随着网络速度和复杂性的增加,许多IT部门发现,仅仅在SPAN端口和TAP(Test Access Point,测试接入点)上连接网络安全设备并不能实现全面的保护和可见性。为了解决这个问题,有一些安全供应商与网络流量捕捉专业公司合作,实现了一种更优的解决方案。
网络流量捕捉供应商,包括Net Optics、VSS Monitoring、Gigamon和Anue Systems等,都提供网络TAP。这些TAP能够区分交换机和路由器流量并将之转发给网络安全设备。他们还推出了矩阵交换机,它能够从这些TAP中收集流量,然后将流量转发给多个网络安全设备。这些聚集设备支持通过一个网络安全设备同时检测或监控多个网络分片。网络流量捕捉系统也能够将聚集的流量负载均衡到多个网络安全设备,以增加总吞吐量和容量。
使用SPAN端口和TAP进行网络流量捕捉的问题
使用单独的SPAN端口和TAP为网络安全设备捕捉网络流量可能会影响总体可见性,特别是当位于网络边缘的安全措施仅仅作为第一层防护时。
Forrester Research高级分析师John Kindervag说:“人们经常使用SPAN端口的原因是它们比较便宜,但是它们存在一个问题,您无法保证它们一直可用。因为数量有限,不够所有人使用。当您受到攻击,需要这些数据时,交换机将饱和,而首先停止工作的端口就是SPAN端口,这样它才会获得一些额外的计算能力。所以,在您真正需要它的时候,系统却不会为您提供数据。”
网络捕捉系统:一台设备监控多种信息流
Kindervag提出了一种零信任网络安全策略,它抛弃了边缘防御,转而使用网络分析和监控工具来检测和记录所有企业网络流量。这种方法需要使用一种网络流量捕捉系统,它能够将所有网络数据转发给网络安全设备。
Kindervag说:“您很难只通过SPAN端口获得这些工具所需要的数据。这时就需要专业的数据采集网络来提供足够的数据,这样您才能够监控通常不可见的攻击,包括棘手的APT攻击。人们需要监控网络以发现这些问题。”
而网络流量捕捉系统使企业能够灵活控制网络安全设备的负载分配。通过这种方法,工程师就能够设置系统收集多个流,然后将它们发送到一个设备中。
企业管理联盟的研究主管Jim Frey说:“现在您不需要在必须监控的10多条链路上部署多个IDSec,您只需要用一台设备从其中一台网络访问管理设备收集和整合数据流。另一种方法是延长安全工具的寿命。随着速度达到10GB或40GB,安全工具不需要全速支持这些更高速的网络。”
网络流量捕捉系统可以执行媒体转换,将低带宽数据流发送到网络安全设备。它们也能够在多个设备之间实现数据流负载均衡。
网络流量捕捉系统辅助主动出击和被动防御网络安全工具
大多数企业都不使用网络流量捕捉系统为主动出击的内部设备,如防火墙或入侵防御系统(IPS) 提供数据。这些设备需要访问即时数据流,以允许或拒绝流量。企业将网络流量捕捉系统的数据传输给被动监控设备(如入侵检测系统IDS)或安全网络监控设备(NetWitness)。这些工具能够在发现安全问题和异常行为时向网络安全团队发出警告。
一些网络流量捕捉专家提供了支持主动网络安全工具的内联解决方案。VVS Monitoring推出了Protector,这是一个内联TAP设备,它能够将即时流量转发给网络安全工具,执行主动检测。本月,VSS Protector通过IBM认证,兼容IBM ISS Systems IPS设备。
这些VSS内联设备能将流量转发到一个全局网络流量捕捉系统以执行被动保护,同时也支持将即时流量转到给内联设备。根据VSS Monitoring的业务开发主管Mike Grever介绍,它们能够根据协议和应用程序进行2层数据过滤。这样,网络流量捕捉系统就可以将特殊的流量流发送到不同的网络安全设备上。
Grever说:“有一些人只希望查看Web流量,而另外一些人则只需要查看VoIP流量。他们只希望将80端口流量发送到IPS设备,而将所有其他流量发送到一台被动防御的IDS。即使您拥有一台IPS使用的VSS设备,您也能够在同一台VSS设备中使用诸如IDS的被动工具。”
下一代防火墙专家Palo Alto Networks与Gigamon和Net Optics合作,将它的防火墙部署为一台内联IPS设备,使用Gigamon或Net Optics绕过交换机,在网络安全设备出错时让流量绕过它,使流量传输不受网络安全设备故障的影响。
Palo Alto产品销售主管Chris King说:“如果防火墙出现故障,就意味着网络会中断。防火墙是一种出错即关闭的设备。而IPS是一个出错即开放的。如果客户希望使用我们的IPS部署,Gigamon和Net Optics会向客户提供稳定的IPS功能,而不会出现防火墙出错即关闭的功能。”
