Riverbed Steel Central należy do klasy rozwiązań NBAD (Network Behavior Anomaly Detection). Poprzez zaawansowane mechanizmy analityczne potrafi przedstawić stan sieci i odpowiedzieć na wiele pytań. W przypadku tego typu rozwiązań bardzo istotną kwestią jest przejrzystość i łatwość generowania zapytań oraz ich przedstawiania w odpowiedniej czytelnej formie. Jako kompletny i zaawansowany system tej klasy posiada następujące możliwości:

  • Analiza Behawioralna
  • Automatyczne uczenie się typowych zachowań i alarmowanie w przypadku wystąpienia zmiany.

  • Mapowanie zależności
  • Identyfikacja kierunku ruchu i rozróżnienia dla relacji aplikacja/serwer bez konieczności stosowania aktywnego skanowania lub instalacji agentów.

  • Definiowalne polityki użytkownika
  • Określenie definicji dla akceptowalnego wykorzystania zasobów lub ich wydajności. Wsparcie dla rozwiązywania problemów i obsługi regulacji lub standardów.

  • Identyfikacja aplikacji i użytkowników
  • Powiązanie aplikacji i nazwy użytkownika na podstawie danych Flow. Dostarczenie biznesowego spojrzenia na ruch w infrastrukturze IT.

  • Perspektywa udostępniania aplikacji
  • Umożliwia zrozumienie relacji pomiędzy aplikacjami, ukazuje przepływ ruchu w obrębie infrastruktury.

  • Rozszerzenie Workflow
  • Dostarczenie mechanizmu rozszerzającego zarządzania siecią, wsparcie procesów decyzyjnych poprzez kontekstowe informacje na temat komponentów infrastruktury, zmian i wpływu na nią.

System Riverbed Steel Central może zostać wykorzystany przez różne departamenty w ramach organizacji np.

  • Departament utrzymania sieci
  • Departament bezpieczeństwa sieci
  • Departament utrzymania aplikacji

Departament utrzymania sieci

Steel Central oferuje 4 główne moduły analityczne przeznaczone do monitorowania aplikacji i łączy LAN/WAN. Dwa nakierowane są na aplikacje (wydajność aplikacji i ich dostępność), a dwa na łącza (wykrywanie przeciążeń i awarii). Polityki w tych modułach buduje się wskazując konkretne łącze lub konkretną aplikację, która ma być objęta monitoringiem. Steel Central prowadzi ciągłą analizę szeregu parametrów pracy aplikacji i łączy oraz generuje zdarzenia jeżeli wzorce ruchu odbiegają od stworzonego obrazu odniesienia.


Monitoring dostępności aplikacji polega na wykrywaniu spadku liczby łączących się klientów oraz spadku średniego wolumenu ruchu do i z aplikacji. Jeżeli którykolwiek z tych parametrów spadnie poniżej wartości granicznej w danym przedziale czasu powstaje wyjątek i generowane jest zdarzenie. Moduł monitorowania dostępności aplikacji jest szczególnie użyteczny do wykrywania nadmiernego wykorzystania zasobów (excessive use). Jeżeli aplikacja zostanie przeciążona (np. zbyt dużą liczbą łączących się jednocześnie klientów) wówczas Steel Central zaobserwuje spadek jej wydajności na poziomie odwołań sieciowych i poinformuje o problemie.

Reguły użytkownika dają możliwość tworzenia niestandardowych reguł porównujących aktualną charakterystykę ruchu do stworzonego wcześniej wzorca. Możliwe jest wskazywanie wartości wielu parametrów ruchu sieciowego, których przekroczenie spowoduje wygenerowanie alertu jak również wychwycenie zatrzymania komunikacji w badanym obszarze. Reguły te umożliwiają monitorowanie m.in. czasów odpowiedzi (wykrywanie problemów z łączem lub z aplikacją).


Steel Central dostarcza wielu cennych informacji o aktywności w sieci w postaci raportów. Poniżej przedstawiono kilka przykładów raportów wykorzystywanych w działach LAN/WAN, które mogą dostarczyć odpowiedzi na następujące pytania:

  • Czy VLAN przeznaczony do komunikacji VoIP przenosi inne, niezwiązane z ruchem tego typu dane?
  • Jaka ilość pasma została w zeszłym tygodniu zużyta przez MPLS?
  • Czy istnieją jakieś operacje backupu wykonywane o niewłaściwych porach?
  • Jaką ilość pasma zużył serwer backupów w przeciągu ostatniego roku?
  • Czy muszę zwiększyć prędkość łącza dla ruchu wychodzącego do chmury MPLS?
  • Czy wdrożenie rozwiązania optymalizującego ruchu przesyłany przez WAN pomiędzy Miastem A a Miastem B ma jakikolwiek sens?
  • Czy mój ISP wywiązuje się ze zobowiązań SLA wobec jakości i dostępności łącza?
  • Które z moich łączy WAN są najbardziej obciążone?
  • Czy potrzebuję dodatkowego serwera w klastrze aplikacyjnym?
  • Jak kształtowały się czasy dostępu do moich krytycznych aplikacji w przeciągu ostatniego tygodnia?
  • Czy problem zgłaszany przez użytkowników związany jest z siecią czy z aplikacją?
  • Jak wyglądała komunikacja pomiędzy stacją A a serwerem B na przestrzeni ostatniego miesiąca?
  • Jakie aplikacje są używane? Czy wszystkie są dozwolone?
  • Jakie opóźnienia występują w sieci, czy jest to spowodowane problemami urządzeń sieciowych czy może serwerów które oferują usługi?
  • Kto korzysta z aplikacji?
  • Jakie serwery są źródłami ruchu? Czy to są faktycznie serwery?
  • Do których serwerów dociera ruch? Czy powinien do nich docierać?
  • Jakie aplikacje generują największy ruch?
  • Które porty/protokoły są najczęściej wykorzystywane w danym segmencie sieci lub na danym łączu?
  • Które stacje zużywają najwięcej pasma?
  • Kto zajmuje całe dostępne pasmo?
  • Czy łącza mają wystarczającą przepływność?
  • Czy ruch jest kierowany właściwą drogą?
  • Jakie aplikacje działają na serwerach?
  • Jakie porty wykorzystują serwery?
  • Skąd i dokąd płynie ruch?
  • Jakie serwery generują ruch? Czy jest on uprawniony?

Departament bezpieczeństwa sieci

Steel Central Profiler wykorzystuje kilka mechanizmów, które mogą wspomagać dział bezpieczeństwa. Są to m.in.

  • moduł heurystyki,
  • predefiniowane polityki bezpieczeństwa,
  • polityki tworzone przez użytkowników,
  • tworzenie raportów w oparciu o dane bieżące oraz archiwalne

Moduł heurystyczny monitoruje ruch sieciowy i porównuje do stworzonego wcześniej profilu ruchu. Jeżeli zostaną wykryte istotne odchylenia Steel Central rejestruje takie zdarzenie i może powiadomić administratorów.

Moduł heurystyczny potrafi wykryć:

  • Skanowanie portów: identyfikuje stacje, które skanują wiele portów na innych stacjach
  • Skanowanie stacji: identyfikuje stacje, które skanują inne stacje
  • Aktywność robaków: identyfikuje stacje, które zostały już wcześniej przeskanowane, a których obecna aktywność wskazuje na działanie robaka.
  • Podejrzane połączenia: identyfikuje stacje, które zaczynają komunikować się na niewykorzystywanych do tej pory portach.
  • Pojawienie się nowych portów: identyfikuje stacje, które zaczęły oferować lub korzystać z nowej nieznanej do tej pory usługi.
  • Pojawianie się nowych stacji w monitorowanym segmencie: identyfikuje pojawienie się nowych źródeł ruchu np. w segmencie krytycznym, w którym znajduje się ściśle ustalona z góry lista stacji/serwerów.
  • DoS/ Nadmierne wykorzystanie pasma: wykrywanie stacji wykorzystujących pasmo w większym stopniu niż dotychczas.

Reguły użytkownika pozwalają na porównywanie wzorców ruchu z wskazanymi przez użytkownika wartościami. Jeżeli wartości te zostaną osiągniecie lub przekroczone mogą zostać wygenerowane alerty. Wraz z rozwiązaniem Steel Central dostępnych jest kilka szablonów stworzonych w oparciu o taki typ polityki. Do najczęściej wykorzystywanych należy wykrywanie ruchu P2P. W tym przypadku Steel Central opiera się przede wszystkim na ruchu aplikacyjnym charakterystycznym dla P2P oraz portach, na których zwykle operują narzędzia tego typu. Możliwe jest jednak tworzenie znacznie bardziej zaawansowanych i złożonych polityk. Aby skutecznie wykorzystać reguły tego typu należy dokładnie określić hosty, które będą objęte monitoringiem oraz zastanowić się, co jakiego typu zachowania powinny być monitorowane. Dobrym przykładem jest monitorowane wrażliwych serwerów pod kątem nawiązywania przez nie połączeń wychodzących na port TCP 25 (poczta) do serwerów nieznajdujących się na liście serwerów pocztowych.

Steel Central umożliwia generowanie szeregu raportów przydatnych z punktu widzenia bezpieczeństwa sieci. Poniżej przedstawiono listę przykładowych raportów związanych z bezpieczeństwem:

  • Lista wszystkich hostów, które łączyły się do serwerów w grupie serwerów księgowych w przeciągu ostatniego tygodnia.
  • Lista wszystkich użytkowników, którzy logowali się serwera kadrowo-płacowego.
  • Lista wszystkich hostów wewnątrz sieci, które korzystały z aplikacji P2P w przeciągu ostatniego tygodnia.
  • Lista wszystkich hostów wewnątrz sieci, które nawiązywały połączenie ze wskazanym adresem IP w przeciągu ostatniego tygodnia.
  • Lista wszystkich hostów, które nawiązywały połączenia z routerami i przełącznikami, a nie znajdują się na liście stacji uprawnionych do zarządzania.
  • Lista wszystkich stacji, które w komunikacji wewnętrznej korzystają z niezabezpieczonych protokołu np. telnet, ftp.
  • Lista wszystkich połączeń do danej stacji w godzinach 10:20 – 10:30, 1 stycznia 2015.
  • Lista 10 hostów zewnętrznych, z którymi najczęściej nawiązywane są połączenia.
  • Lista wszystkich nieautoryzowanych serwerów SMTP w sieci.
  • Lista wszystkich serwerów SMTP w strefie serwerów krytycznych.
  • Lista wszystkich serwerów FTP uruchomionych w sieci lokalnej.
  • Identyfikacja nieautoryzowanych serwerów DHCP.
  • Uzyskanie odpowiedzi na pytanie, czy zapora sieciowa faktycznie blokuje określony ruch w taki sposób, w jaki jest to oczekiwane.

Departament utrzymania aplikacji

Riverbed Steel Central umożliwia monitorowanie aplikacji na poziomie ruchu sieciowego. Dzięki czemu istnieje możliwość wykrywania problemów wydajnościowych z aplikacjami bądź faktu niedostępności aplikacji lub jej komponentów.

Możliwe jest także wykrywanie elementów aplikacji na podstawie ruchu sieciowego oraz ustalanie wzajemnych powiązań pomiędzy nimi.