В отличие от традиционных сетевых ACL, определяющих порты служб или имена доменов на устройстве третьего уровня OSI, к сервисам которых разрешен или запрещен доступ, СКАТ DPI управляет трафиком вплоть до 7-го уровня OSI. Это означает, что ограничить или разрешить доступ можно к определенным сервисам, приложениям, ресурсам для определенных пользователей или групп пользователей.
- Работа на всех уровнях OSI по технологии DPI.
- Гибкая настройка правил доступа.
- «Белые списки» для абонентов.
- Организации Captive Portal (CP).
Блокировка по имени
Для https-ресурсов поддерживается два варианта блокировки: по имени сертификата (common name) или SNI. Это дает возможность блокировать ресурс даже при смене его IP-адреса.
Примеры использования
Управление доступом абонента при нулевом балансе
Когда у абонента заканчиваются средства на счете, ему ограничивается доступ к ресурсам сети Интернет до момента пополнения. Однако для того, чтобы произвести оплату, в белые списки вносятся URL-адреса и протоколы платежных систем и онлайн-банков. Также провайдер может разрешить доступ к собственному сайту, внутренним ресурсам сети, определенным социальным сетям и другим ресурсам, к которым он готов разрешить доступ на безвозмездной основе.
Идентификация абонента в Wi-Fi-сети
Ужесточение правил доступа через публичные Wi-Fi-точки доступа к сети оператора связи создало необходимость в идентификации абонента одним из способов: по телефонному номеру, по паспортным данным или через портал госуслуг. СКАТ DPI позволяет реализовать идентификацию с помощью кода доступа, получаемого абонентом на мобильный телефон в виде SMS-сообщения.
Особенности
Управление доступом на всех уровнях OSI
Платформа DPI выполняет анализ всех проходящих через нее пакетов вплоть до 7 уровня модели OSI, а не только по стандартным номерам портов. Использование сигнатурного и статистического анализа позволяет определить такие приложения, как P2P, IM, Email, VOIP, потоковое видео, игровой трафик, шифрованные данные, и настроить правила доступа для каждого из них или любого другого сетевого ресурса.
«Белые списки» доступа
Белый список позволяет ограничить доступные абоненту сайты и страницы, осуществляет его переадресацию на заданную страницу при попытке выхода за пределы этого списка.
Создание Captive Portal (CP)
CP в сети оператора используется для предоставления абоненту возможности пополнения баланса в случае исчерпания денежных средств на счету. Доступ в сеть Интернет ограничен сайтами платежных систем и банков, а работа по белому списку сайтов при этом сочетается с ограничением работы по списку протоколов.
Гибкая настройка правил доступа
Оператор связи получает возможность комбинировать белые и черные списки, чтобы разрешить или блокировать доступ к определенным ресурсам (или даже пулу ресурсов) отдельному пользователю или группе пользователей. Например, применение списка запрещенных ресурсов для школы.