Projektowanie rozwiązań do monitorowania sieci
Planowanie inspekcji ruchu
Wiedza o tym, co wchodzi w sieć i z sieci, jest niezbędna do utrzymania stanu zabezpieczeń. Należy przechwycić cały ruch przychodzący i wychodzący oraz przeprowadzić analizę niemal w czasie rzeczywistym na tym ruchu w celu wykrywania zagrożeń i ograniczania luk w zabezpieczeniach sieci.
W tej sekcji opisano kluczowe zagadnienia i zalecane podejścia do przechwytywania i analizowania ruchu w sieci wirtualnej platformy Azure.
Uwagi dotyczące projektowania
Azure VPN Gateway — usługa VPN Gateway umożliwia uruchamianie przechwytywania pakietów w bramie sieci VPN, określonym połączeniu, wielu tunelach, jednokierunkowym ruchu lub ruchu dwukierunkowego. Maksymalnie pięć przechwytywania pakietów może być uruchamianych równolegle na bramę. Mogą to być przechwytywane pakiety obejmujące bramę i na połączenie. Aby uzyskać więcej informacji, zobacz Przechwytywanie pakietów sieci VPN.
Usługa Azure Network Watcher ma wiele narzędzi, które należy wziąć pod uwagę, jeśli używasz rozwiązań typu infrastruktura jako usługa (IaaS):
Przechwytywanie pakietów — usługa Network Watcher umożliwia tworzenie tymczasowych sesji przechwytywania pakietów na ruchu kierowanym do i z maszyny wirtualnej. Każda sesja przechwytywania pakietów ma limit czasu. Po zakończeniu sesji przechwytywanie pakietów tworzy
pcap
plik, który można pobrać i przeanalizować. Przechwytywanie pakietów usługi Network Watcher nie może zapewnić ciągłego dublowania portów z tymi ograniczeniami czasu. Aby uzyskać więcej informacji, zobacz Omówienie przechwytywania pakietów.Dzienniki przepływu sieciowej grupy zabezpieczeń — dzienniki przepływu sieciowej grupy zabezpieczeń przechwytują informacje o ruchu IP przepływającym przez sieciowe grupy zabezpieczeń. Usługa Network Watcher przechowuje dzienniki przepływu sieciowej grupy zabezpieczeń jako pliki JSON na koncie usługi Azure Storage. Dzienniki przepływu sieciowej grupy zabezpieczeń można wyeksportować do zewnętrznego narzędzia do analizy. Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń i opcje analizy danych.
Analiza ruchu — analiza ruchu umożliwia pozyskiwanie i analizowanie dzienników przepływów sieciowej grupy zabezpieczeń. Tworzy pulpit nawigacyjny szczegółowych informacji na temat dzienników przepływu sieciowej grupy zabezpieczeń i generuje widok mapy geograficznej zasobów w celu łatwej analizy. Aby uzyskać więcej informacji, zobacz Omówienie analizy ruchu.
Zalecenia dotyczące projektowania
Włącz analizę ruchu. Narzędzie umożliwia łatwe przechwytywanie i analizowanie ruchu sieciowego za pomocą gotowej do użycia wizualizacji pulpitu nawigacyjnego i analizy zabezpieczeń.
Jeśli potrzebujesz większej liczby możliwości niż oferuje analiza ruchu, możesz uzupełnić analizę ruchu za pomocą jednego z naszych rozwiązań partnerskich. Dostępne rozwiązania partnerskie można znaleźć w witrynie Azure Marketplace.
Regularnie używaj funkcji przechwytywania pakietów usługi Network Watcher, aby uzyskać bardziej szczegółowe informacje na temat ruchu sieciowego. Uruchamiaj sesje przechwytywania pakietów w różnych porach tygodnia, aby uzyskać dobrą wiedzę na temat typów ruchu przechodzącego przez sieć.
Nie twórz niestandardowego rozwiązania do dublowania ruchu w przypadku dużych wdrożeń. Problemy ze złożonością i możliwościami obsługi zwykle sprawiają, że rozwiązania niestandardowe są nieefektywne.