月份:八月 2018

GDPR 的資料保護原則,第一部分 基本概念

歐盟將於兩週後開始實施一般資料保護規範 (General Data Protection Regulation, GDPR),值此之際,全球各企業的首要之務就是 GDPR 就緒程度。除了據點設於歐盟 (EU) 地區的企業和組織,其他各地的企業也一樣嚴陣以待。

GDPR 制定高標準資料保護規範,舉凡需要處理歐盟地區居民個人資料的組織,無論組織本身是否設於歐盟境內,一律必須遵守這項規範。這件事非常重要,因為 GDPR 制定的標準遠比現行美國隱私權法規定的標準更加嚴格。違規罰金也相當嚴苛:最高可罰 2400 萬美元或全球年營業額的 4%,且以其中金額較高者為準。

GDPR 奠基於七項資料保護原則,七項原則共同發揮作用,確保企業在收集與處理個人資料時不得不格外留意個人權利。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

首先,我們來瞭解一下 GDPR 的基本概念。

具體而言,GDPR 到底是什麼?

 一般資料保護規範 (GDPR) 是即將針對 28 個歐盟會員國實施的全新資料保護法。

鑑於 28 個歐盟會員國現階段採行的資料保護規章及權力亂無章法,因此,GDPR 的用意即在於取代現行規範,即將成為全歐盟境內完全同調且一體適用的法規。

這項改革措施將歐盟 1995 年資料保護指導方針的各項原則修訂得更符合現代需求,而且能夠規範法規所稱的資料控管者及資料處理者 (文後將詳細探討),進一步保障資料控管者及資料處理者所處理的歐盟公民個人資料。

請務必遵守 GDPR。下載這份免費指南。

新法規加強了使用者對於個人資料處理及儲存方式的掌控權,同時讓使用者得以享有重要的權利及自由,例如刪除權、同意權、知情權、資料流通權,以及個人資料刪除權 (亦即「被遺忘權」)。

接下來,我們來深入探討幾個攸關 GDPR 的重要問題:

GDPR 何時開始生效?

GDPR 是在 2016 年 4 月底簽訂立法,自 2018  5  25 開始生效。自生效日起,任何組織,凡需收集、儲存或處理歐盟居民個人資料者,皆須遵守一般資料保護規範。

何謂個人資料?

個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。各行各業的組織多需收集、處理及傳輸個人資料,因此成為網路罪犯眼中有利可圖的目標,自然也是網路釣魚、拒絕服務、勒索軟體及進階持續性威脅等各類攻擊的對象。

資料控管者和資料處理者又是什麼?

控管者和處理者是兩種截然不同的組織,但兩者皆須遵守 GDPR。顧名思義,前者是指「控管」使用者資料的組織,後者是指「處理」這類資料的組織。

處理者泛指任何收集、處理、儲存或傳輸歐盟公民個人資料的組織。控管者則是主導處理者所行活動的組織。

也就是說,控管者負責決定個人資料的處理方式和理由,處理者則負責代控管者執行。例如,將支票攝影流程外包出去的銀行稱為資料控管者,其承包商即為處理者。

依據 GDPR 規定,處理者需保留一切處理活動的稽核記錄,但控管者有責任確保其所有資料處理者均遵守規定。一旦處理者網路出現漏洞,控管者也難辭其咎,同樣必須承擔資料保護義務。

控管者和處理者之間的個人資料傳輸作業必須安全無虞,處理資料的過程中,也必須妥善保護資料。在某些情況下,GDPR 也可以要求資料處理者刪除處理完畢後不再需要的個人資料。

誰必須遵守 GDPR

GDPR 規範任何收集、儲存或處理歐盟居民個人資料的組織。無論貴公司的總部設於何處,皆須遵守這項規範。即使在歐盟地區並未設立實體據點的公司,一樣必須遵守 GDPR。

我已經遵守 HIPAA 了,應該不會違反 GDPR 吧?

不一定。兩項規範雖有一些重疊的部分,但 GDPR 的法規範圍更大,影響也更深遠。若有意深入瞭解兩者之間的差異,請參閱這裡。

違規會遭受什麼樣的懲罰?

若不遵守 GDPR,後果相當嚴重,罰金最高可達 2000 萬歐元或全球年營業額的 4%,且以其中金額較高者為準。

英國呢?英國脫歐之後就不需要遵守這項規範了吧?

不,即便脫歐之後,英國的公司行號仍須遵守 GDPR。英國退出歐盟的日期在 2018 年 5 月 GDPR 生效日之後。因此,英國企業仍屬於歐盟管轄範圍,必須遵守 GDPR。脫歐之後,英國企業如需收集、儲存或處理歐盟居民的個人資料,仍然必須遵守這項規範。

還有其他疑問嗎?請參閱我們的給拖延者的 GDPR 指南,查看關於 GDPR 及其象徵含義的深度剖析。現在,我們繼續探討第一條資料保護原則:公正、合法且公開透明的資料處理流程。

公正、合法且公開透明的資料處理流程

「公正、合法且公開透明的資料處理流程」,這項規定是資料保護法案的第一條資料保護原則,同時也是 GDPR 新式規定的基礎。這是什麼意思?

依據這項規定,GDPR 要求資料控管者必須能夠針對個人資料處理事宜提供詳細的資訊給資料當事人 (亦即使用者)。

資料控管者必須以容易取得的方式提供這項資料,並且必須採用簡明扼要、一目瞭然的用語,否則視同違反規定。換句話說,冗長的使用者協議此後再也不管用了。

為遵守公開透明這項規定,資料控管者收集任何資料前皆須告知資料當事人,無論何時,只要變更資料收集流程,也必須告知資料當事人,最後,資料控管者必須請資料當事人同意資料處理事宜。

同意的形式不只一種,但必須是出於資料當事人的自由意志,而且必須由資料當事人主動表達同意 (即按下核取方塊)。也就是說,GDPR 嚴禁默許行為。

這條法律同時也闡明,收集並用於處理的資料必須「適當、相關,且符合資料處理目的所需」,而且該項資料的儲存期限必須「嚴格維持在最短期限內」。

MOVEit 對於遵守 GDPR 的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

第一條原則的重點主要著重於同意權,但像 MOVEit 如此可靠的管理式檔案傳輸解決方案仍然能夠透過許多方式協助貴公司遵守 GDPR。例如,若使用者要求索取一份資料處理記錄副本,由於您必須遵守 GDPR 規定,因此一定要答應對方提出的要求。MOVEit 內建資料不可否認技術,因此您可以證明上傳、下載某個特定檔案的人員,也可以證明上傳及下載的檔案完全一致,從而能夠驗證每一位檔案存取使用者的身分,也能提供一份可靠的檔案存取記錄。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

符合數據保護法規的七個步驟

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

本文轉載自ipswitch官方網站部落格

一起算一下DIY網管工具的實際成本

不少人認為建立自己的DIY網路監控解決方案可以省錢,但實際建設和維護等這種工具的真正成本又是多少?讓我們一起了解一下。

對於許多初創IT服務公司、託管服務供應商(MSP),甚至是內部IT部門而言,構建自己的監控解決方案可能非常吸引,這當然可能有多種原因,包括暫時未有足夠預算來購買現成商業解決方案(COTS),也可能公司認為內部團隊已具有一定知識和技能來建設管理工具,同時為您的內部同事和外部客戶提供服務。

DIY建構監控工具通常沒有正式規劃的,因為通常只是根據客戶的要求開始和發展,隨著時間的推移,通常公司內只有極少數人,甚至只有一個人認知這個工具,我們接觸過的客戶包括大型系統整合商、中型IT服務公司、小型MSP公司和內部IT組織,他們都不約而同地認為這些工具的持續維護會消耗不少不時間。最初開始時是一個好主意,構建自動化和管理重複性IT監控任務的工具,但可能會很快便會變成對公司的約束。有報告指出,小型公司平均需要一位熟練的IT運營人員花費高達40%的時間來維護自己建構的工具。

那麼讓我們想一下構建內部工具的“整體壽命”成本,當中至少有3個成本因素必需考慮:構建成本、維護成本和機會成本,還有一個轉軌成本 (Transition cost),這部份會再之後提到。

立即算一下DIY網管工具的建設成本

建設網管工具的最初成本往往不能預先計算好的,我們先假設一家小型IT服務機構,他們會分配一位經驗豐富的IT運營工程師,其時間的50%用於建設網管工具,預而需要6個月時間。如果該工程師年薪5萬美元,最初的建設成本因此便是$ 12,500 美元($ 50,000 x 0.5 x 0.5)。你也可以放入不同地區的數字,從而估算一下。

維護成本

先假設技術不變,不需另外購買設備,也需要工程師花高達30%的時間來維護和更新內部監控工具,這將包括增加新功能以持續滿足客戶的不同需求。因此,年度維護成本保守地估計為15,000美元(50,000美元×0.3)。

機會成本

這通常是許多公司無法考量的“隱藏”成本。 IT服務機構和許多內部IT部門為其認證工程師按每小時或每天固定收取客戶費用。所以,假設一位IT工程師每年花費30%的時間來維護內部工具。我們可以根據典型的行業規範做出以下假設

  • 工程師的每日收費標準為400美元/天
  • 每位工程師每年的工作天數為220天

您的工程師在維護內部工具而導致您的業務錯失的機會成本或“收入損失”為 $400 x 220 x 0.3 = $26,400 美元

我們先回顧一下迄今為止的實際成本。

初始工具建設成本

$ 12,500 美元

該工具的年度持續成本,包括維護成本+機會成本

$ 41,400 美元

許多公司未有考慮維護DIY工具的真實成本,有些公司在意識到這一點時,通常會決定採購COTS解決方案。但是,這又再次引入了另一項成本 ,我們稱之為轉軌成本 (Transition cost),需要考慮以下方案

  • 供應商評估和部門流程(可能包括RFP階段),用於新的COTS解決方案
  • 所選COTS解決方案的安裝、配置和用戶培訓
  • 將客戶從內部工具轉移到COTS解決方案
  • 持續管理COTS解決方案

在決定購買IT工具時,總會有一個應該購買市面的現有整合工具還是自行構建的討論,每家公司需求不同,不同地區的預算也不同,但要留意的是,自行構建網管工具似乎很便宜,但當您計算好其他成本後,真正的成本往往高於預期很多。

您知道嗎?全球超過4萬個IT團隊信賴 WhatsUp Gold 網管方案!立即試用WUG。

New Call-to-action

本文轉載自官方網站部落格

Scrutinizer 常見問題之三

Q17:如何輸入IP來命名分辨率,以便Scrutinizer不必使用DNS來解析IP?

編輯此文件:/etc/hosts 並輸入IP以轉換 x.x.x.x domain.tld 格式名稱

Q18:界面上的整體使用率似乎被低估了,什麼情況會導致這種狀況?

  • 確保在設備的所有實體連接埠上啟用NetFlow。不要管虛擬連接埠,因為一旦在物理連接埠上啟用了NetFlow,就會自動出現。
  • 如果硬體無法跟上發送NetFlow封包的速度,它會自動丟棄NetFlow。要檢查是否存在此問題,請登錄Cisco設備。

鍵入命令:Router_name> sh ip flow export

匯出資料,尋找“294503 export packets were dropped due to IPC rate limiting”之類的內容。如果此計數器遞增,則表示硬體無法滿足匯出要求。

  • 下面的命令將long-lived flows分解為1分鐘。您可以選擇1到60之間的任意分鐘數; 如果您保留30分鐘的預設值,您的使用率報告將會出現峰值。

輸入命令:ip flow-cache timeout active 1

  • 以下命令可確保及時匯出已完成的Flow。預設值為15秒; 您可以選擇介於10和600之間的任何值。但請注意,如果您選擇的值超過250秒,則Scrutinizer可能會報告顯示較低的Flow級別。

鍵入命令:ip flow-cache timeout inactive 15

  • NetFlow v5僅匯出IP流量(即沒有IPX等),並且此版本的NetFlow不會匯出Layer 2 broadcasts。

Q19:如何設定讓路由器將NetFlow轉發到兩個目的地?

在Cisco路由器上,使用“ip flow-export destination”命令兩次。思科允許使用NetFlow v5 / v9將流量導向到2個不同的目的地

router-name#ip flow-export destination 10.1.1.8 2055 
router-name#ip flow-export destination 10.1.1.9 2055

有關更多訊息,請參閱如何配置運行IOS的Cisco路由器。某些Flow技術僅允許配置單個目標。要導向到多個目標,您可能需要使用flow replicator

Q20:為什麼我的圖表報告的使用率超過100%?

    • 連接埠速度不正確。Scrutinizer使用SNMP OID中指定的速度。登錄路由器或交換機並修復問題或在Scrutinizer中轉到設備詳細訊息並手動輸入正確的速度。
    • 路由器上的活動超時未設置為1分鐘。登錄路由器或切換並解決問題。
    • 非專用的超頻彈性頻寬(burstable bandwidth),ISP允許您在分配的頻寬上使用。
    • 進入流量和出去流量在 NetFlow 收集都已經在連接埠上啟用。如果在出去Flow中設置了方向位,則這可以正常工作。Scrutinizer的最佳工作設定只需要在所有連接埠上配置進入流量 NetFlow 收集。只有收集出去的流量在所有連接埠也是可以的。
    • 你在連接埠上有設定加密通道嗎?
      • 47 – GRE,通用路由封裝。
      • 50 – ESP,封裝安全負載。
      • 94 – IP-within-IP封裝協議。
      • 97 – EtherIP。
      • 98 – 封裝表頭。
      • 99 – 任何私有加密方案。

這可能導致流量在連接埠上計數兩次。在Scrutinizer中可以到Admin Tab > Definitions > Manage Exporters。點擊“ – ”的圓形圖示。當滑鼠懸停在圖示上時,ALT將顯示“View the current protocol exclusions of this device.”點擊此按鈕,確保排除上述協議。

  • 完整流量暫存:匯出前所有流量都存儲在路由器的流量暫存區中。暫存區滿了後它會停止向暫存區中增加條目,直到暫存過期為止。當發生諸如DDOS或“social event”之類的事件時,路由器的暫存會滿載。暫存可以增加; 但是會佔用更多記憶體並可能對路由器產生負面影響。流量遺失將導致Scrutinizer低估使用率。

Q21:如何查看是否有可用的更新在Scrutinizer的程式中?

要檢查更新,請在登出(Log Out)按鈕旁邊的下拉列表中選擇“檢查更新”按鈕。

比較一下Scrutinizer更新歷史

Q22:我忘記了我的Scrutinizer密碼。我怎麼如何處理?

注意:必須從Scrutinizer伺服器執行這些命令。

[USERNAME]是要修改的Scrutinizer用戶帳戶的名稱。執行該命令時,它將提示輸入新密碼,然後重新輸入。

在安裝Scrutinizer本機中,從[homedir]\bin\ directory:命令提示符下輸入以下命令:

版本16.7

scrut_util.exe – set password webui [USERNAME]

版本7.x到16.3

scrut_util.exe -reset_admin_password [USERNAME]

Q23:如何在Scrutinizer設置SSL?

需要此條件使用SSL支援的安裝程式的用戶。請聯繫我們獲取SSL安裝程式。

Q24:Scrutinizer可以在虛擬環境中運行嗎?支援哪些管理程式?

當然可以。目前我們提供可部署在VMware,Hyper-V 2012+和KVM。您可以在“ 安裝選項”頁面上查看更多詳細訊息。

注意:與任何虛擬化環境一樣,當您的伺服器資源在多個虛擬機之間分配使用時,您的性能可能會急劇下降。

Q25:如何更新Scrutinizer?

查看https://forums.plixer.com/viewtopic.php?f=15&t=2544#p9095以更新Windows上的Scrutinizer。

查看https://forums.plixer.com/viewtopic.php?f=15&p=9127#p9127以更新Scrutinizer虛擬設備。

對於硬體設備(僅國外銷售),請聯繫技術支援進行升級。

如果您遇到麻煩,請發送到https://forums.plixer.com 或洽易璽科技尋求技術支援。

Q26:如何設定第三方的整合環境?

查看“ 附加整合(Additional Integration )頁面了解有關Scrutinizer中可用的第三方整合的更多訊息。

Q27:為什麼即使我在Windows中正確配置了DNS,我的IP也無法解析?

注意:這僅適用於Scrutinizer v16.3 +的Windows安裝(註:台灣未發行此版本)

在某些情況下,Scrutinizer可能無法正確解析IP地址。當存在多個具有不同記錄的DNS伺服器時,通常會發生這種情況。為了解決這個問題,Scrutinizer允許您在文件中指定DNS伺服器,而不是從Windows註冊表中獲取設置。步驟概述如下:

  1. 在名為dns.conf的\ scrutinizer \ html目錄中建立一個文件。
  2. 使用記事本等文字編輯器打開此文件。
  3. 使用以下格式在文件中建立DNS伺服器列表。
nameserver 192.168.1.1 
nameserver 166.186.184.2 
nameserver 224.39.1.171

現在您已經建立這個文件,您應該可以進入Scrutinizer Web界面並正確進行查看。

Q28:可以做些什麼來加速Scrutinizer的界面?

如果您遇到性能不佳或認為界面運行緩慢,請聯繫我們的支援團隊與代理商。他們知道許多改進安裝的方法,可以滿足您的系統性能需求。

Q29:我想將我的資料庫密碼從預設更改為更安全的密碼。除了在資料庫中設置密碼之外還有什麼我需要做的嗎?

在16.7版中執行

scrut_util ([HOMEDIR]\Scrutinizer\bin\scrut_util.exe). From the SCRUTINIZER> command line run <set password rootdb>

在16.3及更早版本中,您需要使用scrut_util.exe透過CLI更新MySQL Root密碼:

[HOMEDIR]\Scrutinizer\bin\scrut_util.exe -reset_mysql_password

**警告**此命令將改變Scrutinizer和/或用戶存取資料的方式。請謹慎使用。

Q30:哪裡可以找到Scrutinizer手冊?

以下是Scrutinizer手冊的線上副本供審閱。

Q31:我怎麼知道我需要多少硬碟空間?

使用NetFlow頻寬和硬碟消耗計算器來確定NetFlow資料量將消耗多少硬碟空間。

Q32:為什麼我的Juniper流量資料中的DSCP值錯誤?

在Juniper JunOS 11.2R4中,通過JFlow進行的DSCP報告存在問題。您有時可能會在Scrutinizer中看到意外的DSCP值。請使用Wireshark將您在Scrutinizer中看到的內容與您的Juniper設備在流量資料封包中匯出的內容來進行比較。

Q33:如何將第二個NIC加到Scrutinizer虛擬設備?

  1. 將第二個NIC安裝到ESX(i)主機中
  2. 使用vSphere,將第二個NIC分配給Scrutinizer VM
  3. 登錄Scrutinizer CLI並使用正確的網路設定建立/etc/sysconfig/network-scripts/ifcfg-eth1檔案。您可以使用ifcfg-eth0配置作為示例,因為不會自動建立ifcfg-eth1檔案。
  4. 使用以下命令重新啟動網路:service network restart

Q34:我在哪裡可以找到更改日誌?

每個安裝都包含scrutinizer / files中的changelog.txt,其中概述了所有錯誤修復。您還可以在https://www.plixer.com/support/updates/在線上查看更改日誌。

為什麼開發人員選擇IP*Works!的開發元件?

n/Software 提供了開發者最靈活的開發元件與方案,選擇一套工具即滿足各種要求無需擔心如何挑選每個新應用程式和項目、授權和學習過程。

在n/Software 提供的訂閱方案滿足所有開發人員的需求。

當您訂購標準此訂閱方案時,您將收到一個啟用包,其中包含對單一個開發人員有效的產品金鑰。訂閱授權提供購買訂閱的用戶存取使用的帳戶,用戶可以使用所有可用訂閱產品的最新版本。此帳號為「單一個開發人員」提供購買訂閱產品的唯一授權。

  • 更新,升級和新產品 -購買/n software訂閱使您有權獲得產品更新和新發佈的IP * Works!元件在整個訂購期間、產品、電子商務整合開發元件產品、PowerShell Server、NetCmdlet和存取遠端檔案產品。我們致力於增加我們訂閱套餐的價值,您將定期收到包含最新產品版本和更新的新ISO,同時在您的訂閱有效期間。您有權使用在訂閱期間發佈的/n software產品系列(不包括Enterprise Adapters)中的任何元件套件。此外,我們的訂閱管理頁面提供在期間內可以下載使用最新版本。
  • 免費線上和電子郵件技術支援 -您的軟體訂閱使您可以免費獲得電子郵件技術支援,以及其他線上支援,包括存取我們的所有線上支援素材。
  • 續訂-訂閱到期後,您可以無限期地繼續使用在訂閱期內獲得的元件,包括開發和發佈的應用程式。但是,在您的訂閱續訂到期之後,您將無法再下載新的訂閱更新、接收新產品或新版本。 訂閱必須在訂閱到期日之前每年續訂。如果客戶在到期日之前續訂訂閱包,則他們有資格獲得訂閱續訂價格。如果您在到期日之前未能續訂訂閱包並希望繼續該計劃,則必須以新客戶的身份訂購新的訂閱。
  • 檔案 – 所有/n software產品都附帶完整的電子技術檔案和範例應用程式,以幫助開發人員快速開發應用程式。

(以上內容如有修改以原廠網頁發布為準!)

包含哪些產品?

/n software訂閱方案包含所有IP * Works的授權!產品、電子商務整合產品、PowerShell Server,NetCmdlet和存取遠端檔案產品。
以下是/n software「訂閱方案」中包含的最新產品列表。請查看下面的產品名稱以查看包含的授權類型列表:

  • IP*Works!
  • IP*Works! SSH
  • IP*Works! S/MIME
  • IP*Works! Encrypt
  • IP*Works! OpenPGP
  • IP*Works! SNMP
  • IP*Works! Zip
  • IP*Works! WS
  • IP*Works! Auth
  • IP*Works! IPC
  • QuickBooks Integrator
  • E-Payment Integrator
  • PayPal Integrator
  • Scripting Integrator
  • E-Banking Integrator
  • Shipping Integrator
  • EDI Integrator
  • X12 Integrator
  • EDIFACT Integrator
  • ERP (SAP) Integrator
  • SharePoint Integrator
  • Google Integrator
  • Amazon Integrator
  • Azure Integrator
  • Spreadsheet Integrator
  • Cloud Storage Integrator
  • PowerShell Server
  • NetCmdlets
  • SFTP Net Drive

在任何平台或技術上開發

使用特定於平台的版本在您喜歡的環境中開發桌面,Web和移動應用程式。所有版本都共享一個通用框架和API,以實現高效率、一致和全功能的體驗。所有這些都包含在「訂閱」中,有些是僅供「訂閱」用戶專用。

有以上的需求請立即洽詢-易璽科技

/n software

如何防止NetFlow Export 風暴?

在測量NetFlow 流量時,我們通常說每秒/數千個流量。該數據通過UDP從網路基礎結構導出到NetFlow收集器。這導致巨大的資料流量,其數量與NetFlow監控設備觀察到的唯一流量的量成比例。收集所有這些資料而不遺失封包可能是一個真正的挑戰,但通過一些基本的調整和高性能工具如Scrutinizer,可以實現完美的流量收集。

何時匯出NetFlow數據?

流量資料保存在流量暫存中,而對話仍然被處理流量的網路設備視為活動的。通常,您可能會發現自己將行輸入流量設定,例如“cache timeout active 60”或“cache timeout inactive 15”。這些命令用於定義如何確定流完整併準備匯出到Scrutinizer。如果連接始終處於活動狀態,則“活動超時”值將在指定的時間量後結束流量並開始新記錄,指示在匯出流量的最後一個封包之後多長時間開始“非活動值”設置計時器。這種類型的暫存適用於NetFlow 收集,因為它擴展了NetFlow的匯出。

流量資料的性能監視可能需要您設定週期暫存。在此設定中,無論任何單個流量的間格時間如何都會定期匯出所有流量資料。雖然在性能監視中收集某些數值是必需的,但這種類型的流量暫存可能很危險,因為它會立即轉儲存為完全流量暫存。這可能會導致大量Flow或IPFIX資料風暴(Storm)通過您的網路流向您的netflow收集器。可以通過設定“Spread”間隔來控制此行為。Spread間隔管控每幾秒的時間匯出暫存流量,從而減少預設行為的突發。在一個實例中,我們在現場觀察到具有數百個相同配置的設備的環境,所有設備都同步匯出而未配置傳播間隔。沒有收集大量的流量資料,因為它無法通過網路。請記住,NetFlow / IPFIX是UDP,因此當丟棄該封包時,來源不知道要重新傳輸。

如何防止NetFlow Export 風暴?

可以在效能監視器設定中開啟匯出Spread在套用在監視器的介面之前或直接透過Service Policy。

Conf t
Flow monitor type performance-monitor [name of monitor]
Cache type synchronized
Cache timeout synchronized [seconds until synchronized export] export-spread [amount of time in seconds to spread flows over]
End

在基本設定中,使用60秒作為同步匯出和15秒作為匯出Spread是安全的。這仍然會每分鐘終止流量和維持與Scrutinizer’s Atomic Flow估算在一分鐘的間隔,同時以15秒的間隔傳輸流量資料以防止流量風暴。有關詳細訊息,您可以參考此主題的思科檔案。

Scrutinizer 能消化每秒數百萬的流量在大型群簇環境設定中,並且採用匯出spreading等策略對於維護收集這些資料量所需的網路性能至關重要。如果您對Scrutinizer實例中的MFSN值有疑問或正在透過NetFlow部署,請聯繫我們Plixer支援團隊 (易璽科技 )。Plixer與世界各地的團隊合作,幫助在大容量環境中利用Netflow資料。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

什麼是網路探索軟體?

現代企業網路變得比以前更加複雜,這令系統管理員和網路管理員更難得知有甚麼連接到網路。

連接和斷開網路變得更頻繁,特別是在有自帶設備(BYOD)的公司,員工可以連接筆記本電腦和手機等個人設備。

設備的類型和品種也增加了。除電腦和工作站之外,典型的網路還包括印表機、複印機、路由器、交換機、VoIP盒和其他管理網路設備。

製作網路清單

有時候,網路管理員都需要對所有已連接的網路設備進行審計。記錄和追踪所有設備對配置管理、容量規劃和安全來說是非常重要的。所以,即使您在設備連接下了很多苦工,您也需要一個工具來執行此操作。網路的實際情況可能會令你震驚。

網路探索工具可以查找和識別連接到您網路的所有內容、製作一個關於如何互相連接的拓撲,並為訂劃的目標製作詳細報告。 對網路管理來說,這是必要的工具。

成千上萬的IT團隊信賴監控解決方案。立即試用網路管理工具 WhatsUp Gold 2018!

有關設備和網路連接的基礎知識

當一個設備加入網路時,動態主機配置協議(DHCP)伺服器會向其發出IP地址,這個地址在這網路上是獨一無二的,但世界上有機會會有其他設備擁有由其網路分配的相同地址。

實際上獨一無二的只有媒體訪問控制(MAC)地址,每個設備的網路適配器都有一個獨有的MAC地址。所以,雖然IP地址是由軟體決定的,並且可以改變,但MAC是由硬體決定的,無法更改。

這類似於密碼與指紋作為人的身份識別之間的區別,就像多重身份識別對人們來說最安全一樣,同時使用IP和MAC地址對網路安全來說是最好的。

網路探索、網路監控和資產管理

網路探索工具使用多個程序來調查和理解網路。

簡單的網路管理協議(SNMP)是非常重要的,大多數網路設備都支援SNMP,SNMP是互聯網標準協議,提供對IP網路上的節點或連接點(如伺服器、路由器、網橋和集線器)的監控。

Ping在網路管理中是普遍的工具,它會自動檢查每個設備的狀態包括是否已連線。

地址解析協議(ARP)使用SNMP來查看設備緩存從而建構MAC地址資料庫。當知道哪些設備是互相連接的,就能夠探索網路的拓撲結構。

WhatsUp Gold 的探索過程可生成所有聯網設備的完整清單,包括設備的類型、供應商、序列號、韌體 (Firmware)、硬體轉速以及設備上安裝的模塊。 客戶通常使用此功能製作安裝在伺服器或網路設備上的軟體報告,以完成庫存審計。

完成探索後,WhatsUp Gold 會自動分配設備的角色,來指定收集哪些數據和啟用補救措施。您可以使用設備角色編輯器輕鬆修改預設設備的角色和子角色,同時能夠建立新角色。探索過程還會標識地圖上的相依性 (dependencies)為方向箭頭,通過點擊滑鼠,就可以使用相依性的數據來減少不必要的警報,大大減少錯誤警報並節省排除故障的寶貴時間。

硬體拓撲探索

構建網路拓撲圖助您對自己的網路有更深入的了解,像 WhatsUp Gold 這樣的工具使用了結合 Layer2 /3的拓撲結構來確定設備連接到哪些設備。這些Layer來自用於設計和理解網路的OSI模型 (Open System Interconnection)。

在最基本的層面上,Layer 2協議探索數據鏈路和端對端的連通性,並使用MAC地址。Layer 3協議協助探索其他連線設備,並使用IP地址。 例如,使用 Layer 3,您可以查詢啟用了SNMP的設備,以便構建包含設備位置、屬性和角色的網路地圖。

儘管 Layer 3協議被廣泛使用,但 Layer 2協議往往更具專有性,因此使用鏈路層發現協議(LLDP)(如 WhatsUp Gold 所能做到的)對確保來自其他製造商的設備信息可用於其他鄰近設備來說是必要的。

使用集成的 Layer2 /3分析可以全面了解如何連接不同的網路設備,因此您可以製作精確反映網路功能的拓撲圖。

WhatsConnected 通過各種創新的 Layer2 /3探索技術(包括ARP、SNMP、SSH、虛擬基礎架構管理、IP尋址、CMP和LLDP以及供應商專有機制)構建了網路的完整圖像。

立即免費試用 WhatsConnected 的網路圖軟體來看看多有效率吧。

持續的網路監控和資產管理

現在大多數系統管理員都在管理異構網路,其中包括來自許多不同供應商各種類型和型號的設備。由於供應商有固定的命名標準,如果您不按自己的一致慣例將設備重命名,當您檢查它時,就會看到各種混亂不一的名稱。讓IT人員按常規執行此操作可能會非常困難。網路探索當然有幫助,但只能有助於您的網路管理流程。

而且,由於您網路上的設備應該有固定的命名標準,因此您應該嘗試保持標準化的拓撲結構。像 WhatsUp Gold 網路探索軟件這樣的軟體會提供可視化功能,為您提供圖像顯示的網路佈局。可預測的標準拓撲能使了解狀態和識別潛在問題變得更加容易。這在電子商務網站等商業應用中尤其重要。

尋找像 WhatsUp Gold 這樣具有強大報告功能的工具。根據需要,這個產品可以按照你的需要製作超過200種不同類型的報告。您可以輕鬆得到比其他人更多的訊息,更容易根據他們的需求量身定制報告,配合其他部門的計劃。

定期掃描您的網路,將其用作網路監控工具。你應成為網路管理員,而不是網路偵探。網路探索不是系統管理員面臨的唯一挑戰,通過《Ipswitch 的快速故障排除指南》(PDF)了解更多吧。

本文轉載自官方網站部落格

Scrutinizer 快速安裝指南

本指南將回顧部署所需的內容以及成功完成部署所需的步驟。

(如果要在Hyper-V上進行部署或希望了解有關部署過程的更多詳細訊息,請查看我們的“詳細手冊”)。

在開始之前,您需要從Plixer獲取OVF和授權,或者在此處申請評估授權(評估將使用eval許可證進行部署),因為我們需要在部署後將授權輸入於webUI。

確保在部署期間準備好分配給Scrutinizer的IP地址是沒問題的。(我們建議您為Scrutinizer虛擬機NIC提供靜態MAC地址,因為這樣可以防止電腦ID發生變化並防止授權問題發生。)

Scrutinizer虛擬設備需要至少100GB的硬碟空間,16GB的RAM和1個帶4個核心的CPU。

您將從Scrutinizer VA中獲得的性能取決於其部署的硬體和分配給VA的資源。

建議專用於而不是共享分配給Scrutinizer虛擬機的所有資源。這對於Scrutinizer資料存儲區尤為重要。在具有大量NetFlow資料的環境中,Scrutinizer將需要專用資料存儲。建議將Scrutinizer硬體設備用於具有極高流量的部署,因為它們旨在處理最高流量。

現在我們知道了我們需要什麼,讓我們動手進行部署Scrutinizer吧!

在ESXi上Scrutinizer OVF 的詳細部署:

1.下載最新的Scrutinizer 虛擬設備版本。您可以按照我們之前討論過的評估連結或聯繫我們的OVF代表來完成此操作。

2.使用VMware vSphere或vCenter連接到要部署Scrutinizer虛擬設備的ESX主機。

3.從檔案(位於左上角)>部署OVF模板。

4.選擇“本地文件”並瀏覽到下載的Scrutinizer OVF文件和Scrutinizer VMDK文件,然後單擊“下一步”。

5.為您的Scrutinizer VA命名,然後按“下一步”。

6.如果尚未選擇主機,請選擇要部署的ESX,然後按“下一步”。

7.查看虛擬機的詳細訊息,然後按“下一步”。

8.選擇資料存儲,將硬碟格式設置為“Thin Provision”,然後按“Next”。

注意:請務必閱讀“優化Scrutinizer數據存儲”部分以獲得最佳性能和收集率。

9.選擇Scrutinizer虛擬設備要使用的網路。

10.將顯示您選擇的選項的摘要。單擊“完成”,它將導入Scrutinizer虛擬設備。這可能需要一些時間,所以可以去喝個咖啡然後回來再繼續。

11.在啟動Scrutinizer虛擬機之前,為授權目的設置靜態MAC地址非常重要。右鍵單擊Scrutinizer VM並選擇“編輯設置…”

12.選擇Network Adapter,將MAC地址設置為手動,輸入唯一的MAC地址,然後繼續執行下一步。

13.下一步是為Scrutinizer虛擬機分配和專用資源。出於評估目的,Scrutinizer OVF獲得4CPU 4核,16GB RAM和100GB磁碟空間。

部署Scrutinizer虛擬設備時,建議增加資源以滿足本文前面列出的建議系統要求。由於所有安裝都會有所不同,因此可能需要更多資源。

從“虛擬硬體”選項卡開始,根據需要增加RAM,CPU和硬碟(有關詳細訊息,請參閱系統要求部分)。

14.接下來,導航到“資源”選項卡。在“CPU和RAM”下,將“共享”值設置為“高”,並將“預留”最大值設置為專用於虛擬機的資源量。現在按“確定”。

注意:下面的螢幕截圖中的RAM量位於小型測試ESX伺服器上,因此它與生產安裝不匹配。

15.右鍵單擊Scrutinizer虛擬機並打開電源。

16.單擊控制台預覽窗口,然後選擇“打開遠程控制台”。將打開一個新窗口,然後您可以使用root / scrutinizer登錄Scrutinizer虛擬設備。

注意:伺服器將執行快速設置並立即重新啟動。

17.再次登錄伺服器並回答問題。按“Enter”鍵,伺服器將重新啟動以套用必要的設置。

18.現在,在Web瀏覽器中登錄Scrutinizer Web界面並輸入必要的授權密鑰。

安裝適用於ESXi的WMware Tools:

別擔心,我們剛剛完成!

打開電源並完成初始Scrutinizer配置後,您可以(可選)在設備上安裝VMware Tools。您需要這些工具才能正常關閉Scrutinizer並防止損壞。

預設情況下不安裝VMware Tools,因為每個版本的ESX都安裝不同的VMware Tools軟體套件。或是您可以從command line 執行:

1.使用您在初始部署中設置的密碼以“plixer”用戶身份登錄設備。

2.在Scrutinizer交互式提示符中,鍵入以下命令:

“scrut_util.exe”

‘enable vmwaretools’

3.然後,該工具將顯示終端中的檔案。

4.你完成了!您將能夠在摘要選項下查看vSphere中設備的詳細訊息。

有什麼問題嗎?請隨時聯繫我們尋求幫助並立即開始安裝吧。

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 常見問題之二

Q7。Scrutinizer的試用版是否可用於評估使用?

當然可以。下載免費版的Scrutinizer後,您可以通過填寫此表單獲得評估授權以試用完整版本。

Q8。Scrutinizer免費版和商業版之間有什麼區別?

Scrutinizer事件反應系統的商業版本包括Flow Analytics附加模組,該模組可增加歷史資料保留和網路行為分析。

Q9。系統要求是什麼?

Scrutinizer的系統要求在此處詳述。

Q10。如何在路由器/交換機上啟用NetFlow或sFlow?

請參考我們編制的完整的指令列表,用於在不同的路由器和交換機上配置NetFlow,IPFIX和sFlow

Q11。如何確定我的Cisco設備是否支持NetFlow?

查看Cisco IOS NetFlow簡介,了解您是否擁有NetFlow兼容的Cisco路由器或交換機。

Q12。如果我需要Scrutinizer不支援的功能怎麼辦?

在Plixer,我們知道我們的平台需要靈活。如果您想要增加功能,請點擊這裡來了解我們的專業服務與您一起合作。

Q13。Scrutinizer是否支持其他語言?

Scrutinizer目前支持以下語言; 繁體中文,簡體中文,英語,法語,德語,日語,韓語,葡萄牙語,俄語和西班牙語。

Q14。啟用NetFlow是否會影響路由器/交換機的性能?

有關如何啟用NetFlow影響Cisco路由器或交換機性能的詳細信息,請查看NetFlow性能分析白皮書[PDF]

Q15。Scrutinizer在收集流量到產出圖表大約需要等多久?

基本上不到5分鐘甚至更快。請確保在路由器或交換機上正確配置NetFlow

Q16。為什麼某些Port標記為lflndex3或僅標記為1,2,3等?

如果Port未回應Scrutinizer發送的SNMP請求,則會發生這種情況。打開列出所有界面的SNMP視圖,然後點擊「更新」按鈕。請在“Scrutinizer手冊”中查看“Device Details View ”。

Plixer

Fast File Transfer:Signiant Manager+Agents 安全快速的檔案傳輸

Manager+Agents 能安全地遠距離傳輸大型檔案 (>1GB),傳輸速度比 TCP快上 200 倍。

何謂 Manager+Agents ?

Manager+Agents 是全新設計的企業級檔案傳輸加速解決方案,能夠在相距甚遠的兩地之間安全地傳輸大型檔案 (通常 >1GB),傳輸速度比 TCP 快上 200 倍,完全不受網路延遲或封包遺失干擾。Manager+Agents 運用了 Signiant 基於 UDP的傳輸通訊協定。這一備受好評的專利技術將延遲及封包遺失造成的影響降到最低,同時可充分運用整個網路的可用頻寬。這項解決方案運用充足的流量及錯誤修正通訊協定保障傳遞安全。

主要特色

  • 加速通訊協定專利技術:能透過 IP 網路快速、可靠又安全地傳輸檔案
  • 能發揮頻寬效率的高速檔案傳輸功能:傳輸速度比 FTP 和 TCP 快上 200 倍,更可達到 95%以上的網路效率
  • 可用防火牆:UDP 及 TCP 傳輸選項
  • 自動重試:設定傳輸檢查點,並在傳輸中斷或失敗後繼續進行
  • 頻寬管理設定:可根據一天當中的時間,調整 WAN 加速器強度以及頻寬上下限範圍
  • 加密瀏覽器工作階段及檔案傳輸:採用高達 256 位元 AES 加密技術
  • 認證式傳遞功能:提供數位簽章傳輸功能,做為不可否認的資料完整性及來源證明

Manager+Agents 的運作原理

Manager 軟體安裝於中央,而 Agents 則安裝於傳送及接收端點,兩者合作管理、追蹤內容的傳輸情形,並提供傳遞憑證。Manager+Agents 採用中央資料庫及原則型架構,能夠自動將組態資訊向外傳播運用至無數個端點。相較之下,競爭廠商推出的系統則需要由管理員實際在各個端點分別進行設定。若端點數量少,這樣的差異並不至於造成太大的影響,但若是大規模的全球部署,兩者可說是天差地別。這項解決方案會讓透過高頻寬連線進行長距離傳輸的大型檔案 (通常 >1GB) 獲益匪淺。

關於系統需求請參考:https://ma.support.signiant.com/customer/en/portal/articles/2749264

相輔相成的解決方案

核心元件

MOVEit Transfer:是一種安全儲存庫,能讓使用者透過安全的管道對外交換重要的業務資料及敏感檔案,同時能夠杜絕第三方入侵您的內部網路。可保證檔案傳輸給指定的收件人,也能利用防竄改的稽核記錄對文件傳輸活動進行跟蹤,並且能夠啟用符合法規要求的敏感檔案交換工作流程。

MOVEit Automation:是一款簡單易用的自動化引擎,直觀的設計可讓使用者根據重要的業務運作排定資料工作流程的時間。這款引擎介面簡單,使用者不需通曉高階程式設計技術,也能輕輕鬆鬆開發作業及工作流程。可經任何 FTP、Unix、電子郵件、檔案共用區或檔案伺服器雙向推送及提取檔案。

Manager:Manager 軟體能執行系統活動的一切管理、控制及報告功能,同時也能協調工作的執行進度。使用者透過網頁介面操作 Manager,即可進行管理、系統設定和工作建立,還能自動排定作業、管理當前系統活動以及報告。

Agent:Agent 軟體安裝於遠端伺服器,能夠執行檔案傳輸、通知,以及與第三方軟體和系統互通。檔案會在Agent 之間傳輸,而這些 Agent 既可部署為單個節點,也可部署為負載平衡的叢集。

Relay Agents:允許穿越防火牆,以及將內容與外部網路隔離。(內容不會儲存在 Relay Agents 中)。

典型部署

檔案傳輸協議(FTP)與 可管理檔案傳輸(MFT)

你應該聽說過在信息經濟中的公理:數據是王道,並且知道 “數據盜竊” 已經成為一個價值數十億美元的全球行業。 無論內部系統,還是外部合作夥伴之間,每日傳輸文檔已成為核心業務流程。 一套安全而得合規範的檔案傳輸必不可少,問題是檔案傳輸協議(FTP)與 可管理檔案傳輸(MFT)有什麼區別?”

我需要可管理檔案傳輸(MFT),還是只需FTP服務器?

通常是因為IT專業人員收到公司內一個非必要的文件傳輸要求開始,慢慢發展到成為核心業務操作時,這個問題才被正視。

答案取決於以下問題:

  • 你只需要偶爾傳輸文件嗎?
  • 如果檔案較大,是否也需要即日傳送完成?
  • 這些文件是否包含敏感、專有或受保護的數據?

在不同答案的組合下,錯誤的選擇會導致重大後果,可能是解決方案花費太多,也可能收到不符合數據保護條例的結果。

檔案傳輸協議(FTP)的早在電腦初普及的時候已經出現,在其最早的表現形式中,它是將文件從一台計算機移動到另一台的簡單方法。對於那些熟悉其局限性的人來說,很明顯它的創建者從未想像過當今的安全威脅環境。雖然基本的FTP通過SSH和SSL進行了增強,但對於那些經常傳輸包含專有或受管數據或敏感文檔的公司而言,FTP服務器已不合國際規範。

可管理檔案傳輸 (MFT)解決方案可以解決許多FTP的問題,顧名思義,MFT增加了許多所需的管理功能,因為檔案傳輸需求從偶然和非關鍵任務,已轉變為高容量且推動核心業務的關鍵任務。或許單從MFT 這個名稱上不那麼明顯,MFT解決方案還提供了高安全性和合規性功能,都是FTP產品不能做到的。

MFT或FTP?哪一個更適合你的公司?MFT or FTP? Which one is right for you?

如何擴展FTP、SFTP和FTPS?

FTP和Secure FTP並不相同 ,FTP雖然通常可以同時代表兩者,但它實際上只是一種極簡主義協議,可以將文件上傳和下載到具有基本訪問控制的服務器而已,就等如你連上互聯網一樣,通常託管公司網站上的FTP伺服器實際上可以以“匿名”模式訪問(即沒有密碼),如果這個網站只是隨便瀏覽一下,當然沒有問題;但如果這與公司業務有關,則需要更多保護並尋找SFTP伺服器。 FTPS則是一種不太普遍的選擇,通常使用安全協議,如SSH或SSL來加密傳輸中的文件。

SFTP 伺服器的也有不同功能層級,基本功能的通常是免費的,像FileZilla這樣的開源(Open Source)解決方案。但免費的解決方案總不能滿足你所有需要。 但是,如果您的傳輸需求並不常發生,而文件無法下載或訪問時不會對業務產生影響,問題則不大。 另一方面,我們的WS_FTP伺服器 便是高端的解決方案的例子,提高更高層級的功能。

正如您可以將你所擁有的汽車轉換為高轉速、高性能一樣,您可以將SFTP伺服務器功能擴展。 但重要的是,SFTP伺服只僅僅為伺服器,本身並不是企業級解決方案,所以如果你的公司的多個部門有不同的使用需求,那麼你可能需要不同的伺服器,其中存在的問題就是FTP伺服器擴展的可能性。

遷移到MFT的IT團隊最常見的抱怨之一是“我們有太多的FTP伺服器”,每台伺服器都需要各自的管理,存在於不同平台上,使用著不同的腳本(Script)類型、操作系統、安全漏洞更新需求和維護成本等。如果要符合PCI-DSS,HIPAA,ISO-27001或GDPR等數據保護法規或要求,值得注意的是,您應該明白到許多審計人員會將 “多個FTP伺服器” 視為表示可能違規的“紅旗”。

可管理檔案傳輸(MFT)的優勢

與FTP作為伺服器相反,Managed File Transfer系統可以是一個龐大而集中式的檔案傳輸系統,包含所有可見性、報告、日誌記錄、安全性、可追踪性與安全基礎建設結構的整合、故障轉移和內置可靠的保證送達功能。這些都是企業級的解決方案,核心流程(如醫院的醫療賬單和支付系統)可以建立在這些解決方案上。例如,單一任務可以同時分派到多個傳輸伺服器,工作流自動化系統和基於雲的傳輸服務,所有服務均由中央控制台管理。

因為需要與各方交換包含敏感數據的文件,這些系統還需要讓公司確保於核心業務流程的數據安全性。 從而遵守數據保護要求,例如PCI-DSS,HIPAA,ISO-27001,GDPR等,以免在數據外洩、丟失或違規情況下會被罰款。 在這種情況下,MFT的其中一個很有價值的功能便是與預先設定的安全基礎設施(例如防病毒、DLP和訪問控制系統)整合、集中記錄和合規性報告中。

我們將推出一連串部落格文章談及關於MFT在FTP上的好處,並完整論述不同公司應該如何選擇, 希望這篇文章能夠先給你一個初步概念,幫助你為你的公司選取到最佳的檔案傳輸解決方案。

其他有用資源

我們為IT專業人士在就如何選擇FTP 和MFT 撰寫了一本的電子書,名為 “為什麼IT團隊遷移到MFT”。 它深入地考慮你需要權衡的因素,讓你做出正確的決定。

我們還撰寫了一個名為“可管理檔案傳輸採購指南”的有用工具書,此清單有助IT經理選擇最佳的檔案傳輸解決方案。

Ipswitch的可管理檔案傳輸 (MFT) – MOVEit允許您通過單一系統管理、查看’保護和控制所有檔案傳輸活動。 MOVEit減少了對IT實際操作的需求,並允許用戶根據需要自助服務。 它為檔案傳輸提供了完美而安全的解決方案,以滿足任何行業和公司規模的安全和合規性需求,同時減少管理時間和成本,我們很樂意為您提供免費試用

忘記FTP吧! 立即開始以安全和合規的方式傳輸數據,立即試用MOVEit。

除了可管理檔案傳輸 (MFT)解決方案,我們還分別有FTP客戶端和伺服器: WS_FTP伺服器 和WS_FTP專業客戶端均被認證為可靠而安全的檔案傳輸解決方案,並支持最新的安全文件傳輸協議。 如想試試WS_FTP 的威力,立即下載我們的免費試用吧。

本文轉自官方部落格