《NTA产品白皮书》由会员分享,可在线阅读,更多相关《NTA产品白皮书(17页珍藏版)》请在金锄头文库上搜索。
1、绿盟网络流量分析系统产品白皮书【绿盟科技】 文档编号NSF-PROD-NTA-V4.5-产品白皮书-V2.0 密级完全公开 版本编号V2.0 日期2013/10/28 撰 写 人向玥 批准人 2019 绿盟科技 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 版本变更记录时间版本说明修改人2013/10/28V2.0新建向玥目录一. 引言1二. 客户价值22.1 网络和业务规划相关的问题22.2 与网络安全运营相关的问题3
2、三. 原理介绍33.1 Flow技术特点33.2 流量分析原理43.3 异常检测原理5四. NSFOCUS NTA产品介绍64.1 产品概述64.2 产品架构74.3 产品特色74.3.1 全网状况实时监控74.3.2 准确详尽的流量分析84.3.3 强大的异常检测功能94.3.4 IPV4/V6双栈分析检测支持104.3.5 灵活多样的报表展示104.3.6 完整的解决方案114.3.7 增值运营带来收益124.3.8 便捷智能的运维方式124.4 典型部署13五. 总结13插图索引图 3.1 流量数据的透视5图 3.2 基线告警示意图6图 4.1 系统架构图7图 4.2 全网监控图8图 4
3、.3 绿盟科技三位一体方案11图 4.4 典型部署13- II -绿盟科技网络流量分析系统产品白皮书一. 引言随着互联网技术的迅猛发展,网络规模空前增长,网络上的应用越来越广泛。网络的多样性给互联网用户带来了的丰富的生活体验,与此同时,网络的复杂性却增加了网络运维的管理难度,使运维人员面临诸多困难。网络的不断扩张带来的网络协议新变化,无疑增加了网络的复杂性。由于网络地址资源的使用越发缩紧,当前的网络协议IPV4已不能满足互联网用户的需要。IPV6的出现有效解决了IP地址不够用的情况,它能分配的地址空间是现有互联网的1029倍。近年来在专家和政府部门的不断推进下,美国、日本、中国、欧盟等地区都建
4、立了IPV6的骨干网,IPV6的推进已经获得全球共识。IPV6协议的发展,促使网络协议由IPV4向IPV6的进行过渡。过渡阶段,网络中常常出现IPV4/V6双栈并行的情况,加深了网络的管理和异常事件的排查难度。网络的复杂性还体现在网络中承载的业务不断丰富。为了抢占新的技术变革带来的发展商机,互联网需要向用户提供更大的信息量和多样化的网络服务。云端网络的出现,社交网站的兴起,视频、多媒体技术的迅速发展,各种应用的出现在满足用户多样化的网络需求的同时,也在互相挤占带宽。如何保障正常业务,关键业务的平稳运行,揪出造成了网络拥塞的元凶?只有及时的了解到网络中承载的业务,掌握网络流量特征,才能使网络带宽
5、配置最优化,及时解决网络性能问题。互联网承载的业务越来越多,消耗的资源也越来越大,全球网络都呈现出一种不断扩张的状态。对于电信级的网络,各个网络节点上的带宽逐年增大,国际出口的带宽以及国内运营商之间飞互联带宽都在成指数趋势增长。对于数据中心,为了保证数据托管业务、专网用户的业务正常运行,在激烈的竞争中给客户提供优质的服务,带宽同样在不断扩充。除了运营商和数据中心,很多行业或政府的专网的带宽也在增加,以满足用户的需求。高带宽的网络环境下,路由设备众多。透视网络状况、及时发现设备故障,根据业务需求合理有效的进行网络规划和设计,常常是摆在运维人员面前的难题。另一方面,由于网络攻击的成本的技术门槛大幅
6、下降,网络上的DDoS攻击的出现频率和破坏性均在不断增加。各种攻击事件的出现,极易消耗网络资源,可能造成关键业务的中断或网络服务质量大幅降低的严重后果,给运营商、企业和数据中心带来巨大损失。基于安全运维和竞争的需要,及时发现攻击事件,建立一个稳定、安全的网络环境,提供高质量的带宽服务无疑成为重中之重。近年来攻击的手段、方式都在持续改进,如慢速攻击的增加,混合型攻击的增加,针对IPV6攻击的增加等等,仅通过网络扩容的方式并不能真正解决问题。在异常严峻的网络安全形式下,传统的网络管理手段已不能满足运维的需要。为了在复杂的网络中解决以上提到的各种网络问题,绿盟科技自主研发了网络流量分析产品NSFOC
7、US Network Traffic Analyst,以下简称NSFOCUS NTA。基于多年来对网络分析和攻防的研究理解,旨在于提供智能的管理手段,帮助网络运维人员透视网络状况,及时锁定异常威胁,减轻网络复杂性造成的网络运维压力,建立一个平稳、高效的网络环境。二. 客户价值网络流量的复杂性给网络的运营维护带来了巨大挑战。绿盟科技网络流量分析产品能帮助网络运维人员全面了解网络状况,解决运维人员通常关心的两大类问题。一类是与网络和业务规划相关的问题,另一类是与网络安全运营相关的问题。绿盟科技网络流量分析产品可以帮助网络管理员纵观网络状况,了解网络成分趋势变化,从容面对网络异常。提供网络运营者安全
8、运维的决策分析与建议,帮助运营商、数据中心等企业提供优质的网络服务,从而增强企业的核心竞争力。下面分别详细列举NSFOCUS NTA给客户带来的巨大价值。2.1 网络和业务规划相关的问题NSFOCUS NTA能够通过SNMP、Netflow等协议格式采集到网络中路由设备的流量信息,进行多种维度的分析,满足高带宽条件下的实时监控,使网络情况透明化。NSFOCUS NTA围绕与网络和业务规划相关的三个方面进行分析,帮助客户掌握:l 网络中的流量情况NSFOCUS NTA能监控客户网络中的路由设备、关键链路和重要业务的流量,使用户纵观网络状况,帮助用户全面透视网络状况,建立网络整体模型的概念。l 网
9、络中的流量组成成分NSFOCUS NTA能对多达数百种网络应用进行检测分析,展现各种应用的流量及在网络中的占比情况。流量组成分析,使用户对网络成份清清楚楚,知道目前最热的网络应用是什么,最消耗带宽的应用是什么,是否有应用挤占了正常业务的带宽。帮助用户了解网络业务开展情况及占用的网络成本,及时找到网络瓶颈,做出正确的决策优化网络。l 网络中的流量变化趋势NSFOCUS NTA能帮助用户对重点业务进行长期监控,根据业务在不同时期的流量情况,帮助用户建立网络模型。通过对重点业务发展进行价值评估,对网络规划和扩容做出正确决策。2.2 与网络安全运营相关的问题无论是运营商还是数据中心、金融等其他行业,安
10、全运营无疑都是极其重要的。NSFOCUS NTA能解决运维人员最关心的网络安全运营问题,主要体现在以下几个方面:l 快速发现网络异常NSFOCUS NTA能够7x24小时对全网设备进行实时监控。不但能监控网络设备的物理状况:如路由器接口状态是否正常,CPU、内存状态是否正常,而且能对网络中的流量异常状况:如网络中是否存在攻击事件,是否存在带宽超常等进行实时监控。系统可以根据网络事件的严重程度定义不同的告警级别,网络中一旦出现异常,便会立即触发告警机制。网络管理员可以在故障发生的第一时间获知网络异常信息,在网络故障爆发或扩大前采取相应的防范措施,将故障的影响程度降到最低。l 定位攻击源和目标触发
11、的告警事件中包含着详尽的内容,通过查看告警事件的分析,可以追溯故障发生的时间,地点,原因,是否属于人为的恶意攻击。对于攻击事件,告警属性中包含攻击的流量大小,攻击流量来源,危险程度等信息,帮助网络管理员快速判断并定位故障原因,判断异常对网络状况的影响,及时采取措施进行应急处理。三. 原理介绍在了解NSFOCUS NTA产品功能之前先简要介绍一下NSFOCUS NTA的工作原理。NSFOCUS NTA主要是基于Flow的技术,采用DFI的方式网络中的流量情况进行分析检测。3.1 Flow技术特点以Cisco的netflow为代表的Flow技术是目前流量分析检测领域的主流技术,自1996年问世以来
12、,Flow技术以其高效准确的数据采集方式,低成本高产出的优质网络运维特点,广泛应用于运营商、数据中心、互联网企业等各种路由器和交换机中。同DPI(Deep Packet Inspection)的分析方式相比,NSFOCUS NTA基于Flow的DFI(Deep/Dynamic Flow Inspection)数据采集方式有诸多特点:l 支持的设备数量众多支持Flow采集方式的设备众多,如主流的Cisco、Juniper、Huawei等都有支持Flow格式的设备,能覆盖绝大多数网络中的设备。l 非嵌入式采集不同于SPAN等探针方式的数据采集,基于Flow技术的采用非嵌入式采集方式,不会对现有网络
13、拓扑结构造成任何改变l 高性能,投资少采用先进的数据流采样随机技术,可通过设置合适的采样率,适用于各种类型的带宽环境,单台设备就可满足电信级的高带宽(数百Gbps)环境。而探针的采集数据方式必须基于物理端口,只适用于流量较小的网络环境,投资成本及维护工作量均相对较高。l 快速响应不同于传统的数据采集方式,需要对采集的全包进行解析,DFI的方式处理速度更快,基于Flow的分析方式只需要进行流量特征比对,更利于对网络问题做出快速响应。3.2 流量分析原理NSFOCUS NTA使用基于Flow的分析方式,支持业界主流的协议,如netflow v5/v9、sflow v4/v5、netstreamv5
14、/v9等,也支持镜像数据通过转换器转为netflow格式进行分析。无论是那种类型的流量数据,包含的信息都可以分为三类:空间信息、时间信息、技术指标信息。l 空间信息是流量发生的地点,包括:路由器、物理端口、IP地址(段)、AS号、地域名称等。l 时间信息是流量发生的时间:用分钟、时间片、小时、日、周、月、年来度量。l 技术指标提供流量的业务特征的信息:应用类型、TCP-flag、ToS、包大小这样,流量数据实际上就构成了一个多维数据集。所谓流量的统计分析过程,就是在指定的时空范围内,统计流量在不同维度的分布。例如,查看某段时间内某个端口上流量中各种应用所占比例就是查看指定的时间范围、指定地点流
15、量对应用这个技术指标维度的分布。NSFOCUS NTA提供了一个多维的视角,帮助使用者从不同的角度去透析网络。如图3.1展示了NSFOCUS NTA对网络中流量数据的透视:图 3.1 流量数据的透视3.3 异常检测原理异常流量的检测分为两个过程:流量数据的采集,流量数据的分析。NSFOCUS NTA基于Flow的采集方式得到网络中的流量数据,获得流的起止、流量等数据信息,并根据不同的对象:如路由器、接口等,按照时间点进行数据聚合,形成基于对象的流量特征模型。以异常流量检测为目的流量数据分析过程分为三个步骤:检测指标实测值的计算、检测指标基线值的计算、实测值与基线值的比较。对流量中符合攻击特征的数据进行统计,根据特征流量是否超出正常范围,判断攻击流量是否存在。每一种检测指标都对应一种或可能的几种攻击。也就是说,有的检测指标是专门检测某一种特定的异常流量的。而有的检测指标出现异常时,则能判断
