Traffic Inspector · 1 Traffic Inspector Все логотипы, названия продуктов и компаний являются торговыми марками своих

© 2003 - 2010 SMART-SOFT

Traffic Inspector

Руководство пользователя

Traffic InspectorI

© 2003 - 2010 SMART-SOFT

Содержание

Часть I Traffic Inspector 1

................................................................................................................................... 11 О документации

................................................................................................................................... 22 Что нового?

......................................................................................................................................................... 2Обновления

......................................................................................................................................................... 8Новая версия 2.0

......................................................................................................................................................... 8Новая версия 1.1.6

................................................................................................................................... 93 О программе

......................................................................................................................................................... 9Краткий обзор

.................................................................................................................................................. 9NAT и прокси

......................................................................................................................................................... 10Основные функции

.................................................................................................................................................. 12Внутренняя архитектура

.................................................................................................................................................. 13Интерфейсы и сети

.................................................................................................................................................. 16Авторизация

.................................................................................................................................................. 18Политики доступа и фильтрация

.................................................................................................................................................. 21Тарификация

.................................................................................................................................................. 24Учет внешнего трафика

........................................................................................................................................... 26Ограничение скорости

.................................................................................................................................................. 26Сетевая статистика

.................................................................................................................................................. 28Прокси-сервер

........................................................................................................................................... 28HTTP/1.1

........................................................................................................................................... 29Кэширование

........................................................................................................................................... 31Обработка контента

........................................................................................................................................... 32Transparent Proxy

........................................................................................................................................... 32FTP

........................................................................................................................................... 33Тарификация

.................................................................................................................................................. 33Маршрутизация

.................................................................................................................................................. 35Почтовые службы

........................................................................................................................................... 35SMTP-шлюз

........................................................................................................................................... 37Служба отправки

.................................................................................................................................................. 37Внешний сетевой экран

.................................................................................................................................................. 39Администрирование и разграничение доступа

.................................................................................................................................................. 40WWW-сервер

.................................................................................................................................................. 41Автоматизация

.................................................................................................................................................. 41Модули расширения и антивирусы

......................................................................................................................................................... 41Характеристики

......................................................................................................................................................... 47PE-режим

......................................................................................................................................................... 48Лицензионное соглашение

................................................................................................................................... 504 Типовые решения

......................................................................................................................................................... 50Офисная сеть

......................................................................................................................................................... 51Корпоративная сеть

......................................................................................................................................................... 52Домовая сеть

......................................................................................................................................................... 53Сеть провайдера

......................................................................................................................................................... 54Сеть компьютерного клуба или интернет-кафе

......................................................................................................................................................... 55Персональное использование

......................................................................................................................................................... 57Биллинг вне сервера

......................................................................................................................................................... 58Сеть с внутренним почтовым сервером

......................................................................................................................................................... 59VPN-сервер

................................................................................................................................... 605 Установка программы

......................................................................................................................................................... 61Требования к системе

......................................................................................................................................................... 62Подготовка сервера к установке

.................................................................................................................................................. 63Настройка RRAS

.................................................................................................................................................. 75Настройка ICS

.................................................................................................................................................. 77Настройка DNS

......................................................................................................................................................... 78Установка программы на сервер

......................................................................................................................................................... 79Запуск программы

.................................................................................................................................................. 79Настройка DCOM

IIСодержание

Все логотипы, названия продуктов и компаний являются торговыми марками своих владельцев.

......................................................................................................................................................... 80Активация

......................................................................................................................................................... 81Установка удаленной консоли

......................................................................................................................................................... 81WWW-/SSL-сервер

......................................................................................................................................................... 83Настройка клиентов

.................................................................................................................................................. 84Установка клиентского агента

.................................................................................................................................................. 84Настройка браузеров

......................................................................................................................................................... 86Установка модулей расширения

......................................................................................................................................................... 86Внешний SQL-сервер

......................................................................................................................................................... 88Обновление с предыдущих версий

......................................................................................................................................................... 88Обновление агента

......................................................................................................................................................... 89Переустановка программы

......................................................................................................................................................... 89Сохранение и перенос настроек

......................................................................................................................................................... 90Изменение путей к данным

......................................................................................................................................................... 90Типовые настройки

.................................................................................................................................................. 90Настройки для офисной сети

.................................................................................................................................................. 94Настройки для провайдера

................................................................................................................................... 986 Работа с программой

......................................................................................................................................................... 99Работа с MMC

.................................................................................................................................................. 100Новая оснастка

.................................................................................................................................................. 101Настройка списков

.................................................................................................................................................. 102Пример настройки монитора

......................................................................................................................................................... 104Интерфейс консоли управления

.................................................................................................................................................. 104Главное окно консоли

........................................................................................................................................... 106Соединение с сервером

........................................................................................................................................... 106Проблемы

.................................................................................................................................................. 107Мастера настроек

........................................................................................................................................... 107Мастер активации

...................................................................................................................................... 107Запрос на продление

...................................................................................................................................... 107Ввод данных

...................................................................................................................................... 107Активация программы

........................................................................................................................................... 108Мастер конфигурирования

...................................................................................................................................... 108Внутренняя сеть

...................................................................................................................................... 108Тип внутренней сети

...................................................................................................................................... 108Внутренние сети: службы

...................................................................................................................................... 109Внешняя сеть

...................................................................................................................................... 109Внешний сетевой экран

...................................................................................................................................... 109Внешние сети: дополнительно

...................................................................................................................................... 109Почтовый шлюз

...................................................................................................................................... 109Режим использования DNS

........................................................................................................................................... 110Внешний SQL-сервер

...................................................................................................................................... 110Настройка

...................................................................................................................................... 111Удаление

........................................................................................................................................... 111Сброс/загрузка настроек

.................................................................................................................................................. 111Общие настройки

........................................................................................................................................... 112Сетевой драйвер

........................................................................................................................................... 112Сетевая статистика

........................................................................................................................................... 113Внешний SQL-сервер

........................................................................................................................................... 113Ж урналы

........................................................................................................................................... 113Автоматизация

........................................................................................................................................... 113Счетчики скорости

........................................................................................................................................... 114Дополнительно

.................................................................................................................................................. 114Описания

........................................................................................................................................... 114IP-сети

...................................................................................................................................... 115Общие настройки

...................................................................................................................................... 115Настройки описания

...................................................................................................................................... 115Подробный список

........................................................................................................................................... 116URL-списки

...................................................................................................................................... 116Настройки

........................................................................................................................................... 117Скрипты

...................................................................................................................................... 117Настройки

........................................................................................................................................... 117Оборудование

...................................................................................................................................... 117Настройки

Traffic InspectorIII

© 2003 - 2010 SMART-SOFT

...................................................................................................................................... 117Устройство

...................................................................................................................................... 118Описание

...................................................................................................................................... 118SNMP

........................................................................................................................................... 118Атрибуты

...................................................................................................................................... 119Редактирование данных

.................................................................................................................................................. 120Правила

........................................................................................................................................... 120Правила сетей

...................................................................................................................................... 120Настройки

........................................................................................................................................... 120Перенаправление TCP

.................................................................................................................................................. 121Биллинг

........................................................................................................................................... 121Фильтры

...................................................................................................................................... 121Фильтр

...................................................................................................................................... 122Тип

...................................................................................................................................... 123IP

...................................................................................................................................... 123Контент

...................................................................................................................................... 123Расписание

...................................................................................................................................... 124Роутинг

...................................................................................................................................... 124Действия

...................................................................................................................................... 124Блокировка

........................................................................................................................................... 125Внутренний сетевой экран

...................................................................................................................................... 125Локальные сети

...................................................................................................................................... 125Публичные сети

........................................................................................................................................... 125Тарифы

...................................................................................................................................... 126Настройки

........................................................................................................................................... 127Клиенты и группы

...................................................................................................................................... 127Общие настройки

...................................................................................................................................... 127Авторизация

...................................................................................................................................... 128Автодобавление

...................................................................................................................................... 128Расписание

...................................................................................................................................... 128Статистика и блокировка

...................................................................................................................................... 129Фильтрация

...................................................................................................................................... 129Правила

...................................................................................................................................... 129Ограничения

...................................................................................................................................... 129Уровни фильтрации

...................................................................................................................................... 129Дополнительно

...................................................................................................................................... 129Настройки группы

...................................................................................................................................... 129Группа

...................................................................................................................................... 130Авторизация

...................................................................................................................................... 130Тарификация

...................................................................................................................................... 130Расписание


...................................................................................................................................... 130Фильтрация

...................................................................................................................................... 130Ограничения

...................................................................................................................................... 131Правила

...................................................................................................................................... 131SMTP

...................................................................................................................................... 131Автоматизация

...................................................................................................................................... 131Дополнительно

...................................................................................................................................... 131Настройки клиента

...................................................................................................................................... 131Клиент

...................................................................................................................................... 131Авторизация

...................................................................................................................................... 133Тарификация

...................................................................................................................................... 133Доступ

...................................................................................................................................... 133Расписание


...................................................................................................................................... 133Фильтрация

...................................................................................................................................... 133Ограничения

...................................................................................................................................... 133Правила

...................................................................................................................................... 134SMTP

...................................................................................................................................... 134Автоматизация

...................................................................................................................................... 134Дополнительно

........................................................................................................................................... 134Групповые счета

...................................................................................................................................... 135Настройки

........................................................................................................................................... 135Монитор работы

IVСодержание


...................................................................................................................................... 136Комментарий администратора

........................................................................................................................................... 136Мастера

...................................................................................................................................... 136Поиск клиентов

...................................................................................................................................... 137Добавление оплаты

...................................................................................................................................... 137Смена тарифа

.................................................................................................................................................. 138Прокси-сервер

........................................................................................................................................... 138Настройки

...................................................................................................................................... 138HTTP-прокси

...................................................................................................................................... 139HTTP-кэширование

...................................................................................................................................... 140FTP-прокси

...................................................................................................................................... 140Настройки клиентов

...................................................................................................................................... 141Антивирус

...................................................................................................................................... 142Ж урнал

...................................................................................................................................... 142Дополнительно

........................................................................................................................................... 143Обслуживание кэша

........................................................................................................................................... 143Правила кэширования

...................................................................................................................................... 144Настройка правила кэширования

........................................................................................................................................... 144Прокси-каскад

...................................................................................................................................... 145Настройки прокси-каскада

........................................................................................................................................... 146Активные клиенты

.................................................................................................................................................. 146Внешние сети

........................................................................................................................................... 147Счетчики

...................................................................................................................................... 147Общие настройки

...................................................................................................................................... 147Контролируемые счетчики

...................................................................................................................................... 147Счетчик

...................................................................................................................................... 147Лимиты

...................................................................................................................................... 148Действия

...................................................................................................................................... 148Автоматизация

...................................................................................................................................... 148Статистика

...................................................................................................................................... 148Ж урнал

...................................................................................................................................... 148Дополнительно

...................................................................................................................................... 149Информационные счетчики

...................................................................................................................................... 149Счетчик

...................................................................................................................................... 149Статистика

...................................................................................................................................... 150Ж урнал

...................................................................................................................................... 150Дополнительно

........................................................................................................................................... 150Сетевой экран

...................................................................................................................................... 150Общие настройки

...................................................................................................................................... 151Фильтр сетевого экрана

.................................................................................................................................................. 152SMTP-службы

........................................................................................................................................... 153Настройки

...................................................................................................................................... 153Отправка сообщений

...................................................................................................................................... 154Оповещение

...................................................................................................................................... 154Дополнительно

........................................................................................................................................... 154Очередь отправки

........................................................................................................................................... 155SMTP-шлюз

...................................................................................................................................... 156Настройки SMTP-сервера

...................................................................................................................................... 156SMTP-сервер

...................................................................................................................................... 156Получатель

...................................................................................................................................... 157Отправитель

...................................................................................................................................... 157Действия

...................................................................................................................................... 158Антивирус

...................................................................................................................................... 159Тарификация

...................................................................................................................................... 159Дополнительно

...................................................................................................................................... 159Соединения

...................................................................................................................................... 159Правила

...................................................................................................................................... 159Настройка

...................................................................................................................................... 159Правило

...................................................................................................................................... 160Выражения

...................................................................................................................................... 160Действия

...................................................................................................................................... 161Автозагрузка

...................................................................................................................................... 161Дополнительно

.................................................................................................................................................. 161WWW-сервер

Traffic InspectorV

© 2003 - 2010 SMART-SOFT

........................................................................................................................................... 162Настройки

...................................................................................................................................... 162Сервер

...................................................................................................................................... 162Страницы по умолчанию

...................................................................................................................................... 162Сертификаты

...................................................................................................................................... 163Клиентский агент

...................................................................................................................................... 163Дополнительно

........................................................................................................................................... 163Создание сертификатов

........................................................................................................................................... 163Разделы

...................................................................................................................................... 164Настройки раздела

...................................................................................................................................... 164Настройки доступа

...................................................................................................................................... 165ASP.NET

........................................................................................................................................... 165Перенаправление

........................................................................................................................................... 166Сессии

.................................................................................................................................................. 166Модули расширения

........................................................................................................................................... 166Настройки

.................................................................................................................................................. 166Администрирование

........................................................................................................................................... 166Группы

........................................................................................................................................... 167Пользователи

........................................................................................................................................... 168Сессии

.................................................................................................................................................. 168Отчеты

.................................................................................................................................................. 168Обслуживание

........................................................................................................................................... 169Файлы и диски

........................................................................................................................................... 170Резервное копирование

........................................................................................................................................... 171Очистка данных

........................................................................................................................................... 171Настройки планировщика

........................................................................................................................................... 171Задачи

...................................................................................................................................... 172Настройки

.................................................................................................................................................. 173Диагностика

........................................................................................................................................... 174WhoIs

........................................................................................................................................... 174Модули

.................................................................................................................................................. 175Другие настройки

........................................................................................................................................... 175Работа с клиентским агентом

................................................................................................................................... 1797 Решение задач

......................................................................................................................................................... 179Бесплатные и льготные сети

......................................................................................................................................................... 180Сделать бесплатный трафик на указанную сеть

......................................................................................................................................................... 181Внутренние сервера

......................................................................................................................................................... 181Администрирование из Интернета

......................................................................................................................................................... 182Настройка RAS-(VPN-)сервера

......................................................................................................................................................... 183Виртуальные Ethernet-сети

......................................................................................................................................................... 185ISA-сервер

......................................................................................................................................................... 186Cторонний прокси (Squid)

......................................................................................................................................................... 191Пример: запрещение сервера или сети

......................................................................................................................................................... 191Пример: запрещение сайта или его части

......................................................................................................................................................... 192Пример: работа группы через другого провайдера

......................................................................................................................................................... 192Пример: загрузка картинок с другого провайдера

......................................................................................................................................................... 193Пример: блокировка перехода при падении интерфейса

......................................................................................................................................................... 193Пример: запрещение всего, кроме почты

......................................................................................................................................................... 194Пример: тарифный план по расписанию

......................................................................................................................................................... 194Пример: внешний Интернет и локальная сеть

......................................................................................................................................................... 195Пример: очистка внешней БД MS SQL

................................................................................................................................... 1968 Устранение проблем

......................................................................................................................................................... 197Ошибки установки и удаления программы

......................................................................................................................................................... 197Запуск сервера

......................................................................................................................................................... 198Запуск консоли

......................................................................................................................................................... 199Интерфейсы

......................................................................................................................................................... 199Ошибки авторизации

......................................................................................................................................................... 200Проблемы доступа в Интернет

......................................................................................................................................................... 201Прокси и встроенный web-сервер

................................................................................................................................... 2019 Справочная информация

......................................................................................................................................................... 201IP-адреса для интранет-сети

......................................................................................................................................................... 201Синтаксис регулярных выражений

VIСодержание


......................................................................................................................................................... 205Словарь терминов

1 Traffic Inspector


1 Traffic Inspector

1.1 О документации

Настоятельно рекомендуем перед установкой программы изучить этот документ. Настройкапрограммы тесно связана с правильной настройкой сети и Windows, поэтому материалысправки включают инструкции по настройке сетей и сетевых служб Windows, а также содержати некоторые теоретические сведения по построению сетей.

Данный документ содержит следующие разделы:

Что нового: краткий обзор изменений и дополнений последних версий программы. Болееподробно история изменений описана на сайте разработчика (www.smart-soft.ru).О программе: обзор основных функций программы, теоретические сведения о способахрешения задач, сравнение их и сравнение программы с другими продуктами. В разделе"Основные функции" дано подробное описание архитектуры программы и описаны способыих реализации. Данный раздел позволит в дальнейшем легко настраивать самые сложные программные конфигурации. Необходим для планирования установки программы и сети.Типовые решения: краткий обзор некоторых вариантов использования программы в сети.Следует изучить для планирования установки программы.Установка программы: все вопросы подготовки к установке, собственно установки иначального запуска программы.Работа с программой: подробное описание консоли управления, всех ее разделов и окон.Эти разделы справки напрямую вызываются из консоли, работает клавиша F1, справкаконтентно ориентирована. Также имеется небольшой раздел описания MMC, где описанынекоторые общие приемы работы с консолью.Решение задач: сборник статей с описанием решений различных типовых задач.Устранение проблем: описаны способы решения некоторых проблем.Справочная информация: различные справочные материалы, не вошедшие в другиеразделы.

В составе SDK имеется:

Автоматизация и программирование: справочная информация по API, готовые примеры ит.д. Описание встроенного веб-сервера.

Для быстрого поиска разделов справки в ней предусмотрен каталог ключевых слов - закладкаУказатель (Index). Плюс есть возможность контекстного поиска. Всю справку или ее отдельныеразделы можно распечатать на принтере.

Справка постоянно обновляется, новую версию можно отдельно скачать с сайта: http://www.smart-soft.ru, раздел загрузки.

Помимо этого, будут полезны и другие источники информации:

FAQ на сайте: http://www.smart-soft.ru.Раздел документации на сайте: http://www.smart-soft.ru, где отдельно приведено несколькопошаговых инструкций настройки. Также есть он-лайн версия этой справки. Однако лучшеиспользовать обновленную версию, скаченную с сайта целиком.Форум по этой программе на сайте разработчика. Здесь есть функция поиска, и можно найтиответы на разные вопросы или задать свои.Встроенная справка Windows. Особенно полезна для серверных версий. Если Windowsанглийский, то на сайте Microsoft есть русские версии этой справки. Кроме прочего, справкаWindows имеет функцию поиска по справочным материалам с сайта Microsoft.Поиск в статьях базы знаний Microsoft.

2Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.2 Что нового?

1.2.1 Обновления

Обновление 2.0.0.632

Исправлены ошибки:

Заменен вывод сообщений в отчетах.Исправлена обработка сортировки в отчете "Трафик по клиентам".Добавлена единица измерения в заголовок отчета "Активность".В отчете по сетевой статистике исправлен неверный вывод периода при выполнениисортировки по любому полю в таблице.Подкорректирован вывод периода в сетевой статистике (выводились день и месяц, еслиразница в периоде была более 12-ти часов, но даты были одни и те же).Исправлена ошибка, связанная с полем "Сортировка" в отчете по письмам.Исправлена ошибка в отчете по письмам, возникающая при вводе слишком длинного числав поля "Размер от" и "до".Добавлена кнопка Whois Info"в отчеты админстраторов, где имеется поле "IP-адрес": сет. итек. статистика, прокси.Исправлена ошибка в отчетах по трафику, возникающая при нажатии на кнопку "Сброс" приусловии, что список клиентов пуст.Доработан элемент для выбора периода (в полях времени некорректно происходилаинициализация для языков, отличных от английского (США) и русского).Основными отчетами по трафику сделаны "накопительные" отчеты (бывшие тестовые).Старые отчеты по трафику переименованы в "интервальные".Исправлена ошибка в отчете по активности, возникающая при построении и отсутствииклиентов.Исправлена ошибка отображения загрузки CPU в главном окне консоли.Исправлена ошибка с циклической загрузкой процессора.



Cкрипт автоконфигурирования.Исправления в консоли.Ошибка проверки базы данных на внешнем SQL-сервере - ERROR: language "plpgsql" doesnot exist.Добавлена возможность экспорта отчетов в Excel с максимальным размером в 128 Мб(ранее максимальный размер был ограничен 4-мя Мб).Доработан вывод значений и единицы измерения при экспорте в Excel в отчете по сетевойстатистике.В отчете по текущей сетевой статистике в случае выбора счетчика "Неавторизованный"пользователем с правами кассира или менеджера.В отчете по биллингу для администраторов в экспортируемом отчете в Excel неправильноотображалась валюта клиента.Ограничена длина полей "Строк на странице" и "Тайм-аут" соответственно до 6 и 4 символов(отсутствие ограничения приводило к ошибке нехватки памяти).



Исправлен запрос для отчетов по трафику (по клиентам и по времени): невернорассчитывался трафик для нескольких сессий.В отчеты по трафику добавлен отбор по тарифу.Исправлена ошибка, возникающая при открытии отчета по текущей статистике, еслипользователь не является администратором или клиентом программы.В отчете по письмам SMTP появилась возможность отбора по времени.

3 Traffic Inspector



Существенно переделана работа с дополнительными атрибутами:

Дополнительные атрибуты доступны для объектов клиентов, групп, групповых счетов ивнешних счетчиков (ранее они были только для клиентов и групп). Их назначение - хранениедополнительных настроек, промежуточных данных скриптов автоматизации и другихсторонних приложений.Настройка описаний всех дополнительных атрибутов вынесена в раздел "Описания"консоли.Хранение данных атрибутов реализовано во встроенной базе данных SQLite (ранее онихранились в виде отдельных XML-файлов). Новая реализация хранения атрибутов болееподходит для хранения большого количества разнообразных данных.Переделано и упрощено API для работы с атрибутами. Новое API для атрибутовнесовместимо со старым.

Для переноса данных атрибутов клиентов и групп с предыдущих версий программы имеетсяутилита.


Новые возможности:

Добавлена функция перенаправления любых исходящих TCP-соединений со стороныклиента (IP Address & Port Mapping). Работает на уровне драйвера. Добавлены соответствующие настройки: правила перенаправления TCP-трафика и списки применяемых правил для всех клиентов, групп и клиентов.Для перенаправленного трафика фильтры клиентов работают в контекстенеперенаправленных IP-адресов и портов. В сетевой статистике будут отображатьсяперенаправленные IP-адреса и порты. Для перенаправленного трафика не будет работатьфильтр блокировки HTTP мимо прокси, что позволяет сделать перенаправление HTTPтрафика на любой сервер аналогично встроенному Transparent Proxy, а также реализоватьаналогичное для других протоколов - SMTP, POP3, IMAP, ICQ и т.д.

Доработки и изменения:

Проведена оптимизация драйвера программы. В частности, сделано отдельное хранениесписков IP-сетей, что позволяет при наличии больших списков в фильтрах клиентовуменьшить размер потребляемой драйвером памяти. Ранее применение больших IP-списковдля большого числа клиентов приводило к появлению ошибок нехватки памяти ядрасистемы.В консоли добавлена возможность вводить отрицательные оплаты.


Выявлена и исправлена утечка памяти в драйвере программы.



Добавлен новый мастер настройки конфигурации программы. В нем задается вариантприменения программы и используемых сетевых служб Windows.Мастер настроек программы и сети теперь может конфигурировать службы Windows - InternetConnection Sharing и RRAS.В мастере сетевых настроек теперь можно конфигурировать отключенные (неактивные)интерфейсы.


4Traffic Inspector

© 2003 - 2010 SMART-SOFT

В консоли все мастера настроек переделаны под новый дизайн.Обновлен антивирусный движок модуля Kaspersky Gate Antivirus на более стабильный.


Исправлена ошибка применения изменений списков IP-сетей для внешних счетчиков.Исправлена критическая ошибка, связанная с блокировкой работы программы привыполнении длительных по времени запросов к локальной базе данных.Различные исправления и доработки в SMTP-шлюзе.



В качестве внешнего сервера реализована поддержка SQL-сервера PostgreSQL.


Исправление в логике обработки статических маршрутов функцией Advanced Routing.



Реализована поддержка протокола управления SNMP на уровне скриптов автоматизации.Подробное описание приведено в SDK. Новая возможность позволяет решить ряд задач,например, управления портами управляемых коммутаторов:

Отключение сетевого порта клиента в зависимости от его состояния в программе.Автоматическое применение настроек VLAN.Ограничение скорости средствами коммутатора в зависимости от состояния клиента впрограмме.

Для этого в программе добавлены настройки конфигурации:

Добавлен список описания оборудования. В этом списке описываются сетевые устройства.Для клиентов в разделе настроек авторизации добавлен выбор устройства доступа и номерпорта.


При создании сертификатов с использованием имеющегося издательства не проверялосьналичие собственного сертификата в списке доверенных сертификатов системы, кудасертификат заносился один раз при создании нового издательства. При случайном егоудалении или переносе настроек сервера на другую ОС требовалось ручное добавлениеэтого сертификата. Теперь сертификат издательства обновляется в системе каждый раз привыписке нового.Добавлено предупреждение в виде проблемы, если не настроено резервное копирование иочистка данных.Некоторые доработки и изменения в работе скриптов автоматизации.Добавлена возможность применения скриптов состояния в ручном режиме из монитораработы клиентов и внешних счетчиков.


Исправлены некоторые ошибки переноса данных при работе с MySQL.



5 Traffic Inspector


Реализована поддержка выполнения скриптов автоматизации (описание в разделе "Автоматизация") в среде службы Traffic Inspector:

В консоли добавлен раздел описаний скриптов. Реализован встроенный редактор спредварительным контролем синтаксиса.Добавлена возможность запуска встроенного скрипта из встроенного планировщиказаданий.Реализована возможность запуска скриптов по событиям изменения состояния счета, атакже по превышению лимитов, заданных в тарифе. Скрипты по событиям задаются внастройках групп, клиентов, а также групповых счетов.Реализована возможность запуска скриптов по событиям изменения состояния внешнихконтролируемых счетчиков.

Эти возможности доступны только для лицензий типа GOLD или TRIAL.



В правилах перенаправления WWW-сервера добавлена опция запрета, а также условие попротоколу запроса (http:// или https://). Используя эту возможность, можно, например, призапросе на открытый HTTP-сервер принудительно перенаправлять на закрытый (SSL).В правилах SMTP-сервера есть возможность автоматической загрузки списков с Сети попротоколу HTTP (по аналогии с URL-списками). Также добавлена опция поиска в спискевыражений по простому вхождению подстроки.В правилах SMTP-сервера можно проверять IP-адрес клиента по описаниям IP-сетей.В консоли для правил SMTP-сервера реализовано два режима редактирования - простой ирежим "Эксперт". Режим "Эксперт" соответствует ранней реализации с добавлением панелипредосмотра. В простом режиме отображаются только предустановленные правила.


В SMTP-службе очередь сообщений реализована в виде SQLite базы данных. Это устранилопроблему потери и искажения некоторых заголовков сообщений при перезагрузке службыпрограммы.



Реализованы индикаторы текущей скорости для клиентов и внешних счетчиков. В

программе для каждого из них ведется история на сто значений. В окне общих настроек

добавлены параметры для настройки этих счетчиков, в частности, можно задать шаг

анализа скорости в секундах.

В консоли в мониторах работы клиентов и внешних счетчиков добавлено графическое

отображение индикаторов скорости. Также имеется графическое отображение наиболее

активных клиентов и внешних счетчиков на статусных страницах.

В счетчиках введено понятие "счетчик безопасности". Создано два вида таких счетчиков -

для блокированных запросов снаружи и для блокированных запросов изнутри на внешнем

сетевом экране.

Обновление 1.1.6.618 Release Candidate


В мониторе работы консоли добавлены панели предварительного осмотра с различнымипараметрами счетов. Теперь есть доступ к информации по всем тарифам счета. ВНИМАНИЕ!

6Traffic Inspector

© 2003 - 2010 SMART-SOFT

Возможно только для MMC-версии 2.0 и выше. Для ранее сохраненных MMC-оснастокможет потребоваться включение этой опции в списке расширений консоли.В панели предосмотра монитора работы консоли имеется текущая сетевая статистика исписок сессий прокси-сервера.В консоли предусмотрено окно настроек параметров отображения монитора работы.


Расширены условия,при которых у клиента срабатывает блокировка по нарушениямполитики авторизации. Ранее блокировка срабатывала только по анализу прямого трафика.Теперь она срабатывает и по запросам авторизации с агента или через прокси-сервер. Этисобытия также отображаются в сетевой статистике нарушений авторизации клиента.Перегруппированы настройки, связанные с блокировкой клиентов по сетевой активности(virus flood detect). Они все сведены в блок настроек сетевой статистики клиентов и групп.Внимание! При обновлении конфигурации с предыдущих версий настройки блокировкимогут не перенестись.


Изменения настроек тарифов у клиентов сразу не применялись, если тарифы считалисьдополнительными.Ошибка в работе прокси-сервера при записи в журнал данных для неавторизированногоклиента.Ошибка при тарификации трафика SMTP-шлюза: трафик начислялся по всем тарифамклиента, а должен был только по основному.



Добавлена поддержка MySQL для работы в качестве внешнего SQL-сервера.Реализована сортировка в списках консоли.В журнале системных событий консоли разработаны два отдельных подраздела для ошибоки предупреждений.


В прокси-сервере реализовано три режима записи логов: отключен, нормальный идетальный. Для нормального и детального предусмотрено две группы настроек. Дляклиентов и групп возможен выбор одного из режимов. У нормального режима есть настройкаограничения записи в журнал для объектов небольшого размера с целью минимизироватьразмер базы данных. При переносе настроек после обновления с предыдущих версий поумолчанию везде включен нормальный режим с ограничением записи данных размеромболее 10 килобайт.В настройках сетевой статистики клиентов и внешних счетчиков добавлен параметр лимитаколичества пакетов для записи в журнал. Если в коллекторе на момент записи пакетовзафиксировано меньше заданного, то учет данных не производится. Эта настройкапозволяет уменьшить объем базы данных.Для контролируемых и информационных счетчиков существует раздел общих настроек -настройки сетевой статистики и записи журнала. В соответствующих настройках счетчиковпоявилась опция "по умолчанию". Внимание! При переносе настроек со старых версийопция "по умолчанию" включена.


Ошибка поиска клиентов при указании групп в условии поиска.Ошибка обновления состояния клиента при переходе из кредитного режима в нормальный.В SMTP-шлюзе исправлена ошибка логики при отработке правила с действием "разрешить".

7 Traffic Inspector




В планировщике заданий добавлен новый тип задачи: запуск внешней консольнойпрограммы или скрипта.


В планировщике появилась возможность выполнения задачи однократно.


При переносе клиента из одной группы в другую, если при этом у групп были разныетарифы,а у клиента тариф назначался по умолчанию (как у группы), его новая настройка невсегда сразу применялась.Критическая ошибка: в пароле клиентов могли оказаться символы, которые приводили кошибке работы с XML-данными.Погрешности работы планировщика.В консоли из отдельных окон не всегда открывалась справка.



Критическая ошибка в биллинге: при добавлении группы или ее удалении могли изменятьсяданные биллинга по всем клиентам.Проблемы работы Advanced Routing на Windows 2008 Server.Ошибка обработки широковещательных пакетов при включенной функции Advanced Routing.В связи с этим были проблемы работы DHCP-сервера от Windows.Ошибка работы мастера смены тарифов для групп.Ошибка работы задачи добавления оплаты - рестарта сессии: не выполнялась, если в ней небыла задана хотя бы одна группа.И прочие.



Реализована операция сброса по умолчанию, а также загрузок для некоторых разделов

конфигурации:

Все "Описания";

"Общие настройки прокси-сервера";

"Внутренний и внешний сетевой экран";

"Внешние счетчики";

Все настройки WWW-сервера плюс отдельно для разделов и перенаправлений.

В консоли добавлена возможность выборки нескольких строк в списках (так называемый

"Мультиселект"), для которых везде доступны операции удаления и другие. В мониторе

работы почти все действия доступны для нескольких клиентов сразу.


Настройки описаний уровней фильтрации F1-F4 перенесены в окно общих настроек клиентов.У клиента настройка "Запрещен" и режимы доступа ("Безлимитный" и "Автоотключение")сделаны отдельно.В мониторе работы запрещенные клиенты теперь по умолчанию не отображаются.При добавлении или запуске клиента и конфликте параметров авторизации клиент неизбежно

8Traffic Inspector

© 2003 - 2010 SMART-SOFT

переводится в состояние "Запрещен".


Ошибка старта модулей расширения, которая возникала при переносе настроек программы сизменением файлового пути.Ошибка обрыва TCP-соединений при любом изменении настроек клиента, группы ифильтров. Проявляется при перенаправлении трафика функцией Advanced Routing.При переходе с версии 1.1.5 и работе с внешним SQL-сервером не всегда корректнопереносились данные о клиентах, в результате чего отчеты по ним были недоступны.

Обновление 1.1.6.613 beta 3


Реализован планировщик заданий. В настоящее время доступны задания на сброс внешнихсчетчиков и рестарт сессий биллинга для групп, клиентов и групповых счетов, а такжедобавление оплаты. Ранее эти задачи выполнялись внешними средствами - например,запуском скриптов автоматизации планировщиком Windows.В настройках планировщика добавлен режим ежемесячного запуска.Описания IP-сетей: добавлена функция конвертации списков для формата BGP-export list.Задача очистки данных: перед операцией сжатия базы данных проведена проверка наличиясвободного места на диске.

Обновление 1.1.6.611 beta 3


В службе Traffic Inspector реализован механизм сохранения профилей настроекпользователей.Доработки в веб-портале: добавлено сохранение настроек в профилях.Доработки в веб-портале: добавлены страницы для управления личными настройками.В консоли реализована поддержка модульной справочной системы: документы справок ототдельных MMC-модулей теперь объединяются в один.Новая справочная документация. Реализована автоматическая загрузка списков в описаниях IP-сетей и URL. Используетсяпротокол HTTP.

1.2.2 Новая версия 2.0

Произведен сертификат соответствия связи (ССС) для новой версии Traffic Inspector 2.0.В консоли реализован монитор работы для внешних счетчиков.

1.2.3 Новая версия 1.1.6

Встроенная SQL-база данных (БД) для записи данных биллинга и журналов.Реализована работа с дополнительной внешней БД на базе MS SQL Server 2005/MS SQLExpress. Расширенные встроенные операции обслуживания сервера: контроль свободного места надисках, резервное копирование, очистка данных. Планировщик заданий.Реализованы групповые счета, куда могут входить как пользователи, так и их группы. Возможно создание множества тарифов. Изменения стоимости трафика фильтрами производятся на основании тарифа. Установка лимитов для пользователей и групповых счетов на день, неделю, месяц. Встроенный WWW-сервер: возможно отключение SSL.Обновлен web-интерфейс клиента и администратора. Все отчеты, в том числе для консоли,производятся на базе web-интерфейса.Реализована поддержка множества IP-адресов для хоста в разделе "Описание / IP-сети".Изменен API программы.Антивирус Касперского: использована новая 8-я версия антивирусного движка.

9 Traffic Inspector


1.3 О программе

1.3.1 Краткий обзор

Программа Traffic Inspector предоставляет комплексное решение подключения Сети илиперсонального компьютера к сети Интернет, обеспечивает сетевую защиту, точный учет истатистику использования подключения каждого пользователя, а также гарантирует эффективную экономию трафика и времени за счет кэширования, управляемой блокировкибаннеров и нежелательных ресурсов.

Ставшая популярной, услуга широкополосного высокоскоростного доступа в сеть Интернетставит важную задачу учета потребляемого трафика как платного ресурса. При большихскоростях передачи данных и дорогом трафике плохой контроль использования Интернетаведет к значительным издержкам, а иногда - к невозможности использовать такоеподключение. Административные меры ограничения трафика в организациях путем простогозапрета неудобны для сотрудников и не всегда эффективны. Если же речь идет опредоставлении платных услуг сети Интернет, то без системы биллинга вообще не обойтись.

Серверная часть программы Traffic Inspector реализована только под платформу Windows,однако клиенты могут использовать любую операционную систему без ограничений.Программа легко устанавливается, настраивается и управляется; кроме того, имеютсясредства удаленного управления. Для настройки программы не требуются дополнительныезнания и квалификация - любой специалист, способный установить Windows, настроить Cеть иподключиться к сети Интернет, без проблем настроит и эту программу.

В Traffic Inspector мы постарались реализовать большинство задач, возникающих приподключении к Интернету по выделенному каналу. Эти задачи можно разделить следующимобразом.

1. Обеспечить доступ в сеть Интернет из внутренней сети. Смотрите краткий обзориспользуемых технологий.

2. Авторизация и разграничение доступа пользователей.3. Биллинг: тарификация пользователей и блокировка доступа при перерасходе трафика.4. Обеспечить пользователей средствами самостоятельно контролировать свою работу в

Интернете.5. Сетевая защита: закрыть сервер доступа и внутреннюю сеть от несанкционированного

доступа извне.6. Подробный анализ сетевого трафика. Учет трафика, потребляемого у провайдера.7. Ограничение скорости работы пользователей или их групп.8. Перенаправление трафика.9. Отключение пользователей от сети Интернет при заражениях сетевыми вирусами.

Полный список возможностей программы представлен в разделе "Характеристики". Реализацияосновных функций подробно описана в следующем разделе.

Данная программа является комплексным решением, но, при необходимости, ее отдельныеслужбы могут быть использованы самостоятельно.

Цены можно посмотреть на сайте разработчика: http://www.smart-soft.ru.

1.3.1.1 NAT и прокси

Рассмотрим обычный случай. Внутренняя сеть подключена через сервер доступа к Интернетуи использует один внешний "белый" IP-адрес (смотрите вариант применения в разделе "Офисная сеть").Задача обеспечения доступа в Интернет из внутренней сети решается, как правило, спомощью NAT или прокси-сервера. Каждый подход имеет свои достоинства и недостатки.

Принцип работы NAT - трансляция IP-адресов и портов в пакетах при прохождении черезсервер. Внутренние IP- адреса подменяются на один внешний. Для доступа через NAT нетребуется настройки клиентских программ - служба прозрачно транслирует все исходящиезапросы наружу. Решение отличается максимальной производительностью и

10Traffic Inspector

© 2003 - 2010 SMART-SOFT

нетребовательностью к ресурсам сервера. Но NAT в базовом варианте не позволяетприложению открывать входящие соединения. Это накладывает ограничения на некоторыепротоколы.

Traffic Inspector использует службу NAT от Windows. Для всех версий Windows - настольныхили серверных - сетевое ядро одинаковое, но службы, конфигурирующие NAT, разные.Имеются ICS (Internet Connection Sharing) - для всех - и RRAS (Routing and Remote AccessServer) - только для серверных версий системы.

NAT может работать в режиме трансляции TCP/UDP-портов или IP-адресов. Если используетсяодин внешний адрес, то применяется трансляция портов. Однако у провайдера можнодополнительно получить группу "белых" адресов - тогда через NAT любой внешний адресможет быть назначен на внутренний. Это удобно в том случае, когда внутри сети находятсякакие-либо сервера и требуется прозрачная трансляция портов без их подмены. Но всегда естьвозможность публикации наружу внутренних серверов, даже на один-единственный внешнийадрес.

HTTP прокси-сервер работает на уровне протоколов приложений и требует соответствующейподдержки со стороны клиентских программ, в том числе их настройки. Через него можноработать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверовSOCKS, через который доступна работа любого приложения, использующее TCP или UDP.Через SOCKS можно открывать как исходящие, так и входящие соединения. Но здесь естьограничение - это необходимость поддержки SOCKS со стороны клиентских программ.

При работе с HTTP для экономии трафика используется прокси-сервер, в котором применяетсякэширование (временное сохранение) переданных объектов - они могут в дальнейшемиспользоваться при повторных запросах. Применение кэширования может увеличить скоростьдоступа при загруженной сети Интернет, что также позволяет экономить трафик.

С помощью прокси-сервера можно реализовать фильтрацию на уровне приложения, например,запретить доступ к какому-либо конкретному ресурсу на сервере или сделать разграничениепо контенту данных.

В составе Traffic Inspector есть HTTP/FTP/SOCKS прокси-сервер. Реализована гибкаяфильтрация, имеется кэширование и возможность ограничения скорости работы. При работечерез HTTP доступен метод работы CONNECT, что позволяет работать с SSL; также спомощью данного метода возможна работа с FTP, электронной почтой и другимиприложениями, которые это поддерживают. Кроме того, осуществляется работа с FTP черезHTTP, при этом клиент использует обычный браузер, получая данные с FTP-сервера в видевеб-страниц.

Есть еще одна возможность подключить сеть к Интернету - получить у провайдера IP-сеть с"белыми" адресами, настроить сервер доступа как роутер и раздать клиентам "белые" адреса. Traffic Inspector может работать и в таком режиме.

1.3.2 Основные функции

Traffic Inspector состоит из нескольких программных компонентов: сервер, веб-приложения(портал), консоль управления, клиентский агент, модули расширения, а также дополнительныеутилиты.

Для работы в составе сервера доступа в сети Интернет серверная часть Traffic Inspector, какправило, устанавливается на компьютер с сетевыми интерфейсами, подключенными квнутренним и внешним (Интернет) сетям. На основе этой программы могут быть реализованыразличные решения - смотрите раздел "Типовые решения".

Сервер Traffic Inspector реализован в виде сервиса, запускаемого автоматически при стартеоперационной системы.

Консоль управления реализована на базе MMC (Microsoft Management Console), дляподключения к серверу использует DCOM - стандартный для Windows механизм, чтопозволяет работать ей удаленно.

11 Traffic Inspector


веб-приложения (портал) реализованы на базе ASP.NET и используют собственный веб-сервер. На нем производятся отчеты, некоторые задачи администрирования, а также личныйкабинет клиента (персональные отчеты).

Клиентский агент: небольшая программа, запускаемая на компьютере клиента. Основная еезадача - авторизация клиента по имени. Используемые в ней методы криптозащиты надежнозащищают компьютер от возможностей перехвата паролей и их несанкционированногоиспользования. Кроме этого, агент решает и ряд других задач: отображает текущее состояниелицевого счета клиента, позволяет оперативно управлять фильтрацией и режимомкэширования, автоматически конфигурирует Internet Explorer.

Модули расширения: дополнительные компоненты (например, антивирусы), расширяющиевозможности программы.

Для знакомства с основными функциями программы и ее различными службами смотритеразделы:

"Внутренняя архитектура";"Интерфейсы и сети";"Авторизация";"Политики доступа": ограничения и фильтрация трафика;"Тарификация (биллинг)";"Ограничение скорости";"Учет внешнего трафика";"Сетевая статистика";"Прокси-сервер и SOCKS";"Маршрутизация";"Почтовые службы" (SMTP-шлюз и служба отправки сообщений);"Сетевой экран (Firewall)".

12Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.3.2.1 Внутренняя архитектура

Для понимания работы программы следует рассмотреть внутреннюю архитектуру.

-Рассмотрим простой вариант: по одному сетевому интерфейсу для внутренней и внешнейcети.

Имеется два основных программных компонента сервера - сетевой драйвер и сервис.

Сетевой драйвер работает на уровне ядра операционной системы. Он включается междудрайвером сетевой карты и протоколом TCP/IP, и через него пропускается весь трафик.Сетевой драйвер имеет возможность этот трафик пропустить, отфильтровать, а такжезадержать в своей очереди, что делается для выполнения задачи регулирования скорости(шейпер). Кроме того, часть трафика снимается и передается сервису программы для егодальнейшего анализа.

У сетевой карты может быть включен режим "прослушки" (promiscuous mode). В этом случаесетевая карта будет принимать не только свои пакеты, но и все другие. При использовании в сети HUB (концентраторов) или управляемых коммутаторов позволяет реализовать учет всеготрафика, циркулирующего в сети, а не только проходящего через сервер.

Система загружает по отдельному экземпляру драйвера на каждый интерфейс. В настройкахсетевых интерфейсов этот драйвер присутствует в списке сетевых служб, и имеетсявозможность его включить или выгрузить индивидуально для каждого интерфейса, снявсоответствующую галку привязки. Если драйвер от интерфейса отвязать, то программа с нимработать не будет. Отвязывать драйвер от интерфейса следует:

При несовместимости драйвера программы с драйвером сетевой карты. Это позволит



запустить и настроить работу программы хотя бы в ограниченном варианте.На сетевом интерфейсе нет IP-трафика. Например, только PPPoE. В этом случае драйверможно отключить, что сэкономит немного оперативной памяти и уменьшит нагрузку напроцессор.Интерфейс не используется в программе.

У WAN-интерфейсов имеются особенности: для них система загружает один общий сетевойдрайвер. В связи с этим в программе реализована отдельная логика работы с несколькимиWAN-интерфейсами, и есть некоторые ограничения по их применению (смотрите раздел "Интерфейсы и сети").

Драйвер программы решает следующие основные задачи:

Маркировка трафика. Для внутреннего интерфейса это тип трафика (внутренний транзитный,внутренний на сам сервер, внешний), соотнесение трафика пользователям (авторизованныйили неавторизованный). Пакеты метятся атрибутами: тарифы, бесплатный, ограничения поскорости, маршрутизация и т.д.Внутренняя буферизация трафика, передаваемого на обработку сервиса программы. Важнаяфункция, т.к. сервис программы в силу загруженности системы бывает не в состояниивовремя забрать все данные. В итоге переполнение буфера повлечет потери данных. Размербуфера задается в настройках программы, и эта настройка может быть использована дляулучшения работы программы в особых случаях.Фильтрация трафика на основе правил (фильтров). Здесь также реализуется логикавнешнего и внутреннего сетевого экрана.Динамическая фильтрация для UDP и FTP-DATA.Ограничение скорости. Осуществляется путем задержки пакетов в очереди. Для решенияэтой задачи производится измерение скорости передачи данных.Перенаправление (редирект) TCP-соединений. Механизм применяется для реализациифункции Transparent Proxy.Переадресация пакетов по виртуальным маршрутам. Используется для реализации функцииAdvanced Routing.Учет трафика по отдельным TCP-сессиям. Учитывается трафик в прокси- и SOCKS-сервере,в так называемом Kernel режиме учета.Блокировка внешних сетей при остановке Traffic Inspector.Определение тега VLAN для принимаемого пакета, а также добавление необходимых теговдля отправляемых пакетов.

Для анализа работы драйвера с него снимаются статистические данные - различные счетчикипакетов и т.д. Данные доступны в списке интерфейсов консоли, а также отдельно в разделе"Диагностики".

1.3.2.2 Интерфейсы и сети

Сервер может иметь несколько сетевых внутренних и внешних интерфейсов, но TrafficInspector видит только те, для которых имеется привязанный драйвер (смотрите раздел "Внутренняя архитектура"). Количество интерфейсов не ограничено. На одном интерфейсеможет быть назначено несколько IP-адресов разных сетей.

Использование NAT не обязательно - сервер может быть настроен как роутер. Режим сетевогомоста (ethernet bridge) не поддерживается.

При конфигурировании программы выбираются интерфейсы внутренних и внешних сетей.Функциональное назначение этих сетей в программе разное: смешанные варианты работы,например, на одном интерфейсе, не поддерживаются.

К сетевым интерфейсам разных сетей привязываются следующие службы программы:

Для внутренних сетей: сервер авторизации, биллинг, внутренний сетевой экран, HTTP-проксии SOCKS-сервер.Для внешних сетей: внешние счетчики, внешний сетевой экран, SMTP-шлюз.

Для внутренних сетей существует особый интерфейс - внутренний. Он назначается на адрес127.0.0.1 и всегда подключен.

14Traffic Inspector

© 2003 - 2010 SMART-SOFT

Встроенный веб-сервер работает на всех сетевых интерфейсах.

WAN-интерфейсы и ограничения их использования

WAN-интерфейсы - это сеансовые сетевые соединения через модемы, VPN, PPPoE и т.д. ВWindows WAN-интерфейсы могут быть:

1. Исходящие, созданные в окне сетевых соединений Windows.2. Исходящие, сконфигурированные как Dial Demand в службе RRAS.3. Входящие (Dial-In) для RAS-сервера службы RRAS.4. Входящее (Dial-In), созданное в окне сетевых соединений Windows.5. Двухсторонние Dial Demand-соединения в службе RRAS.

В силу специфики архитектуры операционной системы и самой программы Traffic Inspectorдля WAN-интерфейсов есть ограничения:

Traffic Inspector поддерживает корректную работу с первыми тремя типами соединений.Интерфейсы исходящих соединений могут быть назначены только как внешние.Интерфейс RAS-сервера может быть назначен только как внутренний. Это делаетсяавтоматически.Для RAS-сервера должен быть обязательно назначен отдельный пул IP-адресов, непересекающийся с сетями других интерфейсов.

Существенным недостатком приведенные выше ограничения не являются, т.к. все типовыезадачи решаются первыми тремя вариантами соединений.

Если WAN-интерфейс в программе не назначен, то трафик через него будет блокироваться.Для исходящих соединений этого можно избежать, отключив в настройках соединениядрайвер программы. Но для Dial-In интерфейса в системе такого не предусмотрено, поэтомуработа c RAS-сервером в программе должна быть всегда настроена, прозрачно отвязать этуслужбу от Traffic Inspector не получится.

Привязка интерфейсов и их автоматический выбор

Интерфейсы в программе идентифицируются по двум параметрам - внутреннему системномуидентификатору и имени. Если один из параметров меняется, то программа при привязкеиспользует другой. Это позволяет переименовывать сетевые интерфейсы в Windows безповторной настройки их в программе, а также переносить настройки. Важно, чтобы именаинтерфейсов и сетевых соединений были уникальны - Windows эту уникальность невсегда корректно отслеживает.

В программе предусмотрена функция автоматического определения внешнегоинтерфейса - он выбирается по критерию наличия на нем маршрута по умолчанию. Приустановке программы эта опция включена. Если в системе появляется новый внешнийинтерфейс - он сразу автоматически назначается как внешний.

Существует функция автоматического назначения всех исходящих WAN-соединений каквнешних.

Программа отслеживает изменение любых сетевых настроек: активности интерфейсов, IP-настройки, маршрутизация и т.д. При этом она автоматически перестраивает работу всех своихслужб. Происходит сброс всех сессий прокси-сервера, SOCKS и почтового шлюза. Крометого, на короткое время отключается сервер авторизации, и может блокироваться весь трафик.Поэтому, если имеются очень нестабильные сетевые интерфейсы и соединения (например,радиокарта или модем KTV, которые очень часто теряют активность), возникают проблемы.Процесс отработки изменения сетевых настроек отражается в логах, что всегда можнопроконтролировать.

Внутренние сети



При назначении интерфейса внутренней сети ему можно назначить тип сети - локальная илипубличная.

Локальная сеть - это внутренняя сеть, находящаяся под полным контролем администраторасети. Публичная - внутренняя сеть, например, домовая, к которой подключены клиенты, и вней требуется применение особых мер защиты в связи с тем, что из нее возможны различныенесанкционированные действия. Это две предопределенные группы интерфейсов сетей, длякоторых можно отдельно задать некоторые настройки:

Внутренний сетевой экран: по умолчанию для публичной сети включен, для локальнойотключен.Фильтры и правила: в них можно указать, для какого типа сети они будут применимы.

Маркировка трафика и маршрутизация

Все сетевые пакеты, идущие через драйвер внутренних интерфейсов, маркируются как:

Локальный трафик на сам сервер: трафик между хостами внутренних сетей на все IP-адреса всех сетевых интерфейсов сервера (внутренних и внешних). По умолчаниюразрешен. Управляется настройками фильтров или внутренним сетевым экраном.Внутренний транзитный трафик: трафик между хостами внутренних сетей, который идетчерез роутер сервера. Он может идти как через разные внутренние интерфейсы, так и черезодин, если на нем назначено несколько отдельных сетей. По умолчанию разрешен.Управляется настройками фильтров или внутренним сетевым экраном.Внешний трафик: трафик с хоста внутренней сети наружу. Внешним трафиком считаетсятот, который не промаркирован как локальный или внутренний транзитный. По умолчаниюразрешен только для авторизованных клиентов. Дополнительно управляется настройкамифильтров.

Для определения, что трафик внутренний, используется анализ таблицы маршрутизациисистемы. При этом берутся маршруты интерфейсов, назначенные в программе как внутренние.Поэтому очень важно исключить ошибки в маршрутизации системы, т.к. они полностью могутнарушить работу логики программы. Например, не допускается назначение маршрутов поумолчанию на внутренних интерфейсах.

Анализом маршрутов также решается задача авторизации для Dial-In клиента, если черезнего подключается одна или несколько сетей.

Внешние сети

Для внешних сетей имеет место быть случай, когда исходящие и входящие пакеты снимаютсяс разных интерфейсов. Это возможно при работе через спутник. Здесь необходимо указатьинтерфейс, на который принимаются пакеты. Для спутникового Интернета - это DVB-карта.

Блокировка внешних сетей при остановке программы

В драйвере программы есть функция блокировки трафика при остановке службы программы.Цель - отключить Интернет и предотвратить неконтролируемую работу клиентов, еслипрограмма не запущена или при ее работе произошел сбой. Под сбоем следует понимать нетолько остановку службы, но и серьезные ошибки в ее работе. При этом блокируются сетевыеинтерфейсы, назначенные в программе как внешние, а также все WAN-интерфейсы.

Функция блокировки может быть отключена.

Поддержка виртуальных Ethernet-сетей (VLAN) на базе протокола

IEEE 802.1Q

Для внутренних сетей имеется встроенная поддержка VLAN - виртуальных Ethernet-сетей.Протокол IEEE 802.1Q описывает расширение заголовков Ethernet-пакетов, где добавляетсядополнительная информация в виде тега (отметки) о номере VLAN-сети. Номер VLAN может

16Traffic Inspector

© 2003 - 2010 SMART-SOFT

быть задан от 1 до 2047.

Со стороны клиента добавление тега может производиться путем использованияуправляемых коммутаторов с поддержкой этой функции или программно, если нет поддержкидрайвера сетевой карты.

Traffic Inspector, со своей стороны, поддерживает следующие функции:

1. Определение для принимаемых пакетов наличия в них тега VLAN.2. Запись и отображение номера VLAN в сетевой статистике.3. Контроль политики авторизации клиента по номеру VLAN. Если в настройках клиента задан

номер VLAN, но он не совпадает с тегом VLAN принимаемых от него пакетов (например,клиент подключился через другой порт коммутатора), то клиент может быть заблокирован, аадминистратор сети оповещен - об этом смотрите раздел "Авторизация" в разделе проконтроль политики авторизации.

4. Если в сети для клиента порт коммутатора настроен в "закрытом" режиме (т.е. пропускает наклиента пакеты только с его номером VLAN), то драйвер программы может сам добавлять впакеты соответствующие теги.

Функции по пп.3 и 4 доступны исключительно при наличии лицензии на версию PRO илиGOLD. В других версиях лицензии доступны функции только по пп.1 и 2.

1.3.2.3 Авторизация

Авторизация - это решение задачи, чей это трафик. В программе поддерживаются следующиетипы авторизации:

По сетевым адресам: IP, MAC, IP + MAC, диапазон IP-адресов.По имени.По e-mail адресу получателя: используется в SMTP-шлюзе для учета почтового трафикаклиента (смотрите далее).

При авторизации по сетевым адресам клиент всегда считается авторизованным, т.к. егоадреса заранее известны. Этот тип авторизации наиболее подходит, например, к серверам.

При авторизации по имени клиент должен пройти аутентификацию.

Трафик в программе снимается двумя способами: с сетевого драйвера и прокси-сервера(HTTP и SOCKS). При соединении клиента с прокси-сервером через HTTP-прокси или SOCKSверсии 5 используется аутентификация в рамках сетевого протокола. В трафике, снятом сдрайвера, никакой аутентификации не подразумевается - в этом случае для авторизации могутиспользоваться только сетевые адреса - IP и MAC.

Для реализации возможности авторизации по имени для любого трафика применяется принципсквозной авторизации. Из чего следует, что если с какого-то IP-адреса клиент прошелпроцедуру аутентификации, то в дальнейшем весь трафик с этого IP-адреса уже относится кданному клиенту. Состояние авторизации клиента будет удерживаться некоторое время - втечение заданного в настройках тайм-аута или пока не закроются все TCP-соединения HTTPпрокси-сервера или SOCKS.

Для более общего случая работы клиента предусмотрена отдельная программа - клиентскийагент. Агент запускается на компьютере клиента, производит аутентификацию с серверомпрограммы, и после этого весь трафик с IP-адреса клиента считается авторизованным.

Агент может работать по протоколам:

UDP с сервером авторизации. Используется порт 999. Сервер авторизации доступен на всехIP-адресах внутренних интерфейсов. HTTP/SSL, c использованием встроенного веб-сервера. Подробности смотрите в разделе,где он описан.

Можно пройти авторизацию с помощью функции API, с возможным использованиемсторонними приложениями.



При авторизации по имени допустима аутентификация:

Встроенная учетная запись: имя и пароль задаются в программе. При аутентификацииагентом по UDP данные шифруются, но для HTTP (без SSL) и SOCKS5 пароли передаютсяоткрытым текстом - тип аутентификации BASIC. Клиенту может быть предоставлено правосамому менять пароль через агента.Интегрированная Windows-аутентификация: применяются встроенные учетные записиWindows или Active Directory. Поддерживается работа с несколькими доменами. Приаутентификации агентом используется NTLM, а для HTTP - как NTLM, так и BASIC.

Вариант авторизации по имени наиболее предпочтителен, т.к. позволяет вести учет, в какомслучае несколько пользователей работают на одном компьютере, а в каком - пользовательможет работать на разных компьютерах. Это типичная ситуация при работе в сети предприятия.

Для провайдера при подключении клиентов к сети Интернет (например, домовой сети) такжерекомендуется авторизация по имени, т.к. IP-адрес или MAC очень легко подделать.Предпочтительней обратиться к агенту - он для аутентификации использует методыкриптозащиты. С целью лучшей защищенности предусмотрена возможность запретитьаутентификацию открытыми паролями через прокси, встроенный веб-сервер или SOCKS.

Авторизация по имени подразумевает работу одновременно только с одного IP-адреса.Попытка войти под именем клиента, который уже работает, с другого IP-адреса, будетпресечена.

Также недопустима авторизация нескольких клиентов с одного IP-адреса - нарушаетсяпринцип сквозной авторизации. Хотя в некоторых случаях это может потребоваться: например,при работе нескольких клиентов с сервера терминалов. Для такого случая предусмотрензапрет сквозной авторизации с определенных IP-адресов. В этом режиме возможна работатолько через HTTP-прокси и SOCKS с обязательной аутентификацией в каждой HTTP-(SOCKS-)сессии.

Ограничения авторизации и контроль политики

При авторизации по имени можно задать ограничения:

IP-адрес или диапазон адресов, с которых допускается авторизация.MAC-адрес.VLAN Id.

Может быть включен контроль политики авторизации - будут фиксироваться все попыткиавторизации при несовпадении сетевых адресов, заданных в параметрах авторизации клиента.Эти события фиксируются в логах программы, администратор может быть оповещен поэлектронной почте, а подробные данные учитываются в отдельной сетевой статистике.

В качестве предупреждающей меры клиент может быть автоматически заблокирован назаданное время.

Если у клиента в параметрах авторизации прописан MAC- и IP-адрес, то может быть включеноназначение статических ARP-записей в стеке TCP/IP системы. В таком случае службапрограммы сама создает и ведет ARP-таблицу системы. Эта мера ускоряет работу сети, т.к.системе не надо рассылать ARP-запросы, а также значительно повышает безопасность сети вцелом.

Программа отслеживает появление клиентов с параметрами авторизации, которые дублируютдруг друга. Такое возможно при ошибках администратора, что позволяет исключить различныеколлизии. Если авторизация по имени, то отслеживается уникальность имени; еслиавторизация по сетевым адресам, то по ним. Уникальность не отслеживается для клиентов всостоянии "запрещен", что позволяет держать в списке несколько клиентов одинаковымипараметрами авторизации, но работа разрешена будет только одному.

Автоматическое добавление клиентов

18Traffic Inspector

© 2003 - 2010 SMART-SOFT

Для клиентов Windows может быть использована функция автоматического добавленияклиентов в программу. Эта возможность упрощает труд администратора программы прибольшом количестве клиентов. Заменяет инструменты импорта клиентов из Windows, делая этузадачу более удобной. Подробнее функция описана в разделе настроек клиентов.

1.3.2.4 Политики доступа и фильтрация

Если клиент авторизован, то по умолчанию его работа ничем не ограничена: внешний TCP-,UDP- и ICMP-трафик разрешен.

Для клиентов могут быть применены различные ограничения, они могут быть общими или длягруппы:

Ограничения авторизации: смотритепредыдущий раздел "Авторизация".По дате: для клиента настройка индивидуальная. Позволяет прописывать временныйдоступ, полезен для реализации некоторых тарифных планов.По расписанию: можно задать разрешение работы по дням недели и часам суток.Возможно использование отдельных служб программы. Запрещение прямого трафика(Direct) заблокирует работу через NAT. Можно запретить работу через прокси-сервер. ДляSOCKS есть возможность запретить работу полностью или только входящие TCP-соединения (Bind).По скорости работы: реализуются ограничения как по трафику, так и по пакетам. Смотритераздел "Ограничение скорости".По количеству TCP-сессий: доступна индивидуально, для группы или общая для всех.Смотрите далее подраздел "Ограничение количества TCP-сессий".По типу трафика: далее фильтрация.

Фильтры

В программе фильтрация реализуется двумя способами:

1. IP-фильтрация на уровне драйвера. В качестве критериев задаются IP-адреса, IP-протоколы и порты.

2. Фильтры приложений с анализом HTTP-контента. Работает только через HTTP прокси-сервер.

Соответственно способам, предусмотрены фильтры двух типов:

1. IP-фильтры: применяются для любого трафика - прямой (NAT), HTTP-прокси, SOCKS.2. Фильтры приложений: применяются только для трафика через HTTP-прокси.

По типу действий фильтры могут быть:

На разрешение.На запрещение.На запрещение в зависимости от уровня фильтрации, заданным клиентом (F1-F4).Предусмотрено четыре уровня фильтрации, и клиент сам через агента может включитьнужный ему уровень. Клиент может задать степень ограничений - это полезно дляреализации задач экономии трафика.Другие действия: фильтры, кроме задачи фильтрации, могут управлять маркировкойтрафика - наценки (скидки), маршруты, ограничения скорости и т.д.

В качестве критерия сетевых адресов в фильтрах используются такие понятия, как адресисточника и адрес назначения.

Адрес источника: это хосты внутренней сети. В правилах они не задаются явно,используются данные авторизации. В зависимости от того, относится ли трафик кавторизованному клиенту или нет, имеются следующие типы фильтров:

Для всех: применяется независимо от того, относится ли трафик к авторизованному клиентуили нет.



Для "не клиентов": только для неавторизованного трафика.Для клиентов: только для авторизованного трафика. Случай предусматривает возможностьприменить фильтр как для всех клиентов, так и для отдельной группы.

В качестве адреса назначения могут быть:

Сам сервер. Фильтр применяется для всех IP всех интерфейсов сервера.IP-адрес или сеть.Список. Используются описания IP-сетей. В описаниях могут быть заданы одиночные IP-адреса, сети, а также имена хостов. В последнем случае программа сама путем DNS-запросов будет преобразовывать имена в IP-адреса.Любой трафик. Все, кроме трафика, на сам сервер.

В фильтрах могут быть заданы другие условия - тип IP-протокола и TCP/UDP-порты.

Фильтры приложений

В фильтрах приложений, кроме вышеперечисленных, доступны функции на основе анализаHTTP-контента:

Тип протокола приложений. Это HTTP, HTTP/CONNECT и FTP. Под HTTP понимается любойтрафик через HTTP-прокси, если он не FTP или не используется метод CONNECT. FTP - этодоступ через HTTP-прокси к FTP через метод GET, а также на TCP/21 через SOCKS.Фильтрация на основе анализа запроса (URL) с использованием выражений regularexpressions. Могут применяться списки.Фильтрация на основе типа контента. Тип контента определяется по типу файла в запросе(расширение имени) или данным в HTTP-атрибуте отклика (Content-Type).Редирект, или подмена ресурса. Смотрите описание прокси-сервера.

Более подробно все настройки фильтров описаны в разделе "Администрирование".

Логика применения фильтров

По умолчанию для не клиентов трафик разрешен:

На сам сервер, если не включен внутренний Firewall. Если включен внутренний сетевой экран, то на сам сервер может быть разрешен трафик дляDNS-, DHCP- и VPN PPTP-сервер в соответствии с включенными опциями. Естьвозможность отдельно разрешить IPSec. Для решения задачи администрированиявнутренней сети с самого сервера можно отдельными опциями разрешить исходящиеICMP-, UDP- и TCP-запросы. Все эти настройки распространяются только на трафик междусамим сервером и хостами внутренней сети. Имеются также две настройки, позволяющие для всех разрешить трафик между локальнымии публичными внутренними сетями. Данные о сетях берутся на основании таблицымаршрутизации.

Также есть два списка фильтров:

Разрешающие для всех.Запрещающие для не клиентов. Они имеют приоритет над разрешающими фильтрами длявсех.

Если включен внутренний сетевой экран, то разрешающие фильтры для всех на любой адресназначения на сам сервер трафик не разрешают. Для разрешения доступа на сам серверследует прописать разрешающий фильтр как на сам сервер, причем в списке такие фильтрынадо обязательно поместить выше других разрешающих. В остальных случаях порядокфильтров в этих двух списках на логику работы не влияет, но может повлиять напроизводительность - менее ресурсоемкие фильтры стоит помещать в начало списка.

Для клиентов, при применении фильтров, используется логика единого списка -разрешающие, запрещающие и другие типы фильтров при анализе пакета обрабатываютсяпоследовательно строго в зависимости от их порядка, заданного в списке консоли, причем

20Traffic Inspector

© 2003 - 2010 SMART-SOFT

порядок разных типов фильтров может быть произвольным. Это позволяет реализоватьпрактически любую логику фильтрации и произвольно переопределять параметры.

По умолчанию для клиента трафик наружу разрешен. Но для группы есть возможностьзапретить трафик по умолчанию. В этом случае у клиента должны обязательно присутствоватьразрешающие фильтры.

Логика просмотра списка следующая. Просмотр идет с начала списка и до первогоразрешающего или запрещающего фильтра. Если фильтр содержит параметр действия, то онприменяется один раз - с учетом того, что ранее при просмотре списка он не был применен.Под параметрами здесь понимаются дополнительные действия, задаваемые в фильтре:

Изменение стоимости трафика: можно сделать бесплатным или применить к нему другойтариф. Не использовать этот трафик для определения скорости: имеет приоритет переддругими параметрами шейпера. Трафик будет сразу применен, если был разрешен длявсех. Переопределение скорости: переопределяется только для статического регулятора; длядинамического же(суммарное ограничение скорости для группы) возможностипереопределить скорость нет. Поднятие приоритета трафика: ограничение скорости и приоритет - два отдельныхпараметра шейпера. Применяются отдельно, т.е. их можно задавать отдельнымифильтрами. Роутинг: выбор внешнего интерфейса. Смотрите "Advanced Routing".

Единый список фильтров клиента в консоли разбит на три в порядке их просмотра при анализепакета трафика:

Клиенты, Фильтры, До группы: не применяется, если в группе у клиента нетИспользовать общие фильтры. Группы, Клиенты, Фильтры, если клиент в группе. Клиенты, Фильтры, После группы: не применяется, если в группе у клиента нетИспользовать общие фильтры.

Помещение общих фильтров в первый или третий список меняет их приоритет относительносписка группы.

Параметры ограничения скорости, заданные в настройках клиента, имеют низкий приоритетперед фильтрами - фильтры их всегда переопределяют.

Для клиента, у которого включено является администратором, внутренний сетевой экранотключается; а также к нему не применяются фильтры на запрет. Это исключает ситуациюпотери контроля над сервером при удаленном администрировании, если были допущеныошибки в процессе настройки фильтров. Настройка распространяется только на IP-фильтры;для фильтров приложений запрещающие правила действуют обычным образом.

Если трафик подпадает под фильтры списка для всех (смотрите выше), то он всегдасчитается бесплатным и направляется мимо шейпера. То же самое к любому трафику впределах внутренних сетей.

Ограничение количества TCP-соединений

В драйвере программы ведется подсчет количества TCP-соединений клиента. Запись о сессииоткрывается по TCP-пакету с флагом SYN, а закрывается по пакетам с FIN или RST. Таймаутсессии - 15 минут.

В прокси-сервере и SOCKS количество TCP-соединений определяется по количеству сессийна сервере, в которых была произведена авторизация клиента.

TCP-сессии не учитываются для трафика:

На сам сервер.



Внутрисетевой транзитный трафик.Трафик, разрешенный фильтрами для всех.

При срабатывании ограничения по количеству TCP-соединений:

С HTTP-прокси выдается страница с сообщением. Для изображений или флэш-анимацийвозвращается пустой объект, что обеспечивает относительно корректное отображение HTML-страницы, элементы которой были частично заблокированы.Для прямого трафика пакеты фильтруются.

Текущее количество TCP-соединений отображается в мониторе работы, отдельно для прямоготрафика (NAT) и отдельно для прокси (SOCKS).

1.3.2.5 Тарификация

Для учета трафика используются:

Пакеты, снятые сетевым драйвером на внутренних интерфейсах; Данные, идущие через HTTP прокси-сервер или SOCKS; Сообщения, принятые SMTP-шлюзом и переданные на е-mail адрес клиента, прописанный вего настройках.

Трафик в байтах измеряется подсчетом длины Ethernet-пакетов. Есть возможность вести учеттолько по длине IP- пакета, при этом не учитывается длина заголовка Ethernet - 14 байт напакет. Эту опцию следует использовать, если вышестоящий провайдер ведет учет по чистомуIP-трафику. Если провайдер ведет учет трафика по WAN- протоколам (PPP, Frame Relay, HDLCи др.), то целесообразно учет Ethernet-заголовков включить - размер заголовков Ethernet-пакета и большинства WAN-протоколов примерно сопоставим, и сходимость данных спровайдером будет более полной.

HTTP прокси-сервер, SOCKS и SMTP-шлюз работают на уровне приложения ОС и фиксируютданные TCP-протокола без учета заголовков пакетов. Для точного учета такого трафикаимеется механизм учета на уровне драйвера программы. Подробнее об этом смотрите в описании работы прокси-сервера.

По умолчанию весь трафик считается платным, исключая:

Трафик на сам сервер: под ним понимается трафик на все IP-адреса всех интерфейсовсервера.Внутрисетевой транзитный трафик: трафик между всеми IP-сетями всех внутреннихинтерфейсов. Данные о сетях берутся на основании таблицы маршрутизации.

Учет трафика в программе производится в рамках счета. Счет - это набор внутреннихсчетчиков, где суммируются данные в байтах и пакетах, начиная с момента старта сессиибиллинга. В других системах сессия биллинга называется и как биллинговый период.

Счет имеет каждый клиент программы. Плюс есть групповые счета, которые объединяютнесколько клиентов. Каждая порция трафика, отправляемая для тарификации, идет на счетклиента и все групповые счета, в которые входит данный клиент.

Существуют счетчики, на основании данных которых производится тарификация:

Входящий и исходящий трафик в байтах.Трафик, считанный клиентом из кэша прокси-сервера.Почтовый трафик.

Кроме того, есть дополнительные счетчики, которые для тарификации не используются. Ихданные необходимы для вывода различной диагностической информации.

Тарификация производится на основании данных тарифа. Тариф - это набор правил дляначисления денежных средств. Помимо правил тарификации трафика, в настройках тарифаесть параметры тарификации по времени работы (абонентская плата), лимиты и другие. Обэтом смотрите далее.

22Traffic Inspector

© 2003 - 2010 SMART-SOFT

В настройках тарифа имеется единица стоимости. Это могут быть мегабайты, рубли,доллары, у.е и другая произвольная единица. На тарификацию никакого действия этотпараметр не оказывает - используется только для отображения единицы измерения.

В программе есть возможность произвести тарификацию разного типа трафика по разнымтарифам. Условия выборочной тарификации задаются в фильтрах - смотрите предыдущийраздел.

Для каждого тарифа у счета предусмотрен отдельный набор счетчиков. Есть основной - длятарифа, заданного в настройках клиента, и дополнительные - для разного типа трафика,заданного в фильтрах.

При тарификации трафика у тарифа используются параметры:

Тип учета трафика: только входящий, только исходящий, по сумме и по максимальномузначению.Скидка (наценка) на исходящий трафик: используется для реализации тарифа сотдельной стоимостью входящего и исходящего трафика.Цена трафика: по умолчанию 1, т.е. подразумевается тарификация в мегабайтах.Предоплаченный трафик.Стоимость трафика из кэша, в %: по умолчанию бесплатный (0%).Стоимость почтового трафика, в %: по умолчанию полностью платный (100%).

При расчете стоимости трафика сначала вычисляется общий входящий и общий исходящийтрафик клиента. Для общего входящего трафика суммируются данные счетчика входящеготрафика, данные из кэша (с учетом стоимости, в %) и данные почтового трафика (также сучетом стоимости, в %). Для общего исходящего трафика суммируются данные счетчикаисходящего трафика с учетом скидки (наценки) за исходящий, а также исходящаясоставляющая обмена в рамках SMTP-протокола, зафиксированная при приеме сообщениячерез SMTP-шлюз.

Далее из полученного общего входящего и исходящего трафика вычисляется начисленныйтрафик исходя из типа учета трафика и предоплаченного трафика. Если значениепредоплаченного трафика задано, то, пока клиент не израсходует его, трафик начисляться небудет. Если в тарифе задан учет только исходящего трафика - в начисленный трафик значениетрафика из кэша не попадет. Начисленный трафик тарифицируется в мегабайтах. Вычисляемыезначения трафика отображаются с точностью до трех знаков, хотя при расчетах никакихокруглений не производится.

Сумма за трафик вычисляется на основании начисленного трафика и цены. Далее сумма затрафик суммируется по всем наборам счетчиков - основному и дополнительным тарифам.

Следует отметить, что у основного и дополнительных тарифов могут быть разные единицыстоимости. Так как в процессе тарификации эта единица никак не учитывается, такое"перемешивание" единиц остается полностью на усмотрении администратора. Приотображении всех данных счета всегда используется единица стоимости основноготарифа.

Для каждого набора счетчиков - основному и дополнительным - ведется учет лимитов.Имеются суточные, недельные и месячные лимиты, которые задаются в настройках тарифа.Лимит может задаваться как в трафике (мегабайт), так и в единицах тарификации. Если лимитызадаются в данных трафика, то учитывается начисленный трафик - иначе берется сумма затрафик. В случае переполнения лимита клиент будет заблокирован.

Есть возможность тарифицировать время работы клиента, настройки тарификации для этогоберутся из основного тарифа. Предусмотрено два режима начисления абонентской платы:

Начисляется плата за реальное время работы: учитывается посекундно только то время,когда клиент активен, т.е. авторизован. В тарифе задается стоимость за час работы.Начисляется посуточная абонентская плата за все рабочее время сессии, независимо отсостояния клиента. Для временного приостановления начисления абонентской платы можно



перевести клиента в состояние "пауза". В тарифе задается стоимость за сутки работы.

Следует отметить, что начисление абонентской платы можно реализовать также заданиями.

У каждого счета есть значение оплаты. Баланс счета определяется как оплата минуссумма за трафик и начисленная сумма за время работы.

Если счет имеет безлимитный доступ, то наличие отрицательного баланса на его работу невлияет. Иначе счет будет заблокирован по балансу. Для счета клиента возможна работа вкредит. Для этого в основном тарифе необходимо задать размер кредита. Счет не будетблокироваться, пока его баланс не будет меньше размера кредита. Можно настроить клиентуотдельные политики доступа, в зависимости от того, работает клиент в кредит или нет:

В фильтрах имеется условие его применения в зависимости от этого состояния клиента. Для группы можно отдельно запретить весь трафик по умолчанию для клиента, работающегов кредит.У клиента в его настройках при работе в кредит можно отдельно выставить ограничения поскорости.

Программа производит полный пересчет всех данных тарификации по каждой новой порциитрафика, поступающих на счет. Работает принцип: изменились счетчики трафика в счете - исразу все пересчиталось. Этим она отличается от других биллинговых систем. Такой подходимеет свои особенности:

Любое изменение данных тарифов приведет к немедленному пересчету всех данныхбиллинга. В других системах биллинга для корректировки тарифов задним числом надозапускать сложную процедуру пересчета.Если пересчет тарификации задним числом не нужен, то можно закрыть текущую сессиюбиллинга, переключить тариф и запустить новую. Это называется рестарт сессии биллинга. Реализуется как с переносом остатков, так и без. В программе для упрощения описанныхопераций имеется специальный мастер.Если изменение тарификации было произведено задним числом в рамках одной сессиибиллинга, то работа с отчетами несколько усложняется.

Для каждого счета имеется три состояния работы:

Работа разрешена: он может работать. Если клиент авторизуется по имени, то для началаработы счет должен еще авторизоваться.Пауза: работа клиента приостановлена, данные его счета сохраняются. Начислениеабонентской платы приостанавливается. Почтовые сообщения при этом могут приниматься/не приниматься - в зависимости от настроек почтового шлюза.Стоп: работа остановлена. Данные счета полностью очищаются, но баланс запоминается воплаченной сумме и может быть использован для переноса при старте следующей сессиибиллинга.

Настройки счетов (клиентов и групповых счетов) и данные биллинга хранятся в программеотдельно. Для настроек используются XML-файлы конфигурации, а текущие данные хранятся вбазе данных встроенного SQL-сервера main.db3 (используется SQLite). Потеря или порчафайла базы данных приведет к потери данных биллинга - файл будет создан заново, все счетабудут обнулены и их работа по умолчанию остановлена.

Данные биллинга периодически записываются в базу данных журнала - файл log.db3. Онииспользуются для формирования отчетов. Потеря или порча этого файла приведет кневозможности формирования отчетов за определенный период времени.

Запись данных биллинга в журнал обязательно производится по изменению состояниянастроек счета, а также раз в сутки. Данные счетчиков записываются только понеобходимости, когда их значение изменяется. В настройках счета можно также задатьпериодичность записи данных в журнал - данные в этом случае будут писаться с заданнымпериодом, если есть изменение счетчиков трафика. Чем чаще пишутся данные, тем с большейдетализацией можно построить отчет. По умолчанию задается интервал 10 минут.

24Traffic Inspector

© 2003 - 2010 SMART-SOFT

Изменение списка дополнительных тарифов

Есть ряд важных вопросов, связанных с изменением списка дополнительных тарифов у счета,который работает, т.е.не остановлен. Список дополнительных тарифов счета строится наосновании фильтров, имеющих соответствующие настройки. Учитываются все фильтры - какобщие, так и для группы, которые не запрещены. Для каждого дополнительного тарифаимеется отдельный набор счетчиков, которые учитывают данные с начала сессии биллинга.Данные счетчика находятся в памяти программы и хранятся в базе данных биллинга.

Если меняются настройки фильтров, которые приводят к изменению списка дополнительныхтарифов счета, то логика работы программы в этом случае следующая:

Если тариф удаляется, то данные набора счетчиков запоминаются в базе данных, послечего тариф исключается из списка дополнительных тарифов. Данные тарификации будутпересчитаны без учета начисленного трафика удаленного тарифа.Если появляется новый тариф, то создается новый набор счетчиков и делается попытказагрузить его данные из базы данных. При наличии данных тарификации будутпересчитаны с учетом начисленного трафика ранее удаленного тарифа.

Таким образом, если дополнительный тариф был удален в результате ошибочных действий, томожно без последствий вернуть все назад. Все сохраненные "скрытые" данныедополнительных тарифов будут полностью очищены только при старте новой сессии.

В текущей версии консоли не предусмотрено механизмов контроля этих действий приизменении настроек фильтров. Администратор программы должен это учитывать при работе сфильтрами. Если требуется перестройка настроек тарификации в фильтрах и пересчетнежелателен, то плюсом будет перевести все счета из состояния "стоп".

1.3.2.6 Учет внешнего трафика

Важной особенностью программы является двойной учет трафика. Биллинг учитываеттрафик клиентов, снимая его с внутренних интерфейсов. Однако данные биллинга непозволяют точно оценить трафик, потребляемый у провайдера, т.к. трафик может потреблятьсам сервер, какой-то трафик может быть неавторизованным и т.д.

В программе дополнительно к биллингу представлен учет внешнего трафика. Внешнийтрафик снимается с внешних интерфейсов. Его учет решают следующие задачи:

Контроль суммарного трафика, потребляемого у провайдера, с целью проверитьвыставленные им счета, планирования потребления трафика, предстоящих затрат инедопущения его перерасхода. Детальный анализ потребления в контексте ресурсов, внешних сетей, протоколов,портов и прочих критериев.Учет и анализ трафика, отфильтрованного на сетевом экране.

Теоретически сумма трафика всех клиентов должна соответствовать суммарному трафику,потребляемому у провайдера, но в реальных условиях появляются расхождения:

трафик клиентов снимается с внутренних интерфейсов, и является невозможным учестьтрафик, потребляемый самим сервером. Это относится как к различным служебнымзапросам, связанным с функционированием сети (ICMP, DNS), так и к трафику других служб,установленных на нем;имеет отношение и к трафику пользователя, который работает на самом сервере;некоторый трафик из внутренней сети может получиться неавторизованным, если естьразрешающие фильтры для всех на внешние сети;данные по трафику для клиентов заносятся в его счетчики уже с учетом скидок, заданных вфильтрах. Некоторый трафик может быть описан как бесплатный.

Для решения задач учета внешнего трафика используются внешние счетчики. Счетчикимогут быть контролируемыми и информационными.



Контролируемые счетчики предназначены для контроля потребления трафика отвышестоящего провайдера как платного ресурса. Провайдеров может быть несколько; крометого, у провайдера возможна разная тарификация для разных сетей. Контролируемые счетчикиописываются как внешние IP-адреса или сети, в них в качестве условия можно задатьвнешний интерфейс.

Каждый пакет, снимаемый драйвером на внешних интерфейсах, проверяется в спискеконтролируемых счетчиков на предмет соответствия и учитывается только на самом первом,подпадающим под условие счетчика. Порядок счетчиков в этом списке имеет принципиальноезначение. Самым последним в этом списке обязательно должен быть счетчик на весьтрафик - он по умолчанию создается после установки программы, и его удалять ни в коемслучае нельзя.

Таким образом, каждый пакет должен быть учтен только на одном счетчике, а сумма по всемсчетчикам - соответствовать суммарному трафику, потребленному у провайдеров.

Общее правило настройки контролируемых счетчиков - для каждого вышестоящегопровайдера отдельные счетчики; для каждого типа трафика с отдельным тарифом увышестоящего провайдера отдельный счетчик. Допустим, у провайдера есть льготный трафик,например, бесплатный внутрисетевой или льготный местный - описание этого производится вотдельных контролируемых счетчиках.

При установке программы по умолчанию существует один контролируемый счетчик - ВесьИнтернет. Удалить его нельзя.

Для контролируемых счетчиков задаются лимиты: предупреждение, перерасход иежедневный. Если лимиты превышены, то может быть послано предупреждениеадминистратору по электронной почте.

Для ограничения расхода трафика могут использоваться блокировки. Блокировканазначается на контролируемый счетчик и включается при перерасходе заданных лимитов.Если в счетчике заданы сети, то блокируется доступ только на эти сети; если же счетчик заданна весь трафик, то доступ во внешнюю сеть отключается полностью, - кроме сетей, описанныхдругими счетчиками.

Эти меры могут быть весьма полезны, когда администратору приходится на какое-то времяоставлять сеть без присмотра и блокирование доступа в Интернет становитсяпредпочтительнее, чем перерасход трафика. Появление различных новых вирусов,распространяющихся через Интернет и приводящих к генерации огромного трафика занебольшое время, делает наличие такой возможности весьма важным.

При срабатывании блокировки на счетчике или ее отключении может быть произведен запусквнешнего приложения. Это применяется для различных действий: например, можно поднятьрезервный канал Интернета или произвести некоторую информационную рассылку.

Информационные счетчики служат для отдельного учета потребления различного трафика сцелью последующего анализа. При их конфигурировании, кроме внешних сетей иинтерфейсов, можно задать тип IP-протокола, а также порты для TCP и UDP. Винформационных счетчиках пакеты учитываются для каждого счетчика независимо от других,т.е. пакет может быть учтен как ни на каком, так и сразу на нескольких счетчиках.

При установке программы по умолчанию имеется несколько информационных счетчиков длянаиболее используемых протоколов - HTTP, FTP, SMTP, POP3 и других.

Для информационного счетчика может быть задан особый тип - Счетчик безопасности. Этосчетчик, учитывающий только отфильтрованный трафик на внешнем сетевом экране. Онустанавливается на входящий или исходящий трафик. Это полезно для анализа различныхсетевых атак и сетевого "мусора": флуда, сканирования портов, ICMP. Один такой счетчик навесь отфильтрованный трафик присутствует по умолчанию. При необходимости вместо одноготакого счетчика можно добавить несколько, введя разграничения по различным критериям.

Хранение настроек и данных внешних счетчиков реализовано как в биллинге. По аналогии

26Traffic Inspector

© 2003 - 2010 SMART-SOFT

действует запись в базу данных журналов.

Внешние счетчики считают только трафик, расчет израсходованных средств по тарифам непредусмотрен. Причина заключается в сложности и большом расхождении тарифов уразличных провайдеров. Все предусмотреть невозможно. Поэтому для контроля счетовпровайдера придется использовать ручной пересчет на основании данных трафика или можноразработать excel-таблицу, с загрузкой данных путем экспорта отчетов.

1.3.2.6.1 Ограничение скорости

Bandwidth control (шейпер) - это функция динамического ограничения скорости работыклиентов и их групп. Она реализована на уровне сетевого драйвера и позволяет работать слюбым трафиком на внутреннем интерфейсе. Принцип работы шейпера - вычисление скороститрафика и внесение задержек передачи пакетов созданием очередей.

Основные возможности этой функции:

Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием ипередачу. Назначение суммарной максимальной скорости для группы (отдельно на прием и передачу).При этом выделенная полоса динамически делится поровну между работающими клиентамив группе, независимо от характера их трафика. Ограничение по скорости передачи пакетов. Полезно для предотвращения перегрузки сетипри вирусных эпидемиях. Назначение в фильтрах типа трафика, который надо исключить из контроля скорости ипередавать без задержек. Назначение отдельных ограничений скорости в фильтрах для конкретного типа трафика. Этанастройка имеет приоритет перед ограничениями скорости у пользователя и позволяетотдельно переопределять полосу для различного типа трафика. Выставление приоритетов в фильтрах на определенный тип трафика. Эта настройкапозволяет менять очередность пакетов во внутренней очереди пользователя и передаватькритичные данные с минимальными задержками. Выставление дополнительных приоритетов в фильтрах на определенный тип трафика приналичии ограничения скорости в группах. Такие пакеты обрабатываются в отдельнойочереди для каждой группы, что позволяет еще больше поднять приоритет их передачи. Для фильтров может быть назначено расписание, что помогает изменять настройки службы взависимости от времени. Данные из кэша прокси-сервера, а также с локального веб-сервера (сервер статистики)ограничениям по скорости не подвергаются. По умолчанию весь трафик на сам сервер шейпером не обрабатывается. Если же надовключить ограничения на какие-то другие службы на этом сервере - можно сделать,прописав соответствующие правила (фильтры).

1.3.2.7 Сетевая статистика

С целью детального анализа характера трафика клиентов и внешнего трафика для клиентов ивнешних счетчиков может быть включен сбор и запись сетевой статистики.

Статистика собирается в контексте IP-адресов, типов протоколов и портов. Для трафика,снятого с HTTP прокси-сервера, записывается еще и имя хоста.

Для сбора сетевой статистики для каждого объекта учета, клиента или счетчика заводится коллектор - временная таблица счетчиков, где записи группируются по IP-адресам,протоколам, портам и именам хостов. Данные в коллекторе группируются по IP-адресам,хостам и протоколам. По портам данные также группируются, но здесь прослеживаетсяотдельная логика, которой решаются задачи:

С одной стороны, требуется минимизировать количество записей.С другой стороны, необходима подробная информация о характере трафика.

Для TCP-трафика данные группируются по порту TCP-сервера. Если имеется несколькосоединений на один порт сервера одного адреса, то данные пишутся в одну запись и порт состороны клиента не учитывается.



Определить, где сервер, для UDP в общем невозможно, т.к. протокол не является сеансовым.Поэтому для минимизации количества записей порты более 1023 трактуются какдинамические, и данные пишутся в одну запись. Есть возможность описать список портов,для которых трафик всегда будет писаться отдельными записями, т.е. без группировки.

В сетевую статистику также пишутся атрибуты трафика:

Стоимость трафика и дополнительный тариф. Только для сетевой статистики клиента.Ограничение скорости. Отдельно для входящего и исходящего трафика. Не следует путатьс реальной скоростью. Только для сетевой статистики клиента.Маршрут. Пишется имя внешнего интерфейса, на который трафик должен бытьперенаправлен при работе Advanced Routing. Только для сетевой статистики клиента.Признак контролируемого трафика. Только для внешних счетчиков.

Трафик с разными атрибутами не группируется, т.е. пишется в отдельные записи сетевойстатистики.

По умолчанию для клиентов пишется только платный трафик. Но имеется настройка, где можновключить запись всего трафика, снимаемого с внутренних интерфейсов. Для учетанеавторизованного трафика в этом случае существует отдельный коллектор. Запись всеготрафика может потребоваться для отладки работы программы.

Каждый внешний IP-адрес в коллекторе с использованием DNS может быть преобразован вимя. Это делается отдельной службой, процесс преобразования автономный и напроизводительности программы никак не сказывается. Но, при наличии большого количестваколлекторов, могут появиться проблемы с ресурсами в системе, поэтому для клиентов этопреобразование по умолчанию отключено. Оно также может быть отключено с целью экономииDNS-трафика.

Записи в таблице коллектора сортируются по одному из критериев: входящему, исходящему,сумме или максимуму. Для клиентов этот критерий сортировки берется из тарифа, длявнешних счетчиков задается отдельно. Данные коллектора доступны для просмотра вреальном времени и позволяют оценить, что в данный момент происходит в сети, как вконтексте клиентов, так и внешнего трафика.

Сетевая статистика с заданным периодом времени пишется в базу данных журнала, иколлектор при этом очищается. С целью минимизации количества записей в журнал изколлектора пишутся все, и только наиболее активные записи - в соответствии с их сортировкой.Количество сохраняемых записей и интервал их сохранения определяет степень детализацииданных, используемых в дальнейшем для генерации отчетов. Также есть возможностьограничить запись данных по количеству пакетов в коллекторе.

Запись сетевой статистики для счетчика с отфильтрованным трафиком позволяет вестидетальный анализ сетевых атак.

Virus Flood Protect

Сетевая статистика, которая ведется для клиентов, может использоваться для защитысервера и сети от перегрузки при заражениях клиентов вирусами. Вирусы для размножениясканируют сеть, пытаются размножаться, выбирая IP-адреса случайным образом. Коллекторсетевой статистики клиента при этом заполняется большим количеством записей. Этообстоятельство и используется как критерий для детектирования проблемы. Для настройкифункции задается лимит записей сетевой статистики. Трафик с прокси-сервера неучитывается.

При срабатывании защиты клиент может быть заблокирован на определенное время.Администратору по почте может отправиться сообщение.

28Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.3.2.8 Прокси-сервер

HTTP прокси-сервер и SOCKS работает на всех IP-адресах внутренних интерфейсов, в томчисле на локальном (127.0.0.1). С внешних сетей он всегда недоступен.

Прокси-сервер, входящий в Traffic Inspector,- это классический HTTP/FTP прокси-сервер.Учитывая наличие NAT, где производительность работы существенно выше, служба, напервый взгляд, необязательная. Но его применение во многих случаях целесообразно:

Фильтрация на уровне приложений HTTP и FTP работает только через прокси-сервер.Кэширование позволяет реально экономить 10-25% трафика. Возможен и больший процент,но могут возникнуть некоторые неудобства для клиентов - им придется иногда управлятьрежимами кэширования, хотя имеющиеся возможности гибкой тарификации трафика из кэшапозволяют сделать это для них экономически выгодным. Возможность работы в активном режиме с FTP. Работа через NAT в активном режиме иногдаможет иметь затруднения.Возможно перенаправление (редиректа) запросов.Использование SOCKS обеспечивает динамическое открытие входящих TCP- и UDP-соединений.

Особенности реализации протокола HTTP/1.1 и кэширования смотрите в отдельных разделах.

Вопросы по преобразованию и анализу контента смотрите в разделе "Обработка контента".

Реализация режимов перенаправления трафика на прокси-сервер описана в разделе Transparent Proxy.

Прокси-сервер поддерживает туннельные TCP-соединения методом CONNECT, позволяяработать с протоколом SSL.

Если требуется работа через прокси с приложениями, которые используют входящие TCP- иUDP-соединения со стороны клиента, то использование SOCKS-сервера - единственнаявозможность это сделать. Текущая версия программы поддерживает SOCKS версии 4 и 5.

Для ограничения доступа клиентов по протоколу SOCKS используются фильтры, но при этомусловия уровня приложений не работают. Для вторичных соединений, как входящих, так иисходящих, фильтры на запрещение не применяются - любой трафик с хостом, на которыйустановлено первичное соединение, не блокируется.

1.3.2.8.1 HTTP/1.1

Прокси-сервер оптимизирован для работы с протоколом HTTP/1.1, полностью соответствуетстандарту RFC 2616, в нем реализованы механизмы Keep-Alive и Pipelining.

Keep-Alive - процедура удержания и повторного использования TCP-соединений. Всесовременные броузеры и большинство веб-серверов это поддерживают, но у них могутпотребоваться особые настройки. Использование Keep-Alive существенно экономит трафик, чтоособенно заметно при загрузке страниц с большим количеством объектов. В некоторыхслучаях это приводит к ускорению загрузки страниц.

Pipelining - возможность в рамках одного TCP-соединения передавать запросы, не дожидаясьпринятого ответа от сервера. Если на странице объектов много, то броузер отправляет сразувсе запросы на сервер через одно TCP-соединение. В прокси-сервере программы TrafficInspector, начиная со сборки 1.1.4.175, реализована параллельная асинхронная обработказапросов и ответов: данные запросов также сразу отправляются на сервер, при этомколичество запросов в очереди не ограничено.

Если исходящий канал медленный или время отклика сервера большое (большие задержки вканалах связи), то происходит существенное ускорение загрузки данных.

Функция Pipelining считается экспериментальной. Наиболее распространенные веб-сервера(IIS, Apache) это поддерживают.

Поддержка функций HTTP/1.1 со стороны браузеров сведена в таблицу:



Браузер Keep-Alive Pipelining

InternetExplorer

Есть, включается разрешениемHTTP/1.1 через прокси

Нет

Mozillabrowser


Есть, включается отдельно

Mozilla Firefox Есть, включается разрешениемHTTP/1.1 через прокси

Есть, включается отдельно

Opera Есть, включается разрешениемHTTP/1.1 через прокси


Все эти функции работают и в режиме каскадирования на другой прокси-сервер, но здесь всезависит от поддержки данных функций на вышестоящем прокси. Наиболее распространенныепрокси-сервера - ISA и Squid - в полном объеме Pipelining не поддерживают.

1.3.2.8.2 Кэширование

Кэширование в прокси-сервере производится сохранением загруженных страниц в кэше дляих повторного использования при последующих обращениях к данным ресурсам. Этопозволяет экономить трафик и ускоряет загрузку страниц при медленных каналах связи.Обратной стороной использования кэша является проблема получения всегда достоверныхданных для сохраненных ресурсов - необходимо проверять, обновились ли они на веб-сервере. Стандарты на HTTP/1.1 и другие подробно регламентируют работу серверов, нореалии сети Интернет таковы, что не все им следуют. Задача получить реальную экономию засчет кэширования и при этом передать на клиента достоверные данные оказывается весьмасложной и противоречивой.

Прокси-сервер программы Traffic Inspector позволяет произвести настройку кэша достаточнотонко в соответствии с поставленными задачами. При установке эти настройки включены врежим небольшого сбережения трафика, и клиенты практически всегда получают достоверныеданные от сервера.

Алгоритм работы программы при кэшировании следующий.

При сохранении ресурса в кэше запоминается время его получения с сервера и времясоздания (модификации) на самом сервере. Правда, этот атрибут может и отсутствовать -сервер по какой-то причине может его не выдать. Если далее появляется запрос на прокси-сервер на доступ к этому ресурсу и он есть в кэше, то производится вычисление параметраTTL - прогнозируемого времени жизни. Он берется как процент от времени, в течение которогоресурс существовал с момента его записи в кэш. Смысловое значение параметра - этопрогноз: если ресурс не изменялся какое-то время, то он и в дальнейшем не будет меняться.

Следует отметить, что сервера для некоторых ресурсов выдают атрибут временисуществования объекта. Если он был выдан, то также сохраняется при кэшировании, и при егоналичии прогноз уже вычисляться не будет; TTL же определится на основании этого атрибута.Использование времени существования объекта, полученного от сервера, может бытьотключено. Причина в том, что данный параметр довольно часто по вине небрежностипрограммистов и администраторов веб-сервера выдается некорректным, и для определенияTTL лучше полагаться на собственную логику.

На полученное значение TTL дополнительно накладывается ограничение по минимуму имаксимуму. Если на момент запроса текущее время не превысило TTL, то ресурс считаетсянепросроченным и берется из кэша, в противном случае он будет просроченным и егопотребуется перепроверить на сервере, для чего посылается соответствующий запрос сусловиями проверки. Если сервер такие запросы поддерживает и ресурс за последнее времяне изменен, то сервер сообщит о сохраненных данных и ресурс будет взят из кэша.

Такой ответ по размеру данных гораздо меньше полного ответа с самим объектом, но дляэкономии трафика желательно минимальное количество подобных проверок.

30Traffic Inspector

© 2003 - 2010 SMART-SOFT

Вычисление TTL и прогнозирование можно совсем отключить - прокси-сервер перепроверяетресурсы всегда. Экономия трафика сведется к минимуму, зато клиенты будут иметьгарантированно свежие данные.

Данные могут быть отмечены и как личные - иметь HTTP-атрибут private. Они будуткэшироваться, но в дальнейшем доступны из кэша только тому пользователю, кто ихсохранил. Cookie с сервера также сохраняются в кэше и выдаются в будущем клиенту. Ноесли данные отмечены как личные и имеют cookie, то в кэш они не записываются, -подразумевается, что могут нести важные личные сведения. Плюс к тому отметим, чтокэшируются только запросы типа GET.

Таким образом видно, что для увеличения реальной экономии трафика за счет кэшированияследует увеличивать параметры, связанные с вычислением TTL. Для того чтобы при этомможно было нормально просматривать быстроменяющиеся ресурсы, в Traffic Inspectorпредусмотрена возможность оперативного переключения режимами кэширования самимклиентом с помощью агента.

Для большого сбережения трафика можно рекомендовать параметры: TTL - 70-150%, минимум12-24 часа, максимум 15-30 дней. При таких параметрах можно иметь 25-35% экономиитрафика, но придется переключать режимы кэширования агентом при посещениибыстрообновляемых ресурсов.

Как вариант облегчения этой работы, есть возможность для отдельных ресурсов задаватьотдельные правила кэширования. В этих правилах можно задать URL, ключевые слова в URLили тип контента. Это очень похоже на описание фильтра. При инталляции программызаносится несколько таких правил по умолчанию - по ключевым словам board и forum. Вслучае когда в правиле задается и тип контента, учитывается одно важное обстоятельство:если в URL запроса файл явно не указан, то тип данных не известен - в результате правиломожет не сработать.

Предусмотрено три режима кэширования:

Режим экономии: используются настройки, заданные администратором. Подразумевается,что параметры, связанные с вычислением TTL, настроены на режим максимальногосбережения трафика.Проверять все объекты: кэш используется, но каждый объект будет перепроверен. Этотрежим и применяется, когда есть необходимость в гарантированно свежих данных. Кэширование отключено: данные из кэша не используются, но вновь полученные отсервера объекты заносятся в кэш, параллельно обновляя его. Это предусмотрено дляособых случаев, когда по какой-то причине в кэше сохранились некорректные данные.Переход в режим перепроверок всех данных может не помочь. Кстати, эта проблемапринудительного обновления некорректных данных присутствует на всех прокси-серверах ирешается по-разному. В некоторых предусматривается возможность просмотра всехобъектов в кэше и возможности их удаления. В Microsoft ISA Server в таких случаяхприходится идти на крайние меры, вплоть до полной очистки кэша. Этот режим включается также, если броузер в запросе выставил атрибут no-cache, чтопроисходит обычно при нажатии на кнопку обновления страниц.

Данные кэша хранятся в одном большом файле, он имеет постоянный размер и сразусоздается при конфигурировании прокси-сервера. Это позволяет полностью исключитьфрагментацию файловой системы. Внутри кэша данные фрагментации не подвержены.Алгоритм размещения объектов в кэше очень эффективен и позволяет без ухудшенияпроизводительности работать с большим количеством объектов. Данные в кэше не имеютограничений по времени хранения. Если лимит свободного места в кэше исчерпан, то понеобходимости будут удаляться объекты, имеющие наибольший срок хранения.

Индекс кэша реализован ввиде SQL-базы данных, файл proxy.db3. В случае потери или порчифайла индекса данные в кэше будут потеряны.



1.3.2.8.3 Обработка контента

Прокси-сервер может работать с различным типом контента и форматом получаемых данных. Впроцессе передачи данных от сервера клиенту во время работы сервера данные могут бытьпреобразованы.

Chanked: специальный потоковый контент. Прокси-сервер всегда преобразует такой контент вобычный, удаляя данные форматирования chanked-формата. Иными словами, клиент никогдаданные chanked-формата не получает.

Компрессия данных: позволяет сильно экономить трафик для некоторых типов данных.

Компрессию должен поддерживать прежде всего веб-сервер. Он обычно настраивается так,чтобы компрессировать не все типы данных, а только те, где это имеет смысл. Например,картинки типа gif, jpeg или архивы сжимать смысла нет. Сервер будет выдавать сжатыеданные, только если в клиентском запросе есть HTTP-атрибут, заявляющий о поддержкеклиентов соответствующих форматов компрессии данных. Компрессия обычно применяется взапросах по протоколу HTTP/1.1.

Прокси-сервер поддерживает форматы компрессии gzip и deflate, т.е. он может их принеобходимости распаковывать. Если браузер сам поддерживает компрессию, то прокси-сервер будет распаковывать сжатые данные только по необходимости. Имеется режим,позволяющий использовать компрессию в том случае, если браузер ее не поддерживает.

В кэш могут записываться как сжатые данные, так и несжатые. При выборке сжатых данных изкэша прокси-сервер также будет их распаковывать по необходимости.

Если броузер запросил сжатые данные и сервер вернул данные в формате компрессии,который прокси-сервер не поддерживает, то такие данные будут прозрачно переданы клиенту.

В прокси-сервере предусмотрено два режима передачи контента от сервера клиенту - потоковый и с предварительной загрузкой. В первом режиме данные с серверапередаются клиенту порциями прозрачно, сразу по мере их приема. Во втором режиме данныепередаются клиенту только после получения всего объекта с сервера. Для небольшихобъектов большой разницы для клиента нет, но для больших второй режим может вызыватьпроблемы - клиент не видит процесса загрузки данных с сервера. Прокси-сервер используетвторой режим только при необходимости, например, когда требуется распаковка сжатыхданных или для антивирусной проверки.

Для данных, размер которых более двух гигабайт, может использоваться только потоковыйметод. Такие файлы никогда не кэшируются, и антивирусная проверка для них недоступна.Кроме того, они не могут быть распакованы прокси-сервером.

Антивирусная проверка HTTP- и FTP-контента позволяет выявлять данные, зараженныевирусами, а также имеющие нежелательные составляющие: программы-шпионы, скрипты и т.д.

Проверка данных выполняется антивирусными сканерами, подключаемыми как внешниемодули расширения программы. Их может быть подключено сразу несколько.

С точки зрения антивирусной проверки, самый оптимальный вариант - сначала загрузитьобъект полностью, а затем проверить, т.е. использовать режим с предварительной загрузкой. Вэтом случае, если в объекте антивирусом что-то найдено и файл лечению не поддается, будетпроизведена фильтрация объекта аналогично срабатыванию фильтра на запрещение - выданостандартное сообщение прокси-сервера о блокировке с отчетом антивирусного сканера, а длякартинок и флеш-файлов "пустышка".

Но для больших файлов для клиента этот режим может вызвать проблемы. Поэтомупредусмотрен режим антивирусной проверки "по последнему пакету". В этом случае данныепередаются клиенту прозрачно, антивирусная проверка производится только тогда, когда ссервера пришел последний пакет. Если в данных антивирус что-то найдет, последний пакетклиенту передаваться не будет, т.е. файлы будут неполные, архивы повреждены.

32Traffic Inspector

© 2003 - 2010 SMART-SOFT

Лечение зараженных данных в этом режиме уже невозможно. Есть вероятность и того, чтодаже неполностью скачанный зараженный файл будет представлять некоторую опасность. Набраузер клиента в этом случае никакого предупреждающего сообщения не выдается.

Поэтому в настройках прокси-сервера предусмотрено много настроек, позволяющих гибкозадавать условия выбора этих режимов.

Все данные о выявлении вирусов отписываются в отдельный общий журнал, плюсотправляется сообщение на агента клиента.

1.3.2.8.4 Transparent Proxy

Работа через прокси-сервер позволяет реализовать более тонкий контроль за HTTP-трафиком,т.к. доступна информация прикладного уровня. Со стороны клиента - использовать прокси илинет - есть зависимость от настроек браузера, и администратор не всегда имеет возможностьэти настройки выставить принудительно.

Для принудительного перенаправления HTTP-трафика на прокси имеется специальнаяфункция, реализованная на уровне драйвера программы.Редирект на прокси-сервер выполняется драйвером Traffic Inspector на момент начала TCP-сессии. На этот момент неизвестно, какой прикладной протокол (HTTP или другой) будетиспользоваться. Перенаправление может быть произведено только для TCP/80, причем вданном случае перенаправляется любой TCP-трафик. Не стоит забывать о том, что по TCP/80может передаваться как HTTP-трафик, так и любой другой, а также, HTTP-трафик можетпередаваться не только по 80 порту, но и по любому другому.

Аутентификация браузера с прокси здесь невозможна, т.к. браузер "не знает", что работаетчерез прокси. Для этого при авторизации по имени придется обязательно использовать агента.

Следует учитывать и возникновение некоторых других проблем в этом режиме, связанных стем, что браузеру при работе через прокси все-таки необходимо знать, что он работает именнотак. Поэтому стоит рассматривать режим только как меру пресечения работы клиента мимопрокси-сервера - всегда приоритетней, когда броузер настроен для работы с прокси-сервером.

В дополнение к этому имеется функция блокирования любого другого HTTP-трафика,идущего мимо прокси, что позволит гарантированно пресечь работу клиента мимо прокси-сервера.

Применение этих функций задается отдельно для клиентов (авторизованный трафик) и "неклиентов".

Функции никогда не применяются для трафика:

На все IP-адреса всех интерфейсов сервера.На IP-сети, заданные в настройках LAT прокси-сервера.

Начиная с версии 2.0.0.628 появилась функция перенаправления любых TCP соединений состороны клиентов, с помощью которой можно гибко реализовать Transparent Proxy для любогоHTTP трафика на любой прокси сервер.

1.3.2.8.5 FTP

Отметим, что для FTP лучше всего использовать NAT. Но могут быть случаи, когда полезны идругие варианты работы.

Для работы с FTP-серверами в режиме только чтения такими браузерами, как Mozilla илиOpera, использутся метод GET. В этом случае прокси-сервер будет генерировать HTML-страницы каталогов FTP-сервера. Активный или пассивный режим при этом может выбиратьсяавтоматически. Достоинство этого метода - наличие фильтрации по контенту.

Полноценную работу с FTP обеспечивает SOCKS. Доступны все режимы - активный и



пассивный.

Приведем сводную таблицу различных вариантов работы с FTP.

Способ Клиентскиепрограммы

Аутентификациядля авторизации

Тип FTP-DATA

Режимы Фильтрацияконтента

NAT Windows2000

Любые нет Пассивный Все нет

NAT Windows XPи старше

Любые нет Любой Все нет

HTTP/GET Браузеры есть Любой Толькочтение

есть

HTTP/CONNECT Специализированные клиенты

есть Пассивный Все нет

SOCKS4 Специализированные клиенты

нет Любой Все нет

SOCKS5 Специализированные клиенты

есть Любой Все нет

1.3.2.8.6 Тарификация

В программе предусмотрено два метода съема трафика с целью учета при работе клиентачерез прокси-сервер и SOCKS.

1. Kernel: драйвер ведет списки TCP всех сессий, и для каждой учитывается трафик. Этиданные запрашиваются и используются для учета трафика в прокси и SOCKS. Данныйметод имеет абсолютную точность по причине учета всех пакетов TCP-сессии.

2. Application: в этом случае учитывается полезный трафик, передаваемый в службе прокси-сервера и SOCKS. Данные занижаются, т.к. не учитываются заголовки пакетов и служебныепакеты TCP-протокола. Обращаем внимание: именно так работает учет трафика всех"классических" прокси-серверов.

Режим учета в каждой сессии прокси-сервера и SOCKS отображается в консоли с цельюдиагностики работы программы.

Режимы выбираются автоматически. Логика выбора режима учета такова, что application-режим выбирается только тогда, когда kernel использовать возможности нет.

Для HTTP-прокси в kernel-режиме трафик снимается на интерфейсе, через который идетсоединение между прокси- и веб-сервером. Если этот интерфейс в программе не назначен, тоиспользуется режим application.

Для FTP через HTTP используется режим application.

Для SOCKS всегда используется kernel-режим, но трафик снимается между клиентом иSOCKS-сервером.

Во время работы через спутник пакеты TCP-сессии передаются и принимаются на разныхинтерфейсах. Для того чтобы корректно работал kernel-режим, при конфигурировании надообязательно указать интерфейс, на котором принимаются пакеты, иначе входящий трафикучитываться не будет.

1.3.2.9 Маршрутизация

Advanced Routing: функция, позволяющая полноценно задействовать несколько подключенийс Интернетом одновременно. Для этой функции обычно используется терминология SourceRouting или Policy Routing, но, учитывая ее отличия реализации в Traffic Inspector, былорешено ввести отдельный термин.

Роутер Windows позволяет иметь несколько маршрутов по умолчанию, но всегда используеттолько один, выбирая маршрут с наивысшим приоритетом. Единственный способ

34Traffic Inspector

© 2003 - 2010 SMART-SOFT

задействовать в Windows несколько подключений - это назначение отдельных маршрутов поадресам назначения. Для решения задачи полноценного использования несколькихподключений к сети Интернет требуется наличие маршрутизации по другим критериям, но вWindows это не поддерживается. Динамическая маршрутизация, которая реализована вWindows, здесь не подходит.

На рынке имеются решения для Windows, где описанная задача частично решается.Достигается это с помощью реализации параллельного маршрутизатора. Решение в TrafficInspector уникально, т.к. использует маршрутизатор Windows, что позволяет полностьюзадействовать все сетевые службы Windows, а также обеспечить корректную работу черезсвой прокси и SOCKS.

Настройка Advanced Routing сводится к следующему:

1. На все внешние интерфейсы, с которыми будет работать данная функция, надо назначитьмаршруты (шлюзы) по умолчанию. Используйте статические маршруты в RRAS, IP-настройки интерфейсов или утилиту route.exe.

2. Внимание! Подключите все интерфейсы, с которыми будет работать Advanced Routing, т.к.программа при конфигурировании позволяет делать привязки только к активныминтерфейсам.

3. Запустите конфигуратор Traffic Inspector, выберите все необходимые внешние интерфейсыи на закладке "Внешние сети - дополнительно" включите функцию Advanced Routing.

4. В списке интерфейсов консоли внешний интерфейс, для которого функция Advanced Routingразрешена, будет отмечен иконкой со стрелкой. Если стрелки нет, то у интерфейса нетмаршрута по умолчанию.

5. Примените опцию к клиентам, группам, а также настройте правила в фильтрах - смотритениже. Эти настройки находятся на закладках "Роутинг".

Advanced Routing решает задачу выбора внешнего интерфейса, отличного по умолчанию, поразличным критериям: клиент, группа, тип трафика и т.д.

Для фильтров клиентов логика применения правил для роутинга аналогична другим. Но естьеще одна настройка у фильтра на закладке "Роутинг": факт перенаправления пакета на другойинтерфейс может использоваться и как условие для фильтра. Так как фильтры обрабатываютсястрого по списку, то, размещая такие фильтры после фильтра, который сделалперенаправление, можно собрать логику применения условий в зависимости от используемоговнешнего интерфейса. Например, применить другие тарифы. Но следует учесть, что настройкиклиентов (групп) применяются позже просмотра списка.

В случае использования спутникового подключения, когда трафик принимается с одногоинтерфейса (DVB-карта), а передается через другой, оба эти интерфейса стоит обязательноуказать в процессе конфигурирования интерфейсов (мастер настройки).

Для анализа работы этой функции в сетевой статистике пользователя имеетсясоответствующий атрибут - имя внешнего интерфейса, куда был перенаправлен трафик.

Ограничения функции Advanced Routing:

1. Функция не применяется для трафика, идущего с самого сервера, за исключением службпрокси-сервера программы и SOCKS.

2. Для трафика, идущего с самого сервера через дополнительные внешние интерфейсы (кромеинтерфейса по умолчанию), могут быть коллизии, если на эти же IP-адреса идет трафик,перенаправленный Advanced Routing. Для исключения этих коллизий программа производитанализ таблицы маршрутов и не применяет Advanced Routing, если трафикмаршрутизируется в правильном направлении штатным роутером. Поэтому, в первуюочередь, стоит тщательно настроить роутер Windows.

3. Имеется ограничение на количество внешних интерфейсов с задействованной функциейAdvanced Routing - не более 7 LAN и не более 7 WAN-интерфейсов.

4. Функция не работает через прокси-сервер, если используется форвардинг (каскад).

Ввиду ограничений пп.1 и 2 не следует использовать Advanced Routing, если задачамаршрутизации может быть решена средствами роутера Windows.



1.3.2.10 Почтовые службы

Почтовые службы программы Traffic Inspector - это SMTP-шлюз и служба отправкисообщений.

SMTP-шлюз используется в случае, если в сети имеется свой почтовый сервер. Совместно сослужбой отправки сообщений он используется для приема входящей почты снаружи с цельюее фильтрации и тарификации. Если почтовый сервер находится внутри сети, то использованиеSMTP-шлюза заменяет задачу наружной публикации SMTP-сервера.

Использование SMTP-шлюза для приема почты взамен прямой публикации SMTP-службыпочтового сервера несет следующие преимущества:

Гибкая тарификация принимаемого почтового трафика. Мощные возможности фильтрации нежелательных и опасных сообщений, как самимшлюзом, так и модулями расширения (RBL-списки, антивирусы и т.д.).Фильтрация сообщений может производиться в самом начале процесса приема сообщения,что ведет к большой экономии трафика.

Эту службу можно задействовать и в случае, если почтовый сервер организации находитсяснаружи, что, правда, приведет к довольно большому расходованию внешнего трафика.

Служба отправки сообщений - это SMTP-клиент со встроенной очередью отправки. Внастройках этой службы можно указать только один конкретный IP-адрес внутреннегопочтового сервера, производить доставку сообщений на произвольные почтовые серверапутем анализа DNS MX-записей, как это делает полноценный SMTP-сервер, она не умеет.

Наличие внутренней очереди сообщений обеспечивает их хранение в случае временнойнедоступности почтового сервера организации.

Таким образом, эти обе службы выполняют достаточно узкие задачи, и они не являютсяполноценным SMTP-сервером. Для отправки сообщений изнутри сети наружу использоватьсяне могут - почтовый сервер организации должен это делать напрямую сам.

1.3.2.10.1 SMTP-шлюз

SMTP-шлюз представляет собой обычный SMTP-сервер, реализация SMTP-протокола в немсамая минимальная. Служба включается в мастере конфигурирования программы, онпривязывается ко всем IP-адресам всех внешних интерфейсов. Иначе, если внешних сетей впрограмме не назначено, эта служба будет недоступна. Доступ на TCP-порт SMTP-серверашлюза во внешнем сетевом экране откроется автоматически.

36Traffic Inspector

© 2003 - 2010 SMART-SOFT

Для фильтрации сообщений имеется набор правил самого SMTP-шлюза, а также могутподключаться различные модули расширения (плагины). Обработка сообщения правиламипроизводится не только после приема сообщения целиком, но также по каждому событию,связанному с определенными стадиями приема сообщения в рамках SMTP-протокола. Этопозволяет настроить процедуру фильтрации таким образом, чтобы сообщения можно былоотфильтровать как можно раньше, экономя при этом трафик.

При каждом событии для анализа доступны только те атрибуты сообщений, которые ужеимеются (приняты):

IP-адрес и DNS-имя хоста отправителя.E-mail адрес отправителя.E-mail адрес получателя.Тема сообщения.Внутренние заголовки сообщения.IP-адреса в заголовках. Можно использовать для анализа трассировки пути доставкисообщений.

В правилах могут проверяться только эти атрибуты, используется синтаксис регулярныхвыражений. Анализ всего сообщения целиком доступен только в модулях расширений.

Предусмотрены следующие события, по которым производятся действия обработкисообщений:

Connect: событие в момент попытки установления соединения с SMTP-сервером. Доступнытолько атрибуты IP-адреса и имени хоста. По этому событию можно сразу отсечь попыткусоединения с определенных хостов ("черные списки") или наоборот - разрешить приемлюбой почты ("белые списки").HELO: по приему соответствующей SMTP-команды (HELO или EHLO).MailFrom: прием адреса отправителя. По данному событию можно произвести анализ этогоадреса в правилах. Также имеется функция анализа валидности почтового домена адресаотправителя на предмет наличия DNS MX-записи.RcptTo: прием адреса получателя. По событию можно произвести анализ этого адреса вправилах. Если получателей несколько, то это событие вызывается по каждому адресуполучателя отдельно. На данной стадии SMTP-шлюз также производит поиск клиентапрограммы по его e-mail адресам параметром авторизации, и, если прием почты для этогополучателя запрещен, SMTP-клиенту возвращается ответ с ошибкой. SMTP-сессия может ине закрываться, SMTP-клиент в силе продолжить отправку сообщения для другогополучателя.Headers: произведен прием заголовков сообщения, доступны атрибуты заголовков. Темасообщения находится в заголовках, поэтому также доступна для анализа. Доступен и списокIP-адресов заголовков.Complete: принято все сообщение. Доступны все атрибуты. По этому событию такжепроизводится антивирусная проверка сообщения.

Операцию фильтрации сообщения по данным заголовков можно производить по событию ихприема. Но следует иметь в виду, что SMTP-клиент на этой стадии отправки сообщения,скорее всего, анализировать код возврата не будет, и прекращение приема данных теласообщения воспримет как ошибку связи, а через некоторое время предпримет попыткуповторной отправки. Поэтому такую фильтрацию лучше всего делать по приему сообщенияцеликом (событие Complete).

В SMTP-шлюзе имеется механизм добавления (отнимания) так называемого весовогокоэффициента сообщения, что позволяет реализовать его обработку по совокупности разныхпризнаков. Если в самом конце приема и анализа сообщения этот вес превысит определенныйзаданный порог, то сообщение может быть отфильтровано.

Кроме такого радикально действия - фильтрации (блокировки) ,- может быть сделана пометкасообщения в теме или его заголовках. Эти признаки в дальнейшем могут использоваться дляфильтрации сообщений в почтовом сервере организации или непосредственно в клиентскойпочтовой программе. Пометку в теме использует и клиентская почтовая программа дляраспределения принятых сообщений в разных папках. Помечаться сообщение может при



превышении его веса заданным порогом, а также отдельными правилами.

Для анализа работы SMTP-шлюза, отладки правил и поиска потерянных сообщений ведутсялоги в нескольких журналах:

Журнал трассировки: может быть отдельно включена трассировка SMTP-протокола иприменений правил. Используется для отладки.Журнал блокировок сообщений: сюда заносятся все факты блокировок и их причины.Используется для поиска потерянной почты.Журнал антивирусной проверки: общий для всех служб программы, применяющихантивирусную проверку трафика - HTTP-прокси и SMTP-шлюз.

Тарификация почты и анализ адресов получателей

Есть два режима работы с получателями - прием только для известных адресатов или приемдля любых получателей из заданного списка доменов. Таким образом, произвести отправкусообщения через SMTP-шлюз на произвольные адреса принципиально невозможно - функцияпересылки (relay) всегда ограничена допустимыми рамками.

В первом случае все e-mail адреса получателей должны быть прописаны у клиентовпрограммы, и весь входящий почтовый трафик будет тарифицироваться. Во втором случаестоит дополнительно прописать все почтовые домены организации, и тарифицироваться будеттолько та почта, получатели которой прописаны в программе. Второй вариант можнорекомендовать на начальном этапе внедрения SMTP-шлюза, когда еще не все e-mail адресапрописаны в программе.

Использование первого варианта в большой организации позволяет сильно экономить трафик.Опыт применения шлюза показывает, что, как правило, имеется очень большой почтовыйтрафик на несуществующих получателей: почтовые подписки уволенных сотрудников,рассылки по случайно сгенерированным адресам домена и т.д.

Если у сообщения несколько получателей, то трафик за сообщение может быть засчитан всемполностью или разделен на них поровну. Для этого имеется соответствующая настройка.

Плюс существует несколько настроек, позволяющих разрешить или запретить прием почтыдля клиентов, отключенных по разным критериям.

1.3.2.10.2 Служба отправки

Эта служба состоит из SMTP-клиента и очереди сообщений. SMTP-клиент ни к каким сетевыминтерфейсам не привязан. При его настройке указывается адрес SMTP-сервера, порт,параметры аутентификации.

Также в настройках службы предусмотрены некоторые параметры, связанные с работойочереди.

Эта служба, кроме пересылки сообщений, принятых почтовым шлюзом, используется и длярассылки оповещений администраторам. Поэтому она всегда включена, и ее настройкидоступны независимо от того, используется SMTP-шлюз или нет.

1.3.2.11 Внешний сетевой экран

Внешний сетевой экран (Firewall) - это отдельная служба, использующая фильтрациювходящего трафика на внешнем интерфейсе.

Концепция сетевого экрана - по умолчанию разрешить все исходящие запросы и запретитьвсе входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакетыбез SYN-флага (для установленных соединений) и отклики по ICMP.

Для того чтобы прозрачно изнутри работали приложения по протоколу UDP, реализованадинамическая фильтрация. При появлении исходящих UDP-пакетов на какой-то внешний IP-адрес на него временно открывается входящий фильтр, что позволяет принять отклик отудаленного сервера и пропустить его внутрь. После прекращения трафика через минуту этот

38Traffic Inspector

© 2003 - 2010 SMART-SOFT

фильтр удаляется.

Все вышеперечисленное относится к настройкам по умолчанию. С целью полностью закрытьсервер и все подключенные к нему сети извне сетевой экран достаточно просто включить.Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик учитыватся наинформационных счетчиках, где его можно оценить количественно и качественно, используясетевую статистику.

В программе имеется механизм классификации типа трафика - контролируемый инеконтролируемый. Это относится только к исходящим TCP- и UDP-пакетам, для другоготрафика такое разграничение недоступно. Контролируемый это:

исходящие пакеты от прокси- и SOCKS-сервера;TCP- и UDP-пакеты от авторизованных клиентов, прошедшие через внутренние интерфейсы идалее через роутер операционной системы или NAT.

В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяетэффективно отсечь нежелательный трафик, например, от служб самого сервера или клиентскихпрограмм, работающих на самом сервере.

Настройки и приоритеты правил

Имеются общие настройки сетевого экрана, где есть набор разрешающих правил наразличный тип трафика, а также отдельный список разрешающих и запрещающих правил.

Если все в общих настройках отключено и никаких правил в списке нет, то любой трафикзапрещен.

Список правил обрабатывается по принципу первого совпадения условия фильтра, просмотрправил в списке идет сначала списка (сверху). Если фильтр разрешающий, то данный трафиксчитается разрешенным и нижестоящие фильтры игнорируются. Если фильтр запрещающий,то трафик запрещается, нижестоящие фильтры также игнорируются. Правила из общихнастроек проверяются после правил списка, т.е. они будут применяться, когда трафик не попални под одно из условий списка.

Более подробно эти настройки описаны в разделе "Настроек Сетевого экрана".

Фильтры (правила) в сетевом экране могут быть сделаны временными. В настройках фильтразадается время, по истечению которого он будет удален или отключен. Это удобно дляслучаев, когда необходимо задать временные разрешения, например, с целью отладки сети, ипотом не задумываться об удалении этого разрешения.

Правилами внешнего сетевого экрана можно управлять через API. Для таких случаев вфильтре предусмотрено два дополнительных атрибута:

Скрытый: фильтр невидим в консоли.Без сохранения: фильтр не будет сохраняться в файле конфигурации.

Предусмотрена поддержка динамической фильтрации FTP-DATA. Анализируются FTP-команды PORT и PASV, и на время FTP-сессии динамически открываются разрешения дляэтого трафика.

Следует отметить, что для встроенного SMTP-шлюза 25-й порт по TCP открывать не нужно - онэто сделает сам.

Важно, что данный сетевой экран никак не конфликтует с фильтрацией на базе службы IPSecWindows, которая тоже может использоваться как средство фильтрации трафика.



1.3.2.12 Администрирование и разграничение доступа

Traffic Inspector предусматривает различные виды доступа для администрирования,просмотра личной статистики и т.д.

Доступ через MMC-консоль. Смотрите ниже.Доступ через встроенный веб-сервер. Смотрите ниже.Доступ к другим приложениям. Используется API. Смотрите SDK.

Доступ к этим ресурсам возможен со стороны учетных записей:

Клиенты Traffic Inspector, далее клиенты программы. Смотрите Авторизация.Администраторы (пользователи), далее пользователи. Прописываются в программеотдельно. Смотрите раздел "Администрирование".

Учетные записи пользователей могут быть:

1. Логин Windows.2. Встроенная учетная запись (имя + пароль). 3. Учетная запись администратора, привязанная к клиенту программы. Используется

для доступа только через веб-сервер. Смотрите далее.

Все пользователи объединены в группы администраторов, где задаются их роли и ограниченияв правах. Для пользователей есть три предопределенных роли:

1. Администратор. Полный доступ без ограничений.2. Менеджер. Ограниченный доступ к функциям биллинга. Предоставляется доступ для

администрирования клиентов программы только в рамках заданных групп. Клиентов можноудалять и добавлять. Для групп можно только менять их настройки, добавление и удалениегрупп не допускается. Отчеты доступны, но только для клиентов конкретных групп.

3. Кассир. Ограниченный доступ к функциям биллинга. Доступно ограниченное управлениеклиентами программы в рамках заданных групп - ввод оплат, изменение персональныхнастроек тарифов, управление сессиями, т.е. все операции, доступные в мониторе работы.Отчеты доступны, но только для клиентов конкретных групп.

Автодобавление пользователей

Для упрощения работы с программой есть функция автодобавления пользователей.Реализация ее похожа на функцию автодобавления клиентов. В группе администраторовможно задать одну или несколько групп Windows. При Windows аутентификации, еслипользователь с таким логином не найден и является членом одной из групп Windows, он будетавтоматически добавлен в соответствующую группу администраторов.

При установке программы по умолчанию имеется предопределенная группа администраторов,где разрешено автодобавление для любой группы Windows: т.е. любой пользователь Windowsдобавляется с список пользователей программы как администратор, с полными правами.

Доступ через MMC-консоль

Через консоль возможен доступ только под учетными записями пользователей программы.Аутентификация возможна по NTLM (встроенная Windows-аутентификация) или логину (имя +пароль). Во втором случае используется встроенная учетная запись.

Под учетными записями клиентов биллинга доступ в консоль не предусмотрен.

Доступ через веб-сервер

В веб-сервере программы можно назначить различные типы доступа для каждого виртуальногодиректория. Возможен и анонимный доступ.

Аутентификация выполняется стандартными средствами веб-сервера через протокол HTTP/SSL, может использоваться Basic и NTLM. Если для виртуального директория разрешен

40Traffic Inspector

© 2003 - 2010 SMART-SOFT

анонимный доступ, то аутентификация и авторизация не выполняются.

В процессе авторизации проверяются все возможные учетные записи - и пользователей, иклиентов. А также проверяется наличие уже имеющейся авторизации клиента программы сданного IP-адреса. При этом возможна авторизация сразу в двух вариантах одновременно -как пользователя и как клиента программы. Применяется в веб-приложениях: например, в веб-портале есть два основных раздела - личный для клиента программы и разделадминистратора.

Профили

В программе предусмотрена функция сохранения произвольных данных пользователей иклиентов программы в профиле. В веб-портале это используется для сохраненияперсональных настроек.

Профиль - это набор произвольных данных для каждой учетной записи, зарегистрированной впрограмме. На веб-сервере можно авторизоваться сразу под двумя учетными записями - какпользователь и как клиент программы, отсюда возможен одновременный доступ к двумпрофилям. Профиль клиентов используется для сохранения настроек в разделе личнойстатистики, профиль пользователя - в разделе администрирования портала.

Для того чтобы иметь возможность применять определенные настройки сразу для групппрофилей (настройки "по умолчанию"), реализованы следующие профили:

Для групп администраторов.Для всех групп администраторов. В качестве этого профиля выступает предопределеннаягруппа Администратор.Для всех клиентов программы.

Другими словами, для пользователей есть три уровня иерархии профилей, для клиентовпрограммы - два.

Для управления данными профилей предусмотрены операции очистки и копирования.

Все функции работы с профилями доступны через API, т.е. этот функционал можетиспользовать любое внешнее приложение для хранения своих произвольных данных.

Данные профилей размещаются в базе данных profile.db3. Удаление этого файла приведет кполной очистке данных всех профилей.

1.3.2.13 WWW-сервер

Это универсальный WWW-сервер с поддержкой технологии ASP.NET. Для безопасногодоступа имеется поддержка SSL.

С помощью этой службы решается ряд задач:

Сервер статистики клиента (личный кабинет). Просмотр текущего состояния и различныхотчетов о своей работе.Поддержка авторизации клиента методом HTTP со стороны агента. Может использоватьсядля не Windows-платформ.Формирование отчетов для администраторов.Различные расширения биллинг-платформы.Любые другие задачи.

WWW-сервер конфигурируется на отдельном TCP-порту по всем IP-адресам сервера, т.е. онзапускается независимо от конфигурирования интерфейсов. Для SSL предусмотрен отдельныйTCP-порт. В ранних версиях программы WWW-сервер представлял собой составную частьHTTP прокси-сервера, и к нему обращались по TCP-порту HTTP-прокси. Для обеспечениясовместимости прокси-сервер при таких обращениях производит перенаправление на порт



WWW-сервера.

WWW-сервер может быть открыт для доступа с внешних сетей.

Есть возможность гибкой настройки разделов сервера - виртуальных и физических путей, правдоступа, приложений ASP.NET. Подробности этих настроек описаны в разделе"Администрирование". Предусмотрена настройка перенаправления при запросе различныхресурсов сервера. Перенаправление возможно как на свои, так и на внешние ресурсы.

Поддерживается аутентификация BASIC и NTLM. Для обеспечения безопасности BASICследует применять только с SSL. В силу специфики решаемых задач предусмотренонесколько видов авторизации клиента при запросе к WWW-серверу. Подробнее это описано в предыдущем разделе.

Внутри приложения ASP.NET также может быть задействована своя авторизация, системаправ и ролей. Приложение тесно интегрировано с Traffic Inspector и имеет доступ ко всейинформации о запросе, авторизации и т.д.

Более подробно особенности написания ASP.NET приложений описаны в SDK.

Сервер авторизации HTTP/SSL

веб-сервер функционально поддерживает и работу клиентских агентов по протоколам HTTP/SSL. Для аутентификации при этом используются те же стандартные HTTP-методы. Болееподробная информация содержится в SDK.

1.3.2.14 Автоматизация

В программе учтен набор средств по расширению функциональных возможностей программы:

API: программный интерфейс, через который любое внешнее приложение может получитьдоступ ко всем возможностям администрирования и управления. Подробно описан в SDK.Встроенные скрипты автоматизации: могут использовать языки JScript или VBScript. Вотличие от внешних скриптов они запускаются в среде службы программы, имеютрасширенное объектное окружение и позволяют более гибко и эффективно решатьразличные задачи. Подробное описание их применения доступно в SDK.Планировщик заданий: позволяет запустить по расписанию любую внешнюю программуили встроенный скрипт автоматизации. Плюс имеется несколько других предопределенныхтипов заданий.Запуск встроенных скриптов по событиям.

Для выполнения скриптов по событиям в программе реализована внутренняя очередь заданий.Событие не приводит к немедленному выполнению скрипта - оно создает задание и ставит егов очередь, при этом в нем запоминается текущее состояние объекта. Все задания из очередиобрабатываются последовательно.

1.3.2.15 Модули расширения и антивирусы

К программе могут подключаться отдельные модули расширения (плагины). Механизмподключения модулей универсальный - их подключение не требует переустановки самойпрограммы. Программа автоматически находит эти модули, определяет тип и включает их всвою конфигурацию. Кроме серверной части модуля, предусматривается модуль расширенияконсоли администратора. Установка модулей описана в разделе "Установка модулейрасширения".

1.3.3 Характеристики

Основные характеристики программы:

Внутренние и внешние сети - топология;Advanced Routing;Авторизация клиентов;Ограничения работы клиентов;Тарификация;

42Traffic Inspector

© 2003 - 2010 SMART-SOFT

Контроль внешнего трафика;Сетевая статистика;Прокси-сервер;SMTP-шлюз;Сетевой экран;Bandwidth control (шейпер);WWW-сервер;Клиентский сервис;Администрирование;Хранение данных и отчеты;Интерфейс автоматизации и модули расширения;Ограничения применения программы.

Внутренние и внешние сети: топология

Сервер может работать с несколькими сетевыми интерфейсами в сложной по топологиисети. Поддерживаются все интерфейсы с 802.3 (Ethernet), 802.11 (Wi-Fi), WAN PPP, WAN VPN(PPTP, L2TP). Имеется встроенная поддержка протокола IEEE 802.1Q (Tag based VLAN).Работает совместно с NAT от Windows. Поддерживается RAS (Dial-out), VPN (PPTP,L2TP), PPPoE. Работает с RAS-сервером (Dial-In клиенты), поддерживаются как модемные соединения, таки VPN (PPTP, L2TP). Внутренние сети могут быть описаны как локальные (например, внутриофисная сеть) илипубличные (например, домовая). Для разных сетей могут использоваться разные политикидоступа.Для съема трафика пользователей через другие сервера внутренней сети можетиспользоваться специальный режим сниффера ("прослушки"). Сервер может работать с несколькими внешними интерфейсами, т.е. предусмотренонесколько подключений к сети Интернет. Для работы с динамическими внешними интерфейсами есть режим их автоматическоговыбора. Обеспечивается корректная работа при разделении входящего и исходящего трафика навнешних интерфейсах (например, при работе через спутник). Возможна работа клиентов на терминальном сервере.

Advanced Routing

Расширяет функции роутера Windows. Эта функция известна как policy routing или sourcerouting.

Перенаправление трафика через заданный внешний интерфейс для группы пользователей. Перенаправление трафика через заданный внешний интерфейс для пользователяиндивидуально. Применение перенаправления для заданного типа трафика. При работе через прокси можнотакже задать тип HTTP-контента. В фильтрах можно задать в качестве условия факт перенаправления трафика.

Авторизация клиентов

Авторизация по сетевому адресу - IP, MAC или вместе. Можно задать диапазон IP-адресов. Авторизация по имени и паролю. Используются встроенные учетные записи или учетныезаписи Windows. Поддерживается авторизация с разных доменов Windows.Для учетных записей Windows используется NTLM-аутентификация. Для HTTP-прокси иSOCKS может использоваться и BASIC.Запись MAC-адресов клиентов авторизации в таблицу статических ARP-операционнойсистемы. Авторизация по адресам электронной почты: используется в SMTP-шлюзе. Авторизация через API. Позволяет использовать сторонние программы.



Контроль нарушений правил авторизации. В программе ведется учет нарушений доступа,производится запись этих событий в сетевую статистику и журнал, а также возможнооповещение администраторов по электронной почте.Автоматическое добавление клиентов Windows. Имеется возможность ограничить это изотдельной группы Windows, а также сразу помещать новых клиентов в разные группы TrafficInspector с привязкой к группам Windows.Максимальное количество клиентов - 8191. Максимальное количество групп клиентов - 255.

Ограничения работы клиентов

По датам. По расписанию в пределах недели. Задаются часы и дни недели.По доступу к ресурсам. Есть групповые и общие фильтры на запрещение и разрешение.Фильтры применяются как на IP-уровне для любого трафика (IP-адреса, протоколы и порты),так и на уровне приложений при работе через HTTP-прокси (HTTP, FTP, URL, типы данных,regular expressions). Вместо IP-адресов можно задавать и имена хостов, что описаниефильтра делает независимым от изменений адресов ресурсов. По IP- и MAC-адресам клиента. Для пользователей с авторизацией по имени это можетиспользоваться для введения дополнительных ограничений. По доступу к службам программы.По количеству TCP-сессий. Это ограничение работает как для прямого трафика, так и черезпрокси (SOCKS).Запрет многопоточной закачки через прокси-сервер.Защита от перегрузки сети и сервера - функция virus flood protect. Использует анализ трафикапользователя и блокирует его при переполнении сетевой статистики.Ограничение по номеру VLAN.

Тарификация

Различный вид учета трафика: по входящему, исходящему, сумме входящего иисходящего и максимальному значению от входящего и исходящего. Есть возможность задания предоплаченного (бесплатного) трафика. Возможно тарифицировать время работы клиентов. При этом абонентская плата можетначисляться посуточно или поминутно за время реальной работы. Тарифы могут быть изменены задним числом: любое их изменение влечет немедленныйпересчет всех данных по биллингу. Могут задаваться скидки на трафик из кэша, а также почтовый трафик. Учет может вестись по разным тарифам; те, в свою очередь, выбираются по разнымкритериям: тип трафика, расписание и т.д.Для каждого тарифа есть лимиты: суточные, недельные и месячные. Для каждого счеталимиты контролируются по каждому тарифу.Работа в кредит: при работе клиента в кредит до момента блокировки могут быть примененыотдельные политики доступа. Групповые счета, в которые можно объединить несколько клиентов. Для группового счетадоступны все возможности тарификации.Текущий статус клиента со всеми его параметрами тарификации отображается в реальномвремени.

Контроль внешнего трафика

Реализован двойной учет трафика: кроме тарификации клиентов, разработаны отдельныевнешние счетчики.Для учета общего трафика, потребляемого у провайдера, имеются контролируемыесчетчики, которые описываются как IP-сети. С их помощью можно учитывать трафик отпровайдера. Несколько таких счетчиков позволяют вести раздельный учет разного видатрафика (льготный или бесплатный). Для контролируемых счетчиков задаются лимиты: предупреждения, перерасхода иежедневный, при превышении которых выдается оповещение администратора - в противномслучае данное направление (трафик) может быть заблокировано. При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнееприложение.

44Traffic Inspector

© 2003 - 2010 SMART-SOFT

Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешниеинформационные счетчики, где есть дополнительная возможность анализировать трафик поIP-протоколам и портам. Данные по внешним счетчикам могут отображаться как в реальном времени, так изаписываться в базу данных для формирования отчетов.

Сетевая статистика

Для клиентов и внешних счетчиков может быть включен сбор сетевой статистики в контекстеIP-адресов, протоколов и портов. Есть возможность индивидуально или для всех задавать степень детализации - интерваланализа и количество активных соединений. Текущая статистика может отображаться в реальном времени и записываться в журнал дляпоследующего анализа и формирования отчетов. Для дополнительного анализа хостов и сетей используется сервис WhoIs и NetGeo.

Прокси-сервер

Протоколы: HTTP/1.1 (Keep-Alive, Pipelining), FTP, SOCKS 4/5. Аутентификация: BASIC (открытым паролем) или интегрированная NTLM v. 1/2. Кэширование: есть много настроек для выбора оптимальных параметров с точки зренияэкономии трафика. Индивидуальная гибкая настройка параметров кэширования для отдельных ресурсов. Кэш хранится в одном файле, полностью исключена его внутренняя фрагментация.Фильтрация контента: прокси-сервер использует общие с IP-фильтрами списки, но для негоесть возможность также задавать тип контента и вести анализ протокола и URI, вплоть доконтекстного поиска с помощью выражений regular expressions.Есть поддержка метода HTTP CONNECT: через прокси-сервер в этом режиме можетработать SSL, FTP или любое другое TCP-приложение, позволяющее работать через HTTP-туннель. FTP через HTTP (метод GET): прокси-сервер генерирует HTML-страницы, позволяя работатьс FTP-серверами в режиме чтения. При этом работает автоматическое переключение междуактивным и пассивным режимами для протокола FTP. Авторизация: сквозная. Если пользователь не авторизовался, то по необходимостизапрашивается аутентификация через прокси- или SOCKS-сервер. Автоматическое конфигурирование браузеров в соответствии с принятыми стандартами.Прокси-сервер выдает клиентам стандартный WPAD.DAT JAVA-скрипт для ихконфигурирования. Есть возможность задания в нем LAT (таблицы локальных адресов) илисписка имен. Может быть использовано принудительное конфигурирование браузеров черезклиентского агента. Форвардинг HTTP-, FTP- и SOCKS-запросов на другие прокси в соответствии с правилами. Блокировка HTTP-трафика мимо прокси-сервера, редирект TCP/80 на прокси-сервер("Прозрачный прокси").Оперативное управление режимами фильтрации и кэширования со стороны клиента.

SMTP-шлюз

Публикует снаружи один внутренний SMTP-сервер. Запрещает открытые relay (пересылки), что позволяет использовать внутри сети самыепростые почтовые сервера. Есть проверка адресов отправителей на достоверность их домена. Учтена проверка хостов отправителей с помощью служб RBL, базирующихся на DNS.Многопоточная реализация позволяет задействовать большое количество служб безвнесения дополнительных задержек. Через RBL также могут проверяться и всепромежуточные SMTP-сервера анализом заголовков сообщений. Служба реализована ввиде модуля расширения.Гибкие правила обработки почтовых сообщений.Тарифицирует входящую почту для известных получателей - клиентов программы. В целяхэкономии трафика прием почты для неизвестных получателей может быть запрещен. Отдельно может быть запрещен и прием почты для отключенных или заблокированныхпользователей.



Сетевой экран

Внешний сетевой экран по умолчанию закрывает все запросы извне, при этом прозрачноразрешая исходящие TCP-, UDP- и ICMP-данные, в связи с чем настройка службыпрактически не требуется. Динамическая UDP-фильтрация: позволяет корректно отличать входящие UDP-запросы отисходящих, прозрачно разрешая исходящие UDP-данные. Динамическая фильтрация FTP-DATA. Производится анализ FTP-команд PORT и PASV ивыставление временных разрешений. Это позволяет без проблем работать как с активнымрежимом (клиент), так и с пассивным (публикуемый сервер). Для разрешения работы различных серверных приложений или других протоколов можноотдельно задать список разрешающих и запрещающих правил. На информационных счетчиках можно вести раздельный учет и анализ отфильтрованноговходящего трафика (анализ флуда, сканирования портов и др.). Для защиты самого сервера изнутри сети также может быть включен внутренний сетевойэкран. Его функциональность аналогична внешнему.

Bandwidth control (шейпер)

Служба работает по любому трафику, проходящему через сервер. В том числе черезпрокси-сервер и SOCKS. Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием ипередачу. Динамическое ограничение: назначение суммарной максимальной скорости для группы,отдельно на прием и передачу. Ограничение по количеству пакетов. Полезная функция для предотвращения перегрузкисети при эпидемиях вирусов. Назначение в фильтрах типа трафика, который надо исключить из контроля. Выставление отдельных ограничений скорости для конкретного типа трафика. Выставление приоритетов на определенный тип трафика. Эта настройка позволяет менятьочередность обработки пакетов во внутренней очереди шейпера и передавать эти данные сминимальными задержками. Для всех правил может быть назначено расписание, что позволяет динамически изменятьнастройки этой службы в зависимости от времени. При работе через прокси-сервер есть возможность настроить полосу отдельно для разноготипа контента. Данные из кэша прокси-сервера, а также с локального веб-сервера (сервер статистики)ограничениям по скорости не подвергаются.

WWW-сервер

Встроенный HTTP/SSL-сервер, на базе которого реализованы задачи:

Приложения для клиентского доступа: агент авторизации, отчеты, личный кабинет.Отчеты и другие приложения для администраторов.Другие расширения платформы.

Возможности WWW-сервера:

Протокол: HTTP/1.1. Поддерживается Keep-Alive, докачка, теги кэширования.SSL-протоколы: TLS (SSL 3.1), SSL 3.0, SSL 2.0. SSL 1.0.Назначение разных серверных сертификатов для запросов с разных сетей.Встроенное издательство сертификатов.Приложения ASP.NET на базе .NET Framework 2.0. Может быть сконфигурированонеограниченное количество виртуальных сайтов. Используется отдельный процесс Windows,легкая отладка приложений сторонними разработчиками.Гибкое назначение разделов, предусмотрено переопределение физических путей.Авторизация как клиентов Traffic Inspector, так и администраторов программы.Гибкое назначение прав доступа на разделы. Работает авторизация в рамках ASP.NET-приложения.

46Traffic Inspector

© 2003 - 2010 SMART-SOFT

Функция просмотра файловых директориев.Встроенный механизм ASP.NET-сессий на базе Cookies.Профили клиентов и групп: хранилище данных настроек приложений.

Клиентский сервис

Встроенный веб-сервер имеет "личный кабинет" клиента.

С помощью специальной программы клиентского агента пользователь можетсамостоятельно:

видеть текущий баланс;видеть количество израсходованных средств за время работы агента;можно настроить оповещение о том, что средства на счету подходят к концу; переключать уровни фильтрации контента: работать в режиме "сбережения" трафика. переключать режимы кэширования прокси-сервера: позволяет без проблем просматриватьбыстро обновляемые ресурсы, имея при этом хорошие показатели экономии трафика за счеткэширования;прием сообщений: администратор может разослать быстрое оповещение пользователям, укоторых используется клиентский агент;сетевые протоколы: UDP (свой), HTTP или SSL; автоматические настройки: поиск сервера в сети, автоматический выбор протоколов;автоматическое конфигурирование Internet Explorer;инсталлятор агента доступен для загрузки в "Личном кабинете".

Для клиентов, не работающих в ОС Windows, имеется web-агент, который используетбраузер.

Администрирование

Консоль администратора реализована для MMC - Microsoft Management Console. Этопозволяет создавать комплексные гибкие инструменты совместно с другими средствамиадминистрирования Windows.Удаленное управление: для удаленного доступа используется технология DCOM.Поддерживается одновременное подключение нескольких консолей.Ограничения доступа администраторов: имеются ограниченные группы доступа к функциямбиллинга - менеджеры и кассиры.Некоторые функции администраторов доступны через встроенный веб-сервер.Сброс настроек по умолчанию, а также их выборочная загрузка с файлов конфигурации.

Хранение данных и отчеты

Данные конфигурации хранятся в XML-файлах, плюс используется SQLite - встроенная базаданных. Для нее не требуется драйверов, конфигурирования ODBC и т.д.Имеются встроенные средства для резервного копирования и очистки устаревших данных.Может быть подключен внешний Microsoft SQL Server, MySQL или PostgreSQL. В этомслучае обеспечивается одновременная работа со встроенной базой данных (оперативныеданные) и внешней.К внешней базе данных может быть подключено несколько серверов Traffic Inspector, чтопозволяет иметь сводные отчеты.Отчеты реализованы в виде ASP.NET-приложения на базе встроенного веб-сервера.Набор отчетов может быть легко расширен использованием интерфейса автоматизации.

Интерфейс автоматизации и модули расширения

Для расширения возможностей программы сторонними разработчиками имеетсядокументированный интерфейс автоматизации. Он также может использоваться для запускаразличных скриптов, которыми можно решать задачи, не предусмотренные в программе.К программе могут подключаться внешние модули расширения - плагины. Они имеютоткрытый программный интерфейс.



Ограничения применения программы

К ограничениям применения текущей версии программы можно отнести:

Сложно организовать персональный учет работы пользователя, когда он работает на самомсервере доступа. Этот учет в полном объеме возможен только для PE-версии на одиночномкомпьютере при условии отсутствия внутренних сетей. Ограниченный учет возможен толькопри условии применения таким клиентом HTTP-прокси или SOCKS с использованием режимаавторизации как к серверу терминалов.Имеется отдельный программный продукт Traffic Inspector Workplace, решающий этузадачу.Нельзя организовать учет работы пользователя на компьютере, где работают серверныеслужбы, использующие Интернет, отдельно от них, если при этом пользователь неиспользует прокси или SOCKS. Для полноценного учета трафика такие сервера должны бытьвыделенными.Имеется отдельный программный продукт Traffic Inspector Workplace, решающий этузадачу.Не получится организовать учет работы для нескольких пользователей при использованииNAT, если они работают на терминальном сервере. Учет возможен только при условииприменения таким клиентом HTTP-прокси или SOCKS с включением соответствующегорежима авторизации.SMTP-шлюз не работает по исходящему почтовому трафику. Но если пользователи дляотправки почты используют SMTP, то исходящий почтовый трафик легко учитываетсянастройкой тарификации по 25-му порту TCP как для почтового сервера, установленного насамом сервере доступа, так и для сервера во внутренней сети.Нет возможности описать фильтры на уровне приложений при работе через NAT. Этодоступно только при работе через прокси-сервер.Из-за особенностей сетевого драйвера программы Traffic Inspector не сможет нормальноработать с другими программами, имеющими свой NAT (не использующими NAT Windows):например, WinGate, WinRoute. Для такой совместной работы на одном сервере NAT упрограмм должен быть отключен (если это вообще возможно).Могут быть проблемы совместимости с другими программами. Об этом подробно описано вразделе про установку программы.Протокол IPv6 не поддерживается.

1.3.4 PE-режим

В программе предусмотрен специальный режим работы для персонального использованияпрограммы - смотрите соответствующее решение "Персональное или семейное использование".

Главной особенностью этого режима является то, что трафик пользователя учитываетсясъёмом его на внешнем интерфейсе компьютера и авторизуется при этом только одинпользователь одновременно.

Этот режим включается в мастере конфигурирования, где на первой страничке надо выбратьсоответствующую опцию. Также имеется отдельный вариант инсталлятора, где в конфигурациипо умолчанию это сразу выбрано.

В основном настройка программы в этом режиме не отличается от сетевой, но имеются важные отличия:

В мастере конфигурирования программы нет возможности задать внутренний интерфейс.Прокси сервер, SOCKS и служба авторизации доступны только на интерфейсе LocalHost(127.0.0.1).В мастере конфигурирования не требуется прописывать интерфейсы для спутниковогоподключения.

48Traffic Inspector

© 2003 - 2010 SMART-SOFT

Доступна только NTLM авторизация и только через агента. Поэтому все пользователи такжедолжны быть заведены в Windows или домене.Отсутствуют списки фильтров "Для всех" и "Не клиентов". Взамен для разрешения илизапрещения трафика независимо от состояния авторизации используются разрешения всписке внешнего Firewall.Недоступны настройки 3-х опций разрешения исходящего ICMP, TCP и UDP трафика вовнешнем Firewall. Они всегда включены, если клиент авторизован и если у него поумолчанию весь трафик не запрещен. Все другие настройки в окне общих настроеквнешнего Firewall действуют "для всех".Все настройки внутреннего Firewall не работают и лишены смысла.Не работает функция Advanced Routing и SMTP-шлюз.Отсутствует Внутренний сетевой экран и настройка Сервера терминалов.В прокси сервере и SOCKS функции биллинга и шейпера отключены, так как трафиктарифицируется съёмом его с внешнего интерфейса. Из-за этого в фильтрах приложений неработают все опции с закладки "Действия". Также из-за этого в сетевой статистике неотображаются имена хостов из запросов и протоколы уровня приложений.

Агента для PE режима лучше всего запускать с ключом -pe, в этом случае обращение идетсразу к 127.0.0.1 и разрешена только NTLM аутентификация. Можно также запустить агентв персональном режиме зайдя в Пуск\ Программы\ Traffic Inspector\ Клиентский агент.

В программе нужно завести пользователя такого же как и в Windows, пароль вводить ненужно (например: в поле Логин вписать test1 - пользователь Windows (логин, под которымосуществляется вход в windows)). Если у вас несколько пользователей Интернета, то длякаждого нужно заводить логин в Traffic Inspector и каждый должен входить в Windows подсвоим логином и паролем.

Пример запуска агента:C:\Program Files\TrafInsp\Redist\trafinspag.exe -pe

О настройках агента подробнее можно посмотреть в разделе "Работа с клиентским агентом".

Также допускается одновременный запуск по одному экземпляру агента как в PE режиме, таки в обычном режиме - это может быть полезно.

Для работы фильтрации F1-F4 нужно настроить ваш броузер на работу с прокси-серверомпрограммы Traffic Inspector.

Конфигурирование Internet Explorer:Конфигурирование производится выбором соответствующего пункта меню агента -Конфигурирование Internet Explorer. Производится запись адреса скриптаавтоконфигурирования следующего типа http://127.0.0.1:8080/config.script (Start -> Settings ->Control Panel ->Internet Options -> Connection -> LAN Settings).

Подробнее о конфигурировании других броузеров написано в разделе Настройка броузеров.

Некоторые рекомендации по настройке персонального режима можно прочесть на сайте вразделе Документация.

1.3.5 Лицензионное соглашение

ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ на использование и распространение

1. Обладателем исключительных прав на программу Traffic Inspector иее разработчиком является ООО «СМАРТ-СОФТ».

2. Программа версии DEMO и PE предназначена исключительно дляНЕКОММЕРЧЕСКОГО ИСПОЛЬЗОВАНИЯ или ТЕСТИРОВАНИЯ. Регистрацииуказанных версий программы не требуется, и ограничения срока ееиспользования нет.



3. Информация о приобретении других версий программы и порядка ееустановки размещена на сайте http://www.smart-soft.ru.

4. Если данный дистрибутив используется для установки платных версийпрограммы Traffic Inspector, то в этом случае между лицензиатом и ООО «СМАРТ-СОФТ» или его уполномоченным дилером должен бытьзаключен соответствующий лицензионный договор.

5. ООО «СМАРТ-СОФТ» оставляет за собой право отменить действиеданной лицензии для любой из следующих версий Traffic Inspector.

6. Traffic Inspector версии DEMO и PE распространяется свободно, приусловии того, что настоящий дистрибутив не изменен. Ни одно лицоне может брать плату за распространение Traffic Inspector безписьменного разрешения ООО «СМАРТ-СОФТ».

7. TRAFFIC INSPECTOR ПОСТАВЛЯЕТСЯ ПО ПРИНЦИПУ "AS IS". НИКАКИХГАРАНТИЙ НЕ ПРИЛАГАЕТСЯ И НЕ ПРЕДУСМАТРИВАЕТСЯ. ВЫ ИСПОЛЬЗУЕТЕЭТО ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ НА СВОЙ РИСК. ООО «СМАРТ-СОФТ» НЕ БУДЕТ ОТВЕЧАТЬ НИ ЗА КАКИЕ ПОТЕРИ ИЛИ ИСКАЖЕНИЯ ДАННЫХ, ЛЮБУЮУПУЩЕННУЮ ВЫГОДУ В ПРОЦЕССЕ ИСПОЛЬЗОВАНИЯ ИЛИ НЕВОЗМОЖНОСТИИСПОЛЬЗОВАНИЯ ЭТОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ДАЖЕ ЕСЛИ ООО«СМАРТ-СОФТ» БЫЛО ВЫНЕСЕНО ПРЕДУПРЕЖДЕНИЕ О ВОЗМОЖНОСТИ ТАКИХУБЫТКОВ.

8. Для Traffic Inspector версии DEMO и PE гарантированнаятехническая поддержка не предусматривается, но по всем вопросамиспользования программы вы можете обращаться к разработчикам, ипо возможности помощь будет оказана.

9. Вы не можете использовать, копировать, эмулировать, создаватьновые версии, сдавать в наем или аренду, продавать, изменять,декомпилировать, дизассемблировать, изучать код программы другимиспособами, передавать зарегистрированную программу или любые изее составляющих иначе, чем определено настоящим лицензионнымсоглашением. Любое такое нелегальное использование означаетавтоматическое и немедленное прекращение действия настоящегосоглашения и может преследоваться по закону. Все права, непредоставленные здесь явно, сохраняются за ООО «СМАРТ-СОФТ».

10. Traffic Inspector может содержать стороннее программноеобеспечение для защиты от декомпиляции, дизассемблирования иизучения кода программы, которое будет установлено вместе спрограммой.

11. Установка и использование Traffic Inspector означает, что выознакомлены с положениями настоящего лицензионного соглашения исогласны с ними.

12. Если вы по какой-либо причине не согласны с этим лицензионнымсоглашением, вам необходимо удалить файлы дистрибутива TrafficInspector с ваших устройств хранения информации и прекратитьиспользование этой программы.

13. ООО «СМАРТ-СОФТ» гарантирует отсутствие умышленных деструктивныхи шпионских функций в программе.

14. Данное лицензионное соглашение не является действительным дляпоследующих версий программы.

50Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.4 Типовые решения

В этом разделе описаны варианты некоторых типовых конфигураций реализации программы вСети. Вариантов может быть очень много, и все возможные в этот раздел не вошли. Если естьсомнения, лучше всего перестроить конфигурацию своей сети для использования типовыхрешений, т.к. программа разрабатывалась прежде всего именно для таких конфигураций.

1.4.1 Офисная сеть

Классический вариант. Сеть состоит из одного или нескольких Ethernet-сегментов иподключена к Интернету через сервер доступа с ОС Windows. Это типичный случай длянебольшой или средней организации.

- Сетевой экран (Firewall)

- Учет трафика по клиентам

- Кэширование

- Статистика и анализ

Traffic Inspector устанавливается на сервер доступа. Для доступа в Интернет из внутреннейсети используется NAT Windows и прокси-сервер программы Traffic Inspector. На серверепрограмма работает с одним внешним и одним внутренним интерфейсами. Для вариантадомовой сети под рабочими станциями подразумеваются подключенные клиенты.

Для защиты сервера извне используется Firewall. Это может быть встроенный сетевой экранпрограммы Traffic Inspector.

На сервере доступа также могут быть установлены почтовый сервер или другие прокси-сервера, например Microsoft ISA (об особенностях их совместного использования читайте вразделе "ISA сервер"). Почтовый сервер может находиться и внутри локальной сети - смотритевариант Корпоративная сеть. Также внутри сети могут находиться и другие сервера, напримерWEB. Они могут быть опубликованы через NAT.



Следует отметить, что подключение к Интернету может производиться не напрямую, а черезкакое-либо "железное" устройство - вроде сетевого экрана (Firewall) . Оно также можетиспользовать NAT - тогда все IP-адреса за ним будут внутренними. В этом случаецелесообразно NAT на сервере доступа не использовать и настроить его как роутер.

Точный учет трафика по каждому клиенту. Формирование отчетов за выбранный период.

Простой в настройке Firew all, полностью закрывающий сеть снаружи.

Почта, ICQ и т. п. не требуют дополнительных настроек (используется NAT).

Кэширующий прокси-сервер с экономией трафика до 30%.

Ограничения по расписанию, контенту, скорости работы и т. д.

Фильтрация баннеров, графики и мультимедиа, а также нежелательных сайтов.

Контроль работы в реальном времени удаленно через консоль управления.

1.4.2 Корпоративная сеть

В крупных корпоративных сетях обычно используется внутренний почтовый сервер, он можетбыть опубликован через SMTP-шлюз программы Traffic Inspector. В этом случае естьвозможность настроить фильтрацию спама, подключив службы "черных списков".




- SMTP-шлюз с защитой от спама


Кроме того, часто возникает ситуация, когда нужно подключить к сети Интернет сторонниеорганизации, при этом считая их трафик.Для этого варианта на сервере доступа Traffic Inspector настраивается на работу снесколькими внутренними интерфейсами, и к сетям могут быть применены различные политикидоступа, чтобы обезопасить внутреннюю сеть организации.Клиентам также могут назначаться "белые" IP-адреса, и на них могут маршрутизироватьсяподсети. В этом случае сервер доступа выступает роутером. Для минимизации количества

52Traffic Inspector

© 2003 - 2010 SMART-SOFT

требуемых "белых" IP-адресов, назначаемых клиентам, также можно использовать IP AddressMapping службы NAT.

Точный учет трафика по каждому клиенту с возможностью блокировки. Формирование отчетов за

выбранный период.


Почта, ICQ и т.п. не требуют дополнительных настроек (используется NAT).


SMTP-шлюз с блокировкой спама позволяет тарифицировать входящий почтовый трафик.

Ограничения по расписанию, контенту, скорости работы и т.д.



1.4.3 Домовая сеть

В домовых сетях компьютеры не всегда могут контролироваться администратором вдостаточном объеме, поэтому Traffic Inspector позволяет закрыть сервер доступа и учета какснаружи, так и изнутри.





- Ограничение скоростей клиентов и их групп

Клиенты могут авторизоваться по логину с паролем, IP, МАС и их сочетаниям, а также черезVPN. Фиксирование нарушений политики авторизации поможет отследить недобросовестныхпользователей и принять необходимые меры.Специально для домовых сетей можно подключить систему оплаты по карточкам BillingOperator. В ней вы сможете создавать серии карточек, печатать их, а клиенты смогутпополнять свой счет и менять тарифы на отдельной странице веб-статистики.



Простой в настройке Firew all, полностью закрывающий сеть снаружи. Изнутри ограничения задаются



фильтрами по необходимости.

Почта, ICQ, игры и т.п. не требуют дополнительных настроек (используется NAT).

Автоматическая блокировка клиента при заражении сетевыми вирусами.

Кэширующий прокси-сервер с экономией до 30% позволяет сократить издержки на трафик.

Система карточек предоплаты упрощает оплату доступа к сети.

Клиенты видят свой баланс, статистику на встроенном веб-сервере и могут управлять специально

настроенными для них фильтрами - например, отключать баннеры и графику.


Динамическое управление шириной канала (шейпер), ограничение скоростей клиентов и их групп.


1.4.4 Сеть провайдера

Программа Traffic Inspector может использоваться и в сетях организаций, предоставляющихплатные услуги доступа в сеть Интернет. Если имеются сервера с публичными интернет-службами - WEB, FTP или другими, - то их можно вынести в DMZ, специальный сегмент сети("демилитаризованную зону"). Это выгодно, если для размещения данных служб на сервередоступа не хватает ресурсов и нужны дополнительные меры по безопасности.





- Ограничение скоростей клиентов и их групп

С точки зрения возможности взлома, наиболее уязвимы именно те службы, у которых открытыпорты на прием. Если на самом сервере доступа таких служб нет, то и сломать его напрямуюбудет невозможно. Служба Firewall программы Traffic Inspector полностью закрывает такуювозможность извне. А веб-сервера довольно уязвимы из-за их сложности и наличия в нихскрытых ошибок. Довольно легко может ошибиться и администратор при их настройке.

Сервера в DMZ и все остальное должно быть настроено так, чтобы в случае взломавнутренняя сеть не пострадала. Эти сервера не должны входить в домен Windows. Поэтомуим здесь не место (например, серверу Microsoft Exchange).

54Traffic Inspector

© 2003 - 2010 SMART-SOFT

Если не требуется учитывать трафик отдельно для служб серверов сети DMZ, то в программе Traffic Inspector интерфейс этой сети можно совсем не описывать. Для защиты серверадоступа и внутренней сети из сети DMZ надо принять отдельные меры, например настроитьслужбу RRAS Windows на фильтрацию трафика.

Дополнительно можно подключить систему оплаты по карточкам Billing Operator. В ней высможете создавать серии карточек, печатать их, а клиенты смогут пополнять свой счет именять тарифы на отдельной странице веб-статистики.





Авторизация через VPN.










1.4.5 Сеть компьютерного клуба или интернет-кафе

Для работы клуба или интернет-кафе обеспечения учета трафика и безопасности извненедостаточно - необходимо блокировать компьютер на время простоя и по завершению сеансапользователя, подсчитывать наработанный трафик и т.п. Чтобы обеспечить такоерешение, программа Traffic Inspectorинтегрируется с программой автоматизациикомпьютерных залов LOCKER от компании PSoft.







При совместной работе этих двух программ LOCKER управляет сеансами на компьютерах,ведет учет времени работы, блокирует подключение к сети Интернет подачей команд впрограмму Traffic Inspector, который, в свою очередь, передает информацию о наработанномтрафике и обеспечивает безопасность сети. При желании можно подключить дополнительныхклиентов, которым вы можете оказывать услугу предоставления доступа в Интернет, учитываяих трафик отдельно. Подробнее об интеграции можно прочитать на нашем сайте: www.smart-soft.ru.

Точный учет времени работы, оплаты и наработанного трафика по каждому сеансу клиентов с

возможностью блокировки. Формирование отчетов за выбранный период.

Контроль работы, ввод проплат в реальном времени через компьютер оператора зала.





Клиенты могут управлять специально настроенными для них фильтрами - например, отключать баннеры и

графику.

Динамическое управление шириной канала (шейпер), ограничение скорости передачи данных по сети на

компьютерах.

1.4.6 Персональное использование

Программа Traffic Inspector может быть также бесплатно использована для учета трафика надомашнем компьютере, защиты от внешних атак, экономии за счет кэширующего прокси-сервера и блокировки баннеров. Можно завести отдельный счет для каждого члена семьи,ограничить время доступа, запретить нежелательные сайты, просматривать статистикупосещенных ресурсов.

56Traffic Inspector

© 2003 - 2010 SMART-SOFT





Точный учет трафика по каждому пользователю с возможностью блокировки. Формирование отчетов за


Простой в настройке Firew all, полностью закрывающий компьютер снаружи.


Ограничения доступа по расписанию, контенту, и т.п.


В режиме Personal Edition программа бесплатна и не требует активации.

В случае установки программы на одиночный компьютер, подключенный к Интернету, впрограмме реализована возможность вести учет работы пользователей на этом компьютере.Подразумевается одновременное подключение только одного пользователя, т.е. вариантсервера терминалов здесь не уместен. При этом почти все возможности программысохраняются.

Учет трафика клиента, когда он работает напрямую, производится на внешних интерфейсах.Фильтрация для клиента применяется на них же. Если клиент заблокирован, то внешнийИнтернет для него полностью отключен.

Таким образом, если у клиента нет прав администратора на сам компьютер и программу, -обойти Traffic Inspector у него не получится.

Авторизация возможна только по имени через агента.

Использование прокси-сервера при работе нескольких пользователей вполне имеет смысл:

Можно вести общий кэш, что намного эффективнее персонального кэша браузера.Сохраняются все преимущества прокси-сервера, описанные в разделе "Прокси-сервер".

Использование Firewall имеет некоторые особенности - добавление разрешений в нем имеетприоритет. Если клиент отключен или заблокирован, а в Firewall разрешен какой-либо трафик,то этот трафик будет открыт. Эту особенность можно использовать в случае, когда надо всегдасохранять доступ к определенным ресурсам или на компьютере работают программы, которыевсегда должны иметь доступ в Интернет.

Технические особенности режима также описаны в разделе "PE-режим".



1.4.7 Биллинг вне сервера

Сеть может быть подключена к Интернету через аппаратное устройство (или сервер, накоторый невозможно установить Traffic Inspector).




В этом случае Traffic Inspector выполняет функции сервера биллинга на другом компьютере.Он использует единственный внутренний интерфейс. Для учета трафика должен быть включенрежим "прослушки". Если в локальной сети стоят коммутаторы (switch), то потребуется сервербиллинга и устройство доступа подключить через концентратор - HUB.

Однако этот вариант применения ограничен тем, что полная блокировка клиентов будетневозможна - Traffic Inspector не умеет управлять фильтрацией трафика на другомоборудовании. В этой конфигурации будет доступна только блокировка через прокси-сервер. Для реализации всех функций блокировки трафик должен обязательно идти черезсервер, где установлена программа.

Точный учет трафика по каждому клиенту. Формирование отчетов за выбранный период. Кэширующий прокси-сервер с экономией трафика до 30%. Ограничения по расписанию, контенту, скорости работы и т.д. Фильтрация баннеров, графики и мультимедиа, а также нежелательных сайтов. Контроль работы в реальном времени удаленно через консоль управления.

58Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.4.8 Сеть с внутренним почтовым сервером

Почтовый сервер, находящийся внутри сети, может быть опубликован через SMTP-шлюзпрограммы Traffic Inspector, но в этом случае тарифицируется только входящий почтовыйтрафик. Если также потребуется тарифицировать исходящий почтовый трафик, то следуетиспользовать публикацию через NAT. SMTP-шлюз в этом случае необходимо отключить.




Traffic Inspector для учета почтового трафика клиентов использует режим "прослушки". Еслилокальная сеть использует коммутаторы (switch), то потребуется сервер доступа и почтовыйсервер подключить через концентратор - HUB. Отметим, что анализировать почтовый трафикполучится, если клиенты используют стандартные протоколы SMTP, POP3 и IMAP. Этот TCP-трафик на порты 25, 110 и 143 почтового сервера должен быть прописан в программе TrafficInspector как платный.

Если используется Microsoft Exchange и клиенты используют Outlook, то их почтовый трафиктаким способом учесть не получится. Возможен только учет входящей почты сиспользованием SMTP-шлюза.

Точный учет трафика по каждому клиенту. Формирование отчетов за выбранный период.






Если есть еще и публичная сеть, то почтовый трафик будет считаться также и для клиентовпубличной сети, когда они будут работать с почтовым сервером, находящимся в локальной



сети. Но отмечается одна сложность: пакеты клиенту будут засчитываться 2 раза, когда онипройдут через 2 интерфейса. Причем пакет посчитается на одном интерфейсе как входящий, ана другом - как исходящий. Чтобы все-таки нормально учесть почтовый трафик, можно дляпочтового сервера на сервер доступа установить еще одну сетевую карту. Назначить на нееотдельную IP-подсеть и не прописывать этот интерфейс в Traffic Inspector. Или почтовыйсервер вынести в DMZ - как это сделано в Сети провайдера.

Но если почтовый сервер все-таки находится в локальной сети, то самое предпочтительноерешение - использовать SMTP-шлюз для учета входящей почты, а для отправки почты насервер доступа поставить отдельный SMTP-сервер - например, входящий в Windows 2000Server.

1.4.9 VPN-сервер

Организация может использовать VPN через Интернет для связи со своими филиалами. TrafficInspector позволяет использовать раздельную тарификацию для различных внешних сетей игибко настроить политики доступа, что позволит ее клиентам обеспечить специальный доступ кэтим сетям. Эту схему также можно использовать для предоставления доступа в Интернетпользователям городских и домовых сетей.




- SMTP-шлюз с защитой от спама


Если требуется защищенное подключение клиентов с шифрованием трафика, то для этоготакже возможно использование VPN. VPN-сервер может быть настроен на самом сервере

60Traffic Inspector

© 2003 - 2010 SMART-SOFT

доступа. При этом Traffic Inspector сможет нормально считать трафик VPN-клиентов иуправлять их работой. Это решение подробно описано в разделе "Настройка RAS-(VPN-)сервера". Виртуальный внутренний интерфейс при лицензировании не учитывается, поэтомуможно использовать любую версию программы.





Авторизация через VPN.










1.5 Установка программы

Перед установкой программы Traffic Inspector надо определиться с требуемыми задачами ивыяснить, сможет ли программа их реализовать. Смотрите раздел "Типовые решения".

Совместимость с другими программами

Не следует использовать Traffic Inspector c другими аналогичными программами,использующими свои сетевые драйвера (например, NAT), межсетевыми экранами,анализаторами трафика и прочими для работы с сетью. Совместимость и бесконфликтнаяработа не гарантируется - программы и Traffic Inspector могут заработать, но их поведениеможет быть непредсказуемо.

Программы следует корректно удалить. Простой остановки их служб или выгрузки приложенийможет быть недостаточно. Если данные программы используют свои сетевые драйверы, тоследует проверить, удалились ли они.

Если на сервере установлено антивирусное ПО, проверяющее файлы на диске, необходимоОБЯЗАТЕЛЬНО исключить из проверки все файлы программы, в том числе кэш прокси-сервера и базы данных. Проще всего в исключения проверок прописать весь директорийпрограммы целиком.

Если антивирусное ПО умеет сканировать сетевой трафик, то оно может вызвать конфликты ипроблемы в работе служб программы. Эти функции антивируса стоит отключить.

Некоторые программы подгружают свои модули (Dll) в другие приложения. Их работа мешаеткорректной работе Traffic Inspector. Для отслеживания таких проблем существует анализаторзагруженных модулей: после установки программы их можно будет выявить и принятьрешение по необходимости применения.

C Microsoft ISA Server в некоторых случаях совместная работа возможна - подробности вразделе "Решение задач", "ISA-сервер".

В Windows имеются встроенные средства фильтрации трафика. Это Windows Firewall, атакже функции фильтрации в RRAS. Их включение не вызовет конфликтов, но может сильноусложнить настройку программы, а их некорректная настройка нарушить ее работу.

Установка PE-версии намного проще, но следует заранее ознакомиться с ее особенностями:инсталлятор для нее другой, в нем отсутствуют некоторые компоненты, и от основной версииприменяются другие настройки по умолчанию. Подробная информация содержится в разделах"Персональное использование" и "PE-режим".

При установке программы важна последовательность действий:



изучите требования к системе: не исключено, что может потребоваться модернизациякомпьютера;следует подготовить сервер и настроить сеть;устанавливаем сервер программы;запускаем консоль управления, сервис и проверяем настройки сети;активируем, если используется платная версия;запускаем мастер конфигурирования, назначаем сети и включаем службы программы;в случае необходимости настраиваем SSL-сервер и подключаем внешний SQL-сервер;заводим и настраиваем клиентов.

После этого процедуру начальной настройки можно считать завершенной. Смотрите раздел "Администрирование".

1.5.1 Требования к системе

Серверная часть программы может быть установлена на любую версию операционнойсистемы Windows - 2000/XP/2003/Vista/2008, т.е. ядро версии 5.0 и выше для платформ x86 иx64. Windows NT 4.0 не поддерживается. Не поддерживается работа на бета-версияхоперационных систем и сервис-паков. Не поддерживается работа на 64-битных версияхоперационных систем платформы IA64 (Itanium). Протокол IPv6 не поддерживается.

Начиная с версии 1.1.6, программа может быть установлена на виртуальную машину.

Минимальные системные требования:

Процессор Intel(R) Pentium(R) 4 CPU 1.4GHz.1024 Мб оперативной памяти.400 Мб свободного места на жестком диске. Для дальнейшей работы потребуетсядополнительное место под файлы кэша и базы данных.Монитор и видеоадаптер с разрешением 1024 на 768.Операционная система Microsoft Windows XP/2003/Vista/2008 или выше (ОС х86 и x64).Подключение к сети Интернет.

Рекомендуемые системные требования:

Процессор Intel(R) Core(TM)2 CPU 6300 1.86GHz.2048 Мб оперативной памяти.

На диске для самой программы требуется не более 20-40 мегабайт, но при записи в базуданных используемый размер будет увеличиваться и может достигать нескольких гигабайт.Тема размера базы данных описана в разделе про внешний SQL-сервер.

Для кэша прокси-сервера также требуется соответствующее свободное место. Информациясодержится в разделе "Кэширование".

Кэш прокси-сервера и файлы базы данных могут быть размещены на разных дисках.Информация - в разделе "Изменение путей к данным".

Требования к оперативной памяти очень сильно зависят от конфигурации.

Драйвер программы занимает около четырех мегабайт памяти ядра системы на каждыйсетевой интерфейс. Это не зависит от того, сконфигурирован данный интерфейс в программеили нет. Поэтому для экономии памяти можно отвязать драйвер от неиспользуемых впрограмме сетевых интерфейсов, что производится в сетевых настройках Windows.

Сервис программы в минимуме занимает не более 20 мегабайт оперативной памяти. Вдальнейшем в процессе работы она может вырасти до 200 мегабайт и более. Но в некоторыхслучаях, например, при формировании отчетов, может потребоваться и больше. Существуетотдельный хост-процесс для ASP.NET веб-приложений. Он может быть довольноресурсоемким.

62Traffic Inspector

© 2003 - 2010 SMART-SOFT

На сервере не рекомендуется задействовать другие серверные службы, генерирующиебольшой внутренний трафик, например, файл-сервер. Это нагрузит программу еще больше и,при нехватке ресурсов процессора, может привести к появлению потерянных пакетов изанижению данных.

Далее - подготовка сервера.

1.5.2 Подготовка сервера к установке

Перед установкой программы убедитесь, что внесены необходимые обновления и компоненты(их можно скачать с сайта Microsoft). Настоятельно рекомендуется установить последниесервис-паки. Не используйте бета-версии.

На бета-версиях или сокращенных нелегальных дистрибутивах операционных системпрограмма может работать некорректно. Используйте официальные релизыдистрибутивов операционных систем.

Для Windows XP может потребоваться установка Windows Script 5.6. Инсталлятор программыпроверяет наличие этого компонента. Windows Script 5.6 можно скачать с сайта программы.Для английской и русской версии Windows имеются отдельные обновления.

Internet Explorer должен быть минимум версии 5.5. Рекомендуется установить InternetExplorer 8.

Для работы приложений веб-сервера необходим NET Framework 2.0. Лучше всего егопоставить, используя инсталлятор NET Framework 3.5.

MMC-консоль желательно обновить до версии 3.0.

После установки всех компонентов ОС обновите систему через Windows Update.

Должна быть настроена сеть. Настоятельно рекомендуем произвести ДО установки TrafficInspector. Если же программа уже установлена и запускалась, то следует ее остановить,отключив блокировку внешних сетей. Для этого:

Откройте консоль Traffic Inspector, откройте окно "Настройки" на главной странице и напервой закладке снимите галку блокировки внешних сетей.Откройте консоль управления служб Windows, найдите сервис программы, остановите его ипереведите в режим ручного запуска. После настройки сети не забудьте вернуть все этинастройки назад.

Для внутренних сетей лучше использовать только разрешенные для этого IP-адреса.

Traffic Inspector не поддерживает IPv6. Отключите этот протокол.

Настройте NAT от Windows. Возможны следующие варианты:

Для серверных версий Windows (2003, 2008) следует использовать службу Routing andRemote Access - RRAS (смотрите инструкцию по настройке).Для всех версий Windows можно использовать Internet Connection Sharing - ICS (смотритеинструкцию по настройке).

Если потребуется, отключите Windows Firewall, что в дальнейшем упростит работу спрограммой.

Подробные инструкции по подготовке сервера и клиентских машин к установке TrafficInspector с пошаговыми инструкциями и скриншотами можно посмотреть на нашем сайте, вразделе "Документация".

Настоятельно рекомендуем у службы RRAS отвязать NetBios от интерфейса internal. Наличиетакой привязки может привести к проблемам работы сети.



В случае подключения к Интернету через PPPoE рекомендуется встроенная поддержка этогопротокола, имеющаяся у Windows, или драйвер RasPPPoE (http://www.raspppoe.com). Сдругими программами для PPPoE могут быть проблемы.

Правильно настройте в сети DNS. Программа критична к правильной работе DNS в сети. Болееподробное описание смотрите в разделе "Настройка DNS".

После установки NAT, еще до установки и запуска Traffic Inspector, следует проверитьработу NAT и всей сети. Для этого можно проверить доступность Интернета с любоговнутреннего компьютера, открыв страницы браузером. За помощью обратитесь к разделу "Проблемы доступа в Интернет".

Теперь все готово к установке программы.

1.5.2.1 Настройка RRAS

Использование NAT из службы RRAS для серверной Windows наиболее предпочтительно, т.к.отсутствуют ограничения на IP-адреса внутренней сети, и этих подсетей может быть несколько.Кроме того, поддерживается работа с несколькими внутренними и внешними интерфейсами.Служба подробно описана в справке Windows, а в этом разделе коротко отметим основныемоменты ее настройки.

RRAS - многофункциональная служба. Из всех ее возможностей прежде всего используются:

Роутинг: по умолчанию включается при конфигурировании и запуске этой службы.Интерфейсы вызова по требованию: поддерживаются различные модемы, VPN (PPTP,L2TP), а в Windows 2003 и PPPoE. В Traffic Inspector поддерживается только работа синтерфейсами, настроенными на исходящие вызовы.RAS-сервер: может обслуживать модемный пул и VPN-(PPTP-, L2TP-)сервер.NAT: поддерживается трансляция исходящих TCP-, UDP-, ICMP-, а также большогоколичества других протоколов.NAT: поддерживает публикацию внутренних серверов наружу.NAT: поддерживает резервирование внешних IP-адресов за клиентами.Имеется свой кэширующий DNS-сервер.Имеется свой небольшой DHCP-сервер.

Если используются внешние WAN-соединения (модемы, VPN, PPPoE и др.), то обязательнодолжны использоваться интерфейсы вызова по требованию этой службы (Demand-Dial) взаменобычных соединений, создаваемых в окне сетевых подключений, - с ними NAT от этой службыработать не будет.

Порядок конфигурирования службы для Windows 2000 и 2003 почти не отличается. Небольшиеотличия есть в мастерах настроек.

Запустите консоль Routing and Remote Access из меню Administrative tools.

ВНИМАНИЕ! Для Windows 2008, чтобы появилась служба RRAS, требуется разрешить рольNetwork Policy and Access Service. Это делается в консоли управления сервером.

По умолчанию служба не сконфигурирована (запрещена). Нет необходимости запускать ее изконсоли управления сервисами - следует запустить конфигуратор с консоли RRAS из менюConfigure and Enable Routing and Remote Access.

64Traffic Inspector

© 2003 - 2010 SMART-SOFT

Далее выберите режим Custom Configuration (Manually configure Routing and Remote Access дляWindows 2000) и нажмите "Далее".

Для Windows 2003 откроется еще одно окно с опциями с выбором необходимых.Службу можно пока не запускать.

Откройте Properties и на первой закладке выставите режим работы.

Если WAN/PPP/VPN-соединений не будет, то выставите Local area network...; если будутисходящие demand-dial соединения, то включите этот режим. Также включите Remote accessserver, если предполагаются Dial-In соединения (смотрите "RAS-сервер и Dial-In соединения").

В закладке Event Logging можно выбрать Log the maximum amount of information.



66Traffic Inspector

© 2003 - 2010 SMART-SOFT

Запустите службу (меню Local server/All Tasks/Start).

Если разрешен Demand-Dial или используется RAS-сервер, то желательно удалитьнеиспользуемые порты, сконфигурированные по умолчанию (Parallel и др.).

Для этого выберите Ports и откройте Properties. В списке портов для каждого неиспользуемогопорта откройте настройки кнопкой Configure и отключите обе опции Remote Access Connectionsи Demand-Dial routing Connections. Для используемых портов отключите опцию Remote AccessConnections (если нет RAS-сервера) и оставьте Demand-Dial routing Connections.

Закройте окна. В левой части в списке портов должны остаться только необходимые порты.



Сконфигурируйте Demand-Dial интерфейс для исходящих соединений при необходимости.

Для этого выберите Routing Interface и запустите мастера через меню New Demand-DialInterface. Конфигурирование в мастере похоже на создание обычного Dial-Up соединения. Еслиобычное соединение уже было создано и работало, то настройки можно скопировать оттуда.Далее следует для появившегося в списке интерфейса открыть его свойства (Properties) ипроизвести дополнительные настройки.

Прежде всего следует отключить сетевой компонент Client for Microsoft Network на закладкеNetworking. Далее, если требуется постоянное соединение, на закладке Options выберитеPersistent Connections.

Для Demand-Dial интерфейса, если через него производится подключение к Интернету, следуетобязательно добавить маршрут по умолчанию.

Поэтому перейдите на IP Routing/Static routes и добавьте маршрут по умолчанию (IP 0.0.0.0Mask 0.0.0.0) для этого интерфейса (выберите его из списка). Опцию Use this route to initiatedemand-dial connection оставьте включенной. В данном случае соединение будетустанавливаться автоматически при появлении любого трафика наружу.

68Traffic Inspector

© 2003 - 2010 SMART-SOFT

Если создано VPN-соединение, то необходимо добавить маршрут на IP-адрес VPN-сервера.Это следует сделать ОБЯЗАТЕЛЬНО, если VPN-сервер не находится в одной IP-сети свнешним интерфейсом. Настройки маршрута таковы:

Interface: внешний сетевой интерфейс, через который производится соединение на VPN-сервер.Destination: IP-адрес VPN-сервера.Network Mask: 255.255.255.255.Gateway: соответствует шлюзу по умолчанию, назначенному на внешнем интерфейсе. Еслинастройки назначаются автоматически, то этот адрес можно увидеть, посмотрев сетевыенастройки утилитой ipconfig.exe -all.

Далее конфигурируем службу NAT.

Перейдите на IP routing/General. Через меню New routing protocol добавьте Network AddressTranslation, который появится справа в списке. Выберите его и откройте свойства (Properties).

Если предполагается использовать конфигурирование клиентов через DHCP, а отдельныйDHCP-сервер использоваться не будет, то можно включить поддержку DHCP службы NAT:закладка Address Assignment, опция Automatically assignment IP addresses by using DHCP.Также задайте адреса локальной сети и исключения для хостов со статическими настройками(через кнопку Exclude).

Если своего внутреннего DNS-сервера нет, то желательно включить поддержку DNS службыNAT - закладка Name Resolution: все DNS-запросы будут кэшироваться. Смотрите раздел срекомендациями по настройке DNS в сети.



70Traffic Inspector

© 2003 - 2010 SMART-SOFT

Добавляем в NAT внутренние интерфейсы. Справа выбираем Network Address Translation ичерез меню Add interface из списка интерфейсов берем тот, который соединен с внутреннейсетью. В окне его свойств выбираем Private interface connected to private network.



Добавляем внешние интерфейсы. Справа выбираем Network Address Translation и через меню

72Traffic Inspector

© 2003 - 2010 SMART-SOFT

Add interface из списка интерфейсов берем тот, который соединен с внешней сетью. В окне егосвойств выбираем Public interface connected to the Internet. Также стоит включить опциюTranslate TCP/UDP headers.

ВНИМАНИЕ! Для Windows 2003 доступна такая функция, как basic Firewall. Ее использованиемы не рекомендуем, т.к. это сильно усложнит настройку программы.

Дополнительно через NAT могут быть опубликованы TCP/UDP-сервера, находящиеся вовнутренней сети. Для этого в закладке Special ports в окне свойств внешнего интерфейсаследует задать тип протокола (TCP или UDP), опубликованный порт (Incoming Port), IP-адрес ипорт внутреннего сервера (Private address и Outgoing port). В дальнейшем, приконфигурировании сетевого экрана Traffic Inspector, опубликованный порт должен бытьоткрыт.



Пример публикации SMTP-сервера:

74Traffic Inspector

© 2003 - 2010 SMART-SOFT

Данный пример приведен для Windows 2003. Как видно, здесь уже имеются готовые шаблоныдля типовых протоколов.

Установленные по умолчанию дополнительные протоколы (IGMP-, DHCP Relay Agent) лучшеудалить, если в них нет необходимости.

Последующие рекомендации также имеют отношение к настройке RAS-сервера. Болееподробная информация содержится в отдельном разделе.

Если используются Demand-Dial соединения, то служба будет пытаться назначить IP-адресдля внутреннего входящего интерфейса RAS-соединений - он обозначен как internal. Поумолчанию он сконфигурирован на использование DHCP, и при отсутствии этого сервера будетвыдаваться ошибка. В этом случае для него имеет смысл назначить несколько, минимум два,IP-адреса - это можно сделать на закладке IP в окне главных настроек службы. Если RAS-сервера нет и входящих Demand-Dial соединений не будет (как правило, требуются толькоисходящие), то эти адреса могут быть любые из Intranet-диапазонов, не пересекающиеся суже используемыми.

Запрещение NetBios для интерфейса internal службы RRAS

Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен (смотритевыше). Это важно, если используется RAS-сервер для подключения Dial-Up клиентов (модемыили VPN), и поможет избавиться от некоторых проблем при работе сервера в сети Windows.Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка данной службы. ПоявлениеIP-адреса интерфейса internal в указанных регистрациях может привести к проблемам.

Для этого редактором реестра в разделеHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ipдобавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу необходимоперезапустить.

Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен списокинтерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном вариантеимена должны регистрироваться только на интерфейсе локальной сети.

Замечания по использованию DHCP для внутренней сети:

Если клиенты используют DHCP службы NAT, то они получат в настройках шлюз по



умолчанию на внутренний интерфейс сервера и IP-адрес DNS-сервера.У клиентов, при их конфигурировании вручную (не через DHCP), шлюз по умолчаниюнастраивается на сервер. Если используется поддержка DNS на NAT, то адрес DNS-серверана клиентах выставляется на внутренний интерфейс сервера. Конечно, можно прописывать илюбые внешние DNS-сервера, но это повлечет дополнительный расход трафика.Если внутренняя сеть состоит из нескольких IP-подсетей, то DHCP от NAT в этом случае неподходит. Используйте DHCP-сервер, имеющийся в серверных версиях Windows.

RAS-сервер и Dial-In соединения

RRAS может использоваться в качестве RAS-сервера - можно организовать небольшоймодемный пул или VPN-сервер. Для этого в главных настройках службы следует включитьопцию Remote Access Server. Особенности реализации поддержки WAN-интерфейсов таковы,что не следует использовать DHCP для назначения адресов клиентам (что стоит поумолчанию), а назначить адресный пул вручную (закладка IP). Причем адреса этого пуладолжны быть обязательно из отдельной сети.

Для таких клиентов также может использоваться NAT. Но для этого необходимо:

С консоли запустить команду netsh routing ip nat add interface internal private. Для русскойверсии Windows имя этого интерфейса другое, поэтому вместо internal следует писать"внутренний".Появится возможность в конфигурации NAT (смотрите выше) добавить интерфейс internal каквнутренний (ранее в списках его не было).

Заметим, что RRAS позволяет клиентам персонально назначать фильтры через свои политики(Remote Access Policies), и NAT для Dial-In можно запрещать выборочно для отдельныхклиентов и групп.

Более подробно задача настройки RAS- (VPN-) сервера описана в соответствующем разделе "Настройка RAS-(VPN-)сервера".

PPPoE

Кроме VPN- (PPTP-, L2TP-) на базе RAS-сервера можно реализовать небольшой PPPoE-сервер. Есть неплохой драйвер RasPPPoE (http://www.raspppoe.com), который в режимеконцентратора поддерживает работу до 10-ти клиентов.

В Windows 2000 поддержка PPPoE отсутствует. Этот драйвер можно также использовать дляклиентского подключения.

1.5.2.2 Настройка ICS

Эта служба присутствует во всех версиях Windows. Ее ограничением является то, что можетиспользоваться только одна внутренняя сеть 192.168.0.0/24 (маска 255.255.255.0), причемсерверу на внутреннем интерфейсе обязательно должен быть назначен адрес 192.168.0.1.

Создайте, если необходимо, внешнее Dial-Up соединение. Плюс ко всему, заранее долженприсутствовать интерфейс внутренней сети с IP-адресом 192.168.0.1 и маской 255.255.255.0.

Откройте Network and Dial-Up Connections, выберите внешнее соединение (сетевая карта илиDial-Up соединение) и откройте окно свойств.

Для Windows 2003 выбирается закладка Advanced.

Пример для Dial-Up соединения:

76Traffic Inspector

© 2003 - 2010 SMART-SOFT

Пример для сетевой карты:

Эта служба по умолчанию для клиентов обеспечивает поддержку DHCP и DNS. Если сетевыенастройки у клиентов выставляются вручную, то в качестве IP-адреса шлюза и адреса DNS-сервера должен быть указан IP- адрес сервера (192.168.0.1).

Также может быть настроена публикация TCP/UDP-серверов из внутренней сети (кнопкаSettings), закладка Service. Выбирается тип приложения (например, SMTP-сервер) и задаетсяимя или IP-адрес сервера в локальной сети. К имеющемуся списку приложений можнодобавить свой, определив порт и протокол. При этом публикуемый порт и порт на локальномсервере должен быть одним и тем же.

Данный публикуемый порт на внешнем интерфейсе, разумеется, не должен быть занят какой-либо службой сервера. В будущем, при конфигурировании сетевого экрана Traffic Inspector,этот порт должен быть открыт.



Для автоматического поднятия Dial-Up соединения потребуется отдельная программа дозвона -она представлена в большом количестве вариантов, в том числе и бесплатном. Встроенную в ICS функцию автодозвона лучше не использовать.

Есть недокументированный способ в ICS переназначить IP-адрес, но неопытнымпользователям эту процедуру делать не рекомендуется, т.к. работоспособность негарантируется.

Делать это нужно уже после конфигурирования описываемой службы: останавливаем сервисICS и с помощью редактора реестра правим параметры в разделе:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters.

Кроме IP-адреса, можно изменить и размер сети. В качестве внутренних сетей используйтетолько разрешенные для этого сети.

1.5.2.3 Настройка DNS

Правильная настройка DNS имеет важнейшее значение. Ошибки могут привести к плохойработе сети и появлению лишнего трафика DNS. В зависимости от требуемой задачи возможныразные варианты.

В качестве своих служб DNS может использоваться DNS-сервер в серверных версияхWindows или кэширующий DNS от NAT. Использование своих служб актуально, если упровайдера DNS-трафик платный, т.к. они за счет кэширования позволяют его экономить.

DNS-сервер, присутствующий в домене Windows, следует настроить на работу с внешнимИнтернетом (DNS-сервером). Здесь возможен только третий вариант - смотрите далее.

1. Клиенты и сервер используют DNS-сервер провайдера, службы DNS в своей сетисовсем не используются.

У клиентов в качестве DNS-сервера следует прописать IP-адреса DNS-серверов провайдера. Атакже, если клиенты получают настройки через DHCP от ICS или RRAS.

У клиентов NAT должен быть разрешен. Если в настройках фильтрации трафик у них поумолчанию запрещен, то стоит разрешить UDP/TCP по порту 53.

2. Используется служба кэширования DNS от NAT.

В ICS это включено по умолчанию, а в RRAS надо явно разрешить. Эта настройка находится вокне общих настроек NAT консоли RRAS. У клиентов в качестве DNS-сервера долженуказываться IP-адрес внутреннего интерфейса. При использовании DHCP от NAT даннуюнастройку они получат автоматически.

По причине отсутствия внутреннего DNS-домена в этом варианте ни в коем случае внастройках DNS у клиентов не прописывайте зону, которой принадлежит компьютер. УWindows 9x/ME это поле "Домен" в окне настроек DNS TCP/IP. В Windows 2000/XP/2003членство рабочей станции в DNS-домене указывается в общих свойствах системы (Мойкомпьютер/Свойства). Достаточно здесь ошибиться и указать несуществующую зону -появится огромный внешний DNS-трафик. Это произойдет, если какие-либо программы будут обращаться внутри сети по именам хостов. Тогда каждая такая попытка будет сопровождатьсявнешним DNS-запросом к несуществующей зоне.

Все запросы DNS из внутренней сети эта служба будет пересылать на DNS-сервера,указанные в настройках внешнего интерфейса сервера. Проверьте их.

По умолчанию DNS-трафик для клиентов в этом случае считаться не будет, т.к. идет на IP-адрес интерфейса внутренней сети. При настройках Traffic Inspector его можно сделатьплатным. Для этого добавьте фильтр "для тарификации" на UDP/TCP по порту 53 длялокального интерфейса.

78Traffic Inspector

© 2003 - 2010 SMART-SOFT

3. Используется свой DNS-сервер.

Наиболее предпочтительный вариант. Позволяет описать свою внутреннюю прямую иобратную зону. Наличие своей внутренней зоны упростит обращение внутри сети по именамхостов и позволит исключить паразитный внешний DNS-трафик, связанный с этим.

DNS-сервер лучше всего ставить на сервере, подключенном к Интернету. Он может бытьнастроен на использование DNS-сервера провайдера или работать автономно. Первоепредпочтительно, если DNS-трафик у провайдера бесплатный. Второе желательно, если упровайдера DNS-сервер работает неустойчиво.

Для использования DNS-сервера провайдера настройте forwarding. Для этого откройте общиенастройки в консоли DNS-сервера. Там можно прописать список IP-адресов, по которым будутперенаправляться его запросы. Для автономной работы DNS-сервера этот список оставьтепустым, но у него в окне настроек должен присутствовать список корневых DNS-серверовИнтернета.

После установки домена в Windows DNS-сервер может оказаться настроенным для локальногоприменения. В этом случае forwarding у него будет запрещен, и список корневых серверовбудет пустой. Для разрешения работы DNS-сервера с Интернетом следует удалить в нем зонус одной точкой. После сервер следует перезапустить. Если есть домен Windows, топерезапустить весь сервер.

В службе NAT RRAS использование DNS необходимо обязательно отключить. Если этого несделать, она будет перехватывать DNS-запросы клиентов и DNS-сервер работать не будет.

Если есть домен Windows, а домен-контроллер находится на сервере, подключенном кИнтернету, следует настроить его привязки. Рекомендуется оставить привязку только к IP-адресу внутренней сети. А на всех интерфейсах сервера указывать именно этот адрес вкачестве DNS-сервера. Это исключит появление во внутренней DNS-зоне нескольких IP-адресов для имени данного сервера и самой зоны. Проверьте эти записи, а лишние удалите.

Пропишите в DNS-сервере внутреннюю прямую зону. В случае если домен Windows уженастроен - такая зона имеет место быть. Имя зоны выбирается таким образом, чтобы оно непересекалось с именами Интернета, например, mynetwork.local. Следует также прописать иобратную зону на все внутренние IP-сети, что позволит ускорить и упростить работу некоторыхприложений (появится возможность преобразования IP-адреса в имя).

В открытых внутренних зонах обязательно пропишите NS-записи с IP-адресом вашего DNS-сервера.

Настройки клиентов аналогичны второму варианту, но в качестве DNS-домена следует указатьимя своей внутренней прямой зоны. DNS-трафик можно сделать еще и платным.

Прямую и обратную зону можно заполнять вручную. Если используется DHCP-сервер отсерверных версий Windows, то его можно настроить на автоматическую прописку в DNS всехклиентов.

Если имеются DNS-сервера внутри сети, например, с контроллерами домена, то необходимонастроить у них forwarding на DNS-сервер, находящийся на сервере, подключенном кИнтернету.

1.5.3 Установка программы на сервер

Для установки сервера запускаем инсталлятор и выбираем полную установку (Сервер). Этиминсталлятором можно также установить отдельно консоль управления на удаленной машине. Впроцессе установки могут появляться окна подтверждений установки драйверов, поэтомуследует туда переключиться и подтвердить установку.

После установки в списке сетевых служб у всех интерфейсов появится Traffic InspectorNetwork Driver. При необходимости можно отвязать драйвер от неиспользуемых интерфейсов- для этого достаточно снять галку в списке.



Сама программа устанавливается в виде сервиса в остановленном виде. Его запускпроисходит при вызове консоли управления или при старте вручную, после чего программаработает постоянно вне зависимости от активного сеанса пользователя, а также послеперезагрузок сервера. Остановку сервиса программы можно осуществить через Панельуправление / Администрирование / Службы.

В меню Пуск / Программы появится раздел Traffic Inspector, откуда можно вызвать консольуправления (ярлык "Администрирование"). Смотрите раздел "Запуск программы".

Для обновления программы смотрите раздел "Обновление", для переустановки - раздел "Переустановка".

1.5.4 Запуск программы

Запускаем консоль управления на сервере через меню "Пуск". Поле имени сервера впоявившемся окне оставляем пустым - подключение производится локально. Сервиспрограммы, если ранее не был запущен, должен стартовать автоматически.

Если консоль запустилась с ошибкой Access Denied, то прежде настройте DCOM. Припроблемах запуска консоли смотрите раздел "Запуск консоли".

В появившемся главном окне консоли должен отобразиться список интерфейсов, к которымпривязан драйвер программы. Не назначенные в программе интерфейсы будут серыми. Поумолчанию включен автоматический выбор внешнего интерфейса, и, если есть маршрут поумолчанию, он будет выбран уже как внешний (отмечен зеленым цветом).

Проверьте наличие в списке интерфейсов всех необходимых для последующей работы. WAN-(PPP-)интерфейсы появятся только тогда, когда будут активными. Для внешних соединений, если одновременно используется только одно, назначения не требуется - достаточноимеющейся в программе функции автопоиска.

Если необходимые интерфейсы в списке отсутствуют, то разрешение проблемы найдете вразделе проблем "Интерфейсы".

Проверьте журнал системных событий в консоли: раздел "Диагностика/События".

Если ошибок нет, можно переходить к активации программы, конечно, если не планируетсяиспользование версий PE или DEMO.Программу можно бесплатно активировать для работы версии GOLD на 30 дней. В случаеприобретения достаточно ввести постоянный ключ, не останавливая работу программы.

Далее запускаем мастер конфигурирования, где необходимо правильно указать интерфейсы идополнительные настройки программы.

Рекомендуется создать новую оснастку MMC и сохранить ее в отдельном месте, т.к. припереустановке консоли оснастка по умолчанию будет обновляться, и все персональныенастройки окон консоли будут потеряны.

Далее можно обратиться к разделам "Настройки для офисной сети" и "Настройки дляпровайдера".

1.5.4.1 Настройка DCOM

В некоторых случаях (например, при проблемах работы удаленной консоли) можетпотребоваться настройка службы DCOM на сервере и (или) клиентской машине. Для этогочерез Start / Run (Пуск / Выполнить) Windows запустите конфигуратор dcomcnfg. У Windows2000 это отдельная программа, у Windows XP/2003 утилита MMC консоли, доступная также какComponent Service.

Подробную инструкцию со скриншотами смотрите на нашем сайте, в разделе "Документация".

80Traffic Inspector

© 2003 - 2010 SMART-SOFT

После запуска:

Для Windows XP/2003 на сервере:

1. Откройте Службу компонентов / Мой компьютер и зайдите в его Свойства.2. Зайдите во вкладку "Безопасность COM".3. Зайдите во все пункты "Изменения умолчаний..." и добавьте группу ВСЕ.4. Зайдите во вкладку "Свойства по умолчанию".5. Выставите в настройках "Уровень проверки подлинности по умолчанию" - По умолчанию,

а "Уровень олицетворения по умолчанию"- Идентификация.6. Перезапустите компьютер.

Для Windows XP/2003 на машине с удаленной консолью:

1. Откройте Службу компонентов / Мой компьютер и зайдите в его Свойства.2. Зайдите во вкладку "Свойства по умолчанию".3. Выставите в настройках "Уровень проверки подлинности по умолчанию" - По умолчанию,

а "Уровень олицетворения по умолчанию"- Идентификация.4. Перезапустите компьютер.

1.5.5 Активация

При использовании PE-версии этот раздел можно не читать - активация нужна только длясетевых версий.

В зависимости от активации программа работает в различных версиях. Их разночтения можнопосмотреть в разделе "Краткий обзор".

Сразу после установки программа работает как бесплатная версия DEMO c ограничением неболее трех клиентов. После установки программу возможно активировать в режиме TRIAL.

Версия TRIAL - это полноценная версия GOLD с единственным ограничением по времени на30 дней. Для активации триальной версии в консоли программы необходимо нажать Активация и выбрать Временная активация. Получение ключа произойдет автоматическиво время соединения с сервером активации. Для этого соединение с Интернетом должно бытьустановлено. При временной активации привязка идет к процессору, материнской плате ижесткому диску. При переустановке программы или обновлении проведите временнуюактивацию. Естественно, срок будет учитываться со времени первой активации к этойконфигурации сервера.

В случае приобретения программы ее достаточно повторно активировать, не прекращаяработы. Для платных версий необходимо провести активацию программы - кнопка Активацияв главном меню консоли. В мастере активации следует выбрать Постоянная активация иввести ключ, состоящий из ID и PIN, полученных при покупке:

ID определяет номер приобретенного ключа, он уникален.PIN служит своеобразным паролем при активации. Ни при каких обстоятельствах непередавайте и не показывайте его никому. При обращении к техподдержке могутпотребоваться первые четыре символа PIN для надежности идентификации, но целиком PINдолжен быть только у владельца.

ID и PIN необходимы при переустановке программы, обновлении, а также для смены привязки.Привязка платных версий осуществляется по процессору и материнской плате; при заменеоборудования можно автоматически сменить привязку через мастера активации, но следуетучесть, что предыдущую конфигурацию использовать будет невозможно. Внимание! Если вы не уверены в надежности нового оборудования, то не торопитесьавтоматически менять привязку - в этом случае невозможно будет вернуться на староеоборудование. Для тестирования используйте временную активацию.

После платной активации кнопка Активация из главного раздела консоли пропадает, но вызовмастера активации также возможен из контекстного меню корня консоли.



Если количество клиентов по какой-либо причине оказывается больше разрешенного дляактивированной версии, то клиенты не удаляются. Их добавление при этом запрещено, алишние клиенты блокируются.

Интерфейс мастера активации в консоли описан в разделе "Активация" консоли управления.

Если в программе используются модули расширения (плагины), то они будут нуждаться вотдельной активации - смотрите описание на эти модули. Они могут потребовать своидействия по своей активации при повторной активации самой программы.

1.5.6 Установка удаленной консоли

Для удаленного управления программы консоль может быть установлена на любомкомпьютере с ОС старше Windows 2000, подключенным к внутренней сети. Также требуетсяInternet Explorer версии не ниже 5.5.

Работа консоли на устаревших ОС Windows 95/98/ME/NT4 больше не поддерживается.

Для Windows 2000 MMC следует обновить до версии 1.2. Для этой ОС не будут работатьнекоторые возможности консоли, в частности панели предосмотра.

Для Windows XP или Windows Server 2003 желательно отдельно скачать и установитьобновление MMC до версии 3.

Для установки удаленной консоли запустите инсталлятор программы и выберите режимустановки только консоли. Запустите консоль из меню Пуск / Программы / Traffic Inspector /Консоль администратора. В появившемся окне введите имя сервера или его IP-адрес. Еслисоединение происходит с ошибкой, то смотрите описание проблемы в разделе "Запуск консоли".

Кроме того, рекомендуется создать новую оснастку MMC и сохранить ее в отдельном месте, т.к. при переустановке консоли оснастка по умолчанию будет обновляться, и все персональныенастройки будут потеряны.

Может потребоваться удаленное администрирование и из внешней сети (Интернет) - этоописано в разделе "Администрирование из Интернет".

1.5.7 WWW-/SSL-сервер

WWW HTTP-сервер, если порт не занят, запустится автоматически и никаких особых настроекне потребует.

Для SSL необходимы сертификаты. Сертификат нужен серверу для организации шифрованияданных в рамках SSL. Реализация SSL поддерживает работу только с сервернымсертификатом; сертификаты со стороны клиента игнорируются.

Серверные сертификаты должны находиться в системном хранилище Windows. При запускеSSL-сервер просматривает все имеющиеся подходящие сертификаты, а если их нет - запускне произведется.

Статус SSL-сервера и общее количество подходящих сертификатов можно посмотреть на главной странице службы.

Traffic Inspector имеет свое издательство сертификатов, и проще всего использовать его.Дальнейшее в этом разделе можно не читать.

Для просмотра содержимого системного хранилища сертификатов имеется специальнаяоснастка MMC-консоли. Откройте пустую консоль (mmc.exe) и добавьте оснастку "Сертификаты". При добавлении будет запрос, какое хранилище открывать. Следуетвыбрать системное (Local System). Откроется дерево хранилища, сертификаты с приватнымиключами находятся в персональном разделе (Personal/Certificates). Сохраните оснастку - вдальнейшем она понадобится.

82Traffic Inspector

© 2003 - 2010 SMART-SOFT

Сертификат должен удовлетворять следующим требованиям:

Иметь приватный ключ.Атрибут Key Usage должен быть Digital Signature, Key Encipherment (0xa0).Должен быть Enhanced Key Usage вроде Server Authentication (1.3.6.1.5.5.7.3.1).Иметь валидные даты действия, т.е. не быть просроченным, и срок начала его действиядолжен уже наступить. Также необходим доверенный издатель. Если он самоподписан, тосертификат должен присутствовать и в списках доверенных издателей.Удовлетворять другим требованиям, стандартным для сертификатов.

В случае неудовлетворения сертификатом требований, SSL-сервер его не увидит. Статус(валидность) сертификата можно увидеть в консоли просмотра сертификатов.

Имя сертификата (Subject) должно соответствовать имени хоста в запросе. Если оно несоответствует, то, как минимум, клиент получит предупреждение браузера. Но при некоторыхнастройках безопасности у клиента работа с таким сертификатом будет невозможна.

Если предусматривается работа с SSL-сервером с внутренних и внешних сетей и имена хостав запросе в этом случае будут разными, в программе предусмотрен выбор отдельныхсертификатов для внутренних и внешних запросов.

Для того чтобы со стороны клиента браузер не выдавал никаких вопросов, важно наличие сертификата издательства серверного сертификата у клиента в списке доверенных. Об этомсмотрите далее.

Есть несколько способов получить серверный сертификат:

Создать сертификаты средствами программы. Самый быстрый и простой путь.Развернуть Сервер Сертификатов от Windows. Предпочтительно, если в сети потребуетсяиспользование сертификатов для других целей.Купить сертификат у известного издателя, например, Verysign. Этот вариант удобен тем, чтоу клиентов, как правило, сертификаты таких издательств уже предустановлены в доверенныхи броузеры никаких вопросов по ним задавать не будут.Создать самоподписанный сертификат утилитами Windows или библиотеки OpenSSL.Этот путь подробно описан в Интернете.

Самоподписанный сертификат имеет недостаток: он должен быть добавлен у каждогоклиента сети в список доверенных издателей. При использовании своего серверасертификатов также надо прописывать сертификат издательства у каждого клиента. В будущемвсе сертификаты, выписанные этим сервером, будут валидны.

Внимание! Браузеры на движке Mozilla (Firefox и т.д.) текущей версии ссамоподписанными сертификатами не работают.

Для облегчения задачи администратора по установке доверенных сертификатов у клиентов этореализовано в клиентском агенте. При необходимости агент загружает с WWW-сервера всенеобходимые сертификаты и сам их устанавливает. Браузеры тоже, в случае необходимости,предлагают клиенту установить сертификат, который не имеет доверенного издателя.

Чтобы агент установил сертификаты, необходимо:наличие сертификата: проверяется в WWW-сервер / Свойства / закладка"Cертификаты".установить в Общих настройках клиентов на закладке "Авторизация" предпочитаемыйпротокол SSL ИЛИ (И) в настройках агента на закладке "Соединение" указать Протоколобмена - SSL.

Использование Windows Certificate Server

Имеется в составе всех серверных версий Windows. Его установка вопросов обычно невызывает. Не забудьте указать внятное имя издательства и достаточное время действиясертификата. Следует отметить, что он требует установки IIS, и в случае разворачивания на



одном сервере может по TCP-портам конфликтовать со службами Traffic Inspector.

Учитывая, что использоваться он будет эпизодически, только при первой установке программына чистую систему его предпочтительнее поставить на отдельной машине.

После его установки следует зайти на сервер с Traffic Inspector с правами администратора,открыть Internet Explorer (именно его!) и набрать http://name/certsrv. Здесь name - имясервера, где установлен сервер сертификатов.

Если сервер сертификатов установлен отдельно, то на сервер с Traffic Inspector надоустановить сертификат издательства. Для этого:

на страничке сервера сертификатов выбираем Download a CA certificate, certificate chain,or CRL, выбираем сертификат издательства и сохраняем его на диске. Далее открываем ранее созданную оснастку системного хранилища сертификатов.Выбираем в меню Import, запускаем мастер импорта и устанавливаем сертификатиздательства. Он должен появиться в разделе Trusted Root Certificates Authorities.

Далее генерируем сертификаты для сервера:

Открываем страничку сервера сертификатов.Выбираем Request a certificate.Далее Submit an advanced certificate request.Далее Create and submit a request to this CA.Выбираем шаблон Web Server.В поле Name вписываем имя хоста запроса.Выбираем галку Store certificate in the local computer certificate store.Нажимаем Submit, подтверждаем действие и ждем выполнения запроса.Кликаем на иконку сертификата на странице и устанавливаем его.Проверяем, появился ли сертификат в системном хранилище.

После все это можно повторить для другого имени хоста.

Перегружаем службу Traffic Inspector, открываем консоль и смотрим, появились лисертификаты. Открываем окно настроек SSL-сервера и выбираем сертификаты для внутреннихи внешних сетей. Если 443-й порт на сервере свободен, желательно выбрать его.

При запуске SSL-сервера можно проверить его работу, набрав на броузере любой его ресурс спрефиксом https-. Если порт 443-й, то в запросе его можно не указывать.

Чтобы у клиента броузер не выдавал предупреждения о неизвестном издательстве,необходима установка сертификата вашего издательства всеми клиентами. Проще всегоссылку на файл сертификата издательства разместить на главной страничке кабинета клиента синструкцией его установки. Ставить его надо в личное хранилище клиента. Поэтомудостаточно скачать этот файл, кликнуть по нему, и мастер его автоматически поставит.

Если сеть - организация, и есть домен Windows, то сертификаты издательства проще всегораздать средствами групповых политик.

1.5.8 Настройка клиентов

Со стороны клиентов, кроме настройки сети, также потребуется:

Если имеется внутренний DNS-сервер и внутренняя DNS-зона, то желательно в нейдобавить запись "A" на имя WPAD с внутренним IP-адресом сервера Traffic Inspector. Кэтому имени по умолчанию обращается клиентский агент, и наличие этой записи упроститнастройки агента. Если сеть одноранговая, то рекомендуется включить Разрешить конфигурированиешироковещательными сообщениями для автоматического поиска сервера в сети.Установить клиентского агента. С ним решается задача авторизации по имени, кроме этого,он может принудительно произвести настройку Internet Explorer.Настроить браузер и другие приложения при необходимости для работы через прокси-сервер

84Traffic Inspector

© 2003 - 2010 SMART-SOFT

или SOCKS.

1.5.8.1 Установка клиентского агента

Клиентский агент может работать на любой системе Windows 95/98/ME/NT4/2000/XP/2003.

Для персонального режима при запуске агента на самом сервере trafinspag.exe должензапускаться с ключом PE-. Инсталлятор PE-версии для этого делает ярлык в меню Пуск, иникаких дополнительных процедур его установки и настройки не требуется. Дальнейшееописание этого раздела можно опустить.

Установка агента с помощью инсталлятора

Инсталлятор агента TrafInspAg.msi находится в папке Redist, но его также можно удаленнозагрузить через встроенный веб-сервер, набрав на браузере http://server:port (или http://server:port/download).

На Windows 95/98/ME для этого придется поставить службу Windows Installer, если онаотсутствует. Для корректной работы c SSL может потребоваться обновление Internet Explorer.

Если имеется домен Windows 2000 и выше, то следует открыть общий доступ в директориюRedist на сервере и настроить автоматическую инсталляцию агентов средствами групповыхполитик домена.

Утилита групповой удаленной установки (для версии 2.0.0 не реализовано).

1.5.8.2 Настройка браузеров

Требуется настройка браузеров, если предполагается работа с прокси-сервером. Прокси-сервер поддерживает автоконфигурирование через WPAD JScript - для настройки через него вбраузерах следует прописать строку запроса к скрипту автоконфигурирования в виде:

http://server:port/wpad.dat или http://server:port/config.script.

Здесь server - имя или IP-адрес сервера со стороны внутренней сети, где установлен TrafficInspector. Если DNS внутри сети не настроен и сервер по имени не распознается, то требуетсявместо имени прописать IP-адрес.

Если на сервере с Traffic Inspector имеется несколько внутренних интерфейсов, то прокси-сервер доступен на каждом внутреннем IP-адресе. Важно, чтобы обращение изнутри сети шлок IP-адресу, соответствующему этой сети. Тогда под именем сервера через DNS становитсявиден, как правило, один IP-адрес, и обращение по единому имени здесь будет неуместным.Решение этой задачи - прописать не имя, а IP-адреса или для каждого IP прописать в DNSотдельное имя.

Подробнее про автоконфигурирование браузеров и настройку выдаваемых им параметровсмотрите в разделе "Настройки клиентов" прокси-сервера.

Вместо скрипта автоконфигурирования в браузере настройки прокси-сервера могут бытьпрописаны явно. Следует учесть, что в этом случае LAT также нужно будет прописывать укаждого клиента.

Если используется клиентский агент, то Internet Explorer может быть настроен им, в том числепринудительно.

Прокси-сервер оптимизирован на работу с протоколом HTTP/1.1. Все типы браузеров поумолчанию настроены на работу с прокси по протоколу HTTP/1.0, поэтому они требуютсоответствующей настройки.

Особенности настройки разных типов браузеров описаны ниже.



Internet Explorer

Версию ниже 5.0 рассматривать не будем. Важное значение имеют следующие настройки:

Свойства обозревателя, Подключения, Настройка LAN, Использовать сценарийавтоматической настройки. Здесь нобходимо прописать путь к скриптуавтоконфигурирования. Эта настройка производится агентом.Внимание! Если для соединения с сервером Traffic Inspector используются WAN-соединения (dialup, VPN, PPPoE и т.д.), то это следует прописать в свойствах конкретногосоединения в настройках браузера - Свойства обозревателя, Подключения, далее выбратьиз списка конкретное соединение и открыть окно настроек браузера для данного соединениякнопкой "Настройка". Эта настройка агентом не производится.В настройках прокси-сервера галку Автоматическое определение настроек следуетснять (если, конечно, в сети не используется автонастройка прокси по стандарту WPAD).Свойства обозревателя, Дополнительно, Использовать HTTP/1.1 через прокси-соединения. Неободимо включить данные опции. Эта настройка производится агентом.Свойства обозревателя, Дополнительно, Обзор, Включить подробные сообщенияоб ошибках HTTP - следует отключить. Эта настройка производится агентом. Прокси-сервер выводит свои сообщения об ошибках. Если галку не отключить, то данныесообщения будут недоступны.Свойства обозревателя, Дополнительно, Обзор, Разрешить представления дляпапок для узлов FTP - отключить. Эта настройка производится агентом. Если неотключать, то режим FTP-прокси через HTTP/GET работать не будет.

Opera

Для англоязычной версии важные настройки находятся в окне - Tools, Preferences,Advanced, Network, Proxy Servers. Следует:

User automatic proxy configuration: прописать путь к скрипту автоматической настройки.Включить Enable HTTP/1.1 for proxy.

Mozilla browser

Для англоязычной версии важные настройки находятся в окне - Edit, Preferences. Следует:

Advanced, Proxies, Automatic Proxy Configuration URL: прописать путь к скриптуавтоматической настройки. Предусмотрена также кнопка для немедленной загрузки этогоскрипта с целью проверки его доступности.Advanced, HTTP networking, Proxy connection options: необходимо включить UseHTTP/1.1. Если используется версия Traffic Inspector со сборкой не ниже 175, то стоитразрешить Pipelining.

Mozilla Firefox

Для русифицированной версии настройки прокси-сервера находятся в окне Инструменты,Настройки, Параметры соединения. Следует прописать путь к скрипту автоматическойнастройки в поле URL автоматической настройки прокси.

Далее набираем в строке запроса about:config.

Ищем и выставляем параметры:

network.http.proxy.version = 1.1;network.http.proxy.keep-alive = true.

Если используется версия Traffic Inspector со сборкой не ниже 175, то стоит разрешитьPipelining:

network.http.proxy.pipelining = true;network.http.pipelining.maxrequests = 30.

86Traffic Inspector

© 2003 - 2010 SMART-SOFT

Настройки для работы с SSL-сервером программы

Стоит установить сертификат, выпущенный доверенным издательством, если SSL-серверпрограммы его не использует. Используйте запрос http://server:port/getcert.cer. Браузерполучит сертификат издательства и предложит его установить.

Для Mozilla Firefox при установке сертификата не забудьте включить опцию его использованиядля проверки подлинности веб-серверов.

Internet Explorer использует системное хранилище сертификатов, поэтому при работе с агентомсертификат может быть установлен самим агентом.

1.5.9 Установка модулей расширения

Модули расширения включены в инсталлятор программы и будут автоматически установленыпри их выборе.

Дальнейшая информация этого раздела может потребоваться при ручной установке модулей.

Каждый модуль находится в отдельной папке, которая, в свою очередь, должна находиться впапке Plugins службы программы. Сервер программы при старте автоматически найдетмодули и подключит их. Другими словами, для установки модуля достаточно простоскопировать папку с содержащимися в нем файлами и перезапустить службу программы. Дляобеспечения совместимости сервера и модулей с разными версиями интерфейсов впрограмме имеется версионный контроль - если версии не совпадают, модуль не будетзагружен и в журнале событий отпишется ошибка.

Модули расширения могут иметь свои XML-файлы конфигурирования, которые находятся водном директории с другими файлами настроек программы (папка Config). Поэтому все, чтоотносится к переносу и сохранению настроек, для модулей расширения выполняетсяаналогично.

Кроме серверной части модуля, которая подключается к службе автоматически, также имеетсярасширение для MMC-консоли администратора. Это расширение представляет собой СOM dll-файл. Он должен быть зарегистрирован в системе как COM для его появления в консоли.

На самом сервере эту регистрацию делает инсталлятор, но возможна и установка вручнуюсистемной утилитой regsvr32.exe.

В консоли администрирования также предусмотрен механизм автоматической загрузки иустановки расширений консоли - смотрите раздел "Модули расширения". Если при запускеконсоли обнаружится, что для плагина не установлено расширение консоли MMC, то будетпредложено его установить. В процессе этой установки производится копирование всехнеобходимых файлов с сервера.

1.5.10 Внешний SQL-сервер

Работа с внешним SQL-сервером доступна только для лицензий типа GOLD или TRIAL

Программа может быть настроена для работы с внешним SQL-сервером. Программа такжеработает со встроенной базой данных, откуда данные периодически копируются на внешнийсервер. При формировании отчетов производится автоматический выбор источника данных -встроенная БД или внешний SQL-сервер в зависимости от актуальности данных.

Настройка работы с внешним SQL-сервером дает следующие преимущества:

Можно значительно уменьшить размер файла встроенной БД для журналов. Даже длянебольшой сети этот файл очень быстро разрастается, скорость работы программы падает



(прежде всего в плане формирования отчетов) и затрудняется выбор между временемхранения данных и производительностью. Внешний SQL-сервер позволяет эффективно работать с очень большими базами данных.С учетом того, что вся оперативная работа программы производится с локальной базойданных, временная неработоспособность внешнего SQL-сервера некритична. SQL-серверможет быть развернут на любом другом компьютере сети.Несколько серверов Traffic Inspector могут копировать свои данные на один внешний SQL-сервер в единую базу данных со своим уникальным идентификатором, что позволит иметьсводные отчеты. Эта возможность не доступна для лицензий TRIAL.

Подготовка работы с внешним SQL-сервером

Требуется установленный Microsoft SQL-server 2005 или 2008. Поддерживается работа сбесплатной версией Express, но она имеет ограничения размера файла базы данных в 4 Гб, ив большинстве случаев это оказывается недостаточным.

Начиная со сборки 1.1.6.617, появилась возможность использовать MySQL. Поддерживаетсяверсия 5.0 и старше. Для этого на сервере с Traffic Inspector потребуется установка MySQLODBC 5.1 Driver. Есть возможность скачивания с сайта проекта MySQL.

Начиная со сборки 2.0.0.625, появилась возможность использовать PostgreSQL. Версиимладше 8.0 не тестировались. На сервере с Traffic Inspector потребуется установка OLE DBprovider for PostgreSQL. Сам SQL-сервер доступен на сайте проекта PostgreSQL.

SQL-сервер может быть развернут как на самом компьютере с Traffic Inspector, так и надругом в локальной сети. Второй вариант может быть удобен в плане уменьшения нагрузки накомпьютере с Traffic Inspector при формировании ресурсоемких отчетов. В этом случае сетьдолжна быть достаточно быстрой, т.к. объем передаваемых данных может быть большим.

Для варианта отдельного размещения внешнего SQL-сервера может потребоваться настройкаего сетевых протоколов, как на SQL-сервере, так и у клиента (со стороны Traffic Inspector).Смотрите документацию на SQL-сервер.

База данных на внешнем SQL-сервере будет создаваться автоматически в папке поумолчанию. При необходимости размещения базы в конкретном месте, в настройках SQL-сервера есть возможность эту папку по умолчанию сменить.

Настройка работы с внешним SQL-сервером

1. В консоли запустите мастер. Это можно сделать из меню главного окна консоли, а также вокне общих настроек. Не забудьте произвести проверку настроек соединения с SQL-сервером.

2. Перейдите в раздел "Обслуживание" консоли. Появится задача Синхронизация данных.Если этого не произошло, нажмите Обновить. Или обратитесь к системному журналу напредмет ошибок.

3. Задача синхронизации должна сразу запуститься. На странице обслуживания будетотображаться процесс ее выполнения. При ее первом запуске будет произведена проверканаличия базы данных и соответствие ее структуры. При необходимости база будет создана,а структура обновлена. Если в локальной базе данных накопилось много данных, операциясинхронизации первоначально может занять продолжительное время. Появление ошибоквроде блокировок данных не критично - операцию можно запустить снова, повторногокопирования данных не произойдет.

4. После корректного завершения операции появится статус в строке Внешний SQL-сервер -на какой период синхронизированы данные.

5. Далее система готова к очистке локальных данных: пока синхронизация не завершена,запуск этой задачи запрещен. Повторите проверку настройки этой задачи: можно еще развыбрать время жизни локальных данных. Обычно это несколько дней. Внимание! Если настройка работы с внешним SQL-сервером осуществляется в пробномварианте, верните данную настройку в первоначальное состояние до запуска мастера -очищенные данные переписать с внешнего SQL-сервера обратно не получится.

6. Проверьте размер файла базы данных журнала - статус в строке Встроенная база данных. Если файл очень большой, содержит данные за достаточное количество дней, то операция

88Traffic Inspector

© 2003 - 2010 SMART-SOFT

чистки в первый раз может занять много времени - ее можно запустить планировщиком,например, в ночное время. Или запустить сразу. Появление ошибок вроде блокировокданных не критично - операцию можно произвести снова.

7. Когда задача очистки отработает, то в строке статуса встроенной базы данных появятсясведения, до какого времени данные очищены.ВАЖНО! Наличие этого параметра, а также времени синхронизации (смотрите п.4)необходимо для того, чтобы отчеты начали использовать внешний SQL-сервер. В противномслучае они всегда будут использовать встроенную БД. Именно на основании наличия этихдвух параметров автоматически делается выбор, откуда лучше всего брать данные - слокальной БД или внешней.

На этом настройка работы с внешним SQL-сервером закончена. В дальнейшем настройкидоступны в окне общих настроек.

Там же есть возможность запустить мастер настройки работы программы без внешнего SQL-сервера. Если локальные данные за определенный период были очищены - обратной операцииих переноса с внешнего SQL-сервера не предусмотрено (смотрите п.5).

Рекомендации по выбору некоторых параметров

Период синхронизации данных: по умолчанию 15 минут. Это оптимально. Меньшее времяулучшает актуальность данных на внешнем SQL-сервере.

Для задачи очистки Удалять данные старше (???) дней: по умолчанию два дня. Считаютсяполные и неполные сутки. Это минимальное значение, меньшее задавать нельзя, т.к. суткибудут неполными. Большее значение увеличит размер локальной БД - может быть полезно,если внешний SQL-сервер по какой-то причине часто бывает недоступен.

1.5.11 Обновление с предыдущих версий

Если производится обновление программы поверх предыдущих версий, то порядок даннойпроцедуры следующий:

Обязательно ознакомьтесь со списком изменений и особенностями перехода с различныхверсий на сайте разработчика - www.smart-soft.ru.Остановите сервис Traffic Inspector на сервере.Сохраните конфигурацию. Как правило, при удалении программы и ее последующейустановке конфигурация полностью сохраняется, поэтому эта мера исключительнопрофилактическая.Порядок удаления и повторной установки сервера описан в следующем разделе.После установки новой версии программы запустите консоль. Тщательно проверьтенастройки и конфигурацию.Также обновите консоль на удаленных рабочих местах администратора.При необходимости обновите агенты на клиентских компьютерах. Хотя это может непотребоваться - зачастую - обеспечивается их совместимость.

Подробности на сайте разработчика - www.smart-soft.ru.

Внимание! Переход с версии 1.1.5 на 2.0.0 имеет свои особенности и описан отдельно.Смотрите инструкцию на сайте.

1.5.12 Обновление агента

Инсталлятор агента доступен по ссылке в веб-интерфейсе клиента (наберите на клиентскомкомпьютере в браузере в адресной строке http://<IP адрес сервера ТИ>:8080) или в папкеRedist на сервер с Traffic Inspector (эту папку создает инсталлятор Traffic Inspector иоткрывает общий доступ к ней).



На клиентском компьютере в Панели управления Windows зайдите в Установку и удалениепрограмм (Windows Vista и Windows 2008: Программы и компоненты) и удалите TrafficInspector User Agent.После корректного удаления программы запустите инсталлятор новой версии агента иустановите агент. Проведите настройки агента.

1.5.13 Переустановка программы

Порядок переустановки следующий:

Отключаем всех удаленных администраторов - выгружаем консоли.Останавливаем сервис.Деинсталлируем программу.Перезагружаем систему.При переносе программы копируем содержимое ее папки в новое место.Устанавливаем программу, смотрите раздел "Установка".

Перед удалением программы настоятельно рекомендуем остановить службу RRAS,отключить и запретить все активные DialUp и VPN-соединения (если онииспользуются).

Не рекомендуется делать переустановку программы удаленно (через терминальный серверили другую программу удаленного администрирования) - система будет разрывать всесетевые соединения при переустановке драйвера. При этом возможна потеря контроля надсервером.

Для Windows 2003 и старше возможна процедура переустановки программы без перезагрузкисистемы.

Если ранее вручную были установлены модули расширения, их также следуетпереустановить.

1.5.14 Сохранение и перенос настроек

Все настройки программы находятся в ini- и xml-файлах конфигурации и db3-файлах базданных. Для сохранения настроек сохраните папки Config и Data.

Для переноса конфигурации нужно:

установить на новый сервер Traffic Inspector;остановить службу Traffic Inspector на новом сервере (Панель управления /Администрирование / Службы - Traffic Inspector);скопировать папку Config, а также перенести данные папки Data;если требуется перенос данных кэша прокси-сервера, то перенесите файл его данных proxy.dat;запустите службу Traffic Inspector;проверьте настройки групп и клиентов, фильтры, правила в сетевых экранах и правилакэширования;проведите повторно активацию программы.

Местоположение файла данных прокси-сервера может быть задано любым в настройкахпрокси-сервера. Важно сверить, не поменялся ли путь к файлу кэша proxy.dat - программа, ненайдя файла данных кэша в заданном месте, произведет его инициализацию по умолчанию, иданные кэша будут потеряны.

При переносе настроек следует обратить внимание, не появились ли у файлов атрибуты ReadOnly (только на чтение), а также проверить Security Attributes системы NTFS на предметналичия прав доступа к файлам.

90Traffic Inspector

© 2003 - 2010 SMART-SOFT

При обновлении программы (установке новой версии) сохранения конфигурации и данных нетребуется, т.к. при деинсталляции программы ее настройки не удаляются, и при установкепрограммы заново будет считана предыдущая конфигурация.

1.5.15 Изменение путей к данным

Иногда может потребоваться переназначить файловые пути к данным конфигурации ижурналам (логам). Например, записывать данные на другой диск. Если такой возможности вимеющемся инсталляторе нет, то новые пути можно задать, создав вручную файлконфигурации:

Остановите службу программы.Создайте в папке программы (там, где находится файл TrafInsp.exe) текстовым редактором(блокнотом) файл start.ini со следующим содержимым:

[Path]

/// Переназначается папка Config

ConfigFilePath=D:\.....

/// Переназначается папка Data

DataFilePath=D\....

Если какие-либо пути переназначать не нужно - закомментируйте сооветствующую строку.

Перенесите, если надо, данные на новое место.Запустите службу программы.Проверьте системный лог на предмет ошибок: в случае допущения ошибок в путях службаможет не запуститься.

1.5.16 Типовые настройки

1.5.16.1 Настройки для офисной сети

Организация доступа в офисной сети производится через NAT или прокси-сервер. В этомслучае клиенты остаются внутри локальной сети и имеют внутренние IP-адреса. Раздача IP-адресов в сети осуществляется либо принудительным назначением статического IP-адреса насетевой карте, либо с помощью сервера DHCP путем назначения динамического IP-адреса. Вовтором случае авторизацию необходимо делать по имени.

Простейший вариант - один внутренний сегмент и сервер имеют два интерфейса - внешний ивнутренний.



Конфигурация Traffic Inspector в сети осуществляется следующим образом.

После установки программы необходимо запустить мастер конфигурирования. Для этогощелкните правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выберитепункт "Конфигурирование". Далее следует определиться с параметрами конфигурации.

a) В мастере конфигурирования:

1) Выберите "Сервер - сетевой шлюз". Нажмите "Далее".2) Перейдите к настройке служб Windows. Нажмите "Далее".3) Проверьте, чтобы служба Windows Firewall была отключена и настроена служба NAT

(ICS или RRAS). Далее.4) В службе маршрутизации выберите пункт "Настраивается самостоятельно", при

необходимости поставьте галку "Да, службы настроены, можно продолжать". Далее.5) Конфигурирование Windows Firewall: выберите "Отключить". Далее.6) Перейдите на "Применение настроек". Далее.7) Обязательно включите внешний сетевой экран, выберите интерфейсы, где будет

работать сетевая защита. Далее.8) Первоначальная настройка закончена. Нажмите "Продолжить".9) Укажите необходимые опции конфигурации. - "Включить внешний сетевой экран". Обязательно должно быть включено. - "Маршрутизация по условию: Advanced Routing". Включите функцию Advanced

Routing, если предполагается маршрутизировать сети по разным каналам. Например, частьтрафика пустить по одному каналу, часть - по другому.

- "Используется RAS-сервер". Должно быть выключено. - "Используются "публичные" внутренние сети". Должно быть выключено. - "Включить поддержку VLAN (IEEE 802.1Q)". Должно быть выключено. - "Используется DVB-карта (Интернет через спутник)". При необходимости включите. Далее.10) Перейдите к настройке HTTP, SOCKS, Proxy, SMTP-шлюза.

92Traffic Inspector

© 2003 - 2010 SMART-SOFT

- "HTTP Proxy": по умолчанию порт для прокси 8080. Менять порт следует в томслучае, если он уже занят другим приложением (например, на порту 8080 может находитьсявнутренний сайт).

- "SOCKS Proxy": по умолчанию порт для SOCKS 1080. Менять порты следует в томслучае, если порт уже занят другим приложением.

- "SMTP-шлюз": если требуется учет почтового трафика для офиса, включите SMTP-шлюз и настройте пересылку почты на внутренний почтовый сервер. В свойствах клиента, навкладке "Авторизация", необходимо прописать e-mail адреса клиента. Для этого можновоспользоваться функцией "Загрузить из AD", что позволяет загружать список почтовыхадресов из Active Directory (офисная сеть должна быть построена на доменной структуре сиспользованием Active Directory). Почтовый шлюз Traffic Inspector позволяет работать с"белыми" или "черными" списками IP-адресов и службами RBL (Open Relay Database) в Интернете, что эффективно для ограничения и экономии входящего почтового трафика путемфильтрации от спама (рекламной рассылки). Нажмите "Далее".

11) Выберите сетевые интерфейсы внутренней (локальной) сети. Далее.12) Выберите сетевые интерфейсы внешней сети (подключенной к провайдеру). Далее.13) Выберите сетевые интерфейсы, на которых будет включен "Внешний сетевой

экран". Далее.14) Выберите режим использования DNS, обычно ставится нормальный. Далее.15) Применение настроек. Далее.16) Нажмите "Готово".

Для удобства мониторинга работы SMTP-шлюза включите оповещение для администраторов:

1) Зайдите в свойства SMTP-службы, перейдите на вкладку "Оповещение", введитеадреса списка рассылки.

Конфигурирование Traffic Inspector на данном этапе завершено.

б) Выберите пункт "Активация": правой кнопкой мыши в консоли по Traffic Inspector, вконтекстном меню - пункт "Активация", - проведите активацию программы.

в) Необходимо установить права доступа к консоли управления Traffic Inspector: зайдите впункт "Администрирование", выберите Группы, Администраторы. Зайдите в свойствапользователя по умолчанию */*, выберите логин или локальную группу, или группу из доменадля доступа к консоли. Теперь доступ к консоли управления Traffic Inspector смогут получитьтолько члены выбранной Windows-группы. Подробнее об организации доступа к "Консолиуправления" читайте в разделе справки "Администрирование и разграничение доступа".

г) Произведите правильное конфигурирование прокси-сервера: прокси позволяет снизитьзатраты на трафик до 30%.

Конфигурирование прокси-сервера:

1) Перейдите в пункт консоли Traffic Inspector: прокси-сервер, нажмите на кнопку"Обслуживание кэша".

2) Укажите размер прокси-кэша и путь для хранения базы данных. Если клиентов всети много, для увеличения производительности имеет смысл установитть операционнуюсистему на одном диске, а базу данных кэша хранить на другом.

3) Создайте хотя бы одно правило кэширования.

д) Заведите новых пользователей и группы с помощью консоли управления. На группах илиотдельных пользователях можно запретить работу конкретных служб, например: NAT, socks,proxy для клиентов. Также устанавливать разграничение доступа по времени. Для этого:

1) Зайдите в раздел консоли "Группы".2) Создайте Группу.3) Создайте пользователей: щелкните правой кнопкой в поле группы, в контекстном

меню выберите пункт "Добавить пользователя", на закладке "Авторизация", в поле логинвведите логин пользователя и пароль (для аутентификации средствами Traffic Inspector, еслииспользуется доменная аутентификация, логин вводится в формате domainname\username,



пароль при доменной аутентификации вводить не требуется).4) Зайдите в свойства нового пользователя, на вкладке "Доступ" задайте тип доступа -

Автоотключение или Безлимитный.5) На вкладке "Ограничения" можно задать некие ограничения для клиента - разрешить

или запретить работу через NAT, Proxy-, Socks-сервер. Если требуется установить разрешениедоступа по времени для, переходим на вкладку "Расписание".

Если в локальной сети есть выделенные сервера, например почтовый сервер илиWWW-сервер, создайте для них в консоли управления "Новую группу". Авторизацию длясерверов следует производить по IP- или MAC-адресу: создайте "Нового клиента", перейдитена вкладку "Авторизация", в поле IP пропишите IP-адрес сервера; для определения MAC-адреса нажмите кнопку "Определить". Перейдите на вкладку "Доступ", выделенные сервера,работающие с Интернетом, подключайте по безлимитному доступу.

Для рядовых пользователей рекомендуется безлимитный доступ не назначать, аделать автоотключение. Всегда есть вероятность заражения компьютера вирусом, которыйможет привести к генерации большого трафика. Чтобы пользователей при этом блокировкамине напрягать, лучше выставить достаточные лимиты. Для удобства подключенияпользователей с автоотключением в тарифе введите оплату по умолчанию.

Если есть домен Windows, то удобнее включить автодобавление пользователей - онибудут автоматически прописываться при первой попытке авторизации. Это доступно дляпользователей, использующих авторизацию через домен Windows.

Назначьте пользователю права для автодобавления: зайдите в свойства "Групп" или"Клиентов", перейдите на вкладку "Автодобавление", выберите группу из домена. Лучше всегодля этого в домене завести отдельную группу: нажмите Start - Administrative Tools - ActiveDirectory Users and Computers, запустите консоль управления Active Directory, создайте группу.

е) Перейдите в свойства группы. Для этого в контекстном меню группы нажмите свойства.Перейдите на вкладку "Тарификация": здесь можно выбрать тариф: Биллинг => Тарифы.Нажмите правой кнопкой мыши и выберите "Добавить". Вводим имя тарифа и задаемпараметры тарификации пользователей (цена за Мб, единица учета трафика, кредит,предоплаченый трафик, абонентская плата, стоимость трафика из кэша и почтового задаются впроцентах).

Существует несколько способов тарификации.1) Только входящий: тарифицируется только входящий трафик.2) Только исходящий: тарифицируется только исходящий трафик.3) Сумма (входящий + исходящий): тарифицируется весь трафик.4) Максимальное значение: тарифицируется тот трафик, значение которого больше

(входящий или исходящий).

В свойствах тарифа на вкладке "За трафик" можно установить стоимость трафика из кэша (приего использовании), стоимость почтового трафика SMTP и предоплаченный трафик. На вкладке"Лимиты" - дневной, недельный и месячный лимит. Там же можно выбрать тип лимита - натрафик или на деньги (по тарификации).

8) Зайдите в Монитор работы, добавьте пользователю денег на счет, чтобы он смогвыйти и начать работать: двойной щелчок мыши на клиенте.

ж) Если используется SMTP-шлюз, контроль и учет трафика могут быть произведены спомощью контролируемых и информационных счетчиков. Контролируемый счетчик "ВесьИнтернет" служит для учета всего трафика.

Для настройки счетчиков зайдите в пункт консоли "Внешние сети - Счетчики -Информационные":

в контекстном меню выберите Добавить, введите имя счетчика "SMTP", выберитепротокол TCP, в "Локальном адресе" укажите порт 25 - для учета почтового трафика.

Можно учитывать трафик поступающий с POP3/IMAP/WWW/FTP и.т.д. Для этого создаютсяфильтры. В поле "Внешний адрес" по аналогичному примеру прописываются порты: для POP3

94Traffic Inspector

© 2003 - 2010 SMART-SOFT

- порт TCP 110; IMAP4 - порт TCP 143; WWW - порт TCP 80; FTP - порт TCP 20 и 21. Еслииспользуется несколько входящих (резервных) каналов, то имеет смысл также настроитьКонтролируемые и Информационные счетчики для разных каналов. Для этого в свойствахсчетчика выберите "Интерфейс", на котором необходимо учитывать трафик.

з) Если предполагается работа с внутренними бесплатными ресурсами или сетями, имеющимильготный трафик, а также снижение стоимости трафика в зависимости от времени суток:

1) Работа с внутренними бесплатными ресурсами или сетями: создайте фильтр "Догруппы" (если правило применяется для всех клиентов) или фильтр в группе (если правилоприменяется только для группы): зайдите в "Консоль управления - Биллинг - Клиенты -Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип" выберите "На разрешение +действие", перейдите на вкладку IP, выберите "Использовать список", далее перейдите навкладку "Список", пропишите льготные подсети, например 10.0.0.0/255.255.255.0, или именахостов, например download.domain.ru, перейдите на вкладку "Действия", выберите тариф, покоторому хотите произвести расчет. Создайте тариф для бесплатных или льготных сетей, еслион не создан.

После добавления фильтра цена на трафик, сетей и хостов, прописанных в списке, будет равнастоимости указанного тарифа на вкладке "Действия". Подробнее эти вопросы описаны вразделе "Решение задач: бесплатные и льготные сети".

2) Снижение стоимости трафика в зависимости от времени суток: создайте фильтр "Догруппы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правилоприменяется только для группы). Для этого зайдите в "Консоль управления - Биллинг - Клиенты- Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип" выберите "На разрешение +действие", перейдите на вкладку "Расписание", установите расписание для скидки, перейдитена вкладку "Действия", выберите тариф, созданый для льготных сетей.

Подробнее эти вопросы описаны в разделе "Решение задач: тарифные планы по расписанию".

и) Далее произведите настройку сетевого экрана. Для этого перейдите в пункт консолиуправления "Внешние сети: сетевой экран", зайдите в Свойства сетевого экрана, отключитенеиспользуемые протоколы IPSEC, VPN/PPTP - настройки зависят от конфигурации сетипровайдера.

При необходимости добавьте правила в сетевой экран. Например, если используетсяSMTP-шлюз, откройте протокол TCP, порт 25 - для этого в свойствах фильтра выберитепротокол TCP, в локальном адресе пропишите порт 25. Или зайдите в свойства SMTP-шлюза,на вкладке SMTP-сервер поставьте галку "Разрешить всем". Данная настройка будетаналогична созданию фильтра TCP 25 в сетевом экране.

к) Установите клиентских агентов, проверьте работу клиентской статистики на веб-сервере:1) Если необходима работа только с web и почтой, но при этом используется Internet

Explorer, то NAT можно не настраивать. В этом случае агента ставить не обязательно, а впрокси будет работать NTL-аутентификация (пароль каждый раз запрашиваться не будет).

2) Если нужен NAT, установите клиентских агентов и проверьте работу клиентов. 3) Проверьте работу внутреннего веб-сервера и клиентской статистики. Для

этого в адресной строке браузера введите http://<IP-адрес или имя сервера>:8080/user или в клиентском агенте выберите пункт меню веб-статистика.

1.5.16.2 Настройки для провайдера

В отличие от офисной сети, настройка программы для сети провайдера (домовая) несетотличия.

Сеть провайдера может быть простой: клиенты подключены к одному или несколькимвнутренним интерфейсам (публичной сети), сервер - к внешнему (Интернет). Доступ к сетиИнтернет можно осуществлять по нескольким вариантам.

Через NAT или прокси-сервер. В этом случае клиенты остаются внутри публичной сети иимеют внутренние IP-адреса. Раздача IP-адресов в сети осуществляется либо



принудительным назначением статического IP-адреса на клиентской сетевой карте, либо спомощью RRAS VPN-сервера или сервера DHCP путем назначения динамического IP-адреса - в таком случае авторизацию необходимо проводить с помощью логина и пароля.С помощью IP-маршрутизации (необходима серверная версия операционной системы нениже Windows 2000 Service Pack 3). В данном варианте внешняя клиентская IP-сеть должнамаршрутизироваться на сервер, а IP-адреса - раздаваться клиентам. Авторизация клиентов вданном случае должна происходить по IP- или MAC-адресу. Клиентам назначаются "белые"IP-адреса, и на них могут маршрутизироваться подсети.

Может быть и комбинированный вариант, когда есть фирма со своей сетью, своимикорпоративными клиентами, а публичная сеть с "коммерческими" клиентами подключена черезотдельный интерфейс. Для этой схемы рекомендуется обязательное использование прокси-сервера для локальной сети в целях экономии потребляемого трафика. На публичной(клиентской сети) прокси- и sock-сервер рекомендуется отключать.

Публичную сеть можно использовать при предоставлении платных услуг путем подключенияклиентов через свою сеть. Особенности организации "последней мили" значения не имеют.Для такого публичного сегмента, ввиду его неподконтрольности администратору, должны применяться дополнительные меры безопасности.

Конфигурация Traffic Inspector в сети осуществляется следующим образом.

После установки программы необходимо запустить мастер конфигурирования. Для этогощелкните правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выберитепункт "Конфигурирование". Далее следует определиться с параметрами конфигурации.

a) В "Мастере конфигурирования":

1) Выберите "Сервер - сетевой шлюз". Нажмите "Далее".2) Перейдите к настройке служб Windows. Далее.3) Проверьте, чтобы служба Windows Firewall была отключена и была настроена

96Traffic Inspector

© 2003 - 2010 SMART-SOFT

служба NAT(ICS или RRAS). Далее.4) В службе маршрутизации выберите пункт "Настраивается самостоятельно"; если

настройки уже произведены, поставьте галку "Да, службы настроены, можно продолжать".Далее.

5) Конфигурирование Windows Firewall: выберите "Отключить". Далее.6) Перейдите на "Применение настроек". Далее.7) Обязательно включите внешний сетевой экран, выберите интерфейсы, где будет

работать сетевая защита. Далее.8) Первоначальная настройка закончена. Нажмите "Продолжить".9) Укажите необходимые опции конфигурации. - "Включить внешний сетевой экран". Обязательно должно быть включено. - "Маршрутизация по условию: Advanced Routing". Включите функцию Advanced

Routing, если предполагается маршрутизировать сети по разным каналам. Например, частьтрафика пустить по одному каналу, часть - по другому.

- "Используется RAS-сервер". Должно быть выключено. - "Используются "публичные" внутренние сети". Должно быть выключено. - "Включить поддержку VLAN (IEEE 802.1Q)". Должно быть выключено. - "Используется DVB-карта (Интернет через спутник)". При необходимости включите. Далее.10) Перейдите к настройке HTTP, SOCKS, Proxy, SMTP-шлюза. - "HTTP Proxy": по умолчанию порт 8080, менять порт следует в том случае, если

порт уже занят другим приложением (например, на порту 8080 может находиться внутреннийсайт).

- "SOCKS": по умолчанию порт 1080, менять порт следует в том случае, если портуже занят другим приложением.

- "SMTP-шлюз". Если провайдеру требуется учет почтового трафика для клиентовили офиса, включите SMTP-шлюз и настройте пересылку почты на почтовый сервер, откудаклиенты ее смогут забирать. В "Свойствах" клиента, на вкладке "Авторизация", пропишите e-mail адреса клиента. Для этого можно воспользоваться функцией "Загрузить из AD", чтопозволяет загружать список почтовых адресов из Active Directory. Почтовый шлюз TrafficInspector позволяет работать с "белыми" или "черными" списками IP-адресов и службами RBL(Open Relay Database) в Интернете, что эффективно для ограничения пользователей от спама(рекламной рассылки). Далее.

11) Выберите сетевые интерфейсы внутренней (локальной) сети. Далее.12) Выберите сетевые интерфейсы внешней сети (подключенной к провайдеру). Далее.13) Выберите сетевые интерфейсы, на которых будет включен "Внешний сетевой

экран". Далее.14) Выберите режим использования DNS. Обычно ставится нормальный. Далее.15) Применение настроек. Далее.16) Нажмите "Готово".

Конфигурирование Traffic Inspector на этом этапе завершено.

б) Выберите пункт "Активация": щелкните правой кнопкой мыши в консоли по Traffic Inspector,в контекстном меню выберите пункт "Активация" и проведите активацию программы.

в) Установите права доступа к консоли управления Traffic Inspector. Зайдите в пункт "Администрирование", выберите Группы, Администраторы. Зайдите в "Cвойства" группыАдминистараторы и проведите настройки на вкладке "Автодобавление". Особое вниманиеобратите на *\*. Подробнее об организации доступа к Консоли управления читайте в разделесправки "Администрирование и разграничение доступа".

г) Если вы определились с использованием прокси-сервера, произведите правильноеконфигурирование. Если использование прокси-сервера не предполагается, перейдите кследующему пункту.

Конфигурирование прокси-сервера:

1) Перейдите в пункт консоли Traffic Inspector: прокси-сервер. Нажмите на кнопку"Обслуживание кэша".

2) Укажите размер прокси-кэша и путь для хранения базы данных. Если клиентов в



сети много, для увеличения производительности имеет смысл устанавливать операционнуюсистему на одном диске, а базу данных кэша хранить на другом.

3) Создайте хотя бы одно правило кэширования.

д) Создайте новых пользователей и группы с помощью консоли управления. На группах илиотдельных пользователях можно запретить работу конкретных служб, например: NAT, socks,proxy для клиентов. Установите разграничение доступа по времени:

1) Зайдите в раздел консоли "Группы".2) Создайте Группу.3) Создайте пользователей. Щелкните правой кнопкой в поле группы, в контекстном

меню выберите пункт "Добавить пользователя", на вкладке "Авторизация", введите логинклиента и пароль (для авторизации средствами Traffic Inspector, при использовании доменнойаутентификации, логин вводится в формате domainname\username, пароль при доменнойаутентификации вводить не требуется).

4) Зайдите в "Свойства" нового клиента, на вкладке "Доступ" задайте тип доступа -Автоотключение или Безлимитный.

5) На вкладке "Ограничения" можно задать некоторые ограничения для клиента:разрешить или запретить работу через NAT, Proxy-, Socks-сервер. Если потребуется, можноустановить разрешение доступа по времени - для этого перейдите на вкладку "Расписание".

е) Перейдите в "Свойства" группы. Для этого в контекстном меню группы нажмите "Свойства".Перейдите на вкладку "Тарификация": здесь можно выбрать тариф: Биллинг => Тарифы.Нажмите правой кнопкой мыши и выберите "Добавить".Введите имя тарифа и задайтепараметры тарификации пользователей (цена за Мб, единица учета трафика, кредит,предоплаченый трафик, абонентская плата, стоимость трафика из кэша и почтового задается впроцентах).

Существует несколько способов тарификации.1) Только входящий: тарифицируется только входящий трафик.2) Только исходящий: тарифицируется только исходящий трафик.3) Сумма (входящий + исходящий): тарифицируется весь трафик.4) Максимальное значение: тарифицируется тот трафик, значение которого больше

(входящий или исходящий).

Также в свойствах тарифа, на вкладке "За трафик", можно установить стоимость трафика изкэша (при его использовании), стоимость почтового трафика SMTP и предоплаченный трафик.На вкладке "Лимиты" можно установить дневной, недельный и месячный лимит. Там же можновыбрать тип лимита - на трафик или на деньги (по тарификации).

8) Зайдите в "Монитор работы", добавьте пользователю денег на счет, чтобы он смогвыйти и начать работать: сделайте двойной щелчок мыши на выбранном клиенте.

ж) Контроль и учет трафика, например SMTP-шлюза или DNS-сервера, может быть произведенс помощью контролируемых и информационных счетчиков. Контролируемый счетчик "ВесьИнтернет" служит для учета всего трафика.

Для настройки счетчиков зайдите в пункт консоли "Внешние сети - Внешний трафик - Счетчики- Информационные".

Рекомендуется добавить несколько счетчиков:1) DNS: учет трафика, поступающего на DNS-сервер. В контекстном меню выбрать

"Добавить", ввести имя счетчика (DNS), локальные порты (протокол UDP, порт 53). 2) SMTP: учет почтового трафика. В контекстном меню выбрать "Добавить", ввести имя

счетчика (SMTP), локальные порты (протокол TCP, порт 25).

По аналогии, если провайдер хочет учитывать трафик, поступающий на сервера POP3/IMAP/WWW/FTP и.т.д., создаются фильтры для POP3 - TCP, порт 110; IMAP4 - TCP, порт 143;WWW - TCP, порт 80; FTP - TCP, порт 21. Если используется несколько входящих (резервных)каналов у провайдера, то имеет смысл также настроить Контролируемые и Информационныесчетчики для разных каналов. Для этого в "Свойствах" счетчика выберите "Интерфейс", накотором необходимо учитывать трафик.

98Traffic Inspector

© 2003 - 2010 SMART-SOFT

з) Если предполагается работа с внутренними бесплатными ресурсами или сетями, имеющимильготный трафик, а также снижение стоимости трафика в зависимости от времени суток, топроведите следующие настройки:

1) Работа с внутренними бесплатными ресурсами или сетями: создайте фильтр "Догруппы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правилоприменяется только для этой группы). Для этого зайдите в "Консоль управления - Биллинг -Клиенты - Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип", выберите "Наразрешение + действие", перейдите на вкладку IP, выберите "Использовать список", далееперейдите на вкладку "Список", пропишите льготные подсети, например 10.0.0.0/255.255.255.0,или имена хостов, например download.domain.ru, перейдите на вкладку "Действия", выберитетариф, по которому вы хотите произвести расчет. Если тариф для бесплатных или льготныхсетей не создан, создайте его.

После добавления фильтра цена за трафик, сетей и хостов, прописанных в списке, будет равнастоимости указанного тарифа на вкладке "Действия". Подробнее эти вопросы подробноописаны в разделе "Решение задач: бесплатные и льготные сети".

2) Снижение стоимости трафика в зависимости от времени суток: создайте фильтр "Догруппы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правилоприменяется только для этой группы). Для этого зайдите в "Консоль управления - Биллинг -Клиенты - Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип" выберите "Наразрешение + действие", перейдите на вкладку "Расписание", установите расписание дляскидки, перейдите на вкладку "Действия", выберите тариф, по которому хотите произвестирасчет. Например, с 20:00 до 8:00 можно установить работу по льготному тарифу.

Подробнее эти вопросы описаны в разделе "Решение задач: тарифные планы по расписанию".

и) Произведите настройку сетевого экрана. Для этого перейдите в пункт консоли управления"Внешние сети - Сетевой экран", зайдите в "Свойства" сетевого экрана, отключитенеиспользуемые протоколы DHCP, IPSEC и другие. Зависит от конфигурации сети провайдера.Далее:

1) При необходимости добавьте правила в сетевой экран. Если используется SMTP-шлюз, следует открыть протокол TCP, порт 25: в свойствах фильтра выберите протокол TCP, влокальном адресе пропишите порт 25. Или зайдите в "Свойства" SMTP-шлюза, на вкладке "SMTP-сервер" поставьте галку "Разрешить всем". Данная настройка будет аналогичнасозданию фильтра TCP 25 в сетевом экране.

2) Если раздача Интернета в сети провайдера осуществляется путем IP-маршрутизации (роутинга), в сетевом экране нужно добавить правило, разрешающее трафикна клиентскую IP-сеть. Для этого в контекстном меню выберите пункт "Добавить фильтр", вполе "Локальный адрес" пропишите IP-подсеть клиентской сети с указанием маски подсети.

1.6 Работа с программой

Для администрирования программы предварительно изучите раздел "Основные функции".

В разделе "Работа с MMC" описаны некоторые особенности и приемы работы с MicrosoftManagement Console. В справочной системе Windows имеется большой раздел по этой теме,но документация может быть на английском языке, и некоторые темы описаны не в полномобъеме. Информация данного раздела позволит быстро сориентироваться в этом мощноминструменте и удобно и эффективно его настроить.

Раздел "Консоль управления" - это контекстно-ориентированная справка консоли программы сописаниями всех ее разделов и окон.

Раздел "Решение задач" - описание решения различных задач, возникающих при работе спрограммой. Некоторые задачи также описаны в разделе "Типовые решения".



1.6.1 Работа с MMC

Microsoft Management Console состоит из собственно консоли mmc.exe и различных еекомпонент, называемых Snap-In. Конфигурация консоли при этом сохраняется в специальномфайле оснастки с типом <имя файла>.msc. В нем, кроме списка компонентов, сохраняются ивсе персональные настройки текущего пользователя. Такой подход к сохранению настроекочень удобен, т.к. позволяет иметь много уже заранее настроенных оснасток для выполненияразличных задач администрирования.

При работе с Traffic Inspector рекомендуется создать новую оснастку MMC и сохранить ее вотдельном месте, т.к. при переустановке консоли оснастка по умолчанию будет обновляться ивсе ее персональные настройки будут потеряны.

Консоль визуально состоит из левой части с "деревом" разделов и правой части с данными.Элементы управления представлены ее стандартными средствами: есть главное меню вверхней части окна, контекстные меню (вызываются правой кнопкой мыши) и кнопки напанелях сверху. Следует отметить, что действия этих элементов управления могут отличатьсяв зависимости от того, что выбрано - левая или правая часть консоли. Эта информацияподробно представлена в описаниях разделов и окон программы.

Как правило, везде присутствуют кнопки и меню Refresh (Обновить) и Properties (Свойства).Нажатие Refresh обновляет все данные, а Properties вызывает окно свойств раздела илиданных.

В правой части консоли могут присутствовать стандартные списки MMC. Для них доступнытакие стандартные операции, как выбор, расстановка и настройка колонок и экспорт в файл.Настройки такой таблицы сохраняются при выгрузке консоли.

Важно: в некоторых списках Traffic Inspector, где много колонок, некоторые по умолчаниюсделаны скрытыми. В разделах описания это, как правило, указывается.

Многие ненужные элементы консоли могут быть убраны, что полезно для минимизации ееразмера. Окно этих настроек можно вызвать из меню View/Customize. Выключив все пункты,можно оставить в окне только правую часть консоли с данными.

В MMC можно открыть несколько окон, при этом каждое окно может отображать разныеразделы консоли. Настройки этих окон также сохраняются персонально. В качестве примераприведена настройка консоли под монитор работы.

В MMC имеется еще один полезный инструмент - панели задач (TaskPad). Суть их в том, чтодля каждого раздела консоли правую ее часть с данными можно дополнить панелью скнопками и описаниями различных действий. Кнопки можно привязать к элементам менюконсоли или вызвать ими любое внешнее приложение. Панелей для каждого раздела можетбыть создано несколько, под разные задачи. Создаются панели задач вызовом мастера изменю New taskpad view.

100Traffic Inspector

© 2003 - 2010 SMART-SOFT

1.6.1.1 Новая оснастка

Запустите программу mmc.exe из меню ПУСК.



В оснастку добавляются и другие полезные компоненты: Event Viewer, Service Manager, Routingand Remote Access, веб-ресурс. Плюс из одной оснастки можно администрировать несколькоразных серверов программы, добавив еще компоненты Traffic Inspector.

Закройте окна, нажав Close и OK.

Настройте параметры доступа и режимы сохранения оснастки. Это можно сделать из менюFile/Options.

Сохраните оснастку командой из меню File/Save As.

1.6.1.2 Настройка списков

Для настройки стандартных таблиц выберите правую часть консоли и из меню View/Add/Remove columns вызовите окно настроек.


© 2003 - 2010 SMART-SOFT

Здесь колонки можно скрыть, показать и поменять их порядок. Также можно применитьнастройки по умолчанию.

1.6.1.3 Пример настройки монитора

В качестве примера настройки консоли опишем процесс создания оснастки для монитораработы с Интернетом. В этом мониторе будет два окна - активные пользователи и текущаясетевая статистика. Окна имеют функцию автообновления, поэтому в таком мониторе будетотображаться реальная активность по Сети в плане пользователей и характера их трафика.

Создаем новую оснастку. Переходим в раздел "Отчеты/Сетевая статистика". Открываемновое окно для этого раздела:

Откроется второе окно с сетевой статистикой. В первом окне переходим в раздел "Мониторработы" для клиентов и выравниваем окна через меню Windows/Tile horizontally.



Убираем левую часть консоли в обеих окнах. Для этого поочередно выбираем каждое окно иотжимаем кнопку:

Далее для списка пользователей следует удалить лишние колонки, расставить их порядок иразмер. Для данного примера имеет смысл отображать активность клиента, скорость, трафик ибаланс.

Через меню View/Customize желательно удалить нижнюю панель (Description Bar), а если надо- и другие элементы управления. После этого еще раз настраиваем размеры окон.Полученную оснастку можно сохранить (меню File).


© 2003 - 2010 SMART-SOFT

Для того чтобы при выходе из этого монитора работы в дальнейшем не было запроса насохранение и не произошло изменения его настроек, можно через меню File/Options ввестиразные ограничения:

1.6.2 Интерфейс консоли управления

1.6.2.1 Главное окно консоли

При запуске консоли сервис программы, если не был запущен, должен стартоватьавтоматически. Если консоль запустилась с ошибкой - обращайтесь в раздел проблем "Запускконсоли".

На главной странице консоли вверху справа будет отображена версия программы,состояние лицензии и время запуска службы на сервере.

Также отображается таблица всех сетевых интерфейсов сервера и то, как они используютсяпрограммой.

В столбце "Сеть" отображается тип сети: внешняя, локальная, публичная, внутренняя (вPE-версии - только внутренняя). Для изменения принадлежности интерфейса к определенномутипу сети запустите Конфигуратор.



Если сети сконфигурированы правильно, то внешние будут подсвечены светло-зеленымцветом, а внутренние - розовым. Серым цветом отмечаются сети, не относящиеся ни квнутренним, ни к внешним - они не сконфигурированы, и программа их не использует.

В столбце "Интерфейс" приводятся названия интерфейсов. В PE-версии внутреннийинтерфейс называется Internal.

Третий столбец показывает, включен ли Сетевой экран на интерфейсе. Здесь же можнопроизвести настройку сетевых экранов. Чтобы включить сетевой экран на внешнеминтерфейсе, нужно запустить Конфигуратор.В PE-версии сетевого экрана на внутреннем интерфейсе нет.

В столбце IP/MAC отображается IP-адрес (или MAC-адрес) интерфейса. Можно переключатьвид отображения: либо IP-адрес, либо MAC. Если IP-адрес горит красным цветом, следуетпроверить настройки сети и шлюза.Внутренний интерфейс всегда имеет IP-адрес 127.0.0.1. В столбце "Описание" приводится описание интерфейса.

Следующий столбец "Пакеты/Скорость" показывает количество принятых, переданныхпакетов через данный интерфейс или мгновенную скорость работы интерфейса (пакеты всекунду). Можно переключить режим отображения: либо пакеты, либо скорость. Если естьпотерянные пакеты, они отображаются красным цветом. Для WAN-интерфейсов скорость неотображается.

Если каких-либо интерфейсов в списке не хватает, но они должны быть, - смотрите описаниепроблемы Интерфейсы.

Ниже под таблицей интерфейсов приводится Загрузка процессора (CPU) общая ипрограммой в частности.

Можно включить режим "Автообновление" этого окна консоли и указать интервалобновления в секундах.

Из главной страницы консоли доступны операции:

Refresh (обновить): обновить соединение с сервером и данных в главном окне консоли.Следует использовать, если при работе консоли соединение с сервером по каким-либопричинам было потеряно и отображаются ошибки соединения вроде RPC call failed.Соединение с сервером: выбор сервера для администрирования и ввод логина.Конфигурирование: запускается мастер настройки сети и выбор используемых служб.Properties (свойства): общие настройки программы.Активация платной версии программы или смена ключа при переходе на другую версию. ВPE-версии этой кнопки нет. Активацию PE-версии проводить не обязательно, эта версиябесплатна.Сброс интерфейсов: производится полное обновление всех настроек программы и рестартее служб.Настройка автообновления информации на страницах консоли: доступна как ярлык(link) в правой части главной страницы консоли. Автообновление может быть отключено,кроме того, можно задать интервал обновления данных. Эта настройка распространяется навсе страницы консоли, в том числе и для модулей расширения.Переустановить модули расширения: доступно из меню консоли. Описание смотрите вразделе "Модули расширения".Панель управления службой программы: кнопки стоп, старт и рестарт.

Сервер могут администрировать одновременно несколько администраторов. При модификацииданных возможны коллизии и появление ошибок. Используйте Refresh для получения свежихкопий данных.


© 2003 - 2010 SMART-SOFT

1.6.2.1.1 Соединение с сервером

Сервер: введите сетевое имя сервера или IP-адрес. Если соединение производится ссервером на том же компьютере, то поле можно оставить пустым.

Тип авторизации:

Текущий: используется текущий Windows-логин, т.е. тот, под которым запущена консоль.Другой: задайте логин Windows. Введите Имя, Домен и пароль.По паролю: используется встроенный логин Traffic Inspector. Введите Имя и пароль.

Сохранить пароль: включите для того, чтобы запомнить пароль в файле оснастки MMC. Этопозволит в дальнейшем входить в консоль управления без ввода пароля.

Для настройки авторизации администраторов в программе обращайтесь к разделу "Администрирование".

Ошибка соединения с сервером: отображаются ошибки сетевого подключения или DCOM.

The RPC server is unavailable: проверьте введенное имя сервера или IP-адрес, а такженаличие и настройки сетевых экранов.

Могут отображаться и различные ошибки службы DCOM - раздел про ошибки запуска консоли.

1.6.2.1.2 Проблемы

Некоторые важные ошибки и предупреждения не только пишутся в журнале, но и фиксируютсякак проблемы и отображаются на этом окне в виде списка.

Пример отображения проблем

Проблемы могут быть представлены как:

Ошибка: программа работает некорректно, требует обязательного исправления.Предупреждение: программа работает, но на это следует обратить внимание и повозможности исправить.

Для проблемы отображается подробное описание, диагностическая информация, а также еевозможное решение. Если для этого есть отдельный раздел справки, то туда можно перейти,кликнув на соответствующий значок.

Нажмите Продолжить для перехода на главную страницу консоли.

Обновить: обновляет подключение к серверу и данные о проблемах.



1.6.2.2 Мастера настроек

1.6.2.2.1 Мастер активации

Мастер активации служит для активации платных версий программы или бесплатноготриального режима (версия Gold Unlimited на 30 дней). Что такое активация и зачем она нужна,смотрите в разделе установки программы "Активация". Активация происходит с помощьюобмена данными с нашим веб-сервером. Для нее необходима установка соединения сИнтернетом.

Временная активация: раздел получения бесплатного ключа для оценки полныхвозможностей программы. При этом версия ее сменится на Gold Unlimited с указаниемоставшегося количества дней для проверки (пишется вверху главной страницы консоли).Подробное описание - в разделе "Активация программы".

Запросить продление: раздел отправки запроса на продление временной активации.Продление делается только в том случае, если не успела пройти оплата за программу. Призапросе необходимо указывать номер счета и регистрационные данные плательщика.Подробное описание - в разделе "Запрос на продление".

Постоянная активация: раздел для ввода ключа активации (ID и PIN). Подробное описание -в разделе "Ввод данных".

1.6.2.2.1.1 Запрос на продление

Отправка запроса на продление временной активации производится только в том случае, еслине успела пройти оплата за программу. При запросе необходимо указывать номер счета ирегистрационные данные плательщика. Также можно воспользоваться этим разделом длязапроса нового ключа (ID и PIN) при переходе со старых версий программы.

От (E-mail адрес): укажите свой реальный почтовый адрес, иначе сообщение может не дойти.Лучше всего указать тот же адрес, который был указан при заказе счета на оплату.

В описании укажите номер счета и причину задержки оплаты, либо номер и дату платежки,если оплата произведена.

1.6.2.2.1.2 Ввод данных

В этом окне производится ввод ключа активации (ID и PIN) для платных версий программы.

Подробное описание этих параметров смотрите в разделе "Активация программы".

1.6.2.2.1.3 Активация программы

При активации происходит обмен данными с нашим сервером, поэтому соединение сИнтернетом должно быть установлено.

Если прямого подключения к сети Интернет нет и производится через другой вышестоящийпрокси-сервер, задайте его в окне общих настроек программы.

Активировать: после нажатия этой кнопки возможна некоторая задержка на время проверкиданных активации. Если активация прошла успешно, то на главной странице консоли вверхубудет указана активированная версия программы. После активации может потребоватьсяперезапуск службы Traffic Inspector.

Обновить: соединение с сервером. Также возможны проблемы соединения, поэтому, привозникновении ошибок активации, попробуйте повторить ее несколько раз.


© 2003 - 2010 SMART-SOFT

1.6.2.2.2 Мастер конфигурирования

Мастер доступен из меню в главном окне консоли. Он служит для первоначальной настройкипрограммы.

Для персонального режима (если программа была установлена инсталлятором PE-версии) вбольшинстве случаев запуск мастера конфигурирования не требуется. Исключения могутсоставлять случаи подключения нескольких внешних интерфейсов или отключения каких-либослужб.

1.6.2.2.2.1 Внутренняя сеть

В этом окне необходимо указать те интерфейсы, через которые подключена внутренняя сеть спользователями (клиентами).

Выберите интерфейсы внутренней сети: галками отметьте внутренние интерфейсы, длякоторых будут учитываться трафик, ограничение скорости, фильтрация. Настройки работы этихинтерфейсов станут доступными в разделе "Биллинг" консоли программы.

Выбрать с интранет IP-адресами: кнопка служит для определения интерфейсов, которымназначены адреса, соответствующие внутренним сетям. При нажатии этой кнопки галки дляних будут поставлены сами.

Включить поддержку VLAN (IEEE 802.1Q): разрешает в программе использование всехфункций, связанных с поддержкой виртуальных Ethernet-сетей. Описание возможностейсмотрите в разделе "Интерфейсы и сети". Следует отметить, что все функции доступны толькопри лицензии на версию GOLD.

1.6.2.2.2.2 Тип внутренней сети

Выберите "публичные" сети: галками отметьте те внутренние интерфейсы, к которымнеобходимо применять дополнительные меры защиты. Например, для домовых сетей стоитобозначить внутреннюю сеть как публичную, с сетевым экраном для защиты сервера.

Следует учесть, что для публичной сети по умолчанию будет включен сетевой экран. Еслиадминистрирование производится удаленно через эту сеть, то может произойти отключениеудаленной консоли от сервера. Для исключения такой ситуации рекомендуетсяавторизоваться как клиент программы и включить в его настройках Являетсяадминистратором.

Интерфейс RAS-сервера - конфигурировать как публичный: включить, иначе этотинтерфейс будет сконфигурирован как локальный.

1.6.2.2.2.3 Внутренние сети: службы

HTTP-порт: можно выбрать порт для службы программы HTTP-прокси и встроенного веб-сервера. Этой службой также поддерживается SSL (HTTP/CONNECT) или FTP через HTTP/GET. Служба совсем отключена быть не может. Для ограничений доступа к ней клиентовиспользуйте их соответствующие настройки, а также фильтры.

SOCKS-сервер: галка для включения (отключения) службы SOCKS-сервера. Порт - установканомера порта для SOCKS-сервера.

Следите за тем, чтобы номера портов не были заняты другими службами сервера. В случаеконфликта будет ошибка конфигурирования соответствующего интерфейса и программа станетнеработоспособной.



1.6.2.2.2.4 Внешняя сеть

В этом окне необходимо указать те интерфейсы, через которые подключены к провайдерудоступа в Интернет. Чтобы были отображены все необходимые интерфейсы, они должны бытьактивны. Если существуют подключения вроде Dial-Up, то необходимо соединиться по ним.Это относится и к VPN-подключениям.

Выберите интерфейсы внешней сети: галками отметьте внешние интерфейсы. Настройкиработы этих интерфейсов будут доступны в разделе "Внешние сети" консоли программы.

Выбрать с "белыми" IP-адресами: кнопка служит для определения интерфейсов, которымназначены адреса, соответствующие внешним IP-адресам. При нажатии этой кнопки, галкидля них будут поставлены сами.

Автоматически выбирать интерфейс внешней сети: при установленной галке,интерфейсы, имеющие маршрут по умолчанию, но не указанные в списке, будутавтоматически отмечаться как внешние.

Автоматически выбирать RAS- и Dial Demand-соединения: при установленной галке,интерфейсы, являющиеся RAS- или Dial Demand-соединениями, но не указанные в списке,будут автоматически отмечаться как внешние.

1.6.2.2.2.5 Внешний сетевой экран

Включить: установите галку для включения сетевого экрана на внешних интерфейсах. Этанастройка дублирует соответствующую в окне общих настроек внешнего сетевого экрана.

Если для какого-либо внешнего интерфейса сетевой экран не нужен, то его можно отключить,сняв галки напротив соответствующего интерфейса в списке.

1.6.2.2.2.6 Внешние сети: дополнительно

Прием и передача данных производятся с разных внешних интерфейсов - установите галку,если используете разные интерфейсы на прием и передачу, например, при работе соспутником.

На прием (DVB-карта): выберите внешний интерфейс, через который будет идти входящийтрафик. При работе через спутник таким интерфейсом обычно является DVB-карта.

На передачу: выберите внешний интерфейс, через который будут поступать запросы(исходящий трафик).

Advanced Routing: включите, если работает несколько внешних подключений и планируетсяих использовать одновременно. Более подробно о возможностях Advanced Routing смотрите в разделе Advanced Routing. Опция Advanced Routing не доступна в PE-версии.

1.6.2.2.2.7 Почтовый шлюз

Включить: установите галку, если используете внутренний почтовый сервер в своей сети ихотите учитывать входящий почтовый трафик этого сервера по пользователям. Есливнутреннего почтового сервера нет, то эту галку следует снять.

Порт: можно выбрать порт, который будет назначен для работы шлюза. Этот порт будетавтоматически открыт на внешнем сетевом экране для входящей почты.

Данное окно отсутствует в PE-версии.

1.6.2.2.2.8 Режим использования DNS

DNS используют различные службы программы, и чрезмерное потребление этого трафикаможет быть критично. Например, дорогой исходящий трафик и медленный наземный канал вслучае спутникового Интернета.


© 2003 - 2010 SMART-SOFT

Для работы DNS требуются следующие службы программы:

Прокси-сервер. Имя хоста из запроса преобразуется в IP-адрес, причем это производится доаутентификации, что требуется для работы фильтров. IP-адрес также необходим длясоединения с сервером, но только если не используется каскадирование.Сетевая статистика. IP-адреса запросов через DNS могут быть преобразованы в имена.Имеются две настройки, позволяющие отключить эту возможность.IP-фильтры, где заданы имена хостов. Имена через DNS преобразуются в IP-адреса, чтопозволяет применить их к любому трафику.

В мастере конфигурирования можно выбрать особые варианты задействования DNS впрограмме:

Нормальный: обычный режим использования DNS.Экономный: в прокси-сервере имя хоста преобразуется в IP после аутентификации иавторизации. Тем самым исключаются лишние DNS-запросы до того, как выясняется, чтоклиенту разрешена работа. Но в этом случае не будут работать фильтры "для всех", гдеимеются в качестве условий IP-адреса и сети. Для сетевой статистики после работы этогомастера опции DNS будут отключены. Позже их можно будет включить. IP-фильтры сименами хостов будут работать.DNS не использовать: в этом режиме программа, независимо от настроек, не будетработать с DNS. В случае необходимости, DNS будет использоваться только при работепрокси-сервера (каскадирование не применяется).

1.6.2.2.3 Внешний SQL-сервер

1.6.2.2.3.1 Настройка

Настройка работы программы с внешним SQL-сервером

Работа с внешним SQL-сервером доступна только для лицензий типа GOLD или TRIAL.

Обращайтесь в раздел установки и настройки работы с внешним SQL-сервером.

В процессе работы мастер выполнит следующие задачи:

Настроит соединение с внешним SQL-сервером.Настроит задачу синхронизации данных.Настроит задачу планировщика очистки данных.

Выберите тип SQL-сервера: Microsoft SQL или MySQL.

Сетевое имя сервера или IP-адрес: имя сервера в сети.

Для MSSQL вводится в формате <name> или <name\instance>. Здесь name - имя хоста илиIP-адрес, instance - имя экземпляра сервера.

TCP-порт: для MySQL можно задать порт, отличный от стандартного.

Использовать встроенную учетную запись: введите логин для соединения с сервером.Учетная запись должна иметь права администратора данного SQL-сервера.

Интегрированная аутентификация: будет использована аутентификация с текущим логиномWindows. Внимание! Текущий логин - это логин службы программы. Настройка доступнатолько для MSSQL.

Проверить соединение с сервером: можно здесь же проверить правильность введенныхнастроек.

Уникальный номер сервера Traffic Inspector: введите числовое значение от нуля и выше.

Несколько серверов могут записывать данные в одну базу данных. Если сервер всегда будетодин, оставьте "0". Если нет - введите уникальный номер. В дальнейшем эту настройку



поменять нельзя.

Отображаемое имя сервера: введите уникальное имя сервера Traffic Inspector. Оно будетиспользоваться в сводных отчетах. В дальнейшем эту настройку поменять нельзя.

Синхронизация данных: настройка задания планировщика для синхронизации встроеннойбазы данных с SQL-сервером. Можно задать периодичность копирования данных. Другиенастройки задачи планировщика будут доступны в окне общих настроек программы.

Очистка данных: настройка задания планировщика для очистки встроенной базы данных.Задается только один параметр - время жизни данных в локальной базе. Все остальныенастройки этой задачи будут доступны в разделе "Обслуживание". Если описываемая задачаранее не была настроена, то произведется ее повторная настройка. Настройки будут изменены,если задача уже настроена.

После работы мастера настройки будут доступны в окне общих настроек программы.

Задача планировщика по синхронизации данных будет запущена немедленно. Перейдите настраницу "Обслуживание" консоли для просмотра статуса этой задачи.

1.6.2.2.3.2 Удаление

Настройка работы программы без внешнего SQL-сервера


В процессе работы мастер выполнит следующие задачи:

Удалит настройки соединения с внешним SQL-сервером.Удалит задачу синхронизации данных.

Настройки задания планировщика очистки данных не меняются. Внимание! Не забудьтезаново настроить задание планировщика очистки данных; время жизни в локальной базеданных, скорее всего, придется увеличить.

1.6.2.2.4 Сброс/загрузка настроек

Выберите, откуда следует взять новые настройки:

Загрузить настройки по умолчанию: используются встроенные в программе настройки поумолчанию.Загрузить настройки из файла: выберите файл XML-формата с настройками раздела.Копировать из буфера обмена: XML-данные будут взяты из буфера обмена.

XML-данные по формату должны соответствовать разделу конфигурации; в процессе загрузкинастроек будет произведена их проверка.

Выберите опции загрузки данных:

Очистить имеющиеся настройки: перед загрузкой новых данных все имеющиесянастройки будут удалены и установлены по умолчанию.Использовать имеющиеся настройки: новые данные добавляются к старым. Приимеющихся данных заменяются новыми.

1.6.2.3 Общие настройки

Это окно доступно как Properties (Свойства) в главном окне консоли. Здесь собраны общиенастройки программы, имеющие отношение к различным службам.


© 2003 - 2010 SMART-SOFT

1.6.2.3.1 Сетевой драйвер

Учитывать заголовки Ethernet (дополнительно 14 байт заголовка): при включенной галкебудет учитываться трафик заголовков сетевых пакетов. Включение может привести кзавышению внешнего трафика, если провайдер ведет учет только чистого трафика.

Режим "прослушки" сети.Настройка перенесена в мастер конфигурирования начиная со сборки 2.0.0.628.Режим «прослушки» сети: включение учета трафика, который проходит во внутренней сети.Для работы этого режима необходимо, чтобы сервер с программой был подключен черезконцентратор - HUB. Пример использования можно посмотреть в разделе "Биллинг внесервера".

Блокировать внешнюю сеть при остановке службы программы: при включенной галке,если служба программы остановлена, интерфейсы, помеченные как внешние, блокируются. Вэтом случае доступ на сервер извне будет закрыт, даже если служба программы отключена;кроме того, пользователи не смогут получить неучтенный трафик в результате каких-либо сбоеви остановки службы.

Лимит буфера в пакетах: задает внутренний буфер данных, передаваемых драйвером дляобработки программой. Если в статистике интерфейсов появляются пропущенные пакеты,увеличение размера буфера поможет это исключить. Рекомендуется производить придостаточных свободных ресурсах процессора. Для ситуации, когда ресурсы процессора напределе, буфер следует уменьшать. Появятся потерянные пакеты, зато устранится болееопасная ситуация "затыка" обработки всей очереди данных и перегрузка всей системы.

Лимит очередей Traffic Shaping: в этих настройках указывается размер очереди и времяожидания для механизмов ограничения скорости клиентов и групп. Больший размер очередитребует больших ресурсов процессора и, при наличии последних, эти параметры можнонемного увеличить. Но до разумных пределов, т.к. перебор приведет к обратному результату -ухудшению работы приложений.Если же каналы скоростные и ресурсы процессора на пределе - очередь можно уменьшить.Предпочтительнее за счет уменьшения времени жизни. При оптимизации работы шейпера длягруппы размер очереди можно задать большим, чем для пользователя.

1.6.2.3.2 Сетевая статистика

IP-порты больше 1023 представлять как динамические: при включенной опции весьтрафик, идущий по портам от 1024 и выше, группируется. Если галку отключить, то длякаждого динамического порта будет своя запись, что сильно увеличит размер сетевойстатистики, а ее наглядность ухудшится.

Кроме портов: здесь можно указать список портов, которые необходимо выделить из общейгруппировки динамических портов.

Учитывать весь трафик: включение записи в сетевую статистику бесплатного трафика. Учетбесплатного трафика увеличит нагрузку на сервер, но даст подробную статистику по первому.Имеет смысл для целей диагностики, например, при настройке фильтров на бесплатные сети.Если требуется анализ для прямого трафика, то также следует включить отдельную настройку "Анализировать весь трафик" в общих настройках клиентов (иначе будет доступенбесплатный трафик только через прокси-сервер).

Использовать DNS для преобразования имен и IP-адресов в отчетах по статистике: при включении опции в сетевой статистике, кроме IP-адресов, будут указаны доменные имена.Для преобразования имен сервер обращается к службе DNS, что может привести к ростуслужебного трафика самого сервера.

Также для пользователей: при большом количестве пользователей (более 100-300) этаоперация становится ресурсоемкой и может привести к неработоспособности программы.Поэтому предусмотрена возможность разрешить ее отдельно для клиентов.



1.6.2.3.3 Внешний SQL-сервер

Окно настроек внешнего SQL-сервера


Смотрите раздел установки и настройки работы с внешним SQL-сервером.

Если работа с внешним SQL-сервером не настроена, то кнопкой "Запустить мастернастройки..." будет вызван соответствующий мастер. В дальнейшем все настройки будутдоступны в этом окне.

Сетевое имя сервера или IP-адрес: имя сервера в сети.

Для MSSQL вводится в формате <name> или <name\instance>. Здесь name - имя хоста илиIP-адрес, instance - имя экземпляра сервера.

TCP-порт: для MySQL можно задать порт, отличный от стандартного.

Использовать встроенную учетную запись: введите логин для соединения с сервером.Учетная запись должна иметь права администратора данного SQL-сервера.

Интегрированная аутентификация: будет использована аутентификация с текущим логиномWindows. Внимание! Текущий логин - это логин службы программы. Эта настройка доступнатолько для MSSQL.

Проверить соединение с сервером: можно здесь же проверить правильность введенныхнастроек.

Планировщик: настройки задания планировщика по синхронизации данных междулокальными данными и внешним SQL-сервером. Статус задачи отображается на странице "Обслуживание" консоли.

Удалить настройки сервера базы данных...:вызывается мастер настройки для перестройкиработы программы без внешнего SQL-сервера.

1.6.2.3.4 Ж урналы

Журнал системных событий, хранить не более: ограничение количества записейсистемных логов, хранимых в программе. В силу того, что запись логов производится также всистемный журнал событий Windows, это ограничение распространяется только на записи,доступные для просмотра в консоли программы.

1.6.2.3.5 Автоматизация

Общие настройки работы скриптов автоматизации

Обработка очереди выполнения скриптов: настройки выполнения скриптов, запускаемыхпо событиям.

Записывать вывод скрипта в файл: включить запись вывода работы скрипта в файл.По умолчанию отключено. Следует использовать для отладки и диагностики работыскрипта.

Директорий вывода: можно переопределить директорий вывода на произвольный. Поумолчанию папка script\output.

1.6.2.3.6 Счетчики скорости

Для клиентов программы и внешних счетчиков имеются специальные счетчики, в которыххранится история из ста последних значений текущей скорости. Они используются дляоперативного отображения информации о сетевой активности объекта.

Шаг анализа скорости: интервал записи в секундах значения скорости. Может быть заданоот 2 до 60 секунд. По умолчанию - 10. Чем больше этот шаг, тем за больший период временибудут отображаться данные.


© 2003 - 2010 SMART-SOFT

Измерение скорости за шаг: задается вариант определения скорости за шаг на основезначения текущей скорости. Текущая скорость вычисляется каждую секунду. Если задатьопределение по максимуму (по умолчанию), то на графиках будут более наглядноотображаться кратковременные всплески скорости; по среднему - отображаемое значениескорости будет более объективно.

1.6.2.3.7 Дополнительно

Единые настройки вышестоящего HTTP прокси-сервера для служебных нуждпрограммы - активация, обновления и т.д.: следует использовать только черезвышестоящий прокси-сервер, когда прямого подключения к сети Интернет нет. К настройкамкаскадирования (роутинга) прокси-сервера программы это отношения не имеет, т.к.вышестоящие прокси-сервера настраиваются отдельно.

Оповещать администраторов по электронной почте при системных ошибках: системные ошибки, фиксируемые в Журнале, будут высылаться системным администраторам.Плюс к тому отсылаются все предупреждения, связанные с Проблемами, а также другиепредупреждения, которые требуют внимания администратора. Для работы этой функциинеобходимо настроить Оповещение в свойствах SMTP-служб.

1.6.2.4 Описания

Описания общих ресурсов, ссылки на которые используются в различных настройкахпрограммы.

1.6.2.4.1 IP-сети

Описания IP-адресов и сетей

Используются в различных настройках программы, позволяют ссылаться на набор заданныхсетей.

Каждое описание представляет собой список из следующих элементов:

Одиночный IP-адрес.IP-сеть. Задается в формате IP/MASK. Маска может задаваться в формате IP-адреса, атакже длины в битах. Например, 192.168.0.1/24 или 192.168.0.1/255.255.255.0.Диапазон адресов. Задается два адреса через "-". Например, 192.168.0.4-192.168.0.11.Имя хоста. Это имя путем DNS-запроса будет преобразовываться в IP-адрес. В DNS-зонепод именем может быть прописано и несколько IP-адресов - программа будет работать совсеми.Это удобно, если требуется описать ресурс, IP-адрес которого может меняться.Периодичность проверки IP-адреса хоста задается в настройках. Для гибкости имеетсявозможность задать параметры DNS-проверки индивидуально для каждого списка. Внимание! Эта возможность недоступна, если при конфигурировании программы мастеромбыло задано DNS не использовать.

Общие настройки IP-сетей включают параметры распознавания имен хостов через DNS.

Описание не может быть удалено, если используется в других настройках программы. При егоудалении будет выведено сообщение об ошибке с указанием, какая настройка использует этоописание.

В списке описаний IP-адресов и сетей, кроме стандартных операций консоли, доступнаоперация "Проверить" - тестовая проверка работы условий списка. При проверке задается IP-адрес и производится его проверка. Если адрес попал в список, то отображается номерпервой строки (нумерация с "1"), где это условие выполнилось.

Загрузить обновление: немедленно загрузить обновление списка. Доступно при включенноми настроенном режиме автообновления.



Каждое описание в консоли открывается отдельным списком, где отображаются все егоэлементы в виде таблицы.

1.6.2.4.1.1 Общие настройки

Повторно проверять успешно проверенный хост через: задает периодичность в часахповторной проверки IP-адреса хоста. Слишком частая повторная проверка увеличит DNS-трафик.

При ошибке повторять попытки через: если по какой-то причине IP-адрес хоста определитьне удалось, то здесь задается интервал повторной попытки в минутах.

Удалять неизвестный хост из списка через: если по какой-то причине IP-адрес хостаопределить не удалось, то через заданный в часах промежуток времени он будет удален.

1.6.2.4.1.2 Настройки описания

Имя: отображаемое имя описания. При дальнейшем проведении настроек сослаться наописание IP-сетей можно по имени этого описания. Его изменение допускается, т.к. неповлечет потерю других настроек.

Примечания: любые заметки администратора.

DNS: настройки, задающие параметры распознавания имен хостов через DNS. Еслитребуются индивидуальные настройки описания, то следует отключить галку "Поумолчанию".

Список: ввод и редактирование списка IP-адресов, сетей и хостов. Строки описания вводятсяв соответствии с форматом, указанным выше. А также есть кнопки:

Загрузить: импортировать список из любого файла, имеющего текстововый формат. Наэтой операции проверка синтаксиса списка не производится - список будет проверен поокончанию редактирования описания при его загрузке в программу.

Экспорт: выгрузить список в файл.

Сортировать/Применить: редактируемый список загружается в программу споследующей сортировкой, производится без закрытия окна. Операция доступна толькопри редактировании ранее введенного описания.

При закрытии этого окна осуществляетсятся проверка синтаксиса списка. Если при этом будутнайдены ошибки, то выведется сообщение, на какой строке списка это произошло. В верхнейчасти окна редактирования списка есть поле, где отображается номер редактируемой строки.

Автозагрузка: настройка загрузки списка с сети по протоколу HTTP. Задайте URL для запроса, а также расписание загрузки.

Формат загружаемого списка: выберите формат для преобразования загруженных данных.Пока доступен один формат - BGP export list. Он требует задать имя сети. Для определенияимени сети можно открыть список в браузере, имя будет после ключевого слова aggregation.Один такой список может содержать несколько разных описаний сетей.

1.6.2.4.1.3 Подробный список

В этом списке консоли отображается подробная информация об описании: IP-адреса хостов,время их DNS-распознавания, а также сообщения об ошибках.

В списке доступна операция "Распознавать имена повторно": запрос на немедленнуюповторную проверку IP-адресов всех хостов.

Доступна операция удаления выбранного элемента из списка.


© 2003 - 2010 SMART-SOFT

1.6.2.4.2 URL-списки

Описания правил обработки URL-запросов

Используются в различных настройках программы - в фильтрах и правилах HTTP-проксисервера.

Каждое описание представляет собой список условий, которые могут быть:

Подстрока: поиск вхождения заданной подстроки. Условие выполняется, если она входит взапрос.Выражение вроде Regular Expressions. Позволяет реализовать сложные условия.

Внимание! HTTP прокси-сервер при обработке запроса передает URL вида <Host>/<Path>?<Parameters>. Другие части полного URL не передаются - префикс протокола (http//), IP-порт,логин и т.д. Учитывается при формировании списка, а также его тестовой проверке.

Описание не может быть удалено, если оно используется в других настройках программы. Приудалении такого описания будет выведено сообщение об ошибке с указанием настройки,использующей это описание.

В списке описаний IP-адресов и сетей, кроме стандартных операций консоли, доступнаоперация "Проверить" - тестовая проверка работы условий списка. При нажатии кнопкивводится тестовый URL-запрос и производится его проверка. Если условие выполняется, тоотображается номер первой строки (нумерация с "1"), где это условие выполнилось.

Загрузить обновление: немедленно загрузить обновление списка. Доступно, если включен инастроен режим автообновления.

1.6.2.4.2.1 Настройки

Имя: отображаемое имя описания. В дальнейшем при выборе описания в других настройкахоно будет выбираться по этому имени. Его изменение допускается - это не приведет к потередругих настроек.

Тип обработки: задается вариант обработки условий.

Нечувствительно к регистру: при включении, обработка больших букв будет аналогичнаобработке маленьких. В этом случае для Regular Expressions все большие буквы должны бытьпреобразованы в маленькие. Для варианта простой подстроки допускается любая комбинациябольших и маленьких букв.


Список: ввод и редактирование списка условий. Строки описания вводятся в соответствии сформатом, указанным выше. Также имеются кнопки:

Загрузить: импортировать список из любого файла, имеющего текстовый формат. На этойоперации проверка синтаксиса списка Regular Expressions не производится, список будетпроверен по окончанию редактирования описания при его загрузке в программу.


Сортировать/применить: редактируемый список загружается в программу споследующей сортировкой, без закрытия окна. Эта операция доступна только приредактировании уже ранее введенного описания.

Проверить: можно немедленно проверить вводимые выражения на выполнение тестовыхусловий. Данные берутся непосредственно из вводимого списка.

Применить/проверить: возможность проверить вводимые выражения на выполнениетестовых условий на сервере. Перед проверкой введенные данные из списка будутзагружены на сервер.



При закрытии этого окна производится проверка синтаксиса Regular Expressions. Если приэтом будут найдены ошибки, будет выведено сообщение, на какой строке списка этопроизошло. В верхней части окна редактирования списка есть поле, где отображается номерредактируемой строки.

Автозагрузка: настройка загрузки списка из сети по протоколу HTTP. Задайте URL запроса, атакже расписание загрузки.

1.6.2.4.3 Скрипты

Раздел ввода и редактирования описаний встроенных скриптов. Встроенные скриптыиспользуются для различных задач автоматизации.

Эта возможность доступна только для лицензий типа GOLD или TRIAL.

Для создания нового скрипта в его окне настроек потребуется ввести имя, задать язык и тайм-аут выполнения. Текст скрипта можно ввести там же или в отдельном редакторе.

Скрипт должен содержать только процедуры. По умолчанию будет вызываться процедура Main(). После ввода скрипта его содержимое проверяется сервером. В статусной панеливнизу списка будут отображены имена всех процедур или описание ошибок, обнаруженных втексте скрипта.


Окно ввода настроек описания скрипта

Имя: уникальное имя скрипта.

Язык скрипта: выберите язык.

Тайм-аут выполнения скрипта: можно задать в секундах. Если время выполнения скриптабудет превышено, его работа будет прервана. В системном журнале отпишетсясоответствующая ошибка. Если задать "0", то скрипт будет выполняться неограниченноевремя.

Примечания: задайте описание скрипта.

Скрипт - текст: на этой закладке можно ввести текст скрипта, а также загрузить его с файла(кнопка "Импорт") или выгрузить в файл (кнопка "Экспорт"). Для редактирования скриптаудобнее использовать отдельный редактор, доступный через закладку в окне просмотрасписков скриптов.

1.6.2.4.4 Оборудование

Раздел описаний оборудования - сетевых устройств, с которыми взаимодействует программа.

Описание включает общие данные: наименование, описание, местоположение и т.д., а такжепараметры сетевого взаимодействия. На настоящий момент реализована работа черезпротокол управления SNMP.


Имя: наименование устройства в программе.

Имя хоста или IP-адрес: введите сетевой адрес, по которому будет производиться работа сустройством через сеть.

Примечания: любые заметки.


© 2003 - 2010 SMART-SOFT

Группа из четырех настроек, включающая общие данные об устройстве. Идентичныописаниям устройства из общей ветки объектов MIB-II (RFC-1213). Эти данные хранятся вконфигурации программы, но имеется возможность считать их с устройства; некоторые могутбыть записаны в него.

Описание: общее описание типа устройства. Имя объекта sysDescr. Параметр с устройстваможет быть только считан.

Системное имя: может быть сетевым именем (DNS) или внутренним именем устройства. Имяобъекта sysName. Параметр с устройства может быть только считан.

Местоположение: описание физического местоположения устройства. Имя объектаsysLocation.

Контактная информация: например, информация об администраторе устройства (e-mailадрес или номер телефона). Имя объекта sysContact.

Функции чтения и записи этих параметров в устройство возможны, если оно поддерживаетработу с SNMP и стандартную базу объектов MIB-II - смотрите настройки SNMP.

Устройство работает с SNMP: включить, если устройство поддерживает управление попротоколу SNMP.

Read community: строка (пароль) для доступа к устройству в режиме только чтения. Поумолчанию public.

Read/Write community: строка (пароль) для доступа к устройству в режиме чтения и записи.По умолчанию private.

Устройство поддерживает MIB-II (RFC 1213): включить, если устройство поддерживаетработу со стандартной базой объектов MIB-II. Как правило, все сетевые устройства,работающие с SNMP, это обеспечивают.

1.6.2.4.5 Атрибуты

Атрибуты клиентов используются для хранения любой дополнительной информации объектаконфигурации. Они могут быть определены для клиентов, групп клиентов, групповых счетов ивнешних счетчиков. Например, это это могут быть любые дополнительные настройки,внутренние промежуточные данных скриптов автоматизации, модулей расширения илисторонних приложений.

Данные атрибутов могут отображаться ввиде дополнительных колонок с списках клиентов,групп, групповых счетов, внешних счетчиках, а также в мониторе работы клиентов и внешнихсчетчиков. В этих разделах консоли также имеется возможность редактирования и просмотраданных атрибутов в отдельном окне.

Все операции с атрибутами также доступны через API (смотрите SDK).

В этом списке вводятся и отображаются описания атрибутов.

В окне настроек атрибута доступны:

Имя: название атрибута, оно должно быть уникально.

Описание: можно подробно описать атрибут.

Тип: задайте тип данных атрибута, он может быть -

String. Произвольные данные ввиде строки или текста. Длина не ограничена.Integer. Целое значение со знаком. Для хранения используется 64-разряднаяпеременная.Boolean.Float - число в десятичном формате. Хранится и отображается до 4 знаков послезапятой.



DateTime - дата со временем или без.

Если данные атрибута уже были введены, то изменение типа будет запрещено. Если типнадо изменить, то в списке атрибутов имеется операция очистки всех данныхзаданного атрибута.

Применять в списках: выберите списки, для данных которых будет использоваться данныйатрибут.

Доступ: разграничивает доступность данных атрибута для пользователей с ограниченнымиправами, возможны варианты:

все: атрибут доступен всем без ограничений;менеджеры и администраторы: все, кроме кассиров;администраторы: только тем, кто имеет полный доступ.

Имеет смысл только для атрибутов клиентов и групп. Для других списков (групповые счетаи внешние счетчики) данные доступны только для администраторов.

Вести учет изменений: при включении будет вестись история изменений этого атрибута (Втекущей версии не реализовано).

Показывать в списках: если включить, то данные атрибута будут отображаться в отдельныхколонках в правой части списка (разделы клиенты, группы, групповые счета, контролируемые иинформационные счетчики). По умолчанию включено. Данные атрибута имеет смыслпоказывать с списках, если это - дополнительные настройки и т.д. Если это внутренние данные(переменные) скриптов или внешних приложений, то нет.

Показывать в мониторе работы: если включить, то данные атрибута будут отображаться вотдельных колонках в правой части списка монитора работы клиентов (атрибуты клиентов игрупповых счетов) или внешних счетчиков. Внимание! Запрос данных атрибутов в монитореработы - операция, требующая дополнительных ресурсов. Если в мониторе работы включеноавтообновление, то отображать данные атрибутов там без особой необходимости не следует.

Запретить редактирование значений (только через API): если включить, то данныеатрибута будут недоступны для редактирования в консоли.

Синхронизировать с внешней базой данных - (В текущей версии не реализовано).

Имеется еще одна опция атрибута - запрет на редактирование описания атрибута. Онадоступна при редактировании описания атрибута только через API. Если она включена, то уатрибута изменение всех настроек, кроме имени и описания, запрещено.

Атрибут может быть удален из списка описаний, только если отсутствуют все связанные с нимданные. Для удаления всех данных имеется отдельная операция.

1.6.2.4.5.1 Редактирование данных

Окно ввода и редактирования данных атрибутов.

Доступно из списков клиентов, групп, групповых счетов, контролируемых, информационныхсчетчиков, а также из монитора работы клиентов и внешних счетчиков консоли.

Атрибуты должны быть заранее описаны в соответствующем списке. Чтобы атрибутотображался в этом окне, он должен быть разрешен для данного списка и для него не должнобыть запрещено редактирование данных.

Данные вводятся в зависимости от типа, заданного в описании. В выпадающем списке поляввода имеется операция очистки данных.


© 2003 - 2010 SMART-SOFT

1.6.2.5 Правила

Описания правил и действий, которые используются в различных службах программы.

1.6.2.5.1 Правила сетей

Раздел включает список отдельных правил для IP-сетей. Могут быть описаны как отдельныекомпьютеры по IP-адресам, так и сети в виде диапазонов IP-адресов.

При применении правил список просматривается сверху вниз. Выбирается и применяетсятолько одно самое первое правило, которое попало под условие. Поэтому, если задандиапазон адресов, порядок правил имеет значение.

Есть одно предустановленное по умолчанию правило: для всех адресов с диапазоном 0.0.0.0- 255.255.255.255, в котором следует задать настройки правил по умолчанию. Оно всегда размещается внизу списка. Удалить через консоль его нельзя. Если по какой-топричине было удалено - его следует ввести заново.


IP-адреса и сети

Можно задать:

IP-адрес одиночного компьютера.Диапазон IP-сетей.Выберите список IP-сетей.

Сервер терминалов

Работа клиентов с сервера терминалов для Traffic Inspector имеет особенности - все клиенты,работающие на сервере терминалов, будут иметь одинаковый IP-адрес, и их раздельный учетвозможен только при работе через прокси-сервер или SOCKS.

Для их корректной работы надо указать IP-адреса серверов терминалов: создайте для нихправила и включите эту опцию.

Аутентификация

Basic: разрешает BASIC-аутентификацию (открытым текстом) через HTTP. Рекомендуетсяотключить из соображений безопасности, если трафик в сети может быть перехвачен. Для SSLBASIC аутентификация всегда разрешена.

NTLM: разрешает использование NTLM для Windows интегрированной авторизации.Рекомендуется отключить для сетей вне сети Windows. Для SSL NTLM аутентификация всегда разрешена.

Внимание! Для некоторых типов лицензий процедура NTLM-аутентификации может бытьнедоступна.

1.6.2.5.2 Перенаправление TCP

Правила перенаправления TCP-соединений

Работает на уровне драйвера программы, может быть перенаправлен любой TCP-трафик.

Используется для перенаправления исходящих TCP-соединений клиентов. Дляперенаправленного трафика фильтры клиентов работают в контексте перенаправленных IP-адресов и портов. В сетевой статистике будет отображаться перенаправленные IP-адреса ипорты. Для перенаправленного трафика не будет работать фильтр блокировки HTTP мимопрокси, что позволяет сделать перенаправление HTTP-трафика на любой сервер аналогичновстроенному Transparent Proxy.

Имя: уникальное имя правила.



IP-адрес/сеть: задаются IP-адреса назначения, к которым применяется правило. Может бытьзадан диапазон адресов или описание IP-сетей. В противном случае правило применяется клюбому трафику.

Порт: задается номер порта назначения (или диапазон портов), к которому применяетсяправило. Должен быть задан обязательно.

Перенаправлять на IP: задается IP-адрес TCP-сервера, на который будет перенаправленосоединение. Сам сервер: соединение будет перенаправлено на IP-адрес сетевого интерфейсасервера, со стороны которого идет запрос.

Менять порты на: задается, если необходимо сменить порт назначения. Если дляперенаправления задан диапазон портов, то различные порты могут быть заменены на одинзаданный.

Сделать трафик бесплатным: данный трафик тарифицироваться не будет. Работаетаналогично похожей настройке в фильтрах клиентов.

1.6.2.6 Биллинг

1.6.2.6.1 Фильтры

С помощью фильтров решается задача разграничения доступа из внутренней сети,фильтрации нежелательного контента, а также другие задачи, связанные с изменениямитарифов на разные типы трафика или ограничений скорости работы клиентов.

Перед настройкой фильтров следует ознакомиться с разделом описания их работы.

В консоли фильтры представлены в нескольких списках:

Запрет для не клиентов: запрещает не авторизованный трафик.Разрешение для всех: разрешает не авторизованный трафик и пускает его мимо биллинга.До группы: наивысший приоритет по сравнению с фильтрами группы. Обрабатываютсяпервыми.В каждой группе.После группы: обрабатывается после фильтров группы.

Для фильтров, относящихся к группам, некоторые важные для них настройки находятся в свойствах групп.

Фильтры могут быть перенесены из одного списка в другой. Если группа удаляется, еефильтры удаляются тоже.

Фильтры добавляются через меню Добавить, для редактирования следует использоватькнопку или меню Свойства.

Смотрите примеры работы с фильтрами в разделе "Решение задач".

В PE-версии нет разделов "Запрет для не клиентов" и "Разрешение для всех".

Внимание! Если меняются настройки фильтров, которые приводят к изменению спискадополнительных тарифов счета, обязательно изучите раздел.

1.6.2.6.1.1 Фильтр

Имя фильтра: уникальное имя, должно быть обязательно указано.

Отключить фильтр: включите, если хотите остановить работу фильтра, но не удалять его.

Для клиентов: включите, если фильтр должен применяться только для авторизованныхпользователей. Изменение этого параметра приводит к переносу фильтра в другой список.


© 2003 - 2010 SMART-SOFT

Группа: можно выбрать группу, для которой будет действовать фильтр, или применить длявсех, выбрав "-- НЕТ --". С помощью этого параметра при необходимости осуществляетсяперенос фильтра в другую группу.

Применять до фильтров группы: при включенной опции фильтр помещается в список "Догруппы" и срабатывает до групповых фильтров. При выключенной - фильтр помещается всписок "После группы" и обрабатывается после всех остальных.

Применять фильтр в службах: выбираются службы, в которых будет работать данныйфильтр:

Direct NAT или роутинг (в PE-версии не доступна);Прокси-сервер;SOCKS connect (исходящие соединения).


1.6.2.6.1.2 Тип

В зависимости от того, какой фильтр создается и в каком списке, настройки данного разделамогут отличаться.

Например, если фильтр для всех, то у него недоступны действия. Для неавторизированныхклиентов невозможны учет, коррекция стоимости трафика, ограничение скорости, но возможнозапретить или разрешить тот или иной трафик.

Тип фильтра: здесь указывается принцип работы фильтра. Он может быть одним из таких:

На разрешение + действие: фильтр на разрешение. Трафик, который попадает подусловия фильтра, будет разрешен. Обратите внимание: пометка + действие будет лишь втом случае, если фильтр для клиентов. В этом случае одновременно с разрешением этоготрафика можно настроить параметры "Действия", например, сделать этот трафикбесплатным или ограничить его скорость. После срабатывания фильтра на разрешениедальнейшая обработка этого трафика другими фильтрами ниже по списку прекращается. На запрещение: фильтр на запрещение. Трафик, который попадает под условия фильтра,будет запрещен. После срабатывания фильтра на запрещение дальнейшая обработка этоготрафика другими фильтрами ниже по списку прекращается.Управляемый клиентом (на запрещение): фильтры F1-F4, переключаемые пользователемв клиентском агенте. По умолчанию фильтр F1 содержит список ключевых баннеров ибаннерных сетей и настроен на блокировку анимаций и изображений; фильтр F2 блокируетмультимедиа-контент; F3 блокирует еще и все изображения; F4 пропускает только текст. Этинастройки по умолчанию можно изменять.Только действия: к трафику применяется только настройки "Действия", и его обработкадругими фильтрами ниже по списку продолжается.

Состояние счета клиента: можно включить срабатывание фильтра только при работе вкредит или наоборот. Например, можно сделать так, чтобы клиент заходил только набесплатные ресурсы при его работе в кредит (отрицательный баланс).

Тип внутренней сети: можно включить срабатывание фильтра только для тех интерфейсов,которые отмечены в конфигураторе как локальные или публичные. Тем самым можносформировать различные политики доступа из разных по сути сетей. Для публичной сетилогично произвести ограничение доступа как на сам сервер, так и на другие внутренние сети -явно разрешить только то, что необходимо (для PE-версии смысла не имеет, т.к. нетвозможности выбрать тип внутренней сети).

Фильтр приложений: для HTTP-прокси, с возможностью фильтрации по контенту. Включить,если требуется задание условий уровня приложений - HTTP, FTP. Эти условия могутпроверяться при работе клиента только через прокси-сервер, для фильтрации прямого трафикатакой возможности нет. При отключении этой опции ввод всех критериев уровня приложений -URL, контента и других - будет недоступен. Фильтр приложений для прямого трафика (через



NAT) применяться не будет.

1.6.2.6.1.3 IP

Порты источника (клиента или любого хоста внутри): необязательный параметр, можнозадать для типа протокола TCP или UDP. Используется только если трафик идет на заранееизвестный порт или диапазон портов машины клиента. Не путайте эти порты с портамисерверов, к которым обращаются клиенты, - порты удаленных серверов вписываются в Портыназначения.

IP-протокол: можно задать тип UDP, TCP, ICMP, IPSec, выбрать Другой и указать явно егономер. ICMP и IPSec - составные фильтры, они задают группу фильтров уровня IP-стека. Еслииспользуется фильтр уровня приложений, то протокол всегда TCP.

Тип (номер) IP-протокола: доступно, только если выбран протокол "Другой".

Адрес назначения: может быть следующее:

Сам сервер (все его интерфейсы): в этом случае фильтр сработает при обращениях на самсервер программы (в PE-версии недоступно).IP-адрес или сеть: можно указать любой внешний адрес или диапазон (сеть), используямаску.Использовать список: можно выбрать из описания IP-сетей.Любой.

Порты назначения: можно задать порты внешних серверов для протоколов TCP или UDP.

1.6.2.6.1.4 Контент

Настройки разрешены, если в закладке "Тип" включено Фильтр приложений.

Протокол: можно задать протокол уровня приложений, в список включены некоторыепротоколы, поддерживаемые прокси-сервером.

Проверка URL: можно задать условия проверки URL. HTTP прокси-сервер при обработкезапроса передает URL вида <Host>/<Path>?<Parameters>. Другие части полного URL непередаются - префикс протокола (http//), IP-порт, логин и т.д.

URL или строка в формате регулярных выражений: используется при анализе строкизапроса, если не указан список. Формат регулярных выражений описан в соответствующемразделе "Справочной информации".

ИЛИ

Список: выбирается URL-список из описаний.

Проверить: нажмите для проверки выбранного выражения.

Тип данных: выберите группы типов данных, для которых нужно применить данный фильтр.Типы данных описаны в конфигурации программы. Все стандартные типы описаны и собраныпо очевидным группам.

Также другой тип: если тип данных не совпадает ни с одним из описанных конфигурации.

1.6.2.6.1.5 Расписание

В этом окне указываются дни недели и часы, когда будет разрешено срабатывание фильтра.Наведя мышку на верхнюю строку кнопок, можно увидеть время суток, за которое отвечаетданный столбец. Синим цветом отмечены разрешенные часы, серым - запрещенные.


© 2003 - 2010 SMART-SOFT

1.6.2.6.1.6 Роутинг

Порядок применения правил для роутинга аналогичен другим действиям фильтров.

Имеется дополнительная настройка - факт перенаправления пакета на другой интерфейс можетиспользоваться и как условие для фильтра. Так как фильтры обрабатываются строго по списку,то, размещая такие фильтры после фильтра, который сделал перенаправление, можно собратьлогику применения условий в зависимости от используемого внешнего интерфейса. Например,применить скидки (наценки). Следует также учесть, что настройки клиентов (групп)применяются после просмотра списка. Более подробно о механизме Advanced Routingможно прочитать в разделе "Маршрутизация" .

Внешний интерфейс: интерфейс, который будет использован в работе фильтра. Взависимости от следующих за ним настроек будет определена логика работы.

Направлять трафик на этот интерфейс: в случае если фильтр сработал по предыдущимнастройкам (закладки IP, Список, Контент), трафик будет перенаправлен на указанный вышеинтерфейс.

Применять фильтр для трафика, уже перенаправленного на этот интерфейс: сам фактпоявления перенаправленного трафика на интерфейсе является условием для срабатыванияэтого фильтра.

Параметры на закладке не доступны в PE-версии, т.к. функция Advanced Routing в этой версиине работает.

1.6.2.6.1.7 Действия

Изменить стоимость трафика: включите, если нужно изменить стоимость трафика,подпадающего под условия фильтра.

Сделать бесплатным (0% стоимости): данный трафик тарифицироваться не будет.

Посчитать по другому тарифу: трафик будет считаться по другому тарифу отдельнымисчетчиками. Его учет будет вестись отдельно. Внимание! При изменении этойнастройки для работающих клиентов может произойти пересчет тарификации.Смотрите информацию по этому вопросу.

Не использовать этот трафик для определения скорости и передавать эти данныебез задержек: включите для трафика, который необходимо передавать без ограниченияскорости.

Ограничивать скорость: включение ограничения скорости для трафика, подпадающего подусловия фильтра. Ограничение указывается как Кбит в секунду. Можно указать отдельноеограничение на прием и на передачу.

Увеличить приоритет трафика при обработке пакетов в очереди: устанавливаетприоритет для трафика.

Также делать приоритет и при ограничении скорости в группе: при включении для этоготрафика будет использоваться отдельная очередь (отдельная на каждую группу). Такой трафикполучает еще более высокий приоритет.

1.6.2.6.1.8 Блокировка

Настройки разрешены, если в закладке "Тип" включено Фильтр приложений.

При блокировке не брать из кэша: если при работе через прокси-сервер ресурсблокируется, но он есть в кэше, будет использован сохраненный ресурс безо всяких проверокна его "свежесть". Весьма логично, когда фильтрация применяется для экономии трафика, т.к.страницы сайтов получаются более заполненными. Но если фильтр используется дляограничений доступа к явно нежелательному контенту и ресурс надо блокировать полностью,тогда эту опцию можно включить.



Не блокировать объекты менее: кэширование и проверка на обновление маленькихобъектов может привести к большим расходам трафика, чем при простой загрузке такогонебольшого объекта. Поэтому есть возможность пропускать такие объекты для большейэкономии.

Редирект или комментарий при блокировке через прокси-сервер: в случаекомментария, это любой текст длиной не более 255 символов, выданный снизу страницы. Та, всвою очередь, выдается прокси-сервером клиенту при блокировке ресурса. Удобноиспользовать при отладке фильтров или для каких-либо сообщений клиентам - становитсявидно, какой фильтр произвел блокировку.

При редиректе возвращать "301 - Moved Permanently": включите, если при работередиректа нужно возвращать HTTP-код 301. Данный код означает, что указанный ресурсполностью перемещен на другой адрес. Будет иметь смысл, если полностью подменяете одинсайт другим.

При блокировке изображений возвращать "пустышку": подменять заблокированныеизображения и флеш-анимацию пустыми файлами, чтобы сохранить целостность веб-страниц.

1.6.2.6.2 Внутренний сетевой экран

1.6.2.6.2.1 Локальные сети

Включить сетевой экран: включает сетевой экран для всех интерфейсов, отмеченных вконфигураторе как локальные. При включенном экране дополнительными галками можноразрешить пропускать известные виды протоколов, которые могут быть необходимы дляработы сервера. Доступ к службам программы, таким, как работа с агентом или прокси-сервер,специально открывать не нужно - они всегда доступны для внутренних сетей.

Разрешить трафик между локальными сетями: разрешает хождение трафика междуинтерфейсами, отмеченными в конфигураторе как локальные.

Разрешить трафик между локальными и публичными сетями: разрешает прохождениетрафика между локальными и публичными интерфейсами.

Внутренний сетевой экран отсутствует в PE-версии.

1.6.2.6.2.2 Публичные сети

Включить сетевой экран: включает сетевой экран для всех интерфейсов, отмеченных вконфигураторе как публичные. При включенном экране дополнительными галками можноразрешить пропускать известные виды протоколов, которые могут быть необходимы дляработы сервера. Доступ к службам программы, таким, как работа с агентом или прокси-сервер,специально открывать не нужно - они всегда доступны для внутренних сетей.

Разрешить трафик между публичными сетями: разрешает прохождение трафика междуинтерфейсами, отмеченными в конфигураторе как публичные.

1.6.2.6.3 Тарифы

Список тарифов в биллинге

Обязательно имеется тариф по умолчанию, он отображается как <Default> первым в списке.Удалить нельзя, но все его настройки можно менять.

Тариф не может быть удален, если он используется в других настройках программы. При егоудалении будет выведено сообщение об ошибке с указанием настройки, использующей этоописание.


© 2003 - 2010 SMART-SOFT


Тарифы могут использоваться как основные и дополнительные.

Основной тариф задается в настройках клиентов программы и в групповых счетах. Учет подополнительным тарифам применяется, если те применяются в соответствии с правилами,описанными в фильтрах. В дополнительных тарифах некоторые настройки тарифного плана неиспользуются, о чем будет сказано далее.

При изменении тарифного плана следует учесть, что если менялись настройки, которыеприводят к перерасчету баланса, то перерасчет будет применен немедленно. Везде, гдеиспользуется данный тариф, баланс будет пересчитан. Если это нежелательно, используйтедругие варианты смены тарифов.

Имя тарифа: введите уникальное имя тарифа.

Некоторые общие настройки используются только для основного тарифа.

В чем (единица измерения): в данном поле можно выбрать одну из готовых единицучета, либо написать свою. Для дополнительных тарифов единица учета берется изосновного.

Оплата по умолчанию: подставляется в поле оплаты при старте сессии клиента. А такжеиспользуется при автодобавлении клиента.

Кредит: размер кредита. Если задано ненулевое значение, баланс клиента может уйти вминус на данную сумму и работа будет производиться в особом режиме - Работа вкредит. Для этого режима в фильтрах доступны отдельные настройки. Имеет смысл толькопри включенном у клиента режиме "Автоотключение".

За трафик: группа настроек, задающих тарификацию по трафику.

Способ тарификации трафика: укажите один из способов учета.

Только входящий: исходящий бесплатен.Только исходящий: входящий бесплатен.Сумма входящего и исходящего.Максимальное значение: учитывается преобладающий трафик за весь период учета.

Цена: стоимость трафика за Мбайт. Если планируется учет в мегабайтах, укажите "1" илипоставьте стоимость в единице учета.

Предоплаченный трафик: количество трафика в Мбайт, которое можно потратить дотого, как начнется начисление денег за трафик и уменьшение баланса.

Коррекция значения исходящего (%): изменяет стоимость исходящего трафика, если онплатный. Имеет смысл в тех случаях, когда у провайдера стоимость исходящегоотличается от входящего. По умолчанию 100% - стоимость исходящего равна входящему.Настройка корректирует объем всех исходящих данных, поступающих для учета, т.е. вседанные отображаются уже с учетом этой поправки.

Стоимость трафика из кэша (%): стоимость кэша для клиентов в процентах от ценытрафика. По умолчанию 0%, т.е. трафик из кэша бесплатный.

Стоимость почтового трафика (%): стоимость почтового трафика для клиентов впроцентах от цены трафика. По умолчанию 100%.

Абонентская плата: группа настроек для тарификации по времени работы клиента.Используются только для основного тарифа.

Цена: размер абонентской платы, в выбранных единицах учета. Есть два режима еесписания:



Почасовая за реальное время работы: плата начисляется за реальное времяработы. Учитывается поминутно только то время, когда клиент активен. В поле "Цена"задается стоимость за час работы.Посуточная за время сессии: начисляется посуточная абонентская плата за все времясессии с начала ее старта независимо от состояния клиента. Для временногоприостановления начисления абонентской платы можно перевести клиента в состояние "Пауза". В поле "Цена" задается стоимость за сутки работы.

Лимиты: задаются отдельные ограничения за периоды времени - сутки, неделя, месяц. Длякаждого лимита трафик учитывается в отдельных счетчиках. Если лимит задан и введенозначение более нуля, то клиент или групповой счет может быть заблокирован в случаепревышения лимита. Имеются два варианта вычисления лимита:

Лимит за трафик: вычисляется как трафик в мегабайтах на основании заданногоСпособа тарификации - настройку смотрите выше. В качестве значения лимитов здесьзадаются мегабайты.Лимит на деньги: вычисляется трафик в мегабайтах на основании заданного Способатарификации, далее используется цена (стоимость трафика). Значения лимитов здесь -единица тарификации.

1.6.2.6.4 Клиенты и группы

Клиенты могут быть как в группах, так и в общем списке.

Многие настройки клиента имеют иерархию: используются общие настройки или же берутся изгруппы. При добавлении клиента у таких настроек включено По умолчанию, т.е. если клиент вгруппе, настройка берется из группы, если клиент вне групп - берутся общие настройки. Угруппы аналогично - при добавлении новой группы включено По умолчанию, т.е. для группыберется общая настройка.

В списках групп и клиентов параметры, заданные По умолчанию, отображаются в угловыхскобках.

На текущий момент группы не могут входить в другие группы.

При удалении группы ее клиенты переносятся в общий список, а фильтры и атрибутыудаляются.


Разрешить смену пароля пользователем: разрешает смену паролей через клиентскийагент. Работает только при авторизации клиента программы через встроенный логин и пароль,для Windows-аутентификации недоступно.

Интервал обновления данных через агента: настройка времени обновления данных вклиентском агенте, в секундах.

Предпочитаемый протокол: если у агента протокол явно не задан (по умолчанию), то можнозадать протокол работы - UDP, HTTP или SSL. Эту настройку агент получит в процессепроцедуры автоконфигурирования.

Запретить работу старых агентов по протоколу v.1: запрещает работу старых агентов,которые не поддерживают протокол обмена данными v.2.

Сервер авторизации, Разрешить конфигурирование широковещательнымисообщениями: при включении сервер будет принимать и отвечать на широковещательныесообщения с агента. Процедура позволяет агенту найти сервер, если адрес сервера не указани включено "искать сервер автоматически" (по умолчанию). При установке в одном сегментесети нескольких серверов с Traffic Inspector опцию следует включать только на одномсервере.


© 2003 - 2010 SMART-SOFT

Тайм-аут авторизации: настройки времени отключения авторизации в секундах. Если клиентавторизован через прокси-сервер, то авторизация удерживается, пока не закрыто TCP-соединение. Если агентом, то авторизация подтверждается по каждому запросу данных -смотрите настройку "Интервал обновления данных через агента". В случае еслиподтверждений нет в течение заданного тайм-аута, авторизация отключается.

Автодобавление клиентов: если разрешить, то клиенты, успешно прошедшие NTLM-утентификацию и не найденные среди клиентов программы, будут добавляться автоматически.Доступно только при использовании интегрированной Windows-аутентификации (NTLM).

Только для членов группы: укажите группу Windows, членам которой будет разрешеноавтодобавление. Может быть как группа домена, так и локальная группа.

По умолчанию клиенты добавляются в список вне групп. Для того чтобы можно былоотдельных клиентов добавлять в разные группы, в настройках групп клиентов имеютсясоответствующие настройки.

При добавлении клиентов будут прописываться настройки по умолчанию, соответствующиегруппе, куда они добавляются. В настройках тарифа имеется параметр "Оплата по умолчанию". Клиенту на счет может добавляться сумма и задаваться доступ с автоотключением, впротивном случае задается безлимитный доступ.

На закладке можно указать дни недели и часы, когда пользователям будет разрешена работав сети Интернет. Наведя мышку на верхнюю строку кнопок, можно увидеть время суток, закоторое отвечает данный столбец. Синим цветом отмечены разрешенные часы, серым -запрещенные.

Описание работы сетевой статистики - раздел "Сетевая статистика".

Разрешить запись сетевой статистики по трафику: разрешает запись сетевой статистики.

Интервал в минутах: настройка частоты записи сетевой статистики в базу данныхжурнала.

Записывать только (???) активных направлений: количество записываемых данныхиз коллектора.

Не менее (???) пакетов: не писать данные коллектора, если количествозафиксированных пакетов данных в нем менее заданного. Берется максимальноезначение от исходящих и входящих пакетов.

Блокировка клиентов по сетевой активности: включение опции позволит блокироватьклиентов по превышению количества записей в сетевой статистике более заданного лимита блокировки на заданное время в минутах.

Контроль нарушений политики авторизации: группа настроек функции контроля нарушенийполитики авторизации. Сетевая статистика записывается в отдельный коллектор.

Разрешить запись сетевой статистики: включить опцию. Интервал в минутах иЗаписывать только (???) активных направлений: настройки записи в базу данныхжурнала.

Блокировка клиентов: включает блокировку клиентов при нарушениях авторизации назаданное время в минутах.

Анализировать весь трафик: если отключено (по умолчанию), то с драйвера программы не



снимается отфильтрованный и бесплатный трафик. Включение позволит программеанализировать весь трафик. Отфильтрованный трафик полезен для фиксации дополнительныхсобытий нарушения правил авторизации, бесплатный может быть записан в сетевой статистике:для включения опции есть отдельная настройка, которая описана в разделе "Сетеваястатистика".

Внимание! Включение данной опции существенно увеличивает объем анализируемых данныхи может привести к повышению нагрузки на процессор. При ограниченных ресурсахрекомендуется только для отладки.

Блокировать весь трафик по умолчанию: при отключении, весь трафик наружу разрешен.Включите, если по умолчанию для клиентов весь трафик наружу сети должен быть запрещен.Для разрешения работы с Интернетом следует задать фильтры на разрешение.

Блокировать весь трафик по умолчанию при работе в кредит: аналогичновышеописанной опции, но только для клиентов, которые работают в кредит.

Обработка HTTP мимо прокси-сервера: настройки перенаправления HTTP-трафика напрокси и блокировки прямого HTTP-трафика. Работа функции описана в разделе TransparentProxy. Имеются две отдельные группы настроек:

для клиентов: настройки для всех клиентов по умолчанию. Для каждой группы и клиентамогут быть выставлены отдельно.для не клиентов: для неавторизованного трафика. В том числе для трафика, разрешенногоразрешающими фильтрами Для всех.

Перенаправление TCP-трафика: выбираются правила (раздел "Перенаправление TCP-соединений") для перенаправления TCP-соединений со стороны клиента.

Ограничение TCP-сессий: настройка ограничения TCP-сессий. Если "0", то ограничений нет.

Запретить многопоточную закачку через прокси-сервер: общая настройка (поумолчанию). В прокси-сервере проверяется наличие атрибута RANGE в запросе. Привключении настройки для каждого клиента допускается не более одного такого запроса.

Ограничение скорости работы клиентов: настройки вводятся в отдельном окне.

На закладке можно изменить визуальное отображение уровней фильтрации F1-F4.

Изменения наименований фильтров коснутся названий кнопок фильтрации в клиентских агентахи сообщений, показываемых в браузере при блокировке.

Запись состояния клиента в журнал: задается частота записи состояния клиента в базуданных журналов. Периодичность в отчетах влияет на степень детализации динамики работыклиента. Чем чаще производятся записи, тем подробнее будут отчеты, но и больше данныхбудет записываться в базу данных. Если периодическую запись отключить, то она будетосуществляться только раз в сутки и при изменении состояния клиента.

1.6.2.6.4.2 Настройки группы

Имя группы: должно быть уникальным. Группу впоследствии можно переименовывать, чтоникак не отразится на работе программы.

Автодобавление: настройка функции "Автодобавление" для группы. Выберите группуWindows: это может быть как группа домена, так и локальная группа. При автодобавлениипрежде всего проверяется членство в группе Windows, заданной в общих настройках, -именно этим определяется, разрешена ли данная функция для клиента. А затем проверяетсячленство в группе, заданной здесь. Таким образом происходит управление добавлениемнового клиента в группу.


© 2003 - 2010 SMART-SOFT

Примечание: любой текст.

Опции авторизации: аналогично общим настройкам. Снимите По умолчанию для вводаотдельных настроек для этой группы.

Запретить авторизацию через прокси или SOCKS: выборочный запрет для данной группы.

VLAN Id: номер VLAN для группы. Смотрите соответствующую настройку у клиента.

XSL-шаблон клиентского агента: настройка для веб-агента. Браузер по запросу получаетXML-данные, в которых описан шаблон, задающий отображение страницы. Он должен бытьразмещен на веб-сервере. Смена шаблона может использоваться для формированиястраницы, индивидуальной для данной группы: другой язык, набор кнопок и т.д. Если шаблонне задан, то используется тот, что задан в настройках веб-сервера.

Использовать тариф по умолчанию: при включении, используется предопределенныйтариф по умолчанию - смотрите настройки тарифов. Кроме того, для группы можно задатьдругой тариф.

Основной счет клиента для отображения данных: выбор счета клиента для отображения.Клиент, кроме своего счета, также может иметь и другие как член группового счета. Его работаможет зависеть от состояния любого счета. Детально состояние всех счетов можно увидеть ввеб-портале, в разделе личной статистики, а агенты и монитор работы в текущей версии могутотображать только один счет. По умолчанию: отображается счет клиента или можно выбрать групповой счет.

В этом окне можно указать дни недели и часы, когда группе будет разрешена работа в сетиИнтернет.

По умолчанию: при включении, используются общие настройки.

Настройки сетевой статистики и блокировки для группы соответствуют аналогичным в общихнастройках. Отключите По умолчанию, если для группы необходимы отдельные настройки.

Блокировка всего трафика по умолчанию: соответствуют аналогичным в общихнастройках. Отключите По умолчанию, если для группы необходимы отдельные настройки.

Использовать общие фильтры: при отключении, фильтры из списков До группы и Послегруппы для клиентов группы действовать не будут. Можно применить для группы, гдетребуются индивидуальные настройки фильтрации.

Обработка HTTP мимо прокси-сервера: соответствуют аналогичным в общих настройках.Отключите По умолчанию, если для группы необходимы отдельные настройки.

Ограничение TCP-сессий, Запретить многопоточную закачку через прокси-сервер,Ограничения скорости работы клиентов: соответствуют аналогичным в общих настройках.Отключите По умолчанию, если для группы необходимы отдельные настройки.

Разрешить работу через службу: можно включить или отключить доступ к указаннымслужбам программы.

Ограничение суммарной скорости на группу: ограничение скорости работы всей группы вКбит/сек. Это значение динамически делится между клиентами группы.



Направлять трафик группы через внешний интерфейс: в случае если используетсянесколько внешних подключений, можно перенаправить трафик группы на выбранныйинтерфейс. В конфигураторе должна быть включена функция Advanced Routing.

Перенаправление TCP трафика - выбираются правила для перенаправления TCPсоединений со стороны клиента. По умолчанию - будут также выбраны правила общихнастроек клиентов.

Параметры на этой закладке недоступны в PE-версии.

Фильтровать сообщения в SMTP-шлюзе: настройка порога фильтрации по весовомукоэффициенту в SMTP-шлюзе. Для того чтобы не фильтровать по весовому коэффициенту,введите "0". Если включено по умолчанию, то берется настройка, общая для всех.


На закладке может быть задано выполнение скриптов автоматизации, ранее заданных в описаниях. Настройки используются как настройки по умолчанию для всех клиентов группы.


При изменении состояния клиента: задается скрипт, запускаемый при изменении состоянияклиента (Авторизован, Кредитный режим или Блокирован). Скрипт также запускается приизменениях причины блокировки.

При превышении лимитов счета: задается скрипт, запускаемый при изменении состоянияблокировки по лимитам. Ежедневные, недельные и месячные лимиты задаются в тарифах.

Если скрипт задан, то клиент по превышению лимитов блокироваться не будет - вся логикадействий по превышению лимитов должна быть реализована в скрипте.

Запись данных клиента в журнал: соответствует аналогичным в общих настройках.Отключите По умолчанию, если для группы необходимы отдельные настройки.

Режим записи для прокси-сервера: смотрите настройки прокси-сервера.

Автоматическое конфигурирование Internet Explorer: настройка для группы, настройка поумолчанию описана в настройках прокси-сервера.

1.6.2.6.4.3 Настройки клиента

Имя (отображаемое): введите уникальное имя. Необязательный параметр. Если не вводить,в качестве имени будут использоваться настройки авторизации.

Группа: отображается группа, членом которой является клиент. Смену настройки можноиспользовать для переноса клиента между группами.

Является администратором: при включении, для клиента не будет применяться внутреннийсетевой экран и все фильтры на запрещение, кроме прокси. Позволяет администратору всегдаиметь доступ к серверу, даже при включенном сетевом экране, и не потерять случайно доступк нему при ошибках настройки фильтров. Внимание! При проверке работы запрещающихфильтров не забудьте отключить настройку.

Примечание: дополнительная информация по клиенту.

Настройки авторизации клиентов

Задается один способ или комбинация из нескольких, например логин, пароль, IP и MAC.

Логин: это поле необходимо заполнить, если используется авторизация по имени. Может


© 2003 - 2010 SMART-SOFT

использоваться учетная запись Windows или встроенная.

Для Windows авторизации вводите логин в формате Domain\UserName. Можноуказывать домен Windows или имя компьютера. Если домен не указан, то используетсядомен по умолчанию. Если сервер является членом домена, то пишется имя этогодомена. Если нет, то по умолчанию подразумевается локальный логин, и используетсяимя компьютера. Пароль для Windows авторизации вводить не надо.

Пароль: введите для использования встроенной учетной записи.

IP-адрес: используется при авторизации по IP-адресу. Также может быть задан какограничение при авторизации по имени или MAC-адресу.

До: можно дополнительно указать диапазон адресов, это конечный адрес. Приавторизации по IP-адресу все компьютеры заданного диапазона будут использовать счетэтого клиента и смогут работать одновременно.

MAC: используется при авторизации по MAC-адресу или задания ограничения при авторизациипо имени. Если указан одиночный IP-адрес, можно нажать кнопку "Проверить", чтобыопределить MAC-адрес путем посылки ARP-запроса через сеть. Это работает только в рамкаходного сегмента сети.

Вносить MAC и IP в таблицу стека TCP/IP: регистрация статических ARP-записейпозволяет обеспечить лучшую защиту авторизации, т.к. стек TCP-/IP-системы на пакеты сдругой комбинацией MAC+IP реагировать просто не будет. Это также ускоряет работу сети,т.к. стеку TCP/IP не требуется определение сетевых адресов путем рассылки ARP-запросов. Информация о внесении статической ARP-записи для клиента отображается вмониторе работы.

E-mail: задаются адреса для SMTP-шлюза. Если клиент прописан с логином Windows ииспользует Active Directory, то все его e-mail адреса можно загрузить из Active Directory,нажав Загрузить из AD. Если другие параметры авторизации, кроме как по e-mail, не указаны,то клиент получает особый тип авторизации по e-mail. Такого клиента можно использоватьтолько для учета почтового трафика.

Dial-In client (работает через RAS-сервер): включите, если клиент подключается черезRAS-сервер (модемы, VPN и т.д.). Другим способом такой клиент работать не сможет.

Опции авторизации: аналогично общим настройкам. Снимите По умолчанию для вводаотдельных настроек для этого клиента.

VLAN: группа настроек, связанная с поддержкой протокола IEEE 802.1Q.

Если клиент работает в рамках виртуальной Ethernet-сети, то задайте ее номер - сненулевым значением, не более 2047. Нулевое значение означает, что эти функции дляклиента отключены.

По умолчанию: настройка номера VLAN берется от группы. Если клиент не в группе, тофункция VLAN будет отключена.

Для того чтобы драйвер программы мог маркировать исходящие на клиента пакеты,должен быть задан его MAC- или IP-адрес (смотрите настройки на этой закладке). IP-адресдолжен быть одиночным, диапазон не поддерживается.

Для Dial-In Client (включена эта опция) MAC- и IP-адрес надо вводить отдельно, т.к. IP-адрес авторизации клиента и сетевой адрес компьютера в этом случае отличаются. Длятакого случая предусмотрены две отдельные настройки IP- и MAC-адреса.

Устройство доступа: если клиент подключен через управляемый коммутатор и требуетсяуправление портом коммутатора со стороны программы, то выберите устройство из спискаоборудования и задайте номер порта. Сама задача управления решается скриптамиавтоматизации - смотрите группу настроек "Автоматизация".



XSL-шаблон клиентского агента: аналогично настройкам в группе. Снимите По умолчаниюдля ввода отдельных настроек для этого клиента.

Тарификация: аналогично настройкам в группе. Снимите По умолчанию для вводаотдельных настроек для этого клиента.

Блокировать остановку работы для предотвращения очистки счета: при включении, вмониторе работы будет невозможно остановить работу клиента, для него будет запрещенакнопка "СТОП".

Настройки режимов доступа клиента

Запрещен: заблокировать клиента. Работа будет приостановлена, никаких очисток данныхне производится. При вводе нового клиента проверяется уникальность параметровавторизации, но эта проверка не распространяется на запрещенных клиентов. Автоотключение: режим, при котором пользователь может работать, пока его баланс нестал отрицательным. Иначе он будет заблокирован по балансу. Если в настройках тарифавведен кредит, то пользователь может работать в долг на величину кредита.Безлимитный: режим, при котором блокировка клиента по балансу не применяется.

Ограничение на доступ по датам: можно ввести диапазон дат, в течение которых будетработать данный клиент.

В этом окне можно указать дни недели и часы, когда клиенту будет разрешена работа.

По умолчанию: при включении, используются общие настройки или настройки группы.

Настройки сетевой статистики и блокировки для клиента соответствуют аналогичным в общихнастройках. Отключите По умолчанию, если для клиента необходимы отдельные настройки.

Установить индивидуальный минимальный уровень фильтрации для клиента: привключении, можно выбрать минимальный уровень фильтрации, доступный этому клиенту. Вагентах кнопки фильтрации с меньшим уровнем будут запрещены.

Обработка HTTP мимо прокси-сервера: соответствуют аналогичным в общих настройках.Отключите По умолчанию, если для клиента необходимы отдельные настройки.

Ограничение TCP-сессий, Запретить многопоточную закачку через прокси-сервер,Ограничения скорости работы клиентов: соответствуют аналогичным в общих настройках.Отключите По умолчанию, если для группы необходимы отдельные настройки.

Разрешить работу через службу: можно включить или отключить доступ к указаннымслужбам программы.По умолчанию: используется соответствующая настройка группы. Если клиент вне группы, товсе службы будут разрешены.

Направлять трафик группы через внешний интерфейс: в случае если используетсянесколько внешних подключений, можно перенаправить трафик группы на выбранныйинтерфейс. В конфигураторе должна быть включена функция Advanced Routing. Поумолчанию: если клиент в группе, то настройка берется из нее. Если клиент не в группе, тофункция отключена.

Перенаправление TCP трафика - выбираются правила для перенаправления TCPсоединений со стороны клиента. По умолчанию - будут также выбраны правила из группы илиобщих настроек клиентов.



© 2003 - 2010 SMART-SOFT

Фильтровать сообщения в SMTP-шлюзе: настройка порога фильтрации по весовомукоэффициенту в SMTP-шлюзе. Для того чтобы не фильтровать по весовому коэффициенту,введите "0". Если включено По умолчанию, то берется настройка, общая для всех, или изгруппы.


На закладке может быть настроено выполнение скриптов автоматизации, ранее заданных вописаниях.


Настройки по умолчанию: используются настройки, заданные в группе.

При изменении состояния клиента: задается скрипт, запускаемый при изменении состоянияклиента (Авторизован, Кредитный режим или Блокирован). Скрипт также запускается приизменениях причины блокировки.

При превышении лимитов счета: задается скрипт, запускаемый при изменении состоянияблокировки по лимитам. Ежедневные, недельные и месячные лимиты задаются в тарифах.

Если скрипт задан, то клиент по превышению лимитов блокироваться не будет - вся логикадействий по превышению лимитов должна быть реализована в скрипте.

Запись данных клиента в журнал: соответствует аналогичным в общих настройках.Отключите По умолчанию, если для клиента необходимы отдельные настройки.

Режим записи для прокси-сервера: смотрите настройки прокси-сервера.

Автоматическое конфигурирование Internet Explorer: настройка для клиента, настройка поумолчанию описана в настройках прокси-сервера.

При аутентификации агентом проверять отметку времени: по умолчанию включено.Отключите, если требуется работа клиента со "сбитым" системным временем илииспользуются клиентские агенты старых версий. Отключение уменьшает безопасностьмеханизма аутентификации агентов по UDP.

1.6.2.6.5 Групповые счета

Список групповых счетов

Описание работы смотрите в разделе "Тарификация".

В полном объеме данные возможности доступны только для лицензий типа GOLD

или TRIAL. Иначе разрешается использование только одного группового счета.

При добавлении группового счета введите его настройки. Как минимум надо указать имя итариф. Далее в отдельном окне будет предложено разрешить работу (перевести в состояние"ПУСК"), а также произвести добавление членов - клиентов и групп.

Если членом группового счета является группа, то в счет входят все ее клиенты. В спискегрупповых счетов отображается суммарное количество клиентов, которые входят в счет какнапрямую, так и через группы.

Каждый групповой счет к консоли раскрывается в отдельный список. В нем отображаются егочлены - клиенты и группы, где доступны операции добавления и удаления членов счета.

Групповой счет нельзя удалить до тех пор, пока у него есть члены. Удалите всех его членов,чтобы было можно удалить сам групповой счет.




Имя: задайте уникальное имя группового счета.Тариф: задайте основной тариф группового счета.

Использовать дополнительные тарифы: следует включить, если у клиентов, входящих вгрупповой счет, есть дополнительные тарифы (те, которые заданы в фильтрах). Тарифы будутиспользоваться в групповом счете. Если дополнительных тарифов у группового счета нет, тодля любого трафика используется основной.

Блокировки: группа настроек управления блокировками клиента в зависимости от состояниягруппового счета.

Учет баланса: выберите безлимитный или автоотключение. Работает аналогичноуправлением доступом у клиента, за исключением отсутствия возможности работы в кредит.

Блокировать работу клиентов, если групповой счет находится в состоянии "СТОП"или "ПАУЗА": аналогично клиенту, групповой счет имеет состояния работы. Отключитенастройку, если требуется, чтобы клиент не блокировался по этому состоянию. При переводесчета в ПАУЗУ он перестанет считать данные, а перевод в СТОП используется для сбросасессии биллинга.

Автоматизация: группа настроек, аналогичная клиентам и группам.

Запись данных клиента в журнал: соответствует аналогичным в общих настройках.Отключите По умолчанию, если для группового счета необходимы отдельные настройки.

1.6.2.6.6 Монитор работы

В окне "Монитор работы" отображается текущий статус клиентов и групповых счетов.Имеется возможность управления - для этого в верхней части есть набор кнопок. Различныеоперации также доступны через меню.

Состояние клиента меняется кнопками - Остановить работу, Пауза, Разрешить работу. Приэтом в отдельном окне можно ввести комментарий администратора.

Если клиент переводится из состояния СТОП, то у него будет начинаться новая сессиябиллинга. При этом выводится мастер ввода оплаты, где имеется возможность перенестиостаток денежных средств с предыдущей сессии. Если перевод из состояния СТОПпроисходит во время групповой операции (выбрано несколько клиентов), то этот мастер невызывается.

Кнопки фильтрации F0-F4 и режимов кэширования полностью аналогичны тем, что есть вклиентском агенте, - ими можно управлятьсо стороны администратора.

В таблице отображаются все текущие счетчики трафика клиента, его текущее состояние,тарифы и начисления. Если клиент входит групповые счета, то здесь отображается егоосновной счет. Основной счет для отображения можно сменить - смотрите настройкитарификации клиента и группы.

Некоторые колонки по умолчанию скрыты, используйте меню консоли View/Choose columnsдля настройки таблицы.

По умолчанию в мониторе работы отображаются все незапрещенные клиенты и групповыесчета. Для выборочного отображения в верхней части консоли имеется набор кнопок. Тамможно задать состояния клиентов и групповых счетов, а также выборочно группы клиентов.

Для запуска мастера ввода оплаты используйте двойной клик или меню Свойства. Вглавном меню консоли имеется отдельная группа "Биллинг", где доступны операциипополнения счета и рестарта сессии биллинга.


© 2003 - 2010 SMART-SOFT

В мониторе работы доступна рассылка POPUP сообщений пользователям. Основноепредназначение этой возможности - оповещение клиентов администратором сети. Нажавкнопку "Отправить сообщение", можно отправить сообщение клиенту или всем клиентамсразу. Также предусмотрена возможность отмены отправки сообщений индивидуально илидля всех. Отправленное сообщение запоминается службой программы. Доставляется черезагента пользователя, а также отображается на главной страничке веб-сервера статистикиклиента. После доставки удаляется. Очередь сообщений в программе не реализована,запоминается для отправки только одно сообщение. Если оно не было доставлено, новоеудаляет старое.

При отправке сообщения можно ввести дополнительные параметры:

Сообщение может храниться только до перезагрузки сервера, т.е. при выгрузке сервиса онине запоминаются. Это полезно для оповещений о планируемой перезагрузке сервера. Может быть введено ограничение на время отправки. Если сообщение в течение заданноговремени отправлено не будет, оно удаляется.

Для удобства работы есть возможность быстрой навигации по консоли:

перейти к настройкам: открывается окно настроек клиента или группового счета.атрибуты: отображает атрибуты клиента.показать тариф: переход к настройкам основного тарифа клиента.

Если клиент находится в состоянии "Запрещен", то все действия с ним недоступны. Есливыбрано несколько клиентов и в выборку попали запрещенные, то операции будутвыполняться только для незапрещенных клиентов.

1.6.2.6.6.1 Комментарий администратора

Комментарий: это любая пометка к данному действию, которое будет записано в базу данныхи в дальнейшем будет отображаться в журнале. Размер сообщения ограничен 4095символами.

Показывать для клиентов: если включить, то комментарий будет отображаться в отчетахдля клиентов. А иначе он отображается только для администраторов.

Если установить Больше не запрашивать этот комментарий, то окно вызываться вдальнейшем не будет. Включить или отключить вывод окна можно также через меню консолив разделе монитора работы.

1.6.2.6.7 Мастера

1.6.2.6.7.1 Поиск клиентов

Функция поиска клиентов доступна через меню и кнопки панели в различных разделахконсоли.

Вызывается мастер, в нем три типа поиска:

1. Контекстный поиск по имени (строка запроса).2. По IP-адресам.3. По MAC-адресам.

По имени поиск может производиться по выбору в параметрах клиента:

отображаемом имени: имя, под которым клиент отображается в списках;поле примечания;поле логина;e-mail адресах (параметры авторизации); может быть указана опция поиска вдополнительных e-mail адресах;дополнительных атрибутах: выбираются в отдельном списке.

Может быть указано, как производить сравнение данных:



полное сравнение строки запроса с параметром;по началу;контекстный, с использованием регулярных выражений (Regular Expressions).

Если в строке запроса указать "*", то будет произведен выбор клиента с любым непустымпараметром.

Поиск по имени нечувствителен к регистру символов.

По IP-адресу поиск может производиться по выбору в:

параметрах авторизации. Если у клиента задан диапазон IP-адресов, то проверяетсявхождение в этот диапазон.адресах, с которых произведена авторизация по имени или MAC. Если клиент в настоящеевремя не автоизован, то адрес ищется также из ранее запомненного. Эта функция удобнадля поиска клиентов, которые ранее авторизовывались с этого адреса.

Во всех типах поиска дополнительно можно задать группы клиентов, в которых производитьпоиск.

Результат поиска выдается списком клиентов, из которого можно выбрать нужного и перейти кего настройкам.

1.6.2.6.7.2 Добавление оплаты

Оплачено: выводится текущее значение оплат, на основании этого значения вычисляетсябаланс.

Добавить: вводится значение, которое будет добавлено к Оплачено.

Оплату можно выполнить двумя способами:

Изменить поле "Оплачено", менять можно как в большую, так и меньшую сторону.Добавить оплату.

Если добавление оплаты производится со стартом новой сессии биллинга, то в поле"Оплачено" подставляется значение из Оплаты по умолчанию, заданное в тарифе. Такжедоступна кнопка "Добавить из предыдущей сессии" - можно перенести остаток на счету спредыдущей сессии биллинга.

После ввода оплаты может быть введен комментарий администратора.

Внимание! При выборе нескольких клиентов можно только добавить оплату.

1.6.2.6.7.3 Смена тарифа

Выберите вариант смены тарифа. Этот мастер запускается при всех действиях с клиентами,группами и групповыми счетами, связанными со сменой основного тарифа.

После может быть введен комментарий администратора.


© 2003 - 2010 SMART-SOFT

1.6.2.7 Прокси-сервер

Описание работы прокси-сервера смотрите в разделе "О программе: прокси-сервер".

Пример отображения страницы раздела

На главной странице раздела отображается текущее состояние прокси-сервера: TCP-портыHTTP- и SOCKS- сервера, кэширования и т.д.

Файл кэша имеет фиксированный размер, сменить размер и местоположение файла можномастером обслуживания кэша.

Утилизация кэша - это эффективность его использования. Применяйте данную информациюдля тонкой настройки кэширования. Эта статистика ведется с момента старта службыпрограммы, т.е. при ее рестарте старые данные теряются.

1.6.2.7.1 Настройки

1.6.2.7.1.1 HTTP-прокси

Блокировать кэширование на браузере клиентов, выставляя атрибут no-cache: привключении, прокси всегда будет возвращать HTTP-атрибут no-cache. Согласно стандартам,это должно отключить кэширование у браузера, но на работу кэша в Internet Explorer атрибутособого действия не оказывает.

Игнорировать no-cache в запросе клиента: если клиенты используют переключениережимов кэширования с помощью агента, то целесообразнее будет включить.

Возвращать 501, если не поддерживается формат контента: если не включить, токонтент, тип которого не поддерживается, будет прозрачно передаваться, при этом он не будеткэшироваться, а также проверяться антивирусом. Поэтому, если используется антивируснаяпроверка, отключать опцию не рекомендуется.

Прокси-сервер, при необходимости, распаковывает контент. Поддерживается компрессия gzipи deflate, а также формат передачи данных chunked. Если же передаются данные, форматкоторых не поддерживается, включение настройки позволит работать с потерей некоторогофункционала.

Использовать компрессию данных: включение принудительной поддержки HTTP-компрессии. По умолчанию включено. Если браузер компрессию не поддерживает, то проксибудет отдавать на него распакованные данные. Если отключить, то с сервера всегда будет



запрашиваться контент без компрессии, независимо от того, запрашивает браузер компрессиюили нет.

Декомпрессия дополнительно нагружает процессор, и отключение этой настройки может иметьсмысл в случае нехватки ресурсов процессора. После отключения настройки желательноочистить кэш прокси-сервера, т.к. там могут оказаться сжатые данные, и, в случае отдачи ихбраузеру, не поддерживающему компрессию, это приведет к ошибке отображения данных нанем.

1.6.2.7.1.2 HTTP-кэширование

Некоторые из этих параметров переопределяются в Правилах кэширования.

Разрешить кэширование HTTP-контента: разрешает использование кэширования.Запрещение функции не приводит к очистке содержимого кэша.

Проверять обновления всех объектов: включение приведет к тому, что всезапрашиваемые объекты, присутствующие в кэше, будут проверяться на сервере на предметих "свежести" - не обновились ли они. Это послужит гарантией того, что клиент всегда получитправильные данные, но экономия трафика будет минимальной.

Логика работы кэша и назначение параметров вычисления TTL подробно описаны в разделе "Кэширование".

Не проверять обновления объектов... (в %): прогнозируемое время жизни объекта впроцентах (TTL). Берется как процент от времени, которое ресурс существовал на момент егозаписи в кэш. Смысловое значение параметра - это прогноз: если ресурс не изменялся втечение какого-то времени, он также не будет меняться в дальнейшем. Увеличение процентаповысит экономию трафика, но и увеличит вероятность показать устаревший объект.

Не менее (часов): на полученное значение TTL дополнительно накладывается ограничение поминимуму. Если на момент запроса текущее время не превысило TTL, ресурс считаетсянепросроченным и берется из кэша. В противном случае он будет считаться просроченным ипотребует перепроверки на сервере, для чего на сервер пошлется соответствующий запрос сусловиями проверки. Если сервер такие запросы поддерживает и ресурс за последнее времяне изменен, то он сообщит о неизменении данных, и ресурс будет взят из кэша.

Не более (дней): на полученное значение TTL дополнительно накладывается ограничение помаксимуму. Если на момент запроса текущее время не превысило TTL, ресурс считаетсянепросроченным и берется из кэша. В противном случае он будет считаться просроченным ипотребует перепроверки на сервере, для чего на сервер пошлется соответствующий запрос сусловиями проверки. Если сервер такие запросы поддерживает и ресурс за последнее времяне изменен, то он сообщит о неизменении данных, и ресурс будет взят из кэша.

Кэшировать объекты с неизвестным временем создания: в большинстве случаевотключать не стоит, существует много сайтов, которые время создания ресурсов не сообщают.

Кэшировать динамические объекты: динамические объекты в данном случае - если строказапроса содержит параметры после символа "?", или используется специальный тип HTTP-контента chunked.

Возвращать ошибку, если не удается проверить на сервере: если не включать, то, приневозможности произвести проверку "свежести" объекта (а он есть в кэше), клиенту будетвозвращен объект из кэша.

Не кэшировать объекты размером более (Кбайт): для того чтобы не загромождать кэшбольшими файлами, их размер целесообразно ограничить в этом поле.

Игнорировать время жизни объекта, полученное от сервера: по умолчанию отключено,т.е. если сервер возвращает срок жизни объекта, то прогнозирование TTL не используется, а


© 2003 - 2010 SMART-SOFT

используются рекомендации сервера. Но они зависят от настроек серверов - часто из-занебрежности администраторов или программистов бывают совсем неправильными. Можновключить - тогда будет использоваться собственная логика.

Всегда возвращать весь объект из кэша: при включении, прокси-сервер всегда возвратитвесь объект, даже если браузер запрашивает только обновление объекта при его наличии всвоем кэше. Если объем внутреннего трафика никакого значения не имеет, то лучше включить- кэш браузера не всегда работает корректно. Если стоимость трафика из кэша дляпользователей не бесплатна, то логичнее будет отключить.

1.6.2.7.1.3 FTP-прокси

Настройки режима FTP-прокси через HTTP/GET

Тайм-аут команд (сек.): время ожидания отклика от сервера. При превышении сессиязакрывается.

Тайм-аут начала передачи данных (сек.): время ожидания начала передачи данных послеоткрытия активного режима. Для режима FTP через HTTP по истечении этого времени будетпредпринята попытка использовать пассивный режим.

Пассивный режим: не применять активный режим - только пассивный. Иначе режим будетвыбираться автоматически по его доступности.

Интервал выдачи команды NOOP (сек.): команда NOOP используется для удержаниясоединения с FTP-сервером.

1.6.2.7.1.4 Настройки клиентов

Автоконфигурирование браузера через скрипт: настройки, связанные савтоконфигурированием прокси на браузерах клиентов.

Механизм автоконфигурирования следующий. Браузер при загрузке запрашивает упрокси-сервера файл автоконфигурирования. Это обычный Java скрипт с некоторымистандартными функциями. Браузер на каждом запросе вызывает функциюFindProxyForURL() из этого скрипта, которая выдает браузеру инструкции, какой прокси-сервер использовать или работать напрямую. Все современные браузеры этоподдерживают. Данный функционал впервые появился в Netscape Navigator 2.0 и впервоисточнике описан здесь (http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html).

Для того чтобы браузер запросил скрипт, его URL надо прописать в соответствующихнастройках. Прокси-сервер поддерживает выдачу скрипта при запросе имен файлов wpad.dat и config.script. URL запроса скрипта может иметь вид: http://server/config.script илиhttp://server/wpad.dat.

Кроме настроек прокси-сервера, в скрипт также добавляется информация о том, для какихресурсов прокси-сервер использовать не следует. Это называется LAT (Local AddressTable). Туда добавляются:

По умолчанию всегда localhost (127.0.0.1) и обращение по коротким именам хостов.Подразумевается, что это ресурсы локальной сети.По умолчанию всегда IP-адреса самого сервера, плюс его имя.Если включено Также включить все локальные IP-сети, то все локальные(внутренние) сети, которые берутся на основании таблицы маршрутизации.Можно задать произвольные IP-сети (кнопка "Локальные адреса и сети").Можно задать список имен (кнопка "Локальные имена"). Имена содержат выражениявроде Regular Expressions. Синтаксис выражений определяется браузером. При ихобработке анализируется строка запроса в необработанном виде, DNS-преобразованиене используется.



Обработка условий в LAT, где описаны IP-адреса и сети, использует DNS: из запросавыделяется имя хоста, преобразуется в IP-адрес и проверяется соответствие этого адресасети из LAT. Поэтому требуется обязательная правильная настройка DNS у клиента - иначезагрузка страниц у браузера будет сопровождаться большими задержками.

Если в мастере конфигурирования программы был установлен режим "DNS неиспользуется", то IP-адреса и сети в LAT выдаваться не будут.

Указывать в скрипте SOCKS-сервер: при включении, для браузера в качествеальтернативного варианта будет указан и SOCKS-сервер. Включение данной опции можетиметь некоторые нежелательные последствия: если браузер при попытке работать черезHTTP-прокси получит ошибку, -- в дальнейшем он переключится на SOCKS и будетработать через эту службу, больше не проверяя доступность HTTP-прокси.

Указывать в скрипте FTP-сервер: при включении, для броузера при FTP-запросе будетуказан прокси-сервер. Иначе с FTP он будет работать напрямую. О различных вариантахработы с FTP смотрите в разделе "Прокси-сервер".

Принудительно конфигурировать Internet Explorer через клиентского агента: при стартеагента в браузер будет прописан скрипт автоматического конфигурирования. Для других типовбраузеров скрипт надо добавлять вручную. Кроме этой общей настройки, также естьвозможность задать ее отдельно для клиентов и групп.

1.6.2.7.1.5 Антивирус

Эти настройки будут разрешены и доступны, если в программе имеются установленныемодули расширения с антивирусными сканерами.

Разрешить через прокси проверку HTTP- и FTP-контента: разрешает использованиеантивирусного сканера в прокси-сервере.

Не более (мегабайт): задает лимит размера проверяемых данных. Данные более этоголимита проверяться не будут. Это ограничение следует установить в соответствии симеющимся лимитом свободной физической памяти, а также размером файла подкачки. Сточки зрения быстродействия сервера, наилучший вариант - наличие в системе свободнойфизической памяти в двойном размере относительно максимального размера проверяемогофайла. И, как минимум, доступной виртуальной памяти.

Файлы более 2 гигабайт, независимо от имеющейся памяти, проверяться не могут.

Следующие настройки задают тип проверяемого контента, а также режим проверки - с полнойзагрузкой предварительно или "по последнему пакету".

Основной контент: подразумевается, как правило, текстовый контент, составляющийосновное содержимое страниц. Он всегда проверяется с полной загрузкой.

Проверять: отдельно включает проверку этого типа контента.

Другой тип контента: задает тип контента, для которого может выбран режим проверки "попоследнему пакету", если размер объекта больше заданного порога.

Проверять: отдельно включает проверку этого типа контента.

Также другой тип: включает тип контента, не заданный в файле определения типовконтента cntgrp.ini.

Предварительно проверять все объекты: все данные будут проверяться с полнойзагрузкой.

Иначе следует задать лимит Предварительно проверять объекты менее (килобайт).Все остальное (более лимита) будет проверяться "по последнему пакету".


© 2003 - 2010 SMART-SOFT

Проверять данные из кэша: проверять данные, выдаваемые клиенту из кэша. Полезно, еслиучесть, что в кэш может попасть вирус, не известный сканеру на момент записи данных в кэш.Если на сервере есть проблемы с ресурсами, то настройку можно отключить.

Неполный контент: задает, что делать с неполными данными (частичная закачка или докачкаобъектов). Антивирус такие данные не проверяет, т.к. не может гарантировать обнаружение вних вирусов. Распаковка фрагмента архива невозможна в принципе. Можно задать,фильтровать такой контент вообще или пропускать прозрачно.

Следует отметить, что эта фильтрация отличается от функции ограничения многопоточнойзакачки, т.к. второе подразумевает возможность докачки файла по частям, но в одну сессию.

Оповещать администраторов по e-mail: отправлять отчеты о найденных вирусах на списокрассылки, описанный в настройках SMTP службы отправки.

1.6.2.7.1.6 Ж урнал

При работе клиентов через прокси-сервер может быть включена запись всех их запросов вжурнал, что нужно для формирования детальных отчетов посещения различных сайтов.Данные этого журнала могут занимать значительный объем в базе данных, и для минимизациипредусмотрены различные настройки.

Режим записи по умолчанию: общая настройка для всех клиентов и групп - для них имеетсявозможность отдельно установить другой режим. Существуют режимы:

Запись отключена: никакие данные не пишутся. Имеет смысл, если для анализапосещаемых ресурсов достаточно сетевой статистики.Нормальный: пишется минимальный набор данных, который нужен для формированияотчетов о посещаемых ресурсах. Для минимизации размера базы данных можно задатьлимит размера объекта в запросе, менее которого данные писаться не будут. По умолчаниювыставлено 10 килобайт. В этом режиме пишутся данные только для авторизованныхклиентов.Детальный: используется для целей диагностики и отладки. Можно временно включить дляотдельных клиентов, если необходимо отладить работу фильтров, правил кэширования и т.д.Для этого режима есть отдельный набор настроек:

Также записывать запросы для неавторизованных клиентов: записыватьанонимные запросы.

Записывать подробную информацию: будет записываться дополнительнаяинформация, полезная для отладки фильтрации, тарификации, кэширования и т.д.

Также записывать блокированные запросы: может быть полезно для отладкифильтров - в этом случае в журнал попадут и отфильтрованные запросы.

1.6.2.7.1.7 Дополнительно

Принудительно включить Application режим учета трафика на прием: режим, которыйможет потребоваться при работе со спутником для учета трафика с DVB-карты.

Тайм-аут соединений с сервером (сек.): лимит времени на соединение с удаленнымсервером.

Авторизация в фоновом режиме: понижает приоритет процессов прокси-сервера домомента авторизации. Можно включить для исключения ситуации перегрузки процессора приобработке большого количества запросов на прокси-сервер (флуде).

Использовать буферизацию в файле для объектов более (Кбайт): устанавливает лимитразмера объектов данных в прокси-сервере, выше которого данные будут храниться иобрабатываться не в оперативной памяти, а в виде временного файла. Уменьшение лимитаприведет к более экономному использованию оперативной памяти, а увеличение - к



увеличению быстродействия. Однако устанавливать лимит очень большим не рекомендуется,т.к. даже при достаточном объеме оперативной и виртуальной памяти системы имеется лимитвиртуальной памяти для процесса - 2 гигабайта - и при интенсивной работе прокси-сервераможет появиться вероятность появления ошибок по причине нехватки памяти.

Использовать асинхронный режим для базы данных индекса кэша прокси-сервера: внормальном режиме при операциях обновления данных кэша программа ждет, пока данные небудут физически записаны на диск. Это гарантирует их целостность при различных сбояхработы операционной системы (отключилось питание и т.д.), но несколько замедляет работу.При очень большой нагрузке на кэш прокси-сервера (десятки запросов в секунду и более) дляувеличения производительности можно включить асинхронный режим. В этом случае присбоях в работе операционной системы возможна ситуация повреждения данных кэша, чтоможет привести к полной или частичной потери данных в нем.

1.6.2.7.2 Обслуживание кэша

Через мастер обслуживания кэша производятся операции по очистке, переносу, изменениюразмера и проверке кэша.

Операции, которые занимают много времени (все, кроме очистки), работают в "фоновом"режиме. В этом случае кэш отключается от прокси-сервера, который продолжает нормальноработать при отключенном кэшировании.

На странице статуса прокси-сервера в консоли отображается состояние кэша и состояние(прогресс) операций. Страничка данных может обновляться автоматически, еслиавтообновление включено - оно включается на главной странице консоли.

Очистка кэша: быстрая операция, выполняется немедленно.

Перенос и (или) изменение размера кэша с переносом данных и проверкой: довольномедленная операция. Создается новый файл кэша, куда пообъектно переносятся данные,начиная с самых последних (поздних). Если размер нового файла кэша меньше размераданных в старом, то будут отброшены самые старые данные. Если данные были повреждены(например, антивирусом), они также будут отброшены. Полный отчет об операции заносится вжурнал системных событий.

Старый кэш-файл удаляется только в самом конце операции. Поэтому если операция былапрервана (например, выгрузкой сервиса), данные не потеряются. Следует учесть, что для этойоперации на диске требуется дополнительное свободное место - для старого и нового файла-кэша одновременно.

Проверка кэша: выполняется аналогично предыдущей, без переноса и изменения размерафайла.

Перенос и (или) изменение размера с очисткой: более быстрая операция. Старый кэш-файл сразу удаляется и взамен создается новый. Требует меньше места на диске посравнению с операцией, где данные переносятся.

При всех операциях обслуживания кэша база данных индекса кэша создается заново - этонаилучший способ решения различных проблем с ней (повреждения файла и т.д.). Еслиданные в индексе повреждены не до конца, то они по возможности будут сохранены.

До и после операций настоятельно рекомендуется произвести дефрагментациюфайловой системы.

1.6.2.7.3 Правила кэширования

Правила кэширования позволяют более тонко настроить работу прокси-сервера в планемаксимальной экономии трафика, а также более корректного отображения различных ресурсов.


© 2003 - 2010 SMART-SOFT

1.6.2.7.3.1 Настройка правила кэширования

Имя правила: введите уникальное имя правила. В дальнейшем при отладке оно будетотображаться в журнале запросов прокси-сервера.

Запретить правило: можно временно запретить работу правила, не удаляя его из списка.

Применять только для клиентов: выбирается, если правило надо применить только дляклиентов. Для неавторизованного трафика правило применяться не будет. Кроме того, здесьзадаются следующие условия:

Группы клиентов: выберите в списке.

Также для клиентов из общего списка: выберите, если правило также надо применитьдля клиентов из общего списка.

Состояние счета клиента: можно задать отдельные правила для различного состояниясчета клиента.

Примечания: любой комментарий к правилу.

На закладке "Тип трафика" задается тип трафика, к которому применяется это правило.

IP-адрес/сеть: можно задать IP-адрес, IP-сеть или выбрать описание сетей из списка.

Проверка URL: можно задать проверку в URL-запросе. В качестве условия можноиспользовать регулярные выражения. Как вариант, выбирается условие из общих URL-списков.

Типы данных: выберите группы типов данных, для которых стоит применять данное правило.Если ничего не выбрано, то правило применяется к любым типам данных.

Также другой тип: если тип данных не совпадает ни с одним из описанных в конфигурациипрограммы. Опция работает, если выбран хотя бы один тип данных.

На закладке "Расписание" можно задавать часы суток и дни недели, когда работает правило.Такая возможность позволит (например, если трафик в течение суток имеет разную цену) настроить правила кэширования так, чтобы получить дополнительную экономию средств.

На закладке "Действия" переопределяются правила кэширования, заданные в настройкахпрокси-сервера. Настройки аналогичны, кроме:

Игнорировать HTTP-атрибуты управления кэшированием, полученные с сервера: позволяет кэшировать объект в том случае, если от сервера получено указание не делатьэтого.

1.6.2.7.4 Прокси-каскад

Если требуется перенаправить запросы с прокси-сервера на другие прокси-сервера, тоопишите это в соответствующих правилах каскадирования. В правиле описываются условия,при которых правило применяется, а также настройки для вышестоящего HTTP прокси- иSOCKS-сервера.

При обработке запроса привила будут проверяться последовательно от начала списка вниз.Будет применено первое правило, где все условия совпадут. Поэтому порядок правил всписке имеет значение, и его можно менять. Если правило описано только для одного типатрафика (HTTP или SOCKS), то для другого типа трафика оно обрабатываться не будет -последует проверка следующего в списке.



1.6.2.7.4.1 Настройки прокси-каскада

Имя правила: введите уникальное имя правила каскадирования. В дальнейшем при отладкеоно будет отображаться в журнале запросов прокси-сервера.

Запретить правило: можно временно запретить работу правила, не удаляя его из списка.

Применять только для клиентов: выбирается, если правило надо применить только дляклиентов. Для неавторизованного трафика правило применяться не будет. Здесь также можнозадать следующие условия:

Группы клиентов: выберите в списке.

Также для клиентов из общего списка: выберите, если правило также надо применитьдля клиентов из общего списка.

Состояние счета клиента: можно задать отдельные правила для различного состояниясчета клиента.

Примечания: любой комментарий к правилу.

На закладке "Тип трафика" задается тип трафика, к которому применяется данное правило.

IP-адрес/сеть: можно задать IP-адрес, IP-сеть или выбрать описание сетей из списка.

Проверка URL: можно задать проверку в URL-запросе. В качестве условия возможноиспользование регулярных выражений. Как вариант, выбирается условие из общих URL-списков.

Типы данных: выберите группы типов данных, для которых применять данное правило. Еслиничего не выбрано, то правило применяется к любым типам данных.

Внимание! Условия проверки URL и типа контента проверяются только для HTTP. Для SOCKSони игнорируются.

Также другой тип: если тип данных не совпадает ни с одним из описанных в конфигурациипрограммы. Опция работает, если выбран хотя бы один тип данных.

На закладке "Расписание" можно задавать часы суток и дни недели работы правила.

На закладке HTTP-прокси задаются настройки вышестоящего HTTP прокси-сервера.

Применение правила: выбирается действие, если условия применения правила совпали:

Правило не применять: пропустить данное правило и проверять следующее изсписка.Перенаправлять все HTTP-запросы на прокси-сервер: включите, если правилонеобходимо использовать для каскадирования HTTP-прокси.Использовать прямое соединение: каскадирование для этого трафика неиспользовать, следующие правила из списка проверяться не будут.

Имя хоста или IP-адрес: задайте сетевое имя или адрес вышестоящего сервера, а также Порт.

Прокси-сервер требует аутентификацию: включите, если вышестоящий сервер недопускает анонимный вход. Введите Имя и Пароль. Если требуется NTLM-аутентификация,то и название Домена. При каскадировании BASIC- и NTLM-аутентификация одновременноиспользоваться не могут. С типом аутентификации следует заранее определиться ивыбрать что-то одно.

Копировать логин с SOCKS: если данные для SOCKS-сервера в другой закладке ужевведены, то можно скопировать их оттуда.


© 2003 - 2010 SMART-SOFT

На закладке SOCKS задаются настройки вышестоящего SOCKS-сервера.

Применение правила: выбирается действие, если условия применения правила совпали:

Правило не применять: пропустить это правило и проверять следующее из списка.Перенаправлять все запросы на вышестоящий SOCKS-сервер: включите, еслиданное правило необходимо использовать для каскадирования SOCKS-прокси.Использовать прямое соединение: каскадирование для этого трафика неиспользовать, следующие правила из списка проверяться не будут.

Имя хоста или IP-адрес: задайте сетевое имя или адрес вышестоящего сервера, атакже Порт.

SOCKS4/SOCKS5: выберите тип вышестоящего SOCKS-сервера. При каскадированииSOCKS сервер умеет преобразовывать запросы разного типа. Например, запрос SOCKS5может быть каскадирован на сервер с SOCKS4 или наоборот.

SOCKS-сервер требует аутентификацию: включите, если вышестоящий сервер недопускает анонимный вход. Введите Имя и Пароль. Аутентификация возможна только дляSOCKS5.

Копировать логин с HTTP: если данные для HTTP-сервера в другой закладке ужевведены, то можно скопировать их оттуда.

1.6.2.7.5 Активные клиенты

В этой таблице отображаются все активные сессии прокси-сервера, SOCKS и встроенного веб-сервера.

Сессия может быть принудительно закрыта - используйте кнопку или меню Delete.

1.6.2.8 Внешние сети

В этом разделе представлены настройки служб программы, привязанных к сетевыминтерфейсам внешних сетей. Это настройки внешних счетчиков и внешнего сетевого экрана.



1.6.2.8.1 Счетчики


Сетевая статистика: настройки по умолчанию для сетевой статистики внешних счетчиков.Смотрите раздел "Основные функции, Сетевая статистика".

Интервал в минутах: настройка частоты записи сетевой статистики.

Записывать только (???) активных направлений: количество записываемыхсоединений. Записываются наиболее активные.

Не менее (???) пакетов: не писать данные коллектора, если количествозафиксированных пакетов данных в нем менее заданного. Берется максимальноезначение от исходящих и входящих пакетов.

Журнал: настройки по умолчанию для внешних счетчиков.

Записывать данные с счетчика с интервалом: данные счетчиков могут записываться вжурнал для формирования отчетов по трафику. Интервал в минутах задает детализациюданных по времени.

1.6.2.8.1.2 Контролируемые счетчики

Данные счетчики используются для контроля трафика, потребляемого у провайдера, - смотритераздел "Основные функции".

В этой таблице показаны настройки контролирующих счетчиков, их текущее состояние итрафик по ним. Учитывая, что положение счетчиков в таблице имеет значение, их можноперемещать кнопками в верхней части консоли. Счетчик на весь трафик при этом всегда будетпоследним в списке, и он не может быть удален.

Поле "Состояние" таблицы - это статус счетчика и его активности. Активность означает, что внастоящее время имеется определенный трафик, соответствующий данному счетчику.

По правой кнопке мыши для счетчика доступно меню, где можно Сбросить счетчик, обнуливего данные.

Имя счетчика: задайте уникальное имя счетчика.

Запрещен: можно временно запретить работу счетчика, не удаляя его. Счетчик не будетсчитать трафик, а также не будут предприниматься никакие действия, связанные с его состоянием, например, блокировка сетей. Счетчик по умолчанию на весь трафик запретитьнельзя.

Внешний адрес: задаются внешние IP-адреса критерия отбора трафика. Здесь можновыбрать список из описания IP-сетей, а также задать одиночный IP-адрес или сеть.

Локальный адрес: задайте, если необходимо выделить тот трафик, который идет только наопределенный внутренний IP-адрес или сеть.

Внимание! Следует иметь в виду, что при использовании NAT здесь задавать IP-адресавнутренних сетей нельзя - трафик на внешних счетчиках снимается с внешних интерфейсов,где внутренние IP-адреса подменены IP-адресами внешних интерфейсов.

Интерфейс: задайте внешний сетевой интерфейс, с которого необходимо снимать трафик.Если задать, то трафик будет сниматься со всех внешних интерфейсов. Внешний интерфейсдолжен быть предварительно сконфигурирован мастером настройки.

В разделе задаются лимиты на прием (входящий трафик) и передачу (исходящий трафик). Этилимиты применяются для контроля за перерасходом трафика - могут выдаватьсяпредупреждения, а также блокироваться сеть.


© 2003 - 2010 SMART-SOFT

Предупрежд.: лимит, при достижении которого через SMTP-службу будет отправленооповещение. Доступны и другие действия - смотрите настройки.

Лимит: если включена блокировка, то при достижении этого лимита внешнее соединениебудет блокировано.

Ежедневный лимит: можно выделить ежесуточный лимит, трафик будет учитыватьсяотдельным счетчиком, который будет обнуляться в полночь.

Очистить: очистить все лимиты.

Разрешить блокировку внешнего трафика при превышении лимита: если разрешенаблокировка и произошло превышение лимита в счетчике на Весь трафик, то внешние сетибудут полностью отключены. Если перерасход произошел в счетчике, где задан IP-адрес илисети, то заблокируются только эти сети выборочно. Блокировка срабатывает по лимиту иежедневному лимиту отдельно.

Оповещать администраторов по почте: включить, если надо извещать об измененияхсостояний счетчиков. Рассылки настраиваются в свойствах SMTP-служб.

Запускать внешнюю программу при: можно настроить запуск внешнего приложения присрабатывании или отмене блокировки, запрограммировав по этому событию любые другиедействия.

В этом разделе может быть задано выполнение скриптов автоматизации, ранее заданных в описаниях.


При изменении состояния счетчика: задается скрипт, запускаемый при изменениисостояния.

По умолчанию: используются общие настройки.

Записывать сетевую статистику: выберите, если необходимо вести детальную статистикутрафика в контексте данного счетчика. Смотрите раздел "Основные функции, Сетеваястатистика".


Записывать только (???) активных направлений: количество записываемых соединений.Записываются наиболее активные.

Не менее (???) пакетов: не писать данные коллектора, если количество зафиксированныхпакетов данных в нем менее заданного. Берется максимальное значение от исходящих ивходящих пакетов.

С сортировкой по: также следует указать способ сортировки записей в коллекторе.






1.6.2.8.1.3 Информационные счетчики

Счетчики используются для анализа внешнего трафика. Смотрите Основные функции.

В таблице показаны настройки информационных счетчиков, текущее состояние и трафик поним.

Поле "Состояние" таблицы - это статус счетчика и его активности. Активность означает, что внастоящее время имеется определенный трафик, соответствующий данному счетчику.

По правой кнопке мыши для счетчика доступно меню, где можно Сбросить счетчик, обнуливего данные.

Имя счетчика: задайте уникальное имя счетчика.

Запрещен: можно временно запретить работу счетчика, не удаляя его. Счетчик при этом небудет считать трафик.

Тип счетчика: выбирается тип:

обычный: счетчик считает трафик, пропущенный (неотфильтрованный) драйверомпрограммы на внешних интерфейсах;счетчик безопасности: специальный счетчик, считает только отфильтрованный трафик,заблокированный сетевым экраном. Учитываются только принятые или только переданныепакеты. Используется для анализа сетевой активности.

IP-протокол: можно задать тип протокола. Если задан тип "Другой", то надо задать Тип -номер IP-протокола по RFC.

Внешний адрес: задаются внешние IP-адреса критерия отбора трафика. Здесь можновыбрать список из описания IP-сетей, а также задать одиночный IP-адрес или сеть. Для TCP иUDP можно задать номера портов.

Локальный адрес: задайте, если надо выделить тот трафик, который идет только наопределенный внутренний IP-адрес или сеть. Для TCP и UDP можно задать номера портов.

Внимание! Следует иметь в виду, что при использовании NAT здесь задавать IP-адресавнутренних сетей нельзя - трафик на внешних счетчиках снимается с внешних интерфейсов,где внутренние IP-адреса подменены IP-адресами внешних интерфейсов.

Интерфейс: задайте внешний сетевой интерфейс, с которого следует снимать трафик. Еслизадать, то трафик будет сниматься со всех внешних интерфейсов. Внешний интерфейс долженбыть предварительно сконфигурирован мастером настройки.


Записывать сетевую статистику: выберите, если необходимо вести детальную статистикутрафика в контексте данного счетчика. Смотрите раздел "Основные функции, Сетеваястатистика".


Записывать только (???) активных направлений: количество записываемых соединений.Записываются наиболее активные.

Не менее (???) пакетов: не писать данные коллектора, если количество зафиксированныхпакетов данных в нем менее заданного. Берется максимальное значение от исходящих ивходящих пакетов.

С сортировкой по: также следует указать способ сортировки записей в коллекторе.


© 2003 - 2010 SMART-SOFT




1.6.2.8.2 Сетевой экран

Работа внешнего сетевого экрана разрешается в процессе работы мастераконфигурирования или в его свойствах.

По умолчанию при его включении разрешены все исходящие запросы по TCP, UDP и ICMP(смотрите описание работы сетевого экрана), а входящие запрещены, кроме тех стандартныхпротоколов, которые явно разрешены в настройках.

Если надо дополнительно разрешить входящие запросы по TCP, UDP, ICMP или другой IP-трафик, то следует добавить фильтры на разрешение.

Правила фильтров в списке работают по принципу первого совпадения условия, просмотрправил в списке идет с начала списка - сверху вниз. Правила из общих настроек проверяютсяпосле правил списка, т.е. они будут применяться, если трафик не попал ни под одно изусловий списка. Смотрите описание работы сетевого экрана.

В связи с этим имеет значение порядок фильтров в списке, и в консоли есть соответствующиекнопки, с помощью которых можно перемещать правила по списку.

Смотрите описание настроек фильтра сетевого экрана.


Включить сетевой экран: включает сетевой экран для всех внешних интерфейсов. Еслинужно включить сетевой экран выборочно для отдельных внешних сетевых интерфейсов, тоэто производится в процессе работы мастера конфигурирования.

В этом окне настроек есть набор разрешений для различных протоколов. Большая частьданных разрешений также может быть задана отдельными фильтрами.

Исходящий ICMP: разрешает отправку ICMP-запроса от сервера и прием всех типов отклика.Тип трафика - любой, контролируемый и неконтролируемый.

Следующие два разрешения задают только исходящий TCP- и UDP-трафик, т.е. тот, которыйинициируется со стороны сервера или внутренней сети. Такие правила фильтрами из списказаданы быть не могут.

Исходящий UDP: запрос от сервера, динамическая фильтрация на прием.

Исходящее TCP-соединение: разрешается отправка любого TCP-пакета, а на приемтолько без SYN-флага. Входящие TCP-соединения запрещены.

Для этих правил - только контролируемый трафик. Вышеперечисленные двафильтра разрешают только контролируемый трафик. По умолчанию - отключено. Еслипредполагается ввести ограничения на неконтролируемый трафик, то настройкуследует обязательно включить. Тогда может потребоваться добавить в спискиразрешения на необходимый неконтролируемый трафик. Для DNS и SNTP в этом окнепредусмотрены отдельные разрешения - смотрите далее.

Замечание: трафик обновлений Panda Gate Antivirus - неконтролируемый, но вправила сетевого экрана вставляется временный фильтр на разрешение обновлений,поэтому обновление будет работать даже при запрете неконтролируемого трафика.

DNS Client: разрешает UDP/53. Тип трафика - любой. По умолчанию включено. Если



динамический UDP запрещен или разрешен только для контролируемого трафика, то этоправило как раз разрешит нормальную работу DNS-служб сервера.

SNTP-клиент: разрешает UDP/123. Тип трафика - любой. По умолчанию включено. Еслидинамический UDP запрещен или разрешен только для контролируемого трафика, то данноеправило разрешит нормальную работу служб синхронизации времени сервера.

DHCP-сервер: разрешает широковещательный UDP/67-68. Тип трафика - любой. Поумолчанию включено.

VPN/PPTP/L2TP-клиент: разрешает исходящий TCP/1723 и GRE (47-й IP-протокол). Типтрафика - любой. Включить для VPN-/PPTP-клиента.

IPSec/L2TP-клиент: разрешает UDP/500 и IP-протоколы 50 и 51. Тип трафика - любой. Дляклиентских VPN-соединений по протоколу L2TP следует включить эту и предыдущую галку.

FTP server: разрешает TCP/21 на прием. FTP-DATA отдельно разрешать не надо - они будутоткрываться автоматически. Тип трафика - любой.

1.6.2.8.2.2 Фильтр сетевого экрана

Имя: отображаемое уникальное имя фильтра. Обязательный параметр.

Отключить фильтр: можно временно отключить фильтр, не удаляя его из списка.

На разрешение: фильтр является разрешающим.

На запрет: фильтр является запрещающим. Условия фильтров этого списка проверяются доправил общих настроек, поэтому такой запрещающий фильтр будет иметь приоритет надправилами общих настроек.

Направление: определяет направление движения пакетов, которое попадет под действиефильтра. Речь идет именно об одиночных пакетах, поэтому не следует путать снаправлениями TCP-соединений и UDP-запросов.

Тип трафика: задает условие типа трафика - любой, контролируемый или неконтролируемый.Типы трафика подробно описаны в разделе "Сетевой экран". По причине того чтоконтролируемый трафик может быть выделен только для TCP и UDP, данное условие доступнотолько для этого трафика. Определение, что трафик контролируемый, возможно только дляисходящих пакетов, поэтому, если в настройке "Направление" заданы только входящиепакеты, это условие работать не будет.

IP-протокол: эта группа настроек задает типы IP-протоколов. Здесь можно выбрать типпротокола из списка или, выбрав другой, ввести номер IP-протокола. Для задания в этомсписке также доступны следующие типы протоколов:

ICMP: служебный IP-протокол, в частности, обеспечивающий работу системных утилит ping иtracert. Для этого типа протокола можно в качестве дополнительного условия выбрать типзапроса в отдельном списке.UDP и TCP: основные протоколы Интернет. Для них дополнительно в качестве условияможно задавать номера портов - смотрите далее.

Следующие протоколы из списка описывают более сложные правила. Одно такое правилозаменяет сразу несколько простых фильтров.

IPSec: защищенный IP-протокол, применяется, в частности, для VPN-/L2TP-соединений.Включает UDP/500 и IP-протоколы 50/51.PPTP client: клиентское VPN-/PPTP-/L2TP-соединение. Включает исходящее TCP/1723 иGRE (IP-протокол 47).PPTP server: серверное VPN-/PPTP-/L2TP-соединение. Включает входящее TCP/1723 иGRE (IP-протокол 47).

НЕ: флаг исключения. Можно задать фильтр, который будет срабатывать на любой протокол,


© 2003 - 2010 SMART-SOFT

кроме выбранного.

Внешний адрес: в данной группе настроек задаются IP-адреса и порты, соответствующиеудаленной стороне относительно сервера. Для исходящих пакетов это соответствует адресуназначения, для входящих - адресу источника.

Список: можно выбрать описание IP-сетей.

Или для IP-адреса здесь можно задать как одиночный адрес, так и IP-сеть. Для IP-адресадоступно условие "наоборот" - галка "НЕ".

Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного вводадинамического диапазона предусмотрена соответствующая кнопка. Для порта такжедоступно условие "наоборот" - галка "НЕ".

Если требуется задать условие для клиентского TCP- или UDP-соединения (т.е. сервер вовнешней сети), номер порта сервера необходимо задавать именно в этой группе настроек.

Локальный адрес: в этой группе настроек задаются IP-адреса и порты, соответствующиеместной стороне - самому серверу или внутренней сети. Для исходящих пакетов этосоответствует адресу источника, для входящих - адресу назначения.

Для IP-адреса здесь можно задать как одиночный адрес, так и сеть.

Внимание! Следует иметь в виду, что при использовании NAT здесь задавать IP-адресавнутренних сетей нельзя - трафик на внешних счетчиках снимается с внешнихинтерфейсов, где внутренние IP-адреса подменены IP-адресами внешних интерфейсов.

Для TCP и UDP можно задать порт, как одиночный, так и диапазон. Для удобного вводадинамического диапазона предусмотрена соответствующая кнопка. Для порта такжедоступно условие "наоборот" - галка "НЕ".

Если требуется задать условие для серверного TCP- или UDP-соединения (т.е. серверздесь или он внутри своей сети), номер порта сервера следует задавать именно в этойгруппе настроек.

Интерфейс: привязывает правило к конкретному внешнему интерфейсу. Следует отметить,что ввод этой настройки возможен только для активного в данный момент интерфейса. Есливызывается окно редактирования фильтра, где задан интерфейс, который в настоящее времяне активен, то выводится предупреждение. И здесь возможны два варианта - не трогать этунастройку или очистить ее. В первом случае изменение этой настройки будет запрещено.

На закладке "Дополнительно" доступны настройки:

Автоудаление: настройки для временного фильтра. Задается время, по истечении которогофильтр будет удален или отключен.

Примечание: любой комментарий произвольной длины.

1.6.2.9 SMTP-службы

К SMTP-службам относятся SMTP-служба отправки сообщений и SMTP-шлюз, смотритеописание работы.




На главной странице SMTP-службы отображается статистика отправки, состояние очереди ииконки для быстрого доступа к некоторым настройкам. Кроме того, есть возможность временноприостановить отправку.


1.6.2.9.1.1 Отправка сообщений

Enter topic text here.Отправлять всю исходящую почту на SMTP-сервер: пропишите SMTP-сервер, на который будут отправляться сообщения. Можно использовать как имя хоста, так иIP-адрес. Этот сервер может находиться и во внутренней сети, и локально на самом сервере.В последнем случае для исключения конфликтов, возможно, придется разносить TCP-порты уразных программ. Поменяйте порт в настройках, если потребуется.

Если SMTP-сервер, куда будет отправляться почта, требует аутентификацию, то настройтеее. Выберите тип аутентификации и пропишите логин.

Если SMTP-сервер, куда отправляется почта, по какой-то причине недоступен, то сообщениябудут скапливаться в очереди. Причина невозможности отправки сообщений пишется всистемный журнал.

Параметры отправки: при необходимости, здесь можно поменять настройки обработкиочереди:

Тайм-аут соединения: увеличьте (т.е. в журнале ошибок появляются соответствующиесообщения).

При невозможности отправить, повторить через: задайте в минутах интервал времени,через которое сообщение будет отправляться повторно.

Удалять неотправленные сообщения через: задайте в часах интервал времени, черезкоторый неотправленные сообщения будут удалены из очереди.

Пауза: позволяет временно остановить отправку. Эта настройка также доступна с главнойстраницы раздела SMTP-службы консоли.


© 2003 - 2010 SMART-SOFT

1.6.2.9.1.2 Оповещение

Использовать оповещение администраторов по электронной почте: разрешаетавтоматические рассылки (оповещения) сообщений по электронной почте.

Имеется возможность оповещать о следующих событиях:

Оповещения администраторов. Включается в окне главных настроек.Сообщения о блокировке клиента по переполнению сетевой статистики. Настройки опции - вразделе "Статистика и блокировка".Сообщения о нарушении клиентом политики авторизации. Настройки опции - в разделе "Статистика и блокировка".Оповещения об изменении состояний контролируемых счетчиков. Настройки опции - вразделе "Контролируемые счетчики: Действия".Оповещения о найденных вирусах при проверке HTTP- и SMTP-трафика.Оповещения о блокировках почты SMTP-шлюзом.

Для уменьшения количества генерируемых почтовых сообщений от оповещений реализованообъединение нескольких оповещений в одно. Оповещения копятся некоторое время вотдельной очереди и затем отправляются в виде одного сообщения. При выгрузке службыпрограммы, если в этих очередях имеются неотправленные сообщения, они запоминаются надиске, и будут отправлены при последующем запуске службы программы.

Для настройки времени нахождения оповещения в очереди и количества оповещений естьнастройки:

Копить не более (сообщений): задается лимит оповещений в одном сообщении.

Задержка отправки: введите лимит времени в минутах, через которое оповещение будетотправлено в любом случае, независимо от заданного лимита.

Список рассылки: заполняется e-mail адресами, по которым будут рассылаться сообщения.

Адрес отправителя: вводится адрес, от кого будет посылаться сообщение. Адрес не долженбыть пустым и по возможности должен быть правильным, т.к. получаемый эти сообщенияSMTP-сервер может использовать разные проверки отправителя - неправильный адрес он непропустит.

Этот адрес также используется как адрес отправителя по умолчанию: если сообщение,принятое SMTP-шлюзом, не содержит адреса отправителя.

Послать проверочное сообщение: можно сразу же проверить настройки службы отправкисообщений, послав пробное сообщение.


Если почтовый сервер (получатель) отверг сообщение с 5хх-ой ошибкой, то это означает, чтоданная ошибка для получателя не является временной, и пытаться передать сообщениеповторно смысла не имеет. Оно должно быть удалено из очереди отправки.

Сообщения, отвергнутые с фатальными ошибками (5xx), сохранять в отдельнойпапке: включите опцию, если эти сообщения необходимо сохранить для их последующегоанализа. Они будут сохраняться в виде eml файлов в папке MailRoot\BadMail. Файлсообщения может быть открыт для просмотра почтовой программой Outlook Express.

1.6.2.9.2 Очередь отправки

Этот список позволяет просмотреть сообщения, находящиеся в очереди службы отправкисообщений. Если SMTP-сервер, куда отправляются сообщения, находится во внутренней сетии процесс передачи сообщения быстрый, то в этом случае очередь отправки почти всегдадолжена быть пустой. Статистику отправки можно наблюдать на главной странице службы.



Для сообщения в очереди отображается его статус и сообщение об ошибке. Служба отправкисообщений при невозможности отправки будет пытаться отправить его повторно в течениеопределенного времени (смотрите раздел SMTP-службы: Настройки: Отправка сообщений),после чего удалит.

Если сообщения скапливаются и очередь растет, то:

Проверьте настройки службы отправки. Пошлите проверочное сообщение (раздел "Оповещение").Проверьте работу SMTP-сервера, не перегружен ли он.Сообщение может нести в себе ошибку - сервер его отвергает. Проверьте системныйжурнал: там фиксируются все ошибки отправки.

Эти сообщения очереди находятся на сервере в папке \MailRoot\Queue. Предусмотренавозможность их просмотра через консоль - используйте кнопку или меню Properties (Свойства)консоли. Сообщение будет считано в виде стандартного EML-файла, и через консоль будетзапущено приложение, которое в системе используется для просмотра таких файлов. Какправило, это Outlook Express.

Также в консоли есть возможность дать команду на немедленную отправку сообщений изочереди. Это может быть полезно, когда проблемы отправки устранены и ждать времени, когдаслужба сделает это сама, нет необходимости.

Если сообщение в очереди ошибочно или не нужно, его можно удалить.

1.6.2.9.3 SMTP-шлюз

Перед настройкой почтового SMTP-шлюза ознакомьтесь с описанием его работы. Разрешаетсяработа шлюза в процессе работы мастера конфигурирования.



© 2003 - 2010 SMART-SOFT

В консоли на странице этой службы отображается ее текущая статистика: количествопринятых, переданных и отфильтрованных по разным причинам сообщений. Статистикаведется с момента запуска сервера, при его остановке она теряется.

1.6.2.9.3.1 Настройки SMTP-сервера

Сетевой экран, разрешить всем: если включено (по умолчанию), то во внешнем сетевомэкране автоматически будет открыт доступ на порт сервера с любых адресов. Таким образом,по умолчанию для разрешения работы этой службы никаких дополнительных настроек вовнешнем сетевом экране делать не нужно.

Если же надо ввести дополнительные ограничения и разрешить доступ на SMTP-сервер толькос определенных адресов или сетей, то отключите эту опцию и настройте доступ к серверу фильтрами сетевого экрана.

Тайм-аут простоя при соединении: задается в секундах. По истечению этого времени припростое входящее TCP-соединение будет закрыто.

Максимальный размер сообщения: можно ограничить размер принимаемых сообщенийзаданным лимитом.

Максимальное количество получателей: введите для ограничения количества получателейдля каждого сообщения.

Исключения...: можно задать список получателей в виде e-mail адресов, для которых можнозадать более высокий лимит количества получателей. Эти настройки вводятся в отдельномокне.

Рассылка спама часто идет сразу на несколько получателей. Причем, если "засвеченных"почтовых адресов в организации много, этот список может быть довольно большим. Ноиногда похожим образом идут и легальные информационные рассылки. Эта настройкаисключений позволяет сделать следующее. Для основной части получателей почты(приватные адреса) выставляется небольшой лимит - 1-3 получателя на одно письмо. А напубличные адреса (входящие офиса, секретари и т.д.) - более высокий лимит. Тогда всетакие рассылки пройдут только на публичные адреса, на приватные нет.

Задержка выдачи приглашения: мера, обеспечивающая дополнительную фильтрациюспама. Задается задержка выдачи приглашения SMTP-сервера в секундах послеустановления TCP-соединения с отправителем. Если отправитель начал отправку сообщения,не дожидаясь получения приглашения, то соединение будет прервано. Для отключения этойфункции установите параметр в "0".

Почтовый домен в приглашении: пропишите имя домена (или доменное имя хоста), котороебудет использоваться в ответе на команды HELO и EHLO. По умолчанию программаподставляет имя сервера.

Разрешить прием сообщений только для известного адресата: при включении, почтабудет приниматься только в случае, если адрес получателя имеется среди клиентовпрограммы. Тогда весь почтовый трафик будет соотнесен конкретным клиентам и учтен вбиллинге.

Если опцию отключить, то можно дополнительно заполнить список почтовых доменов, накоторый будет возможен прием почты независимо от того, прописан адрес получателя впрограмме или нет. В этом случае почтовый трафик будет учитываться только для техсообщений, адрес получателей которых имеется у клиентов программы. Почтовые доменывводите в формате domain.com.

Если в сообщении несколько получателей, то каждый получатель будет обрабатыватьсяотдельно. Если прием на адрес какого-либо отдельного получателя запрещен, то он будетисключен из списка получателей сообщения. Если исключаются все получатели, тосообщение фильтруется.

Смотрите раздел "Почтовые службы: SMTP-шлюз: описание работы".



На этой закладке окна настроек приведены настройки обработки адреса отправителя. Действияпроизводятся по событию MailFrom - смотрите описание в разделе "Почтовые службы: SMTP-шлюз".

Проверять адрес отправителя на наличие DNS MX-записи: будет производится проверкапочтового домена отправителя на предмет наличия у него DNS MX-записи.

Далее описываются действия, предпринимаемые в случае успешного или неуспешногорезультата проверки.

Если проверка успешна, то Продолжить проверку в правилах: если отключить, то поэтому событию правила далее обрабатываться не будут.

Если проверка успешна, то Отнять весовой коэффициент: отнять заданное число от весасообщения, тем самым увеличить его шанс пройти все проверки.

Если проверка неуспешна, то Отфильтровать и больше ничего не проверять: немедленно запретить прием этого сообщения.

Если проверка неуспешна, то Продолжить проверку в правилах: продолжить проверкусообщения в правилах и его дальнейший прием. При этом можно добавить заданное число кего весу, тем самым уменьшив вероятность пройти все проверки.

На этой закладке окна настроек SMTP-сервера описываются заключительные действия,применяемые после успешного приема сообщения. Смотрите описание в разделе "Почтовыеслужбы: SMTP-шлюз".

Фильтровать сообщения, если весовой коэффициент более: если в процессе обработкисообщения его вес превысит заданный предел, то оно должно быть отфильтровано. Этопозволяет производить фильтрацию сообщения по совокупности нескольких признаков.

Для того чтобы вообще не фильтровать по весовому коэффициенту, введите "0".

Есть возможность переопределить эту настройку для получателей - групп и клиентовпрограммы.

Если получателей в письме несколько и для отдельных порог фильтрации превышен, то втаком случае они будут выборочно удалены из списка получателей сообщения. Сообщениешлюзом будет приниматься, но пересылаться не для всех. Отправитель об этом извещен небудет, никаких ошибок в рамках SMTP-протокола возвращаться не будет.

Код отклика: можно задать произвольный код сообщения SMTP-протокола, возвращаемыйшлюзом при блокировке по весовому коэффициенту. По умолчанию используется 554 (Accessdenied). Изменение кода на другой может изменить характер поведения отправителя почты присрабатывании блокировки. Смотрите RFC на протокол SMTP. А также здесь можно задатьсообщение, выдаваемое вместе с этим кодом. Отметим, что это сообщение чистоинформационное, на поведение отправителя, как правило, влияния не оказывает.

Если весовой коэффициент более: если в процессе обработки сообщения его веспревысит заданный предел, то для него можно применить следующие действия: пометить илипереслать на какой-либо адрес (сделать редирект на адрес). Логично этот параметрвыставлять менее, чем предел для фильтрации сообщения. Пометка сообщения может вдальнейшем использоваться для его последующей обработки в почтовом сервереорганизации или клиентской почтовой программе. Редирект же можно использовать дляпересылки всех потенциально нежелательных сообщений в почтовый ящик-"отстойник".

Если этот параметр "0", то никаких действий применяться не будет.

Редирект на адрес: введите правильный адрес. Следует учесть, что это сообщениебудет отправляться обычным порядком через ту же службу отправки сообщений, поэтомуэтот адрес должен нормально восприниматься SMTP-сервером организации. Авторизациядля этого адреса в программе не требуется, тарифицироваться данная почта будет для техполучателей, на чей адрес она пришла. При редиректе тема сообщения заменяется на


© 2003 - 2010 SMART-SOFT

список адресов получателей.

Добавить заголовки: список заголовков, которые будут добавлены в оригинальноесообщение. Может содержать параметр подстановки %WEIGH%.

Шаблон темы: используется, если сообщение помечается по весовому коэффициенту илисформирована пометка темы правилами. На основании этого шаблона окончательноформируется тема сообщения. Может содержать параметры подстановки:

%WEIGH%: весовой коэффициент на момент пометки сообщения.%MARK%: ранее сформированная пометка темы правилами.%SUBJ%: оригинальная тема сообщения.

Пометка сообщений для правил по умолчанию: задаются общие настройки для всехправил.

Тема: вводится шаблон пометки темы сообщения. Доступны параметры подстановки:

%WEIGH%: весовой коэффициент на момент пометки сообщения.%RULE%: имя правила, при действии которого произведена пометка.%MARK%: ранее сформированная пометка темы другим правилом.

Добавить заголовки: вводится список заголовков, которые будут добавлены воригинальное сообщение. Могут содержать параметры подстановки %WEIGH% и %RULE%.

Настройка действий, если в сообщении были найдены вирусы

Если лечение данных невозможно, то Сообщать отправителю об успешном приемесообщения: при включении, сообщение принимается и отправляющей стороне возвращаетсякод успешного приема сообщения. Если отключить, то отправляющей стороне возвращаетсякод ошибки.

Если лечение данных невозможно, то Оповещать всех получателей: само сообщениеудаляется, взамен все получатели получают соответствующее уведомление с отчетом онайденных вирусах.

Настройка действий, если формат данных антивирусу неизвестен и

проверка данных им невозможна (Malformed item)

Блокировать: фильтровать сообщение. Информация об этом отписывается в журналблокировок (смотрите отчеты в портале).

или

Добавить весовой коэффициент: добавить какое-либо значение веса к сообщению, чтоможет увеличить шанс его блокировки.

Пометить тему: введите шаблон пометки темы. Работает аналогично другим подобнымнастройкам SMTP-шлюза. Здесь возможно использование параметра подстановки %MARK%.

Добавить заголовки: работает аналогично другим подобным настройкам SMTP-шлюза,добавляет произвольные заголовки к сообщению. Эти настройки позволяют настроить впочтовой программе клиента автоматическую сортировку сообщений по разным папкам.



Эти настройки управляют тарификацией и приемом почтовых сообщений в контексте клиентовпрограммы. Описание смотрите в разделе "Почтовые службы: SMTP-шлюз: описание работы".

Если получателей сообщения среди клиентов несколько, то пропорциональноразделить трафик между ними: если отключить, то трафик будет засчитываться всемполучателям в полном объеме.

Следующие настройки разрешают прием сообщений для клиентов, отключенных по какому-либо из признаков:

Принимать сообщения для клиента, если его работа остановлена.Принимать сообщения для клиента, если он отключен по датам.Принимать сообщения для клиента, если он отключен по балансу.Запретить прием, если клиент работает в кредит.

Если клиент отключен по другим признакам, то прием почты для них не производится.

Учитывать трафик отфильтрованных сообщений: если сообщение было отфильтровано иего получатели были уже известны, то издержки по трафику за прием этого сообщения могутбыть им засчитаны.

Оповещение администраторов: включите, если надо оповещать администраторов оразличных действиях SMTP-шлюза по обработке сообщений. В службе отправки сообщенийдолжен быть заполнен список рассылки.

Оповещать о блокировках (фильтрации) сообщений.Оповещать о найденных вирусах. Как правило, антивирус, если находит вирус в письме,сообщение целиком не удаляет, а удаляет только часть письма или "лечит" вложение. Привключении этой настройки администраторы будут оповещаться.

Трассировка: включите, если надо вести подробную запись действий SMTP-шлюза вотдельном журнале.

Записывать трассировку SMTP-протокола: записываются все команды SMTP-протокола.Полезно для отладки взаимодействия с различными SMTP-серверами.Записывать трассировку обработки правил: полезно для отладки работы логики правил.

1.6.2.9.3.2 Соединения

В этом списке отображаются текущие входящие соединения SMTP-сервера почтового шлюза.Их просмотр может быть полезен для отладки работы данной службы. Также имеетсявозможность с консоли закрыть активное соединение.

1.6.2.9.3.3 Правила

В этом списке отображаются правила анализа и обработки принимаемых сообщений.Обработка сообщений по списку правил производится по каждому событию SMTP-сервера.Описание смотрите в разделе "Почтовые службы: SMTP-шлюз: описание работы".

В силу того что просмотр правил многократно производится по разным событиям, правила всписке сгруппированы по событиям и порядок правил (переместить их вверх или вниз посписку) можно изменить только для одинаковых событий.

Имя: введите уникальное имя правила. Обязательный параметр. В дальнейшем это имя будетиспользоваться во всех ссылках на данное правило.

Отключить правило: позволяет временно отключить правило, не удаляя его из списка.

Событие: выберите событие, по которому будет производиться работа данного правила.

Проверять в ...:включите атрибуты сообщения, в которых необходимо делать проверку вданном правиле. Описание смотрите в разделе "Почтовые службы: SMTP-шлюз: описаниеработы". В зависимости от выбранного события проверка будет доступна только в некоторых


© 2003 - 2010 SMART-SOFT

атрибутах.

При проверке в IP-адресе отправителя или IP-адресах в заголовках есть возможностьподключить список из описания IP-сетей. В этом случае данные IP-адреса в списке выраженийпроверяться не будут.

Введите список выражений, которыми будут проверяться данные в заданных атрибутахсообщения.

Тип обработки: выберите формат выражений. Для простых проверок используйте вхождениеподстроки, для более сложных - формат регулярных выражений.

Нечувствительно к регистру: включить, если надо сделать выражение нечувствительным кбольшим и маленьким буквам. В этом случае при вводе строк поиска необходимоиспользование только маленьких букв, за исключением символов самого языка регулярныхвыражений.

Список: ввод и редактирование списка условий. Строки описания вводятся в соответствии сформатом, указанным выше. А также имеются кнопки:

Загрузить: импортировать список из любого файла, имеющего текстовый формат. На этойоперации проверка синтаксиса списка Regular Expressions не производится - список будетпроверен по окончанию редактирования описания при его загрузке в программу.


Сортировать / Применить: редактируемый список загружается в программу споследующей сортировкой, производится без закрытия окна. Операция доступна толькопри редактировании ранее введенного описания.

Проверить: можно немедленно проверить вводимые выражения на выполнение тестовыхусловий. Данные берутся непосредственно из вводимого списка.

Применить / Проверить: можно проверить вводимые выражения на выполнение тестовыхусловий на сервере. Перед проверкой введенные данные из списка будут загружены насервер.

Задайте действие, которое будет выполняться, в случае если проверка атрибутов сообщениярегулярными выражениями прошла успешно.

Продолжать проверку: далее обработка сообщения производится в том же порядке. Но ксообщению можно применить некоторые действия, далее задаваемые в этом окне.

Блокировать: отфильтровать сообщение и прекратить его прием.

Разрешить: продолжать прием сообщения, если оно еще не полностью принято. Далее непроизводить никаких проверок с ним, т.е. это действие аналогично "белому списку". Но наантивирусную проверку не распространяется.

На следующее событие: прекратить далее проверку этого сообщения по этому событию подругим правилам этого списка. Имеет отношение только к данному событию - дляпоследующих событий все проверки производятся обычным порядком.

Весовой коэффициент: можно отнять или добавить весовой коэффициент, тем самымуменьшив или увеличив шанс у сообщения пройти все проверки.

Tag+, Tag-: добавление или удаление в сообщении специальных пометок - тегов. Теги могутиспользоваться в модулях расширений как дополнительные условия для реализации болеегибкой обработки.

Пометка сообщений: можно пометить сообщение, изменив его тему или добавить в негозаголовки. Смотрите описание аналогичных настроек в разделе "Настройки SMTP-сервера:



Действия".

По умолчанию: настройки берутся из раздела "Настройки SMTP-сервера: Действия".

Если сообщение помечать не надо, то по умолчанию следует отключить, а эти настройкиочистить.

Код отклика: можно задать произвольный код сообщения SMTP-протокола, возвращаемыйшлюзом при блокировке по этому правилу. Изменение кода на другой может изменитьхарактер поведения отправителя почты при срабатывании блокировки. Смотрите RFC напротокол SMTP. Кроме того, здесь можно задать сообщение, выдаваемое вместе с этимкодом. Отметим, что это сообщение чисто информационное - на поведение отправителя, какправило, влияния не оказывает.

По умолчанию: при включении, будет использоваться отклик по умолчанию. Для разныхсобытий и ситуаций он разный.

Настройка загрузки списка с сети по протоколу HTTP. Задайте URL запроса, а такжерасписание загрузки.

Примечание: любой комментарий к данному правилу.

1.6.2.10 WWW-сервер

Описание работы WWW-сервера смотрите в разделе "Основные функции: WWW-сервер".


HTTP-порт: TCP-порт, на котором сконфигурирован HTTP-сервер. Если службу запустить неудалось (например, порт занят другим приложением), то здесь отображается ошибка.Попробуйте сменить порт на другой, перейдя в окно настроек. Если для работы требуетсяименно этот порт, то можно попытаться определить в разделе "Диагностика", какое другоеприложение заняло порт. Служба обязательна для работы программы.

По умолчанию задан порт 8081. Но, по возможности, лучше заменить на стандартный 80-й.

SSL-порт: TCP-порт HTTP-сервера с поддержкой защищенного SSL-канала. Запускаться небудет, если на сервере нет подходящих цифровых сертификатов.

По умолчанию задан порт 8443. Но, при возможности, лучше заменить на стандартный 443-й.

Доступ с внешних сетей: отображается сводная информация о том, что имеются разделысервера, к которым был разрешен доступ с внешних сетей. Если такой доступ нужен, тонастоятельно рекомендуется открывать его только для SSL.


© 2003 - 2010 SMART-SOFT

ASP.NET: отображается версия NET Framework, а также версия хост-модуля программы.Будет загружено, если сконфигурирован хотя бы один раздел с сайтом ASP.NET.

Сертификаты: отображается количество сертификатов на сервере, которые подходят дляработы SSL. Если таких сертификатов нет, то следует их создать (раздел "Созданиесертификатов"). Операция доступна из контектного меню этого раздела консоли.


1.6.2.10.1.1 Сервер

HTTP-сервер, TCP-порт: TCP-порт, на котором сконфигурирован HTTP-сервер. По умолчаниюзадан порт 8081. Но, если возможно, лучше заменить на стандартный 80-й.

Динамический: позволить программе самой выбрать свободный порт. В этом случае ксерверу лучше всего обращаться по порту HTTP прокси-сервера, а уже он сделаетперенаправление на порт WWW-сервера.

SSL-сервер, TCP-порт: TCP-порт HTTP-сервера с поддержкой защищенного SSL-канала. Поумолчанию задан порт 8443. Но, если возможно, лучше заменить на стандартный 443-й.

Опция включения SSL-сервера будет доступна только после назначения сертификатов -раздел "Установка программы: WWW-/SSL-сервер".

Автоматически добавлять разрешения во внешнем сетевом экране: во внешний сетевойэкран разрешающие правила для TCP-портов будут добавлены автоматически. Отключите,если требуется более избирательная настройка доступа сетевого экрана.

Во внутренний сетевой экран правила всегда будут добавляться автоматически.

1.6.2.10.1.2 Страницы по умолчанию

Если обращение производится не к какой-то странице, а к директорию, то выбирается страница по умолчанию из заданного списка.

Сбросить по умолчанию: список будет сформирован заново. Полезно, если эти настройкибыли случайно удалены.

1.6.2.10.1.3 Сертификаты

Изучите тему установки для SSL-сервера.

Просмотр и установка сертификатов SSL-сервера

Сервер Traffic Inspector ищет сертификаты в системном хранилище и проверяет их навозможность использования для защищенного SSL-канала. Все подходящие сертификатыотображаются в этом списке.

Если сертификатов несколько, следует выбрать те, которые будут в дальнейшемиспользоваться. Важно, чтобы имя сертификата совпадало с именем хоста в запросебраузера. А учитывая, что запросы могут идти как из внутренних сетей, так и внешних,предусмотрена возможность задания разных сертификатов для разных сетей.

Если сертификат явно не выбран, то будет использоваться первый из списка.

Кнопки "Установить" нужны для случая, когда созданы разные сертификаты для внешнейсети и внутренней. Этими кнопками назначаются сертификаты на внешнюю и внутреннюю сеть.



1.6.2.10.1.4 Клиентский агент

Настройки сервера для работы с клиентскими агентами по протоколу HTTP

Разрешить только через SSL: работа агента не по защищенному каналу будет запрещена.В силу того, что пароли в HTTP передаются открытым текстом, эту настройку нерекомендуется отключать в целях безопасности.

Отрабатывать запросы самим сервером: WWW-сервер сам отрабатывает запросы агентов.В XML-данные отклика добавляется имя XSL-шаблона, заданного в этой настройке. Файлшаблона должен лежать в соответствующем директории. Для персонализации страницы (язык,опции управления, скин) он может быть задан также для групп или отдельных клиентов.

Отрабатывать запросы другим ASP.NET-приложением: если требуется дополнительныйфункционал, то для работы агентов можно задействовать свое ASP.NET-приложение. Здесьпрописывается имя ресурса, на которое будет производиться перенаправление при запросена стандартное имя. (Пока не реализовано.)


Отображаемое имя сервера: используется в приложениях, например, веб-портале, как имясервера. Можно вписать название сети или организации.

Показывать в отчетах сервера статистики данные по всем сессиям пользователей: поумолчанию в отчетах выводятся данные только по текущей сессии. Включите, еслинеобходимо показывать всю доступною информацию.

1.6.2.10.2 Создание сертификатов

В программе есть возможность создания своих сертификатов для SSL-сервера. Операциядоступна из контектного меню раздела "Настройки WWW-сервера".

Новый сертификат издательства (CA): установите, если необходимо создать новыйсертификат издательства. Если ранее сертификат не создавался, он будет созданавтоматически, независимо от этой опции. Если ранее создавался, то следует учесть: новыйсертификат издательства повлечет за собой его установку у всех клиентов.

Далее задайте имя сертификата. Оно должно совпадать с именем хоста в запросе. Этоможет быть и IP-адрес. Если требуется второй сертификат для запросов с внешних сетей, гдеиспользуется имя хоста, отличное от внутреннего, задайте это имя и для него.

Следует также задать срок действия сертификатов.

Сертификаты будут созданы на сервере, помещены в системное хранилище, WWW-серверпрограммы будет сконфигурирован для их использования. Если сертификат издательствановый, он будет прописан на сервере как доверенное издательство.

Если сертификат издательства новый, то он не прописан у клиентов в списке доверенныхиздательств, и потребуется его установка у клиентов. Для облегчения задачи администраторапо установке доверенных сертификатов у клиентов это реализовано в клиентском агенте. Приработе по протоколу SSL-агент загружает с WWW-сервера все необходимые сертификаты исам их устанавливает. Браузеры также, в случае необходимости, предлагают клиентуустановить сертификат, который не имеет доверенного издателя. Обращайтесь в раздел "WWW-/SSL-сервер".

Все данные издательства сертификатов сохраняются в директории config\CA, что облегчаетперенос и сохранение конфигурации сервера.

1.6.2.10.3 Разделы

Список разделов - виртуальных директориев и сайтов для WWW-сервера

Все разделы в списке отсортированы по именам виртуального пути - тем самым онисоответствуют внутренней иерархии сервера. В списке, помимо настроек, выводится их статус:возможные ошибки конфигурирования, загрузки ASP.NET-приложения и другие. Наличие


© 2003 - 2010 SMART-SOFT

ошибок приводит к неработоспособности только конкретного раздела и всех его подразделов.

Если список пуст, то по умолчанию используется директорий Root программы и входразрешен только для администраторов.

Для корректной работы служб программы, веб-портала и агента должны быть правильнонастроены разделы:

/: корневой директорий: открыт для всех;/user: открыт для клиентов программы;/admin: открыт только для администраторов;/download: файлы загрузки: открыт для всех и разрешен просмотр папки;/portal: корневой для портала: открыт для всех, настроен как ASP.NET-приложение. Другиеразделы портала могут иметь отличия в зависимости от его версии.

Если по какой-либо причине эти настройки сбились или пропали, то восстановить их поумолчанию можно так:

1. Остановить службу.2. Удалить файлы WWWServConfig.xml и WWWServConfig.bak.xml.3. Запустить службу.

1.6.2.10.3.1 Настройки раздела

Имя: отображаемое имя раздела. Необязательный параметр: если не задан, то в качествеотображаемого имени используется виртуальный путь раздела.

Виртуальный путь: задается относительный виртуальный путь. Обязательный параметр.Для корневого пути задайте "/".

Физический путь: можно переопределить физический путь в файловой системе.Необязательный параметр: если его нет, физический путь выстраивается относительновиртуального пути. По умолчанию для корневого раздела используется папка Root из местаустановки программы.

Правильность настройки путей можно проверить в списке разделов, колонка "Физическийпуть". Если физический путь (папка), соответствующий этому разделу, не существует, тобудет отображено сообщение об ошибке.

Внимание! Конфигурировать сервер можно только на директории с латинскими буквами. Этосделано во избежание возможных проблем в работе ASP.NET-приложений.

Разрешить просмотр содержимого папки: если в запросе было задано имя директория - нефайла - и страницы по умолчанию в этом директории нет (раздел "Страницы по умолчанию"), тобудет выдана страница обзора с содержимым этой папки. Иначе возвращается HTTP-ошибка404.


1.6.2.10.3.2 Настройки доступа

Доступ с внешних сетей: можно разрешить доступ к разделу со стороны внешних сетей.Также можно указать, для какого сервера (только SSL или обоих - HTTP и SSL) разрешаетсяэтот доступ. Во внешний сетевой экран правила будут добавлены автоматически. На главнойстранице WWW-сервера отображается сводная информация об этой настройке по всемразделам.

Имеется несколько вариантов авторизации на WWW-сервере - раздел "Администрирование иразграничение доступа".

Разрешить анонимный доступ: разрешает доступ без авторизации.

Разрешить доступ для клиентов Traffic Inspector: разрешает доступ для всех клиентовпрограммы. Следует отметить, что клиент здесь авторизуется только для этой службы, т.е.доступ в Интернет ему не открывается.



Также запрещенных: разрешается доступ в раздел отключенных клиентов (в состоянииПАУЗА, СТОП и ЗАПРЕЩЕН).

Внимание! Для разрешения доступа отключенных клиентов в раздел персональнойстатистики портала опцию надо включить для разделов /user и /portal/user.

Разрешить доступ для групп и Разрешить для клиентов программы: выберитесоответствующие группы для ограничений.

Пользователь предустановленной группы "Администраторы" имеет доступ ко всем разделамнезависимо от настроек доступа.

1.6.2.10.3.3 ASP.NET

Порядок обработки ASP.NET: настройки ASP.NET-хостинга для данного раздела.Определяют, обрабатывать запросы через ASP.NET-хостинг или нет.

Наследуется: порядок обработки запросов не меняется. Если раздел является подразделомASP.NET-приложения, то он обрабатывается через ASP.NET-хостинг.

Конфигурировать как ASP.NET-сайт: сделать данный раздел корневым для ASP.NET-приложения. Для этого сайта будет запущен отдельный хост-процесс NET Framework длязаданного физического и виртуального пути. Если внутри этого раздела добавляются другиеразделы - например, для особых настроек по доступу, - то включать эту опцию, дублироватьее не следует: запросы на них будут также обрабатываться через ASP.NET.

Не обрабатывать через ASP.NET-хостинг: запрос на этот раздел не будет обрабатыватьсячерез ASP.NET-хостинг.

ASP.NET-приложение может использовать различные простые ресурсы (картинки, стили и т.д.),запрос которых не требует какой-либо обработки самим ASP.NET-приложением. WWW-серверсам это делает быстрее, для него это менее ресурсоемко. Поэтому с целью оптимизацииработы программы можно данной настройкой отвязать директории с картинками и другимиресурсами от ASP.NET-приложения.

1.6.2.10.4 Перенаправление

Настройка правил перенаправления запросов

Правило позволяет перенаправлять определенный запрос с браузера на другой ресурс.

Запретить правило: можно временно запретить работу правила, не удаляя его.

Запрос: вводится запрос, который надо перенаправить в виде относительного пути. Например,для запроса на корневой ресурс следует ввести "/".

Протокол: можно задать условие по протоколу запроса. Например, при запросе на открытыйHTTP-сервер перенаправлять на закрытый (SSL).

URI: вводится путь к ресурсу, куда надо перенаправить. Может быть относительным (на самсервер) или абсолютным (любой другой ресурс в Интернете).

Перенаправлять временно (код 302/303): для метода GET возвращается HTTP-отклик скодом 302, для POST - 303.

Перенаправлять постоянно (код 301): возвращается HTTP-отклик с кодом 301.

Подробно особенности HTTP redirect с различными кодами описаны в RFC 2068.


© 2003 - 2010 SMART-SOFT

1.6.2.10.5 Сессии

Отображается список сессий HTTP- и SSL-сервера, параметры запроса и отклика. Принеобходимости сессию можно удалить.

1.6.2.11 Модули расширения

Список установленных и загруженных модулей расширения и их статус

Если модуль в списке есть, но его состояние нерабочее, - смотрите журнал системныхсобытий.

Сервер программы (служба) находит и подключает модули расширения при старте службы.Список модулей передается консоли и отображается списком на этой странице.

Каждый модуль расширения может иметь средства для его администрирования (настройки).Это реализовано в виде расширения консоли, которое должно быть установлено в системе.Если расширение не установлено, то MMC-консоль выдаст соответствующую ошибку припопытке его загрузки.

Для упрощения процедуры установки расширений консоли в консоли программы имеетсямеханизм их автоматической установки. При этом перед загрузкой модуля проверяется егоналичие на диске и сверяется версия, и, если требуется, он может быть загружен с сервера иустановлен.

Предусмотрена процедура принудительной переустановки всех модулей расширения консоли- операция доступна из меню главной страницы консоли.

При установке модулей возможно появление ошибки, связанной с тем, что файл модуля ужезанят на чтение и на запись недоступен. Значит, его уже загрузил этот экземпляр консоли.Будет предложено принудительно перезапустить приложение, модули расширенияустановятся сразу после его повторного запуска. Если ошибка опять повторяется, то, скореевсего, файл модуля расширения занят другим приложением - например, открыт еще одинэкземпляр консоли, закройте ее.

Есть возможность изменить некоторые опции загрузки модулей - раздел "Настройки".


Есть возможность изменить некоторые опции загрузки модулей.

Порядок. Данные в модулях обрабатываются по списку сверху вниз. Это влияет на порядокпроверки данных несколькими антивирусами - сначала данные проверяются первым посписку антивирусом, а потом другими строго по списку.

Загрузку некоторых модулей можно запретить, не удаляя их.

Внимание! После изменения этих настроек консоль должна быть перезапущена: делаетсяавтоматически.

1.6.2.12 Администрирование

Смотрите раздел "Администрирование и разграничение доступа".

1.6.2.12.1 Группы

В этом разделе выводится и редактируется список групп пользователей.

Имеется одна предопределенная группа - "Администраторы". Ее нельзя удалить, поменятьроль. Переименовать можно. По умолчанию после установки программы в этой групперазрешено автодобавление для всех групп и доменов Windows, т.е. разрешен доступ всем,прошедшим аутентификацию Windows. Эту настойку следует обязательно сменить, задавконкретные группы. Следует быть внимательным, поскольку ошибка может привести к потере



административного доступа к программе.

Для каждой группы имеются настройки.

Имя: введите любое уникальное имя.

Автодобавление: введите список групп Windows для автодобавления. Описание функциисмотрите в разделе "Администрирование и разграничение доступа".

Вводится в формате Domain\Group. Домен - это домен Windows или имя локальногокомпьютера. Можно использовать символ "*" для указания любого домена или группы.Примеры:

*\*: любой Windows; domain\*: любой из указанного домена.

Вариант *\Group недопустим.

Права группы: в этом разделе настроек задаются роли, они описаны в разделе "Администрирование и разграничение доступа".

Для ролей "Менеджер" и "Кассир" задайте группы клиентов программы, на работу скоторыми будет разрешен доступ. Внимание! "Менеджер" и "Кассир" к клиентам вне групп (в общем списке) доступа не имеют.

Профиль: раздел настроек для профилей групп. Запретить сохранение профиля: длягруппы и всех ее пользователей будет запрещено сохранение профиля, т.е. настройкисохраняться не будут. Для предопределенной группы "Администратор" запретить сохранениепрофиля нельзя.

Для профилей групп в списке через контекстное меню доступны следующие операции:

Копировать в профиль для всех групп: данные профиля группы будут скопированы впрофиль предопределенной группы "Администратор": в дальнейшем они будутиспользоваться как профиль по умолчанию для всех групп и пользователей.

Очистить профиль: удалить все данные профиля группы. Все настройки, сохраненные впрофиле, будут сброшены, и использованы настройки по умолчанию.

1.6.2.12.2 Пользователи

В этом разделе выводится и редактируется список пользователей.

Для каждого пользователя задайте вариант учетной записи:

Учетная запись Windows: введите логин Windows в формате Domain\UserName. Еслидомен не указать, он будет подставлен по умолчанию.Встроенная учетная запись: задайте имя и пароль.Клиент программы: выберите клиента программы из списка. Если клиентов много, томожно поиском, нажав на кнопку "Выбрать".

Плюс есть настройки:

Группа администраторов: можно выбрать группу. Для уже введенного пользователя этойнастройкой можно перенести пользователя в другую группу.

Профиль: раздел настроек для профилей пользователей. Запретить сохранение профиля:для пользователя будет запрещено сохранение профиля, т.е. настройки сохраняться не будут. По умолчанию: настройка будет взята у группы.

Для профилей в списке через контекстное меню доступны следующие операции:

Копировать в профиль для всех групп: данные профиля будут скопированы в профиль


© 2003 - 2010 SMART-SOFT

предопределенной группы "Администратор": в дальнейшем они будут использоваться какпрофиль по умолчанию для всех групп и пользователей.

Копировать в профиль для группы: данные профиля будут скопированы в профиль группы.

Копировать в профиль для всех клиентов: данные профиля будут скопированы в профильпо умолчанию для всех клиентов программы.

Очистить профиль: удалить все данные профиля. Все настройки, сохраненные в профиле,будут сброшены, и использованы настройки по умолчанию.

1.6.2.12.3 Сессии

Список активных сессий пользователей программы.

1.6.2.13 Отчеты

В разделе "Отчеты" администратор сети может получить различные отчеты о работепрограммы и клиентов.

В разделе "Параметры" можно задать количество строк на странице. В отчетах естьдополнительные параметры, позволяющие получать наиболее подробную информацию. Послезадания параметров отчета настройки будут сохранены автоматически. Для возврата настроекпо умолчанию в каждом отчете предусмотрена кнопка "Сброс".

После построения практически любого отчета есть возможность его напечатать или сделатьэкспорт в Excel. В отчете "Текущие соединения" указанных возможностей нет.

Раздел "Отчеты" в консоли программы аналогичен разделу "Администрирование" веб-интерфейса программы.

1.6.2.14 Обслуживание

В разделе отображается различная информация об используемых ресурсах компьютера, атакже состояние задач по обслуживанию программы.




В верхней части отображается список используемых дисков, свободное место на них, плюсслужбы Traffic Inspector, которые с ними работают. Свободный размер постояннопроверяется, и при исчерпании будет фиксироваться в виде ошибки или предупреждения. Этинастройки задаются в окне - раздел "Файлы и диски", доступном как Свойства раздела.

В средней части отображается статус базы данных:

Встроенная база данных: отображается размер файла базы данных журналов и дата, докоторой она была очищена.Внешний SQL-сервер: отображается время, до которого были синхронизированы данные.

В нижней части отображается статус задач: когда задача была последний раз выполнена,когда запланирован ее запуск (если планировщик включен), ошибки и т.д. Здесь можнозапустить задачу вручную и прервать ее выполнение. Если задача выполняется, тоотображается процесс ее выполнения.

1.6.2.14.1 Файлы и диски

Служба Traffic Inspector постоянно проверяет наличие свободного места на используемыхдисках. Состояние их отображается на странице "Обслуживание". Для слежения засвободным местом на дисках существуют следующие настройки:

Прекратить запись на диск, если свободно менее: лимит свободного места, приисчерпании которого запись прекращается. Программа остается работоспособной, но ситуациятребует немедленного разрешения в случае возможной потери данных. В журнале программыфиксируется критическая ошибка, а также создается проблема.

Предупреждать, если свободно менее: лимит свободного места, при исчерпании которогосоздается проблема. В журнале программы фиксируется предупреждение.


© 2003 - 2010 SMART-SOFT

Удалять файлы с данными старше: задайте время хранения файлов с данными. Некоторыеслужбы программы используют запись различных архивных данных. Например, SMTP-службаможет сохранять сообщения, отвергнутые с фатальными ошибками. Чтобы эти файлы ненакапливались до бесконечности, предусмотрено их удаление. Внимание! К данным влокальной базе данных эта настройка отношения не имеет - для их очистки есть задачапланировщика.

Предупреждать, если размер базы данных журналов более: задайте лимит. Программапостоянно проверяет размер файла log.db3, и при превышении размера заданного лимитасоздается проблема. Данный файл больше всех подвержен разрастанию в размерах, поэтомупроверяется только он. Если файл слишком большой, настройте его очистку со сжатием.

1.6.2.14.2 Резервное копирование

Настройки задачи по резервному копированию данных

Задача копирует все файлы конфигурации, файлы баз данных и другие дополнительныеданные - например, от модулей расширения. Главная цель копирования - быстроевосстановление работы программы при сбое, а также откат к старым настройкам. Процедуравосстановления данных средствами программы не предусмотрена - следует делатькопированием файлов приостановленной службе программы.

По умолчанию задача запрещена.

Разрешить резервное копирование: разрешить задачу.

Расписание...: открыть окно настроек планировщика. По умолчанию планировщик отключен,т.е. задача может быть запущена только вручную.

Путь для копирования данных: введите файловый путь (имя папки), куда будуткопироваться данные. Если папки нет, она будет создана.

Файл журналов db3.log, как правило, большой, для его копирования предусмотрены отдельныеопции:

Копировать все: быстрое копирование всего файла целиком.

Копировать выборочно: можно выбрать данные в этой БД для копирования отдельно. Этопозволяет уменьшить размер архива, исключив старые или менее важные данные. Операция с большим файлом БД может быть очень медленной. В отдельном окнездесь доступны настройки: Копировать за (???) последних дней: будут копироваться только свежие данные зазаданное время. Считаются полные и неполные сутки.Для больших журналов настроить отдельно: задайте отдельные настройки. Например,журнал трассировки SMTP-сервера может быть очень объемным, но не имеет смысладелать резервную копию за большой период времени.

Не копировать: отказаться от копирования файла базы данных журналов. В случае потериэтих данных не будут доступны отчеты за период времени, но данные биллинга потеряны небудут.

Копировать индекс кэша прокси-сервера: по умолчанию отключено. Резервноекопирование файла кэша прокси-сервера из-за его очень большого размера не предусмотрено,но файл индекса может быть скопирован и затем восстановлен. Следует учесть, что данные вкэше прокси-сервера могли быть переписаны, добавлены новые, и актуальность некоторых изних может быть потеряна. В отдельных случаях эта опция может быть полезна. Механизмчтения данных из кэша защищен от чтения неверных данных, поэтому на корректности егоработы это никак не отразится.

Есть два режима резервного копирования:



Переписывать данные: новые данные в архиве пишутся поверх старых. Для XML-файловконфигурации создаются bak-файлы, остальные файлы переписываются поверх старых. Вэтом режиме в случае сбоя операции архив может стать неполным. Для каждого архива создавать новую папку: каждый раз создается отдельный архив вотдельной папке. В этом режиме надо позаботится о том, чтобы не произошло переполнениедиска - автоочистка диска для этой операции пока не предусмотрена. Настройте лимитыпредупреждений.

1.6.2.14.3 Очистка данных

Настройки задачи по очистке встроенной базы данных , при этом очищаются только

данные журналов.Это важная задача, файл базы данных журналов постоянно заполняется, и если его очисткинет, это повлечет за собой быстрое падение производительности работы программы.

Разрешить очистку встроенной базы данных: разрешить задачу.

Расписание...: открыть окно настроек планировщика. Обязательно настройте планировщикдля автоматической очистки данных.

Удалять данные старше (???) дней: введите время жизни данных журналов. Все данные,датированные позже, будут удаляться. Считаются полные и неполные сутки.

Для больших журналов настроить отдельно: если Traffic Inspector не настроен дляработы с внешним SQL-сервером, то для некоторых журналов, которые заполняются быстрее,время жизни данных можно задать отдельно. Это позволит уменьшить размер файла базыданных.

Размер файла базы данных при его очистке (удалении из него данных) не меняется. В немпоявляются свободные места, которые будут впоследствии использоваться. Иными словами,файл может только увеличиваться в размерах. Существует отдельная операция сжатия, но длябольшого файла она очень ресурсоемка. Хотя может возникнуть потребность в сжатии ибольшого файла - например, при переходе на работу с внешним SQL-сервером;рекомендуется производить один раз в ручном режиме.

Сжимать очищенный файл базы данных: включите, если после очистки надо сжать файлбазы данных. По умолчанию отключено.

1.6.2.14.4 Настройки планировщика

Разрешить запуск задачи по расписанию: разрешает работу планировщика. В противномслучае задача может быть запущена только вручную.

Есть следующие варианты запуска задачи:

Каждый час: задача будет запускаться каждый час.Ежедневно: задача будет запускаться раз в сутки в заданное время (задается час).Еженедельно: задача будет запускаться раз в неделю, в заданный день недели и час.Ежемесячно: задача будет запускаться ежемесячно, в заданный день месяца и час.

В случае ошибок повторять через (минут): если в процессе работы задачи произошлаошибка, ее выполнение будет повторено через заданный интервал.

Внимание! При ежемесячном запуске можно задать день месяца от 1 до 31. Если задатьдень месяца, превышающий число дней в месяце, то такой месяц будет пропущен.

1.6.2.14.5 Задачи

Раздел управления задачами автоматизации

В настоящее время доступны задания на сброс внешних счетчиков и рестарт сессий биллингадля групп, клиентов и групповых счетов. Ранее эти задачи выполнялись внешними средствами- например, запуском скриптов автоматизации планировщиком Windows.

Раздел имеет два режима отображения - вывод состояния и редактирование.


© 2003 - 2010 SMART-SOFT

В режиме отображения состояния фиксируется статус задач: когда она была последний развыполнена, когда запланирован ее запуск (если планировщик включен), ошибки и т.д. Здесьможно запустить задачу вручную или прервать ее выполнение. Если задача выполняется, тоотображается процесс ее выполнения.

В режиме редактирования доступно добавление задач, их редактирование и удаление.


Имя задачи: введите уникальное имя задачи.

Задача разрешена: задача может быть запущена.

Расписание...: открыть окно настроек планировщика. Если планировщик отключен, то задачаможет быть запущена только вручную.

Тип задачи: выберите тип задачи из списка.

Разрешить ручной запуск задачи: если не включить, то на странице состояния задачвозможность ручного запуска будет отсутствовать. Тогда задача запускается толькопланировщиком. По умолчанию отключено. Отключение ручного запуска важно для задач, гдетребуется исключить их ошибочный запуск .

Действия: настройки задачи. Набор настроек отображается в зависимости от ранеевыбранного типа задачи. Описание для разных типов задач смотрите далее.

Дополнительно / Комментарий администратора: для задач, связанных с биллингом,можно ввести комментарий администратора, который будет записываться в журнал.

Запуск внешней программы

Задача позволяет запустить внешнее приложение в отдельном процессе.

Файл программы: введите имя запускаемого файла. Это может быть:

Консольное приложение (exe-файл).Пакетный файл: *.bat или *.cmd.Скрипт *.vbs или *.js. В последнем случае скрипт будет запущен через консольнуюпрограмму cscript.exe.

Другие типы приложений и файлов не поддерживаются (например, Windows GUI): длязапускаемого процесса требуется наличие стандартного вывода. Если все-таки требуетсязапуск других типов приложений, их всегда можно запустить из bat-файла.

Если путь к файлу не указан, то по умолчанию это папка script или системный директорийWindows. Иначе файл ищется в директории запуска.

Параметры: можно задать параметры командной строки.

Директорий запуска: можно задать рабочий директорий программы. Если не указан, то поумолчанию это папка script.

В строке файла программы и директория запуска можно использовать переменныеокружения. Например, %SystemRoot%. Все текущие переменные окружения можнопосмотреть консольной командой SET.

Записывать вывод консольного приложения в файл: если включить, то весь выводконсольной программы будет сохраняться в отдельном файле в папке script\output. Имяфайла - это имя задачи. Если не включать, то вывод будет доступен для просмотра до первойперезагрузки службы программы.



Тайм-аут выполнения: можно ограничить время выполнения задачи (в секундах). Еслизадать "0" - то без ограничений. Задачу всегда можно прервать с консоли вручную, крометого, выполнение всех задач прерывается при остановке службы программы.

Если процесс задачи завершился с ненулевым кодом возврата, то это интерпретируется как ошибка выполнения задачи.

Запуск встроенного скрипта

Задача позволяет запустить встроенный скрипт.

Эта возможность доступна только для лицензий типа GOLD или TRIAL.

Скрипт: выберите скрипт, ранее заданный в описаниях.

Тайм-аут выполнения скрипта: можно задать в секундах. Если время выполнения скриптабудет превышено, его работа будет прервана; в системном журнале будет отписанасоответствующая ошибка. Если задан "0", то настройка используется из описания скрипта.

Для длительно выполняющегося скрипта возможности прервать его работу принудительно нет.Операция "Прервать выполнение" из консоли посылает запрос на прерывание выполненияскрипта. Для того чтобы скрипт прервал свою работу, он должен содержать код, проверяющийзапрос на прерывание.

Скрипт запуска: можно одной строкой задать запускаемое выражение - например, вызовлюбой процедуры скрипта с параметрами или без. В противном случае вызывается процедура Main() из описания скрипта.

1.6.2.15 Диагностика

События

Таблица системных сообщений сервера

В этом окне выводится только некоторое количество последних сообщений сервера, и толькоза время его работы. Лимит хранимых сообщений можно задать в окне главных настроекпрограммы. Все эти сообщения также пишутся в журнал системных событий операционнойсистемы и могут быть там просмотрены в полном объеме стандартными средствами.

Сетевые настройки

Полный аналог команды ipconfig -all Windows, он позволяет удаленно проверить сетевыенастройки сервера.

Таблица маршрутов

Аналог системной команды route print; в отличие от нее работает удаленно.

TCP-/UDP-сокеты

Аналог команды netstat Windows. Показывает открытые сокеты и TCP-соединения на сервере.В отличие от нее, дополнительно отображает имена процессов и позволяет работать удаленно.

По умолчанию отображаются только открытые сокеты, привязанные к внешним интерфейсам.Но через меню "Показать все" можно включить отображение всех сокетов.


© 2003 - 2010 SMART-SOFT

Для отображения, кроме IP-адресов и имен хостов, можно включить использование DNS(определять имена в меню) - в таком случае, если не у всех IP-адресов есть реверсивныезоны, это может привести к очень длительным задержкам при выводе данной таблицы ипоявлению сообщений тайм-аута от службы DCOM.

Модули

Смотрите отдельный раздел справки.

Отчет

Из главной страницы раздела можно вызвать генератор отчета о различных настройках,конфигурации программы и системы - support report. Его можно сразу же отправить в службутехподдержки по почте при описании проблемы. При его генерации никакие приватные данныене включаются.

Из раздела "Диагностика" можно вызвать WhoIs сервис - для этого используйте меню консоли.

1.6.2.15.1 WhoIs

Сервис используется для определения "хозяев" - регистрантов IP-адресов. Его можно вызватьиз отчетов по сетевой статистике или отдельно из раздела "Диагностика".

Кроме стандартной службы WhoIs, можно также использовать NetGeo. Эта служба для многихIP-адресов сообщает местонахождение регистранта - но не всегда точно.

1.6.2.15.2 Модули

Служба программы при старте проверяет все загруженные программные модули (dll). Кроменеобходимых модулей, ОС может загрузить и посторонние. Посторонние модули могутпоявиться, если имеется стороннее ПО, которое внедряет свои модули в другие программы.

Эти сторонние модули в некоторых случаях могут нарушить нормальную работу программы.Например, такой модуль может работать по перехвату сетевых вызовов их фильтрации, в томчисле и контента данных. Логика работы Traffic Inspector может быть нарушена.

Работая в контексте процесса Traffic Inspector, модули потребляют память и замедляютработу программы. Но самое неприятное - они могут содержать ошибки, которые могут вызватьутечки памяти в процессе Traffic Inspector или его сбои в работе. Диагностика такихошибок крайне затруднительна, и обеспечить совместимость работы с этимимодулями не представляется возможным.

Для этой цели существует механизм диагностики наличия модулей и их распознавания.



Модули могут быть:

Предопределенные (Predefined): модули Windows, Traffic Inspector и всех егокомпонентов, включая модули расширения - т.е. все модули, загружаемые при установке на"чистую" ОС.Неизвестные: сторонние модули. Их появление детектируется как проблема, и требуется еерешение - смотрите "Решение проблемы неизвестных сторонних модулей."Доверяемые (trusted): сторонние модули, которые помечены как "Доверяемые".Незагруженные: доверяемые модули, которые были ранее запомнены в настройкахпрограммы, но в данный момент не загружены. Операция их удаления и конфигурации непредусмотрена.

Подробные свойства модуля можно посмотреть в отдельном окне, которое доступно как Свойства или по двойному лику.

По умолчанию в списке отображаются только неизвестные модули. В меню консоли есть опциидля отображения других модулей в списке.

Решение проблемы неизвестных сторонних модулей

Сначала надо определить, к какому стороннему ПО они относятся. Откройте окно "Подробныхсвойств модуля" - там может быть представлена информация о названии вендора(разработчика) и наименовании ПО. Также отображается путь к файлу модуля.

Далее принимается решение о необходимости наличия модуля:

Стороннюю программу можно удалить, если острой необходимости в ней нет.Если программа нужна, попытайтесь в ее настройках отключить данную опцию илипереустановить ее без этого модуля. Например, антивирус NOD32 можно переустановитьбез компоненты IMON.

Если присутствие модуля неизбежно, то пометьте его как Доверяемый. Для этого откройтеокно его свойств и нажмите на соответствующую кнопку. В конфигурации программы этотмодуль будет запомнен.

1.6.2.16 Другие настройки

1.6.2.16.1 Работа с клиентским агентом

Агент – небольшое приложение, запускаемое у пользователя.

Он предназначен для: Авторизации клиента. Переключения режимов фильтрации и кэширования. Отображения баланса – остатка на счете. Смены пароля. Конфигурирования Internet Explorer.


© 2003 - 2010 SMART-SOFT

Меню программы доступно через правую кнопку мыши или кнопку "?".

Запуск агента

Агент всегда стоит в автозапуске через реестр и сворачивается в иконку в трее панели задач. Допускается запуск только одного экземпляра агента в обычном и одного экземпляра вперсональном режиме. Если используются терминальные сессии, то это ограничениераспространяется только на сессию.

Принудительный запуск агента можно произвести из меню "Пуск -> Программы" или "Панелиуправления".

Управление режимами кэширования и фильтрации

Управление режимами кэширования и фильтрации производится путем переключениясоответствующих кнопок.Режимы кэширования:

Кэширование эконом; Кэширование с проверкой; Кэширование отключено.

Режимы фильтрации:F0: фильтрация отключена; F1: баннеры. Производится блокировка контента в соответствии со списком баннерныхсетей (Внутренние сети -> Клиенты -> Фильтры -> До группы -> F1);F2: мультимедиа. Производится блокировка контента в соответствии с типом(Внутренние сети -> Клиенты -> Фильтры -> До группы -> F2);F3: графика. Производится блокировка контента в соответствии с типом (Внутренниесети -> Клиенты -> Фильтры -> До группы -> F3); F4: только текст. Производится блокировка контента в соответствии с типом (Внутренние сети -> Клиенты -> Фильтры -> До группы -> F4).

Просмотр баланса

Кроме данных о балансе и израсходованных за сеанс можно получить более подробнуюинформацию. Для этого необходимо выбрать пункт меню программы "Подробно". Будетоткрыта страница пользователя на внутреннем сервере статистики по адресу http://<Имя_сервера>:8080/user/ Смена пароля

Для смены пароля необходимо выбрать соответствующий пункт меню программы и ввестиновый пароль (доступно только при использовании авторизации по имени и паролю). Конфигурирование Internet Explorer

Конфигурирование производится выбором соответствующего пункта меню программы.Производится запись адреса скрипта автоконфигурирования следующего типа http:<имя_сервера>:8080/config.script (Start -> Settings -> Control Panel ->Internet Options ->Connection -> LAN Settings).

Конфигурирование агента

Задание параметров подключения Сервер: прописывается имя сервера или IP-адрес его внутреннего интерфейса.

Если используется авторизация по IP или MAC, то выберите пункт "По IP или MAC".Если используется авторизация по имени с паролем, то надо выбрать пункт "По имени" иввести логин и пароль клиента.Если используется NTLM-аутентификация, то поставьте галку "Windows-аутентификация".



Если стоит галочка "Использовать текущий логин", то будет использован текущий логинвхода в Windows (эта галочка только для NTLM-аутентификации).

Задание дополнительных настроек

Включение звукового оповещения о событиях

1) В настройках агента на закладке "Дополнительно" включить опцию «Включить звук».2) Настроить звуки оповещения – Start ->Settings ->Control Panel ->Sound and AudioDevices, закладка Sound, Program events –> Traffic Inspector Agent (Пуск -> Настройка ->Панель управления -> Звуки и аудиоустройства -> Закладка "Звуки" -> Программные события -> Traffic Inspector Agent).Поддерживаются следующие события:

Подключено; Отключено; Ошибка подключения; Доступ запрещен; Получено сообщение.

Включение напоминания о необходимости пополнения счета

1) В настройках агента на закладке "Дополнительно" включить опцию "Напоминать, приостатке менее:".2) Ввести значение порога.Предупреждение будет выводиться при каждом подключении агента+.

Изменение внешнего вида агента

1) В настройках агента на закладке "Дополнительно" включить опцию "Использовать скин".2) После первого завершения работы агента в директории Windows\System32\TI_Skinсоздаются: · файл настроек TrafInspAg.skn; · файлы изображений. 3) Файл TrafInspAg.skn содержит сегменты (например [F1]… [/F1]). Внутри сегментовнаходятся характеристики данного элемента агента, например: Top, Left, Width, Height, Visible,Value. Для изменения характеристик элемента необходимо изменить соответствующие


© 2003 - 2010 SMART-SOFT

значения. · Top – вертикальная координата левого верхнего угла; · Left – горизонтальная координата левого верхнего угла; · Width – ширина; · Height – высота; · $Visible – видимость (TRUE – видимый, FALSE – невидимый); · $Value – текст; · $File – путь к файлу фона; · Color – цвет шрифта (RGB в десятичном формате); · Size – высота шрифта; · $Italic – наклонный шрифт; · $Bold – полужирный шрифт; · Radius – радиус скругления кнопок; · FontColor – цвет текста кнопки; · FaceColor – цвет кнопки; · PressColor – цвет нажатой кнопки; · FrameColor – цвет размытия границы кнопки; · FrameWidth – ширина размытия; · FrameColor – цвет размытия границы кнопки; · FrameWidth – ширина размытия; · TransparentColor – цвет прозрачности.4) Для изменения фона агента необходимо указать путь к файлу с фоном в сегменте [Images],значение File.5) Настройки конфигурации находятся в сегменте [Config]. Значения характеристик: · $Server – имя или IP-адрес сервера; · $UserName – имя пользователя; · $Domain – имя домена; · $Password – пароль (хранится в зашифрованном виде); · $WinAuth – использование аутентификации Windows (TRUE – включить, FALSE –выключить); · $SavePassword – опция сохранения пароля (TRUE – включить, FALSE – выключить); · $AutoLogon – опция "Автоматически подключаться к серверу при запускепрограммы" (TRUE – включить, FALSE – выключить); · $AutoDisconnect – опция "Автоматически отключаться при блокировке сессии иподключаться затем повторно" (TRUE – включить, FALSE – выключить); · $EnabledSound – опция "Включить звук" (TRUE – включить, FALSE – выключить); · $UseSkin – опция "Использовать скин" (TRUE – включить, FALSE – выключить); · $EnabledWarning – опция "Напоминать, при остатке менее" (TRUE – включить, FALSE –выключить); · $ValueWarning – значение порога для вывода напоминания. Для включения опции "Использовать текущий логин" оставьте значения $UserName и$Password пустыми.

Внимание! Не рекомендуется изменять названия сегментов и названияхарактеристик: это может вызвать некорректную загрузку.Если файл TrafInspAg.skn в директории Windows\System32\TI_Skin отсутствует, то файлы будут созданы заново.

Клавиши быстрого вызова



Использование клавиш быстрого вызова

1) В настройках агента на закладке "Горячие клавиши" включить опцию "Использоватьгорячие клавиши".2) При необходимости изменения клавиш быстрого вызова нужно поместить курсор всоответствующее поле и задать комбинацию нажатием клавиш Alt, Ctrl, Shift и клавишивызова. 3) Перезапустить агента.

Клавиши быстрого вызова работают и в том случае, когда агент свернут.

1.7 Решение задач

Раздел содержит примеры по реализации и настройке часто встречающихся задач.

1.7.1 Бесплатные и льготные сети

Если у провайдера есть скидки на некоторый тип трафика, то логично их распространить и наклиентов.

Это стоит обязательно описать и на внешних контролируемых счетчиках для последующегокорректного контроля счетов, выставляемых провайдером.

Рассмотрим пример.

У провайдера имеется своя сеть с адресами 11.100.100.0/22 и 11.100.200.0/24. Трафик на неебесплатный. Также он дает отдельный тариф на российский список компании "Зенон" (http://nms1.zenon.net/nf/rus-net.txt) - национальный трафик - и публикует список этих сетей вИнтернете. В качестве примера укажем список украинских сетей: http://noc.united.net.ua/cgi-bin/ua.cgi.

Чтобы корректно оценить трафик, потребленный у провайдера, необходимо иметь триконтролируемых счетчика: Мой провайдер, Национальный трафик и Весь Интернет - длятого чтобы потом можно было разобраться, сколько какого трафика потребили и насколько


© 2003 - 2010 SMART-SOFT

корректно выставлен нам счет.

Счетчик на Весь Интернет уже есть. Добавляем еще два, при этом в каждом используемсписки сетей. Список национальных сетей большой, поэтому удобно создать отдельныйсписок в описании IP-сетей. Для импорта списка из текстового файла можно воспользоватьсякнопкой "Загрузить". Программа понимает различные форматы описания сетей - проблем приимпорте не возникнет. Аналогичный список можно сделать для сети "Мой провайдер".

Внимание! Сети "Мой провайдер" скорее всего войдут в сети национального трафика.Поэтому счетчик "Мой Провайдер" надо поднять вверх списка и сделать первым.

Настраиваем на счетчиках лимиты, если необходимо отслеживать расход трафика по этимнаправлениям, и включаем оповещения.

Теперь настраиваем тарифы для пользователей.

Определяем скидку на национальный трафик у провайдера, для своих клиентов даем такуюже. Для ввода скидки создаем в общем списке "До группы" фильтр "Для клиентов, Толькодействия" и указываем список, созданный ранее. И изменяем тарификацию в соответствии старифом.

Для внутренней сети провайдера полностью бесплатным трафик, например, делать не хотим.

У него есть игровой сервер с адресом 10.0.1.100. На него делаем трафик бесплатным. Наостальные его сети устанавливаем разную стоимость - пример.

Если у клиентов есть группы, которые общие фильтры не используют, то для них в их группахпридется эти правила продублировать.

Может возникнуть ситуация, когда следует не только сделать какие-то внешние ресурсыбесплатными, но и открыть их для всех. Например, есть игровой клуб, у провайдера естьигровой сервер, и необходимо, чтобы клиенты могли всегда без проблем работать с этимсервером независимо от того, разрешен ли у них выход в Интернет.

Для этого в общий список фильтров добавляем фильтр на разрешение Для всех ипрописываем IP-адрес игрового сервера. Фильтр полностью откроет доступ на этот сервер длявсех из внутренней сети, несмотря на то, авторизован клиент или нет.

На эту задачу похожа еще одна. У фирмы есть филиал, и внутренние сети объединены черезVPN. Трафик между этими сетями должен быть всегда разрешен для всех. Эта задача такжерешается добавлением фильтров на разрешение Для всех, где прописываются внутренниесети удаленного офиса.

Может быть еще аналогичный случай: на сервере есть отдельный интерфейс с DMZ-сетью.Для того чтобы изнутри на эту сеть открыть полный доступ, надо также добавить фильтр наразрешение Для всех.

Для этих примеров следует тоже для авторизованных клиентов сделать трафик бесплатным- добавить еще один фильтр.

1.7.2 Сделать бесплатный трафик на указанную сеть

1) Откройте Биллинг / Клиенты / Фильтры / До группы.2) Создайте новый фильтр и укажите Имя фильтра для отображения в списке.3) Закладка "Тип":

устанавливаем тип "На разрешение+действие".4) Закладка IP:

указываем IP-адрес или сеть.3) Закладка "Действие":

поставьте галку "Изменить стоимость трафика" и "Сделать бесплатным (0%стоимости)".



Примечание: для срабатывания фильтра у группы в Свойствах / Фильтрация должнабыть включена галка "Использовать общие фильтры", также можно перенести его всписок фильтров для нужной группы.Этот фильтр будет влиять только на авторизованных клиентов. Если необходимо разрешитьтрафик для всех, то фильтр следует создать в списке "Разрешение для всех" и установитьтип "На разрешение" - этот трафик станет бесплатным.

1.7.3 Внутренние сервера

Внутренние сервера - это серверные приложения во внутренней сети, работающие сИнтернетом.

Авторизацию для них следует делать или по IP-, или по MAC-адресам. Доступназначать безлимитный.

Для таких серверов лучше назначить отдельные группы, где в фильтрах прописатьтолько тот тип трафика, с которым они работают. Это лучше с точки зрения безопасности.

Для почтового сервера (например, Microsoft Exchange) можно применить следующиенастройки.

В группе задаем Блокировать весь трафик по умолчанию и снимаемИспользовать общие фильтры.Добавляем фильтр, разрешающий ICMP - это может потребоваться длядиагностики. Отметим, что ICMP будет доступно только для исходящих запросов.Если внутреннего DNS-сервера нет, то пропишите разрешения на исходящиезапросы: добавьте два фильтра по TCP и UDP c портом назначения 53.Для разрешения исходящего SMTP (отправка почты) добавьте фильтр по TCP спортом назначения 25.Для приема почты добавьте фильтр на TCP с портом источника 25.

По этой аналогии можно настроить и другие сервера (например, веб-сервер). Но дляних заведите отдельную группу.

Если для сервера требуются входящие соединения, то их надо публиковать через NATи добавить разрешения в Firewall. Исключение - применение почтового шлюза программы длявнутреннего почтового сервера.

Очень неплохо такие сервера вынести в DMZ - смотрите решение "Сеть провайдера".

1.7.4 Администрирование из Интернета

При работе с программой может потребоваться удаленное администрирование черезИнтернет - из внешних сетей.

Самый оптимальный вариант с точки зрения безопасности и требования к качествуканала - это терминальный сервер, но он есть только в серверных версиях Windows.Настройка программы в этом случае сведется к разрешению на Firewall TCP-соединений налокальный порт 3389.

Если канал до удаленного администратора достаточно скоростной и стоимость трафикапри этом значения не имеет, то можно работать консолью программы, настроив DCOM дляработы через Интернет. Задача настройки безопасности в этом случае непростая -рекомендуется этот вариант применять только если IP-адрес удаленного администраторазаранее известен и гарантированно принадлежит только ему.

Надстройка DCOM для Интернета называется CIS - COM Internet Service; детальноописана для серверной стороны и для клиентской стороны.


© 2003 - 2010 SMART-SOFT

1.7.5 Настройка RAS-(VPN-)сервера

Использование RAS-сервера службы RRAS позволяет:

1. Реализовать защищенное подключение клиентов через VPN. Поддерживается PPTP иL2TP. Поддерживается подключение как одиночного клиента, так и нескольких сетей.

2. Реализовать подключение клиентов через модем.

RAS-сервер может быть настроен на серверных версиях Windows 2000/2003 на одномкомпьютере с Traffic Inspector. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS. О настройке этой службы смотрите раздел "Настройка RRAS".

Трафик RAS (Dial-In) клиентов снимается с интерфейса Internal службы RRAS. С точки зрениянастройки программы, это такой же интерфейс, и для RAS-клиентов поддерживаются всефункции программы. Но отмечаются некоторые особенности:

Для RAS-клиентов не имеет смысла авторизация по MAC-адресу.В настройках RAS-клиентов в Traffic Inspector должна быть включена соответствующаягалка. Эти клиенты не могут авторизовываться с обычного интерфейса.

Порядок настройки следующий

Настраиваем RRAS. При этом нужно явно назначить пул IP-адресов для RAS-сервера изотдельной сети (в окне общих настроек RRAS). Самый первый адрес из этого пула возьметсам сервер, а остальные назначатся клиентам. Если адреса назначены некорректно, то вконсоли Traffic Inspector IP-адреса интерфейса RAS-сервера будут выделены краснымцветом.

Обратите внимание на количество выделенных портов для PPTP и L2TP для VPN-сервера. Поумолчанию их 5. Это значение должно соответствовать максимальному количествусоединений. Если потребуется, измените.

Настраиваем NAT. Интерфейс Internal назначаем в NAT как внутренний.

Если настраиваем VPN-сервер, то следует позаботиться о том, чтобы VPN-трафик со стороныклиента на сервер был разрешен для всех:

PPTP-сервер, клиенты внутри сети. Если включен внутренний Firewall, то в его настройкахвключите галку "PPTP-сервер". Если L2TP - включите еще и IPSec. Если внутреннегоFirewall нет, то никаких настроек здесь не требуется.Клиенты снаружи: подключаются со стороны Интернета. Для PPTP в настройках внешнегоFirewall следует включить PPTP-клиент, а также разрешить TCP/1723 на прием. Для L2TPнадо дополнительно, там же, разрешить галкой IPSec.

Рекомендуем для RAS-клиентов использовать авторизацию по IP-адресу - это проще.Пропишите в Windows RAS-клиентов. Если есть домен, то в нем; если нет - локально. Всвойствах клиента на закладке Dial-In пропишите адрес RAS-клиента из пула адресов RAS-сервера.

В реализации RAS-сервера Windows есть одна неприятная особенность: он допускаетподключение нескольких клиентов с одним логином. При этом если клиенту назначенпостоянный IP-адрес, то для повторных подключений адреса уже назначаются динамически -берется первый свободный снизу пула адресов, что может привести к возникновениюколлизий. Рекомендуем следующее решение: назначать IP-адреса клиентам не снизу пула, апропустив достаточно большой диапазон, примерно равный количеству клиентов.

Далее надо добавить интерфейс Internal в Traffic Inspector, где он будет виден подназванием WAN (PPP/SLIP)-interface и IP-адрес на нем будет первый из пула IP-адресовRAS-сервера. Начиная с версии 1.1.3, этот интерфейс добавляется автоматически.

После старта RRAS этот интерфейс сразу, как правило, не активен. Чтобы он появился, надо



подключиться хотя бы одному клиенту.

В Traffic Inspector пропишите клиентов. Обязательно на закладке "Авторизация" включитегалку Dial-In клиент.

Если у клиента используется агент, то у него прописываем IP-адрес RAS-сервера. Первыйадрес в пуле -это IP-адрес интерфейса Internal. Этот IP также следует использовать и длядоступа к другим службам программы (HTTP-прокси и SOCKS).

Процедура более тонкой настройки RAS-сервера описана в справке Windows. Дополнительноможет потребоваться настройка PPP-параметров (компрессии, аутентификации, шифрования ит.д.) и фильтрации в политиках RAS-сервера.

По возникновении проблем:

Включите запись всех логов RAS-сервера, остановите Traffic Inspector и проверяйте безнего.Если без Traffic Inspector VPN-соединение устанавливается, а с ним нет - проверьте,разрешен ли VPN-трафик на сервер.Если соединение устанавливается, авторизация есть, но трафик не идет - проверьте, непересекся ли пул IP-адресов RAS-сервера с сетями других интерфейсов. Наличиеавторизации также можно проверить работой через прокси-сервер.

1.7.6 Виртуальные Ethernet-сети

Суть виртуальных Ethernet-сетей VLAN (Virtual LAN) - создать в рамках одного Ethernet-сегмента несколько виртуальных с функциями ограничения доступа между ними. Этореализуется на базе стандарта IEEE 802.1Q. В этом стандарте описано расширение заголовкаEthernet-пакета, где добавляется номер сети - тег (отметка) VLAN Id. Пакет при этомудлиняется на 2 байта.

Использование таких сетей помогает решить некоторые задачи:

Ограничение трафика между виртуальными Ehernet-сетями позволяет поднять уровеньбезопасности сети. Для сети организации можно закрыть прямой трафик междуподразделениями; для домовой сети - запретить прямой трафик между клиентами. Бичдомовых открытых Ethernet-сетей - это размножение вирусов и их перегрузканеконтролируемым внутренним трафиком. Применение для этого VLAN менее ресурсоемко,намного проще и дешевле, чем деление сети на IP-сегменты роутерами.Можно жестко привязать клиента к конкретному порту (или группе портов) коммутатора. Дляорганизации сотрудник будет привязан к своему рабочему месту, в домовой сети - кконкретному кабелю; проблема кражи паролей решается самым надежным способом.Для большой сети существенно уменьшается нагрузка на сеть широковещательнымизапросами клиентов.

Для реализации этого со стороны клиента лучше всего его подключить через управляемыйкоммутатор Level 2 с поддержкой Tag based VLAN (IEEE 802.1Q). В коммутаторе каждомупорту назначается номер VLAN Id. Порт может быть настроен для работы в "закрытом" или"открытом" режиме. В "открытом" режиме коммутатор "метит" исходящие пакеты всоответствии с номером VLAN-порта, но разрешает входящие на порт непомеченные пакетыили пакеты "чужим" VLAN. Иными словами, связь между разными виртуальными сетями незакрывается. В "закрытом" режиме коммутатор разрешает прием на порт клиента пакетовтолько со своим VLAN, т.е. связь между разными виртуальными сетями закрывается.

Такие коммутаторы сравнительно недороги, стоят 10-20$ на порт.

Также возможна реализация пометки пакетов со стороны клиента программными средствами.Многие современные сетевые карты, например от Intel и 3COM, имеют поддержку VLAN, и у ихдрайверов есть подобные настройки. Но этот вариант мало подойдет для домовой сети, т.к.клиент сам сможет в настройках драйвера сменить номер VLAN. Кроме того, при программнойреализации не получится реализовать привязку клиента к конкретному порту коммутатора.


© 2003 - 2010 SMART-SOFT

Со стороны сервера реализация таких задач коммутатором могла бы потребовать у первогоналичия намного большего функционала. Стоимость таких устройств довольно высока. А такжеадминистратору потребовалась бы дополнительная работа - отдельное ведение в коммутаторетаблиц сетевых адресов клиентов и номеров их VLAN. Но, начиная с версии 1.1.4.196, в Traffic Inspector это все реализовано в самой программе.

Для Traffic Inspector требуется лицензия на версию PRO или GOLD Unlimited. Иначе будетдоступна только функция просмотра номера VLAN в отчетах по сетевой статистике.

Также на интерфейсе внутренней сети требуется сетевая карта, которая имеет поддержку IEEE802.1Q. Следует отметить, что под поддержкой подразумевается то, что сетевая карта должнауметь корректно обрабатывать метки VLAN в принимаемых ею из сети Ehernet-пакетах.Никаких других манипуляций с данными от нее не требуется. Как правило, настройки для неевключать не надо. Этой функции не поддерживают очень старые или совсем дешевые карты.Например, популярная Realtek 8139. Все современные и не очень от Intel или 3COM, впринципе, должны работать корректно. Traffic Inspector имеет средства диагностикиподдержки сетевой картой необходимого функционала, о чем будет написано далее.

Дальнейший порядок настройки сервера и сети следующий.

1. Сеть, Интернет и Traffic Inspector должны быть полностью настроены.2. Пропишите номера VLAN со стороны клиентов в коммутаторах или, если используется

программное решение, в настройках драйверов сетевых карт. В зависимости от требуемыхзадач номера VLAN клиентам назначьте индивидуально или по группам. Включите пока"открытый" режим.

3. В Traffic Inspector запустите мастер сетевых настроек в окне внутренних сетей включитегалку поддержки VLAN.

4. Сеть и Интернет у клиента должны по-прежнему продолжать работать. Запустите у клиента вцикле ping на любой внешний IP-адрес. Откройте отчет по сетевой статистике клиента, вколонке атрибутов со значком "#" должен отобразиться номер VLAN-клиента. Это означает,что сервером приняты помеченные пакеты, т.е. со стороны клиента все настроеноправильно. Если отображается "#???", то это означает, что сетевая карта на сервере дляданной задачи не подходит и ее надо заменить.

5. Пропишите у клиента номер VLAN. Это можно сделать для клиента индивидуально, а такженазначить одинаковый номер для группы клиентов.

6. Включите, если необходимо, функцию контроля политики авторизации. Теперь, если номераVLAN у клиента не совпадают, он будет блокироваться. Проверьте это, перестроивнастройки VLAN у клиента. Разблокировать клиента можно в мониторе работы.

7. Для работы клиента в "закрытом" режиме следует в его настройках прописать сетевыеадреса. Это надо для того, чтобы драйвер Traffic Inspector мог правильно пометитьисходящие пакеты. Прописывать для клиента можно MAC- или IP-адрес. Если это VPN-клиент, то, так как его адрес авторизации отличается от сетевого адреса компьютера, дляVLAN сетевые адреса надо прописывать в отдельные поля.

8. Проверьте, загрузились ли эти адреса в таблицы VLAN-драйвера программы. Просмотрразмера этих таблиц доступен через функцию "Диагностика, Драйвер" консоли. Информацияо VLAN не будет загружаться, если работа клиента не разрешена или он запрещен. Еслидля клиента прописан MAC- и IP-адрес одновременно, то в таблицу будет загружатьсятолько MAC-адрес.

9. Переключите клиента в "закрытый" режим и проверьте его работу. Клиенту должна бытьдоступна только связь с самим сервером, Интернетом, с другими клиентами еговиртуальной Ethernet-сети, а также всеми другими IP-сетями, которые маршрутизируютсячерез сервер.

При остановке службы Traffic Inspector таблицы VLAN в его драйвере очищаются. Поэтому вслучае если клиент работает в "закрытом" режиме, связь с сервером он потеряет, т.к. драйвер Traffic Inspector перастанет "метить" исходящие пакеты.

С некоторыми сетевыми картами теоретически может возникнуть еще одна проблема,связанная с ограничением на максимальный размер передаваемого пакета. Для обычногоEthernet-пакета - это 1514 байт, а поддержка VLAN добавляет еще 2 байта. Значение MTU,выдаваемое стеку TCP-/IP-драйвером карты, при этом не модифицируется. Может возникнуть



ситуация, что драйвер сетевой карты при передаче начнет отбрасывать такие удлиненныепакеты. Проверить этот факт можно, сделав пинг большим пакетом. Если же все-таки попаласьтакая сетевая карта, то можно для нее откорректировать MTU для этого интерфейса на 2 байтаменьше. Но лучше карту заменить на другую, т.к. уменьшение MTU повлечет дополнительнуюфрагментацию пакетов и ухудшение быстродействия сети.

IEEE 802.1Q - это протокол 2-го уровня. При трансляции пакетов через IP-роутер VLAN-тегитеряются. Поэтому все описанное относится только к одному Ethernet-сегменту.

Если клиенты настроены на "закрытый" режим работы, то возникает вопрос, где размещатьразличные общедоступные и системные службы - DNS-сервер, веб-сервер, ftp и т.д. Для этихслужб, запущенных на одном сервере с Traffic Inspector, вышеозначенный вопрос непоявится. Но если в сети их надо разместить на отдельных серверах, это можно сделать вотдельной IP-подсети, настроив роутинг через сервер с Traffic Inspector. Для этой целиможно использовать отдельную сетевую карту, например, для DMZ, или можно простопрописать еще одну IP-сеть на внутреннем сетевом интерфейсе.

1.7.7 ISA-сервер

Microsoft ISA Server - мощный сервер, представляющий модульную платформу. Хотя Traffic Inspector решает большинство задач, могут возникнуть ситуации, когда егоиспользование необходимо (например, применяются специфичные Application Filter).

Вариантов совместной работы может быть много. Все зависит от того, какие службы вкаких программах будут задействованы.

Следует отметить недостатки применения ISA-сервера.

Будут использованы не все возможности Traffic Inspector. Здесь все зависит отвыбора служб и настроек, смотрите далее.SecureNAT в ISA-сервере не работает с WAN-интерфейсами RRAS. Точнее, ISA-сервер не видит эти интерфейсы. Хотя есть дозвон для RAS-соединений,поддержка WAN и VPN на этом заканчивается.

ISA-сервер состоит из 2-ух основных компонент:

Firewall service: включает NAT, подключает внутренних клиентов черезредиректор winsock и включает внешний Firewall. Особый интерес такжепредставляют подключаемые дополнительные Application Filter, которые решаютсамые различные задачи и которых уже довольно много выпущено как Microsoft,так и другими производителями.Proxy service: кэшируемый HTTP/FTP прокси-сервер.

Эти два компонента ISA-сервера могут быть установлены как вместе, так и поотдельности.

Если у ISA-сервера установлен только прокси-сервер, то в Traffic Inspector можетбыть задействовано все без ограничения. Следует только прокси-сервера разнести по разнымпортам.

У Traffic Inspector прокси-сервер отключать не стоит, т.к. через него работает веб-сервер статистики.

Если у ISA-сервера установлена служба Firewall service, то в Traffic Inspector надоотключить все, что использует фильтры на внешних интерфейсах, иначе может возникнутьконфликт. Это служба Firewall и функция блокировки трафика на внешних счетчиках. Обе этиопции отключаются на одной странице мастера конфигурирования.

Далее надо определиться, через какие службы будут работать клиенты. TrafficInspector должен быть настроен на учет трафика этих служб, который будет сниматься свнутреннего интерфейса.


© 2003 - 2010 SMART-SOFT

Firewall Client использовать не стоит. Ввиду того что эта служба используеттранспорт сети Windows, будет почти невозможно отделить трафик Интернета от служебного.Необходимо использовать SecureNat. Этот механизм обычно стараются не применять из-заотсутствия аутентификации, но в данном случае это несущественно, т.к. ограничение доступасделает Traffic Inspector.

Трафик через SecureNat идет транзитный, поэтому для его учета никаких особыхнастроек в Traffic Inspector делать не надо.

Авторизацию и аутентификацию должен делать Traffic Inspector, т.к. он считаеттрафик. Поэтому в ISA-сервере аутентификацию можно отключить, т.е. в политиках "разрешитьвсем все".

Прокси-сервер можно использовать как от Traffic Inspector, так и от ISA. Можнонастроить оба сразу.

Прокси-сервер от Traffic Inspector намного более функциональный, более эффективноэкономит трафик на кэше. У ISA-сервера он более производительный. SOCKS-сервер такжеможно использовать или от Traffic Inspector, или от ISA-сервера.

Если планируете использовать прокси-сервер от ISA, то у вас не будут работатьфильтры приложений в Traffic Inspector, переключение клиентами режимов фильтрации икэширования.

Если используются HTTP, FTP, SOCKS или другие сервера от ISA-сервера, то в TrafficInspector следует:

1. Включить учет трафика для этих служб. Трафик на них пойдет на IP-адреслокального интерфейса, а он по умолчанию бесплатный. Для того чтобы сделатьего платным, добавьте фильтры для тарификации на порты этих служб. В фильтреукажите протокол (TCP) и в качестве адреса - локальный интерфейс.

2. Включить управление этим трафиком. В программе имеется предустановленныйразрешающий фильтр на локальный интерфейс "для всех". Из-за него доступ наэти службы ISA-сервера будет всегда разрешен. Поэтому его придется удалить.После этого доступ на этот сервер изнутри сети будет разрешен только дляавторизованных клиентов. Если надо разрешить доступ на этот сервер всем длясети Windows, придется прописать разрешения для всех протоколов сети.

Если используется Firewall от ISA-сервера, то следует учесть, что SOCKS или FTPпрокси-сервер от Traffic Inspector не сможет управлять им. Поэтому не все будет работать.

1.7.8 Cторонний прокси (Squid)

В качестве стороннего прокси-сервера для примера используем Squid 2.7 для Windows.

ТребованияВерсия Traffic Inspector начиная с 2.0.628.Squid 2.7 или выше, сайт проекта - squid.opennet.ru

ОграниченияДля клиентов невозможен просмотр сетевой статистики по посещаемым сайтам, запросы ксайтам будут отображаться в сетевой статистике клиентов как запросы на IP-адрес серверасо Squid на порт 3128; подробная статистика по посещаемым сайтам будет вестись наклиента Squid-сервера.Для учета трафика клиентов потребуется дополнительная настройка тарификации, т.к.внутрилокальный трафик по умолчанию бесплатный (пункт 5).

1. Схема подключенияНа шлюз доступа в Интернет установлен Traffic Inspector, сервер со Squid расположен в DMZ-зоне. IP-адреса DMZ и локальной сети находятся в разных подсетях.



2. Предварительные настройки SquidПредполагается, что Squid прослушивает порт 3128. Предварительно Squid нужно настроить в режиме transparent-прокси. Для этого в файле конфигурации squid.conf для тега http_portдобавляем опцию transparent. Пример строки:

http_port 3128 transparent

3. Создание групп и клиентов в Traffic InspectorВ консоли Traffic Inspector создаем две группы Server (для клиента сервера Squid) и User (дляклиентов локальной сети). В группе Server создаем клиента для сервера со Squid.Рекомендуем использовать авторизацию сервера по IP-адресу, доступ сделать безлимитный.В группе User создаем клиентов.

4. Создание правил перенаправления и назначение правил на группуклиентовВ консоли Traffic Inspector в разделе "Правила: перенаправление TCP" создаем правилодля перенаправления HTTP-запросов на сервер с установленным Squid.


© 2003 - 2010 SMART-SOFT



В настройках группы User назначаем правило на группу.

Для перенаправления HTTPS-трафика на сервер со Squid проводим настройки в соответствии сп.4 для порта 443.


© 2003 - 2010 SMART-SOFT

5. Тарификация трафикаТрафик из локальной сети в DMZ будет бесплатным, т.к. он внутрилокальный. Для учетатрафика можно создать отдельный тариф или назначить уже существующий.

В группе User создаем фильтр на действие, на закладке "Действия" указываем нужныйтариф, на закладке IP указываем IP-адрес сервера со Squid и протокол TCP, порт назначения3128.

6. Проверяем работуПосле проведения настроек нужно проконтролировать работу перенаправления по сетевойстатистике клиентов в мониторе работы.



1.7.9 Пример: запрещение сервера или сети

Описанные фильтры полностью закрывают доступ, включая обращения мимо прокси. Этифильтры не сработают, если в настройках пользователя установлена галка "Являетсяадминистратором".

Запрещение сервера по имени (имя будет преобразовано в IP-адрес с

помощью DNS)


установите тип "На запрещение".4) Закладка IP:

выберите и укажите Имя хоста.

Запрещение сервера по IP-адресу, протоколу и порту



выберите протокол TCP (или другой в зависимости от вида трафика, портыустанавливаются только для UDP и TCP);выберите IP-адрес или сеть и укажите IP-адрес;укажите Порт назначения (это порт сервера, к которому идет обращение).

Запрещение нескольких диапазонов сетей (будет запрещен доступ к серверам

ICQ)

1) Откройте Описания / IP-сети, на закладке "Список" впишите 2 строки:205.188.0.0/255.255.0.0 и 64.12.0.0/255.255.0.0.

2) Откройте Внутренние сети / Клиенты / Фильтры / До группы.3) Создайте новый фильтр и укажите Имя фильтра для отображения в списке.4) Закладка "Тип":


выберите Использовать список и укажите список, созданный в пункте 1.

Примечание: для срабатывания фильтров у группы в Свойствах / Фильтрация должнабыть включена галка "Использовать общие фильтры". Также можно перенести их всписок фильтров для нужной группы.

1.7.10 Пример: запрещение сайта или его части

Описанные фильтры работают только для запросов через прокси-серверпрограммы. Эти фильтры работают даже в том случае, если в настройках пользователяустановлена галка "Является администратором".

Запрещение сайта или его части (будет выдано сообщение о блокировке иливыполнено перенаправление)


установите тип "На запрещение";установите галку "Фильтр приложений".

4) Закладка "Контент":укажите URL или его часть (например, для блокировки нашего сайта целиком нужно


© 2003 - 2010 SMART-SOFT

указать smart-soft\.ru, а чтобы закрыть только форум, можно вписать smart-soft\.ru/forum). Следите, чтобы строка не содержала спецсимволов вроде * .(точка) или ? - онииспользуются как символы синтаксиса регулярных выражений.

Примечание: . (точка) в синтаксисе регулярных выражений означает любой символ встроке.

Тип данных. Здесь можно указать, какой именно тип данных блокировать. Еслинужно блокировать сайт целиком, оставьте пустыми.

5) Закладка "Блокировка":впишите текст комментария при блокировке (например, "Запрещено руководствомкомпании") или ссылку для редиректа при блокировке.

Запрещение списка сайтов (будет выдано сообщение о блокировке иливыполнено перенаправление)

1) Откройте Описания / URL-списки. Добавьте новый список и на закладке "Список"впишите ссылки или их части, по которым происходит срабатывание блокировки(строки sex достаточно для запрета всех запросов, содержащих это слово; неиспользуйте символы * . (точка) или ? - они используются как спецсимволы синтаксисарегулярных выражений).


установите тип "На запрещение";установите галку "Фильтр приложений".

5) Закладка "Контент":укажите список, созданный в пункте 1.Тип данных. Здесь можно указать, какой именно тип данных блокировать. Еслинужно блокировать сайты целиком, оставьте пустыми.

6) Закладка "Блокировка":впишите текст комментария при блокировке (например, "Запрещено руководствомкомпании") или ссылку для редиректа при блокировке.

Примечание: для срабатывания фильтров у группы в Свойствах / Фильтрация должнабыть включена галка "Использовать общие фильтры". Также можно перенести их всписок фильтров для нужной группы.

1.7.11 Пример: работа группы через другого провайдера

1) Откройте Биллинг / Группы; выберите группу, которую вы хотите перенаправить ивойдите в Свойства.

2) Закладка "Роутинг":выберите нужный интерфейс.

Примечание: предварительно должна быть настроена функция Advanced Routing,как описано в разделе этой справки "О программе / Основные функции / AdvancedRouting".

1.7.12 Пример: загрузка картинок с другого провайдера


установите тип "Только действие";поставьте галку "Фильтр приложений: HTTP-прокси".

4) Закладка "Контент":выберите "Картинки".

5) Закладка "Роутинг":выберите нужный интерфейс; выберите Направлять трафик на этот интерфейс.



Примечание 1: для срабатывания фильтров у группы в Свойствах / Фильтрация должнабыть включена галка "Использовать общие фильтры". Также можно перенести их всписок фильтров для нужной группы.

Примечание 2: предварительно должна быть настроена функция Advanced Routing, какописано в разделе этой справки "О программе / Основные функции / Advanced Routing".

1.7.13 Пример: блокировка перехода при падении интерфейса


установите тип "Только действие".4) Закладка "Роутинг":

выберите основной интерфейс;выберите Направлять трафик на этот интерфейс.

5) Создайте новый фильтр и укажите Имя фильтра для отображения в списке.6) Закладка "Тип":

установите тип "Только действие".7) Закладка "Роутинг":

выберите дополнительный интерфейс;выберите Направлять трафик на этот интерфейс.


установите тип "На запрет".10) Закладка "Роутинг":

выберите дополнительный интерфейс; выберите Применить фильтр для трафика, уже перенаправленного на этотинтерфейс.

Фильтры должны располагаться самыми первыми, строго по порядку создания, т.е.:

Фильтр на редирект на основной интерфейс. Фильтр на редирект на дополнительный интерфейс. Фильтр на запрет, если произошел редирект на дополнительный интерфейс.


Примечание 2: предварительно должна быть настроена функция Advanced Routing, какописано в разделе этой справки "О программе / Основные функции / Advanced Routing".

1.7.14 Пример: запрещение всего, кроме почты


установите тип "На разрешение + действие".4) Закладка IP:

выберите протокол TCP;порт назначения 25 (SMTP).



выберите протокол TCP; порт назначения 110 (POP3) (для IMAP нужно создать еще один фильтр с портом 143).



© 2003 - 2010 SMART-SOFT

установите тип "На запрещение".

Примечание 1: если внутреннего DNS-сервера нет, то пропишите разрешения наисходящие запросы - добавьте два фильтра по TCP и UDP c портом назначения 53.



выберите протокол TCP;порт назначения 53 (DNS).


установите тип "На разрешение + действие"6) Закладка IP:

выберите протокол UDP; порт назначения 53 (DNS).

Эти два фильтра поместите выше фильтра на запрещение с помощью стрелок.


1.7.15 Пример: тарифный план по расписанию

Тариф: с 08:00 до 20:00 - 1 Мб по 1,0 руб.с 20:00 до 08:00 - 1 Мб по 1,5 руб.

Реализация тарифа:1) В Биллинг / Тарифы создайте тариф "Тариф_1": на закладке "Тариф" выберите единицуизмерения (руб.); на закладке "За трафик" поставьте стоимость 1 за Мб. И создайте тариф"Тариф_2": на закладке "Тариф" выберите единицу измерения (руб.); на закладке "Затрафик" поставьте стоимость 1,5 за Мб.2) Для группы создайте два фильтра на разрешение (или действие). В первом на закладке "Расписание" укажите синим цветом время работы - с 08:00 до 20:00 часов (времясрабатывания фильтра) и на закладке "Действия" выберите "Изменить стоимость трафика"и "Посчитать по другому тарифу", «Тариф_1». Во втором укажите Расписание работы - с20:00 до 08:00 часов - и выбирите "Тариф_2".

Правильность работы фильтра можно посмотреть в сетевой статистике в столбце"Атрибуты".

1.7.16 Пример: внешний Интернет и локальная сеть

Предположим, что домовая сеть с IP в диапазоне 10.0.0.0/255.255.0.0.

Тариф

тариф 1: трафик внутри домовой сети (10.0.0.0/255.255.0.0) - 1коп./Мб; тариф 2: сервер обновлений домовой сети (10.0.1.250/255.255.255.255) - 2коп./Мб; тариф 3: игровые серверы домовой сети (10.0.1.100/255.255.255.255;10.0.10.0/255.255.255.254) - 10коп./Мб; тариф 4: Интернет через прокси-провайдера (10.0.1.254 порт 3278) - 1.5руб./Мб; тариф 5: остальное (Интернет не через прокси, например, ftp, почта или игры) - 1.7руб./Мб.

Реализация тарифа1. В Биллинг / Тарифы создайте тариф "Тариф_1": на закладке "Тариф" выберите единицу

измерения (руб.); на закладке "За трафик" поставьте стоимость 0,01 за Мб.Соответственно, создайте "Тариф_2" (поставьте стоимость 0,02 за Мб); "Тариф_3"



(поставьте стоимость 0,1 за Мб); "Тариф_4" (поставьте стоимость 1,5 за Мб); "Тариф_5"(поставьте стоимость 1,7 за Мб).

2. В разделе "Описания / IP-сети" создайте список Game, на закладке "Список" введитесписок адресов игровых серверов по одному в строчке (например,10.0.1.100/255.255.255.255; 10.0.10.0/255.255.255.254).

3. Создайте фильтры "Для группы" в следующем порядке (порядок фильтров имеет значение,т.к. вышестоящий исключает трафик из нижестоящего):

Тариф 2: на закладке IP укажите адрес сервера обновлений (например, 10.0.1.250, маска255.255.255.255); на закладке "Тип" укажите только действие; на закладке "Действие"укажите Изменить стоимость трафика и посчитать по другому тарифу, выберите"Тариф_2".Тариф 3: аналогично предыдущему, только на закладке IP укажите Использоватьсписок и выберите список, созданный в пункте 2; на закладке "Действие" укажитеИзменить стоимость трафика и Посчитать по другому тарифу, выбираем"Тариф_3".Тариф 4: предположим, что прокси провайдера располагается по адресу: 10.0.1.254 иработает через порт 3278; тогда на закладке IP укажите протокол TCP, в ставшемдоступным поле порт назначения "от" напишите 3278, "до" оставьте пустым, а в IP-адрес или сеть - 10.0.1.254 с маской 255.255.255.255; на закладке "Действие" укажите"Тариф_4".Тариф 1: аналогично, но на закладке IP укажите в IP-адрес или сеть диапазон адресовдомовой сети (в нашем случае - 10.0.0.0, маска 255.255.0.0); на закладке "Действие"укажите "Тариф_1". Этот фильтр должен стоять после предыдущих трех, т.к. они входятв диапазон локальной сети и "отбирают" у этого фильтра часть трафика.Тариф 5: фильтр должен стоять последним, т.к. на него должно попадать все, что неучитывается предыдущими фильтрами, т.е. весь остальной трафик. Для этого назакладке IP укажите любой и не забудьте аналогично предыдущим фильтрам указать"только действие" и на закладке "Действие" выбрать "Тариф_5".

Создайте счетчики в разделе "Внешние сети / Счетчики"Тариф 2: Контролируемый счетчик Только на IP-адрес - 10.0.1.250;Тариф 3: Контролируемый счетчик Только на сети - 10.0.1.100 маска 255.255.255.255 и10.0.10.1 маска 255.255.255.254;Тариф 4: Информационный счетчик Только на IP-адрес - 10.0.1.254, IP-прокол - TCP,Внешние порты - 3278;Тариф 1: Контролируемый счетчик Только на сети - 10.0.0.0 маска 255.255.0.0: этот счетчикдолжен быть предпоследним в списке (на нем учтется трафик, который еще не посчиталсяна вышестоящих счетчиках, кроме информационного: данные информационного счетчикабудут посчитаны на этом счетчике);Тариф 5: Весь Интернет: должен быть последним в списке (на нем учтется трафик, которыйеще не посчитался на вышестоящих счетчиках).

1.7.17 Пример: очистка внешней БД MS SQL

Скрипт создания хранимой процедуры ClearLog для очистки внешней базы данных

MS SQL Server

CREATE PROCEDURE [dbo].[ClearLog] @Date DateTime, @ServerID int

AS

BEGIN

DELETE FROM AdminGroupLog WHERE ([Time]<@Date) and (ServerID=@ServerID)

DELETE FROM AdminLog

WHERE ([Time]<@Date) and (ServerID=@ServerID)

DELETE FROM AVLog


DELETE FROM ExtCounterLog


DELETE FROM NetStatLog



© 2003 - 2010 SMART-SOFT

DELETE FROM ProxyLog


DELETE FROM SMTPFltLog


DELETE FROM SMTPSendLog


DELETE FROM SMTPTraceLog


DELETE FROM TariffLog


DELETE FROM UserBillLog


DELETE FROM UserCounterLog


DELETE FROM UserLog


END

При выполнении хранимой процедуры ClearLog должны быть заданы следующие параметры. @Date: дата, до которой будет произведена очистка данных в таблицах внешней базыданных. @ServerId: Id сервера, задаваемый при конфигурировании внешнего SQL-сервера (поумолчанию 0).

Пример вызова хранимой процедуры:

Set dateformat DMY

exec dbo.ClearLog '31.01.2009', 0

1.8 Устранение проблем

Одной из возможных причин полной или частичной неработоспособности программы можетбыть наличие ранее установленных Firewall, NAT или прочих программ, которые работают ссетью и используют свои сетевые драйвера. Также следует иметь в виду, что простаяостановка их работы проблему может не решить - их надо удалить. Такие программы моглибыть ранее не полностью удалены. И радикальным решением проблемы может быть полнаяпереустановка системы.

Проверьте, установлены ли дополнительные компоненты: Windows Script, .Net Framework ипрочее. Смотрите раздел "Подготовка сервера".

При возникновении проблем, появлении ошибок и прочих затруднений:

Попробуйте найти ответ в этих разделах.Попробуйте найти ответ в разделе F.A.Q. на сайте разработчика.Зайдите на форум программы: возможно, проблема уже обсуждалась и ее решениеописано.Проверьте наличие более свежего билда программы на сайте разработчика и изучите списокизменений и исправленных ошибок - в более свежем билде проблема может быть решена.Номер билда отображается в главном окне консоли в правом верхнем углу. Если консользапустить не получается, то номер версии можно посмотреть, открыв свойства файласервиса программы TiSvc.exe.В любом случае поставьте последний билд и проверьте, не решилась ли проблема.



Отправьте запрос в службу техподдержки. При этом обязательно должен быть установленпоследний билд релиза и проверено, что проблема после этого не решилась. Запросы постарым билдам программы рассматриваться не будут. Если консоль доступна, то для отправкизапроса обязательно используйте встроенный генератор отчета (Support report) в консоли -раздел "Диагностика".

В запросе опишите задачи, которые решаются программой, и подробно саму проблему. Еслиsupport report недоступен, то укажите операционную систему и конфигурацию сети.

1.8.1 Ошибки установки и удаления программы

Драйвер программы уже установлен, требуется его удаление

Программа установки обнаружила уже установленный драйвер. Он мог остаться из-занекорректного удаления ранее установленной программы (произошел сбой) или в случае еслидрайвер был установлен ранее вручную. Для предотвращения возможных проблемдальнейшая ее работа прекращается, и удалить этот драйвер следует вручную.

1. Убедитесь, что программа ранее была удалена. Откройте Add/Remove Program (Установка/Удаление программ) и, если там присутствует Traffic Inspector, удалите и попробуйтеустановить программу заново. В противном случае смотрите следующий пункт.

2. Откройте Add/Remove Program и найдите компонент драйвера - Windows Driver Package -SMART-SOFT Traffic Inspector Driver. Если компонент есть в списке, удалите и попробуйтеустановить программу заново. В противном случае смотрите следующий пункт.

3. В списке сетевых соединений откройте настройки любого интерфейса и в списке найдитедрайвер Traffic Inspector. Если драйвер установлен, удалите его. Его можно удалитьвручную: для этого в директории Winnt\inf (он скрытый и системный, включите показскрытых и системных файлов) надо через поиск найти все *.inf-файлы, где в текстесодержится имя файла драйвера ticap.sys, и удалить их.

4. Откройте редактор реестра и удалите разделHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ticapdrv, а также раздел сострокой {2E2448C5-1ACC-41F3-A621-3285C23E904A}. Перегрузите систему. Попробуйтеустановить программу заново. В противном случае смотрите следующий пункт.

5. Откройте список оборудования системы. Включите отображение скрытых устройств. Всетевых устройствах найдите все драйвера Traffic Inspector Miniport и удалите их.Перегрузите систему. Попробуйте установить программу заново.

После совершения действий по пп.4 и 5 программа может установиться, но драйвера при этомкорректно не загрузятся. В этом случае удалите программу, перегрузите систему и поставьтеее заново.

1.8.2 Запуск сервера

Сервис не запускается

Проверьте системные логи (Event Log). В разделе System Log могут появиться сообщенияслужбы запуска сервисов Windows, а в Application Log - сообщения об ошибках сервисасамой программы. После запуска службы ее сообщения будут писаться в отдельный лог Traffic Inspector; анализируя сообщения об ошибках, можно будет понять, в чем проблема.

Сервис при старте производит проверки наличия необходимых системных компонентов, и приих нехватке не запускается вообще, отписав при этом сообщение в системный лог.

Если сервис зависает в состоянии запуска и не реагирует на команды консоли управленияслужбами, то, скорее всего, сработала система защиты программы. Система защиты в такихслучаях выводит диалоговое окно, которое в режиме сервиса невидимо: именно оно приводитк зависанию службы на запуске. Переустановите программу.


© 2003 - 2010 SMART-SOFT

Ошибка "Сетевой драйвер не загружен или сеть не сконфигурирована"

Сервис программы не смог подключиться к сетевому драйверу. Переустановите программы.Смотрите также раздел "Ошибки установки и удаления программы".

1.8.3 Запуск консоли

Окно консоли не появляется вообще или через некоторое время появляется с ошибкой оневозможности запустить приложение или службу. Проверьте, запустилась ли корректно служба программы.

При запуске сразу выдается ошибка на неправильные данные - Bad data, MMC cannot openthe file... или похожее. Причина - некорректный файл оснастки или его повреждение. Создайте новый: смотритеописание работы с MMC в справке Windows или в разделе "Работа с MMC".

При запуске консоли выводится ошибка Snap-in failed to initialize. Удален файл консоли или удалена его регистрация. Переустановите программу.

Консоль запускается, но соединение происходит с ошибкой Interface not supported. Если консоль запускается локально, то попробуйте переустановить программу.

При удаленном подключении причин может быть несколько :

Проверьте, разрешен ли DCOM на удаленном компьютере и сервере - утилита dcomcnfg.Проверьте настройки безопасности DCOM на сервере.Смотрите раздел "Настройка DCOM".

Консоль запускается, но выводится ошибка Access Denied.Настройте DCOM на сервере.

Сообщение "Ошибка аутентификации". Это ошибка Windows аутентификации (NTLM). Если используется не текущий логинWindows, то проверьте корректность вводимых данных. Если производится вход судаленной консоли, то это также может быть связано с проблемами Active Directory.

Сообщение "Доступ запрещен, пользователь не найден". Пользователь с введенным именем не прописан в программе. Проверьте вводимое имя итип аутентификации. Возникает в режиме "по паролю" (логин, хранимый в программе).

Сообщение "Неверное имя пользователя или пароль". Общая ошибка проверки имени пользователя и пароля в режиме "по паролю" (логин,хранимый в программе). Проверьте вводимые данные и тип аутентификации в консоли.

Сообщение "Время на сервере отличается более чем на ... минут". Большая рассинхронизация времени на компьютерах при удаленном доступе с консоли.Приводит к ошибке шифрования данных при передаче зашифрованного пароля междуклиентом и сервером при аутентификации по встроенному имени и паролю.Засинхронизируйте время между обоими компьютерами или используйте NTLN-аутентификацию.

Сообщение "Для данного пользователя доступ не разрешен". Возникает при успешной NTLM-аутентификации, но для данного пользователя доступ неразрешен.

Забыт пароль или произошла ситуация, когда были заданы ограничения дляадминистрирования только с групп Windows, которые потерялись (они удалены или именаих забыли). Существует процедура восстановления доступа к программе:

Остановите службу программы.



Удалите файлы AdminList.xml, AdminList.bak.xml, AdminGroupList.xml и AdminGroupList.bak.xml.Запустите службу, будут загружены настройки по умолчанию.Заново настройте все из раздела "Администрирование" консоли.

Сообщение о несоответствии версий консоли и сервера. Сообщение возникает при удаленном администрировании, когда при обновлении серверазабыли обновить удаленную консоль.

Сообщение "Драйвер не установлен или сеть не сконфигурирована".Драйвера программы нет вообще, и невозможно определить его версию. Требуетсяпереустановка драйвера - для этого следует переустановить всю программу.

1.8.4 Интерфейсы

Список интерфейсов пустой

Причиной могут быть проблемы установки и загрузки драйвера - журнал системных логовWindows. Еще одной причиной является установка драйвера от другой платформы. Такжепроблема может возникнуть, если драйвер программы устанавлен вручную.

В списке интерфейсов в консоли нет интерфейса, необходимого для работы

Прежде всего проверьте привязку этого интерфейса к драйверу - не отключен ли он в спискесетевых компонентов. Проверяется в сетевых настройках системы.

Другой причиной может быть не поддерживаемый программой тип интерфейса (он имеет тип не802.3, 802.11 или WAN - смотрите Характеристики), или к интерфейсу не привязан протоколTCP/IP, или не назначены IP-адреса. Для проверки можно использовать системную утилитуipconfig -all или открыть "Диагностика/сетевые настройки" консоли, где у интерфейса долженобязательно присутствовать Ethernet MAC-адрес и IP-адрес.

Возможен вариант несовместимости сетевого драйвера этого интерфейса с драйвером TrafficInspector. В этом случае свяжитесь с техподдержкой.

В статистике интерфейса появились потерянные пакеты

Причина появления потерянных пакетов - нехватка ресурсов процессора для обработкипакетов, принятых драйвером программы. Это приводит к занижению результатов по трафику.Если процент потери пакетов большой, то необходимо принять меры:

Если пакеты теряются на внутреннем интерфейсе и компьютер используется как файл-сервер, то целесообразно от этой роли сервера отказаться. Файл-сервер при быстройвнутренней сети приводит к генерации большого потока данных для Traffic Inspector.Проверьте ресурсы компьютера: нет ли нехватки оперативной памяти, какая загрузкапроцессора, не тормозят ли HDD-диски.

1.8.5 Ошибки авторизации

При использовании авторизации по имени все события отписываются в системный лог -прежде всего проверьте, нет ли там ошибок, связанных с данным клиентом. Если серверу имяопределить не удается, то, по крайней мере, будет записан IP-адрес, откуда пришел запрос.

Агент при попытке запуска выдает ошибку вроде Socket error - Valid name, no

data record of requested type или Host not found

Это ошибка распознавания имен внутри сети, т.к. некорректно сконфигурирован DNS. Есливнутреннего DNS с интранет-зоной нет, то в настройках DNS на клиентской машине не следуетуказывать зону сети - в этом случае система при обращении по простому имени будетиспользовать распознавание имен Windows. Проверить это можно, запустив ping по имени


© 2003 - 2010 SMART-SOFT

сервера.

Как вариант сервер в агенте можно прописать по IP-адресу.

При авторизации агентом на сервере появляется ошибка вроде "Неверная

отметка времени"

С целью защиты от перехвата данных аутентификации в программе применен методкриптозащиты, который требует расхождения часов на компьютерах не более 5 минут. Этаошибка появляется в случае, если расхождение больше 5 минут. Для Windows 2000/XP/2003/Vista/2008 есть служба синхронизации часов, и если все компьютеры в домене, времясинхронизируется автоматически. Иначе придется принимать дополнительные меры:

Система Windows 95/98/ME и в домене с сервером - используйте при запуске команду nettime \\server /set.Для Windows 2000/XP/2003/Vista/2008 в службе синхронизации времени пропишите внешниеSNTP-сервера - справка Windows.В любом случае можно применить любую бесплатную утилиту коррекции времени,работающую по протоколу NTP.

Неустойчиво работает авторизация через агента: он подключается не сразу и

затем в процессе его работы переходит в режим попытки подключения

Возможные причины - потери пакетов во внутренней сети или перегрузка сервера (нехваткаресурсов). При большом количестве запущенных агентов можно порекомендовать увеличитьвремя обновления данных на нем - смотрите настройку параметра "Тайм-аут авторизации".Потери пакетов можно оценить командой ping.

1.8.6 Проблемы доступа в Интернет

В любом случае при проблемах доступа в Интернет для клиентов проверьте, нет ли проблем савторизацией (раздел "Ошибки авторизации").

Нет доступа в Интернет. Клиент работает через NAT

Для начала следует проверить, работает ли NAT, тем более если и другие клиенты работать немогут. Для этого остановите сервис Traffic Inspector и используйте команду ping с машиныклиента. Пропингуйте сначала сам сервер, а затем любой близлежащий хост, причем сначалапо имени, а затем, если имя не нашлось, по IP-адресу. Если по IP-адресу пинг прошел, а поимени нет, - проблема в DNS. Если по IP-адресу пинг не идет, то это следует сделать с самогосервера - возможно, доступ в Интернет вообще отсутствует.

Если NAT с остановленным Traffic Inspector работает, а с запущенным нет, но клиент приэтом авторизовался нормально (в системных логах есть событие), то причина - в неоткрытыхфильтрах.

Если клиент не в группе, у которой по умолчанию трафик запрещен, проверьте фильтры назапрет - нет ли в них ошибок. Временно можно отключить такие фильтры.

Если клиент в группе, у которой трафик по умолчанию запрещен, то в такой группеобязательно должны присутствовать фильтры на разрешение, в том числе на ICMP.

Далее, чтобы отделить проблемы Интернета от проблем самого клиентского приложения,используйте telnet (имеется на всех версиях Windows, утилита telnet.exe (в Windows Vista,Windows 2008 потребуется отдельная установка утилиты)) для проверки доступности TCP-соединений с сервером. Необходимо только знать порты служб. Типовые - это 80 для HTTP, 25для SMTP, 110 для POP3 и 143 для IMAP.

Более подробно, с картинками, процедура настройки и диагностики NAT описана на сайтепрограммы.



Не работает FTP. Прокси-сервер не используется

В скрипте автоконфигурации браузера ftp-доступ не прописывается, т.к. работа производитсячерез NAT. По умолчанию, как правило, на клиентах используется активный режим. Для негоследует на Firewall выставить разрешающий фильтр - протокол TCP, порт источника 20. Этотфильтр по умолчанию устанавливается, проверьте его наличие.

Если по какой-либо причине используется пассивный режим, необходимо учесть, что многиеftp-сервера его не поддерживают, т.к. сами находятся за Firewall.

1.8.7 Прокси и встроенный web-сервер

Не открываются страницы в браузере. Используется прокси-сервер

Если прокси-сервер работает нормально и браузер хорошо к нему подключается, то в списках активных соединений прокси-сервера должны появляться сессии. Прокси-сервер, как правило,записывает свои сообщения об ошибках - на браузере их сразу можно отличить от других:пишется причина ошибки.

Если браузер просто зависает на соединении или пишет свои ошибки, то можнопорекомендовать следующее.

Попробуйте в настройках браузера отключить прокси-сервер и открыть на нем веб-серверпрограммы, набрав http://server:port. Здесь server и port - это хост и порт прокси-сервера.Чтобы отделить проблемы DNS, вместо имени хоста введите IP-адрес.Если веб-сервер программы не открывается - проверьте, включен ли прокси-сервер вообще.Также проверьте наличие ошибок в системном журнале сервера. Можно попробоватьподключиться утилитой telnet.exe.

1.9 Справочная информация

1.9.1 IP-адреса для интранет-сети

Для внутренних IP-сетей в соответствии с документом RFC 1918 назначены следующие сети:

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Использование других адресов недопустимо.

Внимание! При использовании службы Internet connection Sharing, имеющейся во всехверсиях Windows 2000/XP, возможно использование только сети 192.168.0.0/24 (маска255.255.255.0), причем серверу должен быть назначен адрес 192.168.0.1.

1.9.2 Синтаксис регулярных выражений

Регулярные выражения - это широко используемый способ описания шаблонов для поискатекста и проверки соответствия текста шаблону. Специальные метасимволы позволяютопределять, например, что вы ищете подстроку в начале входной строки или определенноечисло повторений подстроки.

Простое сравнение

Любой символ совпадает с самим собой, если он не относится к специальным метасимволам,


© 2003 - 2010 SMART-SOFT

описанным далее.

Последовательность символов совпадает с такой же последовательностью во входной строке,так что шаблон bluh совпадет с подстрокой bluh во входной строке.

Если необходимо, чтобы метасимволы или escape-последовательности воспринимались какобычные символы, их нужно предварять символом "\". Например, метасимвол " "̂ обычносовпадает с началом строк, однако если записать его как "\ "̂, то он будет совпадать ссимволом " "̂, "\\" совпадает с "\" и т.д.

Примеры banner находит banner

\\banner находит \banner

Escape-последовательности

Любой символ может быть определен с помощью escape-последовательности, так же, как этоделается в языках C или Perl: "\n'' означает начало строки, "\t'' - табуляцию и т.д. Вообще, \xnn,где nn - это последовательность шестнадцатеричных цифр, означает символ с ASCII-кодом nn.Если необходимо определить двухбайтный (Unicode) символ, используйте формат "\x{nnnn}",где "nnnn" - одна или более шестнадцатеричных цифр.

\xnn символ с шестнадцатеричным кодом nn

\x{nnnn} символ с шестнадцатеричным кодом nnnn

\t табуляция (HT/TAB), можно также \x09

\n новая строка (NL), можно также \x0a

\r возврат каретки (CR), можно также \x0d

\f перевод формата (FF), можно также \x0c

\a звонок (BEL), можно также \x07

\e escape (ESC), можно также \x1b

Примеры ban\x20ner находит 'ban ner' (обратите внимание на пробел посередине)

Перечни символов

Вы можете определить перечень, заключив символы в []. Перечень будет совпадать с любым одним символом, перечисленным в нем.

Если первый символ перечня (сразу после "['') - " '̂', то такой перечень совпадает с любымсимволом, не перечисленным в перечне.

Примеры bann[ei]r находит 'banner', 'bannir' и т.д., но не 'bannrr, 'bannar' и т.д.

bann[^ei]r находит 'bannrr, 'bannar' и т.д., но не 'banner', 'bannir' и т.д.

Внутри перечня символ "-'' может быть использован для определения диапазонов символов,например, a-z представляет все символы между "a'' и "z'' включительно.

Если вам необходимо включить в перечень сам символ "-'', поместите его в начало или конецперечня или предварите "\". Если вам необходимо поместить в перечень сам символ "]",поместите его в самое начало или предварите "\".

Примеры [-az] 'a', 'z' и '-'

[az-] 'a', 'z' и '-'

[a\-z] 'a', 'z' и '-'

[a-z] все 26 малых латинских букв от 'a' до 'z'

[\n-\x0D] #10, #11, #12, #13



[\d-t] цифра, '-' или 't'

[]-a] символ из диапазона ']'..'a'

Метасимволы

Метасимволы - разделители строк.

^ начало строки

$ конец строки

\A начало текста

\Z конец текста

. любой символ в строке

Примеры ^banner находит 'banner, только если он в начале строки

banner$ находит 'banner', только если он в конце строки

^banner$ находит 'banner', только если это единственное слово в строке

bann.r находит 'banner', bannar, 'bannir' и т.д.

Метасимвол " "̂ по умолчанию совпадает только в начале входного текста, а метасимвол "$" -только в конце текста. Внутренние разделители строк, имеющиеся в тексте, не будутсовпадать с " '̂' и "$''. Однако если вам необходимо работать с текстом как с многострочным, чтобы " '̂' совпадалпосле каждого разделителя строки внутри текста, а "$'' - перед каждым разделителем, то выможете включить модификатор /m.

Метасимволы \A и \Z аналогичны " '̂' и "$'', но на них не действует модификатор /m, т.е. онивсегда совпадают только с началом и концом всего входного текста.

Метасимвол ".'' по умолчанию совпадает с любым символом, однако если вы выключитемодификатор /s, то "." не будет совпадать с разделителями строк.

" "̂ совпадает с началом входного текста, а также, если включен модификатор /m, с точкой,непосредственно следующей после \x0D\x0A, \x0A или \x0D. Обратите внимание, что он несовпадает в промежутке внутри последовательности \x0D\x0A.

"$" совпадает с концом входного текста, а также, если включен модификатор /m, с точкой,непосредственно предшествующей \x0D\x0A, \x0A или \x0D. Обратите внимание, что он несовпадает в промежутке внутри последовательности \x0D\x0A.

"." совпадает с любым символом, но если выключен модификатор /s, то "." не совпадаетс \x0D\x0A и \x0A и \x0D.

Обратите внимание, что " .̂*$" (шаблон для пустой строки) не совпадает с пустой строкойвида \x0D\x0A, но совпадает с \x0A\x0D.

Стандартные перечни символов

\w буквенно-цифровой символ или '_'

\W не \w

\d цифровой символ

\D не \d

\s любой 'пробельный' символ (по умолчанию - [ \t\n\r\f] )

\S не \s

Стандартные перечни \w, \d и \s можно использовать и внутри перечней символов.

Примеры: banner\d находит 'banner1', ''banner2' и т.д., но не 'banners' и т.д.


© 2003 - 2010 SMART-SOFT

ban[\w\s]er находит 'banner', 'ban er', 'banier' и т.д., но не 'ban1er', 'ban=er' и т.

д.

Границы слов

\b совпадает на границе слова

\B совпадает не на границе слова

Граница слова (\b) - это точка между двумя символами, один из которых удовлетворяет \w, адругой - \W (в любом порядке), при этом перед началом и после конца строкиподразумевается \W.

Повторения

Вы можете определить число допустимых повторений предшествующего символа,метасимвола или подвыражения.

* ноль или более раз ("жадный"), то же, что {0,}

+ один или более раз ("жадный"), то же, что {1,}

? ноль или один раз ("жадный"), то же, что {0,1}

{n} точно n раз ("жадный")

{n,} не менее n раз ("жадный")

{n,m} не менее n, но не более m раз ("жадный")

*? ноль или более раз ("нежадный"), то же, что {0,}?

+? один или более раз ("нежадный"), то же, что {1,}?

?? ноль или один раз ("нежадный"), то же, что {0,1}?

{n}? точно n раз ("нежадный")

{n,}? не менее n раз ("нежадный")

{n,m}? не менее n, но не более m раз ("нежадный")

Т.о. {n,m} задает минимум n повторов и максимум - m. Повторитель {n} эквивалентен {n,n} изадает точно n повторов. Повторитель {n,} задает минимум n повторов. Теоретически величинапараметров n и m не ограничена, но рекомендуется не задавать большие значения, посколькув некоторых ситуациях это может потребовать существенных затрат времени и ОЗУ приобработке такого повторителя в связи с рекурсивным характером работы.

Если фигурные скобки встречаются в "неправильном" месте, где не могут быть восприняты какповторитель, то они воспринимаются просто как символы.

Примеры: ba.*r находит 'baer, 'baner' и 'banner' и т.д.

ba.+er находит 'baner', 'banner, но не 'baer'

ba.?er находит 'baer', 'baner, но не 'banner'

ban{2}er находит 'banner'

ban{2,}er находит 'banner, 'bannner', 'bannnner' и т.д.

ban{2,3}er находит 'banner или 'bannner', но не 'bannnner'

Небольшое пояснение по поводу "жадности". "Жадные" варианты повторителей пытаютсязахватить как можно большую часть входного текста, в то время как "нежадные" - как можноменьшую. Например, 'b+' как и 'b*', примененные к входной строке 'abbbbc', найдут 'bbbb', в товремя как 'b+?' найдет только 'b', а 'b*?' - вообще пустую строку; 'b{2,3}?' найдет 'bb', в то времякак 'b{2,3}' найдет 'bbb'.

Вы можете переключить все повторители в выражении в "нежадный" режим,воспользовавшись модификатором /g.

Варианты



Вы можете определить перечень вариантов, используя метасимвол "|'' для их разделения:например, "fee|fie|foe" найдет "fee'' или "fie'' или "foe'', (так же, как "f(e|i|o)e"). В качестве первоговарианта воспринимается все от предыдущего метасимвола "('' или "['' или от началавыражения до первого метасимвола "|'', в качестве последнего - все от последнего "|'' до концавыражения или до ближайшего метасимвола ")''. Обычно, чтобы не запутаться, наборвариантов всегда заключают в скобки, даже если без этого можно было бы обойтись. Варианты пробуются начиная с первого, и попытки завершаются сразу же, как удастсяподобрать такой, при котором совпадет вся последующая часть выражения. Это означает, чтоварианты не обязательно обеспечат "жадное" поведение. Например, если применитьвыражение "foo|foot" ко входной строке "barefoot'', то будет найдено "foo'' - это первый вариант,который позволил совпасть всему выражению. Обратите внимание, что метасимвол "|'' воспринимается как обычный символ внутри перечнейсимволов: например, [fee|fie|foe] означает ровно то же самое, что и [feio|].

Примеры: banne(r|rs) находит 'banner' или 'banners'

1.9.3 Словарь терминов

E

Ethernet - сетевой протокол нижнего, сетевого уровня. Наиболее распространенныйпротокол для построения локальных сетей (LAN); сегменты имеют небольшие расстояния, неболее 100-150 м, хотя в последнее время на его основе строятся и большие сети,объединяющие целые районы городов. Используются кабели "витая пара", варианты скоаксиальным кабелем в последнее время почти не применяется. Также сегменты сети могутиспользовать и оптический кабель. Сегменты Ethernet-сетей объединяются концентраторами(HUB) или коммутаторами, причем использование коммутаторов более предпочтительно.Имеется и беспроводной вариант - так называемый Radio Ethernet, описанный в семействестандартов IEEE 802.11.

L

LAN - локальная сеть. Термин, подразумевающий фрагмент сети с передачей данныхна небольшие расстояния. Чаще всего строится на основе Ethernet. Топология сети можетбыть любой. В некоторых случаях к этому классу сетей можно отнести сети на основетелевизионных кабельных сетей и сети DSL. Смотрите также WAN.

N

NAT (Network Address Translation) - принцип работы NAT - это простая трансляция IP-адресов и портов в пакетах при прохождении через сервер. Для доступа через NAT нетребуется настройки клиентских программ - служба прозрачно транслирует все исходящиезапросы наружу. Также этот подход отличает максимальная производительность инетребовательность к ресурсам сервера. Но NAT не позволяет приложению открыватьвходящие соединения. Это накладывает ограничения на некоторые протоколы, например IRC.

NetGeo - эта публичная бесплатная служба Интернета для многих IP-адресовсообщает местонахождение регистранта, хотя не всегда точно.

P

PPP - протокол соединения типа "точка-точка". Основная задача - реализоватьпередачу протокола транспортного уровня (TCP/IP) по физическим цифровым каналам,например на базе модемов. В рамках протокола производится согласование параметровсоединения, аутентификация плюс согласование настроек сторон для протокола транспортногоуровня. PPP является составной частью туннельных протоколов вроде PPTP и L2TP, а такжеPPPoE.


© 2003 - 2010 SMART-SOFT

T

TCP/IP - термин, подразумевающий семейство протоколов, образующих глобальнуютранспортную среду сети Интернет. На самом деле, кроме протокола IP и TCP, в необходимыйминимум для работы транспорта еще входит ICMP, UDP, ARP, PPP.

S

SMTP-шлюз - служба программы, используется для публикации снаружи одноговнутреннего почтового сервера. Он принимает почту извне, анализирует ее и отправляет навнутренний сервер, производя ее фильтрацию и тарифицируя почтовый трафик для клиентов.Не является полноценным SMTP-сервером.

W

WAN - cегмент глобальной Сети. Смотрите также LAN. Подразумевается соединениетипа "точка-точка". На начальных этапах развития сети Интернет это модемные соединения, атакже соединения на основе цифровых каналов типа T1 (E1). В настоящее время в связи споявлением большого количества новых сетевых технологий четкое разграничение с LANпропало. Основной протокол соединений типа "точка-точка" - это PPP.

WhoIs - сервис используется для определения "хозяев", регистрантов IP-адресов.

А

Б

"Белый" IP-адрес - адреса глобальной сети Интернет. Сети этих адресов выделяютсямеждународными организациями, координирующими работу Интернета, и пакеты с этимиадресами должны беспрепятственно доставляться маршрутизаторами по всей глобальной сетиИнтернет. По такому адресу всегда можно вычислить его "хозяина" - смотрите службу WhoIs.Смотрите также "Серый адрес".

В

Внутренние сервера - серверные приложения во внутренней сети, работающие сИнтернетом.

И

Интерфейс автоматизации (API) - поддерживаемый сервером COM-интерфейс снабором функций для управления биллингом из других приложений.

Информационные счетчики - служат для отдельного учета потребления различноготрафика с целью последующего анализа. При их конфигурировании, кроме внешних IP-адресов и сетей, можно также задать тип IP-протокола и порты для TCP и UDP. Наинформационных счетчиках пакеты учитываются либо на одном счетчике, либо на несколькиходновременно. Или пакеты могут быть не учтены ни на одном из них.

К

Клиентский агент - небольшая программа, запускаемая на компьютере клиента.Основная ее задача - авторизация клиента по имени. Используемые в ней методыкриптозащиты надежно защищают от возможностей перехвата паролей и ихнесанкционированного использования. Кроме этого, агент решает и ряд других задач:отображает текущее состояние лицевого счета клиента, позволяет оперативно управлятьфильтрацией и режимом кэширования, автоматически конфигурирует Internet Explorer. Для егоустановки имеется утилита массовой удаленной установки на компьютеры сети; такжеинсталлятор можно загрузить через встроенный веб-сервер.



Контролируемые счетчики - предназначены для контроля потребления трафика отпровайдера как платного ресурса. Они описываются как внешние IP-адреса или сети.

П

Персональный режим (PE) - в случае установки программы на одиночныйкомпьютер, подключенный к Интернету, в программе реализована возможность вести учетработы пользователей на этом компьютере. Подразумевается одновременный логин толькоодного пользователя, вариант сервера терминалов здесь не уместен. При этом почти всевозможности программы сохраняются.

С

"Серый" IP-адрес - адреса, назначаемые для внутренних сетей. Чтобы они непересекались с "белыми" адресами, официально выделяемыми для глобальной Сети, онидолжны выделяться на основании правил RFC 1918. Использование этих адресов не требуетих выделения международными организациями, координирующих работу Интернета. Пакеты сэтими IP-адресами не будут доставляться маршрутизаторами глобальной Сети, поэтому дляорганизации взаимодействия сетей с этими адресами используются такие технологии, как NAT,прокси и SOCKS.

Сетевой экран (Firewall) - отдельная служба, использующая фильтрацию входящеготрафика на внешнем интерфейсе. Концепция сетевого экрана - по умолчанию разрешить всеисходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнеминтерфейсе разрешены TCP-пакеты без SYN-флага (для установленных соединений) и откликипо ICMP.

Служба отправки - обычный SMTP-клиент со встроенной очередью отправки. Он ни ккаким сетевым интерфейсам не привязан. При его настройке указывается адрес SMTP-сервера, порт и при необходимости некоторые параметры, связанные с работой очереди. Хотяподразумевается, что SMTP-сервер должен находиться во внутренней сети, его адрес можетбыть указан любой. Если SMTP-сервер какое-то время недоступен, сообщения на него будутскапливаться в очереди.

Ч

Черные списки - списки нежелательных отправителей электронной почты.

Ш

Шейпер (Traffic Shaping, Bandwidth Controller) - функция ограничения скорости

работы клиентов. Реализована на уровне сетевого драйвера и позволяет работать с любымтрафиком на внутреннем интерфейсе. Принцип работы шейпера - вычисление скорости работыклиента и внесение задержек в передачу пакетов.

Documents

Traffic Inspector · 1 Traffic Inspector Все логотипы, названия продуктов и компаний являются торговыми марками своих