Другие статьи

Цель нашей работы - изучение аминокислотного и минерального состава травы чертополоха поникшего
2010

Слово «этика» произошло от греческого «ethos», что в переводе означает обычай, нрав. Нравы и обычаи наших предков и составляли их нравственность, общепринятые нормы поведения.
2010

Артериальная гипертензия (АГ) является важнейшей медико-социальной проблемой. У 30% взрослого населения развитых стран мира определяется повышенный уровень артериального давления (АД) и у 12-15 % - наблюдается стойкая артериальная гипертензия
2010

Целью нашего исследования явилось определение эффективности применения препарата «Гинолакт» для лечения ВД у беременных.
2010

Целью нашего исследования явилось изучение эффективности и безопасности препарата лазолван 30мг у амбулаторных больных с ХОБЛ.
2010

Деформирующий остеоартроз (ДОА) в настоящее время является наиболее распространенным дегенеративно-дистрофическим заболеванием суставов, которым страдают не менее 20% населения земного шара.
2010

Целью работы явилась оценка анальгетической эффективности препарата Кетанов (кеторолак трометамин), у хирургических больных в послеоперационном периоде и возможности уменьшения использования наркотических анальгетиков.
2010

Для более объективного подтверждения мембранно-стабилизирующего влияния карбамезапина и ламиктала нами оценивались перекисная и механическая стойкости эритроцитов у больных эпилепсией
2010

Нами было проведено клинико-нейропсихологическое обследование 250 больных с ХИСФ (работающих в фосфорном производстве Каратау-Жамбылской биогеохимической провинции)
2010


C использованием разработанных алгоритмов и моделей был произведен анализ ситуации в системе здравоохранения биогеохимической провинции. Рассчитаны интегрированные показатели здоровья
2010

Специфические особенности Каратау-Жамбылской биогеохимической провинции связаны с производством фосфорных минеральных удобрений.
2010

Эволюция систем учета трафика в Интернете

Аннотация. В данной статье рассмотрена необходимость учета трафика для различных групп пользователей – операторов связи и собственно конечных корпоративных пользователей, показаны различия в потребностях этих пользователей и обосновано наличие двух различных классов программного обеспечения для учета трафика: автоматизированных систем расчетов для операторов связи и серверов контроля Интернет доступа для корпоративных сетей, подключенных к Интернету. 

Как известно, любая информация в сети Интернет передается в виде отдельных пакетов – блоков данных сравнительно небольшого размера, каждый из которых имеет адрес отправителя и получателя и путешествует по сети самостоятельно. Так вот, трафик это суммарный объем пакетов, прошедших через точку наблюдения.

Для конечного пользователя сети Интернет интерес представляет не только сколько и откуда данных было получено, то есть количество, но и качество, а именно – что содержалось в этих полученных данных. В общем случае задача учета трафика для операторов и для конечных потребителей отличается именно тем, что последним необходимо контролировать не только количество, но и качество трафика, то есть. в определенных пределах его содержимое.

Необходимость учета трафика. Учет трафика появился вместе с развитием коммерческого сегмента сети Интернет. Как только появился платный ресурс, для любого пользователя, подключенного к провайдеру услуг. Следует учитывать потребление платного ресурса, чтобы контролировать провайдера и понимать, на что расходуются деньги за связь. Точно также практически любой провайдер  подключен к другому провайдеру, для которого он выступает как клиент – т.е. платит за входящий трафик. Поэтому провайдеру необходимо не только учитывать трафик, ушедший к клиентам, но и вести подсчет трафика, пришедшего в сеть провайдера снаружи – от других провайдеров.

Если провайдеру необходимо вести учет трафика для тарификации клиентов, то собственно клиенту учет необходим по целому ряду причин:

  • для проверки данных провайдера о потребленном клиентом объеме трафика и его стоимости путем сравнения данных представленных провайдером и собственной системы учета трафика у клиента.
  • для определения того, как именно распределился полученный от провайдера трафик по компьютерам и пользователям в корпоративной сети клиента. Эта информация, кстати, помогает выявить в корпоративной сети клиента зараженные червями или вирусами компьютеры, которые могут стать автономными источниками (получателя) паразитного трафика.
  • для того,  чтобы  убедиться,  что  потребленный  трафик  был  «целевым»,  т.е.        относящимся к выполнению сотрудниками клиента их непосредственных служебных обязанностей.

Таким образом, учет трафика необходим для того, чтобы, во-первых, тарифицировать использование Интернет ресурсов, а во-вторых, максимально сократить расходы и оптимизировать использование рабочего времени в организации – клиенте.

Внутренний учет трафика в организации. Внутри компании, подключенной к сети Интернет, имеетсясерьезнейшаямотивациядляиспользованиясистемучетатрафика. Интернетужесталнеотъемлемой частью бизнес-процессов, тесно переплетаясь с информационными системами бизнеса. Степень контроля информации бизнеса, теперь зависит от того, насколько компания контролирует Интернет подключение.

Каждый год растет скорость Интернет подключений, также растет количество пользователей. Широкополосные подключения, уже повсеместно заменили собой низкоскоростные подключения на корпоративном рынке. Благодаря этому Интернет становится мощным инструментом, который требует существенно большего контроля. Миллионы новых пользователей появляются в сети, постоянно снижая средний уровень квалификации его пользователей. Развитие технологии направлено в основном на получение большей скорости, в то время как разработка и внедрение механизмов, которые должны обеспечивать учет трафика, контроль и безопасность, серьезно отстает от технологии, ответственной за скорость.

Нецелевое использование средств. Прямые затраты на Интернет зависят от объема потребленной информации. Создать  потребление  может  как  передача  данных  о  новом  продукте  поставщиком, так и увлечение  сотрудников  играми  в  сети.  Таким  образом,  информация  может  быть  как  целевой,  так и нецелевой. К сожалению, провайдеру все равно, какую информацию вы получили – платить придется за все виды трафика.

Рассмотрим данные ряда зарубежных исследователей относительно типа потребляемого трафика сотрудниками компаний на своих рабочих местах.

В опросе, проведенном SurfControl, 100% сотрудников, использующих веб-доступ на работе, сообщили, что они пользовались им в личных целях. А 18% сотрудников ежедневно используют Интерент в личных целях 10 и более раз.

Исследование, проведенное Yankelovich Partners, показало, что более 62% сотрудников ежедневно используют доступ в Интернет в личных целях хотя бы раз.

Исследование SANS Institute показало, что от 50 до 70% сайтов, которые посещают сотрудники во время работы, не связаны с бизнесом.

Исследование, проведенное в Великобритании, показало, что 44% сотрудников, имеющих   доступ в Интернет на работе, тратят в среднем по 3 часа в неделю на использование рабочего Интернета в личных целях.

По результатам исследования, проведенного в США, сотрудники с интернет-доступом тратят около 15% своего рабочего времени на просмотр веб-сайтов, не связанных с их бизнесом.

Проблема нецелевого использования трафика существует в любой компании, предоставляющей сотрудникам доступ в Интернет в связи с выполнением ими служебных обязанностей, например, продаж, поиска новых клиентов, поставщиков, осуществления Интернет рекламы и так далее. Проблема состоит не столько в самом факте нецелевого расходования, сколько в масштабе этого явления, поскольку полностью искоренить его вряд ли возможно. Основной риск состоит в потерянном рабочем времени.

Необходимость учета трафика. Для того, чтобы не растратить деньги компании попусту во- первых, необходимо, иметь точную и оперативную информацию о том, кто, сколько и каких ресурсов из Интернета потребляет, а во-вторых, иметь возможность запретить доступ отдельным неблагонадежным пользователям или доступ всех к явно бесполезным ресурсам.

В чистом виде учет трафика – это только счетчик. Программные продукты, которые реализуют учет трафика в корпоративных сетях, должны также уметь управлять доступом пользователей, фильтровать содержимое данных, получаемых компанией из сети Интернет, обеспечивать защиту корпоративной сети, а также иметь различные дополнительные функции, облегчающие взаимодействие корпоративной сети с Интернетом. Такие серверы контроля корпоративного Интернет подключения в идеале должны полностью автоматизировать и управлять взаимоотношениями между корпоративной сетью и Интернетом. Эти требования позволяют четко разграничить требования к продуктам для учета трафика в сетях операторов связи и в корпоративных сетях, породив по сути две различные ветви эволюции в развитии таких систем.

Ветви систем учета трафика. Таким образом, и автоматизированные системы расчетов, используемые провайдерами, и серверы для контроля Интернет подключения в организациях – клиентах строятся вокруг функции учета трафика, и это главное, что их объединяет, но остальной функционал их сильно отличается.

Для автоматизированных систем расчетов характерен уклон в сторону бухгалтерии и автоматизации бизнес процессов оператора связи. Кроме того, провайдерские системы учета трафика не должны иметь большого числа функций, поскольку это замедляет их быстродействие, и для определения пользователя им достаточно знать IP-адрес его сети.

С другой стороны, серверы для контроля Интернет подключения для компаний пользователей Интернета помимо учета трафика должны гибко управлять доступом пользователей к сети, обеспечивать защиту её и, что особенно важно, обладать набором развитых механизмов авторизации пользователя. Для провайдера с маршрутизируемой сетью авторизации на основе IP-адреса будет вполне достаточно, а вот для организации, использующей Интернет, авторизация по IP-адресу ненадежна и неудобна.

Именно поэтому пути развития программных продуктов для провайдеров и для корпоративных пользователей расходятся все дальше. Каждый из этих программных продуктов постоянно оптимизируется под  задачи,  характерные  для  своей  области  использования.  Так  что,  если  вы  –  Интернет провайдер – выбирайте автоматизированную систему расчетов, имеющую сертификат соответствия по системе сертификации в области связи, что дает право использовать данные автоматизированной системы расчетов для выставления счетов клиентам. Если вы – корпоративный пользователь, то вам нужен сервер контроля Интернет подключения. Сервер контроля Интернет подключения не обязан обладать сертификатом, напротив, наличие сертификата способствует удорожанию продукт и говорит о его приспособленности под совершенно другие задачи.

Эволюция решений по учету трафика для корпоративных сетей. Существенная доля решений серверов контроля Интернет подключения реализуется на базе компьютера или сервера, который либо маршрутизирует трафик, либо на нем имеется прокси сервер. В наиболее продвинутых решениях обе модели реализованы одновременно. Операционные системы решений – это Microsoft Windows Server, FreeBSD либо Linux. Решения, естественно, различаются наборами как основных, так и дополнительных функций. Лидеры отрасли имеют в своем арсенале максимальное количество взаимоувязанных сервисов, которые управляются из единого интерфейса.

Наиболее удобны для пользователя такие решения, дистрибутив которых устанавливает на компьютер все, включая операционную систему и все необходимые программы и утилиты. Это значительно удобнее, чем устанавливать все по отдельности. Естественно, что такие решения базируются на ОС Linux или FreeBSD. Решения на базе UNIX-подобных систем зачастую не требуют абсолютно никаких знаний этих операционных систем от пользователя, поскольку все функции управляются через веб или иные интерфейсы.

Можно выделить следующие направления в развитии серверов контроля корпоративного интернет подключения:

  • решения обзавестись дополнительными сервисами, стремясь к обеспечению всех потребностей клиента по работе с Интернетом.
  • работа по интеграции корпоративного почтового сервера и решению задач контроля спам рассылок и иных угроз, связанных с электронной почтой.
  • существенное усиление компонента информационной безопасности в серверах контроля корпоративного Интернет доступа будет существенно усиливаться.

Развитие пользовательских интерфейсов пойдет по пути упрощения и автоматизации, чтобы корпоративный Интернет доступ сравнялся по простоте настроек, скажем, с мобильным телефоном.

Методы учета трафика. В зависимости от архитектуры сервера контроля корпоративного Интернет доступа могут быть задействованы различные методы получения данных о потреблении трафика.

Для того чтобы полностью учитывать входящий в корпоративную сеть компании трафик, необходимо либо пропускать его через устройство учета, либо получать достоверные данные от системы, которая является маршрутизатором между корпоративной сетью клиента и сетью оператора связи. Причем, поскольку нас интересует распределение входящего трафика по конкретным пользователям, то такой учет должен вестись внутри сети по отношению к тому устройству, которое осуществляет функцию сетевой трансляции адресов (NAT).

Это связано с тем, что система, ведущая учет трафика, должна точно знать внутренний адрес конечного потребителя, и следствием этого требования является тот факт, что оператор связи чаще всего не в состоянии предложить клиенту даже услугу детального анализа его трафика.

Второй вариант построения системы учета – это получение информации о транзитном трафике от маршрутизатора, через который этот трафик проходит. Причем маршрутизатор должен либо сам осуществлять преобразование сетевых адресов клиента (NAT) и включать эту информацию в свои отчеты, либо находиться в топологии внутренней сети до того устройства, которое осуществляет функцию NAT.

Третьим способом получения данных о трафике, поступающем в корпоративную сеть компании, является мониторинг и анализ лог файлов различных программных шлюзов, обслуживающих корпоративную сеть компании. Наиболее явными представителями таких шлюзов являются прокси сервер для обслуживания обращений пользователей к внешним веб серверам, а также корпоративный почтовый сервер, отправляющий и принимающий корпоративную электронную почту.

Авторизация пользователей. Важнейшей функцией серверов контроля корпоративного Интернет подключения является авторизация пользователей. Это механизм, посредством которого сервер отличает одного пользователя от другого. В наиболее продвинутых решениях таких механизмов должно быть несколько, для того чтобы решение можно быть настроить под любую сеть, а не сеть приходилось настраиватьподрешение. Крайневажнаподдержкатакихмеханизмов, какавторизациячерезActive Directory посредством контроллера Windows домена, поскольку во многих организациях именно этот механизм применяется для ведения учетных записей пользователей. Другие механизмы авторизации, достойные упоминания: это авторизация по IP-адресу (как говорилось ранее, не самая удобная и безопасная, но в ряде случаев необходимая), авторизация посредством туннелей, когда пользователь создает VPN подключение к серверу контроля корпоративного Интернет доступа (например PPTPили L2TP), авторизация по протоколу PPPoE.

Общая архитектура сервером контроля корпоративного Интернет доступа. Для того чтобы лучше представить себе принципы работы систем, контролирующих Интернет доступ в корпоративной сети, рассмотрим принципиальную архитектурную схему такого сервера, взяв в качестве примера сервер под управлением ОС UNIX.

Ядро системы на базе ОС UNIX осуществляет маршрутизацию IP пакетов между интерфейсами системы (в общем случае между внешним и внутренним интерфейсом) на основании статической настройки маршрутов с указанием маршрутизатора оператора связи в качестве маршрута по умолчанию.

В более сложных конфигурациях может применяться динамическая маршрутизация на основании протоколов RIPv2, OSPF. Кроме того, внутренние интерфейсы могут быть настроены в режиме поддержки VLAN (802.1Q). В этом случае для системы будет существовать несколько логических интерфейсов по одному на каждый VLAN.

При прохождении пакетов через интерфейсы система перехватывает копию каждого пакета для осуществления учета трафика.

В процессе обработки трафика необходимо связать данные каждого пакета с конкретным пользователем корпоративной сети и начислить на этого пользователя потребленный трафик. Причем нужно также избежать двойного начисления трафика, когда мы учитываем данные одновременно от перехвата пакетов и по запросам прокси сервера. Статистика снимается как на внешнем, так и на внутреннем интерфейсах системы. Это сделано для того, чтобы учитывать трафик, чьим адресом назначения является сам сервер контроля корпоративного Интернет доступа.

Источникамиданныхдляучетнойсистемыявляютсятакжепроксисерверисерверэлектроннойпочты SMTP. Данные из журналов этих систем поступают процессу-обработчику статистики, который соотносит потребление  трафика  с  конкретными  пользователями  сети  компании.  Этот  же  процесс обрабатывает «сырую» базу данных по трафику, которая содержит пары IP-адресов и количество прошедших пакетов вместе с временной отметкой.

На входе в систему трафик поступает также в межсетевой экран операционной системы, правила фильтрации которому задает программное обеспечение сервера на основании целого ряда условий, указываемых для пользователя.

Межсетевой экран используется не только для предотвращения несанкционированного доступа извне, но и для управления правами самих пользователей корпоративной сети.

Для управления межсетевым экраном сервер контроля корпоративного Интернет доступа используют готовые блоки правил, которые подключаются и отключаются из пользовательского интерфейса. Для удобства продвинутых пользователей может существовать возможность работать с правилами межсетевого экрана на уровне системных команд и индивидуальных правил.

Сервер электронной почты настраивается автоматически на заносимых в интерфейс управления пользователей. После этого сервер становится способным принять на себя функции корпоративного сервера электронной почты.

Поскольку сервер контроля корпоративного Интернет доступа работает с IP трафиком, то для того, чтобы соотнести IP-адрес получателя с пользователем ему необходимо проделать ряд дополнительных действий, если не используется самая простая авторизация пользователя по IP-адресам. Во всех остальных случаях информация о текущем IP-адресе пользователя получается от встроенных механизмов авторизации: серверов VPN (PPPoE и PPTP), контроллера домена под управлением Microsoft Windows Server, например, посредством механизма Samba.

Сервер контроля корпоративного Интернет доступа может также содержать в себе классический HTTP proxy сервер, что позволяет ему отслеживать обращения пользователей к конкретным веб ресурсам (т.е. не ограничиваться ведением статистики только по IP-адресам), а также управлять доступом к ресурсам Интернета помимо IP-адресов также и по URL объектов. Кроме того, такой сервер сможет осуществлять кэширование содержимого веб страниц и тем самым способствует снижению потребления веб-трафика клиентом.

Для управления правами доступа пользователей к внешним ресурсам сервер использует данные по учет потребления трафика пользователями, которые обновляются практически в реальном времени, информацию по настроенным для пользователя лимитам на потребление услуг (в объемном или денежном выражении), а также данные по наличию средств на лицевом счете пользователя. Вся эта информация используется управляющим процессом сервера для динамического внесения изменений в настройки межсетевого экрана в ядре операционной системы, Squid прокси сервера и SMTP сервера.

Заключение. Такимобразом, внастоящейстатье, во-первых, обосновананеобходимостьсистемучета трафика для различных групп пользователей-операторов связи и, собственно, конечных корпоративных пользователей, показаны различия в потребностях этих пользователей и, во-вторых, обосновано наличие двухразличныхклассовпрограммногообеспечениядляучетатрафика: автоматизированныхсистемрасчетов для операторов связи и серверов контроля Интернет доступа для корпоративных сетей, подключенных к Интернету. Далее подробно рассмотрены основные аспекты работы сервера контроля Интернет доступа и дано описание принципиальной архитектурной схемы, по которой строится функционирование современных решений учета трафика для корпоративных сетей.

Разделы знаний

Архитектура

Научные статьи по Архитектуре

Биология

Научные статьи по биологии 

Военное дело

Научные статьи по военному делу

Востоковедение

Научные статьи по востоковедению

География

Научные статьи по географии

Журналистика

Научные статьи по журналистике

Инженерное дело

Научные статьи по инженерному делу

Информатика

Научные статьи по информатике

История

Научные статьи по истории, историографии, источниковедению, международным отношениям и пр.

Культурология

Научные статьи по культурологии

Литература

Литература. Литературоведение. Анализ произведений русской, казахской и зарубежной литературы. В данном разделе вы можете найти анализ рассказов Мухтара Ауэзова, описание творческой деятельности Уильяма Шекспира, анализ взглядов исследователей детского фольклора.  

Математика

Научные статьи о математике

Медицина

Научные статьи о медицине Казахстана

Международные отношения

Научные статьи посвященные международным отношениям

Педагогика

Научные статьи по педагогике, воспитанию, образованию

Политика

Научные статьи посвященные политике

Политология

Научные статьи по дисциплине Политология опубликованные в Казахстанских научных журналах

Психология

В разделе "Психология" вы найдете публикации, статьи и доклады по научной и практической психологии, опубликованные в научных журналах и сборниках статей Казахстана. В своих работах авторы делают обзоры теорий различных психологических направлений и школ, описывают результаты исследований, приводят примеры методик и техник диагностики, а также дают свои рекомендации в различных вопросах психологии человека. Этот раздел подойдет для тех, кто интересуется последними исследованиями в области научной психологии. Здесь вы найдете материалы по психологии личности, психологии разивития, социальной и возрастной психологии и другим отраслям психологии.  

Религиоведение

Научные статьи по дисциплине Религиоведение опубликованные в Казахстанских научных журналах

Сельское хозяйство

Научные статьи по дисциплине Сельское хозяйство опубликованные в Казахстанских научных журналах

Социология

Научные статьи по дисциплине Социология опубликованные в Казахстанских научных журналах

Технические науки

Научные статьи по техническим наукам опубликованные в Казахстанских научных журналах

Физика

Научные статьи по дисциплине Физика опубликованные в Казахстанских научных журналах

Физическая культура

Научные статьи по дисциплине Физическая культура опубликованные в Казахстанских научных журналах

Филология

Научные статьи по дисциплине Филология опубликованные в Казахстанских научных журналах

Философия

Научные статьи по дисциплине Философия опубликованные в Казахстанских научных журналах

Химия

Научные статьи по дисциплине Химия опубликованные в Казахстанских научных журналах

Экология

Данный раздел посвящен экологии человека. Здесь вы найдете статьи и доклады об экологических проблемах в Казахстане, охране природы и защите окружающей среды, опубликованные в научных журналах и сборниках статей Казахстана. Авторы рассматривают такие вопросы экологии, как последствия испытаний на Чернобыльском и Семипалатинском полигонах, "зеленая экономика", экологическая безопасность продуктов питания, питьевая вода и природные ресурсы Казахстана. Раздел будет полезен тем, кто интересуется современным состоянием экологии Казахстана, а также последними разработками ученых в данном направлении науки.  

Экономика

Научные статьи по экономике, менеджменту, маркетингу, бухгалтерскому учету, аудиту, оценке недвижимости и пр.

Этнология

Научные статьи по Этнологии опубликованные в Казахстане

Юриспруденция

Раздел посвящен государству и праву, юридической науке, современным проблемам международного права, обзору действующих законов Республики Казахстан Здесь опубликованы статьи из научных журналов и сборников по следующим темам: международное право, государственное право, уголовное право, гражданское право, а также основные тенденции развития национальной правовой системы.