SecPath网络安全监控插卡概述V20.pptx

《SecPath网络安全监控插卡概述V20.pptx》由会员分享，可在线阅读，更多相关《SecPath网络安全监控插卡概述V20.pptx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络平安监控插卡网络平安监控插卡NSMNSM概述概述ISSUE 2.0日期：n了解了解NSM的基本功能的基本功能n掌握掌握NSM的典型组网的典型组网n掌握掌握NSM的开局方法的开局方法课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：nNSM产品功能介绍产品功能介绍nNSM产品典型应用产品典型应用nNSM产品典型组网产品典型组网nNSM开局指导开局指导nNSM产品使用本卷须知产品使用本卷须知目录目录产品功能概述NSM通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管理员及时了解和定位各种网络异常。NSM提供的效劳实质上是一种网络平安效劳。网络管理员可以使用N

2、SM的以下四种应用来提高网络的平安性和健壮性：网络流量统计分析各种网络平安事件的基础 网络流量监控及时发现网络平安事件的保障 网络平安漏洞检测消除隐患的有力武器 网络的优化与规划带来一个更合理、更健壮、更平安的网络。报文流入报文流出监控终端管理网络流量镜像产品功能特性介绍网络流量统计总流量统计总流量统计基于各种协议发送和接收的数据的总流量，协议包括各层协议，如基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议网络层协议IPIP、IPXIPX、应用层协议、应用层协议FTPFTP、HTTPHTTP等。等。IPIP组播流量统计组播流量统计发送和接收的发送和接收的IPIP组播数据的总

3、流量。组播数据的总流量。对TCPTCP会会话及其流量、及其流量、UDPUDP流量的流量的统计 1.1.当前处于活泼状态当前处于活泼状态TCPTCP会话，以及与每个会话对应的流量。会话，以及与每个会话对应的流量。2.2.通过端口号识别各种通过端口号识别各种UDPUDP流量。流量。对TCP/UDPTCP/UDP效效劳的的识别 通通过主机正在主机正在监听或使用的端口号，听或使用的端口号，识别主机使能的主机使能的TCP/UDPTCP/UDP效效劳 对操作系操作系统信息的信息的识别 识别主机的操作系主机的操作系统，包括，包括Microsoft WindowsMicrosoft Windows、Unix/

4、LinuxUnix/Linux等常用等常用操作系操作系统。对带宽使用情况的使用情况的统计 主机的即时流量、流量平均值和峰值。主机的即时流量、流量平均值和峰值。对流量分布情况的流量分布情况的统计 本地流量主机与同一个子网内的其他主机的流量和本地本地流量主机与同一个子网内的其他主机的流量和本地远程程流量主机与其他子网主机的流量的流量分布。流量主机与其他子网主机的流量的流量分布。NSM支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC地址或IP地址，NSM就能对该主机发送和接收的流量进行统计。产品功能特性介绍网络流量监控主机掩主机掩码配置配置错误 NSM可以可以监控网控网络中所有的中所有的

5、子网子网信息，从而信息，从而发现配置配置错误掩掩码的的主机主机 效效劳的的错误配置和使配置和使用用 通通过监控网控网络中各种效中各种效劳的的报文收文收发情况，特情况，特别是是请求求报文的文的频繁繁发送，可以分析网送，可以分析网络中的主机使用中的主机使用这些效些效劳时配置是否正确配置是否正确 无效无效协议 通通过查看看报表中的表中的协议，可以，可以发现不能在网不能在网络中正常使用的中正常使用的协议，如网如网络中正在使用中正在使用TCP/IP协议，而某些主机安装了，而某些主机安装了IPX、AppleTalk等等协议，这些些协议不但不能正常使用，不但不能正常使用，还会会产生一些生一些无效流量，浪无效

6、流量，浪费网网络资源源 网网络资源的不合理分源的不合理分配配 通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的效劳。耗大量网络资源的主机及其使用的效劳。网络流量数据包含了网络运行状况的信息，优秀的网络管理员通过这些数据，可以了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。产品功能特性介绍网络平安漏洞检测网络平安已经成为网络管理员最关注的问题之一。通常情况下，网络的平安隐患源于网络中存在的漏洞。而漏洞分为两个方面：第一，主机自我保护存在缺陷，容易被攻击；第二，网络中有人利用便利的网络资源，

7、对网络中的其他主机实施攻击。NSM通过对网络平安漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻击的主机，为网络管理员采取针对性措施提供依据。NSM能检测的平安漏洞包括：端口扫描Portscan检测 欺骗攻击Spoofing检测 木马Trojan horse检测 拒绝效劳DoS攻击检测产品功能特性介绍网络优化与规划网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，而是对网络不合理的配置与使用导致了带宽浪费。NSM通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。识别无效的网无效的网络协议，减少网，减少网络流量流量NSM

8、NSM可以发现主机安装的无效网络层通信协议，如可以发现主机安装的无效网络层通信协议，如IPXIPX等。另外，等。另外，OSPFOSPF、IGMPIGMP等协议需要在一定范围内使用才能发挥作用。等协议需要在一定范围内使用才能发挥作用。NSMNSM收集收集协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。机上使用。识别冗余的网冗余的网络协议，减少网，减少网络流量流量在网在网络中，中，为了了实现同一种功能，有同一种功能，有时会使用多种会使用多种协议，浪，浪费了网了网络带宽资源，如全部效源，如全部效劳器都使用器都使用DNS

9、DNS效效劳，而又有少量效，而又有少量效劳器同器同时使使用用WINSWINS效效劳。NSMNSM可以提供可以提供协议报表，表，为网网络管理管理员去除冗余去除冗余协议提提供依据。供依据。识别多余多余连接，接，节省网省网络资源源 在网在网络中，适当的中，适当的设置代理能减少主机之置代理能减少主机之间的的连接数，减少多余接数，减少多余连接，接，节省网省网络资源。源。NSMNSM可以提供网可以提供网络连接的接的报表，表，为网网络管理管理员合理合理设置代理提供参考置代理提供参考 优化路由化路由 NSMNSM可以可以获取取ICMPICMP重定向消息来重定向消息来发现网网络中的次中的次优路由。网路由。网络管

10、理管理员可以根据可以根据这一信息来一信息来优化网化网络中的路由中的路由 优化网化网络结构构NSMNSM可以收集流量并把流量与可以收集流量并把流量与协议、流向相关、流向相关联。网。网络管理管理员根据根据这些数据可以分析网些数据可以分析网络中的效中的效劳器器DNSDNS、DHCPDHCP位置是否合理，并位置是否合理，并作出适当作出适当调整整 nNSM产品功能介绍产品功能介绍nNSM产品典型应用产品典型应用nNSM产品典型组网产品典型组网nNSM开局指导开局指导nNSM产品使用本卷须知产品使用本卷须知目录目录产品典型应用介绍l精确统计功能精确统计功能P2P)P2P)l网络历史流量查询网络历史流量查询

11、l网络配置错误分析网络配置错误分析lDDOSDDOS攻击检测攻击检测l探测网络无用协议探测网络无用协议l主机主机OSOS指纹及角色探测指纹及角色探测精确统计功能P2PP2P流量占用了大量的网络带宽，如果能够精确的分析和找出P2P的流量状况以及定位用户，则是每个网络管理员梦寐以求的。NSM可以轻松做：1、通过查看Global TCP/UDP Protocol Distribution，可以看到目前网络中P2P协议流量在网络中的带宽占用；分析是否P2P是否影响了网络的正常使用；精确统计功能P2P续2、通过查看主机信息，可以明确哪些主机正在使用P2P协议网络历史流量查询NSM不仅可以对在线流量进行实

12、时查询和分析，而且可以通过查看历史数据来定位分析问题。历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布，有助于网络管理员对网络进行综合评价。网络历史流量查询续用户可以通过定制方式，来查询某种特殊流量，在某段时间的流量情况。通过对某台特性主机的监控和历史数据的分析，NSM可以很好地对效劳器的负载做出评估和规划调整。网络配置错误分析通过NSM可以协助网络管理员定位诸多网络配置问题。例如DNS效劳器配置错误、IP地址配置错误等等。如果主机可以PING通DNS，但是无法访问外部网络，而DNS又没有收到任何DNS报文，那么我们就可以判断该主机DNS配置错误。两台主机的IP地址冲突DDoS攻击

13、检测主机或者系统经常受到攻击，NSM同样可以协助管理员进行攻击检测。从上图可以看出效劳器收到了4496个TCP的SYN报文，而只有2个是有效的，由此判定效劳器正在受到SYN Flood攻击。探测网络无用协议NSM通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。例如：在内部网络的设备上启动SFlow，将SFlow流发给NSM进行分析。通过查看网络中协议种类，网络管理员就可以看出有些设备和主机正在发送一些无用协议。主机OS指纹及角色探测NSM同时探测本地主机的操作系统，以及该主机在网络中参与的角色。网络流量拓扑图NSM通过对本地的主机之间有流量通讯的

14、给出流量拓扑图。nNSM产品功能介绍产品功能介绍nNSM产品典型应用产品典型应用nNSM产品典型组网产品典型组网nNSM开局指导开局指导nNSM产品使用本卷须知产品使用本卷须知目录目录对防火墙自身流量分析NSM插卡在网络应用中和防火墙配合一同使用，监控流经防火墙的所有流量，对网络做出平安分析。比较适合网络流量在百兆左右的。1、实时分析网络中各种流量分布状况、带宽占用情况等2、实时分析内网效劳器负载情况、检测效劳器是否遭受DDOS攻击等3、分析历史数据，对重点流量例如P2P进行分析，做出网络平安限制分布式网络流量分析NSM能够监控流经防火墙的所有流量，但是对于防火墙内部网络中流量，如果该流量只是

15、在内网中通讯，或者该流量被内部网络中设备终结等，对于网络管理员，如果想对内部网络中状况有了解，则必须通过其他方式。NSM提供分布式网络流量分析的方法，用来解决：1、局域网内部网络流量；2、大型企业网中存在多台防火墙/路由器，管理员能够统一观察整网流量状况IP networkIP networkNetwork ManagerRouterANSM ModuleSwitch ASecPath(NSM Module)InternetIP networkSwitch BNetStreamMirror Data FlowNetFlownNSM产品功能介绍产品功能介绍nNSM产品典型应用产品典型应用nNSM

16、产品典型组网产品典型组网nNSM开局指导开局指导nNSM产品使用本卷须知产品使用本卷须知目录目录NSM开局指导1、安装NSM卡：将NSM单板完全插入防火墙设备的NSM单板插槽，并固定。注意：1安装前请断开防火墙的电源；2请保证NSM与SecPath的硬、软件配套(SecPath版本为3.4-E1622P01以上，目前支持NSM的设备有：F100-A/F1000-S/F1000-A)；2、连接PC与NSM的GE管理口 NSM开局指导3、配置SecPath防火墙 在防火墙的接口视图下，将通过防火墙设备的报文镜像到NSM单板，报文的方向可以选择出方向、入方向或双向，一般选择一个接口的双向流量。注意将

17、内部接口参加平安域。system-view system-viewSysname interface gigabitethernet 0/0Sysname interface gigabitethernet 0/0Sysname-GigabitEthernet0/0 mirror to gigabitethernet 1/0 Sysname-GigabitEthernet0/0 mirror to gigabitethernet 1/0 bothbothSysname-GigabitEthernet0/0 quitSysname-GigabitEthernet0/0 quitSysnamefi

18、rewall zone trust Sysnamefirewall zone trust Sysname-zone-trustadd int g1/0 Sysname-zone-trustadd int g1/0 4、登陆NSM NSM卡管理口的缺省地址为192.168.0.1/24，登陆用户名和密码为admin/admin，用IE登陆 (s):/192.168.0.1，登陆后请及时修改管理IP和管理口令。NSM开局指导NSM开局指导5、修改NSM卡的管理IP：单击导航树中的NSM Comfigure/NICs IP Address菜单项，即可进入配置NSM管理IP地址页面。NSM开局指导6、

19、修改NSM卡的管理员密码：缺省的用户名和密码均为admin。建议首次登录后，立即更改登录密码。单击导航树中的NSM Configure/Web Admin Password菜单项，即可进入登录密码设置页面：NSM开局指导一安装和简单配置7、启动和关闭NSM软件：单击导航树中的NSM/Administrator菜单项，即可进入NSM软件的启动和关闭。对NSM软件的操作有两种：Startup和Shutdown。执行这两种操作后，对应的NSM软件的运行状态分别为Running和Stop。NSM软件当前的运行状态将在下方实时显示。NSM开局指导8、翻开NSM监控页面：目前提供HTTP和HTTPS两种方

20、式来访问NSM监控页面。单击导航树中的NSM/Monitor(HTTP)或NSM/Monitor(HTTPS)菜单项，即可进入NSM监控页面。NSM开局指导9、选择显示哪个监视口的分析结果：NSM的监控接口有内部接口eth0用来接收防火墙镜像流量、eth1ASM外部接口、NetFlow虚拟接口用来接收NetFlow日志、sFlow虚拟接口用来接收sFlow日志，这里只是切换需要显示的接口，系统仍会同步监控建立的所有接口。NSM开局指导10、开启相关组件：缺省情况下，NSM开启了对防火墙镜像流量的分析组件，不需要另外开启，下面这些组件需要单独启用：进入plugins-all界面，可以根据需要开启

21、相应插件功能，点击状态即可进行切换。LastSeen主要用于查看NSM最后一次捕获到本地局域网主机的报文的时间；icmpWatch用于统计从网络接口捕获的各种类型的ICMP报文数，包括接收和发送的；NetFlow 用于分析的netflow日志，具体参考用户手册；PDAPlugin用来显示用户比较关心的一些简单的统计项，包括发包数和收包数最多的主机等等；rrdPlugin用来显示整体的流量统计状况，具体参考用户手册；sFlow用于分析sFlow日志，这种日志格式北电设备支持。NSM开局指导一安装和简单配置11、设定本端网段local Subnet Address 如果需要看到IPLocal的相关

22、信息，需要设置local 网段。具体配置方法是：AdminConfigureStartup Options，设置完成后需要按照步骤7重新启动软件。nNSM产品功能介绍产品功能介绍nNSM产品典型应用产品典型应用nNSM产品典型组网产品典型组网nNSM开局指导开局指导nNSM产品使用本卷须知产品使用本卷须知目录目录产品使用本卷须知NSM在使用过程中，有如下技巧和本卷须知需要关注：1、流量监控使用方式：一般来说只需要监控一个端口的双向流量。翻开多个端口流量镜像，会出现报文重复统计。2、热插拔：请不要热插拔NSM卡，否则极易导致NSM损坏。参考资料H3C SecPath系列平安产品 NSM 模块用户

23、手册 正文：具体的应用实例；FAQ。附录：详细的界面及参数介绍。9、静夜四无邻，荒居旧业贫。5月-235月-23Sunday,May 14,202310、雨中黄叶树，灯下白头人。18:08:1518:08:1518:085/14/2023 6:08:15 PM11、以我独沈久，愧君相见频。5月-2318:08:1518:08May-2314-May-2312、故人江海别，几度隔山川。18:08:1518:08:1518:08Sunday,May 14,202313、乍见翻疑梦，相悲各问年。5月-235月-2318:08:1518:08:15May 14,202314、他乡生白发，旧国见青山。1

24、4 五月 20236:08:15 下午18:08:155月-2315、比不了得就不比，得不到的就不要。五月 236:08 下午5月-2318:08May 14,202316、行动出成果，工作出财富。2023/5/14 18:08:1518:08:1514 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。6:08:15 下午6:08 下午18:08:155月-239、没有失败，只有暂时停止成功！。5月-235月-23Sunday,May 14,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。18:08:1518:08:1518:085/

25、14/2023 6:08:15 PM11、成功就是日复一日那一点点小小努力的积累。5月-2318:08:1518:08May-2314-May-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。18:08:1518:08:1518:08Sunday,May 14,202313、不知香积寺，数里入云峰。5月-235月-2318:08:1518:08:15May 14,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。14 五月 20236:08:15 下午18:08:155月-2315、楚塞三湘接，荆门九派通。五月 236:08 下午5月-2318:08May 14,20

26、2316、少年十五二十时，步行夺得胡马骑。2023/5/14 18:08:1518:08:1514 May 202317、空山新雨后，天气晚来秋。6:08:15 下午6:08 下午18:08:155月-239、杨柳散和风，青山澹吾虑。5月-235月-23Sunday,May 14,202310、阅读一切好书如同和过去最杰出的人谈话。18:08:1518:08:1518:085/14/2023 6:08:15 PM11、越是没有本领的就越加自命非凡。5月-2318:08:1518:08May-2314-May-2312、越是无能的人，越喜欢挑剔别人的错儿。18:08:1518:08:1518:0

27、8Sunday,May 14,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2318:08:1518:08:15May 14,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。14 五月 20236:08:15 下午18:08:155月-2315、最具挑战性的挑战莫过于提升自我。五月 236:08 下午5月-2318:08May 14,202316、业余生活要有意义，不要越轨。2023/5/14 18:08:1518:08:1514 May 202317、一个人即使已登上顶峰，也仍要自强不息。6:08:15 下午6:08 下午18:08:155月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！