流源类型
JSA 流处理器可以处理来自多个源的流,这些源被归类为内部或外部源。
内部流源
通过连接到 SPAN 端口或网络 TAP 来包括数据包数据的来源被视为内部源。这些源将原始数据包数据提供给流处理器上的监控端口,后者会将数据包详细信息转换为流记录。
JSA 不会保留整个数据包有效负载。相反,它会捕获流的快照,称为有效负载或内容捕获,其中包括从通信开始的数据包。
从内部源收集流通常需要专用的流处理器。
外部流源
JSA 支持以下外部流源:
-
NetFlow
-
IPFIX
-
sFlow
-
J 流
-
Packeteer
-
网络接口
有关每个流源类型支持字段的更多信息,请参阅 《瞻博网络安全分析用户指南》。
外部源不需要那么多的 CPU 利用率来处理,因此您可以将流直接发送到流处理器。在此配置中,可能有一个专用的流处理器,用于接收和创建流数据。
如果流处理器从多个源收集流,则可以为每个流源分配一个不同的名称。名称不同,有助于将外部流数据与其他来源区分开来。
JSA 可以使用欺骗或非欺骗方法转发外部流源数据:
欺骗
从流源接收的入站数据重新发至辅助目标。
要配置欺骗方法,请配置流源,以便将 监控接口 设置为接收数据的管理端口。
使用特定接口时,流处理器使用混杂模式捕获来收集流数据,而不是端口 2055 上的默认 UDP 侦听端口。这样,流处理器就可以捕获和转发数据。
非欺骗
对于非欺骗方法,请将流源配置中的 监控接口 参数配置为 Any。
流处理器会打开侦听端口(即配置为 监控端口的端口),以接受流数据。数据得到处理并转发到另一个流源目标。
转发数据时,流的源 IP 地址将成为 JSA 系统的 IP 地址,而不是发送数据的原始路由器。