Bepul ko'ring
Tez boshlash

Сервер сетевого трафика

Внимание!

Сервер сетевого трафика устанавливается отдельно от других компонентов SecureTower с помощью отдельного мастера установки.

Основной рекомендацией является выделение отдельного сервера (или нескольких серверов) для Сервера сетевого трафика.

Прочие замечания

  1. Не рекомендуется устанавливать данный компонент на контроллер домена или сервер, на котором выполняются какие-либо иные задачи, кроме перехвата. В больших сетях при пиковых нагрузках вычислительных ресурсов сервера может быть недостаточно для обработки больших объемов данных.
  2. Наиболее рекомендуемый вариант установки компонентов системы – установка Сервера сетевого трафика, Центрального сервера и Сервера контроля рабочих станций на отдельных физических серверах, а также выведение всех компонентов в отдельный сегмент, чтобы при обмене трафиком между ними не создавалась дополнительная нагрузка на точку перехвата. Для этого необходимо обеспечить, чтобы все серверы были подключены к существующему коммутатору, а не к коммутатору с портом зеркалирования.
  3. Сервер, на котором установлен Сервер сетевого трафика, должен иметь два сетевых адаптера: первый – для приема зеркалируемого трафика, второй – для взаимодействия с другими серверными компонентами и клиентскими приложениями продукта.
  4. Информация, извлеченная из трафика и полученная от агентов контроля конечных станций, записывается в базу данных по сети. При этом трафик и данные от агентов контроля рабочих станций не рекомендуется направлять через устройство перехвата, т.к. они будут вновь проходить через порт зеркалирования, что создаст дополнительную нагрузку на Сервер сетевого трафика.
  5. Консоль администратора и Консоль пользователя могут быть установлены на любых рабочих станциях сети. При этом трафик этих рабочих станций также будет перехватываться.

Настройка сетевых адаптеров

На Сервере сетевого трафика должно быть два сетевых адаптера: первый – для приема зеркалируемого трафика, второй – для взаимодействия с другими сервисами и клиентами продукта.

Для того чтобы обеспечить работу Сервера сетевого трафика, в окне дополнительных настроек сетевого адаптера, выделенного для приема перехваченного трафика, необходимо отключить опцию Large Send Offload. Данная опция отвечает за снижение нагрузки на процессор компьютера при передаче больших IP-пакетов. Если она отключена, перед отправкой на сетевой адаптер IP-пакеты размером более 64 Кб разбиваются операционной системой компьютера на множество пакетов размером 1,5 Кб и передаются сетевому адаптеру. Если же данная опция включена, большие IP-пакеты направляются сетевому адаптеру напрямую без предварительной обработки операционной системой. Учитывая, что единственная задача, выполняемая Сервером сетевого трафика – получение и обработка сетевого трафика, включение данной опции не представляется необходимым. Отключение опции Large Send Offload является существенным условием для работы Сервера сетевого трафика, т.к. Сервер сетевого трафика не поддерживает работу с большими IP-пакетами, вследствие чего возможна потеря части трафика.

Минимальные системные требования для Сервера сетевого трафика

  • Процессор: 2 ГГц и выше, 2 ядра и более
  • Два сетевых адаптера: 100 Мбит/1 Гбит
  • Оперативная память: не менее 6 ГБ (+ 0,5 ГБ на каждые 100 отслеживаемых рабочих станций)
  • Жесткий диск: 100 МБ свободного пространства
  • Операционная система: Microsoft Windows Server 2008R2

Особенности организации перехвата сетевого трафика

Рекомендуемая схема внедрения системы перехвата на базе Сервера сетевого трафика в существующую сеть приведена ниже.

Такая схема позволит перехватывать весь внешний сетевой трафик, который будет дублироваться на Сервер сетевого трафика через порт зеркалирования коммутатора. Данная схема внедрения системы является рекомендуемой, так как обеспечивает оптимальное распределение функций всех подсистем продукта по сети, а также позволяет избежать дополнительной нагрузки на Сервер сетевого трафика.