NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
маловероятен, но эта опция позволяет определить, следует ли регистрировать такие ситуации. По умолчанию: DropLog ARP Expire Определяется время хранения обычной динамической записи в ARP-таблице до удаления этой записи из таблицы. По умолчанию: 900 seconds (15 minutes) ARP Expire Unknown Определяет в секундах, как долго система NetDefendOS будет хранить ошибочные адреса. Это делается для того, чтобы NetDefendOS не получала постоянно запросы с таких адресов. По умолчанию: 3 ARP Multicast Определяет, как система NetDefendOS решает вопросы, связанные с ARP-запросами и ARPответами, в состоянии которых указано, что они являются адресами с многоадресной рассылкой. Такие сообщения, как правило, не корректны, за исключением некоторой балансировки нагрузки и избыточности устройств, которые используют физический уровень адресов многоадресной рассылки. По умолчанию: DropLog ARP Broadcast Определяет, как система NetDefendOS решает вопросы, возникающие с ARP-запросами и ARPответами, в состоянии которых указано, что они являются адресами с многоадресной рассылкой. Такие сообщения, как правило, не корректны. По умолчанию: DropLog ARP cache size Максимальное количество записей в ARP-кэше. По умолчанию: 4096 ARP Hash Size Хэш используется для быстрого поиска данных в таблице. Для достижения максимальной эффективности хэш должен быть в два раза больше таблицы с индексами. Если самая крупная непосредственно подключенная LAN-сеть, содержит 500 IP-адресов, размер хэш-таблицы должен быть не менее 1000. По умолчанию: 512 ARP Hash Size VLAN Хеширование используется для быстрого поиска записей в таблице. Для достижения максимальной эффективности размер хеша должен быть в два раза больше таблицы с индексами, поэтому если самая крупная непосредственно подключенная VLAN-сеть, содержит 500 IP-адресов, размер хештаблицы должен быть не менее 1000. 114
По умолчанию: 64 ARP IP Collision Определяет поведение системы при получении ARP-запроса от получателя, IP-адрес которого противоречит одному из уже используемых на принимающем интерфейсе. Возможны следующие состояния: Drop или Notify. По умолчанию: Drop 3.5. Наборы IP-правил 3.5.1. Политики безопасности (Security Policies) Перед детальным рассмотрением наборов IP-правил в данном руководстве сначала рассматривается общая концепция политик безопасности, к которым принадлежат устанавливаемые наборы IPправил. Характеристики политики безопасности Политики безопасности системы NetDefendOS настраиваются администратором для регулирования метода, в соответствии с которым трафик может проходить через межсетевой экран NetDefend. Такие политики описываются содержанием различных наборов правил системы NetDefendOS. Набора правил разделяются общими методами, с указанными критериями фильтрации, определяющими тип трафика, к которым они будут применяться. Возможные критерии фильтрации состоят из: Source Interface Интерфейс или группа интерфейсов межсетевого экрана NetDefend, на который приходит пакет. Им также может быть VPN-туннель. Source Network Сеть, содержащая IP-адрес источника пакета. Сетью источника может быть IP-объект системы NetDefendOS, который может определяться единственным IP-адресом или диапазоном адресов. Destination Interface Интерфейс или группа интерфейсов межсетевого экрана NetDefend, с которого отправляется пакет. Им также может быть VPN-туннель. Destination Network Сеть, которой принадлежит IP-адрес назначения пакета. Сетью назначения может быть IP-объект системы NetDefendOS, который может определяться единственным IP-адресом или диапазоном адресов. Service Тип протокола, к которому принадлежит пакет. Сервисные объекты определяют тип протокола/порта. Например, HTTP и ICMP. Сервисные объекты также определяют любой ALG, который будет применяться к трафику. Системой NetDefendOS предоставляет большое число встроенных сервисных объектов, но у администратора также существует возможность создания клиентских сервисов. Существующие сервисные объекты можно объединять в сервисные группы. Более подробная информация об этой теме приведена в 115
- Page 63 and 64: Проблема может воз
- Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp
- Page 67 and 68: SNMP-доступа. Порт 161
- Page 69 and 70: gw-world:/> pcapdump -size 1024 -st
- Page 71 and 72: • Имя файла (без ра
- Page 73 and 74: Примечание: Резерв
- Page 75 and 76: Глава 3.Основные пр
- Page 77 and 78: 2. Указать подходящ
- Page 79 and 80: 3.1.5. Автоматически
- Page 81 and 82: "" Web-интерфейс 1. Пер
- Page 83 and 84: Другие свойства се
- Page 85 and 86: интегрированный с I
- Page 87 and 88: 3.2.5. Service Groups (Сервис
- Page 89 and 90: • Туннельные интер
- Page 91 and 92: Процесс запуска бу
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113: ARP Match Ethernet Sender Опре
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143 and 144: Рисунок 4.1 Сценарий
- Page 145 and 146: Рисунок 4.2. Примене
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153 and 154: опрашивать один ил
- Page 155 and 156: 4.2.5. Расширенные на
- Page 157 and 158: Рисунок 4.4. Пример Pr
- Page 159 and 160: был хотя бы маршрут
- Page 161 and 162: • Каждый ISP предост
- Page 163 and 164: 2. Если найден тольк
маловероятен, но эта опция позволяет определить, следует ли регистрировать такие ситуации.<br />
По умолчанию: DropLog<br />
ARP Expire<br />
Определяется время хранения обычной динамической записи в ARP-таблице до удаления этой<br />
записи из таблицы.<br />
По умолчанию: 900 seconds (15 minutes)<br />
ARP Expire Unknown<br />
Определяет в секундах, как долго система NetDefendOS будет хранить ошибочные адреса. Это<br />
делается для того, чтобы NetDefendOS не получала постоянно запросы с таких адресов.<br />
По умолчанию: 3<br />
ARP Multicast<br />
Определяет, как система NetDefendOS решает вопросы, связанные с ARP-запросами и ARPответами,<br />
в состоянии которых указано, что они являются адресами с многоадресной рассылкой.<br />
Такие сообщения, как правило, не корректны, за исключением некоторой балансировки нагрузки и<br />
избыточности устройств, которые используют физический уровень адресов многоадресной<br />
рассылки.<br />
По умолчанию: DropLog<br />
ARP Broadcast<br />
Определяет, как система NetDefendOS решает вопросы, возникающие с ARP-запросами и ARPответами,<br />
в состоянии которых указано, что они являются адресами с многоадресной рассылкой.<br />
Такие сообщения, как правило, не корректны.<br />
По умолчанию: DropLog<br />
ARP cache size<br />
Максимальное количество записей в ARP-кэше.<br />
По умолчанию: 4096<br />
ARP Hash Size<br />
Хэш используется для быстрого поиска данных в таблице. Для достижения максимальной<br />
эффективности хэш должен быть в два раза больше таблицы с индексами. Если самая крупная<br />
непосредственно подключенная LAN-сеть, содержит 500 IP-адресов, размер хэш-таблицы должен<br />
быть не менее 1000.<br />
По умолчанию: 512<br />
ARP Hash Size VLAN<br />
Хеширование используется для быстрого поиска записей в таблице. Для достижения максимальной<br />
эффективности размер хеша должен быть в два раза больше таблицы с индексами, поэтому если<br />
самая крупная непосредственно подключенная VLAN-сеть, содержит 500 IP-адресов, размер хештаблицы<br />
должен быть не менее 1000.<br />
114