你怎样才能大海捞针呢?在“流言终结者”第23集中,杰米和亚当为了找到针,各自销毁了干草。但这不是网络和安全管理员的选择。监控和保护现代网络需要在不破坏网络,甚至不破坏网络流量的情况下找到“针”。非常先进和自动化的分析工具使这成为可能。
专用工具,例如:
•网络性能监视和诊断(NPMD)
•应用程序性能监视(APM)
•下一代防火墙(NGFW)
•入侵检测系统(IDS)
•入侵防御系统(IPS)
没有这些自动化工具,根本不可能手动监控和保护我们的网络。但是这些工具很贵。我们如何从我们的监控和安全投资中获得最大收益?
这是大多数公司开始调查网络数据包代理(NPB)使用情况的时候。智能NPB具有很多功能,例如下面列出的功能。
流量过滤和应用程序过滤(通过第七层应用程序流进行流量过滤)的功能是直接从更少监控和安全工具量来获得更多可见性和安全性。
流量过滤的目的
Seeing more with less.流量过滤就是兑现这些承诺。流量过滤允许用户自定义:
- 我想看的特定流量排除所有其他流量(按条件通过)
- 我不想看的特定流量接收所有其他流量(按条件拒绝)
每种方式都旨在限制发送给监控和安全工具的数据量,从而使各个工具效率更高。毕竟,在半干草堆中找到一根针比在整堆干草堆中找针更容易。
流量过滤使我们能够减少所需的工具量。节省的预算可以用于购买其他的工具。
简而言之,为我们的监视和安全工具过滤流量的目的是:
-
使工具更有效地运行
-
充分利用工具容量
-
减少我们对单个工具集的总投资
-
允许我们购买其他工具
典型应用案例
以下是流量过滤的实际使用案例:
降低安全工具成本——某大学在网络中部署了智能NPB,使用Cubro的应用程序过滤功能,安全工具的负载减少了20-30%,实现了100%投资回报率。
改善语音和视频监控——Citrix统一通信服务是许多组织的关键生产力应用程序。监控体验质量可能需要分析基于SIP和PSTN的呼叫数据。然而,VoIP呼叫数据和PSTN呼叫数据是在不同的工具上进行分析的。流量过滤可以轻松地将相关流量发送到每个工具进行分析。
过滤加密流量以进行解密——根据Gartner的研究,安全套接字层(SSL)流量在所有出站Web流量中占很大比例,而且还在不断增加。它平均占总Web流量的15-25%,根据垂直市场的不同会有很大的差异。不幸的是,它阻止监控和安全工具检查流量。因此需要SSL解密。借助智能NPB,公司可以使用应用程序过滤来识别SSL流量,并仅将此流量发送给SSL解密工具或内部SSL解密功能。在这里,应用程序过滤节省了高达80%的SSL解密工具容量。
加快“实时”故障排除——减少故障解决时间是IT组织的一项重要指标。NPB上的重要故障排除功能是“快速”过滤取证工具或内置数据包捕获流量,这有助于显著加快故障隔离速度并减少解决时间。实际上,客户的故障排除时间减少了多达80%。
研究网络数据包代理的注意事项
流量过滤可能在任何NPB上执行的最复杂操作之一。因此,在评估这些工具时,重要的是了解要寻找什么。下面是一些重要的NPB流量过滤选择标准。
第7层应用程序过滤
能够轻松路由应用程序流对于网络可见性和安全性至关重要。许多NPB仅在第2-4层协议上路由流量。考虑具有深度数据包检查(DPI)和应用程序智能的NPB,可以过滤每个应用程序甚至简化RegEx过滤。
易于操作
配置流量过滤器可能非常复杂。考虑一个NPB,它可以使整个流量过滤过程自动化,从而消除了所有复杂性。
没有丢包
如果在NPB中没有很好地实现,则流量过滤在计算上可能很困难。仅考虑在启用过滤时保留完整数据包流的NPB。即使用户同时对NPB配置进行多个流量过滤更改,NPB也不应丢弃数据包。
同时使用
NPB通常由IT组织中的多个团队使用。考虑一个NPB,它支持多个团队成员同时使用而不会引起任何流量过滤问题和配置错误。如果没有此功能,团队可能会在紧急情况下出现问题。
注意事项
大海捞针很难。网络数据包代理流量过滤功能可帮助监控和安全工具更有效地完成工作。但是要明智选择。并非所有NPB上的流量过滤功能都相同。
