摘 要:新型网络应用的不断普及给企业内网管理带来了一系列挑战,从目前企业内网管理的难点问题出发,分析对比各类解决方案,归纳出内网管理技术的三个发展趋势。
关键词:内网管理;主动管理;行为监测;统一平台
中图分类号:TP393.09 文献标识码:A 文章编号:1672-7800(2011)04-0130-02
作者简介:徐鹏(1981-),男,江苏海安人,博士,中国石油信息技术服务中心工程师,研究方向为计算机应用技术;魏骞(1983-),男,江西九江人,硕士,中国石油信息技术服务中心助理工程师,研究方向为计算机网络;李健(1981-),女,河北保定人,中国石油信息技术服务中心工程师,研究方向为计算机应用技术。
0 引言
近年来,伴随着3G 、P2P (Peer to Peer)等新兴技术的广泛应用,网络已经逐渐融入了人们日常工作和生活。这些新型网络技术在给人们带来便利的同时,也给企业内网管理人员带来了一系列新的挑战:
(1)以迅雷、BT(Bittorrent)为代表的P2P应用大量消耗企业互联网出口带宽,影响关键业务运行。
(2)3G等无线接入方式为内网计算机的非法外联提供了方便,企业互联网出口的安全防护措施成为“马其诺防线”被轻易绕开。
(3)内网用户接入缺乏有效的身份认证机制,笔记本电脑等移动设备的非法接入成为了企业内网安全的一大隐患。
(4)内网用户主机安全防护水平参差不齐,部分主机被木马攻破,成为黑客发起攻击的工具。
(5)企业内网设备种类日益增多,缺乏统一的网管监测平台,无法全面、实时地掌握网络运行状况。
以上这些是近年来企业网络管理问题中最为常见、最为典型的案例。为了应对这些问题,相应的网络安全管理技术也不断提高,国内、外各大厂商都提出了各自的解决方案。通过对这些方案的分析,本文从中总结出企业内网管理技术的3个发展趋势。
1 从被动监测走向主动管理
随着ERP(Enterprise Resource Planning,企业资源计划)、视频会议系等专业应用系统逐步推广和应用,企业内网等基础信息设施的业务可持续要求日益提高,基于事件响应机制的网络监测体系已经无法满足现有的内网管理需求。以移动设备的非法接入为例,仅依靠对网络设备的被动监测,根本无法及时发现并阻断非法主机的接入。为了摆脱这样的被动局面,网络和安全厂商们纷纷提出了各自的终端安全解决方案,其中包括:Cisco公司的NAC (Network Access Control,网络接入控制)系统,Juniper公司的UAC (Unified Access Control,统一接入控制)系统,Symantec公司的SEP (Symantec Endpoint Protection,端点保护)系统,H3C公司的EAD(End user Admission Domination,终端准入控制)系统,北信源公司的内网安全管理系统等,这些方案的主要特点包括:
(1)通常采用客户端/服务器(Client/Server)模式,需要在用户的内网主机上安装客户端。
(2)可以对意图接入内网的主机进行身份认证,拒绝账户或口令不符的非法主机连入内网。
(3)可以对意图接入内网主机的安全配置进行检查,检查的内容主要包括防病毒软件、操作系统补丁的安装和更新情况等;对于安全配置不符合要求的主机进行访问控制,仅允许它们访问特定的隔离区。
(4)可以对用户主机上应用软件的使用进行限制,防止内网用户安装MSN、QQ等与工作无关的应用软件。
(5)部分解决方案还可以即时发现内网计算机通过3G、Modem、ADSL、双网卡等技术进行非法外联并及时告警。
终端安全防护措施的不断强化体现了内网管理方式正在由被动监测走向主动管理;内网管理工作的重心也正逐步由核心设备的监控走向边缘主机的控管。
2 从性能监测走向行为监测
网络设备的自身性能和技术成熟度不断提高,单台设备的故障率已经显著降低。企业为了进一步提高内网的健壮性和稳定性,对关键网络设备通常都采用了冗余备份的策略。由此,因设备自身故障而导致网络系统瘫痪的概率已微乎其微。然而,网络设备自身处理能力的增强和系统稳定性的提高,并不能完全保证网络系统可用性。以某公司2009年2月的一次互联网访问中断事故为例:内网的一台主机在恶意软件控制下,向互联网上的特定地址发起大量的TCP握手连接,造成互联网出口处NAT(Network Address Transfer,网络地址转换)设备的端口资源耗尽,进而导致互联网访问中断。由于TCP SYN报文字节数较少,虽然连接数巨大,但产生流量较小,没有触发路由器、交换机等设备的性能监测告警,致使网络管理员未能及时发现异常攻击行为。由此可见,仅依赖对设备性能指标的监测已无法有效监测网络整体运行情况,必须引入网络行为监测技术。
所谓网络行为监测就是根据捕获的数据流量来识别网络应用类型,判断网络用户行为。目前的网络行为监测技术主要有两大类,一类是根据传输层连接模式来判定网络行为,主要技术包括Netflow(被Cisco等业界主流路由器厂商支持)、sFlow(被Foundry等业界主流交换机厂商支持)以及国内华为公司提出的Netstream技术等,这类技术主要对路由器和交换机直接聚合得到的数据流进行分析;另一类是对应用层数据报文进行解码分析来识别网络应用类型,主要技术是利用流量旁路技术,对镜像出来的网络流量进行逐包分析,业界厂商的产品如Sniffer(已被Netscout公司收购,并集成到nGenius产品中)、网康科技的互联网控制网关等均采用此类技术。以上两类技术都能实现对网络流量的分析,但是前者分析的内容仅限于数据报文的协议首部,数据处理量相对较小,具有较高处理速度,但是识别效果相对差;后者则正好相反,它需要对完整的数据报文进行解码分析,数据处理量大,处理速度低,但识别的准确率较高。随着网络新型应用的不断增加、网络流量速率的不断提高,网络流量识别的难度越来越大,上述两类技术正呈现出相互融合,互为补充的趋势。
网络行为监测技术可以有效识别并记录网络内部访问行为,为控制P2P下载、在线视频、私开代理服务器等滥用网络资源的行为提供了前提保障,是传统网络管理技术的重要补充。
3 从分散系统走向统一平台
目前的网络管理系统主要分为两大类,一类是由网络设备厂商开发的设备管理软件,另一类是由通用网管软件厂商开发的网络管理软件。前者由设备厂商开发具有先天优势,能对设备特定的功能、性能提供有效支持,但此类通常兼容性较差,仅能面向自家产品。后者通常是根据SNMP(Simple Network Management Protocol,简单网络管理协议)、RMON(Remote Network Monitoring,远端网络监控)等标准协议开发,能够兼容多种网络设备,但受限于各厂商对MIB(Management Information Base,管理信息库)库开发的支持程度不同,因此,这类软件必须针对用户购置的网络设备进行定制的二次开发,否则无法有效支持各类设备的特定功能。
随着信息化建设的不断推进,企业内网规模不断增大,网络设备种类也日趋多元化。如果仅使用设备厂商的设备管理软件来进行网络监控,网络运维人员在对网络进行故障诊断时,就需逐一打开各个设备的监控界面进行排查。这种工作方式一方面不利于运维人员了解网络整体运行情况,另一方面工作效率低下,延误故障处理时间。由此可见,独立、分散的网络管理系统已经难以满足企业内网用户日益增长的稳定性和可用性需求。推动网络设备厂商增强对SNMP、RMON等标准协议的支持,开放更多的可编程接口,由专门的网管软件开发商来构建统一的网络运行管理平台已经成为网络管理软件必然的发展趋势。
4 结束语
新型网络技术的不断涌现以及业务系统对网络可用性要求的不断提高是推动企业内网管理技术发展的持续动力。从业务需求的发展趋势来看,企业内网管理技术必将朝着主动化、智能化、集成化、标准化的方向不断前进。
参考文献:
[1]
朱昌云.企业内网安全的重要性和管理措施[J].电脑知识与技术,2009(36).
[2] 孙魁中.大庆油田第二采油厂内网安全管理的实现[J].网络安全技术与应用,2008(4).
[3] 靳春霞.企业网络管理概述[J].河南科技,2010(11).
(责任编辑:周晓辉)
Discussion on the Trends of Enterprise Network Management Technology
Abstract:The popularization of new network application brings a series of challenges for enterprise network management.Firstly,the difficult problems in enterprise management are discussed in this paper.And then,many solutions are analyzed and compared.Lastly,the three trends of enterprise network management technology are concluded.
Key Words:Enterprise Network Management; Active Management; Behavior Monitoring; Unified Platform
