施蔚然,王笑
(福建省气象信息中心,福建 福州 350001)
省级气象信息中心是全省气象信息网络的通信枢纽,通信网络系统承载了全省气象数据的传输、共享、预报服务以及办公邮件等各项业务,随着气象业务的不断发展和用户需求的不断增长,网络流量越来越大,各种应用正在大量消耗有限的带宽资源,网络面临的潜在威胁也越来越大,对信息网络系统运维和管理的安全提出了更高的要求[1]。
在气象广域网络系统的建设和安全策略的部署初期,主要依靠用户数量和共享数据量对网络带宽使用情况的预估,进行安全策略部署和网络性能优化,通过路由跟踪和测试来验证,无法全面了解网络运行状况,安全运维管理不够科学。通过对网络中主要的业务流量进行实时监测、统计和应用识别分析,全面掌握网络的运行状况,为网络性能的优化和规划设计提供科学依据,把网络流量分析结果应用到网络安全和策略管理,对气象部门关键信息资产进行保护[2],及时发现网络中的异常事件,使网络运维风险可控可管,提升网络安全运维和管理的效率。
全省气象广域网络采用星形架构,省/市/县均采用双路由双线路互为热备,并实现业务自动切换,分别是MPLS VPN 线路和MSTP 线路,MSTP 线路主要承载视频会商系统、办公邮件、省级气象业务Web 应用和部分数据传输业务[3];MPLS VPN 线路主要承载数据下载、实景观测、各类气象数据共享和应用。全省IP用户数量约500个,日共享数据量约7TB。
在省中心核心路由器和交换机上配置端口镜像,采用智能旁路监听技术,无需在应用服务器和用户端安装插件,将流量监测分析设备通过Probe(探针)口分别接入路由器和交换机,采集到全省气象广域网络的数据传输、共享、视频会商、办公邮件系统等的网络流量信息。省级气象通信网络架构示意图,如图1所示。
图1 省级气象通信网络架构示意图
对全省气象广域网络系统的线路运行状况进行实时的集中监测,通过查询、统计,帮助管理员全面直观了解网络使用情况,从实时监测和定期报表分析,获得包括专线链路带宽利用率、链路质量、用户流量等信息。全省气象宽带网络线路时延基本小于50ms,省-市带宽利用率在各市存在较大差异。
MPLSVPN 线路主要承载数据共享,由于各地市的业务需求和用户数量不同,带宽利用率19%~90%,平均带宽利用率<50%;MSTP 线路主要承载视频会商和办公邮件业务,线路流量在每天的会商期间较大,带宽利用率高达50%,其余时间则较为空闲,带宽利用率5%~15%,平均带宽利用率<10%。
针对长期带宽占用较大的地市,分析其活跃用户和主要访问的应用系统,通过减少重复数据的调用和带宽提速,带宽占用率明显下降,达到预期的目的。针对MSTP 线路较为空闲的情况,在保障视频会商和办公邮件的带宽QoS 后,通过在路由器上进行路由策略配置,迁移部分全省的数据传输和共享应用到MSTP 线路,同时相应进行QoS 保障,实现带宽的有效利用和优化。
MSTP 线路主要承载视频会议系统、气象业务平台、和办公邮件系统等关键业务,在省中心到各市局的MSTP线路部署应用加速设备,通过对应用的识别,采用缓存、优化、压缩等技术,达到消减流量和提高带宽利用率。从实时监测和定期报表分析,通过部署应用加速设备,办公邮件和Web 等共享应用流量削减70%-80%,保障了关键业务系统的应用及服务质量。应用加速对流量的消减日统计,如图2所示。
图2 应用加速对流量的消减日统计
同时在MSTP 路由器出口进行了QoS 保障,参考当前宽带网出口路由器QoS 设置,保证网络优化设备带宽管理策略与其协调一致,与路由器QoS 来共同对流量进行管理和控制,尤其是对视频会议系统的带宽保障,保证网络资源的有效利用路由选择,实现数据传输的完整性和安全性。
流量分析设备从应用层对网络进行深入分析是网络安全运维管理的重要基础,通过网络应用识别规则和关联数据分析,掌握当前应用数据流量趋势、为系统管理员提供可量化的应用系统性能分析数据。自动发现网络中的未知端口流量,并分析其访问的业务系统、目标服务器、活跃用户以、连接数和服务端口等信息,防范网络运维风险。从实时监测和定期报表分析,数据共享应用系统和办公邮件系统的应用端口固定,例如提供全省数据共享下载的FTP21端口、气象业务平台Web 服务器的8080 端口以及省局综合管理系统的80端口等。
在省级核心交换机和宽带网边界部署防火墙和IPS 设备,对各种网络行为进行实时监测,在防火墙上配置相关的访问控制,开启相应端口的允许或拒绝服务,IPS 可以弥补防火墙相对静态防御的不足[4]。梳理各业务系统的传输和共享应用服务端口,利用防火墙或IPS 内置的病毒特征库,对应用层进行深层的流量识别和分析,及时发现各种异常事件和可能的攻击企图,并采取相应的防范措施,避免各种网络入侵和网络攻击问题出现,实现网络信息的有效安全防护。省中心网络流量应用构成实时监测统计,如图3所示。
图3 省中心网络流量应用构成实时监测统计
对于近年出现的WannaCry 勒索病毒,针对共享的445 端口的网络攻击,在防火墙上开放用户正常的SMB(共享)访问,对非正常的共享应用进行有效拦截。通过流量的实时监测和配置前后应用构成的对比查询,验证防火墙策略部署的风险防护机制。
从流量实时监测和报表统计分析,数据共享应用系统和办公邮件系统日平均传输流量基本稳定,提供全省数据共享的服务器传输流量较大,省到各市气象宽带网MPLSVPN 传输流量差异较大,大约20GB~400GB/日不等,各地市平均200GB/日,全省日共享数据量约7TB,通过宽带网共享约1~2TB,省级局域网共享约5TB。通过对传输数据包的实时监测,了解应用缓慢时网络或应用的响应时间,以便进行故障排查或优化应用。
在用户访问流量较大的共享服务器集群部署应用负载均衡设备,将大量的Web 共享应用或FTP 共享按规则在集群中自动进行应用分担,提高系统服务响应时效和服务质量,保障关键业务的服务安全稳定。
通过智能流量分析,显示异常事件,如TCP 重传、连接关闭、连接失败、ICMP 不可达等,查看网络异常事件详情,及时发现线路异常、流量异常、应用缓慢、系统中断等节点故障,锁定目的/源地址以及目的/源端口,更新相关设备操作系统补丁,关闭非正常应用端口的访问权限,加强对共享端口的访问审计。网络异常事件详情,如图4所示。
图4 网络异常事件详情
如已关闭非正常应用端口访问权限的用户出现无响应、连接失败等异常事件,说明该用户的安全防御有效;如网络设备频繁发起大量非正常应用端口访问,说明该设备可能存在非授权行为或潜在的攻击行为,便于技术人员快速锁定并排除故障,使网络事件可发现可追溯。
计算机网络安全管理以策略为核心[2],通过对通信网络系统流量的实时监测、应用识别、统计和分析,根据链路质量、网络负载、用户行为,以及应用流量趋势的数据统计报表,全面直观掌握网络带宽使用情况、流量应用分布和网络用户行为,将统计和分析结果应用到通信网络带宽优化、应用加速、边界安全防护策略和负载均衡等安全策略的部署[5],及时发现和有效拦截异常网络流量和攻击行为,提升气象通信网络系统的服务质量和安全运维管理水平,保障气象信息网络系统的运行安全可靠。