由于越来越多的网络应用(如电子邮件、SNS社交网络、P2P等)及其流量给企业系统和网络管理者提出了更高的安全要求,需要高效、合理地对这些流量采用相应的策略和技术进行管理。本文将基于此背景,主要介绍网络流量安全管理策略。
网络流量安全管理的主要目标和策略
目标
随着网络流量的不断增长以及网络应用的日趋纷繁芜杂化,我们不难看到,简单的无限制的增加网络带宽是不能解决网络流量的根本问题的。我们需要对网络流量进行管理,从而保证网络的健康和网络应用的正常服务。在网络流量管理的过程中,我们首要的问题就要明确网络管理目标。在网络流量管理中,我们需要牢记4个目标:
首先,我们要了解网络流量的使用情况;
其次,要找到优化网络性能的途径;
第三,要通过网络管理技术来提升网络效能;
最后,还需要做好网络流量信息安全方面的防护工作。
具体说来,要达到上述四个目标,网络管理员们可以通过有效的分类方式非常明确的知道我们需要的带宽到底哪些是实际使用的。网络流量管理的第二个目标是找到网络性能的瓶颈。网络性能很重要的一个方面是吞吐量,这是网络能够传输的最大数据量,还有延迟等。第三,通过本文所介绍的流量监控及控制软件可以高效地提升网络性能,从而满足不同的网络应用需求。最后,网管们还可以综合运用入侵检测系统(IDS)、防火墙(FireWall)、统一威胁管理(UTM)设备来对网络流量进行信息安全方面的防护工作。当然,信息安全方面的工作不是本文的介绍范畴,在这里不作过多介绍。
策略
在日常的网络流量管理中,为了有效实现网络管理4个目标,我们需要采取相应的步骤。这个步骤分别是:网络流量捕捉和分类、网络流量监视(统计和分析)和控制策略。
网络流量捕捉和分类:他是进行网络流量管理的第一步。只有通过设置捕捉点,对网络流量进行捕捉和分类,才能进行后续的分析和控制工作。这里特别需要强调的是,网络流量分类可以非常宏观化,也可以细化。比如TCP、UDP、ICMP等等的分类就比较宏观,而HTTP、FTP甚至是诸如Kazza、Skype等P2P流量的分类和识别就比较细化了。Wireshark和tcpdump软件目前着重的是宏观流量的捕捉和分类。
网络流量监视(分析):监视步骤用来显示流量的运行状况,帮助找出问题所在和执行相应的管理策略。应用程序和网络管理能够收集分类、展示和收集信息,包括带宽利用率、活跃的主机和网络效率以及对活跃的应用程序。我们的设备能够跟踪平均和高信息的流量,识别最大的用户和应用程序,将网络流量定位到不同的领域,从应用的角度监视网络流量,分析网络带宽明确的关键问题所在。用统计报表来进行表现。该目标可以采用NTOP可视化分析管理工具来协助网络管理员在实际工作中实现。
控制策略:通过网络流量分析后,接下来根据优先级别分配带宽资源。分配的依据可以根据主机、应用等等,特别需要考虑的是注意将消耗资源的P2P程序或者音频视频下载等进行滞后考虑。用户们可以根据TC工具来进行和实现一个完整的分类监视和控制网络流量,这样,我们就可以将网络流量有效管理起来,将原来无序的网络流量变得有序。
