LFAP轻型流量记账协议及其在网络安全管理中的应用.pdfVIP

·13D· 第十九次全国计算机安全学术交流会论文 LFAP轻型流量记账协议 及其在网络安全管理中的应用 邓 勇 李 波 王君川 22 北京7 7信箱10分箱 摘 要：本文通过对LFAP轻型流量记账协议的研究，介绍了LFAP协议的基本原理、功能和 作用，并给出了在网络实时监视、安全审计、流量分析等网络安全管理中的应用。 关键词：LFAP记账协议安全管理 一、引言 流经该交换机的流量信息，流量信息中包括每个通信 流建立的时间、源地址、目的地址、协议、源协议端口、 当前，在网络安全审计、攻击检测、访问监视等 目的协议端口、源物理端口、目的物理端口、收发字节 系统的实现上大都采用共享式网段捕包的方式，但 数、收发包数等信息。交换机中的LFAP客户程序收 由于现在网络结构广泛采用交换式结构，共享捕包 集流量记账信息后，用LFAP协议与流量记账服务器 只能另接HUB，这会造成交换机资源浪费和效率降进行协议握手，交换流量信息。我们要做的工作就是 低。如采用交换机提供的镜像口技术，由于中高档交 在记账服务器中实现LFAP协议，与交换机中的 换机背板速度已达几个Gb／s，甚至几十个Gb／s，用 主机来捕包，丢包是不可避免的。共享捕包方式能捕 获完整的帧信息，适于基于内容的网络安全审计、攻 击检}贝0。为了适应交换式大流量网络体系结构，在宏 观安全管理时(不基于内容)，可使用RMONI、 RMONII、NETFLOW、LFAP等技术，这些技术直接在 交换机上获取网络流量信息，审计记账信息。 RMONI、RMONII方式记录流量的累计值，无通信明 细。NETFLOW、LFAP可记录较详细的通信明细。下 面通过对LFAP轻型流量记账协议的研究来说明其 在网络安全管理中可起的作用。 二、LFAP协议分析 VR：版本请求报文 VRA：版本请求确认报文 Flow AR：管理请求报文 ARA：管理请求确认报文 LFAP轻型流量记账协议(Light-weight FAR：流量记账请求报文 FUN：流量升级通知报文 Accounting Flow Protocol，早期版本写作Light-weight Admission 图1 LFAP客户／服务器模式 Protocol。LFAP协议的详细内容请参阅 大会论文 ．131． LFAP客户程序握手并获取流量信息，然后利用这些 记账服务器1l l记账服务器2| l记账服务器3 流量信息进行网络实时监视、审计、流量统计分析等 工作。LFAP协议要在交换机中驻留并运行LFAP客 户程序，可能会对交换机的性能产生影响，但笔者通 集线器 过在凯创SSR系列交换机上的实际使用，没发现有 工 交换机 明显的性能下降。