sflow技术在网络安全管理中的应用 Application of sflow Technology in Network Security Management.pdfVIP

第20卷 华中电力 2007年第3期 snow技术在网络安全管理中的应用 吴 後 (华中电网有限公司技术中心，湖北武汉430077) 摘要：着重讨论snow的概念，分析了snow在网络安全管理中的作用、优点和使用，最后针对在华中电网有 限公司的网络安全管理中如何应用snow技术进行了应用举例。 关键词：流量；网络；安全 中图分类号：TP393．08文献标识码：B 文章编号：l006—6519(2007)03—0041—02 ofsnow inNetwork ApplicationTechnology Security 随着企业网络规模的越来越大、越来越复杂，越 数据进行分析，从而提供整个网络的连续监视能力。 来越多的数据在网络中传输．对网络的流量监控管 sFlow是一种导出性协议，目前仅仅被美国惠普 理就变得尤为重要。任何一个在网络上的病毒的传 (HP)和网捷∞und嘲这两家公司应用到其各类网络 播都有可能对网络性能或状态造成极大地影响，这 设备中。 将直接对企业的生产、研究、办公等造成极大影响。 sFlow被部署在运行于网络中实际的交换机和 要实现整个企业的安全。传统的网络安全解决方 路由器上的ASIC中。网捷公司的交换机或路由器 案．越来越多地需要耗费大量资源。在现代网络中的 通过内嵌在JetCore 千兆、几千兆和万兆以太网链路。使防火墙和IDS越 换机或路由器的每一个端口，以不同的速率：10 来越难以承担监视和控制流量的任务。将防火墙和 Mbps、100Mbps、千兆或者万兆全线速地抽样。SFlow IDS放置在关键网络(如服务器群组和拥有大量知识 抽样可以在机箱的每一个端口或者单个端口改变抽 资产的部门)的入口点。有可能将会出现多种问题：比 样和轮询率，而不是捕获和记录交换机或路由器端 如检查点的增加势必引起性能下降；镜像端口不能转 口上的每一个数据包。这些sFlow数据包样本被转 发几千兆上行链路的所有流量：适应千兆速度的防火 发给网络上的一台snow采集服务器．在这台服务 墙和IDS系统非常昂贵，捕获数据的集中管理和观察 器上，利用算法对样本数据包进行分析处理，从而建 非常耗费资源；没有足够的IT资源来安装所有防火 立网络传输流的完整模型。用户可以通过一台管理 墙和IDS系统，并维护和执行所要求的操作等。在大 工作站非常方便、直观地来察看、分析网络各种流量 流量攻击面前，依赖镜像端口或旁路器的传统安全部 信息，以此判断网络上各种各样的情况，从而有效地 件会不堪负荷，造成了总体效能的削减。 管理着越来越复杂的企业网络。snow的流量分析原 完整的网络管理是各个网络管理人员长期追求 理见图1。 的目标。试图理解所有可能的数据流、带宽需要、性能 蕴含、安全威胁和计费安排仅仅是网络管理员面对现 代网络的一部分挑战。在2001年IETF提出的草拟 3176)作为网络导出协议为面 标准sFlow技术假FC 对日益增加挑战的网络管理员提供了一个良好的解 决方案。虽然sFlow并不是一项对所有转发数据包进 行安全分析的完全“镜像端口”或“网络旁路”技术，但 是它可以提供适合安全监视和策略执行的大量信息。 sFlow的优势在于能够对安全采集器提供的实时采样 图1 snow的流量分析原理 收稿日期：2007—01—25 作者简介：吴俊(19630，男，江西吉安人，计算机室副主任，高级工程师，长期从事网络管理与维护 万方数据 一41— 2007年第3期 华中电力