Standard NetFlow je bez nadsázky základní předpoklad moderní správy a zabezpečení počítačových sítí. Jedná se o nejrozšířenější technologii monitorování síťového provozu, která síťovým a bezpečnostním administrátorům poskytuje detailní přehled o tom, co se v jejich infrastruktuře děje.
NetFlow výrazně zefektivňuje řadu úloh, jako je například řešení provozních problémů v síti, plánování kapacity, řízení výkonnosti, a poskytuje informace důležité pro ochranu podniku před kybernetickými hrozbami.
Spustit demoPo dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který poskytuje informace o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Současná doba, kdy na dostupnosti a správné funkčnosti počítačové sítě závisí fungování většiny organizací, si však žádá mnohem více informací a tedy i efektivnější prostředky. Aby bylo možné tyto informace získávat, uchovávat a analyzovat, vyvinula společnost Cisco standard NetFlow.
NetFlow poskytuje informace z třetí a čtvrté vrstvy referenčního modelu ISO/OSI, tedy informace o IP adresách, portech, protokolech, objemu přenesených dat, paketech a další technické detaily. NetFlow lze připodobnit k výpisu telefonních hovorů. Víme, kdo komunikoval s kým, kdy, jak dlouho, jak často, ale nevíme, jaký byl obsah hovoru. Pomocí sběru, ukládání a analýzy takovýchto informací v agregované podobě mohou síťový a bezpečnostní administrátoři řešit řadu provozních a bezpečnostních úkolů.
NetFlow je v současnosti nejrozšířenější standard pro získávání statistik o datových tocích v síťové komunikaci. Datový tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Cisco během let představilo NetFlow v několika verzích (více informací o NetFlow na wikipedia), které se od sebe významně liší a je tedy pro konkrétní účely třeba rozumět jejich vlastnostem:
Princip získávání NetFlow statistik ilustruje video výše. V momentě, kdy je klientem zaslán požadavek na server (zelená obálka), se aktivní síťový prvek podporující export NetFlow „podívá“ do hlavičky paketu a vytvoří záznam o datovém toku. Tento záznam obsahuje informace o zdrojové a cílové IP adrese a portu, číslo protokolu, počtu přenesených bajtů a paketů a další informace z L3 a L4. Každá síťová komunikace je definována pěti atributy: zdrojovou a cílovou adresou, cílový/zdrojový port a číslo protokolu. NetFlow je „jednosměrná“ technologie. Jakmile tedy server odpovídá klientovi (červená obálka), je vytvořen další záznam o datovém toku. Následující pakety se stejnými atributy updatují předchozí záznamy o datovém toku (například počet přenesených bajtů, trvání komunikace).
Jakmile je komunikace ukončena, záznamy o datových tocích jsou poslány na kolektorovou aplikaci, kde jsou tato data uložena a připravena pro vizualizaci a analýzu.
Nejrozšířenějšími verzemi NetFlow jsou verze 5 a 9. Potřeba jednotného a univerzálního standardu pro export informací o komunikaci v podobě IP toků dala vzniknout standardu IPFIX (Internet Protocol Flow Information Export). Ten definuje, jak jsou informace o IP tocích formátovány a přenášeny z exportéru (routery, switche, speciální sondy, ale i další zařízení) na kolektor. Dříve byli operátoři datových sítí odkázáni na proprietární standard NetFlow společnosti Cisco. Standard IPFIX lze označit za flexibilnějšího následníka NetFlow, který dovoluje rozšířit získávané datové toky o řadu důležitých informací o síťovém provozu.