Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

流源类型

JSA 流处理器可以处理来自多个源的流,这些源被归类为内部或外部源。

内部流源

通过连接到 SPAN 端口或网络 TAP 来包括数据包数据的来源被视为内部源。这些源将原始数据包数据提供给流处理器上的监控端口,后者会将数据包详细信息转换为流记录。

JSA 不会保留整个数据包有效负载。相反,它会捕获流的快照,称为有效负载或内容捕获,其中包括从通信开始的数据包。

从内部源收集流通常需要专用的流处理器。

外部流源

JSA 支持以下外部流源:

  • NetFlow

  • IPFIX

  • sFlow

  • J 流

  • Packeteer

  • 网络接口

有关每个流源类型支持字段的更多信息,请参阅 《瞻博网络安全分析用户指南》。

外部源不需要那么多的 CPU 利用率来处理,因此您可以将流直接发送到流处理器。在此配置中,可能有一个专用的流处理器,用于接收和创建流数据。

如果流处理器从多个源收集流,则可以为每个流源分配一个不同的名称。名称不同,有助于将外部流数据与其他来源区分开来。

JSA 可以使用欺骗或非欺骗方法转发外部流源数据:

欺骗

从流源接收的入站数据重新发至辅助目标。

要配置欺骗方法,请配置流源,以便将 监控接口 设置为接收数据的管理端口。

使用特定接口时,流处理器使用混杂模式捕获来收集流数据,而不是端口 2055 上的默认 UDP 侦听端口。这样,流处理器就可以捕获和转发数据。

非欺骗

对于非欺骗方法,请将流源配置中的 监控接口 参数配置为 Any。

流处理器会打开侦听端口(即配置为 监控端口的端口),以接受流数据。数据得到处理并转发到另一个流源目标。

转发数据时,流的源 IP 地址将成为 JSA 系统的 IP 地址,而不是发送数据的原始路由器。