URL-фильтрация на платформе EcoSGE

Функциональность URL-фильтрации, реализованная в решениях «РДП.РУ», позволяет оператору связи выполнять требования законодательства (ФЗ-139; ФЗ-149; ФЗ-187; ФЗ-436) в отношении фильтрации нежелательных и запрещенных ресурсов в сети Интернет, а также оказывать дополнительные услуги типа «детский интернет» с фильтрацией по большим спискам (до 30 млн URLs).

Поддерживается фильтрация URL (вида host/путь) для протокола HTTP и хостов для протокола HTTPS по всем TCP-портам. Причем, списки фильтруемых URL могут назначаться как всем абонентам сразу, так и каждому персонально в зависимости от его тарифного плана. Также возможно динамически применять правила фильтрации к абонентам при помощи протокола RADIUS. Устройство EcoFilter может быть дополнено функциональностью сервисного шлюза (нарезка скоростей абонентам, переадресация на страницу отключения, URL-based open garden, URL-based policing, CG-NAT).

Самой распространенной на сегодняшний день схемой URL-фильтрации в РФ является метод, при котором на систему DPI направляется не весь трафик, а лишь его небольшая часть, предварительно отфильтрованная маршрутизаторами (ACL, оттягивание BGP-маршрутов и т.д.). Этот подход имеет принципиальный неустранимый недостаток. Дело в том, что многие из запрещенных (и нежелательных) сайтов размещены на CDN-сетях и их IP-адреса, выдаваемые серверами DNS, постоянно динамически меняются. Кроме того, для фильтрации https необходим весь входящий трафик (именно в нем содержится сертификат хоста), и, если его нет, такие ресурсы корректно фильтроваться не могут. Таким образом, нужный для URL-фильтрации трафик просто не попадает в ACL и проходит в обход фильтрующего DPI-оборудования, что обычно дает 1-2% пропусков по системе Ревизор и приводит к штрафам и неприятным разговорам с РКН.

В отличие от большинства аналогов, ориентированных на работу с предфильтрованным трафиком, EcoFilter имеет достаточную производительность и позволяет анализировать весь трафик провайдера по всем TCP-портам, что гарантирует 100% фильтрацию по данным системы Ревизор. Производительность DPI-системы составляет до 160 Гбит/c в 1U, что является лучшим результатом в РФ и хорошим результатом даже по мировым меркам. При необходимости эта производительность легко масштабируется путем использования нескольких устройств, собранных в LAG.

В решении EcoFilter предусмотрены механизмы обнаружения URL в запросах HTTP, даже если абонент использует средства обхода блокировки, такие как доступ с использованием нестандартного порта на сервере, маскировка URL путем фрагментации GET-запроса, использование нестандартной последовательности заголовков и др.

При обнаружении URL в заголовке производится его сопоставление с заданными «черными» и «белыми» списками. Выгрузка списка РКН производится автоматически по расписанию.

Устройство EcoFilter позволяет производить экстракцию всех GET-запросов абонентов с записью их на внешний сервер (сбор BIG data). Функция экспорта информации о GET-запросах дает возможность проводить анализ и строить профили интересов и рисков — как для отдельных пользователей, так и для всей абонентской базы провайдера. В числе прочего, данная функциональность позволяет вывести на качественно новый уровень работу с оттоком благодаря возможности предсказывать потерю конкретного абонента.

EcoFilter является российским продуктом, что официально подтверждено решением межведомственного экспертного совета при Минпромторге РФ (МЭС) и Минкомсвязи РФ.