当前位置: 永利会员登录皇宫463 > 业界快讯 > 正文

网络数据主导网络可同期从个地点划分档期的顺

时间:2019-10-12 22:07来源:业界快讯
网络流量暴涨 如何提高网络运维管理能力? 随着互联网建设的快速发展,网络流量爆炸性增长,大量应用对带宽的无秩序、无节制的抢占,为基础带宽资源的管理带来了无法回避的巨大

网络流量暴涨 如何提高网络运维管理能力?

随着互联网建设的快速发展,网络流量爆炸性增长,大量应用对带宽的无秩序、无节制的抢占,为基础带宽资源的管理带来了无法回避的巨大挑战。此外,随着经济全球化的发展,越来越多的企业开始在全国甚至全球范围内建立分支机构,数据大集中的管理模式大大增加了广域网传输的负担。那么面对这些挑战,企业该如何提升网络服务质量,提高网络运维管理能力呢?Bkjia特别邀请了来自东华网智的专家姜华来为我们解答。

公司网络带宽资源有限,如何合理利用有限的带宽资源?

目前,多数企业针对网络的管理常用以下几种方式:

1、区分关键业务和非关键业务,分别设置不同的流控策略。

2、禁止访问外部互联网及使用外网应用。

3、构建内部局域网系统及应用,各业务系统带宽按需分配。

企业网络带宽资源有限,究竟该如何合理利用有限的带宽资源呢?姜华表示,合理利用带宽资源要考虑多个层面:公司性质、业务用量、行政要求、总带宽、用网人数、关键应用、非关键应用等。当出现网络缓慢的情况时,可以考虑网络带宽、带宽租赁方、使用人数、应用分布等因素。查看带宽分配取决于网络设备或相关优化设备,优化原则需要根据公司的应用情况进行分配,在上网权限允许的情况下,为保证安全使用需要可以考虑外网审计,包括审计外发邮件、IM等,并对URL进行分类处理。或者根据企业实际情况区分时间段做控制,在员工休息时间适当放开互联网。

当用网人数和网络带宽相匹配的情况下,公司仍不足以满足办公需要,员工实际体验很差。造成网络体验差的原因是什么呢?姜华认为,出现此种情况可能由于只限制了每人的使用带宽却忽略了应用的限制。他建议,公司可采用总带宽管理加每用户管理的形式配合应用进行网络优化,并且,无论是每人限制还是动态分配带宽都要关注应用。

除此以外,提到公司网络限速,针对ERP/邮箱这类常用业务及一些需要从总部下载的大文件这类业务的限速,是否要用到网络监控设备?姜华的看法是,基于可控的前提是识别,对于企业内部应用来讲,通过IP和端口定义应用是最常见的区分方法,或通过抓包分析仍可以剥离出属于该应用的协议特征码,那么仍然可以采用DPI技术进行分析和控制。通过大量交换机端口查询业务流量依然可行,但耗费大量时间查询,网络监控类设备能提供更便捷的数据展现和操作方法,能提高管理员工作效率。

网络出口应用不透明,如何区分关键业务和非关键业务?

对于关键业务和非关键业务的区分,姜华建议,在现有流量管理方案中做到具体应用的细化,通过设定策略的优先级去区分关键业务和非关键业务的等级。保障策略的优先级高于限制策略,至于具体策略值是多少,需要根据企业的网络应用分布情况才可以确定,保障与限制的带宽值需要不断调整和适应才能达到最优的方案。可以参考流量分析的结果调整策略,包括应用分布的情况,出口带宽压力是多少,IP网段带宽占用分布情况等。

如何对进出口的带宽进行合理的分配?

姜华给出了以下两个方面的考虑方向:

一是,针对互联网出口,中小企业用户符合这种特点。从分析角度上讲流媒体、P2P占用了大部分网络带宽,因此需要根据企业出口带宽的大小和用网人数做出限制策略。

二是,广域网环境更适用于大型行业企业用户,总部数据中心包括诸如邮件、ERP、协同、财务等业务系统。那么,我们需要根据业务的使用情况和关键度区分策略优先级,在各关键业务系统正常运行的情况下做出针对性的保障策略。

如何有效解决分公司网络结构分散,总部技术支持难度增大的问题?

目前,很多企业已实现总部总出口部署流量管理产品,但仍出现业务缓慢等问题,并未达到预期效果。这是因为在分支出口已经出现拥塞。在不改变现有网络环境的基础上,更优的解决方案是在总部出口和分支出口共同部署流量管理产品,所有流量管理产品接受总部集中管理平台的统一调度,这样解决了总部出口与分支出口端到端的拥堵的问题。此外,姜华还建议,针对一些重要应用做出保障策略,并提高优先级。当然总部与分支的带宽大小也会对效率起到很大影响。

另外,数据极大集中是一种大趋势,但是大多是针对企业内网。在总部构建数据中心,分公司各自保留互联网出口的依然大有人在。这种管理方式不易于管理,也存在着一定的安全风险。如果采用流量管理系统,会极大的方便网络管理员,帮助其进行有效的网络运维管理。大家可以考虑选择东华流量管理系统,它支持统一管理功能,为了增加管理性,可以考虑在分公司部署流控,所有出口接受总公司的统一管理。

云计算、大数据的时代,网络流量管理系统应该具备怎么做运作管理?

云服务的一个重点是数据集中,那么就需要更好的带宽支持和网络质量,也会推动该行业的发展。网络流量管理依赖于流量分析的数据结果,在云计算时代和大数据时代,要求流量管理系统具备多方数据采集的能力、数据汇总的能力、数据发掘的能力。

异常流量及病毒大量存在,如何面对网络应用存在的潜在危险?

现在的网络不仅仅有来自外部的攻击,也有来自内部的异常流量,当异常流量及病毒大量存在时,如何面对网络应用存在的潜在危险? 流量管理设备能否做到智能的判断流量是正常还是异常,或者判定其是否属于病毒和攻击?

传统的网络流量管理提供的是应用识别,并未具备恶性攻击识别的能力,需要管理员从流量层面进行判断和分析。随着安全热潮的兴起,东华流量管理设备增加了安全模块,新增了对于恶性攻击流量特征库,可以对网络恶性攻击进行自动识别,并且定制简单的安全策略,预设策略针对每个IP设定阀值,保证网内不会因个别IP的突发流量引起网络出口阻塞,并根据历史数据分析定位问题IP。

图片 1


图片 2


如何提高网络运维管理能力? 随着互联网建设的快速发展,网络流量爆炸性增长,大量应用对带宽的无秩序、无节制的抢占,...

本文介绍互联网数据中心网络架构主要特征和多层设计原则,分析互联网数据中心面临的主要安全威胁,对其安全规划和部署实施提出方案建议。

1 互联网数据中心网络多层设计原则

从本质上说,互联网数据中心网络多层设计原则是划分区域、划分层次、各自负责安全防御任务,即将复杂的数据中心内部网络和主机元素按一定的原则分为多个层次多个部分,形成良好的逻辑层次和分区。

数据中心用户的业务可分为多个子系统,彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求,根据业务相关性和流程需要,需要采用模块化设计,实现低耦合、高内聚,保证系统和数据的安全性、可靠性、灵活扩展性、易于管理,把用户的整个IT 系统按照关联性、管理等方面的需求划分为多个业务板块系统,而每个系统有自己单独的核心交换,服务器,安全边界设备等,逐级访问控制,并采用不同等级的安全措施和防护手段。

互联网数据中心网络可同时从个方面划分层次和区域:

根据内外部分流原则分层。

根据业务模块隔离原则分区。

根据应用分层次访问原则来分级。

图片 3

▲图1 数据中心网络分层

1.1 分层

根据内外部分流原则,数据中心网络可分为4 层:互联网接入层、汇聚层、业务接入层和运维管理层。

最常见的数据中心网络分层如图1 所示。

互联网接入层配置核心路由器实现与互联网的互联,对互联网数据中心内网和外网的路由信息进行转换和维护,并连接汇聚层的各汇聚交换机,形成数据中心的网络核心。

汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机,向上与核心路由器互联。部分流量管理设备、安全设备部署在该层。大客户或重点业务可直接接入汇聚层交换机。

业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。

运维管理层一般独立成网,与业务网络进行隔离,通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。

1.2 分区

按照关联性、管理、安全防护等方面的不同需求,可将数据中心网络划分为不同的区域:互联网域、接入域、服务域、管理域、计算域等,各安全域之间经过防火墙隔离,确保相应的访问控制策略。

互联网域包括实施自助管理的管理用户和访问应用的最终用户。

接入域为用户接入数据中心提供统一的界面和借口,又称为非军事化隔离区。服务域提供域名解析、身份认证授权、IP 地址转换等网络服务功能。计算域提供计算服务,可以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。

相对来说,计算域和管理域的安全级别最高,服务域和接入域次之,用户域最低。

1.3 分级

服务器资源是数据中心的核心,按服务器服务功能将其分为可管理的层次,打破将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和可用性。

服务器层直接与接入设备相连,提供面向客户的应用,如IIS、服务器等等。

应用层用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器,如WebLogic、J2EE 等中间件技术。

数据库层包含了所有的数据库、存储和被不同应用程序共享的原始数据,如MS SQL Server、Oracle 9i、等。

在以上3 种的分层分区域的设计下,不同网络区域之间的安全关系明确,可对每个区域进行安全实施,而对其他区域不会干扰;最大限度地隔离故障区域,加快故障收敛时间,提高可用性;可根据不同的区域和层次的功能分别建设,业务部署灵活;网络结构清晰,易管理。

2 互联网数据中心安全威胁

侵入攻击、拒绝服务攻击和分布式拒绝服务攻击、蠕虫病毒是互联网数据中心面临的最主要的3 类安全威胁。

数据中心网络安全防护部件众多,各网络层次上不同的安全设备相互合作,形成整个安全防护体系。对数据中心网络基础设备的非法侵入和危害使侵入攻击具有强大的破坏能力和隐蔽性,对某一个网络设备的侵入可能影响到整个数据中心安全防卫体系。

在DoS 和DDoS 中,攻击者通过恶意抢占网络资源,使数据中心无法正常运营。此类攻击是互联网数据中心最常预见的攻击,同时也需要防范利用数据中心内部僵尸主机对互联网上其他主机进行攻击。

利用软件系统设计的漏洞对应用的攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,攻击者获取存在漏洞的主机的控制权后对病毒进行复制和转播,在已感染的主机中设置后门或者执行恶意代码,导致用户带宽资源被占用,或者数据中心增值业务受到威胁。因其传播都基于现有的业务端口,传统的防火墙对此类攻击缺乏足够的检测能力。更为严峻的是数据中心抵抗飞速增长的应用的“零日攻击”问题。

3 互联网数据中心安全防护措施

为保障互联网数据中心的安全,抵御各种威胁和攻击,需要联合使用安全体系中各个层次的安全技术,形成一个完善的安全防预体系。

3.1 虚拟专用网

为了在不安全的互联网中实现企业应用的安全访问和数据的安全传输,虚拟专用网 技术无疑是互联网数据中心必不可少的安全技术。VPN 通过互联网建立一个临时的、安全的连接,形成一个穿越公网的安全稳定的虚拟私有广域网。网络的VPN 应用有两种:除了提供防火墙到防火墙的VPN 应用,支持应用在企业分支机构之间互通信息外,还提供移动用户到VPN 防火墙/网关设备的VPN 应用,支持移动办公的IP 地址不固定的企业员工从互联网上对企业内部资源的访问。随着互联网数据中心业务的不断扩大,还需要保障在有限的网络带宽下实现VPN,并提供业务质量 保证。目前的趋势是采用网络控制和应用控制,即和身份和访问管理 技术结合,提供更灵活的访问控制和安全隔离服务。

3.2 虚拟局域网

数据中心多业务运营的需求,使得数据中心网络中服务器和客户端之间的纵向流量大于服务器之间的横向流量,需要使用虚拟局域网将不同客户的不同业务从第二层隔离开,分配一个VLAN 和IP 子网。专用VLAN 可以有不同安全级别的端口:专用端口与服务器连接,只能与混杂端口通信;混杂端口与路由器或交换机接口相连,也可以和共有端口通信;共有端口之间也可以相互通信,主要用于需要相互通信的客户之间。

3.3 防火墙

防火墙是数据中心网络最基本的安全设备,可以对不同的信任级别的安全区域进行隔离,保护数据中心边界安全,同时提供灵活的部署和扩展能力。DoS 攻击和DDoS 攻击的手段繁多、攻击时流量突然增大,因此防DoS 攻击对防火墙的功能要求和性能要求比较大。目前互联网数据中心对防火墙的重点需求是基于状态的包检测功能和虚拟防火墙。状态防火墙设备将状态检测技术应用在ACL 技术上,动态的决定哪些数据包可以通过防火墙,而基于流的状态检测技术可以提供更高的转发性能。在物理防火墙无法满足实际网络环境的情况下,可以实施虚拟防火墙,将物理防火墙逻辑划分出多个相互无干扰的虚拟防火墙,并依据业务需求设置合理的细粒度的访问控制措施。另外,具有QoS 机制的防火墙能够提供流量控制功能,针对不同的应用做出合理的带宽分配和流量控制,防止某个应用如FTP、Telnet 在某个的时间内独占带宽资源而导致关键业务流量丢失和实时性业务流量中断。

目前大多数据中心实施双机部署、或者部署异构防火墙,以满足高可用性的要求。

3.4 流量清洗

为监控、告警、防护对应用服务器发起的DOS/DDOS 攻击,可在互联网数据中心出口处部署流量清洗设备,监测异常流量,当发现攻击时,开启防御,将异常流量牵引出来进行清洗,将正常的流量回注到服务器进行业务处理。

3.5 入侵防御

入侵防御系统检测蠕虫、网络钓鱼、后门木马、间谍软件等应用层攻击,可在互联网数据中心出口和内部各安全区的网络汇聚层采用旁挂或者与网络设备融合的部署方式进行部署,主动提供防护,预先对入侵流量进行拦截,配合防火墙和安全网关设备形成从链路层到应用层的全面防护。互联网数据中心的应用流量对入侵防御系统的性能提出了挑战,需要具备高精度、高效率的入侵检测引擎和全面及时的攻击特征库。

3.6 安全管理

为达到互联网数据中心的运营要求,除了部署健全的网络安全基础设施外,还需建设的系统的、多层次的、可运营的安全管理系统,确保安全策略的集中部署、安全部件的统一管理,安全事件的高度关联,从安全管理上提升数据中心的整体安全防御能力。

首先应制订正式、有效、全面的安全管理制度,在安全管理机构与岗位设置上严格把关。加强系统安全运维管理,定期进行设备检查、安全监察、漏洞扫描,并采取及时地安全事件处置措施,还可利用辅助性管理工具,实现安全配置的自动管理。

在安全信息和事件管理方面,应对网络设备、主机服务器、数据库、应用系统、云平台自身管理节点的安全信息与事件进行管理,进行安全日志管理,针对操作日志、运行日志、故障日志等进行管理,提供设备、主机、应用系统、漏洞、网络流量、主机资产等报告。

在用户身份认证与访问管理方面,应按照不同用户等级,设计相应的数据中心资源访问用户的访问权限。用户访问等级权限应区分管理员用户、普通用户的不同权限。

在故障管理方面,应进行故障预防管理,通过对高危操作的预防以达到将隐患消除在萌芽状态的目的。

可根据不同高危类别,设定不同级别的高危动作。应进行故障管理,如告警处理、故障处理、应急处理、部件更换等方面。

4 结束语

由于互联网数据中心设备的集中、数据的集中、应用的集中以及通过互联网的访问模式的特点,为提供企业级的优质的业务服务能力,互联网数据中心安全成为其建设和运营最需要关注的问题,需要在安全设备部署和安全管理两方面共同配合,搭建一个立体无缝的安全平台,形成全方位一体化的安全防御系统。同时,互联网数据中心的网络安全的建设是一个不断发展更新的过程,需要及时的调整已有的安全策略,设计新的网络安全方案、技术和服务,进行更全面和完善的网络安全规划和建设。

编辑:业界快讯 本文来源:网络数据主导网络可同期从个地点划分档期的顺

关键词: