一、 项目背景

　　随着国家信息化的深入，各地电子政务外网均得到了蓬勃发展。XX作为国家信息化建设推广重点省市之一，政务外网的建设一直都走在前列。

　　为促进信息化发展，将省政府的行政管理职能向服务型职能转变，为各级企事业单位和个人服务，XX省电子政务外网在2006年进行了全网改造，改造后的网络规模大（约5600个IP主机）、覆盖面广（省、市、县）、关键服务多（Web、Email、视频点播、DNS等等），其简单拓扑结构如图1。

　　

　　

　　（图1 XX省政府电子政务外网拓扑图）

　　在电子政务外网网络建设逐渐完善的同时，蠕虫病毒、黑客攻击、P2P泛滥等网络故障也一刻不停地威胁着电子政务外网的安全。此前，XX省政府电子外网采用传统的防御手段进行网络维护，其方式包括以下三种：

　　1. 在网络的出口处安装防火墙防止来自外部的攻击。

　　2. 在网络内部中部署网络防病毒软件抵御病毒的危害。

　　3. 在网络出口处旁路接入IDS进行网络入侵检测。

　　传统手段均采用被动防御方式，在网络应用飞速发展的今天，它们面临以下挑战。

　　内部攻击：传统防御方式用于防止攻击的设备是防火墙，而我们知道，防火墙主要用于防止外部对内网的攻击，对于网络内部的攻击，其作用比较有限。据权威统计，网络攻击事件，有60%以上都来自于网络内部，并呈逐年上升趋势。这说明对网络内部攻击的防御和查找将变得越来越重要，甚至有可能成为预防网络攻击的主要方向；

　　蠕虫病毒泛滥：目前网络大多都部署了网络版或单机版的防病毒软件，但很多网络仍然经常感染蠕虫病毒。究其原因，主要是因为防病毒软件的病毒库更新存在明显的滞后性，同时终端使用人员的使用习惯（未升级病毒库，甚至关掉防病毒软件）给了蠕虫病毒可乘之机；

　　故障难以快速准确定位：目前网络中，网络时断时续、网络慢甚至网络瘫痪等网络故障频发，而传统的网络防御手段在这些错综复杂的故障面前，显得苍白无力，故在出现此类故障时难以快速，对网络带来较大的损失；

　　难以准确监控网络关键设备：网络中的关键设备，很大程度上决定着整个网络的运行效率和可靠性。保持对网络关键设备的有效监控和数据状态分析，对保障网络的持续可靠运行具有深远的意义；

　　难以确定网络传输性能：传统防御方式不能对网络的数据传输性能进行分析，不知道网络传输的高低，可能为网络故障或攻击埋下隐患。

　　基于以上分析，我们知道通过目前的传统防御手段，网络的持续可靠运行不能得到有效保障，对网络也不能进行主动式的管理。科来软件通过行业领先的网络分析技术，提出了面向网络应用监控、故障分析排查、安生性能评估、网络升级规划、获取网络基线的综合方案。

　　二、 科来软件电子政务解决方案

　　2.1部署简述

　　通过网络分析对网络进行可视性透视和专家级的诊断，全方位的监控网络、评估网络性能，快速定位网络故障，并对潜在的安全隐患进行预警。科来软件整合了行业的领先技术，以旁路的方式工作在网络中，不会对现有网络结构和性能造成影响。

　　部署科来网络分析系统后，XX省政府电子政务外网的拓扑图如图2所示。

　　

　　

　　（图2部署科来后的XX省政府电子政务外网拓扑图）

　　从图2可知，省网主干、省各厅局、市级单位和县级单位的交换机上，都同时部署了科来网络分析系统。

　　省网主干核心交换机处，可以捕获整个电子外网的数据通讯；

　　省各厅局的交换机处，可以捕获该厅局的所有数据通讯；

　　市级单位的交换机处，可以捕获该市级单位的所有数据通讯；

　　县级单位的交换机处，可以捕获该县级单位的所有数据通讯。

　　2.2数据来源

　　要进行网络分析，首先需要对流经网络的数据包进行采集，在以太网中，所有通讯都是以广播方式工作，即任何主机发出的任意数据包，都会到达同一个网段内上的所有机器。每一个网络接口都有一个唯一的硬件地址，即MAC地址。在正常的情况下，一个网络接口只可能响应以下两种数据包：与自己MAC地址相匹配的数据包和发向所有机器的广播数据包。在实际的工作中，数据的收发一般都是由网卡完成的，网卡的工作模式有以下4种：

　　广播：这种模式下的网卡能接收发给自己的数据包和网络中的广播数据包。 （默认）

　　组播：这种模式下的网卡只能够接收组播数据包。

　　直接：这种模式下的网卡只能接收发给自己的数据包。

　　混杂：这种模式下的网卡能接收通过网络设备上的所有数据包。

　　从上面可知，虽然网卡在默认情况下仅能接收发给自己的数据和网络中的广播数据，但我们可以强制将网卡置于混杂模式工作，那么此时该网卡便会接收所有通过网络设备的数据，而不管该数据的目的地是谁。

　　科来网络分析系统基于以太网嗅探技术，以旁路接入的方式工作，它首先将安装科来网络分析系统的机器上的网卡置为混杂模式，使其通过嗅探技术捕获网络中传输的所有数据包，然后将这些数据包传递到系统内部进行分析，再将分析结果实时显示在系统界面中，并自动诊断出网络中存在的故障。

　　科来网络分析系统可以通过三种方式完成数据的采集工作：

　　系统在Windows平台安装Colasoft NDIS Protocol Driver，通过安装的协议驱动采集从网卡传送过来的数据包；系统在Windows平台安装Colasoft NDIS intermediate Driver，通过安装的中间层驱动采集从网卡传送过来的数据包；系统在Windows平台安装Colasoft TDI Driver，通过此驱动系统可采集不经过网卡的本地环回数据包；系统默认采用Colasoft NDIS Protocol Driver和Colasoft TDI Driver，用户可依次选择工具>数据采集驱动>Colasoft NDIS intermediate Driver>安装，手动安装中间层驱动。

　　数据包采集的关键是效率，科来网络分析系统在内核层就对数据包进行过滤，并将不匹配过滤条件的数据包丢弃，以避免内核层到用户层的数据传送造成的资源浪费，以提高数据采集的效率。默认情况下科来网络分析系统的数据采集流程简图如图所示：

　　

　　

　　科来网络分析系统数据采集流程图

　　2.3数据分析

　　系统采集到符合过滤条件的数据包后，立即将这些数据包传送到系统内部进行分析。数据分析包括对数据包的统计、检测、解码、TCP重组、协议分析等。科来网络分析系统的数据分析流程简图如下图所示。

　　

　　

　　科来网络分析系统数据分析流程图

　　2.4数据输出

　　系统内部完成对数据包的分析后，立即将该数据包的分析结果通过系统界面反馈给用户，反馈的途径主要有视图、图表、日志、工程文件、数据包文件。（关于详细输出情况请参考附件）

　　

　　

文章作者：王晓璐