在選擇新硬件時(shí),網(wǎng)絡(luò)流量分析歷來(lái)是第二個(gè)關(guān)注點(diǎn)。然而,企業(yè)IT生態(tài)系統(tǒng)以及針對(duì)他們的威脅,在過(guò)去幾年中已經(jīng)發(fā)生了巨大的變化。 BYOD(帶自己的設(shè)備)和日益復(fù)雜的分布式拒絕服務(wù)(DDoS)攻擊的出現(xiàn)意味著需要內(nèi)置網(wǎng)絡(luò)分析功能來(lái)維持性能和安全性。
流的類(lèi)型
流分析是緩解高流量風(fēng)險(xiǎn)的特別有價(jià)值的工具,因?yàn)樗梢宰屇敿?xì)了解網(wǎng)絡(luò)上發(fā)生的情況。你應(yīng)該在Flows分析中看到什么?流數(shù)據(jù)捕獲允許您查看誰(shuí)在發(fā)送和接收數(shù)據(jù),什么樣的流量,以及何時(shí)使用流量。當(dāng)您嘗試驗(yàn)證您的網(wǎng)絡(luò)上正在使用什么類(lèi)型的流量時(shí),提供的數(shù)據(jù)非常重要,無(wú)論是對(duì)等,Web,備份還是您可能不知道的其他流量。通常使用三種類(lèi)型的流來(lái)識(shí)別趨勢(shì)和問(wèn)題:Netflow,sFlow和JFlow。對(duì)于每個(gè),設(shè)置流處理需要配置路由器或交換機(jī)作為出口商,這意味著它將流量數(shù)據(jù)發(fā)送到流分析工具。

Netflow

NetFlow是思科開(kāi)發(fā)的一種技術(shù),用于收集和監(jiān)控已啟用NetFlow的路由器和交換機(jī)生成和捕獲的網(wǎng)絡(luò)流量數(shù)據(jù)。這給出了網(wǎng)絡(luò)活動(dòng)的最準(zhǔn)確的表示,因?yàn)樗褂盟蠭P業(yè)務(wù)數(shù)據(jù)并且允許根據(jù)分組類(lèi)型更有效地交換分組。但是,它也有助于提高CPU利用率 – 每秒10,000個(gè)流量的導(dǎo)出轉(zhuǎn)化為大約7%的額外CPU使用率。

sFlow

sFlow只需要流過(guò)網(wǎng)絡(luò)的包的樣本。這意味著可能錯(cuò)過(guò)一些對(duì)話,這將限制網(wǎng)絡(luò)管理員在執(zhí)行詳細(xì)分析時(shí)發(fā)現(xiàn)異常的能力。然而,sFlow使用專(zhuān)用芯片來(lái)處理信息,并且也可以與傳統(tǒng)網(wǎng)絡(luò)協(xié)議一起使用,因此它不會(huì)導(dǎo)致與NetFlow相同的性能命中。 SFlow協(xié)議主要適用于3Com,Netgear,Dell和Hewlett Packard等供應(yīng)商設(shè)備。

JFlow

JFlow非常類(lèi)似于sflow,因?yàn)樗彩怯烧安┚W(wǎng)絡(luò)開(kāi)發(fā)和使用的IP流量采樣器技術(shù)。很像sFlow,它在接口上啟用,它允許捕獲輸入流中的數(shù)據(jù)包進(jìn)行采樣。路由器或交換機(jī)將查看每個(gè)分組,但將僅記錄和發(fā)送新分組或消除它已經(jīng)看到的分組。

決定哪些協(xié)議是最佳選擇最終取決于您將如何使用它和您在您的環(huán)境中運(yùn)行的供應(yīng)商設(shè)備。例如,需要與客戶進(jìn)行所有通信的大型組織可能需要考慮NetFlow,因?yàn)樗峁┝烁嗟膶?shí)質(zhì)性數(shù)據(jù)。其詳細(xì)數(shù)據(jù)可用于識(shí)別潛在問(wèn)題事件所需的合規(guī)性審核,安全性和深入的網(wǎng)絡(luò)分析。

如果主要目標(biāo)是找出在網(wǎng)絡(luò)上消耗帶寬的是誰(shuí)或什么,sFlow對(duì)于那種趨勢(shì)分析是有用的,而不會(huì)對(duì)CPU造成太大的壓力。 SFlow器件成本更低,并且更容易管理。然而,對(duì)于任何這些選項(xiàng)工作,重要的是要注意,有問(wèn)題的設(shè)備必須能夠支持流數(shù)據(jù)捕獲和導(dǎo)出。

查找流量監(jiān)控工具
流分析工具在功能方面差別很大,但是無(wú)論您的具體需求如何,都需要考慮一些關(guān)鍵組件。確保最大限度地利用您的資金也很重要,因?yàn)榱鞣治龉ぞ叩某杀究赡軙?huì)有所不同。一些主要功能包括:

支持多流協(xié)議
自動(dòng)發(fā)現(xiàn)
可視化
粒度和高級(jí)數(shù)據(jù)視圖
這些基本功能使管理員能夠更好地了解其網(wǎng)絡(luò)并快速響應(yīng)問(wèn)題。例如,使用實(shí)時(shí)流量分析可以立即查看網(wǎng)絡(luò)流量的峰值,而歷史數(shù)據(jù)可用于更深層次地調(diào)查問(wèn)題。

這并不意味著流應(yīng)該替代其他安全工具,如防火墻或入侵檢測(cè)軟件。然而,完全依靠基于周界的防御可能會(huì)留下安全漏洞;正是這些漏洞,協(xié)議如NetFlow,JFlow和sFlow被設(shè)計(jì)來(lái)填充。通過(guò)分析實(shí)際網(wǎng)絡(luò)流量,IT人員即使在威脅繞過(guò)基于簽名的檢測(cè)保護(hù)措施時(shí)也能夠檢測(cè)異常。

Intermapper流如何可以幫助
Intermapper Flows是網(wǎng)絡(luò)流量監(jiān)控軟件,可以增強(qiáng)您判斷網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)類(lèi)型的能力。它這樣做以毫秒的精度收集數(shù)據(jù),并提供頂級(jí)說(shuō)話人,頂級(jí)主機(jī)和頂級(jí)偵聽(tīng)器的取證級(jí)別視圖。 而且,因?yàn)閿?shù)據(jù)隨時(shí)間保留,您可以進(jìn)行事后網(wǎng)絡(luò)流量分析,以確定什么導(dǎo)致網(wǎng)絡(luò)流量尖峰。 Intermapper可以支持所有版本的NetFlow,包括Flexible NetFlow和IPFIX??纯碔ntermapper Flow如何通過(guò)觀看這個(gè)七分鐘的視頻提供更深入的網(wǎng)絡(luò)流量視圖。