Pull to refresh

Comments 38

При интеграции с AD, Работает ли прозрачная авторизация в IE? Без необходимости установки доп программ на стороне клиента и внесения каких либо изменений (NTLMv2) в случае Windows 7 и выше.
Да, работает всегда, если прописан прокси.
Можно ли шарить внутренние ресурсы во внешнюю сеть защищая их авторизацией Traffic Inspector? (К примеру в TMG есть такой функционал)
Можно настроить проброс соответствующих портов (через мастер публикаций) и в правиле внешнего сетевого экрана указать для каких IP адресов будет реализован доступ. Или настроить VPN серевер на сервере с Traffic Inspector, после чего добавить пользователя, который будет авторизовываться в программе.
Последний раз пользовался этой программой много лет назад, тогда это было маленькое синее плавающее окошко, в котором подсчитывался трафик и цена за этот трафик. Отличная была программка. Но так и не понял, зачем ей x64. Вы научили ее жрать больше 2-х гигабайт памяти?
Если Вы о клиентском агенте, то это и сейчас маленькое синее плавающее окошко, в котором подсчитывается трафик, можете смело использовать его старые версии, они по-прежнему совместимы с новым Traffic Inspector.
32-битные платформы и ПО имеют ряд существенных ограничений: поддержка не более 4 ГБ места на жестком диске

Это вы о чем? Если про размер файла, то это скорее ограничение файловой системы.
Конечно, имелось ввиду ограничение 4 ТБ, а не ГБ, спасибо за помощь в устранении опечатки.
Отличная была программа для своего времени.

А потом она просто стала не нужна.
Даже Керио и МС поняли, что шлюз под windows — плохая идея. Первые перешли на Linux, а вторые просто закрыли это направление. Был бы номер, если бы МС выпустила TMG на базе Linux :)
Windows действительно сильно уступает Linux в вопросах маршрутизации. Именно поэтому перспективные разработки Traffic Inspector также будут под Linux. Но есть и обратная сторона медали в отечественном гос секторе, а также в секторе малого и среднего бизнеса практически повсеместно используется Windows и это далеко не всегда пережитки коммунизма и доисторической эпохи. Просто найти сисадмина, который профессионально будет обслуживать сервера на Linux за ту зарплату, которую там обычно предлагают (особенно в российской глубинке) не так-то просто. Вот и сидят на Windows, которая просто проще в базовой настройке с «0». А тот же гос сектор, так это и вовсе «темный лес» с кучей законов, которые не так-то и просто соблюдать с Linux-шлюзами.
Грамотные аргументы, но если говорить про сложность администрирования, то тот же Керио предлагает готовый дистрибутив, который в установке будет не сложнее Windows, а администрирование ведется в GUI через веб-интерфейс. Если же что-то пойдет не так, то в случае с линухом можно что-то поковырять в конфигах, а в случае с виндой зачастую помогает только живительная переустановка.

По поводу госсектора у меня нет данных, но повода недоверять вам нет. Даже не сомневаюсь, что там все может быть печально. А если учесть необходимость сертифицирования ПО, то становится совсем грустно.
К слову о госсекторе — а сертификация у вас есть? Т.е. вполне себе официальный firewall?
Сетевой экран сертифицирован ФСТЭК РФ, имеется также сертификат Минсвязи РФ.
Когда она уже научится нетфлоу принимать и считать?
Если она хочет Layer 7 анализировать, то, видимо, никогда %-)
Может кто-то не знает, но и NetFlow и SMNP было реализовано еще 5 лет назад. но т.к. мы не получили никаких отзывов при тестировании, весь этот функционал был отключен и скрыт.
Никогда не понимал, тех, кто пытается сделать на базе винды какой-нибудь роутер, VPN сервер или прокси.
Каждый инструмент должен выполнять свою роль.
Ну использовать винсервер как vpn — почему бы и нет? Не для всех сценариев, но для road-warrior — вполне, особенно с DirectAccess.
UFO just landed and posted this here
32-битная версия <...> программа не могла открыть в системе более 4096 потоков <...>
Важнейшее усовершенствование программы – релиз 64-битной версии службы <...> прокси теперь с легкостью обрабатывает до 1000 одновременных HTTP-запросов.

Как вы этого добились, если не секрет? Nginx и мои собственные проекты, показывают, что 4 потоков достаточно для обработки нескольких сотен тысяч запросов в секунду. У вас же на 1000 запросов — более 4000 потоков. Я ни за что не поверю, что в Windows настолько не оптимальная сетевая подсистема.
Вот действительно. 1000 соединений — вообще ничто для прокси, просто барби-сайз. А 4000 потоков, ну, не знаю, они, наверное, fork используют на каждое соединение до сих пор, если в 2015 году пишут о поддержке 64-бит.
Ну если с bsod'ами 10 лет боролись, то чему удивляться. Чем хорош был TI так это эккаунтингом, конечно. В 2004 даже купили в универ, эксплуатировал его. Но после 2008-9 (в наших краях) года с повсеместной широкополосностью даже не знаю кому бы он мог понадобиться :-) А вот со спутниковым инетом как-то его настраивал в 2007 году — все проклял. Так и не понял, то ли роутинг в винде криво отрабатывал, то ли TI все ломал…
Есть ли возможность блокировать в трафике исполняемые файлы по сигнатуре?
Есть ли возможность разбора https трафика для наложений правил фильтрации?
Есть ли возможность разбора smtp трафика, для удаления нежелательных почтовых вложений?
1) Исполняемые файлы можно блокировать по расширению.
2) Глубокий анализ HTTPS пакетов пока в разработке. IP-правила будут работать и для HTTPS.
3) Если речь идет о спаме или вирусных вложениях, то есть возможность блокировки на почтовом шлюзе.
1. Надо по сигнатуре. По расширению не эффективно. tmg умеет например.
Применение — для отрубания подкачки левой боевой нагрузки.

3. Вычищать определенные почтовые вложения по расширению и вставлять alert об этом прямо в письмо. tmg опять же умеет.
В идеале добавить так-же распаковку вложений популярных архиваторов и поиск и там «запрещенных файлов».
Применение — для отсекания всяких js и exe троянов в архивах.

Что подразумевается под «левой боевой нагрузкой» в данном контексте?
Дроппер подкачивающий вредоносный софт. Софт — боевая нагрузка.
Сейчас мы активно исследуем технологические решения для классификаций пакетов на седьмом уровне (Layer 7)

Это оксюморон. Пакет — это тип данных на OSI Layer 3 и не более. На L4 вы оперируете сегментами, а начиная с L5 — потоками данных.
«классификаций пакетов на седьмом уровне» — Layer 7 Packet Classification, L7 Packet Classification, Deep Packet Inspection, Layer 7 Visibility — и еще дюжина разных названий. Мы называем «классификация пакетов на седьмом уровне», чтобы было понятно, что мы хотим блокировать или видеть сетевую активность аппликаций, таких как Skype, WhatsApp, Dropbox и т.д.

Layer 7 filtering or shaping is identifying traffic at layer 7 (Application Layer) of the OSI model. Instead of shaping/filtering based on the port and source/destination, a stream is identified based on its contents. This is also sometimes called deep packet inspection since it works by looking into the contents of the packets not just the headers.
Для владельцев старых версий TI с синими экранами планируются какие-то интересные предложения по переходу на новую, помимо полной оплаты покупки новой версии с копеечной скидкой?
Да, конечно. У нас регулярно проходят акции для владельцев старых версий Trafic Inspector (Lite, Pro, HomeNet) со скидкой до 50%. Для читателей Хабра — даем скидку 35% на обновление Traffic Inspector до последней версии, при миграции с аналогичных решений — 50%: код купона «habr2015» действителен до 15 апреля.
Вам бы это в корень статьи вынести, а не в конец комментариев — авось кто-нибудь да заинтересуется
Мы бы его и убрали, но до сих пор существуют хакеры, которые с регулярной периодичностью пытаются ломать наш продукт.
Можете написать пример, где в сравнении с StarForce он будет эффективнее?
Sign up to leave a comment.