Общие сведения о контроле трафика
Общие сведения
Вкладка Контроль трафика содержит два раздела:
В разделе Политики виртуальных сетей отображен список политик безопасности. Элементы управления:
-
Обновить
Обновление содержимого окна управления.
-
Добавить
Добавление политики безопасности/шаблона захвата пакетов.
-
Поиск
Поиск по названию политики. В поле Найти после ввода названия политики необходимо нажать кнопку поиска или отменить поиск, нажав кнопку .
При нажатии на набор политики безопасности открывается окно, в котором доступно обновление информации, редактирование параметров и удаление политики безопасности.
Политики виртуальных сетей
Информация
Во вкладке Информация содержатся следующие сведения о наборе политик:
-
Название
-
Описание
-
Дата создания
-
Дата изменения
Политики фильтрации виртуальных сетей
Во вкладке Политики фильтрации виртуальных сетей содержится список имеющихся наборов правил, входящих в состав выбранной политики безопасности.
Для добавления нового набора правил необходимо нажать кнопку
Добавить политику фильтрации виртуальных сетей
и заполнить следующие поля:
-
Название
-
Описание
При нажатии на набор правил открывается окно Политика фильтрации виртуальных сетей, в котором содержится информация о правилах фильтрации виртуальной сети и правилах перенаправления трафика, входящих в данный набор. Информация разделена на следующие группы:
-
SNAT
Перенаправление исходящего трафика.
-
DNAT
Перенаправление входящего трафика.
-
ACL
Правила фильтрации в режиме микросегментации.
Примечание
Подробнее о работе с правилами брандмауэра виртуальной сети описано в соответствующем разделе.
Для удаления политики фильтрации необходимо нажать кнопку Удалить в окне выбранной политики.
Важно
Удаление политики фильтрации назначенной виртуальной сети приведет к ошибке. Предварительно необходимо убедиться, что политика не используется виртуальной сетью.
При нажатии на выбранное правило открывается окно Параметры правила с подробным описанием выбранного правила.
После добавления или редактирования правил можно применить их на все виртуальные сети, которым назначена выбранная политика фильтрации, нажав на кнопку Применить.
Правила фильтрации могут быть применены только для сетей в статусе "Исправно".
Для просмотра правил, сгруппированных по шаблонам, необходимо активировать переключатель Группировать шаблоны. Правила, не относящиеся к шаблонам, отображаются в группе Нешаблонные правила.
Политики QoS виртуальных сетей
Политики QoS
Политика QoS (Quality of Service, качество обслуживания) — это стратегия, используемая в сетях передачи данных для управления и гарантирования качества обслуживания различных типов трафика.
Подробнее о работе с правилами маркировки трафика описано в разделе Политики QoS виртуальных сетей.
Зеркалирование портов
Зеркалирование трафика
Зеркалирование трафика — это дублирование пакетов, передаваемых/получаемых через один порт устройства на другой.
Подробнее о работе с зеркалированием портов описано в соответствующем разделе.
Шаблоны
Вкладка Шаблоны содержит два раздела:
-
Шаблоны фильтрации виртуальных сетей.
-
Шаблоны фильтрации интерфейсов ВМ.
В каждом разделе содержится список шаблонов политик фильтрации с наборами правил.
Примечание
Шаблоны отображаются во всех политиках фильтрации, т.к они не привязаны к наборам правил контроля трафика.
Шаблоны фильтрации виртуальных сетей
Функциональные возможности раздела:
-
Добавить шаблон
Форма создания шаблона правил с указанием имени и описания шаблона.
-
Конвертирование политики
Создание шаблона с копированием правил фильтрации из выбранной политики.
Политика фильтрации, из которой будет создан шаблон, не будет удалена.
-
Импорт шаблонов
Импорт правил выбранных шаблонов в указанную политику фильтрации.
Внимание
Правила фильтрации связаны с шаблоном. Редактирование правил в шаблоне разрывает связь этого правила в политиках фильтрации со своим шаблоном. Для сохранения связи допустимо изменять поля Индекс, Счетчик пакетов и Состояние правила.
-
Исключение шаблонов
Исключение правил, описанных в выбранных шаблонах из указанной политики фильтрации.
Из политики будут удалены те правила фильтрации, которые привязаны к шаблону.
-
Удалить
Удаление выбранных шаблонов.
Импортированные правила остаются в политиках фильтрации, в которые они были импортированы.
Правила в шаблоне разделены на три группы:
-
ACL
Правила фильтрации трафика виртуальной сети.
-
SNAT
Перенаправление исходящего трафика.
-
DNAT
Перенаправление входящего трафика.
Шаблоны фильтрации интерфейсов виртуальных машин
Функциональные возможности раздела:
-
Добавить шаблон
Форма создания шаблона правил с указанием имени и описания шаблона.
-
Импорт шаблонов
Импорт правил выбранных шаблонов в указанную политику фильтрации.
Внимание
Правила фильтрации связаны с шаблоном. Редактирование правил в шаблоне разрывает связь этого правила в политиках фильтрации со своим шаблоном. Для сохранения связи допустимо изменять поля Индекс, Счетчик пакетов и Состояние правила.
-
Исключение шаблонов
Исключение правил, описанных в выбранных шаблонах из указанной политики фильтрации.
Из политики будут удалены те правила фильтрации, которые привязаны к шаблону.
-
Удалить
Удаление выбранных шаблонов.
Импортированные правила остаются в политиках фильтрации, в которые они были импортированы.
Правила в шаблоне разделены на две группы:
-
Фильтрация входящего трафика
Фильтрация трафика, входящего в интерфейс виртуальной машины.
-
Фильтрация исходящего трафика
Фильтрация трафика, исходящего из интерфейса виртуальной машины.
Правила фильтрации в шаблоне
Работа с правилами в шаблоне аналогична работе с правилами в разделе Настройки брандмауэра для виртуальной сети.
События
Во вкладке События отображаются зарегистрированные в системе события, возникающие при выполнении действий с наборами правил. Возможна их сортировка по типам:
-
По всем типам
-
Ошибки
-
Предупреждения
-
Информационные
Задачи
Во вкладке Задачи отображаются зарегистрированные в системе задачи, возникающие при выполнении действий с наборами правил.
Теги
Во вкладке Теги содержится список назначенных набору политик меток. Также имеется возможность создания, удаления, обновления, назначения и отмены тега.
Захват сетевых пакетов
Вкладка Захват сетевых пакетов содержит два раздела:
Примечание
Функционал захвата сетевых пакетов доступен только пользователю с ролью Администратор безопасности.
Шаблоны захвата пакетов
Раздел Шаблоны захвата пакетов позволяет сохранять и использовать повторно фильтры захвата сетевых пакетов, составленные в синтаксисе PCAP Filter.
Шаблоны захвата сетевых пакетов используются для настройки процессов захвата трафика.
По умолчанию доступен следующий набор предустановленных фильтров захвата сетевых пакетов:
-
Template: All Packets
Пустой фильтр, пропускающий все сетевые пакеты.
-
Template: TCP Only
Фильтр, пропускающий только TCP-пакеты.
В разделе Шаблоны захвата пакетов отображен следующий перечень аттрибутов фильтров захвата сетевых пакетов:
-
Название
-
Описание
-
Выражение
Выражение, используемое при захвате сетевых пакетов, составленное в синтаксисе PCAP Filter.
-
Шаблон
Отметка о том, что сохраненный фильтр может быть одновременно использован в нескольких процессах захвата сетевых пакетов.
В случае, если выражение не является Шаблоном, сохраненный фильтр может быть использован только в рамках одного процесса захвата сетевых пакетов. В данном случае при удалении процесса захвата сетевых пакетов будет автоматически удален и его набор правил (выражений).
-
Используется
Отметка о том, что сохраненный фильтр используется хотя бы в одном процессе захвата сетевых пакетов.
Для создания нового шаблона захвата пакетов необходимо нажать на кнопку
Добавить шаблон захвата сетевых пакетов
и заполнить следующие поля:
-
Название
-
Описание
-
Выражение
-
Шаблон
Процессы захвата пакетов
Раздел Процессы захвата пакетов позволяет создавать и использовать повторно процессы захвата сетевых пакетов с выбранным фильтром захвата пакетов.
В разделе Процессы захвата пакетов отображен следующий перечень аттрибутов процессов захвата сетевых пакетов:
-
Название
-
Описание
-
Время старта
-
Состояние
Состояние процесса захвата пакетов ограничивает способы воздействия на процесс. В зависимости от состояния процесса в Web-интерфейсе доступны различные кнопки, которыми можно влиять на процесс. Например, запущенный процесс (в состоянии
RUNNING
) нельзя изменить или удалить, пока он не будет завершен, а только что созданный процесс (в состоянииSERVICE
) нельзя остановить, пока он не будет запущен.Возможные состояния процесса
Состояние Описание SERVICE Утилита готова к захвату пакетов. ACTIVE Утилита получила конфигурацию и начнет захват пакетов по достижению времени запуска или появлению целевого интерфейса на активном узле. RUNNING Утилита производит захват пакетов. STOPPING Утилита завершает захват пакетов. SUCCESS Утилита успешно завершила захват пакетов. FAILED Утилита столкнулась с ошибкой при захвате пакетов. PARTIAL Утилита spacevm-dpi-pcap-merger столкнулась с ошибкой при записи результирующего файла. PREPARING Утилита spacevm-dpi-pcap-merger производит повторную подготовку результирующего файла. CLEARING Демон узла производит очистку временных файлов.
Для создания процесса захвата пакетов необходимо нажать на кнопку
Добавить процесс захвата сетевых пакетов
и заполнить следующие поля:
-
Фильтр
Фильтр захвата пакетов, выражение которого будут использовано при захвате трафика.
-
Интерфейс
Разрешенный администратором для захвата трафика интерфейс (например, интерфейс ВМ или физический интерфейс узла).
-
Название
-
Описание
-
Установить время начала
При включенной опции задается время автоматического начала процесса захвата пакетов.
Параметр не запускает процесс. Процесс необходимо запустить до установленного в параметре времени кнопкой .
-
Установить время окончания
При включенной опции задается время автоматического окончания процесса захвата пакетов.
-
Размер файла
Максимальный размер файла с захваченными пакетами (в байтах). 0 – без ограничений.
При достижении указанного размера процесс захвата трафика автоматически завершается.
-
Количество пакетов
Максимальное количество захваченных пакетов. 0 – без ограничений.
При достижении указанного количества процесс захвата трафика автоматически завершается.
После создания процесса захвата сетевых пакетов для его запуска необходимо нажать на кнопку .
Для остановки процесса захвата сетевых пакетов вручную необходимо нажать на кнопку .
Для повторной подготовки результирующего файла при возникновении ошибки во время его записи необходимо нажать на кнопку
.
Для удаления временных файлов при отсутствии потребности получения результирующего файла после возникновении ошибки во время его записи необходимо нажать на кнопку .
При успешном завершении процедуры захвата сетевых пакетов результирующий файл может быть получен в разделе Файлы.
При отсутствии файла рекомендуется выполнить сканирование файлов на пуле данных, к которому относится ВМ,
с интерфейса, осуществляющего захват трафика. Имя файла строится по заданному правилу
recorded_packets_<4 первых символа идентификатора процесса>_<время запуска процесса в формате UTC+0>.pcap
.