超级会员免费看
仅检测模式下的威胁防御部署指南
在仅检测模式下部署威胁防御系统时,主要有两种选择:被动模式和内联分接模式。下面将详细介绍这两种模式以及相关的监控技术。
被动监控技术
要理解被动部署的架构,需要熟悉以下基础技术:
- 混杂模式 :混杂模式允许接口查看网段中的任何数据包,即使这些数据包并非针对该接口。在威胁防御系统中,将接口配置为被动模式时,该接口会进入混杂模式,从而使威胁防御系统能在不成为网络活跃部分的情况下监控网络活动。
- SPAN 端口 :某些交换机型号可以复制多个交换机端口的流量,并将副本发送到特定的交换机端口。这个具备端口镜像功能的交换机端口被称为交换端口分析器(SPAN)端口。通过该端口,交换机可将复制的流量发送到连接的威胁防御系统,以监控网络流量,而不成为流量流的活跃部分。如果要将复制的流量发送到多个交换机,可以使用封装远程交换端口分析器(ERSPAN)技术,它通过通用路由封装(GRE)隧道协议在第 3 层网络上传输镜像流量。
- TAP :TAP 是一种网络设备,用于复制并将流量传输到另一个系统。与在软件层面配置的交换机 SPAN 端口不同,网络 TAP 是专门设计用于复制和传输流量的硬件。虽然需要额外成本,但 TAP 相比 SPAN 端口有诸多优势,例如能够捕获并复制高利用率网络中的所有流量(包括任何错误),且不会丢包。而当 SPAN 链路的利用率超过其容量时,SPAN 端口会丢包,这可能导致威胁防御系统无法全面了解网络情况,错过检测可疑活动。
接口模式:内联、内联分接和被动
内联模式允许威胁防御系
订阅专栏 解锁全文
扫一扫
1440
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
