[recovery mode] Что такое Traffic Inspector и с чем его едят
Система Traffic Inspector уже давно завоевала популярность среди системных администраторов благодаря своей гибкости, модульной архитектуре, простоте администрирования и мощным функциям для контроля сетевой активности. Такие возможности Traffic Inspector, как защита сети, контроль интернет-трафика, статистика доступа, работа с VPN, NAT, прокси-сервером и Active Directory, блокировка сайтов и фильтрация контента, интеллектуальная маршрутизация и динамическая балансировка нагрузки, сделали это решение ключевым элементом сетевой безопасности во многих организациях малого, среднего и крупного бизнеса.Однако, как показывает практика, даже профессиональные сисадмины, которые не первый год работают в Traffic Inspector, знают далеко не обо всех возможностях нашего продукта. Поэтому в этой статье мы хотели бы привести полный перечень возможностей системы и кратко прокомментировать наиболее интересные из них. Надеемся, что здесь найдут для себя что-то новое все читатели — и новички, которые еще только присматриваются к Traffic Inspector«у, и опытные сетевые инженеры, которые активно используют Traffic Inspector для управления ИТ-инфраструктурой компании.
Внутренние и внешние сети
• Внутренние сети в Traffic Inspector разделяются на локальные (например, внутриофисная сеть) или публичные (например, внутридомовая сеть), причем для каждой сети можно настроить уникальную политику доступа. Перехват трафика пользователей через другие сервера внутренней сети может осуществляться в специальном режиме сниффера («прослушки»), о котором мы расскажем в следующих статьях. Что касается внешних сетей, то сервер Traffic Inspector способен работать сразу с несколькими внешними интерфейсами (т.е. можно создать несколько одновременных подключений к Интернету), а также корректно разделяет входящий и исходящий трафик на этих интерфейсах (например, при спутниковом подключении). Если внешние интерфейсы являются динамическими, Traffic Inspector автоматически выберет для них оптимальный режим.• Сервер Traffic Inspector может работать с несколькими внутренними интерфейсами в локальной сети со сколь угодно сложной топологией. В частности, сервер поддерживает работу с 802.3 (Ethernet), 802.11 (Radio Ethernet), WAN PPP и WAN VPN (PPTP, L2TP).• Имеется поддержка NAT и RAS-сервера, причем для NAT поддерживаются соединения RAS (Dial-out), VPN (PPTP, L2TP) и PPPoE, а для RAS можно использовать модемные и VPN-подключения (PPTP, L2TP).• Среди дополнительных функций стоит отметить возможность работы клиентов на терминальном сервере и встроенную поддержку протокола IEEE 802.1Q (Tag based VLAN), который служит для передачи информации о принадлежности трафика к определенной виртуальной сети.
Авторизация пользователей
• Авторизация пользователей в Traffic Inspector может осуществляться по IP-адресу и/или MAC-адресу, по диапазону IP-адресов, по имени и паролю (в том числе с разных доменов), по адресам электронной почты (используется в SMTP-шлюзе) или через API (для сторонних приложений). В качестве дополнительно параметра авторизации можно также использовать идентификатор виртуальной сети. Всего поддерживается 8192 пользователей и 256 групп.• Если пользователь еще не авторизован (например, вошел в сеть впервые), система может автоматически перенаправить его на специальную информационную страницу встроенного веб-сервера. Это особенно удобно для сетей Wi-Fi, а также при подключении новых клиентов во внутридомовых сетях.• Traffic Inspector автоматически отслеживает нарушения правил авторизации. Обнаружив нарушение, система делает запись о нем в сетевой статистике и журнале, а затем оповещает об инциденте администраторов по электронной почте.Ограничение работы пользователей• Продолжительность работы пользователей и доступность определенных сетевых ресурсов можно регламентировать несколькими способами: по дате, по расписанию (для всех сразу или для определенных пользователей или их групп), по уровню доступа (с помощью групповых и общих фильтров на запрет или разрешение, которые применяются на сетевом уровне для любого трафика или на прикладном уровне для программ, работающих через прокси-сервер), по IP- и/или MAC-адресам клиента, по доступу к службам (NAT, роутинг, прокси-сервер, SOCKS-сервер), а также по количеству TCP-сеансов (как для трафика через SOCKS, так и для прямого трафика)• Подсистема Virus Flood Protect для защиты сети и сервера от перегрузки. Эта подсистема анализирует входящий и исходящий трафик пользователя и блокирует доступ при переполнении сетевой статистики или при подозрении на вирус.• Имеется возможность отключения порта управляемого оборудования по SNMP-протоколу с помощью скриптов в случае изменения состояния клиента.
Тарификация
• Traffic Inspector поддерживает различные варианты учета трафика: по входящему объему, исходящему объему, сумме входящего и исходящего объемов или по максимальному объему между входящим и исходящим.• В Traffic Inspector можно тарифицировать время работы клиентов и при необходимости задавать объем предоплаченного (бесплатного) трафика. Абонентская плата может начисляться посуточно или поминутно либо предоставляться в кредит, а сами тарифы могут быть изменены задним числом (при каждом их изменении система автоматически пересчитывает статистику биллинга). Дополнительно можно ввести скидки на кэшированный, почтовый или любой другой трафик в соответствии заданными критериями фильтрации либо задать лимиты трафика на сутки, неделю, месяц или особый период.• Все настройки тарификации могут быть сделаны индивидуальными, групповыми или общими, что позволяет одновременно использовать множество тарифных планов.• Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени, а все изменения статуса клиентов записываться в журнал для последующей обработки и формирования отчетов (в том числе групповых).
Контроль внешнего трафика
• Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP-сети. Настроив несколько таких счетчиков, можно вести раздельный учет разных видов трафика (например, платного, льготного и бесплатного). Для контролируемых счетчиков задаются лимиты (общий и дневной), при превышении которых генерируется оповещение от администратора и/или блокируется трафик. При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение. Данные по внешним счетчикам могут отображаться как в реальном времени и записываться в журнал для формирования отчетов.• Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, которые могут дополнительно анализировать трафик по IP-протоколу и портам.
Сетевая статистика
• Для пользователей и внешних счетчиков Traffic Inspector может собирать сетевую статистику об IP-адресах, протоколах, портах и DNS-именах, причем администратор может настроить интервал анализа и количество активных соединений. Собранная статистика записывается либо во внутреннюю СУБД, которая при необходимости синхронизируется с внешней базой MSSQL 2005, MySQL или PosrgreSQL.• Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов.
Прокси-сервер
• Встроенный в Traffic Inspector прокси-сервер работает по протоколам HTTP/1.1, FTP и SOCKS 4/5. Аутентификация может быть BASIC (по открытому паролю) или интегрированная через домен Windows (NTLM v. ½).• Прокси-сервер включает в себя мощные функции кэширования для экономии трафика и позволяет назначать отдельным ресурсам гибкие настройки параметров кэширования. Весь кэш хранится в одном файле СУБД, причем его внутренняя фрагментация полностью исключена. Все индексы кэша хранятся в оперативной памяти, что обеспечивает высокую скорость чтения и записи.• Для фильтрации контента прокси-сервер Traffic Inspector использует общие с IP-фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URL вплоть до контекстного поиска по регулярным выражениям, что позволяет, например, легко «вырезать» баннеры.• Имеется также поддержка метода HTTP CONNECT — через прокси-сервер в этом режиме может работать любое приложение, поддерживающее SSL, FTP или TCP, а также работу через HTTP-туннель.• Поддержка FTP over HTTP (метод GET) — прокси-сервер генерирует HTML-страницы, позволяя работать с FTP-серверами в режиме чтения, и автоматически переключается между активным и пассивным режимами для протокола FTP.• По умолчанию прокси-сервер использует сквозную авторизацию, но если пользователь не авторизовался до входа на прокси-сервер, то запрашивается аутентификация через прокси-сервер или SOCKS.• Автоматическое конфигурирование веб-браузеров согласно действующим в компании стандартам. Прокси-сервер предоставляет клиентам стандартный JAVA-скрипт WPAD.DAT для их конфигурирования, причем в этом скрипте можно указать LAT (таблицу локальных адресов). Кроме того, браузеры можно принудительно настроить с помощью клиентского агента.• При необходимости прокси-сервер Traffic Inspector способен блокировать HTTP-трафик, а также перенаправлять HTTP-запросы на другой прокси-сервер.• Клиент, со своей стороны, может оперативно управлять режимами фильтрации и кэширования.• Кроме того, прокси-сервер может вести журнал обработанных им запросов.
SMTP-шлюз
• SMTP-шлюз, встроенный в Traffic Inspector, публикует снаружи один внутренний SMTP-сервер, проверяет достоверность доменов в адресах отправителей, а также запрещает открытые «пересылки» (relay), что позволяет использовать внутри сети простейшие почтовые сервера.• Имеется проверка хостов отправителей с помощью служб RBL на основе DNS. Многопоточная реализация позволяет задействовать большое количество служб без замедления работы. Через RBL также могут также проверяться и все промежуточные SMTP-серверы.• SMTP-шлюз ведет «черные списки» хостов отправителей, которые могут заполняться как автоматически, так и вручную. Автоматическое занесение в «черные» списки хостов, отфильтрованных через RBL, позволяет существенно экономить трафик и эффективно бороться со спамом. Кроме того, имеются и «белые» списки, включающие в себя отправителей, для которых фильтрация сообщений применяться не будет.• Для анализа отфильтрованной почты ведется подробный журнал, а также предусмотрена массовая рассылка для администраторов.• Поддерживается тарификация входящей почты для известных получателей (пользователей Traffic Inspector). С целью экономии трафика прием почты для неизвестных получателей может быть запрещен.• Поддерживается интеграция модуля защиты от нежелательной почты Traffic Inspector AntiSpam.
Межсетевой экран
• По умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящий TCP, UDP и ICM-трафик, поэтому настройка службы практически не требуется.• Осуществляет динамическую UDP-фильтрацию, что позволяет корректно отличать входящие UDP-запросы от исходящих, прозрачно разрешая исходящие UDP-трафик.• Предусмотрена динамическая фильтрация FTP-DATA. Производится анализ FTP команд PORT и PASV и выставление временных разрешений в firewall. Это позволяет удобно работать как с активным режимом (клиент), так и пассивным (публикуемый сервер).• Для управления работой различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил.• На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.).• Для защиты самого сервера внутри сети также можно включить внутренний фаервол, функциональность которого аналогична внешнему фаерволу. Внутренний фаервол поддерживает индивидуальные настройки для локальных и публичных внутренних сетей.• Реализована возможность запрета неавторизованого трафика, идущего с самого сервера.
Шейпер
• Шейпер работает с любым трафиком, проходящим через сервер, в том числе через прокси-сервер и SOCKS.• Шейпер может ограничить индивидуальную скорость работы клиента на прием и/или передачу. Кроме того, ограничение может быть динамическим, когда назначается суммарная максимальная скорость для группы (отдельно на прием и передачу), а также основываться на количестве пакетов, если необходимо предотвратить перегрузку сети во время вирусной эпидемии.• Шейпер также позволяет задавать в фильтрах тип трафика, который следует исключить из контроля, а также ограничения скорости для каждого типа (однако эти ограничения не распространяются на данные из кэша прокси-сервера и на локальный веб-сервер статистики).• Кроме того, каждому типу трафика можно назначить приоритет, чтобы менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками.• Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки службы этой в зависимости от времени.
Расширенная маршрутизация
• С помощью функций расширенной интеллектуальной маршрутизации можно настроить условное или безусловное перенаправление трафика через заданный внешний интерфейс для группы пользователей, причем при работе через прокси-сервер можно задать также тип HTTP-содержимого.• Кроме того, поддерживается перенаправление исходящих от клиента TCP-соединений, когда в локальной сети работает сторонний прокси-сервер или когда нужно переадресовать клиента на другой онлайн-ресурс.
Клиентский агент
Клиентский агент — это специальное приложение, которое устанавливается на компьютеры пользователей и позволяет пользователям самостоятельно выполнять следующие действия: • Просматривать текущий баланс и настраивать оповещения о недостаточном количестве средств на счете.• Переключать уровни фильтрации контента для экономии трафика.• Переключать режимы кэширования прокси-сервера, чтобы быстро просматривать обновляемые ресурсы с минимальными затратами трафика.• Быстро входить в личный кабинет с помощью контекстного меню агента.• Изменять свой пароль через агент, если администратор не отключил такую возможность в Traffic Inspector.• Использовать настольную или онлайн-версию агента (веб-агент). Веб-агент поддерживает все функции настольной версии и доступен на специальной странице сервера Traffic Inspector.• Получать оповещения от администратора в режиме реального времени.
Администрирование
• Поддержка удаленного управления по стандартной технологии DCOM. Консоль управления выполнена в виде оснастки MMC, что позволяет легко интегрировать ее с другими инструментами администратора.• Ограничение доступа: можно задать группу администраторов в домене Windows или использовать встроенную аутентификацию по паролю.• Распределение доступа: можно создать администраторов с ограниченными правами, например, только для добавления клиентов, только для пополнения счетов или только для работы с определенной группой клиентов.• Поддерживается мониторинг работы клиентов и сетевой статистики в реальном времени.• Можно просматривать статистику клиентов и пополнять их счета в веб-интерфейсе.Отчеты• В Traffic Inspector можно сформировать несколько десятков видов отчетов по трафику, биллингу и сетевой статистике. Все отчеты могут быть импортированы и сохранены в различных видах и форматах — как табличных, так и графических.• При необходимости, набор отчетов можно расширить при помощи интерфейса автоматизации.
Заключение
Traffic Inspector — это современное комплексное решение для организации и контроля интернет-доступа. Для его внедрения не нужно приобретать дорогостоящее серверное оборудование или расширять штат системных администраторов. Благодаря своей неприхотливости, гибким правилам тарификации, надежной сетевой защите, эффективной балансировке нагрузки, точному учету и фильтрации трафика, эта система не только защитит вашу корпоративную инфраструктуру, но и сэкономит немало сил, денег и нервов. Дополнительную информацию о Traffic Inspector можно найти на нашем официальном сайте.
