Traffic Inspector Next Generation — программно-аппаратный сетевой шлюз нового поколения, включающий межсетевой экран, для организации контролируемого доступа к интернету корпоративных компьютерных сетей и их защиты от внешних угроз. Относится к классу Unified Threat Management (UTM). Сделан на открытом коде проекта OPNsense.

Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.

Модели в линейке

• S 100: для небольших домашних и офисных сетей. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152,4 x 152,4 мм).
• M 1000: для среднего бизнеса, учреждений госсектора, образования и здравоохранения. Аппаратная платформа: стоечные сер-веры DEPO, Lenovo, D-Link форм-фактора 1U.
• L 1000+: топовая модель для крупных коммерческих, государственных, образовательных организаций и учреждений здраво-охранения. Использует мощные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.

Технические характеристики Traffic Inspector Next Generation:

• сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
• мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
• управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя, резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети, приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
• различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
• кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
• Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
• система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
• Captive Portal (в том числе с поддержкой SMS-идентификации);
• гибкая маршрутизация;
• прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента;
• фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
• различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
• Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
• шлюзовый антивирус (HTTP Antivirus Proxy + ClamAV) не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
• среда: операционная система FreeBSD 11.

В релизе Traffic Inspector Next Generation 1.7.0 реализованы следующие изменения:

1. Веб-прокси:

• обеспечена интеграция с FreeIPA (Free Identity, Policy and Audit) — системой централизованного управления идентификацией пользователей, задания политик доступа и аудита для сетей на базе Linux и Unix;
• обеспечена возможность формирования списка исключений для доступа к сайтам, имеющим собственные (самоподписанные) SSL-сертификаты. Список сайтов (доменов) устанавливается администратором вручную при настройке универсального шлюза безопасности.
  

2. Сертификаты: теперь при установке Traffic Inspector Next Generation корневой сертификат генерируется автоматически.

3. VPN (Virtual Private Network):

• обновлен плагин os-gostvpn для ГОСТ VPN;
• добавлена поддержка кириллических доменов для IPSec.
  

4. Межсетевой экран нового поколения (Next-Generation Firewall, NGFW): добавлена проверка на допустимые имена для псевдонимов межсетевого экрана.

5. L7-фильтрация (NDPI, система глубокой инспекции пакетов):

• добавлена сортировка по приоритету правил;
• осуществлен переход со статической библиотеки на библиотеку из портов, что обеспечивает ее более оперативное обновление.
  

6. Плагин контекстной фильтрации NetPolice: обновлен список категорий от ЦАИР (Центр анализа интернет-ресурсов, разработчик контентного фильтра NetPolice).

7. Осуществлен переход на версию OPNsense 20.7.2, пользователи Traffic Inspector Next Generation могут использовать все возможности обновленной платформы.

8. Оптимизирована работа следующих элементов Traffic Inspector Next Generation:

• автоматическое обновление BIOS при установке Traffic Inspector Next Generation на гибридный процессор APU2;
• загрузка списка URL Роскомнадзора;
• запуск, остановка и перезапуск NetFlow;
• генерация сертификата для web-сервера;
• просмотр логов прокси;
• копирование правил межсетевого экрана в Central Management System (CMS, система централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation);
• обработка неизвестной категории в плагине NetPolice (модуль контентной фильтрации по категориям URL);
• номера приоритета в плагине UserACL (расширенный функционал фильтрации на веб-прокси);
• SMS-Portal;
• веб-интерфейс;
• отключены по умолчанию функции антифишинга и KSN в плагине антивирусной проверки трафика Kaspersky.
  

9. Обновлена онлайн-документация:

• обновлена документация для плагина UserACL (фильтрация веб-прокси);
• добавлена документация для плагина dnscrypt-proxy (гибкий DNS прокси-сервер с поддержкой шифрованных DNS протоколов DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt);
• добавлено описание FreeIPA (интегрированная система проверки подлинности);
• обновлена документация по настройке SSO аутентификации.