对于网络监控,有两种方案:带外和内联(带内)。该定义通常指的是从监控工具的角度来看设备的位置。基本上,监控工具是否在网络数据的关键路径上?如果工具不在主数据路径中,而只是使用数据包的副本,则称为带外。如果它实际上是在处理原始数据,那么它就被称为内联。就这么简单。当然,下一个问题是,它为什么重要?

内联和带外网络监控的目的

        带外或内联监控方案的类型会影响监控设备的放置,使用的设备类型,以及作为可见性体系架构的一部分您可以执行的监视活动。例如,防火墙通常位于公司通往外部世界的主要网络接口处。因此它们是内联放置。入侵监测系统(IDS)通常不会内联放置,它被安装为带外方案的一部分,因为虽然它用于对入侵数据进行采样,但并不打算检查通过网络的每个数据包。

        对于内联工具,数据访问从旁路交换机开始。可以将其视为监视工具的特殊分路器,您可以将其直接插入网络数据流。如果您只是插入了该工具,而它完全不可用,或者您将该工具撤出,这将直接影响,即停止数据流传输到网络的其余部分。旁路交换机具有故障转移功能,即使连接到它的工具发生故障,网络也可以持续运行。如果在旁路交换机和工具之间插入网路数据包代理(NPB),则可以实现其他功能,如网络数据的过滤和负载均衡。

内联监控方案示例图

       在带外监控方案中,将被动分路器插入网络以进行数据访问。该设备不需要故障转移功能,因为监控设备不直接在网络流量中,所以比较简单。事实上,它本质上是设定好然后就忘记了。通常情况下, 无需对TAP进行任何编程。当TAP位于流量的直接路径上时,正在接收流量副本的所有设备都完全不在网络流量的流量路径之内。您可以将所需的任何设备连接或断开到TAP监控端口,这不会影响网络的其余部分。在这种情况下,还可以在TAP和工具之间插入一个数据包代理(NPB),以执行过滤、负载平衡、重复数据删除、数据包切片、数据屏蔽及许多其他功能。

带外网络监控方案示例图

内联和带外常见网络监控方案示例:

安全监控解决方案涉及防火墙、入侵防御系统(IPS)、蜜罐、可以数据串行链和威胁检测解决方案等内联组件。带外解决方案示例包括使用数据丢失防护(DLP)工具进行取证分析,入侵检测系统(IDS)分析和取证数据包记录。

两种方案都提供了节省成本的功能,如负载平衡、数据过滤/识别、浮动过滤器创建、远程管理等。

两种解决方案都提供了更高的生存性(如旁路交换机)和内联安全工具的高可用性,以及带外解决方案的冗余组件和故障转移NPB功能。

虽然一些性能监控工具可以作为内联方案的一部分实施,但这些解决方案中的大多数将是带外的,并且侧重于应用程序和网络监控。主动监控(实时测试网络的能力)也是一种带外解决方案。

此功能在带外方案中更常见是由于应用程序数据的分析效用。应用程序数据可用于帮助确定危害指标、主动故障排除以及改善/改善法规遵从性。

带外方案允许收集可用于查明问题的各种数据点。数据的存在通常不会揭示问题本身。需要将该数据发送到分析工具,该工具需要一定的时间来分析数据,然后才能得出有用的结论。此事件延迟需要带外方案。

带外方案允许数据屏蔽和数据包切片,以便在存储数据包数据时将其隐藏起来。还可以过滤数据并将其发送到特殊用途工具(如日志记录工具),以进行数据存储,以证明其符合各种法规标准。

带外解决方案用于访问虚拟数据中心内的监控数据。这包括一个特殊用途的TAP,称为虚拟TAP,用于捕获必要的数据并将其发送到监控工具进行数据分析。

内联和带外网络监控注意事项

以下是一些需要牢记的事项,可帮助您确定是否需要内联监控解决方案或带外监控解决方案。

您希望从网络中收集哪些信息?您计划从哪里获取这些信息?确定内联方案通常相当简单。例如,您是需要收集和处理实际的数据包,还是只需要收集和处理数据包的副本?您需要对每个包裹进行分析和检查吗?这些都是内联方案。带外基本上就是其他一切。这包括性能监控、安全风险取证分析、合规性数据分析、网络问题故障排除等。

设备的性能将是最重要的。您需要在满负载情况下以全线速处理数据的分路器、旁路交换机和数据包代理。某些可见性解决方案提供商销售的产品不能以全线速运行。因此,在购买之前预先测试您的解决方案。

可扩展性对于长期成本控制非常重要。该解决方案需要能够支持当前的带宽要求和未来的要求。您还需要将来可以升级到更高数据速率(如100 GE)的解决方案。

数据包代理过滤器的创建必须像单击鼠标一样简单。一个好的数据包代理将在主用户界面内显示过滤器,以便于查看连接并易于理解特定过滤器的用途。您可以使用拖放功能来启动数据流向过滤器。数据包代理还应该支持一个远程接口,以便您可以远程更改或启用浮动过滤器,即无需开车进入办公室。这些功能对于控制运营成本至关重要。

联系我们



服务咨询

全天高效服务

Demo申请