NetFlow Optimizer

?NetFlow Logic开发的技术使用户能够有效地解决当今网络运营商面临的广泛的网络管理和安全问题。

 

我们的核心产品NetFlow Optimizer（NFO）是一个功能强大的实时处理引擎，适用于任何类型的流数据，包括NetFlow，sFlow，J-Flow和IPFIX 。

 

由于流量数据非常庞大，因此使用直接从二进制转换为文本或系统日志的数据进行分析和可视化是不切实际的。 因此，NetFlow Optimizer可以生成多个syslog，每个syslog都针对特定目的进行了优化。 NetFlow Optimizer（NFO）使用专利流媒体技术，可以比流行数据处理流速数据快10倍。 它可以简单地将流量数据1:1转换为存储和取证分析目的，以满足合规性要求，或者它可以生成优化和丰富的NetFlow记录，然后可以由其他系统进行可视化和处理。

 

 

 

NetFlow Optimizer增强了现有SIEM系统和日志分析器的功能和价值。

 

将流技术添加到网络监控和分析工具从未如此简单或更实惠。 

•保护您的投资。 
•降低存储和带宽成本。 
•加快投资回报率并推进业务目标！

 

 

 

NetFlow Optimizer提供了一个关键组件，可实现完整的网络可视性，并扩展了现有日志分析器和SIEM系统的使用范围，如 Splunk，VMware，Sumo Logic等 
 

NFO处理引擎提供来自多个流数据和日志源的记录聚合，将其转换为标准syslog格式，并过滤以消除冗余数据。 这使您可以节省存储硬件和可视化软件的许可费用，这通常基于处理的流量。

 

NetFlow Optimizer提供实时网络监控，为虚拟和物理网络提供高级操作智能和安全性。

 

 

 

NFO通过从NetFlow中提取有价值的数据，丰富其他信息并提供与其他机器数据的关联，为完整的网络可见性提供关键组件。 它是传统网络安全解决方案的补充，可完美地避开未知恶意软件和准备好的针对性的攻击。 当与安全信息事件管理（SIEM）系统一起使用时，它为检测高级安全威胁提供了有效的解决方案，例如DDoS攻击，僵尸网络，内部威胁，数据泄漏等。

 

NetFlow Optimizer的好处

• NFO是一种软件解决方案。 不需要投资昂贵的专有硬件;

• 它提供无与伦比的性能，在具有16GB内存的8核机器上每秒可处理多达350,000条记录。 如果部署了多个NFO实例，则可以处理每秒数百万个流记录;

• 独特的实时整合和归档技术可优化发送到SIEM的流量数据，而不会丢失信息的准确性;

• NFO可以部署在虚拟环境中，随着企业网络的发展，可以横向和纵向扩展。

 

主要产品功能

• 通过在一段时间内总计每个协议，每个应用程序，每个网络主机或每个子网的流量计数，字节，数据包和其他流量特征，并在网络设备，最高带宽消费者上报告负载，提供网络流量的多维视图和服务器的响应时间;

• 启用可操作的虚拟和物理网络监控。 标识受物理网络中断影响的VM。 可视化虚拟和物理网络数据路径。 支持点对点通信跟踪：VM - VM，VM - 物理主机，VM - VXLAN上的VM;

• 识别物理网络设备和接口故障对虚拟网络的影响;

• 监控网络设备和接口负载。 测量容量规划的带宽消耗。 识别消耗带宽的应用程序和用户;

• 使用当前信誉，GEO IP和DNS数据来丰富流量数据;

• 识别安全威胁并跟踪当前已知的威胁源;

• 发起异常网络主机行为和异常网络流量的警报，包括“低速和慢速”DDoS攻击;

 

NetFlow Optimizer的部署

 

 

NetFlow Optimizer从您的网络设备接收流数据，通常通过UDP协议发送。 NetFlow分析和/或原始流数据从NFO发送到任何能够通过UDP协议接收系统日志的系统，例如Splunk索引器或Splunk转发器，rsyslog或syslog-ng，VMware vRealize Log Insight，Sumo Logic，Elastic stac（ELK）或任何其他SIEM系统。 这些系统存储流信息，可以将其与其他机器数据相关联， 在仪表板中可视化，搜索并用于创建警报 。

 

使用Splunk Enterprise进行部署

 

组合索引器/搜索头

在单实例Splunk Enterprise部署中，其中一个实例处理从输入到索引到搜索的所有内容，NFO应安装在一个不同的服务器或虚拟机上，而不是一个已安装了组合搜索头/索引器的服务器或虚拟机。 EDFN 可以被安装在同一台服务器上，或者已安装了NFO的VMon，也可以安装在不同的服务器上 。 此图显示了处理组件在各种处理层上的位置。 这种类型的部署适用于部门或小型企业。

 

 

在此图中，从下往上开始：

•网络设备层：配置路由器，交换机，防火墙和虚拟交换机以发送流量 数据到NFO。

•NFO /EDFN层：NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk索引器进行存储和索引。

•Splunk层：您需要在此处为Splunk和其他应用程序安装Netflow（TA）的技术插件和NetFlowAnalytics。 TA定义了所有必要的字段名称和标签 流量数据符合CIM标准。 应用程序提供仪表板，下钻，搜索和警报。

 

单独的索引器，搜索头和通用转发器

 

在分布式Splunk Enterprise部署中，您可以添加索引器和搜索头以提高性能，并使用转发器来提取数据。通常，在这些部署中，通用转发器（UF）是正确的选择。UF可以位于生成数据的所有计算机上。

 

 

在此图中，从下往上开始：

•网络设备层。配置路由器，交换机，防火墙和虚拟交换机，将流数据发送到NFO。图片防火墙和vds

•NFO /EDFN / Splunk UF层。NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk通用转发器（UF）。然后，UF将数据转发给索引器。

•Splunk索引层。此处安装了Netflow技术插件（TA）。TA定义了所有必要的字段名称和标签 流量数据符合CIM标准。

•Splunk搜索头层。您需要在此处为Splunk和其他应用程序安装Netflow（TA）的技术插件和NetFlowAnalytics。 请注意，您在此处以及splunk索引中安装了Netflow技术插件 一线。

 

多实例的索引器，搜索头，集群和转发器

 

在大型企业部署中 您可能有几个搜索头或一个搜索集群，几个索引器 或索引集群，以及许多转发器。 您还可以使用rsyslog或syslog-ng基础结构来获取syslog数据的高可用性。

 

 

在此图中，从下往上开始：

•网络设备层。配置路由器，交换机，防火墙和虚拟交换机以将流数据发送到NFO。

•NFO /EDFN层 。 NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk转发器orrsyslog或syslog-ng。

•Splunk转发器/ rsyslog/ syslog-ng层。这是Splunk层的数据输入。在此层中，您可能拥有Splunk通用或重型转发器以及rsyslog / syslog-ng基础结构。

•Splunk索引层。此处安装了Netflow技术插件（TA）。TA为流数据定义了所有必要的字段名称和标签，使其符合CIM标准。

•Splunk搜索头层。您需要在此处为Splunk和其他应用程序安装Netflow（TA）的技术插件和NetFlowAnalytics。请注意，您在此处以及splunk索引层中安装了Netflow技术插件。

 

使用Splunk Cloud进行部署

 

NetFlow Logic的NetFlow技术插件和SplunkApp的NetFlow Analytics均经过认证和审核 用于Splunk Cloud部署。 无论您的组织是自助服务还是托管Splunk Cloud，您都需要在数据中心安装NFO和EDFN。 Splunk转发器用于将数据提取到Splunk Cloud。 使用与您的syslog集合基础架构匹配的通?转发器或重型转发器选择上述方案之一。

 

 

在此图中，从下往上开始：

•网络设备层。配置路由器，交换机，防火墙和虚拟交换机以将流数据发送到NFO。

•NFO /EDFN层。NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk转发器或rsyslog或syslog-ng。

•Splunk转发器/ rsyslog/ syslog-ng层。这是Splunk层的数据输入。在此层中，您可能拥有Splunk通用或重型转发器以及rsyslog / syslog-ng基础结构。

•SplunkCloud层。您需要在此处为Splunk和其他应用程序安装Netflow（TA）的技术插件和NetFlow Analytics。

 

使用VMware vRealize LogInsight进行部署

 

VMware vRealize Log Insight直接通过UDP协议或Log InsightAgents提取流式系统日志。NetFlow Logic为Log Insight提供Network Metrics Content Pack，该内容包应安装在Log Insight服务器中。内容包为物理和虚拟网络上的安全和操作智能提供仪表板，表格和直观图表。

 

直接从NFO获取流量数据

 

NFO应安装在与安装Log Insight的虚拟机不同的虚拟机（VM）上。EDFN可以安装在安装NFO的同一个VM上，也可以安装在不同的VM上。

 

 

在此图中，从下往上开始：

•网络设备层。配置路由器，交换机，防火墙和虚拟交换机以将流数据发送到NFO。

•NFO /EDFN层。NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk转发器或rsyslog或syslog-ng。

•LogInsight服务器层。 Log Insight的网络指标内容包安装在此处。

 

使用Log Insight Agent获取流量数据

 

您的公司可能具有rsyslog或syslog-ng基础结构，以便高可用性地获取syslog数据。NFO应安装在与安装Log Insight的虚拟机不同的虚拟机（VM）上。EDFN可以安装在安装NFO的同一个VM上，也可以安装在不同的VM上。

 

 

在此图中，从下往上开始：

•网络设备层。配置路由器，交换机，防火墙和虚拟交换机以将流数据发送到NFO。

•NFO /EDFN层。NFO接收流数据，执行预处理和优化，使用EDFN提供的外部数据对其进行丰富，并将其发送到Splunk转发器或rsyslog或syslog-ng。

•LogInsight Agent / rsyslog / syslog-ng层。这是Log Insightserver 层的数据输入。在此层中，您可能拥有Linux或Windows LI Agent，以及rsyslog / syslog-ng基础结构 。

•LogInsight服务器层。Log Insight的网络指标内容包安装在此处

 

标准系统要求

 

硬件/虚拟设备 
16GB RAM，8核CPU，20 GB磁盘空间。

虚拟设备 
VMware ESXi 5.x及更高版本

操作系统 
Linux CentOS 5.5,6.5,7 - Debian 6 - RHEL 5.5,6.5,7 - SUSE ES 11（kernel 2.6+64位） 
Windows Server 2008 R2,2012和2012 R2（64位）