Cisco Stealthwatch安裝評估

最近的工作主要集中在了測試cisco的stealthwatch裝置上。因為是評估測試，摸著石頭過河。

思科stealthwatch利用 netflow 來監控網路、資料中心、分支機構和雲環境，其高階安全分析功能可發現對擴充套件網路的隱秘攻擊。stealthwatch可利用現有的網路作為安全感測器和執行器，大幅增強威脅防禦能力。最大的優勢在於，搭配完整後的這套系統可以實現加密流量分析。簡單說，就是內網流量監控分析產品。

首先這套系統由三部分構成。stealthwatch flow sensor（簡稱fs），stealthwatch flow collector（簡稱fc），stealthwatch management console，（簡稱smc）。

思科官方提供的解決方案有兩種：使用物理裝置來構建stealthwatch，也可以通過安裝虛擬應用來構建。本文選擇使用虛擬應用的方式。官方推薦的虛擬構建方案有vmware vsphere和kvm兩種方式，這裡選擇了前者。對於vmware vsphere，stealthwatch的映象支援v6.0及以後的版本。

首先安裝esxi系統，這是vmware vsphere方案的基礎。

燒錄好一張光碟，直接引導安裝。這裡使用esxi 6.5。

安裝完成之後，給esxi設定乙個ip。

然後在web端通過設定好的ip即可訪問esxi。

建立新的虛擬機器，選擇從ofv匯入映象，基本一路使用預設選項。上傳到esxi之後，完成之後會開啟並執行，停止在初次配置介面，配置ip、子網掩碼、廣播位址、閘道器。確認配置資訊之後，系統會自動重啟，接下來訪問前面配置的ip位址，在web介面進一步配置dns、時間伺服器、修改密碼等。確定配置後自動重啟。

最後使用設定好的賬號和密碼重新登入，在「configuration」-「management systems configuration」中勾選「accept connections from any management system」，允許接收所有的管理系統的連線。（或者自定義配置）

flow sensor顧名思義，像是乙個網路資料的感測器。一般應用場景：部署在防火牆之前。監控對或嘗試對防火牆造成威脅的通訊；部署在防火牆之後。監控是否有防火牆的繞過發生；部署在敏感區域的匯聚點，防止內部有高許可權的人員造成內部威脅。

該機器主要是作為管理工具。部署的順序應當在fc和fs之後，因為它配置時需要填寫前兩者的資訊，並進行關聯。

建立新的虛擬機器，選擇從ofv匯入映象，基本一路使用預設選項。上傳到esxi之後，完成之後會開啟並執行，停止在初次配置介面，配置ip、子網掩碼、廣播位址、閘道器。確認配置資訊之後，系統會自動重啟，接下來訪問前面配置的ip位址，在web介面進一步配置dns、時間伺服器、修改密碼等。

然後配置要關聯fc和fs，設定警報接收的郵箱，設定snmp等等操作。最後重啟完成配置。

通過虛擬路由器，將三個管理ip連線在一起，對映給乙個物理網絡卡1。然後再新建乙個虛擬路由器，將fs監控流量的介面對映給另乙個物理網絡卡2，將要監聽的流量發向物理網絡卡2。

安裝好虛擬機器之後，不要再去安裝vmware tools，這麼做會破壞掉原本整合的工具。

至此，基本的搭建就完成了。

esxi 6.5在使用ovf方式部署的時遇到了乙個問題

，stealthwatch提供ovf不被esxi識別。開啟瀏覽器除錯工具，然後命令偵錯程式下檢視究竟發生了什麼問題。錯誤出現在main.js的331行，意思是在分配儲存的時候，無法識別標籤的references標籤，導致安裝過程卡在分配儲存空間的地方沒有辦法推進。

通過比對vmware workstation pro產生的ovf，最後確定這個問題是vmware自家產品不相容造成的。esxi中驗證資料的js指令碼只能識別特定的ovf檔案。

解決辦法：

先將虛擬機器匯入到vmware workstation pro

，然後再將其匯出，產生乙個新的ovf，這個新的ovf對esxi來說是可用的。

一種是流量接入的不對，確認接入的資料口無誤。

另一種是在執行一段時間後沒有資料的情況，需要重啟一下smc，資料面板就恢復了。

Cisco Stealthwatch安裝評估

Android 呼叫已安裝市場，去應用市場評分

原創搞笑的「雙評」，真正的「雙評」

迎評創優活動

Cisco Stealthwatch安裝評估

Android 呼叫已安裝市場，去應用市場評分

原創 搞笑的「雙評」，真正的「雙評」

迎評創優活動

相關推薦

原創搞笑的「雙評」，真正的「雙評」