檢視次數:

將您的虛擬網路感測器實例配置為接收鏡像流量。

如需有關 AWS 中流量鏡像的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html
如果您在網路負載平衡器 (NLB) 後面部署虛擬網路感測器,則必須在設置流量鏡像之前創建負載平衡器
注意
注意
這些指示中的步驟截至一月 2024 年有效。

步驟

  1. 登入 AWS 管理控制台。
  2. 找到鏡像來源和虛擬網路感測器資料防護端口的Interface ID
    注意
    注意
    如果您在網路負載平衡器後面部署虛擬網路感測器,您創建的網路負載平衡器就是鏡像來源。您不需要查找網路負載平衡器的介面 ID。
    1. 訪問 EC2 資訊中心。
    2. 前往InstancesInstances
    3. 定位您想用作鏡像來源的實例,然後點選實例 ID。
    4. 前往Networking
    5. Network Interfaces清單上,複製您想用作鏡像來源的網路介面的Interface ID
    6. 前往InstancesInstances
    7. 找到您建立的虛擬網路感測器實例,然後點選Instance ID
    8. 前往Networking
    9. Network Interfaces清單上,複製虛擬網路感測器資料埠 (eth0) 的Interface ID
      秘訣
      秘訣
      如果您在設定實例時提供了描述,您可以使用描述而不是介面 ID 來定位網路介面。
  3. 訪問 VPC 資訊中心。
  4. 在頂部導航欄中,選擇Region,即您的實例部署所在的 VPC。
  5. 前往Traffic MirroringMirror filters
  6. 點選Create traffic mirror filter
  7. 配置Filter settings
    • Name tag:指定過濾器的唯一名稱。
      使用一個描述性且易於查找的名稱,例如 VirtualNetworkSensor-TrafficMirrorFilter
    • Description:指定篩選器的描述。
      使用清楚說明篩選器目的的描述,例如Virtual Network Sensor Traffic Mirror Filter
    • Network services:選擇amazon-dns
  8. Inbound rules部分,點選Add rule
  9. 配置新規規則。
    趨勢科技 建議使用以下詳細說明的允許規則集。添加額外的規則來限制流量可能會干擾虛擬網路感測器對您環境的可見性。

    資料埠流量鏡像過濾器的輸入規則

    選項
    設定
    說明
    Number
    100
    規則優先順序
    較低的規則編號具有優先權,並且會先被應用。
    Rule action
    接受
    對規則匹配採取的行動
    通訊協定
    所有協定
    應用此規則的通訊協定
    Source CIDR block
    0.0.0.0/0
    來源 IP 位址範圍(CIDR 格式)以套用規則
    Destination CIDR block
    0.0.0.0/0
    目標 IP 位址範圍(CIDR 格式)以套用規則
    Description
    鏡像所有輸入流量。
    規則的描述
  10. Outbound rules部分,點選Add rule
  11. 配置新規規則。
    趨勢科技 建議使用以下詳細說明的允許規則集。添加額外的規則來限制流量可能會干擾虛擬網路感測器對您環境的可見性。

    資料埠流量鏡像過濾器的輸出規則

    選項
    設定
    說明
    Number
    100
    規則優先順序
    較低的規則編號具有優先權,並且會先被應用。
    Rule action
    接受
    對規則匹配採取的行動
    通訊協定
    所有協定
    應用此規則的通訊協定
    Source CIDR block
    0.0.0.0/0
    來源 IP 位址範圍(CIDR 格式)以套用規則
    Destination CIDR block
    0.0.0.0/0
    目標 IP 位址範圍(CIDR 格式)以套用規則
    Description
    鏡像所有輸出流量。
    規則的描述
  12. 點選Create
    建立鏡像過濾器需要一些時間才能完成。完成後,點選關閉
  13. 前往Traffic MirroringMirror targets
  14. 點選Create traffic mirror target
  15. 配置Target settings
    • Name tag:為目標設定指定一個唯一的名稱。
      使用描述性且易於查找的名稱,例如 VirtualNetworkSensor-TrafficMirrorTarget
    • Description:為目標指定描述。
      使用清楚說明篩選器目的的描述,例如Virtual Network Sensor Traffic Mirror Target
  16. 配置Choose target
    • 對於正常部署,請使用以下配置:
      1. 對於Target type,選擇Network Interface
      2. Target指定資料防護埠介面 ID或按網路介面描述進行搜尋。
    • 若要在網路負載平衡器後面部署,請使用以下配置:
      1. 對於Target type,選擇Network Load Balancer
      2. Target指定您創建的網路負載平衡器
  17. 點選Create
    建立鏡像目標需要一些時間才能完成。完成後,點選關閉
  18. 前往Traffic MirroringMirror session
  19. 點選Create traffic mirror session
  20. 配置Session settings
    • Name tag:為鏡像會話指定一個唯一的名稱。
      使用一個描述性且易於查找的名稱,例如 VirtualNetworkSensor-TrafficMirrorSession
    • Description:指定鏡像會話的描述。
      使用清楚說明會議目的的描述,例如Virtual Network Sensor Traffic Mirror Session
    • Mirror source:指定 鏡像來源介面 ID
    • Mirror target:指定您創建的鏡像目標名稱
  21. 配置Additional settings
    為獲得最佳效果,趨勢科技 建議使用以下設定。您可以調整這些設定以最佳符合您安全環境的需求。

    流量鏡像會話的其他設定

    選項
    設定
    說明
    Session number
    1
    會話優先順序
    會話編號決定在以下情況下評估流量鏡像會話的順序:
    • 當介面被多個會話使用時
      當介面被不同的流量鏡像目標和流量鏡像過濾器使用時
    流量僅鏡像一次,因此請使用建議的設定以確保最高優先級。
    VNI
    留空
    唯一的VXLAN網路識別碼
    留空以允許 AWS 指派隨機數字。
    如果您希望手動指定 VXLAN,請參閱 https://tools.ietf.org/html/rfc7348
    Packet length
    留空
    每個封包中要鏡像的位元組數量
    留空以允許鏡像整個封包。
    指定一個數字將封包長度限制為指定的位元組數。例如,設置為100僅在VXLAN標頭之後傳輸封包的前100位元組。
    Filter
    選擇您建立的流量鏡像過濾器
    鏡像會話使用的流量鏡像過濾器
  22. 點選Create
    建立鏡像會話需要一點時間完成。完成後,虛擬網路感測器將開始監控鏡像流量。