Возможности и функции Traffic Inspector .

Ставшая популярной услуга широкополосного высокоскоростного доступа в сеть Интернет ставит важную задачу учета потребляемого трафика как платного ресурса. Плохо контролируемое использование Интернет при наличии больших скоростей передачи данных и дорогом трафике приводит к большим издержкам и может сделать использование такого подключения просто невозможным. Административные меры ограничения трафика в организациях путем простого запрета неудобны для сотрудников и не всегда эффективны. Если же речь идет о предоставлении платных услуг Интернет, то тут без системы биллинга вообще не обойтись. Серверная часть программы Traffic Inspector реализована только под платформу Windows 2000/XP/2003, клиенты же могут использовать любую операционную систему - тут ограничений нет.

Traffic Inspector также позволяет решить еще одну задачу - реализовать раздельный учет пользователей, работающих на единственном компьютере, подключенном к Интернет с возможной их блокировкой. Это отдельная задача и она реализуется включением работы программы в персональном режиме.

1. Обеспечение доступа в сеть Интернет из внутренней сети.

Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы. Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ. При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет. Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.

2. Авторизация и разграничение доступа пользователей. Задача авторизации и разграничения доступа - это запрет работы в Интернет и соотнесение трафика конкретному пользователю или службе с целью его учета. Идентифицировать клиента можно по его сетевым адресам - IP- и MAC-адресу. Этот подход - самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. В варианте домовой сети этот метод мало подходит из-за наличия возможности подмены этих адресов. Его следует использовать только для авторизации серверов во внутренней сети, которые должны работать с Интернет.

Для разграничения доступа Traffic Inspector позволяет:

 •    Ограничить доступ к каким-либо ресурсам в Интернет. Это может потребоваться, если политика доступа предусматривает работу только с какими-то конкретными приложениями (например, только электронная почта) и ресурсами (корпоративный сайт). Также можно ограничить использование клиентами каких-либо служб программы - например, разрешить работу только через прокси-сервер.

•     Ограничить доступ по расписанию. Например, можно разрешить работать с Интернет сотрудникам только в рабочее время.

•     Ограничить доступ по датам. Это удобно для создания временных учетных записей.

•     Ограничить скорость работы клиента. Это ограничение также может быть привязано к расписанию или датам.

•     Разрешить авторизацию по имени с конкретного IP-адреса. Это может быть полезно для домовой сети.

•     При использовании в сети маркировки пакетов тегами VLAN id (IEEE 802.1Q) - разрешить авторизацию и дальнейшую работу только при наличии заданного номера VLAN в Ethernet пакете.

3. Билинг - тарификация пользователей и блокировка доступа при перерасходе трафика. Наиболее сложная задача, возникающая при организации доступа в сеть Интернет - это учет трафика пользователей и перевод его в единицы тарификации - например, деньги. Задача усложняется еще больше, если нужна блокировка пользователей при перерасходе лимитов, а также если разный вид трафика надо учитывать по разному. Для кэширующего прокси-сервера также актуальна задача учета трафика, полученного из кэша. Если внутри сети имеется почтовый сервер, то также необходимо учитывать и почтовый трафик.

Для решения этих задач есть несколько подходов:

 •    Анализ логов (файлов журнала) серверов. Все прокси-сервера умеют записывать запросы в лог-файлы или базы данных. Эти данные потом могут быть обработаны и получены отчеты по использованию Интернет. Недостаток этого способа - тяжело организовать оперативную блокировку клиента при перерасходе трафика. Также прокси-сервера сильно занижают данные по трафику, так как учитывают только полезные данные и не учитывают заголовки пакетов и служебные TCP-пакеты.

•     Использование сетевых мониторов на базе пакетных драйверов для учета трафика прямо на сетевом интерфейсе. Тут обеспечивается абсолютная точность учета трафика и именно этот метод используется в Traffic Inspector при работе через NAT.

•     Для домовых сетей при подключении клиентов для учета трафика также используют данные соединения, снимаемые с сервера удаленного доступа. Но тут возникает проблема разграничения учета различного вида трафика и это приходится дополнять другими решениями.

       В Traffic Inspector при работе через прокси-сервер трафик учитывается непосредственно на нем, но для учета "довесков" в виде заголовков пакетов и служебного TCP-трафика эти данные снимаются с сетевых интерфейсов с помощью драйвера. Трафик из кэша прокси-сервера учитывается отдельно и для него можно задать отдельные тарифы.

Если внутри сети имеется почтовый сервер, то для тарификации входящего почтового трафика имеется SMTP-шлюз. При этом имеется уникальная возможность ввести учет почтового трафика не по факту чтения почты пользователем, а по факту ее получения. Это позволяет более объективно подойти к задаче учета почтового трафика.

Достоинством биллинга в Traffic Inspector является то, что пересчет данных клиента производится по каждому пакету, что позволяет его заблокировать практически немедленно, полностью исключая перерасход трафика. Данные по остатку на счете (баланс) отображаются на клиентском агенте. Клиент также имеет возможность просмотреть все данные по трафику, биллингу и истории счета через встроенный веб-сервер.

4. Обеспечение пользователей средствами и возможностью самостоятельно контролировать свою работу в Интернете. Основной вид приложений Интернет - это веб и электронная почта, и именно для них наиболее актуальна задача экономии трафика.

Для HTTP чаще всего используются следующие меры:

•     Кэширование данных на прокси-сервере. Так как объекты на веб-сервере могут обновляться, то тут возникает дилемма - как сделать так, чтобы клиент мог получить свежие данные и при этом минимизировать обращения к серверу для проверок обновлений с целью максимальной экономии трафика. Тут, как правило, даже при самом совершенном алгоритме работы кэша не удается получить экономию более 20%. Увеличение этого показателя увеличивает риск получения устаревших данных. В Traffic Inspector для отдельных ресурсов можно устанавливать специальные правила работы кэша, а также имеется механизм управления режимом кэширования прокси-сервера с помощью клиентского агента - пользователь сам может по необходимости переключаться с режима максимальной экономии трафика на режим полной проверки. Это позволяет поднять общий показатель экономии трафика до 25-35%. Наличие отдельной тарификации трафика из кэша может сделать это экономически выгодным клиенту.

•     Фильтрация нежелательного контента - баннеров, а также различных "шпионских" служб, например gator.

•     Отключение, по необходимости, графики и мультимедийных компонентов (музыки, flash).

Для минимизации затрат трафика на входящую электронную почту в SMTP-шлюзе программы предусмотрено:

•     Шлюз может быть настроен на прием почты только для известных получателей, т.е каждое письмо будет обязательно подвергнуто тарификации. Также может быть заблокирован прием почты для отключенных пользователей. Это очень полезная мера для таких почтовых серверов, как Microsoft Exchange, которые сначала принимают письмо полностью, а только потом ищут ящик пользователя.

•     Имеется фильтрация сообщений по "черным" спискам, проверка адреса и домена отправителя.

•     Для защиты от спама используется наиболее распространенный и надежный механизм - фильтрация с использованием публичных RBL-служб. В программе можно подключить список таких служб, причем все они отрабатываются параллельно, что совершенно не снижает производительности работы. Для увеличения эффективности анализируются также и заголовки сообщений.

       5. Сетевая защита - закрыть сервер доступа и внутреннюю сеть от несанкционированного доступа извне. Traffic Inspector имеет простые, но эффективные средства сетевой защиты - встроенный сетевой экран (firewall). Он обеспечивает полную блокировку запросов из Интернет, при этом прозрачно пропуская все исходящие запросы. В отличие от простых пакетных фильтров он обеспечивает эффективную фильтрацию UDP-трафика, так как может отличить исходящие запросы от входящих.

       6.  Анализ сетевого трафика. Учет трафика, потребляемого у провайдера.Важной задачей является подробный анализ характера трафика. В Traffic Inspector имеется возможность мониторинга текущей сетевой активности для каждого клиента, а также внешнего трафика, потребляемого у провайдера. Также эти данные могут сохраняться в файлах журнала и по ним могу быть сформированы подробные отчеты. У прокси-сервера для каждого клиента есть возможность включить подробную запись каждого запроса. Все эти данные по сетевой статистике доступны для просмотра пользователями через встроенный веб-сервер. Для учета внешнего трафика, потребляемого у провайдера, в программе также имеются все необходимые средства - можно контролировать выставляемые им счета. Есть возможность вести подробный аналитический учет по разному типу трафика. Сопоставляя в отчетах учет внешнего трафика и трафика, потребляемого пользователями, можно легко разобраться, кто нагрузил канал и каков характер этой нагрузки. Также имеются механизмы предотвращения перерасхода трафика. Могут быть настроены различные лимиты, при превышении которых будет отправлено предупреждение по почте или произведена полная блокировка внешнего трафика. Это может быть полезно в тех случаях, если отключение Интернет - меньшее зло по сравнению с перерасходом трафика.

7. Ограничение скорости работы пользователей или их групп. Одной из полезных возможностей программы является ограничение скорости. Traffic Inspector позволяет создать ограничения как для отдельного пользователя, так и для группы в целом, в этом случае трафик будет делиться между активными клиентами группы. Можно указать скорость в явном виде или по количеству пакетов, а также отдельно входящую и исходящую скорость. Кроме ограничения скорости пользователей, можно установить скорость на конкретный вид трафика, чтобы переопределить ее, добавить задержку или, наоборот, передать нужный трафик без задержек. Используются уровни приоритетов.

8. Перенаправление трафика. Traffic Inspector предоставляет следующие возможности по перенаправлению трафика:Advanced routing - динамическое перенаправление трафика на другие интерфейсы, эта функция позволяет задействовать несколько подключений, причем можно направить разный трафик (или контент сайтов) через разных провайдеров. Подробное описание смотрите в разделе "Advanced routing"; Перенаправление на прокси - дает возможность перенаправить все соединения TCP идущие по порту 80 на прокси-сервер программы. Это позволяет пустить весь HTTP-трафик через прокси-сервер и использовать его кэширование, блокировку, замены и т.п. Кроме того, можно запретить любые HTTP-соединения мимо прокси. Описание работы этой функции смотрите в разделе "Transparent Proxy"; Каскадирование - перенаправление запросов прокси-сервера на вышестоящий прокси (часто используется при работе через акселератор спутника). Также поддерживается каскадирование SOCKS-запросов. Описание настроек смотрите в разделе интерфейса "HTTP Proxy".

9. Отключение пользователей от сети Интернет при заражениях сетевыми вирусами. Введена возможность блокировки пользователя при исчерпании лимита количества записей сетевой статистики. Эта мера позволяет эффективно выявить аномальную сетевую активность клиента и заблокировать его для предотвращения перегрузки сети, сервера и каналов подключения к Интернет.На практике эта функция помогает отследить заражение сетевыми вирусами, которые генерируют огромное количество трафика, и, что гораздо важнее, заблокировать зараженного пользователя.

Вывод:

Итак, «Traffic Inspector» идеально подходит в качестве решения для домашней, или офисной сети, и так же может использоваться для крупных сетей. Программа имеет очень много полезных и дополнительных функций, которых в других программах нет. Использование этой программы на серверных системах(Windows 2000/2003) намного расширяют возможности программы. Использование Traffic Inspector вместе со службой «маршрутизация и удаленный доступ» делают компьютер идеальным шлюзом доступа в Интернет.

ISA - server

ISA Server 2006 представляет собой межсетевой экран с интегрированными сервисами, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным. Сервер ISA Server 2006 может быть использован в трех основных сценариях развертывания: •           

Безопасная публикация приложений

Безопасная публикация приложений с помощью ISA Server 2006 дает возможность организациям открывать безопасный доступ к серверам Exchange, SharePoint и другим серверам веб-приложений удаленным пользователям, находящимся за пределами корпоративной сети.

•     Шлюз филиалов

Организации могут использовать сервер ISA Server 2006 в качестве шлюза филиала для подключения и обеспечения безопасности своих филиалов и эффективного использования пропускной способности сети.

•     Защита доступа к Интернету

Защита доступа к Интернету с помощью ISA Server 2006 позволяет организациям защищать внутреннюю корпоративную среду от внутренних и внешних угроз, поступающих через Интернет.