pfSense ntopng插件的使用

ntopng 是一款基于 Web 的高速流量分析和流量收集工具，它是经典 ntop 的下一代版本，能够监视并分析网络使用情况。ntopng 以 libpcap 为基础，可运行在 Unix、MacOSX、FreeBSD、Linux 和 Windows 等平台上。它提供了直观且支持加密的 Web 用户界面，可用于实时查看和历史流量信息分析。

主要功能包括：

• 根据 IP 地址、端口、L7 协议、吞吐量、自治系统（AS）等多种标准对网络流量进行分类
• 显示实时网络流量和活动主机
• 为吞吐量、应用协议等多种网络指标生成长期报告
• 监控并报告实时吞吐量、网络与应用程序延迟、往返时间（RTT）、TCP 统计信息（重传、乱序、丢包）以及传输的字节与数据包
• 在磁盘上持久化存储流量统计数据，以便后续探索和事后分析
• 地理位置可视化
• 借助 nDPI 深度包检测（DPI）技术，识别应用协议（如 Facebook、YouTube、BitTorrent 等）
• 利用 Google 和 HTTP 黑名单的特征服务，标识 HTTP 流量
• 根据源/目的对 IP 流量进行分析与分类
• 按协议类型报告 IP 协议使用情况
• 生成 HTML5 / AJAX 网络流量统计信息
• 全面支持 IPv4 和 IPv6
• 完整的第二层支持（包括 ARP 统计）
• 支持 GTP/GRE 协议
• 可将监控数据导出至 MySQL、ElasticSearch 和 LogStash
• 支持将监控数据导出至 MySQL，实现交互式历史探索
• 内置告警引擎，可捕获异常及可疑主机
• 提供 SNMP v1/v2c 支持，可持续监视 SNMP 设备

版本区分

ntopng 分为社区版、专业版和企业版三个版本。社区版可免费使用并提供开源代码（可从 Github 获取）。专业版和企业版则针对中小企业或大型组织提供了更多高级功能。集成在 pfSense 插件中的为社区版，缺少限流及部分高级分析功能，但常用功能基本齐全，普通用户使用完全足够。

下面以 pfSense 4.2p1 中集成的 ntopng 3.0.2017.08.12 版本为例，介绍安装、配置和使用方法。

• ntopng 安装
• ntopng 配置
• ntopng 登录
• ntopng 简介

ntopng 安装

1. 进入 pfSense 的 Web GUI 界面
2. 导航到 系统 > 插件管理 > 可用插件
3. 找到 ntopng 插件，点击右侧的安装图标进行安装
4. 等待插件安装完成

安装完成后，系统诊断菜单下会出现 ntopng 和 ntopng settings 两个子菜单。

ntopng 配置

1. 导航到 系统诊断 > ntopng settings，进入常规设置选项卡
2. 按下图进行设置（为方便描述，使用汉化版本，更容易理解）
3. 根据实际需要选择接口，一般只选内网接口
4. 配置完成，保存设置

ntopng 登录

1. 点击右侧的 访问 ntopng 或导航到 系统诊断 > ntopng 菜单
2. 进入 ntopng 登录页面
3. 输入默认用户名 admin 及在常规设置页面配置的密码
4. 登录 ntopng

ntopng 的默认访问端口为 3000，如需通过外网访问，必须在 WAN 接口上开放 3000 端口。

ntopng 简介

进入 ntopng 后，首先展示的是仪表大厅，其中包含一些基本会话信息，并根据不同分类显示出不同的内容。

1、仪表盘

2、关于 ntopng

3、运行状态

4、警报

5、活动连接
这里可以看到每个 IP 的实时速率。

6、主机信息

7、网络

8、主机池

9、独立系统

10、主机按国别分类

11、主机按操作系统分类

12、本地主机实时下载量

13、HTTP 服务器

14、本地主机列表

15、主机树地图

16、本地主机矩阵图

17、Geo 地图

18、2 层设备

19、接口信息

20、接口信息累计协议统计

21、用户管理
这里可以修改用户密码，也可以添加新用户，并赋予相应的管理权限。

22、ntopng 参数设置

23、导出数据

平台与支持信息