网络升级中的安全秘籍

在许多人看来，给网络设备进行软件升级、打补丁不过是用新软件替代旧软件，然后重新启动设备即可，这也许适用于小型的用户，或用户业务对网络系统依赖不深的网络环境。而对于一个7x24小时不间断运转的生产网来说，也许一个计划外的小小宕机可能造成难以想象的严重后果

另外，从信息安全角度分析，在构成信息安全的三要素（保密性、完整性、可用性）中，网络宕机将直接影响信息系统的可用性，甚至破坏信息的完整性。由此可见，网络系统设备的升级已不再是重新启动设备那么简单了，而是一个复杂的项目。

下面，笔者将从技术、管理方面分析网络升级工作的不同阶段及其特点。大体上，网络设备的软件升级工作可分为准备阶段、实施阶段、实施后确认升级成功三个阶段。从经验上看，准备阶段大概占据了80%的IT工作量。

第一阶段

实施前准备：计划升级步骤

第一，确认范围。

在此步骤中，主要是要确认有安全漏洞的IOS软件版本和受影响的设备范围。以Cisco的网络设备为例，首先从Cisco网站上查出有安全漏洞的IOS软件版本以及替代版本。其次，根据IT资产数据库，确定受影响的硬件设备范围。

第二，软件升级期限。

通常，用户CIO所在的信息安全部门会制定出一个大致的打补丁的最后截止日期。但是，由于大多数受影响的设备运行于各个用户的生产网上，一旦发现CIO设置的截止日期不可行，则需要与用户沟通并得到用户认可后，向CIO申请延长打补丁的截止日期。

第三，技术准备与注意事项。

1.注意网络设备FLASH/DRAM卡容量
对于新的替代IOS软件，其文件尺寸往往大于旧的软件，此时需要在升级前检查网络设备的FLASH/DRAM的有效容量是否满足新IOS软件的运行要求。FLASH/DRAM的有效容量有以下两种情况：

当FLASH/DRAM的有效容量可同时容纳两个IOS软件时，我们可以在不删除旧IOS软件的情况下将新IOS软件上传到即将升级设备的FLASH卡中。这是最理想的情形，其好处是，当升级失败时，我们可以立即回退启用原来的IOS软件，降低升级过程中的风险。

有效容量只能容纳一个IOS软件时，上传新的IOS软件前需要删除旧的IOS软件，然后重新启动网络设备，这可能带来一定的风险，一旦重启动失败，需要现场工程师人工干预重新启用旧的IOS软件。

2.选择适当的新IOS软件版本
我们在选择新的IOS软件时要考虑一些因素。首先，降低成本，现有网络设备中的FLASH/DRAM一旦不满足大尺寸IOS的要求，我们不得不采购新的FLASH/DRAM，这会带来成本开销和一定的采购周期；其次，新的IOS如果刚刚问世不久，也许会潜在新的安全漏洞和不稳定因素，而对于企业生产网络来说，稳定、连续运行才是我们追求的目标，而不是功能齐全但暂时超出我们所需的软件，更不必说这些太新的软件带给生产网的潜在风险。所以，最新的软件不一定稳定可靠，我们需要的是被广泛使用了一段时间并且被证明能够稳定运行、消除了大量BUG的软件，而且尽量选择与现有软件主版本号一致的软件。另外，虽然网络设备厂商都会建议某个替代软件用于升级，但还要与CIO确认是否该软件适用于用户某些特殊的网络应用环境，如果CIO有明确规定必须在特定环境中使用某个软件中 的特殊功能，那么必须按照CIO的要求选择新软件。

3.待升级设备上的特殊功能
升级软件前要特别注意待升级设备上所启用的一些特殊功能，如MPLS, GRE tunnel和IPSec VPN等等，需要注意这些功能在新、旧IOS软件共存情况下的彼此兼容性和可靠性。

4.实验室测试新软件
有条件的话，在新IOS软件正式上线之前，应在实验室内尽量搭建网络环境模拟实际应用，力求暴露新软件或新旧软件共存环境中的潜在问题，最好进行网络压力测试，模拟用户业务流高峰情形。这尤其适用于启用了VPN等特殊应用的环境，往往小流量测试难以暴露问题，而在高压测试时，软件中的不兼容等潜在问题就会显现出来，从而避免新软件上线后对生产网的负面影响。

5.分析拓扑图并确定升级顺序
以一个IPSec VPN网络为例。某用户广域网是HUB-Spoke模式的双核心广域网，两个核心节点位于一个城市的不同数据中心，近10个不同规模、不同业务量的分支节点分布于全国各地。

通过分析，我们确认所有节点的广域网路由器的IOS软件存在安全隐患需要升级。但是，由于用户网络是7*24小时运行的生产网，我们不可能一次性升级所有的网络设备。为了赶在截止日期之前完成所有的升级工作，经与用户IT部门协商，同意我们利用5个周末的晚上时间做升级，每次只限2小时，该时间段是用户业务流最少的时候。这就意味着，在1个多月的升级过渡期内，该用户的IPSec VPN网络将共存新、旧两种IOS软件。为了测试不同IOS软件版本的兼容性，我们在正式升级前在实验室内进行了模拟环境测试，确认了不同软件版本可以工作在一起。

信息安全的风险不可能完全消除，只能降低到各方能够接受的程度。即使通过了试验验证，只能从一定程度上降低风险，但不可能完全消除风险。考虑到不同软件需要共存一个多月的时间，我们就需要拟定适当的设备升级顺序，力图进一步降低升级时的整体风险，达到用户允许的风险范围内。

通过分析用户业务数据流特征，我们发现全网各分支节点都分别部署了两台广域网路由器做VPN终结设备，一主一备形成热备份冗余工作模式。通常情况下，全部数据流经由主设备（Spoke-R1）流向核心节点，仅当主设备或其连接的广域网或局域网链路失效时，全部数据流才通过副设备（Spoke-R2）与外界连通。 这里的数据流路径选择是通过配置在OSPF中cost值的不同达到路由自动选择的目的，例如配置在Spoke-R1上的Cost值是100，而配置在Spoke-R2上的Cost值是200，使得Spoke-R1总是优选的路由出口设备。

在各个分支节点中，根据业务重要性、流量大小的不同，区分出重要和次要节点，此时可以为各节点按重要性分为不同等级，用于确定适当的升级顺序。

广域网的核心节点是同城异地的两个数据中心，在每个数据中心只有一台广域网路由器做VPN终结设备。同样，Hub-R1是主设备，Hub-R2是副设备，二者形成热备份冗余工作模式。

根据上述环境、数据流向以及业务特点分析，我们确定了升级原则，即首先升级次要节点中的次要设备，再升级主要节点中的次要设备，然后升级次要节点中的主要设备，以此类推。之所以先升级次要节点的次要设备，是因为我们无法预测在实际升级后的生产网运行期间，还会出现什么未知问题，而首先升级最次要的设备，即使真的出现问题，相对其它主要节点的影响而言，它对用户业务的影响也会小些。换句话说，次要节点可以作为整体升级的“试验田”，一旦出现问题，使我们有机会回退并降低风险和项目压力，后续的升级也可以及时中止。