《科来网络回溯分析系统应用案例-IDC出口流量梳理.pdf》由会员分享,可在线阅读,更多相关《科来网络回溯分析系统应用案例-IDC出口流量梳理.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 成都科来软件有限公司 电话:028-85120922 Email: http:/ 传真:028-85120911 1/5 科来网络回溯分析系统应用案例科来网络回溯分析系统应用案例 IDC 出口出口流量梳理流量梳理 一、一、案例背景案例背景 某单位有一套独立的生产系统,服务器集中在 IDC 机房,各分支部门通过专线访问生产业务。IDC 所有服务器一直以来都采用相同的安全策略,为了提高网络的安全性,领导决定重新划分网络安全区域。在网络安全区域划分之前,需要对 IDC 出口流量进行梳理,调查清楚每个应用对应的服务器 IP、服务端口号及用户源头等各种信息,为防火墙策略提供依据。这些信息虽然可以通过应
2、用部门获取,但网络部门依然需要在实际网络流量中验证这些信息是否正确、完整,避免错误的安全规则造成生产业务访问失败。一开始,网络部同事通过各种便携式的数据包分析工具,在 IDC 出口捕获数据包,手工分析服务器 IP、端口号及用户源头等信息,在耗费了大量的精力后,工作进度却非常的缓慢。用便携式的数据包分析工具在大流量环境中进行流量梳理,显得相当困难:流量大,每次都能分析短时间的数据,而流量梳理至少需要一个月的周期才有说服力 效率低,手动分析,一次性只能分析一个应用,而 IDC 有上百种不同业务 信息量大,每个业务系统都存在大量的通信信息,人工处理相当困难,而且容易遗漏 这时候,我们就发现“科来网络
3、回溯分析系统”的价值,回溯分析系统是专用的流量分析硬件设备,不仅仅能抓包,还能统计、存储网络中各种关键指标,并提供快速检索:7*24 小时不间断监控,高性能数据采集 提供海量存储空间,记录每个时间点数据包、数据流和网络会话等信息,能够保存几天、几周甚至更长时间的数据 快速的数据检索能力,能够对过去任意时间点网络中发生的时间进行快速的回溯分析 内置智能专家分析系统,对网络异常行为可进行深入分析 这些功能,可以帮助网络部门的同事高效、准确的进行流量梳理,大大节省管理人员的精力。成都科来软件有限公司 电话:028-85120922 Email: http:/ 传真:028-85120911 2/5
4、二、二、IDC 出口流量梳理出口流量梳理 设备部署设备部署 在 IDC 出口设备上做镜像,将镜像流量接到科来网络回溯分析系统,简单易用。快捷历史数据回溯快捷历史数据回溯 部署科来网络回溯分析系统后,可以分析任意时间段的流量概要统计、网络应用、IP 地址、物理地址、IP 会话、物理会话、TCP 会话、UDP 会话等信息,并且可以逐层追溯分析、设置告警:成都科来软件有限公司 电话:028-85120922 Email: http:/ 传真:028-85120911 3/5 流量信息流量信息验证验证 网络部门同事已经从应用部门获取应用系统服务器 IP 地址等信息,那么我们如何通过科来网络分析系统进行
5、确认呢?我们可以一次性查看一天、一周甚至更长时间的“IP 地址”信息,就可以获取网络中所有IP 地址的流量信息,包括通信流量大小、数据包量、进出流量、流量收发比、发送 TCP 同步包数量、接收 TCP 同步包数量等各种信息,通过这些信息我们可以快速的判断每个 IP 地址是否为服务器、负载大小等信息:在所有的 IP 地址中,我们可以通过“地址检索”功能快速定位到我们想找的地址,假如服务器“*.*.*.10”通过 TCP443 端口提供了“财务”系统的业务,我们可以在地址检索中输入“*.*.*.10”这个地址,就可以获取该服务器的流量信息:从上图可以看到,地址检索之后,“IP 地址”列表中就只剩下
6、我们想要的那台服务器地址的信息,同时我们看到该服务器的“收到 TCP 同步包”、“发 TCP 同步确认包”这两列的数量均为 9,这就证明该 IP 地址为服务器,在这段时间内收到 9 次连接请求,并且都成功响应了。接下来,我们还可以通过数据“挖掘”功能,获取该服务器更多的信息:成都科来软件有限公司 电话:028-85120922 Email: http:/ 传真:028-85120911 4/5 比如,挖掘该服务器的“TCP 会话”:由上图可见,服务器“*.*.*.10”提供服务的端口号是“TCP443”,而且只有“TCP443”端口,于是,我们可以很轻松的判断,应用部门提供的信息:“财务系统:
7、*.*.*.10:TCP443”是正确的。业务业务主动主动监控监控 通过以上的步骤,我们能够轻松的检验业务系统的各种信息,我们能不能在科来网络回溯分析系统中更智能的记录我们验证过的信息,更主动的对业务系统进行监控,甚至主动的发现异常流量或者新上线的业务流量?答案是肯定的!科来网络分析系统提供“定制应用”功能,可以根据服务器 IP 地址、IP 地址段、TCP/UDP 端口号、TCP/UDP 端口端及 IP 地址与端口号结合等各种方式进行自定义业务的定制。比如,我们可以将“*.*.*.10:TCP443”定义为“财务”:成都科来软件有限公司 电话:028-85120922 Email: http:
8、/ 传真:028-85120911 5/5 那么,我们在“网络应用”这里,就可以看到“财务”系统的流量信息:“网络应用”这里同样支持应用检索、回溯分析功能,可以方便、快捷、主动的对业务系统进行分析、监控:如果我们将 100 多种业务系统都定制在科来网络回溯分析系统中,那么当“网络应用”中出现任何其他应用,那不是异常流量就是新上线的业务系统,这是不是一劳永逸的监控方式呢?三、三、小结小结 以上的所有操作,都无需涉及到手动数据包解码,相当轻松。由此可见,科来网络回溯分析系统能极大的提高网管人员的工作效率,在节省大量的人力、精力的同时,还提供更准确、更主动的网络监控方式。CSNA 老金 2011 年 10 月