交換機端口安全接入檢測系統設計與應用

方 圓 張 亮 俞駿豪 盛劍橋

（國網安徽省電力有限公司信息通信分公司，安徽 合肥230000）

1 概述

現階段，網絡規模不斷擴大、復雜性不斷增加、網絡的異構型越來越高是計算機網絡的主要特點。目前，交換機已廣泛應用于網絡建設領域，并已成為網絡建設必不可少的一部分，但隨著公司業務的拓展，交換機種類與數據不斷增加，交換機在端口安全接入方面存在端口未使用且未關閉、長時間未開啟或未關閉、HUB 端口等情況，采用人工排查的方式既浪費時間，又無法準確排查出問題，給網絡的安全穩定運行帶來了一定安全隱患，因此，如何快速排查交換機端口安全使用情況是保障網絡安全運行的重要方面之一。

通過開展交換機端口安全接入檢測系統的設計與應用，利用SNMP、SSH 技術實現對交換機端口情況進行快速探測與分析，準確、全面實現交換機端口的安全檢測，提升交換機的安全性，加強對交換機端口的監測和管控。

圖1

2 系統設計與原理

2.1 系統設計

2.1.1 系統設計原則要求

為保證系統的建設、實施工作嚴格落實公司相關標準、規范，同時提高系統建設過程中標準化水平，確保系統的規范、安全、可靠、穩定、易用，特制定以下總體設計原則如下：

遵循統一性、標準性原則：遵循《公司軟硬件目標架構設計規范》、《公司應用安全設計規范》以及其他架構設計和技術規范要求，堅持統一規劃，統一標準，統一建設，統一部署，統一實施的工作要求，實現安全管理的規范化、標準化。

遵循擴展性原則：遵循采用柔性設計，充分考慮各層面的可擴展性，包括系統硬件架構，軟件架構，系統接口和數據架構等，支持與其它系統的數據交換和共享，便于維護、擴展和互聯。

遵循安全、可靠性原則：遵循《公司應用軟件通用安全要求》中規定的各項安全策略，滿足公司對網絡和信息系統安全運行的要求，全方位保障信息安全、數據安全。

遵循易用性原則：遵循系統在終端設備中操作簡易化、便捷化。

2.1.2 架構設計

系統采用B/S 的模式，主要由服務端、分析服務兩部分組成，管理端采用WEB 架構，部署在應用服務器中，用于實現網絡設備管理、端口安全檢測、端口接入總覽等功能的展示與基本操作；分析服務是由探測服務和分析服務組成，主要實現對交換機端口接入情況進行探測，并根據檢測策略進行端口接入分析；利用SSH 和SNMP 實現對交換機端口數據采集。

其系統總體架構設計圖如圖1。

2.2 系統原理

系統采用微服務架構，將系統中網絡設備管理、端口接入檢測等以獨立服務程序的形式進行開發部署，根據不同功能模塊的復雜度、數據量、訪問壓力等因素，進行組件搭配和彈性擴容。系統邏輯劃分為三大微服務架構（業務服務、基礎服務、接口交互服務）和一大應用（WEB 端應用）。核心業務服務分為2 個微服務模塊（WEB 端消費服務、業務處理服務），其中業務處理服務是業務服務的核心，統一處理所有業務邏輯，對外分別以WEB 端消費服務提供給應用端調用。基礎服務分為用戶服務、賬號角色與權限服務、登錄日志服務，其中業務處理服務是指探測服務和分析服務，探測主要實現采集交換機端口數據信息，采集方式包括：SNMP（簡單網絡管理協議，是一個標準的用于管理基于IP 網絡上設備的協議）和SSH（SSH 協議是基于應用層的協議，為遠程登錄會話和其他網絡服務提供安全性的協議）；分析服務主要采用多線程、隊列等技術實現快速分析。

2.3 系統功能

圖2

2.3.1 網絡設備管理：主要實現對不同品牌的交換機設備進行維護及展示，主要包括交換機名稱、IP 地址、類型、品牌、型號、端口數等信息展示，支持導入、導出功能，并提供交換機端口面板功能的展示。

2.3.2 端口安全檢測：根據端口安全檢測策略，對不同品牌的交換機端口信息進行采集及安全檢測，安全檢測策略主要包括：端口未使用且未關閉、長時間（7 天）未開啟、長時間（7 天）未關閉、HUB 端口。

2.3.3 端口接入總覽：主要是指交換機端口安全接入情況進行統計、總覽、展示，并支持查看端口接入詳細信息。

2.3.4 用戶管理：對系統用戶基本信息進行維護與管理，主要包括新增、修改、刪除、查看等功能。

2.3.5 系統日志：提供系統登錄日志、系統操作日志、交換機操作日志的展示等功能。

3 系統應用

3.1 網絡設備管理：實現對所有交換機設備信息的展示與維護功能，包括新增、修改、刪除等操作，并提供交換機端口面板功能的展示。

圖3

3.2 端口接入總覽：實現依據檢測策略（端口未使用且未關閉、長時間（7 天）未開啟、長時間（7 天）未關閉、HUB 端口）對交換機端口接入情況進行展示（圖4）。

3.3 提供用戶信息的維護與管理，并支持系統用戶鎖定、注銷等操作（圖5）。

4 結論

能夠有效的對不同品牌及型號的交換機端口進程安全性檢測，及時對存在問題的端口進行整改，加強交換機端口接入安全管控，提高了網絡管理員的端口排查工作效率，降低網絡風險，提高信息網絡的安全性。

圖4

圖5