ntopng大型网络监控案例

近日某大型医疗工公司希望升级现有的网络监控系统,多方比较选择了虹科的ntopng网络流量监控分析软件解决方案,细节如下。

主要监控目标

使用ntopng监控网络设备包括但不限于(交换机,路由器,无线控制器,防火墙,负载均衡,SDWAN)netflow和镜像流量。以进行网络流量分析,协议分析,流量应用识别,端口归类,出向入向带宽,实时带宽,实时连接,历史记录保留,分布式跨站点network flow监控,SNMP监控以及集中管理等等。

网络带宽监控

  • 提供多个瞬态报表的带宽监控器,可以监控带宽包括带宽用量排行,协议排行,会话排行等等。

  • 根据应用、接口、协议和主机对流量进行分类和分类,以生成对带宽使用的即时可见性。

  • 使用网络带宽分析器,发现带宽什么时候高,哪些应用使用最多带宽,以及谁使用的带宽最。

  • 深入查看Top源、目的地和会话的消耗情况,以便进行详细分析。

  • 允许查看一段时间内的带宽使用情况,带宽监控趋势显示一天,一周,一个月或一年的使用模式和流量趋势。

网络流量分析

ntopng实时清晰地显示了网络中正在发生的事情,包括各种度量,如每个设备和应用程序的带宽使用量、Top用户和会话、延迟和抖动。为网络管理员提供一个实时的流量图,具有不同的视图,如柱状图,线性图和区域图。

按源和目的进行流量监控,通过应用/断开/协议进行流量监控逐个分析每个应用对网络进行统计分析,查看每个协议的带宽使用情况,以帮助查明不正常的行为、有害的应用和消耗宝贵网络带宽的ip,每当流量利用率超过预定义的阈值设置时,就会生成警报并通知IT团队。

异常警报

ntopng 集成了安全检测与异常检测的功能,自动对网络会话进行诊断,评分以及自动生成警告。启用和禁用检查会启用或禁用相应的警报。警报包括但不限于:

  • 检测到新设备

  • 通过 SNMP 检测到交换机端口的状态变化

  • 恶意软件主机的联系方式

  • 用户活动

某些警报是可配置的。例如,当超过某些用户可配置的阈值时会触发警报。一旦 ntopng 检测到某个阈值被超过,它就会立即触发相应的警报,用户可自定义多种警告通知形式如邮件,webhook通知。可配置的阈值示例如下:

  • 主机产生的流量低于某个阈值

  • 主机发送的SYN数量超过一定数量,被认为是扫描仪

  • 一个接口的丢包率超过了被监控数据包总数的给定百分比

  • 源自网络的总流量超过某个阈值

全流量存储

ntopng与n2disk集成可实现全流量存储,便于实现事后进行数据包级别的详细分析,所有转储到磁盘的 pcap 文件都由n2disk 动态索引,以在需要检索记录数据时提高流量提取速度。

在接口开启连续流量记录后,历史流量统计页面右上角会出现一个新的流量提取按钮,点击即可下载选定时间范围内的pacp文件。

 

点击:ntop解决方案了解更多