第43章IDC出口流量梳理43.1故障背景43.2IDC出口流量梳理43.3小結

某單位有一套獨立的生產系統，服務器集中在IDC機房，各分支部門通過專線訪問生產業務。IDC所有服務器一直以來都采用相同的安全策略，為了提高網絡的安全性，領導決定重新劃分網絡安全區域。43.1故障背景在網絡安全區域劃分之前，需要對IDC出口流量進行梳理，調查清楚每個應用對應的服務器IP、服務端口號及用戶源頭等各種信息，為防火墻策略提供依據。這些信息雖然可以通過應用部門獲取，但網絡部門依然需要在實際網絡流量中驗證這些信息是否正確、完整，避免錯誤的安全規則造成生產業務訪問失敗。一開始，網絡部人員通過各種便攜式的數據包分析工具，在IDC出口捕獲數據包，手工分析服務器IP、端口號及用戶源頭等信息。在耗費了大量的精力后，工作進度卻非常緩慢。用便攜式的數據包分析工具在大流量環境中進行流量梳理，有如下諸多困難：

(1)流量大，每次只能分析短時間的數據，而流量梳理至少需要一個月的周期才有說服力。

(2)效率低，手動分析一次性只能分析一個應用，而IDC有上百種不同的業務。

(3)信息量大，每個業務系統都存在大量的通信信息，人工處理相當困難，而且容易遺漏。

這時候我們便發現“科來網絡回溯分析系統”在這方面的應用價值，其回溯分析系統是專用的流量分析硬件設備，不僅僅能抓包，還能統計、存儲網絡中各種關鍵指標，并提供快速檢索。具體功能和特點有：

(1)

7

×

24小時不間斷監控，高性能數據采集。

(2)提供海量存儲空間，記錄每個時間點數據包、數據流和網絡會話等信息，能夠保存幾天、幾周甚至更長時間的數據。

(3)快速的數據檢索能力，能夠對過去任意時間點網絡中發生的時間進行快速的回溯分析。

(4)內置智能專家分析系統，對網絡異常行為可進行深入分析。

這些功能和特點可以幫助網絡部門的同事高效、準確地進行流量梳理，大大節省管理人員的精力。

43.2.1設備部署

在IDC出口設備上做鏡像，將鏡像流量接到科來網絡回溯分析系統，簡單易用。43.2IDC出口流量梳理43.2.2快捷歷史數據回溯

部署科來網絡回溯分析系統后，可以分析任意時間段的流量概要統計、網絡應用、IP地址、物理地址、IP會話、物理會話、TCP會話、UDP會話等信息，并且可以逐層追溯分析和設置告警，如圖43-1所示。

圖43-143.2.3流量信息驗證

網絡部門人員已經從應用部門獲取應用系統服務器的IP地址等信息，那么我們如何進行確認呢？

通過科來網絡分析系統我們可以一次性查看一天、一周甚至更長時間的“IP地址”信息，就可以獲取網絡中所有IP地址的流量信息，包括通信流量大小、數據包量、進出流量、流量收發比、發送TCP同步包數量、接收TCP同步包數量等各種信息。通過這些信息，我們可以快速地判斷每個IP地址是否為服務器，并獲得其負載大小等信息，如圖43-2所示。

圖43-2在所有的IP地址中，可以通過“地址檢索”功能快速定位到我們想找的地址。假如服務器X.X.X.10通過TCP443端口提供了財務系統的業務，我們在地址檢索中輸入X.X.X.10這個地址，就可以獲取該服務器的流量信息，如圖43-3所示。

圖43-3從上圖可以看到，地址檢索之后，“IP地址”列表中就只剩下我們想要的那臺服務器地址的信息了，同時我們看到該服務器的“收TCP同步包”、“發TCP同步確認包”這兩列的數量均為9，這就證明該IP地址為服務器，在這段時間內收到9次連接請求，并且都成功響應了。接下來，我們還可以通過數據“挖掘”功能，獲取該服務器更多的信息，如圖43-4所示。

圖43-4例如挖掘該服務器的“TCP會話”信息，見圖43-5。

由圖43-5可知，服務器X.X.X.10提供服務的端口號是TCP443，而且只有這個端口，于是我們可以很輕松地判斷，應用部門提供的信息——“財務系統：X.X.X.10：TCP443”是正確的。

圖43-543.2.4業務主動監控

通過以上的步驟，我們能夠輕松地檢驗業務系統的各種信息，那么我們能不能在科來網絡回溯分析系統中更智能地記錄我們驗證過的信息，更主動地對業務系統進行監控，甚至主動地發現異常流量或者新上線的業務流量呢？答案是肯定的！科來網絡分析系統提供“定制應用”功能，可以根據服務器IP地址、IP地址段、TCP/UDP端口號、IP地址與TCP/UDP端口號結合等各種方式進行自定義業務的定制。例如，我們可以將X.X.X.10的TCP443端口定義為“財務”，如圖43-6所示。

圖43-6那么，我們在“網絡應用”這里就可以看到“財務”系統的流量信息，如圖43-7所示。

“網絡應用”界面同樣支持應用檢索、回溯分析等功能，可以方便、快捷、主動地對業務系統進行分析和監控，如圖43-8所示。

如果我們將100多種業務系統都定制在科來網絡回溯分析系統中，那么當“網絡應用”中出現任何其他應用時，它們不是異常流量便是新上線的業務系統，這是不是一勞永逸的監控方式呢？

圖43-7