N-Probe
N-Probe 讓您更輕鬆執行流量 Flow 分析的優化方案
- 能夠接入1 Gbps、10Gbps 和 40Gbps 之介面 Mirror Traffic,轉換成1:1 NetFlow 格式後輸出
- 部署容易且運作上幾乎不影響交換設備效能
- 可因應客戶需求,提供軟硬體版本
- 讓流量分析變的更簡單
關於 N-Probe
現今要執行流量Flow分析,慣用的方式是讓路由器或是交換器吐出 NetFlow 或是 sFlow,然而並非所有的交換器皆可以支援 NetFlow/sFlow 的吐出功能。還存在另一個問題是由於 Flow 資料的產生將會耗損路由器與交換機 CPU 資源,許多管理者對於開啟 NetFlow/sFlow 功能存有疑慮。sFlow 雖然支援封包取樣 Sampling 功能,可降低 CPU 的損耗,但也因取樣的緣故導致大多數的流量行為未被記錄而導致分析結果失真。
要解決上述問題,由 N-Partner 所生產的 N-Probe 是一個非常好的解決方案。N-Probe 可做到1:1的流量採集,具有部署容易且運作上幾乎不影響交換設備效能之優點,原因是大多數的交換器皆支援鏡像端口(Mirror Port)功能,使用者只要把複製的 Mirror 流量接入到 N-Probe 即可,N-Probe 會將 Mirror 流量轉換成 1:1 NetFlow 資料格式輸出到流量分析系統進行後續的分析工作。對網路管理者來說,流量分析是維運工作中非常重要的一環,因為透過好的 Flow 解析工具(如 N-Reporter/N-Cloud 產品),能夠清楚知道環境中所有的網路使用行為、封包流向、用量統計等重要訊息,當網路發生異常,可以快速定位根源,協助網路管理者進行排錯。
N-Probe讓流量分析變成一件非常簡單的工作。
要做好全域的流量監控與使用者行為分析,必須要在重要的網路節點進行流量蒐集,諸如Internet出入閘道、數據中心的核心交換器、分支單位透過VPN連回至總部的接入點、無線網路接入核心之處等,皆可透過鏡像端口的設定將流量Mirror出來,接入N-Probe後轉換成1:1的NetFlow格式導出到流量分析設備,幾乎能夠涵蓋全網的連線行為。
除了產出1:1 NetFlow數據,N-Probe 亦提供針對 DNS 存取流的七層內容解析功能,同樣採用 Mirror Traffic 接入方式,N-Probe 能將流量裡的 DNS 查詢封包擷取出來寫成 DNS Query Log後,透過 Syslog 協議吐出到外部任何指定日誌以及 SIEM 平台進行稽核要求所需的儲存備查與統計報表製作;或是網域(Domain)瀏覽分析等更進階的維運工作。N-Probe 即時產出 DNS Log 的效能超過百萬 EPS(Event Per Second),因此適用於在絕大多數的網路環境中替代 DNS 伺服器必須自己記錄與發送 Log 所肇致的效能傷害。從強化資安防禦的觀點來說,比對 DNS Log 與威脅情資(Threat Intelligent)是確保內網電腦不會訪問惡意網域的有效方式,也能夠及早發覺潛伏於內網的惡意程式。N-Probe 所產出的 DNS Log 裡亦包含了查詢不存在網址(NX Domain)的資訊,N-Cloud/N-Reporter 將根據來自 N-Probe 的NX Domain記錄建立不存在網址列表(NX Domain List),啟動聯防機制自動寫入防禦設備,保護 DNS 伺服器免遭受巨量 NX Domain 查詢癱瘓攻擊。
DNS 查詢分析 Dashboard 範例(包含惡意域名訪問監控)
N-Probe 提供軟體版與硬體版,因應不同客戶之需求。軟體版支援於虛擬化平台,如VMware;硬體產品則可根據不同網路環境之介面需求,提供多種介面,如配置1G 或 10G 介面之 MirrorTraffic 網路接入埠(Interface),其中光介面有 LR 或是 SR 型態可供選購。N-Probe 最高可達到 40Gbps 的 Mirror Traffic 轉換成 1:1 NetFlow輸出之工作效能,並同時支援 v5 及 v9 格式。
加值功能-內建DNS流的七層內容探索功能
除了上述1:1 NetFlow 數據產出與 DNS 內容解析功能,N-Probe 亦提供加值功能,可根據實際需求選購。
若用戶的網路架構分散在不同地理位置的機房或是分支機構,各地透過 Internet/VPN 彼此連接,最佳操作建議是將 N-Probe 佈署到各地並啟動 External Receiver 模組功能,在本地採集 SNMP/Flow/Syslog(含 TCP 與 UDP 協定 Syslog)數據後加密壓縮轉發至 N-Reporter/N-Cloud 系統,壓縮率達5倍,大幅降低 Internet/VPN 的頻寬負載同時也強化了傳輸期間資料完整與安全性。External Receiver 支援斷線續傳(Store and Forward)的功能,當連接的 Internet/VPN 線路發生中斷障礙時 Flow/Syslog 數據暫存,待連線恢復後完整重新轉發至 N-Reporter/N-Cloud 系統。External Receiver 可建置成 HA(Master/Slave)架構,提升可用度。External Receiver 模組包含 SNMP 監控功能,負責本地端設備的 SNMP Polling 工作取得 IP/MAC 及 MAC/Port 對應表協助網路管理。
N-Probe 亦提供效能監控(Performance Monitor, PM)模組,功能一是以 ICMP Ping 封包監測各量測點的網路延遲(Round Trip Time, RTT);功能二是模擬人們瀏覽網頁服務(Web Service)的過程,N-Probe 會分別記錄過程中幾個階段的回應時間(Response Time):DNS 查詢及回應、與 Web 伺服器建立連線、SSL傳輸、網頁回應與內容下載,並將上述數據繪製成可視化線圖。為了可以更貼近使用者每個時刻的使用感受,資訊管理人員可以將含 PM 模組的 N-Probe 佈署在任何網路位置,例如辦公室OA區、分公司裡、外部電信承租的IDC機房裡等等,讓 N-Probe 從不同地點量測,N-Probe 會將收集到的延遲數據送到 N-Reporter/N-Cloud 智慧維運平台繪製圖形,供用戶查看每個被監控點的網路品質,達成多點、多角度的持續性監控與分析。此外,搭配 N-Reporter/N-Cloud 的趨勢預測功能,還能預測未來數小時到數個月的成長走勢,在延遲變得嚴重之前收到預警,提早預防進行處理。