EcoFilter — сетевое устройство, предназначенное для высокопроизводительной URL-фильтрации (URL-filtering) запрещенных сайтов по реестрам РОСКОМНАДЗОРА (РКН), Минюста, а также нежелательных сайтов по реестру ЦАИР (www.cair.ru) и пользовательским спискам.

                               

Преимущества и особенности

Функциональность URL-фильтрации, реализованная в решениях «РДП.ру», позволяет оператору связи выполнять требования законодательства (ФЗ-139; ФЗ-149; ФЗ-187; ФЗ-436) в отношении фильтрации нежелательных и запрещенных ресурсов в сети Интернет, а также оказывать дополнительные услуги типа «детский интернет» с фильтрацией по большим спискам (до 30 млн. URLs).

Поддерживается фильтрация URL (вида host/путь) для протокола HTTP и хостов для протокола HTTPS по всем TCP-портам. Причем, списки фильтруемых URL могут назначаться как всем абонентам сразу, так и каждому персонально в зависимости от его тарифного плана. Для идентификации пользователя используется Radius или проприетарный tcp-интерфейс. Устройство EcoFilter может быть дополнено функциональностью сервисного шлюза (нарезка скоростей абонентам, переадресация на страницу отключения, URL-based open garden, URL-based policing, CG-NAT).

Самой распространенной на сегодняшний день схемой URL-фильтрации в РФ является метод, при котором на систему DPI направляется не весь трафик, а лишь его небольшая часть, предварительно отфильтрованная маршрутизаторами (ACL, оттягивание BGP-маршрутов и т.д.). Этот подход имеет принципиальный неустранимый недостаток. Дело в том, что многие из запрещенных (и нежелательных) сайтов размещены на CDN-сетях и их IP-адреса, выдаваемые серверами DNS, постоянно динамически меняются. Кроме того, для фильтрации https необходим весь входящий трафик (именно в нем содержится сертификат хоста), и, если его нет, такие ресурсы корректно фильтроваться не могут. Таким образом, нужный для URL-фильтрации трафик просто не попадает в ACL и проходит в обход фильтрующего DPI-оборудования, что обычно дает 1-2% пропусков по системе Ревизор и приводит к штрафам и неприятным разговорам с РКН.

В отличие от большинства аналогов, ориентированных на работу с предфильтрованным трафиком, EcoFilter имеет достаточную производительность и позволяет анализировать весь трафик провайдера по всем TCP-портам, что гарантирует 100% фильтрацию по данным системы Ревизор. Производительность DPI-системы составляет до 160Gbit/c в 1U, что является лучшим результатом в РФ и хорошим результатом даже по мировым меркам. При необходимости эта производительность легко масштабируется путем использования нескольких устройств, собранных в LAG.

В решении EcoFilter предусмотрены механизмы обнаружения URL в. запросах HTTP, даже если абонент использует средства обхода блокировки, такие как доступ с использованием нестандартного порта на сервере, маскировка URL путем фрагментации GET-запроса, использование нестандартной последовательности заголовков и др.

При обнаружении URL в. заголовке производится его сопоставление с заданными «черными» и «белыми» списками. Выгрузка списка РКН производится автоматически по расписанию.

Устройство EcoFilter позволяет производить экстракцию всех GET-запросов абонентов с записью их на внешний сервер (сбор BIG data). Функция экспорта информации о GET-запросах дает возможность проводить анализ и строить профили интересов и рисков — как для отдельных пользователей, так и для всей абонентской базы провайдера. В числе прочего, данная функциональность позволяет вывести на качественно новый уровень работу с оттоком благодаря возможности предсказывать потерю конкретного абонента.

EcoFilter является российским продуктом, что официально подтверждено решением межведомственного экспертного совета при Минпромторге РФ (МЭС) и Минкомсвязи РФ.

Технические спецификации

 EcoFILTER 2020 / 2040EcoFILTER 4080EcoFILTER 4120EcoFILTER 4160
Throughput (In+Out) 24 / 34 Gbps* 60 Gbps* 120 Gbps* 160 Gbps*
Connection Setups Per Second 2.3M 2.5M 5M 5M
Concurrent Sessions 32 million 40 million 150 million 150 million
Network Interface        
   10 GE Fiber (SFP+) 2 / 4 8 12 16
   1GE Copper 4 - - -
Logging Interface 2 x 10/100/1000BaseT 1 x 10/100/1000BaseT 1 x 10/100/1000BaseT 1 x 10/100/1000BaseT
Management Interface 1 x 10/100/1000BaseT 1 x 10/100/1000BaseT 1 x 10/100/1000BaseT 1 x 10/100/1000BaseT
Console Port RJ45 (RS232C) RJ45 (RS232C) RJ45 (RS232C) RJ45 (RS232C)
System Storage CF Industrial SLC CF Industrial SLC CF Industrial SLC CF Industrial SLC
Power Consumption Typical/Max 140W/170W 250W/285W 340W/400W 340W/400W
Power Supply Dual 200W RPS Dual 500W RPS Dual 500W RPS Dual 500W RPS
  100-240 VAC (-36-72 DC) 100-240 VAC (-40-72 DC) 100-240 VAC (-40-72 DC) 100-240 VAC (-40-72 DC)
Cooling Fan Standard Fans Hot Swap Smart Fans Hot Swap Smart Fans Hot Swap Smart Fans
Dimensions 430mm x 400mm x 44mm 440mm x 576mm x 44mm 440mm x 576mm x 44mm 440mm x 576mm x 44mm
Rack Unit (Mountable) 1U 1U 1U 1U

* Пакетная производительность достаточна для работы «на скорости проводов» при среднем размере пакетов 480 байт.

Виды URL-фильтрации

Фильтрация URLip в реестреhttp hostnamehttp hostname/path* перед hostnamehttps (по SNI)https (по сертификату)Порты отличные от 80,443Сайт с меняющимся ipНовые протоколы в т.ч. QUIC
Фильтрация методом blackhole DNS Нет Да Нет Нет Нет Нет Нет Нет Нет
DPI-Фильтрация по исх. трафику, предфильтрованному при помощи ip-ACL (в т.ч. средствами BGP) Да Да* Да*/Нет Нет Да*/Heт Нет Да*/Нет Да*/Нет Нет
DPI-Фильтрация по исх. трафику с предфильтрацией по портам (по всем ip) Да Да Да Да Да Нет Да** Да Нет
DPI-Фильтрация по исх. и вход. трафику с гибкой предфильтрацией по портам и протоколам (по всем ip) Да Да Да Да Да Да Да** Да Да**
DPI-фильтрация по всему исх. и вход трафику Да Да Да Да Да Да Да Да Да
* Если ip попал в список, используемый для предфильтрации
** Необходимо добавить нужные порты и протоколы в список фильруемых

Мы предлагаем нашим клиентам самый совершенный метод URL-фильтрации — DPI-фильтрация по всему исходящему и входящему трафику.

Документы