03-SecPath网络安全监控插卡(NSM)概述V20

网络安全监控插卡（NSM）概述ISSUE2.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解NSM的基本功能掌握NSM的典型组网掌握NSM的开局方法课程目标学习完本课程，您应该能够：NSM产品功能介绍NSM产品典型应用NSM产品典型组网NSM开局指导NSM产品使用注意事项目录通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管理员及时了解和定位各种网络异常。NSM提供的服务实质上是一种网络安全服务。网络管理员可以使用NSM的以下四种应用来提高网络的安全性和健壮性：网络流量统计——分析各种网络安全事件的基础网络流量监控——及时发现网络安全事件的保障网络安全漏洞检测——消除隐患的有力武器网络的优化与规划——带来一个更合理、更健壮、更安全的网络。报文流入报文流出监控终端管理网络流量镜像产品功能特性介绍－网络流量统计总流量统计基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议IP、IPX、应用层协议FTP、HTTP等。IP组播流量统计发送和接收的IP组播数据的总流量。对TCP会话及其流量、UDP流量的统计1.当前处于活跃状态TCP会话，以及与每个会话对应的流量。2.通过端口号识别各种UDP流量。对TCP/UDP服务的识别通过主机正在监听或使用的端口号，识别主机使能的TCP/UDP服务对操作系统信息的识别识别主机的操作系统，包括MicrosoftWindows、Unix/Linux等常用操作系统。对带宽使用情况的统计主机的即时流量、流量平均值和峰值。对流量分布情况的统计本地流量（主机与同一个子网内的其他主机的流量）和本地－远程流量（主机与其他子网主机的流量）的流量分布。NSM支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC地址或IP地址，NSM就能对该主机发送和接收的流量进行统计。产品功能特性介绍－网络流量监控主机掩码配置错误NSM可以监控网络中所有的子网信息，从而发现配置错误掩码的主机服务的错误配置和使用通过监控网络中各种服务的报文收发情况，特别是请求报文的频繁发送，可以分析网络中的主机使用这些服务时配置是否正确无效协议通过查看报表中的协议，可以发现不能在网络中正常使用的协议，如网络中正在使用TCP/IP协议，而某些主机安装了IPX、AppleTalk等协议，这些协议不但不能正常使用，还会产生一些无效流量，浪费网络资源网络资源的不合理分配通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的服务。网络流量数据包含了网络运行状况的信息，优秀的网络管理员通过这些数据，可以了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。产品功能特性介绍－网络安全漏洞检测网络安全已经成为网络管理员最关注的问题之一。通常情况下，网络的安全隐患源于网络中存在的漏洞。而漏洞分为两个方面：第一，主机自我保护存在缺陷，容易被攻击；第二，网络中有人利用便利的网络资源，对网络中的其他主机实施攻击。NSM通过对网络安全漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻击的主机，为网络管理员采取针对性措施提供依据。NSM能检测的安全漏洞包括：端口扫描（Portscan）检测欺骗攻击（Spoofing）检测木马（Trojanhorse）检测拒绝服务（DoS）攻击检测产品功能特性介绍－网络优化与规划网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，而是对网络不合理的配置与使用导致了带宽浪费。NSM通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。识别无效的网络协议，减少网络流量NSM可以发现主机安装的无效网络层通信协议，如IPX等。另外，OSPF、IGMP等协议需要在一定范围内使用才能发挥作用。NSM收集协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。识别冗余的网络协议，减少网络流量在网络中，为了实现同一种功能，有时会使用多种协议，浪费了网络带宽资源，如全部服务器都使用DNS服务，而又有少量服务器同时使用WINS服务。NSM可以提供协议报表，为网络管理员去除冗余协议提供依据。识别多余连接，节省网络资源在网络中，适当的设置代理能减少主机之间的连接数，减少多余连接，节省网络资源。NSM可以提供网络连接的报表，为网络管理员合理设置代理提供参考优化路由NSM可以获取ICMP重定向消息来发现网络中的次优路由。网络管理员可以根据这一信息来优化网络中的路由优化网络结构NSM可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分析网络中的服务器（DNS、DHCP）位置是否合理，并作出适当调整NSM产品功能介绍NSM产品典型应用NSM产品典型组网NSM开局指导NSM产品使用注意事项目录产品典型应用介绍精确统计功能（P2P)网络历史流量查询网络配置错误分析DDOS攻击检测探测网络无用协议主机OS指纹及角色探测精确统计功能（P2P）P2P流量占用了大量的网络带宽，如果能够精确的分析和找出P2P的流量状况以及定位用户，则是每个网络管理员梦寐以求的。NSM可以轻松做：1、通过查看[GlobalTCP/UDPProtocolDistribution]，可以看到目前网络中P2P协议流量在网络中的带宽占用；分析是否P2P是否影响了网络的正常使用；精确统计功能（P2P）（续）2、通过查看主机信息，可以明确哪些主机正在使用P2P协议不仅可以对在线流量进行实时查询和分析，而且可以通过查看历史数据来定位分析问题。历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布，有助于网络管理员对网络进行综合评价。网络历史流量查询（续）用户可以通过定制方式，来查询某种特殊流量，在某段时间的流量情况。通过对某台特性主机的监控和历史数据的分析，NSM可以很好地对服务器的负载做出评估和规划调整。可以协助网络管理员定位诸多网络配置问题。例如DNS服务器配置错误、IP地址配置错误等等。如果主机可以PING通DNS，但是无法访问外部网络，而DNS又没有收到任何DNS报文，那么我们就可以判断该主机DNS配置错误。两台主机的IP地址冲突攻击检测主机或者系统经常受到攻击，NSM同样可以协助管理员进行攻击检测。从上图可以看出服务器收到了4496个TCP的SYN报文，而只有2个是有效的，由此判定服务器正在受到SYNFlood攻击。通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。例如：在内部网络的设备上启动SFlow，将SFlow流发给NSM进行分析。通过查看网络中协议种类，网络管理员就可以看出有些设备和主机正在发送一些无用协议。同时探测本地主机的操作系统，以及该主机在网络中参与的角色。通过对本地的主机之间有流量通讯的给出流量拓扑图。NSM产品功能介绍NSM产品典型应用NSM产品典型组网NSM开局指导NSM产品使用注意事项目录插卡在网络应用中和防火墙配合一同使用，监控流经防火墙的所有流量，对网络做出安全分析。比较适合网络流量在百兆左右的。1、实时分析网络中各种流量分布状况、带宽占用情况等2、实时分析内网服务器负载情况、检测服务器是否遭受DDOS攻击等3、分析历史数据，对重点流量例如P2P进行分析，做出网络安全限制DMZzoneEth0/1202.38.2.1/24InternetSecPath(NSMModule)IntranetWebserver101.5.3.1/24能够监控流经防火墙的所有流量，但是对于防火墙内部网络中流量，如果该流量只是在内网中通讯，或者该流量被内部网络中设备终结等，对于网络管理员，如果想对内部网络中状况有了解，则必须通过其他方式。NSM提供分布式网络流量分析的方法，用来解决：1、局域网内部网络流量；2、大型企业网中存在多台防火墙/路由器，管理员能够统一察看整网流量状况IPnetworkIPnetworkNetworkManagerRouterANSMModuleSwitchASecPath(NSMModule)InternetIPnetworkSwitchBNetStreamNSM产品功能介绍NSM产品典型应用NSM产品典型组网NSM开局指导NSM产品使用注意事项目录、安装NSM卡：将NSM单板完全插入防火墙设备的NSM单板插槽，并固定。注意：1）安装前请断开防火墙的电源；2）请保证NSM与SecPath的硬、软件配套(SecPath版本为3.4-E1622P01以上，目前支持NSM的设备有：F100-A/F1000-S/F1000-A)；2、连接PC与NSM的GE管理口、配置SecPath防火墙在防火墙的接口视图下，将通过防火墙设备的报文镜像到NSM单板，报文的方向可以选择出方向、入方向或双向，一般选择一个接口的双向流量。注意将内部接口加入安全域。Sysnamesystem-view[Sysname]interfacegigabitethernet0/0[Sysname-GigabitEthernet0/0]mirrortogigabitethernet1/0both[Sysname-GigabitEthernet0/0]quit[Sysname]firewallzonetrust[Sysname-zone-trust]addintg1/04、登陆NSMNSM卡管理口的缺省地址为192.168.0.1/24，登陆用户名和密码为admin/admin，用IE登陆http(s)://192.168.0.1，登陆后请及时修改管理IP和管理口令。、修改NSM卡的管理IP：单击导航树中的[NSMComfigure/NICsIPAddress]菜单项，即可进入配置NSM管理IP地址页面。、修改NSM卡的管理员密码：缺省的用户名和密码均为admin。建议首次登录后，立即更改登录密码。单击导航树中的[NSMConfigure/WebAdminPassword]菜单项，即可进入登录密码设置页面：开局指导（一）安装和简单配置7、启动和关闭NSM软件：单击导航树中的[NSM/Administrator]菜单项，即可进入NSM软件的启动和关闭。对NSM软件的操作有两种：Startup和Shutdown。执行这两种操作后，对应的NSM软件的运行状态分别为Running和Stop。NSM软件当前的运行状态将在下方实时显示。、打开NSM监控页面：目前提供HTTP和HTTPS两种方式来访问NSM监控页面。单击导航树中的[NSM/Monitor(HTTP)]或[NSM/Monitor(HTTPS)]菜单项，即可进入NSM监控页面。、选择显示哪个监视口的分析结果：NSM的监控接口有内部接口eth0（用来接收防火墙镜像流量）、eth1（ASM外部接口）、NetFlow