旁路流量检测--流量镜像

已于 2023-02-13 13:45:36 修改
阅读量2.1k 收藏 11
点赞数
分类专栏: 网络安全 文章标签: 网络 安全架构 网络安全
于 2023-01-17 14:05:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43246151/article/details/128715259
版权

旁路流量检测–流量镜像

在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;

交换机侧需要将所有流量镜像到IDS上面进行检测分析;
(这里拿华三交换机举例说明)

H3C端口镜像:

1. —本地端口镜像

mirroring-group 1 local
mirroring-group 1 mirroring-port  port to port both
mirroring-group 1 monitor-port port

2. —远程端口镜像

A:										#源交换机
mirroring-group 1 remote-source					#创建源镜像
vlan 10									#创建vlan用于传输镜像流量
	undo mac-address mac-learning enable			#关闭学习mac
mirroring-group 1 remote-probe vlan 10				#配置vlan10用于传输
mirroring-group 1 mirroring-port port to port both		#配置监听口
mirroring-group 1 reflector-port port				#配置源反射口
interface port 								#配置出端口并放行传输镜像vlan
	port link-type trunk
	port trunk permit vlan 10

B:										#中间交换机
vlan 10
	undo mac-address mac-learning enable			#关闭学习mac
interface port
	port link-type trunk						#配置入端口并放行传输镜像vlan
	port trunk permit vlan 10
interface port
	port link-type trunk						#配置出端口并放行传输镜像vlan
	port trunk permit vlan 10

C:
mirroring-group 1 remote-destination				#远程镜像目的交换机
vlan 10									#传输远程镜像的vlan
	undo mac-address mac-learning enable			#关闭学习mac
mirroring-group 1 remote-probe vlan 10				#vlan10是远端镜像传输vlan
interface port								#镜像流量入接口
	port link-type trunk
	port trunk permit vlan 10
interface port								#镜像流量最终出口
	mirroring 1 monitor-port
	undo stp enable
	port access vlan 10

还有一种情况是,本地存在多台检测设备或审计系统都需要进行流量镜像,而交换机型号性能不支持开启多个端口,可以使用下面第三种方式!!!!!!!!

3. 本地需要多个镜像口

流量镜像(需要多个monitor,镜像)

mirroring-group 1 remote-source
mirroring-group 1 mirroring-port g1/0/1 to g1/0/20
mirroring-group 1 reflector-port g1/0/23 (未使用端口做反射口)
vlan 999 (镜像vlan)
最后将需要镜像端口加入access vlan 999即可
kate zhu
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
流量检测探针系统架构详解
weixin_44983560的博客
07-28 1882
流量检测探针系统架构详解##系统架构流量采集探针主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时,流量探针上也包含入侵检测、病毒检测及吸星等各类安全探针,可以提供安全威胁的检测能力。
旁路流量镜像是什么
qq_52764249的博客
09-02 911
一个交换机的端口流经的东西需要去检测所以它会镜像到监测端口,然而监测端口是连接(BPC)的然后从而去进行测试等操作
H3C设备配置端口镜像
Richardlygo的博客
05-02 2075
2、使用display mirroring-group all查看镜像组的配置信息。4、使用display mirroring-group all查看镜像组的配置信息。2、SWB中间交换机配置。3、SWC目的交换机配置。1、SWA源交换机配置。
在AWS上实现旁路流量检测与自动化响应
cyt_317的博客
08-27 348
现代化应用需要使用大量组件,或商业,或开源,来构建整个企业应用,其中必然包含已知或未知漏洞,成功的漏洞利用,必然产生数据泄露,或应用宕机,这都是应该着力避免的。使用入侵防御系统 (IPS)可以防止针对云上工作负载中已知漏洞的攻击,并为暂时无法修复的新漏洞提供虚拟补丁,以达到缓解攻击的目的。在我们看来,应对流量和威胁的能力很有吸引力。基于这样的组合方式提升VPC内和VPC间的流量可见性,并提供友好的可视化展示,与AWS Lambda集成,实现旁路威胁检测的同时进行自动化安全响应。...
入侵检测---IDS
qq_52016943的博客
09-10 2348
IDS、入侵检测
基于OpenSSL设计旁路解密HTTPS流量
心梦无痕
04-23 3340
文章目录1 引言1.1 编写目的1.2 背景1.3 参考资料2 总体设计2.1 需求概述2.2 总体设计图2.3 流程设计2.4 功能描述2.5 功能设计2.5.1 SSL/TLS协议解析2.5.2 SSL/TLS建立连接解析ServerHello扩展信息计算主密钥的消息验证2.5.3 TLS数据解密2.5.4 TLS密文重组和解密 1 引言 1.1 编写目的 记录本次开发SSL/TLS加解密功能...
CLI举例:配置旁路检测时通过发送Reset报文干扰流量
专研计算机网络,数据通信,网络安全,系统集成
04-28 1002
举例说明当FW作为旁路检测设备时,如何通过配置发送干扰报文(Reset报文),对流量进行干扰。
华三s5000配置镜像接口_17-端口镜像典型配置举例
weixin_42355311的博客
12-23 732
端口镜像(port Mirroring)功能是网络设备上常用的功能,将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控。在不影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络流量进行监控分析。端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量进行分析和安全性的检查,同时也能及时的在网络发生故障时进行准确的定位。端口镜像功能简单地说就是将被监控流量镜像到监控端口,以便对...
华三s5000配置镜像接口_09-端口镜像典型配置举例
weixin_42577735的博客
12-23 417
端口镜像(port Mirroring)功能是网络设备上常用的功能,将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控。在不影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络流量进行监控分析。端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量进行分析和安全性的检查,同时也能及时的在网络发生故障时进行准确的定位。端口镜像功能简单地说就是将被监控流量镜像到监控端口,以便对...
网络流量分析系统的价值
virtualization_的博客
07-15 1620
一、网络流量分析技术介绍 1.1什么是网络流量分析? 网络流量分析是记录和分析网络流量以出于性能、安全性、网络操作、管理和排障为目的分析网络流量的过程。它是使用自动技术检查网络流量中的详细级别细节和统计信息的过程。 1.2网络流量分析技术的作用 网络流量分析技术的主要目的是深入了解流经网络流量网络数据包或数据的类型。通常,网络流量分析是通过采集收集的流量方式进行分析网络带宽利用率、网络性能质量、协议分布、应用程序传输质量。网络流量分析的流量分析信息有助于: 了解和评估网络利用率; 下载/上传速度;
WAF6.X-旁路部署.doc
08-07
旁路检测+阻断,就是指交换机配置镜像流量给WAF,WAF既能监测,又能阻断的部署方式。具体原理是:交换机镜像流量给WAF,WAF检测到有攻击后,给服务器发送RST数据包,告诉服务器有攻击,服务器则丢弃此数据包; ...
H3C GB0-551 .docx
03-03
HC SecPath AFC2000系列产品组成包含异常流清洗与检测管理平台、异常流量检测系统、异常流量清洗系统、异常流量检测与清洗系统等。 系统默认管理员的账号名称为admin、root。 关于运维审计系统工作流程,目标设备...
GB0-510题目(H3CNE安全).pdf
05-03
5. **旁路部署**:ACG1000 支持旁路部署模式,通过将接收流量的接口设置为旁路模式并将流量镜像到该接口即可实现。 6. **H3C NGFW 的 NAT 功能**: - **支持的功能**:包括 NAT-PAT、NAT-NOPAT、Easy-IP、NAT ...
任务二-DCBI1
08-08
旁路模式意味着DCBI设备并联在网络中,不改变原有的数据流路径,而是通过镜像交换机端口来捕获和分析流量,这样既不会影响网络性能,又能实现全面的数据监测。 2. **管理员账户创建**: 管理员账户`dcn2018`的设置...
网康互联网控制网关5.1 - 产品白皮书
12-21
- **4.2 镜像旁路**:通过镜像端口将网络流量复制到ICG上,实现对流量的监控和控制。 - **4.3 支持代理服务**:可以作为代理服务器使用,通过代理方式对用户上网行为进行管理。 - **4.4 集中管理**:支持多台设备的...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 314
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 936
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 984
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kate zhu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值