專家支招:節后網絡運維管理必做六件事
隨著春節的長假的結束,網管朋友們應該陸續上班并投入到網絡的運維管理中了。其實網絡運維是一個常態的過程,但在某些特殊的時間節點上具有一定的特殊性,比如節后就是一個特殊的時間點。局域網在經歷了一個較長時間的幾乎無人值守的運行后,有些工作是需要大家做的。下面和大家分享筆者節后網絡運維管理的幾件事。
1、盡快打補丁
也許大家已經在節前部署好了補丁策略可以實現自動打補丁,但是沒有任何策略可以保證萬無一失,更何況有不少網管并沒有部署相應的策略或者節日期間網絡基本就是關閉的。如果是前者你已經部署了補丁策略,要進行檢測首先要確保關鍵的服務器系統已經打上了最新的補丁包。另外,要確保各客戶端也已經打上了最新的補丁,往往客戶端是網絡安全最薄弱的環節。通常情況下,節日期間大多數客戶端是關閉的,要確保在客戶端開機后能夠在最短的時間內打上補丁包。如果是后者,為服務器和客戶端打補丁應該是當務之急。這種情況下,因為有太多的客戶端要打補丁,會造成一定程度的網絡擁堵,影響網絡的性能。因此,筆者建議大家最好部署一個補丁服務器。在補丁服務器上做好補丁的篩選和測試,然后有組織地進行后續工作。以筆者的經驗,節后往往網絡安全比較薄弱的時期,快速打好補丁就能杜絕0Day的攻擊。
2、安全軟件升級
其實打補丁和軟件升級應屬于同一范疇,之所以單獨提出來是為了引起大家的重視,因為有不少網管忙著為系統打補丁而忽視了安全軟件的升級。網絡環境中使用的安全軟件,有單機版、企業版之分,另外還有些網絡中采用了服務版的安全軟件,采用C/S模式。如果是非服務版的安全軟件,在升級過程中不僅會耗費網絡帶寬而且會遇到諸如授權的問題。這些因素都有可能造成安全軟件在部分客戶端升級的失敗,對于諸如此類的問題,網管有應對措施。比如,可首先在一個客戶端上進行升級并通過軟件進行監控,將此次升級中下載并安裝的文件提取出來,然后打包共享給各客戶端實現共同升級。另外,也可將升級后的安全軟件打包共享給客戶端重新安裝等等。如果是采用C/S模式的安全軟件,只需在服務端進行升級,然后客戶端就可以調用服務端的引擎進行安全檢測了。特別需要注意的是,排除系統及安全軟件本身的因素如果安全軟件的升級總是失敗就需要特別的警惕了,極有可能是網絡中該節點中毒或者中馬了。
3、關閉遠維通道
為了實現節日期間的網絡運維,相信有不少網管朋友開通了遠維通道。也許正是這條通道
方便了你對網絡的遙控,也許你根本就沒有用到它。從安全角度遠維是一把雙刃劍,方便了自己,當然也為入侵者以可乘之機,但是,不管怎樣節后它的使命就完成了,建議大家關閉遠維通道。就筆者所見,這經常為一些網管所忽略。甚至有些網絡開通的遠維通道還不止一條,某些通道自己平時幾乎沒有用到,隨著時間的流逝就連自己也忘了。這是萬萬要不得的,所以作為網管的好習慣——不用的服務馬上關掉,最小的服務就是最大的安全。就筆者所見及其專家的建議,大家采用的遠維通道不外乎VPN、遠程桌面、telnet、專門軟件、專業的遠維平臺等。比如有些網管開啟了Cisco路由器的VTY通道,然后telnet到路由器進行遠維,雖然方便但很不安全,建議在節后還是關閉VTY通道,改用consol口本地連接或者通過其他的端口連接。如果你還需要使用遠維通道,建議大家可對其端點、口令等進行修改。
4、入侵檢測
在無人值守的這段時間里,誰也不能保證網絡絕對的安全,甚至被入侵了這都是有可能的。因此,進行入侵檢測也是節后網絡運維管理要做的工作之一。安全檢測首當其沖的應該是關鍵的網絡節點,比如服務器、路由器、交換機等等。對于服務器的入侵檢測,日志分析是必不可少的。要進行日志靠人力分析是不可能的,這里我們可借助相應的日志分析工具。當然,一個高明的入侵者他會修改日志從而隱藏自己。因此,我們還可結合其他入侵檢測手段進行綜合分析。比如進程、賬號、服務、端口等都入侵檢測中應該關注的對象。對于路由器的入侵檢測(以cisco路由器為例),我們可以從下面幾個方面進行。登錄路由器運行show run命令,看看路由器的配置是否發生了變化,access-list、line vty等需要特別注意。運行show logging查看路由器的登錄日志,查看是否有異常的登錄。有的時候,攻擊者在登錄完成后會
運行clear logging以清除登錄日志。但運行該命令后所有的登錄日志都被清除,如果發現正常的登錄日志被清除,那就非常可疑路由器被入侵了。另外,我們還可運行show history查看已經執行的命令從而確定路由器是否被入侵并運行了命令。如果運行該命令后發現有可疑的命令操作,就非常可疑了。在入侵檢測中能夠一定要細心抓住任何蛛絲馬跡然后深入下去,如果確認被入侵要盡快更改口令。
5、性能測試
節后的網絡需要全速運行,為保證IT更好地為企業服務,網絡性能應該有所保障,因此網絡性能的測試必不可少的準備工作。網絡性能測試包括:連通性測試、網速測試、數據通訊量測試等。測試可用專門的硬件設備,也可使用某些專業的軟件測試工具。另外,在實際操作中針對不同的網絡環境進行不同級別的網絡測試。其中,站點級的測試是最基本的,這種測試通過檢查物理連通性、連接匹配性、協議匹配性、數據收發正確性等項目,可以解決單個站點無法連接網絡的大部分問題。其次是工作組級的測試,測試共享型網絡中的連通和速度等。還有交換級別的測試,在各個沖突域中進行測試,測試既包括軟件方面,也包括硬件方面。通過網絡性能的測試,為局域網進行體檢以保證網絡在節后的生產實踐中穩定運行。
6、寫一份年度計劃
通常情況下,春節意味著新的一年的開始。不知道大家做網絡管理員寫不寫年度計劃,筆者建議還是寫一寫。很多人抱怨做網管沒有前途,如果不能進入管理層或者在大公司做網絡工程師那么則前途渺茫。其實,很大程度上在于自己的努力。筆者看到過不少網管寫的年度工作計劃,幾乎是清一色的公文范例沒有前瞻性,計劃不夠明晰,可操作性差。通過年度計劃可好好規劃自己這一年的工作目標、學習任務、職業規劃。在年度計劃中盡可能地爭取公司的IT投入,改造網絡環境、提升網絡規模,其實這也是為自己爭取機會,證明自己,提升自己在公司中的價值。其實,年度計劃除了網絡相關的內容外,更多是對自己這一年的學習、職業規劃,目的的提升自己的能力和職業競爭力。不要做一個渾渾噩噩的網絡“救急隊長”,從寫一份切實可行的年度計劃開始。
總結:保證網絡的安全穩定運行是網管的職責,其實節后的網絡運維只是日常網絡運維的一部分,但也有其特殊性,愿筆者列舉的節后網絡運維管理6件事對大家有所幫助。
【編輯推薦】
