...
Шаг | Описание | ||||
1 | Выполнение функций ACL на входящем трафике | ||||
2 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) | ||||
3 | Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor1 | 4 | Выполнение | правил, между специальными зонами (например, any/self, trusted/any)5 | Выполнениефункций DOS defense1. На данном этапе выполняются функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets |
4 | Инспектирование пакета сервисом IDS/IPS в режиме service-ips monitor1 | ||||
5 | Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 6, 13, 15 | ||||
6 | Выполнение правил между специальными зонами any, any/self | ||||
7 | Выполнение дефрагментации пакета | ||||
78 | Выполнение начальных функций BRAS (Инициализация инициализация соединений, сессий)1 | ||||
89 | Выполнение HTTP/HTTPs прокси1 | ||||
910 | Функции Destination NAT1 | ||||
1011 | Routing Decision (FIB) | ||||
1112 | Выполнение функций DOS defense1. На этапе данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan | ||||
1213 | Выполнение правил внутри зон (например, trusted/self) | 13 | между зонами /self, any/any | ||
14 | Разрешение служебного трафика кластера1 | ||||
15 | Передача пакета в DPI1 | ||||
1416 | Передача пакета в Netflow/Sflow (Ingress)1 | ||||
1517 | Передача пакета в Antispam1 | ||||
1618 | IPsec (decode)1. После выполнения этого шага происходит переход к п.3 |
Таблица 2 – Порядок обработки исходящего трафика
Шаг | Описание | ||
---|---|---|---|
1 | Route DecisionLocal Policy Based Routing1 | ||
2 | Выполнение правил между зонамиRoute Decision | ||
3 | Передача пакета в DPI1 | ||
4 | tcp adjust-mss1 | ||
4 | 5 | Netflow/sFlow (Egress)1 | |
6 | BRAS ( | установка интерфейсадля | отправки пакетаисходящих пакетов)1 |
57 | Выполнение функций Source NAT1 | ||
8 | IPsec (encode)1 | ||
Если необходимо шифрование, то после этого процесса, выполняются следующие операции: | |||
6.1 | Выполнение правил между зонами | ||
6.2 | tcp adjust-mss1 | ||
6.3 | Netflow/sFlow (Egress)1 | ||
6.4 | Выполнение функций Source NAT1 | ||
7 | Выполнение9 | Выполнение фрагментации пакетов | |
810 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
...
Шаг | Описание | ||
---|---|---|---|
1 | Выполнение функций ACL на входящем трафике | ||
2 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) | ||
3 | Выполнение | правил, между специальными зонами (например, any/self, trusted/any)4 | Выполнениефункций DOS defense1. На данном этапе выполняются функции защиты от DDOS из раздела firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets |
4 | Отключение функций Firewall командой ip firewall disable. Разрешение трафика исключает проверки на этапах 5, 15, 16 | ||
5 | Выполнение правил между специальными зонами /any | ||
6 | Выполнение дефрагментации пакета | ||
67 | Выполнение начальных функций BRAS (инициализация соединений, сессий)1 | 7 | |
8 | Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. | ||
9 | Выполнение HTTP/HTTPs HTTPS прокси1 | ||
810 | Функции Destination NAT1 | ||
11 | Policy Based Routing | ||
12 | Routing Decision (FIB) | ||
Если пакет перед передачей необходимо обработать протоколом более высокого уровня, выполняются следующие действия: | |||
912.1 | Выполнение функций DOS defense1. На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan | ||
912.2 | Выполнение правил внутри зон (например, trusted/self) | 9.3 | Передача пакета в DPI1 |
912.43 | Передача пакета в Netflow/Sflow (Ingress)1 | ||
912.54 | Передача пакета в Antispam1 | ||
912.65 | IPsec (decode)1. После выполнения этого шага происходит переход к п.3 | ||
10 | Инспектирование пакета сервисом IDS/IPS в режиме service-ips inline1 | ||
11 | 13 | tcp adjust-mss1 | |
1214 | Выполнение функций DOS defense1. На данном этапе выполняются специфичные функции защиты от DDOS из разделов firewall screen dos-defense, firewall screen spy-blocking, firewall screen suspicious-packets: ip firewall screen suspicious-packets large-icmp ip firewall screen dos-defense winnuke ip firewall screen spy-blocking port-scan | ||
1315 | Выполнение правил внутри зоны или между специальными зонами (например, trusted/untrusted, untrusted/trusted, trusted/trusted) | 14any/any | |
16 | Передача пакета в DPI1 | 15 | |
17 | Разрешение трафика, исходящий порт которого voice-port. Разрешение трафика включается только в случае наличия настроенного voice-port. | ||
18 | Netflow/Sflow (Egress)1 | 16 | BRAS (установка интерфейса для отправки пакета|
19 | Инспектирование пакета сервисом IPS/IDS в режиме service-ips inline1 | ||
20 | BRAS (для исходящих пакетов)1 | ||
1721 | Выполнение функций Source NAT1 | ||
1822 | IPsec (encode)1 | ||
Если необходимо шифрование, то после этого процесса, выполняются следующие операции: | |||
1822.1 | Выполнение правил между зонами | 18Передача пакета в DPI1 | |
22.2 | tcp adjust-mss1 | ||
1822.3 | Netflow/sFflow (Egress)1 | ||
1822.4 | BRAS (для исходящих пакетов) | ||
22.5 | Выполнение функций Source NAT1 | ||
1923 | Выполнение фрагментации пакетов | ||
2024 | Выполнение функций QoS (ограничение полосы пропускания, классификация и т. д.) |
...