Рассмотрим дополнительные функции платформы и преимущества, которые они предоставляют операторам связи и интернет провайдерам.
Расширенная функциональность СКАТ DPI
Фильтрация по реестру запрещенных сайтов
Считается, что функция автоматической обработки списка запрещенных сайтов Роскомнадзора и Минюста (в соответствии ФЗ-139), является базовой для любой платформы DPI и многие покупают СКАТ DPI именно для ее реализации. Однако, ее реализация возможна благодаря анализу пакетов (основная задача DPI), который и позволяет определять ресурсы, запрашиваемые абонентом и блокировать включенные в списки запрещенных.
Обновление списков фильтрации происходит автоматически с сервера производителя системы без участия оператора связи, что гарантирует актуальность сведений и 100% выполнение всех требований Роскомнадзора. Блокировка и разблокировка ресурсов происходит автоматически и без задержек, выполняются все современные требования фильтрации:
- Фильтрация URL с кириллическими символами;
- Фильтрация трафика с прокси-серверов и с мобильных устройств (iOS, Android и др.);
- Блокировка HTTPS-трафика по Common Name сертификатов;
- Блокировка HTTP-трафика на нестандартных портах;
- Поддержка Server Name Indication (SNI).
Более подробно про блокировку запрещенных сайтов вы можете прочитать на нашем блоге в статье «Зачем и как блокировать запрещенные сайты».
Аналитика в режиме реального времени
Предоставлять услугу доступа к сети интернет — хорошо, но предоставлять ее качественно – еще лучше. Для этой цели в СКАТ DPI интегрирован модуль просмотра статистики и отчетов, позволяющий проводить анализ данных о пользовательском трафике с разбивкой по приложениям, протоколам, тарифным планам, регионам, типам абонентских устройств и по другим категориям.
Изучение статистики использования полосы пропускания повышает эффективность ее использования и качество предоставляемых абонентам услуг.
С помощью модуля статистики и отчетов можно определять интересы и предпочтения пользователей на основе данных о посещаемых ими ресурсах, проводить маркетинговые кампании и повышать эффективность коммуникации с абонентом. Использование суммарной информации для биллинга по классам для каждого абонента позволяет отдельно тарифицировать sip, skype, torrent и другие виды трафика. А выявление несогласованного использования интернет-канала абонентом для перепродажи услуг доступа в Интернет, позволяет контролировать канал и не допускать его просадки. Также, модуль статистики может быть использован совместно с ИС СОРМ-3, для выполнения поведенческого анализа, и распознавания приложений, которые не имеют ценности для СОРМ.
Для экспорта данных СКАТ DPI применяет стандартный формат Netflow5 и IPFIX (Netflow10), поэтому для их анализа подойдет любой Netflow-коллектор и средство для анализа Netflow, в том числе и входящий в комплект бесплатный анализатор NFSEN с предустановленными дополнениями и удобным веб-интерфейсом.
Про анализ трафика и протокол Netflow вы можете более подробно узнать на нашем блоге в статье «Netflow — собрать и показать».
Распределение канала между абонентами и управление общей полосой (QoS)
Высокое качество предоставления услуг – одна из главных задач оператора связи или интернет-провайдера. Пользователь не должен видеть заикание звука или торможение видео, а страницы сайтов обязаны загружаться мгновенно, для повышения QoE (Quality of Experience) используется еще одна функция СКАТ DPI – QoS.
Функция QoS систем DPI решает несколько задач:
- определение приоритетов и дифференцирование трафика;
- обеспечение равномерного потока трафика;
- гарантия качества и скорости доступа в сеть интернет;
- предотвращение сетевых перегрузок.
Для того чтобы пользователь не замечал падения качества связи или снижения скорости в часы пик (вечернее время), с помощью настройки приоритетов системы DPI, фоновым приложениям (торренты, загрузка файлов, обновления и т.п.) назначается низкий приоритет, а онлайн-видео, web-браузингу, онлайн-играм напротив, более высокий. Пользователь не замечает проблем с доступом и остается доволен предоставляемой услугой, а оператору связи нет необходимости вкладывать средства в повышение скорости UPLINK.
Также СКАТ DPI позволяет контролировать приближение к верхней границе полосы канала («полке») и приоритизировать трафик по протоколам и направлениям так, чтобы низкоприоритетный трафик вытеснялся из полосы в пользу высокоприоритетного.
Подробнее про QoS вы можете почитать в одноименной рубрике на нашем блоге.
Информирование абонентов, блокировка или замена рекламы
Эта дополнительная функция, позволяет оператору передавать сообщение пользователю во время работы в интернет. Пользователь вводит адрес сайта, который хочет посетить и видит в браузере сообщение от оператора, сменяемое через несколько секунд запрашиваемой страницей.
Сообщение может содержать как информацию от оператора (изменение в тарифе, регламентные или аварийные технические работы, специальные предложения), так и экстренные сообщения от государственных структур (предупреждение о ЧС). Такой способ оповещения захватывает очень большую аудиторию людей, так как почти 60% человек хоть раз в день выходят в интернет, а также снижает затраты на другие способы оповещения (SMS, телефонный звонок).
Также с помощью СКАТ DPI можно производить подмену рекламных объявлений на web-сайтах или их полную блокировку. Функция может быть полезна для маркетинговых компаний или предоставления дополнительной услуги «интернет без рекламы».
Подробнее про информирование абонентов во время ЧС можно прочитать на нашем блоге в статье «Оповещение населения в случае ЧС – решение для операторов связи».
Кэширование видео- и аудиоконтента, обновлений ПО и т.п
Интернет – это безграничное хранилище информации, и каждый пользователь находит в ней то, что ему интересно. Но существует настолько популярная информация, которую скачивают большинство пользователей. Это могут быть популярные видеоролики и фильмы, обновления программ и операционных систем, фотографии и картинки.
Кэш-сервер позволяет скаченный из интернета пользователем популярный контент распространять другим пользователям уже локально из внутреннего хранилища. Мало того, что оператор экономит на интернет-трафике, так и скорость доступа к кэшу равна скорости локальной сети, а не скорости доступа к сети интернет.
Подробнее про экономию полосы пропускания и кэшировании трафика вы можете прочитать на нашем блоге в статье «4 способа экономии полосы пропускания – кэшируем и сжимаем трафик».
Защита от DDoS атак и предфильтр СОРМ
Возможность пропускать через себя весь сетевой трафик, дает возможность системе DPI осуществлять функцию защиты от спам-ботов (выявляются на основе анализа SMTP трафика), DoS и DDoS-атак (выявляются по аномалиям трафика) и заражения червями (выявляются по сигнатурам).
В систему СКАТ DPI встроена защита от DoS-атак (Denial of Service – отказ в обслуживании) и DDoS-атак (Distributed Denial of Service – распределенный отказ обслуживания) – это разновидности атак на компьютерные системы, при которых пользователи не могут получить доступ к предоставляемым системой ресурсам или этот доступ затруднен.
При защите от DDoS-атак применяются различные поведенческие стратегии (behavioral DDoS protection), которые позволяют определить отклонения в нормальном поведении. Но СКАТ DPI позволяет использовать более простой и эффективный подход – использование теста Тьюринга (странички с CAPTCHA от англ. Completely Automated Public Turing test to tell Computers and Humans Apart), который позволяет определить, человек или компьютер осуществляет запрос к ресурсу.
Еще одна важная функция — запись сетевого трафика в реальном времени (необходима для поддержки будущего стандарта СОРМ-3) может использоваться для мониторинга трафика в целях диагностики и анализа угроз безопасности, а также выступать предфильтром и снижать нагрузку на оборудование СОРМ, за счет отсекания всех не представляющих интерес протоколов (torrent, youtube, mpeg, flash и т.п.).
Про борьбу с DDoS и историю системы проверки CAPTCHA вы можете прочитать на нашем блоге в статье «Борьба с DDoS – CAPTCHA и ее история».
Трансляция сетевых адресов – CGNAT
Данная функция делает систему СКАТ DPI еще более универсальной, позволяя ей решать очень важную для каждого оператора связи и интернет-провайдера задачу по трансляции сетевых адресов и портов. Совместное использование одного публичного IPv4-адрес несколькими абонентами, продлевает использование ограниченного адресного пространства IPv4 и упрощает переход на IPv6-адресацию. СКАТ DPI очень мощная платформа и с задачей трансляции справляется очень легко.
Реализация CGNAT на СКАТ DPI использует современные технологи и стандарты: Paired IP address pooling – когда все соединения абонента с одного серого внутреннего адреса привязываются к одному внешнему (белому) IP-адресу; Hairpinning – когда абоненты внутри NAT взаимодействуют друг с другом без трансляции адресов; соответствие отраслевым стандартам, закрепленным в RFC 6888, RFC 4787; прозрачная работа пиринговых протоколов (торренты, игры).
Для обеспечения отказоустойчивости рекомендуем использовать резервную платформу СКАТ DPI, чтобы избежать падения локальной сети в случае выхода из строя системы DPI.
Подробнее про CG-NAT вы можете почитать в одноименной рубрике на нашем блоге.
Сервисный шлюз BRAS
В последней версии СКАТ 6.0 появилась новая функция — сервисный шлюз BRAS. Некоторые ее возможности были реализованы в версии ПО 5.0, где взаимодействие с Radius-трафиком осуществлялось по методу PUSH, для получения соответствия IP-адреса и логина абонента и применения к этому адресу загруженных в СКАТ политик.
Функция расширяет возможности оператора связи по осуществлению контроля доступа абонентов к сети Интернет и применения политик тарифных планов и дополнительных тарифных опций благодаря авторизации IPoE сессий на Radius:
- назначение и изменение политик (тарифных планов и опций);
- перенаправление пользователей в Captive Portal (блокировка);
- работа на уровне L3;
- идентификация пользователей по IP или по метке Q-in-Q.
Для работы функции BRAS в сети оператора связи, СКАТ DPI устанавливается по «в разрыв», и взаимодействует со СКАТ PCRF (осуществляет решения по применению политик обслуживания абонентов), Radius-сервером и Биллинг-сервером.
Подробнее про BRAS вы можете прочитать на нашем блоге в статье «DPI система СКАТ в качестве L3 BRAS».
И это далеко не все функции, которые может выполнять СКАТ DPI, а потенциальных возможностей у системы еще больше, подробнее про них вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.