21.1  Sledování a ukládání statistických dat

Pro sledování výše popsaných statistik musí WinRoute získávat data různého typu. Tato data se uchovávají v databázi (podadresář star\data v instalačním adresáři WinRoute — podrobnosti viz kapitola 25.1  Zálohování a přenos konfigurace). Celkovou dobu, pro kterou WinRoute statistiky uchovává, lze nastavit v Administration Console v sekci Statistiky a záznamy (viz kapitola 21.2  Nastavení statistik a kvóty). Výchozí nastavení je 24 měsíců (tj. 2 roky).

WinRoute Firewall Engine z technických důvodů uchovává získaná statistická data ve své vyrovnávací paměti (cache — podadresář star\cache) a zápis do databáze probíhá vždy 1x za hodinu. Cache je fyzicky reprezentována několika soubory na disku. Z toho vyplývá, že i při zastavení WinRoute Firewall Engine, při výpadku napájení apod. zůstanou data v cache uchována, přestože dosud nebyla zapsána do databáze.

Pro zobrazování statistik se používají data z hlavní databáze. Aktuální komunikace uživatele (např. přístup na WWW stránku) se tedy ve statistikách neprojeví ihned, ale až po skončení příslušné periody a zápisu dat do databáze.

Poznámka: Data z databáze pro statistiky nelze ručně mazat (taková akce nemá příliš velký praktický význam). Při zobrazování statistik můžeme vždy zvolit pouze takové období, které nás skutečně zajímá. Nechceme-li uchovávat stará data, můžeme zkrátit dobu uchovávání statistik (viz výše).

Podmínky pro sledování statistik

Mají-li být k dispozici všechny statistiky, musí být splněno několik základních podmínek:

  • Firewall by měl vždy vyžadovat ověření uživatele. Pokud bude povolen přístup do Internetu nepřihlášeným uživatelům, statistiky dle jednotlivých uživatelů nebudou objektivní. Podrobnosti viz kapitola 10  Ověřování uživatelů.

  • Pro sledování navštěvovaných WWW stránek musí být veškerá komunikace protokolem HTTP obsluhována příslušným inspekčním modulem. Tato podmínka je implicitně splněna, pokud nejsou definována komunikační pravidla, která inspekční modul vyřazují (viz kapitola 7.7  Vyřazení inspekčního modulu pro určitou službu).

    Při použití proxy serveru ve WinRoute sleduje navštěvované stránky přímo proxy server (viz kapitola 8.4  Proxy server).

    Poznámka: Komunikace protokolem HTTPS je šifrována, a proto nelze sledovat navštívené stránky a kategorie stránek. Do statistik je zahrnován pouze objem přenesených dat.

  • Pro sledování kategorií navštívených WWW stránek musí být také aktivní modul ISS OrangeWeb Filter. V konfiguraci tohoto modulu by měla být zapnuta volba Kategorizovat každou stránku bez ohledu na pravidla pro HTTP (jinak nebudou statistiky kategorií objektivní). Podrobnosti viz kapitola 12.4  Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter).

Sledování statistik a mapované služby

Přístup z Internetu k mapované službě na počítači v lokální síti (případně ke službě na firewallu zpřístupněné z Internetu — viz kapitola 7.3  Definice vlastních komunikačních pravidel) se rovněž zahrnuje do statistik uživatelů. Je-li z daného počítače přihlášen k firewallu některý uživatel, pak je přístup k mapované službě považován za aktivitu tohoto uživatele. V opačném případě bude tento přístup zahrnut pod nepřihlášené uživatele.

Praktický význam této vlastnosti objasníme na jednoduchém příkladu. Uživatel jnovak je přihlášen k firewallu ze své pracovní stanice v lokální síti. Na firewallu je mapována služba RDP na tuto stanici, aby na ní uživatel mohl pracovat vzdáleně. Pokud se uživatel jnovak připojí z Internetu ke vzdálené ploše na své pracovní stanici, bude toto spojení a (data jím přenesená) zahrnuto do statistik a kvóty tohoto uživatele, protože se skutečně jedná o jeho aktivitu.

Jiným případem je veřejně přístupný mapovaný WWW server. K tomuto serveru se může připojit libovolný (anonymní) uživatel z Internetu. WWW server je však ve většině případů provozován na vyhrazeném počítači, na kterém žádný uživatel nepracuje. Proto bude veškerá komunikace s tímto serverem zahrnuta pod „nepřihlášené uživatele“.

Pokud by se však z WWW serveru nějaký uživatel přihlásil k firewallu, pak by se komunikace klientů z Internetu s WWW serverem započítávala do aktivity tohoto uživatele. Pokud by navíc tento uživatel překročil svou kvótu objemu dat, pak by na tento WWW server také aplikovala příslušná omezení (viz kapitoly 15.2  Lokální uživatelské účty9.2  Konfigurace omezování šířky pásma).