上周帮朋友公司查一桩奇怪的故障:内网几台服务器突然间访问变慢,但带宽、CPU、内存都正常。翻了两天日志,最后发现是某台交换机被悄悄启用了SNMP v1协议,还暴露在DMZ区——审计报告里早标红过这条风险,只是没人点开看。
审计不是走流程,是翻“数字账本”
很多人以为网络管理审计就是导出一份“设备清单+IP地址表”,打个勾完事。其实真正的审计内容,是把网络当一本活的账本去核对:谁改了策略?什么时候改的?改前改后差在哪?有没有绕过审批的操作?
比如某次安全检查中,审计系统自动比对了防火墙策略库的版本快照,发现周三下午3:17有一条新规则被添加:“允许任意源访问数据库端口23306”。而工单系统里查不到对应申请,最终定位到是开发临时调试留下的后门。
核心审计内容就这四块
1. 设备配置变更记录
不只是“当前配置是什么”,更要存档每次保存前后的diff。像Cisco IOS设备,启用archive功能后,可自动生成类似这样的对比:
! Before change
access-list 100 deny ip any host 192.168.5.100
access-list 100 permit ip any any
! After change
access-list 100 deny ip any host 192.168.5.100
access-list 100 deny tcp any any eq 23306
access-list 100 permit ip any any2. 用户操作日志(带上下文)
不能只记“admin登录了”,得包含:从哪个IP登录、用了什么工具(SSH/Telnet/WebUI)、执行了哪些命令、是否触发了高危操作(如write memory、reload)。某银行审计时就靠这条揪出外包人员用个人笔记本连进核心交换机执行批量清ACL的操作。
3. 网络流量异常基线偏离
不是光看总流量涨跌,而是盯住“不该通信的两个网段突然有了会话”。比如财务VLAN和研发测试VLAN之间,平时月均交互数据包不到20个,某天突增至12万,审计平台立刻告警并截取首100个包供回溯。
4. 第三方接入与权限映射
监控所有跳板机、堡垒机、远程支持软件的登录行为,并和HR系统自动比对在职状态。曾有公司发现离职工程师的VPN账号仍在持续访问核心路由器配置库,时间跨度长达47天——而IT部门以为权限已同步回收。
别让审计变成“截图大赛”
现在不少团队还在用Excel手工整理设备型号、序列号、固件版本,再配上几张Web管理界面截图交差。这种做法漏掉的是动态过程。真正管用的审计,得靠工具自动采集+结构化存储。比如用Ansible定期拉取全网设备running-config,用Git做版本控制;或用开源工具ntopng配合Elasticsearch,把NetFlow数据转成可查询的审计事件流。
审计内容的价值,不在报表厚度,而在能否回答三个问题:谁干的?怎么干的?为什么这么干?——剩下的,交给复盘,而不是堆文档。