本帖最后由 mazhongjie 于 2013-7-3 17:11 编辑
1.透明网桥部署 以透明网桥方式部署在出口链路上时,可对出口链路上的双向流量进行协议分析、统计,同时根据所设定的规则对流量进行灵活的限制和分配。为避免设备受扫描、攻击,网桥上无需配置IP地址,用户可通过专门的管理端口对《Netzone》进行配置管理,使用透明网桥模式接入,用户既可以统计流量,又可以做访问控制和带宽管理。 典型的部署方式如下图所示: 2.旁路监听部署
以旁路监听方式部署时需要核心交换机支持端口镜像功能,设备在交换机或路由器旁,通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。在旁路监听模式下,《Netzone》只能对流量做分析统计,而不能做控制。不会对现有网络造成任何影响,典型的使用方式是用户先采取旁路监听模式采集网络的各种流量信息,然后根据网络实际情况制定相关访问控制和带宽管理策略,最后以透明网桥《Netzone》接入到网络中对整个网络的流量进行管控。 3.分流审计模式
大型集团类公司,为相关信息安全管理的规定,对操作行为、上网行为、数据库等都需要分别进行审计,这些审计系统在旁路工作时都需要进行端口镜像,但过多的镜像设置会造成核心交换机负载过大,且占用了交换机过多的背板带宽资源。同时,目前的集团类公司的出口多在10G左右,将这么大的流量镜像给审计类设备,审计设备也无力承担如此大的网络负荷。根据大型企业这一需要,网纵公司的政企版 流控系统提供了基于应用特征的分流审计工作模式。以分流审计的工作方式,非常适合大型集团类公司细粒度审计的需要,既节约核心交换机的背板带宽,同时解决了审计类设备性能不足的问题。
|