曙光网络监控行业方案集2.0解剖.pdf

曙光网络监控行业方案集? 曙光信息产业(北京)有限公司? 2012‐4 月 前言? ? 随着信息技术和互联网的不断发展，互联网日益成为人们工作、学习和生活中重要的一 部分。互联网在给人带来的巨大便利的同时，由其带来的负面影响和安全威胁也日趋严重。 这里的威胁包括传统的计算机安全方面的问题，比如病毒和木马程序通过网页和邮件中大量 传播、网络攻击、僵尸网络、钓鱼网站、垃圾邮件等等；也包括信息安全方面的问题，比如 保密信息的泄露与传播等；还包括民众上网行为规范方面的问题，比如黄色网站传播色情影 像及服务、不法分子利用网络散播谣言诽谤国家和个人、在网上大量发布假消息和社会稳定 的言论等。? 正因为如此，关于网络信息的安全管理、审计方面的需求越来越受到人们的重视。小到 一个企业、一个社区网络，大到运营商规模的骨干网络，都需要建立网络信息安全监管系统 对所属网络进行监控，但是，要真正建立起一套成熟有效的网络监管系统却并不是一件简单 的事情。? 曙光公司从 2000 年开始，就为某国家网络安全管理中心进行网络监管平台的建设。在 这十年的服务过程中，在网监系统建设领域积累了丰富的经验? ? 曙光认为，网监系统始终要面临的最大的挑战就是网络带宽的增长和监控深度的不断加 深。这个矛盾既是网监系统建设者的巨大压力，也是网监系统发展的核心动力。要处理好这 个矛盾，曙光认为，在一套网监系统的设计规划之初，就需要将系统建设、运营、维护和扩 容中可能遇到的种种问题考虑进来，从而规避潜在的风险。这些风险包括：? 1） 网络带宽的增加造成巨大的处理设备的需求? 2 ）监控内容的深度挖掘进一步加大对处理设备的压力? 3 ）单方面提高处理设备的计算能力将造成网络 IO 的瓶颈? 4 ）提高处理系统的规模将带来相应的数据存储的问题? 5 ）简单的扩容系统将带来空间、承重、散热等一系列机房建设的问题? 6 ）简单的扩容系统将带来巨大的电力消耗和管理代价，提高运营成本? 7 ）新业务系统的部署，系统的线性扩展能力等等，都会给网监系统的建设带来种种风 险。? ? 因此，曙光针对网监行业面临的种种问题，结合这十年在网监系统建设行业的经验，总 结出了一套行之有效的解决方案，来规避网监系统建设中的各种风险。曙光相信，这些方案 过去为我们的客户建成了全国第一流的网络监控平台，现在也一定能为您的网络监控事业贡 献力量！? ? ? 曙光网络流量监控系统简介? 完整的网络流量监控系统主要分为两个部分：对网络原始流量的分析和处理部分；对处 理结果的存储和查询部分。? ? 在系统的前端，对于网络流量的分析和处理，主要有旁路和串行两种模式。? 旁路模式是以旁路监听的方式置于运营商的网络节点处，将从路由器上分光/镜像过来 的流量“灌”到处理系统中。这种模式的特点是监控系统对正常网络的运营没有影响，网络 用户不能感知到它的存在，从而达到第三方监听的目的。被动式监控的局限性在于它只能对 流经监控系统的流量进行分析，并且“灌”数据的过程是单向的，所以对处理系统的性能有 很高的要求。被动式监控一般主要用于简单排查、快速响应的业务，比如流量清洗、技术侦 察等。被动式监控系统的规模与待监控网络节点的流量正相关，构建系统时根据不同的网络 规模又会有不同的特点。曙光针对大中小型网络环境的监控，各有一套符合其特点的解决方 案，并配以曙光为此类系统定制了专用网卡、处理卡、网络设备等来提升系统的性价比。? 串行监控是监听设备以串行方式接入网络中，直接进行流清洗，这种方式对监听设备的 性能和可靠性要求很高，并且需要良好的故障保护机制，以保护监控系统一旦失效，正常的 通信线路能不受影响。曙光多年根植于网络专用设备的研发，提供一整套高性能和高可靠串 行网络监控系统，能够很好的满足串行监控需求。? ? 网络流量经过分析系统之后，就需要对处理过的数据进行存储和查询。随着互联网的发 展，网络流量的不断增大，网络流量监控系统的规模也必须同步的增长。但是，在这样的增 长中，网络监控系统的前端流量处理部分和后端数据存储部分却呈现出不同的增长曲线。由 于前端流量处理系统