《流量管理NAT.docx》由会员分享,可在线阅读,更多相关《流量管理NAT.docx(4页珍藏版)》请在课桌文档上搜索。
1、流量管理NAT定网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的义控制。它的最主要方法,是引入QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。随着黑客攻击入侵技术的不断发展,在一些网络场景下入侵检测系统无法对网络威胁进行有效的发现。基于这种情况,NTA(NetworkTrafficAnaIysis)网络流量分析于2013年首次被提出,并且在2016年逐渐兴起,集流量收集、分析、报告于一体。NTA是以网络流量为基础,应用人工智能、大数据处理等先进技术,基于流量行为进行实时分析并展示异常事件,解决谁在什么时间、什么地方执行什么行为等安全流程中的重要问题。在N
2、TA提出伊始,重点在于网络流量与分析的能力,但随着NTA的不断发展,厂商开始突破其技术的局限性,增加检测和响应的功能,尤其是针对高级威胁的行为分析与快速响应。因此,NTA(网络流量分析)这个术语已经不能够完全涵盖这些新的特征,由此,NDR(网络检测与响应)应运而生。技流控技术分为两种:术一种是传统的流控方式,通过路由器、交换机的QoS模块实现基于类源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于型四层流控;路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的IP包流量识别和QoS控制技术,仅对IP包头中的五元组”信息进行分析,来确定当前流量的基本信息。传统IP
3、路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如,P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。NTA(NetworkTrafficAnalysis)网络流量分析技术,融合了传统的基于规则的检测技术、机器学习和其
4、他高级分析技术,用以检测企业网络中的可疑行为。它于2013年被提出,2016年后逐渐在市场上兴起。NTA的“2.0版本”NDR(NetworkDetectionandResponse)网络威胁检测及响应技术因此应运而生,能在发现网络安全隐患的同时对威胁或异常流量进行追踪溯源,还能联动外围的安全设备进行响应拦截。约在2020年提出。入选NDR全球市场指南的产品及厂商,必须满足Gartner严格的评选标准:实时或接近实时的网络原始流量分析能力南北向、东西向的全方向流量采集、监控和分析能力能够建立网络行为模型并发现异常,不依赖于传统的签名指纹匹配技术支持手动或自动的威胁及异常处置能力流量指纹分析技术
5、:通过流量特征对流量进行识别。DPI:DeepPacketInspection,是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。DFI:DeepFlowInspection,是一种基于流量行为的应用识别技术,以流为基本研究对象,从庞大的网络流数据中提取流的特征,比如流大小、流速度等。也就是不同的应用类型体现在会话连接或者数据流上的状态不同。主L网络流量识别能力、安全分析能力。要2、流量管控能力。保证关键业务带宽,限制与工作无关的流量,防止对功带宽的滥用。对安全事件处置能力。能3、对流量进行审计。依照法规要求记
6、录上网日志,避免违法行为。保障内部信息安全,减少泄密风险。安全事件溯源能力部旁路模式:与交换机镜像端口相连,通过对网络出口的交换机进行镜像署映射,设备获得链路中的数据拷贝,主要用于监听、审计局域网中架的数据流及用户的网络行为。构一般部署在DMZ、WEB服务区、生产区。实1.一般为两台设备,一台设备作为流量采集探针,另外一台设备作为安施全分析和展示系统,注2.不同厂商对协议解析数量和解析深度不同,要根据实际情况进行取舍。意事项主G61454-2018信息安全技术网络型流量控制产品安全技术要求要YD2668-2013电信网络异常流量检测与控制技术要求标G“1543-2019信息安全技术网络设备信息探测产品安全技术要求准主科来、wireshark.Sniffer等要商