Новое в версии 1.1.
В программе теперь используется собственный механизм фильтрации взамен API от
Microsoft. Это позволило реализовать много новых возможностей, улучшить
стабильность работы программы и обеспечить лучшую совместимость с другими
программами и службами самой системы Windows.
Фильтрация теперь работает зеркально как на прием, так и на передачу, что
позволило увеличить эффективность firewall и исключить прохождение лишних
пакетов как наружу, так и внутри сети.
Авторизация.
- Теперь нормально работает авторизация по MAC адресу. И доступна любая
комбинация Имя + IP + MAC.
- Снято ограничение на диапазон IP адресов у клиента - ранее разрешалось не
более 16. Это позволяет одним клиентом описать сразу большую сеть.
- При отключении авторизации через агента теперь закрываются и все сессии в
прокси и SOCKS сервере.
- При авторизации теперь сначала ищутся клиенты среди разрешенных, а потом
уже любые. Т.е. если есть незапущенные клиенты с одинаковыми адресами и
именами, то они не мешают авторизации.
- Перевод клиента в состояние "Запрещено" теперь полностью исключает его из
всех операций по авторизации - т.е. он вне зависимости от его настроек не
мешается.
- Перевод клиента с авторизацией по адресу (IP или MAC) в состояние СТОП или
ПАУЗА теперь не мешает произвести авторизацию другого клиента с этим адресом.
- Доработан агент - в настройках введена отдельная опция при авторизации по
IP или MAC адресу.
- Монитор работы теперь показывает более подробную информацию о статусе
клиента и способе авторизации. Также более подробная информация о способе
авторизации записывается и в логи.
- Контроль нарушений политики авторизации ведется отдельной сетевой
статистикой. Это не работает для клиентов с авторизацией по имени. Но все
нарушения отписываются в логи и краткий отчет отсылается администратору по
электронной почте.
- Появилась возможность выборочно разрешать или запрещать авторизацию через
прокси сервер с различных типов сетей, а также запрещать для группы.
- Доработана интеграция с Active Directory - добавлена возможность работы
клиентов из других доменов. Домены могут быть как в одном каталоге AD, так и
использовать доверительные отношения. Для клиентов из других доменов также
доступна функция автодобавления, для этого в этих доменах должны быть
прописаны одноименные группы.
Фильтрация трафика клиентов.
- Фильтры "для всех" теперь применяются только на внутренних интерфейсах -
см. далее доработки в firewall.
- Введена возможность блокировки HTTP трафика мимо прокси сервера. Ранее для
этого приходилось настраивать запрещающие фильтры на порты 80 (8080 и др.),
что было не совсем эффективно. Теперь это делается анализом TCP/HTTP данных
драйвером программы. См. также функцию Transparent Proxy.
- Transparent Proxy - функция принудительного перенаправления сквозного TCP
трафика на прокси сервер. Позволяет использовать прокси сервер независимо от
настроек броузера. При включении этого режима перенаправляются запросы только
по 80 порту, дркгие блокируются (см. функцию блокировки HTTP мимо прокси
сервера).
- Для функций "Блокировка HTTP мимо прокси" и "Transparent Proxy"
доступны как общие настройки, так отдельные для групп.
- Реализован внутренний firewall для ограничения доступа на сам сервер
из внутренних сетей - описание см. ниже. Ранее эти ограничения
настраивались фильтрами и их настройка не всегда была гибкой и удобной.
- Изменилась логика запрещающих и разрешающих фильтров для трафика с любым
IP адресом назначения. Если включен внутренний firewall, то такой разрешающий
фильтр не открывает трафик на IP адреса самого сервера. Аналогично такой
запрещающий не блокирует доступ к службам ТИ и он имеет меньший приоритет
перед разрешениями, где прописаны IP адреса назначения.
Внутренний firewall.
Для ограничения доступа на сам сервер изнутри сети введены настройки
внутреннего сетевого экрана. Настройки доступны в окне общих настроек фильтров,
а также из главной страницы консоли. Имеются отдельные настройки для локальных и
публичных сетей. По умолчанию для локальных сатей firewall отключен, для
публичных включен. Кроме включения firewall там можно задать разрешения на
некоторые протоколы и службы. Аналогичные настройки сделаны и для внешнего
firewall (см. далее).
У клиента появилась настройка "Является администратором". Кроме разрешения
доступа в закрытую часть веб сервера она также отключает внутренний
firewall.
Тарификация.
Для клиентов с автоблокировкой добавлена возможность работы в кредит с
отрицательным значением баланса. Значение кредитного лимита задается
в тарифе вместе с другими параметрами. При работе клиента в кредит можно
задать отдельные ограничения или разрешения его параметров его работы -
- Отдельные значения ограничений скорости.
- В фильтрах "Для клиентов" теперь можно задавать дополнительные условия их
применения в зависимости от состояния счета - "Любое", "Работает в кредит",
"Не работает в кредит". Таким образом можно при работе в кредит переопределить
все правила и политики работы клиента.
- В настройках фильтрации группы при работе клиента в кредит можно задать
блокировку всего трафика по умолчанию. В сочетании с настройками фильтров это
позволит при работе в кредит разрешить только определенный тип
трафика.
Также появилась возможность ввести общий корректировочный
коэффициент при учете исходящего трафика. Может быть полезно в
случаях, когда исходящий трафик дорогой, например при подключении через
спутник.
Virus flood protect.
Введена возможность блокировки пользователя при исчерпании лимита количества
записей сетевой статистики. Эта мера позволяет эффективно выявить аномальную
сетевую активность клиента и заблокировать его для предотвращения перегрузки
сети, сервера и каналов подключения к Интернет.
Для включения этого надо:
- Задать лимит записей в сетевой статистике, при превышении которого
сработает блокировка. Размер этого лимита индивидуальный для клиента, зависит
от характера его трафика. Также при определении этого лимита имеет
значение и параметр интервала записи данных сетевой статистики. Чем он больше,
тем больше записей может скапливаться в текущем коллекторе и тем больше
должен быть лимит. Для обычного одиночного клиента можно выставить
10-30 записей при интервале записи 10 минут.
- Включить функцию блокировки (общие настройки клиентов, закладка "Сетевая
статистика") и задать время, на которое клиент будет заблокирован.
События блокировки записываются в лог программы. Также, если настроено
оповещение по E-Mail, высылается сообщение администраторам.
Эта функция использует записи текущей сетевой статистики - см. отчет по
сетевой статистике в консоли программы. Там же можно и оценить количество
записей при нормальной работе клиента. При использовании этой функции
блокировки ни в коем случае нельзя отключать функцию группировки
записей сетевой статистики по динамическим портам (Окно общих настроек
программы, закладка "Сетевая статистика), иначе ее размер будет очень большим
даже при нормальной работе клиента и настроить работу блокировки будет просто
невозможно.
Firewall
- Включение и некоторые основные настройки firewall вынесены в окно общих
настроек. Там теперь можно отключить некоторые его функции, которые ранее по
умолчанию были всегда включены и по-простому задать разрешения для некоторых
протоколов и служб.
- Теперь кроме разрешающих правил можно задавать и запрещающие. Ранее
запрещающие правила на внешнем интерфейсе можно было задавать запрещающими
фильтрами "для всех". Теперь такие фильтры применяются только на внутренних
интерфейсах. Т.е. теперь можно блокировать исходящий трафик, идущий с самого
сервера отдельно от трафика, идущего от клиентов.
- В правилах firewall введено условие направления движения пакета. Также
появилась возможность для отдельных параметров задавать инверсные условия
(галки "НЕ"). Все это вместе для подготовленных администраторов позволяет
более гибко настраивать фильтры. Внешние счетчики и блокировка внешних
подключений.
- При включении блокировки внешнего трафика теперь блокируются только те
направления, на которые сработал счетчик. Ранее срабатывание счетчика "Весь
Интернет" блокировало весь трафик независимо от состояния других счетчиков.
Т.е. теперь при перерасходе платного трафика доступ на другой (льготный или
бесплатный) останется.
- При срабатывании или отключении блокировки появилась возможность запуска
другого приложения. Это позволит, например, используя утилиту netsh.exe
отключить Интернет полностью, запретив внешний интерфейс. Это может исключить
расход трафика из-за прихода каких-либо пакетов из внешней сети.
Прокси сервер.
- Различные доработки авторизации - см. выше.
- Новый механизм учета трафика. Работает на уровне драйвера, что
обеспечивает абсолютную точность подсчета трафика через прокси сервер и SOCKS.
В случае, если учет трафика через драйвер невозможен изза того, что он идет
через неназначенный интерфейс, включается классический метод, работающий
на уровне приложения.
- Усовершенствована работа правил кеширования. При запросе тип контента
теперь проверяется также при извлечении данных из кеша, ранее использовался
тип данных только из самого запроса. Это усовершенствование позволило более
эффективно настраивать работу кеша. Например, предустановленное правило на
ключевое слово «forum» можно сузить до типа text. Ранее это сделать не
получалось, так как из самой строки запроса не всегда можно было определить
тип данных. Т.е. при такой доработке правила кеширования тексовые данные будут
всегда проверяться, а картинки и другой не текстовый контент браться из кеша.
- Добавлено удержание авторизации клиента открытой сессией прокси сервера
(или SOCKS). Ранее авторизация удерживалась только при передаче данных, но
могла отключаться по таймауту при простое.
RAS (VPN) server.
Решена проблема работы с интерфейсом internal RAS сервера. Теперь программа
может не только считать трафик RAS клиентов, но и нормально управлять их
доступом. Также доступны все возможности по фильтрации их трафика.
В текущей версии в качестве dial-in клиента можно использовать любую
авторизацию, кроме MAC адреса (в отличие от 109 билда). IP адрес, выдаваемый RAS
клиенту, может быть как постоянным, так и переменным. Также через Dial-Up сервер
может быть подключена целая сеть. При этом никаких специальных настроек в самой
программе делать не надо.
Для настройки программы с RAS сервером надо назначить в ней соотв. внутренний
интерфейс и прописать Dial-In клиентов. Также надо ОБЯЗАТЕЛЬНО у этих клиентов
на закладке авторизации взвести соотв. галку, иначе они через интерфейс RAS
сервера работать не будут. В остальном настройка таких клиентов ничем не
отличается от обычных.
Если через RAS сервер подключена целая сеть (например, удаленный офис), то
можно всех его клиентов описать как одного, а можно и по отдельности.
Особенности WAN интерфейсов.
Существующая реализация работы с NdisWAN драйверами стека TCP/IP накладывает
ряд ограничений.
- Если в программе используются любые WAN интерфейсы (они назначены), то
трафик на незнаначенных в программе интерфейсах блокируется. Если же требуется
прозрачная работа этих интерфейсов, надо снять галки привязки драйвера
программы в свойствах соединений. Но это не получится сделать с Dial-In
интерфейсом – в службе RRAS такой настройки нет. Поэтому, если требуется
работа RAS сервера без участия программы, в ней вообще нельзя назначать ни
одного WAN интерфейса.
- Интерфейс RAS сервера можно назначить только внутренним.
- Интерфейсы RAS соединений или Dial-Demand можно назначить только внешними.
Поэтому не получится использовать встречное Dial-Demand подключение, для
входящих соединений надо использовать RAS сервер.
- Можно назначить не более одного интерфейса RAS соединений. Если требуется
несколько, надо использовать RRAS и Dial-Demand.
Bandwidth control (шейпер).
Это функция ограничения скорости работы клиентов. Реализована на уровне
сетевого драйвера и позволяет работать с любым трафиком на внутреннем
интерфейсе. Принцип работы шейпера - это вычисление скорости трафика и
внесение задержек передачи пакетов созданием очередей.
Основные возможности этого механизма:
- Ограничение индивидуальной скорости работы клиента с отдельной настройкой
на прием и передачу.
- Назначение суммарной максимальной скорости для группы (отдельно на
прием и передачу). При этом выделенная полоса динамически делится поровну
между работающими клиентами в группе независимо от характера их трафика.
- Ограничение по скорости передачи пакетов. Полезно для
предотвращения перегрузки сети при вирусных эпидемиях.
- Назначение в фильтрах типа трафика, который надо исключить из контроля
скорости и передавать без задержек.
- Назначение отдельных ограничений скорости в фильтрах для
конкретного типа трафика. Эта настройка имеет приоритет
перед ограничениями скорости у пользователя и позволяет отдельно
переопределять полосу для различного типа трафика.
- Выставление приоритетов в фильтрах на определенный тип трафика. Эта
настройка позволяет менять очередность пакетов во внутренней
очереди пользователя и передавать критичные данные с минимальными
задержками.
- Выставление дополнительных приоритетов в фильтрах на определенный тип
трафика при наличии ограничения скорости в группах. Такие пакеты
обрабатываются в отдельной очереди для каждой группы, что позволяет еще
больше поднять приоритет их передачи.
- Для фильтров может быть назначено расписание, что позволяет изменять
настройки службы в зависимости от времени.
- Данные из кеша прокси сервера, а также с локального веб сервера (сервер
статистики) ограничениям по скорости не подвергаются.
- По умолчанию весь трафик на сам сервер шейпером не обрабатывается. Если же
надо включить ограничения на какие-то другие службы на этом сервере, то это
можно сделать прописав соотв. правила (фильтры).
Совместимость с другими программами.
В связи с использованием своего API фильтрации улучшилась совместимость
программы.
- Программа теперь перестала конфликтовать по внешнему интерфейсу с
Microsoft ISA server. Т.е оба сервера могут работать одновременно без
ограничений работоспособности.
- Также можно использовать механизмы фильтрации в службе RRAS и встроенный
firewall службы ICS.
Дополнительные возможности.
- Реализована блокировка внешних сетей при прекращении работы программы. Эта
блокировка реализована на уровне драйвера и предотвращает бесконтрольное
использование Интернет при ситуациях, когда сервис программы не загружен,
неработоспособен или работа программы затруднена из-за нехватки ресурсов
процессора. Блокировка работает также в процессе старта системы, пока сервис
программы еще не успел загрузиться.
Ограничения версий программы.
Интерфейс RAS сервера (internal службы RRAS) теперь учету при ограничениях
внутренних интерфейсов в версиях программы LITE+, PRO, HOMENET не подвергается.
Т.е. можно во всех версиях программы применить эту службу.
Инсталлятор программы.
- Усовершенствован исталлятор, теперь в большинстве случаев при установке
или перестановке программы перезагрузка системы не требуется.
- MSXML 4.0 теперь ставится самим инсталлятором. Отдельно этот пакет ставить
не надо.
ВНИМАНИЕ!
- Драйвер в программе новый, требуется обновление.
- Из-за изменения формата типа протокола ранее введенные фильтры с типом
«другой» придется откорректировать. Это относится к фильтрам клиентов и
правилам firewall.
- Со старым агентом совместимость имеется, но лучше их все
обновить.