入口與出口 - 有什麼區別

入口與出口：關於這些術語的爭論似乎永無止境。它們有點過時，在不同的情況下它們的含義似乎不同。

今天，我們將盡最大努力解開這個謎團。不過，我們不想陷入哲學辯論。我們唯一的目標是盡最大努力解釋這些術語以及它們在網絡環境中的典型使用方式。但即便如此，正如您即將看到的那樣，也往往會讓人感到困惑。

入口與出口

我們將首先定義這兩個術語，首先是在語言上，然後是在計算機網絡的特定上下文中。
然後我們將解釋它們的含義如何根據我們正在考慮的範圍的觀點而變化。在一種情況下相同的出口流量可能在另一種情況下變成入口流量。
接下來，我們將討論監控入口和出口流量，並介紹一些可用於此目的的最佳工具。可是等等！還有更多。
我們還將在數據安全的特定上下文中討論出口，並介紹一些保護自己免受數據出口影響的最佳實踐。
而且，為了保持我們的良好習慣，我們將回顧一些可用於檢測不需要的數據出口的最佳 SIEM 工具。

定義入口和出口

從語言上講，定義這兩個詞中的任何一個都不容易（雙關語）。讓我們看看 Merriam-Webster 詞典對此有何評論。

它簡單明了地（幾乎無聊地）將入口定義為“進入的行為”。夠簡單了吧？
而出口並不復雜，因為同一來源將其定義為“去或出來的動作”。

這裡又是一個非常簡單的定義。如果您想查看其他來源，您會找到明確的共識。Ingress 正在進入，而 Egress 正在退出。

在網絡流量的背景下

但是這篇博文不是關於語言學，而是關於網絡管理。這是入口和出口可能會變得更加混亂。儘管如此，它仍然是相同的，它與進入和離開網絡、設備或接口的數據有關。到目前為止，沒有什麼複雜的。然而，它變得棘手的地方是當人們不同意什麼進什麼出時。你看，有時一個的內在是另一個的外。

這一切都取決於你的觀點

當提到網絡流量時，入口或出口與您如何看待事物有關，這取決於您的觀點。在大多數其他情況下，進就是進，出就是出；沒有什麼令人困惑的。然而，網絡的情況並非如此。讓我們試著用一些具體的例子來闡明這一點。

我們的第一個示例是 Internet 網關。它可以是路由器、代理服務器或防火牆，這無關緊要。它是位於您的本地網絡和 Internet 之間的設備。在這種情況下，我想每個人都會同意 Internet 被視為外部，而本地網絡則被視為內部。

因此，從 Internet 到本地網絡的流量將是入口流量，而從本地網絡到 Internet 的流量將是出口流量。到目前為止，它仍然很簡單。

但是如果你從網絡接口的角度來看事情，事情就會變得不同。在前面的示例中，如果您查看 LAN 接口上的流量，則流向 Internet 的流量現在是進入網關的入口流量。同樣，流向本地網絡的流量不是出口流量，因為它正在離開網關。

總而言之，區分入口和出口流量需要我們都同意我們所談論的內容。

正如我們所看到的，一種情況下的入口流量可以是另一種情況下的出口流量。我們最好的建議是要么完全避免使用這些術語，要么在每次使用它們時清楚說明它們的使用上下文。這樣，您將避免任何混淆。

監控出口和入口流量

現在我們熟悉了術語，讓我們來看看監控入口和出口流量。

通常，這是使用稱為網絡監控或帶寬監控工具的特殊軟件來完成的。這些工具使用簡單網絡管理協議 (SNMP) 從聯網設備讀取接口計數器。這些計數器只是簡單地計算每個網絡接口進出的字節數。

請注意，監控工具很少使用入口和出口，通常是指進出接口的流量。如果您願意，可以由您決定哪個是入口流量，哪個是出口流量，這同樣取決於特定的上下文。

我們推薦的一些工具

有許多可用的帶寬或網絡監控工具。可能太多了，選擇最好的——甚至只是一個好的——可能是一個挑戰。我們已經嘗試了許多可用的工具，並列出了一些您可以找到的最好的帶寬監控工具。

1. SolarWinds 網絡性能監視器（免費試用）

SolarWinds是最好的網絡管理工具製造商之一。該公司的旗艦產品稱為SolarWinds Network Performance Monitor，或NPM。它是一個非常完整的網絡監控解決方案，具有用戶友好的圖形用戶界面，管理員可以使用它來監控設備和配置工具。

該系統使用 SNMP 查詢設備並在圖形儀表板上顯示其接口的利用率以及其他有用的指標。

除了此儀表板之外，還可以按需或基於計劃執行生成各種內置報告。如果內置報告沒有為您提供您需要的信息，它們可以隨意定制。

該軟件包還包括一些有用的工具，例如能夠顯示網絡任意兩點之間關鍵補丁的視覺再現。該工具具有高度可擴展性，適用於從小型網絡到大型網絡的任何網絡，其中數千個設備分佈在多個站點上。

免費試用： SolarWinds 網絡性能監視器
官方下載鏈接： https : //www.solarwinds.com/network-performance-monitor/registration

該SolarWinds的網絡性能監視器的報警系統是該產品的另一個閃光點的地方。正如它的報告一樣，它可以根據需要進行自定義，但也可以以最少的配置開箱即用。警報引擎足夠智能，不會在半夜發送“不重要”事件的通知，也不會在主要問題是上游路由器或網絡交換機故障時為盡可能多的無響應設備發送數百個通知。

對於定價的SolarWinds的網絡性能監視器開始於略低於000 $ 3，根據設備監測的數量上升。

定價結構實際上相當複雜，您應該聯繫 SolarWinds 銷售團隊獲取詳細報價。

如果您想在購買前試用該產品，可以從 SolarWinds 網站下載30 天免費試用版。

2. ManageEngine的OpManager的

ManageEngine 是另一家著名的網絡管理工具出版商。

該ManageEngine的OpManager的是一個完整的管理解決方案，可以處理幾乎任何監控任務，你可以扔掉它。

該工具可在 Windows 或 Linux 上運行，並具有強大的功能。其中，有一個自動發現功能可以映射您的網絡，為您提供一個獨特的定制儀表板。

該ManageEngine的OpManager的的儀表盤是超級容易使用和瀏覽，這要歸功於它的鑽功能。如果您喜歡移動應用程序，那麼平板電腦和智能手機的應用程序可以讓您從任何地方訪問該工具。這是一款整體非常精緻和專業的產品。

警報在OpManager 中與其所有其他組件一樣好。有一整套基於閾值的警報，可幫助檢測、識別和排除網絡問題。可以為所有網絡性能指標設置具有不同通知的多個閾值。

如果您想在購買前試用該產品，可以使用免費版本。儘管它是一個真正的免費版本而不是限時試用版，但它有一些限制，例如您只能監控不超過 10 台設備。

除了最小的網絡之外，這對於所有網絡都是不夠的。對於較大的網絡，您可以選擇Essential或Enterprise計劃。第一個可以讓您監控多達 1,000 個節點，而另一個最多可監控 10,000 個。

免費試用： ManageEngine OpManager
官方下載鏈接：https : //www.manageengine.com/network-monitoring-msp/download.html

聯繫ManageEngine的銷售人員可以獲得定價信息。

3.PRTG網絡監視器

該PRTG網絡監視器，我們將簡單地稱之為PRTG，是另一個偉大的監控系統。其發布者聲稱該工具可以監控 IT 基礎架構的所有系統、設備、流量和應用程序。它是一個包羅萬象的軟件包，不依賴於需要下載和安裝的外部模塊或附加組件。由於其集成特性，它比大多數其他網絡監控工具安裝起來更快更容易。您可以在幾個不同的用戶界面之間進行選擇，例如 Windows 企業控制台、基於 Ajax 的 Web 界面以及適用於 Android 和 iOS 的移動應用程序。

該PRTG網絡監視器是從其他大多數監視工具，它是基於傳感器的不同。只需配置額外的傳感器，即可將各種監控功能添加到該工具中。它們類似於插件，只是它們不是外部模塊，而是包含在產品中。PRTG包括 200 多個此類傳感器，可滿足不同的監控需求。對於網絡性能指標，QoS 傳感器和高級 PING 傳感器可讓您監控延遲和抖動，而標準 SNMP 傳感器可讓您監控吞吐量。

該PRTG定價結構是非常簡單的。有一個功能齊全的免費版本，但會將您的監控能力限制為 100 個傳感器。還有一個 30 天的試用版，它是無限制的，但在試用期結束後將恢復為免費版。如果您想在試用期過後繼續監測 100 多個傳感器，則需要購買許可證。它們的價格根據傳感器的數量而變化，從 500 個傳感器的 1600 美元到無限傳感器的 14500 美元不等。每個監控參數計為一個傳感器。例如，監控 48 端口交換機每個端口的帶寬將計為 48 個傳感器。

安全上下文中的出口

網絡和系統管理員之間的術語出口還有另一種用法，它特定於數據安全的上下文。它指的是離開組織本地網絡的數據。出站電子郵件消息、雲上傳或移動到外部存儲的文件是數據出口的簡單示例。這是網絡活動的正常組成部分，但當敏感數據不知不覺或惡意洩露給未經授權的接收者時，它可能對組織構成威脅。

涉及數據出口的威脅

敏感、專有或易於貨幣化的信息通常是各種網絡犯罪分子的目標。向公眾或競爭組織發布敏感或專有信息是企業、政府和各類組織真正關心的問題。威脅行為者可能會嘗試通過許多員工每天使用的相同方法竊取敏感數據，例如電子郵件、USB 或云上傳。

防止不需要的數據流出的最佳實踐

您可以採取很多措施來保護您的組織免受未經授權的數據流出，但其中一些尤為重要。讓我們來看看您必須做的兩個基本要素。

創建可接受的使用和數據出口流量執行策略

包括利益相關者來定義可接受的使用政策。該政策應該非常徹底並保護您公司的資源。例如，它可以包括一份經批准的互聯網可訪問服務列表以及訪問和處理敏感數據的指南。並且不要忘記創建此類策略是一回事，但您還需要將它們傳達給用戶並確保他們理解它們。

實施防火牆規則以阻止出口到惡意或未經授權的目的地

網絡防火牆只是抵禦威脅的幾道防線之一。這是一個很好的起點，您可以確保在沒有明確許可的情況下不會發生數據流出。

SIEM – 幫助防止數據流出

無論您做什麼，監控仍然是防止數據流出的最佳方法之一。每當發生數據洩漏時，您都想立即了解情況，以便採取行動。這就是安全信息和事件管理 (SIEM) 工具可以提供幫助的地方。

具體來說，SIEM 系統不提供任何硬保護。它的主要目的是讓像您這樣的網絡和安全管理員的生活更輕鬆。典型的 SIEM 系統真正做的是從各種保護和檢測系統收集信息，將所有這些信息關聯起來，組裝相關事件，並以各種方式對有意義的事件做出反應。大多數情況下，SIEM 工具還包括某種形式的報告和/或儀表板。

一些頂級 SIEM 工具

為了讓您了解可用的工具並幫助您選擇適合您需求的 SIEM 工具，我們匯總了一些最佳 SIEM 工具的列表。

1. SolarWinds 安全事件管理器（免費試用）

為我們帶來上述網絡監視器的相同SolarWinds也提供安全信息和事件管理。事實上，它是最好的 SIEM 工具之一。它可能不像其他一些工具那樣功能齊全，但它的功能非常好，並且具有所有必需的功能。該工具稱為SolarWinds 安全事件管理器( SEM )。最好將其描述為入門級 SIEM 系統，但它可能是市場上最具競爭力的入門級系統之一。該SolarWinds的SEM 擁有您可以從 SIEM 系統中獲得的一切，包括出色的日誌管理和關聯功能，可幫助檢測未經授權的數據出口和令人印象深刻的報告引擎。

免費試用：SolarWinds 安全事件管理器

官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

至於工具的事件響應功能，正如SolarWinds所預期的那樣，它們沒有任何不足之處。詳細的實時響應系統將積極應對每一個威脅。而且由於它基於行為而不是簽名，因此您可以免受未知或未來的威脅。該工具的儀表板可能是其最佳資產之一。通過簡單的設計，您可以輕鬆快速地識別異常。該工具的起價約為 4,500 美元，非常實惠。如果您想先試用，可以下載免費的全功能 30 天試用版。

官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

2. Splunk 企業安全

可能是最受歡迎的 SIEM 系統之一，Splunk Enterprise Security（或簡稱為Splunk ES，通常被稱為Splunk ES）以其分析功能而聞名。Splunk ES實時監控您系統的數據，尋找漏洞和異常活動跡象。該系統使用Splunk自己的自適應響應框架( ARF )，該框架與來自超過 55 家安全供應商的設備集成。在ARF執行自動響應，讓您快速佔上風。再加上一個簡單而整潔的用戶界面，您就有了一個成功的解決方案。其他有趣的功能包括“顯著”功能，它顯示用戶可自定義的警報和“資產調查器”，用於標記惡意活動並防止進一步的問題。

Splunk ES是一種企業級產品，因此它具有企業級的價格標籤。遺憾的是，您無法從Splunk的網站獲得大量定價信息，您需要聯繫銷售部門獲取報價。儘管價格昂貴，但這是一款出色的產品，您可能希望聯繫Splunk以利用可用的免費試用版。

3. 網絡見證

過去幾年，NetWitness專注於支持“深度、實時的網絡態勢感知和敏捷的網絡響應”的產品。在被EMC收購後，又與戴爾合併，Netwitness業務現在是該公司RSA分公司的一部分。這是個好消息，因為RSA在安全方面享有盛譽。

NetWitness是尋求完整網絡分析解決方案的組織的理想選擇。該工具包含有關您的業務的信息，有助於確定警報的優先級。根據RSA 的說法，該系統“比其他 SIEM 解決方案收集更多的捕獲點、計算平台和威脅情報源的數據”。還有先進的威脅檢測，它結合了行為分析、數據科學技術和威脅情報。最後，高級響應系統擁有編排和自動化功能，可幫助在威脅影響您的業務之前根除威脅。