流量分析使用方案
本文介绍如何在不同方案中配置流量分析后获取有关流量的见解。
查找流量热点
查找
- 哪些主机、子网、虚拟网络和虚拟机规模集正在发送或接收大部分流量、有最大恶意流量流过,以及阻止重要流?
- 检查主机、子网、虚拟网络和虚拟机规模集的比较图表。 了解哪些主机、子网、虚拟网络和虚拟机规模集正在发送或接收大部分流量可有助于确定正在处理大部分流量的主机,以及流量分布的设置是否正确。
- 然后,可以评估流量大小是否适合让某台主机来处理。 流量行为是否正常,或者是否需要进一步的调查?
- 有多少入站/出站流量?
- 主机预期收到的入站流量是否多过出站流量,或反之?
- 阻止的流量统计信息。
- 主机为何阻止大量良性流量? 对于此行为,需要进一步进行调查,并且可能需要对配置进行优化。
- 允许/阻止的恶意流量统计信息
主机为何接收恶意流量,为何允许来自恶意源的流? 对于此行为,需要进一步进行调查,并且可能需要对配置进行优化。
在“IP”下选择“查看全部”,如下图所示:
下图显示了对话最活跃的五台主机的时间趋势,以及主机的流相关详细信息(允许 - 入站/出站流,拒绝 - 入站/出站流):
如下图所示,在“通信量前 5 的 IP 的详细信息”下,选择“查看更多”,以获取有关所有主机的见解:
查找
对话最活跃的主机对有哪些?
- 预期行为(例如前端与后端之间的通信)或异常行为(例如后端与 Internet 之间的流量)。
允许/阻止的流量统计信息
- 主机为何允许或阻止大量的流量?
对话最活跃的主机对之间最常用的应用程序协议:
此网络中是否允许这些应用程序?
应用程序的配置是否正确? 它们是否使用适当的协议进行通信? 在“频繁的对话”下选择“查看全部”,如下图所示:
下图显示了最频繁的五个对话的时间趋势,以及流相关的详细信息,例如,某个对话对允许和拒绝的入站与出站流:
查找
环境中最常使用的应用程序协议是哪个,哪些对话主机对最常使用该应用程序协议?
此网络中是否允许这些应用程序?
应用程序的配置是否正确? 它们是否使用适当的协议进行通信? 预期行为是使用常用端口,例如 80 和 443。 如果为标准通信显示了任何非寻常端口,可能需要对端口进行配置更改。 在“应用程序端口”下选择“查看全部”,如下图所示:
下图显示了最常使用的五个 L7 协议的时间趋势,以及某个 L7 协议的流相关详细信息(例如,允许和拒绝的流):
查找
环境中 VPN 网关的容量利用率趋势。
- 每个 VPN SKU 允许特定的带宽量。 VPN 网关是否利用不足?
- 网关是否即将达到容量? 是否应升级到下一个更高的 SKU?
哪些主机的对话最活跃,它们通过哪个 VPN 网关和端口对话?
此模式是否正常? 在“VPN 网关”下选择“查看全部”,如下图所示:
下图显示了某个 Azure VPN 网关的容量利用率时间趋势,以及流相关的详细信息(例如允许的流和端口):
按地理位置可视化流量分布
查找
每个数据中心的流量分布,例如,向数据中心传送流量的最主要来源、与数据中心对话的最主要恶意网络,以及对话最活跃的应用程序协议。
如果发现数据中心的负载增加,可以规划高效的流量分布。
如果恶意网络在数据中心对话,请更正 NSG 规则以阻止这些网络。
在“你的环境”下选择“查看地图”,如下图所示:
使用地图顶部的功能区可以选择参数,例如数据中心(已部署/未部署/活动/非活动/已启用流量分析/未启用流量分析),以及向活动部署分配良性/恶意流量的国家/地区:
地图中显示了不同国家/地区和大洲在与数据中心通信时分配的流量情况,蓝线表示良性流量,红线表示恶意流量:
Azure 区域的“更多见解”边栏选项卡还显示该区域内剩余的总流量(即同一区域中的源和目标)。 此外,它还提供有关在数据中心的可用性区域之间交换的流量的见解
按虚拟网络可视化流量分布
查找
每个虚拟网络的流量分布、拓扑、向虚拟网络传送流量的最主要来源、与虚拟网络对话的最主要恶意网络,以及对话最活跃的应用程序协议。
了解哪两个虚拟网络正在对话。 如果对话不符合预期,可将其更正。
如果恶意网络正在与虚拟网络对话,可以更正 NSG 规则以阻止恶意网络。
在“你的环境”下选择“查看 VNet”,如下图所示:
使用虚拟网络拓扑顶部的功能区可以选择参数,例如虚拟网络的(虚拟网络连接之间/活动/非活动)、外部连接、活动流和虚拟网络的恶意流。
可以根据订阅、工作区、资源组和时间间隔筛选虚拟网络拓扑。 可以帮助你了解流的其他筛选器包括:流类型(InterVNet、IntraVNET,等等),流方向(入站、出站),流状态(已允许、已阻止)、VNET(已定向和已连接)、连接类型(对等互连或网关 - P2S 和 S2S)以及 NSG。 使用这些筛选器可以专注于你要详细观察的 VNet。
使用鼠标滚轮查看虚拟网络拓扑时,可以放大和缩小。 通过左键单击并移动鼠标,可以朝所需方向拖动拓扑。 还可使用键盘快捷方式来实现以下操作:A(向左拖动);D(向右拖动);W(向上拖动);S(向下拖动);+(放大);-(缩小);R(缩放重置)。
虚拟网络拓扑显示虚拟网络到流的流量分布(允许/阻止/入站/出站/良性/恶意)、应用程序协议和网络安全组,例如:
查找
每个子网的流量分布、拓扑、向子网传送流量的最主要来源、与子网对话的最主要未授权网络,以及对话最活跃的应用程序协议。
- 了解哪两个子网正在对话。 如果发现意外的对话,可以更正配置。
- 如果未授权网络正在与子网对话,可以配置 NSG 规则来阻止未授权网络,从而更正此行为。
使用子网拓扑顶部的功能区可以选择参数,例如活动/非活动的子网、外部连接、活动流和子网的恶意流。
使用鼠标滚轮查看虚拟网络拓扑时,可以放大和缩小。 通过左键单击并移动鼠标,可以朝所需方向拖动拓扑。 还可使用键盘快捷方式来实现以下操作:A(向左拖动);D(向右拖动);W(向上拖动);S(向下拖动);+(放大);-(缩小);R(缩放重置)。
子网拓扑显示虚拟网络与流相关的流量分布(允许/阻止/入站/出站/良性/恶意)、应用程序协议和 NSG,例如:
查找
每个应用程序网关和负载均衡器的流量分布、拓扑、最主要的流量来源、与应用程序网关和负载均衡器对话的最主要未授权网络,以及对话最活跃的应用程序协议。
了解哪个子网正在与哪个应用程序网关或负载均衡器对话。 如果观察到意外的对话,可以更正配置。
如果未授权网络正在与应用程序网关或负载均衡器对话,可以配置 NSG 规则来阻止未授权网络,从而更正此行为。
查看从 Internet 接收流量的端口和虚拟机
查找
- 哪些开放的端口正在通过 Internet 对话?
如果发现打开了意外的端口,可以更正配置:
查找
环境中是否存在恶意流量? 该流量源于何处? 该流量传往何处?
查看有关与部署交互的公共 IP 的信息
查找
- 哪些公共 IP 正在与我的网络通信? 什么是所有公共 IP 的 WHOIS 数据和地理位置?
- 哪些恶意 IP 正在向我的部署发送流量? 什么是恶意 IP 的威胁类型和威胁描述?
“公共 IP 信息”部分提供了网络流量中所有类型的公共 IP 的摘要。 选择感兴趣的公共 IP 类型以查看详细信息。 此架构文档定义了所提供的数据字段。
在流量分析仪表板上,选择任意 IP 可查看其信息
可视化 NSG/NSG 规则的触发趋势
查找
哪些 NSG/NSG 规则在比较图表中具有与流分布最多的命中数?
每个 NSG/NSG 规则的最常见源和目标对话对是什么?
下图显示了 NSG 规则的触发时间趋势,以及网络安全组的源-目标流详细信息:
快速检测哪些 NSG 和 NSG 规则在遍历恶意流,以及哪些是访问你的云环境的主要恶意 IP 地址。
查明哪些 NSG/NSG 规则在允许/阻止大量的网络流量
选择顶部的用于对 NSG 或 NSG 规则进行精细检查的筛选器