EO
Я не против например что у меня дропнется первые пара пакетов
Как только у вас дропнулся первые два пакета, приложение начнет активно пытаться подключиться к другим серверам да еще по другим портам
Size: a a a
2020 March 04
IA
Если оно дропнется, какой смысл что-то инспектить?
EO
заблокируйте тимвьювер и ради интереса потом посмотрите дамп трафика на машине
EO
там приложение фактически горизонтальное сканирование интернет хостов начинает
RP
Я к тому что в какой-то момент (даже за счёт дропа) паттерн трафика конкретного пользователя должен распознаться и ассоциироваться с конкретным приложением . Дальше коробка понимает - ага этот юзер идёт на Google drive , его трафик я больше не инспектирую
RP
Ну в принципе я понимаю ответ - типа "а если юзер идёт на "плохой" сайт, то как мне его распознать без инспекции"
EO
Я к тому что в какой-то момент (даже за счёт дропа) паттерн трафика конкретного пользователя должен распознаться и ассоциироваться с конкретным приложением . Дальше коробка понимает - ага этот юзер идёт на Google drive , его трафик я больше не инспектирую
как распознать паттерн трафика, которого нет? Т.к. первые пакеты дропаются
EO
распознать трафик по двум пакетам - сомнительная задача
RP
как распознать паттерн трафика, которого нет? Т.к. первые пакеты дропаются
Под "дропаются" я имею ввиду с точки зрения пользователя. Потому что инспекция происходит.
RP
распознать трафик по двум пакетам - сомнительная задача
Я не знаю ответа на свой вопрос, поэтому просто спрошу. Сколько нужно пакетов что бы ChekPoint понял что это трафик Google drive?
EO
как она произойдет если приложение не работает через https инспекцию например?
EO
с тем же certificate pinning
RP
Ок, тогда вопрос глубже. Как application filtering распознает что это именно Google drive?
RP
Просто по destination IP?
EO
Либо по имени в сертификате
RP
Тогда что опять же ему мешает по тем же принципам, по которым он соотносит этот трафик с приложением, не делать его инспекцию, если я укажу приложение для bypass правила?
EO
потому что: dst ip может меняться, имя в сертификате - тоже
RP
Хорошо. Спасибо!
GK
Коллеги, никак не пойму что даёт лицензия HA? Без неё кластере не соберётся?
AS
Она подходит только для второстепенных железок в кластере, нужно чтобы ещё и обычная (не НА) была на другом устройстве, чтобы кластер работал. Поэтому она и дешевле.
Можно сделать кластер только на обычных лицензиях (не НА), но нельзя делать только на НА.
Можно сделать кластер только на обычных лицензиях (не НА), но нельзя делать только на НА.