正在阅读:“成都数维”TAP设备可视化技术应用于金融行业“成都数维”TAP设备可视化技术应用于金融行业

2017-03-30 16:07 出处:其他 作者:佚名 责任编辑:yuyanhong_JZ

  随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及,其地位越来越重要,整个社会对网络的依赖程度越来越大。

  伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。现在,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见,网络资源滥用(包括P2P下载、IM即时通讯、网络游戏、在线视频等行为),黑客攻击行为几乎每时每刻都在发生,所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。

  同时随着用户网络复杂度的增加,各个业务系统之间互相关联,业务架构趋于复杂化,如何能够快速的进行故障的快速定位与排查,也逐渐网络维护过程中所要面临的一个重要问题。

  而上文提到的各种各样的问题和威胁,也催生了各种传统信息安全管控(攻击防护/入侵检测与防御/传统IT访问行为审计)、业务信息安全管控(业务操作风险稽核/风险预警)以及NPM与APM性能管理系统等的建设,这些产品通常基于旁路部署的方式进行网络上的流量采集和分析,随着用户等保项目的建设,部署了越来越多的这种网络旁路监控设备,也出现了各种各样的问题,譬如镜像端口不够用,管理相对分散、无法精确识别管道数据、资源利用率过低、监控投资过大、监控分析效率低下等等。

  而成都数维通信技术有限公司,主要就是为解决用户安全以及性能监控项目建设过中遇到的各种各样的问题,提供了一个完善的解决方案,也就是建立一个NetTAP统一流量采集分发平台。

  一、NetTAP统一流量采集分发平台的价值:

  1、统一流量采集分发

  通过建立统一的流量采集分发平台,可以对用户需要采集的数据进行统一的调度,并且可以做到多个端口的汇聚复制输出或者负载均衡输出,消除镜像端口限制,灵活的指定流量的转发策略。

  2、精确的识别管道数据

  通过建立统一的流量采集分发平台,可以通过IP地址、MAC地址、端口号、vlan号、协议号、帧类型等等方式对采集到的数据进行分发前的过滤,比如不同分析系统他可能需要数据的维度不同,那么我们就可以精确的去识别这样的数据,然后将这些数据提取出来转发给后端设备,而大大降低后台分析设备的压力。

  3、大幅度降低投资成本,提高资源利用率

  通过建立统一的流量采集分发平台,可以通过串接采集和交换机端口镜像采集的方式对全网数据进行采集,有效消除了监控盲点,减少很多不必要的投资、降低了用户采集数据的难度,从而大幅度提高了资源的利用率。

  4、简化网络的复杂度。

  通过建立统一的流量采集分发平台,有效避免了用户无法根据网络发展统一规划部署监控设备,而造成随着监控设备部署的增多,网络拓扑变得杂乱无章的问题,统一平台建立后,用户如果由于等保项目或者其他安全需求而要部署其他监控设备的时候,只需要将这些监控设备接入我们流量采集分发平台,再由流量采集分发平台对数据进行一个统一的分发就可以了。

  5、精确的故障定位。

  通过建立统一的流量采集分发平台,可以通过对各个节点采集到的数据打时间戳的方式,协助后端分析设备快速的进行网络故障节点的定位,并且集分发平台一旦监控到某个采集链路出现DOWN的状态,会通过snmp trap告警的方式或者syslog日志的方式将问题及时反馈给服务器

  二、NetTAP统一采集常用的一些采集技术:

  1、SPAN镜像采集(TAP设备)

  SPAN镜像采集是最常见的一种采集技术,也就是通过在交换机上做端口镜像的方式,将采集流量输入给后端设备,但是当用户需要在同一个节点部署多台监控设备的时候,很多交换机往往由于性能的限制,无法提供足够的镜像端口,而我们的设备可以通过对接入的SPAN镜像数据复制成多份输出,有效解除了同一个采集点部署多台监控设备的难点。

  2、在线电口采集(TAP设备)

  在线电口采集,主要应用于双绞线链路的数据采集,比如交换机不支持镜像端口或者镜像端口已经被占用,或者服务器和防火墙之间、路由器路由器之间,可以通过将我们的NetTAP设备串接在链路中间,对流经NetTAP设备的流量进行一个透明的采集,并且由于我们设备支持bypass切换功能,一旦串接NetTAP设备出现故障,可在70MS以内完成快速的bypass切换,对业务链路的收敛不会照成任何影响。

  3、在线分光采集(光TAP设备)

  在线分光采集,主要应用于光钎链路的数据采集,比如交换机不支持镜像端口或者镜像端口已经被占用,或者服务器和防火墙之间、路由器和路由器之间,可以通过将我们的分光器设备串接在链路中间,通过分光器分光的方式将数据采集,并且我们可以根据用户的要求进行一个分光比和单模多模的定制,同时分光器属于无源设备,不用担心设备掉电故障的发生。

  4、流量复制汇聚输出和负载均衡输出

     NetTAP设备采集到流量后,可以对采集到的数据进行简单的复制转发,也就是一个节点采集到的数据复制到多个端口做输出,也可以进行汇聚输出,也就是多个节点采集到的数据汇聚到一个端口,同时由于某些时候汇聚过后的流量过大,我们也可以通过负载均衡的方式将流量负载到多个端口进行输出,并且我们负载均衡输出的方式是通过hash负载的方式实现的,在负载输出的同时也有效的保证了会话的完整性。

  6、多元组过滤

    由于不同的监控设备所需要监控的数据的维度不同,就比如数据库审计系统可能只需要数据库的流量,如果只是单纯的将全量数据转发给它,那么无疑是增加了一些无用的分析,影响了设备的性能,而我们NetTAP设备可以根据用户的需求,依据数据报文特征字段、ip地址、mac地址、端口号、协议号、vlan号、tcp标志位等等多种过滤方式,对数据进行一个预处理,有效减轻后台分析设备的压力。

  7、MAC地址替换

  NetTAP设备可以对采集到的原始数据报文,替换指定的源/目的mac地址,达到对输入的数据进行标记的功能,并且标记过后,可以根据后端设备的一些需求,来做相应的分发。

  8、vlan标记和去标记

  NetTAP设备对采集的原始数据报文,可以标记指定的vlan标签后进行输出,也可以对采集的原始数据报文,剥离vlan tag后再进行输出,以方便后端监控设备进行相应的数据分析。

  9、时间戳功能

  NetTAP对采集的原始数据报文的MAC地址,标记纳秒级的时间戳后进行输出。时间戳的功能,主要应用于NetTAP设备对于用户业务链路进行多点采集的环境,一旦发现某些时刻用户的的网络体验变慢的了,可以对各个节点采集到的数据打上时间戳,协助后端分析设备判断具体是哪些节点之间的转发延迟较大,从而达到快速的故障定位的目的。

  10、数据切片

  数据切片主要是指可以对采集到的数据报文,截短成指定的报文长度后进行输出。

  数据包切片主要应用于某些安全部门,比如国安、网安需要对采集到的原始数据报文存储半年或者三个月,但是有些时候,可能用户只关心网络层面的数据或者多少个字节以前的数据,如果全量存储的话,对用户而言,存储压力是非常大的,同时还造成了一个资源的浪费,这种情况就可以通过NetTAP设备的数据包切片功能将报文中用户不关心的数据部分直接切掉、丢弃,只留下用户需要的部分,大幅度减轻了用户的存储压力。

  11、数据脱敏

  数据脱敏是指对采集的原始数据报文任意位置,替换指定的字符后输出。数据脱敏主要在金融行业应用的比较多,主要针对某些敏感信息,可能用户并不希望后端的安全监控设备得到这些敏感信息,那么可通过在设备上面进行相应的配置,将敏感字节屏蔽掉或者替换成其它字符。

  12、流量去重复

  流量去重是指对采集的原始数据报文,可以先进行去除重复数据报文后再进行输出。流量去重复主要应用于某些环境,用户对多个节点进行数据采集,往往会采集到很多重复数据,而大量的重复数据报文常常会造成很多后台监控设备比如NPM的TCP重传误报。

  13、DPI应用层协议识别

  DPI应用层协议识别主要指可以对采集到的数据报文、匹配指定的应用层协议后进行输出。现阶段NetTAP设备主要集成了常见的视频流识别、P2P 数据识别、数据库识别、聊天工具识别、HTTP 协议识别、流标识、流重组等 DPI 功能

  三、NetTAP流量采集应用方案:

  (1)基础应用(复制、汇聚、过滤等)

  NetTAP设备典型应用之一:

  通过分光输入和span镜像的方式进行数据采集口,随后NetTAP设备将输入流量进行汇聚按预配置规则处理之后,可采用复制/汇聚/分流/过滤等方式输出至后台流量分析系统。

  (2)高级流量预处理应用(时间戳、去重、切片、脱敏等)

  NetTAP流量采集平台的高级预处理应用

  通过将部署我们的流量采集平台,可以通过镜像输入、分光输入、在线采集的方式首先将业务链路上各个重要采集节点的的数据采集到我们的NetTAP流量采集平台,再根据后台分析系统的要求,对输入流量进行汇聚按相应DPI规则处理之后,可采用过滤等方式输出至后台安全审计类系统。

  NetTAP深度 DPI设备,支持逐流过滤、会话跟踪、去重、切片、脱敏、视频流识别、P2P 数据识别、数据库识别、聊天工具识别、HTTP 协议识别、流标识、流重组等功能。

  (3)100GE高速率数据采集分发应用

  100GE 系列高密度网络NetTAP分流器主要应用于 100GE 链路集中的运营商移动互联网出口、省网、骨干网和大型IDC 出口进行流量采集, 如上图所示,NetTAP设备对采集到的N路100GE 链路的流量首先执行流量汇聚及基于特定规则的报文/流过滤流量标识,并根

  据不同的后台应用需求,通过多个 10GE 接口分配相应流量输出至各后台系统进行分析。同时,分流器支持对多台分析设备组成的监控分析云系统的各个节点进行动态监控健康检查,基于健康检查的结果对其进行智能分配流量,在分析节点状态正常时,为其正常分配一定比例的流量,节点状态异常时,减轻或停止为其分配分析流量。通过分流器与后台分析云节点之间的互动共同构建一套高可靠性的监控分析云系统。

  四、总论

  成都数维通信技术有限公司的NetTAP统一流量采集分发平台可有效的避免网络中监控设备分散部署所带来的各种各样的问题,为简化网络复杂度,减轻后端引擎压力,节约用户投资成本、是一种高可靠性的可视化汇聚分流方.

 
为啥你的宽带网速,永远没有运营商说的那么快?
知道这几点 可以让投影更“长寿”!进来看看 Wi-Fi 4/5/6/7都代表什么?一文读懂Wi-Fi进化史 说好能打200页,为什么打了几张照片就没墨了? 年轻人的第一台投影怎么选?进来告诉你

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
IT热词

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品