淮南矿业集团网络运行安全与效率分析

1 集团公司网络和应用概述

现今, 淮南矿业集团网络用户已近12000人, 高峰在线人数超过8000人, 地域东起九龙岗, 西至谢桥矿, 人数多, 范围广。

以网络为平台的应用已经深入到企业运行的方方面面, 例如:安全生产, 瓦斯监控, 安全短信, 全面物资管理系统, 财务, 煤资运销, GPS定位, 人力资源, OA办公, 文件共享等等;网络设备经过近几年的升级改造, 网络硬件平台设备已经达到行业一流的水平。

网络规模的不断扩大, 企业应用的不断增多, 使得网络在突显其便利、快捷等优势的同时, 也产生了更多的安全和效率的问题, 如何安全的基础上使得网络发挥最大的效能, 更好的为集团公司的业务发展服务, 是今后网络管理的重点。

2 网络运行质量分析

如何衡量网络的运行质量, 我认为有两个重要的指标:一是运行安全, 即没有或极少的网络中断;一是运行效率, 即速度要快, 这也与信息分公司提出的保安全, 保畅通的工作理念是一致的。

网络运行是一个动态的过程, 其关键是在终端用户和网络出口部分, 中间部分如核心交换机, 其性能非常高, 基本上对网络运行没有不利影响。终端用户我们很难控制, 现阶段只能加强宣传教育;而在网络出口部分, 是我们可以控制的, 但其安全与效率却是矛盾的, 提高网络运行安全性, 必须增加设备, 增加限制措施和配置, 势必会影响效率;但如果只考虑效率, 不顾安全性, 那么各种攻击, 病毒, 恶意流量等又会阻塞网络, 反而会使网络的效率降低, 甚至瘫痪;如果更换先进设备又需要很大的投资。因此在现有条件下如何在安全与效率之间达到一个平衡, 是我们网管人员必须考虑的。结合各种设备的承受能力和各自特点, 充分考虑网络运行安全和效率的统一, 最大限度的保证网络可靠, 高速, 我们对现有的设备设置了一些策略。

3 合理的策略配置

集团公司网络从物理结构上可分为内网部分和外网出口部分。逐一分析如下。

内网部分:内网为核心万兆, 接入层千兆或百兆的高速光环网, 因此内外部分出现流量阻塞的可能性很小, 出现的问题要么是设备问题, 如核心交换机故障, 概率很小;要么是局部网络问题, 如某个矿设备故障或病毒影响导致本矿的网络问题。

外网部分:我们的外网出口部分包括核心交换机出口, 认证系统, 网络行为管理系统, 防火墙, 还旁路有入侵检测系统, 出口带宽也是有限的。外网口出口为千兆, 并且中间设备性能有限, 遭受病毒攻击或流量冲击的可能性大。

结合两部分的实际, 有针对性的做了以下工作。

(1) 核心交换机端口禁止分片包。

经过两年来的实践和对其它企业的网络问题分析, 对网络出口影响最大的两个问题一是分片攻击, 二是dos类攻击。2008年2月份, 我们遭受分片攻击, 外网几近瘫痪, 虽然查到源头主机, 但因网络结构复杂, 源头主机不断扩散, 很难解决。请教很多的厂家工程师也都没有有效的办法。经过查找大量的资料, 发现核心交换机可以实现阻断分片包, 而阻断分片包是最有效的途径, 其它现有的网络设备没有这个功能。具体方法是建立一个acl, 设置为deny ip any any fragments即可。设置方便, 效果显著, 设置后的几年时间里, 虽然分片攻击仍然存在, 但都被阻断在内网中, 保证了出口安全。这个策略的代价是测试网络的ping命令无法再用大包, 对测试网络有一定的不便, 但综合考虑, 我们虽然牺牲了些许的不便, 但换来了网络的平安。

(2) 核心交换机设置时间同步服务并设置日志服务器。

当局部网络出现问题时, 我们首先要查看其交换机的日志, 但因交换机的内部时钟不准确, 日志显示的时间和实际时间经常不符, 给快速查找问题带来很大不便, 因此设置了时间同步, 使得所有的核心交换机都是同一个时间, 这样也为多个交换机联调提供了极大的便利。

同时因交换机内外日志存放空间有限, 设置了日志服务器, 将所有需要的日志自动全部存放到日志服务器中, 保存了所有日志, 为日后查找问题提供了便利。

查看日志是解决内网安全问题的重要手段, 内部的运行安全, 也是提高网络运行效率的关键。

(3) 网络主机连接数控制及流量控制。

Dos类攻击经常会导致网络阻塞, 并且我们的网络庞大, 复杂, 不可能从根本上完全解决病毒攻击问题, 因此一方面要加大宣传, 让用户有防病毒意识, 减少攻击源;另一方面, 我们要做的就是把攻击对网络的影响降到最低, 甚至几乎没有影响。经过分析和实践, 限制网络主机的连接数是最有效的方法, 但限制太小会影响正常使用, 限制太大就没有意义;在效率和安全上要达到平衡就需要一个合适的值, 经过实践, 我们现在设备上做的限制是80个, 这足够普通用户的正常使用, 包括浏览网页, 邮箱, 和下载等, 既是有病毒攻击的时候, 它也只能达到80个连接, 10台中毒主机才800个, 对出口设备的性能影响很小, 因此基本上不会出现网络阻塞。

流量控制, 因为出口带宽是有限的, 如果很多人无限制的下载, 或是中病毒发包, 都会占用大量带宽, 使得其他用户无足够带宽可用, 对用户来说就表现为网络缓慢。同样, 流量控制的太小会影响正常使用, 控制的太大就没有意义, 也需要一个平衡的值, 经过分析实践, 限制在200K~400K之间比较理想的值。

(4) 特殊病毒端口控制。

我们在交换机和防火墙等网关设备上均设置了常见病毒端口的过滤, 比如在防火墙上将133, 134, 135, 136, 445等20几个端口封闭。这样减少了被攻击的可能性, 并且对用户的正常使用没有任何影响。

(5) 抓包分析和入侵检测分析。

网络分析技术是现今很重要的一种的网络诊断技术, 我们采购了科来的网络分析软件, 通过它可以发现网络的某些病毒, 可疑流量或危害网络数据等。我们现在不定期的抓包分析, 能及时发现有问题的主机, 和一些隐患, 并通知网络管理人员进行相应的处理, 将很多问题控制在萌芽状态。

同时将入侵检测系统发现的攻击较为严重的主机列出, 通知其网络管理人员进行处理, 减少了病毒源头, 同时也从侧面加强了用户的防病毒意识, 如果所有人的电脑都是安全没有病毒的, 那么我们的网络就是没有病毒的网络, 当然这需要我们网络管理人员和所有用户的共同努力。

4 结语

网络运行质量分析是对网络中的各种设备、应用、人员、流量等等全面考虑, 设计、配置、优化整个网络的思想和过程。衡量网络运行状况的标准是它是否安全, 是否高效, 在硬件环境确定的基础上使网络运行的更好只有合理统一的配置这些资源, 因此, 我们的网管理念是:充分发挥现有设备的特点, 最大限度的保证网络安全, 高效。

摘要：随着集团公司网络规模与应用的不断增多, 对网络的依赖也越来越大, 同时对网络质量提出了更高的要求, 为适应当前网络需求, 更好的发挥网络效率, 本文从网络运行安全与运行效率的关系进行分析, 结合集团公司网络实际, 应用合理的策略配置, 从而达到在保障网络安全的同时实现网络适应效率最大化。

关键词：网络安全,效率,应用,策略