NTM威胁情报问题
1. 我内网有台DNS服务器10.10.1.11, 内网DHCP给IP的时候dns分配到10.10.1.112. 我把内网接防火墙的端口在核心交换机上做了mirror到NTM igb0网口后识别到了很多10.10.1.11对外dns查询威胁域名的情报, 但无法发现是哪个内网ip通过10.10.1.11在查询;
3. 我再把10.10.1.11的端口在交换机上mirror給NTM的igb2网口,但NTM还是无法看到这些dns请求源自哪个内网IP,
请教下是哪里设置的不对么?
我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链路捆绑 到 链路组1 和链路组2(如上图), 但还是只能看到总体的......请教下改如何做?
谢谢~
要看具体拓扑图,因为您内网请求到DNS服务器的流量,防火墙上没有,防火墙只收到了DNS服务器向外递归请求的流量防火墙没收到自然NTM上也不会有,需要用户请求到DNS服务器这段的流量mirror到NTM. sking9988 发表于 2022-7-4 16:21
要看具体拓扑图,因为您内网请求到DNS服务器的流量,防火墙上没有,防火墙只收到了DNS服务器向外递归请求的 ...
嗯嗯,再咨询下:
我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链路捆绑 到 链路组1 和链路组2(如上图), 但还是只能看到总体的......请教下改如何做? adehmily 发表于 2022-7-5 14:50
嗯嗯,再咨询下:
我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链 ...
这里的链路捆绑指的是链路聚合 也就是ETH-TRUNK,静态链路捆绑。需要两张网卡捆绑到一个组,你需求分别向看 镜像过来口的数据和这个没有直接联系。 收到,谢谢~
页:
[1]