基于netflow的綠盟網(wǎng)絡(luò)安全感知方案設(shè)計案例目錄TOC\o"1-3"\h\u31671基于netflow的綠盟網(wǎng)絡(luò)安全感知方案設(shè)計案例 1141471.1NetFlow的工作原理 1212581.2攻擊流 268171.3NetFlow綠盟網(wǎng)絡(luò)安全態(tài)勢感知方案 383261.4組網(wǎng)部署 41.1NetFlow的工作原理NetFlow是思科公司最先開始研發(fā)的。其系統(tǒng)主要包括三部分：一是探測器，二是采集器，三是報告系統(tǒng)。探測器主要是對網(wǎng)絡(luò)數(shù)據(jù)進行監(jiān)聽，采集器的工作是主要收集探測器傳輸?shù)臄?shù)據(jù)，系統(tǒng)主要是對采集器收集的數(shù)據(jù)產(chǎn)生一個基本報告。一個flow流數(shù)據(jù)包擁有以下幾個屬性；目的IP地址源端口號目標端口號協(xié)議類型TOS字節(jié)邏輯端口NetFlow技術(shù)就是分析上述7個屬性，能夠快速的區(qū)分網(wǎng)絡(luò)中的不同類型的數(shù)據(jù)流量，并且還會對得到的每個類型的數(shù)據(jù)流量進行單獨的計算和跟蹤，并記錄下來各方面的特性，其配置方法可參考如下案例。NetFlow配置案例如圖5所示。圖5NetFlow配置案例1.2攻擊流①SYNFLOOD偽造源IP發(fā)起TCPSYN攻擊，如圖6所示。圖6攻擊流案例②振蕩波特定IP向多個IP發(fā)起445端口的TCP連接請求，如圖7所示。圖7震蕩波案例③惡意端口掃描針對UDP137端口掃描的NetFlow數(shù)據(jù)實例，如圖8所示。圖8惡意端口掃描案例④DNSFLOODDNS正常訪問請求數(shù)據(jù)包NetFlow流數(shù)據(jù)：目的端口137，協(xié)議類型UDP，字節(jié)數(shù)78，如圖9所示。圖9DNSFLOOD案例⑤沖擊波典型特征：目的端口135，協(xié)議類型TCP，字節(jié)數(shù)48，如圖10所示。圖10沖擊波案例1.3NetFlow綠盟網(wǎng)絡(luò)安全態(tài)勢感知方案NetFlow技術(shù)是綠盟網(wǎng)絡(luò)安全態(tài)勢感知方案中的主要手段，為綠盟網(wǎng)絡(luò)提供重要的安全分析數(shù)據(jù)，根據(jù)數(shù)據(jù)的融合等技術(shù)來準確的預(yù)測和感知網(wǎng)絡(luò)的整個狀態(tài)，從而對網(wǎng)絡(luò)安全進行加固和一系列措施，發(fā)出響預(yù)警和響應(yīng)，技術(shù)架構(gòu)如圖11所示。圖11技術(shù)架構(gòu)圖①數(shù)據(jù)采集層：主要是獲取大量與安全有關(guān)的數(shù)據(jù)，包括安全設(shè)備獲取的流量日至數(shù)據(jù)以及網(wǎng)絡(luò)中遇到的安全漏洞信息等。②數(shù)據(jù)處理層：對數(shù)據(jù)進行有效的處理和傳輸，為下一級別層次服務(wù)，在此過程中應(yīng)用到數(shù)據(jù)采集傳感器進入到數(shù)據(jù)處理層當(dāng)中。③應(yīng)用分析層：通過數(shù)據(jù)采集處理之后，通過接口間的訪問建立起一系列模型，并通過有關(guān)機器的運作，實現(xiàn)相關(guān)的分析。④呈現(xiàn)層：提取出相應(yīng)的有關(guān)數(shù)據(jù)，實現(xiàn)可視化的呈現(xiàn)。1.4組網(wǎng)部署綠盟安全態(tài)勢感知平臺是在企業(yè)中得到最多應(yīng)用的，在主要核心的路由器上部署多種有關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知的傳感器，通過傳感器獲取的動態(tài)最后運用NetFlow來進行網(wǎng)絡(luò)安全的預(yù)測和處理。如圖12是組網(wǎng)部署的主要運作模式，分為三個層次來進行工作的。通過態(tài)勢感