“五·一”假期虽短,但也足够让i博士、欧主管和钱经理这些常日奔波忙碌在一线的人享受一番了。
刚上班的时候,大家集体陷入了对“十·一”的盼望和对“五·一”的怀念之中。而欧主管所在公司的网络似乎也无法打起精神,恢复足够的状态。因为企业内部所有人都不能正常访问互联网了,网络很不稳定,而且MSN时常掉线,电子邮件也发不出去,对公司业务产生了严重影响。
欧主管立刻给i博士打电话询问此事。
谈需求 分析流量 确保业务连续
“i博士,我这边的网络和我一样,还没恢复工作状态。突然出现网络通讯中断,内部用户均不能正常访问互联网,我在机房中进行Ping包测试时发现,中心机房客户机对中心交换机管理地址的Ping包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情况更加严重。我猜可能是有病毒了,但是我一直没找到真实原因。”
i博士对欧主管说,经过我初步判断,引起这些问题的原因可能有三:1.交换机ARP表更新问题;2.广播或路由环路故障;3.病毒攻击。你还需要进一步获取ARP信息、交换机负载和网络中传输的原始数据包。
“我还建议你使用网络检测分析软件对网络中传输的数据包进行捕获,你仅仅通过交换机的端口流量,或者使用单纯的流量软件,将很难找到问题的根源,如果是病毒引起的网络故障,很可能会耽误问题的解决,这样网络中感染的主机会越来越多,最终将导致整个网络的全部瘫痪。”i博士又补充了一句。
“那么我应该用什么样的网络检测分析软件呢?”欧主管对i博士的建议产生了一个疑惑。
i博士解释说,近年来,很多服务提供商一直使用NetFlow。因为NetFlow在大型广域网环境里具有伸缩能力,可以帮助支持对等点上的最佳传输流,同时可以用来进行建立在单项服务基础之上的基础设施最优化评估,解决服务和安全问题方面所表现出来的价值,为服务计费提供基础。
但是,NetFlow也不是万能的,比如它无法提供应用反应时间。在对软件的选择上,应该注意他应该符合企业这些需求:
1.可以根据应用、主机和对话查看广域网和局域网的端口速率、分类统计以及利用率测量值;
2.可以通过业务单位、地理位置、IP子网等合计网络流量;
3.可定制时间段以支持工作日的测试报告;
4.可以报告全年网络流量性能;
5.可以对网络上的每个端口提供实时测试报告和告警;
6.可以自动运行定期的测试报告并发送Email;
7.可以通过将端口、IP地址来详细说明应用;
8.包括病毒扫描向导,可以快速报告并对潜在病毒进行告警。
i博士点评
建议使用网络检测分析软件对网络中传输的数据包进行捕获,仅仅通过交换机的端口流量,或者使用单纯的流量软件,将很难找到问题的根源。 Photoshop教程 数据结构 五笔输入法专题 QQ病毒专题 共享上网专题 Google工具和服务专题
话采购 集中分析 让网络更智能
“原来是这个样子,我需要部署便捷、分析问题快速,在短时间内就可以提供给我详细报告的智能的网络分析和网路应用性能分析解决方案。这样我就可以更有效地对网络进行管理,让老板改善整个企业中业务运作的服务水平。”欧主管对网络的管理满怀希望。
i博士说:“很早以前钱经理就用上了网络监测分析软件,可以从远程分析仪处收集数据,生成测试报告,提供了深入的分析,揭示出最难发觉的应用和网络故障。”
“还真是,我怎么早没想到这些。现在竞争那么激烈,需要新型的业务处理方式才能符合新的业务运营模式。信息结构发生变化就会引发出新的对分布式透视、集中式分析工具以及IT主动性与业务目标结合能力的需求。”
事实上,预测基于网络的资源的性能降级或损害以何种方式发生是不可能的。必须对重要的安全事件和网络威胁作全面的调查,阻止它们的重复发生。
“现在还有一些产品可以实现对整个网络故障事件的回放和重建,可以针对HTTP网页、POP3、SMTP、IMAP4邮件事务、互联网中继聊天(IRC)通信、FTP下载、VoIP会话等。重建和回放的过程可将数据转换成应用层事务流,你就可以轻松进行单步调试,而且感觉很真实。”i博士又给欧主管一个新的建议。
欧主管说:“我们的IT环境越来越复杂,包括很多集成媒体应用。这些应用的最佳性能需要一个对所有IT架构组件的统一视点。需要一个方法能够确保网络性能问题能够被及时和快速地隔离和解决。”
i博士给欧主管说清了其中的道理:“可以通过监测应用的集中业务,让你真正地把企业的业务与企业所依赖的IT架构集成在一起。业务部门经理能够创建有关服务器、网络或应用的“业务集装箱”,可以让他们轻松地发现业务服务的性能是否和他们预期的一样。”
“同时,对于你来说能够创建一个准确的分组,用来追踪特定设备、应用、服务器或他们监测和维护的数据库。”
欧主管按照i博士的建议后,马上安排人进行网络故障排查工作。很快,问题就得到了解决,果然是因为放假的缘故,很多人放松了警惕,让病毒流窜到网络中。
这次教训也提醒了欧主管,对于企业安全,只有起点,没有终点。而通过对网络进行不断的监控分析,可以确保业务连续。
i博士点评
对于企业安全,只有起点,没有终点。而通过对网络进行不断的监控分析,可以确保业务连续。
用户观点
北京市古城外国语学校信息处主任 张琦
流量要分析 网络要优化
进行流量监控和流量分析是整个网络合理化的重要环节,它能在最短的时间内发现安全威胁,在第一时间进行分析,通过流量分析来确定攻击,然后发出预警,快速采取措施。
流量分析要点
连接性 也称可用性、连通性或者可达性,严格说应该是网络的基本能力或属性。Internet的出现以及采用新技术而带来的生产力提高,导致对更高带宽和服务的需求。
企业需要更高带宽的定制服务;而消费者则需要像宽带连接和视频点播等服务;运营商必须在他们的目标市场需求与他们业务的现实之间取得平衡;这些都必须以网络的连接性能为基础和保障。
时延 定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变,由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两部分构成。
丢包率 是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同,在多媒体业务中,丢包是导致图像质量降低和断帧的根本原因。
带宽 一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。
在复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过例如MRTG等网络流量分析会使其更加明确,并以图形Html文档方式显示给用户,以非常直观的形式显示流量负载。
协议分析 对网络流量进行协议划分,如:Web浏览(HTTP)、电子邮件(POP3、SMTP、WEB MAIL)、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现。
业务网段流量分析 大多数组织,都是将不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同VLAN来进行网络流量监控。
主动分析避免异常流量
面对异常流量,我们应当建立一套分析系统,支持异常流量发现和报警,能够通过对一个时间段内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。
如果自行建立主动型的网络分析系统一般包括:测量节点、中心服务器、数据库和分析服务器。但对于中小企业来说难度较大。主动分析是借助产品化和集成程度较高的测量工具,有目的对生产网络注入监控点,并根据测量数据流的传送情况来分析网络的性能。虽然这些监控点也会占用带宽,但和P2P下载所占用的可用带宽相比是微不足道的。
在排除病毒和封锁P2P之后,一般带宽占用前两名的应用是基于网站页面的在线音频与在线视频。为了节约带宽,我们应该在工作时间段对其进行限制和封锁。随着网络本身的性能增强,流量分析相关理论、测量方法、和各种测量工具的不断出现,人们对网络的认识也会越来越深刻,从而不断地推动网络技术向前发展。 Photoshop教程 数据结构 五笔输入法专题 QQ病毒专题 共享上网专题 Google工具和服务专题
产品推介
为什么需要对流量监控?
如果作为一名普通网络用户,在浩瀚的Internet畅游之时,没有人会注意到平静的海面下其实暗流汹涌。一般来说,网络管理者所需要了解的是各个网段的使用情形,频宽的使用率,网络问题的瓶颈发生于何处。当网络问题发生时,必须能够很快地区隔出问题的发生原因,迅速定位到线路问题、网络设备问题、或者是路由和放火墙的设定问题。
在一个稍微较小的网络中,一个有经验的管理者要回答这些问题并不难,但是如果其所管理的网络范围过于庞大,那么就可能需要一个有效率的网管系统了。在业务繁忙的工作网络中,网络突然缓慢,在重要数据往来的工作时间段,留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。
除此之外,蠕虫病毒对网络速度的影响越来越严重。例如“网络天空”等邮件蠕虫病毒,它们导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户机子上的通讯簿的随机地址进行邮件发送。
成百上千的这种垃圾邮件有的排着队往外发送,有的又成批地被退回来堆在服务器上。这都造成个别骨干互联网出现明显拥塞,个别局域网近于瘫痪。但是如何才能快速地查出“真凶”?这些我们都不得而知。
如果你不能回答网络为什么缓慢?必须在经过科学合理的计算和统计,并且在预先建立的流量分析系统中才能找到答案。
东软NetEye异常流量分析与响应系统
NetEye异常流量分析与响应系统(Ntars)主要用于骨干网络的监控检测和分析,完成对骨干网络流量信息和系统信息的收集。
采用多种方法进行分析、检测,实时监控、检测骨干网络中Dos/DDoS攻击及其他网络异常事件。提取异常特征,并启动报警和响应系统进行过滤、阻断和防御。
同时,面向管理员提供流量分布、流量排名、攻击来源和目标、应用层服务等各类关于骨干网络运行状况的统计分析数据,从而帮助管理员更好地监控和掌握骨干网络的使用情况。
Sniffer提供了业界先进的网络流量实时监视、网络流捕获协议解码和专家系统(EXPert)分析功能,为用户提供了网络流量监控和分析能力,并提供了包括570多种网络协议的解码分析能力。
Sniffer的产品包括可为网络工程人员提供便携式的网络分析解决方案Sniffer Portable系列产品,结合Sniffer的报表系统提供对网络流量的长期分析统计功能,将用户的网络管理模式,从故障出现后查找原因的被动模式转变成主动发现网络流量异常,并预警分析来避免网络故障的主动式网络管理模式。
8e6 网络安全行为管理跟踪记录报告系统(Enterprise Reporter 3.0),能够处理大量的Internet数据流,每天处理可达6000万的服务请求。它还提供了外部网络连接存储(NAS)的选项,可支持几个TB的存储设备,确保任何大小的企业都有足够的空间来存储历史数据。
通过“Drill Down”功能使得管理员能够真正对数据进行准确和有效的分析,这与仅仅提供有限个“罐头”似的报表的方式形成对比,它鼓励了创造的积极性,并使得用户的SQL查询能够获得期望的结果。
北塔数据流分析系统(BT_Netflow_Analysis) 最主要的特点是,大量采用Cisco公司路由器产品或高端三层交换机产品的网络用户,在不增加投资的情况下,可以立即得到网络第二至第四层的数据实时分析、了解网络应用状况。
在数据源上,北塔数据流分析系统支持通过设定数据流特征,实时滤取特定数据流。可以在任何时刻均保留“此刻以前10分钟原始数据”以供事后进行“数据回放”分析。
通过灵活易管理的Blue Coat ProxySG系列产品可以控制和实现基于内容的带宽保护策略。能够制定策略规定谁可以访问某些特定的媒体类型,以及可以访问多大的流量。通过限制用户或某些网段的用户访问大量的数据以防止阻塞公司的网络。
选用专门的Blue Coat访问报告工具将Web流量根据用户进行分类统计报告,使企业能够评估Web安全策略的正确和合理性,更好地管理网络资源。 Photoshop教程 数据结构 五笔输入法专题 QQ病毒专题 共享上网专题 Google工具和服务专题
专家观点
从数据包看企业效能
在当今的分布式企业中, 越来越多的企业关键业务应用运行在计算机网络上,这些应用大大提高了企业的生产效率和生产质量,为业务运营提供了重要基础,成为提高企业竞争力的重要砝码。
可以说,一个公司的成功越来越依赖于网络中传输的信息——数据包。
计算机网络是企业的生命线
与此同时,随着企业关键业务应用在企业的广泛应用,企业业务对计算机网络的依赖程度日益增加,计算机网络系统在企业生产中的作用越来越重要,网络是否运行良好直接关系到企业业务的正常运行,“计算机网络是企业的生命线”这个理念日益被大家所认知。
当今复杂的IT环境需要支持分布式企业广泛的多层和集成的媒体应用。这些应用的最佳性能发挥需要一个对所有IT架构组件的统一视点。
该方法确保网络性能问题能够被及时和快速地隔离和解决,消除经常在一些非正规IT公司存在的“指指点点”现象。它还可以帮助IT管理员实施内部服务水平协议(SLAs),并且使IT与业务目标紧密地结合起来。
维护企业计算机网络系统的持续、高效、安全运行将是企业业务正常运行的基础和保证。
随着企业计算机网络的规模和复杂程度的增加、网络上应用的不断增加以及网络安全问题对网络的威胁不断增长,维护网络正常运行的难度也不断增加。
在这种情况下,必须通过加强网络的管理、采用新的网络管理技术来提高网络运行的稳定性、高效性和安全性,避免网络故障和安全问题给企业生产造成严重损失。
虽然传统的安全产品虽然可解决众多的安全问题,但它们缺少整合性,无法共同运作进而提供完整的网络覆盖面。有些安全产品只对网络通信进行“抽查”,而不是对每个字节都进行检查。或者,在进行更深入的数据分析的过程中,有的产品只保存有关的统计信息,而不是实际的数据包。
网络分析从数据包开始
优秀的企业级流量分析解决方案可为企业IT提供强大动力,简化网络管理任务,并且保护IT资产的扩展价值和生命周期。从方法论的角度考虑,从数据包开始对网络进行分析和管理,会使CIO通过简单、直观的仪表板显示报告,就能够洞察网络的运行状态,确保网络的高可用性。
通过网络分析解决方案对网络性能问题进行快速诊断和解决,将分布式的实时网络流量监控分析和远程监控相结合,并结合报表系统提供对网络流量的长期分析统计功能,将CIO的网络管理模式从故障出现后查找原因的被动模转变成主动发现网络流量异常并预警分析,来避免网络故障的主动式网络管理模式。
Fidelia NetVigil是一项可监测企业数据应用的集中业务服务,它整合了故障和性能监测功能,使IT经理真正地把他们的业务与他们所依赖的IT架构集成在一起。
业务部门经理能够创建有关服务器、网络或应用的“业务集装箱”视点,可以让他们轻松地发现业务服务的性能是否和他们预期的一样。同时,IT经理或数据管理员能够创建一个准确的视点,用来追踪特定设备、应用、服务器或他们监测和维护的数据库。
众说风云
曹鹏
东软网络安全营销中心解决方案事业部部长
深入流量分析
企业中各种网络设备繁多,产生Flow数据、SNMP信息、原始数据包、BGP路由等不同层面的流量信息。
对网络进行深入分析,往往需要产品具备异常行为特征库,通过特征匹配、内容检测、协议分析、行为分析等技术快速判断流量中隐藏的异常行为,同时还得允许管理员定制各类异常判断阈值,以增加符合客户网络实际环境的检测特征表项。
对于不同的攻击,需要采用分类检测技术,使用异常检测法来检测拒绝服务攻击、蠕虫爆发等异常流量,使用特征匹配法检测特征明确的攻击,使用杀毒引擎来检测病毒、蠕虫等恶意文件的传播,使用增强的Bayesian等算法检测垃圾邮件,从而实现准确、全面的检测各种攻击行为。
连邦俊
8e6科技公司大中国区总经理
分析流量之前要分析行为
当学生、教师和科研工作者通过互联网获取新的知识和信息的时候,一些非法的内容、恶意软件和攻击也随之进入校园网,这些攻击不仅对网络造成一定的安全威胁,而且还会对学生的身心健康产生比较大的影响。
这就需要对校园网内的所有人的行为进行分析,要做到对网络行为分析的掌控,就必须拥有分类细致的数据库、Web访问控制强的过滤策略和针对Web攻击的持续检测以及硬件失效检测的预警功能。
通过网络行为管理帮助校园网的管理人员,详细、准确地分析和记录上网行为,及时控制和阻断有一些不良网站的访问和恶意软件的下载,及时有效地对网络流量进行分析。
Lee Dolsen
Blue Coat高级技术培训师
SSL加密带来的流量风险
连接员工与外部互联网应用的加密SSL已经发展成为一种新兴的安全风险,是病毒、间谍软件、欺诈应用和其它网络威胁进入企业网络的新渠道。
大多数企业SSL流量包括关键业务应用,现已外包至互联网,如客户关系管理网站、旅游预订、人力资源和福利以及支出管理等。
当这些应用都采用SSL来保护企业数据的保密性,加密的流量会给企业带来一个重大问题:企业无法对SSL流量进行检查或控制,从而产生了一个巨大的IT“盲点”欺诈应用的SSL流量不用公司策略认可就可以长驱进入,致使企业受到安全威胁。
由于SSL的流量大多是关键业务,因此任何流量检查造成的网络性能下降,这都是企业难以接受的。
(出处:http://www.sheup.com)