URL-фильтрация на платформе EcoSGE

URL-фильтрация

EcoFilter

Высокопроизводительная URL-фильтрация (URL filtering) запрещенных сайтов по реестрам Роскомнадзора (РКН), Минюста, а также нежелательных сайтов по реестру ЦАИР (www.cair.ru) и пользовательским спискам.

Преимущества и особенности

Функциональность URL-фильтрации, реализованная в решениях RDP, позволяет оператору связи выполнять требования законодательства (ФЗ-139; ФЗ-149; ФЗ-187; ФЗ-436) в отношении фильтрации нежелательных и запрещенных ресурсов в Интернете, а также оказывать дополнительные услуги типа «Детский Интернет» с фильтрацией по большим спискам (до 30 млн URL-адресов).

Поддерживается фильтрация URL (вида host/путь) для протокола HTTP и хостов для протокола HTTPS по всем TCP-портам. Причем списки фильтруемых URL могут назначаться как всем абонентам сразу, так и каждому персонально в зависимости от его тарифного плана. Также возможно динамически применять правила фильтрации к абонентам при помощи протокола RADIUS. Устройство EcoFilter можно дополнить функциональностью сервисного шлюза (нарезка скоростей абонентам, переадресация на страницу отключения с возможностью доступа к платежным сервисам, или URL based open garden, настройка политик в соответствии с URL-адресами, CG-NAT).

Самой распространенной на сегодняшний день схемой URL-фильтрации в России является метод, при котором на систему направляется не весь трафик, а лишь его небольшая часть, предварительно отфильтрованная маршрутизаторами (ACL, оттягивание BGP-маршрутов и т. д.). Этот подход имеет принципиальный неустранимый недостаток. Дело в том, что многие из запрещенных (и нежелательных) сайтов размещены на CDN-сетях и их IP-адреса, выдаваемые серверами DNS, постоянно динамически меняются. Кроме того, для фильтрации https необходим весь входящий трафик (именно в нем содержится сертификат хоста) и, если его нет, такие ресурсы корректно фильтроваться не могут. Таким образом, нужный для URL-фильтрации трафик просто не попадает в ACL и проходит в обход фильтрующего оборудования, что обычно дает 1–2% пропусков по системе «Ревизор» и приводит к штрафам и неприятным разговорам с РКН.

В отличие от большинства аналогов, ориентированных на работу с предфильтрованным трафиком, EcoFilter имеет достаточную производительность и позволяет анализировать весь трафик провайдера по всем TCP-портам, что гарантирует 100-процентную фильтрацию по данным системы «Ревизор». Производительность EcoFilter составляет до 160 Гбит/c в 1U, что является лучшим результатом на российском рынке и достойным – по мировым меркам. При необходимости эта производительность легко масштабируется путем использования нескольких устройств, собранных в LAG.

В решении EcoFilter предусмотрены механизмы обнаружения URL в запросах HTTP, даже если абонент использует средства обхода блокировки, такие как доступ с использованием нестандартного порта на сервере, маскировка URL путем фрагментации GET-запроса, использование нестандартной последовательности заголовков и др.

При обнаружении URL в заголовке производится его сопоставление с заданными «черными» и «белыми» списками. Выгрузка списка РКН производится автоматически по расписанию.

Устройство EcoFilter позволяет производить извлечение всех GET-запросов абонентов с записью их на внешний сервер (сбор «больших данных»). Функция экспорта информации о GET-запросах дает возможность проводить анализ и строить профили интересов и рисков — как для отдельных пользователей, так и для всей абонентской базы провайдера. В числе прочего эта функциональность позволяет вывести на качественно новый уровень работу с оттоком благодаря возможности предсказывать потерю конкретного абонента.

EcoFilter – это российский продукт, и это официально подтверждает решение межведомственного экспертного совета при Минпромторге РФ (МЭС) и Минкомсвязи РФ.

URL-filtering wrong scheme
URL-filtering correct scheme

Виды URL-фильтрации

Фильтрация URLip в реестреhttp hostnamehttp hostname/path* перед hostnamehttps (по SNI)https (по сертификату)Порты отличные от 80,443Сайт с меняющимся ipНовые протоколы в т.ч. QUIC
Фильтрация методом blackhole DNSНетДаНетНетНетНетНетНетНет
Фильтрация по исх. трафику, предфильтрованному при помощи ip-ACL (в т.ч. средствами BGP)ДаДа*Да*/НетНетДа*/HeтНетДа*/НетДа*/НетНет
Фильтрация по исх. трафику с предфильтрацией по портам (по всем ip)ДаДаДаДаДаНетДа**ДаНет
Фильтрация по исх. и вход. трафику с гибкой предфильтрацией по портам и протоколам (по всем ip)ДаДаДаДаДаДаДа**ДаДа**
Фильтрация по всему исх. и вход. трафикуДаДаДаДаДаДаДаДаДа
* Если ip попал в список, используемый для предфильтрации
** Необходимо добавить нужные порты и протоколы в список фильруемых

Мы предлагаем нашим клиентам самый совершенный метод URL-фильтрации — фильтрация по всему исходящему и входящему трафику.

Аппаратные платформы

Таблицу можно прокручивать по горизонтали

Младшая платформа
1010/2010/2020/2040
Старшая платформа
4080/4120/4160/5200
Платформа
Производительность*до 34 Гбит/сдо 200 Гбит/с
Форм-фактор1 U1 U
Новых подключений в сек.до 2,3 млндо 5 млн
Одновременных сессийдо 32 млндо 150 млн
Встроенные порты6x10/100/1000BaseT
Сетевые карты14
Интерфейс управления1 x 10/100/1000BaseT1 x 10/100/1000BaseT
Консольный портRJ45 (RS232C)RJ45 (RS232C)
Система хранения данных32 SSD32 SSD
Потребление (рабочее / максимальное)140 / 170 Вт340 / 400 Вт
Блок питанияDual 200W RPS
100-240 VAC (-36-72 DC)
Dual 500W RPS
100-240 VAC (-36-72 DC)
ОхлаждениеStandard FansStandard Fans
Размеры (Ш х Д х В)430 x 400 x 44 мм440 x 576 x 44 мм
* Пакетная производительность достаточна для работы «на скорости проводов» при среднем размере пакетов 480 байт.

Матрица совместимости сетевых интерфейсных карт

МодульI/O Описание на русскомМладшая модель
1010/2010/2020/2040
Старшая модель
4080/4120/4160/5200
NIC-4XGE-SFPP_R1Интерфейсная карта с портами 4x10GbE
NIC-8XGE-SFPP_R2Интерфейсная карта с портами 8x10GbE
NIC-8GE-TXИнтерфейсная карта с портами 8x10/100/1000 RJ-45
NIC-8GE-SFPИнтерфейсная карта с портами 8x10/100/1000
NIC-2x25GE-SFP28_R1Интерфейсная карта с портами 2x25GbE
NIC-4x25GE-SFP28_R2Интерфейсная карта с портами 4x25GbE
NIC-2х40GE-QSFPP_R1Интерфейсная карта с портами 2x40GbE
NIC-4х40GE-QSFPP_R2Интерфейсная карта с портами 4x40GbE
NIC-1х100GE-QSFP28_R1Интерфейсная карта с портами 1x100GbE
NIC-2х100GE-QSFP28_R2Интерфейсная карта с портами 2x100GbE

Бесплатное тестирование и настройка оборудования

Подайте заявку и мы бесплатно предоставим свое оборудование для тестирования в вашей сети.