ในขณะที่อ่านเกี่ยวกับการวิเคราะห์ของ CISCO NetFlow ฉันได้คำศัพท์NAT Stitchingขึ้นมา
ฉันเข้าใจFlow Stitchingว่าการเชื่อมต่อขาเข้าและขาออกประเภทเดียวกันที่เข้าร่วม
แต่ไม่พบสิ่งใดที่ไม่ต่อเนื่องNAT Stitchingยกเว้นสิ่งต่อไปนี้
การต่อข้อมูล NAT: รวมข้อมูล NAT จากภายในไฟร์วอลล์ด้วยข้อมูลจากภายนอกไฟร์วอลล์เพื่อระบุว่า IP และผู้ใช้ภายในเครือข่ายใดรับผิดชอบการกระทำบางอย่าง
ดังนั้นวิธีการทำงานในรายละเอียด? มันเป็นกระบวนการ / โปรโตคอลหรือ NAT บางประเภทใช่หรือไม่
คำตอบ:
คุณต้องจำไว้ว่าโฟลว์ที่ใช้ NAT จะมีลักษณะเหมือนสองโฟลว์ที่ต่างกัน: โฟลว์ pre-NAT และโฟลว์ post-NAT นี่เป็นเพราะ NAT กำลังเปลี่ยนที่อยู่อย่างน้อยหนึ่งที่อยู่ในแพ็คเก็ต สิ่งนี้สามารถนำเสนอมุมมองที่ผิดเพี้ยนของการไหลของคุณ
ตามที่ซิสโก้อธิบายไว้แล้วการเย็บ NAT จะเชื่อมต่อการไหลแบบแยก (เพื่อให้เห็นได้ชัดเจน):
การส่งออก NetFlow จากอุปกรณ์ NAT จะเชื่อมต่อทั้งก่อนและหลังการไหลของ NAT ด้วยกัน
Cisco Press book NetFlow for Cybersecurityมีรายละเอียดเพิ่มเติม:
โซลูชัน StealthWatch ของ Lancope รองรับคุณสมบัติที่เรียกว่าการเย็บเครือข่ายการแปลที่อยู่ (NAT) การต่อข้อมูล NAT ใช้ข้อมูลจากอุปกรณ์เครือข่ายเพื่อรวมข้อมูล NAT จากภายในไฟร์วอลล์ (หรืออุปกรณ์ NAT) กับข้อมูลจากภายนอกไฟร์วอลล์ (หรืออุปกรณ์ NAT) เพื่อระบุที่อยู่ IP และผู้ใช้ที่เป็นส่วนหนึ่งของการไหลที่เฉพาะเจาะจง คุณสมบัติที่ยอดเยี่ยมของโซลูชัน StealthWatch คือความสามารถในการทำ“ การขจัดข้อมูลซ้ำซ้อนของ NetFlow” คุณลักษณะนี้ช่วยให้คุณสามารถปรับใช้ NetFlow collectors หลาย ๆ ตัวภายในองค์กรของคุณโดยไม่ต้องกังวลเกี่ยวกับการนับจำนวนสองหรือสามครั้ง