基于多線(xiàn)程掃描的網(wǎng)絡(luò )拓撲邊界監測系統設計

　　隨著(zhù)國家電子政務(wù)網(wǎng)絡(luò )規模和業(yè)務(wù)應用的不斷深化，通過(guò)網(wǎng)絡(luò )傳輸的數據和業(yè)務(wù)變得越來(lái)越敏感和重要。為了保障業(yè)務(wù)數據在網(wǎng)絡(luò )傳輸交換過(guò)程中不被非法獲取與篡改，相應的網(wǎng)絡(luò )信息安全防護措施已在不同層面進(jìn)行了部署。然而，大多數的業(yè)務(wù)專(zhuān)網(wǎng)對于網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制幾乎都集中在網(wǎng)絡(luò )的出入關(guān)口，而對網(wǎng)絡(luò )內部結構和接入邊界卻沒(méi)有施行必要的監測與管理。這種只注重網(wǎng)關(guān)出入防護的安全策略雖然配置了大量的防火墻、多重安全網(wǎng)關(guān)和網(wǎng)閘等網(wǎng)絡(luò )安全設備，卻無(wú)法對網(wǎng)絡(luò )運行的狀態(tài)和網(wǎng)絡(luò )結構的變化有一個(gè)全面的了解，而且對來(lái)自于網(wǎng)絡(luò )接入邊界甚至是網(wǎng)絡(luò )內部的非法訪(fǎng)問(wèn)常常束手無(wú)策。在過(guò)度強化“大門(mén)”的安全建設的同時(shí)，卻往往忽略了“圍墻”的筑造與管理，從而使得網(wǎng)絡(luò )接入邊界往往成為網(wǎng)絡(luò )安全防護中最薄弱的防線(xiàn)。

　　信息網(wǎng)絡(luò )是一個(gè)自治域，應該有其自身的收斂性，一個(gè)可管理的網(wǎng)絡(luò )應該具有確定的邊界，并且在網(wǎng)絡(luò )邊界發(fā)生變化時(shí)，能夠及時(shí)地發(fā)現差異并定位。在傳統意義上，網(wǎng)絡(luò )邊界是一個(gè)網(wǎng)絡(luò )安全域與其外部域的分界線(xiàn)，是網(wǎng)絡(luò )之間互聯(lián)的“關(guān)口”，而本文所提到的網(wǎng)絡(luò )邊界則更加注重對“圍墻”的管理，為了避免與傳統的邊界名詞相混淆，稱(chēng)其為“網(wǎng)絡(luò )接入邊界”。首先定義直接面向終端，提供網(wǎng)絡(luò )接入服務(wù)的設備稱(chēng)其為邊界接入設備，又稱(chēng)為邊界設備。所謂網(wǎng)絡(luò )接入邊界就是通信網(wǎng)絡(luò )中接入設備的最邊緣，也就是網(wǎng)絡(luò )結構中邊界設備的位置。該接入邊界在網(wǎng)絡(luò )初始設計和建設維護階段確定，并預期不得無(wú)故更改與擴展。

　　1 當前網(wǎng)絡(luò )監測存在的不足

　　面對當前網(wǎng)絡(luò )規模的不斷增長(cháng)，網(wǎng)絡(luò )結構日趨復雜，加之網(wǎng)絡(luò )設備的多樣性，目前的網(wǎng)絡(luò )監測手段已不能滿(mǎn)足當前網(wǎng)絡(luò )管理的需要，主要不足體現在以下幾點(diǎn)：

　　(1)網(wǎng)絡(luò )運行狀態(tài)不夠全面。在日常網(wǎng)絡(luò )管理中對網(wǎng)絡(luò )運行狀態(tài)的實(shí)時(shí)監控是非常必要的。通過(guò)對網(wǎng)絡(luò )流量、拓撲結構、網(wǎng)絡(luò )設備及終端運行等情況的全面監測，管理者可以對當前網(wǎng)絡(luò )的運行狀態(tài)有一個(gè)全面的了解和把握，并可對一些異常情況作出及時(shí)反應，保障網(wǎng)絡(luò )安全正常地運行。然而，由于網(wǎng)絡(luò )設備的復雜多樣性，至今還沒(méi)有一個(gè)第三方的網(wǎng)絡(luò )管理軟件可以對不同廠(chǎng)家的網(wǎng)絡(luò )設備進(jìn)行全面的遠程管理與控制，使用當前網(wǎng)絡(luò )監測手段往往無(wú)法獲取全面的網(wǎng)絡(luò )運行狀態(tài)信息。

　　(2)網(wǎng)絡(luò )結構化變化無(wú)從知曉。在較大規模網(wǎng)絡(luò )中，保持網(wǎng)絡(luò )拓撲結構的穩定對于整個(gè)網(wǎng)絡(luò )的安全尤為重要。網(wǎng)絡(luò )建設時(shí)期設計的拓撲結構與正常運行時(shí)期的真實(shí)結構經(jīng)常存在較大的差異。如果運行過(guò)程中有設備發(fā)生故障或者有用戶(hù)私自在網(wǎng)絡(luò )中違規接入網(wǎng)絡(luò )設備，必將影響到網(wǎng)絡(luò )真實(shí)結構的變化，并由此帶來(lái)巨大的安全隱患。有一些網(wǎng)絡(luò )拓撲發(fā)現方法可以根據簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議SNMP(Simple Network Management Protocol)來(lái)完成對網(wǎng)絡(luò )層和鏈路層連接的自動(dòng)發(fā)現[1-2]，生成網(wǎng)絡(luò )運行時(shí)的拓撲結構，然而在現實(shí)中的應用卻相對滯后，沒(méi)有一種由宏觀(guān)到具體、兼顧整體與局部的視圖展示方法，而且沒(méi)有對網(wǎng)絡(luò )結構進(jìn)行全面的監測，幾乎沒(méi)有涉及網(wǎng)絡(luò )結構的差異變化情況，更沒(méi)有發(fā)現結構異常時(shí)的報警提示了。

　　(3)網(wǎng)絡(luò )接入邊界無(wú)法掌握。網(wǎng)絡(luò )接入邊界作為網(wǎng)絡(luò )用戶(hù)的接入區域通常處于網(wǎng)絡(luò )結構的最末端，隨著(zhù)網(wǎng)絡(luò )接入終端多樣化的出現，邊界接入方法與過(guò)程變得非常容易。有些用戶(hù)可能會(huì )隨意更換工作終端、改變終端的接入接口，或者通過(guò)自行架設的小型網(wǎng)絡(luò )設備進(jìn)行多用戶(hù)違規接入，甚至非法提供網(wǎng)絡(luò )轉發(fā)、代理和地址轉換服務(wù)等，這些情況都將會(huì )影響網(wǎng)絡(luò )接入邊界的收斂性，使網(wǎng)絡(luò )接入邊界變得不可預測，并對網(wǎng)絡(luò )的安全穩定運行造成嚴重威脅。而現階段的網(wǎng)絡(luò )監測管理手段無(wú)法及時(shí)獲取網(wǎng)絡(luò )接入邊界狀態(tài)變化的信息，更無(wú)法對接入邊界變化區域進(jìn)行準確的定位，這是現有網(wǎng)絡(luò )管理體系中普遍存在的盲點(diǎn)和隱患。

　　2 系統功能結構

　　當前網(wǎng)絡(luò )規模和數量大量增長(cháng)，組網(wǎng)設備的類(lèi)型也多種多樣，來(lái)自于不同廠(chǎng)家的各類(lèi)設備常常同時(shí)存在，如何在統一的架構體系內對這些設備進(jìn)行管理就變得十分重要。本系統主要采用目前普遍使用的SNMP標準協(xié)議，通過(guò)對網(wǎng)絡(luò )結構的定時(shí)掃描和對網(wǎng)絡(luò )接入邊界的實(shí)時(shí)監測來(lái)實(shí)現所需的功能。

　　(1)全面掃描網(wǎng)絡(luò )拓撲結構，實(shí)現網(wǎng)絡(luò )結構樹(shù)的自動(dòng)生成與存儲打印，通過(guò)與歷史結構的比對發(fā)現網(wǎng)絡(luò )結構的差異變化，并及時(shí)報警通知網(wǎng)絡(luò )管理員。

　　(2)監測網(wǎng)絡(luò )設備的運行狀態(tài)，主要監測CPU、內存和接入端口的工作情況，對于工作狀態(tài)或者網(wǎng)絡(luò )流量異常的情況能及時(shí)發(fā)出報警信號。

　　(3)在專(zhuān)用和保密網(wǎng)絡(luò )中實(shí)現所有入網(wǎng)終端與設備的登記認證，對終端與設備的上網(wǎng)檔案和監測數據進(jìn)行存儲記錄，對接入終端的運行狀態(tài)、接入方式、路由轉發(fā)、地址轉換和代理服務(wù)等異常狀態(tài)進(jìn)行實(shí)時(shí)監測，發(fā)現異常時(shí)能夠及時(shí)阻斷，實(shí)現對網(wǎng)絡(luò )邊界的常規性看護，對工作主機的工作狀態(tài)給出健康建議。

　　系統通過(guò)對整個(gè)網(wǎng)絡(luò )運行狀態(tài)數據進(jìn)行實(shí)時(shí)的采集與分析，將網(wǎng)絡(luò )拓撲結構信息及其組成節點(diǎn)的工作狀態(tài)信息存儲在數據庫中，對這些數據進(jìn)行加工分析后，通過(guò)列表、拓撲視圖等方式將其展現在網(wǎng)絡(luò )管理界面上。系統體系結構如圖1所示。

　　在網(wǎng)絡(luò )中心位置部署結構監測服務(wù)器、結構存儲服務(wù)器和結構視圖服務(wù)器，用于整個(gè)網(wǎng)絡(luò )結構的實(shí)時(shí)動(dòng)態(tài)掃描存儲、邊界守護和視圖生成功能;在網(wǎng)絡(luò )內部設置固定或移動(dòng)的監測終端，用于網(wǎng)絡(luò )管理人員隨時(shí)查看網(wǎng)絡(luò )實(shí)時(shí)運行狀態(tài)，接收服務(wù)器的報警信號并進(jìn)行相應的處理。

　　位于整個(gè)網(wǎng)絡(luò )內部，支持TCP/IP協(xié)議的路由器、交換機、服務(wù)器、工作主機和無(wú)線(xiàn)接入點(diǎn)等所有的網(wǎng)絡(luò )設備和終端都屬于網(wǎng)絡(luò )結構監測的對象，需要定期接受結構監測服務(wù)器的掃描并提供自身運行的狀態(tài)和數據。當有異常情況發(fā)生時(shí)，這些監測對象應該能夠主動(dòng)向上匯報，以達到實(shí)時(shí)掌握整個(gè)網(wǎng)絡(luò )運行狀態(tài)的目的。

　　3 系統實(shí)時(shí)性設計

　　系統通過(guò)SNMP協(xié)議掃描獲取網(wǎng)絡(luò )設備、終端及其連接關(guān)系的基本信息，主要包括管理信息庫中的路由表、接口表、地址映射表和運行狀態(tài)信息等，并逐步獲取實(shí)時(shí)的網(wǎng)絡(luò )結構信息。在使用廣度優(yōu)先算法掃描的過(guò)程中，盡可能準確地辨識掃描目標的類(lèi)型和身份，根據情況啟動(dòng)網(wǎng)絡(luò )層掃描[3]和鏈路層掃描[4]，并通過(guò)梳理節點(diǎn)間的父子連接關(guān)系，最終判定網(wǎng)絡(luò )接入邊界所在，更新存入后臺支持數據庫[5]。當掃描過(guò)程完成以后，整個(gè)網(wǎng)絡(luò )的結構信息便被獲取，實(shí)時(shí)的網(wǎng)絡(luò )邊界得以確定，網(wǎng)絡(luò )自身的運行狀態(tài)得以全面掌控。

　　在系統監測運行過(guò)程中，需要在第一時(shí)間內發(fā)現網(wǎng)絡(luò )結構的異常變化和接入邊界的違規行為并作出響應，以便盡可能早地對潛在的網(wǎng)絡(luò )安全隱患進(jìn)行定位，減少對網(wǎng)絡(luò )安全運行的實(shí)質(zhì)性破壞。因此，迅速準確地發(fā)現網(wǎng)絡(luò )的拓撲結構，提高系統掃描檢測過(guò)程的實(shí)時(shí)性就成為了保障系統可靠運行的一個(gè)基本要求。

　　3.1 多線(xiàn)程掃描

　　網(wǎng)絡(luò )結構的獲取與更新一般通過(guò)周期性的掃描來(lái)完成。通過(guò)指定掃描起始地址，獲得與該節點(diǎn)相連的其他節點(diǎn)的運行信息，使用廣度優(yōu)先算法依次遍歷網(wǎng)絡(luò )中的每個(gè)節點(diǎn)，這種全網(wǎng)單線(xiàn)程掃描方法(以下簡(jiǎn)稱(chēng)方法一)常常用在網(wǎng)絡(luò )規模較小、結構較為簡(jiǎn)單的情況下。

　　對于規模較大的網(wǎng)絡(luò )，考慮到掃描過(guò)程中大部分時(shí)間都浪費在等待設備準備數據的階段，為了能合理利用這段空閑時(shí)間，在更短的時(shí)間內盡快完成對整個(gè)網(wǎng)絡(luò )的掃描分析，實(shí)際過(guò)程中常常根據子網(wǎng)劃分使用多個(gè)掃描起始地址的子網(wǎng)多線(xiàn)程掃描的方法(以下簡(jiǎn)稱(chēng)方法二)。在系統初始化后，讀取指定的子網(wǎng)掃描起始地址列表，啟動(dòng)多個(gè)掃描線(xiàn)程對所在子網(wǎng)進(jìn)行掃描。多個(gè)線(xiàn)程之間共同維護一個(gè)節點(diǎn)訪(fǎng)問(wèn)列表，對已經(jīng)掃描過(guò)的地址不再執行重復的操作。

　　方法二中每個(gè)掃描線(xiàn)程對應一棵子樹(shù)，掃描線(xiàn)程的數量一般可參考管理人員最熟悉的核心層設備的數量來(lái)設置，但是最好不要手工設置。實(shí)際應用時(shí)可以在掃描3層設備路由列表的過(guò)程中，在得到與該設備所連接的子網(wǎng)設備地址后，立即開(kāi)啟一個(gè)新的子網(wǎng)掃描線(xiàn)程，這種改進(jìn)方式也可稱(chēng)為設備多線(xiàn)程掃描方法，其掃描流程如圖2所示。

　　在掃描流程圖中的每個(gè)線(xiàn)程都能獨立完成各自的掃描分析任務(wù)，在對每一個(gè)設備掃描完成之后，立即讀取目標的安全設置，完成結構邊界的確認、檢驗、存儲和展現工作。

　　對于較大規模的網(wǎng)絡(luò )，在采用了設備多線(xiàn)程掃描的方法后，完成全網(wǎng)掃描所耗費的時(shí)間已經(jīng)大幅減少，如表1所示，其中，①②③為掃描算法分別在3個(gè)不同的時(shí)間段內運行的結果。但是詳細分析后發(fā)現，掃描線(xiàn)程仍然有一部分空閑時(shí)間在等待設備準備數據，而這部分空閑時(shí)間正是再次提高掃描速度的希望。在分析了設備的掃描過(guò)程后發(fā)現，為了實(shí)現網(wǎng)絡(luò )結構的自動(dòng)發(fā)現與監測，每個(gè)設備都需要掃描接口表、路由表、端口映射表、地址映射表等多張表格，雖然在掃描流程上采用了子網(wǎng)多線(xiàn)程掃描，但是每個(gè)掃描線(xiàn)程依然是按照順序對這幾張表格進(jìn)行掃描的，由此得出了通過(guò)多線(xiàn)程方式來(lái)獲取這些表格的表格多線(xiàn)程掃描方法(以下簡(jiǎn)稱(chēng)方法三)。

　　為了驗證這3種掃描方法的性能，特意選擇長(cháng)安大學(xué)校園網(wǎng)絡(luò )進(jìn)行實(shí)際測試，表1是這3種掃描方法分別在3個(gè)不同的時(shí)間段內測試運行的結果數據。

　　在對掃描方法的性能進(jìn)行比較時(shí)，掃描完成時(shí)間以及掃描對網(wǎng)絡(luò )帶寬的影響是兩個(gè)重點(diǎn)指標。本來(lái)每秒鐘獲得的記錄數量也可以作為一個(gè)性能指標來(lái)指示掃描算法的性能優(yōu)劣，但是該指標與網(wǎng)絡(luò )流量成正比關(guān)系(記錄條數越多網(wǎng)絡(luò )流量越大)，因此在比較過(guò)程中只使用了完成時(shí)間和波特率兩項指標，3種方法性能比較如圖3所示。從測試的結果可以看出，這3種方法在3次測試過(guò)程中性能表現均較為穩定，方法一的完成時(shí)間是最長(cháng)的，在使用了多線(xiàn)程以后方法二和方法三的完成時(shí)間有了大幅的減少。同時(shí)，隨著(zhù)完成時(shí)間的縮減，網(wǎng)絡(luò )流量也逐步升高，由于目前主干網(wǎng)絡(luò )多是千兆的情況，因此多線(xiàn)程的使用對網(wǎng)絡(luò )帶寬的壓力實(shí)在小到可以忽略不計。

　　3.2 異常情況自動(dòng)上報

　　在實(shí)際應用時(shí)，單靠周期性的掃描來(lái)發(fā)現網(wǎng)絡(luò )結構的異常變動(dòng)顯然不夠，應該設計一種異常自動(dòng)上報機制，使得接入設備能夠在異常發(fā)生的第一時(shí)間將自身變動(dòng)信息自動(dòng)上報給服務(wù)器，而不是等待掃描模塊下一次周期性的輪詢(xún)，而這恰恰就是SNMP陷阱(SNMP Trap)的用武之地。

　　SNMP陷阱不同于SNMP的主動(dòng)采集，SNMP主動(dòng)采集是按照固定的時(shí)間間隔，由管理工作站以詢(xún)問(wèn)的方式采集被管理設備的各項MIB信息，因此，發(fā)現網(wǎng)絡(luò )結構的變化與異常的及時(shí)性取決于掃描采集的頻率。在一個(gè)較大規模的網(wǎng)絡(luò )內，輪詢(xún)過(guò)于頻繁會(huì )產(chǎn)生大量不必要的通信量，容易引起網(wǎng)絡(luò )擁塞;輪詢(xún)周期過(guò)長(cháng)，則不能保證網(wǎng)絡(luò )故障被及時(shí)發(fā)現，嚴重影響了系統的實(shí)時(shí)性[6]。而SNMP陷阱使用事件驅動(dòng)機制，在被監控設備上設置陷阱，一旦被監控設備出現異常情況，立即向管理工作站發(fā)送陷阱消息，因此能夠在最短的時(shí)間內發(fā)現異常，避免由設備異常而帶來(lái)的經(jīng)濟損失。

　　在SNMP的管理模型中，管理代理會(huì )向管理工作站發(fā)送一些重要事件的異步通告，其中包括設備的冷啟動(dòng)、熱啟動(dòng)、接口上線(xiàn)和接口下線(xiàn)等幾種消息，而這些消息將由代理主動(dòng)通知SNMP管理器，而不是等到管理工作站為獲得這些錯誤情況而輪詢(xún)的時(shí)候才會(huì )報告，這將有助于系統以最快的速度接收到來(lái)自于被管理設備的異常通知。系統在收到這些消息后可以通過(guò)單獨查詢(xún)這個(gè)設備或查詢(xún)其周邊的相關(guān)設備來(lái)獲得這個(gè)事件更加詳細的情況并向管理人員發(fā)送告警，以便對異常情況作出正確的判斷和處理。

　　當然，使用SNMP陷阱也需要消耗一定的系統資源，如果該陷阱需要傳輸大量的數據，則被管設備就要消耗更多的時(shí)間來(lái)處理這些數據，從而降低了設備的運行速度。此外，如果接連發(fā)生相同類(lèi)型的陷阱，每次都要報告給管理站，這樣又造成了資源的浪費，可能會(huì )造成網(wǎng)絡(luò )擁堵甚至癱瘓。因此，本系統僅僅使用了設備啟動(dòng)、接口上線(xiàn)和接口下線(xiàn)這幾種與網(wǎng)絡(luò )結構和邊界安全監測關(guān)系最為密切的陷阱事件，以減輕網(wǎng)絡(luò )壓力，提高系統的實(shí)時(shí)性能。

　　網(wǎng)絡(luò )規模大、涉及范圍廣、設備種類(lèi)多以及用戶(hù)數量大是目前網(wǎng)絡(luò )的基本特點(diǎn)，因此網(wǎng)絡(luò )的維護管理和安全防護便成為了一個(gè)難題。本系統在保障網(wǎng)絡(luò )出口安全的同時(shí)，重點(diǎn)加強了網(wǎng)絡(luò )邊界的安全監測與防護，使網(wǎng)絡(luò )管理人員能及時(shí)全面地了解實(shí)時(shí)的網(wǎng)絡(luò )結構和邊界接入變化情況，并通過(guò)使用多線(xiàn)程和SNMP陷阱技術(shù)來(lái)提高網(wǎng)絡(luò )結構掃描的效率，從而有效解決了目前網(wǎng)絡(luò )使用過(guò)程中比較常見(jiàn)的用戶(hù)隨意更改接入狀態(tài)和非法接入網(wǎng)絡(luò )設備的問(wèn)題，避免了由此產(chǎn)生的網(wǎng)絡(luò )運行不穩定問(wèn)題，消除了網(wǎng)絡(luò )安全監管盲區和網(wǎng)絡(luò )安全隱患，保障了網(wǎng)絡(luò )運行的可靠與安全。