NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
3.Далее устанавливается новое соединение, которое не запускает правило IDP, но у которого тот<br />
же IP-адрес назначения и источника, что и у соединения, запустившего правило. Если адрес<br />
источника или назначения является участником диапазона IP-адресов, заданного в поле<br />
Network, то трафик направляется в канал, в котором выполняется Traffic shaping первичного<br />
соединения, включившего правило.<br />
Если значение Network не указано, то данное новое соединение будет также направлено в канал<br />
с трафиком соединения, запустившего правило, что адреса источника и назначения<br />
одинаковые.<br />
10.2.4. Важность указания сети<br />
Каждая сторона может запустить IDP<br />
Прочитав вышеуказанное описание обработки потока, можно убедиться в важности указания сети.<br />
Подсистема IDP не может знать, какая из сторон запустила правило. Иногда инициатором является<br />
клиент, а иногда отвечающий сервер. Если прохождение трафика с обеих сторон становится<br />
затруднительным, возможно, причина в непреднамеренном воздействии Traffic shaping на<br />
соединения, которые не должны подвергаться обработке.<br />
Непреднамеренное воздействие<br />
Рассмотрим ситуацию, когда клиент А подключается к хосту Х по P2P-протоколу и запускает IDP<br />
ID-правило, в котором в качестве действия задано Pipe, таким образом, данное соединение<br />
становится объектом для Traffic shaping. Теперь, если другой клиент Б также подключается к хосту<br />
Х, но по HTTP-протоколу, правило IDP не запускается, и соединение не должно быть подвергнуто<br />
действию Traffic shaping наряду с соединением клиента А на основании того, что вовлечен хост Х.<br />
Исключение хостов<br />
Для того чтобы избежать непреднамеренного воздействия, мы указываем IP-адреса клиента А и<br />
клиента Б в диапазоне поля Network, а IP-адрес хоста Х не указываем. При этом система<br />
NetDefendOS проинформирована о том, что хост Х не является причиной для принятия решения о<br />
включении новых соединений, не отвечающих непосредственно за срабатывание IDP-правила, в<br />
Traffic shaping.<br />
Возможно, указание адреса клиента Б в сетевом диапазоне может показаться нелогичным, но это<br />
выполняется на предположении, что клиент Б является пользователем, чей трафик также может быть<br />
подвержен действию Traffic shaping, если он участвует в передаче данных по P2P.<br />
Если сеть не задана, то любое соединение с участием либо клиента А, либо хоста Х будет объектом<br />
для Traffic shaping, что, возможно, окажется нежелательным.<br />
10.2.5. Сценарий P2P<br />
Схема, представленная ниже, отображает типичный сценарий с использованием передачи данных по<br />
P2P-протоколу. Последовательность событий выглядит следующим образом:<br />
• Клиент с IP-адресом 192.168.1.15 инициирует передачу файлов по P2P-протоколу через<br />
соединение (1) с сервером Tracking server с адресом 81.150.0.10.<br />
• Данное соединение запускает IDP-правило NetDefendOS, связанное с сигнатурой IDP,<br />
целевыми объектами для которой являются P2P-приложения.<br />
• Действие Pipe в правиле создает канал Traffic shaping с заданной пропускной способностью, и<br />
соединение направляется в этот канал.<br />
• Последующее зависимое соединение (2) с файл-хостом 92.92.92.92 выполняется в пределах<br />
временного интервала IDP-правила, поэтому трафик данного соединения направлен в канал и<br />
подвергается действию Traffic shaping.<br />
449