Mwongozo wa Mtumiaji wa Utambuzi wa Mtiririko wa Tembo wa CISCO
Mitiririko ya tembo ni kubwa mno (kwa jumla ya baiti), mtiririko unaoendelea unaowekwa na TCP (au itifaki zingine) unaopimwa kupitia kiungo cha mtandao. Kwa chaguo-msingi, mtiririko wa tembo ni ule mkubwa kuliko GB 1/sekunde 10. Wanaweza kusababisha shinikizo la utendaji katika cores za Snort. Mitiririko ya tembo si mingi, lakini inaweza kuchukua sehemu isiyo na uwiano ya jumla ya kipimo data kwa kipindi cha muda. Wanaweza kusababisha matatizo, kama vile matumizi ya juu ya CPU, matone ya pakiti, na kadhalika.
Kuanzia kituo cha usimamizi 7.2.0 na kuendelea (Vifaa vya Snort 3 pekee), unaweza kutumia kipengele cha mtiririko wa tembo kutambua na kurekebisha mtiririko wa tembo, ambayo husaidia kupunguza matatizo ya mfumo na kutatua masuala yaliyotajwa.
- Kuhusu Kugundua na Kurekebisha Mtiririko wa Tembo, kwenye ukurasa wa 1
- Uboreshaji wa Mtiririko wa Tembo kutoka Njia ya Kupitia Programu ya Akili, kwenye ukurasa wa 1
- Sanidi Mtiririko wa Tembo, kwenye ukurasa wa 2
Kuhusu Kugundua na Kurekebisha Mtiririko wa Tembo
Unaweza kutumia kipengele cha kutambua mtiririko wa tembo ili kutambua na kurekebisha mtiririko wa tembo. Hatua zifuatazo za kurekebisha zinaweza kutumika:
- Mtiririko wa tembo wa bypass–Unaweza kusanidi mtiririko wa tembo ili kukwepa ukaguzi wa Snort. Ikiwa hii itasanidiwa, Snort haipokei pakiti yoyote kutoka kwa mtiririko huo.
- Mtiririko wa tembo wa Throttle–Unaweza kuweka kikomo cha kiwango kwenye mtiririko na uendelee kukagua mtiririko. Kiwango cha mtiririko kinahesabiwa kwa nguvu na 10% ya kiwango cha mtiririko hupunguzwa. Snort hutuma uamuzi (mtiririko wa QoS na kiwango cha chini cha 10% cha mtiririko) kwenye injini ya ngome. Ukichagua kukwepa programu zote ikiwa ni pamoja na programu zisizotambulika, huwezi kusanidi kitendo cha kubana (kikomo cha kiwango) kwa mtiririko wowote.
Kumbuka Ili utambuzi wa mtiririko wa tembo ufanye kazi, Snort 3 lazima iwe injini ya kugundua.
Uboreshaji wa Mtiririko wa Tembo kutoka Njia ya Kupitia Programu ya Akili
Intelligent Application Bypass (IAB) imeacha kutumika kutoka toleo la 7.2.0 na kuendelea kwa vifaa vya Snort 3.
Kwa vifaa vinavyotumia 7.2.0 au matoleo mapya zaidi, lazima uweke mipangilio ya mtiririko wa tembo chini ya sehemu ya Mipangilio ya Mtiririko wa Tembo katika sera ya AC (Kichupo cha mipangilio ya kina).
Baada ya kusasisha hadi 7.2.0 (au matoleo mapya zaidi), ikiwa unatumia kifaa cha Snort 3, mipangilio ya usanidi wa mtiririko wa tembo itachukuliwa na kutumwa kutoka sehemu ya Mipangilio ya Mtiririko wa Tembo na si kutoka kwa sehemu ya Mipangilio ya Njia ya Kupitia Programu yenye Akili, kwa hivyo ikiwa hujahamia kwenye mipangilio ya usanidi wa Mtiririko wa Tembo, kifaa chako kitapoteza usanidi wa mtiririko wa tembo kitakapotumwa tena.
Jedwali lifuatalo linaonyesha usanidi wa mtiririko wa IAB au wa tembo ambao unaweza kutumika kwa toleo la 7.2.0 au matoleo mapya zaidi na kwa toleo la 7.1.0 au la awali ambalo linaendesha injini za Snort 3 au Snort 2.
Sanidi Mtiririko wa Tembo
Unaweza kusanidi mtiririko wa tembo kuchukua hatua kwenye mtiririko wa tembo, ambayo husaidia kutatua masuala, kama vile shinikizo la mfumo, matumizi ya juu ya CPU, kushuka kwa pakiti, na kadhalika.
Tahadhari: Ugunduzi wa mtiririko wa tembo hautumiki kwa mitiririko iliyochujwa awali, inayoaminika au inayosambazwa kwa haraka, ambayo haichakatwa kupitia Snort. Mitiririko ya tembo inapotambuliwa na Snort, utambuzi wa mtiririko wa tembo hautumiki kwa trafiki iliyosimbwa.
Utaratibu
Hatua ya 1
Kielelezo cha 1: Sanidi Utambuzi wa Mtiririko wa Tembo
Hatua ya 2 Kitufe cha kugeuza cha Kugundua Mtiririko wa Tembo kimewashwa kwa chaguomsingi. Unaweza kusanidi thamani za baiti za mtiririko na muda wa mtiririko. Zinapozidi thamani ulizoziweka, matukio ya mtiririko wa tembo huzalishwa.
Hatua ya 3 Ili kurekebisha mtiririko wa tembo, washa kitufe cha kugeuza cha Urekebishaji wa Mtiririko wa Tembo.
Hatua ya 4 Kuweka vigezo vya kurekebisha mtiririko wa tembo, weka thamani za matumizi ya CPU %, muda wa madirisha ya muda uliowekwa, na kushuka kwa pakiti %.
Hatua ya 5 Unaweza kufanya vitendo vifuatavyo kwa urekebishaji wa mtiririko wa tembo inapokidhi vigezo vilivyowekwa:
a. Epuka mtiririko—Washa kitufe hiki ili kukwepa ukaguzi wa Koroma kwa programu au vichujio vilivyochaguliwa. Chagua kutoka:
• Programu zote ikiwa ni pamoja na programu zisizotambuliwa—Chagua chaguo hili ili kukwepa trafiki yote ya programu. Ukisanidi chaguo hili, huwezi kusanidi kitendo cha kukaba (kikomo cha kiwango) kwa mtiririko wowote.
• Chagua Programu/Vichujio—Chagua chaguo hili ili kuchagua programu au vichujio ambavyo trafiki yake unataka kukwepa; tazama Kusanidi Masharti na Vichujio vya Maombi.
b. Zuia mtiririko—Washa kitufe hiki ili kuweka kikomo cha viwango vya mtiririko na uendelee kukagua mtiririko. Kumbuka kuwa unaweza kuchagua programu au vichujio ili kukwepa ukaguzi wa Koroma na kuzima mitiririko iliyosalia.
Kumbuka
Uondoaji wa kiotomatiki wa koo kutoka kwa mtiririko wa tembo unaoshinikizwa hutokea wakati mfumo umetoka nje ya kulazimishwa, yaani, asilimia.tage ya matone ya pakiti ya Snort ni ndogo kuliko kizingiti chako kilichosanidiwa. Kwa hivyo, kikomo cha viwango pia huondolewa.
Unaweza pia kuondoa kipigo kutoka kwa mtiririko wa tembo aliyebanwa, kwa kutumia amri zifuatazo za ulinzi wa vitisho:
• clear efd-throttle <5-tuple/all> bypass—Amri hii huondoa mshindo kutoka kwa mtiririko wa tembo aliyekaba na kupitisha ukaguzi wa Koroma.
• clear efd-throttle <5-tuple/all>—Amri hii huondoa mshindo kutoka kwa mtiririko wa tembo aliyekaba na ukaguzi wa Koroma unaendelea. Urekebishaji wa mtiririko wa tembo haurukwa baada ya kutumia amri hii.
Kwa habari zaidi kuhusu amri hizi, angalia Rejeleo la Amri ya Ulinzi ya Tishio la Cisco Secure Firewall.
Tahadhari
Kuchukua hatua kuhusu mitiririko ya tembo (kwepa na kuzima mtiririko) hakutumiki kwenye vifaa vya mfululizo vya Cisco Firepower 2100.
Hatua ya 6 Katika sehemu ya Kanuni ya Msamaha wa Kurekebisha, bofya Ongeza Kanuni ili kusanidi sheria za orodha ya udhibiti wa ufikiaji wa L4 (ACL) kwa mtiririko ambao lazima usamehewe kurekebishwa.
Hatua ya 7 Katika dirisha la Ongeza Sheria, tumia kichupo cha Mitandao ili kuongeza maelezo ya mtandao, ambayo ni mtandao chanzo na mtandao lengwa. Tumia kichupo cha Bandari ili kuongeza lango chanzo na lango lengwa.
Mtiririko wa tembo ukigunduliwa na unalingana na sheria zilizofafanuliwa, tukio linatolewa kwa sababu kama Mtiririko wa Tembo Umesamehewa katika kichwa cha safu ya Sababu cha Matukio ya Muunganisho.
Hatua ya 8 Katika sehemu ya Sheria ya Msamaha wa Kurekebisha, unaweza view mtiririko ambao hauhusiani na hatua ya urekebishaji.
Hatua ya 9 Bofya Sawa ili kuhifadhi mipangilio ya mtiririko wa tembo.
Hatua ya 10 Bofya Hifadhi ili kuhifadhi sera.
Nini cha kufanya baadaye
Weka mabadiliko ya usanidi; tazama Tumia Mabadiliko ya Usanidi.
Baada ya kusanidi mipangilio yako ya mtiririko wa tembo, fuatilia matukio yako ya muunganisho ili kuona kama mitiririko yoyote imetambuliwa, kupitwa, au kubanwa. Unaweza view hii katika sehemu ya Sababu ya tukio lako la muunganisho. Sababu tatu za kuunganishwa kwa mtiririko wa tembo ni:
• Mtiririko wa Tembo
• Mtiririko wa Tembo Unaopigwa
• Mtiririko wa Tembo Unaoaminika
Tahadhari Kuwasha ugunduzi wa mtiririko wa tembo pekee hakusababishi kizazi cha matukio ya muunganisho wa mtiririko wa tembo. Ikiwa tukio la muunganisho tayari limeingia kwa sababu nyingine na mtiririko pia ni mtiririko wa tembo, basi sehemu ya Sababu ina habari hii. Hata hivyo, ili kuhakikisha kuwa unaweka mitiririko yote ya tembo, lazima uwashe uwekaji kumbukumbu wa muunganisho katika sheria zinazotumika za udhibiti wa ufikiaji.
Rejelea Utambuzi wa Mtiririko wa Tembo wa Cisco Secure Firewall kwa maelezo zaidi.
Soma Zaidi Kuhusu Mwongozo Huu & Pakua PDF:
Nyaraka / Rasilimali
 |
Utambuzi wa Mtiririko wa Tembo wa CISCO [pdf] Mwongozo wa Mtumiaji 7.4, Utambuzi wa Mtiririko wa Tembo, Utambuzi |