NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
для канала, таким образом, каналу известна пропускная способность и механизм приоритетов<br />
полностью зависит от него.<br />
Ограничения каналов для VPN<br />
Функция Traffic shaping измеряет количество трафика внутри VPN-туннелей. Используются<br />
незашифрованные данные без указания дополнительных данных какого-либо протокола, таким<br />
образом, трафик будет меньше по объему, чем фактический VPN-трафик. VPN-протоколы, например,<br />
IPsec, могут добавить значительный объем к исходным данным, и по этой причине рекомендуется<br />
установить ограничение для каналов для VPN-трафика примерно на 20% ниже доступной ширины<br />
полосы пропускания.<br />
Особенность группового ограничения<br />
Особым случаем является ситуация, когда общее ограничение канала не указано, и вместо этого<br />
используется групповое ограничение. Ограничение полосы пропускания назначается на каждого<br />
пользователя сети, например, в случае, если пользователи должны получать фиксированную долю от<br />
общей полосы пропускания. Провайдер услуг Интернет может использовать этот подход для<br />
ограничения полосы пропускания отдельного пользователя с помощью выбора опции «Destination<br />
IP» при создании группы. Информация о моменте заполнения канала не является важной, так как на<br />
каждого пользователя наложено ограничение. Если были задействованы приоритеты, то будет<br />
использоваться максимум канала.<br />
Значения ограничений не должны превышать значения доступной полосы<br />
пропускания<br />
Если заданное ограничение канала выше, чем доступная полоса пропускания, каналу не будет<br />
известно, что скорость соединения достигла своих физических возможностей. Если физический<br />
предел полосы пропускания 500 кбит/с, но в качестве общего ограничения канала указано 600 кбит/с,<br />
канал будет полагать, что он не заполнен и поэтому не будет урезать низкоприоритетный трафик.<br />
Значения ограничений должны быть немного ниже значения доступной<br />
полосы пропускания<br />
Ограничения каналов должны быть немного ниже ширины полосы пропускания сети.<br />
Рекомендуемым значением ограничения канала является 95% от общего физического ограничения.<br />
Необходимость этой разницы уменьшается по мере увеличения полосы пропускания, так как 5%<br />
представляют собой все более увеличивающуюся долю общей ширины полосы пропускания.<br />
Причина понижения значения ограничения канала связана с методами обработки трафика системой<br />
NetDefendOS. Для исходящих соединений, когда пакеты отправляются межсетевым экраном<br />
NetDefend, всегда существует возможность, что NetDefendOS может немного перегрузить<br />
соединение, так как программные модули, вовлеченные в решение задачи по отправке пакетов,<br />
работают с некоторыми задержками, фактически отправляемых из буферов.<br />
При входящих соединениях требуется меньше контроля над входящими пакетами и пакетами,<br />
которые должны быть обработаны подсистемой Traffic shaping и поэтому более важно задать<br />
ограничения канала немного ниже существующего ограничения соединения, учитывая время,<br />
необходимое системе NetDefendOS для адаптации к изменяющимся условиям.<br />
Атаки на полосу пропускания<br />
Traffic shaping не защищает от входящих атак, расходующих ресурсы, например, атаки DoS или<br />
другие flood-атаки. NetDefendOS препятствует тому, чтобы эти посторонние пакеты достигли хостов<br />
за межсетевым экраном NetDefend, но не может защитить соединение от перегрузки, если действуют<br />
flood-атаки.<br />
Отслеживание утечек<br />
Намереваясь применить защиту и Traffic shaping в самом «узком месте» сети, убедитесь, что весь<br />
трафик, проходящий через «узкое место», также проходит через определенные каналы NetDefendOS.<br />
Если трафик проходит через Интернет-подключение, неизвестное каналам, то они не смогут<br />
определить, когда Интернет-соединение достигло своего максимума.<br />
Проблемы, возникающие по причине утечек, аналогичны проблемам, описанным выше. Трафик,<br />
проходящий в обход каналов, попадает на участок полосы пропускания, находящийся вне<br />
442