NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
через интерфейс синхронизации, так и через другие интерфейсы.<br />
Частота отправки пакетов обнаружения<br />
Операционная система NetDefendOS активного устройства отправляет 5 пакетов обнаружения в<br />
секунду, и если три пакета будут пропущены (т.е. через 0,6 секунд), инициируется восстановление<br />
системы. Отправка пакетов обнаружения через все интерфейсы позволяет неактивному устройству<br />
получать полную информацию о состоянии активного устройства. Даже если намеренно отключить<br />
интерфейс синхронизации, механизм восстановления системы не будет запущен, если неактивное<br />
устройство получает достаточно пакетов обнаружения через другие интерфейсы, например, через<br />
коммутатор, который подключен к двум межсетевым экранам. Однако по интерфейсу синхронизации<br />
передается вдвое больше пакетов обнаружения, чем через обыкновенные интерфейсы.<br />
Пакеты обнаружения посылаются не чаще, чем через указанный промежуток времени, так как и в<br />
процессе нормального функционирования устройства могут возникать аналогичные задержки.<br />
Например, открытие файла может вызвать задержку достаточно длительную для того, чтобы<br />
резервная неактивная система перешла в активное состояние, даже если основная система остается<br />
активной.<br />
Отключение отправки пакетов обнаружения через интерфейсы<br />
При необходимости администратор может вручную отключить отправку пакетов обнаружения через<br />
любой интерфейс. Но выполнять это действие не рекомендуется, т.к. чем меньше действующих<br />
интерфейсов передают пакеты обнаружения, тем больше риск того, что недостаточное количество<br />
полученных пакетов будет неправильно отображать состояние системы.<br />
Эта рекомендация не относится к отключенным интерфейсам. Необходимо отключать передачу<br />
пакетов обнаружения через неиспользуемый интерфейс. Операционная система NetDefendOS будет<br />
продолжать отправлять пакеты обнаружения через неработающий интерфейс и это может создать<br />
искаженное представление о состоянии системы, т.к. отправленные пакеты будут постоянно<br />
теряться. Результатом может стать ошибочный запуск восстановления системы после «сбоя».<br />
Характеристики пакетов обнаружения<br />
Пакеты обнаружения имеют следующие характеристики:<br />
• IP-адресом источника является IP-адрес интерфейса межсетевого экрана, отправляющего<br />
пакет.<br />
• IP-адресом назначения является широковещательный адрес интерфейса межсетевого экрана,<br />
отправляющего пакет.<br />
• Время жизни (TTL) IP-пакета всегда должно быть равным 255. Если операционная система<br />
NetDefendOS получает пакет обнаружения кластера с другим значением TTL, предполагается,<br />
что данный пакет прошел через маршрутизатор. Такой пакет обнаружения считается<br />
недостоверным.<br />
• Пакет обнаружения – это UDP-пакет, отправленный с порта 999 на порт 999.<br />
• MAC-адрес назначения – это Ethernet-адрес групповой рассылки, соответствующий совместно<br />
используемому аппаратному адресу. Например, 11-00-00-С1-4A-nn. Для обеспечения<br />
безопасности помимо обычных одноадресных пакетов используются групповые рассылки<br />
канального уровня. Использование одноадресных пакетов будет означать, что нарушитель из<br />
локальной сети смог перенаправить пакеты обнаружения от коммутаторов так, чтобы они не<br />
поступали на неактивное устройство.<br />
Время обработки ситуации отказа<br />
Обычно время обработки ситуации отказа составляет около одной секунды, и в это время может<br />
произойти небольшое увеличение количества потерянных пакетов. Для протокола TCP время<br />
обработки ситуации отказа составляет время стандартной паузы для повторной передачи пакета. TCP<br />
повторно передает потерянные пакеты в течение короткого промежутка времени, а далее<br />
продолжается обмен пакетами в стандартном режиме. Протокол UDP не предусматривает повторной<br />
передачи, т.к. является протоколом, не гарантирующим доставку пакета.<br />
465