NSM（Network Security Monitor）网络安全监控模块，是H3C在防火墙产品上开发的流量监控软硬件平台。NSM单板可以在H3C SecPath F1000-A、H3C SecPath F1000-S、H3C SecPath F100-A等型号的防火墙设备上使用，将流经防火墙设备的所有流量进行统计和分析，为网络管理员提供网络安全服务。

NSM用于防火墙流量的监控，利用防火墙在网络中得天独厚的位置，使Internet通讯的流量都会经过防火墙设备，从而使NSM能够获取最为全面的流量数据，提供更加细致的网络安全服务。

NSM产品提供了以下主要功能：

l  支持对防火墙所有出入端口流量的网络安全分析，并且支持对定制端口的分析。

l  支持在线流量的网络安全分析。

l  支持对网络流量采样记录和对历史流量进行网络安全分析。

l  支队对多达百余种网络协议分析。

l  支持对网络协议的过滤分析。

l  提供方便友好的用户界面，支持图形化的分析结果查询。

同时，NSM采用基本功能+插件的方式，为功能的可扩展提供了有力的保障，也为进一步满足用户需求做好了准备。

产品特点

  NSM（Network Security Monitor）网络安全监控模块是H3C在防火墙产品上开发的流量监控软硬件平台。通过对网络流量的分析和统计，NSM板卡能够真实的反映网络的运行情况，有助于网络管理员及时了解和定位各种网络异常。NSM板卡提供的服务实质上是一种网络安全服务，网络管理员可以使用以下四种应用来提高网络的安全性和健壮性：

    l               网络流量统计——分析各种网络安全事件的基础

    l               网络流量监控——及时发现网络安全事件的保障

    l               网络安全漏洞检测——消除隐患的有力武器

    l               网络的优化与规划——带来更合理、更健壮、更安全的网络。

ü 网络流量统计

    NSM板卡支持对网络中的主机进行流量统计。只要能获取主机的名称、MAC地址或IP地址，NSM就能对该主机发送和接收的流量进行统计。

NSM板卡可以统计的网络流量包括：网络总流量、IP组播流量、TCP/UDP流量。统计的同时，NSM实时对流量进行处理和分析，形成其他附加信息，包括：TCP/UDP服务、主机操作系统信息、带宽使用情况和流量分布情况。

    1. 对网络总流量的统计

    基于各种协议发送和接收的数据的总流量，协议包括各层协议，如网络层协议IP、IPX、应用层协议FTP、HTTP等。

    2. 对IP组播流量的统计

    发送和接收的IP组播数据的总流量。

    3. 对TCP会话及其流量、UDP流量的统计

          (1)         当前处于活跃状态的TCP会话，以及与每个会话对应的流量。

          (2)         通过端口号识别各种UDP流量。

    4. 对TCP/UDP服务的识别

    通过主机正在监听或使用的端口号，识别主机使能的TCP/UDP服务。

    5. 对操作系统信息的识别

    识别主机的操作系统，包括Microsoft Windows、Unix/Linux等常用操作系统。

    6. 对带宽使用情况的统计

    主机的即时流量、流量平均值和峰值。

    7. 对流量分布情况的统计

    本地流量（主机与同一个子网内的其他主机的流量）和本地－远程流量（主机与其他子网主机的流量）的流量分布。

    8. 对IP流量分布情况的统计

    TCP和UDP的流量分布。

ü     网络流量监控

    网络流量数据包含了网络运行状况的信息，网络管理员通过这些数据，可以了解网络的使用情况，找出不符合当前网络配置的主机或其他故障点。NSM板卡的网络流量统计功能可以协助管理员发现以下几类主要的网络配置问题：

    1. 主机掩码配置错误

    NSM板卡可以监控网络中所有的子网信息，从而发现配置错误掩码的主机。

    2. 服务的错误配置和使用

    通过监控网络中各种服务的报文收发情况，特别是请求报文的频繁发送，可以分析网络中的主机使用这些服务时配置是否正确。

    3. 无效协议

    通过查看报表中的协议，可以发现不能在网络中正常使用的协议，如网络中正在使用TCP/IP协议，而某些主机安装了IPX、AppleTalk等协议，这些协议不但不能正常使用，还会产生一些无效流量，浪费网络资源。

    4. 网络资源的不合理分配

    通过监控网络带宽使用情况，可以分析网络中占用大量带宽、消耗大量网络资源的主机及其使用的服务。

ü 网络安全漏洞检测

    网络安全已经成为网络管理员最关注的问题之一。通常情况下，网络的安全隐患源于网络中存在的漏洞，而漏洞分为两个方面：第一，主机自我保护存在缺陷，容易被攻击；第二，网络内部用户利用网络资源，对其他主机实施攻击。

    NSM板卡通过对网络安全漏洞的检测，可以发现缺乏自我保护能力的主机和对外实施攻击的主机，为网络管理员采取针对性措施提供依据。NSM板卡能检测的安全漏洞包括：

    l               端口扫描（Portscan）检测

    l               欺骗攻击（Spoofing）检测

    l               木马（Trojan horse）检测

    l               拒绝服务（DoS）攻击检测

ü 网络的优化与规划

    网络的性能也是网络管理员关注的焦点。通常情况下，不是硬件导致网络性能不良，而是对网络不合理的配置与使用导致了带宽浪费。NSM板卡通过对网络流量的分析，可以协助管理员优化网络，或者对网络进行局部重新规划，从而使网络性能上一个台阶。

NSM板卡能探知的网络不合理使用包括：

(1)        识别无效的网络协议，减少网络流量

通过查看报表，可以发现主机安装的无效网络层通信协议，如IPX等。另外，OSPF、IGMP等协议需要在一定范围内使用才能发挥作用。NSM板卡收集协议的流量，并以此分析这些协议是否只是在网络中零星、孤立的主机上使用。网络管理员根据分析的结果采取相应的措施（如关闭特定的协议）来减少网络中的无效流量。

(2)        识别冗余的网络协议，减少网络流量

在网络中，为了实现同一种功能，有时会使用多种协议，浪费了网络带宽资源，如全部服务器都使用DNS服务，而又有少量服务器同时使用WINS服务。NSM板卡可以提供协议报表，为网络管理员去除冗余协议提供依据。

(3)        识别多余连接，节省网络资源

在网络中，适当的设置代理能减少主机之间的连接数，减少多余连接，节省网络资源。NSM板卡可以提供网络连接的报表，为网络管理员合理设置代理提供参考。

(4)        优化路由

NSM板卡可以获取ICMP重定向消息来发现网络中的次优路由。网络管理员可以根据这一信息来优化网络中的路由。

(5)        优化网络结构

NSM板卡可以收集流量并把流量与协议、流向相关联。网络管理员根据这些数据可以分析网络中的服务器位置是否合理，并作出适当调整。