|
Политики доступа и фильтрация трафика |
  
|
|
Политики доступа и фильтрация трафика |
|
Если пользователь авторизован, то по умолчанию его работа ничем не ограничена: внешний TCP-, UDP- и ICMP-трафик разрешен.
Для пользователей могут быть применены различные ограничения, они могут быть общими или для группы:
| • | Ограничения авторизации: см.предыдущий раздел "Авторизация". |
| • | По дате: для пользователя настройка индивидуальная. Позволяет прописывать временный доступ, полезен для реализации некоторых тарифных планов. |
| • | По расписанию: можно задать разрешение работы по дням недели и часам суток. |
| • | По скорости работы: реализуются ограничения как по трафику, так и по пакетам. См. раздел "Ограничение скорости". |
| • | По количеству TCP-сессий: доступна индивидуально, для группы или общая для всех. См. далее подраздел "Ограничение количества TCP-сессий". |
| • | По типу трафика: далее фильтрация. |
Правила
В программе фильтрация реализуется двумя способами:
| 1. | IP-фильтрация на уровне драйвера. В качестве критериев задаются IP-адреса, IP-протоколы и порты. |
| 2. | Правила приложений с анализом HTTP-контента. Работает только через HTTP прокси-сервер. |
Соответственно способам, предусмотрены правила двух типов:
| 1. | IP-правила: применяются для любого трафика - прямой (NAT), HTTP-прокси, SOCKS. |
| 2. | Правила приложений: применяются только для трафика через HTTP-прокси. |
По типу действий правила могут быть:
| • | На разрешение. |
| • | На запрещение. |
| • | На запрещение в зависимости от уровня фильтрации, заданным пользователем (F1-F4). Предусмотрено четыре уровня фильтрации, и пользователь сам через агента может включить нужный ему уровень. Пользователь может задать степень ограничений - это полезно для реализации задач экономии трафика. |
| • | Другие действия: правила, кроме задачи фильтрации, могут управлять маркировкой трафика - наценки (скидки), маршруты, ограничения скорости и т.д. |
В качестве критерия сетевых адресов в правилах используются такие понятия, как адрес источника и адрес назначения.
Адрес источника: это хосты внутренней сети. В правилах они не задаются явно, используются данные авторизации. В зависимости от того, относится ли трафик к авторизованному пользователю или нет, имеются следующие типы правил:
| • | Для всех: применяется независимо от того, относится ли трафик к авторизованному пользователю или нет. |
| • | Для "неавторизованных пользователей": только для неавторизованного трафика. |
| • | Для пользователей: только для авторизованного трафика. Случай предусматривает возможность применить правило как для всех пользователей, так и для отдельной группы. |
В качестве адреса назначения могут быть:
| • | Сам сервер. Правило применяется для всех IP всех интерфейсов сервера. |
| • | IP-адрес или сеть. |
| • | Список. Используются описания IP-сетей. В описаниях могут быть заданы одиночные IP-адреса, сети, а также имена хостов. В последнем случае программа сама путем DNS-запросов будет преобразовывать имена в IP-адреса. |
| • | Любой трафик. Все, кроме трафика, на сам сервер. |
В правилах могут быть заданы другие условия - тип IP-протокола и TCP/UDP-порты.
Правила приложений
В правилах приложений, кроме вышеперечисленных, доступны функции на основе анализа HTTP-контента:
| • | Тип протокола приложений. Это HTTP, HTTP/CONNECT и FTP. Под HTTP понимается любой трафик через HTTP-прокси, если он не FTP или не используется метод CONNECT. FTP - это доступ через HTTP-прокси к FTP через метод GET, а также на TCP/21 через SOCKS. |
| • | Фильтрация на основе анализа запроса (URL) с использованием выражений regular expressions. Могут применяться списки. |
| • | Фильтрация на основе типа контента. Тип контента определяется по типу файла в запросе (расширение имени) или данным в HTTP-атрибуте отклика (Content-Type). |
| • | Редирект, или подмена ресурса. См. описание прокси-сервера. |
Более подробно все настройки правил описаны в разделе "Администрирование".
Логика применения правил
По умолчанию для неавторизованных пользователей трафик разрешен:
| • | На сам сервер, если не включен внутренний firewall. |
| • | Если включен внутренний сетевой экран, то на сам сервер может быть разрешен трафик для DNS-, DHCP- и VPN PPTP-сервер в соответствии с включенными опциями. Есть возможность отдельно разрешить IPSec. Для решения задачи администрирования внутренней сети с самого сервера можно отдельными опциями разрешить исходящие ICMP-, UDP- и TCP-запросы. Все эти настройки распространяются только на трафик между самим сервером и хостами внутренней сети. |
| • | Имеются также две настройки, позволяющие для всех разрешить трафик между локальными и публичными внутренними сетями. Данные о сетях берутся на основании таблицы маршрутизации. |
Также есть два списка правил:
| • | Разрешающие для всех. |
| • | Запрещающие для неавторизованных пользователей. Они имеют приоритет над разрешающими правилами для всех. |
Если включен внутренний сетевой экран, то разрешающие правила для всех на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер следует прописать разрешающие правила как на сам сервер, причем в списке такие правила надо обязательно поместить выше других разрешающих. В остальных случаях порядок правил в этих двух списках на логику работы не влияет, но может повлиять на производительность - менее ресурсоемкие правила стоит помещать в начало списка.
Для пользователей, при применении правил, используется логика единого списка - разрешающие, запрещающие и другие типы правил при анализе пакета обрабатываются последовательно строго в зависимости от их порядка, заданного в списке консоли, причем порядок разных типов правил может быть произвольным. Это позволяет реализовать практически любую логику фильтрации и произвольно переопределять параметры.
По умолчанию для пользователя трафик наружу разрешен. Но для группы есть возможность запретить трафик по умолчанию. В этом случае у пользователя должны обязательно присутствовать разрешающие правила.
Логика просмотра списка следующая. Просмотр идет с начала списка и до первого разрешающего или запрещающего правила. Если правила содержит параметр действия, то он применяется один раз - с учетом того, что ранее при просмотре списка он не был применен. Под параметрами здесь понимаются дополнительные действия, задаваемые в правиле:
| • | Изменение стоимости трафика: можно сделать бесплатным или применить к нему другой тариф. |
| • | Не использовать этот трафик для определения скорости: имеет приоритет перед другими параметрами шейпера. Трафик будет сразу применен, если был разрешен для всех. |
| • | Переопределение скорости: переопределяется только для статического регулятора; для динамического же(суммарное ограничение скорости для группы) возможности переопределить скорость нет. |
| • | Поднятие приоритета трафика: ограничение скорости и приоритет - два отдельных параметра шейпера. Применяются отдельно, т.е. их можно задавать отдельными правилами. |
| • | Роутинг: выбор внешнего интерфейса. См. "Advanced Routing". |
Единый список правил пользователя в консоли разбит на три в порядке их просмотра при анализе пакета трафика:
| • | Пользователи, Правила, До группы: не применяется, если в группе у пользователя нет Использовать общие правила. |
| • | Группы, Пользователи, Правила, если пользователь в группе. |
| • | Пользователи, Правила, После группы: не применяется, если в группе у пользователя нет Использовать общие правила. |
Помещение общих правила в первый или третий список меняет их приоритет относительно списка группы.
Параметры ограничения скорости, заданные в настройках пользователя, имеют низкий приоритет перед правилами - правила их всегда переопределяют.
Для пользователя, у которого включено является администратором, внутренний сетевой экран отключается; а также к нему не применяются правила на запрет. Это исключает ситуацию потери контроля над сервером при удаленном администрировании, если были допущены ошибки в процессе настройки правил. Настройка распространяется только на IP-правил; для правил приложений запрещающие правила действуют обычным образом.
Если трафик подпадает под правил списка для всех (см. выше), то он всегда считается бесплатным и направляется мимо шейпера. То же самое к любому трафику в пределах внутренних сетей.
Ограничение количества TCP-соединений
В драйвере программы ведется подсчет количества TCP-соединений пользователя. Запись о сессии открывается по TCP-пакету с флагом SYN, а закрывается по пакетам с FIN или RST. Таймаут сессии - 15 минут.
В прокси-сервере и SOCKS количество TCP-соединений определяется по количеству сессий на сервере, в которых была произведена авторизация пользователя.
TCP-сессии не учитываются для трафика:
| • | На сам сервер. |
| • | Внутрисетевой транзитный трафик. |
| • | Трафик, разрешенный правилами для всех. |
При срабатывании ограничения по количеству TCP-соединений:
| • | С HTTP-прокси выдается страница с сообщением. Для изображений или флэш-анимаций возвращается пустой объект, что обеспечивает относительно корректное отображение HTML-страницы, элементы которой были частично заблокированы. |
| • | Для прямого трафика пакеты фильтруются. |
Текущее количество TCP-соединений отображается в мониторе работы, отдельно для прямого трафика (NAT) и отдельно для прокси (SOCKS).
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?howworkfilter.htm