Dans Fireware v12.3 et versions ultérieures, vous pouvez configurer le Firebox en tant qu'exportateur NetFlow pour obtenir plus d'informations sur votre trafic réseau. Par exemple, vous pouvez utiliser les données NetFlow pour résoudre des problèmes de performances réseau ou enquêter sur des problèmes de sécurité. NetFlow est un protocole utilisé pour collecter et analyser le trafic réseau IP.
Lorsque vous configurez NetFlow sur votre Firebox, vous spécifiez les interfaces à surveiller. Vous spécifiez également l'adresse IP d'un serveur appelé collecteur. Le Firebox surveille les interfaces sélectionnées et envoie des flux de données appelés enregistrements de flux net au collecteur pour qu'il les analyse. Le collecteur exécute une application tierce qui utilise le protocole NetFlow pour enregistrer et analyser le trafic réseau. De nombreuses applications tierces prennent en charge le protocole NetFlow. Le Firebox lui-même n'affiche ni n'analyse aucun enregistrement de flux.
Sur le Firebox, vous pouvez choisir de surveiller le trafic entrant, qui est le trafic qui arrive sur une interface. Pour le trafic en transit, le Firebox surveille le trafic bidirectionnel si vous choisissez de surveiller les interfaces entrantes et sortantes. Dans Fireware v12.5 et versions ultérieures, vous pouvez également choisir de surveiller le trafic de sortie, qui est le trafic qui sort d'une interface.
Vous pouvez choisir de surveiller le trafic généré par le Firebox (auto-généré), qui est le trafic sortant généré par le Firebox lui-même. Dans Fireware v12.5 et versions ultérieures, vous pouvez également choisir de surveiller le trafic destiné au Firebox lui-même.
Les interfaces physiques, VLAN et sans fil ainsi que les interfaces de pont et d'agrégation des liaisons sont prises en charge dans toutes les zones (Approuvées, Externes, Facultatives et Personnalisées).
Pour plus d'informations sur le protocole NetFlow, consultez la RFC 3954.
Pour configurer NetFlow sur le Firebox, consultez Configurer NetFlow.
Pour configurer NetFlow sur le collecteur, consultez nos Guides d'Intégration ou la documentation fournie par votre service de collecteur NetFlow.
Flux et enregistrements de flux
Un flux net, ou flux, se compose de paquets qui partagent les attributs suivants :
- Interface
- Adresse IP Source
- Adresse IP de destination
- protocole IP
- Port source
- Port de destination
- Type de Service (ToS)
Le Firebox exporte un enregistrement de flux vers le collecteur une fois le flux terminé. Un enregistrement de flux contient des informations granulaires sur le flux, notamment :
- L'horodatage du début et de fin du flux
- Le nombre d'octets et de paquets dans le flux
- L'index d'interface d'entrée et de sortie
- Les informations d'en-tête de couche 3
- Les informations de routage de couche 3
Un flux peut se terminer normalement ou anormalement. Un flux se termine normalement si :
- Un nouveau trafic apparaît pour un flux, ce qui réinitialise le minuteur
- La session TCP se termine
- Le flux dépasse la valeur de Délai de Flux Actif
Le Délai de Flux Actif est la durée pendant laquelle une connexion active doit attendre avant de se terminer. Dans la configuration NetFlow du Firebox, nous vous recommandons de spécifier une valeur Délai de Flux Actif inférieure à la valeur Délai de Flux Actif du collecteur. Ceci permet d'éviter la perte de données. Si la valeur Délai de Flux Actif est inférieure sur le collecteur, le collecteur risque de cesser d'écouter pendant que le Firebox continue d'envoyer des données. Par défaut, la valeur Délai de Flux Actif sur le Firebox est de 1 800 secondes.
Fireware prend en charge les versions NetFlow V5 et V9. Pour surveiller le trafic IPv6 et afficher les adresses IP post-NAT dans les enregistrements de flux, vous devez utiliser la V9.
Adresses IP Post-NAT
Dans Fireware v12.7.1 et les versions ultérieures, les adresses IP des événements NAT et NAT-T (parcours NAT) figurent dans les enregistrements de flux si vous sélectionnez V9 dans la configuration NetFlow du Firebox.
Dans l'enregistrement de flux, X-Src et X-Dst indiquent les adresses post-NAT source et de destination. Vous pouvez utiliser les événements NAT de manière à identifier les clients du réseau local ayant généré du trafic.
Trafic de sortie
Pour capturer le trafic qui sort d'une interface, vous pouvez sélectionner l'option Sortie dans Fireware v12.5 et versions ultérieures.
Par exemple, si vous disposez d'un commutateur interne sans NetFlow, activez la sortie NetFlow sur l'interface interne du Firebox à laquelle le commutateur se connecte. Cela capture le trafic qui sort de l'interface interne du Firebox et contient le trafic envoyé au commutateur.
Données en double
Sur le Firebox, si vous sélectionnez à la fois Entrée et Sortie pour plusieurs interfaces, sachez que vous risquez de collecter des données NetFlow en double.
Pour éviter les données en double, sélectionnez Entrée ou Sortie, mais pas les deux.
Sécurité
Le Firebox envoie des enregistrements de flux au collecteur par UDP. Les informations d'un flux apparaissent en texte clair. Il n'y a pas d'authentification entre le Firebox et le collecteur, et le transport de paquets n'est pas chiffré.
Assurez-vous que le réseau entre le Firebox et le collecteur est approuvé. Si le Firebox doit transiter par un réseau moins sécurisé ou par Internet, nous vous recommandons d'utiliser un VPN pour protéger les données NetFlow.
Impact sur les Performances
NetFlow peut réduire le débit et la vitesse de connexion de votre Firebox en raison des ressources requises pour collecter et enregistrer les flux. Pour réduire l'impact sur les performances, limitez le nombre d'interfaces que vous surveillez.
Pour les réseaux d'entreprise à grande échelle, ou si le Firebox est soumis à une charge importante, vous pouvez également envisager le mode Échantillonnage. En mode Échantillonnage, le Firebox sélectionne au hasard un paquet sur n à échantillonner. Par exemple, si vous spécifiez un mode Échantillonnage de 100, le Firebox échantillonne un paquet sur 100.
Le mode Échantillonnage est moins précis car tous les paquets ne sont pas échantillonnés. Pour cette raison, nous ne recommandons pas le mode Échantillonnage sur les petits réseaux.
Prise en charge de FireCluster
Sur un FireCluster actif/passif, NetFlow fonctionne uniquement sur le membre actif du cluster.
Sur un FireCluster actif/actif, NetFlow fonctionne sur les deux membres du cluster. Un flux est uniquement surveillé par le membre du cluster qui possède le flux.
La communication entre les membres d'un FireCluster n'est pas surveillée.
Restrictions
Les interfaces virtuelles BOVPN et les interfaces de bouclage ne sont pas prises en charge.
Si une interface physique ne reçoit que des paquets VLAN marqués, cette interface n'apparaît pas dans la liste des interfaces de la configuration NetFlow. L'interface VLAN qui correspond à ces paquets VLAN marqués apparaît à la place.
Vous pouvez configurer tous les paramètres NetFlow d'un modèle de configuration à l'exception des paramètres d'interface.
Guides d'Intégration
Nous fournissons ces guides pour vous aider à intégrer le Firebox à des services NetFlow tiers :
- Guide d'Intégration de Firebox NetFlow et Plixer Scrutinizer
- Guide d'Intégration de Firebox NetFlow et PRTG
- Guide d'Intégration de Firebox NetFlow et SolarWinds NetFlow Traffic Analyzer
Dépannage
Pour résoudre les problèmes NetFlow, nous vous recommandons d'utiliser un outil de capture de paquets pour vérifier que le Firebox envoie du trafic. Si le Firebox envoie du trafic, consultez la documentation fournie par votre service collecteur NetFlow pour dépanner le collecteur.