03SecPath网络安全监控插卡概述V20.pptxVIP

网络安全监控插卡（NSM）概述ISSUE 2.0日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播课程目标学习完本课程，您应该能够：了解NSM的基本功能掌握NSM的典型组网掌握NSM的开局方法目录NSM产品功能介绍NSM产品典型应用NSM产品典型组网NSM开局指导NSM产品使用注意事项产品功能概述报文流入报文流出流量镜像管理网络监控终端NSM通过对网络流量的分析和统计，真实的反映了网络的具体情况，有助于网络管理员及时了解和定位各种网络异常。NSM提供的服务实质上是一种网络安全服务。网络管理员可以使用NSM的以下四种应用来提高网络的安全性和健壮性： 网络流量统计——分析各种网络安全事件的基础 网络流量监控——及时发现网络安全事件的保障 网络安全漏洞检测——消除隐患的有力武器 网络的优化与规划——带来一个更合理、更健壮、更安全的网络。产品功能特性介绍－网络流量统计NSM支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC地址或IP地址，NSM就能对该主机发送和接收的流量进行统计。总流量统计基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议IP、IPX、应用层协议FTP、HTTP等。IP组播流量统计发送和接收的IP组播数据的总流量。对TCP会话及其流量、UDP流量的统计 当前处于活跃状态TCP会话，以及与每个会话对应的流量。通过端口号识别各种UDP流量。对TCP/UDP服务的识别 通过主机正在监听或使用的端口号，识别主机使能的TCP/UDP服务 对操作系统信息的识别 识别主机的操作系统，包括Microsoft Windows、Unix/Linux等常用操作系统。 对带宽使用情况的统计 主机的即时流量、流量平均值和峰值。对流量分布情况的统计 本地流量（主机与同一个子网内的其他主机的流量）和本地－远程流量（主机与其他子网主机的流量）的流量分布。 产品功能特性介绍－网络流量监控网络流量数据包含了网络运行状况的信息，优秀的网络管理员通过这些数据，可以了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。 主机掩码配置错误 NSM可以监控网络中所有的子网信息，从而发现配置错误掩码的主机 服务的错误配置和使用 通过监控网络中各种服务的报文收发情况，特别是请求报文的频繁发送，可以分析网络中的主机使用这些服务时配置是否正确 无效协议 通过查看报表中的协议，可以发现不能在网络中正常使用的协议，如网络中正在使用TCP/IP协议，而某些主机安装了IPX、AppleTalk等协议，这些协议不但不能正常使用，还会产生一些无效流量，浪费网络资源 网络资源的不合理分配 通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的服务。产品功能特性介绍－网络安全漏洞检测网络安全已经成为网络管理员最关注的问题之一。通常情况下，网络的安全隐患源于网络中存在的漏洞。而漏洞分为两个方面：第一，主机自我保护存在缺陷，容易被攻击；第二，网络中有人利用便利的网络资源，对网络中的其他主机实施攻击。NSM通过对网络安全漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻击的主机，为网络管理员采取针对性措施提供依据。NSM能检测的安全漏洞包括： 端口扫描（Portscan）检测 欺骗攻击（Spoofing）检测 木马（Trojan horse）检测 拒绝服务（DoS）攻击检测产品功能特性介绍－网络优化与规划网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，而是对网络不合理的配置与使用导致了带宽浪费。NSM通过对网络流量的分析，可以协助管理员优化网络，或者在局部重新规划网络，从而使网络性能上一个台阶。 识别无效的网络协议，减少网络流量NSM可以发现主机安装的无效网络层通信协议，如IPX等。另外，OSPF、IGMP等协议需要在一定范围内使用才能发挥作用。NSM收集协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。识别冗余的网络协议，减少网络流量在网络中，为了实现同一种功能，有时会使用多种协议，浪费了网络带宽资源，如全部服务器都使用DNS服务，而又有少量服务器同时使用WINS服务。NSM可以提供协议报表，为网络管理员去除冗余协议提供依据。识别多余连接，节省网络资源 在网络中，适当的设置代理能减少主机之间的连接数，减少多余连接，节省网络资源。NSM可以提供网络连接的报表，为网络管理员合理设置代理提供参考 优化路由 NSM可以获取ICMP重定向消息来发现网络中的次优路由。网络管理员可以根据这一信息来优化网络中的路由 优化网络结构NSM可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分析网络中的服务器（DNS、DHCP）位置是否合理，并作出适当调整 目录NSM