Acerca de NetFlow

En Fireware v12.3 o superior, puede configurar el Firebox como un exportador de NetFlow para obtener más información sobre su tráfico de red. Por ejemplo, puede utilizar los datos de NetFlow para resolver problemas de rendimiento de la red o investigar problemas de seguridad. NetFlow es un protocolo que se utiliza para recolectar y analizar el tráfico de red IP.

Cuando configura NetFlow en el Firebox, especifica las interfaces que se van a monitorizar. También especifica la dirección IP de un servidor conocido como colector. El Firebox monitorea las interfaces seleccionadas y envía flujos de datos conocidos como registros de flujo de red al colector para su análisis. El colector ejecuta una aplicación de terceros que utiliza el protocolo NetFlow para registrar y analizar el tráfico de red. Muchas aplicaciones de terceros admiten el protocolo NetFlow. El Firebox en sí mismo no muestra ni analiza los registros de flujo.

En el Firebox, puede seleccionar monitorizar el tráfico de entrada, que es el tráfico que llega a una interfaz. Para el tráfico de paso, el Firebox monitorea el tráfico bidireccional si selecciona monitorizar tanto las interfaces de entrada como de salida. En Fireware v12.5 o superior, también puede seleccionar la monitorización del tráfico de salida, que es el tráfico que sale de una interfaz.

Puede seleccionar monitorizar el tráfico generado por el Firebox (generado automáticamente), que es el tráfico de salida generado por el propio Firebox. En el Fireware v12.5 o superior, también se puede seleccionar la monitorización del tráfico destinado al propio Firebox.

Las interfaces físicas, VLAN, de puente, inalámbricas y de agregación de enlaces son compatibles en todas las zonas (De confianza, Externas, Opcionales y Personalizadas).

Para más información sobre el protocolo NetFlow, consulte RFC 3954.

Para configurar NetFlow en el Firebox, consulte Configurar NetFlow.

Para configurar el NetFlow en el colector, consulte nuestras Guías de Integración o la documentación proporcionada por su servicio de colector NetFlow.

Flujos y Registros de Flujo

Un flujo neto o flujo, consiste en paquetes que comparten estos atributos:

Interfaz
Dirección IP de origen
Dirección IP de destino
Protocolo IP
Puerto de origen
Puerto de destino
Tipo de Servicio (ToS)

El Firebox exporta un registro de flujo al colector después de que el flujo termina. Un registro de flujo contiene información granular sobre el flujo, que incluye:

Sellos de tiempo para el comienzo y el final del flujo
Número de bytes y paquetes en el flujo
Índice de la interfaz de entrada y salida
Información del encabezado de la capa 3
Información de enrutamiento de la capa 3

Un flujo puede terminar normal o anormalmente. Un flujo termina normalmente si:

Aparece un nuevo tráfico para un flujo, que restablece el temporizador de envejecimiento
La sesión TCP termina
El flujo excede el Valor de Tiempo de Espera del Flujo Activo

El Tiempo de Espera del Flujo Activo es la cantidad de tiempo que una conexión activa debe esperar antes de que se termine. En la configuración de Firebox NetFlow, recomendamos que especifique un valor de Tiempo de Espera de Flujo Activo que sea inferior al valor de Tiempo de Espera de Flujo Activo del colector. Esto ayuda a evitar la pérdida de datos. Si el valor de Tiempo de Flujo Activo es menor en el colector, éste podría dejar de escuchar mientras el Firebox está enviando datos. De forma predeterminada, el valor de Tiempo de Flujo Activo en el Firebox es de 1800 segundos.

Fireware admite las versiones V5 y V9 de NetFlow. Para monitorizar el tráfico IPv6 y ver las direcciones IP posteriores a NAT en los registros de flujo, debe usar V9.

Direcciones IP Posteriores a NAT

En Fireware v12.7.1 o superior, las direcciones IP para eventos NAT y NAT-T (NAT traversal) aparecen en los registros de flujo si selecciona V9 en la configuración de Firebox NetFlow.

En el registro de flujo, X-Src y X-Dst indican las direcciones posteriores a NAT de origen y destino. Puede utilizar eventos NAT para identificar qué clientes de la red local generaron tráfico.

Tráfico de Egreso

Para capturar el tráfico que sale de una interfaz, puede seleccionar la opción Egresar en Fireware v12.5 o superior.

Por ejemplo, si tiene un interruptor interno sin NetFlow, habilite la salida de NetFlow en la interfaz interna de Firebox a la que se conecta el interruptor. Esto captura el tráfico que sale de la interfaz interna del Firebox, que incluye el tráfico enviado al interruptor.

Duplicar Datos

En el Firebox, si selecciona tanto Ingreso como Egreso para múltiples interfaces, tenga en cuenta que podría recolectar datos duplicados de NetFlow.

Para evitar la duplicación de datos, seleccione Entrada o Egreso, pero no ambos.

Seguridad

El Firebox envía los registros de flujo al colector con UDP. La información en un flujo aparece en texto transparente. No hay autenticación entre el Firebox y el colector, y el transporte de paquetes no está cifrado.

Asegúrese de que la red entre el Firebox y el colector sea de confianza. Si el Firebox debe atravesar una red menos segura o Internet, le recomendamos que utilice una VPN para proteger los datos de NetFlow.

Impacto en el Rendimiento

NetFlow puede disminuir el rendimiento y la tasa de conexión de su Firebox debido a los recursos necesarios para recolectar y registrar los flujos. Para reducir los impactos en el rendimiento, limite el número de interfaces que monitoriza.

Para redes de empresas a gran escala, o si el Firebox está bajo una carga significativa, también puede considerar el modo de muestreo. En el modo de muestreo, el Firebox selecciona aleatoriamente 1 de cada n paquetes para muestrear. Por ejemplo, si se especifica un modo de Muestreo de 100, el Firebox muestrea 1 de cada 100 paquetes.

El modo de muestreo es menos preciso porque no todos los paquetes son muestreados. Por esta razón, no recomendamos el modo de Muestreo para las redes pequeñas.

Soporte del FireCluster

En un FireCluster activo/pasivo, NetFlow opera solo en el miembro activo del clúster.

En un FireCluster activo/activo, NetFlow opera en ambos miembros del clúster. Un flujo solo es monitorizado por el miembro del clúster que es propietario del flujo.

La comunicación entre los miembros del FireCluster no es monitorizada.

Restricciones

Las interfaces virtuales BOVPN y las interfaces de bucle invertido no son compatibles.

Si una interfaz física recibe solo paquetes VLAN etiquetados, esa interfaz no aparece en la lista de interfaces de la configuración de NetFlow. En su lugar aparece la interfaz VLAN que corresponde a esos paquetes VLAN etiquetados.

Puede configurar todos los ajustes de NetFlow excepto los de la interfaz en una plantilla de configuración.

Guías de Integración

Proporcionamos estas guías para ayudarle a integrar el Firebox con los servicios NetFlow de terceros:

Resolución de problemas

Para resolver los problemas de NetFlow, le recomendamos que utilice una herramienta de captura de paquetes para verificar que el Firebox está enviando tráfico. Si el Firebox está enviando tráfico, consulte la documentación proporcionada por su servicio de colector NetFlow para resolver los problemas del colector.

Ver También

Configurar NetFlow

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.