Подготовка и настройка Сенсора
17 апреля 2024
ID 203033
С аппаратной точки зрения Сенсор должен обладать двумя сетевыми интерфейсами и иметь аппаратную спецификацию, соответствующую одной из рекомендуемых конфигураций в разделе Системные требования к Сенсору. Аппаратный компонент Сенсора также может быть представлен виртуальной машиной, при условии сохранения уровня производительности эквивалентных аппаратных решений, перечисленных в разделе Системные требования к Сенсору.
С точки зрения топологии сети Сенсор должен быть установлен как можно ближе к границе сети и, по возможности, ниже точки терминации GRE-туннелей, но выше любых аппаратных\программных средств, которые могут вносить изменения в трафик (firewall, IPS и т.д.). После того как Сенсор будет смонтирован, Клиент должен установить на него операционную систему (предоставляется по запросу).
Процесс установки ОС подробно описан в разделе Процесс установки ОС Сенсора на сервер. В процессе установки ОС необходимо назначить IP-адрес интерфейсу управления Сенсора, указать маску сети для данного IP-адреса и шлюз по умолчанию. IP-адрес для интерфейса управления должен быть выделен из пула PA-адресов провайдера.
Не допускается назначения IP-адреса из защищаемой подсети интерфейсу управления. В случае назначения Сенсору IP-адреса из пула защищаемой подсети переключение трафика на маршрут защиты сделает систему мониторинга недоступной для управления. Для интерфейса управления должны быть выделены доступы (список предоставляется вместе с образом Сенсора).
IP-адрес и порты доступа, назначаемые непосредственно сетевому интерфейсу, предназначенному для управления Сенсором, могут быть транслированы (использование внутреннего IP-адреса непосредственно на сетевом интерфейсе управления, использование нестандартного порта для доступа по протоколу SSH). Основное требование – обеспечение бесперебойной доступности от Интернета до интерфейса управления по доступам, указанным в таблице «Перечень необходимых портов и протоколов для интерфейса управления Сенсора».
Наилучшим решением для обеспечения бесперебойного доступа является подключение Сенсора к Интернету отдельным каналом (>= 10 Mbit/s), т.к. в случае атаки на канал система мониторинга до переключения на маршрут защиты не будет недоступна.
После установки ОС второй сетевой интерфейс Сенсора будет находиться в состоянии down. Он будет активирован при удаленной настройке Сенсора Службой технической поддержки Kaspersky DDoS Protection. Тем не менее, сразу после установки ОС на второй сетевой интерфейс Сенсора должна быть подана симметричная копия трафика всех Защищаемых ресурсов.
Важное замечание! Порт для приема копии трафика на Сенсоре работает в режиме «только на прием». Таким образом, может возникнуть ситуация, в которой суммарная полоса входящего и исходящего трафика Защищаемого ресурса превысит скорость физического канала передачи данных в сторону Сенсора. Например, входящий трафик – 250 Мбит/сек, исходящий трафик – 900 Мбит/сек. Суммарно это 1150 Мбит/сек, что превышает скорость гигабитного подключения. Для корректной работы Сенсора потребуется агрегированный 2 Гбит/сек канал для приема копии трафика.
Допускается установка дополнительной сетевой карты или отдельного Сенсора для принятия всего объема зеркалированного трафика.
