- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C园区接入交换机 NetStream最佳实践-6W100-整本手册.pdf (3.08 MB)
H3C园区接入交换机NetStream最佳实践
Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
目 录
Internet的高速发展为用户提供了更高的带宽,支持的业务和应用日渐增多,传统流量统计如SNMP、端口镜像等,由于统计流量方式不灵活或是需要投资专用服务器成本高等原因,无法对网络进行更细致的管理,需要一种新技术来更好地支持网络流量统计。
为了应对网络管理中的这些问题,NetStream应运而生。NetStream是基于网络流信息的统计技术,定义了一种用于设备输出网络流量的统计数据的方法,设备对通过其转发的数据进行统计和分析,并上报给网络流量分析器,经合并处理后存入数据库,供后续进一步的分析处理。
NetStream技术可利用网络中数据流创造价值,并在最大限度减小对设备性能影响的前提下提供详细的数据流统计信息。在网络的接入层、汇聚层、核心层上,都可以通过部署NetStream,帮助网络管理人员了解网络运行状况,及时发现并解决网络中的性能瓶颈问题、网络异常现象,同时也能作为用户网络优化、网络设备投资、网络带宽优化的参考。
NetStream技术的应用场景有以下几种:
· 计费:NetStream为基于资源(如线路、带宽、时段等)占用情况的计费提供精细的数据。Internet服务提供商可以利用这些信息来实行灵活的计费策略,如基于时间、带宽、应用、服务质量等。企业客户可以使用这些信息计算部门费用或分配成本,以便有效利用资源。
· 网络规划:NetStream可以为网络管理工具提供关键信息,比如各个AS域之间的网络流量情况,以便更好的规划和优化网络,实现以最小的网络运营成本达到最佳的网络性能和可靠性。
· 网络监控:通过在出口部署NetStream,对连接Internet网络的接口进行实时的流量监控,可以分析各种业务占用出口带宽的情况。网络管理员可以根据这些信息判断网络的运行情况,方便网络管理员规划和分配网络资源,从而保证正常业务流量带宽。
· 用户监控和分析:通过NetStream技术可以使网络管理员轻松获取用户使用网络和应用资源的详细情况,同时可以根据统计数据对用户访问情况进行管控,保障网络的安全运行。
H3C园区接入交换机通过安装Netstream接口模块(LSWM2FPGA或LSWM2FPGAB,如图1和图2所示,实现单向NetStream功能和基于会话的双向NetStream功能,不需要更换现网设备,可以节约升级成本)。其中LSWM2FPGA接口模块也同时提供4个SFP+接口,可以作为接口扩展卡使用。
图1 Netstream接口模块(LSWM2FPGA)
图2 Netstream接口模块(LSWM2FPGAB)
表1 Netstream接口模块性能参数
|
项目 |
描述 |
|
单向NetStream流表表项数量 |
128K |
|
双向NetStream流表表项数量 |
64K |
|
与设备互通的内联端口 |
2个10GE接口(1个控制通道,1个业务通道) |
|
单双向NetStream固件版本信息 |
V101及更高版本(单双向netstream使用不同的固件) |
利用NetStream镜像功能将待采样的端口流量镜像至Netstream接口模块,由接口模块上的FPGA(Field Programmable Gate Array,现场可编程门阵列)芯片实现流量的分析和统计,并建立流表。通过此种方式实现NetStream功能,可以节约设备的ACL表项资源,提高设备建表性能。
设备开启NetStream采样后,会将流量复制到Netstream接口模块,接口模块根据报文的七元组(即目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入或输出接口)建立单向流表,并基于该流表进行统计。
表2 单向NetStream流表示例
|
创建时间 |
源IP |
源 端口 |
目的IP |
目的 端口 |
ToS |
协议号 |
接口 |
发送 报文数 |
发送 字节数 |
|
10:20:21:000 |
1.1.1.1 |
1024 |
2.2.2.2 |
80 |
0 |
TCP |
GE1/0/1(I) |
5 |
1025 |
|
10:20:22:000 |
2.2.2.2 |
80 |
1.1.1.1 |
1024 |
0 |
TCP |
GE1/0/1(O) |
17 |
28712 |
设备通过流镜像方式将流量镜像到Netstream接口模块(镜像的目的端口是接口模块与设备相连的内联口),接口模块建立双向流表。正向流表使用报文的七元组(即目的IP地址、源IP地址、目的MAC地址、源MAC地址、目的端口号、源端口号、协议号)建立;反向流表通过直接对换正向流表中的源/目的IP地址、源/目的MAC地址和源/目的端口号建立。接口模块将两个互为反向的单向流表合并成一个双向流表,通过双向流表模拟会话表,实现基于会话的NetStream。
表3 双向NetStream流表示例
|
创建 时间 |
客户端IP |
客户端MAC |
客户端端口 |
服务端IP |
服务端MAC |
服务端端口 |
协议号 |
客户端发送 报文数 |
客户端发送 字节数 |
服务端发送 报文数 |
服务端发送 字节数 |
|
10:20:21:000 |
1.1.1.1 |
0-0-1 |
1024 |
2.2.2.2 |
0-0-2 |
80 |
TCP |
5 |
1025 |
4 |
1000 |
单向NetStream在园区网中的典型应用如图3所示。在交换机设备Device上配置并安装Netstream接口模块。通过接口模块实现单向NetStream功能,对Device的接口GigabitEthernet1/0/1和GigabitEthernet1/0/3的入方向和出方向上来自办公区的流量进行统计,并将统计数据发送给iMC服务器。iMC的IP地址为82.0.0.34/16,UDP端口号为9020。
图3 单向Netstream网络部署方案组网图
(1) Netstream接口模块需要加载软件版本,即RBF(Raw Binary File,原始二进制文件)固件,才可正常使用。请将单向NetStream功能的RBF固件已下载到交换机设备Device的Flash中。如果还未获取固件,请联系H3C技术支持工程师。
(2) 查看Device上配置的Netstream接口模块的工作模式。如果当前工作模式不是单向NetStream模式,需继续执行下一步操作。如果当前工作模式是单向NetStream模式,请直接执行第(5)步操作。
<Device> display fpga-working-mode status slot 1
Slot 1 Fpga-working-mode status:
Fpga-work-mode in use: NORMAL MODE(default).
Fpga-work-mode for next reboot: NORMAL MODE(default).
(3) 将接口模块当前工作模式切换为单向NetStream工作模式。对于有两个接口模块的设备,还需要通过subslotid指定用于Netstream功能的接口模块编号。设备仅支持使用一个Netstream接口模块。
<Device> system-view
[Device] fpga-working-mode slot 1 1
(4) 重启设备Device。
(5) 将Netstream接口模块安装到Device上,接口模块会自动下载并安装固件。
配置各接口的IP地址并配置路由协议,确保各设备之间路由可达,具体配置过程略。
在Device和接入层设备相连接口GigabitEthernet1/0/1和GigabitEthernet1/0/3的入方向和出方向上开启Netstream统计功能,并将统计数据发送给iMC服务器。具体配置方法为:
# 创建一个名为1的采样器,采用固定采样,可以在保证采样流量带宽不大于10Gbps的情况下灵活设置采样率,推荐采样率为1024,即1024个报文中采样1个报文。
<Device> system-view
[Device] sampler 1 mode fixed packet-interval 1024
# 分别在GigabitEthernet1/0/1和GigabitEthernet1/0/3上启动NetStream的入方向与出方向的统计功能并使用采样器1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip netstream inbound
[Device-GigabitEthernet1/0/1] ip netstream outbound
[Device-GigabitEthernet1/0/1] ip netstream inbound sampler 1
[Device-GigabitEthernet1/0/1] ip netstream outbound sampler 1
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] ip netstream inbound
[Device-GigabitEthernet1/0/3] ip netstream outbound
[Device-GigabitEthernet1/0/3] ip netstream inbound sampler 1
[Device-GigabitEthernet1/0/3] ip netstream outbound sampler 1
[Device-GigabitEthernet1/0/3] quit
# 配置NetStream普通流统计信息输出的目的地址为82.0.0.34和目的UDP端口号为9020。UDP端口号需要和IMC服务器的监听端口号保持一致。
[Device] ip netstream export host 82.0.0.34 9020
通过配置iMC服务器,对统计数据进行存储与分析。具体配置方法为:
a. 登录iMC,选择“业务”页签,在左导航树中选择[流量分析与审计/配置管理],进入配置管理页面。
b. 点击“设备管理”链接,进入设备列表页面。
c. 单击<增加>按钮,进入增加设备页面。
d. 增加设备的方法有两种:
- 输入设备IP地址、名称、SNMP团体字及端口号,直接增加设备。
- 单击<选择设备>按钮,从iMC平台中选择设备。
e. 单击<确定>按钮,增加设备完成。
a. 在配置管理页面,点击“服务器管理”链接,进入服务器列表页面。
b. 点击服务器对应的“修改”图标
,进入服务器配置页面。
c. 确保监听端口中有在Device设备上配置的统计信息输出的目的端口号,本例使用9020,选择之前增加的设备,其他参数可保持默认。
d. 单击<下发>按钮下发服务器配置。
a. 在配置管理页面,点击“流量分析任务管理”链接,进入流量分析任务管理页面。
b. 在流量分析任务列表中,单击<增加>按钮,进入选择任务类型页面。
c. 选择“接口”任务类型,单击<下一步>按钮,进入增加流量分析任务参数配置页面。
d. 配置如下参数:
- 任务名称:输入自定义名称,例如“test”。
- 任务读者:单击<选择读者>按钮,在弹出的操作员组列表页面选择可以查看该任务的操作员群组,单击<确定>按钮。
- VLAN/VXLAN流量分析:在下拉框中选择“启用”。
e. 单击<选择接口>按钮,选择汇聚层交换机Device和接入层设备相连的接口。
f. 其他参数保持默认。
g. 单击<确定>按钮,完成增加接口流量分析任务。
设备运行一段时间后,查看NetStream普通流的统计信息。
# 查看NetStream流缓冲区信息。
<Device> display ip netstream cache
IP NetStream cache information:
Active flow timeout : 5 min
Inactive flow timeout : 300 sec
Max number of entries : 1048576
IP active flow entries : 0
MPLS active flow entries : 0
L2 active flow entries : 0
IPL2 active flow entries : 9
IP flow entries counted : 0
MPLS flow entries counted : 0
L2 flow entries counted : 1
IPL2 flow entries counted : 8
Last statistics resetting time : Never
IP packet size distribution (215529 packets in total):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 >4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
Protocol Total Packets Flows Packets Active(sec) Idle(sec)
Flows /sec /sec /flow /flow /flow
------------------------------------------------------------------------------
IP-other 3 41 0 9319 30 300
TCP-other 4 66 0 11289 30 300
TCP-HTTP 1 0 0 6 30 300
Type DstIP(Port) SrcIP(Port) Pro ToS VNI If(Direct) Pkts
DstMAC(VLAN) SrcMAC(VLAN)
TopLblType(IP/MASK) Lbl-Exp-S-List
------------------------------------------------------------------------------
IP& 2.2.2.2(1040) 1.1.1.2(80) 6 0 N/A GE1/0/1(O) 22072
L2 0010-9400-0002(2) 0000-1100-510c(2)
IP& 1.1.1.2(1024) 2.2.2.2(1547) 17 0 N/A GE1/0/3(O) 718
L2 0010-9400-0001(1) 0000-1100-510b(1)
IP& 1.1.1.2(1042) 2.2.2.2(443) 6 0 N/A GE1/0/1(I) 5383
L2 0000-1100-510c(2) 0010-9400-0002(2)
IP& 2.2.2.3(1040) 1.1.1.3(69) 6 0 N/A GE1/0/1(O) 11369
L2 0010-9400-0002(2) 0000-1100-510c(2)
IP& 1.1.1.2(1042) 2.2.2.2(443) 6 0 N/A GE1/0/3(O) 16885
L2 0010-9400-0001(1) 0000-1100-510b(1)
IP& 2.2.2.2(1040) 1.1.1.2(80) 6 0 N/A GE1/0/3(I) 33442
L2 0000-1100-510b(1) 0010-9400-0001(1)
IP& 1.1.1.3(1024) 2.2.2.3(1547) 17 0 N/A GE1/0/1(I) 23198
L2 0000-1100-510c(2) 0010-9400-0002(2)
IP& 1.1.1.3(1024) 2.2.2.3(1547) 17 0 N/A GE1/0/3(O) 12285
L2 0010-9400-0011(1) 0000-1100-510b(1)
IP& 1.1.1.2(1024) 2.2.2.2(1547) 17 0 N/A GE1/0/1(I) 1308
L2 0000-1100-510c(2) 0010-9400-0002(2)
# 查看NetStream统计输出报文的各种信息。
<Device> display ip netstream export
IP export information:
Flow source interface : Not specified
Flow destination VPN instance : Not specified
Flow destination IP address (UDP) : 82.0.0.34 (9020)
Version 5 exported flow number : 0
Version 5 exported UDP datagram number (failed): 0 (0)
Version 9 exported flow number : 0
Version 9 exported UDP datagram number (failed): 0 (0)
Version 10 exported flow number : 0
Version 10 exported UDP datagram number (failed): 0 (0)
L2 export information:
Flow source interface : Not specified
Flow destination VPN instance : Not specified
Flow destination IP address (UDP) : 82.0.0.34 (9020)
Version 9 exported flow number : 1
Version 9 exported UDP datagram number (failed): 1 (0)
Version 10 exported flow number : 0
Version 10 exported UDP datagram number (failed): 0 (0)
IPL2 export information:
Flow source interface : Not specified
Flow destination VPN instance : Not specified
Flow destination IP address (UDP) : 82.0.0.34 (9020)
Version 9 exported flow number : 10
Version 9 exported UDP datagram number (failed): 2 (0)
Version 10 exported flow number : 0
Version 10 exported UDP datagram number (failed): 0 (0)
(1) 查看接口流量分析汇总报表
选择“业务”页签,在左导航树中选择[流量分析与审计/接口流量分析任务],进入接口流量分析汇总报表页面。
图7 接口流量分析汇总报表
(2) 查看接口流量分析任务Interface的流量分析报表
a. 查看Interface的流量分析报表有两种方法:
¡ 选择“业务”页签,在左导航树中选择[流量分析与审计/接口流量分析任务],进入接口流量分析汇总报表页面。在“汇总列表”区域,点击任务名称为“Interface”的链接。
¡ 将鼠标移至左导航树中“接口流量分析任务”链接右侧的快捷菜单图标
上,在弹出的快捷菜单中点击“Interface”链接。
图8 Interface的流量分析报表页面
b. 选择“应用”页签可查看Interface的应用分析报表。
图9 Interface的应用分析报表
双向NetStream在园区网中的典型应用如图10所示。在交换机设备Device上配置并安装Netstream接口模块,通过接口模块实现双向NetStream功能,对来自办公区的流量进行统计,并将统计数据发送给安全威胁发现与运营管理平台。安全威胁发现与运营管理平台的IP地址为10.153.230.241/8,UDP端口号为514。在配置双向NetStream功能时,需要配置镜像功能将Device端口GigabitEthernet1/0/21和GigabitEthernet1/0/23接收和发送的报文复制到设备连接FPGA子卡的内部接口Ten-GigabitEthernet1/1/5上。
本例通过组网对以下几种典型的异常流量进行检测:内网违规访问、RDB横向扩散成功、违规访问外网和蠕虫病毒内网扩散。
图10 双向Netstream网络部署方案组网图
(1) Netstream接口模块需要加载软件版本,即RBF(Raw Binary File,原始二进制文件)固件,才可正常使用。请将双向NetStream功能的RBF固件已下载到交换机设备Device的Flash中。如果还未获取固件,请联系H3C技术支持工程师。
(2) 查看Device上配置的Netstream接口模块当前的工作模式。如果当前工作模式不是双向NetStream模式,需继续执行下一步操作。如果当前工作模式是双向NetStream模式,请直接执行第(5)步操作。
<Device> display fpga-working-mode status slot 1
Slot 1 Fpga-working-mode status:
Fpga-work-mode in use: NORMAL MODE(default).
Fpga-work-mode for next reboot: NORMAL MODE(default).
(3) 在Device上将当前工作模式切换为双向NetStream工作模式。对于有两个接口模块的设备,还需要通过subslotid参数指定用于Netstream功能的接口模块编号。设备仅支持使用一个Netstream接口模块。
<Device> system-view
[Device] fpga-working-mode slot 1 2
(4) 重启设备Device。
(5) 将Netstream接口模块安装到Device上,接口模块会自动下载并安装固件。
配置各接口的IP地址并配置路由协议,确保各设备之间路由可达,具体配置过程略。
在Device上开启双向Netstream统计功能,并将统计数据发送给安全威胁发现与运营管理平台。具体配置方法为:
# 在Device上开启双向NetStream统计功能。
<Device> system-view
[Device] session-based netstream enable
# 配置双向NetStream输出报文的源地址为10.114.211.254。
[Device] session-based netstream export source ip 10.114.211.254
# 配置双向NetStream输出报文的目的地址为10.153.230.241,目的UDP端口号为514。
[Device] session-based netstream export host 10.153.230.241 514
# 配置双向NetStream统计信息表项的老化时间为1分钟。
[Device] session-based netstream timeout 1
# 配置端口镜像或流镜像,将数据报文复制到设备连接Netstream接口模块的内部接口Ten-GigabitEthernet1/1/5。当设备处于接入层时,推荐使用流镜像方式。当设备处于汇聚层时,推荐使用端口镜像方式。本例使用端口镜像方式进行配置。创建本地镜像组1。
[Device] mirroring-group 1 local
# 配置本地镜像组1的源端口为GigabitEthernet1/0/21和GigabitEthernet1/0/23,对源端口收发的报文都进行镜像,目的端口为Ten-GigabitEthernet1/1/5。
[Device] mirroring-group 1 mirroring-port GigabitEthernet 1/0/21 GigabitEthernet1 1/0/23 both
[Device] mirroring-group 1 monitor-port Ten-GigabitEthernet 1/1/5
# 为保证镜像功能的正常使用,需要在目的端口Ten-GigabitEthernet1/1/5上关闭生成树协议。
[Device] interface Ten-GigabitEthernet1 1/1/5
[Device-Ten-GigabitEthernet1/1/5] undo stp enable
[Device-Ten-GigabitEthernet1/1/5] quit
通过配置安全威胁发现与运营管理平台,对统计数据进行存储与分析。在配置UEBE规则检测异常流量之前需要通过本步骤完成平台的基础配置,具体配置方法为:
(1) 区域配置
该功能用于对用户网络进行划分区域管理。配置步骤为:
a. 登录安全威胁发现与运营管理平台。
b. 点击选择“配置管理 > 区域配置”进入区域配置页面。
c. 单击页面中的<新增>按钮可新增区域;单击
按钮可修改选中区域的配置信息。
d. 在新增或修改区域页面填写区域信息,配置完成后,单击<确认>按钮完成操作。
图11 区域配置
参数说明:
¡ 区域名称:区域的唯一标识。
¡ 区域描述:区域的描述信息,合理的描述信息有助于管理员快速了解区域。
¡ 区域地理位置:区域所在的省市。
¡ 区域采集器:当前区域所部署的采集器IP地址。区域内资产通过区域采集器与系统进行信息交互。
¡ IP范围:当前区域包含的IP地址范围。单击<新增>按钮可为当前区域添加IP范围。
¡ 网段类型:选择区域IP范围的配置方式,包括IP地址范围和子网。
¡ IP地址类型:可选择配置IPv4或IPv6网段。
¡ IP范围:具体的IP地址范围。在新增或编辑类型为IP地址范围的网段时,需要配置开始地址和结束地址,其中结束地址必须大于或等于开始地址。在新增或编辑类型为子网的网段时,需要配置区域子网和掩码长度(或前缀长度)。
(2) 资产配置
该功能用于自动发现和管理用户网络中的资产,并实时监控资产运行信息。配置步骤为:
a. 选择“配置管理 > 资产配置”进入资产监控页面。
b. 单击页面中的<新增>按钮可新增资产;单击
按钮可修改选中资产的配置信息。
c. 在配置页面填写资产信息,配置完成后,单击<确认>按钮完成操作。
图12 资产配置
参数说明:
¡ 资产名称:资产名称,单击资产名称可以进入资产画像页面查看该资产的详细信息。
¡ 资产IP:资产的IP地址,单击资产IP可查看该资产的IP地址列表。
¡ 资产价值:资产在网络中的位置或保存的数据不同而具有不同的重要性,通过资产价值来标识资产的重要性,重要性越大资产价值越高。
¡ 所属区域:资产所属区域。
¡ 安全状态:资产的安全情况。
¡ 资产责任人:负责维护该资产的账户名称。
¡ 生产厂商:资产的生产厂商。
(3) 用户配置
该功能用于管理用户信息,并支持通过设置用户网段来识别网络中的用户。配置步骤为:
a. 选择“配置管理 > 用户配置 > 用户信息”进入用户信息页面。在用户信息页面可以查看所有用户,或按条件筛选用户信息。也可以选中一条用户数据,点击<账户>查询用户近30天的登录详情。
b. 选择“配置管理 > 用户配置 > 用户网段配置”进入用户网段配置页面。
c. 新增用户网段:单击页面中的<新增>按钮可新增一个用户网段。
d. 编辑用户网段:单击
按钮可修改选中用户网段的配置信息。
e. 导入用户网段:也可以通过此种方式批量增加用户网段信息。单击<导入>按钮选择“用户网段模板下载”,按模板要求填写并保存用户网段信息后,再次单击<导入>按钮选择“用户网段导入”,导入保存的用户网段模板完成操作。
图13 用户网段配置
参数说明:
¡ 用户网段类型:用户网段的配置形式,包括IP地址范围和子网两种类型。
¡ 区域:用户所属的区域。设置用户网段时必须指定区域,否则添加失败。
¡ 内容:用户网段的详细内容。
¡ 排除地址:用户网段中排除的IP地址。
¡ 在新增或修改用户网段详细信息界面需要配置的其他参数:
¡ 继承区域IP段:勾选继承区域IP段后,系统自动将区域IP段添加到IP范围列表,管理员可根据需要编辑IP范围,提高配置效率。
¡ IP地址类型:用户网段的地址类型,包括IPv4和IPv6两种。
(4) 情报配置
威胁情报是包含了上下文信息的关于威胁的知识。威胁情报通过与关联规则联动可快速检测出可疑流量,配置步骤为:
a. 选择“配置管理 > 情报配置 > IP情报配置”进入IP情报配置页面。
b. 新增自定义IP情报:单击<新增>按钮进入新增自定义IP情报页面,配置相关参数后单击<确认>按钮完操作。
c. 启用自定义IP情报:选择一条或多条停用的情报后单击<启用>按钮完成操作。对于不需要继续启用的情报,也可以选择停用或者删除。
d. 批量导入自定义IP情报:单击<导入>按钮,选择“自定义IP情报导入模板下载”下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
图14 情报配置
新增自定义情报参数说明:
¡ IP:IP情报的查询IP地址。
¡ 分类:该IP地址对应的攻击分类。
¡ 方向:该IP地址被标识为特定攻击时的匹配方向,包括源、目的及双向。
¡ 可靠度:该自定义IP情报的准确度,值越大准确度越高。
¡ 启用状态:选择是否启用该自定义情报。
通过设置UEBA规则,对类型为内网违规访问的异常流量进行检测。
(1) 检测条件
该异常流量的判定规则为:内网主机对没有访问权限的IP及端口发起访问,且有流量交互。
(2) 配置步骤
a. 选择需要设置的规则:在UEBE规则里找到内网违规访问_违规访问的规则。支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。
b. 设置规则启用状态:选择内网违规访问_违规访问的规则,单击<启用>按钮可启用规则。被启用的规则将在下个检测周期执行检测任务。
c. 设置具体规则参数:选择内网违规访问_违规访问规则,点击操作列的
按钮即可设置该规则的核心参数。单击<新增>按钮可设置允许或禁止内网IP访问某个目的IP范围、目的端口及对该目的的描述。
图15 设置内网违规访问_违规访问规则
(3) 在Device上验证配置
# 显示所有镜像组的配置信息。
<Device> display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/21 Both
GigabitEthernet1/0/23 Both
Monitor port: Ten-GigabitEthernet1/1/5
# 显示流量统计信息,可以查看类型为内网违规访问的当异常流量。
<Device> display session-based netstream aggregation-cache session
Active entries :1
Timeout time for session-based NetStream entries :1
Session-timeout time for session-based NetStream entries :400
SrcMAC DstMAC SrcIP DstIP SrcPort DstPort
InPkts InBytes OutPkts OutBytes Pro LogType
0001-0061-0000 00e0-0608-0a0b 192.168.200.20 192.168.201.20 65000 5600
0 0 0 0 17 0x0
(4) 在安全威胁发现与运营管理平台验证配置
a. 查看综合态势:选择“综合态势”进入综合态势页面。该页面展示了全网安全度、安全事件数、资产安全状态分布、用户安全状态分布、攻击阶段分布、安全事件分布以及综合报告等信息。可以查看到标签为“违规访问”的风险用户。
图16 查看综合态势
b. 查看异常流量分析:选择“流量分析管理 > 异常流量分析”,进入异常流量分析页面。可以在异常流量类型分布里查看到类型为“内网违规访问”的异常流量。
图17 查看异常流量分析
c. 威胁处置:选择“威胁处置 > 风险用户”,进入风险用户处置界面处置类型为“违规访问”的风险用户。
图18 处置风险用户
通过设置UEBA规则,对类型为内网横向扩散_RDP横向扩散成功的异常流量进行检测。
(1) 检测条件
该异常流量的判定规则为:内网主机存在RDP横向扩散成功行为,即检测周期内,存在内网主机向其他内网主机发起RDP访问,且交互流量均大于设置的阈值。
(2) 配置步骤
a. 选择需要设置的规则:在UEBA规则里找到内网横向扩散_RDP横向扩散成功的规则。支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。
b. 设置规则启用状态:选择内网横向扩散_RDP横向扩散成功的规则的规则,单击<启用>按钮可启用规则。被启用的规则将在下个检测周期执行检测任务。
c. 设置具体规则参数:选择内网横向扩散_RDP横向扩散成功规则,点击操作列的
按钮即可设置该规则的核心参数。需要设置主机数阈值、上行流量阈值和下行流量阈值。
图19 设置内网横向扩散_RDP横向扩散成功规则
参数说明:
¡ 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
¡ 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
¡ 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
(3) 在Device上验证配置
# 显示所有镜像组的配置信息。
<Device> display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/21 Both
GigabitEthernet1/0/23 Both
Monitor port: Ten-GigabitEthernet1/1/5
# 显示流量统计信息,可以查看类型为内网横向扩散_RDP横向扩散成功的异常流量。
<Device> display session-based netstream aggregation-cache session
Active entries :50
Timeout time for session-based NetStream entries :1
Session-timeout time for session-based NetStream entries :400
SrcMAC DstMAC SrcIP DstIP SrcPort DstPort
InPkts InBytes OutPkts OutBytes Pro LogType
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.126 50000 3389
55 4730 55 4510 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.124 50000 3389
59 5074 59 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.120 50000 3389
59 5074 56 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.128 50000 3389
59 5074 59 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.129 50000 3389
59 5074 59 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.127 50000 3389
56 4816 59 4592 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.135 50000 3389
59 5074 55 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.113 50000 3389
59 5074 59 4538 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.123 50000 3389
59 4716 56 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.141 50000 3389
59 5074 59 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.137 50000 3389
59 5074 59 4838 17 0x2
0001-0061-0000 00e0-0608-0a0b 192.168.200.110 192.168.201.123 50000 3389
59 5074 59 4838 17 0x2
......(省略部分显示信息)
(4) 在安全威胁发现与运营管理平台验证配置
a. 查看综合态势:选择“综合态势”进入综合态势页面,可以查看到标签为“RDP横向扩散成功”的风险用户。
图20 查看综合态势
b. 查看异常流量分析:选择“流量分析管理 > 异常流量分析”,进入异常流量分析页面。可以在异常流量类型分布里查看到类型为“内网横向扩散”的异常流量。
图21 查看异常流量分析
c. 威胁处置:选择“威胁处置 > 风险用户”,进入风险用户处置界面处置类型为“RDB横向扩散成功”的风险用户。
图22 处置风险用户
通过设置UEBA规则,对类型为违规访问外网_违规外联成功的异常流量进行检测。
(1) 检测条件
该异常流量的判定规则为:内网主机存在违规访问外网行为,且交互流量大于阈值。
(2) 配置步骤
a. 选择需要设置的规则:在UEBA规则里找到违规访问外网_违规外联成功的规则。支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。
b. 设置规则启用状态:选择违规访问外网_违规外联成功的规则,单击<启用>按钮可启用规则。被启用的规则将在下个检测周期执行检测任务。
c. 设置具体规则参数:选择违规访问外网_违规外联成功规则,点击操作列的
按钮即可设置该规则的核心参数。需要设置上行流量阈值、下行流量阈值和源IP范围。
图23 违规访问外网_违规外联成功规则
参数说明:
¡ 上行流量阈值:请求流量阈值。
¡ 下行流量阈值:应答流量阈值。
¡ 源IP范围:禁止访问互联网的内网IP地址范围。
(3) 在Device上验证配置
# 显示所有镜像组的配置信息。
<Device> display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/21 Both
GigabitEthernet1/0/23 Both
Monitor port: Ten-GigabitEthernet1/1/5
# 显示流量统计信息,可以查看类型为违规访问外网_违规外联成功的异常流量。
<Device> display session-based netstream aggregation-cache session
Active entries :1
Timeout time for session-based NetStream entries :1
Session-timeout time for session-based NetStream entries :400
SrcMAC DstMAC SrcIP DstIP SrcPort DstPort
InPkts InBytes OutPkts OutBytes Pro LogType
0001-0061-0100 00e0-0608-0a0b 192.168.200.2 100.1.1.10 50000 5321
236209 301402684 23593 30011059 17 0x3
(4) 在安全威胁发现与运营管理平台验证配置
a. 查看综合态势:选择“综合态势”进入综合态势页面,可以查看到标签为“违规外联成功”的风险资产。
图24 查看综合态势
b. 查看异常流量分析:选择“流量分析管理 > 异常流量分析”,进入异常流量分析页面。可以在异常流量类型分布及近期异常流量事件里查看到类型为“违规访问外网”的异常流量。
图25 查看异常流量分析
c. 威胁处置:选择“威胁处置 > 风险资产”,进入风险资产处置界面处置类型为“违规外联成功”的风险资产。
图26 处置风险资产
通过设置UEBA规则,对类型为蠕虫病毒内网扩散_感染蠕虫病毒的异常流量进行检测。
(1) 检测条件
该异常流量的判定规则为:源内网主机访问的内网不同主机数或访问具有相同C段特征的不同内网主机数超过设置的阈值时,则表示该主机可能感染蠕虫病毒。
(2) 配置步骤
a. 选择需要设置的规则:在UEBE规则里找到蠕虫病毒内网扩散_感染蠕虫病毒的规则。支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。
b. 设置规则启用状态:选择蠕虫病毒内网扩散_感染蠕虫病毒的规则,单击<启用>按钮可启用规则。被启用的规则将在下个检测周期执行检测任务。
c. 设置具体规则参数:选择蠕虫病毒内网扩散_感染蠕虫病毒规则,点击操作列的
按钮即可设置该规则的核心参数。需要设置主机数阈值和C段特征主机数阈值。
图27 设置蠕虫病毒内网扩散_感染蠕虫病毒规则
参数说明:
¡ 主机数阈值:源内网主机访问内网不同主机数阈值。
¡ C段特征主机数阈值:访问目的IP为具有相同C段特征的不同内网主机数的阈值
(3) 在Device上验证配置
# 显示所有镜像组的配置信息。
<Device> display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/21 Both
GigabitEthernet1/0/23 Both
Monitor port: Ten-GigabitEthernet1/1/5
# 显示流量统计信息,可以查看类型为蠕虫病毒内网扩散_感染蠕虫病毒的异常流量。
<Device> display session-based netstream aggregation-cache session
Active entries :100
Timeout time for session-based NetStream entries :1
Session-timeout time for session-based NetStream entries :400
SrcMAC DstMAC SrcIP DstIP SrcPort DstPort
InPkts InBytes OutPkts OutBytes Pro LogType
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.94 10240 445
1567 124840 1565 815892 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.96 10240 445
1567 124981 1565 820645 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.51 10240 445
1565 125036 1564 827131 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.16 10240 445
1563 124784 1561 822131 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.61 10240 445
1566 125351 1564 834838 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.51 10240 445
1565 124689 1563 815718 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.16 10240 445
1568 125911 1566 847224 17 0x2
0001-0061-0100 00e0-0608-0a0b 192.168.200.10 192.168.201.61 10240 445
1567 125431 1565 834526 17 0x2
......(省略部分显示信息)
(4) 在安全威胁发现与运营管理平台验证配置
a. 查看综合态势:选择“综合态势”进入综合态势页面,可以查看到标签为“感染蠕虫病毒”的风险用户。
图28 查看综合态势
b. 查看异常流量分析:选择“流量分析管理 > 异常流量分析”,进入异常流量分析页面。可以在异常流量类型分布里查看到类型为“蠕虫病毒内网扩散”的异常流量。
图29 查看异常流量分析
c. 威胁处置:选择“威胁处置 > 风险用户”,进入风险用户处置界面处置类型为“感染蠕虫病毒”的风险用户。
图30 处置风险用户
Netstream接口模块需要加载软件版本,即RBF(Raw Binary File,原始二进制文件)固件,才可正常使用。Netstream接口模块的RBF固件不会打包在设备的IPE文件里,为接口模块加载RBF固件前,请确保对应RBF固件已下载到设备的Flash中。如果还未获取固件,请联系H3C技术支持工程师。
单向NetStream和双向NetStream功能采用的RBF固件不同,因此,单双向NetStream不可以同时启用。
设备缺省情况下不支持Netstream接口模块,使用NetStream功能前,需要通过fpga-working-mode 1命令将设备切换为单向NetStream工作模式或使用fpga-working-mode 2命令将设备切换为双向NetStream工作模式,执行命令后需重启设备。
如果需要切换NetStream工作模式,请确保相应模式的RBF固件已经下载到设备Flash中,使用fpga-working-mode命令将设备切换为指定的工作模式,然后重启设备。
对接口模块进行固件升级(仅升级版本而不进行工作模式切换)时,只需将新版本固件下载至设备Flash中并重新插拔接口模块,即可自动完成固件的版本升级。
单向NetStream功能的固件名称为SSAE_CS_FUNC1_Vxxx.rbf,双向NetStream功能的固件名称为SSAE_CS_FUNC2_Vxxx.rbf,其中xxx表示固件的版本号。
当Flash中存在同一功能的多个版本固件时,设备支持自动识别高版本固件。
不同的Netstream接口模块支持处理的最大单个报文长度不同,请以接口模块的实际情况为准。对于本手册中的接口模块,支持的单个报文最大长度的缺省值为1518字节。请合理配置MTU值,避免因报文过长无法处理导致NetStream的流统数据不准确。
· 支持向NetStream服务器发送日志模板,NetStream服务器根据模板解析接收数据,所以支持我司iMC或符合IPFIX标准的第三方平台作为NetStream服务器。
· 对VXLAN流量进行统计时,仅支持统计VXLAN报文内层信息。
· 单向NetStream的采样功能与sFlow互斥,不能同时启用。
· 在IRF组网中,单向NetStream不支持对跨成员设备的流量进行统计。
· 不支持向NetStream服务器发送日志模板,所以仅支持我司安全威胁发现与运营管理平台作为NetStream服务器。
· 双向NetStream不支持统计VXLAN流量。
· 双向NetStream基于双向流模拟会话来实现会话统计,因此无法支持基于会话状态的老化上报,只能定时老化上报。
· 由于设备不支持将相同流量镜像至多个目的,因此,对于已经流镜像至内联口这部分流量,请勿再对其配置其他镜像功能。
· 在IRF组网中,推荐在Master设备上安装Netstream接口模块。
· TCP短连接会话可能导致不同会话误识别为一个会话。例如,当前会话已断开,但由于NetStream流表项还未到输出的时刻,发起上一个会话的双方又新建了一个会话,此时设备会认为新建会话并非新建,而是上一个会话的延续,将新会话与老会话统计在一起。
· 三层流量请使用本地端口镜像方式,在同一端口配置双向端口镜像。
H3C园区网所有支持Netstream接口模块的款型均可,推荐使用S5560X系列交换机。
|
Netstream接口模块型号 |
S6520X系列 |
S5560X系列 |
|
LSWM2FPGA |
√ |
√ |
|
LSWM2FPGAB |
√ |
√ |
|
分析平台 |
版本信息 |
|
Netstream接口模块 |
V101及以上版本 |
|
S6520X系列交换机 S5560X系列交换机 |
F6509L01及以上版本 |
|
iMC NTA组件 |
E0507及以上版本 |
|
安全威胁发现与运营管理平台 |
E1141P02及以上版本 |
支持
售前咨询
售后咨询
人工在线咨询
