Виды правил и операции с ними

<< Click to Display Table of Contents >>

Navigation:  Работа Traffic Inspector с сетевыми интерфейсами > Управление трафиком на локальных интерфейсах > Виды и предназначение правил, наборы правил >

Виды правил и операции с ними

 Previous pageReturn to chapter overviewNext page

В Traffic Inspector реализованы следующие типы правил.

В рамках управления правилами в Traffic Inspector реализованы следующие операции:

Создание/изменение правил типа "Разрешение + действие"

Правило типа "Разрешение + действие", по сути, является разрешающим правилом. То есть в нем задаются условия, при соблюдении которых трафик будет разрешен. После срабатывания правила на разрешение дальнейшая обработка этого трафика другими правилами ниже по списку прекращается.

Если правило используется для пользователей, то правило может быть дополнено действиями. В этом случае одновременно с разрешением трафика Traffic Inspector выполняет заданные действия, например, делает трафик бесплатным, ограничивает его скорость и т.п.

Для создания нового или редактирования уже существующего правила Разрешение + действие выполните следующие действия.

  1. Откройте окно свойств нового или существующего правила. Если нужно создать новое правило в составе набора правил, то следует использовать контекстное меню в соответствующем нужному набору подразделе в разделе Правила -> Группы правил консоли администратора. Если нужно создать правило без набора, то необходимо использовать контекстное меню в разделе Правила -> Правила пользователей или блок Правила действия, расположенный на главной странице раздела Правила.
  2. На вкладке Наименование введите в поле уникальное наименование правила и, при необходимости, его произвольное описание.

Замечание! Рекомендуется не пренебрегать описанием правил. Это значительно облегчает управление правилами, особенно при большом их количестве.

  1. Если правило нужно временно отключить, не удаляя совсем, то включите флажок Запретить правило.
  2. На вкладке Тип трафика укажите, какой трафик будет обрабатываться данным правилом:
    • Любой трафик - при выборе данного варианта обрабатывается весь трафик для отмеченных флажками служб Traffic Inspector (то есть правило может распространяться как на какую-то одну, так сразу и на несколько служб), однако условия могут задаваться только по IP-адресам, протоколам и портам.
    • Трафик через прокси-сервер - данный вариант позволяет обрабатывать трафик только HTTP-прокси, но при этом поддерживаются условия по URL-адресам, типам и категориям контента.
  3. На вкладке Тип трафика выберите тип правила, в данном случае - Разрешение + действие.
  4. На вкладке IP адрес укажите IP-адреса назначения (IP-адреса, на которые направляет трафик), для которых будет срабатывать данное правило. Возможны следующие варианты:
    • Любой - правило будет срабатывать для всего трафика.
    • Сам сервер - правило будет срабатывать при обращении на любой сетевой интерфейс самого сервера.
    • IP адрес или сеть - правило будет срабатывать при обращении внешний IP-адрес, соответствующий указанному или входящий в указанный диапазон.
    • Использовать список - правило будет срабатывать при обращении к указанной в выпадающем списке IP-сети (подробнее про IP-сети см. в п. IP-сети). При выборе этого варианта можно непосредственно с данной вкладки перейти к редактированию активной или созданию новой IP-сети.
  5. Если на вкладке Тип трафика был выбран вариант Любой трафик, то на вкладке IP протокол настройте протокол и, при необходимости, порт трафика, который будет учитываться данным правилом. Сделать это можно с помощью подсказки или вручную. В первом случае выберите шаблон одного из наиболее распространенных типов трафика (например, ICMP, DNS client, HTTP client, FTP client и т.п.). При этом все параметры будут настроены автоматически.

Для ручной настройки самостоятельно выберите нужный протокол. Если был выбран вариант UDP или TCP, то дополнительно укажите сетевой порт. Это может быть один конкретный порт, диапазон номеров сетевых портов или динамический порт.

  1. Если на вкладке Тип трафика был выбран вариант Трафик через прокси-сервер, то на вкладке Протокол выберите протокол для работы через HTTP-прокси. Возможны следующие варианты:
    • Любой - любой протокол, поддерживаемый HTTP-прокси.
    • HTTP -  прямое проксирование HTTP-протокола. При выборе данного варианта можно заблокировать отправку данных методом POST.
    • HTTP/TUNN - проксирование исходящих TCP-соединений методом CONNECT. Может использоваться как для проксирования произвольного трафика, так и только для защищенных SSL-соединений. Во втором случае необходимо ввести в поле Порт назначения порт 443 (стандартный порт для SSL-соединений) или нажать на кнопку Ограничить только для SSL.
    • FTP - протокол FTP поверх протокола HTTP с использованием метода GET.

При необходимости на данной вкладке можно указать интервал сетевых портов или конкретный порт, на который будет распространяться действие данного правила.

  1. Если на вкладке Тип трафика был выбран вариант Трафик через прокси-сервер, то на вкладке Проверка URL задайте параметры проверки URL-адресов. Возможны следующие варианты.
    • Не проверять - проверка URL-адресов не осуществляется.
    • URL запрос или строка в формате регулярных выражений - осуществляется поиск в URL-адресе указанной строки, которая может представлять собой конкретный URL-запрос или строку, содержащую регулярные выражения (подробнее о синтаксисе регулярных выражений см. в п. !!!).
    • Список - осуществляется проверка соответствия URL-адреса выбранному URL-списку (подробнее про URL-списки см. в п. URL-списки). При выборе этого варианта можно прямо с данной вкладки перейти к редактированию активного или созданию нового URL-списка.

При выборе вариантов URL запрос или строка в формате регулярных выражений или Список существует возможность проверить корректность работы условий. Тестирование осуществляется в отдельном окне, вызов которого осуществляется непосредственно с данной вкладки. Для проверки по строке введите адрес и строку и запустите процесс тестирования. Для проверки адреса по списку введите только адрес. Результат проверки будет отображен в том же окне в виде надписи YES (результат положительный) или NO (результат отрицательный).

  1. Если на вкладке Тип трафика был выбран вариант Трафик через прокси-сервер, то на вкладке Анализ контента настройте условия отбора трафика на основе анализа передаваемого контента. Отбор может осуществляться по типу данных. В этом случае флажками отметьте нужные типы из списка возможных. Если нужна фильтрация по категориям контента с помощью модуля расширения NetPolice для Traffic Inspector (подробнее о модуле см. в п. NetPolice для Traffic Inspector), то выберите нужную категорию из числа предварительно созданных (подробнее о категориях контента см. в п. Категории контента). Обе проверки могут использоваться как отдельно друг от друга, так и вместе.
  2. В Traffic Inspector реализована возможность фильтрации трафика с помощью фильтра U32. Если в этом фильтре есть необходимость, то включите его на вкладке Расширенная фильтрация и задайте свое собственное правило или выберите из списка одно из предустановленных.
  3. На вкладке Дополнительно выберите состояние счета, при котором данное правило будет срабатывать (при любом состоянии счета, при работе в кредит или не в кредит). Это позволяет, например, блокировать доступ пользователей к определенным ресурсам при работе в кредит. Также укажите, для каких типов локальных сетей должно срабатывать данное правило (для любых, только для локальных или только для публичных).
  4. Если есть необходимость создания правила, которое обрабатывает трафик, направленный другим правилом (функцией маршрутизации) на определенный интерфейс, то на вкладке Дополнительно включите эту функцию и выберите нужный сетевой интерфейс.
  5. При необходимости на вкладке Расписание настройте расписание действия правила (работа на вкладке аналогична работе на одноименной вкладке окна свойств группы, подробнее см. в п. Создание и настройка групп). Здесь же можно указать период действия правила по датам.
  6. При необходимости настройте изменение тарификации трафика, соответствующего данному правилу. Для этого на вкладке Тарификация выберите один из следующих вариантов действия:
    • Сделать бесплатным - трафик, соответствующий правилу, не будет тарифицироваться (то есть при его получении баланс пользователя меняться не будет).
    • Посчитать по другому тарифу - трафик, соответствующий правилу, будет тарифицироваться не по обычному для пользователя, а согласно выбранному в выпадающем списке тарифу.

Замечание! При применении правила для неавторизованных пользователей данное действие смысла не имеет, а поэтому выполняться не будет.

Замечание! При изменении этой настройки для работающих пользователей может произойти пересчет тарификации.

  1. На вкладке Шейпер выберите действие шейпера для данного правила. Доступны следующие варианты работы шейпера:
    • Ничего не делать - выберите этот вариант для выключения шейпера для данного правила.
    • Не использовать этот трафик для определения скорости и передавать эти данные без задержек - включите для трафика, который необходимо передавать без ограничения скорости.
    • Применить правило для шейпера - выберите этот вариант для ограничения скорости передачи трафика, соответствующего данному правилу. При этом можно настроить следующие дополнительные параметры:
      • Ограничивать скорость - включите, если нужно ограничить скорость на прием и/или передачу данных до указанных величин.
      • Увеличить приоритет трафика при обработке пакетов в очереди - включите, если нужно задать для трафика определенный приоритет. Приоритет задается цифрой от 1 до 9 (9 - самый высокий). Traffic Inspector учитывает приоритет при передаче пакетов из очереди.
      • Также делать приоритет и при ограничении скорости в группе - включите, если для трафика будет использоваться отдельная очередь (отдельная на каждую группу). Такой трафик получает еще более высокий приоритет.
  2. При необходимости на вкладке Роутинг настройте перенаправление трафика, соответствующего правилу, на другой интерфейс. Сам факт выполнения этого действия может использоваться и как условие для правила (см. шаг 13). Так как правила обрабатываются строго по списку, то, размещая такие правила после правила, которое сделало перенаправление, можно собрать логику применения условий в зависимости от используемого внешнего интерфейса. Например, применить скидки (наценки). Следует также учесть, что настройки пользователей (групп) применяются после просмотра списка (подробнее см. в п. Advanced Routing - работа с несколькими внешними интерфейсами).

Для настройки роутинга включите его и укажите нужный внешний интерфейс.

  1. Сохраните внесенные изменения.

Создание/изменение правила типа "Запрет"

Правила типа Запрет блокируют передачу трафика, соответствующего заданным в них условиям. После этого обработка трафика другими правилами, следующим за запрещающим, прекращается.

Создание нового или редактирование уже существующего правила типа Запрет в основном аналогично созданию или редактированию правила типа Разрешение + действие (см. выше). Однако между ними есть следующие различия:

  1. В правиле типа Запрет отсутствуют вкладки Тарификация, Шейпер и Роутинг. Соответственно, недоступны все связанные с ним настройки (шаги 15-17 процедуры настройки правила типа Разрешение + действие).
  2. В правиле типа Запрет можно настроить размер объекта, при котором трафик будет запрещен. Сделать это можно на вкладке Размер объекта, где нужно включить эту функцию и указать размер объекта (в КБайт). Это позволяет запретить пользователям загружать файлы большого объема.
  3. В правиле типа Запрет можно указать страницу, на которую будет автоматически направлен пользователь при срабатывании правила, то есть при блокировке HTTP-трафика (она будет показана вместо запрашиваемой). Сделать это можно на вкладке Перенаправление, где нужно включить данную функцию и указать адрес нужной страницы. Адрес можно ввести абсолютный (например, "http://company.ru") или относительный (относительно подпапки \root папки установки Traffic Inspector, например, "/images/blank.jpg"). Также при включении перенаправления необходимо выбрать метод перенаправления:
    • Временное перенаправление - используется при перенаправлении одного ресурса страницы (например, позволяет вместо баннера вывести пустой рисунок);
    • Постоянное перенаправление-- используется при перенаправлении запроса всей страницы на другой сайт.
  4. В правиле типа Запрет на вкладке Блокировка можно настроить действия Traffic Inspector при блокировке ресурсов HTTP-прокси.
    • Определите, будет или нет система при блокировке ресурсов загружаемой страницы пытаться извлечь их из кэша. Запрет этого действия имеет смысл для ресурсов с явно нежелательным контентом, которые, однако, могли попасть в кэш (например, загружались другими пользователями).
    • Включите или выключите замену заблокированных и не найденных в кэше изображений и flash-роликов пустыми файлами. Рекомендуется использовать эту функцию, чтобы по возможности сохранять целостность веб-страниц.
    • Определите, что будет отображаться в барузере при блокировке всей веб-страницы - пустая страница или страница с описанием причины блокировки.
    • При необходимости дополните стандартную страницу с причиной блокировки собственным комментарием - произвольным текстом.

Создание/изменение правил типа "Управляемое пользователем"

Правила типа Управляемое пользователем являются запрещающими правилами, переключаемыми пользователем в клиентском агенте. В отличие от других, правила данного типа делятся на 4 уровня фильтрации (в программе обозначаются F1-F4). По умолчанию правило F1 содержит список ключевых баннеров и баннерных сетей и настроен на блокировку анимаций и изображений, правило F2 блокирует мультимедиа-контент, F3 блокирует вообще все изображения, а F4 пропускает только текст. Для этого при установке Traffic Inspector автоматически создаются соответствующие правила. При необходимости их можно изменять обычным порядком или дополнять своими с указанием уровня фильтрации.

Управление правилами данного типа полностью аналогично управление правилами типа Запрет (см. выше). Единственным отличием является необходимость выбора уровня фильтрации на вкладке Тип правила.

Создание/изменение правил типа "Только действие"

Правила типа Только действие используются для выполнения над описанным в них трафиком тех или иных действий. После срабатывания правила обработка трафика другими правилами ниже по списку продолжается.

Управление правилами данного типа полностью аналогично управление правилами типа Разрешение + действие (см. выше). Однако необходимо учитывать разницу между правилами этих типов.

Изменение типа правила

Данная операция позволяет не только отредактировать параметры правила, но и изменить его тип и тип трафика (при обычном редактировании это сделать нельзя). Запускается она с помощью контекстного меню подраздела набора, в котором находится правило, или непосредственно в разделе Правила -> Правила пользователей. Выполняется изменение типа правила в окне свойств правила аналогичном окну свойств нового правила (см. выше).

Включение правила в набор правил

Правила можно включать в состав наборов или переносить из одного набора в другой (подробнее о наборах правил см. в п. Наборы правил). Запускается эта операция с помощью контекстного меню подраздела исходного набора или непосредственно в разделе Правила -> Правила пользователей. Смена набора осуществляется в специальном окне, в котором нужно выбрать новый набор. Тут же, при необходимости, можно временно заблокировать правило, не удаляя его.

Удаление правила

Удаление правила осуществляется с помощью контекстного меню подраздела исходного набора или непосредственно в разделе Правила -> Правила пользователей.