03-SecPath网络安全监控插卡(NSM)概述V20课件

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络安全监控插卡（,NSM,）概述,ISSUE 2.0,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解,NSM,的基本功能,掌握,NSM,的典型组网,掌握,NSM,的开局方法,课程目标,学习完本课程，您应该能够：,NSM,产品功能介绍,NSM,产品典型应用,NSM,产品典型组网,NSM,开局指导,NSM,产品使用注意事项,目录,产品功能概述,NSM,通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管理员及时了解和定位各种网络异常。,NSM,提供的服务实质上是一种网络安全服务。网络管理员可以使用,NSM,的以下四种应用来提高网络的安全性和健壮性：,网络流量统计,分析各种网络安全事件的基础,网络流量监控,及时发现网络安全事件的保障,网络安全漏洞检测,消除隐患的有力武器,网络的优化与规划,带来一个更合理、更健壮、更安全的网络。,报文流入,报文流出,监控终端,管理网络,流量镜像,产品功能特性介绍网络流量统计,总流量统计,基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议,IP,、,IPX,、应用层协议,FTP,、,HTTP,等。,IP,组播流量统计,发送和接收的,IP,组播数据的总流量。,对,TCP,会话及其流量、,UDP,流量的统计,当前处于活跃状态,TCP,会话，以及与每个会话对应的流量。,通过端口号识别各种,UDP,流量。,对,TCP/UDP,服务的识别,通过主机正在监听或使用的端口号，识别主机使能的,TCP/UDP,服务,对操作系统信息的识别,识别主机的操作系统，包括,Microsoft Windows,、,Unix/Linux,等常用操作系统。,对带宽使用情况的统计,主机的即时流量、流量平均值和峰值。,对流量分布情况的统计,本地流量（主机与同一个子网内的其他主机的流量）和本地远程流量（主机与其他子网主机的流量）的流量分布。,NSM,支持对网络中的主机进行流量统计。只要能获取主机的名称、,MAC,地址或,IP,地址，,NSM,就能对该主机发送和接收的流量进行统计。,产品功能特性介绍网络流量监控,主机掩码配置错误,NSM,可以监控网络中所有的,子网,信息，从而发现配置错误掩码的主机,服务的错误配置和使用,通过监控网络中各种服务的报文收发情况，特别是请求报文的频繁发送，可以分析网络中的主机使用这些服务时配置是否正确,无效协议,通过查看报表中的协议，可以发现不能在网络中正常使用的协议，如网络中正在使用,TCP/IP,协议，而某些主机安装了,IPX,、,AppleTalk,等协议，这些协议不但不能正常使用，还会产生一些无效流量，浪费网络资源,网络资源的不合理分配,通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的服务。,网络流量数据包含了网络运行状况的信息，优秀的网络管理员通过这些数据，可以了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。,产品功能特性介绍网络安全漏洞检测,网络安全已经成为网络管理员最关注的问题之一。通常情况下，网络的安全隐患源于网络中存在的漏洞。而漏洞分为两个方面：,第一，主机自我保护存在缺陷，容易被攻击；,第二，网络中有人利用便利的网络资源，对网络中的其他主机实施攻击。,NSM,通过对网络安全漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻击的主机，为网络管理员采取针对性措施提供依据。,NSM,能检测的安全漏洞包括：,端口扫描（,Portscan,）检测,欺骗攻击（,Spoofing,）检测,木马（,Trojan horse,）检测,拒绝服务（,DoS,）攻击检测,产品功能特性介绍网络优化与规划,网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，而是对网络不合理的配置与使用导致了带宽浪费。,NSM,通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个,台阶。,识别无效的网络协议，减少网络流量,NSM,可以发现主机安装的无效网络层通信协议，如,IPX,等。另外，,OSPF,、,IGMP,等协议需要在一定范围内使用才能发挥作用。,NSM,收集协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。,识别冗余的网络协议，减少网络流量,在网络中，为了实现同一种功能，有时会使用多种协议，浪费了网络带宽资源，如全部服务器都使用,DNS,服务，而又有少量服务器同时使用,WINS,服务。,NSM,可以提供协议报表，为网络管理员去除冗余协议提供依据。,识别多余连接，节省网络资源,在网络中，适当的设置代理能减少主机之间的连接数，减少多余连接，节省网络资源。,NSM,可以提供网络连接的报表，为网络管理员合理设置代理提供参考,优化路由,NSM,可以获取,ICMP,重定向消息来发现网络中的次优路由。网络管理员可以根据这一信息来优化网络中的路由,优化网络结构,NSM,可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分析网络中的服务器（,DNS,、,DHCP,）位置是否合理，并作出适当调整,NSM,产品功能介绍,NSM,产品典型应用,NSM,产品典型组网,NSM,开局指导,NSM,产品使用注意事项,目录,产品典型应用介绍,精确统计功能（,P2P),网络历史流量查询,网络配置错误分析,DDOS,攻击检测,探测网络无用协议,主机,OS,指纹及角色探测,精确统计功能（,P2P,）,P2P,流量占用了大量的网络带宽，如果能够精确的分析和找出,P2P,的流量状况,以及定位用户，则是每个网络管理员梦寐以求的。,NSM,可以轻松做：,1,、通过查看,Global TCP/UDP Protocol Distribution,，可以看到目前网络中,P2P,协议流量在网络中的带宽占用；分析是否,P2P,是否影响了网络的正常使用；,精确统计功能（,P2P,）（续）,2,、通过查看主机信息，可以明确哪些主机正在使用,P2P,协议,网络历史流量查询,NSM,不仅可以对在线流量进行实时查询和分析，而且可以通过查看历史数据来定位分析问题。,历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布，有助于网络管理员对网络进行综合评价。,网络历史流量查询（续）,用户可以通过定制方式，来查询某种特殊流量，在某段时间的流量情况。,通过对某台特性主机的监控和历史数据的分析，,NSM,可以很好地对服务器的负载做出评估和规划调整。,网络配置错误分析,通过,NSM,可以协助网络管理员定位诸多网络配置问题。例如,DNS,服务器配置错误、,IP,地址配置错误等等。,如果主机可以,PING,通,DNS,，但是无法访问外部网络，而,DNS,又没有收到任何,DNS,报文，那么我们就可以判断该主机,DNS,配置错误。,两台主机的,IP,地址冲突,DDoS,攻击检测,主机或者系统经常受到攻击，,NSM,同样可以协助管理员进行攻击检测。,从上图可以看出服务器收到了,4496,个,TCP,的,SYN,报文，而只有,2,个是有效的，由此判定服务器正在受到,SYN Flood,攻击。,探测网络无用协议,NSM,通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。,例如：在内部网络的设备上启动,SFlow,，将,SFlow,流发给,NSM,进行分析。,通过查看网络中协议种类，网络管理员就可以看出有些设备和主机正在发送一些无用协议。,主机,OS,指纹及角色探测,NSM,同时探测本地主机的操作系统，以及该主机在网络中参与的角色。,网络流量拓扑图,NSM,通过对本地的主机之间有流量通讯的给出流量拓扑图。,NSM,产品功能介绍,NSM,产品典型应用,NSM,产品典型组网,NSM,开局指导,NSM,产品使用注意事项,目录,对防火墙自身流量分析,NSM,插卡在网络应用中和防火墙配合一同使用，监控流经防火墙的所有流量，对网络做出安全分析。比较适合网络流量在百兆左右的。,1,、实时分析网络中各种流量分布状况、带宽占用情况等,2,、实时分析内网服务器负载情况、检测服务器是否遭受,DDOS,攻击等,3,、分析历史数据，对重点流量例如,P2P,进行分析，做出网络安全限制,分布式网络流量分析,NSM,能够监控流经防火墙的所有流量，但是对于防火墙内部网络中流量，如果该流量只是在内网中通讯，或者该流量被内部网络中设备终结等，对于网络管理员，如果想对内部网络中状况有了解，则必须通过其他方式。,NSM,提供分布式网络流量分析的方法，用来解决：,1,、局域网内部网络流量；,2,、大型企业网中存在多台防火墙,/,路由器，管理员能够统一察看整网流量状况,IP network,IP network,Network Manager,RouterA,NSM Module,Switch A,SecPath,(,NSM Module,),Internet,IP network,Switch B,NetStream,M,i,r,r,o,r,D,a,t,a,F,l,o,w,N,e,t,F,l,o,w,NSM,产品功能介绍,NSM,产品典型应用,NSM,产品典型组网,NSM,开局指导,NSM,产品使用注意事项,目录,NSM,开局指导,1,、安装,NSM,卡：,将,NSM,单板完全插入防火墙设备的,NSM,单板插槽，并固定。,注意：,1,）安装前请断开防火墙的电源；,2,）请保证,NSM,与,SecPath,的硬、软件配套,(,SecPath,版本为,3.4-E1622P01,以上，目前支持,NSM,的设备有：,F100-A/F1000-S/F1000-A),；,2,、连接,PC,与,NSM,的,GE,管理口,NSM,开局指导,3,、配置,SecPath,防火墙,在防火墙的接口视图下，将通过防火墙设备的报文镜像到,NSM,单板，报文的方向可以选择出方向、入方向或双向，一般选择一个接口的双向流量。注意将内部接口加入安全域。,system-view,Sysname,interface,gigabitethernet,0/0,Sysname-GigabitEthernet0/0 mirror to,gigabitethernet,1/0 both,Sysname-GigabitEthernet0/0 quit,Sysnamefirewall,zone trust,Sysname-zone-trustadd,int,g1/0,4,、登陆,NSM,NSM,卡管理口的缺省地址为,192.168.0.1/24,，登陆用户名和密码为,admin/admin,，用,IE,登陆,http(s):/192.168.0.1,，登陆后请及时修改管理,IP,和管理口令。,NSM,开局指导,NSM,开局指导,5,、修改,NSM,卡的管理,IP,：,单击导航树中的,NSM,Comfigure/NICs,IP Address,菜单项，即可进入配置,NSM,管理,IP,地址页面。,NSM,开局指导,6,、修改,NSM,卡的管理员密码：,缺省的用户名和密码均为,admin,。建议首次登录后，立即更改登录密码。单击导航树中的,NSM Configure/Web Admin Password,菜单项，即可进入登录密码设置页面：,NSM,开局指导（一）安装和简单配置,7,、启动和关闭,NSM,软件：,单击导航树中的,NSM/Administrator,菜单项，即可进入,NSM,软件的启动和关闭。对,NSM,软件的操作有两种：,Startup,和,Shutdown,。执行这两种操作后，对应的,NSM,软件的运行状态分别为,Running,和,Stop,。,NSM,软件当前的运行状态将在下方实时显示。,NSM,开局指导,8,、打开,NSM