Пакетные фильтры EtherSensor EtherCAP

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Пакетные фильтры EtherSensor EtherCAP

ВНИМАНИЕ:
В версии 6.1 изменился формат пакетных фильтров. Если вы используете пакетные фильтры, их следует преобразовать в новый формат (tcpdump/libpcap) в ручном режиме. Старые фильтры сохранены в каталоге \backup\DD.MM.YYYY\config.

Для создания и редактирования пакетных фильтров используйте консоль управления, секция Фильтры пакетов:

admin_guide-01-settings-data-sources-service-ethcapsvc-settings-console-3

Рис.11. Настройки пакетных фильтров.

Панель Действия с объектами фильтра:

Создание, клонирование и удаление фильтров и их объектов: правил и групп правил.

Панель Свойства объектов фильтра

Редактирование свойств самого фильтра, групп и правил.

Панель редактирования свойств объекта вызывается двойным щелчком мыши по соответствующему объекту: фильтру, группе правил или правилу:

admin_guide-01-settings-data-sources-service-ethcapsvc-settings-console-5

Рис.12. Панель редактирования свойств фильтра.

Имя фильтра:

Название фильтра (на усмотрение администратора).

Вкладка групп правил фильтрации:

BPF-программа не ограничивается по длине и количество правил в фильтре может быть весьма велико. Для удобства работы с правилами используйте возможность объединения их в группы с информативными названиями.

admin_guide-01-settings-data-sources-service-ethcapsvc-settings-console-6

Рис.13. Панель редактирования свойств группы правил.

Имя группы:

Имя группы правил (на усмотрение администратора).

Чекбокс Включена:

Позволяет отключать/подключать группу правил.

Вкладка Правила:

К редактированию правил можно получить доступ как с уровня фильтра, так и из вкладки "Правила" свойств группы правил.

admin_guide-01-settings-data-sources-service-ethcapsvc-settings-console-7

Рис.14. Панель редактирования правила.

Панель редактирования действия и условий правила вызывается двойным щелчком мыши по названию правила.

Тип правила:

Определено два типа правил: "Принять" и "Отклонить." Правило типа  "Принять" означает прием пакета в случае соответствия условиям правила, а правило типа "Отклонить" означает отклонение (игнорирование) такого пакета.

Правила фильтра применяются всегда последовательно, перестановка правил в фильтре может в корне изменить результат его работы.

Адрес источника:

Адрес источника. Например: any или 10.0.0.0/24 или 10.0.0.0-10.0.0.255 или список через запятую вида 100.100.100.1-100.100.100.255, 192.168.0.0/8.

Порт источника:

Порт источника, например: any или 80 или 80-8080 (c 80 по 8080), или 80-8000, 9000-10000 (с 80 по 8000 и с 9000 по 10000).

Адрес получателя:

Адрес получателя. Например: any или 10.0.0.0/24 или 10.0.0.0-10.0.0.255 или список через запятую вида 100.100.100.1-100.100.100.255, 192.168.0.0/8.

Порт получателя:

Порт получателя, например: any или 80 или 80-8080 (c 80 по 8080), или список через запятую 80-8000, 9000-10000 (с 80 по 8000 и с 9000 по 10000).

Протокол:

Один из TCP, UDP, GRE, IP6, либо any.

Комментарий

Ваш комментарий к данному правилу фильтрации.

Подробнее с настройками службы EtherSensor EtherCAP можно ознакомиться в разделе Ручная настройка (файл конфигурации).