在选择新硬件时,网络流量分析历来是第二个关注点。然而,企业IT生态系统以及针对他们的威胁,在过去几年中已经发生了巨大的变化。 BYOD(带自己的设备)和日益复杂的分布式拒绝服务(DDoS)攻击的出现意味着需要内置网络分析功能来维持性能和安全性。
流的类型
流分析是缓解高流量风险的特别有价值的工具,因为它可以让您详细了解网络上发生的情况。你应该在Flows分析中看到什么?流数据捕获允许您查看谁在发送和接收数据,什么样的流量,以及何时使用流量。当您尝试验证您的网络上正在使用什么类型的流量时,提供的数据非常重要,无论是对等,Web,备份还是您可能不知道的其他流量。通常使用三种类型的流来识别趋势和问题:Netflow,sFlow和JFlow。对于每个,设置流处理需要配置路由器或交换机作为出口商,这意味着它将流量数据发送到流分析工具。
Netflow
NetFlow是思科开发的一种技术,用于收集和监控已启用NetFlow的路由器和交换机生成和捕获的网络流量数据。这给出了网络活动的最准确的表示,因为它使用所有IP业务数据并且允许根据分组类型更有效地交换分组。但是,它也有助于提高CPU利用率 – 每秒10,000个流量的导出转化为大约7%的额外CPU使用率。
sFlow
sFlow只需要流过网络的包的样本。这意味着可能错过一些对话,这将限制网络管理员在执行详细分析时发现异常的能力。然而,sFlow使用专用芯片来处理信息,并且也可以与传统网络协议一起使用,因此它不会导致与NetFlow相同的性能命中。 SFlow协议主要适用于3Com,Netgear,Dell和Hewlett Packard等供应商设备。
JFlow
JFlow非常类似于sflow,因为它也是由瞻博网络开发和使用的IP流量采样器技术。很像sFlow,它在接口上启用,它允许捕获输入流中的数据包进行采样。路由器或交换机将查看每个分组,但将仅记录和发送新分组或消除它已经看到的分组。
决定哪些协议是最佳选择最终取决于您将如何使用它和您在您的环境中运行的供应商设备。例如,需要与客户进行所有通信的大型组织可能需要考虑NetFlow,因为它提供了更多的实质性数据。其详细数据可用于识别潜在问题事件所需的合规性审核,安全性和深入的网络分析。
如果主要目标是找出在网络上消耗带宽的是谁或什么,sFlow对于那种趋势分析是有用的,而不会对CPU造成太大的压力。 SFlow器件成本更低,并且更容易管理。然而,对于任何这些选项工作,重要的是要注意,有问题的设备必须能够支持流数据捕获和导出。
查找流量监控工具
流分析工具在功能方面差别很大,但是无论您的具体需求如何,都需要考虑一些关键组件。确保最大限度地利用您的资金也很重要,因为流分析工具的成本可能会有所不同。一些主要功能包括:
支持多流协议
自动发现
可视化
粒度和高级数据视图
这些基本功能使管理员能够更好地了解其网络并快速响应问题。例如,使用实时流量分析可以立即查看网络流量的峰值,而历史数据可用于更深层次地调查问题。
这并不意味着流应该替代其他安全工具,如防火墙或入侵检测软件。然而,完全依靠基于周界的防御可能会留下安全漏洞;正是这些漏洞,协议如NetFlow,JFlow和sFlow被设计来填充。通过分析实际网络流量,IT人员即使在威胁绕过基于签名的检测保护措施时也能够检测异常。
Intermapper流如何可以帮助
Intermapper Flows是网络流量监控软件,可以增强您判断网络中流动的数据类型的能力。它这样做以毫秒的精度收集数据,并提供顶级说话人,顶级主机和顶级侦听器的取证级别视图。 而且,因为数据随时间保留,您可以进行事后网络流量分析,以确定什么导致网络流量尖峰。 Intermapper可以支持所有版本的NetFlow,包括Flexible NetFlow和IPFIX。看看Intermapper Flow如何通过观看这个七分钟的视频提供更深入的网络流量视图。