مواد لڪائڻ
1 CISCO Elephant Flow Detection User Guide
2 Elephant Flow Detection and Remediation بابت
3 انٽيليجنٽ ايپليڪيشن بائي پاس کان هاٿي فلو اپ گريڊ
4 Elephant Flow ترتيب ڏيو
5 دستاويز / وسيلا
5.1 حوالو

CISCO Elephant Flow Detection User Guide

CISCO هاٿي جي وهڪري جي چڪاس

 

هاٿي جا وهڪرا ڏاڍا وڏا هوندا آهن (ڪُل بائيٽ ۾)، لڳاتار وهڪرا هڪ ٽي سي پي (يا ٻيا پروٽوڪول) جي وهڪري طرفان قائم ڪيا ويندا آهن جيڪي نيٽ ورڪ لنڪ تي ماپيل هوندا آهن. ڊفالٽ طور، هاٿي جي وهڪري اهي آهن جيڪي 1 GB/10 سيڪنڊن کان وڌيڪ آهن. اهي Snort cores ۾ ڪارڪردگي جي دٻاء سبب ڪري سگهن ٿا. هاٿي جا وهڪرا گهڻا نه هوندا آهن، پر اهي هڪ عرصي دوران ڪل بينڊوڊٿ جي غير متناسب حصي تي قبضو ڪري سگهن ٿا. اهي مسئلا پيدا ڪري سگھن ٿا، جهڙوڪ اعلي سي پي يو استعمال، پيڪٽ ڊراپس، وغيره.

مئنيجمينٽ سينٽر 7.2.0 کان پوءِ (صرف Snort 3 ڊوائيسز)، توهان هاٿي جي وهڪري کي ڳولڻ ۽ ان کي درست ڪرڻ لاءِ هاٿي جي وهڪري جي خصوصيت استعمال ڪري سگهو ٿا، جيڪو سسٽم جي دٻاءُ کي گهٽائڻ ۽ ذڪر ڪيل مسئلن کي حل ڪرڻ ۾ مدد ڪري ٿو.

  • Elephant Flow Detection and Remediation بابت، صفحي 1 تي
  • Elephant Flow Upgrade from Intelligent Application Bypass، صفحي 1 تي
  • Elephant Flow ترتيب ڏيو، صفحي 2 تي

 

Elephant Flow Detection and Remediation بابت

توهان هاٿي جي وهڪري کي ڳولڻ ۽ ياد ڪرڻ لاءِ هاٿي جي وهڪري جي چڪاس جي خاصيت استعمال ڪري سگهو ٿا. ھيٺيون اصلاحي عمل لاڳو ڪري سگھجن ٿا:

  • هاٿي جي وهڪري کي بائي پاس ڪريو- توهان سنورٽ انسپيڪشن کي بائي پاس ڪرڻ لاءِ هاٿي جي وهڪري کي ترتيب ڏئي سگهو ٿا. جيڪڏهن هي ترتيب ڏنل آهي، Snort انهي وهڪري مان ڪو به پيڪٽ حاصل نٿو ڪري.
  • ٿلهو هاٿي جو وهڪرو- توهان وهڪري تي شرح جي حد لاڳو ڪري سگهو ٿا ۽ وهڪري جو معائنو ڪرڻ جاري رکو. وهڪري جي شرح کي متحرڪ طور تي ڳڻيو ويندو آهي ۽ وهڪري جي شرح جو 10٪ گھٽجي ويندو آهي. Snort فيصلو موڪلي ٿو (QoS وهڪرو 10٪ گهٽ وهڪري جي شرح سان) فائر وال انجڻ ڏانهن. جيڪڏهن توهان اڻڄاتل ايپليڪيشنن سميت سڀني ايپليڪيشنن کي بائي پاس ڪرڻ جو انتخاب ڪيو ٿا، ته توهان ڪنهن به وهڪري لاءِ throttle ايڪشن (شرح-حد) ترتيب نه ٿا ڪري سگهو.

نوٽ هاٿي جي وهڪري جي ڳولا لاءِ ڪم ڪرڻ لاءِ، Snort 3 کي ڳولڻ واري انجڻ هجڻ گهرجي.

 

انٽيليجنٽ ايپليڪيشن بائي پاس کان هاٿي فلو اپ گريڊ

Intelligent Application Bypass (IAB) ورزن 7.2.0 کان پوءِ Snort 3 ڊوائيسز لاءِ ختم ڪيو ويو آهي.
7.2.0 يا بعد ۾ هلندڙ ڊوائيسز لاءِ، توهان کي AC پاليسي ۾ (Advanced Settings tab) ۾ Elephant Flow Settings سيڪشن جي تحت هاٿي جي وهڪري جي سيٽنگون ترتيب ڏيڻ گهرجن.

پوسٽ اپ گريڊ کي 7.2.0 (يا بعد ۾)، جيڪڏهن توهان Snort 3 ڊوائيس استعمال ڪري رهيا آهيو، هاٿي جي وهڪري جي جوڙجڪ سيٽنگون چونڊي وينديون ۽ ترتيب ڏني وينديون Elephant Flow Settings سيڪشن مان نه انٽيليجنٽ ايپليڪيشن بائي پاس سيٽنگون سيڪشن مان، تنهنڪري جيڪڏهن توهان Elephant Flow configuration settings ڏانهن لڏپلاڻ نه ڪئي آهي، توهان جو ڊوائيس ايندڙ ڊيپلائيمينٽ تي هاٿي جي وهڪري جي ترتيب کي وڃائي ڇڏيندو.

هيٺ ڏنل جدول ڏيکاري ٿو IAB يا هاٿي جي وهڪري جي ٺاھ جوڙ جيڪي ورجن 7.2.0 يا بعد ۾ ۽ ورجن 7.1.0 يا اڳئين ورزن تي لاڳو ڪري سگھجن ٿيون جيڪي Snort 3 يا Snort 2 انجڻ ھلائي رھيون آھن.

FIG 1 Elephant Flow Upgrade from Intelligent Application Bypass.JPG

 

Elephant Flow ترتيب ڏيو

توهان هاٿي جي وهڪري کي ترتيب ڏئي سگهو ٿا هاٿي جي وهڪري تي عمل ڪرڻ لاءِ، جيڪو مسئلن کي حل ڪرڻ ۾ مدد ڪري ٿو، جهڙوڪ سسٽم جو دٻاءُ، اعليٰ سي پي يو استعمال، پيڪيٽ ڊراپس وغيره.

احتياط جو نشان  ڌيان: Elephant flow detection for the prefiltered, trusted, or fast-forwarded flows, which is not process by Snort. جيئن ته هاٿي جي وهڪري کي Snort ذريعي معلوم ڪيو ويو آهي، انڪري ٿيل ٽرئفڪ لاءِ هاٿي جي وهڪري جي چڪاس لاڳو ناهي.

عمل

قدم 1

FIG 2 طريقيڪار

شڪل 1: هاٿي جي وهڪري جي چڪاس کي ترتيب ڏيو

FIG 3 ترتيب ڏيو Elephant Flow Detection.jpg

مرحلا 2 Elephant Flow Detection Toggle بٽڻ ڊفالٽ طور فعال ٿيل آھي. توهان فلو بائيٽ ۽ وهڪري جي مدت لاءِ قدر ترتيب ڏئي سگهو ٿا. جڏهن اهي توهان جي ترتيب ڏنل قدرن کان وڌي ويندا آهن، هاٿي جي وهڪري جا واقعا ٺاهيا ويندا آهن.
قدم 3 هاٿي جي وهڪري کي درست ڪرڻ لاءِ، Elephant Flow Remediation ٽوگل بٽڻ کي فعال ڪريو.
قدم 4 هاٿي جي وهڪري جي سڌاري لاءِ معيار مقرر ڪرڻ لاءِ، سي پي يو جي استعمال لاءِ قيمتون ترتيب ڏيو %، مقرر وقت ونڊوز جو مدو، ۽ پيڪيٽ ڊراپ٪.
قدم 5 توھان ھيٺ ڏنل ڪارناما انجام ڏئي سگھوٿا ھٿين جي وهڪري جي علاج لاءِ جڏھن اھو ترتيب ڏنل معيار تي پورو لهي ٿو:
هڪ وهڪري کي بائي پاس ڪريو- منتخب ٿيل ايپليڪيشنن يا فلٽرن لاءِ سنورٽ انسپيڪشن کي نظرانداز ڪرڻ لاءِ هن بٽڻ کي فعال ڪريو. مان چونڊيو:
• اڻڄاتل ايپليڪيشنن سميت سڀئي ايپليڪيشنون—سڀني ايپليڪيشن ٽرئفڪ کي نظرانداز ڪرڻ لاءِ هي اختيار چونڊيو. جيڪڏهن توهان هن اختيار کي ترتيب ڏيو ٿا، توهان ڪنهن به وهڪري لاءِ throttle ايڪشن (شرح جي حد) ترتيب نه ٿا ڪري سگهو.
• منتخب ڪريو ايپليڪيشنون/فلٽرس- هي اختيار چونڊيو ايپليڪيشنون يا فلٽر چونڊڻ لاءِ جن جي ٽرئفڪ کي توهان نظرانداز ڪرڻ چاهيو ٿا؛ ڏسو ايپليڪيشن جون حالتون ۽ فلٽر ترتيب ڏيڻ.
ب. وهڪري کي ختم ڪريو- وهڪري تي شرح جي حد لاڳو ڪرڻ ۽ وهڪري جو معائنو ڪرڻ جاري رکڻ لاءِ هن بٽڻ کي فعال ڪريو. نوٽ ڪريو ته توھان ايپليڪيشنن يا فلٽرن کي منتخب ڪري سگھو ٿا سنورٽ انسپيڪشن کي نظرانداز ڪرڻ ۽ باقي وهڪري کي ختم ڪرڻ لاءِ.

نوٽ

ٿلهي ٿيل هاٿي جي وهڪري مان ٿلهي کي پاڻمرادو هٽائڻ تڏهن ٿئي ٿو جڏهن سسٽم زور کان ٻاهر آهي، يعني سيڪڙوtagE of Snort packet drops توهان جي ترتيب ڏنل حد کان گهٽ آهي. نتيجي طور، شرح جي حد پڻ ختم ٿي وئي آهي.
توھان ھيٺ ڏنل خطرن جي دفاعي حڪمن کي استعمال ڪندي دستي طور تي ھٿياربند ھٿين جي وهڪري مان throttling کي ختم ڪري سگھو ٿا:
• صاف ڪريو efd-throttle <5-tuple</all> bypass- هي حڪم ٿلهي واري هاٿي جي وهڪري مان throttling کي هٽائي ٿو ۽ Snort جي چڪاس کي نظرانداز ڪري ٿو.
• صاف efd-throttle <5-tuple </all>- ھي حڪم ھٿياربند ھٿين جي وهڪري مان throttling کي ختم ڪري ٿو ۽ Snort انسپيڪشن جاري آھي. هن حڪم کي استعمال ڪرڻ کان پوء هاٿي جي وهڪري جي علاج کي ڇڏي ڏنو ويو آهي.
انهن حڪمن جي باري ۾ وڌيڪ معلومات لاء، ڏسو Cisco Secure Firewall Threat Defence Command Reference.

ڌيان ڏيڻ

هاٿي جي وهڪري تي عمل ڪرڻ (بائي پاس ۽ وهڪري کي ختم ڪرڻ) سسڪو فائر پاور 2100 سيريز ڊوائيسز تي سهڪار نه آهي.

مرحلا 6 ۾ Remediation Exemption Rule سيڪشن، ڪلڪ ڪريو ضابطو شامل ڪريو ترتيب ڏيڻ لاءِ L4 رسائي ڪنٽرول لسٽ (ACL) ضابطن جي وهڪري لاءِ جن کي ريميڊييشن کان مستثنيٰ ڪيو وڃي.
قدم 7 ضابطو شامل ڪريو ونڊو ۾، نيٽ ورڪ ٽئب استعمال ڪريو نيٽ ورڪ تفصيل شامل ڪرڻ لاء، اھو آھي ذريعو نيٽورڪ ۽ منزل نيٽ ورڪ. سورس پورٽ ۽ منزل پورٽ شامل ڪرڻ لاءِ پورٽ ٽيب استعمال ڪريو.
جيڪڏهن هڪ هاٿي جي وهڪري کي معلوم ٿئي ٿو ۽ اهو انهن ضابطن سان ملندو آهي جيڪي بيان ڪيا ويا آهن، هڪ واقعو پيدا ڪيو ويندو آهي ان سبب سان جيئن Elephant Flow Exempted Reason ايونٽس جي ڪالمن هيڊر ۾.
مرحلا 8 Remediation Exemption Rule سيڪشن ۾، توھان ڪري سگھو ٿا view اهي وهڪري جيڪي اصلاحي عمل کان مستثنيٰ آهن.
قدم 9 OK تي ڪلڪ ڪريو هاٿي جي وهڪري جي سيٽنگن کي بچائڻ لاء.
قدم 10 ڪلڪ ڪريو محفوظ ڪريو پاليسي کي بچائڻ لاءِ.

اڳتي ڇا ڪجي
ترتيب ڏيڻ جي تبديلين کي ترتيب ڏيو؛ ڏسو Deploy Configuration Changes.
توهان جي هاٿي جي وهڪري جي سيٽنگن کي ترتيب ڏيڻ کان پوء، توهان جي ڪنيڪشن جي واقعن جي نگراني ڪريو اهو ڏسڻ لاء ته ڇا ڪنهن به وهڪري کي معلوم ڪيو ويو آهي، نظرانداز ڪيو ويو آهي، يا ڇڪايو ويو آهي. توهان ڪري سگهو ٿا view هي توهان جي ڪنيڪشن واقعي جي سبب فيلڊ ۾. هاٿي جي وهڪري جي ڪنيڪشن جا ٽي سبب هي آهن:
• هاٿي جو وهڪرو
• Elephant Flow Throttled
• Elephant Flow معتبر

احتياط جو نشان ڌيان ڏيڻ هاٿي جي وهڪري جي سڃاڻپ کي فعال ڪرڻ صرف هاٿي جي وهڪري لاءِ ڪنيڪشن واقعن جي نسل جو سبب ناهي. جيڪڏهن هڪ ڪنيڪشن واقعي ڪنهن ٻئي سبب لاءِ اڳ ۾ ئي لاگ ان ٿيل آهي ۽ وهڪري پڻ هڪ هاٿي جي وهڪري آهي، ته پوءِ سبب فيلڊ ۾ هي معلومات شامل آهي. بهرحال، انهي ڳالهه کي يقيني بڻائڻ لاءِ ته توهان سڀني هاٿي جي وهڪري کي لاگ ان ڪري رهيا آهيو، توهان کي لازمي طور تي لاڳو ٿيڻ واري رسائي ڪنٽرول ضابطن ۾ ڪنيڪشن لاگنگ کي فعال ڪرڻو پوندو.

حوالي ڪريو Cisco Secure Firewall Elephant Flow Detection وڌيڪ معلومات لاءِ.

 

هن دستور بابت وڌيڪ پڙهو ۽ PDF ڊائون لوڊ ڪريو:

دستاويز / وسيلا

CISCO هاٿي جي وهڪري جي چڪاس [pdf] استعمال ڪندڙ ھدايت
7.4، هاٿي جي وهڪري جي چڪاس، پتو لڳائڻ

حوالو

تبصرو ڇڏي ڏيو

توهان جو اي ميل پتو شايع نه ڪيو ويندو. گهربل فيلڊ نشان لڳل آهن *