| Next revision | Previous revision |
| tssltd:настройка_механизма_dpi [2025/02/24 15:57] – created r.krestianinov | tssltd:настройка_механизма_dpi [2025/02/24 17:17] (current) – r.krestianinov |
|---|
| </WRAP> | </WRAP> |
| </WRAP> | </WRAP> |
| ==== Настройка среды ==== | |
| <WRAP indent> | |
| В поле **«Настройка среды» - «Домашняя подсеть»** необходимо задать ip-адрес и маску подсети для домашнего сегмента сети. Для добавления ip-адреса и маски подсети необходимо нажать на кнопку **«Добавить IP адрес»**. Для удаления ip-адреса и маски подсети необходимо выделить нужную запись и нажать на кнопку **«Удалить»** (см. рисунок 3). | |
| |
| <WRAP center round box 100%> | ==== Настройка Pcap ==== |
| |
| {{ :tssltd:sov_set3.png |}} | |
| Рисунок 3 – Домашние подсети | |
| </WRAP> | |
| |
| Система предотвращения вторжений построена на основе того, что у нас существует два сегмента сети: внешний сегмент сети и домашний сегмент сети. По умолчанию установлен флаг **«Использовать в качестве домашних подсетей все подсети, за исключением домашних подсетей»** (см. рисунок 3). Если необходимо добавить конкретные внешние подсети, то необходимо снять этот флаг и в поле **«IP адрес/Маска подсети»** задать ip-адрес и маску подсети для внешнего сегмента сети (см. рисунок 4). | |
| |
| <WRAP center round box 100%> | |
| |
| {{ :tssltd:sov_set4.png |}} | |
| Рисунок 4 – Внешние подсети | |
| </WRAP> | |
| |
| ==== Настройка Pcap ==== | |
| <WRAP indent> | <WRAP indent> |
| Для сохранения на жесткий диск файлов в формате pcap с сетевой активностью, которая была детектирована в сетевом трафике, необходимо в настройках системы обнаружения вторжения установить флаг в разделе **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 5) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла. | Для работы системы DPI необходимо поставить флаги в следующих полях: **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 3) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла. |
| |
| На рисунке 5 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться. | На рисунке 3 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться. |
| |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| |
| {{ :tssltd:sov_set5.png |}} | {{ :tssltd:sov_set5.png |}} |
| Рисунок 5 – Раздел «Настройки Pcap» | |
| | Рисунок 3 – Раздел «Настройки Pcap» |
| </WRAP | </WRAP |
| |
| |
| |
| </WRAP> | </WRAP> |
| |
| | ==== Выбор действия и приложений ==== |
| | <WRAP indent> |
| | Чтобы выбрать протоколы и приложения, которые необходимо пропускать, детектировать или блокировать, нужно перейти во вкладку **«СОВ» - «Настройки DPI»**. В списке будут представлены протоколы, разделенные на группы, и действия, для протоколов (см. рисунок 4). Можно выбирать действия для всех приложений, для отдельной группы или для отдельного приложения. |
| |
| [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] | Действие **«pass»** разрешит прохождение трафика.\\ |
| | Действие **«alert»** уведомит о данном типе трафика, после этого разрешит его прохождение.\\ |
| | Действие **«drop»** уведомит о данном типе трафика, после этого запретит его прохождение.\\ |
| | Действие **«Различно»** необходимо ставить в ячейках **«все»**. Это позволит для протоколов и приложений в одной группе задавать разные действия. Ставить по-умолчанию.\\ |
| | |
| |
| | <WRAP center round box 100%> |
| |
| | {{ :tssltd:sov_set6.png |}} |
| |
| | Рисунок 4 – Раздел «Настройки DPI» |
| | </WRAP |
| |
| |
| | </WRAP> |
| |
| [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] | [[tssltd:мксз_diamond_next|Вернуться к оглавлению]] |
