在本文中,我们将更深入地研究TAP的不同类型,及其被动和主动解决方案。此外,我们还将简要介绍网络数据包代理及其在TAP设备上的可用性,以提高安全性。
首先,有三种类型的TAP解决方案。它们每个都执行复制网络流量,并将该副本发送到任何连接的网络流量监视工具的相同基本功能。它们的区别在于它们的网络端口与监视端口的比率。
网络TAP(1:1)一对一比率
聚合TAP(M:1)多对一比率
再生TAP(1:M)一对多比率
网络TAP
TAP的1:1比例意味着每个网络端口都有一个对应的监视端口。通常,网络端口将被标记为A和B,其对应的监控器端口也将被标记为A和B。在此系统中,网络流量的一部分被复制并发送到监控工具。可以是单个被动监视工具,也可以是网络数据包代理(NPB),之后再将复制的流量发送到多个网络监视工具,例如到流量分析器、性能分析器、流量/数据包捕获系统、入侵检测系统 (IDS)或类似Wireshark的网络分析仪。
这些工具为网络工程师提供了一个简单的解决方案,最大限度地提高网络的可见性,因为它们几乎可以放在任何地方。另外,由于它们是被动的分路器,因此可以在不中断数据流的情况下连接和断开监视工具。
为了降低对网络造成最小影响的风险,某些铜TAP(例如Profitap铜TAP)具有“不间断”功能,在发生电源故障时,该功能能够大幅缩短故障转移时间。一旦恢复供电,它立即恢复连接。这与SPAN端口形成对比,即使在正常运行期间,SPAN端口也可能对网络流量产生负面影响。
聚合TAP
相比之下,聚合TAP将许多网络端口连接到一个监视端口(M:1)。这意味着可以将来自多个网段的网络流量发送到单个网络流量分析器。当单个监视工具的端口数量有限时,这会非常有用。但是,这种类型的比率确实存在潜在的缺点,因为如果流量超过输出带宽,则可能会导致数据包丢失。
例如,如果您将1 Gbit/s聚合TAP与1 Gbit/s聚合输出链路一起使用,则在全双工时,总带宽可能高达2Gbit / s,从而使TAP负担过多并导致数据包丢失。
Profitap Booster或ProfiShark 1G等产品可以帮助避免这些丢失的数据包。 例如,ProfiShark 1G通过USB3电缆提供捕获输出,总带宽高达5 Gbits/s,可轻松处理最大1 Gbit/s全双工链路的2Gbits / s汇总总和。
再生TAP
可以通过入侵检测系统(IDS)监视该关键网段的流量,进行数据记录以备日后取证检查,也可以进行捕获以备将来使用或分析性能问题。当需要通过一系列安全和合规工具同时监视关键部分时,这种类型的TAP很有用。
被动与主动网络监控工具
上面提到的入侵检测系统是被动监视工具的一个示例。由TAP复制并随后发送到IDS进行分析的流量在此终止,并且不再进行任何操作。这种类型的工具称为“被动”工具,因为监视系统不会更改流量,而是根据预定义的标准发出警报。流量流入其中,然后停止。
内联部署的其他安全和性能工具,流量流入该设备然后再流出该设备,以便它可以更改甚至阻止流量,从而使其成为“活动”工具。这类主动安全工具的常见示例是入侵防御系统(IPS)。与被动IDS不同,授权的网络流量不断流入和流出IPS,同时阻止未经授权的流量继续进行。网络工程师可以确定此类未经授权的流量的参数,但是大多数情况下,他们试图阻止的恶意软件会成为安全风险。
TAP只能支持被动网络监视工具,例如IDS。对于活动工具,您将需要网络数据包代理(NPB)或更简单的旁路TAP。
旁路TAP
旁路TAP和NPB可以支持活动的串联网络安全性和性能工具。旁路TAP可以用来避免其他安全设备出现“单点故障”问题。如果活动工具由于硬件故障、断电或软件问题而故障,则旁路TAP将保持链接畅通。这样,它就可以用作串联网络监视工具的故障安全访问点。
旁路TAP通过将心跳数据包发送到安全设备来运行检测。只要它收到心跳数据包,它就会继续向该设备发送流量。如果出于某种原因,安全工具停止返回心跳数据包,则旁路TAP会自动绕过该设备来确保链路流量的畅通。
矛盾的是,这似乎会使旁路TAP本身成为单点故障。但是,即使旁路TAP由于一些原因而故障,它们仍将能够保持关键链接,因为它们被设计为“fail open”。
网络数据包代理
NPB的主要功能是,将特定的网络流量过滤到特定的监视工具,以优化安全性和流量。它们通常安装在机架上,并具有铜缆或光纤输入,在多数情况下两者都有。通过维护网络端口到监视端口的多对多(M:M)端口映射,它们可以更有效地引导网络流量。这使网络工程师能够只过滤可操作的数据,从而使网络工具可以更有效地进行分析。
NPB不仅提高了流量效率,还有助于加快事件分析速度,并减少响应时间。这是因为NPB为网络工程师提供了灵活的方式,可以根据需要来精确地定向流量。通过使用过滤器,他们还可以选择接收要求的确切数据。
就如我们自己的XX-1800高密度NPB一样,高效的NPB应该提供真正的链路层可见性,包括端口和时间戳。其他功能将包括过滤、负载平衡,微爆缓冲和智能聚合,同时保持高可用性和弹性。
旁路TAP设计为“fail open”,以维持正常运行时间。 另一方面,NPB是“fail closed”。 这种配置常用于保护高度敏感的网络,因为它会终止网络连接。
您需要哪种类型的TAP将取决于您希望监视的网络类型。是光纤还是铜缆? 对于光纤,您需要哪种光纤类型和连接器类型?您的网络带宽是多少?还有您需要监视多少线路?
希望这个快速概述可以帮助您回答这些问题,并帮助您找到合适的TAP解决方案,来帮助您的网络正常运行。
产品手册