NetFlow란 무엇인가요? 

트래픽 흐름 데이터는 트래픽의 양이 얼마나 되는지, 트래픽이 어디에서 들어오고 어디로 가는지, 사용 중인 경로에 대한 정보를 기업의 IT 전문가에게 제공합니다. 이러한 네트워크 흐름 통계는 시간 경과에 따른 사용량을 모니터링하고, 문제를 감시하고, 업그레이드를 계획하는 데 사용되기 위해 기록됩니다.

NetFlow는 인터넷 엔지니어링 태스크 포스(IETF) 표준으로 인식되지만, "netflow"는 다른 네트워크 흐름 모니터링 프로토콜을 지칭하는 일반적인 용어이기도 합니다. Cisco Systems NetFlow 버전 9은 템플릿 기반이며 이를 통해 활성화할 통계를 선택할 수 있습니다. 반면, 인기 있는 Cisco Systems NetFlow v5와 같은 이전 버전에서는 고정된 필드 집합을 사용해야 했습니다. 전반적으로 NetFlow 버전 9은 이전 버전보다 더 유연합니다.

IPFIX(IP Flow Information Export)는 유연한 템플릿 기반 접근 방식을 사용하는 또 다른 netflow 프로토콜입니다. NetFlow v9은 널리 사용되고 있지만 IPFIX는 업계 표준이 되었습니다. 실제로 IPFIX는 NetFlow v9을 기반으로 합니다. 이 두 프로토콜은 매우 유사하여 IPFIX는 NetFlow 제품은 아니지만, NetFlow v10이라고도 불립니다.

널리 사용되는 또 다른 IP 네트워크 흐름 모니터링 프로토콜 및 데이터 레코드 표준은 sFlow, 즉 sampled NetFlow입니다. InMon Corp에서 도입한 이 프로토콜은 NetFlow처럼 네트워크를 통과하는 모든 패킷을 추적하는 것이 아니라, 네트워크 트래픽의 무작위 샘플을 포획합니다. 이러한 무작위 샘플링은 처리 및 분석할 트래픽 흐름 데이터는 적지만, 성능에 미치는 영향은 최소화된다는 것을 의미합니다. NetFlow는 모든 데이터 흐름을 추적하기 때문에 네트워크 속도가 느려질 수 있습니다.

다른 netflow 모니터링 프로토콜에는 Juniper Networks의 J-Flow, 3Com/Huawei의 NetStream, Alcatel-Lucent의 Cflow, Ericsson의 Rflow 등이 있습니다. 이러한 도구를 가리키는 데 사용되는 일반적인 용어는 xFlow입니다.

NetFlow 솔루션은 일반적으로 다음의 3가지 주요 구성 요소로 구성됩니다.

1. NetFlow 익스포터. 보통 라우터나 방화벽과 같은 NetFlow 지원 장치는 흐름 익스포터로 작동하며 흐름 정보를 수집합니다. 그리고 데이터 패킷을 흐름으로 집계하며, UDP(User Datagram Protocol)를 통해 하나 이상의 NetFlow 수집기에 주기적으로 NetFlow 레코드를 내보냅니다.

이 익스포터는 입력 인터페이스 포트, 소스 IP 주소와 대상 주소, 소스 포트, 대상 포트 번호, 3계층 프로토콜 필드 또는 서비스 유형 중 하나 이상의 공통 요소가 있는 단방향 패킷 스트림으로 흐름을 식별합니다. 흐름이 일정 기간 동안 비활성 상태이면 NetFlow 내보내기를 사용할 준비가 된 것입니다. 또한 FIN 또는 RST와 같은 TCP 플래그가 흐름의 종료를 표시하는 경우도 준비가 된 것입니다.

2. NetFlow 수집기. Netflow 수집기는 하드웨어 또는 소프트웨어 기반일 수 있지만, 소프트웨어 기반 도구가 더 흔하게 사용됩니다. NetFlow 수집기는 흐름 내보내기 도구에서 집계된 흐름 기록 데이터를 수신한 다음 이를 전처리하여 저장합니다.

3. NetFlow 분석기. NetFlow 분석기는 흐름 수집기가 수신하고 저장한 NetFlow 레코드를 처리하고 분석하는 도구입니다. 이 분석기는 데이터를 보고와 경고로 변환하며, 이런 보고와 경고는 대역폭 사용량, 대역폭 호그, 트래픽 패턴 및 애플리케이션 사용량에 대한 인사이트뿐만 아니라, 보안 위협 및 성능 문제를 파악할 수 있는 기타 성능 메트릭에 대한 인사이트도 제공합니다. 이러한 트래픽 흐름 분석을 통해, 네트워크 트래픽 및 볼륨에 대한 전반적인 상황을 이해할 수 있습니다.

NetFlow 데이터는 네트워크에 대한 심층적인 가시성을 제공함으로써, 더 나은 사용자 경험을 위한 성능 최적화에 도움을 줍니다.

트래픽 흐름을 이해하여 처리량을 극대화합니다. 기업 네트워크로 들어오는 트래픽을 추적하고 상위 사용자를 식별하는 등 전체 네트워크 내에서 IP 트래픽 패턴을 확인하는 것은 큰 가치가 있습니다. 보안 및 네트워크 운영팀은 이 흐름 정보를 사용하여 네트워크 애플리케이션 사용을 모니터링하고, 병목 현상을 감지하며, 다운타임의 위험을 줄일 수 있습니다. NetFlow 데이터는 사용량 기반 요금 청구에도 유용합니다. 이 기능을 사용하면 특정 사업부 또는 최종 사용자에게 네트워크 비용을 청구할 수 있습니다.

정확한 확장 계획을 수립합니다. NetFlow 데이터는 적절한 대역폭 용량을 확보하고 네트워크 확장을 위한 최선의 계획을 세울 수 있도록 네트워크 트래픽을 추적하는 데 도움이 됩니다. 이 정보를 통해 포트 수, 라우팅 장치 및 기타 요구 사항 측면에서 업그레이드를 더 쉽고 더 효율적으로 계획할 수 있습니다.

사이버 보안 보호를 강화합니다. 네트워크 동작의 변화를 시각화하면 보안 운영팀이 사이버 보안 침해를 가리킬 수 있는 이상 징후를 식별하는 데 도움이 됩니다. 또한 이러한 데이터는 보안 사고 후에 과거 기록을 재생하고, 무슨 일이 일어났는지 그리고 미래에 해당 시나리오를 어떻게 피할지 더 잘 이해하는 데도 유용할 수 있습니다.

사용자 경험을 개선합니다. 트래픽 흐름 데이터를 수집하고 분석하면 속도 저하, 네트워크 트래픽 급증, 대역폭 과다 사용 및 기타 네트워크 문제를 진단하고 해결하는 데 큰 도움이 됩니다.

몇 분 안에 인사이트를 확보합니다. 많은 네트워크 장치에는 이미 NetFlow 또는 IPFIX 지원이 설치되어 있으므로, 간단하게 활성화하고 결과 데이터를 NetFlow 수집기로 향하게 할 수 있습니다. NetFlow가 아직 없는 경우 비교적 저렴하게 설치할 수 있습니다. 일반적으로 추가 하드웨어가 필요하지 않습니다. NetFlow를 다운로드한 후, 몇 개의 네트워크 노드를 쉽게 구성하여 다운타임 없이 단 몇 분 만에 네트워크에 IP 흐름 분석을 추가할 수 있습니다.

NetFlow는 많은 대역폭을 사용하므로, 모니터링 대상이 되는 장치의 성능에 영향을 줄 수 있습니다. 이러한 제한 때문에 일부 팀은 예를 들어, 훨씬 적은 대역폭을 사용하는 sFlow를 사용하여 IP 패킷의 샘플링을 대신 선택합니다. 그러나 샘플링으로 인해 IT 팀이 중요한 네트워크 보안 또는 성능 문제를 발견하지 못할 수 있다는 단점이 있습니다.

또한 NetFlow는 제한된 수의 사람이나 모니터링 툴에만 결과를 전달할 수 있으며, 그 수는 네트워크를 적절하게 관리하고 문제를 해결하는 데 필요한 것보다 적은 경우가 많다. 이러한 제한은 너무 적은 수의 사람만이 네트워크 작동 방식에 대한 너무 적은 정보를 확인하므로 문제와 위협을 제대로 파악할 수 없다는 것을 의미합니다.

또 다른 제한 사항은 NetFlow가 트래픽을 전송하거나 수신하는 장치는 식별하지만, 로그인 정보를 확인하지 않으므로 사용자 ID를 제공할 수 없다는 것입니다.

NetFlow가 출시되기 전에 IT 전문가들은 SNMP(Simple Network Management Protocol)를 사용하여 네트워크 트래픽을 분석하고 모니터링했습니다. SNMP는 여전히 네트워크 모니터링에 널리 사용됩니다.

NetFlow와 달리 SNMP는 메모리, CPU 및 스토리지 사용량과 장치 온도를 모니터링합니다. SNMP는 표준 네트워크 모니터링 및 용량 계획을 위한 정보를 수집합니다. SNMP는 실시간 네트워크 관리에 사용된다는 점에서 NetFlow와 다릅니다. 그러나 SNMP는 네트워크의 사용 목적 및 사용 주체와 같은 대역폭 사용량에 대한 자세한 정보를 제공하지 않습니다.

NetFlow는 푸시(push) 기술을 사용하므로 사용 가능한 즉시 정보를 볼 수 있는 반면, SNMP는 일반적으로 설정된 간격으로 풀(pull) 기술을 사용합니다.

NetFlow는 SNMP보다 더 많은 정보를 제공하기 때문에 심층적인 네트워크 트래픽 분석 및 디버깅에 더 적합합니다. NetFlow는 IP 트래픽을 사용하는 복잡하고 트래픽이 많은 네트워크에 더 적절하고, 이상 징후의 탐지에도 더 적절합니다. 그리고 애플리케이션 및 네트워크 트래픽 소스에 대한 더 자세한 정보를 제공하며, 성능 분석 및 네트워크 트래픽 관리를 위한 확장성이 더 뛰어납니다.

SNMP와 NetFlow는 모두 유용할 수 있지만, 네트워크에 가장 적합한 옵션을 선택하려면 그 차이점을 고려하는 것이 중요합니다.