網(wǎng)絡流量管理的主要工作內(nèi)容:了解網(wǎng)絡流量的分布、找到優(yōu)化網(wǎng)絡性能的方法���、通過網(wǎng)絡管理技術來提升網(wǎng)絡效能���,做好網(wǎng)絡流量信息安全方面的防護工作。
DPI技術對傳統(tǒng)的流量檢測技術進行了“深度”擴展��,在獲取數(shù)據(jù)包基本信息的同時��,對多個相關數(shù)據(jù)包的應用層協(xié)議頭和協(xié)議負荷進行掃描��,獲取保存在應用層中的特征信息�,對網(wǎng)絡流量進行精細的檢查、監(jiān)控和分析�����。
DPI技術通常采用如下的數(shù)據(jù)包分析方法:
傳輸層端口分析��。許多應用使用默認的傳輸層端口號��,例如HTTP協(xié)議使用80端口。
特征字匹配分析����。一些應用在應用層協(xié)議頭或者應用層負荷中的特定位置包含特征字段,通過特征字段的識別實現(xiàn)數(shù)據(jù)包檢查�、監(jiān)控和分析。
通信交互過程分析�。對多個會話的事務交互過程進行監(jiān)控分析,包括包長度�、發(fā)送的包數(shù)目等,實現(xiàn)對網(wǎng)絡業(yè)務的檢查���、監(jiān)控和分析����。
該技術如果進行更加詳細的劃分�����,還可分為特征字的識別技術�、應用層網(wǎng)關識別技術、行為模式識別技術���,這三類識別技術分別適用于不同類型的協(xié)議�����,相互之間無法替代���,只有綜合地運用這三大技術,才能有效�、靈活地識別網(wǎng)絡上的各類應用,從而實現(xiàn)控制和計費����。
DFI技術 DFI是深度流行為檢測(Deep Flow Inspection)的簡稱,也是一種典型的業(yè)務識別技術�����。DFI技術是針對DPl技術的不足提出的�,為了解決DPI技術的執(zhí)行效率、加密流量識別和頻繁升級等問題���。DFI更關注于網(wǎng)絡流量特征的通用性�,因此��,DFI技術并不對網(wǎng)絡流量進行深度的報文檢測���,而僅通過對網(wǎng)絡流量的狀態(tài)�、網(wǎng)絡層和傳輸層信息、業(yè)務流持續(xù)時間��、平均流速率����、字節(jié)長度分布等參數(shù)的統(tǒng)計分析,來獲取業(yè)務類型�����、業(yè)務狀態(tài)�����。
網(wǎng)絡流量的統(tǒng)計分析
通過流量統(tǒng)計分析�,網(wǎng)絡管理者能夠知道當前網(wǎng)絡中的業(yè)務流量的類型、帶寬�����、時間和空間分布����、流向等信息��。
在管理的過程中����,管理員可以采用常見的NTOP工具來協(xié)助完成�����。NTOP工具與傳統(tǒng)的tcpdump或ethereal等網(wǎng)絡流量捕捉工具有著極大的差異�,它主要是提供網(wǎng)絡報文的統(tǒng)計數(shù)據(jù)���,而不是報文的內(nèi)容���。此外,NTOP不需要使用Web服務器��,它自身就支持HTTP協(xié)議�。首先,它提供了一種快速容易的方法來得到網(wǎng)絡活動的準確信息���,并且不使用網(wǎng)絡探測或偵聽設備�。在大多數(shù)情況下�����,網(wǎng)絡探測器對追蹤網(wǎng)絡故障是必需的,而在某些時候可能因為探測器正被使用于監(jiān)測其他設備而無法獲得�,就可以使用NTOP工具; 其次,在某些給定的網(wǎng)絡配置下可能無法與探測器連接����,比如兩個通過WAN互連的Unix系統(tǒng)���,在這種情況下��,用戶可以應用NTOP工具�����。
一般說來���,使用NTOP工具可以輔助網(wǎng)絡管理員完成以下一些工作: 自動從網(wǎng)絡中識別有用的信息; 將截獲的數(shù)據(jù)包轉換成易于識別的格式; 對網(wǎng)絡環(huán)境中通信失敗的情況進行分析; 探測網(wǎng)絡環(huán)境中的通信瓶頸; 記錄網(wǎng)絡通信的時間和過程。
NTOP工具可以通過分析網(wǎng)絡流量來確定網(wǎng)絡上存在的各種問題���,也可以用來判斷是否有黑客正在攻擊網(wǎng)絡系統(tǒng)����,還可以很方便地顯示出特定的網(wǎng)絡協(xié)議�、占用大量帶寬的主機、各次通信的目標主機�、數(shù)據(jù)包的發(fā)送時間、傳遞數(shù)據(jù)包的延時等詳細信息�。通過了解這些信息���,網(wǎng)管員可以對故障做出及時的響應��,對網(wǎng)絡進行相應的優(yōu)化調(diào)整���,以保證網(wǎng)絡運行的效率和安全�����。
網(wǎng)絡流量的控制
將流量控制能力添加到網(wǎng)絡流量管理中,能夠幫助網(wǎng)絡管理者對網(wǎng)絡資源和業(yè)務資源進行帶寬控制和資源調(diào)度���,如對HTTP、FTP、SMTP以及P2P等應用進行管理����,尤其是對P2P流量進行抑制來提升傳統(tǒng)數(shù)據(jù)業(yè)務的用戶體驗度�。
具備流量控制能力的網(wǎng)絡流量管理還能夠對嚴重影響業(yè)務運營者收入的未經(jīng)許可的其他業(yè)務進行抑制���。比如����,對于VoIP業(yè)務�,我們可以通過對VoIP信令流量和媒體流量的關聯(lián)檢測和統(tǒng)計分析�����,以及通過截斷媒體數(shù)據(jù)包���、偽裝信令報文等方式對流量進行管理��。還可以通過綜合使用網(wǎng)絡層����、傳輸層和應用層檢測技術,對未經(jīng)許可的寬帶私接用戶采取中斷連接�����、主動告警��、分時控制等多種管理動作�。
流量控制還能夠幫助網(wǎng)絡流量管理實現(xiàn)業(yè)務資源的調(diào)度,并能夠獲得業(yè)務資源使用��、業(yè)務狀態(tài)的實時情況�����。當某一網(wǎng)絡應用業(yè)務服務器負載較大時��,可以進行全局的業(yè)務資源負載均衡�����,以平均地承擔業(yè)務請求; 同時也能夠對用戶的業(yè)務請求進行調(diào)度��,決定是否繼續(xù)響應用戶新的業(yè)務請求����,并根據(jù)用戶的優(yōu)先級優(yōu)先響應高優(yōu)先級用戶的業(yè)務請求,以提升業(yè)務運營效率��。
流量控制通常的做法是在輸出端口處建立一個隊列進行流量控制����,控制的方式是基于路由,亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡號��。流量控制器基本的功能模塊為隊列���、分類和過濾器����。由于目前網(wǎng)絡流量種類繁多���,網(wǎng)絡管理員在管理時通常都采用分類的方式進行���。
對于網(wǎng)絡流量管理來說���,除了應具有上述的流量識別、流量分析和流量控制的功能之外�,我們一般還希望其具有和防火墻等網(wǎng)絡安全設備協(xié)同構建一個主動的安全威脅防御體系的功能,以提升整個網(wǎng)絡的安全防護能力����,從而更好地保證網(wǎng)絡流量。
比如���,流量特征識別分析就是一種必要的流量管理手段�。它能夠主動發(fā)現(xiàn)諸如DDoS攻擊���、病毒和木馬等異常流量�����,較好地彌補其他網(wǎng)絡安全設備如防火墻�����、入侵防護系統(tǒng)(IPS)和統(tǒng)一威脅管理(UTM)等的不足,提升其主動發(fā)現(xiàn)安全威脅的能力�����,并能夠及時向其他網(wǎng)絡安全設備發(fā)出告警,從安全威脅源頭開始就進行主動的防御����。此外,具備流量識別能力的網(wǎng)絡流量管理還能夠獲取并保存網(wǎng)絡流量的網(wǎng)絡層信息(例如�����,源/目的IP地址��、應用端口����、用戶標識ID等信息),通過這些信息�,網(wǎng)絡管理者能夠對安全威脅進行溯源定位。
相關推薦:
網(wǎng)絡管理員:緊急處理Web服務器訪問失敗故障
