近年来，网络安全问题已分布于TCP/IP模型的每一个层面上，网络透视分析、安全事件关联分析等技术成为当前校园网安全研究的重点。通过几年的研究与探索，合肥学院网络安全体系初步成形，其结构如图1所示。

图1 合肥学院网络安全系统结构

　　在整个安全架构中，网络应用分析对掌握网络应用的构成，进行安全隐患分析和预警至关重要。目前，采用网络流技术和网络探针来分析流量构成是主流的方法，网络流分析占用网络系统资源小，分析效率较高，是高校在网络边缘和核心交换设备上易于部署和采用的技术。商业化的分析软件功能强，可视化好，但价格昂贵，对校园网来说，在经费紧张的情况下可以使用开源软件，如Flowtools、Ntop等来进行流量分析。

　　我们在思科6509交换机和华为3com 6602路由器接口上启用网络流采样输出，全网数据流都利用NetFlow Analyzer软件进行数据收集与分析。在关键链路上为了更精确地监控流量而使用了开源的网络分析工具Ntop，其与学院通用网管系统相结合，为掌握网络流量细节提供了有效手段。

　　流量监控工具NetFlow

　　NetFlow可以部署在网络中的任何位置，出于统计效率的考虑通常部署在网络边缘和核心。在较高端的边缘路由器上开启NetFlow时可以考虑采用低的采样比，从而获取更准确的出口流量和应用信息。在思科核心交换机Cisco6509上，首先在二层开启NetFlow，设置老化时间、nde版本及抽样比等参数。之后，在三层接口使用NetFlow，设置启用接口、flow版本及collector目的地址和端口号等。

　　二层命令如下：
　　hfuu-cisco6509-master(config)#mls netflow
　　hfuu-cisco6509-master(config)#mls aging fast time 4 threshold 128
　　hfuu-cisco6509-master(config)#mls aging long 64
　　hfuu-cisco6509-master(config)#mls aging normal 32
　　hfuu-cisco6509-master(config)#mls flow ip interface-full
　　hfuu-cisco6509-master(config)#mls nde sender version 5
　　hfuu-cisco6509-master(config)#mls nde interface
　　hfuu-cisco6509-master(config)#mls sampling packet-based 64 4096
　　三层命令如下：
　　hfuu-cisco6509-master(config)#int vlan 101
　　hfuu-cisco6509-mas(config-if)#ip route-cache flow
　　hfuu-cisco6509-master(config)ip flow-export source Vlan101
　　hfuu-cisco6509-master(config)ip flow-export version 5
　　hfuu-cisco6509-master(config)ip flow-export destination 210.45.88.85 9996
　　配置完成后可以使用下列命令显示当前cache 中的流信息。
　　hfuu-cisco6509-master# show ip cache flow
　　该命令可以显示网内不同大小数据包的分布状况、网络协议的数据流数等信息，可初步判断网络的运行状况，show mls netflow ip命令可以查看更多的流细节，使用include、tcp、udp等参数可以控制输出指定的流信息。