您可以标记网络上的流量,以便使用 NTA 应用程序库轻松管理流量,将其与特定服务或应用程序关联,并在 NOC 仪表板和详细报告中进行识别。如果两个不同的服务正在使用同一端口,或者同一应用程序的不同服务实例在单独的网段或子网上运行,也可以标记流量。

提示: 应用这些标记后,可以通过查看前 n 个应用程序前 n 个会话报告来检查您的源是否观察到了符合这些规则的流量。相反,这些应用程序映射将从未分类流量报告中删除项目。

使用端口 8383 定义两个服务的应用程序库规则(通过端口过滤器设置为“ 8383”查看)

NTA 应用程序使您可以基于以下方式标记网络流量:

  • 在使用中观察到的传输协议(TCP、UDP、SCTP、DCCP)。
  • 使用中观察到端口。
  • 将其观察到的网络、网段或子网。

使用 NTA 应用程序库中定义的映射

NTA 应用程序库已经完全预填充了更常见的应用程序到端口和传输协议的关联,其中许多是 IETF知名端口定义(应用 IETF标准机构并带有特定端口号的公司列表)中描述的更通用的应用程序。

使用自定义映射

如果您想提供比使用默认 NTA 应用程序关联所关联的标签更具体的标签,则还可以在整个网络或子网之间进行覆盖,或者为不同的传输协议(例如,UDP 与 TCP)对其重新定义。

重要: 每当您指定与子网的端口关联(NTA 应用程序)时,NTA 都会覆盖指定子网范围内的数据的所有全局范围实例(未指定子网的关联)。

添加端口映射:

  1. 打开 NTA 应用程序库(设置 > 网络流量分析 >NTA 应用程序)。

    将显示“NTA 应用程序库”对话框。

  2. 单击“添加”或选择现有定义,然后单击“编辑”。
    • 应用程序。输入要与该端口关联的名称/标签。示例:Apache Tomcat。
    • 端口或范围。添加端口或范围。示例:8088
    • TCP/UDP/SCTP/DCCP。预计的传输协议(选择一种)。示例:TCP
    • 子网。若希望这些规则只适用于某些网段,则添加子网 IP。
      重要: 您必须使用 CIDR 表示法指定子网。例如,要在192.0.2.x 网络部分内指定主机流量,必须提供一个类似于192.0.2.0/24的范围。此值适用于 IP 地址范围 192.0.2.0 至 192.0.2.255。
  3. 添加更多端口,然后单击保存,或只单击保存
  4. 针对您应用的映射,检查报告数据,例如前 n 个应用程序前 n 个对话报告。相反,这些应用程序映射将从未分类流量报告中删除项目。

指定特定子网的应用程序(显示 IMail WebUI 的端口)

最佳实践:仅在特定子网的流中看到的关联应用程序(端口)

覆盖或为知名的端口/应用程序关联应用更特定的应用程序标记时,最佳实践是在 NTA 应用程序库中以最低必要范围(子网级别)执行此操作,然后将此更改记录为网络操作的一部分。

已指定子网

已指定端口

行为

192.0.2.0/24

8383 (iMail Admin UI)

在 NTA 报告和仪表板中,只有在特定子网中看到的流量才会被 Ipswitch iMail Admin UI 应用程序标记。该子网范围之外和其他知名端口关联之外的其他流量将被视为未分类

注: 如果未指定子网,则 NTA 应用程序端口关联将变为全局。换句话说,它将应用于所有 NTA 流量。

全局范围案例:未指定子网

已指定子网

已指定端口

行为

8383 (Ipswitch iMail admin)

在 NTA 报告和仪表板中,所有检测到的流量将用 Ipswitch iMail Admin 应用程序标记。

注: 如果未指定端口,则 NTA 应用程序端口关联将变为全局。换句话说,它将应用于所有 NTA 流量。
注: 当源端口和目标端口不属于众所周知的端口,或在“应用程序库”中未分类时,网络流量分析将网络流量视为“未分类”。
提示: 对于大型网段,请利用一般 NTA 应用程序规则(例如,端口 8383 = TCP)。然后为同一端口添加特定规则,并在有意义的情况下调整某些子网的端口标识(例如,对于较小的网段,子网=192.0.2.0/24上的端口= 8383 可以标记为 Ipswitch IMail)。