本月上旬,品高云与科来网络回溯分析系统进行了兼容性测试,对 SDN 环境下的数据流量的采集分析监控报警进行验证性实践,通过将 BingoSDN 的 OVS 引流能力与科来网络的回溯分析能力相结合,为在云环境下实现网络流量审计提供可落地的解决方案。

 

测试内容

本次测试包括:科来网络回溯分析系统在品高云上的部署运行、流量统计分析能力验证、自定义应用监控分析能力验证、控制台数据挖掘功能验证、实时警报功能验证以及数据包解码分析功能验证,通过双方产品功能的整合,提供可实践的云环境下数据流量安全的解决方案。

科来网络回溯分析系统

科来网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台,可以分布部署在网络的关键节点,实现了对网络通讯数据包级的高性能实时智能分析。

系统提供了对各种网络性能和应用性能的关键参数实时分析,同时还能够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力,实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析,提升了对关键业务系统的运行保障能力和问题处置效率。

部署架构

拓扑

拓扑说明:

在品高云中部署科来网络回溯分析系统,利用品高云 BingoSDN OVS 引流的能力,将云中虚拟机的流量通过网口引入科来系统中,可以通过客户端对该系统作策略配置,流量分析,报警设置等操作,如此来保证云中虚拟机之间的通信流量处于正常状态。

软件版本

BingoCloudOS   V7.0

科来网络回溯分析系统     V5.3.4

BingoSDN    V3.1.8

用例一:科来回溯在品高云上的正常部署和运行(兼容性测试)

测试目的:验证科来回溯与品高云是否兼容

测试条件:

  1. 品高云节点上资源充足
  2. 已准备科来回溯分析系统 5.3.4 安装包(含服务器和客户端)

预期结果:

  1. 客户端可以连接到服务端,登录 web 管理界面

测试过程:

  1. 登录品高云测试云平台;
  2. 在品高云平台上创建一台 CentOS 7.1 虚拟机;
  3. 通过 xshell 工具向该虚拟机中导入科来回溯分析系统 5.3.4 安装包,并安装服务端
  4. 可以在在客户端服务器上连接访问与授权
  5. 在云平台上使用实例打包的功能生成一个新镜像, 在另外的节点上创建一个新的科来系统虚拟机;

用例二:流量统计分析能力的验证

测试目的:验证科来回溯分析系统是否可以在品高云平台上正常展现监控链路的各种指标的变化趋势、正常统计分析流量整体参数。

测试条件:

  1. 科来回溯分析系统已经安装完成,且已完成激活授权;
  2. 监控链路流量已经正确镜像到科来回溯分析系统的采集端口;
  3. 科来回溯分析控制台软件已经在客户端上安装完成;

预期结果:

  1. 可以正常配置存储、接口、链路
  2. 可以正常显示监控网络的各种趋势图
  3. 可以正常显示各个栏目的统计数据

测试过程:

  1. 登陆科来回溯分析系统 Web 管理页面(已授权), 在 Web 页面中可以查看到各种关于服务器的信息,包括但不限于服务器资源使用率,系统授权状况等。
  2. 配置存储区;
  3. 磁盘空间中分配存储配置容量,点击分析空间栏目下的新建存储区,在弹窗中填写对应分析区块的容量,完成存储配置;
  4. 配置采集接口,接口配置栏目下,对应接口选择为采集接口,确定完成接口配置;
  5. 配置链路;
  6. 新建链路,填写链路名称,选择对应的存储区、流量采集接口,填写进出网网段(内网网段),按照实际情况设定进出网带宽,确定完成链路配置;
  7. 登陆控制台查看流量趋势图,点击添加服务器,填写服务器地址和用户账号密码;
  8. 登陆控制台查看统计数据;
  9. 各项数据统计栏目;
  10. 数据包大小分布;
  11. 数据包构成;
  12. IP 地址及多样的统计数据;
  13. IP 地址(内网)总字节数 TOP 20 饼状图展示;
  14. TCP 会话及多样的统计数据;
  15. TCP 会话最大响应时间 TOP 20 柱状图展示;

用例三:自定义应用监控分析能力的验证

测试目的:

验证科来回溯分析系统是否可以在品高云平台中正常添加自定义应用监控,正常显示自定义应用的各种指标的变化趋势和流量分析统计数据。

测试条件:

  1. 科来回溯分析系统已经安装完成,且已完成激活授权;
  2. 监控链路流量已经正确镜像到科来回溯分析系统的采集端口;
  3. 科来回溯分析控制台软件已经在客户端上安装完成;
  4. 完成用例二中的验证操作;

预期结果:

  1. 可以正常新增自定义应用监控
  2. 可以查看应用监控的各种指标趋势图
  3. 可以查看应用监控的各种统计数据

测试过程:

  1. 创建自定义应用:右键点击应用监控分析,添加应用;
  2. 点击添加标准应用;
  3. 填写应用名称,勾选弃用监控分析,点击新增规则;
  4. 根据应用实际情况填写 IP/端口规则;
  5. 完成自定义应用创建。
  6. 查看各种指标数据趋势图:
  7. 双击应用名称打开应用监控分析页面,查看各类数据趋势图;
  8. 查看统计数据:
  9. 访问该应用的客户端统计数据及柱状图展示;
  10. 该应用相关的 TCP 会话及饼状图展示;

用例四:控制台数据挖掘功能验证

测试目的:验证在品高云平台中的科来回溯分析系统,是否可以用控制台针对应用、主机进行多级(应用->IP 地址->IP 会话->TCP/UDP 会话)数据挖掘。

测试条件:

  1. 科来回溯分析系统已经安装完成,且已完成激活授权;
  2. 监控链路流量已经正确镜像到科来回溯分析系统的采集端口;
  3. 科来回溯分析控制台软件已经在客户端上安装完成;
  4. 完成用例二中的验证操作;

预期结果:

  1. 控制台可以正常进行多级数据挖掘,且挖掘的数据正常显示。

测试过程:

  1. 登陆科来回溯分析控制台,连接服务器,双击回溯分析功能,选取一段时间;
  2. 挖掘验证:应用挖掘到 IP 地址;
  3. IP 地址挖掘到 IP 会话;
  4. 多级数据挖掘:应用->IP->IP 会话->TCP 会话 回溯分析下的多级挖掘;1
  5. 客户端-> 服务器->IP 会话->TCP 会话 应用监控下的多级挖掘;

用例五:实时警报功能验证

测试目的:验证科来回溯分析系统的实时警报功能(包括可疑域名警报、流量警报、数据流特征警报、邮件敏感字警报)在品高云平台环境中是否正常运行。

测试条件:

  1. 科来回溯分析系统已经安装完成,且已完成激活授权;
  2. 监控链路流量已经正确镜像到科来回溯分析系统的采集端口;
  3. 科来回溯分析控制台软件已经在客户端上安装完成;
  4. 完成用例二中的验证操作;

预期结果:

  1. 通过控制台可以正常导入和添加各种警报
  2. 各个警报功能都能被正常触发

测试过程:

  1. 导入/新建警报:导入可疑域名警报;
  2. 新增可疑域名警报(com);
  3. 模拟可疑域名访问;
  4. 可以域名警报被触发,告警;
  5. 流量警报:导入流量警报;
  6. 添加流量警报(比特率>1Mbps);
  7. 链路比特率超过 1Mbps,触发警报;
  8. 数据流特征警报:导入数据流特征值警报;
  9. 添加数据流特征值警报(移动应用下载);
  10. 模拟移动应用下载(微信 apk 安装包);
  11. 触发.apk 警报;

用例六:数据包解码分析功能验证

测试目的:验证科来回溯分析系统在品高云平台上可以正常下载并通过专家分析模块分析原始数据包。

测试条件:

  1. 科来回溯分析系统已经安装完成,且已完成激活授权;
  2. 监控链路流量已经正确镜像到科来回溯分析系统的采集端口;
  3. 科来回溯分析控制台软件已经在客户端上安装完成;
  4. 完成用例二中的验证操作;

预期结果:

  1. 可以通过回溯分析控制台下载并通过专家分析模块分析原始数据包

测试过程:

  1. 进入数据包分析界面:
  2. 通过数据挖掘功能找到某个特定 TCP 会话;
  3. 进入专家分析模块全面分析;
  4. 针对数据包内容查看各样直观图标;
  5. 自动诊断数据包内存在的问题;
  6. 直观展示 TCP 时序图;
  7. 重组分析交易数据流;

效果分析

本次联合测试效果良好,这是科来回溯分析系统的功能在云平台上的首次实现,此方案不仅让品高云在流量审计方面有了更专业级的保障,同时云上部署也解决了科来回溯分析系统以往无法回溯云平台内部东西向流量的困境。此方案使用户也可以清晰地了解了云平台内部的数据交互状况,及时发现云平台内部的网络问题。同时,在品高云平台上方便了科来回溯分析系统的批量部署,大大节省了系统部署所需要的时间、降低了难度。