ファイアウォールエンジニアリングのためのsflowネットワーク分析
歴史的に成長した中央のファイアウォールシステムでネットワークを実行していますが、これを置き換えたいと思います。残念ながら、歴史的に成長したルールセットは本当に混乱しているので、ネットワーク分析を最初からやりたいと思います。したがって、HPProcurveスイッチでsflowを実行する予定です。私はすでにntopで実行していますが、残念ながらこれは私の場合の選択ツールではありません。私が探しているのは、ファイアウォールルールを再設計するために使用できるsflowコレクターです。主な目標は、ネットワーク内のすべてのホストのグラフおよび/またはテーブルビューを取得することです。私がする必要があるのは、ネットワーク内のホストごとに完全に新しいルールセットを作成することです。これにより、ホストの観点からの着信接続に焦点が当てられます。ツールには、「ホストによるフィルター」、「ネットワークによるフィルター」、「サービスによるフィルター」など、さまざまなフィルターオプションが必要です。もちろん、オープンソースソフトウェアを使用したいのですが、目的に適したオープンソースツールがない場合は、確かに商用ツールにお金を払っても構わないと思っています。
私の説明があまり混乱しないことを願っています。 :-)
あなたたちからいくつかのアドバイスを得るのは素晴らしいことです。 sflow.orgのリストは良い出発点ですが、残念ながら、リストの各ツールを試す時間がありません。
http://www.sflow.org/products/collectors.php
乾杯、
ボブ
私はかなり前からPlixerの nfdump/nfsen と Scrutinizer を使用しています(最近はscrutinizerよりもnfdumpが多くなっています)。どちらも素晴らしいツールですが、それぞれに独自の「ニッチ」なユーザーがいます。
Nfdump/nfsenはオープンソース/ free-as-cervezaですが、一部のユーザーにとっては「オタク」すぎる可能性があります。フィルタリング/クエリ機能は非常に強力です(「tcpdump」フィルタリング構文を考えてください。ただし、フローと集計および並べ替えを考慮してください)が、私の意見では、方程式のグラフ生成/レポート側(nfsen)の洗練が欠けています。私がnfdumpで気に入っているのは、いくつかの「クイック&ダーティ」コマンドラインクエリをスローして、必要な情報を、いくつかのpythonスクリプトをフィードする準備ができている形式で取得できることです。 。
一方、Scrutinizer(商用/セルバーザとして無料ではない)は素晴らしい「ビジュアル」ツールです。私が持っているそれほど「オタク」ではない顧客と共有するためのレポートとビューを生成するのに最適です。クエリ機能は素晴らしいですが、コマンドラインから情報を抽出する方法が見つかりませんでした(主に、nfdumpで実行できるため、Scrutinizerにこの機能があるかどうかを調査していません)。
最後に一つだけ。 ScrutinizerがsFlowデータを消費できることを直接知っています。私は(私が読んだことと私が見た構成オプションから)nfdumpがsFlowデータも消費する可能性があることを知っていますが、私は個人的にそれをしたことがありません。 Netflow v5/v9データでのみnfdumpを使用しました。したがって、nfdumpにコミットする前に、この機能を確認することをお勧めします。
HP ProCurveスイッチを使用しているため、構成に sFlow MIB をサポートするツールをお勧めします。 sFlowTrend は無料で、必要なデータを提供するフィルタリングおよびレポート機能を備えています。