基于多線(xiàn)程掃描的網(wǎng)絡(luò )拓撲邊界監測系統設計

隨著(zhù)國家電子政務(wù)網(wǎng)絡(luò )規模和業(yè)務(wù)應用的不斷深化，通過(guò)網(wǎng)絡(luò )傳輸的數據和業(yè)務(wù)變得越來(lái)越敏感和重要。為了保障業(yè)務(wù)數據在網(wǎng)絡(luò )傳輸交換過(guò)程中不被非法獲取與篡改，相應的網(wǎng)絡(luò )信息安全防護措施已在不同層面進(jìn)行了部署。然而，大多數的業(yè)務(wù)專(zhuān)網(wǎng)對于網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制幾乎都集中在網(wǎng)絡(luò )的出入關(guān)口，而對網(wǎng)絡(luò )內部結構和接入邊界卻沒(méi)有施行必要的監測與管理。這種只注重網(wǎng)關(guān)出入防護的安全策略雖然配置了大量的防火墻、多重安全網(wǎng)關(guān)和網(wǎng)閘等網(wǎng)絡(luò )安全設備，卻無(wú)法對網(wǎng)絡(luò )運行的狀態(tài)和網(wǎng)絡(luò )結構的變化有一個(gè)全面的了解，而且對來(lái)自于網(wǎng)絡(luò )接入邊界甚至是網(wǎng)絡(luò )內部的非法訪(fǎng)問(wèn)常常束手無(wú)策。在過(guò)度強化“大門(mén)”的安全建設的同時(shí)，卻往往忽略了“圍墻”的筑造與管理，從而使得網(wǎng)絡(luò )接入邊界往往成為網(wǎng)絡(luò )安全防護中最薄弱的防線(xiàn)。
信息網(wǎng)絡(luò )是一個(gè)自治域，應該有其自身的收斂性，一個(gè)可管理的網(wǎng)絡(luò )應該具有確定的邊界，并且在網(wǎng)絡(luò )邊界發(fā)生變化時(shí)，能夠及時(shí)地發(fā)現差異并定位。在傳統意義上，網(wǎng)絡(luò )邊界是一個(gè)網(wǎng)絡(luò )安全域與其外部域的分界線(xiàn)，是網(wǎng)絡(luò )之間互聯(lián)的“關(guān)口”，而本文所提到的網(wǎng)絡(luò )邊界則更加注重對“圍墻”的管理，為了避免與傳統的邊界名詞相混淆，稱(chēng)其為“網(wǎng)絡(luò )接入邊界”。首先定義直接面向終端，提供網(wǎng)絡(luò )接入服務(wù)的設備稱(chēng)其為邊界接入設備，又稱(chēng)為邊界設備。所謂網(wǎng)絡(luò )接入邊界就是通信網(wǎng)絡(luò )中接入設備的最邊緣，也就是網(wǎng)絡(luò )結構中邊界設備的位置。該接入邊界在網(wǎng)絡(luò )初始設計和建設維護階段確定，并預期不得無(wú)故更改與擴展。
1 當前網(wǎng)絡(luò )監測存在的不足
　面對當前網(wǎng)絡(luò )規模的不斷增長(cháng)，網(wǎng)絡(luò )結構日趨復雜，加之網(wǎng)絡(luò )設備的多樣性，目前的網(wǎng)絡(luò )監測手段已不能滿(mǎn)足當前網(wǎng)絡(luò )管理的需要，主要不足體現在以下幾點(diǎn)：
?。?）網(wǎng)絡(luò )運行狀態(tài)不夠全面。在日常網(wǎng)絡(luò )管理中對網(wǎng)絡(luò )運行狀態(tài)的實(shí)時(shí)監控是非常必要的。通過(guò)對網(wǎng)絡(luò )流量、拓撲結構、網(wǎng)絡(luò )設備及終端運行等情況的全面監測，管理者可以對當前網(wǎng)絡(luò )的運行狀態(tài)有一個(gè)全面的了解和把握，并可對一些異常情況作出及時(shí)反應，保障網(wǎng)絡(luò )安全正常地運行。然而，由于網(wǎng)絡(luò )設備的復雜多樣性，至今還沒(méi)有一個(gè)第三方的網(wǎng)絡(luò )管理軟件可以對不同廠(chǎng)家的網(wǎng)絡(luò )設備進(jìn)行全面的遠程管理與控制，使用當前網(wǎng)絡(luò )監測手段往往無(wú)法獲取全面的網(wǎng)絡(luò )運行狀態(tài)信息。
?。?）網(wǎng)絡(luò )結構化變化無(wú)從知曉。在較大規模網(wǎng)絡(luò )中，保持網(wǎng)絡(luò )拓撲結構的穩定對于整個(gè)網(wǎng)絡(luò )的安全尤為重要。網(wǎng)絡(luò )建設時(shí)期設計的拓撲結構與正常運行時(shí)期的真實(shí)結構經(jīng)常存在較大的差異。如果運行過(guò)程中有設備發(fā)生故障或者有用戶(hù)私自在網(wǎng)絡(luò )中違規接入網(wǎng)絡(luò )設備，必將影響到網(wǎng)絡(luò )真實(shí)結構的變化，并由此帶來(lái)巨大的安全隱患。有一些網(wǎng)絡(luò )拓撲發(fā)現方法可以根據簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議SNMP（Simple Network Management Protocol）來(lái)完成對網(wǎng)絡(luò )層和鏈路層連接的自動(dòng)發(fā)現[1-2]，生成網(wǎng)絡(luò )運行時(shí)的拓撲結構，然而在現實(shí)中的應用卻相對滯后，沒(méi)有一種由宏觀(guān)到具體、兼顧整體與局部的視圖展示方法，而且沒(méi)有對網(wǎng)絡(luò )結構進(jìn)行全面的監測，幾乎沒(méi)有涉及網(wǎng)絡(luò )結構的差異變化情況，更沒(méi)有發(fā)現結構異常時(shí)的報警提示了。
?。?）網(wǎng)絡(luò )接入邊界無(wú)法掌握。網(wǎng)絡(luò )接入邊界作為網(wǎng)絡(luò )用戶(hù)的接入區域通常處于網(wǎng)絡(luò )結構的最末端，隨著(zhù)網(wǎng)絡(luò )接入終端多樣化的出現，邊界接入方法與過(guò)程變得非常容易。有些用戶(hù)可能會(huì )隨意更換工作終端、改變終端的接入接口，或者通過(guò)自行架設的小型網(wǎng)絡(luò )設備進(jìn)行多用戶(hù)違規接入，甚至非法提供網(wǎng)絡(luò )轉發(fā)、代理和地址轉換服務(wù)等，這些情況都將會(huì )影響網(wǎng)絡(luò )接入邊界的收斂性，使網(wǎng)絡(luò )接入邊界變得不可預測，并對網(wǎng)絡(luò )的安全穩定運行造成嚴重威脅。而現階段的網(wǎng)絡(luò )監測管理手段無(wú)法及時(shí)獲取網(wǎng)絡(luò )接入邊界狀態(tài)變化的信息，更無(wú)法對接入邊界變化區域進(jìn)行準確的定位，這是現有網(wǎng)絡(luò )管理體系中普遍存在的盲點(diǎn)和隱患。
2 系統功能結構
　當前網(wǎng)絡(luò )規模和數量大量增長(cháng)，組網(wǎng)設備的類(lèi)型也多種多樣，來(lái)自于不同廠(chǎng)家的各類(lèi)設備常常同時(shí)存在，如何在統一的架構體系內對這些設備進(jìn)行管理就變得十分重要。本系統主要采用目前普遍使用的SNMP標準協(xié)議，通過(guò)對網(wǎng)絡(luò )結構的定時(shí)掃描和對網(wǎng)絡(luò )接入邊界的實(shí)時(shí)監測來(lái)實(shí)現所需的功能。
?。?）全面掃描網(wǎng)絡(luò )拓撲結構，實(shí)現網(wǎng)絡(luò )結構樹(shù)的自動(dòng)生成與存儲打印，通過(guò)與歷史結構的比對發(fā)現網(wǎng)絡(luò )結構的差異變化，并及時(shí)報警通知網(wǎng)絡(luò )管理員。
?。?）監測網(wǎng)絡(luò )設備的運行狀態(tài)，主要監測CPU、內存和接入端口的工作情況，對于工作狀態(tài)或者網(wǎng)絡(luò )流量異常的情況能及時(shí)發(fā)出報警信號。
?。?）在專(zhuān)用和保密網(wǎng)絡(luò )中實(shí)現所有入網(wǎng)終端與設備的登記認證，對終端與設備的上網(wǎng)檔案和監測數據進(jìn)行存儲記錄，對接入終端的運行狀態(tài)、接入方式、路由轉發(fā)、地址轉換和代理服務(wù)等異常狀態(tài)進(jìn)行實(shí)時(shí)監測，發(fā)現異常時(shí)能夠及時(shí)阻斷，實(shí)現對網(wǎng)絡(luò )邊界的常規性看護，對工作主機的工作狀態(tài)給出健康建議。
系統通過(guò)對整個(gè)網(wǎng)絡(luò )運行狀態(tài)數據進(jìn)行實(shí)時(shí)的采集與分析，將網(wǎng)絡(luò )拓撲結構信息及其組成節點(diǎn)的工作狀態(tài)信息存儲在數據庫中，對這些數據進(jìn)行加工分析后，通過(guò)列表、拓撲視圖等方式將其展現在網(wǎng)絡(luò )管理界面上。系統體系結構如圖1所示。

　在網(wǎng)絡(luò )中心位置部署結構監測服務(wù)器、結構存儲服務(wù)器和結構視圖服務(wù)器，用于整個(gè)網(wǎng)絡(luò )結構的實(shí)時(shí)動(dòng)態(tài)掃描存儲、邊界守護和視圖生成功能；在網(wǎng)絡(luò )內部設置固定或移動(dòng)的監測終端，用于網(wǎng)絡(luò )管理人員隨時(shí)查看網(wǎng)絡(luò )實(shí)時(shí)運行狀態(tài)，接收服務(wù)器的報警信號并進(jìn)行相應的處理。
位于整個(gè)網(wǎng)絡(luò )內部，支持TCP/IP協(xié)議的路由器、交換機、服務(wù)器、工作主機和無(wú)線(xiàn)接入點(diǎn)等所有的網(wǎng)絡(luò )設備和終端都屬于網(wǎng)絡(luò )結構監測的對象，需要定期接受結構監測服務(wù)器的掃描并提供自身運行的狀態(tài)和數據。當有異常情況發(fā)生時(shí)，這些監測對象應該能夠主動(dòng)向上匯報，以達到實(shí)時(shí)掌握整個(gè)網(wǎng)絡(luò )運行狀態(tài)的目的。
3 系統實(shí)時(shí)性設計
　系統通過(guò)SNMP協(xié)議掃描獲取網(wǎng)絡(luò )設備、終端及其連接關(guān)系的基本信息，主要包括管理信息庫中的路由表、接口表、地址映射表和運行狀態(tài)信息等，并逐步獲取實(shí)時(shí)的網(wǎng)絡(luò )結構信息。在使用廣度優(yōu)先算法掃描的過(guò)程中，盡可能準確地辨識掃描目標的類(lèi)型和身份，根據情況啟動(dòng)網(wǎng)絡(luò )層掃描[3]和鏈路層掃描[4]，并通過(guò)梳理節點(diǎn)間的父子連接關(guān)系，最終判定網(wǎng)絡(luò )接入邊界所在，更新存入后臺支持數據庫[5]。當掃描過(guò)程完成以后，整個(gè)網(wǎng)絡(luò )的結構信息便被獲取，實(shí)時(shí)的網(wǎng)絡(luò )邊界得以確定，網(wǎng)絡(luò )自身的運行狀態(tài)得以全面掌控。
在系統監測運行過(guò)程中，需要在第一時(shí)間內發(fā)現網(wǎng)絡(luò )結構的異常變化和接入邊界的違規行為并作出響應，以便盡可能早地對潛在的網(wǎng)絡(luò )安全隱患進(jìn)行定位，減少對網(wǎng)絡(luò )安全運行的實(shí)質(zhì)性破壞。因此，迅速準確地發(fā)現網(wǎng)絡(luò )的拓撲結構，提高系統掃描檢測過(guò)程的實(shí)時(shí)性就成為了保障系統可靠運行的一個(gè)基本要求。
3.1 多線(xiàn)程掃描
　網(wǎng)絡(luò )結構的獲取與更新一般通過(guò)周期性的掃描來(lái)完成。通過(guò)指定掃描起始地址，獲得與該節點(diǎn)相連的其他節點(diǎn)的運行信息，使用廣度優(yōu)先算法依次遍歷網(wǎng)絡(luò )中的每個(gè)節點(diǎn)，這種全網(wǎng)單線(xiàn)程掃描方法（以下簡(jiǎn)稱(chēng)方法一）常常用在網(wǎng)絡(luò )規模較小、結構較為簡(jiǎn)單的情況下。
　對于規模較大的網(wǎng)絡(luò )，考慮到掃描過(guò)程中大部分時(shí)間都浪費在等待設備準備數據的階段，為了能合理利用這段空閑時(shí)間，在更短的時(shí)間內盡快完成對整個(gè)網(wǎng)絡(luò )的掃描分析，實(shí)際過(guò)程中常常根據子網(wǎng)劃分使用多個(gè)掃描起始地址的子網(wǎng)多線(xiàn)程掃描的方法（以下簡(jiǎn)稱(chēng)方法二）。在系統初始化后，讀取指定的子網(wǎng)掃描起始地址列表，啟動(dòng)多個(gè)掃描線(xiàn)程對所在子網(wǎng)進(jìn)行掃描。多個(gè)線(xiàn)程之間共同維護一個(gè)節點(diǎn)訪(fǎng)問(wèn)列表，對已經(jīng)掃描過(guò)的地址不再執行重復的操作。
　方法二中每個(gè)掃描線(xiàn)程對應一棵子樹(shù)，掃描線(xiàn)程的數量一般可參考管理人員最熟悉的核心層設備的數量來(lái)設置，但是最好不要手工設置。實(shí)際應用時(shí)可以在掃描3層設備路由列表的過(guò)程中，在得到與該設備所連接的子網(wǎng)設備地址后，立即開(kāi)啟一個(gè)新的子網(wǎng)掃描線(xiàn)程，這種改進(jìn)方式也可稱(chēng)為設備多線(xiàn)程掃描方法，其掃描流程如圖2所示。