UTM設備與網管軟體

ivylin0107 2010-03-10 11:40:56 ‧ 17151 瀏覽

分享至

請問,最近公司內部網路出了問題,
雖然我是MIS,但我本身是寫程式出身的,對網管不熟,而公司又只有我一個MIS,
我問了廠商,廠商建議我可以用網管軟體(ex:Sniffer)去捉,
但,我之前有試過裝在一台電腦上測流量,但看出來的流量都是封包只針對該台電腦的進出,
而不是看整個網段上各電腦的流量,
所以我就想到,若是改成UTM設備,在閘口上直接測所有出去的電腦流量,
這樣可以用UTM設備取得像Sniffer這樣的網管軟體嗎??

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

8 個回答

ansonchen

iT邦新手 1 級 ‧ 2010-03-10 23:20:25

最佳解答

ivy版主你好
依據你的情況與描述,
想要快速找到問題,
一般來說非大型企業或政府單位,
是比較不會有這樣的網路監控設備,
也需視企業是否重視網路安控,
但依你現況臨時想找出問題又沒設備就需要塗法煉鋼了,
我所指的是要對網路熟悉的經驗與對設備熟悉操作管理
這樣在現有的環境下才可做進一步分析、測試、判斷
你們公司firewall是ASA嗎?
小弟提供給各方式來協助判斷：

網路架構不大與設備不多,直接看switch哪各燈號閃爍異常(比其他port還快)
大流量可能在這, 找幾各port記錄下來
直接連進switch設備看sh int sw status 看剛找到的port流量數值大
ping 到哪各ip的節點耗時較長 (持續測試ping 內網或外網慢的IP)
分析判斷擁塞是內網或防火牆外網變慢的狀況
希望對你有幫助
ps. 建議後續有空可以安裝CACTI來監控網路狀態
當MIS是需要幫公司節省也是最可憐的,
所以在沒資源下很多機制需要一點一點建立
我都會自行研究一些輔助管理的網管軟體
一方面當主管一問就可以立刻查狀況報告,但不一定可立即解決

回應
分享
檢舉

登入發表回應

p12076

iT邦新手 4 級 ‧ 2010-03-10 12:54:52

測流量的範圍很廣...內部網路出了什麼問題？

回應 2
分享
檢舉

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 13:30:00 檢舉

因為出現對外頻寬滿載,且內部網路也變慢,
是有些電腦運作出現怪怪的問題,但防毒軟體沒有任何異常

p12076 iT邦新手 4 級 ‧ 2010-03-10 21:42:31 檢舉

新一代 WatchGuard UTM 可看到即時流量拓撲圖並手動阻斷對外頻寬~
但這只解決對外頻寬滿載的問題，內部網路變慢、有些電腦運作出現怪怪的問題如能更詳細描述才能知道真正的問題點...防毒軟體沒有任何異常不代表沒有蠕蟲爆發唷!!

登入發表回應

sniperegg

iT邦新手 2 級 ‧ 2010-03-10 14:19:59

能否先縮小範圍？將有問題的電腦拔除網路後，是否頻寬恢復正常？

有無同事私接無線AP？或使用P２P軟體？

同事傳大檔也有可能。

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 14:37:39 檢舉

sniperegg您的建議與廠商相同,
但我只是在想,除了這種土法煉鋼的方式外,
能否善用其他工具來更快速的反應出問題點,
已與廠商確定過了,我公司用的switch不是那種可以直接在上面測試流量的型號,
而公司的Firewall與Router都是用cisco的....
這兩個設備也讓我頭很大了.
因為沒有備品,故我無法雖便亂亂測,
一動到什麼設定,設備若無法運作.那我更慘.
所以,才會想,若使用UTM設備,雖然不能細到看清封包內容,
但至少是不是能讓我快速看出是那台電腦流量太大.
這樣就能針對該台電腦做處理呢!

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 14:40:48 檢舉

只是我不是很確定UTM設備是否能做到我想要的,
所以才想請教各位囉~

sniperegg iT邦新手 2 級 ‧ 2010-03-10 14:58:20 檢舉

若您只要監控流量，是無須用到UTM拉，裝一套Cacti軟體偵測流量就好了。
不過您的交換器沒有網管功能，這是麻煩點。
若能更換網管交換器加上Cacti軟體，再去對應Port By PC，就可馬上知道誰的電腦作怪了。

sniperegg iT邦新手 2 級 ‧ 2010-03-10 15:00:00 檢舉

或者經費允許，買一台網路稽核設備架在閘道端，無須變更網路架構，馬上就可以知道問題點，還有報表功能。

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 15:17:23 檢舉

廠商也有建議網路稽核+Fortinet這樣的設備,
其實我不只想做流量監控,未來還想要限制User頻寬,
UTM設備還能做網站內容及應用程式篩選或過濾,VPN等
只是,想先確定UTM設備是否也能兼具流量監控功能,
(而我個人是較喜歡UTM設備)
這樣才能建議公司購買這樣的設備.

sniperegg iT邦新手 2 級 ‧ 2010-03-12 10:06:28 檢舉

良心建議，UTM跟稽核功能不要放在同一台上。
一般的UTM效能上都不是很好，若您開了UTM再加上稽核功能，可能效能上會大打折扣。
至於UTM有無流量監控功能，要看廠牌型號而定。
良心建議，防毒、內外網區隔、交給UTM處理。
服務限制、流量稽核與記錄，交給網路稽核設備處理。

登入發表回應

sharbui

iT邦新手 3 級 ‧ 2010-03-10 14:52:35

UTM主要還是看廠家提供了什麼模組吧...sniffer是封包截取與測錄...
讓網管人員可以分析目前的網路狀況，前提是他要能了解那些截取內容

相關設備也要在對的網路節點上才能發揮作用，UTM設備如果拿來取代你的CISCO ROUTER，所有封包一定就會經過該設備，那相關流量表當然就沒問題，但如果你架在CISCO之後，當一個附加的設備，那...就看你的SWITCH....

找一個有信譽的廠家協助你規畫...比較適合你

回應 3
分享
檢舉

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 14:58:41 檢舉

sharbui謝謝你的建議,
那如果這台UTM設備是放在CISCO ROUTER與switch中間取得我現的Firewall呢??
這樣可以嗎?

ivylin0107 iT邦新手 5 級 ‧ 2010-03-10 15:00:46 檢舉

剛打太多錯字了...

那如果這台UTM設備是放在CISCO ROUTER與switch中間取代我現在的Firewall呢??
這樣可以嗎?

sharbui iT邦新手 3 級 ‧ 2010-03-11 15:23:19 檢舉

當然可以啊，不過也要UTM支援透通模式，或者...你現有的FIREWALL做第一層policy.UTM就可以拿來做別的..讓設備達到有效利用囉...怎麼玩..就看你..
圖先畫出來.找廠商討論...鄂..應該是錢先找出來.再畫圖..

或者先找熟的SE或網管可以先協助你...
不過..你應該要先處理大流量的問題吧?...很多前輩都有回了..基本上燈號閃最快的就會是兇手.拔線大法直接上...

登入發表回應

tombo

iT邦高手 1 級 ‧ 2010-03-11 11:23:56

1.Fortigate 本身就有內建 Sniffer 功能
http://support.fortinet.com.cn/document/doc09052505.html

2.Netscreen 也可以透過設定 Policy，然後去觀察統計數據來分析問題點。

3.既然有 CISCO Router & CISCO Firewall，你也可以透過設定 ACL or Policy 來檢測問題點。
不用太擔心設定無法復原，CISCO的設備設定檔有分 Running Config & Flash 裡的 Config
Running Config就是現在生效的設定，Flash 裡的 Config 是開機時載入的設定
你可以將 Flash 的 Config Copy 到 Running 或是 Running Copy 到 Flash 裡都行
設定檔都是文字檔，你可以剪貼存下來或是存到 tftp server...都行。

4.你的 WAN Link是透過 CISCO Serial Port 連接嗎？還是 Ethernet Port？
如果是透過 Serial Port，那你得留著 CISCO Router，
如果是用 Ethernet Port，應該是可以直接用 UTM Firewall 取代 CISCO Router

5.如果不想改變現有網路架構，你可以把 UTM 設成通透模式，就可以架在 CISCO Router 與 CISCO Firewall之間，
但是如果可以的話，乾脆就將CISCO Router、CISCO Firewall卸下，省去日後維護這兩個設備的問題。
至於卸下的設備可以送我 :D (開玩笑啦)

5.Switch會區隔廣播封包，除非使用 Hub

6.我還有古董 D-Link Hub，要不要買呀 .... :D (開玩笑的)

7.最後，建議你買 UTM 時，直接ㄠ廠商來安裝順便協助偵錯！

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

ivylin0107 iT邦新手 5 級 ‧ 2010-03-15 11:39:57 檢舉

tombo,
謝謝你的建議,我會盡量試試看地~
至於古董設備,您還是放到博物館去吧~
買了我會被公司k地~

tombo iT邦高手 1 級 ‧ 2010-03-16 09:28:24 檢舉

ivylin0107提到：
謝謝你的建議,我會盡量試試看地~

所以說...您要去買 UTM，把 CISCO Router/Firewall送我嗎...^_^
唉呀..真是太感激了...

ivylin0107提到：
至於古董設備,您還是放到博物館去吧~
買了我會被公司k地~

唉呀...我會半買半相送啦 .... :D
要不這樣吧...你把 CISCO Router/Firewall送我，我把 D-Link Hub 送你 :D

tombo iT邦高手 1 級 ‧ 2010-03-16 09:36:49 檢舉

我會建議你用 Fortigate UTM Firewall, 因為它內建的 Sniffer 使用起來，也比 Wireshark or other sniffer 軟體簡單，顯示的訊息也很容易懂!

ivylin0107 iT邦新手 5 級 ‧ 2010-03-16 16:14:13 檢舉

tombo 說：
所以說...您要去買 UTM，把 CISCO Router/Firewall送我嗎...^_^
唉呀..真是太感激了...

這個比較難啦~還有別的點要用呢~

登入發表回應

williamhsiao

iT邦新手 5 級 ‧ 2010-03-11 13:22:39

之前有其他版大發表過一篇文章
可以參考一下～這個軟體是免費的，而且很不錯用。可以快速的找到那個switch流量大
就知道誰是兇手了..
http://ithelp.ithome.com.tw/question/10000398

回應 12
分享
檢舉

看更多先前的回應...收起先前的回應...

tombo iT邦高手 1 級 ‧ 2010-03-11 13:50:50 檢舉

恐怕樓主的Switch是不支援 snmp 的...

ivylin0107 iT邦新手 5 級 ‧ 2010-03-15 12:05:09 檢舉

目前用的是3Com baseline switch 2824有支援snmp嗎?
我剛去扒了一下網路文章,snmp是簡單網絡管理協議,
意思是switch上會多一個port可直接監看switch上的流量嗎?

ansonchen iT邦新手 1 級 ‧ 2010-03-15 22:28:31 檢舉

ivy答對了 snmp是一般switch都會支援的協定
可用MRTG 或 CACTI軟體監看port流量
不過只是show圖形化的畫面,
只能當作參考囉!!
可看switch上哪各port介面的multicast boardcast較大
可朝這方面來尋找

tombo iT邦高手 1 級 ‧ 2010-03-16 09:25:32 檢舉

ivylin0107提到：
目前用的是3Com baseline switch 2824有支援snmp嗎?

不好意思，Baseline 系列是不提供任何管理功能的...
http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16479&pathtype=purchase

如果有支援 SNMP ，你可以用 MRTG/PRTG 之類的軟體來監控每一埠的流量！

ivylin0107 iT邦新手 5 級 ‧ 2010-03-16 16:15:19 檢舉

喔~了解..

ansonchen iT邦新手 1 級 ‧ 2010-03-16 22:44:55 檢舉

不好意思...小弟說錯了
妳那款3com真的沒有支援
現在買到的沒支援應該不多= =
3com 2824-SFPplus有支援snmp
這台還要1萬塊可以買SMC或LinkSys
支援協定多點便宜好用喔

tombo iT邦高手 1 級 ‧ 2010-03-17 12:13:46 檢舉

推薦妳一款 Switch
Dell PowerConnect 2848
http://www1.ap.dell.com/content/products/productdetails.aspx/switch-powerconnect-2848?c=tw&l=zh&s=lca&cs=
48 Port Gigabit + 4 Port SFP
支援 snmp, vlan, huge frame...
之前我向經銷商詢問售價才 6700元

tombo iT邦高手 1 級 ‧ 2010-03-17 12:20:51 檢舉

tombo提到：
Dell PowerConnect 2848

這款還有支援 Mirror Port

Linksys 也不錯...CISCO 的子公司，不過我對這家產品不熟，它的價格自從被 CISCO 買走後，也漲了不少...

ivylin0107 iT邦新手 5 級 ‧ 2010-03-17 13:46:40 檢舉

謝謝ansonchen與tombo二位的推薦囉~
但因為switch才買了二年左右吧!
公司不太可能讓我再買新的,除非我想辦法讓它早點掛點囉~

tombo iT邦高手 1 級 ‧ 2010-03-19 21:42:05 檢舉

ivylin0107提到：
ivylin0107 說：
謝謝ansonchen與tombo二位的推薦囉~
但因為switch才買了二年左右吧!
公司不太可能讓我再買新的,除非我想辦法讓它早點掛點囉~

一台無網管功能的 3com Switch ，應該沒多少錢吧...
3com 的品質還不錯，要掛不太容易...
要不這樣吧....我的 D-Link Hub 跟你換 3com Switch... :D
保證很快就掛..:P

tombo iT邦高手 1 級 ‧ 2010-03-19 21:43:58 檢舉

要不就...嘿嘿...
拆殼拔風扇、灑水、火烤...但是不要說是我教的...

tombo iT邦高手 1 級 ‧ 2010-03-19 21:50:28 檢舉

還有一個辦法...看看公司的上網線路是否有可能換成中華電信的資安艦隊服務。
http://www.adsl.hinet.net/3ip/fleet_utm.html
中華電會送一台 Fortigate 80C 還幫妳安裝好

登入發表回應

twnem

iT邦好手 1 級 ‧ 2010-03-14 16:56:40

使用 Sniffer 軟體去執行也可以的
用 Router 去監看內部網路的流量也是可以的
我覺得要看你個人的或公司的需求來做決定
因為每一種設備都有它的價值存在
依我個人覺得用 Router 去看會比較容易發現哪裡出問題?

回應
分享
檢舉

登入發表回應

ganymede

iT邦好手 1 級 ‧ 2010-03-15 11:21:48

不知道貴公司對外的 router 或 firewall 可否設定 mirror port ?
如果可以, 就把 mirror port 設定上去, 再接上去用 sniffer 去抓封包就好了, 不用廢那麼大的功夫去買 UTM.

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

tombo iT邦高手 1 級 ‧ 2010-03-16 09:34:22 檢舉

樓主的是 3com baseline switch , 沒有管理功能, 更不用說 mirror port 了

ivylin0107 iT邦新手 5 級 ‧ 2010-03-16 16:17:31 檢舉

我有跑進機房認真的看了一下,真的沒有mirror port ㄋㄟ~~

yukal iT邦新手 5 級 ‧ 2010-03-18 23:37:09 檢舉

建議買 NetScreen 的設備 ( 掛上 DI入侵防禦或是 AV 病毒防護的 License + 自備一台 Linux 安裝 syslog server 將 traffic log 導向 syslog 並且設定排程將每日的 log 備份起來再產生一個新檔，當發生問題的時候可以透過 Linux 指令去快速找尋異常狀態。
不然就是購置一套軟體 NetFlow 它可以收你 Router 介面的 in/out 流量可以給你判斷還可以 report 產報表喔 !