网络数据包经纪人(NPBs)从他们的适度根源作为数据监控交换机来说,尽管它们的预期应用仍然几乎相同。NPB仍然主要用作最大化监控和安全工具性能的设备。NPB最重要的功能保持不变,其中包括1:1,1:n,n:1和n:n端口映射,全L2-L4过滤选项,以及可配置的负载平衡选项。在追求获得竞争优势的过程中,供应商继续增加高级功能。这在为网络选择合适的产品时增加了复杂性。选择合适产品的关键是了解每个高级功能及其替代方案。查看重复数据删除,SSL / TLS解密和NetFlow生成是一个好的开始。
这是一个三部分系列文章的第二篇网络数据包代理.点击这里查看其他博客:
- 博客1:什么是网络分组代理?
- 博客2.:了解NPB高级功能
- 博客3.:为您的网络选择正确的NPB
重复数据删除
重复数据删除是许多NPB供应商提供的功能,它提供了一种用于在定义的“窗口”中删除相同数据包的机制。此功能的确切实现从供应商到供应商的各种各样的方式变化,但基本上将进入支持重复数据删除的端口的所有数据包将被发送到内部FPGA /包处理器。创建哈希值并临时存储,存储块的大小定义重复数据删除窗口。随着新数据包进入系统,将新的哈希值与上一数据包的已经存储的散列值进行比较。如果哈希值匹配,那么数据包被视为重复并立即丢弃。可以抵消其他机制来检查误报。
任何监控网络都可以发生重复数据包,但大多数这些复制品来自使用跨度端口.通常,SPAN端口镜像入口和出口端口,或者可以配置为镜像在给定VLAN上的流量。这可能导致> 50%的重复流量馈送监控网络。通过远离跨距离的跨度端口来解决问题来源,可以在问题的来源处解决这些重复。网络水龙头显著减少重复数据包的数量。仍然会有一些重复的数据包,但网络工程师需要查看他们的监控工具的敏感性,以决定是否需要删除剩余的重复数据包,以及重复数据删除是否仍然是一个必要的特性。
>>立即下载:聚合 - 将值添加回您的网络并最大化ROI [免费白皮书]
SSL / TLS解密
行业专家预测SSL / TLS流量超过2019年底所有网络流量的70%。因此,这一功能是重要的吗?绝对,但需要做出决定是否应该在NPB内完成,或者向专用于SSL解密/加密的外部平台发送。SSL解密的技术细节超出了此博客的范围,但在高电平时,任何安全连接都以握手流程开头。在握手期间,客户端和服务器在加密密钥上达成一致,并且在会话期间要使用的Cypher。握手两个端点具有对称密钥后,并加密所有后续传输。
NPB或SSL可见性设备充当主动或被动的中间人(man-in- middle, smith)。对于被动MITM, NPB需要包含所有服务器的私钥。对于主MITM,从客户端到NPB,从NPB到服务器建立SSL连接。活动MITM更常用,特别是当我们转向TLS 1.3时。无论是主动的还是被动的smith, SSL/TLS解密以及所需的数据屏蔽在计算上都是极其昂贵的。使用NPB作为网络的TLS解密的唯一方法可能不是最好的选择。TLS解密的本质会降低设备整体的性能,所以在NPB中使用SSL解密时需要谨慎。在任何网络中,专用的SSL可见性设备似乎是更安全的选择,它允许可伸缩性、高可用性部署和行速率性能,而不影响其他特性。
元数据生成
元数据生成是一个有趣的主题,因为它涉及到监视和可见性。可见性结构的目标一直是看到穿越网络的所有流量,而元数据的生成则与此相反。在Netflow、S-Flow或IPFIX的名称下,元数据生成提供了网络流量的抽样汇总统计。流细节通常包括关于5元组的信息、协议信息和应用层的见解。如果一个网络的工具是基于流的,那么产生这些流的能力就变得至关重要。Netflow、S-flow或IPFIX的选择完全依赖于计划用于部署的网络和工具。
随着供应商不断增加NPB的特性集,在做出购买决定时需要仔细考虑。网络工程师需要决定,他们是希望一台设备能以令人满意的水平执行这些功能,还是希望多台设备能以最高的性能执行目标任务。每一种方法都有其明显的优缺点,但基于生产高度定向、高性能设备的公司的成功,我们可以推断,从长远来看,使用分散的方法可能是更好的选择。
