NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Значение по умолчанию ValidateLogBad (или ValidateSilent) разрешает попытки повторно установить TCP-соединение, это означает, что попытки восстановления соединения с применением ранее используемого поля Sequence number будут отклонены. ValidateReopen и ValidReopenLog являются особыми настройками, обеспечивающими действия по умолчанию в предыдущих версиях NetDefendOS, где разрешены попытки повторной установки соединения только с использованием поля Sequence number внутри текущего (или последнего) окна TCP. При этом существует больше ограничений, чем при использовании ValidateLogBad/ValidateSilent, и некоторые корректные попытки повторной установки TCPсоединений будут заблокированы. Это приведет к значительному сокращению трафика, потраченного на просмотр Web-страниц (короткие, но завершенные запросы от небольшого количества клиентов с интервалом в несколько секунд), в то время как трафик TCP не будет затронут. Тем не менее, не рекомендуется использовать ValidateReopen или ValidateReopenLog, так как можно достичь тот же результат за счет запрета повторной установки TCP-соединения. Данные настройки существуют, главным образом, для обратной совместимости. ReopenValidate и ReopenValidLog имеют меньше ограничений, чем ValidateLogBad или ValidateSilent. Некоторые клиенты и/или операционные системы могут использовать случайно выбранное поле Sequence number при восстановлении предыдущего TCP-соединения (как правило, из соображений безопасности), при использовании данных настроек возможна некорректная работа соединения. Скорее всего, будет затронут трафик, потраченный на просмотр Web-страниц, и данное воздействие будет происходить в произвольном порядке. Использование данных значений вместо значения по умолчанию полностью отключит проверку поля Sequence number при повторной установке TCPсоединения. После установки соединения возобновляется обычная проверка поля Sequence number TCP-пакета. Allow TCP Reopen Позволяет клиентам восстановить завершенные TCP-соединения. По умолчанию: Выключено 13.3. Настройки ICMP-уровня ICMP Sends Per Sec Limit Задает максимальное количество ICMP-сообщений в секунду, генерируемых системой NetDefendOS, включая ответы на запрос ping, сообщения Destination unreachable (точка назначения недоступна), а также пакеты TCP RST. Другими словами, данная настройка ограничивает количество Отказов в секунду, которые генерируются правилами Отказа (Reject rules) в разделе Правила. По умолчанию: 500 Silently Drop State ICMPErrors С помощью данной настройки система NetDefendOS может отбрасывать ICMP-пакеты с ошибками в отслеживаемых открытых соединениях. Если пакеты с ошибками не будут отброшены, они проходят дальше и подвергаются обработке согласно набору правил. По умолчанию: Включено 490
13.4. Настройки состояний Connection Replace С помощью данной настройки можно добавить новые соединения в список соединений NetDefendOS с заменой старых записей, если нет свободного пространства. По умолчанию: ReplaceLog Log Open Fails В некоторых случаях, когда правило разрешает прохождение пакета, впоследствии механизм Stateful Inspection может решить, что пакет не может открыть новое соединение. Например, ситуация, когда для TCP-пакета, прохождение которого было разрешено правилами и который не является частью установленного соединения, не установлен флаг SYN. Такие пакеты не могут открывать новые соединения. Помимо этого, ICMP-сообщения, за исключением ICMP ECHO (Ping), также никогда не смогут открыть новые соединения. С помощью данной настройки NetDefendOS может регистрировать такие пакеты. По умолчанию: Включено Log Reverse Opens С помощью данной настройки система NetDefendOS регистрирует в Журнале запись о пакетах, которые пытаются открыть новое соединение через уже открытое соединение. Функция применяется только к TCP-пакетам с установленным флагом SYN и пакетам ICMP ECHO. При использовании других протоколов, например, UDP, невозможно определить, пытается ли удаленный узел открыть новое соединение. По умолчанию: Включено Log State Violations С помощью данной настройки система NetDefendOS регистрирует пакеты, которые нарушают предполагаемую диаграмму коммутации соединения, например, получение пакетов TCP FIN в ответ на пакеты TCP SYN. По умолчанию: Включено Log Connections Данная настройка используется для регистрации соединений системой NetDefendOS: • NoLog – Не регистрирует ни одного соединения, таким образом, не имеет значения, включена ли регистрация для правила Allow или для правила NAT в наборе IP-правил; они не будут зарегистрированы. Тем не менее, правила FwdFast, Drop и Reject будут зарегистрированы, как указано в настройках раздела Правила. • Log – Регистрирует соединения в краткой форме; предоставляет короткое описание соединения, разрешенное правилом, и любого применяемого правила SAT. После закрытия соединений, они также будут зарегистрированы. • LogOC – Действует так же, как и Log, но включает два пакета, которые открывают и закрывают соединение. Если соединение закрыто по истечении таймаута, закрывающие пакеты не будут зарегистрированы. • LogOCAll – Регистрирует все пакеты, задействованные в открытии и закрытии соединения. При использовании TCP регистрирует все пакеты с установленными флагами SYN, FIN или RST. 491
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
- Page 471 and 472: операционной систе
- Page 473 and 474: • Определить, како
- Page 475 and 476: Количество секунд
- Page 477 and 478: • Тип коммутатора
- Page 479 and 480: Для предотвращения
- Page 481 and 482: Второе отличие зак
- Page 483 and 484: По умолчанию: Включ
- Page 485 and 486: С помощью данной на
- Page 487 and 488: TCP Zero Unused URG Снимает
- Page 489: принимая во вниман
- Page 493 and 494: По умолчанию: 262144 TCP
- Page 495 and 496: Задает максимальны
- Page 497 and 498: определить причину
- Page 499 and 500: секунд, чтобы предо
- Page 501 and 502: Приложение А. Подпи
- Page 503 and 504: удаление базы данн
- Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з
- Page 507 and 508: Приложение В. Типы
- Page 509 and 510: pfb Шрифт (двоичный) p
13.4. Настройки состояний<br />
Connection Replace<br />
С помощью данной настройки можно добавить новые соединения в список соединений NetDefendOS<br />
с заменой старых записей, если нет свободного пространства.<br />
По умолчанию: ReplaceLog<br />
Log Open Fails<br />
В некоторых случаях, когда правило разрешает прохождение пакета, впоследствии механизм Stateful<br />
Inspection может решить, что пакет не может открыть новое соединение. Например, ситуация, когда<br />
для TCP-пакета, прохождение которого было разрешено правилами и который не является частью<br />
установленного соединения, не установлен флаг SYN. Такие пакеты не могут открывать новые<br />
соединения. Помимо этого, ICMP-сообщения, за исключением ICMP ECHO (Ping), также никогда не<br />
смогут открыть новые соединения. С помощью данной настройки NetDefendOS может<br />
регистрировать такие пакеты.<br />
По умолчанию: Включено<br />
Log Reverse Opens<br />
С помощью данной настройки система NetDefendOS регистрирует в Журнале запись о пакетах,<br />
которые пытаются открыть новое соединение через уже открытое соединение. Функция применяется<br />
только к TCP-пакетам с установленным флагом SYN и пакетам ICMP ECHO. При использовании<br />
других протоколов, например, UDP, невозможно определить, пытается ли удаленный узел открыть<br />
новое соединение.<br />
По умолчанию: Включено<br />
Log State Violations<br />
С помощью данной настройки система NetDefendOS регистрирует пакеты, которые нарушают<br />
предполагаемую диаграмму коммутации соединения, например, получение пакетов TCP FIN в ответ<br />
на пакеты TCP SYN.<br />
По умолчанию: Включено<br />
Log Connections<br />
Данная настройка используется для регистрации соединений системой NetDefendOS:<br />
• NoLog – Не регистрирует ни одного соединения, таким образом, не имеет значения, включена<br />
ли регистрация для правила Allow или для правила NAT в наборе IP-правил; они не будут<br />
зарегистрированы. Тем не менее, правила FwdFast, Drop и Reject будут зарегистрированы, как<br />
указано в настройках раздела Правила.<br />
• Log – Регистрирует соединения в краткой форме; предоставляет короткое описание<br />
соединения, разрешенное правилом, и любого применяемого правила SAT. После закрытия<br />
соединений, они также будут зарегистрированы.<br />
• LogOC – Действует так же, как и Log, но включает два пакета, которые открывают и закрывают<br />
соединение. Если соединение закрыто по истечении таймаута, закрывающие пакеты не будут<br />
зарегистрированы.<br />
• LogOCAll – Регистрирует все пакеты, задействованные в открытии и закрытии соединения. При<br />
использовании TCP регистрирует все пакеты с установленными флагами SYN, FIN или RST.<br />
491