[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]
==== Включение системы DPI ====
Система DPI работает с теми же потоками информации, что и система СОВ. Для включения DPI необходимо, чтобы механизм СОВ был запущен. Чтобы СОВ в данном случае не работал, необходимо не загружать сигнатуры СОВ.
Для включения системы DPI вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройки СОВ»** и установить флаг **«Включить»** (см. рисунок 1). Для сохранения настроек необходимо нажать на кнопку **«Сохранить»**.
Для настройки системы обнаружения вторжений необходимо в главном меню выбрать пункт** «СОВ – Настройки СОВ»**. Флаг **«Включить»** должен быть установлен. В поле **«Режим работы»** необходимо выбрать один из режимов работы: **СОВ** или **СПВ**. Как и в случае с системой обнаружения вторжения, режим **СОВ** предупреждает об использовании приложения без его блокировки. Режим **СПВ** блокирует прохождение трафика выбранного приложения. Система обнаружения вторжение и DPI не могут работать в разных режимах.
{{ :tssltd:sov_set1.png |}}
Рисунок 1 – Пункт меню **«СОВ»** и установка флага **«Включить»**
==== Настройка интерфейсов ====
В разделе **«Настройки захвата трафика»** в поле **«Название интерфейса»** необходимо выбрать один из сетевых интерфейсов, на котором устройство будет захватывать сетевой трафик для анализа (рис 2). Если необходимо удалить сетевой интерфейс, на котором происходит анализ и блокировка сетевого трафика, необходимо выбрать сетевой интерфейс и нажать на кнопку **«Удалить»**. В поле **«Режим работы»** необходимо указать один из режимов: **«L2»** или **«L3»**.
**«L2»** - прозрачный режим работы позволяет анализировать весь трафик, который поступает на сетевые интерфейсы устройства. В прозрачном режиме механизм анализа сетевого трафика расположен до механизма межсетевого экранирования и других сетевых механизмов. Такой подход позволяет анализировать весь без исключения сетевой трафик, который проходит через устройство. В зависимости от режима работы (обнаружение / предотвращение) сетевой трафик, в котором были зафиксированы атаки будет либо пропущен дальше, либо заблокирован.
**«L3»** - стандартный режим работы позволяет анализировать сетевой трафик, который прошел через механизм межсетевого экранирования. Такой подход может снизить затраты аппаратных ресурсов на анализ сетевого трафика. Как в прозрачном, так и в стандартном режимах поддерживается возможность и детектирования сетевых атак, и их блокировка.
{{ :tssltd:sov_set2.png |}}
Рисунок 2 – Выбор интерфейса и режима для анализа трафика
==== Настройка Pcap ====
Для работы системы DPI необходимо поставить флаги в следующих полях: **«Настройки Pcap» - «Включить»** и **«Хранить Pcap файлы»** (см. рисунок 3) . В поле **«Размер памяти, резервируемый подсистемой»** необходимо задать объем жесткого диска, который будет выделен для хранения pcap файлов. В поле **«Максимальный размер pcap-файла»** необходимо задать максимальный размер pcap-файла.
На рисунке 3 мы выделили размер памяти 1 гигабайт, а размер pcap 10 мегабайт. Это значит, что в памяти может хранится ~102 pcap файла с подключениями (1 гигабайт = 1024 мегабайт, 1024 / 10 = 102 файлов). Количество подключений не может быть больше этого значения. Если количество равно максимуму, то новые подключения не будут появляться.
{{ :tssltd:sov_set5.png |}}
Рисунок 3 – Раздел «Настройки Pcap»
==== Выбор действия и приложений ====
Чтобы выбрать протоколы и приложения, которые необходимо пропускать, детектировать или блокировать, нужно перейти во вкладку **«СОВ» - «Настройки DPI»**. В списке будут представлены протоколы, разделенные на группы, и действия, для протоколов (см. рисунок 4). Можно выбирать действия для всех приложений, для отдельной группы или для отдельного приложения.
Действие **«pass»** разрешит прохождение трафика.\\
Действие **«alert»** уведомит о данном типе трафика, после этого разрешит его прохождение.\\
Действие **«drop»** уведомит о данном типе трафика, после этого запретит его прохождение.\\
Действие **«Различно»** необходимо ставить в ячейках **«все»**. Это позволит для протоколов и приложений в одной группе задавать разные действия. Ставить по-умолчанию.\\
{{ :tssltd:sov_set6.png |}}
Рисунок 4 – Раздел «Настройки DPI»
[[tssltd:мксз_diamond_next|Вернуться к оглавлению]]