Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

правил, между специальными зонами (например, any/self, trusted/any)Выполнение
ШагОписание
1Выполнение функций ACL на входящем трафике
2Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)
3Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor14Выполнение 5 функций DOS defense1. На данном этапе выполняются функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets
4Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor1
5Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 6, 13, 15
6

Выполнение правил между специальными зонами any, any/self

7Выполнение дефрагментации пакета
78Выполнение начальных функций BRAS (Инициализация инициализация соединений, сессий)1
89Выполнение HTTP/HTTPs прокси1
910Функции Destination NAT1
1011Routing Decision (FIB)
1112

Выполнение функций DOS defense1. На этапе данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

1213Выполнение правил внутри зон (например, trusted/self)13между зонами /self, any/any
14Разрешение служебного трафика кластера1
15Передача пакета в DPI1
1416Передача пакета в Netflow/Sflow (Ingress)1
1517Передача пакета в Antispam1
1618

IPsec (decode)1. После выполнения этого шага происходит переход к п.3

Таблица 2 – Порядок обработки исходящего трафика

Route Decisionустановка интерфейса отправки пакета6Выполнение
ШагОписание
1Local Policy Based Routing1
2Выполнение правил между зонамиRoute Decision
3Передача пакета в DPI1
4tcp adjust-mss1
45Netflow/sFlow (Egress)1
6BRAS (для исходящих пакетов)1
57Выполнение функций Source NAT1
8IPsec (encode)1
Если необходимо шифрование, то после этого процесса, выполняются следующие операции:
6.1Выполнение правил между зонами
6.2tcp adjust-mss1
6.3Netflow/sFlow (Egress)1
6.4Выполнение функций Source NAT1
79Выполнение фрагментации пакетов
810Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)

...

правил, между специальными зонами (например, any/self, trusted/any)Выполнение 914BRAS (установка интерфейса для отправки пакета18
ШагОписание
1Выполнение функций ACL на входящем трафике
2Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)
3

Выполнение

4

функций DOS defense1.

На данном этапе выполняются функции защиты от DDOS из раздела firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets

4Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 5, 15, 16
5

Выполнение правил между специальными зонами /any

6Выполнение дефрагментации пакета
67Выполнение начальных функций BRAS (инициализация соединений, сессий)17
8Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. 
9Выполнение HTTP/HTTPs HTTPS прокси1
810Функции Destination NAT1
11Policy Based Routing
12Routing Decision (FIB)
Если пакет перед передачей необходимо обработать протоколом более высокого уровня, выполняются следующие действия:
912.1

Выполнение функций DOS defense1.

На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

912.2Выполнение правил внутри зон (например, trusted/self)9.3Передача пакета в DPI1
912.43Передача пакета в Netflow/Sflow (Ingress)1
912.54Передача пакета в Antispam1
912.65

IPsec (decode)1.

После выполнения этого шага происходит переход к п.3

10Инспектирование пакета сервисом IDS/IPS в режиме service-ips inline1
1113tcp adjust-mss1
1214

Выполнение функций DOS defense1.

На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets:

ip firewall screen suspicious-packets large-icmp

ip firewall screen dos-defense winnuke

ip firewall screen spy-blocking port-scan

1315Выполнение правил внутри зоны или между специальными зонами (например, trusted/untrusted, untrusted/trusted, trusted/trusted)any/any
16Передача пакета в DPI115
17Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. 
18Netflow/Sflow (Egress)116
19Инспектирование пакета сервисом IPS/IDS в режиме service-ips inline1
20BRAS (для исходящих пакетов)1
1721Выполнение функций Source NAT1
1822IPsec (encode)1
Если необходимо шифрование, то после этого процесса, выполняются следующие операции:
1822.1Выполнение правил между зонамиПередача пакета в DPI1
22.2tcp adjust-mss1
1822.3Netflow/sFflow (Egress)1
1822.4BRAS (для исходящих пакетов)
22.5Выполнение функций Source NAT1
1923Выполнение фрагментации пакетов
2024Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.)

...