科来网络回溯分析技术解决方案 .pdf

科来网络回溯分析技术解决方案2015 年 6 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 网络分析技术解决方案I 目录1项目背景 . 12需求分析 . 13网络分析技术解决方案 . 23.1科来产品部署原理 . 33.2方案概述 . 43.3网络运维管理的应用价值 . 44科来回溯分析系统简介 . 84.1功能概要 . 84.2功能特点 . 94.3技术优势 . 115产品型号及报价 . 错误！未定义书签。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 14 页 - - - - - - - - - 网络分析技术解决方案1 1 项目背景随着信息化建设步伐的不断加快,信息网络技术在的应用日趋广泛,这些先进的技术给的管理带来了前所未有的便利,也提升了的管理质量和服务水平,同时对行业网络信息和数据的依赖程度也越来越高,因此也带来了不可忽视的网络系统安全问题。例如 :网络规模的不断扩大，网络越来越复杂，应用环境也越来越复杂，网络中的数据流量越来越大，如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。在这种情况下， 网络运行维护人员必须对网络的流量占用、 应用分布、 通讯连接、 数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握，才能在网络出现性能和安全问题时，能够快速准确的分析问题原因， 定位故障点和攻击点并将其排除，从而实现网络价值最大化。2 需求分析根据目前的应用及网络状况， 需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断,帮助管理员排除网络事故,规避安全风险 ,提高网络性能 ,增大网络可用性价值。 使不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。在网络日常运维中主要存在如下几个困扰：1) 信息网中运行着大量的服务和设备，一旦业务应用出现问题，需要快速区分名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - - - - - 网络分析技术解决方案2 是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，导致运维团队之间互相推诿责任，问题解决效率迟缓，如何快速定位问题已成为网络管理的迫切需求。2) 需要掌握重要业务应用链路的流量趋势，流量利用率等情况。 针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。另外还需要对网络通讯按业务类型进行归类和分析，帮助管理人员有效地掌握业务通讯状态，提高管理策略依据。3) 对影响网络安全的攻击或异常行为，无法及时发现与监控，避免网络出现重大故障甚至瘫痪。4) 及时发现网络中存在的安全隐患（扫描攻击），以便网络管理人员及时加固和消除。5) 对一些突发的网络故障，稍纵即逝并且发生周期不定，不能及时重现网络故障现象，定位故障原因，将故障排除，避免相同故障的再次发生。6) 降低网络管理成本，提高网络管理的服务质量。基于以上的分析，网络安全分析技术能较好的解决目前出现的问题。3 网络分析技术解决方案根据目前的需求，现以网络分析技术方案来构建信息网络的安全分析系统，针对日常运维中棘手的网络故障、安全威胁隐患、网络性能隐患等方面的问题，提供一套高效处理与分析的工具，保障信息网的稳定与可靠。 下面对网络的安全分析制定如下方案：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - - - - 网络分析技术解决方案3 3.1科来产品部署原理端口镜像（ Port Mirroring ） ，是为了方便对一个或多个网络接口的流量进行分析（如 IDS 产品、网络分析仪等） ，可以通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听，目前大多数三层或三层以上的交换机及部分二层交换机都支持该功能。如上图所示， 可以通过在出口交换机上做配置，将出口流量完全复制到交换机的另一个端口给科来网络分析系统做数据的监控、分析。端口镜像是相当成熟的技术， 对交换机本身的开销很小， 而且这种旁路的方式可以保证科来网络分析系统对原有网络不造成任何影响。TAP（分路器）的方式旁路部署，该部署方式是为了节省核心设备端口及运行开销资源的部署方式， 可以通过在已有的镜像链路进行数据复制分发到科来网络回溯分析系统进行数据的采集分析。这样不会影响网络原有的架构及核心网络设备本身的资源开销。目前广韶高速营运中心有收费网、监控网、2.5G 通讯网、 OA 网和 Internet名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - - 网络分析技术解决方案4 网多张网络， 但是都是在同一机房， 如果流量不大可通过一台设备多个采集口的方式同时监控，或者通过TAP 的方式接入都可以。3.2方案概述为了能够全面监视网络的健康状况， 将网络安全分析系统以旁路的方式部署在网络的关键链路上， 实现对重要链路的实时监控分析。安装部署后不会改变原有的网络结构和网络速度。 通过网络分析对网络进行可视性透视和专家级的诊断，全方位的监控网络、评估网络、应用性能，快速定位网络故障，并对潜在的安全隐患进行预警，从而保障网络的持续稳定高效运行。3.3网络运维管理的应用价值基于科来回溯分析系统解决方案能够帮助信息系统管理人员透视网络关键节点的通讯数据， 实现分布式、 全方位的网络可视化运维， 从而进一步完善信息系统“稳定、安全、高效”的管理目标。科来网络运维管理解决方案能够有效的提高用户的信息系统运行水平并为信息系统提供更高级别的安全保障，主要表现在以下几个方面：实现网络精细化管理，提供网络运行、应用运行的可视化分析通过网络通讯分析技术， 网络协议分析技术， 端口分析技术， 数据包解码技术等网络分析技术， 能够对网络系统存在的瓶颈进行有效评估，避免盲目的升级硬件、扩容带宽。帮助节约高昂的运维成本。通过对底层数据包进行全面、系统的解码、分析、诊断，并将结果体现于直名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - 网络分析技术解决方案5 观、易懂的界面或报表中，让网络、应用不再是“黑匣子”。网络管理者通过这些数据可以掌握网络、应用运行的趋势、各种性能参数如利用率、流量、数据包大小等，为网络升级规划、资源合理分配提供夯实的数据基础。科来网络应用安全回溯分析系统提供从全局到节点、会话再到数据包的分析过程。全天候关键网络、业务的网络流量监控系统提供对关键链路的全天候图形化的流量监控功能，通过对流量的长期监控，以图形化的方式直观展现网络行为及运行规律，从而帮助用户建立网络基线，并通过用户自定义的在线实时告警功能，及时提醒用户以避免网络问题的发生。通过对业务应用系统及各个分支机构网段的定义，实现对各个分支机构访问各个业务系统流量情况形成常态化监控，并实时掌握每个业务每日/周/月总的流量趋势，及与各个分支机构的流量趋势。也为我们以后业务流量扩容提供客观、科学的依据。网络和应用故障快速定位诊断分析，减少网络和应用非正常中断时间科来回溯分析系统具有强大的数据包级回溯分析能力，当信息系统出现非计划停运时能够迅速提取异常前后的通信数据进行故障分析，对于间歇性故障通过数据包回溯能够完整的展现故障发生时刻的原始通信状况；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - - - - - - - 网络分析技术解决方案6 7 24 小时实时应用监控指标分析和专家分析系统原始数据流还原功能，能够快速帮助技术人员判断故障层次，区分故障是由网络原因导致的还是应用系统原因导致的；专家分析系统的智能诊断模块可以自动分析定位网络中7 个层次的常见异常，帮助技术人员快速诊断问题。网络异常流量的及时发现和分析，防止网络非正常中断科来回溯分析系统能够及时发现链路或应用流量异常变化，结合科来回溯分析系统的故障分析能力快速查找问题根源，避免流量拥塞导致通信质量下降甚至发生中断；科来回溯分析系统能够实现针对用户关键应用的各项性能指标监控，包括：应用流量、数据包量、会话数量、网络延时、服务响应时间、丢包重传量等等。 通过这些关键指标实现对业务应用和网络通信质量的主动监控与分析；科来回溯分析系统的HTTP 应用交易分析功能能够帮助用户对使用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - 网络分析技术解决方案7 HTTP 协议的应用（如门户网站等）的各板块交易量、交易处理状态、交易成功率等用户交互信息进行深入分析，使应用管理人员能够了解网站的访问量和访问状况， 同时通过交易分析发现网站无效链接避免不必要的资源消耗。安全威胁的及时发现和分析处理，避免和减少造成实际危害能够对网络中传输的数据和网络用户的网络行为进行有效的监控分析，能够及时的发现异常的流量和异常的网络行为，并进行有效的主动分析，实现基于网络流量异常和网络行为异常的主动发现和分析，能够主动发现影响网络正常运行的潜在威胁和隐患，为网络的持续平稳运行提供保证；科来网络运维管理解决方案实现对网络中通讯数据的长时间保存，一旦网络中出现网络和安全问题，能够调取当时的网络通讯数据，实现对问题的追溯分析能力，并提供科学有效的判定证据。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 14 页 - - - - - - - - - 网络分析技术解决方案8 隐患的发现和排查，避免故障发生科来强大的实时分析和报警功能可以实现对关键业务应用性能指标的阈值预警，及时发现信息系统性能异常变化，从而提前采取措施有效降低非计划停运事件的发生概率；科来回溯分析系统能够提供5 大类全方位的网络异常行为预警。科来丰富的警报功能，能够及时发现最新型的网络攻击行为，网络管理人员可以随时根据网络链路流量特点和当今安全形势调整各种警报的参数以发现最新的安全隐患。4 科来回溯分析系统简介科来网络回溯分析系统是能够长时间记录网络通讯数据，并提供基于时间的数据挖掘分析系统。4.1功能概要7X24 小时的关键网络通讯数据的实时分析与收集保存通过长期捕获关键网络的网络通讯数据，实时分析并分类记录所有的网络用户的网络行为数据， 网络通讯数据和应用访问数据，从而为网络问题分析、 网络流量警报? 流量异常? 蠕虫活动? 扫描/攻击? DoS/DDoS邮件敏感字? 邮件蠕虫? 信息泄密特征值警报?蠕虫 /木马?应用错误代码?信息泄密可疑域名警报? 挂马网站访问? 反弹型木马? 僵尸网络? DNS 欺骗应用监控警报?应用流量异常?网络 RTT 异常?应用响应时间异常名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 14 页 - - - - - - - - - 网络分析技术解决方案9 行为分析、网络性能和应用性能分析提供最完整，最有力的数据基础。基于时间的网络通讯数据回溯分析能够快速追溯到任意时间范围内的重点分析目标的通讯数据，包括与其关联的通讯数据的快速挖掘和全面分析，帮助用户快速定位分析网络和应用问题，发现和分析安全攻击，对网络用户的网络行为进行深入有效的高精度分析。4.2功能特点高性能的数据捕获和存储千兆性能的网络流量实时处理能力， 能够线速的保存骨干链路上的所有通讯数据，包括所有的数据流信息和数据包。长期的数据保存能力集成的大容量存储系统，可提供从2TB 至 72TB 的专用网络回溯分析系统硬件，同时可根据用户的需求提供更大容量存储系统的定制硬件，提供关键链路网络通讯数据的长期存储。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 14 页 - - - - - - - - - 网络分析技术解决方案10 高效快速的数据挖掘和检索提供任意时间范围的网络通讯数据挖掘能力，能够快速的检索到主机、 应用的通讯信息，同时对数据流信息进行检索和挖掘，直到相关数据包的快速挖掘，帮助用户快速定位挖掘特定分析目标的网络通讯数据。全面深入的网络通讯分析能力提供科来网络分析系统的对网络通讯的各种全面深入分析功能，包括强大的专家系统智能分析、数据包详细解码分析、节点分析、数据流分析、安全分析、应用层日志分析等对网络通讯的多种精细分析能力。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 14 页 - - - - - - - - - 网络分析技术解决方案11 4.3技术优势数据包级回溯分析对各种网络和安全问题提供强有力的分析取证能力。专用的软硬件一体化设计，安装部署容易，支持远程部署，远程访问，支持对分布在不同地点的多条网络链路通讯进行集中长期监控分析。方便高效的数据检索和数据挖掘界面，提供直观高效的数据分析和挖掘能力，业界领先的逐级数据挖掘分析视图，可根据时间、主机、应用、会话进行逐级数据挖掘，方便高效的挖掘所需分析数据。支持方便快速的数据导出能力，能够提供多种格式的数据包文件，并支持数据包播放功能，方便其他分析系统进行数据分析。专用的文件存储格式和方式，其他程序无法直接访问读取回溯服务器保存的网络通讯数据，同时提供用户访问认证和授权控制功能，保证系统数据的安全性。采用 RAID5 和 RAID6 存储技术，保证存储数据的可靠性。5 科来简介科来软件成立于2001 年，是一家高速成长的高新技术软件企业，产品畅销全球 5大洲 80余个国家和地区。科来以不断创新的网络分析技术 （CSNA ）为核心，致力于帮助企业用户及各组织机构-精确解决网络故障、 主动防御网络安全、全面优化网络及应用性能，全面提升其网络价值。3 项国家专利5+级技术创新认证科来软件专注于网络管理和网络风险分析，目前拥有 3 项国家专利技术，获得 5+级国际技术创新认证， 是国内最大的专业网络分析系统提供商。科来软件秉承 专心、专注、专业 的原则，打造高品质的网络分析软件品牌，为网络管理用户提供 快速、准确、有效 的服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 14 页 - - - - - - - - - 网络分析技术解决方案12 遍布 80 多个国家服务 5000 余家客户科来软件用户遍及5 大洲 81 个国家和地区，国家电网、南方电网、国家核电技术有限公司、福建福清核电站、深圳海关、华为技术有限公司、中国移动、广东电信等，全球超过5000 家政府、教育、企业客户在使用科来软件产品或服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 14 页 - - - - - - - - -