Dzisiejsze sieci przesyłają wiele różnego ruchu, począwszy od aplikacji biznesowych, poprzez połączenia terminalowe, aż do głosu i wideo. W przypadku problemów z działaniem wrażliwych usług - zazwyczaj są to przerwy lub znaczące pogorszenie jakości telefonii internetowej oraz transmisji wideo - dopiero dogłębna analiza obciążenia sieci i pomiary ruchu mogą wskazać przyczynę. Bardzo częstym powodem pogorszenia jakości VoIP jest nawał danych przesyłanych łączem przy braku priorytetyzacji ruchu. Czasami nie pomagają nawet informacje statystyczne obciążenia łącza i wtedy pomocny będzie analizator ruchu (np. dość popularne, choć kosztowne urządzenie firmy Fluke).

W przypadku konfliktów związanych z pasmem dla VoIP, pomocne będą odpowiednie opcje konfiguracji nowoczesnych routerów i koncentratorów VPN (gwarantujące pasmo dla konkretnych usług), oprogramowanie do limitowania pasma (choćby CBQ w systemach takich jak Linux) bądź urządzenia do kształtowania ruchu, np. powoli wycofywany ze sprzedaży PacketShaper firmy Packeteer (zakupionej niedawno przez BlueCoat, lidera optymalizacji WAN).

Zgodność z polityką

Analiza ruchu pod kątem jego zgodności z polityką bezpieczeństwa i podobnymi założeniami jest istotna w korporacji. Najważniejszym zadaniem jest w takim przypadku blokowanie ruchu niepożądanych aplikacji, po ich wykryciu powinien być podniesiony alarm. Ruchem, który powinien zostać wykryty, jest transfer plików w sieciach peer-to-peer (najpopularniejszą z nich jest BitTorrent), połączenia aplikacji Skype, tunele SSL VPN (najlepiej wszelkie połączenia SSL poza dozwolonymi), inne tunele (także IP over DNS, IP over ICMP), komunikacja związana ze spyware, a także komunikatory internetowe, jeśli polityka przedsiębiorstwa ich zabrania.

Tego typu klasyfikację można łatwo wykonać za pomocą zapory sieciowej z dogłębną inspekcją pakietów (deep packet inspection) oraz IPS-ów klasy Enterprise. Nowoczesne urządzenia UTM łączące obie te funkcje (np. produkty Check Point, SonicWall, 3Com TippingPoint z serii X i inne) z powodzeniem zablokują niepożądane połączenia. Należy zapewnić audyt pracy tych urządzeń. Logi generowane przez zaporę sieciową oraz IPS-a należy, jeśli to możliwe, przesłać do centralnego serwera, typowym rozwiązaniem jest usługa Syslog, obecna w wielu systemach typu Unix/Linux albo jako komercyjna aplikacja dla Windows.

Chronić przed wyciekiem danych

W niektórych instytucjach należy także zabezpieczyć ruch przed wyciekiem danych. Rozwiązania analizujące pakiety pod kątem występowania w nich pewnych wzorców są dostępne w ofercie wielu firm. Wzorce mogą obejmować numery kart płatniczych, szablony danych osobowych (PESEL, NIP, numer polisy), znaki VIN pojazdów mechanicznych. Oprócz rozwiązań komercyjnych, systemy open source również posiadają narzędzia do detekcji konkretnych wyrażeń w pakietach. Przykładem jest specjalna opcja string w zaporze Iptables, będącej częścią jądra systemu Linux, a także zestaw łat dla systemu OpenBSD.