Политики доступа и фильтрация трафика.

Previous pageReturn to chapter overviewNext page

По умолчанию, если клиент авторизован, его работа ничем не ограничена, внешний исходящий TCP, UDP и ICMP трафик разрешен.

 

Для клиентов могут быть применены различные ограничения, причем некоторые могут быть сделаны общими, или для группы, или для всех -

 

Ограничения авторизации - см. предыдущий раздел "Авторизация".
По дате - настройка строго индивидуальная. Позволяет прописывать временный доступ, а также может пригодиться для реализации некоторых тарифных планов.
По расписанию. Можно выборочно задать разрешение работы как по дням недели, так и по часам суток. Доступна индивидуально, для группы или общая для всех.
Может быть разрешено использование отдельных служб программы. Эта настройка только персональная. Запрещение прямого трафика (Direct) заблокирует работу через NAT. Можно запретить работу через прокси-сервер.  Для SOCKS есть возможность запретить работу полностью или только запретить входящие TCP-соединения (Bind).
По скорости работы. Могут быть заданы ограничения как по трафику, так и по пакетам. См. раздел "Ограничение скорости".
По количеству TCP сессий. Доступна индивидуально, для группы или общая для всех. См. далее подраздел Ограничение количества TCP сессий.
По типу трафика - фильтрация.

 

Фильтры.

 

В программе фильтрация реализуется двумя способами -

 

1.IP фильтрация на уровне драйвера. В качестве критериев задаются IP адреса, IP протоколы и порты.
2.Фильтры приложений  с анализом HTTP контента. Работает только через HTTP прокси сервер.

 

Соответственно и фильтры предусмотрены 2-х типов -

 

1.IP фильтры. Применяются для любого трафика - прямой (NAT), HTTP прокси, SOCKS.
2.Фильтры приложений. Применяются только для трафика через HTTP прокси и SOCKS. Для SOCKS при этом задание критериев HTTP контента недоступно.

 

По типу действий фильтры могут быть -

На разрешение.
На запрещение.
На запрещение в зависимости от уровня фильтрации, заданным клиентом. Предусмотрено 4 уровня фильтрации и клиент сам через агента может включить нужный ему уровень. Таким образом он сам может задать степень ограничений трафика, что полезно для реализации задач экономии трафика.
Другие действия. Фильтры кроме собственно фильтрации также управляют маркировкой трафика - наценки (скидки), маршруты, ограничения скорости и т.д.

 

В качестве критерия адресов в фильтрах используется понятие "адрес источника" и "адрес назначения".

 

"Адрес источника" - это хосты внутренней сети. Их явно задавать нельзя, взамен используются данные авторизации. В зависимости от того, относится трафик к авторизованному клиенту или нет, имеются следующие типы фильтров -

Для всех. Этот фильтр применяется независимо от того, относится ли трафик к авторизованному клиенту или нет.
Для "не клиентов" - только для неавторизованного трафика.
Для клиентов - только для авторизованного трафика. Тут есть возможность применить фильтр как для всех клиентов, так и для отдельной группы.

 

В качестве "адреса назначения" могут быть -

 

Сам сервер. Фильтр применяется для всех IP всех интерфейсов сервера.
IP адрес или сеть.
Имя хоста. Для IP фильтра имя через DNS преобразуется в IP адрес, см. далее.
Список. Суть списка для IP фильтров и фильтров приложений отличается, см. далее.
Любой трафик. Кроме трафика на сам сервер.

 

Кроме адресов в фильтрах могут быть заданы и другие критерии IP уровня - тип IP протокола, а также TCP/UDP порты со стороны адреса источника и назначения.

 

DNS преобразование имен в IP адреса для фильтров.

 

Traffic Inspector имеет уникальную функцию преобразования имен хостов в IP адреса для применения в IP фильтрах. Для работы фильтров в драйвере программы надо задать IP адрес, так как фильтрация идет на уровне IP пакета. Конечно, всегда можно определить IP адрес и задать его в фильтре явно. Но эта функция преобразования имен позволяет в фильтрах задать имя, не заботясь о том, что реальный IP адрес потом может измениться, что бывает довольно часто. Служба преобразования имен будет периодически перепроверять эти имена, поддерживая фильтр в рабочем состоянии. Администратор имеет возможность задать несколько параметров в виде интервалов времени для более тонкой настройки этой службы.

 

Списки в фильтрах. (Настраивается в Описания \ IP сети)

 

Для IP фильтров в списке могут быть заданы IP адреса, сети и диапазоны IP адресов. Данные могут быть экспортированы из обычных текстовых файлов описания сетей и поддерживаются различные варианты синтаксиса. Например -

 

10.0.0.2 - одиночный адрес

10.0.0.0/24 - сеть

10.0.0.0/255.255.255.255 - сеть

10.0.0.0-10.0.0.10 - диапазон адресов

 

Также в списке для IP фильтров поддерживаются и имена хостов. В этом случае имена через DNS преобразуются в IP адреса.

 

Для фильтров приложений список представляет собой набор выражений regular expressions (см. далее).

 

Фильтры приложений.

 

В фильтрах приложений дополнительно доступны функции на основе анализа HTTP контента -

 

Тип протокола приложений. Это HTTP, HTTP/CONNECT и FTP. Под HTTP понимается любой трафик через HTTP прокси, если он не FTP или не используется метод CONNECT. FTP - это доступ через HTTP прокси к FTP через метод GET, а также на TCP/21 через SOCKS.
Фильтрация на основе анализа запроса (URL) с использованием выражений regular expressions.
Фильтрация на основе типа контента. Анализируется по типу файла в запросе или типу контента в HTTP атрибуте отклика.
Редирект или подмена ресурса. См. описание прокси сервера.

 

Более подробно все настройки фильтров описаны в разделе "Администрирование".

 

Логика применения фильтров и других действий.

 

По умолчанию для "не клиентов" трафик разрешен -

 

На сам сервер, если не включен внутренний firewall.
Если включен внутренний firewall, то на сам сервер может быть разрешен трафик для DNS, DHCP и VPN PPTP сервер в соответствии с включенными галками. Также имеется возможность разрешить отдельно IPSec. Для облегчения задачи администрирования внутренней сети с самого сервера можно отдельно разрешить исходящие ICMP, UDP и TCP запросы. Все эти настройки распространяются только на трафик между самим сервером и хостами внутренней сети.
Имеются также 2 настройки, позволяющие для всех разрешить трафик между локальными и публичными внутренними сетями. Данные от сетях берутся на основании таблицы маршрутизации.

 

Также имеется 2 списка фильтров -

 

разрешающие "для всех".
запрещающие для "не клиентов". Они имеют приоритет над разрешающими фильтрами "для всех".

 

Если включен внутренний firewall, то разрешающие фильтры "для всех" на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер надо прописать разрешающий фильтр "на сам сервер", причем в списке такие фильтры надо обязательно поместить выше других разрешающих фильтров. В других случаях порядок фильтров в этих двух списках на логику работы не влияет, но может влиять на производительность - менее ресурсоемкие фильтры следует помещать в начало списка.

 

Для клиентов при фильтрации применена логика единого списка - разрешающие,  запрещающие и другие типы фильтров при анализе пакета обрабатываются последовательно строго в зависимости от их порядка, заданного в списке консоли, причем порядок разных типов фильтров может быть произвольным. Это  позволяет реализовать практически любую логику фильтрации и произвольно переопределять параметры.

 

По умолчанию для клиента трафик наружу разрешен. Но для группы есть возможность по умолчанию трафик и запретить. В таком случае у клиента должны обязательно присутствовать разрешающие фильтры.

 

Логика просмотра списка следующая. Просмотр идет с начала списка и до первого разрешающего или запрещающего фильтра. Если фильтр содержит параметр, то он применяется только если ранее при просмотре списка он не был применен. Под параметрами здесь понимаются дополнительные действия, задаваемые в фильтре -

 

Изменение стоимости трафика, в %. Можно задать отдельно для входящего и исходящего, но они выступают как единый параметр. Т.е. если входящий был применен, далее в списке отдельно исходящий переопределить уже нельзя.
"Не использовать этот трафик для определения скорости" - имеет приоритет перед другими параметрами шейпера. Будет сразу применен, если трафик был разрешен "для всех".
Переопределение скорости. Скорость переопределяется только для статического регулятора, для динамического (суммарное ограничение скорости для группы) возможности переопределить скорость нет.
Поднятие приоритета трафика. Ограничение скорости и приоритет - два отдельных параметра шейпера. Применяются отдельно, т.е. их можно задавать отдельными фильтрами.
Роутинг - выбор внешнего интерфейса.

 

Единый список фильтров клиента в консоли разбит на 3 списка в порядке их просмотра при анализе пакета -

 

Клиенты, Фильтры, До группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры".
Группы, Клиенты, Фильтры, если есть.
Клиенты, Фильтры, После группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры".

 

Помещение общих фильтров в первый или третий список меняет их приоритет относительно списка группы.

 

Параметры ограничения скорости, заданные н настройках клиента или группы имеют самый низкий приоритет, т.е. фильтры их всегда переопределяют.

 

Если включен внутренний firewall, то разрешающие фильтры клиентов на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер для клиентов надо прописать разрешающий фильтр "на сам сервер".

 

Для клиента, у которого включено "является администратором", внутренний firewall не применяется, а также к нему не применяются фильтры на запрет. Это сделано для исключения ситуации недоступности сервера при удаленном администрировании при ошибках в процессе настройки фильтров. Это распространяется только на IP фильтры, для фильтров приложений запрещающие правила действуют обычным образом.

 

Если трафик подпадает под условие разрешения его "для всех" (см. выше), то он всегда считается бесплатным и направляется мимо шейпера. Это также относится к любому трафику в пределах внутренних сетей. Данные от сетях тут берутся на основании таблицы маршрутизации.

 

Ограничение количества TCP сессий.

 

Эта функция работает для прямого трафика, так и через прокси (SOCKS).

 

Для прямого трафика в драйвере программы ведется подсчет количества сессий. Запись о сессии открывается по TCP пакету с флагом SYN, а закрывается по пакетам с FIN или RST. Таймаут сессии 15 минут.

 

В прокси сервере и SOCKS количество TCP сессий определяется по количеству сессий на сервере, у которых была произведена авторизация.

 

TCP сессии не учитываются для трафика -

 

На сам сервер.
Внутрисетевой транзитный трафик.
Трафик, разрешенный фильтрами "для всех".

 

При срабатывании ограничения для трафика через прокси возвращается корректный HTTP ответ. Для изображений или флэш-анимаций возвращается пустой объект, что обеспечивает относительно корректное отображение HTML страницы.

 

Текущее количество TCP сессий отображается в мониторе работы, отдельно для прямого трафика и отдельно для прокси (SOCKS).

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?howworkfilter.htm

Сайт разработчиков Traffic Inspector