返回
通过设备日志研究识别业务流方法

通过设备日志研究识别业务流方法

ID:5190964

大小:28.00 KB

页数:6页

时间:2017-12-05

通过设备日志研究识别业务流方法_第1页
通过设备日志研究识别业务流方法_第2页
通过设备日志研究识别业务流方法_第3页
通过设备日志研究识别业务流方法_第4页
通过设备日志研究识别业务流方法_第5页
资源描述:

《通过设备日志研究识别业务流方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、通过设备日志研究识别业务流方法  摘要:网络安全在企业信息化中的位置越来越重要,越来越多的网络和系统需要防火墙设备进行安全防护。防火墙设备上的安全策略部署质量的高低,是防火墙设备是否起到安全防护作用的关键。但对于企业网络中众多复杂的各种应用,其数据流向往往比较复杂。本文针对企业网防火墙策略发现问题,提出一种采用网络设备日志分析实现识别业务流的方法,该方法可以低成本、高效率的发现网络中的业务流,进而为防火墙策略的部署提供依据。Abstract:Networksecurityintheenterpriseinformationismoreandmoreimport

2、ant,andmoreandmorenetworkandsystemsneedfirewallsecurityforsecurityprotection.Thelevelofsecuritypolicydeploymentqualityisakeyforwhetherthefirewalldeviceplaytheroleofsecurityprotection.Butformanycomplexapplicationsinenterprisenetwork,itsdataflowisoftenmorecomplicated.Accordingtothepro

3、blemsofenterprisenetworkfirewallpolicy,thispaperproposesamethodthatusingnetworkdeviceloganalysistoidentifythetrafficflow.Themethod6candiscoverynetworktrafficwithlow-cost,high-efficiency,andthusprovidethebasisforthedeploymentoffirewallpolicy.关键词:防火墙;网络安全;安全策略Keywords:firewall;network

4、security;securitypolicy中图分类号:TP393文献标识码:A文章编号:1006-4311(2014)10-0223-020引言在企业网络的网络管理及项目建设上,防火墙的应用越来越广泛。在一张网络中部署的防火墙数目小到五六台多则十几台、几十台。为了使每台防火墙真正起到安全控制的作用,每台防火墙都要根据实际的访问需求制定出成百上千条安全策略。每条安全策略都要有针对性的对合法的数据流予以允许通过,对非法的数据流予以拒绝。在网络应用日益复杂的今天,如何对现网数据流进行识别(统计、分析)是摆在工程技术和网络维护人员面前的一个重要课题。1目前的识别方

5、法及问题目前,数据流的识别主要采用的技术有Netflow/Sflow和SPAN技术。6Netflow/Sflow技术主要是支持该技术的数据节点设备上启用该特性,通过采集服务器到节点设备上采集数据,然后对数据进行分析整理得到网络中的数据流信息。Netflow/sFlow技术能对数据网络的通信流量进行详细的行为模式分析和计量,并提供网络运行的详细统计数据。但是,NetFlow/sFlow支持情况受设备类型、板卡类型、软件版本、软件授权等条件制约,某些厂商设备甚至需要采购专用硬件。SPAN技术(镜像抓包)是一种基于被动侦听原理的网络分析方式。使用这种技术,可以监视网

6、络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,可以使用网络监听的方式来进行记录、分析。将网络接口设置在监听模式,可以将网上传输的源源不断的信息截获。但是,这种技术需要把整个数据包的信息都记录下来,包含对于数据流分析基本没有用处的data信息,这样就需要处理大量的无关信息,分析效率比较低,而且对于已经部署IDS、流量清洗等设备的节点,受到网络端口镜像SESSION数量的限制,而无法实施。2解决办法利用在路由器、交换机、防火墙设备普遍支持的访问控制功能,在设备上部署开放的数据流抓取策略(所谓开放的数据流抓取策略,就是采用允许数据流通

7、过的访问控制列表或策略,以便在不影响现有业务流通过的前提下生成数据流日志),生成表1所示的数据流向日志(Cisco设备产生的log节选)。6由表1可以发现,每条日志中记录了数据流的协议类型、源ip、源端口、目的ip、目的端口等信息。以上日志信息可以提取如表2所示的信息。部署周期内形成的日志文件记录了本时间段内所有数据流访问信息。通过软件工具对日志进行分析、抽取、统计、整理,就可以得到通过某一网络节点的数据流信息。利用得到的数据流信息,通过甄别、筛选、汇总,就可以形成该节点正常业务流信息,为安全策略的制定、实时维护提供依据。由于绝大多数厂商(Cisco、Juni

8、per、华为等)的数据网络设备(防火墙

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。