NetFlow และ IPFIX เป็นทั้งเทคโนโลยีที่ใช้สำหรับการตรวจสอบและวิเคราะห์การไหลของเครือข่าย พวกเขาให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูลเครือข่ายช่วยในการเพิ่มประสิทธิภาพประสิทธิภาพการแก้ไขปัญหาและการวิเคราะห์ความปลอดภัย
NetFlow:
NetFlow คืออะไร?
การไหลของตาข่ายเป็นโซลูชันการตรวจสอบการไหลดั้งเดิมซึ่งพัฒนาโดย Cisco ในช่วงปลายปี 1990 มีหลายเวอร์ชันที่แตกต่างกัน แต่การปรับใช้ส่วนใหญ่ขึ้นอยู่กับ NetFlow V5 หรือ NetFlow V9 ในขณะที่แต่ละรุ่นมีความสามารถที่แตกต่างกันการดำเนินการพื้นฐานยังคงเหมือนเดิม:
ขั้นแรกเราเตอร์สวิตช์ไฟร์วอลล์หรืออุปกรณ์ประเภทอื่นจะจับข้อมูลบนเครือข่าย“ การไหล” - โดยทั่วไปชุดของแพ็กเก็ตที่แบ่งปันชุดของคุณสมบัติทั่วไปเช่นที่อยู่ต้นทางและปลายทางแหล่งที่มาและพอร์ตปลายทางและประเภทโปรโตคอล หลังจากที่การไหลหายไปไม่หยุดนิ่งหรือระยะเวลาที่กำหนดไว้ล่วงหน้าได้ผ่านไปแล้วอุปกรณ์จะส่งออกบันทึกการไหลไปยังเอนทิตีที่เรียกว่า "ตัวสะสมการไหล"
ในที่สุด“ ตัววิเคราะห์การไหล” ทำให้รู้สึกถึงบันทึกเหล่านั้นให้ข้อมูลเชิงลึกในรูปแบบของการสร้างภาพข้อมูลสถิติและการรายงานรายละเอียดในอดีตและแบบเรียลไทม์ ในทางปฏิบัตินักสะสมและเครื่องวิเคราะห์มักจะเป็นเอนทิตีเดียวซึ่งมักจะรวมกันเป็นโซลูชันการตรวจสอบประสิทธิภาพเครือข่ายที่ใหญ่ขึ้น
NetFlow ดำเนินการบนพื้นฐานของรัฐ เมื่อเครื่องไคลเอนต์เอื้อมมือไปที่เซิร์ฟเวอร์ NetFlow จะเริ่มจับภาพและรวบรวมข้อมูลเมตาจากโฟลว์ หลังจากที่เซสชันสิ้นสุดลง NetFlow จะส่งออกบันทึกที่สมบูรณ์เพียงครั้งเดียวไปยัง Collector
แม้ว่ามันจะยังคงใช้กันทั่วไป Netflow V5 มีข้อ จำกัด มากมาย ฟิลด์ที่ส่งออกได้รับการแก้ไขการตรวจสอบได้รับการสนับสนุนเฉพาะในทิศทางการเข้าและเทคโนโลยีที่ทันสมัยเช่น IPv6, MPLS และ VXLAN ไม่รองรับ NetFlow V9 ซึ่งเป็นตราสินค้าเป็น NetFlow (FNF) ที่ยืดหยุ่นซึ่งอยู่ที่อยู่ของข้อ จำกัด เหล่านี้ช่วยให้ผู้ใช้สามารถสร้างเทมเพลตที่กำหนดเองและเพิ่มการสนับสนุนสำหรับเทคโนโลยีใหม่
ผู้ขายหลายรายยังมีการใช้งาน NetFlow ของตัวเองเช่น JFlow จาก Juniper และ Netstream จาก Huawei แม้ว่าการกำหนดค่าอาจแตกต่างกันบ้าง แต่การใช้งานเหล่านี้มักจะสร้างระเบียนการไหลที่เข้ากันได้กับตัวสะสม NetFlow และเครื่องวิเคราะห์
คุณสมบัติที่สำคัญของ NetFlow:
~ ข้อมูลการไหล: NetFlow สร้างบันทึกการไหลที่มีรายละเอียดเช่นที่อยู่ IP ต้นทางและปลายทาง, พอร์ต, การประทับเวลา, แพ็คเก็ตและจำนวนไบต์และประเภทโปรโตคอล
~ การตรวจสอบการจราจร: NetFlow ให้การมองเห็นในรูปแบบการรับส่งข้อมูลเครือข่ายช่วยให้ผู้ดูแลระบบสามารถระบุแอปพลิเคชันชั้นนำจุดสิ้นสุดและแหล่งข้อมูลการจราจร
~การตรวจจับความผิดปกติ: โดยการวิเคราะห์ข้อมูลการไหล NetFlow สามารถตรวจจับความผิดปกติเช่นการใช้แบนด์วิดท์ที่มากเกินไปความแออัดของเครือข่ายหรือรูปแบบการรับส่งข้อมูลที่ผิดปกติ
~ การวิเคราะห์ความปลอดภัย: NetFlow สามารถใช้ในการตรวจจับและตรวจสอบเหตุการณ์ความปลอดภัยเช่นการโจมตีแบบปฏิเสธการบริการ (DDOS) หรือการพยายามเข้าถึงโดยไม่ได้รับอนุญาต
เวอร์ชัน NetFlow: NetFlow มีการพัฒนาเมื่อเวลาผ่านไปและรุ่นต่าง ๆ ได้รับการปล่อยตัว เวอร์ชันที่โดดเด่นบางรุ่น ได้แก่ NetFlow V5, NetFlow V9 และ NetFlow ที่ยืดหยุ่น แต่ละรุ่นแนะนำการปรับปรุงและความสามารถเพิ่มเติม
ipfix:
ipfix คืออะไร?
มาตรฐาน IETF ที่เกิดขึ้นในช่วงต้นยุค 2000 ข้อมูลการไหลของข้อมูลโปรโตคอลอินเทอร์เน็ต (IPFIX) นั้นคล้ายคลึงกับ NetFlow มาก ในความเป็นจริง NetFlow V9 ทำหน้าที่เป็นพื้นฐานสำหรับ IPFIX ความแตกต่างหลักระหว่างทั้งสองคือ IPFIX เป็นมาตรฐานแบบเปิดและได้รับการสนับสนุนจากผู้ขายเครือข่ายหลายรายนอกเหนือจากซิสโก้ ยกเว้นฟิลด์เพิ่มเติมสองสามรายการที่เพิ่มเข้ามาใน IPFIX รูปแบบนั้นเกือบจะเหมือนกัน ในความเป็นจริงบางครั้ง ipfix ก็เรียกว่า "NetFlow V10"
เนื่องจากส่วนหนึ่งของความคล้ายคลึงกับ NetFlow ทำให้ IPFIX ได้รับการสนับสนุนอย่างกว้างขวางระหว่างโซลูชันการตรวจสอบเครือข่ายรวมถึงอุปกรณ์เครือข่าย
IPFIX (การส่งออกข้อมูลการไหลของ Internet Protocol) เป็นโปรโตคอลมาตรฐานแบบเปิดที่พัฒนาโดย Internet Engineering Task Force (IETF) มันขึ้นอยู่กับข้อกำหนดของ NetFlow เวอร์ชัน 9 และจัดทำรูปแบบมาตรฐานสำหรับการส่งออกบันทึกการไหลจากอุปกรณ์เครือข่าย
IPFIX สร้างตามแนวคิดของ NetFlow และขยายพวกเขาเพื่อให้ความยืดหยุ่นและการทำงานร่วมกันมากขึ้นในผู้ขายและอุปกรณ์ที่แตกต่างกัน มันแนะนำแนวคิดของเทมเพลตช่วยให้คำจำกัดความแบบไดนามิกของโครงสร้างการบันทึกและเนื้อหา สิ่งนี้ช่วยให้การรวมฟิลด์ที่กำหนดเองสนับสนุนโปรโตคอลใหม่และความสามารถในการขยาย
คุณสมบัติที่สำคัญของ ipfix:
~ วิธีการตามเทมเพลต: IPFIX ใช้เทมเพลตเพื่อกำหนดโครงสร้างและเนื้อหาของบันทึกการไหลซึ่งนำเสนอความยืดหยุ่นในการรองรับฟิลด์ข้อมูลที่แตกต่างกันและข้อมูลเฉพาะโปรโตคอล
~ ความสามารถในการทำงานร่วมกันได้: IPFIX เป็นมาตรฐานแบบเปิดเพื่อให้มั่นใจถึงความสามารถในการตรวจสอบการไหลที่สอดคล้องกันในผู้ขายเครือข่ายและอุปกรณ์ที่แตกต่างกัน
~ การสนับสนุน IPv6: IPFIX รองรับ IPv6 ทำให้เหมาะสำหรับการตรวจสอบและวิเคราะห์ปริมาณการใช้งานในเครือข่าย IPv6
~ความปลอดภัยที่เพิ่มขึ้น: IPFIX มีคุณสมบัติด้านความปลอดภัยเช่นการเข้ารหัสการขนส่งเลเยอร์การขนส่ง (TLS) และการตรวจสอบความสมบูรณ์ของข้อความเพื่อป้องกันการรักษาความลับและความสมบูรณ์ของข้อมูลการไหลในระหว่างการส่ง
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางจากผู้ขายอุปกรณ์เครือข่ายต่างๆทำให้เป็นตัวเลือกที่เป็นกลางและเป็นกลางสำหรับการตรวจสอบการไหลของเครือข่าย
ดังนั้นความแตกต่างระหว่าง NetFlow และ ipfix คืออะไร?
คำตอบง่ายๆคือ NetFlow เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของซิสโก้ที่แนะนำในปี 1996 และ IPFIX เป็นพี่ชายที่ได้รับการอนุมัติตามมาตรฐาน
โปรโตคอลทั้งสองมีจุดประสงค์เดียวกัน: การเปิดใช้งานวิศวกรเครือข่ายและผู้ดูแลระบบในการรวบรวมและวิเคราะห์การไหลของการรับส่งข้อมูล IP ระดับเครือข่าย Cisco พัฒนา NetFlow เพื่อให้สวิตช์และเราเตอร์สามารถส่งออกข้อมูลที่มีค่านี้ได้ ด้วยการปกครองของเกียร์ Cisco NetFlow ได้กลายเป็นมาตรฐาน DE-FACTO อย่างรวดเร็วสำหรับการวิเคราะห์การจราจรเครือข่าย อย่างไรก็ตามคู่แข่งในอุตสาหกรรมตระหนักว่าการใช้โปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งควบคุมโดยคู่แข่งหัวหน้าของตนนั้นไม่ใช่ความคิดที่ดีและด้วยเหตุนี้ IETF จึงนำความพยายามในการสร้างมาตรฐานโปรโตคอลแบบเปิดสำหรับการวิเคราะห์การจราจรซึ่งเป็น ipfix
IPFIX ใช้ NetFlow เวอร์ชัน 9 และได้รับการแนะนำให้รู้จักกับปี 2548 แต่ใช้เวลาหลายปีในการรับเลี้ยงบุตรบุญธรรมในอุตสาหกรรม ณ จุดนี้โปรโตคอลทั้งสองนั้นเหมือนกันและแม้ว่าคำว่า netflow ยังคงเป็นที่แพร่หลายมากขึ้นการใช้งานส่วนใหญ่ (แม้ว่าจะไม่ใช่ทั้งหมด) เข้ากันได้กับมาตรฐาน ipfix
นี่คือตารางที่สรุปความแตกต่างระหว่าง NetFlow และ ipfix:
| ด้าน | การไหลของตาข่าย | ipfix |
|---|---|---|
| ต้นทาง | เทคโนโลยีที่เป็นกรรมสิทธิ์พัฒนาโดย Cisco | โปรโตคอลมาตรฐานอุตสาหกรรมตาม NetFlow เวอร์ชัน 9 |
| มาตรฐาน | เทคโนโลยีเฉพาะของซิสโก้ | Open Standard ที่กำหนดโดย IETF ใน RFC 7011 |
| ความยืดหยุ่น | เวอร์ชันที่พัฒนาขึ้นพร้อมคุณสมบัติเฉพาะ | ความยืดหยุ่นและการทำงานร่วมกันมากขึ้นในผู้ขาย |
| รูปแบบข้อมูล | แพ็คเก็ตขนาดคงที่ | วิธีการตามเทมเพลตสำหรับรูปแบบการบันทึกการไหลที่ปรับแต่งได้ |
| รองรับแม่แบบ | ไม่รองรับ | เทมเพลตแบบไดนามิกสำหรับการรวมฟิลด์ที่ยืดหยุ่น |
| การสนับสนุนผู้ขาย | อุปกรณ์ซิสโก้เป็นหลัก | การสนับสนุนอย่างกว้างขวางทั่วทั้งผู้ขายเครือข่าย |
| ความสามารถในการขยายได้ | การปรับแต่งที่ จำกัด | การรวมฟิลด์ที่กำหนดเองและข้อมูลเฉพาะแอปพลิเคชัน |
| ความแตกต่างของโปรโตคอล | รูปแบบเฉพาะของซิสโก้ | การสนับสนุน IPv6 แบบดั้งเดิมตัวเลือกการบันทึกการไหลขั้นสูง |
| คุณสมบัติด้านความปลอดภัย | คุณสมบัติความปลอดภัยที่ จำกัด | การเข้ารหัสความปลอดภัยของเลเยอร์การขนส่ง (TLS) ความสมบูรณ์ของข้อความ |
การตรวจสอบการไหลของเครือข่ายคือคอลเลกชันการวิเคราะห์และการตรวจสอบการสำรวจการจราจรผ่านเครือข่ายหรือเซ็กเมนต์เครือข่ายที่กำหนด วัตถุประสงค์อาจแตกต่างจากการแก้ไขปัญหาการเชื่อมต่อไปจนถึงการวางแผนการจัดสรรแบนด์วิดท์ในอนาคต การตรวจสอบการไหลและการสุ่มตัวอย่างแพ็คเก็ตอาจมีประโยชน์ในการระบุและแก้ไขปัญหาความปลอดภัย
การตรวจสอบการไหลทำให้ทีมเครือข่ายมีความคิดที่ดีว่าเครือข่ายทำงานอย่างไรให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานโดยรวมการใช้งานแอปพลิเคชันคอขวดที่มีศักยภาพความผิดปกติที่อาจส่งสัญญาณภัยคุกคามความปลอดภัยและอื่น ๆ มีมาตรฐานและรูปแบบที่แตกต่างกันหลายประการที่ใช้ในการตรวจสอบการไหลของเครือข่ายรวมถึง NetFlow, Sflow และ Internet Protocol Flow Export (IPFIX) แต่ละงานมีวิธีที่แตกต่างกันเล็กน้อย แต่ทั้งหมดแตกต่างจากการทำมิเรอร์พอร์ตและการตรวจสอบแพ็คเก็ตลึกซึ่งพวกเขาไม่ได้จับเนื้อหาของทุกแพ็กเก็ตที่ผ่านพอร์ตหรือผ่านสวิตช์ อย่างไรก็ตามการตรวจสอบการไหลให้ข้อมูลมากกว่า SNMP ซึ่งโดยทั่วไปจะ จำกัด อยู่ที่สถิติในวงกว้างเช่นแพ็คเก็ตโดยรวมและการใช้แบนด์วิดท์
เปรียบเทียบเครื่องมือการไหลของเครือข่าย
| คุณสมบัติ | Netflow v5 | Netflow v9 | sflow | ipfix |
| เปิดหรือเป็นกรรมสิทธิ์ | เป็นกรรมสิทธิ์ | เป็นกรรมสิทธิ์ | เปิด | เปิด |
| ตัวอย่างหรือการไหล | การไหลเป็นหลัก มีโหมดตัวอย่าง | การไหลเป็นหลัก มีโหมดตัวอย่าง | สุ่มตัวอย่าง | การไหลเป็นหลัก มีโหมดตัวอย่าง |
| ข้อมูลที่บันทึก | ข้อมูลเมตาและข้อมูลทางสถิติรวมถึงไบต์ที่ถ่ายโอนเคาน์เตอร์อินเตอร์เฟสและอื่น ๆ | ข้อมูลเมตาและข้อมูลทางสถิติรวมถึงไบต์ที่ถ่ายโอนเคาน์เตอร์อินเตอร์เฟสและอื่น ๆ | ส่วนหัวแพ็คเก็ตที่สมบูรณ์เพย์โหลดแพ็คเก็ตบางส่วน | ข้อมูลเมตาและข้อมูลทางสถิติรวมถึงไบต์ที่ถ่ายโอนเคาน์เตอร์อินเตอร์เฟสและอื่น ๆ |
| การตรวจสอบทางเข้า/egress | เข้าเท่านั้น | เข้าและออก | เข้าและออก | เข้าและออก |
| สนับสนุน IPv6/VLAN/MPLS | No | ใช่ | ใช่ | ใช่ |
เวลาโพสต์: มี.ค. 18-2024
