04.03.2013 Views

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

для канала, таким образом, каналу известна пропускная способность и механизм приоритетов<br />

полностью зависит от него.<br />

Ограничения каналов для VPN<br />

Функция Traffic shaping измеряет количество трафика внутри VPN-туннелей. Используются<br />

незашифрованные данные без указания дополнительных данных какого-либо протокола, таким<br />

образом, трафик будет меньше по объему, чем фактический VPN-трафик. VPN-протоколы, например,<br />

IPsec, могут добавить значительный объем к исходным данным, и по этой причине рекомендуется<br />

установить ограничение для каналов для VPN-трафика примерно на 20% ниже доступной ширины<br />

полосы пропускания.<br />

Особенность группового ограничения<br />

Особым случаем является ситуация, когда общее ограничение канала не указано, и вместо этого<br />

используется групповое ограничение. Ограничение полосы пропускания назначается на каждого<br />

пользователя сети, например, в случае, если пользователи должны получать фиксированную долю от<br />

общей полосы пропускания. Провайдер услуг Интернет может использовать этот подход для<br />

ограничения полосы пропускания отдельного пользователя с помощью выбора опции «Destination<br />

IP» при создании группы. Информация о моменте заполнения канала не является важной, так как на<br />

каждого пользователя наложено ограничение. Если были задействованы приоритеты, то будет<br />

использоваться максимум канала.<br />

Значения ограничений не должны превышать значения доступной полосы<br />

пропускания<br />

Если заданное ограничение канала выше, чем доступная полоса пропускания, каналу не будет<br />

известно, что скорость соединения достигла своих физических возможностей. Если физический<br />

предел полосы пропускания 500 кбит/с, но в качестве общего ограничения канала указано 600 кбит/с,<br />

канал будет полагать, что он не заполнен и поэтому не будет урезать низкоприоритетный трафик.<br />

Значения ограничений должны быть немного ниже значения доступной<br />

полосы пропускания<br />

Ограничения каналов должны быть немного ниже ширины полосы пропускания сети.<br />

Рекомендуемым значением ограничения канала является 95% от общего физического ограничения.<br />

Необходимость этой разницы уменьшается по мере увеличения полосы пропускания, так как 5%<br />

представляют собой все более увеличивающуюся долю общей ширины полосы пропускания.<br />

Причина понижения значения ограничения канала связана с методами обработки трафика системой<br />

NetDefendOS. Для исходящих соединений, когда пакеты отправляются межсетевым экраном<br />

NetDefend, всегда существует возможность, что NetDefendOS может немного перегрузить<br />

соединение, так как программные модули, вовлеченные в решение задачи по отправке пакетов,<br />

работают с некоторыми задержками, фактически отправляемых из буферов.<br />

При входящих соединениях требуется меньше контроля над входящими пакетами и пакетами,<br />

которые должны быть обработаны подсистемой Traffic shaping и поэтому более важно задать<br />

ограничения канала немного ниже существующего ограничения соединения, учитывая время,<br />

необходимое системе NetDefendOS для адаптации к изменяющимся условиям.<br />

Атаки на полосу пропускания<br />

Traffic shaping не защищает от входящих атак, расходующих ресурсы, например, атаки DoS или<br />

другие flood-атаки. NetDefendOS препятствует тому, чтобы эти посторонние пакеты достигли хостов<br />

за межсетевым экраном NetDefend, но не может защитить соединение от перегрузки, если действуют<br />

flood-атаки.<br />

Отслеживание утечек<br />

Намереваясь применить защиту и Traffic shaping в самом «узком месте» сети, убедитесь, что весь<br />

трафик, проходящий через «узкое место», также проходит через определенные каналы NetDefendOS.<br />

Если трафик проходит через Интернет-подключение, неизвестное каналам, то они не смогут<br />

определить, когда Интернет-соединение достигло своего максимума.<br />

Проблемы, возникающие по причине утечек, аналогичны проблемам, описанным выше. Трафик,<br />

проходящий в обход каналов, попадает на участок полосы пропускания, находящийся вне<br />

442

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!