Xavfsizlik devori shikastlangan/kechiktirilgan paketlarni aks ettiradi

Shaffof xavfsizlik devori orqali bir-biri bilan aloqa o'rnatadigan ikkita tarmoq bor. Muammo shundaki, ushbu tarmoqlardan foydalangan holda dasturiy ta'minot paketlarni yo'qotish haqida xabar beradi. Yo'qotilgan paketlarning soni o'zgaradi, ammo u taxminan 0,1% bo'lishi mumkin. Bu hatto xavfsizlik devoridagi har ikki yo'nalishda ham "biron-bir/har qanday" qoidaga amal qiladi. Men xavfsizlik devorining bir tomonida Wireshark bilan bir oz ta'qib qildim va men xavfsizlik devori ulangan bo'lsa, hosil bo'lgan ICMP paketlari mavjudligini ko'rdim. Agar xavfsizlik devorini patch kabeli bilan almashtirsam, ICMP paketlarining soni sezilarli darajada kamayadi.

Har ikkalasi ham xavfsizlik devoriga ega bo'lgan va bo'lmagan 1.5M paketlarni qo'lga kiritishda:

  • Xavfsizlik devori bilan: Vaqtgacha efir vaqti (Fragmentni qayta o'rnatish muddati oshib ketdi) va 40 dan 50 gacha Maqsad etishmasligi mumkin (Port unavailable) paketlar.

  • Xavfsizlik devori bo'lmagan holda: Vaqtgacha efir vaqti (Fragmentni qayta o'rnatish vaqti oshdi) paketlari haqida va Destination unavailable () paketlardan hech biri.

Menga shunga o'xshash ba'zi paketlar xavfsizlik devori tomonidan yuborilgan va/yoki shikastlangan, shuning uchun ICMP xabarlari kabi ko'rinadi, ammo men buni qanday qilib tasavvur qila olaman. Bu nima uchun ro'y berayotgani yoki qanday qilib muammolarni hal qilishni davom ettirish bo'yicha har qanday fikr? Har qanday ma'lumot uchun minnatdorman!

Xavfsizlik devori Feniks Contact mGuard GT/GT hisoblanadi va barcha kalitlar Cisco 3650.

EKRAN: Tarmoqning o'tkazuvchanligi bilan bog'liq holda, men trafikni tortib olayotgan kalitdagi yansıtılmış bir Xabar faqat taxminan 0.25% foydalanish, ya'ni 2,5 Mbit ko'rsatadi. Bu xavfsizlik devoridagi cheklashlar ichida yaxshi bo'lishi kerak.

EDIT2: Men xavfsizlik devori orqali tarmoqli kengligi sinovlarini qildim va natijalar juda yomon. Men xavfsizlik devorining ikkala tomonidagi kalitlarga bog'langan ikkita mashinada iperf3 dan foydalanayapman va ular o'rtasida UDP trafigini (odatiy transportning aksariyati UDP) majbur qilsam, ular oldin 30Mbit/soniya ma'lumotni yuborishim mumkin paketlarni yo'qotish. 50Mbit/soniya ichida paketlarning 16 foizi yo'qoladi va 200Mbit/soniyada 80 foizdan ortiq ulkan paket yo'qotish mavjud.

Xavfsizlik devori yomon bo'lmasligi mumkinmi yoki men biror narsani yo'qotmayapmanmi?

0
Javob berish sizga yordam berdimi? Agar shunday bo'lsa, savolni javobni qabul qilishingiz kerak, shunda savol doimiy javob bermaydi. Shu bilan bir qatorda, o'z javobingizni taqdim eta olasiz.
qo'shib qo'ydi muallif Ron Maupin, manba

1 javoblar

Sizning ICMP Vaqtgacha efir vaqti (Fragmentni qayta o'rnatish vaqti oshdi) xabarlari xavfsizlik devori emas, balki so'nggi nuqta tomonidan yaratiladi. Muammo shundaki, xavfsizlik devori jo'natilayotgan ma'lumotlar tezligini boshqarolmaydi. Agar sizda gigabitli ulanishlar mavjud bo'lsa, siz ko'p miqdordagi trafikni yo'qotasiz va bu TCP segmentlarini rad etishga olib keladi, ularning ko'pchiligi qayta tushib ketishi mumkin va TCPni qayta o'rnatish vaqti tugab qoladi.

Router - FL MGUARD GT/GT - 2700197 (emphasis is mine):

200 Mbit/s gacha ma'lumotlarni uzatish aqlli xavfsizlik devori bilan yo'riqnoma,   Gigabit aloqasi, SFP Slots Stateful Inspection Firewall uchun   maksimal xavfsizlik va juda oddiy konfiguratsiya, bir-birining o'rnini bosadigan   konfiguratsiya xotirasi

Boshqacha qilib aytadigan bo'lsak, sizning xavfsizlik devoringiz ma'lumotlar uzatishga harakat qilayotgan tezlikni boshqarish uchun ishlab chiqarishga ega emas.

1
qo'shib qo'ydi
Fragmanni qayta o'tkazish mexanizmi mavjud emas, shuning uchun parcha yo'qolishi butun paketni qayg'uga solib qo'yadi, bu esa yo'qolib qolishi mumkin bo'lgan boshqa qismlarni keltirib chiqaradi. * FRAGMENTS BAD * (tm) Zamonaviy tarmoq to'plamlari fragmentlarni yubormaydi.
qo'shib qo'ydi muallif Neall, manba
Agar ular virtual qayta o'rnatilsa, ular xavfsizlik devori tomonidan yaratilishi mumkin. Lekin bu shaffof rejimda bo'lishi mumkin emas.
qo'shib qo'ydi muallif Neall, manba