和MAC地址,有效解决单用户多终端问题。 防止帐号盗用和非法接入,避免滥用地址,大幅定提升终端用户认证安全控制力度 自动认证功能 安全客户端版本 支持开机自动运行和自动认证。 减少客户端认证用户工作量,提升系统易用性 可以检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络 保证全网安全客户端版本控制力度,完善网络安全性 智能卡认证 动基于用户支持智能卡认证功能,可以使用、Portal、VPN、无线四种接入方式 用户的ACL可以在认证通过后由IMC EAD下发给接入设备,由设备动态控制用户的访问权限。 智能卡存储证书或用户身份信息 实现基于用户的访问权限控制,用户对内部敏感服务器和外部非法网站的访问。(ACL方式) 态授权 的ACL控制 用户的VLAN可以在认证通过后由IMC 用户EAD下发给接入设备,由接入设备动态设置VLAN的动态用户所属的VLAN。 下发 实现基于用户的访问权限控制,用户对内部敏感服务器和外部非法网站的访问。(VLAN方式) 支持基于用户的QoS设置 配置的参数包括:上行速率、下行速率和优先级。 用户访问网络QoS管理,防止个别用户对网络资源的过度占用,避免网络拥塞 用户权限的实时控制(特色功能) 用户同时在线数 支持在线更新用户的ACL或将用户强制下线。 用户网络访问权限实时控制 可以用户的同时在线用户数只能有一个或有限个连接同时在线。 当用户在IMC EAD指定最大时间支持同一帐号多用户在线,提升系统易用性 避免资源闲置,提升系统易用性 最大闲置内的网络流量,低于在交换机上配置的最时长 小闲置流量值时主动将用户下线。 可以用户IP地址获得的方式:手IP地址工设置IP地址或通过DHCP自动分配IP地获取策略 址,需要iNode智能客户端配合。 IMC EAD中可以灵活设定用户的接入时接入时段段策略,可以按天、按周、按月、按年或 固定时段设置接入时间段。 接入区域 客户端监控多网卡和拨号用户,隔离多网卡和或监控危险用户。 拨号网络联,避免因此可能造成的信(特色功能) 息安全问题 客户端监控私设代理用户,隔离或监代理服务控危险用户。 器 止内网外联 用户支持MAC地址修改功能,探MAC地址测终端用户是否修改过MAC地址,并修改 网络接入。 行在线用户为审计 终端监控 共享目录信息、分区表、屏保设置、已启端用户监控力度 表、已安装补丁列表、已运行进程列表、进程、分区等状态,提升终可以监控指定用户的已安装程序列全性 监控终端程序、补丁、用户接入,保证网络环境安防止篡改MAC地址仿冒件和设置IE代理服务器,防用户使用代理服软网互访的桥梁,防止内网外防止用户终端成为内外用户只能在允许的地点上网。 用户接入地点 时间上网 用户只能在允许的提升系统易用性 多种IP地址获取方式,动服务列表。 定时监控终端用户的安全状态,发现安全状态感染不能被强联动软件查杀的病毒后根据监控 安全策略可将其到隔离区 定时收集客户端的实时安全状态并记录日志;可以审计用户的上网接入明细(含安全日志接入IP、MAC地址,接入区域信息,接入审计 时间等)、安全状态日志、安全事件日志以及在线用户的安全状态 强制用户下线 与用户审计系统联动(特色功能) 支持资产分组、资产编号自动生成、资产的增删改、支持手工扫描单个资产、资产管理 自动关联资产责任人、资产信息上报策略定义、在线用户列表中查询资产信息 支持硬件、软件的资产变更管理,实资产变更时监控终端用户软件安装卸载/硬件变更桌面资产支持按照终端计算机制造商和型号、管理 资产统计 CPU等统计资产,结果图形化显示 支持丰富的软件分发,其中包括按照资产批量分发软件、按照资产分组分发、软件分发立即分发软件和定时分发软件、按照分发管理 任务查询每个资产的软件分发状态、支持资产的软件分发历史等 结果 直观显示网络资产统计管理 状态 硬件变化状态 实时检测用户终端软/便于用户资产统计管理 IMC EAD管理员可以强制迫使“可疑”的用户下线 与UBAS用户行为审计系统配合,实现终端用户网络访问行为审计; 提升终端用户强制控制力度 审计用户网络访问行为,做到网络流量透明化 态。 法性。 接入日志、安全日志审计,可及时查询用户安全状状态,保证在线终端用户合实时监控终端用户安全 USB监控告警(特色功能) 其他 客户端提示信息 客户端快速部署和静默安装(特色功能) 检测终端USB接入状态,记录用户插拔USB时间、操作文件名、操作文件大小等详细信息。 管理员可以向在线用户发布通知消实时监控终端USB使用情况,大幅度提升系统安全性 在线消息下发,提升系息。可以单个用户下发,也可以批量下发。 统易用性 可以实现客户端的快速部署和静默安装,无需客户干预。 降低部署工作量和维护难度 国内自主知识产权产品,进入采购产品名单,并在、新华社等项目中规模应用。

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- huatuo0.cn 版权所有 湘ICP备2023017654号-2

违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务