Навигация:  Traffic Inspector > О программе >

Характеристики

Previous pageReturn to chapter overviewNext page

Основные характеристики программы:

 

Внутренние и внешние сети - топология;
Advanced Routing;
Авторизация клиентов;
Ограничения работы клиентов;
Тарификация;
Контроль внешнего трафика;
Сетевая статистика;
Прокси-сервер;
SMTP-шлюз;
Сетевой экран;
Bandwidth control (шейпер);
WWW-сервер;
Клиентский сервис;
Администрирование;
Хранение данных и отчеты;
Интерфейс автоматизации и модули расширения;
Ограничения применения программы.

 

 

Внутренние и внешние сети: топология

 

Сервер может работать с несколькими сетевыми интерфейсами в сложной по топологии сети.
Поддерживаются все интерфейсы с 802.3 (Ethernet), 802.11 (Wi-Fi), WAN PPP, WAN VPN (PPTP, L2TP).
Имеется встроенная поддержка протокола IEEE 802.1Q (Tag based VLAN).
Работает совместно с NAT от Windows. Поддерживается RAS (Dial-out), VPN (PPTP, L2TP), PPPoE.
Работает с RAS-сервером (Dial-In клиенты), поддерживаются как модемные соединения, так и VPN (PPTP, L2TP).
Внутренние сети могут быть описаны как локальные (например, внутриофисная сеть) или публичные (например, домовая). Для разных сетей могут использоваться разные политики доступа.
Для съема трафика пользователей через другие сервера внутренней сети может использоваться специальный режим сниффера ("прослушки").
Сервер может работать с несколькими внешними интерфейсами, т.е. предусмотрено несколько подключений к сети Интернет.
Для работы с динамическими внешними интерфейсами есть режим их автоматического выбора.
Обеспечивается корректная работа при разделении входящего и исходящего трафика на внешних интерфейсах (например, при работе через спутник).
Возможна работа клиентов на терминальном сервере.

 

Advanced Routing

 

Расширяет функции роутера Windows. Эта функция известна как policy routing или source routing.

 

Перенаправление трафика через заданный внешний интерфейс для группы пользователей.
Перенаправление трафика через заданный внешний интерфейс для пользователя индивидуально.
Применение перенаправления для заданного типа трафика. При работе через прокси можно также задать тип HTTP-контента.
В фильтрах можно задать в качестве условия факт перенаправления трафика.

 

Авторизация клиентов

 

Авторизация по сетевому адресу - IP, MAC или вместе. Можно задать диапазон IP-адресов.
Авторизация по имени и паролю. Используются встроенные учетные записи или учетные записи Windows. Поддерживается авторизация с разных доменов Windows.
Для учетных записей Windows используется NTLM-аутентификация. Для HTTP-прокси и SOCKS может использоваться и BASIC.
Запись MAC-адресов клиентов авторизации в таблицу статических ARP-операционной системы.
Авторизация по адресам электронной почты: используется в SMTP-шлюзе.
Авторизация через API. Позволяет использовать сторонние программы.
Контроль нарушений правил авторизации. В программе ведется учет нарушений доступа, производится запись этих событий в сетевую статистику и журнал, а также возможно оповещение администраторов по электронной почте.
Автоматическое добавление клиентов Windows. Имеется возможность ограничить это из отдельной группы Windows, а также сразу помещать новых клиентов в разные группы Traffic Inspector с привязкой к группам Windows.
Максимальное количество клиентов - 8191. Максимальное количество групп клиентов - 255.

 

Ограничения работы клиентов

 

По датам.
По расписанию в пределах недели. Задаются часы и дни недели.
По доступу к ресурсам. Есть групповые и общие фильтры на запрещение и разрешение. Фильтры применяются как на IP-уровне для любого трафика (IP-адреса, протоколы и порты), так и на уровне приложений при работе через HTTP-прокси (HTTP, FTP, URL, типы данных, regular expressions). Вместо IP-адресов можно задавать и имена хостов, что описание фильтра делает независимым от изменений адресов ресурсов.
По IP- и MAC-адресам клиента. Для пользователей с авторизацией по имени это может использоваться для введения дополнительных ограничений.
По доступу к службам программы.
По количеству TCP-сессий. Это ограничение работает как для прямого трафика, так и через прокси (SOCKS).
Запрет многопоточной закачки через прокси-сервер.
Защита от перегрузки сети и сервера - функция virus flood protect. Использует анализ трафика пользователя и блокирует его при переполнении сетевой статистики.
Ограничение по номеру VLAN.

 

Тарификация

 

Различный вид учета трафика: по входящему, исходящему, сумме входящего и исходящего и максимальному значению от входящего и исходящего.
Есть возможность задания предоплаченного (бесплатного) трафика.
Возможно тарифицировать время работы клиентов. При этом абонентская плата может начисляться посуточно или поминутно за время реальной работы.
Тарифы могут быть изменены задним числом: любое их изменение влечет немедленный пересчет всех данных по биллингу.
Могут задаваться скидки на трафик из кэша, а также почтовый трафик.
Учет может вестись по разным тарифам; те, в свою очередь, выбираются по разным критериям: тип трафика, расписание и т.д.
Для каждого тарифа есть лимиты: суточные, недельные и месячные. Для каждого счета лимиты контролируются по каждому тарифу.
Работа в кредит: при работе клиента в кредит до момента блокировки могут быть применены отдельные политики доступа.
Групповые счета, в которые можно объединить несколько клиентов. Для группового счета доступны все возможности тарификации.
Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени.

 

Контроль внешнего трафика

 

Реализован двойной учет трафика: кроме тарификации клиентов, разработаны отдельные внешние счетчики.
Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP-сети. С их помощью можно учитывать трафик от провайдера. Несколько таких счетчиков позволяют вести раздельный учет разного вида трафика (льготный или бесплатный).
Для контролируемых счетчиков задаются лимиты: предупреждения, перерасхода и ежедневный, при превышении которых выдается оповещение администратора - в противном случае данное направление (трафик) может быть заблокировано.
При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение.
Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, где есть дополнительная возможность анализировать трафик по IP-протоколам и портам.
Данные по внешним счетчикам могут отображаться как в реальном времени, так и записываться в базу данных для формирования отчетов.

 

Сетевая статистика

 

Для клиентов и внешних счетчиков может быть включен сбор сетевой статистики в контексте IP-адресов, протоколов и портов.
Есть возможность индивидуально или для всех задавать степень детализации - интервал анализа и количество активных соединений.
Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов.
Для дополнительного анализа хостов и сетей используется сервис WhoIs и NetGeo.

 

Прокси-сервер

 

Протоколы: HTTP/1.1 (Keep-Alive, Pipelining), FTP, SOCKS 4/5.
Аутентификация: BASIC (открытым паролем) или интегрированная NTLM v. 1/2.
Кэширование: есть много настроек для выбора оптимальных параметров с точки зрения экономии трафика.
Индивидуальная гибкая настройка параметров кэширования для отдельных ресурсов.
Кэш хранится в одном файле, полностью исключена его внутренняя фрагментация.
Фильтрация контента: прокси-сервер использует общие с IP-фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URI, вплоть до контекстного поиска с помощью выражений regular expressions.
Есть поддержка метода HTTP CONNECT: через прокси-сервер в этом режиме может работать SSL, FTP или любое другое TCP-приложение, позволяющее работать через HTTP-туннель.
FTP через HTTP (метод GET): прокси-сервер генерирует HTML-страницы, позволяя работать с FTP-серверами в режиме чтения. При этом работает автоматическое переключение между активным и пассивным режимами для протокола FTP.
Авторизация: сквозная. Если пользователь не авторизовался, то по необходимости запрашивается аутентификация через прокси- или SOCKS-сервер.
Автоматическое конфигурирование браузеров в соответствии с принятыми стандартами. Прокси-сервер выдает клиентам стандартный WPAD.DAT JAVA-скрипт для их конфигурирования. Есть возможность задания в нем LAT (таблицы локальных адресов) или списка имен. Может быть использовано принудительное конфигурирование браузеров через клиентского агента.
Форвардинг HTTP-, FTP- и SOCKS-запросов на другие прокси в соответствии с правилами.
Блокировка HTTP-трафика мимо прокси-сервера, редирект TCP/80 на прокси-сервер ("Прозрачный прокси").
Оперативное управление режимами фильтрации и кэширования со стороны клиента.

 

SMTP-шлюз

 

Публикует снаружи один внутренний SMTP-сервер.
Запрещает открытые relay (пересылки), что позволяет использовать внутри сети самые простые почтовые сервера.
Есть проверка адресов отправителей на достоверность их домена.
Учтена проверка хостов отправителей с помощью служб RBL, базирующихся на DNS. Многопоточная реализация позволяет задействовать большое количество служб без внесения дополнительных задержек. Через RBL также могут проверяться и все промежуточные SMTP-сервера анализом заголовков сообщений. Служба реализована в виде модуля расширения.
Гибкие правила обработки почтовых сообщений.
Тарифицирует входящую почту для известных получателей - клиентов программы. В целях экономии трафика прием почты для неизвестных получателей может быть запрещен.
Отдельно может быть запрещен и прием почты для отключенных или заблокированных пользователей.

 

Сетевой экран

 

Внешний сетевой экран по умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящие TCP-, UDP- и ICMP-данные, в связи с чем настройка службы практически не требуется.
Динамическая UDP-фильтрация: позволяет корректно отличать входящие UDP-запросы от исходящих, прозрачно разрешая исходящие UDP-данные.
Динамическая фильтрация FTP-DATA. Производится анализ FTP-команд PORT и PASV и выставление временных разрешений. Это позволяет без проблем работать как с активным режимом (клиент), так и с пассивным (публикуемый сервер).
Для разрешения работы различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил.
На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.).
Для защиты самого сервера изнутри сети также может быть включен внутренний сетевой экран. Его функциональность аналогична внешнему.

 

Bandwidth control (шейпер)

 

Служба работает по любому трафику, проходящему через сервер. В том числе через прокси-сервер и SOCKS.
Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием и передачу.
Динамическое ограничение: назначение суммарной максимальной скорости для группы, отдельно на прием и передачу.
Ограничение по количеству пакетов. Полезная функция для предотвращения перегрузки сети при эпидемиях вирусов.
Назначение в фильтрах типа трафика, который надо исключить из контроля.
Выставление отдельных ограничений скорости для конкретного типа трафика.
Выставление приоритетов на определенный тип трафика. Эта настройка позволяет менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками.
Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки этой службы в зависимости от времени.
При работе через прокси-сервер есть возможность настроить полосу отдельно для разного типа контента.
Данные из кэша прокси-сервера, а также с локального веб-сервера (сервер статистики) ограничениям по скорости не подвергаются.

 

WWW-сервер

 

Встроенный HTTP/SSL-сервер, на базе которого реализованы задачи:

 

Приложения для клиентского доступа: агент авторизации, отчеты, личный кабинет.
Отчеты и другие приложения для администраторов.
Другие расширения платформы.

 

Возможности WWW-сервера:

 

Протокол: HTTP/1.1. Поддерживается Keep-Alive, докачка, теги кэширования.
SSL-протоколы: TLS (SSL 3.1), SSL 3.0,  SSL 2.0. SSL 1.0.
Назначение разных серверных сертификатов для запросов с разных сетей.
Встроенное издательство сертификатов.
Приложения ASP.NET на базе .NET Framework 2.0. Может быть сконфигурировано неограниченное количество виртуальных сайтов. Используется отдельный процесс Windows, легкая отладка приложений сторонними разработчиками.
Гибкое назначение разделов, предусмотрено переопределение физических путей.
Авторизация как клиентов Traffic Inspector, так и администраторов  программы.
Гибкое назначение прав доступа на разделы. Работает авторизация в рамках ASP.NET-приложения.
Функция просмотра файловых директориев.
Встроенный механизм ASP.NET-сессий на базе Cookies.
Профили клиентов и групп: хранилище данных настроек приложений.

 

Клиентский сервис

 

Встроенный веб-сервер имеет "личный кабинет" клиента.

 

С помощью специальной программы клиентского агента пользователь может самостоятельно:

 

видеть текущий баланс;
видеть количество израсходованных средств за время работы агента;
можно настроить оповещение о том, что средства на счету подходят к концу;
переключать уровни фильтрации контента: работать в режиме "сбережения" трафика.
переключать режимы кэширования прокси-сервера: позволяет без проблем просматривать быстро обновляемые ресурсы, имея при этом хорошие показатели экономии трафика за счет кэширования;
прием сообщений: администратор может разослать быстрое оповещение пользователям, у которых используется клиентский агент;
сетевые протоколы: UDP (свой), HTTP или SSL;
автоматические настройки: поиск сервера в сети, автоматический выбор протоколов;
автоматическое конфигурирование Internet Explorer;
инсталлятор агента доступен для загрузки в "Личном кабинете".

 

Для клиентов, не работающих в ОС Windows, имеется web-агент, который использует браузер.

 

Администрирование

 

Консоль администратора реализована для MMC - Microsoft Management Console. Это позволяет создавать комплексные гибкие инструменты совместно с другими средствами администрирования Windows.
Удаленное управление: для удаленного доступа используется технология DCOM. Поддерживается одновременное подключение нескольких консолей.
Ограничения доступа администраторов: имеются ограниченные группы доступа к функциям биллинга - менеджеры и кассиры.
Некоторые функции администраторов доступны через встроенный веб-сервер.
Сброс настроек по умолчанию, а также их выборочная загрузка с файлов конфигурации.

 

Хранение данных и отчеты

 

Данные конфигурации хранятся в XML-файлах, плюс используется SQLite - встроенная база данных. Для нее не требуется драйверов, конфигурирования ODBC и т.д.
Имеются встроенные средства для резервного копирования и очистки устаревших данных.
Может быть подключен внешний Microsoft SQL Server, MySQL или PostgreSQL. В этом случае обеспечивается одновременная работа со встроенной базой данных (оперативные данные) и внешней.
К внешней базе данных может быть подключено несколько серверов Traffic Inspector, что позволяет иметь сводные отчеты.
Отчеты реализованы в виде ASP.NET-приложения на базе встроенного веб-сервера.
Набор отчетов может быть легко расширен использованием интерфейса автоматизации.

 

Интерфейс автоматизации и модули расширения

 

Для расширения возможностей программы сторонними разработчиками имеется документированный интерфейс автоматизации. Он также может использоваться для запуска различных скриптов, которыми можно решать задачи, не предусмотренные в программе.
К программе могут подключаться внешние модули расширения - плагины. Они имеют открытый программный интерфейс.

 

Ограничения применения программы

 

К ограничениям применения текущей версии программы можно отнести:

 

Сложно организовать персональный учет работы пользователя, когда он работает на самом сервере доступа. Этот учет в полном объеме возможен только для PE-версии на одиночном компьютере при условии отсутствия внутренних сетей. Ограниченный учет возможен только при условии применения таким клиентом HTTP-прокси или SOCKS с использованием режима авторизации как к серверу терминалов.
Имеется отдельный программный продукт Traffic Inspector Workplace, решающий эту задачу.
Нельзя организовать учет работы пользователя на компьютере, где работают серверные службы, использующие Интернет, отдельно от них, если при этом пользователь не использует прокси или SOCKS. Для полноценного учета трафика такие сервера должны быть выделенными.
Имеется отдельный программный продукт Traffic Inspector Workplace, решающий эту задачу.
Не получится организовать учет работы для нескольких пользователей при использовании NAT, если они работают на терминальном сервере. Учет возможен только при условии применения таким клиентом HTTP-прокси или SOCKS с включением соответствующего режима авторизации.
SMTP-шлюз не работает по исходящему почтовому трафику. Но если пользователи для отправки почты используют SMTP, то исходящий почтовый трафик легко учитывается настройкой тарификации по 25-му порту TCP как для почтового сервера, установленного на самом сервере доступа, так и для сервера во внутренней сети.
Нет возможности описать фильтры на уровне приложений при работе через NAT. Это доступно только при работе через прокси-сервер.
Из-за особенностей сетевого драйвера программы Traffic Inspector не сможет нормально работать с другими программами, имеющими свой NAT (не использующими NAT Windows): например, WinGate, WinRoute. Для такой совместной работы на одном сервере NAT у программ должен быть отключен (если это вообще возможно).
Могут быть проблемы совместимости с другими программами. Об этом подробно описано в разделе про установку программы.
Протокол IPv6 не поддерживается.

 

 

 

 

 

 


Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?specification.htm

Сайт разработчиков Traffic Inspector