nProbe™ Cento
nProbe™Cento是一款高速NetFlow探针,能够保持1/10/100 Gbit的速度。nProbe™Cento不仅是快速的Netflow探针,还被设计为模块化监视系统的第一个组件:除了捕获入口数据包和计算流数据之外,它还可以用于通过DPI(深度数据包检测)对流量进行分类。当与其他应用程序(例如IPS / IDS,流量记录器等)一起用作流量转发器时,对选定的数据包/流执行可选操作。
特征
NetFlow v5 / v9 / IPFIX支持
流导出到JSON,文本,Kafka,Syslog,ntopng
IPv4和IPv6支持
本地PF_RING和PF_RING ZC支持高速数据包处理
支持Accolade,Intel,Myricom,Napatech 10/40/100 Gbit NIC和Silicom / Fiberblaze 10/100 Gbit NIC
可扩展的多线程设计,入口流量可以在多核架构上跨多个流进行负载均衡
使用nDPI(深度数据包检查)或micro-nDPI(支持HTTP / HTTPS / DNS等最重要协议的轻量级DPI库)的第7层应用程序可见性,以提高性能
基于流的负载均衡到IDS / IPS(Snort,Bro,Suricata)
基于协议的流量过滤,减少IDS的负担
来自IPS的流量过滤/分流的反馈通道:“转发此流”,“丢弃此流”,“通过IPS转移此流”
流量过滤和切片可节省存储空间,从而在将流量转发到数据包到磁盘应用程序(例如n2disk)时删除无意义的数据
应用案例
nProbe nProbe™Cento可以用于多种配置。以下是可能用例的详细列表:
探针和流量导出器
cento -i zc:eth1 --v9 192.168.1.200:2055
探针和ntopng数据源
cento -i eth0 --zmq tcp://192.168.1.2:5556
ntopng --zmq-collector-mode -i tcp://192.168.1.2:5556
全双工网络TAP聚合器和流导出器
cento -i eth1,eth2 --v9 192.168.1.200:2055
具有第7层索引的探测和流量记录
cento-ids -i zc:eth1 --aggregated-egress-queue --egress-conf egress.example --dpi-level 2 -v 4
n2disk -i zc:10@0 -o /storage --index --index-version 2 --timeline-dir /storage
具有第7层分流/过滤功能的IDS探针和流量均衡器
cento-ids -i zc:eth1 --v9 127.0.0.1:1234 --balanced-egress-queues 2 --egress-conf egress.conf
cat egress.conf
[egress.balanced.protocol]
SSL = shunt
YouTube = discard
suricata --pfring-int=zc:10@0 --pfring-int=zc:10@1 -c /etc/suricata/suricata.yaml --runmode=workers
具有第7层过滤功能的探针和内联流量桥
cento-bridge -i zc:eth1,zc:eth2 --bridge-conf bridge.example --banned-hosts banned.example --dpi-level 2
nProbe™与nProbe™Cento
如果您想知道nProbe和nProbe Cento之间的区别,可以阅读此页面以获取详细信息
性能
nProbe™Cento旨在在商品硬件上保持1/10/100 Gigabit速度。在足够的硬件上,nProbe™Cento能够处理每个物理核心10 Gbit,并可以线性地扩展核心数量(只要有足够的可用内存带宽),如下图所示。
