Основные характеристики программы:
Внутренние и внешние сети - топология.
| • | Сервер может работать с несколькими внутренними интерфейсами в сложной по топологии сети. · Поддерживаются интерфейсы 802.3 (Ethernet), 802.11 (Radio Ethernet), WAN PPP, WAN VPN (PPTP, L2TP). |
| • | Работает совместно с NAT от Windows. Поддерживается RAS (Dial-out), VPN (PPTP, L2TP), PPPoE. |
| • | Работает с RAS сервером (Dial-In клиенты), поддерживаются как модемные соединения, так и VPN (PPTP, L2TP). |
| • | Внутренние сети могут быть описаны как локальные (например внутриофисная сеть) или публичные (например домовая). Для разных сетей могут использоваться разные политики доступа. |
| • | Для съема трафика пользователей через другие сервера внутренней сети может также использоваться специальный режим сниффера ("прослушки"). |
| • | Сервер может работать с несколькими внешними интерфейсами. Т.е. может быть несколько подключений к сети Интернет. |
| • | Для работы с динамическими внешними интерфейсами имеется режим автоматического их выбора. |
| • | Обеспечивается корректная работа при разделении входящего и исходящего трафика на внешних интерфейсах (например, при работе через спутник). |
| • | Для персонального режима работы используется внутренний IP интерфейс (127.0.0.1). В этом случае назначение других внутренних интерфейсов запрещено. |
| • | Реализована возможность работы клиентов на терминальном сервере. |
| • | Имеется поддержка протокола IEEE 802.1Q (Tag based VLAN). |
Авторизация пользователей.
| • | Авторизация по сетевому адресу - IP, MAC или вместе. Также можно задать диапазон IP адресов. |
| • | Авторизация по имени и паролю. Может использоваться при работе с прокси сервером или через клиентского агента с использованием как собственных паролей, так и через домен сети Windows. Поддерживается авторизация с разных доменов. |
| • | Запись MAC клиентов авторизации в таблицу статических ARP операционной системы. |
| • | Авторизация по адресам электронной почты - используется в SMTP шлюзе. |
| • | Авторизация через API. Позволяет использовать сторонние программы. |
| • | Контроль нарушений правил авторизации. В программе ведется учет нарушений доступа, производится запись этих событий в сетевую статистику и журнал, а также есть возможность оповещать администраторов по электронной почте. |
| • | Максимальное количество пользователей - 8191. Максимальное количество групп пользователей - 255. |
Ограничения работы пользователей.
| • | По расписанию. Может быть задано индивидуально для пользователя, для группы или сразу для всех. |
| • | По доступу к ресурсам. Имеются групповые и общие фильтры на запрещение и разрешение. Фильтры применяются на IP уровне для любого трафика (IP адреса, протоколы и порты), так и на уровне приложений при работе через прокси (HTTP, FTP, URL, типы данных, regular expressions). Вместо IP адресов всегда можно задавать и имена хостов, что описание фильтра делает независимым от изменений адресов ресурсов. |
| • | По IP и MAC адресам клиента. Для пользователей с авторизацией по имени это может использоваться для введения дополнительных ограничений. |
| • | По количеству TCP сессий. Это ограничение работает как для прямого трафика, так и через прокси (SOCKS). |
| • | Запрет многопоточной закачки через прокси сервер. |
| • | Защита от перегрузки сети и сервера virus flood protect. Использует анализ трафика пользователя и блокирует его при переполнении сетевой статистики. Это обычно бывает связано с заражением компьютера пользователя сетевыми вирусами. |
Тарификация.
| • | Возможен различный вид учета трафика: по входящему, исходящему, сумме входящего и исходящего и максимальному значению от входящего и исходящего. |
| • | Есть возможность задания предоплаченного (бесплатного) трафика. |
| • | Есть возможность тарифицировать время работы клиентов. При этом абонентская плата может начисляться посуточно или поминутно за время реальной работы. |
| • | Тарифы могут быть изменены задним числом - любое их изменение влечет немедленный пересчет всех данных по биллингу. Дополнительно могут задаваться скидки на трафик из кэша, почтовый или любой другой в соответствии заданным в фильтрах критериям. |
| • | Работа в кредит. При работе клиента в кредит до момента блокировки могут быть применены отдельные политики доступа. |
| • | Все настройки тарификации могут быть сделаны индивидуальными, групповыми или общими, что позволяет иметь различные тарифные планы. |
| • | Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени. |
| • | Все изменения статуса клиентов могут записываться в журнал для последующей обработки и формирования отчетов. |
Контроль внешнего трафика.
| • | Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP сети. С их помощью можно учитывать трафик от провайдера. Несколько таких счетчиков позволяют вести раздельный учет разного вида трафика (льготный или бесплатный). |
| • | Для контролируемых счетчиков задаются лимиты - предупреждения, перерасхода и ежедневный, при превышении которых выдается оповещение администратора или данное направление (трафик) может быть заблокировано. |
| • | При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение. |
| • | Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, где есть дополнительная возможность анализировать трафик по IP протоколам и портам. |
| • | Данные по внешним счетчикам могут отображаться как в реальном времени и записываться в журнал для формирования отчетов. |
Сетевая статистика.
| • | Для пользователей и внешних счетчиков может быть включен сбор сетевой статистики в контексте IP адресов, протоколов и портов. |
| • | Есть возможность индивидуально или для всех задавать степень детализации - интервал анализа и количество активных соединений. |
| • | Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов. |
| • | Для дополнительного анализа хостов и сетей используется сервис WhoIs и NetGeo. |
Прокси-сервер.
| • | Протоколы - HTTP/1.1 (Keep-Alive, Pipelining), FTP, SOCKS 4/5. |
| • | Аутентификация - BASIC (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2). |
| • | кэширование - есть много настроек для выбора оптимальных параметров с точки зрения экономии трафика. |
| • | Индивидуальная гибкая настройка параметров кэширования для отдельных ресурсов. |
| • | кэш хранится в одном файле, при этом полностью исключена его внутренняя фрагментация. Все индексы кэша хранятся в оперативной памяти, что обеспечивает высокую скорость работы с кэшем. |
| • | Фильтрация контента - прокси сервер использует общие с IP фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URI вплоть до контекстного поиска с помощью выражений regular expressions. Это позволяет, например, легко реализовать эффективную фильтрацию баннеров. |
| • | Есть поддержка метода HTTP CONNECT - через прокси сервер в этом режиме может работать SSL, FTP или любое другое TCP приложение, позволяющее работать через HTTP туннель. |
| • | FTP через HTTP (метод GET) - прокси сервер генерирует HTML страницы, позволяя работать с FTP серверами в режиме чтения. При этом работает автоматическое переключение между активным и пассивным режимами для протокола FTP. |
| • | Авторизация - сквозная. Если пользователь не авторизовался, то по необходимости запрашивается аутентификация через прокси или SOCKS сервер. |
| • | Автоматическое конфигурирование броузеров, в соответствии принятым стандартам. Прокси сервер выдает клиентам стандартный WPAD.DAT JAVA скрипт для их конфигурирования. Есть возможность задания в нем LAT (таблицы локальных адресов). Также может быть использовано принудительное конфигурирование броузеров через клиентского агента. |
| • | Форвардинг HTTP, FTP и SOCKS запросов на другой прокси сервер. |
| • | Блокировка HTTP трафика мимо прокси сервера, редирект TCP/80 на прокси сервер. |
| • | Оперативное управление режимами фильтрации и кэширования со стороны клиента. |
| • | Имеется возможность выборочно включить запись в журнал все запросов через прокси сервер. |
SMTP-шлюз.
| • | Публикует снаружи один внутренний SMTP сервер. |
| • | Запрещает открытые relay (пересылки), что позволяет использовать внутри сети самые простые почтовые сервера. |
| • | Есть проверка адресов отправителей на достоверность их домена. |
| • | Есть проверка хостов отправителей с помощью служб RBL, базирующихся на DNS. Многопоточная реализация позволяет задействовать большое количество служб без внесения дополнительных задержек. Через RBL также могут проверяться и все промежуточные SMTP сервера анализом заголовков сообщений. |
| • | Имеются "черные списки" хостов отправителей, которые могут заполняться как автоматически, так и вручную. Автоматическое занесение в "черные" списки хостов, отфильтрованных через RBL, позволяет существенно экономить трафик при массовой рассылке спама с них за счет исключения последующих запросов на RBL службы. |
| • | Есть "белые" списки, описывающие отправителей, для которых фильтрация сообщений применяться не будет. · Для анализа отфильтрованной почты ведется подробный журнал, а также может использоваться почтовая рассылка администраторам. |
| • | Тарифицирует входящую почту для известных получателей - пользователей Traffic Inspector. Для экономии трафика прием почты для неизвестных получателей прием почты может быть запрещен. |
| • | Может быть запрещен также прием почты для отключенных или заблокированных пользователей. |
Сетевой экран (firewall).
| • | По умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящие TCP, UDP и ICMP данные, в связи с чем настройка службы практически не требуется. |
| • | Динамическая UDP фильтрация - позволяет корректно отличать входящие UDP запросы от исходящих, прозрачно разрешая исходящие UDP данные. |
| • | Динамическая фильтрация FTP-DATA. Производится анализ FTP команд PORT и PASV и выставление временных разрешений в firewall. Это позволяет без проблем работать с активным режимом (клиент), так и пассивным (публикуемый сервер). |
| • | Для разрешения работы различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил. |
| • | На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.). |
| • | Для защиты самого сервера изнутри сети также может быть включен внутренний firewall. Его функциональность аналогична внешнему. Имеются отдельные настройки этого firewall для локальных и публичных внутренних сетей. |
Bandwidth control (шейпер).
| • | Служба работает по любому трафику, проходящему через сервер. В том числе через прокси сервер и SOCKS. |
| • | Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием и передачу. |
| • | Динамическое ограничение - назначение суммарной максимальной скорости для группы, отдельно на прием и передачу. |
| • | Ограничение по количеству пакетов. Полезная функция для предотвращения перегрузки сети при эпидемиях вирусов. |
| • | Назначение в фильтрах типа трафика, который надо исключить из контроля. |
| • | Выставление отдельных ограничений скорости для конкретного типа трафика. |
| • | Выставление приоритетов на определенный тип трафика. Эта настройка позволяет менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками. |
| • | Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки службы этой в зависимости от времени. |
| • | При работе через прокси сервер имеется возможность настроить полосу отдельно для разного типа контента. |
| • | Данные из кэша прокси сервера, а также с локального веб сервера (сервер статистики) ограничениям по скорости не подвергаются. |
Advanced routing.
Расширяет функции роутера Windows. Также эта функция известна как "policy routing" или "source routing".
| • | Перенаправление трафика через заданный внешний интерфейс для группы пользователей. |
| • | Перенаправление трафика через заданный внешний интерфейс для пользователя индивидуально. |
| • | Применение перенаправления для заданного типа трафика. При работе через прокси можно задать также тип HTTP контента. |
| • | В фильтрах также можно задать в качестве условия факт перенаправления трафика. |
WWW сервер.
Встроенный HTTP/SSL сервер, на базе которого реализованы задачи -
| • | Приложения для клиентского доступа - агент авторизации, отчеты, личный кабинет. |
| • | Отчеты и другие приложения для администраторов. |
| • | Другие расширения платформы. |
Возможности WWW сервера -
| • | Протокол - HTTP/1.1. Поддерживается Keep-Alive, докачка, теги кэширования. |
| • | SSL протоколы - TLS (SSL 3.1), SSL 3.0, SSL 2.0. SSL 1.0. |
| • | Назначение разных серверных сертификатов для запросов с разных сетей. |
| • | ASP.NET на базе NET Framework 2.0. Может быть сконфигурировано неограниченное количество виртуальных сайтов. |
| • | Гибкое назначение разделов, имеется переопределение физических путей. |
| • | Авторизация как клиентов Traffic Inspector, так и на основе задания отдельных логинов. |
| • | Гибкое назначение прав доступа на разделы. Дополнительно работает авторизация в рамках ASP.NET приложения. |
| • | Функция просмотра директориев. |
| • | Поддержка технологии Script Engine от более ранних версий программы. Оставлено для совместимости приложений. |
Клиентский сервис.
С помощью специальной программы - клиентского агента - пользователь может самостоятельно:
| • | видеть текущий баланс, также можно настроить оповещение, когда средства на счету подходят к концу. |
| • | переключать уровни фильтрации контента - работать в режиме "сбережения" трафика. |
| • | переключать режимы кэширования прокси сервера. Это позволяет без проблем просматривать быстро обновляемые ресурсы, имея при этом хорошие показатели экономии трафика за счет кэширования. |
Кроме того, администратор может разослать быстрое оповещение пользователям, у которых используется клиентский агент.
Встроенный веб сервер с поддержкой запуска скриптов и формирования динамического контента позволяет обеспечить клиентам доступ для просмотра различных отчетов по их работе. Этот сервис полностью задокументирован и может быть легко самостоятельно доработан.
Администрирование.
| • | Удаленное управление - для удаленного доступа используется стандартная технология DCOM, консоль управления выполнена как MMC Snap-In, что позволяет ее легко интегрировать с другими инструментами администратора. |
| • | Мониторинг работы клиентов и сетевой статистики в реальном времени. |
| • | Ограничение доступа - можно задать группу администраторов в домене Windows или использовать встроенную аутентификацию по паролю. |
| • | Есть утилита групповой удаленной инсталляции клиентских агентов, которая позволяет произвести их установку сразу на все компьютеры сети. |
| • | В случае, когда компьютеры клиентов не в сети Windows, клиенты могут самостоятельно загрузить или обновить агента через встроенный веб сервер. |
| • | Автоматическое добавление клиентов - если в сеть работает с доменом Windows. Также имеется возможность ограничить это для отдельной группы домена, а также сразу помещать новых клиентов в разные группы Traffic Inspector с привязкой к группам домена. |
Отчеты.
| • | Может быть сформировано несколько десятков видов разных отчетов трафику, биллингу и сетевой статистике. · Все отчеты могут быть импортированы и сохранены в различных видах и форматах - табличных и графических. |
| • | Набор отчетов может быть расширен использованием интерфейса автоматизации. |
Интерфейс автоматизации.
В программе отсутствуют некоторые возможности, присущие другим системам биллинга. Требования могут быть очень разнообразные, и для их реализации имеется внешний COM интерфейс, через который можно управлять всем процессом биллинга извне. Интерфейс хорошо документирован, прост и к программе прилагается много примеров реализации различных задач. Совместно со встроенный веб сервером можно, например, реализовать карточную биллинг платформу.
Текущая страница справки: help.smart-soft.ru/index.html?specification.htm
Сайт разработчиков Traffic Inspector
