天眼新一代威胁感知系统

1.1. 场景一:单台部署


◇ 场景描述

两台传感器,分别监控不同的网络流量,将日志发送给分析平台。分析平台使用单台部署。Ip地址配置如下:

分析平台IP设置
Web管理IPeth0: 10.0.0.1
ES绑定IPeth0: 10.0.0.1
与传感器联动IPeth0: 10.0.0.1
传感器IP配置 1
Web管理IPeth0: 10.0.0.2
分析平台IP10.0.0.1
传感器IP配置 2
Web管理IPeth0: 10.0.0.3
分析平台IP10.0.0.1

◇ 拓扑图

◇ 配置过程

  1. 修改分析平台eth0的IP
  2. 在网络配置中,ES IP配置选择eth0上的IP,并点击初始化
  3. 传感器上,将分析平台的IP配置为1中分析平台的IP

1.2. 场景二:集群部署


◇ 场景描述

由一个分析平台和2个分析平台拓展节点组成ES集群,两台传感器将日志发送给集群中的主节点。分析平台eth0口配置公网IP作为管理口,eth1用来接收传感器日志,eth2配置内网IP用来绑定ES与集群之间的通信,IP配置如下:

分析平台IP配置
Web管理IPeth0: x.x.x.x
ES绑定IPeth2: 10.0.0.1
与传感器联动IPeth1: 11.0.0.1
分析平台拓展节点1
Web管理IPeth0: 10.0.0.2
ES客户端IPeth0: 10.0.0.2
中心节点IPeth0: 10.0.0.1
分析平台拓展节点2
Web管理IPeth0: 10.0.0.3
ES客户端IPeth0: 10.0.0.3
中心节点IPeth0: 10.0.0.1
传感器 1
Web管理IPeth0: 11.0.0.2
分析平台IP11.0.0.1
传感器 2
Web管理IPeth0: 11.0.0.3
分析平台IP11.0.0.1

◇ 拓扑图

◇ 配置步骤

  1. 分别配置分析平台的三个接口IP,并将ES绑定在eth2上,初始化ES
  2. 配置分析平台拓展节点接口IP,ES客户端IP选择eth0口地址,中心节点IP填写1中分析平台ES绑定的IP地址。点击保存。
  3. 在传感器上,将分析平台的IP地址配置为分析平台eth1口地址。

1.3. 场景三:集群部署-传感器日志发送给拓展节点


◇ 场景描述

如果有多台传感器同时产生日志并发送给集群,在日志量比较大的情况下,建议将传感器的网络日志分别发送给集群中不同的节点,这样可以达到负载均衡,提升集群对日志的接收能力。
注:分析平台扩展节点只能接收网络日志,不能接收威胁告警。
由一个分析平台和2个分析平台拓展节点组成ES集群,一台传感器将网络日志发送给分析平台主节点,另外一台传感器将网络日志发送给分析平台拓展节点。分析平台eth0口配置公网IP作为管理口,eth1用来接收传感器日志,eth2配置内网IP用来绑定ES与集群之间的通信;拓展节点1的eth0用来绑定ES与集群进行通信,eth1用来接收传感器日志。IP配置如下:

分析平台IP配置
Web管理IPeth0: x.x.x.x
ES绑定IPeth2: 10.0.0.1
与传感器联动IPeth1: 11.0.0.1
分析平台拓展节点1
Web管理IPeth0: 10.0.0.2
ES客户端IPeth0: 10.0.0.2
中心节点IPeth0: 10.0.0.1
与传感器联动IPeth1: 11.0.0.2
分析平台拓展节点2
Web管理IPeth0: 10.0.0.3
ES客户端IPeth0: 10.0.0.3
中心节点IPeth0: 10.0.0.1
传感器 1
Web管理IPeth0: 11.0.0.3
分析平台IP11.0.0.1
传感器 2
Web管理IPeth0: 11.0.0.4
分析平台IP11.0.0.1

◇ 拓扑图

◇ 配置步骤

  1. 分别配置分析平台的三个接口IP,并将ES绑定在eth2上,初始化ES
  2. 配置分析平台拓展节点接口IP,ES客户端IP选择eth0口地址,中心节点IP填写1中分析平台ES绑定的IP地址。点击保存。
  3. 在传感器1上,将分析平台的IP地址配置为分析平台eth1口地址。
    在传感器2上,将分析平台的IP地址配置为拓展节点1的eth1口地址。

    注:分析平台扩展节点只能接收网络日志,不能接收告警,所以在进行传输规则配置时,需要将威胁告警配置发送给分析平台主节点,可以将网络日志配置发送给扩展节点。

相关产品