| Компания «Смарт-Cофт» Характеристики Traffic Inspector
Минимальные системные требования
-
Процессор Intel Pentium 4 1.4 ГГц.
-
1024 Мб оперативной памяти.
-
400 Мб свободного места на жестком диске (для дальнейшей работы потребуется дополнительное место под файлы кэша и статистики).
-
Монитор и видеоадаптер с разрешением 1024 на 768.
-
Операционная система Microsoft Windows XP/2003/Vista/2008/7/2008 R2 или выше (ОС х86 и x64).
-
Подключение к сети Интернет.
Внутренние и внешние сети - протоколы и топология.
-
Сервер может работать с несколькими внутренними интерфейсами в сложной по топологии сети.
-
Поддерживаются интерфейсы 802.3 (Ethernet), 802.11 (Radio Ethernet), WAN PPP, WAN VPN (PPTP, L2TP).
-
Работает совместно с NAT от Windows. Поддерживается RAS (Dial-out), VPN (PPTP, L2TP), PPPoE.
-
Работает с RAS сервером (Dial-In клиенты), поддерживаются как модемные соединения, так и VPN (PPTP, L2TP).
-
Внутренние сети могут быть описаны как локальные (например внутриофисная сеть) или публичные (например домовая). Для разных сетей могут использоваться разные политики доступа.
-
Для съема трафика пользователей через другие сервера внутренней сети может также использоваться специальный режим сниффера ("прослушки").
-
Сервер может работать с несколькими внешними интерфейсами, т.е. может быть несколько подключений к сети Интернет.
-
Для работы с динамическими внешними интерфейсами имеется режим автоматического их выбора.
-
Обеспечивается корректная работа при разделении входящего и исходящего трафика на внешних интерфейсах (например, при работе через спутник).
-
Для персонального режима работы используется внутренний IP интерфейс (127.0.0.1). В этом случае назначение других внутренних интерфейсов запрещено.
-
Реализована возможность работы клиентов на терминальном сервере.
-
Имеется поддержка протокола IEEE 802.1Q (Tag based VLAN).
Авторизация пользователей.
-
Авторизация по сетевому адресу - IP, MAC или вместе. Также можно задать диапазон IP адресов.
-
Авторизация по имени и паролю. Может использоваться при работе с прокси сервером или через клиентского агента с использованием как собственных паролей, так и через домен сети Windows. Поддерживается авторизация с разных доменов.
-
Запись MAC клиентов авторизации в таблицу статических ARP операционной системы.
-
Авторизация по адресам электронной почты - используется в SMTP шлюзе.
-
В качестве дополнительно параметра авторизации можно использовать Vlan ID.
-
Авторизация через API. Позволяет использовать сторонние программы.
-
Контроль нарушений правил авторизации. В программе ведется учет нарушений доступа, производится запись этих событий в сетевую статистику и журнал, а также есть возможность оповещать администраторов по электронной почте.
-
Поддерживается 8192 пользователей и 256 групп.
-
Автоматическое перенаправление не авторизованных пользователей на специальную информационную страницу встроенного Веб-сервера (удобно для Wi-Fi сетей и подключении новых клиентов в домовых сетях).
Ограничения работы пользователей.
-
По датам.
-
По расписанию. Может быть задано индивидуально для пользователя, для группы или сразу для всех.
-
По доступу к ресурсам. Имеются групповые и общие фильтры на запрещение и разрешение. Фильтры применяются на IP уровне для любого трафика (IP адреса, протоколы и порты), так и на уровне приложений при работе через прокси (HTTP, FTP, URL, типы данных, regular expressions). Вместо IP адресов всегда можно задавать и имена хостов, что описание фильтра делает независимым от изменений адресов ресурсов.
-
По IP и MAC адресам клиента. Для пользователей с авторизацией по имени это может использоваться для введения дополнительных ограничений.
-
По доступу к службам (NAT, роутинг, прокси-сервер, SOCKS-сервер).
-
По количеству TCP сессий. Это ограничение работает, как через прокси (SOCKS), так и для прямого трафика.
-
Защита от перегрузки сети и сервера Virus Flood Protect. Используется анализ трафика пользователя и блокирует его при переполнении сетевой статистики, свойственной при заражениях компьютера пользователя сетевыми вирусами.
-
Реализована возможность отключения порта управляемого оборудования по SNMP-протоколу с помощью скриптов при измении состояния клиента.
Тарификация.
-
Возможен различный вид учета трафика: по входящему, исходящему, сумме входящего и исходящего и максимальному значению от входящего и исходящего.
-
Есть возможность задания предоплаченного (бесплатного) трафика.
-
Есть возможность тарифицировать время работы клиентов. При этом абонентская плата может начисляться посуточно или поминутно за время реальной работы.
-
Тарифы могут быть изменены задним числом - любое их изменение влечет немедленный пересчет всех данных по билингу. Дополнительно могут задаваться скидки на трафик из кэша, почтовый или любой другой в соответствии заданным в фильтрах критериям.
-
Работа в кредит. При работе клиента в кредит до момента блокировки могут быть применены отдельные политики доступа.
-
Все настройки тарификации могут быть сделаны индивидуальными, групповыми или общими, что позволяет иметь различные тарифные планы.
-
Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени.
-
Все изменения статуса клиентов могут записываться в журнал для последующей обработки и формирования отчетов.
-
Реализована возможность создания групповых счетов - единый счет для нескольких групп и клиентов.
-
В настройках тарифов есть возможность задать лимиты трафика на сутки, неделю, месяц.
Контроль внешнего трафика.
-
Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP сети. С их помощью можно учитывать трафик от провайдера. Несколько таких счетчиков позволяют вести раздельный учет разного вида трафика (льготный или бесплатный).
-
Для контролируемых счетчиков задаются лимиты - предупреждения, перерасхода и ежедневный, при превышении которых выдается оповещение администратора или (и) данное направление (трафик) может быть заблокировано.
-
При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение.
-
Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, где есть дополнительная возможность анализировать трафик по IP протоколам и портам.
-
Данные по внешним счетчикам могут отображаться как в реальном времени и записываться в журнал для формирования отчетов.
Сетевая статистика.
-
Для пользователей и внешних счетчиков может быть включен сбор сетевой статистики в контексте IP адресов, протоколов, портов и DNS-имен.
-
Есть возможность индивидуально или для всех задавать степень детализации - интервал анализа и количество активных соединений.
-
Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов.
-
Для дополнительного анализа хостов и сетей используется сервис WhoIs и NetGeo.
-
Предусмотрена возможность записи сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.
Прокси-сервер.
-
Протоколы - HTTP/1.1, FTP, SOCKS 4/5.
-
Аутентификация - BASIC (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2).
-
Кэширование - есть много настроек для выбора оптимальных параметров с точки зрения экономии трафика.
-
Индивидуальная гибкая настройка параметров кэширования для отдельных ресурсов.
-
Кэш хранится в одном файле СУБД, при этом полностью исключена его внутренняя фрагментация. Все индексы кэша хранятся в оперативной памяти, что обеспечивает высокую скорость работы с кэшем.
-
Фильтрация контента - прокси сервер использует общие с IP фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URL вплоть до контекстного поиска с помощью выражений regular expressions. Это позволяет, например, легко реализовать эффективную фильтрацию баннеров.
-
Есть поддержка метода HTTP CONNECT - через прокси сервер в этом режиме может работать SSL, FTP или любое другое TCP приложение, позволяющее работать через HTTP туннель.
-
FTP через HTTP (метод GET) - прокси сервер генерирует HTML страницы, позволяя работать с FTP серверами в режиме чтения. При этом работает автоматическое переключение между активным и пассивным режимами для протокола FTP.
-
Авторизация - сквозная. Если пользователь не авторизовался, то по необходимости запрашивается аутентификация через прокси или SOCKS сервер.
-
Автоматическое конфигурирование броузеров, в соответствии принятым стандартам. Прокси сервер выдает клиентам стандартный WPAD.DAT JAVA скрипт для их конфигурирования. Есть возможность задания в нем LAT (таблицы локальных адресов). Также может быть использовано принудительное конфигурирование броузеров через клиентского агента.
-
Форвардинг HTTP запросов на другой прокси сервер.
-
Блокировка HTTP трафика мимо прокси сервера.
-
Оперативное управление режимами фильтрации и кэширования со стороны клиента.
-
Имеется возможность выборочно включить запись в журнал всех запросов через прокси сервер.
SMTP-шлюз.
-
Публикует снаружи один внутренний SMTP-сервер.
-
Запрещает открытые relay (пересылки), что позволяет использовать внутри сети самые простые почтовые сервера.
-
Есть проверка адресов отправителей на достоверность их домена.
-
Есть проверка хостов отправителей с помощью служб RBL, базирующихся на DNS. Многопоточная реализация позволяет задействовать большое количество служб без внесения дополнительных задержек. Через RBL также могут проверяться и все промежуточные SMTP-сервера анализом заголовков сообщений.
-
Имеются "черные списки" хостов отправителей, которые могут заполняться как автоматически, так и вручную. Автоматическое занесение в "черные" списки хостов, отфильтрованных через RBL, позволяет существенно экономить трафик при массовой рассылке спама с них за счет исключения последующих запросов на RBL службы.
-
Есть "белые" списки, описывающие отправителей, для которых фильтрация сообщений применяться не будет.
-
Для анализа отфильтрованной почты ведется подробный журнал, а также может использоваться почтовая рассылка администраторам.
-
Тарифицирует входящую почту для известных получателей - пользователей Traffic Inspector. Для экономии трафика прием почты для неизвестных получателей может быть запрещен.
-
Может быть запрещен также прием почты для отключенных или заблокированных пользователей.
-
Поддерживается интеграция модуля защиты от нежелательной почты Traffic Inspector AntiSpam.
Сертифицированный межсетевой экран (firewall).
-
По умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящие TCP, UDP и ICMP данные, в связи с чем настройка службы практически не требуется.
-
Динамическая UDP-фильтрация - позволяет корректно отличать входящие UDP запросы от исходящих, прозрачно разрешая исходящие UDP данные.
-
Динамическая фильтрация FTP-DATA. Производится анализ FTP команд PORT и PASV и выставление временных разрешений в firewall. Это позволяет без проблем работать с активным режимом (клиент), так и пассивным (публикуемый сервер).
-
Для разрешения работы различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил.
-
На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.).
-
Для защиты самого сервера изнутри сети также может быть включен внутренний firewall. Его функциональность аналогична внешнему. Имеются отдельные настройки этого firewall для локальных и публичных внутренних сетей.
-
Реализована возможность запрета неавторизованого трафика с самого сервера.
Bandwidth control (шейпер).
-
Служба работает по любому трафику, проходящему через сервер. В том числе через прокси сервер и SOCKS.
-
Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием и передачу.
-
Динамическое ограничение - назначение суммарной максимальной скорости для группы, отдельно на прием и передачу.
-
Ограничение по количеству пакетов. Полезная функция для предотвращения перегрузки сети при эпидемиях вирусов.
-
Назначение в фильтрах типа трафика, который надо исключить из контроля.
-
Выставление отдельных ограничений скорости для конкретного типа трафика.
-
Выставление приоритетов на определенный тип трафика. Эта настройка позволяет менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками.
-
Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки службы этой в зависимости от времени.
-
При работе через прокси сервер имеется возможность настроить полосу отдельно для разного типа контента.
-
Данные из кэша прокси сервера, а также с локального веб сервера (сервер статистики) ограничениям по скорости не подвергаются.
Advanced routing и перенаправление TCP-соединений.
Расширяет функции роутера Windows. Также эта функция известна как "policy routing" или "source routing".
-
Перенаправление трафика через заданный внешний интерфейс для группы пользователей.
-
Перенаправление трафика через заданный внешний интерфейс для пользователя индивидуально.
-
Применение перенаправления для заданного типа трафика. При работе через прокси можно задать также тип HTTP контента.
-
В фильтрах также можно задать в качестве условия факт перенаправления трафика.
-
Реализован редирект исходящих от клиента TCP-соединений. Редирект удобно использовать, если в локальной сети есть сторонний прокси-сервер или требуется перенаправление клиента на другой интернет-ресурс.
Клиентский сервис.
С помощью специальной программы - клиентского агента - пользователь может самостоятельно:
-
видеть текущий баланс, также можно настроить оповещение, когда средства на счету подходят к концу.
-
переключать уровни фильтрации контента - работать в режиме "сбережения" трафика.
-
переключать режимы кэширования прокси сервера. Это позволяет без проблем просматривать быстро обновляемые ресурсы, имея при этом хорошие показатели экономии трафика за счет кэширования.
-
быстрый доступ в личный кабинет с помощью контекстного меню агента.
-
менять пароль через агент. Администратор может отключить возможность смены пароля в Traffic Inspector.
-
Несколько протоколов авторизации с помощью агента (UDP, HTTP, SSL). При возникновении проблем авторизации по UDP в WiFi сетях можно использовать HTTP или SSL.
-
Встроеный Веб-агент во многом аналогичный по функционалу клиентскому агенту. Установка Веб-агента не требуется, т.к. он запускается из главной страницы встроеного Веб-сервера.
-
Настраиваемые предупреждения в клиентском агенте о блокировке по лимитам групповых счетов.
Кроме того, администратор может разослать быстрое оповещение пользователям, у которых используется клиентский агент.
Встроенный веб сервер с поддержкой запуска скриптов и формирования динамического контента позволяет обеспечить клиентам доступ для просмотра различных отчетов по их работе. Этот сервис полностью задокументирован и может быть легко самостоятельно доработан.
Администрирование.
-
Удаленное управление - для удаленного доступа используется стандартная технология DCOM, консоль управления выполнена как MMC Snap-In, что позволяет ее легко интегрировать с другими инструментами администратора.
-
Ограничение доступа - можно задать группу администраторов в домене Windows или использовать встроенную аутентификацию по паролю.
-
Распределение доступа - можно создать администраторов с ограниченными правами, например, только для добавления клиентов, только для пополнения счетов, только для работы с определенной группой клиентов.
-
Мониторинг работы клиентов и сетевой статистики в реальном времени.
-
Просмотр статистики клиентов и пополнение счета через веб-интерфейс.
-
В случае, когда компьютеры клиентов не в сети Windows, клиенты могут самостоятельно загрузить или обновить агента через встроенный веб сервер.
-
Автоматическое добавление клиентов - если сеть работает с доменом Windows. Также имеется возможность ограничить это для отдельной группы домена, а также сразу помещать новых клиентов в разные группы Traffic Inspector с привязкой к группам домена.
-
Часть настроек клиентов программы доступна через веб интерфейс.
-
Тройка активности по счетчикам.
-
Тройка активности по клиентам.
Отчеты.
-
Может быть сформировано несколько десятков видов разных отчетов трафику, билингу и сетевой статистике. Все отчеты могут быть импортированы и сохранены в различных видах и форматах - табличных и графических.
-
Набор отчетов может быть расширен использованием интерфейса автоматизации.
Дополнительные плагины и программные продукты.
-
Модуль защиты от нежелательной корреспонденции (спама) Traffic Inspector AntiSpam.
-
Модуль удержания Dial-In и VPN соединений - RAS dialer.
-
Модуль для работы провайдера Billing Operator.
-
Антиврусные модули для проверки трафика, проходяшего через прокси и SMTP-шлюз программы на базе технологий Лаборатории Касперского и Panda Security.
-
Traffic Inspector Personal Edition - бесплатный вариант для домашнего использования.
Интерфейс автоматизации.
-
Открытое API для сторонних разработчиков.
-
Встроенная поддержка скриптов автоматизации.
-
Сообщество разработчиков на форуме.
Производительность.
Возможности сервера с Traffic Inspector зависят от мощности используемого оборудования, но планируемая нагрузка при пропускании трафика через сервер не должна превышать следующих рекомендуемых значений:
|