Об устройстве¶
Что такое Traffic Inspector Next Generation¶
Traffic Inspector Next Generation - программно-аппаратный сетевой шлюз нового поколения от российской компании Смарт-Софт. Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса.
Traffic Inspector Next Generation разворачивается в качестве шлюза на границе сети и служит входной точкой в домашнюю / офисную / корпоративную сеть. Подобное расположение позволяет контролировать все сетевые потоки между внутренней сетью и Интернетом.
Администрирование Traffic Inspector Next Generation осуществляется через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы.
В качестве среды выполнения, Traffic Inspector Next Generation использует операционную систему FreeBSD 11.
Аппаратные характеристики Traffic Inspector Next Generation
Traffic Inspector Next Generation распространяется в виде программно-аппаратного комплекса. В настоящее время в линейке Traffic Inspector Next Generation представлены следующие модели:
S 100
M 1000
L 1000+
Цифра в названии означает рекомендуемое количество пользователей. Реальное количество пользователей ограничено только производительностью аппаратной платформы.
S 100
Модель S 100 рассчитана на использование в малых домашних и офисных сетях. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152.4 x 152.4 мм).
M 1000
Модель M 1000 предназначена для среднего бизнеса, учреждений госсектора, образования и здравоохранения среднего класса. В качестве аппаратной платформы используются стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
L 1000+
Модель L 1000+ предназначена для крупных коммерческих, государственных, образовательных организаций и учреждений здравоохранения. В качестве аппаратной платформы используются высокопроизводительные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.
Подробные аппаратные характеристики моделей можно узнать, связавшись с представителями компании Smart-Soft.
Примечание
Наши клиенты могут оформить тестирование продукта Traffic Inspector Next Generation, в рамках которого им предоставляется полнофункциональный экземпляр программно-аппаратного сетевого шлюза Traffic Inspector Next Generation S 100.
Какие задачи решают с помощью Traffic Inspector Next Generation¶
- Организация доступа в Интернет
Доступ по учетным записям
Отказоустойчивый доступ
Управление полосой пропускания Интернет-канала
Построение VPN-сети
Система централизованного управления шлюзам TING
- Защита от сетевых угроз
Защита от несанкционированного доступа к сети организации
Антивирусная защита
- Создание политик веб-доступа
Борьба с нецелевым использованием Интернета в организациях
Ограничение доступа к нежелательным ресурсам
Фильтрация трафика
Мониторинг сетевой активности и отчеты
Функционал Traffic Inspector Next Generation¶
Организация доступа в Интернет¶
Методы аутентификации
TING поддерживает множество методов аутентификации. Это означает, что вы сможете выбрать метод, который более всего подходит для вашей инфраструктуры.
аутентификация по локальной базе
Kerberos
NTLM
LDAP
RADIUS
Аутентификация по ваучерам для Captive Portal
Аутентификация в Wi-Fi сети по СМС (SMS Portal)
Двухфакторная авторизация пользователей
Смешанная аутентификация (привязка к IP/MAC-адресам)
Метод Локальная база использует базу пользователей, хранящуюся на самом устройстве Traffic Inspector Next Generation.
Методы LDAP и Kerberos используются при наличии в сети развернутой службы каталогов (чаще всего Active Directory от Microsoft).
При этом метод Kerberos обеспечивает аутентификацию в стиле Single Sign On. При Single Sign On аутентификации, пользователь вводит логин / пароль лишь однажды, при логоне в операционную систему; последующая аутентификация на веб-прокси происходит прозрачно и полностью автоматически.
В Traffic Inspector реализован функционал смешанной аутентификации. Смысл смешанной аутентификации заключается в том, что в настройках Traffic Inspector Next Generation аккаунт пользователя привязывается к определенному IP-адресу или MAC-адресу. Пользователю нужно авторизоваться не только с правильным логином / паролем, но и с разрешенного IP/MAC-адреса.
Двухфакторная аутентификация - расширенная аутентификация, в рамках которой пользователю для получения доступа необходимо предъявить не только свой логин и пароль, но и дополнительный пин-код. Двухфакторная аутентификация позволяет защитить аккаунт надежнее, чем традиционный пароль.
Регистрация пользователей по ваучерам доступна при использовании функционала Captive Portal.
Смешанная аутентификация обеспечивает совмещение одного из поддерживаемых типов аутентификации с дополнительной привязкой к IP-адресу и MAC-адресу.
Кластер высокой доступности
В режиме аппаратной избыточности несколько серверов TING добавляются в кластер. Все устройства кластера разделяют один и тот же IP-адрес. В каждый момент времени, только одно устройство (мастер) обрабатывает весь трафик пользователей. Подчиненные устройства постоянно синхронизируют свое состояние с мастер-устройством. Если мастер устройство выходит из строя, его подменяет одно их подчиненных устройст, которое само становится мастером. Новый мастер способен прозрачно подхватить и продолжить обработку сетевых потоков от клиентов. Данная технология обеспечивает непрерывность доступа к сети Интернет. Функционал кластеризации реализован за счет ряда технологий: протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза).
Connection Failover
TING может работать с несколькими каналами подключения к Интернет. Для этих каналов можно настроить режим Connection Failover. В данном режиме шлюз переключается на запасные каналы доступа в Интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа.
Шейпер / приоритезация трафика (ipfw + dummynet)
Всем знакома ситуация, когда один пользователь может занять весь Интернет-канал всего лишь запустив приложение вроде BitTorrent-клиента. Для решения данной проблемы в TING есть функционал шейпера трафика. Шейпер обеспечивает наиболее востребованные виды шейпирования:
ограничение максимальной скорости работы пользователя
резервирование выделенной полосы для трафика
распределение пропускной способности Интернет-канала поровну между пользователями внутренней сети
приоритезация трафика приложения с помощью очередей для трафика критичного к задержкам
VPN-сервер
VPN-сети позволяют настроить конфиденциальное взаимодействие между географически разнесенными сетями или обеспечить шифрованное подключение удаленных пользователей к офису. TING поддерживает наиболее популярные технологии VPN:
OpenVPN
IPsec в туннельном режиме
L2TP/IPsec (IPSec в транспортном режиме)
Tinc VPN
PPTP
PPPoE
Система централизованного управления
Central Management System – система централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation. В рамках инфраструктуры, шлюз Traffic Inspector Next Generation может выполнять одну из двух ролей: Мастер-узел (master node) – шлюз Traffic Inspector Next Generation, устанавливаемый в центральном офисе учреждения. Мастер-узел позволяет осуществлять централизованное администрирование, диагностику и сбор данных с сетевых шлюзов, расположенных в удаленных офисах. Подчиненный узел (slave node) – шлюз Traffic Inspector Next Generation, устанавливаемый в каждом из удаленных офисов учреждения. Подчиненный узел получает свои настройки от назначенного мастер-узла. Подчиненный узел полностью контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет. Сетевое взаимодействие между мастер-узлом и подчиненным узлом осуществляется по защищенным соединениям. После настройки инфраструктуры, администратор может инициировать передачу настроек на выбранный подчиненный узел и получать диагностические сообщения с подчиненных узлов.
Защита от сетевых угроз¶
Сетевой экран (Packet Filter)
Сетевой экран защищает шлюз TING и компьютеры пользователей от несанкционированного доступа из сети Интернет, сетевого сканирования. Раздает Интернет на пользователей корпоративной сети. Может обеспечить досуп ко внутренним серверам из Интернета.
Шлюзовый антивирус (С-ICAP + ClamAV)
Защищает от вирусов и вредоносного содержимого в веб-трафике. Не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей. Проверяется HTTP- и HTTPS-трафик.
Система обнаружения / предотвращения вторжений (Surricata)
Система IDS/IPS выявляет и предотвращает широкий диапазон атак:
эксплуатирование уязвимостей в сетевых протоколах (DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколах)
DOS-атаки
сетевое сканирование
работа ботнетов и скомпрометированных хостов
работа хостов, зараженных троянским ПО и сетевыми червями
защита от спам-сетей
использование скомпрометированных SSL-сертификатов
Создание политик веб-доступа¶
Веб-прокси сервер (Squid)
Веб-прокси – служба, через которую пользователи получают доступ к Интернету. Веб-прокси поддерживает:
Проксирование протоколов HTTP, HTTPS, FTP
Прозрачное проксирование
Перехват и дешифрование SSL/TLS-соединений
Кеширование веб-контента
Фильтрация через списки контроля доступа
Фильтрация с помощью прокси-сервера (Squid):
Фильтрация по IP-адресам клиентов и сетям
Фильтрация по портам назначения
Фильтрация по типу браузера (User Agent)
Фильтрация по типу контента (по MIME-типам)
Фильтрация по общим белым и черным URL-спискам
Фильтрация по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу
Фильтрация по скачиваемым URL-спискам (SquidGuard)
Фильтрация по категориям с помощью модуля NetPolice
В URL-списках допускается использование синтаксиса регулярных выражений.
L7-фильтрация (nDPI)
Система глубокой инспекции пакетов обеспечивает интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа. С точки зрения пользователя, данная система – простое решение для блокировки приложений вроде Skype и BitTorrent.
Мониторинг сетевой активности и отчеты¶
TING поддерживает гибкие и информативные отчеты по сетевой активности пользователей, благодаря которым руководитель сможет увидеть на какие ресурсы обращался пользователь, сколько данных было скачано с ресурса, какие сетевые протоколы и порты были использованы.
Мониторинг трафика с помощью NetFlow
NetFlow – технология и сетевой протокол для снятия сетевой статистики с сетевых интерфейсов маршрутизаторов. NetFlow разработан Cisco и является де-факто промышленным стандартом, подерживаемым сетевым оборудованием Cisco, Juniper и Unix-подобными системами. Архитектура NetFlow предполагает три роли, которые выполняются устройствами: сенсор / экспортер, коллектор, анализатор. TING способен выполнять все три роли в архитектуре NetFlow. На базе NetFlow в Traffic Inspector Next Generation реализован ряд отчетов:
Отчет по сетевой активности
Отчет по наиболее популярным сетевым службам
Отчет по наиболее популярным IP-адресам назначения
Отчеты по веб-прокси
Пользователи могут обращаться на веб-ресурсы через веб-прокси сервер TING. Поддерживается несколько типов отчетов по прокси:
Domains (по посещенным доменам)
URLs (по посещенным URL)
Users (по пользователям, генерировавшим запросы на прокси)
User IPs (по компьютерам, генерировавшим запросы на прокси)
Мониторинг системы с помощью RRDtool
RRDtool — набор утилит для хранения, обработки и визуализации динамических данных (т.е. последовательность замеров некоторого изменяющегося во времени параметра). Все данные хранятся в кольцевой базе, размер которой остаётся неизменным. На базе RRDtool в Traffic Inspector Next Generation реализован ряд отчетов.
Отчет по состоянию Интернет-канала
Отчет по использованию процессора
Отчет по использованию оперативной памяти
Отчет по количеству состояний трассировщика соединений сетевого экрана
Мониторинг загрузки сетевых интерфейсов в реальном времени
В разделе Reporting -> Traffic Graph можно увидеть текущую загрузку сетевых интерфейсов и скорость работы пользовательских компьютеров.
Журнал сетевого экрана packet filter
В разделе Межсетвой экран -> Журнал можно увидеть журнал работы сетевого экрана. Наиболее полезно Стандартное представление журнала. Здесь можно видеть судьбу каждого пакета, обработанного сетевым экраном. Отображается IP-адрес и порт источника, IP-адрес и порт назначения, входящий интерфейс, время обработки пакета и действие, которое было применено к пакету.
Cистемный журнал и syslog-ng
В разделе Система -> Журнал доступен системный журнал. Системный журнал реализован на базе Syslog. В системном журнале содержутся сообщения от различных подсистем Traffic Inspector Next Generation.