由于越來越多的網(wǎng)絡應用(如電子郵件、SNS社交網(wǎng)絡、P2P等)及其流量給企業(yè)系統(tǒng)和網(wǎng)絡管理者提出了更高的安全要求,需要高效、合理地對這些流量采用相應的策略和技術進行管理。本文將基于此背景,主要介紹網(wǎng)絡流量安全管理策略。
網(wǎng)絡流量安全管理的主要目標和策略
目標
隨著網(wǎng)絡流量的不斷增長以及網(wǎng)絡應用的日趨紛繁蕪雜化,我們不難看到,簡單的無限制的增加網(wǎng)絡帶寬是不能解決網(wǎng)絡流量的根本問題的。我們需要對網(wǎng)絡流量進行管理,從而保證網(wǎng)絡的健康和網(wǎng)絡應用的正常服務。在網(wǎng)絡流量管理的過程中,我們首要的問題就要明確網(wǎng)絡管理目標。在網(wǎng)絡流量管理中,我們需要牢記4個目標:
首先,我們要了解網(wǎng)絡流量的使用情況;
其次,要找到優(yōu)化網(wǎng)絡性能的途徑;
第三,要通過網(wǎng)絡管理技術來提升網(wǎng)絡效能;
最后,還需要做好網(wǎng)絡流量信息安全方面的防護工作。
具體說來,要達到上述四個目標,網(wǎng)絡管理員們可以通過有效的分類方式非常明確的知道我們需要的帶寬到底哪些是實際使用的。網(wǎng)絡流量管理的第二個目標是找到網(wǎng)絡性能的瓶頸。網(wǎng)絡性能很重要的一個方面是吞吐量,這是網(wǎng)絡能夠傳輸?shù)淖畲髷?shù)據(jù)量,還有延遲等。第三,通過本文所介紹的流量監(jiān)控及控制軟件可以高效地提升網(wǎng)絡性能,從而滿足不同的網(wǎng)絡應用需求。最后,網(wǎng)管們還可以綜合運用入侵檢測系統(tǒng)(IDS)、防火墻(FireWall)、統(tǒng)一威脅管理(UTM)設備來對網(wǎng)絡流量進行信息安全方面的防護工作。當然,信息安全方面的工作不是本文的介紹范疇,在這里不作過多介紹。
策略
在日常的網(wǎng)絡流量管理中,為了有效實現(xiàn)網(wǎng)絡管理4個目標,我們需要采取相應的步驟。這個步驟分別是:網(wǎng)絡流量捕捉和分類、網(wǎng)絡流量監(jiān)視(統(tǒng)計和分析)和控制策略。
網(wǎng)絡流量捕捉和分類:他是進行網(wǎng)絡流量管理的第一步。只有通過設置捕捉點,對網(wǎng)絡流量進行捕捉和分類,才能進行后續(xù)的分析和控制工作。這里特別需要強調的是,網(wǎng)絡流量分類可以非常宏觀化,也可以細化。比如TCP、UDP、ICMP等等的分類就比較宏觀,而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了。Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類。
網(wǎng)絡流量監(jiān)視(分析):監(jiān)視步驟用來顯示流量的運行狀況,幫助找出問題所在和執(zhí)行相應的管理策略。應用程序和網(wǎng)絡管理能夠收集分類、展示和收集信息,包括帶寬利用率、活躍的主機和網(wǎng)絡效率以及對活躍的應用程序。我們的設備能夠跟蹤平均和高信息的流量,識別最大的用戶和應用程序,將網(wǎng)絡流量定位到不同的領域,從應用的角度監(jiān)視網(wǎng)絡流量,分析網(wǎng)絡帶寬明確的關鍵問題所在。用統(tǒng)計報表來進行表現(xiàn)。該目標可以采用NTOP可視化分析管理工具來協(xié)助網(wǎng)絡管理員在實際工作中實現(xiàn)。
控制策略:通過網(wǎng)絡流量分析后,接下來根據(jù)優(yōu)先級別分配帶寬資源。分配的依據(jù)可以根據(jù)主機、應用等等,特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮。用戶們可以根據(jù)TC工具來進行和實現(xiàn)一個完整的分類監(jiān)視和控制網(wǎng)絡流量,這樣,我們就可以將網(wǎng)絡流量有效管理起來,將原來無序的網(wǎng)絡流量變得有序。
京公網(wǎng)安備 11010502049343號