网管系统与运维堡垒机系统集成的设计与实现
来源:南开大学 作者:冯雷 林初建 陈诗明 发表于:2016.12.29 1178浏览
随着智慧校园网络的进一步发展,校园网环境日益复杂化,网络应用日益丰富。在不断提升用户网络体验的同时,承载着网络环境的各种网络设备也越来越多,而这些网络设备的权限等级也不尽相同,这就给网络运维人员增加了很大的运维难度,如网络交换机、服务器的用户名、密码、IP地址等信息都需要运维人员掌握和安全保存,这使得运维人员的管理越来越复杂,而且在运维过程中,运维行为本身也会给信息系统安全带来较大风险。
网管系统是目前应用广泛的网络管理工具,在复杂的网络中有着举足轻重的作用。它使用简单网络管理协议SNMP,可以绘制网络拓扑,管理交换机、服务器等网络设备的IP地址等内容,监控网络设备运行情况(接口通断、丢包率、CPU/内存占用、温度等)、网络流量等信息,发送短信告警等,但是无法做到对网络设备的单点登录、统一身份认证、设备账号代填等。不同的网管系统有不同的身份标识,再结合网络设备自身的身份认证和设备管理权限,每位网络运维人员都要维护一套庞大的账号密码库,工作量巨大。
运维堡垒机是基于单点登录、统一身份认证,通过集中管控安全策略的账号管理、授权管理和审计,实现对目标设备的账号密码代填,并建立针对运维人员行为的完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计。它有效的降低了运维操作风险,使得运维操作变得更简单、更安全。
校园网中一般都会部署着几套不同厂家提供的网管系统和一套运维堡垒机系统,运维人员往往为了解决一个故障点,需要切换几个系统,这使得各种操作变的不直观,容易发生误操作,降低了运维人员的工作效率。而且,运维审计也只能针对网管系统的整个过程进行,无法做到对网管系统里的单台设备审计,势必造成审计录像、操作日志数据庞大,事件回溯也会变的非常复杂。如果将网管系统与运维堡垒机简便、高效的集成为统一系统,则将有效的降低运维人员的出错风险,提高运维人员的工作效率。
一、系统集成设计
1、设计思路
运维人员通过运维堡垒机的交互界面使用统一身份登录,运维堡垒机的策略管理模块负责运维人员和目标设备之间权限的管理,由运维堡垒机应用代理模块登录网管系统,在网管系统中查看网络设备。网管系统发起对目标设备访问请求,交付运维堡垒机审核权限,审核通过后,由运维堡垒机应用代理模块实现账号密码代填并打开目标设备,并实时将操作结果反馈给运维人员;操作审计模块负责对运维人员的操作进行操作审计(允许、阻断、警告)。
常见的网管系统有锐捷网管系统、华为网管系统、H3C网管系统等,这些网管系统虽然采用不同的架构模式(B/S、C/S架构),但它们都以目标设备的IP地址作为其后台数据库的唯一字段。在网管系统运维过程中,都支持向第三方软件输出带有目标设备IP地址和此系统集成基于的TCP/IP协议,由目标设备IP地址和访问协议作为两系统之间的主要传递参数,建立网管系统和运维堡垒机之间的联系;目标设备名称和类型作为辅助传递参数,进一步确定被访问目标设备。
运维人员通过运维堡垒机登录网管系统对目标设备访问过程中,由网管系统生成由目标设备IP地址和访问协议、名称和类型组成的参数传递给运维堡垒机,由运维堡垒机核实当前运维人员的访问权限,并访问目标设备。运维堡垒机负责行为审计并把运维信息存入数据库。 系统集成后不改变原有网络环境,仍可旁路部署于原有网络环境。一般服务器硬件中往往安装几个物理网卡,为了系统的时效性,运维堡垒机和网管系统间可建立一条独立链路,如图1所示。
2、集成系统构成
整个系统主要由以下四部分构成:
A.运维终端:一般是运行Windows系统的PC,运维人员通过运维终端对IT资产发出维护和操作指令。
B.运维堡垒机系统:通常是运行在Windows和Linux上的多套应用系统,硬件上装为1台独立服务器。
C.网管系统:各厂商的网络管理系统,软、硬件亦可,可安装运行在虚拟机上,也可安装运行在单独的服务器中。
D.目标设备:可被运维人员操作管理的设备,如交换机、防火墙、路由器、服务器等网络设备。
在物理上,系统不涉及固定连接关系,A、B、C、D可并联亦可串联,保障其网络可达是基本条件。在逻辑上,A要通过B再通过C才能访问D(A直接通过B访问D亦可),A无法直接访问D,这是由B的统一身份认证策略实现的。
3、操作流程图
(1)管理员在配置过程中登录运维堡垒机,添加目标设备和普通运维人员,并建立二者的授权关系,生成运维策略。运维人员通过运维堡垒机登录网管系统,进行添加目标设备,配置网络拓扑、告警策略等操作。
(2)运维人员通过网管系统访问目标设备。
首先,运维人员登录运维堡垒机,通过它打开网管系统,在网管系统中查看网络拓扑或告警信息,或是直接查找到目标设备进行操作,同时网管系统会向运维堡垒机发送带有系统认证信息、目标设备IP地址和访问协议的数据包。
运维堡垒机收到数据包后,首先进行系统认证,确认数据包是由可信任网管软件推送而来,其次根据目标设备IP地址和访问协议对当前运维人员的操作权限进行核查,权限判定通过后,将代替运维人员连接目标设备,并实现目标设备账号密码代填。运维人员对目标设备进行维护,由运维堡垒机进行操作行为审计,并把运维人员的操作和目标设备的执行结果一起存入数据库。
在运维人员操作过程中,运维堡垒机实时将目标设备执行结果反馈给运维人员。操作完成后由运维堡垒机关闭对目标设备的连接,终止数据库存储,回到网管系统中,整个运维过程结束。
(3)运维人员通过运维堡垒机直接访问目标设备。运维人员登录并向运维堡垒机提交对目标设备进行操作的请求,其操作权限经运维堡垒机核查通过后,后续操作同(2)中运维过程。
4、系统集成要点
系统集成后,运维人员不能直接管理目标设备,只可从运维堡垒机的交互界面登录,由运维堡垒机进行运维人员统一身份认证,对目标设备的管理统一授权,网管系统不参与授权。
运维堡垒机管理的目标设备大于等于网管系统,运维人员可直接管理不包含在网管系统内的目标设备。网管系统无人值守模式不依赖运维堡垒机,能够主动通过手机短信、网络等途径发送目标设备告警(通断、阀值等),并把数据日志存入网管系统数据库,以便后期查询。
两系统的集成关键是软件对应接口的设计,即运维堡垒机和网管系统之间参数的传递,此参数含有两部分信息:一是系统认证信息,确保参数是由网管系统推送,而不是黑客攻击、病毒传播等;二是目标设备信息,该信息包含设备IP 地址和访问协议、名称和类型主辅参数,运维堡垒机根据目标设备信息定位当前运维人员权限,并对目标设备发送访问需求。
二、结语
在智慧校园网络扁平化的基础上,本文通过对各网管系统和运维堡垒机的数据库对比,结合现有的各种网管系统与运维堡垒机进行技术开发,在不推翻现有设备的基础上,研究出以目标设备IP地址为媒介的两系统完美结合的方案,最大可能实现了系统架构的适配性和厂商间的兼容性。
此智能系统集成方案适用于广大高校校园网建设,为各高校的网络运维提供了一套全新的思路,可最大程度发挥网管系统和运维堡垒机的优势,并可规范运维人员的操作流程,提高运维人员的工作效率,减少运维人员的出错机率,增加校园网的安全性,更好地推动智慧校园网络的科学发展。(《中国高等教育学会教育信息化分会第十三次学术年会论文集》)