网络流量可视化下,该如何构建安全统一的管理体系
+
背景概述
今天给大家介绍的,是一家跨地区、跨行业的大型综合性非公有制企业,该集团旗下拥有200余家子分公司、员工5000人,业务涵盖钢贸物流、新型城镇化开发、商业管理、汽车贸易、物业管理、产业互联网、职业教育等领域。自2010年起,连续10年荣膺中国民营企业500强;自2012年起,连续年8荣膺中国企业500强。
该集团历经2014-2016三年艰苦奋进,凤凰涅槃,成功实现了从传统企业向产业互联网企业的成功转型,打造钢铁云、建设云、工匠云等十大产业云平台,实现了从传统企业向产业互联网企业的成功转型,创造了“一网一校一中心”新集团模式。目前,某集团提出走向伟大的战略抉择,正朝着世界500强企业的目标迈进。
+
信息化建设现状及需求分析
目前该公司的信息化建设处于建设起步阶段,整个网络结构跟随业务开通而灵活搭建,以项目推动网络组网,仅从可用性和最小成本运营原则开展业务,采用运营商主流的Gpon接入技术,主要以互联网上网业务为主。因各云业务模块独立运营,因此没有启动核心网建设。
随着业务数量增加,出口量增加,现有网络结构在冗余性、可靠性、安全性、扩展性、可管理性方面的弊端日趋明显。
+
信息化现状问题分析
出口路由的负载均衡问题
办公上网流量走联通,数据业务流量走电信,而运营商链路通常不可控。现网因缺乏高性能的智能链路负载防火墙设备,一旦出现某出口链路中断、或流量饱和等故障时,不仅无法实现业务流量的自动负载均衡和自动切换保护,无法充分利用带宽资源,更无法根据出口链路特点对重要业务的应用进行优先疏导保障。
内网安全问题
目前集团所有系统暴露在外网,并且缺乏相对安全监测机制,无法判断是否存在异常通信,一旦被黑客通过端口扫描或外部攻击,将影响线下业务正常运营且难以进行策略防护。即缺少对网络流量可视化的系统,使得网络管理人员无法清晰了解数据中心及办公网中每一台主机对外提供了什么服务,访问的次数及被访问的应用是什么,是否存在矿机、肉机等失陷的主机?哪些应用的服务器访问量很大需要增加资源?哪些应用的服务器存在访问量很小而可以减少资源?
分支机构访问安全问题
分支机构与集团总部采用传统的VPN建立安全隧道方式连接,但无法对其访问进行记录、审计。外部人员只需通过登录分子公司网络或者第三方直接通过外网业务接入网络,即可针对集团网络发起攻击造成核心商业数据泄露、勒索等情况,或造成全网瘫痪,但现网没有一种安全防护方式记录并阻断其行为。更没有重要业务应用的优先保障等机制。
流量带宽保障问题
随着集团业务的快速发展,现网网络流控设备的功能及性能已跟不上多业务突发的情况,无法精确识别流量类型,按需控制各类流量。
无法保障重要业务所需的带宽,如在网页访问、视频会议、远程办公、网上银行等重要业务时,被视频、下载、甚至病毒等P2P流量侵占和消耗带宽。影响业务办理及网络使用体验。
网络行为日志审计缺失
缺乏对全集团网络的全量行为日志审计能力,无法满足国家法定和集团网络安全管理要求。
另外,如出现内部攻击,其行为动作没有日志审计记录,无法溯源。比如:某区域终端感染僵尸木马、蠕虫等,无有效主动发现或安全防护手段防止进一步扩散对网络和全业务产生更大影响,存在被勒索和资金财务系统等被攻击,影响资金安全。
无线接入问题
目前办公区域采用传统无线部署方式(无认证)导致区域覆盖不全面、信号差、私接严重,造成终端用户上网体验较差,严重影响移动办公效率,影响网络攻击入口,业务系统和数据安全风险增加。
软故障定位难问题
当有终端用户反馈内外部系统或应用访问出现偶发性访问缓慢时,无法定位究竟是网络问题还是应用软件或者服务器的问题,造成网络运维人员无法快速定位问题难,访问异常严重影响工作效率及业务运转。
+
派网信息化建设升级解决方案
+
具体网络架构方案
根据集团信息化建设升级需要,计划对集团总部信息化建设升级方案进行统筹规划:
1、在集团总部“出口区”部署2套(冗余备份)Panabit智能应用网关和2套(冗余备份)Panabit上网行为管理系统。其中,智能应用网关作为出口网关,兼链路负载均衡交付、无线AC功能。该系统上可实现基于网络七层协议的流量可视化分析,不仅可作为三层链路负载均衡,还可对业务应用进行负载均衡,以及安全防护策略的制定与部署;上网行为管理系统在实现可管可控的同时采集网内网络数据的流量流向、用户行为、URL统计、社交软件等事件日志、NAT日志、IP日志、流量日志等数据信息。
2、在集团总部“数据中心区”部署1套Panabit DPI流量分析系统。该系统可建立服务器访问的可视化视图,对数据中心内的服务器资产进行网络应用梳理,以及对数据中心的流量态势感知等数据信息。
3、在集团总部“运维管理区”部署1套PanaCloud云平台(集中管理平台) 作为集团派网产品的统一管理平台,对全网的网关设备进行集中管理,策略下发以及统一升级等。该平台可实时查看全集团全网内整体及各站点的网络运行状态、网络配置修改、账号新建、网络实时安全告警等功能,实现全集团全网统一集中管理,提高网络管理维护效率。
4、在集团总部“运维管理区”部署1套Panalog大数据日志审计集群系统作为集团全网的日志审计统一管理平台。对所有Panabit提供的数据进行整理分析,最后将分析的结果分级呈现。最终实现对网络进行监控管理、网络态势感知,完成网络虚拟身份信息、NPM网络性能分析、故障快速排查,使集团信息管理的审查工作迈向高效、智能、可监管、可审计的新阶段。
5、在集团总部“外联区”部署1套Panabit SD-WAN网关,作为与各类各级机构、合作单位等外联的SD-WAN服务端,可提供应用切片加速及加密传输的相关功能。
6、在各级各类机构站点的网络出口部署一台小型Panabit SD-WAN网关作为分支机构的出口网关,兼SD-WAN客户端,各类各级机构在直接利用现有互联网线路与集团总部通过SD-WAN方式对业务流量进行加密加速交互访问的同时,实现集团总部对各分支的流量可视化管理、采集分支网内网络数据的日志等。
7、在集团总部“办公和运营接入区”根据实地情况,新增部署若干个Panabit 纯千兆AP作为无线覆盖的接入终端设备。
最终运用派网SD-WAN技术,在不同物理网络,将集团总部与各级各类机构广域网线路之上构建一张安全的“虚拟专用网络”。不仅实现了流量与虚拟-物理网络间的映射,建立集团SD-WAN专网。还可对网络资源流量进行可视化应用识别、应用切片,实现基于应用的智能路径控制和流量导向,加密加速交互访问,通过集中下发的配置和管理能力优化了用户的业务体验。
+
派网解决方案的优势
+
集团网络流量可视化及大数据生成
精确识别应用
派网Panabit通过16年的积累,应用识别能力方面无人出其右。通过对DPI、DFI、节点跟踪、主动探测等方面的技术积累和研究,可精确识别网络中的14大类数千种应用协议,识别率在95%以上。也许Panabit应用识别只比别人强5%,但影响用户体验的往往就是那5%,占用带宽的往往就是那5%,出现安全问题也往往就是那5%。
Panabit基于精确的应用识别,可以帮助用户恢复对网络中各类流量应用的掌控,阻断或控制等操作,实现阻断非法流量、控制无关流量保证核心业务的可视化流量管理,根据企业自身状况合理分配带宽资源等。
通过在Panabit设备上设置行为管控策略,可以禁止指定的网内用户,在上班时间访问与工作无关的互联网资源,如:网络游戏、网页游戏、视频网站、QQ直播等……
全量1:1的日志留存
Panabit具备日志输出功能,配套提供专用的Panalog大数据日志集群系统,可提供IP日志、应用日志、帐号日志、事件日志;其中事件日志主要包含:URL访问日志、QQ登陆登出日志、POP3登陆日志、DNS查询事件、微博帐号日志、淘宝、飞信等日志。
全量1:1行为日志留存,记录每时每刻每个IP的每个会话信息,提供日志审计查询、分析和回溯。充分满足《网络安全法》和公安部“151号令”的要求,确保集团总部及下辖各级各类机构的信息安全。
对集团总部下辖各级各类机构(企业)的访问数据进行留存,便于价值性分析。比如通过对访问内容进行热点排名,掌握上网者重点关注内容,为集团全网的大数据提供有力的参考依据。助力集团信息管理部门依托Panalog大数据日志集群系统对网络进行监控管理,完成网络虚拟身份信息排查,使集团信息管理的审查工作迈向高效、智能、可监管、可审计的新阶段。
+
网络安全防护
集团全网涉及面之广,数据之巨大,必定会高概率成为网络攻击者的目标。Panabit提供安全态势感知防御系统,可识别网络中任意攻击流量,任何攻击者的伪装都无法逃过Panabit的火眼金睛。
通过Panabit安全态势感知系统中的异常分析,我们发现任何网络异常攻击流量,例如MSDS和SYN_ACK所产生的连接数异常现象,其中MSDS是病毒攻击常见的端口之一,而SYN_ACK又是DDOS常见攻击数据包之一。
同时,在Internet当中的大部分服务都依靠DNS为基础,毫不夸张的说DNS是Internet的中枢神经。要观察整个互联网出口运行状况,分析统计DNS是必须要认真完成的工作。DNS的分布可以很好的反映当前网络运营的效果,有助于发现各种的针对DNS及其相关服务的攻击行为。一个陌生域名解析量的突然上升,以及对非服务范围域名的大量递归查询,都是针对互联网发起大型攻击的前兆。
+
多种负载均衡机制
基于链路的负载均衡
当客户网络中有多条ISP 链路接入时候,Panabit 会根据目标地址、源地址、服务、时间等要素灵活的按照用户需求进行链路的冗余备份与负载均衡。此外,还支持自动探测负载均衡功能,通过对应的主动链路均衡算法(轮询、基于源地址、基于目标网络、带宽权重等),使得用户访问更加便捷。
独特的基于应用负载均衡
除了传统的链路负载均衡外,Panabit还支持基于应用的负载均衡功能。通过该功能,可以实现把用户的应用进行分流。例如:可以将所有的 P2P、网络视频等应用路由到某个A运营商出口,而企业的 ERP、OA 等业务应用路由到稳定的专线出口。
基于域名的负载均衡
Panabit支持基于域名的负载均衡,也就是说可以基于网站的域名进行路由和负载均衡。通过该功能,可将重要的域名路由到链路质量好的ISP上,而视频网站路由到具有CDN的二级ISP,例如:可以让www.baidu.com这样的域名走主链路,而www.youku.com等视频网站走某个大带宽的ISP线路,从而使得链路使用更加合理。
+
SD-WAN实现互联
派网通过SD-WAN的技术,将集团总部与所有各类各级机构站点进行互联,在互联过程中,派网使用了自主研发的隧道协议iWAN。
相比较以前的VPN,iWAN优势明显:
重连速度很快:比L2TP的要快一个数量级,L2TP要重连,需要有几十次交互,而iWAN只需要一次即可。
客户端不受底层承载线路IP变化影响:当底层承载线路(比如PPPOE拨号线路)的IP地址发生变化时,不会影响iWAN隧道,iWAN隧道不会中断,保证通信正常进行;
传输效率高:iWAN的包头很小,只有8个字节,所以能大幅度提升传输效率;
抗干扰:不像L2TP,中间人可以直接发包TERMINATE,iWAN控制命令有完整性检查,可以避免中间人攻击。
与此同时,还能够解决偏远地区没有专线只有ADSL的情况下,可实现该站点与集团总部节点的对接。
+
集中化统一运维管理
对于集团全网的信息化管理来说,最重要的一点就是实现对集团全网所有各级各类机构网络的统一管理。我们通过在集团总部节点部署Panabit+Panalog,可实现对所辖区域范围内的所有分支机构(企业)网络的分析和管理。
Panabit支持云平台集中管理,具备以下几点优势:
1、最高可管理2000台以上的分支机构的综合应用网关系统设备,且在同一界面中实现。该云服务平台可以直接登录至各级各类机构(企业)网络的Panabit SD-WAN网关上,进行针对性的行为管理,达到对每一个节点网络的控制;
2、可以对管理的综合应用网关系统设备进行统一的升级、策略分发等;
3、可以在地图上显示所有设备实时的网络健康状况图,并用颜色区分健康状态,对所有在网设备的状态一览无余;
4、支持基于角色的用户管理:可根据管理员角色设定平台系统的管理权限,如市级管理员、站级管理员等;
5、支持基于设备的权限管理:主管理员可为其他管理员创建可管理的设备分组,每个管理员可管理所属域内的设备,避免权限扩散带来的安全隐患;
6、不仅可以看到整体的网络流量状态、构成情况,还可以精确定位至具体的每个用户的IP,以及该IP下所登录使用的账号的具体行为信息、身份信息。实现集团全网的全面智能监控、分析,为管理提供有效数据支撑。
用户IP轨迹定位图
集团总部通过部署Panalog云服务平台集中管理系统,可实时查看集团网内整体网络运行状态、网络配置修改、账号新建、网络实时安全告警等功能,实现集团全网统一集中管理,提高网络管理维护效率。
+
NPM网络质量监控
在集团客户网络的使用过程中,对于故障处理的响应速度将成为客户重点关心的事情之一。Panabit的网络业务性能感知系统对比传统网络性能感知系统,在感知的深度、广度上都有很大提升。
首先,在深度上对比网络层性能检测系统,Panabit检测的目标是会话级的,面向的是七层的应用。看到的更接近网络中实际发生的真相。除了可以识别出应用协议数据结构,还能看到应用协议的交互流程。
其次,在广度上可以实现单个协议时延、抖动等业务性能指标在时间维度、地区维度上的查询。可以实现多个协议和用户的交叉查询,监测异常情况,上报预警或告警。
Panabit可以区分SD-WAN中每条业务的“客户侧时延”、“服务响应时延”和“应用时延”。
客户时延:指客户内网到Panabit的时延;如果此时延大,基本可以将问题定位在内网中毒或者内网网络设备故障等问题。
服务时延:指业务经过Panabit,从服务器上返回的时延;如果此时延过大,而服务时延很小,则说明是运营商网络侧出现问题。
应用时延:指业务在服务器上停留和响应的时延;如果此时延过大,则说明提供业务的服务器负载或者故障等问题。
对于大部分各级各类分支机构来说,并没有专业的网络维护人员,通过NPM功能,能够快速的帮助用户判断故障范围,让问题定位更有针对性,更有效率。
+
有线无线一体化解决方案
派网最新的“有线无线一体化解决方案”能够直接管理 AP,该方案内置WAC(无线控制器)功能,为客户省去无线AC控制器的昂贵费用。同时有线网络和无线网络统一页面管理,让办公有线和访客无线一起管理起来,运维简便,一举两得。该方案提供多种认证方式(二维码、微信等认证),全面的移动应用管控以及多维度的策略管理,能够适应各种用户场景,满足您个性化的需求。同时也解决了公共区域无线接入认证审计安全问题。
+
NPMonitor大屏
把后台枯燥无味的数据,动态地呈现在大屏幕上,让网络维护者更清晰更直观的观察到网络的细微变化。针对常用的应用进行分窗口展示,分别为游戏时延、网页时延、DNS时延、社交时延、邮箱时延等,亮点颜色为红色则表示时延很长。
+
一键断网(快速关停)
满足监管要求,网络遭遇影响重大的攻击,“快速关停”是最基本的响应,高效的避免造成恶劣影响,无法规避管理和技术责任。
通过Panabit微信通知和一键断网功能,使得网络管理者随时掌握设备运行情况。同时通过微信移动操作,手机一键开关,网络策略远程生效,为网络管理者提供快速、自动化、智能化的响应服务,在最小管理单元关停事件主机,最大程度地降低事件影响。让网络运维工作更轻松,更安心。
在传统网关、安全设备看不到、管不好、记不全、扯不清的业务优化和安全审计场景,都需要Panabit 补位 或 更替 !
更多精彩:
点击 阅读原文 获取购买链接