【正文】 析效率。 這些信息是監(jiān)控用戶是否訪問了不法網(wǎng)站、追查發(fā)表不當(dāng)言論的用戶、分析網(wǎng)絡(luò)流量變化趨勢(shì)的基礎(chǔ)。這 些信息能夠幫助日志分析系統(tǒng)標(biāo)識(shí)和定位上網(wǎng)用戶。H3C UBAS 日志分析系統(tǒng)在網(wǎng)絡(luò)中的組網(wǎng)結(jié)構(gòu)如下圖所示，以下我們將從用戶上網(wǎng)行為數(shù)據(jù)的采集、清理和分析三個(gè)方面介紹 H3C 用戶行為審計(jì)解決方精選資料可修改編輯案的特點(diǎn)。由此可見，用戶行為審計(jì)技術(shù)決不僅僅是簡(jiǎn)單的數(shù)據(jù)記錄和查詢，只有廣泛采集網(wǎng)絡(luò)信息，對(duì)數(shù)據(jù)進(jìn)行剪裁、過濾、聚合、統(tǒng)計(jì)與分析，并以直觀的形態(tài)展示，才能使用戶行為審計(jì)技術(shù)真正成為網(wǎng)絡(luò)管理者的決策助手。在以審計(jì)用戶上網(wǎng)行為為目的的前提下，對(duì)各種用戶 網(wǎng)絡(luò)訪問信息進(jìn)行相應(yīng)剪裁、過濾和聚合是獲取關(guān)鍵數(shù)據(jù)的必要手段。流經(jīng)網(wǎng)絡(luò)設(shè)備的報(bào)文數(shù)據(jù)記錄了每一個(gè)網(wǎng)絡(luò)連接的詳細(xì)信息，是用戶上網(wǎng)行為的直接反映；路由器中的 NAT 信息包含了電子政務(wù)系統(tǒng)網(wǎng)絡(luò)中內(nèi)外網(wǎng)絡(luò)的地址轉(zhuǎn)換信息，是用戶訪問外部網(wǎng)絡(luò)的憑據(jù)；用戶接入網(wǎng)絡(luò)時(shí)的認(rèn)證、計(jì)費(fèi)信息則記錄了用戶的上網(wǎng)時(shí)間、流量和認(rèn)證記錄。UBAS 用戶行 為審計(jì)組件提供 日志、 日志、NetStream V5日志、DIG 日志的查詢審計(jì)功能，網(wǎng) 絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)日志對(duì)上網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)。NTA 網(wǎng)絡(luò)流量分析系統(tǒng)可以依據(jù)接口組的定義，對(duì)接口組所對(duì)應(yīng)的流量信息進(jìn)行統(tǒng)一分析，幫助管理員獲取不同 層次的流量統(tǒng)計(jì)報(bào)表。網(wǎng) 絡(luò)流精選資料可修改編輯量分析系統(tǒng)會(huì)預(yù)設(shè)近三百種常用應(yīng)用定義，管理員可以直接使用。流量審計(jì)通過流量原始日志對(duì)特定節(jié)點(diǎn)、協(xié)議、端口、時(shí)間范 圍內(nèi)的流量趨勢(shì)、來源、目的和會(huì)話進(jìn)行審計(jì)，給出 對(duì)應(yīng)的通信明細(xì)（包括流量、包數(shù)、包 長(zhǎng)等），并可根據(jù)來源 IP、目的 IP、端口等進(jìn)行分類統(tǒng)計(jì)，以便跟蹤解決網(wǎng)絡(luò)流量異常問題。系統(tǒng)已經(jīng)將大部分常見的端口不固定的應(yīng)用設(shè)定為系統(tǒng)預(yù)定義的應(yīng)用，如：BT、DC、eDonkey、Gnutella、 Kazaa、MSN、AIM 等。精選資料可修改編輯未知應(yīng)用流量分析未知應(yīng)用流量分析對(duì)系統(tǒng)中沒有定義的 TCP、UDP 應(yīng)用進(jìn)行了深入的分析，提供按照端口號(hào)、源 IP 和目的 IP 分組的未知應(yīng)用流量信息，并可查看到某一個(gè)端口、源 IP 和目的 IP 的詳細(xì) 通信信息，提供按源、目的分類的流量 TopN 情況。應(yīng)用流量分析應(yīng)用流量分析報(bào)表反映被考察對(duì)象（如一個(gè)接口）的流入（或流出）方向上，帶寬被各種網(wǎng)絡(luò)應(yīng)用占用的比例隨時(shí)間變化的趨勢(shì)，包含報(bào)表統(tǒng)計(jì)時(shí)間內(nèi)的該應(yīng)用的總流量、平均流速和占所有應(yīng)用總流量的百分比等。圖形化的統(tǒng)計(jì)一覽表提供了指定時(shí)間段內(nèi)總流量、采樣點(diǎn)速率最大值、采樣點(diǎn)速率最小值和平均速率的信息。為便于網(wǎng)絡(luò)管理人員的操作，采用基于 Web 的直觀的、圖形化的管理界面。分流器采集在設(shè)備不支持鏡像端口的情況下，為了不影響設(shè)備性能，比較專業(yè)的采集方案是采用分流器，從設(shè)備端口接收網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。精選資料可修改編輯 方案邏輯組成iMC NTA 解決方案包括：網(wǎng)絡(luò)設(shè)備、DIG 日志采集器（可選）、iMC NTA 網(wǎng)絡(luò)流量分析組件，三部分之間 的關(guān)系如下圖所示：1）網(wǎng)絡(luò)設(shè)備提供 NetStream 技術(shù)接口的網(wǎng) 絡(luò)設(shè)備， 負(fù)責(zé)對(duì)設(shè)備各個(gè)端口進(jìn)出的網(wǎng)絡(luò)報(bào)文進(jìn)行流分類統(tǒng)計(jì)，然后打包 輸出。形象地說，通過 NetStream 流可以記錄下來網(wǎng)絡(luò)中 who、what、when、where、how。設(shè)置被管理設(shè)備發(fā)送 Trap 的源地址為該設(shè)備的 loopback 地址（路由器）或精選資料可修改編輯管理地址（交換機(jī)）。SNMP 設(shè)置團(tuán)體名SNMP 采用團(tuán)體名認(rèn)證，與設(shè)備認(rèn)可的團(tuán)體名不符的 SNMP 報(bào)文將被丟棄。網(wǎng)管中心系統(tǒng)管理員維護(hù)人員業(yè)務(wù)發(fā)放人員各個(gè)角色的權(quán)限不同，分別為：角色名稱 主要工作職能 技術(shù)等級(jí)網(wǎng)管中心系統(tǒng)管理員1. 監(jiān)控全網(wǎng)運(yùn)行狀況2. 分析網(wǎng)絡(luò)性能3. 組織網(wǎng)絡(luò)規(guī)劃高網(wǎng)管維護(hù)人員 1. 監(jiān)控本地網(wǎng)運(yùn)行狀況2. 負(fù)責(zé)日常設(shè)備具體維護(hù)中精選資料可修改編輯3. 分析處理突發(fā)故障業(yè)務(wù)發(fā)放人員 發(fā)放具體業(yè)務(wù) 一般 網(wǎng)管安全措施網(wǎng)管的安全管理，操作員的帳號(hào)與 IP 地址、登錄時(shí)間等進(jìn)行綁定，在一定范圍限定非法入侵。業(yè)界的經(jīng)驗(yàn)證明，選擇一個(gè)優(yōu)秀的網(wǎng)絡(luò)管理系統(tǒng)是保證網(wǎng)絡(luò)最大可用性的有效手段。在 QoS 管理中，可以完成下面性能數(shù)據(jù)的 統(tǒng)計(jì): 流隊(duì)列轉(zhuǎn)發(fā)字節(jié)記數(shù)、流隊(duì)列包轉(zhuǎn)發(fā)記數(shù)、流隊(duì)列尾丟 棄字節(jié)記數(shù)、流 隊(duì)列顏色 丟棄字節(jié)記數(shù)、 規(guī)則匹配記數(shù)、監(jiān)管 綠色包個(gè)數(shù)、監(jiān)管黃色包個(gè)數(shù)、 監(jiān)管紅色包個(gè)數(shù)等。規(guī)則的配置主要涉及到鏈路組配置。在不需要 QoS 保證不進(jìn)行流分 類的情況下，或者 報(bào)文通過流分類沒有相匹配的規(guī)則時(shí)， 對(duì)報(bào)文作盡力轉(zhuǎn)發(fā)(BestEffort)處理。 QOS 配置和管理QoS 配置管理中配置、管理 QoS 分為上行和下行兩個(gè)階段。其常用的方法是采用 RED/WRED 算法，在 Buffer 的使用率超過一定門限后對(duì)部分級(jí)別較低的報(bào)文進(jìn)行早期丟棄，以避免在擁塞時(shí)直接進(jìn)行末尾丟棄引起著名的 TCP 全局同步 問題，同 時(shí)保護(hù)級(jí)別較 高的業(yè)務(wù)不受擁塞的影響。例如在 Ingress 點(diǎn) 業(yè)務(wù)流量進(jìn)入以前已經(jīng)有了 DSCP 標(biāo)記 (如上游域是 DSCP 域的情形，或者用戶自己進(jìn)行了 DSCP 的標(biāo)記)，但是根據(jù) SLA，又需要對(duì) DSCP 進(jìn)行重新標(biāo)記 。所 謂標(biāo)記 就是根據(jù) SLA 以及流分類的結(jié)果對(duì)業(yè)務(wù)流打上類別標(biāo)記。 流量監(jiān)管流量監(jiān)管也就是通常所說的 CAR，是流分類之后的動(dòng)作之一。二層的重要控制域就是源 MAC 地址。核心結(jié)點(diǎn)需要完成基于 DSCP 的流分類、隊(duì)列管理和隊(duì)列調(diào)度，任務(wù)簡(jiǎn)單卻要求在高速接口( 如 )時(shí)的線速處理性能。隊(duì)列管理涉及 Buffer 管理和擁塞控制功能。骨干網(wǎng) 絡(luò)實(shí)施 Diffserv/CoS，需要所有相關(guān)設(shè)備支持，特別對(duì)邊沿節(jié)點(diǎn)有很強(qiáng) QOS 能力需求。在 POP 點(diǎn)和骨干網(wǎng)中根據(jù)/ 繼承 標(biāo)記進(jìn)行 DiffServ 處理，可以看作是 IntServ 同 DiffServ 的一種結(jié)合。DiffServ 域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、 帶寬限制、 擁塞管理、擁塞避免、流量整形等。此外，有些廠商實(shí)現(xiàn)了基于 TOS 的分類服務(wù)(COS)，并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)。 IntServ 模型要求網(wǎng) 絡(luò)中的所有 節(jié)點(diǎn)(包括核心節(jié)點(diǎn) )都記錄每個(gè)經(jīng)過的應(yīng)用流的資源預(yù)留狀態(tài)，需要通 過 IP 包頭識(shí)別出所有的用戶應(yīng)用流(進(jìn)行 MF 分類)，同時(shí)為每個(gè)經(jīng)過的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管(Policing)、 調(diào)度(Scheduling)、整形(Shaping)等操作。QOS 是一個(gè)需要消耗很多處理器資源的應(yīng)用， 為了達(dá)到全網(wǎng)最好的使用效率，建議 無論是采用 VLAN+ACL 方案，還是采用 MPLS BGP VPN 方案，建議均采用 DiffServ 機(jī)制。網(wǎng)絡(luò)發(fā)展日新月異，隨著 IP 網(wǎng)絡(luò)上新應(yīng)用的不斷出現(xiàn)，對(duì) IP 網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，例如 IP 監(jiān)控等實(shí)時(shí)業(yè)務(wù)就對(duì)報(bào)文的傳輸延遲提出了較高要求，如果報(bào)文傳送延時(shí)太 長(zhǎng)，將是用 戶所不能接受的（相對(duì)而言 EMail 和 FTP業(yè)務(wù)對(duì)時(shí)間延遲并不敏感）。這樣就有效的防止了非法用 戶的 ARP 攻擊。而攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。由于現(xiàn)在用戶具有很強(qiáng)的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。當(dāng)然如果 該 物理端口下面僅僅下聯(lián)該私設(shè) DHCP 服務(wù)器，那么可以直接 disable 該端口。新的命令因?yàn)樗娜忠饬x，也為了突出該安全功能，建 議有如下單條命令的配置：service dhcpoffer deny [exclude interface interfacetype interfacenumber ][ interface interfacetype interfacenumbert | none]如果輸入不帶選項(xiàng)的命令 no dhcpoffer，那么整臺(tái)交換機(jī)上連接的 DHCP 服務(wù)器都不能提供 DHCP 服 務(wù)。（6）訪問控制列表對(duì)于有三層功能的交換機(jī)，可以用訪問列表來實(shí)現(xiàn)。（4）防止對(duì) DHCP 服務(wù)器的攻 擊使用 DHCP Server 動(dòng)態(tài)分配 IP 地址會(huì)存在兩個(gè)問題：一是 DHCP Server 假冒，用戶將自己的計(jì)算機(jī)設(shè)置成 DHCP Server 后會(huì)與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申 請(qǐng) IP 地址，很快將 DHCP 的地址池耗光。MAC 地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。精選資料可修改編輯 電子政務(wù)安全解決方案網(wǎng)絡(luò)安全問題已成為信息時(shí)代企業(yè)和個(gè)人共同面臨的挑戰(zhàn)，電子政務(wù)網(wǎng)絡(luò)安全狀態(tài)也很嚴(yán)峻。10) 為方便管理員對(duì)終端用戶的上網(wǎng)行為進(jìn)行事后審計(jì)，追查用戶的網(wǎng)絡(luò)行為，滿足相關(guān)部門對(duì)用戶網(wǎng)絡(luò)訪問日志進(jìn)行審計(jì)的硬性要求，建議配置一套網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，包括在智能管理中樞 iMC 上配置一個(gè)網(wǎng)絡(luò)用戶行為審計(jì)組件 UBAS，和一個(gè)能生成七層日志的 DIG探針。7) 在路由器的后端部署一臺(tái)防火墻，對(duì)外網(wǎng)數(shù)據(jù)進(jìn)行過濾，并對(duì)內(nèi)網(wǎng)地址做 NAT 地址轉(zhuǎn)換。2) 各樓宇的接入交換機(jī)通過千兆光纖鏈路上行，與核心交換機(jī)相連， 3) 整個(gè)網(wǎng)絡(luò)千兆骨干、百兆到桌面，數(shù)據(jù)傳輸在鏈路上沒有擁塞。12)為幫助管理員方便的對(duì)設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級(jí)等功能，在 iMC 上附送了一個(gè)中心業(yè)務(wù)組件iCC。9) 為有效防范非法計(jì)算機(jī)接入到上下級(jí)電子政務(wù)網(wǎng)內(nèi)部網(wǎng)絡(luò)中，和防范合法計(jì)算機(jī)在安全狀態(tài)不滿足要求的情況接入到網(wǎng)絡(luò)中，并根據(jù)不同用戶享有不同網(wǎng)絡(luò)使用權(quán)限。我們建議將單獨(dú)的 IPS 設(shè)備替換 成一塊能在核心交換機(jī)上擴(kuò)展的 IPS模塊，不但能有效的解決串行單點(diǎn)部署的情況，而且因?yàn)樗渴鹪诤诵慕粨Q機(jī)上，所有 經(jīng)過核心交換機(jī)的數(shù)據(jù)都能經(jīng)過 IPS 模塊過濾， 對(duì)數(shù)據(jù)中心的服務(wù)器進(jìn)行應(yīng)用層保護(hù)，可以有效的防止 DDOS 攻擊，和數(shù)據(jù) 庫數(shù)據(jù)更改等黑客行為，整網(wǎng)安全性進(jìn)一步提高。因?yàn)榫W(wǎng)絡(luò)中所有數(shù)據(jù)都通過核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，只要在核心交換機(jī)上擴(kuò)展一塊內(nèi)置防火墻模塊，其功能就相當(dāng)于在核心交換機(jī)上的每條鏈路都部署了一臺(tái)高性能防火墻，通過這種方式來防御下面終端的攻擊。3) 各樓宇的接入交換機(jī)通過千兆光纖鏈路上行，與核心交換機(jī)相連。下面介 紹一下網(wǎng)絡(luò)的總體結(jié)構(gòu)。采用分層結(jié)構(gòu)，在業(yè)務(wù)擴(kuò)展時(shí)簡(jiǎn)單高效，極大降低了管理難度。而如果在核心交換機(jī)上直接擴(kuò)容需要更改大量骨干設(shè)備的配置及路由規(guī)劃。采用層次性設(shè)計(jì)方案的優(yōu)勢(shì):? 網(wǎng)絡(luò)及路由 層次清晰:分層網(wǎng)絡(luò)結(jié)構(gòu)，路由設(shè)計(jì)更清晰，可以盡量避免核心區(qū)域的路由受到邊緣鏈路震蕩的影響。3 網(wǎng)絡(luò)平臺(tái)基礎(chǔ)建設(shè) 網(wǎng)絡(luò)整體結(jié)構(gòu)電子政務(wù)系統(tǒng)整個(gè)網(wǎng)絡(luò)系統(tǒng)劃分成內(nèi)網(wǎng)和外網(wǎng)，兩個(gè)物理隔離的網(wǎng)絡(luò)?？梢酝ㄟ^ VPN 和 VLAN 實(shí)現(xiàn)各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一 規(guī)劃 IP 地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)(sub)，相同物理LAN 通 過 VLAN 的方式隔離，不同子網(wǎng)間的互通性由路由策略決定。? 靈活性及可擴(kuò)展性根據(jù)未來業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。集中網(wǎng)管具體方案參見網(wǎng)管部分的描述。? 開放性符合開放性規(guī)范，方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。? 高性能在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。集中網(wǎng)絡(luò)管理，實(shí)施分級(jí)維護(hù)；進(jìn)一步規(guī)范 IP 地址的應(yīng)用；積極開展網(wǎng)絡(luò)綜合應(yīng)用。數(shù)據(jù)、語音等（后續(xù)將要運(yùn)行的監(jiān)控、視頻 ）各類業(yè)務(wù)應(yīng)用對(duì)網(wǎng)絡(luò)的需求在實(shí)時(shí)性、帶寬需求、接入方式、安全性、數(shù)據(jù)分布特征等方面各有其特點(diǎn)。 網(wǎng)絡(luò)建設(shè)目標(biāo)電子政務(wù)內(nèi)外網(wǎng)，主要包括所需要的路由器、交換機(jī)、網(wǎng)管、網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、防火墻、IPS等設(shè)備及工程所需要的配套設(shè)備等?？蓛?yōu)化：可以將電子政務(wù)網(wǎng)承載的各單位系統(tǒng)業(yè)務(wù)看成是統(tǒng)一網(wǎng)絡(luò)平臺(tái)的一個(gè)“客戶” 。精選資料可修改編輯為業(yè)務(wù)系統(tǒng)提供靈活的網(wǎng)絡(luò)拓?fù)洌焊鲬?yīng)用系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)邏輯模型是不同的，有的業(yè)務(wù)需要星型結(jié)構(gòu)的網(wǎng)絡(luò)，有的系 統(tǒng)需要網(wǎng)狀結(jié)構(gòu)。利于業(yè)務(wù)系統(tǒng)之間的信息共享和流程整合：由于各業(yè)務(wù)系統(tǒng)采用統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，相互之間很容易實(shí)現(xiàn)互訪，為在將來進(jìn)行信息共享及業(yè)務(wù)橫向提供了良好的基礎(chǔ)。其基本思想都是在一個(gè) 統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上為各種業(yè)務(wù)系精選資料可修改編輯統(tǒng)提供傳輸通道，以及方便地實(shí)現(xiàn)流程整合。按照政府網(wǎng)絡(luò)管理的要求，必須保障含有國(guó)家機(jī)密信息的“內(nèi)網(wǎng)”不但要求的絕對(duì)安全。隨著“電子政務(wù)”建設(shè)的進(jìn)一步深入，政府信息化建設(shè)重點(diǎn)變化明顯，電子政務(wù)業(yè)務(wù)系統(tǒng)的受重視程精選資料可修改編輯度繼續(xù)加強(qiáng)；而辦公自動(dòng)化、信息安全和政府門戶網(wǎng)站建設(shè)的受重視程度顯著加強(qiáng)。2 網(wǎng)絡(luò)平臺(tái)需求分析隨著電子政務(wù)系統(tǒng)信息化的發(fā)展，電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái)逐漸從“ 分離的專網(wǎng)”向“統(tǒng)一網(wǎng)絡(luò)平臺(tái)”轉(zhuǎn)化，成為主流的建網(wǎng)思路。網(wǎng)絡(luò)資源利用率高：由于各業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)資源（如帶寬）的需求由統(tǒng)一網(wǎng)絡(luò)平臺(tái)來滿足，可以根據(jù)各業(yè)務(wù)系統(tǒng)實(shí)際的流量動(dòng)態(tài)調(diào)整帶寬，充分利用網(wǎng)絡(luò)資源。不同業(yè)務(wù)系統(tǒng)的差別服務(wù)（COS）：不同業(yè)務(wù)系統(tǒng)，需要網(wǎng)絡(luò)平臺(tái)提供差別服務(wù)， 諸如電子政務(wù)系統(tǒng)對(duì) OA 辦公和語音通話等有很大的需求，數(shù)據(jù)、 視頻和監(jiān)控對(duì)帶寬、 實(shí)時(shí)性有不