|
Политики доступа и фильтрация трафика |
  
|
|
Политики доступа и фильтрация трафика |
|
Если клиент авторизован, то по умолчанию его работа ничем не ограничена: внешний TCP-, UDP- и ICMP-трафик разрешен.
Для клиентов могут быть применены различные ограничения, они могут быть общими или для группы:
| • | Ограничения авторизации: смотритепредыдущий раздел "Авторизация". |
| • | По дате: для клиента настройка индивидуальная. Позволяет прописывать временный доступ, полезен для реализации некоторых тарифных планов. |
| • | По расписанию: можно задать разрешение работы по дням недели и часам суток. |
| • | По скорости работы: реализуются ограничения как по трафику, так и по пакетам. Смотрите раздел "Ограничение скорости". |
| • | По количеству TCP-сессий: доступна индивидуально, для группы или общая для всех. Смотрите далее подраздел "Ограничение количества TCP-сессий". |
| • | По типу трафика: далее фильтрация. |
Фильтры
В программе фильтрация реализуется двумя способами:
| 1. | IP-фильтрация на уровне драйвера. В качестве критериев задаются IP-адреса, IP-протоколы и порты. |
| 2. | Фильтры приложений с анализом HTTP-контента. Работает только через HTTP прокси-сервер. |
Соответственно способам, предусмотрены фильтры двух типов:
| 1. | IP-фильтры: применяются для любого трафика - прямой (NAT), HTTP-прокси, SOCKS. |
| 2. | Фильтры приложений: применяются только для трафика через HTTP-прокси. |
По типу действий фильтры могут быть:
| • | На разрешение. |
| • | На запрещение. |
| • | На запрещение в зависимости от уровня фильтрации, заданным клиентом (F1-F4). Предусмотрено четыре уровня фильтрации, и клиент сам через агента может включить нужный ему уровень. Клиент может задать степень ограничений - это полезно для реализации задач экономии трафика. |
| • | Другие действия: фильтры, кроме задачи фильтрации, могут управлять маркировкой трафика - наценки (скидки), маршруты, ограничения скорости и т.д. |
В качестве критерия сетевых адресов в фильтрах используются такие понятия, как адрес источника и адрес назначения.
Адрес источника: это хосты внутренней сети. В правилах они не задаются явно, используются данные авторизации. В зависимости от того, относится ли трафик к авторизованному клиенту или нет, имеются следующие типы фильтров:
| • | Для всех: применяется независимо от того, относится ли трафик к авторизованному клиенту или нет. |
| • | Для "не клиентов": только для неавторизованного трафика. |
| • | Для клиентов: только для авторизованного трафика. Случай предусматривает возможность применить фильтр как для всех клиентов, так и для отдельной группы. |
В качестве адреса назначения могут быть:
| • | Сам сервер. Фильтр применяется для всех IP всех интерфейсов сервера. |
| • | IP-адрес или сеть. |
| • | Список. Используются описания IP-сетей. В описаниях могут быть заданы одиночные IP-адреса, сети, а также имена хостов. В последнем случае программа сама путем DNS-запросов будет преобразовывать имена в IP-адреса. |
| • | Любой трафик. Все, кроме трафика, на сам сервер. |
В фильтрах могут быть заданы другие условия - тип IP-протокола и TCP/UDP-порты.
Фильтры приложений
В фильтрах приложений, кроме вышеперечисленных, доступны функции на основе анализа HTTP-контента:
| • | Тип протокола приложений. Это HTTP, HTTP/CONNECT и FTP. Под HTTP понимается любой трафик через HTTP-прокси, если он не FTP или не используется метод CONNECT. FTP - это доступ через HTTP-прокси к FTP через метод GET, а также на TCP/21 через SOCKS. |
| • | Фильтрация на основе анализа запроса (URL) с использованием выражений regular expressions. Могут применяться списки. |
| • | Фильтрация на основе типа контента. Тип контента определяется по типу файла в запросе (расширение имени) или данным в HTTP-атрибуте отклика (Content-Type). |
| • | Редирект, или подмена ресурса. Смотрите описание прокси-сервера. |
Более подробно все настройки фильтров описаны в разделе "Администрирование".
Логика применения фильтров
По умолчанию для не клиентов трафик разрешен:
| • | На сам сервер, если не включен внутренний Firewall. |
| • | Если включен внутренний сетевой экран, то на сам сервер может быть разрешен трафик для DNS-, DHCP- и VPN PPTP-сервер в соответствии с включенными опциями. Есть возможность отдельно разрешить IPSec. Для решения задачи администрирования внутренней сети с самого сервера можно отдельными опциями разрешить исходящие ICMP-, UDP- и TCP-запросы. Все эти настройки распространяются только на трафик между самим сервером и хостами внутренней сети. |
| • | Имеются также две настройки, позволяющие для всех разрешить трафик между локальными и публичными внутренними сетями. Данные о сетях берутся на основании таблицы маршрутизации. |
Также есть два списка фильтров:
| • | Разрешающие для всех. |
| • | Запрещающие для не клиентов. Они имеют приоритет над разрешающими фильтрами для всех. |
Если включен внутренний сетевой экран, то разрешающие фильтры для всех на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер следует прописать разрешающий фильтр как на сам сервер, причем в списке такие фильтры надо обязательно поместить выше других разрешающих. В остальных случаях порядок фильтров в этих двух списках на логику работы не влияет, но может повлиять на производительность - менее ресурсоемкие фильтры стоит помещать в начало списка.
Для клиентов, при применении фильтров, используется логика единого списка - разрешающие, запрещающие и другие типы фильтров при анализе пакета обрабатываются последовательно строго в зависимости от их порядка, заданного в списке консоли, причем порядок разных типов фильтров может быть произвольным. Это позволяет реализовать практически любую логику фильтрации и произвольно переопределять параметры.
По умолчанию для клиента трафик наружу разрешен. Но для группы есть возможность запретить трафик по умолчанию. В этом случае у клиента должны обязательно присутствовать разрешающие фильтры.
Логика просмотра списка следующая. Просмотр идет с начала списка и до первого разрешающего или запрещающего фильтра. Если фильтр содержит параметр действия, то он применяется один раз - с учетом того, что ранее при просмотре списка он не был применен. Под параметрами здесь понимаются дополнительные действия, задаваемые в фильтре:
| • | Изменение стоимости трафика: можно сделать бесплатным или применить к нему другой тариф. |
| • | Не использовать этот трафик для определения скорости: имеет приоритет перед другими параметрами шейпера. Трафик будет сразу применен, если был разрешен для всех. |
| • | Переопределение скорости: переопределяется только для статического регулятора; для динамического же(суммарное ограничение скорости для группы) возможности переопределить скорость нет. |
| • | Поднятие приоритета трафика: ограничение скорости и приоритет - два отдельных параметра шейпера. Применяются отдельно, т.е. их можно задавать отдельными фильтрами. |
| • | Роутинг: выбор внешнего интерфейса. Смотрите "Advanced Routing". |
Единый список фильтров клиента в консоли разбит на три в порядке их просмотра при анализе пакета трафика:
| • | Клиенты, Фильтры, До группы: не применяется, если в группе у клиента нет Использовать общие фильтры. |
| • | Группы, Клиенты, Фильтры, если клиент в группе. |
| • | Клиенты, Фильтры, После группы: не применяется, если в группе у клиента нет Использовать общие фильтры. |
Помещение общих фильтров в первый или третий список меняет их приоритет относительно списка группы.
Параметры ограничения скорости, заданные в настройках клиента, имеют низкий приоритет перед фильтрами - фильтры их всегда переопределяют.
Для клиента, у которого включено является администратором, внутренний сетевой экран отключается; а также к нему не применяются фильтры на запрет. Это исключает ситуацию потери контроля над сервером при удаленном администрировании, если были допущены ошибки в процессе настройки фильтров. Настройка распространяется только на IP-фильтры; для фильтров приложений запрещающие правила действуют обычным образом.
Если трафик подпадает под фильтры списка для всех (смотрите выше), то он всегда считается бесплатным и направляется мимо шейпера. То же самое к любому трафику в пределах внутренних сетей.
Ограничение количества TCP-соединений
В драйвере программы ведется подсчет количества TCP-соединений клиента. Запись о сессии открывается по TCP-пакету с флагом SYN, а закрывается по пакетам с FIN или RST. Таймаут сессии - 15 минут.
В прокси-сервере и SOCKS количество TCP-соединений определяется по количеству сессий на сервере, в которых была произведена авторизация клиента.
TCP-сессии не учитываются для трафика:
| • | На сам сервер. |
| • | Внутрисетевой транзитный трафик. |
| • | Трафик, разрешенный фильтрами для всех. |
При срабатывании ограничения по количеству TCP-соединений:
| • | С HTTP-прокси выдается страница с сообщением. Для изображений или флэш-анимаций возвращается пустой объект, что обеспечивает относительно корректное отображение HTML-страницы, элементы которой были частично заблокированы. |
| • | Для прямого трафика пакеты фильтруются. |
Текущее количество TCP-соединений отображается в мониторе работы, отдельно для прямого трафика (NAT) и отдельно для прокси (SOCKS).
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?howworkfilter.htm