1、冗余评测思路,主题一,冗余评测-资料分析,冗余评测-配置验证,冗余评测-现场观察,概述,冗余评测-测试验证,一、结构安全-网络设备及线路冗余评测,冗余的概念,冗余即建立一个具有相同功能的备用设备/方案。当主设备出现故障时,冗余设备是可以立刻使用的替代设备。“冗余”的有益与有害是相对的!冗余对重要的系统工程是必须的!即使是资源的“浪费”。,冗余级别包括: 数据级冗余 应用级冗余 同城灾备 两地三中心,常见的冗余机制: 双机备份 双机热备 双机冷备 集群模式 容错类 负载均衡类,可作为冗余的指标: 可用性指标 可维护性指标 可靠性指标 RTO、RPO等,冗余是什么?,如何实现冗余?,冗余有哪些指标
2、?,冗余的级别?,虚拟化 VLAN 虚拟专用网 VPN 虚拟网络设备,冗余与可用性之间的关系,可用性:即在一段时间内,系统能够正常运行的概率或时间占有率期望值。可用性期望越高,那么在特定时期内内系统停机的时间就会越短,对设备/系统的冗余要求越高 。而对可用性进行度量往往会使用可用性指标,因此我们使用可用性相关指标来表示冗余指标。,冗余是一种手段,目的是实现系统/设备的高可用性,冗余指标,可量化指标:可用性指标、可维护性指标与可靠性指标,预期可用性指标=(约定的服务时间-停机时间)/约定的服务时间*100%,预期可维护性指标(平均恢复时间)=总停机时间(小时)/服务中断次数,预期可靠性指标(平均
3、故障时间)=可用时间(小时)/中断次数,或平均无故障时间=(可用时间-停机总时间)(小时)/中断次数,可用性、可维护性、可靠性三者可容忍的最低目标值,测量单位设定:可用性指标用百分比为单位,可维护性指标和可靠性指标用时间为单位; 不可用测量:对功能设定最大响应时间阈值,若超过该阈值,则视为不可用: 对应用服务器不可用,测量请求响应时间; 对数据库访问不可用,测量连接和SQL查询响应时间; 对网络设备(含安全设备)不可用,测量网络时延(或连接响应时间); 中断时间测量:测量中断发现时间点和功能恢复可用时间点,二者之差即为中断时间,中断时间由响应时间(从发现到响应的时间段)、修障时间、恢复时间三部
4、分构成; 可用或持续运行时间:计划运行时间与中断时间、计划停机时间之差;,可量化指标:可用性监测指标,1,通信链路-设施,2,网络安全设备,6,冗余/部署架构,虚拟化 热备 集群 云计算,可用/不可用,可用/不可用,指标 连通性 质量和时延,指标 CPU 内存 吞吐量 设备可达性,指标 连通性 切换时间,可用性指标,可用性指标不同于可用性监测指标,业界用 N 个9 来量化可用性, 最常说的就是类似 “4个9(也就是99.99%)” 的可用性,换算程时间即53分钟。计算可用性指标的难度在于设备处于什么状态为可用?什么状态为不可用?往往可以通过不可用来反推可用性。,可用性监测指标,常见网络/安全设
5、备冗余措施,标准要求(G3):应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要,一般对于互联网出口处网络/安全设备、服务器区部署网络/安全设备以及相关核心区域网络/安全设备都需要进行冗余,评测的难点因素:技术方面,因素1:网络结构类型多 随着技术的不断发展,出现很多不同架构、不同类型的网络。一个企业往往会存在多个网络,如内、外网区域、DMZ区域,每个区域又会划分成多个安全域。因每个域的可用性级别及可用性指标不同,所以要实现对不同安全域实现不同层次的可用管理,难度将大大增加;因素2:网络设备类型/厂商多 市场网络/安全设备类型众多,像防火墙、路由器、中继器、网关、网桥以及防病毒产
6、品、IDS/IPS、负载均衡等主流的产品已达到十几种,而各类产品的主流厂商仅国内的就多达几十家,因此要实现不同类型不同厂商网络/安全设备可用性检测,是一个很大的工程。因素3:冗余机制不同 当前主流冗余机制多采用双机备份、集群和虚拟化技术等。 双机备份涉及热备和冷备技术; 集群则区分容错类的和负载均衡类的; 目前比较常见的网络虚拟化应用包括VLAN,虚拟专用网,VPN,以及虚拟网络设备等。 因采用不同的冗余技术,又从设备级冗余、链路级冗余和网关级冗余三个方面冗余,且又涉及到很多新技术,加大了服务方评估难度。,评测难点因素:管理方面,因素1:企业规模大 企业规模大小往往会影响企业的网络结构,大到成
7、千上万人的集团总公司类企业,网络结构足够复杂,网络层次较多;小到一个几十人甚至十几人的公司,网络结构比较单一。由于企业规模越大,其网络结构不定性也将越大,对服务方的挑战也将越大。因素2:企业文化和管控要求不同 因企业文化和管理要求存在差异,不同企业可能会存在不同的资料获取方式。以企业网络拓扑图为例,有的企业会将其列为企业机密文件,服务方获取企业网络拓扑图的难度将大大增加,甚至服务方最终无权限查看。因此,不同企业不同文化和不同管理要求也会影响服务方评估的难度。,主题二,冗余评测-资料分析,冗余评测-配置验证,冗余评测-现场观察,概述,冗余评测-测试验证,1、资料分析流程:五个步骤,资料分析的核心
8、作用:资料的全面性和准确性是咨询方服务质量的保障,因此服务方能否拿到第一手资料至关重要,可拷贝 只可现场查看,准备阶段:服务方/被服务方准备,服务方准备,1)确认需提供的资料,并形成资料清单,包含: 管理制度类(如冗余管理、备份管理等); 技术方案类(如网络分离方案、网络区域划分方案等); 记录表单类(如带宽使用率监控记录); 拓扑图类; 其他。 2)根据评估需求,标识出资料对评估的相关程度,对于相关程度很高但难以获取的资料,服务方应随时准备通过现场浏览或访谈等方式来获取资料; 3)与被服务方保持沟通,确保被服务方能够理解资料清单,并提供最精准的资料;,被服务方准备,1)根据服务方提供的资料清
9、单,协调相关部门及人员汇总资料; 2)对于高级别且与评估相关程度很高的资料,尽量协调相关部门提供资料,实在不能提供的资料应能够协调相关人员与服务方陪同浏览或讲解资料概况; 3)与服务方保持沟通,确保所提供的资料为被服务方所需的、最精准的资料;,难点 网络结构复杂,相关资料太多,协调难度大高级别资料审批流程复杂,提供方式不定,资料获取方式与获取内容确认,被服务方确认资料的具体获取方式,并与服务方沟通确认是否存在与评估相关性很高且保密性也很高的资料,若存在,尽量与相关领导说明缘由,通过特定方式提供资料,资料分析流程:综合分析与记录,资料中相关要求是否符合实际和标准要求?如对于三级系统,应对主要网络
10、设备和线路进行冗余,需要查看相关技术方案是否包含对业务的高峰期需求的设计,对获取的资料进行分析,通常从资料的符合性和完备性进行分析,从以下方面进行记录: 管理要求是否全面?管理力度是否达标? 技术方案是否全面?技术要求是否达标? 相关记录是否全面? 是否具有网络拓扑结构图?网络拓扑结构图是否符合实际?,资料是否全面?资料能否覆盖当前所有的管理活动?如是否具有与当前运行状况一致的网络拓扑结构图,资料分析及评价,资料名称,符合性,完备性,其他指标,网络拓扑图,网络安全管理策略,网络安全管理程序,各种操作指南,网络设备资产清单,相关应急预案,其他相关资料,评价标准,主题三,冗余评测-资料分析,冗余评
11、测-配置验证,冗余评测-现场观察,概述,冗余评测-测试验证,2、现场观察,常见的典型网络结构1:简单网络,简单网络:对于一些比较简单的网络,通常只划分了内外网,或者会对内网进行办公区和服务区划分。这种网络往往用于一些小规模企业,网络/安全产品较少,基本为常见的交换机、路由器和防火墙等设备。内外网隔离也通常使用防火墙的ACL功能进行逻辑隔离。,常见的典型网络结构2:较为复杂的网络,较为复杂的网络:相对于简单网络,对内外网区域进行了进一步的划分,常见的区域有办公区域、核心业务区域、安全管理区域、DMZ区等。这种网络往往用于一些中型规模企业,网络/安全产品基本齐全,如防火墙、交换机、路由器、保垒机、
12、网管工具、负载均衡、防病毒设备等。内外网隔离常使用网闸进行隔离。,常见的典型网络结构3:大型网络,以移动管理信息系统为例,共分为五个区,分别为: 公共区,重要性等级1级,业务规模包括Internet区、VPN用户区和合作伙伴区等; 半安全区,重要性等级2级,业务规模包括DMZ、合作伙伴互联区和内部系统互联区等; 内部业务区,重要性等级3级,业务规模包括其他的IT支撑系统、网管系统和非管理信息系统管控范围; 安全区,重要性等级3级,业务规模包括管理信息系统办公终端、运维终端区和开发测试区等; 核心安全区,重要性等级4级,业务规模包括管理信息系统重要的应用服务器、护具哭服务器、管理控制台和服务器等
13、,常见的安全产品,较为全面的网络/安全产品: 交换机 路由器 防火墙 上网行为管理系统 应用代理 漏洞扫描系统 安全基线检查系统 网络流量管理系统 网络防病毒网关 反垃圾邮件系统 入侵检测系统(IDS) 入侵防御系统(IPS) 防DDOS攻击系统 网页防篡改系统 负载均衡设备,简单网络现场观察:观察对象与关注要点确认,典型的网络结构1:简单网络,确认观察对象与观察项,观察对象 核心交换机 交换机 防火墙 通信链路关注要点 查看采用的双网隔离方式是否网络拓扑图一致,是否对隔离设备进行冗余 查看哪些区域哪些设备进行了冗余,网络/安全设备使用了哪种冗余机制,是否与网络拓扑图一致 查看各个区域间通信线
14、路是否进行双路冗余,是否与网络拓扑图一致 查看网络/安全设备容量(硬盘容量、CPU使用率、内存使用率、设备吞吐量等指标)及带宽使用率的监控,冗余方式观察点,双机热备:其中一台设备出现故障时,自动切换到备机。可以通过双机热备软件(HA)来查看应用程序的运行状态。 双机冷备:其中一台设备出现故障时,需要手动切换到备机。 集群:通过观察集中管理软件,查看各个集群的节点状况。 线路冗余:查看线路条数。,因网络结构比较简单,网络/安全产品比较单一,冗余需求可能较低,因此评测也会相对容易。,较为复杂的网络现场观察:观察对象与关注要点确认,典型的网络结构2:较为复杂的网络,确认观察对象与观察项,观察对象 核
15、心交换机 防火墙 应用防火墙 网管工具关注要点 查看采用的双网隔离方式是否网络拓扑图一致,是否对隔离设备进行冗余 查看哪些区域哪些设备进行了冗余,网络/安全设备采用哪种冗余机制,是否与网络拓扑图一致 是否采用双线路进行链路冗余,采用哪家运营商,是否与网络拓扑图一致 查看网络/安全设备容量(硬盘容量、CPU使用率、内存使用率、设备吞吐量等指标)及带宽使用率的监控,网闸 负载均衡 路由器 通信链路,此类网络会根据业务需求对内网区域进行过个区域划分,并设立DMZ区,核心区域网络/安全设备相对比较齐全,评测难度相对较大。,划分基本安全区域,大型现场观察:观察对象与关注要点确认,确认观察对象与观察项,观
16、察对象 核心交换机 防火墙 应用防火墙 IPS/IDS 负载均衡 路由器 通信链路关注要点 查看采用的双网隔离方式是否网络拓扑图一致,是否对隔离设备进行冗余 查看哪些区域哪些设备进行了冗余,网络/安全设备采用哪种冗余机制,是否与网络拓扑图一致 是否采用双线路进行链路冗余,采用哪家运营商,是否与网络拓扑图一致 查看网络/安全设备容量(硬盘容量、CPU使用率、内存使用率、设备吞吐量等指标)及带宽使用率的监控,典型的网络结构3:大型网络,终端准入系统 防病毒系统 桌面管理系统 数据放泄密系统 恶意代码防护网关 Ddos 上网行为管理系统,此类网络会根据业务需求及业务重要性对内外网进行不同等级区域划分
17、,并在内外网都设立专门安全管理区,网络/安全产品齐全,网络拓扑结构也比较复杂,评测难度也比较大。,安全区域划分很细,设备冗余措施:示例,现场观察:时间与方式确认,观察时间选择: 最好选在正常业务量或业务高峰期观察,在这个时段,能够最有效地观察通信链路及网络/安全设备的负载情况观察方式确认: 监控室观察 机房现场观察入场申请: 被服务方根据观察时间和方式,申请入场 服务方入场后,未经被服务方允许,禁止动用或挪动物理实体机,现场观察:观察与记录,观察整体架构,观察已部署网络/安全设备,采取冗余设备及冗余机制,记录结果,结合网络拓扑图,观察被服务方实际网络环境是否与网络拓扑图相符 查看是否进行双通信
18、线路冗余,观察已部署网络/安全设备 结合网络拓扑图,观察被服务方实际网络环境中部署的网络/安全设备是否与网络拓扑图相符,结合网络拓扑图,观察被服务方采取冗余的设备以及采用的冗余机制是否与网络拓扑图相符 观察冗余管理软件运行状态,根据观察结果,记录网络架构的符合性、已部署网络/安全设备、实施冗余的设备/线路、以及对应的冗余机制等,主题四,冗余评测-资料分析,冗余评测-配置验证,冗余评测-现场观察,概述,冗余评测-测试验证,3、基线验证,双机冗余,集群冗余,虚拟化冗余,基线验证:基线确认,堡垒机,负载均衡,IPS,交换机,路由器,防火墙,Juniper为例,检查NSRP配置或图形界面配置,查看HS
19、RP(热备份路由协议)配置,华为交换机为例,查看CSS(集群交换机系统)配置,查看集群管理软件配置,查看集群管理软件配置,说明:需列出已有网络/安全设备的品牌及型号,并根据所采用的冗余机制来匹配配置基线,查看HSRP(热备份路由协议)或VRRP(虚拟路由冗余协议)配置,配置验证:验证时间与申请,配置验证时间选择: 服务方与被服务方协商确定验证时间,并由被服务方技术人员根据基线进行验证操作,服务方人员进行配置比对与记录配置验证申请: 权限申请:若验证过程中涉及到Root等高权限操作,需提前进行权限申请。 配合人员要求:应熟悉所负责的设备或管理软件操作,能够快速查看网络/安全设备相关配置操作等。
20、服务方人员要求:未经被服务方允许,禁止操作被服务方网络/安全设备。,配置验证:验证与结果记录,被服务方配合人员到位,服务人员提供相关配置基线 双方再行核对,确认设备品牌、型号及对应的冗余机制,被服务方技术人员根据配置基线,分别对冗余的设备进行配置检查 双方对配置检查结果进行疑问互答,服务方将配置检查结果与配置基线进行比 服务方与被服务方配合人员核对有差异的结果并进行记录,4、测试验证,测试内容和指标,测冗余机制的有效性:什么叫有效?,讲冗余的定义?落实到设备设施的机制?冗余有哪些指标(可用性便是指标)?级别? 测试恢复能力(如搞坏一台,看其恢复能力),RTO、RPO,测试验证:两种方式,两种角
21、度,功能正确性测试:根据实际冗余需求,测试是否配置对应功能,强度性测试:即进行渗透测试或压力测试,测试流程,网络设备/线路冗余测试,测试流程,测试验证:测试内容,功能性测试,性能测试,确认采用的冗余机制,查看主机运行状态; 测试备份与恢复、冗余和容错、失败保护、安全状态自检测能力等; 测试对象端口全部使用时的运行稳定性。,识别出网络/安全设备存在技术漏洞; 筛选出可被用于测试的技术漏洞(如拒绝服务漏洞); 利用漏洞向目标设备发动模拟测试,验证主机的抗压性及自动切换备机的临界值。,测试验证:验证时间确认与申请,测试验证时间选择: 功能测试:服务方与被服务方协商验证时间,时间确认后,双方协同进行测试。 强度测试:最好选择业务低峰期或晚上进行测试,测试过程中,被服务方需要全程监视测试对象的运行状况。 测试验证申请: 验证方式选择:确认采用的验证方式 配合人员要求:在验证过程中,各工作人员能够实时监测受测系统运行状况,出现紧急情况立即终止测试,测试验证:验证与结果记录,-完!,
