Новое в версии 1.1.3
|
Новое в версии 1.1.3 |
|
Advanced Routing.
Advanced Routing - это новая функция, позволяющая полноценно задействовать несколько подключений с Интернет одновременно. Это также называется Source Routing или Policy Routing.
Роутер Windows при выборе внешнего интерфейса использует только один, выбирая его по наличии маршрута по умолчанию. Если имеется несколько маршрутов по умолчанию, то роутер все равно будет отправлять пакеты только по одному, выбирая маршрут с наивысшим приоритетом. Единственный способ в Windows задействовать несколько подключений - это назначение статических маршрутов по адресам назначения.
На рынке имеются решения для Windows, где задача роутинга по различным критериям частично решается. Но это делается реализацией практически параллельного роутера. Наше решение использует роутер Windows, что позволяет полностью задействовать все службы Windows, а также обеспечить корректную работу через прокси и SOCKS.
Настройка Advanced Routing сводится к следующему -
| 1. | На все внешние интерфейсы, с которыми будет работать эта функция, надо назначить маршруты (шлюзы) по умолчанию. Используйте статические маршруты в RRAS, IP настройки интерфейсов, или утилиту route.exe. |
| 2. | Подключите все интерфейсы, с которыми будет работать Advanced Routing - программа при конфигурировании позволяет делать привязки только к активным интерфейсам. |
| 3. | Запустите конфигуратор Traffic Inspector, выберите все необходимые внешние интерфейсы и на закладке "Внешние сети - дополнительно" включите эту функцию. |
| 4. | В списке интерфейсов внешний интерфейс, для которого эта функция будет разрешена, будет отмечен иконкой со стрелкой. Если стрелки нет, то у интерфейса нет маршрута по умолчанию. |
| 5. | Примените опцию к клиентам, группам, а также настройте правила в фильтрах - см. ниже. Новые настройки находятся на закладках "Роутинг". |
Advanced Routing решает задачу выбора внешнего интерфейса по различным критериям - клиент, группа, тип трафика и т.д.
По настройкам фильтров см. ниже. Логика применения правил для роутинга аналогична другим. Но имеется еще одна настройка у фильтра на закладке "Роутинг" - факт перенаправления пакета на другой интерфейс может использоваться еще как условие для фильтра. Так как фильтры обрабатываются строго по списку, то размещая такие фильтры после фильтра, который сделал перенаправление, можно собрать логику применения условий в зависимости от используемого внешнего интерфейса. Например, применить скидки (наценки). Тут также следует учесть, что настройки клиентов (групп) применяются позже просмотра списка.
В случае использования спутникового подключения, когда трафик принимается с одного интерфейса (DVB карта), а передается через другой, эти оба интерфейса надо обязательно указать в процессе конфигурирования интерфейсов (мастер настройки).
Для анализа работы этой функции в сетевой статистике пользователя сделана запись соотв. атрибута - имя внешнего интерфейса, куда был перенаправлен трафик.
Ограничения функции Advanced Routing -
| 1. | Функция не применяется для трафика, генерируемого с самого сервера, за исключением служб прокси сервера программы и SOCKS. |
| 2. | Для трафика, генерируемого с самого сервера через дополнительные внешние интерфейсы (кроме интерфейса по умолчанию) могут быть коллизии, если на эти-же IP адреса идет трафик, перенаправленный Advanced Routing. Для исключения этих коллизий программа производит анализ таблицы маршрутов и не применяет Advanced Routing, если трафик маршрутизируется в правильном направлении штатным роутером. Поэтому в первую очередь очень важно тщательно настроить роутер Windows. |
| 3. | Имеется ограничение на количество внешних интерфейсов с задействованной функцией Advanced Routing - не более 7 LAN и не более 7 WAN интерфейсов. |
| 4. | Функция не работает через прокси сервер, если используется форвардинг (каскад). |
Ввиду ограничений п.1 и 2 не следует использовать Advanced Routing, если задача маршрутизации может быть решена средствами роутера Windows.
Усовершенствования логики фильтров.
Изменения касаются настройки приоритетов в логики фильтрации, работы внутреннего firewall, правил тарификации и шейпера. Новая внутренняя архитектура обеспечит очень большой выигрыш в производительности сервера особенно при применении больших списочных фильтров.
По умолчанию для "не клиентов" трафик разрешен -
| • | На сам сервер, если не включен внутренний firewall. |
| • | Если включен внутренний firewall, то на сам сервер может быть разрешен трафик для DNS, DHCP и VPN PPTP сервер в соответствии с включенными галками. Также имеется возможность разрешить отдельно IPSec. Для облегчения задачи администрирования внутренней сети с самого сервера можно отдельно разрешить исходящие ICMP, UDP и TCP запросы. Все эти настройки распространяются только на трафик между самим сервером и хостами внутренней сети. |
| • | Имеются также 2 настройки, позволяющие для всех разрешить трафик между локальными и публичными внутренними сетями. Данные от сетях берутся на основании таблицы маршрутизации. |
Для упрощения настроек в фильтрах тип применения "для всех" у запрещающих фильтров заменен на тип "не клиенты". Они имеют приоритет над разрешениями "для всех".
В консоли разрешающие фильтры "для всех" и запрещающие "для не клиентов" вынесены в два отдельных списка в разделе "фильтры".
Если включен внутренний firewall, то разрешающие фильтры "для всех" на любой адрес назначения на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер надо прописать разрешающий фильтр "на сам сервер", причем в списке такие фильтры надо обязательно поместить выше других разрешающих фильтров. В других случаях порядок фильтров в этих двух списках на логику работы не влияет, но может влиять на производительность - менее ресурсоемкие фильтры следует помещать в начало списка.
Для клиентов при фильтрации и применении параметров теперь применена логика единого списка - разрешающие, запрещающие и другие типы фильтров при анализе пакета обрабатываются последовательно строго в зависимости от их порядка, заданного в списке консоли, причем порядок разных типов фильтров может быть произвольным. Это теперь позволяет реализовать практически любую логику фильтрации и произвольно переопределять параметры.
Логика просмотра списка следующая. Просмотр идет с начала списка и до первого разрешающего или запрещающего фильтра. Если фильтр содержит параметр, то он применяется только если ранее при просмотре списка он не был применен. Под параметрами здесь понимаются дополнительные действия, задаваемые в фильтре - 3
| • | Изменение стоимости трафика, в %. Можно задать отдельно для входящего и исходящего, но они выступают как единый параметр. Т.е. если входящий был применен, далее в списке отдельно исходящий переопределить уже нельзя. |
| • | "Не использовать этот трафик для определения скорости" - имеет приоритет перед другими параметрами шейпера. Будет сразу применен, если трафик был разрешен "для всех". |
| • | Переопределение скорости. Скорость переопределяется только для статического регулятора, для динамического (суммарное ограничение скорости для группы) возможности переопределить скорость нет. |
| • | Поднятие приоритета трафика. Ограничение скорости и приоритет - два отдельных параметра шейпера. Применяются отдельно, т.е. их можно задавать отдельными фильтрами. |
| • | Роутинг - выбор внешнего интерфейса. |
Единый список фильтров клиента в консоли разбит на 3 списка в порядке их просмотра при анализе пакета -
| 1. | Клиенты, Фильтры, До группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры". |
| 2. | Группы, Клиенты, Фильтры, если есть. |
| 3. | Клиенты, Фильтры, После группы. Не применяется, если в группе у клиента не стоит "Использовать общие фильтры". |
Помещение общих фильтров в первый или третий список меняет их приоритет относительно списка группы.
Параметры ограничения скорости, заданные н настройках клиента или группы имеют самый низкий приоритет, т.е. фильтры их всегда переопределяют.
Если включен внутренний firewall, то разрешающие фильтры клиентов на любой адрес назначения на на сам сервер трафик не разрешают. Для разрешения доступа на сам сервер для клиентов надо прописать разрешающий фильтр "на сам сервер".
Для клиента, у которого включено "является администратором", внутренний firewall не применяется, а также к нему не применяются фильтры на запрет. Это сделано для исключения ситуации недоступности сервера при удаленном администрировании при ошибках в процессе настройки фильтров. Это распространяется только на IP фильтры, для фильтров приложений запрещающие правила действуют обычным образом.
Если трафик подпадает под условие разрешения его "для всех" (см. выше), то он всегда считается бесплатным и направляется мимо шейпера. Это также относится к любому трафику в пределах внутренних сетей. Данные от сетях тут берутся на основании таблицы маршрутизации.
С целью диагностики работы фильтров и авторизации в сетевую статистику пользователей добавлен отдельный коллектор для неавторизированного трафика. Эта статистика в логи не пишется, доступна только как текущая. Писаться она будет, если в общих настройках сетевой статистики включена опция учета всего трафика.
В консоли фильтры из одних списков могут перемещаются в другие при изменении их соотв. свойств при редактировании.
Доработки логики фильтров прокси сервера и SOCKS.
Логика фильтров приложений (прокси и SOCKS) теперь полностью повторяет логику IP фильтров (см. выше), но имеются особенности -
| • | Появились фильтры "для всех" и соответственно добавлена возможность работы через службы прокси сервера без авторизации. |
| • | Если клиент авторизован, но его трафик попал под разрешения "для всех", то фильтры приложений на запрещение "для клиентов" действовать по-прежнему будут. Это сделано для того, что-бы нормально работали фильтры F1-F4, баннерные списки и т.д. |
| • | Фильтры действий (тарификация, шейпер и др) теперь также доступны и для фильтров приложений. Это теперь дает возможность, например, ограничить скорости для определенных типов данных или назначать скидки (наценки). |
| • | Фильтр приложений теперь никаких действий для прямого трафика (через NAT) не производит. IP фильтр также применяться и для трафика через прокси. Т.е. IP фильтр распространяется на любой трафик, а фильтр приложений только через прокси (SOCKS). |
Фильтры приложений теперь обрабатывают выражения типа regular expressions (т.н. Регулярные выражения), описание смотрите в разделе "Синтаксис регулярных выражений".
В связи с этим параметр типа поиска (но началу, ключевое слово и т.д.) убран. Если задан список, то в нем анализируется URL с полным путем - хост + относительный путь + параметры. Другие параметры запроса (протокол, порт, пароли) отбрасываются. Если не список, но анализируется относительный путь + параметры запроса. В этом случае выражение вводится в поле URL.
Прокси сервер при анализе запроса теперь нормально перекодирует русские буквы, которые могут встретиться в параметрах запроса. Это полезно при обработке запросов поисковых систем. Т.е в выражении фильтра можно явно писать русскими буквами, а не использовать специальную кодировку. Также такие декодированные запросы пишутся и в логи прокси сервера.
Доработки в правилах кэширования.
В правилах кэширования теперь также используются регулярные выражения.
Firewall.
Для внешнего и внутреннего сетевого экрана реализованы динамические фильтры для FTP-DATA. Работают как для активного, так и пассивного режима. Это позволяет решить проблему настройки firewall для случая, когда для FTP-DATA используется нестандартный порт (не 20-й).
Динамическая фильтрация firewall с пассивным режимом позволяет публиковать любые FTP сервера, причем несколько на разных портах.
156 сборка - добавлена возможность в правилах firewall указать внешний интерфейс.
FTP прокси.
Убран классический FTP прокси сервер, так как с появлением динамической фильтрации FTP-DATA актуальность его пропала.
Начат перевод настроек программы в xml формат, в частности настройки сетевой конфигурации и активации. Перевод настроек из старого формата в новый производится автоматически, т.е. никакого повторного конфигурирования программы не требуется.
| • | Снято ограничение на количество конфигурируемых интерфейсов. Ранее это было 5-6 в зависимости от длины имен. |
| • | Интерфейсы теперь идентифицируются как по именам так и по системным идентификаторам (GUID). |
| • | В Windows для RRAS Dial Demand интерфейсов выявилась неприятная особенность - система могла сама произвольно сменить идентификатор интерфейса, что приводило к их отключению в программе. Теперь это устранено. |
| • | Также, как и раньше, интерфейсы и соединения в системе можно безболезненно переименовывать, программа их не потеряет. Но при этом Windows не посылает сигнал программе об изменении сетевых настроек, для немедленного обновления имен интерфейсов в программе можно вручную произвести сброс интерфейсов с консоли. |
| • | Аналогично реализована привязка к интерфейсу в настройках внешних счетчиков. |
| • | В внешнем firewall появилась возможность его выборочного отключения для различных интерфейсов. |
| • | Добавлена опция автоматического назначения всех RAS и Dial Demand соединений как внешних. По умолчанию включена. Следует отметить, что программа не поддерживает назначение таких интерфейсов как внутренних. |
| • | Интерфейс Dial-In RAS сервера теперь, если имеется, назначен как внутренний всегда. |
Все эти новые настройки доступны через мастер конфигурирования программы.
Доработки мастера активации.
Теперь при активации программы, если привязка производится к железу или текущему внешнему IP адресу, привязку можно не вводить.
Отчет support report.
Реализован новый мастер отправки отчета для техподдержки о конфигурации программы и системы. Он формируется ввиде xml данных. Также может быть автоматически сформирован на сервере и отправлен системный отчет в формате system information. Для отправки отчета наличия почтовой программы не требуется, достаточно только, что-бы сервер был подключен к Интернет.
Новый протокол авторизации.
С целью реализации большей безопасности, гибкости и быстродействия реализован новый протокол обмена сервера авторизации (версия 2). Его особенности -
| • | NTLM аутентификация для сквозной Windows авторизации при работе сервера и клиента в домене. Это устранило выявленную уязвимость старой версии протокола и позволило теперь использовать этот способ авторизации для клиентов с Windows 9x. |
| • | В PE режиме теперь используется только NTLM аутентификация. |
| • | При использовании Windows аутентификации и PE режиме реализована возможность авторизации под любым пользователем, не только под текущим. |
| • | Меньшая длина пакета, в некоторых случаях почти в 2 раза. Это должно улучшить работу в проблемных сетях. |
| • | Появилась расширяемость и возможность передачи дополнительных данных. |
Переписан заново агент. Главное новшество - многопоточная реализация и, как следствие, отсутствие блокировок на время запроса. Также переделан сервер авторизации, он теперь почти не подвержен блокировкам со стороны других задач программы и, как следствие, должен обеспечить более устойчивую работу.
Для обеспечения обратной совместимости сервер авторизации в полном объеме поддерживает работу агентов со старой версией протокола. Учитывая наличие уязвимости в старом протоколе, добавлена возможность запрета работы со старой версией протокола (Окно общих настроек клиентов, закладка Авторизация).
Рассылка сообщений пользователям.
Реализована служба рассылки POPUP сообщений пользователям. Основное предназначение - оповещение пользователей администратором сети.
Сообщения отправляются через соотв. меню и кнопку в мониторе работы консоли. Есть возможность отправки сообщения индивидуально одному пользователю или всем. Также предусмотрена возможность отмены отправки сообщений также индивидуально или для всех.
Отправленное сообщение запоминается службой программы. Доставляется оно через агента пользователя, а также отображается на главной страничке сервера статистики. После доставки сообщение удаляется. Очередь сообщений в программе не реализована, т.е. запоминается для отправки только одно сообщение. Если сообщение не было доставлено, новое сообщение затирает старое.
При отправке сообщения можно ввести дополнительные параметры -
| • | Сообщение может храниться только до перезагрузки сервера. Т.е. при выгрузке сервиса они не запоминаются. Это может быть полезно для оповещений о планируемой перезагрузке сервера. |
| • | Может быть введено ограничение на время отправки. Если сообщение в течение заданного времени отправлено не будет, оно удаляется. |
Эти функции отправки сообщения также доступны через API. См. справку.
Статические ARP.
Реализована поддержка статических ARP записей в стеке TCP/IP. Записи вносятся на основании параметров авторизации для клиентов -
| • | У клиента указан MAC адрес. |
| • | Тип авторизации - MAC+IP или Login+IP+MAC. IP адрес одиночный (не диапазон). |
| • | IP адрес клиента входит в подсети внутренних интерфейсов, назначенных в программе. Т.е. клиент и сервер должны находится в одном сегменте сети. При вводе данных авторизации в консоли это теперь проверяется, но ранее введенные данные могли быть не корректны. К фатальным ошибкам это не приведет, но авторизация работать не будет. |
| • | Тип доступа клиента - не запрещен. (Не путать с состоянием СТОП). Т.е. перевод клиента в "Запрещен" удалит и соотв. статическую ARP запись. |
| • | Опция прописки статических ARP для клиента разрешена. Для этого в параметрах авторизации клиента введена соотв. настройка. По умолчанию включена. |
Запись статических ARP позволяет -
| • | Обеспечить лучшую защиту авторизации, так как стек TCP/IP системы на пакеты с другой комбинацией MAC+IP реагировать просто не будет. |
| • | Ускоряет работу сети, так как стеку TCP/IP не требуется определение сетевых адресов путем рассылки ARP запросов. |
Информация о внесении статической ARP записи для клиента отображается в мониторе работы, там где указан тип авторизации.
При обновлении статических ARP записей программа по необходимости производит удаление из ARP таблиц конкретных интерфейсов всех статических записей. Поэтому, если имеются сторонние программы, которые работают со статическими ARP записями, их данные могут быть удалены.
При определении MAC по IP в консоли статические записи не отрабатываются. Т.е. эта функция определяет реальный MAC адрес в сети. Если данный компьютер отключен, то будет возвращена ошибка.
При остановке сервиса программы все ARP записи удаляются, тем самым восстанавливается обычная работа системы.
Новое в версии 1.1.
В программе теперь используется собственный механизм фильтрации взамен API от Microsoft. Это позволило реализовать много новых возможностей, улучшить стабильность работы программы и обеспечить лучшую совместимость с другими программами и службами самой системы Windows.
Фильтрация теперь работает зеркально как на прием, так и на передачу, что позволило увеличить эффективность firewall и исключить прохождение лишних пакетов как наружу, так и внутри сети.
Авторизация.
| • | Теперь нормально работает авторизация по MAC адресу. И доступна любая комбинация Имя + IP + MAC. |
| • | Снято ограничение на диапазон IP адресов у клиента - ранее разрешалось не более 16. Это позволяет одним клиентом описать сразу большую сеть. |
| • | При отключении авторизации через агента теперь закрываются и все сессии в прокси и SOCKS сервере. |
| • | При авторизации теперь сначала ищутся клиенты среди разрешенных, а потом уже любые. Т.е. если есть не запущенные клиенты с одинаковыми адресами и именами, то они не мешают авторизации. |
| • | Перевод клиента в состояние "Запрещено" теперь полностью исключает его из всех операций по авторизации - т.е. он вне зависимости от его настроек не мешается. |
| • | Перевод клиента с авторизацией по адресу (IP или MAC) в состояние СТОП или ПАУЗА теперь не мешает произвести авторизацию другого клиента с этим адресом. |
| • | Доработан агент - в настройках введена отдельная опция при авторизации по IP или MAC адресу. |
| • | Монитор работы теперь показывает более подробную информацию о статусе клиента и способе авторизации. Также более подробная информация о способе авторизации записывается и в логи. |
| • | Контроль нарушений политики авторизации ведется отдельной сетевой статистикой. Это не работает для клиентов с авторизацией по имени. Но все нарушения отписываются в логи и краткий отчет отсылается администратору по электронной почте. |
| • | Появилась возможность выборочно разрешать или запрещать авторизацию через прокси сервер с различных типов сетей, а также запрещать для группы. |
| • | Доработана интеграция с Active Directory - добавлена возможность работы клиентов из других доменов. Домены могут быть как в одном каталоге AD, так и использовать доверительные отношения. Для клиентов из других доменов также доступна функция автодобавления, для этого в этих доменах должны быть прописаны одноименные группы. |
Фильтрация трафика клиентов.
| • | Фильтры "для всех" теперь применяются только на внутренних интерфейсах - см. далее доработки в firewall. |
| • | Введена возможность блокировки HTTP трафика мимо прокси сервера. Ранее для этого приходилось настраивать запрещающие фильтры на порты 80 (8080 и др.), что было не совсем эффективно. Теперь это делается анализом TCP/HTTP данных драйвером программы. См. также функцию Transparent Proxy. |
| • | Transparent Proxy - функция принудительного перенаправления сквозного TCP трафика на прокси сервер. Позволяет использовать прокси сервер независимо от настроек броузера. При включении этого режима перенаправляются запросы только по 80 порту, другие блокируются (см. функцию блокировки HTTP мимо прокси сервера). |
| • | Для функций "Блокировка HTTP мимо прокси" и "Transparent Proxy" доступны как общие настройки, так отдельные для групп. |
| • | Реализован внутренний firewall для ограничения доступа на сам сервер из внутренних сетей - описание см. ниже. Ранее эти ограничения настраивались фильтрами и их настройка не всегда была гибкой и удобной. |
| • | Изменилась логика запрещающих и разрешающих фильтров для трафика с любым IP адресом назначения. Если включен внутренний firewall, то такой разрешающий фильтр не открывает трафик на IP адреса самого сервера. Аналогично такой запрещающий не блокирует доступ к службам Traffic Inspector и он имеет меньший приоритет перед разрешениями, где прописаны IP адреса назначения. |
Внутренний firewall.
Для ограничения доступа на сам сервер изнутри сети введены настройки внутреннего сетевого экрана. Настройки доступны в окне общих настроек фильтров, а также из главной страницы консоли. Имеются отдельные настройки для локальных и публичных сетей. По умолчанию для локальных сетей firewall отключен, для публичных включен. Кроме включения firewall там можно задать разрешения на некоторые протоколы и службы. Аналогичные настройки сделаны и для внешнего firewall (см. далее).
У клиента появилась настройка "Является администратором". Кроме разрешения доступа в закрытую часть веб сервера она также отключает внутренний firewall.
Тарификация.
Для клиентов с автоблокировкой добавлена возможность работы в кредит с отрицательным значением баланса. Значение кредитного лимита задается в тарифе вместе с другими параметрами. При работе клиента в кредит можно задать отдельные ограничения или разрешения его параметров его работы -
| • | Отдельные значения ограничений скорости. |
| • | В фильтрах "Для клиентов" теперь можно задавать дополнительные условия их применения в зависимости от состояния счета - "Любое", "Работает в кредит", "Не работает в кредит". Таким образом можно при работе в кредит переопределить все правила и политики работы клиента. |
| • | В настройках фильтрации группы при работе клиента в кредит можно задать блокировку всего трафика по умолчанию. В сочетании с настройками фильтров это позволит при работе в кредит разрешить только определенный тип трафика. |
Также появилась возможность ввести общий корректировочный коэффициент при учете исходящего трафика. Может быть полезно в случаях, когда исходящий трафик дорогой, например при подключении через спутник.
Virus flood protect.
Введена возможность блокировки пользователя при исчерпании лимита количества записей сетевой статистики. Эта мера позволяет эффективно выявить аномальную сетевую активность клиента и заблокировать его для предотвращения перегрузки сети, сервера и каналов подключения к Интернет.
Для включения этого надо:
| • | Задать лимит записей в сетевой статистике, при превышении которого сработает блокировка. Размер этого лимита индивидуальный для клиента, зависит от характера его трафика. Также при определении этого лимита имеет значение и параметр интервала записи данных сетевой статистики. Чем он больше, тем больше записей может скапливаться в текущем коллекторе и тем больше должен быть лимит. Для обычного одиночного клиента можно выставить 10-30 записей при интервале записи 10 минут. |
| • | Включить функцию блокировки (общие настройки клиентов, закладка "Сетевая статистика") и задать время, на которое клиент будет заблокирован. |
События блокировки записываются в лог программы. Также, если настроено оповещение по E-Mail, высылается сообщение администраторам.
Эта функция использует записи текущей сетевой статистики - см. отчет по сетевой статистике в консоли программы. Там же можно и оценить количество записей при нормальной работе клиента. При использовании этой функции блокировки ни в коем случае нельзя отключать функцию группировки записей сетевой статистики по динамическим портам (Окно общих настроек программы, закладка "Сетевая статистика), иначе ее размер будет очень большим даже при нормальной работе клиента и настроить работу блокировки будет просто невозможно.
Firewall
| • | Включение и некоторые основные настройки firewall вынесены в окно общих настроек. Там теперь можно отключить некоторые его функции, которые ранее по умолчанию были всегда включены и по-простому задать разрешения для некоторых протоколов и служб. |
| • | Теперь кроме разрешающих правил можно задавать и запрещающие. Ранее запрещающие правила на внешнем интерфейсе можно было задавать запрещающими фильтрами "для всех". Теперь такие фильтры применяются только на внутренних интерфейсах. Т.е. теперь можно блокировать исходящий трафик, идущий с самого сервера отдельно от трафика, идущего от клиентов. |
| • | В правилах firewall введено условие направления движения пакета. Также появилась возможность для отдельных параметров задавать инверсные условия (галки "НЕ"). Все это вместе для подготовленных администраторов позволяет более гибко настраивать фильтры. Внешние счетчики и блокировка внешних подключений. |
| • | При включении блокировки внешнего трафика теперь блокируются только те направления, на которые сработал счетчик. Ранее срабатывание счетчика "Весь Интернет" блокировало весь трафик независимо от состояния других счетчиков. Т.е. теперь при перерасходе платного трафика доступ на другой (льготный или бесплатный) останется. |
| • | При срабатывании или отключении блокировки появилась возможность запуска другого приложения. Это позволит, например, используя утилиту netsh.exe отключить Интернет полностью, запретив внешний интерфейс. Это может исключить расход трафика из-за прихода каких-либо пакетов из внешней сети. |
Прокси сервер.
| • | Различные доработки авторизации - см. выше. |
| • | Новый механизм учета трафика. Работает на уровне драйвера, что обеспечивает абсолютную точность подсчета трафика через прокси сервер и SOCKS. В случае, если учет трафика через драйвер невозможен из-за того, что он идет через неназначенный интерфейс, включается классический метод, работающий на уровне приложения. |
| • | Усовершенствована работа правил кэширования. При запросе тип контента теперь проверяется также при извлечении данных из кэша, ранее использовался тип данных только из самого запроса. Это усовершенствование позволило более эффективно настраивать работу кэша. Например, предустановленное правило на ключевое слово «forum» можно сузить до типа text. Ранее это сделать не получалось, так как из самой строки запроса не всегда можно было определить тип данных. Т.е. при такой доработке правила кэширования текстовые данные будут всегда проверяться, а картинки и другой не текстовый контент браться из кэша. |
| • | Добавлено удержание авторизации клиента открытой сессией прокси сервера (или SOCKS). Ранее авторизация удерживалась только при передаче данных, но могла отключаться по таймауту при простое. |
RAS (VPN) server.
Решена проблема работы с интерфейсом internal RAS сервера. Теперь программа может не только считать трафик RAS клиентов, но и нормально управлять их доступом. Также доступны все возможности по фильтрации их трафика.
В текущей версии в качестве dial-in клиента можно использовать любую авторизацию, кроме MAC адреса (в отличие от 109 билда). IP адрес, выдаваемый RAS клиенту, может быть как постоянным, так и переменным. Также через Dial-Up сервер может быть подключена целая сеть. При этом никаких специальных настроек в самой программе делать не надо.
Для настройки программы с RAS сервером надо назначить в ней соотв. внутренний интерфейс и прописать Dial-In клиентов. Также надо ОБЯЗАТЕЛЬНО у этих клиентов на закладке авторизации взвести соотв. галку, иначе они через интерфейс RAS сервера работать не будут. В остальном настройка таких клиентов ничем не отличается от обычных.
Если через RAS сервер подключена целая сеть (например, удаленный офис), то можно всех его клиентов описать как одного, а можно и по отдельности.
Особенности WAN интерфейсов.
Существующая реализация работы с NdisWAN драйверами стека TCP/IP накладывает ряд ограничений.
| • | Если в программе используются любые WAN интерфейсы (они назначены), то трафик на не назначеных в программе интерфейсах блокируется. Если же требуется прозрачная работа этих интерфейсов, надо снять галки привязки драйвера программы в свойствах соединений. Но это не получится сделать с Dial-In интерфейсом – в службе RRAS такой настройки нет. Поэтому, если требуется работа RAS сервера без участия программы, в ней вообще нельзя назначать ни одного WAN интерфейса. |
| • | Интерфейс RAS сервера можно назначить только внутренним. |
| • | Интерфейсы RAS соединений или Dial-Demand можно назначить только внешними. Поэтому не получится использовать встречное Dial-Demand подключение, для входящих соединений надо использовать RAS сервер. |
| • | Можно назначить не более одного интерфейса RAS соединений. Если требуется несколько, надо использовать RRAS и Dial-Demand. |
Bandwidth control (шейпер).
Это функция ограничения скорости работы клиентов. Реализована на уровне сетевого драйвера и позволяет работать с любым трафиком на внутреннем интерфейсе. Принцип работы шейпера - это вычисление скорости трафика и внесение задержек передачи пакетов созданием очередей.
Основные возможности этого механизма:
| • | Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием и передачу. |
| • | Назначение суммарной максимальной скорости для группы (отдельно на прием и передачу). При этом выделенная полоса динамически делится поровну между работающими клиентами в группе независимо от характера их трафика. |
| • | Ограничение по скорости передачи пакетов. Полезно для предотвращения перегрузки сети при вирусных эпидемиях. |
| • | Назначение в фильтрах типа трафика, который надо исключить из контроля скорости и передавать без задержек. |
| • | Назначение отдельных ограничений скорости в фильтрах для конкретного типа трафика. Эта настройка имеет приоритет перед ограничениями скорости у пользователя и позволяет отдельно переопределять полосу для различного типа трафика. |
| • | Выставление приоритетов в фильтрах на определенный тип трафика. Эта настройка позволяет менять очередность пакетов во внутренней очереди пользователя и передавать критичные данные с минимальными задержками. |
| • | Выставление дополнительных приоритетов в фильтрах на определенный тип трафика при наличии ограничения скорости в группах. Такие пакеты обрабатываются в отдельной очереди для каждой группы, что позволяет еще больше поднять приоритет их передачи. |
| • | Для фильтров может быть назначено расписание, что позволяет изменять настройки службы в зависимости от времени. |
| • | Данные из кэша прокси сервера, а также с локального веб сервера (сервер статистики) ограничениям по скорости не подвергаются. |
| • | По умолчанию весь трафик на сам сервер шейпером не обрабатывается. Если же надо включить ограничения на какие-то другие службы на этом сервере, то это можно сделать прописав соотв. правила (фильтры). |
Совместимость с другими программами.
В связи с использованием своего API фильтрации улучшилась совместимость программы.
| • | Программа теперь перестала конфликтовать по внешнему интерфейсу с Microsoft ISA server. Т.е оба сервера могут работать одновременно без ограничений работоспособности. |
| • | Также можно использовать механизмы фильтрации в службе RRAS и встроенный firewall службы ICS. |
Дополнительные возможности.
| • | Реализована блокировка внешних сетей при прекращении работы программы. Эта блокировка реализована на уровне драйвера и предотвращает бесконтрольное использование Интернет при ситуациях, когда сервис программы не загружен, неработоспособен или работа программы затруднена из-за нехватки ресурсов процессора. Блокировка работает также в процессе старта системы, пока сервис программы еще не успел загрузиться. |
Ограничения версий программы.
Интерфейс RAS сервера (internal службы RRAS) учету при ограничениях внутренних интерфейсов в версиях программы LITE+, PRO, HOMENET не подвергается. Т.е. можно во всех версиях программы применить эту службу.
Инсталлятор программы.
| • | Усовершенствован инсталлятор, теперь в большинстве случаев при установке или перестановке программы перезагрузка системы не требуется. |
| • | MSXML 4.0 теперь ставится самим инсталлятором. Отдельно этот пакет ставить не надо. |
Текущая страница справки: help.smart-soft.ru/index.html?whatnew113.htm