|
1. 新增功能
1.1 流量编排 1.1.1 更新说明 流量编排是一种网络管理技术,主要用于优化和控制数据流在网络中的传输,结合 NG-TAP 的应用识别能力实现对应用流量的灵活调度。
1.1.2 模块授权 流量编排作为本次更新引入的高级功能,需要获取并激活独立的、专用的模块授权方可使用。此功能未包含在标准的 NG-TAP 平台基础授权范围内,拥有现有基础授权的用户,在未获 得流量编排功能模块授权的情况下,无法使用该功能。 如需评估或启用流量编排功能,请联系您的销售代表、客户经理或授权合作伙伴,以获取详细的授权信息、报价及部署支持。
1.1.3 应用场景 “糖葫芦串 ”组网模式 在传统组网模式中,为增加网络的安全性,对流量进行合理分流负载,需要在网络出口部署各种设备,如负载均衡、防火墙、AV 防毒墙、入侵防御、上网行为管理、WAF等设备。这些 设备来自不同供应商,就像糖葫芦一样,串在网络出口处,被称为“糖葫芦串 ”组网模式。 “糖葫芦串 ”组网的弊端显而易见。如果糖葫芦串中的任何一个设备出现了性能不足需要升级扩容时,原有设备只能丢弃,重新采购高性能的产品。每一次设备升级调整及故障排查都 需要割接时间窗口,为网络的运维造成诸多不便。
旁路部署模式 当安全设备使用旁路模式部署时,利用交换机设备的流量镜像功能对网络流量进行审计及回溯。虽然具备部署简单且不影响现有网络的特点,但无法对恶意流量进行实时拦截和过滤, 存在攻击防护能力不足的缺点。
解决方案
(一) 避免单点故障 将各种流量灵活分配到多个服务器或网络安全设备,避免单点过载。
(二) 故障快速切换恢复 当检测到链路或设备故障时,根据预设策略自动调整网络配置。支持快速切换到本地路径 转发,确保业务连续性。
(三) 设备快速上线 部署测试设备时,牵引特定区域、业务类型流量经过测试设备,避免频繁网络割接,影响 现网用户业务。通过流量编排能够显著提升网络性能、可靠性和安全性,适用于数据中心、校园网和广域网等多种场景。
1.1.4 配置举例
在大型网络中,通常需要部署多种网络安全设备。为了简化网络架构、避免多点故障并便 于后续扩容,可以采用流量编排技术来实现设备的灵活串接。具体而言,可以将 NG-TAP 设备串 接到网络出口,对所有经过的流量进行策略筛选和过滤,并将流量按照上面接线示意图定向发 送至相应的安全设备。这种方式不仅能够实现对流量的精细化管控,还能确保安全设备高效地执行网络防护任务,从而提升整体网络的安全性和可管理性。
注意: 1、 NG-TAP 及串接安全设备均为网桥模式部署。 2、 NG-TAP 设备系统版本需 TANG(唐)r7p4 及以上版本。
(接线示意图 1)
一、配置编排拓扑: 1. 选择【分流管理】>【流量编排】>【设备管理】或者【编排拓扑】。 2. 单击【参数配置】,弹出“配置内外网卡”页面,如下图。
| 参数名称 | | | | | | | 选择网桥接内的网卡,接下联核心交换机和终端侧设备。 |
3. 配置网桥网卡,单击【确定】。 配置示例:外网网卡选择 S0/2; 内网网卡选择 S0/1。参考(接线示意图 1),S0/2接出 口互联网;S0/1 接内网终端。
4. 结果验证 创建内外网卡后,接入网络中,终端上网业务正常。在【分流管理】>【流量编排】>【设 备管理】中查看内外网速率正常转发。
二、添加编排设备 1. 选择【分流管理】>【流量编排】>【设备管理】或者【编排拓扑】。 2. 单击【添加设备】,弹出“添加设备”页面,如下图。
| 参数名称 | | | | | | | 控制设备的转发优先级,流量优先匹配策略转发先后顺序。 取值:1000~50000。 | | | | | | 开启后设备为离线状态,跳过该设备,不匹配策略进行流量转发。 | | |
3. 配置多个设备,单击【确定】。 配置示例: 添加第一台设备:输入设备名称“FW ”,优先级输入“ 1000 ”,外网网卡选择 S0/5,内网 网卡选择 S0/4,bypass 选择关闭,备注输入“防火墙 ”。
再添加一台设备:输入设备名称“sj ”,优先级输入“2000 ”,外网网卡选择 S0/7,内网 网卡选择 S0/6,bypass 选择关闭,备注输入“审计设备 ”。(参考 接线示意图 1,防火墙优 先级高在外侧,审计设备优先级低在内侧, 内到外流量转发路径为“S0/1-S0/6,S0/7-S0/4, S0/5-S0/2 ”)。
4. 结果验证 在【分流管理】>【流量编排】>【设备管理】和【编排拓扑】查看设备的拓扑情况。
说明:NG-TAP 会自动检测设备网卡的状态,当网卡状态为 down 时,相应接入的设备会自动调整 为离线状态,不进行数据转发。
三、配置业务数据转发 通过此操作,可创建流量过滤的策略,配置业务数据转发。 1. 选择【分流管理】>【流量编排】>【设备管理】或者【编排拓扑】。 2. 在【设备管理】页面单击 【编辑】或者【编排拓扑】页面单击设备图标,弹出选择【流量过滤】页面。 3. 在【流量过滤】页面,单击【添加策略】,弹出添加策略页面。
| 参数名称 | | | 自定义策略的编号,系统将按照编号从小到大的方式依次执行策略表。 取值:1~65535。序号越小,优先级越高。 | | | | 匹配特定线路的数据报文,线路可选择 WAN 线路或网桥,流向可设置 为“任意 ”、“上行 ”、“下行 ”。 | | | | | | 对应用进行匹配,该“应用协议 ”可以是特征库或者自定义协议,并 且关联了域名特征,否则该策略无意义。 | | | | | | MAC 加入该地址池后,可以基于 MAC 地址做控制。可以在【TOP 用户】 或【IP/MAC 备注】中,将 MAC 加入指定地址池。 | | | | | | 放行:匹配策略的数据包允许通过转发。 跳过:匹配策略的数据包跳过该设备,从其他设备转发。 |
4. 在 FW 设备中单击【添加策略】,策略序号设为“ 1000 ”, 内网地址类型选择“IP 群组 ”, IP 选择“ 白名单 ”。执行动作选为“跳过 ”,单击确定。 5. 再次单击【添加策略】,策略序号设入“2000 ”,条件默认 any,执行动作选择“放行 ”。 6. 在 sj 设备中单击【添加策略】,策略序号设为“1000”,协议选择“HTTP 协议”, 执行 动作选为“放行”。(审计 waf 只需要网页流量,将 HTTP 流量分流,防火墙监控全部流 量。各个设备之间的策略相互独立)。 7. 结果验证 串接设备匹配流量并进行正常转发。 说明:跳过:指匹配策略的数据包不转发到此串接设备,继续匹配下台设备的策略。
1.2 数据包载荷剥离 1.2.1 更新说明 新增“数据包载荷剥离 ”功能,允许用户在流量复制分发过程中,选择性地移除数据包的 应用层负载(Payload)。
1.2.2 应用场景 金融、医疗等行业需监控网络行为,但需避免泄露用户敏感数据(如身份证号、交易金额), 减少安全设备压力等场景。
解决方案: 启用载荷剥离,向监控系统提供元数据流量(如“用户A 访问支付接口 ”),而不传递实际业务数据。剥离非必要负载,仅保留包头特征,使安全设备(如 IDS)专注分析连接行为, 减少存储与计算资源消耗。 1.2.3 配置举例 1. 选择【分流管理】>【分流策略】>【添加策略】
2. 【执行动作】>【TAP 分流】>【报文剥离】>【载荷】
1.3 重复数据包识别 1.3.1 更新说明 新增“重复数据包识别 ”功能,可主动检测网络流量中的重复数据包,配合去重功能提升 安全设备数据分析效率与存储资源利用率。
1.3.2 应用场景 应用于降低存储成本(如金融合规流量归档节省 50%+空间)、提升分析效率(安全团队快速过滤 DDoS 攻击噪音)及优化传输性能(医疗影像系统避免冗余重传)等场景。在金融交易、 医疗影像、运营商信令监控等高频重复数据场景中效果显著。
1.3.3 配置举例 1. 选择【应用识别】>【引擎参数】>【重复数据包识别】 说明:开启“重复数据包识别 ”后,需要在【分流管理】>【分流策略】中配置相应的去重策略来执行去重动作。请参见 4.2 节。
1.4 网卡抓包 1.4.1 更新说明 本次更新新增网卡抓包(NIC Capture) 功能,无需依赖其他设备,即可从 NG-TAP 网络接 口上实时抓取原始流量。
1.4.2 配置举例 1. 选择【分流管理】>【网卡抓包】>【添加抓包策略】
1.5 系统告警 1.5.1 更新说明 新增系统告警功能,可通过系统、网卡、WAN 线路、内网 IPV4、内网 IPV6、应用协议、流 量统计对象等多角度制定告警策略,并通过微信公众号、企业微信、钉钉、飞书、邮箱、SaaS 等方式进行通知。
1.5.2 应用场景 该功能支持企业从系统资源、网卡状态、WAN 线路质量、内网 IP(v4/v6)、应用协议流量 及统计对象等核心维度,自定义阈值告警策略(如CPU 过载、专线丢包、IP 异常流量、业务协 议中断等)。当触发告警时,通过微信公众号、企业微信、钉钉、飞书、邮件或 SaaS 平台实时 推送通知,助力运维团队快速响应网络故障、安全威胁及业务 SLA 波动,实现从被动处理到主动预警的运维升级,保障关键业务连续性。
1.5.3 配置举例 1. 选择【系统告警】>【告警策略】>【添加策略】
2. 选择【系统告警】>【告警通知】>【开启告警通知】
3. 选择【系统告警】>【通知方式】>【选择通知方式】
4. 选择【系统告警】>【进行中事件】>【查看正在发生的告警事件】
5. 选择【系统告警】>【已结束事件】>【查看已经结束的告警事件】
2. 功能优化 2. 1 优化“ 网络接口 ”,展示输入数据包的“重复率 ” 优化数据可视化展示,在【系统概况】>【网络接口】中展示每个网络接口上输入数据包的重复率。
2.2 优化“数据包去重 ”,提高“分流策略 ”的性能。 通过优化识别算法,重复数据包的识别率得到显著提升,结合去重策略显著降低重传包、 镜像冗余流量对系统的干扰,为流量分析与安全审计提供更高精度、更低负载的数据基底。
3. BUG 修复 | 一级分类 | | | | | | | 修复“分流策略 ”中“数据包截断 ”后 的统计 bug。 | | | | 修复 NGTAP-8T8F6X 端口没有流量趋势 图的 bug。 | | | | 修复 NGTAP-24X 端口速率配置不生效 的 bug。 |
4. 应用识别 4.1 新增应用 | 一级分类 | | | | | | | | | | | | | | | | | | | | 糖豆广场舞平台使用 了云服务技术,将这部 分流量识别为“其他云 服务 ” | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
4.2 更新应用 | 一级分类 | | | | | | |
| |
| |
| |
| | |
| |
| |
| | | “汽水音乐 ”、“抖音下载 ”、 “抖音 ”特征相似,合并到 抖音特征里 | |
| | | |
| | |
| |
| |
| | | “AK 游戏加速 ”与“腾讯 网游加速 ”特征一致合并为 一个特征 | |
| | “biubiu 加速器 ”, “CC 加速器 ”的特征与“赛博加 速 ”一致合并为一个特征 | |
| | | |
| | |
| | |
|
| 
|Archiver|手机版|小黑屋|北京派网软件有限公司
( ICP备案序号:京ICP备14008283号 )
IP卡
狗仔卡
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡