Logo

EcoRouter

EcoNAT

EcoQOE

EcoBypass

EcoSwitch

English
  • Оборудование
  • Вход в систему
  • Подсказки и горячие клавиши
  • Работа с общей конфигурацией устройства
  • Первичная настройка
  • Хранилище сертификатов SSL
  • Настройки интерфейсов
  • ACL
  • Карты классов трафика
  • Подсистема NAT
  • Подсистема BRAS
  • Подсистема DPI
  • Подсистема логирования
  • Перенаправление DNS-запросов
  • Подмена IP-адресов в DNS-ответах
  • Защита от TCP SYN Flooding
  • Функция Sniffer
  • Общая диагностика системы
  • Действия с прошивкой
  • Счётчики
  • Справочник по командам

    • Подсистема DPI EcoNAT Documentation

    Подсистема DPI позволяет операторам связи и интернет-провайдерам выполнять требования Федерального закона № 139-ФЗ от 28 июля 2012 года, касающиеся ограничения и блокирования доступа к нежелательным и запрещённым ресурсам в сети Интернет, а также оказывать услуги типа «детский интернет». Данная функциональность соответствует всем требованиям и прошла тестирование Роскомнадзора (официальное заключение доступно по ссылке). 

    Функциональность DPI доступна при наличии лицензии EcoDPIxxxx-LIC. Информация об установленных лицензиях выводится командой show license (см. раздел "Информация о версии ПО и установленных лицензиях").

    Фильтрация трафика может производиться по Единому реестру Роскомнадзора (РКН), пользовательским спискам интернет-ресурсов и/или сетевым протоколам.

    В стандартной конфигурации поддерживаются до 25 настраиваемых DPI-списков, каждый из которых может быть либо чёрным (список запрещённых ресурсов), либо белым (список разрешённых ресурсов). По требованию заказчика количество поддерживаемых DPI-списков может быть увеличено (максимум – 1000).

    В каждом DPI-списке можно настроить перенаправление на страницу блокировки («доступ к ресурсу запрещён»). Поддерживается фильтрация по подсетям.

    Для HTTPS и QUIC version 1 (RFC 9000) поддерживается фильтрация по SNI (Server Name Indication) с разрывом соединения с запрещённым ресурсом. Если в запросе отсутствует поле SNI, то такой запрос пропускается прозрачно. При этом для HTTPS проверяется входящий сертификат сервера, на который был отправлен запрос. Если в сертификате указан запрещённый фильтрами ресурс, то соединение с сервером разрывается.

    Возможна фильтрация трафика одновременно по нескольким DPI-спискам. При одновременном срабатывании нескольких списков будет выполняться действие, заданное для списка с наивысшим приоритетом (с наименьшим номером).

    Срабатывание по чёрному списку означает запрет доступа к странице. В этом случае HTTP-соединение будет перенаправлено на заданную в конфигурации страницу, а HTTPS или QUIC соединение будет закрыто по RST.

    Срабатывание по белому списку означает разрешение доступа к странице. Отсутствие события по белому списку означает, что доступ по умолчанию запрещён (и будет выполнено перенаправление или закрытие). Однако абонент может быть подписан на несколько белых списков одновременно, и в таком случае для доступа к странице достаточно, чтобы сработал хотя бы один из них.