Isine ndhelikake
1 Pandhuan Pangguna Deteksi Aliran Gajah CISCO
2 Babagan Deteksi lan Remediasi Aliran Gajah
3 Nganyarke Aliran Gajah saka Bypass Aplikasi Cerdas
4 Konfigurasi Aliran Gajah
5 Dokumen / Sumber Daya
5.1 Referensi

Pandhuan Pangguna Deteksi Aliran Gajah CISCO

Deteksi Aliran Gajah CISCO

 

Aliran gajah gedhe banget (kanthi total bita), aliran terus-terusan sing diatur dening aliran TCP (utawa protokol liyane) sing diukur liwat link jaringan. Kanthi gawan, aliran gajah luwih gedhe tinimbang 1 GB / 10 detik. Padha bisa nimbulaké meksa kinerja ing intine Snort. Aliran gajah ora akeh, nanging bisa ngenggoni bagean sing ora proporsional saka total bandwidth sajrone sawetara wektu. Bisa nyebabake masalah, kayata panggunaan CPU sing dhuwur, paket drop, lan liya-liyane.

Saka pusat manajemen 7.2.0 terus (mung Snort 3 piranti), sampeyan bisa nggunakake fitur aliran gajah kanggo ndeteksi lan remediate aliran gajah, kang mbantu kanggo ngurangi kaku sistem lan mutusake masalah masalah kasebut.

  • Babagan Deteksi lan Remediasi Aliran Gajah, ing kaca 1
  • Upgrade Elephant Flow saka Intelligent Application Bypass, ing kaca 1
  • Konfigurasi Aliran Gajah, ing kaca 2

 

Babagan Deteksi lan Remediasi Aliran Gajah

Sampeyan bisa nggunakake fitur deteksi aliran gajah kanggo ndeteksi lan ndandani aliran gajah. Tindakan remediasi ing ngisor iki bisa ditrapake:

  • Bypass alur gajah–Sampeyan bisa ngatur aliran gajah kanggo ngliwati inspeksi Snort. Yen iki diatur, Snort ora nampa paket saka aliran sing.
  • Aliran gajah throttle–Sampeyan bisa ngetrapake watesan tarif kanggo aliran lan terus mriksa aliran. Tingkat aliran diwilang kanthi dinamis lan 10% tingkat aliran dikurangi. Snort ngirim putusan (aliran QoS karo 10% tingkat aliran kurang) kanggo engine firewall. Yen sampeyan milih ngliwati kabeh aplikasi kalebu aplikasi sing ora dingerteni, sampeyan ora bisa ngonfigurasi tumindak throttle (watesan tingkat) kanggo aliran apa wae.

Cathetan Supaya deteksi aliran gajah bisa digunakake, Snort 3 kudu dadi mesin deteksi.

 

Nganyarke Aliran Gajah saka Bypass Aplikasi Cerdas

Intelligent Application Bypass (IAB) ora digunakake wiwit versi 7.2.0 kanggo piranti Snort 3.
Kanggo piranti sing nganggo 7.2.0 utawa luwih anyar, sampeyan kudu ngatur setelan aliran gajah ing bagean Setelan Aliran Gajah ing kabijakan AC (Tab setelan lanjutan).

Sawise upgrade menyang 7.2.0 (utawa mengko), yen sampeyan nggunakake piranti Snort 3, setelan konfigurasi aliran gajah bakal dipilih lan disebarake saka bagean Setelan Aliran Gajah lan ora saka bagean Setelan Bypass Aplikasi Intelligent, dadi yen sampeyan durung pindhah menyang setelan konfigurasi Elephant Flow, piranti sampeyan bakal kelangan konfigurasi aliran gajah nalika panyebaran sabanjure.

Tabel ing ngisor iki nuduhake IAB utawa konfigurasi aliran gajah sing bisa Applied kanggo versi 7.2.0 utawa mengko lan versi 7.1.0 utawa sadurungé sing mlaku Snort 3 utawa Snort 2 mesin.

Gbr 1 Nganyarke Aliran Gajah saka Bypass Aplikasi Cerdas.JPG

 

Konfigurasi Aliran Gajah

Sampeyan bisa ngatur aliran gajah kanggo njupuk tindakan ing aliran gajah, sing mbantu ngatasi masalah, kayata tekanan sistem, panggunaan CPU sing dhuwur, paket drop, lan liya-liyane.

Ikon ati-ati  manungsa waé: Deteksi aliran gajah ora bisa ditrapake kanggo aliran sing wis disaring, dipercaya, utawa diterusake kanthi cepet, sing ora diproses liwat Snort. Amarga aliran gajah dideteksi dening Snort, deteksi aliran gajah ora bisa ditrapake kanggo lalu lintas sing dienkripsi.

tata cara

Langkah 1

Gambar 2 Prosedur

Gambar 1: Konfigurasi Deteksi Aliran Gajah

Gambar 3 Konfigurasi Deteksi Aliran Gajah.jpg

Langkah 2 Tombol togol Deteksi Aliran Gajah diaktifake kanthi gawan. Sampeyan bisa ngatur nilai kanggo bita aliran lan durasi aliran. Nalika ngluwihi nilai sing dikonfigurasi, acara aliran gajah bakal digawe.
Langkah 3 Kanggo mulihake aliran gajah, aktifake tombol toggle Remediasi Aliran Gajah.
Langkah 4 Kanggo nyetel kritéria kanggo remediasi aliran gajah, atur nilai kanggo panggunaan CPU%, durasi wektu tetep windows, lan paket drop%.
Langkah 5 Sampeyan bisa nindakake tumindak ing ngisor iki kanggo remediasi aliran gajah nalika memenuhi kritéria sing dikonfigurasi:
a. Bypass alur—Aktifake tombol iki kanggo ngliwati pemeriksaan Snort kanggo aplikasi utawa saringan sing dipilih. Pilih saka:
• Kabeh aplikasi kalebu aplikasi sing ora dingerteni—Pilih pilihan iki kanggo ngliwati kabeh lalu lintas aplikasi. Yen sampeyan ngatur pilihan iki, sampeyan ora bisa ngatur tumindak throttle (rate-watesan) kanggo aliran sembarang.
• Pilih Aplikasi/Filter—Pilih pilihan iki kanggo milih aplikasi utawa saringan sing lalu lintas sing pengin dilewati; ndeleng Konfigurasi Ketentuan Aplikasi lan Filter.
b. Throttle the flow—Aktifake tombol iki kanggo ngetrapake watesan tarif menyang aliran lan terus mriksa aliran. Elinga yen sampeyan bisa milih aplikasi utawa saringan kanggo ngliwati pemeriksaan Snort lan nyepetake aliran sing isih ana.

Cathetan

Mbusak otomatis throttle saka aliran gajah throttled dumadi nalika sistem metu saka meksa, yaiku, persentage saka paket Snort irungnya kurang saka batesan diatur. Akibate, watesan tarif uga dibusak.
Sampeyan uga bisa mbusak throttling kanthi manual saka aliran gajah throttled, nggunakake printah pertahanan ancaman ing ngisor iki:
• clear efd-throttle <5-tuple/all> bypass—Prentah iki mbusak throttling saka aliran gajah throttled lan ngliwati pengawasan Snort.
• clear efd-throttle <5-tuple/all>—Prentah iki mbusak throttling saka aliran gajah throttled lan pengawasan Snort terus. Remediasi aliran gajah dilewati sawise nggunakake printah iki.
Kanggo informasi luwih lengkap babagan printah iki, ndeleng Cisco Secure Firewall Ancaman Defense Command Reference.

manungsa waé

Tumindak ing aliran gajah (bypass lan throttle aliran) ora didhukung ing Cisco Firepower 2100 piranti seri.

Langkah 6 Ing Aturan Pambébasan Remediation bagean, klik Tambah Aturan kanggo ngatur L4 akses kontrol dhaftar (ACL) aturan kanggo mili sing kudu exempted saka remediation.
Langkah 7 Ing jendhela Tambah Aturan, gunakake tab Jaringan kanggo nambah rincian jaringan, yaiku jaringan sumber lan jaringan tujuan. Gunakake tab Ports kanggo nambah port sumber lan port tujuan.
Yen aliran gajah dideteksi lan cocog karo aturan sing ditetepake, acara digawe kanthi alesan minangka Aliran Gajah Dibebasake ing header kolom Alesan saka Acara Sambungan.
Langkah 8 Ing bagean Aturan Pengecualian Remediasi, sampeyan bisa view aliran sing dibebasake saka tumindak remediasi.
Langkah 9 Klik OK kanggo nyimpen setelan aliran gajah.
Langkah 10 Klik Simpen kanggo nyimpen kabijakan.

Apa sing kudu ditindakake sabanjure
Nyebarake owah-owahan konfigurasi; ndeleng Ngganti Konfigurasi Pangowahan.
Sawise ngatur setelan aliran gajah, ngawasi acara sambungan kanggo ndeleng yen ana aliran sing dideteksi, dilewati, utawa diblokir. Sampeyan bisa view iki ing kolom Alasan acara sambungan sampeyan. Telung alasan kanggo sambungan aliran gajah yaiku:
• Aliran Gajah
• Aliran Gajah Throttled
• Aliran Gajah Dipercaya

Ikon ati-ati manungsa waé Ngaktifake deteksi aliran gajah mung ora nyebabake kedadeyan sambungan kanggo aliran gajah. Yen acara sambungan wis mlebu kanggo alesan liyane lan aliran uga aliran gajah, banjur kolom Alesan ngemot informasi iki. Nanging, kanggo mesthekake yen sampeyan ngangkut barang kabeh aliran gajah, sampeyan kudu ngaktifake log sambungan ing aturan kontrol akses sing ditrapake.

Deleng Cisco Secure Firewall Elephant Flow Detection kanggo informasi luwih lengkap.

 

Waca Liyane Babagan Manual Iki & Unduh PDF:

Dokumen / Sumber Daya

Deteksi Aliran Gajah CISCO [pdf] Pandhuan pangguna
7.4, Deteksi Aliran Gajah, Deteksi

Referensi

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *