科来网络分析软件说明

1、安装部署科来网络分析系统可以进行内网以及内网与外网的数据检测分析，甚至可以跨VLAN进行数据监测。只安装在一台管理机器上即可，不用安装到局域网的每台机器。管理人员可以根据需要，来决定网络的安装位置，安装位置的不同，捕获到的网络数据也差异很大。为了更全面的监测网络数据，我们建议最好将产品部署的设备直接连接到中心交换设备上，这样可以更多的数据信息；您也可利用网络分接器，来分析任意网段的数据。下面我们介绍几种常见产品部署。1, 共享网络-通过Hub连接上网2, 交换式网络-交换机具备管理功能（端口镜像）3, 交换式网络-交换机不具备管理功能（无端口镜像）-使用网络分接器（Taps）-使用集线器（Hu

2、b）4.定点分析某个网段共享网络-通过Hub连接上网使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器（Hub）,可将科来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。ServerAServerB交换式网络-交换机具备管理功能（端口镜像）使用交换机（Sw计ch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多数

3、三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口)，再将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。交换式网络-交换机不具备管理功能(无端口镜像)一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果您的中心交换或网段的交换没有端口镜像功能，一般可采取用接集线器(Hub)或分接器(Tap)的方法进行部署。如图所示：使用网络分接器(Taps)使用Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安装

4、另外的网卡。使用集线器(Hub)Hub成本低，但网络流量大时，性能不高，Tap即使在网络流量高时，也对网络性能不会造成任何影响，Intarnat1ServerAServer日定点分析某个网段在实际情况中，网络的拓朴结果往往非常复杂，在进行网络分析时，我们并不需要对所有的网络进行分析，而只需要对异常的网段进行监测。对于这种情况，我们建议您将产品安装于移动电脑上，再附加一个网络分接器，就可以很方便的来检测任意链路上的网络情况。WortsLationServers科来网络Applic<i：i<JnServers使用集线器Hub、分接器TAP、交换机Switch的区别?集线器Hub交换机镜

5、像MirrorPort网络分接器TAP优点成本低不需要进行配置无需改变网络原启拓朴结构不需要增加额外设备无需改变网络原有拓朴结构对网络传输性能无任何影响。不干扰数据流，对结果无影响。不占用IP,不受网络攻击无需改变网络原有拓朴结构映点僧加额外设备（集线招）流量大时，对网络传输庄能影响大，不适合在大型网络需要占用一个交换端口流量大时，可能对网络传输性能有响成本较局需要额外设备（分接器）需要双网卡支持安装的机器不能上网g结集线器是共享工作模式，是早期连接网络的主要设备，现在已经被性能更高的简易交换机代替。集线器适合在小型网络使用。管理型交换机以及一些三层路由具备端口镜像功能，此功能可让管理人员在交

6、换网络上进行管理。端口镜像可以一对多或一对一进行镜像，使用灵活，是较为广泛的管理力式。分接器可以非常灵活的部署在网络的任意一个链路，在对网络性能要求非常高时，可采用TAP串接网络进行产品部署，不过成本高，对此方法的使用有一定的影响。注：大多数三层交换机和部份两层交换机，具备端口镜像功能，不同的交换机或不同的型号，镜像配置方法的有些区别，下面我们提供常见交换机的镜像配置方法：CiscoCATALYST交换机端口监听配置CISCOCATALYST交换机分为两种，在CATALYST家族中称监听端口为分析端口（analysisport）o1、Catalyst2900XL/3500XL/2950系列交换

7、机端口监听配置（基于CLI）以下命令配置端口监听：portmonitor例如，F0/1和F0/2、F0/5同属VLAN1,F0/1监听F0/2、F0/5端口：interfaceFastEthernet0/1portmonitorFastEthernet0/2portmonitorFastEthernet0/5portmonitorVLAN12、Catalyst4000/5000/6000系列交换机端口监听配置（基于IOS）以下命令配置端口监听：setspan例如，模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5,setspan6/1

8、,6/3-56/2网络服务监控vs网络分析网络管理有很多类产品，故障管理、性能管理、安全管理、以及服务监控，都是属于网络管理范畴。从应用来分类，目前的网络管理产品主要分为：服务监控类，信息审计，网络分析这三类。这几类产品有的功能有交叉，但都有自身侧重点。我们这里主要介绍一下服务监控产品与网络分析产品的比较。首先介绍一下概念：服务监控产品：这里主要是指网管产品，是需要向网络设备发送命令和数据，以及从这些网络设备取得数据和状态信息的产品。网络分析产品：是对网络数据包的捕获解码，实现对整个网络运行情况进行统计，查看，诊断，分析。上述两类产品其功能和作用不同，对于两个产品对用户的网络都是必备的产品，下

9、面我们分别从功能，数据分析，工作原理等来区别一下这两类产品的不同：对比服务监控产品网络分析产品功能侧重/、同主要为了管理网络设备（交换机/路由器/防火墙等设备）、监测链路状态。主要为了监测链路运行状态且从底层找到数据故障的根源。工作原理/、同通过SNMP（简单网络管理协议），来请求受管理设备状态信息，结合自身数据库中信息提供给用户操作界面。捕获检测端口上的信号，提取需要数据，并通过解码技术得到数据在TCP/IP模型各层的原始数据，从而达到分析数据的效果，并通过对这些数据分析、检错、统计、分类之后提供给用户友好的操作截面。数据来源不同部分数据通过SNMP协议请求得到，当网络状态不好时，数据传输延

10、迟比较大或者无法通讯，不能及时得到有效数据。（特别是网络链路不稳定时），另一部分数据（如：设备背板图）是通过提取数据库中信息得到的，这部分数据是厂家或用户预先设置的。对干-些公司的保密数据，厂家和用户无法得到，只能用其他替代数据来代换，数据的可靠性无法保障。不依赖于数据库，捕获网络中所有流通的网络数据包，数据来源真实可靠！不主动向网络内发送数据，不会影响统计结果。/、需要兼容交换机或路由器等硬件型号网络的适应性不同适合无故障、设备厂家单一、设备均支持SNMP协议的网络，对终端设备管理能力很弱。适合任何以太网环境。并且可以分析多种操作系统的网络数据，包括Windows,Linux,Unix,So

11、lar等兼容性/、同一般硬件厂家都有适合自己的采用了网络诊断技术”和虚拟还原引网管软件，软件兼容性差。擎技术”来分析数据，实现网络流量、通讯监视、故障诊断、安全分析、性能检测、协议分析等应用，兼容所有厂家的以太网设备。入侵检测系统（IDS）vs网络分析网络分析、入侵检测系统（IDS）都属于网络旁路接入模式，不改变网络结构，通常是通过端口镜像来捕获流经（出入）该网络的所有数据包，然后对这些数据包解码、统计、分析，是网络管理中必不可少的管理系统。同时他们都有还原协议的功能，把用户发的EMAIL、浏览的网页恢复为完整的文件保存起来，以备查案。科来网络分析系统是目前国内最好用的网络分析产品，是查找网络

12、故障的代表性产品。虽然网络分析与IDS在数据的获取原理是相同的，但它们对数据的处理和应用却是区别很大，通过下面的比较，有利于管理者掌握两类产品的不同用途。对比科来网络分析系统入侵检测系统（IDS）网络的故障，性能，安全网络入侵行为功能侧重/、同捕捉并分析网络数据，监测链路运行状态且从底层找到网络故障、性能以及安全方面问题的根源。侧重于故障、性能、安全一方回。捕捉并分析网络数据，根据特征库，行为库进行匹配是否是网络入侵行为。主要侧重于安全。工作原理/、同网络分析技术网络旁路接入的，分析网络的所有数据包。对数据包进行字段解码，提供多视角的数据分析和统计结果。这些包括：流量分析、会话分析、矩阵连接分

13、析、利用率分析、网络应用的日志分析、网络故障、网络错误、木马和病毒攻击等。特征库匹配技术网络旁路接入的，捕获网络的所有数据包。对网络数据进行特征库的规则匹配，向管理者提供规则库中的攻击行为。提供数据提供详细的数据依据通过对网络里的数据分析，提供详细而全面的数据依据，为管理者在判断问题、制定策略、规划网络方面，提供真实可靠的依据。提供数据依据较少黑盒操作，将网络数据与自身的特征库进行匹配，判断是否是入侵，提供的数据较少。新的网络攻击防范新的病毒和攻击并不依赖于特征库或病毒库。针对于网络异常现象发现问题，对新的病场或病场变种，以及新的攻击或入侵，有较强只能检测已知的攻击模式这是IDS的通病，对攻击

14、的发现，要依赖于自身的特征库。即使最好的IDS,对新的攻击的识别率也是非常低的。的发现能力。智能、全面、灵活全向实用、适附于各种网络针对于故障、安全、性能方面。提示现有问题、提供相关数据、列举问题产生原因，提供专家建议。针对/、同的网络，可调节阈值。数据关联，可处理问题的相关性。可定位故障源的IP或MAC地址。黑盒子操作，/、灵活能将问题推理过程和问题解答相分离。缺乏处理序列数据的能力，不提供问题相关数据。能检测已知攻击模式；无法处理不确定性。规则关联较多，规则库的维护和更新能力较困难。新的网络攻击全囿实用、适附于各种网络除了能让管理者对网络安全、故障、性能有很好解决之外，还可以很好的了解网络

15、的使用情况，能很好的与其它的网管工具配合使用，大大加强网络管理的有效性。能处理简单与复杂问题；改善网络性能与安全防御能力；有利于管理者的经验和知识的积累。局限、难适应网络变化网络应用更新很快，如果入侵特征库不能很好的更新，IDS很难跟上网络应用的变化。黑盒操作，不提供详细的数据、IDS很难为管理者提供可靠的数据依据。IDS不走向IPS/IDP,那基本上是摆设，作用/、大。仅仅局限于入侵方面的安全性问题。总结：总的来讲，IDS的设计是人类的美好的愿望，即有限的活动的脑细胞来处理日益发展和变化的安全攻击，人类还很难做到如此智能化，效果可想而知。如果IDS不走向IPS/IDP,那基本上是摆设，作用不

16、大。IDS/IPS主要侧重于安全，内建了很多安全的规则。网络分析技术，则是将所有网络行为或数据透明化，有了全面可靠的数据，通过智力、经验和工具的配合，完全可以很容易解决各类复杂、抽象的问题。网络分析主要侧重于网络的异常，内建的主要是通讯方面的规则和对异常现象的分析，是对网络管理更为全面实用的技术。尽管如此，IDS对于已知的攻击的防范能力还是非常好的。对于一个完善的网络管理，网络分析，IDS产品，网络杀毒产品，都应该具备。科来网络分析系统与stunnel结合使用科来网络分析系统是一款强大的网络检测分析工具，可对网络中未加密的数据传输进行检测分析并实时显示分析结果，包括用户的邮件收发、Web访问以

17、及各种网络登录等操作。所以，未经加密的数据传输是不安全的，存在被别人窃听的安全隐患。图一显示的是科来网络分析系统对网络数据传输捕获的结果，从中可以看出，当前网络中的敏感数据传输都未经过任何的加密保护，存在安全隐患。为加强网络本身的安全性，在使用科来网络分析系统进行网络管理的同时，我们建议用户对重要的数据传输进行加密保护，以达到管理和保护的有效结合。在这种情况下，即使数据被窃取，攻击者也无法分析数据的真实内容，从而保证了数据传输的安全性。驾节点手工p/re?/im?群数据包(J电子邮件©Iw访问照网络事务客户端服务状态用户名最后捕获时间次数服务器响应FTPFTPPOP3POPS石MTE

18、SMTP.JFTP/FTPFTP成功丽成功成功成功失败成功成功2004*13-052004-03-052004-03-052004-03-052004-03-052004-03-052004-03-052004-03-05200-03-05F#传输和邮件传输不安全2230Loginsuccess,.1230Userlogged帕230Usercust-r2I.230Usercohsoft.H230LonOK.Pro.-.,ERRpasswrdw.,+OKuseryouhql.235Authenticatio.535Erronauthen,图一，网络事务分析结果图二所示为常见的网络传输情况，在这

19、种情况下，数据在网络中的传输没有经过任何保护，当网络在遭受黑客攻击或黑客入侵时，重要数据很容易被窃取。为了使我们局域网传输的重要数据都是安全的，我们可以利用Stunnel工具对数据进行加密。图二，普通网络Stunnel(/)是一款可以加密网络数据的TCP连接，并可工作在Unix和Windows平台上，它采用Client/Server模式，将Client端的网络数据采用SSL(SecureSocketsLayer)加密后，安全的传输到指定的Server端再进行解密还原，然后再发送到访问的服务器。在加密传输过程中，可充分确保数据的安全性，我们只要把Serv

20、er端程序安装在局域网外面的一台服务器上，即可保证传输的数据在局域网内是安全的，如图三所示。图三，Stunnel加密后的网络操作过程：Stunnel是一款免费的工具，可以在这里下载。下面我们介绍一下具体的使用。1, 下载StunnelClient端程序，并解压到本机的C:ProgramFiles目录下。2, 下载StunnelServer端程序，并解压后放在外网的服务器上。3, 分别配置stunnel.conf文件。4, 更改本机应用程序的网络连接配置。5, 分别运行stunnel.-4.04.exe执行文件。说明：我们使用Stunnel,需要在外网有一台有管理权限的服务器，来运行Stunne

21、l的Server程序。配置好Stunnel.conf后，可将执行文件在启动菜单中建立快捷方式，这样让每次开机时，能自动运行。Stunnel技术是将传输的信息加密后，通过Server端的服务器进行解密才到达的目的主机，所以在选择Server端服务器的时候，对服务器的带宽速度有一定的要求。Stunnel的配置：Client和Server端都包含stunnel.conf配置文件，格式如下表所示：Client端stunnel.conf文件内容Server端stunnel.conf文件内容#Useitforclientmode#Useitforservermodeclient=yesclient=no#

22、Client-levelconfiguration#Server-levelconfiguration应用服务名称应用服务名称accept=本地IP:目标端口connect=Server端IP:指定的端口accept=指定的端口connect=目标服务器IP:目标端口常见应用实例：Stunnel.conf文件配置比较简单，下面我们介绍一些常见应用配置，其中Client端是放在本机，IP是,Server端是放在外网的服务器上，IP是8。1 .加密邮件传输：加密邮件，需要将发送和接收的过程都要进行保护，那么我们就要对POP3和SMTP传送方式进行加密。如果我们有一个xxx信箱，服务器的IP是53,配置文件stunnel.conf如下：Client端SMTP和POP3文件内容Server端SMTP和POP3文件内容accept=:25connect=8:125accept=:110connect=8:1110accept=125connect=70:25accept=1110