chungway 发表于 2010-1-4 10:58:05

应用Tap构建网络监测系统

随着信息技术的不断发展,网络规模越来越大,网络拓扑也越来越复杂,哪怕是一个很小的用户,他们的网络也不再那么简单,越来越多新技术的应用,越来越多新业务的上线实施,都给网络施加了越来越大的压力,这就有必要去构建一个灵活的、全面的网络监测系统,以保障这些新业务的正常运转。而在网络监测系统构建的过程中,我们也面临着越来越多的挑战。
-        过多的端口需要进行流量捕获分析
-        流量过大,超过分析系统能力
-        负载均衡链路的监控
-        多个监测分析系统要对同一流量进行分析
-        10GE网络的日益普遍
这些问题的出现,使得传统的仅仅通过hub方式获取流量或者通过交换机镜像(SPAN)方式,都已经不能满足需求。而随着监测系统数据源接入技术的不断发展,用户在构建网络监测系统时,越来越多的考虑采用专用流量分析接入设备--Tap的方式,而把传统的SPAN技术作为辅助和补充。特别是国外很多IT发展相对先进的用户,他们已经开始在享受通过Tap方式进行监测系统构建的乐趣和价值。本文就美国知名应用服务提供商ASP-Co公司大规模采用的分布式Tap来构建符合PCI Compliance规范的网络监测系统的实际部署使用案例,来体会一下分布式Tap带给我们的核心价值。

ASP-Co公司概况
公司:                美国应用服务提供商ASP-Co
应用:                以网络安全为主,包括协议分析和应用分析
网络规模:        中大型
应用架构:        以Inline为主,Span为辅
目的:                构建符合PCI Compliance规范的网络监测系统

ASP-Co公司背景
ASP-Co是一家位于美国的应用服务提供商,拥有遍布全球的用户,网络横跨4个国家的7个数据中心。ASP-Co对家庭用户、小型公司、大型企业和政府机构等主要市场提供在线服务。由于ASP-Co客户类别众多且数量增加很快,该公司的信息系统中传输着各种敏感数据。ASP-Co正处于发展阶段,近期才正式开始发展其信息安全项目,其信息安全团队第一个正式的任务便是架设一个可随网络规模扩展的网络安全监测基础架构。
ASP-Co在2006年开始面临Compulsory Regulatory Compliance的规范,细节要求来自PCI(Payment Card Industry)和萨班斯法案(Sarbanes-Oxley Act)。若有公司违反萨班斯法案规范而影响财务报告结果时,法律对信息技术的要求并不明确;相反,PCI对信息技术的要求明确且可以计量,并对违法规定者有具体的惩罚条款。因此,PCI Compliance成为ASP-Co网络信息安全部署的主要目标。

面临挑战
ASP-Co公司网络及安全团队对供应商设备提出的基本要求:
-        所有部署在ASP-Co公司主机环境内的网络设备必须是容错(Fault Tolerant)的,例如要有双电源,有fail-open或fail-closed选项,必要时有智能failover的能力。
-        必须提供完全的网络可视性,能够监测所有ASP-Co公司主机环境内的关键网络
-        这个网络接入方案必须能够在单一中心节点支持多个监测技术及工具
-        最后,获选的供应商必须能够通过前沿科技与规模经济提供市场最具价值的产品
此外,无论选择何种解决方案都必须支持以下技术:
-        网络异常行为检测
-        系统应用(OSI 7层)署名(signature)
-        基于IDS的网络飞行记录器(Network Flight Recorder)
-        传统的数据捕获或sniffer技术

VSS分布式Tap解决方案
应用VSS先进的inline Tap和端口复制技术,每个数据中心仅需要7个流量捕获设备。
-        Internet出口流量由两个千兆光纤Tap采集输出
-        内部inline网络由三台12x4分布式Tap采集输出
-        其他SPAN镜像流量由一台12x4分布式Tap采集输出
-        设置于最上层的一台12x4分布式Tap为整个网络和安全监测系统提供汇聚数据流
这样的架构让ASP-Co的每个数据中心只要通过七台分布式Tap就能实现全网流量汇聚监控并统一管理。
VSS的分布式Tap解决方案为网络故障实现了立即响应;容错的架构与从中心点监测所有网络节点的集中监测管理能力,帮助ASP-Co公司实现对其网络7x24的完全可视性。由于VSS分布式Tap能够方便的通过图形化界面进行远程访问和管理,ASP-Co公司得以减少处理网络及安全问题所需的人力,并且降低人为失误几率。过去网络排障需要三个网络工程师和大量改变网络设定,现在则成为只需要一个工程师且不必改变网络设定的标准化处理程序。而且因为网络数据被汇聚到了一个中心节点,网络故障排除时间大幅缩短约75%。
通过12x4汇聚Tap的高端口密度和所有VSS设备都具有的高效节能性,笨方案可以在最小化机柜空间和电源消耗的同时,保留容错机制,并为将来的网络拓展预留端口空间。
VSS的解决方案使得ASP-Co公司可以发展符合PCI网络监测需求标准的compliance战略,提供一个可延展的、安全的、节约成本的方式满足了ASP-Co公司的内部网络和安全需求。

方案优势
-        灵活性
VSS分布式Tap可以采集并汇聚inline和span的流量,可以组成灵活部署、方便采用的流量采集方案
-        可视性
网络管理者通过inline和span监测端口,利用任何监测工具,都可以拥有对整个网络的全面可视性
-        改善响应时间
本方案可以在任何时间从中心节点接入任何数据流量,而无需本地排障,易操作的重新配置选项大幅度缩短响应时间
-        远程管理能力
所有部署的网络都可通过一个远程中心节点进行管理
-        延展性
未来可通过类似配置增加分布式Tap数量,因应网络拓展时的需求
-        节约成本
远程管理可免除派遣技术人员去远程节点的成本,汇聚流量的能力则免除了使用多个分析器和多块网卡的需求。

方案部署图见附件。
页: [1]
查看完整版本: 应用Tap构建网络监测系统