兼容 H3C F1070 防火墙 + 深信服 AD 的流量分析工具全分类
两款设备输出标准:
H3C F1070:支持 NetStream(IPFIX)、sFlow、Syslog、SNMP,可导出五元组、应用、NAT、安全策略流量
深信服 AD:支持 Syslog、SNMP、流量镜像抓包,无原生 NetStream,靠 Syslog 会话日志 + 镜像做流量统计
下面分原厂商用、通用商业、开源免费三类,按需选择:
一、新华三原厂平台(最优适配 F1070,同时兼容深信服 AD)
1. U-Center 5.0 /iMC + NTA 流量分析组件(企业主推)
iMC NTA流量监控界面
对接 F1070
防火墙开启netstream export,推送 IPFIX 流数据到 NTA 采集器,完整解析防火墙域间流量、NAT 转换、策略命中、应用带宽、TOP 会话、异常流量告警。
对接深信服 AD
AD 配置Syslog推送会话 / 负载均衡日志,同时通过 SNMP 采集接口带宽;可做全局统一流量大屏、带宽报表、故障溯源。
优势:
对 H3C 防火墙字段深度适配,支持安全 + 流量一体化;
可联动 F1070 下发限流 / 阻断策略;
支持定时流量报表、基线告警、多设备统一管理。
缺点:需购买授权,硬件服务器部署,适合中大型政企。
2. H3C CSAP 日志审计平台
侧重日志流量审计,接收 F1070 安全 Syslog、AD 负载均衡日志,统计业务访问量、并发、故障会话,适合合规审计场景,纯日志维度流量分析。
二、通用商业流量分析软件(跨厂商,同时兼容两款设备)
1. ManageEngine NetFlow Analyzer(运维最常用)
NetFlow Analyzer流量仪表盘
F1070:接收 NetStream (IPFIX),自动识别 H3C 设备,解析防火墙 NAT、域流量;
深信服 AD:Syslog 日志采集 + SNMP 带宽监控,结合镜像抓包补充应用识别;
功能:TOP IP/TOP 应用、带宽趋势、负载均衡业务流量占比、异常流量告警、自定义报表;
支持 Windows/Linux,轻量部署,中小企业性价比高。
2. Trisul Network Analytics
Trisul流量总览
流量桑基图
支持 NetStream/sFlow/Syslog,既能收 F1070 流数据,又能解析 AD 负载均衡会话日志;内置 DPI 深度应用识别,支持长期流量存储、攻击溯源,适合数据中心高带宽场景。
3. 深信服原厂外置数据中心(仅适配 AD,无法统一监控 F1070)
仅能采集 AD 负载均衡、会话、NAT 日志,不能对接 H3C 防火墙,只能单独分析 AD 业务流量,不推荐混合环境统一运维。
三、开源免费方案(无授权成本,适合测试 / 小微企业)
1. ntopng + nProbe(最推荐开源)
F1070:采集 NetStream IPFIX 流;
深信服 AD:两种方式:①交换机镜像 AD 业务口抓包;②AD 推送 Syslog 日志入库关联;
特性:实时流量图、五元组会话、应用分类、地理 IP、带宽告警、历史流量回溯,Docker 一键部署。
2. OpenObserve(轻量化日志 + 流量一体化)
接收 NetStream 流数据、Syslog 日志,统一存储 F1070 与 AD 数据,检索速度快,内置可视化大盘,替代 ELK 轻量化方案。
3. Wireshark(临时排障专用)
仅实时抓包分析,无法长期存储统计;交换机镜像 F1070、AD 端口,适合临时定位卡顿、丢包、SSL 负载均衡异常,不做常态化流量监控。
四、选型快速建议
全 H3C 环境、要安全 + 流量联动、合规报表 → 选 U-Center / iMC NTA
混合设备(F1070 + 深信服 AD)、中小运维、低预算商用 → 选 ManageEngine NetFlow Analyzer
无预算、测试 / 小型机房、轻量化部署 → 选 ntopng
只分析深信服 AD、不管理防火墙 → 深信服外置数据中心
补充:设备侧基础配置要点
H3C F1070 导出 NetStream(给流量分析工具)
plaintext
# 全局开启NetStream
netstream export ipfix source GigabitEthernet 0/0
netstream export ipfix host 流量分析服务器IP 9996
# 接口下使能
interface GigabitEthernet 0/1
netstream inbound
netstream outbound
深信服 AD 推送 Syslog(统一流量平台采集)
【系统管理】-【告警日志配置】添加 Syslog 服务器,推送会话、负载均衡、NAT 日志,端口 514。
需要我给你一份 ntopng Docker 一键部署脚本,同时兼容采集 F1070 NetStream 和深信服 AD Syslog 吗?
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论