科来网络回溯分析系统-深圳超算测试报告.docxVIP

深圳超算科来回溯分析系统测试分析报告成都科来软件有限公司2015年12月目 录1.测试概要11.1.需求分析11.2.测试目标22.设备部署43.网络流量可视化监控及异常事件回溯63.1.网络流量可视化监控63.2.异常事件一：流量突发分析93.3.异常事件二：服务器主动外联103.4.异常事件三：异常TCP连接行为143.5.异常事件四：路由环路173.6.异常事件五：数据泄露194.业务与分支机构流量梳理214.1.业务流量梳理214.2.分支机构流量梳理235.“WEB服务器”流量与性能监控255.1.业务访问量分析265.2.最慢语句追踪295.3.网络质量监控306.告警设置326.1.服务器与网络时延预警326.2.流量突发预警336.3.主机扫描预警346.4.TCP异常通信预警356.5.CIFS蠕虫攻击告警366.6.DDOS攻击预警376.7.邮件安全预警386.8.可疑域名检查417.科来软件公司简介43测试概要需求分析随着网络与应用信息化的全面建设和快速发展，网络中承载了越来越多的关键业务及应用。深圳超算托管了大量重要的业务系统，所有关键业务都实现了网络化运营。确保应用访问质量以及网络安全稳定高效的运行已经成为支撑深圳超算运营的关键。保障网络与应用的安全稳定高效的运行，一直是维护部门的主要任务。但如今网络和应用日益复杂，出故障的可能性也越大，造成的损失也越大；而且现今网络攻击越来越普遍和隐蔽。如何能够迅速的定位网络中的故障，找出攻击者成为网络管理人员头疼的问题。实践证明网络分析能实时的监控和分析网络运行情况，及时发现网络的异常和安全异常行为，快速定位分析网络和应用问题，同时提供强大的安全分析功能，是保障网络安全高效持续运行的非常有效的手段。传统的便携式网络分析产品虽然能够对网络安全事件进行分析。但是，面对越来越复杂的网络安全问题，如何从海量的网络数据中快速发现异常，如何在网络故攻击发生后快速重现攻击现象，并找出攻击源，如何提供长期的数据存储并快速提取历史数据进行精细的数据挖掘分析，是当前网络管理面临的新的挑战，便携式实时网络分析产品面对新的网络管理需求时，存在以下不足：无法实现长期的原始数据保存；无法实现持续的流量监控；无法查看分析历史通讯数据；无法还原历史攻击现象；无法进行网络链路统一集中管理；故障回溯分析能力欠缺；针对新的网络管理挑战，科来软件提供了高性能的网络回溯分析系统，使用灵活、简单的系统架构，实现了长期、大容量的数据存储、历史数据回溯及持续的网络流量监控，为企业网络管理提供了全新的解决方案。测试目标测试产品科来网络回溯分析系统RAS3004ST；测试目标深圳超算IDC机房承载着重要的业务系统及办公系统，能否有效的运行将影响到业务系统各个环节的协调，因此保障系统网络能够高效、安全的同时，还需要能够监控到网络中承载的业务的流量特征、运行状况，体现运维的核心价值：弥补现有管理手段的空白：网络与应用是互相依托的，都会对用户的业务体验造成影响，现有网络设备由网管工具进行监控，而应用系统则由系统本身的日志进行监控，这两个数据无法进行关联分析；而科来网络回溯分析系统可以从网络角度，通过网络时延、服务器应用语句处理时延、丢包、误码等量化指标来衡量用户的业务体验，弥补现有管理的空白；生产应用梳理：理清网络中各种业务系统流量，从而掌握网络资源占用情况，及时发现异常流量或新上线业务；生产应用监控：通过长期监控分析，建立关键生产应用的安全生产的运行基线，并建立合理的告警阀值，主动的发现生产业务的异常；生产业务性能分析：需要对用户指定的自定义应用进行实时监控和质量分析，能够实时显示及事后分析关键应用的重要通讯质量指标，如：网络响应时间、服务响应时间、通讯会话数量等等。实现主动化、数据化的精细业务质量监控与分析；运维价值展现：横向和纵向的多维度的展现网络运维的价值，流量最大的业务系统排序，每个业务主要有哪些用户在用；流量最大的用户排序，最繁忙的用户主要在跑什么业务系统；网络安全监控：通过7*24小时的监控，发现流量最大的内网/外网主机，分析网络中是否存在攻击、病毒、异常流量等安全隐患。智能预警：根据网络与业务系统的健康基准，设置各种针对业务系统的性能与安全预警，主动的发现问题。设备部署部署方式采用端口镜像（Monitor）旁路方式接入（不会影响原有网络与应用结构）部署拓扑图测试设备本次测试采用的设备为科来网络回溯分析服务器RAS3014ST， RAS3000系列产品针对大、中型企业网络，RAS3000提供了高达1000Mbps流量的线速捕获，采用RAID5/RAID6存储技术，存储容量最高可达16TB，冗余电源，可热插拔驱动器，提供双口RJ45及双口SFP数据采集网卡。硬件参数指标：捕获性能：2000Mbps流量实时捕