操作目的
通过WATM发现网络中的未知应用流量,并此流量进行监控。了解此流量是哪些用户上网产生的。其主要原理是WATM可以对不可识别的流量进行端口流量的统计,用户通过端口去自定义应用来实现创建分类和流量控制的目的。
此应用对于判断用户网络中的未知病毒和未知上网行为颇有意义。
操作主步骤
| 1. | 查看应用流量的TOP10,发现未知流量。 |
| 2. | 将未知流量自定义为一个应用协议 |
| 3. | 添加一个针对自定义应用的分类并设定条件 |
| 4. | 查看监视结果并进行流量控制 |
具体操作
1.查看应用流量的TOP10,发现未知流量
1.1在IE界面输入WATM设备的管理地址http://192.168.2.244(此处是您设定的WATM管理地址),进入控制界面输入管理密码,初始安装默认密码“wsdom”,进入管理界面。
1.2进入管理界面后,点击“功能设置”=>“整个网络”=>“流量监视”,时间范围选择“当前小时”,展示内容选择“最活跃应用”。确定后即可展示最活跃应用图表。
1.3将展示的图表下拉,在表格展示区即可看出当前平均流量最大的进出双向TOP10流量,其中标记TCP-PORT和UDP-PORT即为未知应用流量。图中TCP-PORT-3093即为未知流量,记住此端口号。
注:点击“详情”可查看前100应用的进出流量。
2.将未知流量自定义为一个应用协议
2.1点击“单元设置”=>“自定义协议”=>“添加”,添加一个新的应用协议。
2.2在“添加协议”中,将名称输入为“定义3093”,协议选择“TCP”,端口号选择“3093”,不勾选优先级高于系统协议,确定即定义了此未知协议。
注:如果勾选优先级高于系统协议,那么一些系统已经识别的应用如果也经过3093这个端口,就会被优先识别为“定义3093”这个应用。
| 3? | 添加一个针对自定义应用的分类并设定条件 |
3.1在主功能“功能设置”=>“整个网络”=>“分类信息”=>“添加分类”,点确定添加未知流量监控的分类。
3.2添加分类窗口中,输入分类名称“未知3093”,分类优先级设为5。分类优先级越小越好,保证此未知流量被优先识别和监控。
3.3设置条件,点击“功能设置”=>“未知3093”=>“分类信息”=>“添加条件”,为未知3093分类添加合适的条件。
3.4条件的详细设置。条件名称“监控3093”,匹配方式选择满足全部条件,上级分类all,本地控制单元选择“所有本地地址”,远程控制单元选择“所有远端地址”,协议选择“自定义协议”中的“定义3093”,确定即设定条件。
4.查看监视结果并进行流量控制
4.1查看监视情况,点击“功能设置”=>“未知3093”=>“流量监视”。在监视条件中选择时间范围为“当前小时”,展示内容为“最活跃主机”,即可查看哪些IP在进行3093端口的流量以及流量的情况。
4.2进行流量的控制,点击“功能设置”=>“未知3093”=>“流量控制”=>“添加”,在添加规则窗口中,对3093的流量进行控制。此处设为不高于10Kbps。
综上,则实现对未知流量的监视和控制。
注意事项和技巧
1.对于P2P应用来说,其升级后流量控制设备的识别率会下降,所有有些端口未知流量过大则可能是P2P应用导致的。如果对某些端口进行控制后,其他端口流量又变大,那则肯定是新型的P2P应用。可提交相关信息给WSDOM获取帮助。P2P通常变端口都在10000以上。
2.对于病毒等应用来说,其流量一般很少在TOP10中展示,但会在TOP100中发现踪影。而且其端口往往在10000以内,所以需要高度重视。
3.5000以内的端口都具有特殊性,需要特别关注。有可能是自己网络中常用的私有应用。