圈內有句話叫：苦不苦，看看“IT運維狗”。IT運維人員每天需要了解核心網絡設備和關鍵應用的運行狀態是否正常，7×24小時值守在機房中也是常有的事情。

前幾天，有一位做IT運維的朋友就跟我吐槽，他們老板最愛跟他們說的故事是某個單位又順利地挺住了某次流量高峰、化解了黑客攻擊。就像小時候家長們最愛說“你看隔壁老王家的孩子又考了第一名”一樣，讓干運維的兄弟們都是“敢怒不敢言”。不過誰讓別人是土豪呢，擁有上百人的運維團隊，數十位信息安全專家，擁有強大的運維能力，部署了一層又一層的威脅防御系統。

 

 

干過運維工作的朋友可能都知道，做網絡運維又苦又累，經常還得不到大家認可，聽完朋友的吐槽，我也開始思考，作為網絡安全設備提供廠商中一員，我們能否保證客戶網絡安全的同時也給客戶帶去便捷呢？

 

其實，當下隨著云、大數據等高科技產品快速發展，即使沒有生在一個土豪單位干運維的兄弟們春天也快來了。

 

在這里跟大家分享近期網康做的一個項目經歷和感悟。這個客戶是湖南食藥監局，客戶單位的業務網絡是依托于電子政務外網構建的。隨著省食藥監“食品藥品稽查應急執法”項目推進，需要建立基于電子政務外網的政務專用網絡。在項目建設前期，客戶原計劃是基于VPN技術，實現全省各級食藥監部門和移動執法人員的安全互聯。但是VPN解決方案無法對VPN隧道內流量進行安全檢測。這無疑會給后期網絡安全維護帶來很大安全隱患，也許一個小小病毒可能也會讓運維人員沒日沒夜的加班。考慮到這個原因，客戶采用了包含VPN功能下一代防火墻作為基礎組網設備。

 

 

較終，在省局和市、縣局連接政務外網的邊界部署下一代防火墻設備。在電子政務縱向網的基礎上建立加密的IPsec VPN隧道，實現省、市、縣三級單位的互聯。同時，在省級部署高端移動應用安全網關設備，幫助政務外網未覆蓋到的鄉鎮局用戶和移動執法用戶提供安全遠程接入服務，并且在省局前端數據中心部署上網行為管理設備，實時審計用戶對業務應用的訪問行為。

 

 

安裝防火墻和上網行為管理就能解決運維難題了嗎？我們還有一個大招--云！如果在目前常規部署設備加上云這樣新產品，可能就會發生一些與之前不一樣的東西，網絡運維的工作效率和網絡安全防護能力都將大大提升。

 

 

湖南食藥監除了常規部署下一代防火墻、上網行為管理、移動應用安全網關等安全設備，還充分利用了云，大數據等新技術。在省局部署了慧眼云私有云方案，與全網下一代防火墻設備聯動。通過與邊界下一代防火墻聯動，實現“設備統一管理”，“策略統一下發管理”，“失陷主機檢測”等。通過慧眼云威脅情報地圖，運維人員也可以實時查看新的網絡攻擊情況，包括攻擊時間、攻擊源國家，被攻擊國家和攻擊類型等等，全面感知威脅態勢。

 

慧眼云威脅情報地圖

 

網絡威脅感知系統“情報檢測

 

 

正是慧眼云讓客戶安全運維工作更加智能化、可視化，同時也大大減少后期安全運維管理工作。比如過去面對新病毒爆發，出現危險漏洞，運維工作人員經常是忙的焦頭爛額，但是現在通過云端一鍵就可以更新病毒庫和打補丁，運維管理工作變得簡潔安全。除此之外，邊界下一代防火墻還可以與部署在省局業務服務器360天擎聯動，實現基于服務器合規配置的動態控制?？偨Y起來就是通過云（慧眼云）、管（下一代防火墻）、端（天擎）實現聯動，增強系統安全性同時大大減少運維工作量。

 

湖南食藥監局解決方案拓撲圖

 

 

寫在最后，運維是一個非常辛苦工作，因此需要從業者能夠“善假于物也”，也就是運維人員需要學會偷懶，但不是真的偷懶，而是要將復雜的工作通過合適“產品工具”簡潔化，將自己從中解放出來。最后筆者用一句話作為總結：優秀的運維人員一定是具有工匠精神且善于利用工具的設計師。