NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Если используется SAT, например, для Web- или FTP-сервера, необходимо направить трафик в<br />
каналы, в противном случае он обойдет Traffic shaping и тем самым нарушит запланированную<br />
систему QoS. Помимо этого, инициация соединения с сервером выполняется с внешней стороны,<br />
поэтому направление каналов необходимо изменить в обратную сторону: прямым каналом будет<br />
канал in-pipe, а обратным – out-pipe.<br />
Простым решением является помещение правила «catch-all-inbound», отвечающего за обработку<br />
всего входящего трафика, ниже основного правила каналов. Тем не менее, чтобы избежать<br />
помещения в каналы трафика, исходящего из внутренней сети и направленного к внешним IPадресам,<br />
в качестве интерфейса источника должен быть указан внешний интерфейс (wan). Поэтому<br />
последнее правило должно выглядеть следующим образом:<br />
Rule Forward Return<br />
Name Pipes Pipes<br />
all-in in-pipe outpipe<br />
Д<br />
Source Source Dest Dest Selected Prece<br />
Interface Network Interface Network Service dence<br />
wan all-nets core all-nets All 0<br />
10.2. Traffic Shaping на основе IDP<br />
10.2.1. Обзор<br />
Примечание: SAT и IP-адреса из ARP-таблицы<br />
Если SAT использует IP-адреса, принудительно прописанные в ARPтаблице,<br />
то в качестве интерфейса назначения должен быть указан<br />
интерфейс wan.<br />
Назначением функции Traffic Shaping на основе IDP является управление трафиком, основанное на<br />
информации, поступающей от подсистемы обнаружения и предотвращения вторжений (Intrusion<br />
Detection and Prevention, IDP) NetDefendOS (за дополнительной информацией см. Раздел 6.5,<br />
«Обнаружение и предотвращение вторжений»).<br />
Проблема использования полосы пропускания<br />
Основной задачей Traffic Shaping на основе IDP является решение проблем в управлении трафиком,<br />
связанных с ресурсоемкими приложениями. Типичным примером этого является трафик,<br />
генерируемый приложениями, работающими по протоколам peer-to-peer (P2P), например, такими как<br />
Bit Torrent и Direct Connect.<br />
Перегрузки трафика, создаваемые P2P-соединениями, могут негативно повлиять на качество<br />
обслуживания остальных пользователей сети. Поэтому провайдеру или администратору<br />
корпоративной сети необходимо контролировать полосу пропускания, занимаемой этими<br />
приложениями, и Traffic Shaping на основе IDP предоставляет такую возможность.<br />
Объединение IDP и Traffic Shaping<br />
Одной из проблем, связанных с управлением такого типа трафика как P2P, является возможность<br />
отличить его от другого трафика. Сигнатурные базы NetDefendOS уже предоставляют<br />
высокоэффективные средства для выполнения такого опознавания, а в качестве дополнения к этому<br />
NetDefendOS также предоставляет возможность применить принудительное урезание полосы<br />
пропускания с помощью подсистемы Traffic shaping NetDefendOS после того, как целевой трафик<br />
опознан.<br />
Traffic Shaping на основе IDP – это комбинация двух функций, где потоки трафика,<br />
идентифицированные подсистемой IDP, автоматически направляются в заданные каналы подсистемы<br />
Traffic shaping для управления данными потоками.<br />
447