硬件型號(hào):TP-LINKTL-SG1005D
系統(tǒng)版本:網(wǎng)絡(luò)分流器系統(tǒng)
網(wǎng)絡(luò)分流器的作用
網(wǎng)絡(luò)分流器是用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (IDS),網(wǎng)絡(luò)探測(cè)器和分析器。端口鏡像,分流模式,是將被監(jiān)控的UTP鏈路(非屏蔽鏈路)用TAP分流設(shè)備一分為二,分流出來(lái)的數(shù)據(jù)接入采集接口,為互聯(lián)網(wǎng)信息安全監(jiān)控系統(tǒng)采集數(shù)據(jù)。
作用:
1、協(xié)議轉(zhuǎn)換
由于ISP采用的主流互聯(lián)網(wǎng)數(shù)據(jù)通訊接口有40G POS、10G POS/WAN/LAN、2.5G POS、GE等,而服務(wù)器通常采用的數(shù)據(jù)接收接口為GE和10GE LAN接口,所以通常大家在互聯(lián)網(wǎng)通信接口上提到的協(xié)議轉(zhuǎn)換主要是指40G POS、10G POS和2.5G POS到10GE LAN或者GE之間的轉(zhuǎn)換,10GE WAN到10GE LAN、GE的雙向協(xié)轉(zhuǎn)。
2、數(shù)據(jù)采集、分流
多數(shù)的數(shù)據(jù)采集應(yīng)用,基本都只是提取所關(guān)心的流量,丟棄不關(guān)心的流量。對(duì)于關(guān)心的流量通過(guò)五元組(源IP、目的IP、源端口、目的端口、協(xié)議)收斂的方式來(lái)提取特定IP、特定協(xié)議、特定端口的數(shù)據(jù)流量。輸出時(shí),根據(jù)特定的HASH算法,確保同源同宿、負(fù)載均衡輸出。
3、特征碼過(guò)濾
對(duì)于P2P流量的采集,應(yīng)用系統(tǒng)很可能只關(guān)注其中特定的某些流量,比如:流媒體PPStream、BT、迅雷、以及http上常見(jiàn)的關(guān)鍵字GET和POST等特征碼等,均可采用特征碼匹配的方式進(jìn)行提取和收斂。分流器支持固定位置特征碼過(guò)濾、浮動(dòng)特征碼過(guò)濾。浮動(dòng)特征碼即在固定位置特征碼實(shí)現(xiàn)的基礎(chǔ)上指定的偏移量,適用于明確需要過(guò)濾的特征碼,但不明確特征碼具體位置的應(yīng)用。
4、會(huì)話(huà)管理
對(duì)會(huì)話(huà)連接進(jìn)行流量識(shí)別,并可靈活配置會(huì)話(huà)轉(zhuǎn)發(fā)N值(N=1~1024)。即將每條會(huì)話(huà)的前N個(gè)報(bào)文提取轉(zhuǎn)發(fā)給后端的應(yīng)用分析系統(tǒng),丟棄N值之后的報(bào)文,為下游的應(yīng)用分析平臺(tái)節(jié)約了資源開(kāi)銷(xiāo)。通常在用IDS監(jiān)測(cè)事件的時(shí)候,就不需要處理整條會(huì)話(huà)所有包,僅需要轉(zhuǎn)提取每條會(huì)話(huà)的前N個(gè)包即可完成事件的分析和監(jiān)測(cè)。
5、數(shù)據(jù)鏡像、復(fù)制
分流器可實(shí)現(xiàn)對(duì)輸出接口上數(shù)據(jù)的鏡像和復(fù)制,保證了多套應(yīng)用系統(tǒng)的數(shù)據(jù)接入。