我正在运行一个网络,该网络具有一个中央历史防火墙系统,我想将其替换。不幸的是,历史规则集非常混乱,所以我想从头开始进行网络分析。因此,我计划在我的 HP Procurve 交换机上运行 sflow。我已经使用 ntop 运行它,但不幸的是,这不是我选择的工具。我正在寻找一个 sflow 收集器,我可以使用它来重新设计我的防火墙规则。主要目标是获得网络中所有主机的图形和/或表格视图。我需要做的是为网络中的每个主机创建一个全新的规则集,从而我的重点是从主机的角度关注传入的连接。该工具应该有不同的过滤选项,如“按主机过滤”、“按网络过滤”、“按服务过滤”等。当然,我更愿意使用开源软件,但如果没有适合我目的的开源工具,我绝对愿意为商业工具付费。
我希望我的解释不会太令人困惑。:-)
能从你们那里得到一些建议真是太好了。sflow.org 上的列表是一个很好的起点,但不幸的是我没有时间尝试列表上的每个工具:
http://www.sflow.org/products/collectors.php
干杯,
鲍勃
答案1
我一直在使用nfdump/nfsen和审查者来自 Plixer 已经有一段时间了(最近 nfdump 比 scrutinizer 更受欢迎)。两者都是很棒的工具,但它们各自都有自己的“特定”用户群体。
Nfdump/nfsen 是开源的/免费的,就像 cerveza 一样,但对某些用户来说可能太“怪异”了。它的过滤/查询功能非常强大(想想“tcpdump”过滤语法,但用于流以及聚合和排序),但在我看来,它在等式的图形生成/报告方面(在 nfsen 中)缺乏一些完善。我喜欢 nfdump 的原因是,我能够抛出一些“快速而粗糙”的命令行查询,并以准备好提供给我的一些 python 脚本的格式获取我需要的信息。
另一方面,Scrutinizer(商业/不免费)是一款出色的“可视化”工具。非常适合生成报告和视图,与我那些不那么“极客”的客户分享。它的查询功能很棒,但我还没有找到通过命令行从中提取信息的方法(主要是因为我没有研究过 Scrutinizer 是否具有此功能,因为我可以使用 nfdump 来实现)。
最后一件事。我第一手了解到 Scrutinizer 可以使用 sFlow 数据。我知道(从我读过的内容和我见过的配置选项来看)nfdump 也可以使用 sFlow 数据,但我个人从未这样做过。我只将 nfdump 与 Netflow v5/v9 数据一起使用过。所以我的建议是,在使用 nfdump 之前,您应该确认此功能。
答案2
由于您使用的是 HP ProCurve 交换机,我建议您使用支持sFlow 管理信息库进行配置。流量趋势是免费的,具有过滤和报告功能,可以为您提供所需的数据。