none
Полная аутентификация трафика RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Уважаемые Гуру


    Подскажите как настроить полную аутентификацию интернет  трафика на исе (2006)

    Есть сеть , примерно на 100 хостов . Ранее в сети не было аутентификации , все клиенты выходили в интернет по SecureNAT и все было хорошо , пока не выкачали избыточный трафик . После этого возникла задача  настроить аутентификацию трафика для всех пользователей  и делать ежедневные отчеты.

    Поскольку в сети только Windows машины , я решил использовать только FWC с автоопределением wpad.dat (настроил его и через DNS и через DHCP) . От клиента ProxyClient     я полностью отказался , запретив его на исе .
    Дальше создал правило , что выход в интернет из интернал в экстернал разрешен только для доменных пользователей. Сервер с внутреним ДНС , а также все другие сервера работают по отдельному правилу и имеют выход в интернет по SecureNAT .
    Имееются также ВПН пользователи , которые при соединении получают IP по DHCP из внутренней подсети .

    Далее все работает нормально - пользователели выходят в интеренет только по FWC , автоопределение FWC работает нормально .
    Но при  мониторинге сессий на исе , вижу в примерно одинаковом количистве сессии FWC , SecureNAT и WebProxy . Откуда они берутся , если я разрешил только FWC  !? У серверов статические IP , выход с них я вижу нормально как SecureNAT , но также полно соединений SecureNAT из пула DHCP выдаваемого пользователям . Также в отчетах появляются внешние IP адреса , немного понаблюдав к соединению пришел к выводу , что это скорее всего IP пользователей подключающихся по ВПН , но почему они не авторизуются ,  непонятно ?!

    В итоге в отчете трафика , созданого с помощью исы , я вижу что примерно 1/3 трафика не аутентифицируется  (указаны  IP адреса , вместо имен пользователей ). Причем в отчете трафика трафик  , исходящий трафик (byte out) имеет десятки и сотни Mб , а входящий (byte in) имеет порядки десятков Мб . Поставив GFI Web Monitor и сверив трафик , пришел к выводу что иса поменяла местами входящий с исходящим в отчетах  ?!     Как на исе считается Summary Trafic для меня до сих пор непонятно .
    Почитав на форумах , что иса делает не лучшие отчеты  ,  я поставил Internet Access Monitor , но там в отчетах также вижу что примерно треть трафика не аутентифицируется .

    Подскажите , почему появляются такие данные в отчетах и как избавится от неаутентифицированного трафика ?
    Буду  очень признателен за ссылки по теме  . 


    11 декабря 2008 г. 15:55
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

     

    securenat сессии это асболютно нормально, не обращай внимания, про это везде написано и доках и в книгах

    у исы как и у любого другого прокси bytes sent - от исы клиенту, bytes received - от клиента к исе. в файрвол логах все привычнее: bytes sent это скока клиент отправил, bytes received - скока получил, про это тоже везде написано

    так же везде написано, что пока жив web proxy filter иса будет проксировать любой трафик по http протоколу.

    откуда ты насчитал анонимный трафик - считай ручками по логам и смотри, скорее всего отчеты кривы или серверный трафик

    11 декабря 2008 г. 19:01
    |
    Отвечающий