旁接模式、監聽模式 (TAP Mode)
有些代理商會說全名是 test access point 或 terminal access point
在網路孔上安裝後,可以把所有流量複製一份出來到其他設備上處理
優點:網路孔裝上去就完成了。不用做什麼處理。
缺點:物理安裝的時候網路會中斷,或是要監控的東西在VM裡沒辦法裝
鏡像模式 SPAN (Switch Port Analyzer) /Port Mirroring
SPAN 是第 2 層和第 3 層交換器的一部分。用軟體邏輯的方式進行處理,因此需要在設備上設定要鏡像(複製)的數據。
優點:可以把SPAN拉到較遠的地方佈署,網路有通過去就好
缺點:資料量可能比TAP少
透通模式(Transparent Mode) /inline mode
把設備放在必經的網路線路上,所有訊號都一定要經過這台設備,因此如果發現有異常攻擊或行為,設備可以禁止該流量做阻擋
優點:可以阻止訊號
缺點:這台設備壞了網路就斷了
反向代理模式 (Reverse-proxy mode)
把設備裝在必經的網路線路上,並且由這台設備自己當作router,底下有自己的子網路ip,外部設備看不到裡面的還有多少設備
優點:可以阻止訊號,外面的訊號無法掃到後面還有多少設備
缺點:這台設備壞了網路就斷了,必須要在這台設備上做網路設定,沒辦法從上層的router統一管理
應用場景
資料外洩保護(data leakage protection)
應用程式效能監控(application performance monitoring)
安全性資訊與事件管理(SIEM)
數位鑑識 (Digital forensics)
入侵偵測(IDS)、入侵防護(IPS)
參考資料
Network_tap
https://en.wikipedia.org/wiki/Network_tap
NSM 10 網路安全監控佈署方式 (TAP or SPAN?)
https://ithelp.ithome.com.tw/articles/10205024
[Cisco] 網路流量側錄功能教學-SPAN( Switched Port Analyzer)
https://medium.com/blacksecurity/cisco-流量側錄功能-span-mirror-port-17f380e404ac