Перейти к содержанию

Общие сведения о контроле трафика

Общие сведения

В разделе основного меню Сети - Контроль трафика содержатся два подраздела:

В подразделе Политики фильтрации отображен список групп управления политиками безопасности.

Элементы управления:

  • Обновить.

    Обновление содержимого окна управления.

  • Добавить.

    Добавление группы управления политиками или шаблона безопасности.

  • Поиск.

    Поиск по названию группы. В поле Найти после ввода названия группы необходимо нажать кнопку поиска image или отменить поиск, нажав image.

При нажатии на группу управления открывается окно, в котором доступно обновление информации, редактирование параметров и удаление группы управления политиками безопасности.

Также предоставляется доступ к управлению политиками фильтрации виртуальных сетей, виртуальных машин, политиками QoS, зеркалированием трафика и шаблонами политик фильтрации.

Политики фильтрации

Информация

Во вкладке Информация содержатся следующие сведения о наборе политик:

  • Название.

  • Описание.

  • Дата создания.

  • Дата изменения.

Политики фильтрации виртуальных сетей

Данный раздел состоит из двух частей:

Политики фильтрации

Во вкладке Политики фильтрации виртуальных сетей - Политики фильтрации содержится список имеющихся политик фильтраций, входящих в состав выбранной политики безопасности.

В списке содержатся следующие сведения о политиках фильтрации:

  • Название.

  • Тип (NAT, Network).

  • Статус применения.

Для добавления новой политики фильтрации виртуальных сетей необходимо нажать кнопку Создать, в открывшемся окне заполнить название и тип политики, далее подтвердить действие кнопкой OK.

Для удаления политик фильтрации необходимо отметить их в списке политик и нажать кнопку Удалить и в открывшемся окне подтвердить удаление или отменить его.

Для конвертирования политик фильтрации в шаблонные политики фильтрации необходимо отметить их в списке политик и нажать кнопку Конвертирование.

Внимание

Удаление политики фильтрации назначенной виртуальной сети возможно после снятия назначения. Предварительно необходимо убедиться, что политика не используется виртуальной сетью.

При нажатии на политику фильтрации открывается окно Политика фильтрации виртуальных сетей, в котором содержится информация о правилах фильтрации виртуальной сети и правилах перенаправления трафика, входящих в данный набор. В зависимости от типа политики фильтрации отображаются следующие вкладки:

  • SNAT (для политики фильтрации типа NAT).

    Перенаправление исходящего трафика.

  • DNAT (для политики фильтрации типа NAT).

    Перенаправление входящего трафика.

  • ACL (для политики фильтрации типа Network).

    Правила фильтрации в режиме микросегментации.

При нажатии на кнопку Назначения отображается список виртуальных сетей, на которые назначена данная политика фильтрации. Отметив в списке виртуальные сети, можно снять с них политику фильтрации, нажав кнопку Снять назначение.

Примечание

Подробнее о работе с правилами брандмауэра виртуальной сети описано в разделе Настройки брандмауэра.

При нажатии на выбранное правило открывается окно Параметры правила с подробным описанием выбранного правила.

После добавления или редактирования правил можно применить их на все виртуальные сети, которым назначена выбранная политика фильтрации, нажав на кнопку Применить.

Правила фильтрации будут применены только для виртуальных сетей в статусе Исправно.

Внимание

При применении политики фильтрации через политику (кнопка Применить) выполняются следующие действия:

  • Определяются все виртуальные сети, которым назначена данная политика.

  • Для каждой виртуальной сети определяются подключенные виртуальные машины.

  • Агрегируется список правил фильтрации политик, назначенных на виртуальную сеть и в состоянии включено, согласно их приоритету.

  • Агрегируется список правил фильтрации политик виртуальных машин, подключенных к виртуальной сети и в состоянии включено, согласно их приоритету.

  • Итоговый список применяется к виртуальной сети.

Виртуальные сети

Во вкладке Политики фильтрации виртуальных сетей - Виртуальные сети содержится список виртуальных сетей, которым можно назначать политики фильтрации.

Для этого необходимо отметить в списке целевые виртуальные сети и нажать кнопку Назначить политику фильтрации. В открывшемся окне выбрать назначаемые политики фильтрации и подтвердить действие кнопкой OK.

При нажатии на виртуальную сеть в списке открывается окно управления виртуальной сетью.

Внимание

Применение одной политики фильтрации вызывает за собой применение политик фильтраций, связанных с виртуальными сетями. Т.е. применяются все остальные политики, назначенные на виртуальные сети и политики виртуальных машин, подключенных к виртуальным сетям.

Политики фильтрации ВМ

Данный раздел состоит из двух частей:

Политики фильтрации виртуальных машин

Во вкладке Политики фильтрации ВМ - Политики фильтрации содержится список имеющихся политик фильтраций, входящих в состав выбранной политики безопасности.

В списке содержатся следующие сведения о политиках фильтрации:

  • Название.

  • Тип (Domain).

  • Статус применения.

Для добавления новой политики фильтрации необходимо нажать кнопку Создать, в открывшемся окне заполнить название и подтвердить действие кнопкой OK.

Для удаления политик фильтрации необходимо их отметить в списке политик и нажать кнопку Удалить и в открывшемся окне подтвердить удаление или отменить его.

Для конвертирования политик фильтрации ВМ в шаблонные политики фильтрации необходимо отметить их в списке политик и нажать кнопку Конвертирование.

Внимание

Удаление политики фильтрации назначенной виртуальной сети возможно после снятия назначения. Предварительно необходимо убедиться, что политика не используется виртуальной машиной.

При нажатии на политику фильтрации открывается окно Политика фильтрации виртуальных машин, в котором содержится информация о правилах фильтрации на сетевом интерфейсе виртуальной машины, подключенном к виртуальной сети:

  • Фильтрация входящего трафика ВМ.

    Правила фильтрации входящего в сетевой интерфейс ВМ трафика.

  • Фильтрация исходящего трафика ВМ.

    Правила фильтрации исходящего из сетевого интерфейса ВМ трафика.

Примечание

Подробнее о работе с правилами брандмауэра виртуальной сети описано в разделе Настройки брандмауэра.

При нажатии на выбранное правило открывается окно Параметры правила с подробным описанием выбранного правила.

После добавления или редактирования правил можно применить их на все виртуальные сети, которым назначена выбранная политика фильтрации, нажав на кнопку Применить.

Правила фильтрации могут быть применены только для виртуальных машин, подключенным к виртуальным сетям в статусе Исправно.

Виртуальные машины

Во вкладке Политики фильтрации ВМ - Виртуальные машины содержится список виртуальных машин, которым можно назначать политики фильтрации.

Для этого необходимо отметить в списке целевые виртуальные машины и нажать кнопку Назначить политику фильтрации. В открывшемся окне выбрать назначаемые политики фильтрации и подтвердить действие кнопкой OK.

При нажатии на виртуальную машину в списке открывается окно управления виртуальной машиной.

Внимание

Применение одной политики фильтрации вызывает за собой применение политик фильтраций, связанных с виртуальными сетями. Т.е. применяются все остальные политики, назначенные на виртуальные сети и политики виртуальных машин, подключенных к виртуальным сетям.

Политики QoS виртуальных сетей

Политики QoS

Политика QoS (Quality of Service, качество обслуживания) — это стратегия, используемая в сетях передачи данных для управления и гарантирования качества обслуживания различных типов трафика.

Подробнее о работе с правилами маркировки трафика описано в разделе Политики QoS виртуальных сетей.

Зеркалирование портов

Зеркалирование трафика

Зеркалирование трафика — это дублирование пакетов, передаваемых/получаемых через один порт устройства на другой.

Подробнее описано в разделе Зеркалирование портов.

Шаблоны

Данный раздел состоит из двух частей:

В каждом разделе содержится список шаблонных политик фильтрации с наборами правил.

Примечание

Шаблоны отображаются во всех политиках фильтрации, т.к они не привязаны к группам управления политиками фильтрации.

Шаблоны фильтрации виртуальных сетей

Функциональные возможности:

  • Добавить шаблон.

    Форма создания шаблона правил с указанием названия и типа шаблона.

  • Экспорт шаблонов.

    Экспорт правил выбранных шаблонов в указанную политику фильтрации.

  • Удалить.

    Удаление выбранных шаблонов.

Управление правилами в шаблонной политике выполняется соответственно назначению шаблонной политики.

Подробнее о политиках фильтрации виртуальных сетей и политиках фильтрации виртуальных машин.

Правила фильтрации в шаблоне

Работа с правилами в шаблоне аналогична работе с правилами в Настройках брандмауэра для виртуальной сети.

События

Во вкладке События отображаются зарегистрированные в системе события, возникающие при выполнении действий с наборами правил. Возможна их сортировка по типам:

  • По всем типам.

  • Ошибки.

  • Предупреждения.

  • Информационные.

Задачи

Во вкладке Задачи отображаются зарегистрированные в системе задачи, возникающие при выполнении действий с наборами правил.

Теги

Во вкладке Теги содержится список назначенных набору политик меток. Также имеется возможность создания, удаления, обновления, назначения и отмены тега.

Захват сетевых пакетов

В разделе основного меню Сети - Контроль трафика - Захват сетевых пакетов содержатся две части:

Примечание

Функционал захвата сетевых пакетов доступен только пользователю с ролью Администратор безопасности.

Шаблоны захвата пакетов

Во вкладке Шаблоны захвата пакетов предоставляется возможность сохранять и использовать повторно фильтры захвата сетевых пакетов, составленные в синтаксисе PCAP Filter.

Шаблоны захвата сетевых пакетов используются для настройки процессов захвата трафика.

По умолчанию доступен следующий набор предустановленных фильтров захвата сетевых пакетов:

  • Template: All Packets.

    Пустой фильтр, пропускающий все сетевые пакеты.

  • Template: TCP Only.

    Фильтр, пропускающий только TCP-пакеты.

В таблице шаблонов отображен следующий перечень атрибутов фильтров захвата сетевых пакетов:

  • Название.

  • Описание.

  • Выражение.

    Выражение, используемое при захвате сетевых пакетов, составленное в синтаксисе PCAP Filter.

  • Шаблон.

    Отметка о том, что сохраненный фильтр может быть одновременно использован в нескольких процессах захвата сетевых пакетов.

    В случае, если выражение не является Шаблоном, сохраненный фильтр может быть использован только в рамках одного процесса захвата сетевых пакетов. В данном случае при удалении процесса захвата сетевых пакетов будет автоматически удален и его набор правил (выражений).

  • Используется.

    Отметка о том, что сохраненный фильтр используется хотя бы в одном процессе захвата сетевых пакетов.

Для создания нового шаблона захвата пакетов необходимо нажать кнопку
Добавить шаблон захвата сетевых пакетов и заполнить следующие поля:

  • Название.

  • Описание.

  • Выражение.

  • Шаблон.

Пример создания шаблона

img

Процессы захвата пакетов

Во вкладке Процессы захвата пакетов предоставляется возможность создавать и использовать повторно процессы захвата сетевых пакетов с выбранным фильтром захвата пакетов.

В таблице процессов отображен следующий перечень атрибутов процессов захвата сетевых пакетов:

  • Действие.

  • Название.

  • Описание.

  • Время старта.

  • Состояние.

    Состояние процесса захвата пакетов ограничивает способы воздействия на процесс. В зависимости от состояния процесса в Web-интерфейсе доступны различные кнопки, которыми можно влиять на процесс. Например, запущенный процесс (в состоянии RUNNING) нельзя изменить или удалить, пока он не будет завершен, а только что созданный процесс (в состоянии SERVICE) нельзя остановить, пока он не будет запущен.

    Возможные состояния процесса
    Состояние Описание
    SERVICE Утилита готова к захвату пакетов.
    ACTIVE Утилита получила конфигурацию и начнет захват пакетов по достижению времени запуска или появлению целевого интерфейса на активном узле.
    RUNNING Утилита производит захват пакетов.
    STOPPING Утилита завершает захват пакетов.
    SUCCESS Утилита успешно завершила захват пакетов.
    FAILED Утилита столкнулась с ошибкой при захвате пакетов.
    PARTIAL Утилита spacevm-dpi-pcap-merger столкнулась с ошибкой при записи результирующего файла.
    PREPARING Утилита spacevm-dpi-pcap-merger производит повторную подготовку результирующего файла.
    CLEARING Демон узла производит очистку временных файлов.

Для создания процесса захвата пакетов необходимо нажать на кнопку
Добавить процесс захвата сетевых пакетов и заполнить следующие поля:

  • Фильтр (выбор из списка).

    Фильтр захвата пакетов, выражение которого будут использовано при захвате трафика.

  • Интерфейс (выбор из списка).

    Разрешенный администратором для захвата трафика интерфейс (например, интерфейс ВМ или физический интерфейс узла).

  • Название.

  • Описание.

  • Установить время начала.

    При включенной опции задается время автоматического начала процесса захвата пакетов.

    Параметр не запускает процесс. Процесс необходимо запустить до установленного в параметре времени кнопкой img.

  • Установить время окончания.

    При включенной опции задается время автоматического окончания процесса захвата пакетов.

  • Размер файла.

    Максимальный размер файла с захваченными пакетами (в байтах). 0 – без ограничений.

    При достижении указанного размера процесс захвата трафика автоматически завершается.

  • Количество пакетов.

    Максимальное количество захваченных пакетов. 0 – без ограничений.

    При достижении указанного количества процесс захвата трафика автоматически завершается.

Пример создания процесса захвата трафика

img

После создания процесса захвата сетевых пакетов для его запуска необходимо нажать на кнопку img.

Для остановки процесса захвата сетевых пакетов вручную необходимо нажать на кнопку img.

Для повторной подготовки результирующего файла при возникновении ошибки во время его записи необходимо нажать на кнопку
img.

Для удаления временных файлов, при отсутствии потребности получения результирующего файла после возникновения ошибки во время его записи, необходимо нажать на кнопку img.

При успешном завершении процедуры захвата сетевых пакетов результирующий файл может быть получен в разделе Файлы. При отсутствии файла рекомендуется выполнить сканирование файлов на пуле данных, к которому относится ВМ, с интерфейса, осуществляющего захват трафика. Имя файла формируется по заданному правилу recorded_packets_<4 первых символа идентификатора процесса>_<время запуска процесса в формате UTC+0>.pcap.