IPFIX 101: The Lowdown on The NetFlow Upgrade
IPFIX 或 IP 流量紀錄導出,是網路工程師和網路安全專家用來描述通過使用標準方法,生成Metadata元數據來描述Flow - 網路流量紀錄 – 以方便分析網路流數據的過程的技術術語。IPFIX 可用於建立典型的網路行為模式,以便檢測異常活動。大多數業內人士將 IPFIX 稱為 NetFlow,因為這兩種技術非常相似,但是,我們認為有一些關鍵差異突出了 IPFIX 是一個 NetFlow 升級版的原因。
貴公司的網路需要高層次可視化嗎? 歡迎使用 IPFIX。
什麼是IPFIX?
IPFIX 是由 Internet 工程任務組 (IETF) 開發的標準,目的是擴展 NetFlow v9,以用於收集和分析關鍵網路數據的更靈活的解決方案。IPFIX 協議使用與 NetFlow 非常相似的過程來導出網路流量數據,但是,IPFIX 的設計具有額外的可擴展性,被認為是該協議的「升級」版本。
IPFIX 相關用語
IPFIX 使用一組獨特的專有名詞,大多數網路專家可能都熟悉這些術語,以下先加以說明:
- Metadata 元數據指的是一組資料庫可以輕鬆使用的資訊子集合,例如來源 IPv4 地址,而不需要解析讀取整個網路封包來取得。
- Flow Record 流量紀錄(或稱為流 - Flow)是指網路層通訊的兩個端點間的完整網路對話,通常以Metadata元數據格式表示。Flow可以是雙向的(如同對話的雙方 - 說和聽),也可以是單向的(從一個端點與另一個端點交談的角度來看 – 只說不聽、已讀不回)。
- Template 模板是一組賦予編號的格式,此格式是以 IPFIX的流量記錄編碼過的資料集。每筆流量紀錄中的Template ID表示該筆Flow Record的結構是由該模板的資料集組成。
- Exporter 導出器是一種裝置,可以從網路封包串流中,建立 IPFIX 流量紀錄(請參閱Metering計量定義)的設備。
- Metering 計量是從網路封包串流來建立 IPFIX 流量記錄的過程。通常是由 IPFIX Exporter導出器執行流量計量。
- Collector 收集器是接收Flow Record流量記錄,以進行分析的系統或設備。
IPFIX 如何運作?
IPFIX 使用一組預先確定的協議將網路流量記錄導出到“Collector收集器”,然後由收集器進一步細分和分析數據,以產生對網路行為的準確和即時的分析。這些協議很有彈性而且可以自行定義,用以捕捉用戶所最關心的資訊,因此您始終可以查看最關鍵的網路流量紀錄資訊。使用這項技術,單個 IPFIX“導出器Exporter”可以將IPFIX流量紀錄發送給多個收集器,反之,每個收集器也可從多個導出器接收IPFIX流量紀錄。
IPFIX 與 NetFlow v9 的比較
為什麼 IPFIX 是一項對 NetFlow 的升級? 以下是 IPFIX 比NetFlow v9(其前身)新增的特點:
- NetFlow v9 支持大約 100 個標準元素(資料欄位),而 IPFIX 提供近 500 個,包括所有 NetFlow 元素。
- IPFIX具備加入Vendor-specific資訊的延伸欄位的彈性。
- IPFIX支援可自行定義的Template模板,允許用戶從近500個元素(資料欄位)中,選擇要包含在傳輸的流量紀錄中的元素。NetFlow 對自定義的支援度非常侷限。
- IPFIX 提供可變長度字段,這在導出 URL、DNS 或 HTTP 主機名等原始數據時非常有用。
- 自定義輸入供應商 ID 以允許將專有信息放置在流量記錄Flow Record中。
- 在極高強度的網路安全監控應用中,提高 IPFIX 的保真度 - 導出非取樣的流量數據非常重要。
- 與 NetFlow v9 相比,IPFIX 提供了更高的靈活性一點也不為過。
持平來說,使用IPFIX雖然增加了靈活性,但有時會帶來相容性的問題。市面上幾乎所有的標準Collector收集器和分析工具,通常都只支援 NetFlow 的窘境,這使得能選用的分析工具已成定局。這一點需要靠時間、市場和長遠的規劃與投資來解決。
立即使用 IPFIX 提高您的網路安全性
對於您的組織降低風險和簡化工作流程,全面的網路監控和安全解決方案至關重要,NetQuest 可以提供幫助。 IPFIX 是我們的一項關鍵技術,我們提供高效能的解決方案,可生成 IPFIX 流量記錄並將其導出到其他工具以進行詳細分析。請參考我們的OMX3200高頻寬流量感測計量器,以及在需要高強度的資安監控應用中,它如何能同時具備支援高可擴充性的網路流量分析。