În acest articol vă voi povesti despre un nou produs de la Entensys, din care suntem parteneri în trei domenii, UserGate Proxy & Firewall 6.2.1.

O zi buna, draga vizitatoare. Anul 2013 a trecut în urmă, pentru unii a fost greu, pentru alții a fost ușor, dar timpul zboară și dacă te gândești că o nanosecundă este 10 −9 Cu. apoi doar zboară. În acest articol vă voi povesti despre un nou produs de la Entensys, din care suntem parteneri în trei domenii UserGate Proxy & Firewall 6.2.1.

Din punctul de vedere al administrării versiunii 6.2 a UserGate Proxy & Firewall 5.2F, a cărei implementare o practicăm cu succes în practica noastră de outsourcing IT, este practic inexistentă. Vom folosi Hyper-V ca mediu de laborator, și anume două mașini virtuale de prima generație, o parte server pe Windows Server 2008 R2 SP1 și o parte client pe Windows 7 SP1. Dintr-un motiv necunoscut pentru mine, UserGate versiunea 6 nu se instalează pe Windows Server 2012 și Windows Server 2012 R2.

Deci, ce este un server proxy?

Server proxy(din proxy engleză - „reprezentant, autorizat”) - un serviciu (set de programe) în retele de calculatoare, permițând clienților să facă cereri indirecte către alte servicii de rețea. În primul rând, clientul se conectează la serverul proxy și solicită o resursă (de exemplu, e-mail) situată pe un alt server. Apoi serverul proxy fie se conectează la serverul specificat și obține resursa de la acesta, fie returnează resursa din propriul cache (în cazurile în care proxy-ul are propriul cache). În unele cazuri, cererea clientului sau răspunsul serverului poate fi modificată de serverul proxy în anumite scopuri. Un server proxy vă permite, de asemenea, să protejați computerul clientului de unele atacuri de rețea și ajută la menținerea anonimatului clientului.

Ceastfel deUserGate Proxy și Firewall?

UserGate Proxy și Firewall este o soluție cuprinzătoare pentru conectarea utilizatorilor la Internet, oferind contabilitate completă a traficului, control al accesului și protecție încorporată a rețelei.

Din definiție, să ne uităm la ce soluții oferă Entensys în produsul său, cum este calculat traficul, cum este limitat accesul și ce instrumente de protecție oferă UserGate Proxy & Firewall.

În ce constă?UserGate?

UserGate este format din mai multe părți: un server, o consolă de administrare și mai multe module suplimentare. Serverul este partea principală a serverului proxy, în care sunt implementate toate funcționalitățile acestuia. Serverul UserGate oferă acces la Internet, contorizează traficul, păstrează statistici ale activității utilizatorilor în rețea și efectuează multe alte sarcini.

Consola de administrare UserGate este un program conceput pentru a gestiona serverul UserGate. Consola de administrare UserGate comunică cu partea de server printr-un protocol special securizat prin TCP/IP, care vă permite să efectuați administrarea serverului de la distanță.

UserGate include trei module suplimentare: „Web Statistics”, „UserGate Authorization Client” și modulul „Application Control”.

Server

Instalarea serverului UserGate este foarte simplă, singura diferență este alegerea bazei de date în timpul procesului de instalare. Accesul la baza de date se realizează direct (pentru baza de date Firebird încorporată) sau printr-un driver ODBC, care permite serverului UserGate să lucreze cu baze de date de aproape orice format (MSAccess, MSSQL, MySQL). În mod implicit, este utilizată baza de date Firebird. Dacă decideți să actualizați UserGate din versiunile anterioare, atunci va trebui să vă luați la revedere de la baza de date de statistici, deoarece: Pentru fișierul de statistici, doar transferul soldurilor curente ale utilizatorilor nu vor fi transferate; Modificările la baza de date au fost cauzate de probleme de performanță cu cea veche și de limitări ale dimensiunii acesteia. Noua bază de date Firebird nu are astfel de neajunsuri.

Lansarea consolei de administrare.

Consola este instalată pe serverul VM. Când lansați prima dată consola de administrare, aceasta se deschide la pagina „Conexiuni”, care conține o singură conexiune la serverul localhost pentru utilizatorul Administrator. Parola de conectare nu a fost setată. Puteți conecta consola de administrare la server făcând dublu clic pe linia localhost-administrator sau făcând clic pe butonul de conectare de pe panoul de control. Puteți crea mai multe conexiuni în consola de administrare UserGate.

Setările de conectare specifică următorii parametri:

• Numele serverului este numele conexiunii;
• Nume utilizator – autentificare pentru a vă conecta la server;
• Adresa serverului – numele de domeniu sau adresa IP a serverului UserGate;
• Port – portul TCP folosit pentru a se conecta la server (în mod implicit, este utilizat portul 2345);
• Parola – parola pentru conectare;
• Solicitați parola la conectare – această opțiune vă permite să afișați un dialog pentru introducerea numelui de utilizator și a parolei atunci când vă conectați la server;
• Conectați-vă automat la acest server – consola de administrare se va conecta automat la acest server când este lansată.

Când porniți prima dată serverul, sistemul oferă un asistent de instalare, pe care îl refuzăm. Setările consolei de administrare sunt stocate în fișierul console.xml situat în directorul %UserGate%\Administrator.

Configurarea conexiunilor în spatele NAT. Paragraf „Setări generale NAT” vă permite să setați valoarea timeout pentru conexiunile NAT prin protocoale TCP, UDP sau ICMP. Valoarea timeout determină durata de viață a unei conexiuni de utilizator prin NAT atunci când transmiterea datelor prin conexiune este finalizată. Să lăsăm această setare ca implicită.

Detector de atac este o opțiune specială care vă permite să activați mecanismul intern pentru monitorizarea și blocarea scannerului de porturi sau încercările de a ocupa toate porturile de server.

Blocați după linia browserului– o listă de browsere ale User-Agent care pot fi blocate de serverul proxy. Acestea. Puteți, de exemplu, să împiedicați browserele mai vechi, cum ar fi IE 6.0 sau Firefox 3.x, să acceseze Internetul.

Interfețe

Secțiunea Interfețe este cea principală din setările serverului UserGate, deoarece determină probleme precum corectitudinea numărării traficului, capacitatea de a crea reguli pentru firewall, restricții privind lățimea canalului de Internet pentru trafic de un anumit tip, stabilirea relațiilor dintre rețele și ordinea în care pachetele sunt procesate de driverul NAT. Fila „Interfețe”, selectați tipul dorit pentru interfețe. Deci, pentru un adaptor conectat la Internet, ar trebui să selectați tipul WAN, pentru un adaptor conectat la retea locala– tip LAN. Accesul la internet pentru VM este partajat, respectiv, interfața cu adresa 192.168.137.118 va fi un adaptor WAN, selectați tipul dorit și faceți clic pe „Aplicați”. Apoi repornim serverul.

Utilizatori și grupuri

Accesul la Internet este oferit numai utilizatorilor care au finalizat cu succes autorizarea pe serverul UserGate. Programul suportă următoarele metode autorizare utilizator:

• După adresa IP
• După intervalul de adrese IP
• După adresa IP+MAC
• După adresa MAC
• Autorizare folosind HTTP (HTTP-de bază, NTLM)
• Autorizare prin autentificare și parolă (client de autorizare)
• Opțiune de autorizare simplificată prin Active Directory

Pentru a utiliza ultimele trei metode de autorizare, trebuie să instalați o aplicație specială pe stația de lucru a utilizatorului - clientul de autorizare UserGate. Pachetul MSI corespunzător (AuthClientInstall.msi) se află în directorul %UserGate%\tools și poate fi utilizat pentru instalarea automată folosind Politica de grup în Active Directory.

Pentru utilizatorii de terminale, este furnizată doar opțiunea „Autorizare prin HTTP”. Opțiunea corespunzătoare este activată în elementul Setări generale din consola de administrare.

Puteți crea un utilizator nou prin intermediul articolului Adăugați un utilizator nou sau făcând clic pe butonul Adăugaîn panoul de control de pe pagină Utilizatori și grupuri.

Există o altă modalitate de a adăuga utilizatori - scanarea rețelei cu solicitări ARP. Trebuie să faceți clic pe un spațiu gol din consola de administrare din pagină utilizatoriiși selectați elementul scanează rețeaua locală. Apoi, setați parametrii rețelei locale și așteptați rezultatele scanării. Ca rezultat, veți vedea o listă de utilizatori care pot fi adăugați la UserGate. Ei bine, să verificăm, faceți clic pe „Scanați rețeaua locală”

Setați parametrii:

Lucrări!

Adăugarea unui utilizator

Merită să reamintim că UserGate are o prioritate de autentificare, mai întâi fizică, apoi logică. Această metodă nu este de încredere, deoarece... utilizatorul poate schimba adresa IP. Ceea ce ni se potrivește este importul conturilor Active Directory, pe care le putem importa cu ușurință făcând clic pe butonul „Import”, apoi „Selectare” și numele contului nostru, „Ok”, „Ok”.

Selectați „Grup”, lăsați „implicit” implicit

Faceți clic pe „Ok” și salvați modificările.

Utilizatorul nostru a fost adăugat fără probleme. De asemenea, este posibil să sincronizați grupuri AD în fila „Grupuri”.

Configurarea serviciilor proxy în UserGate

În serverul UserGate sunt integrate următoarele servere proxy: HTTP (cu suport pentru modul „FTP over HTTP” și HTTPS - metoda Connect), FTP, SOCKS4, SOCKS5, POP3 și SMTP, SIP și H323. Setările serverului proxy sunt disponibile în secțiunea Servicii → Setări proxy din consola de administrare. Principalele setări ale serverului proxy includ: interfața și numărul portului pe care funcționează proxy-ul. Deci, de exemplu, să activăm un proxy HTTP transparent pe interfața noastră LAN. Să mergem la „Setări proxy” și să selectăm HTTP.

Să ne selectăm interfața, să lăsăm totul ca implicit și să facem clic pe „OK”

Folosind modul transparent

Funcția „Mod transparent” din setările serverului proxy este disponibilă dacă serverul UserGate este instalat împreună cu driverul NAT. În modul transparent, driverul NAT UserGate ascultă porturile standard pentru servicii: 80 TCP pentru HTTP, 21 TCP pentru FTP, 110 și 25 TCP pentru POP3 și SMTP pe interfețele de rețea ale computerului cu UserGate. Dacă există solicitări, acestea le transferă pe serverul proxy UserGate corespunzător. Când se utilizează modul transparent în aplicațiile de rețea, utilizatorii nu trebuie să specifice adresa și portul serverului proxy, ceea ce reduce semnificativ munca administratorului în ceea ce privește furnizarea de acces la rețeaua locală la Internet. Cu toate acestea, în setările de rețea ale stațiilor de lucru, serverul UserGate trebuie specificat ca gateway și trebuie specificată adresa serverului DNS.

Proxy-uri de e-mail în UserGate

Serverele proxy de e-mail din UserGate sunt proiectate să funcționeze cu protocoalele POP3 și SMTP și pentru scanarea antivirus a traficului de e-mail. Când utilizați modul de operare transparent al proxy-ului POP3 și SMTP, setările clientului de e-mail de pe stația de lucru a utilizatorului nu diferă de setările corespunzătoare opțiunii cu acces direct la Internet.

Dacă proxy-ul UserGate POP3 este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului POP3 UserGate trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format: adresa_e-mail@adresa_server_POP3. De exemplu, dacă utilizatorul are o cutie poștală [email protected], apoi ca Login pentru proxy POP3 UserGate în clientul de e-mail, va trebui să specificați: [email protected]@pop.mail123.com. Acest format este necesar pentru ca serverul UserGate să poată determina adresa serverului POP3 la distanță.

Dacă proxy-ul SMTP UserGate este utilizat în modul netransparent, atunci în setările proxy trebuie să specificați adresa IP și portul serverului SMTP pe care UserGate îl va folosi pentru a trimite scrisori. În acest caz, în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a serverului UserGate și portul corespunzător proxy-ului SMTP UserGate trebuie specificate ca adresa serverului SMTP. Dacă este necesară autorizarea pentru trimitere, atunci în setările clientului de e-mail trebuie să specificați login și parola corespunzătoare serverului SMTP, care este specificată în setările proxy SMTP din UserGate.

Ei bine, asta sună bine, haideți să verificăm folosind mail.ru.

În primul rând, să activăm proxy-urile POP3 și SMTP pe serverul nostru. Când activăm POP3, vom specifica interfața LAN ca portul standard 110.

Și, de asemenea, asigurați-vă că nu există nicio bifă pentru „Proxy transparent” și faceți clic pe „Ok” și „Aplicați”

Debifați „Mod transparent” și scrieți „Setări server la distanță”, în cazul nostru smtp.mail.ru. De ce este indicat un singur server? Și iată răspunsul: se presupune că organizația folosește un singur server smtp, iar acest server este indicat în setările proxy SMTP.

Prima regulă pentru POP3 ar trebui să arate așa.

În al doilea rând, așa cum ar spune Alexander Nevsky "Ca aceasta"

Nu uitați de butonul „Aplicați” și treceți la configurarea clientului. După cum ne amintim, „Dacă proxy-ul UserGate POP3 este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului UserGate POP3 trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format: adresa_e-mail@adresa_server_POP3." Să acţionăm.

Mai întâi, conectați-vă la clientul de autorizare, apoi deschideți Outlook obișnuit, în exemplul nostru, am creat o cutie poștală de testare [email protected], și configurați-l prin specificarea căsuței noastre poștale într-un format ușor de înțeles pentru UserGate [email protected]@pop.mail.ru, precum și serverele POP și SMTP, adresa noastră proxy.

Faceți clic pe „Verificarea contului...”

Alocarea portului

UserGate acceptă funcția Port Forwarding. Dacă există reguli de atribuire a portului, serverul UserGate redirecționează cererile utilizatorului care sosesc pe un anumit port al unei anumite interfețe de rețea a unui computer cu UserGate către o altă adresă și port specificate, de exemplu, către un alt computer din rețeaua locală. Funcția Port Forwarding este disponibilă pentru protocoalele TCP și UDP.

Dacă atribuirea portului este utilizată pentru a oferi acces de pe Internet la o resursă internă a companiei, trebuie să selectați Utilizator specificat ca parametru Autorizare, altfel redirecționarea portului nu va funcționa. Nu uitați să activați Desktop la distanță.

Configurare cache

Unul dintre scopurile unui server proxy este de a stoca în cache resursele rețelei. Memorarea în cache reduce încărcarea conexiunii dvs. la Internet și accelerează accesul la resursele frecvent vizitate. Serverul proxy UserGate memorează în cache traficul HTTP și FTP. Documentele stocate în cache sunt plasate în folderul local %UserGate_data%\Cache. Setările cache indică dimensiunea maximă a memoriei cache și timpul de stocare pentru documentele din cache.

Scanare antivirus

În serverul UserGate sunt integrate trei module antivirus: Kaspersky Lab antivirus, Panda Security și Avira. Toate modulele antivirus sunt proiectate pentru a scana traficul de intrare prin serverele proxy de e-mail HTTP, FTP și UserGate, precum și traficul de ieșire prin proxy-uri SMTP.

Setările modulului antivirus sunt disponibile în secțiunea Servicii → Antivirus a consolei de administrare. Pentru fiecare antivirus, puteți specifica ce protocoale ar trebui să scaneze, să setați frecvența actualizării bazelor de date antivirus și, de asemenea, să specificați adrese URL care nu trebuie scanate (opțiunea URL Filter). În plus, în setări puteți specifica un grup de utilizatori al căror trafic nu trebuie să fie supus unei scanări antivirus.

Înainte de a porni antivirusul, trebuie mai întâi să-i actualizați baza de date.

După funcțiile de mai sus, să trecem la cele utilizate frecvent, acestea sunt „Gestionarea traficului” și „Controlul aplicațiilor”.

Sistemul de reguli de control al traficului

Serverul UserGate oferă posibilitatea de a controla accesul utilizatorilor la Internet utilizând regulile de gestionare a traficului. Regulile de control al traficului sunt concepute pentru a interzice accesul la anumite resurse de rețea, pentru a stabili restricții privind consumul de trafic, pentru a crea un program pentru utilizatorii de pe Internet și, de asemenea, pentru a monitoriza starea conturilor de utilizator.

În exemplul nostru, vom restricționa accesul unui utilizator care are referințe la vk.com în cererea sa. Pentru a face acest lucru, accesați „Gestionarea traficului – ​​Reguli”

Dați regulii un nume și acțiunii „Închideți conexiunea”

După adăugarea site-ului, treceți la următorul parametru, selectând un grup sau utilizator, regula poate fi setată atât pentru utilizator, cât și pentru grup, în cazul nostru utilizatorul „Utilizator”.

Controlul aplicației

Politica de control al accesului la Internet a primit o continuare logică sub forma modulului Application Firewall. Administratorul UserGate poate permite sau interzice accesul la Internet nu numai utilizatorilor, ci și aplicațiilor de rețea de pe stația de lucru a utilizatorului. Pentru a face acest lucru, trebuie să instalați o aplicație specială App.FirewallService pe stațiile de lucru ale utilizatorului. Instalarea pachetului este posibilă atât prin fișierul executabil, cât și prin pachetul MSI corespunzător (AuthFwInstall.msi), aflat în directorul %Usergate%\tools.

Să mergem la modulul „Controlul aplicației - Reguli” și să creăm o regulă de interzicere, de exemplu, pentru a interzice lansarea IE. Faceți clic pe adăugați un grup, dați-i un nume și setați o regulă pentru grup.

Selectăm grupul nostru de reguli creat, putem bifa caseta de selectare „Regulă implicită”, în acest caz regulile vor fi adăugate la grupul „Reguli_default”

Aplicarea unei reguli unui utilizator în proprietățile utilizatorului

Acum instalăm Auth.Client și App.Firewall pe stația client după instalare, IE ar trebui să fie blocat de regulile create mai devreme.

După cum putem vedea, regula a funcționat, acum să dezactivăm regulile pentru ca utilizatorul să vadă cum funcționează regula pentru site-ul vk.com. După dezactivarea regulii pe serverul usergate, trebuie să așteptați 10 minute (timpul de sincronizare cu serverul). Să încercăm să accesăm linkul direct

Încercăm prin motorul de căutare google.com

După cum puteți vedea, regulile funcționează fără probleme.

Deci, acest articol acoperă doar o mică parte a funcțiilor. Setările posibile pentru firewall, regulile de rutare și regulile NAT sunt omise. UserGate Proxy & Firewall oferă o gamă largă de soluții, chiar și puțin mai multe. Produsul a funcționat foarte bine și, cel mai important, a fost ușor de configurat. Vom continua să-l folosim în deservirea infrastructurilor IT ale clienților pentru a rezolva problemele tipice!

Organizarea accesului partajat la Internet pentru utilizatorii rețelei locale este una dintre cele mai frecvente sarcini cu care trebuie să se confrunte administratorii de sistem. Cu toate acestea, încă ridică multe dificultăți și întrebări. De exemplu, cum să asigurați securitatea maximă și controlabilitatea completă?

Introducere

Astăzi vom analiza în detaliu cum să organizăm accesul partajat la Internet între angajații unei anumite companii ipotetice. Să presupunem că numărul lor va fi în intervalul 50-100 de persoane, iar toate serviciile obișnuite pentru astfel de sisteme de informații sunt implementate în rețeaua locală: domeniu Windows, server de e-mail propriu, server FTP.

Pentru a oferi acces partajat, vom folosi o soluție numită UserGate Proxy & Firewall. Are mai multe caracteristici. În primul rând, este curat Dezvoltarea Rusiei, spre deosebire de multe produse localizate. În al doilea rând, are mai mult de zece ani de istorie. Dar cel mai important lucru este dezvoltarea constantă a produsului.

Primele versiuni ale acestei soluții erau servere proxy relativ simple, care nu puteau decât să ofere partajarea o singură conexiune la Internet și păstrați statistici privind utilizarea acesteia. Cel mai răspândit dintre ele este build 2.8, care se găsește încă în birourile mici. Cea mai recentă versiune, a șasea, nu mai este numită server proxy de către dezvoltatori înșiși. Potrivit acestora, aceasta este o soluție UTM cu drepturi depline care acoperă o gamă întreagă de sarcini legate de securitate și controlul acțiunilor utilizatorului. Să vedem dacă este adevărat.

Implementarea UserGate Proxy și Firewall

În timpul instalării, sunt interesați doi pași (pașii rămași sunt standard pentru instalarea oricărui software). Prima dintre acestea este alegerea componentelor. Pe lângă fișierele de bază, ni se cere să instalăm încă patru componente de server - un VPN, două antivirusuri (Panda și Kaspersky Anti-Virus) și un browser cache.

Modulul server VPN este instalat după cum este necesar, adică atunci când compania intenționează să folosească acces la distanță pentru angajați sau să combine mai multe rețele de la distanță. Este logic să instalați antivirusuri numai dacă licențele corespunzătoare au fost achiziționate de la companie. Prezența lor vă va permite să scanați traficul de internet, să localizați și să blocați programele malware direct la gateway. Browserul cache vă va permite să vizualizați paginile web stocate în cache de serverul proxy.

Funcții suplimentare

Interzicerea site-urilor nedorite

Soluția acceptă tehnologia Entensys URL Filtering. În esență, este o bază de date bazată pe cloud, care conține peste 500 de milioane de site-uri web în diferite limbi, împărțite în peste 70 de categorii. Principala sa diferență este monitorizarea constantă, timp în care proiectele web sunt monitorizate în mod constant și când conținutul se modifică, acestea sunt transferate într-o altă categorie. Acest lucru vă permite să blocați toate site-urile nedorite cu un grad ridicat de acuratețe, pur și simplu selectând anumite categorii.

Utilizarea Entensys URL Filtering mărește securitatea muncii pe Internet și, de asemenea, ajută la creșterea eficienței angajaților (prin interzicerea retele sociale, site-uri de divertisment și alte lucruri). Cu toate acestea, utilizarea sa necesită un abonament plătit, care trebuie reînnoit în fiecare an.

În plus, distribuția include încă două componente. Prima este „Consola de administrator”. Aceasta este o aplicație separată concepută, după cum sugerează și numele, pentru a gestiona serverul UserGate Proxy & Firewall. Caracteristica sa principală este capacitatea de a se conecta de la distanță. Astfel, administratorii sau cei responsabili cu utilizarea Internetului nu au nevoie de acces direct la gateway-ul de Internet.

A doua componentă suplimentară este statisticile web. În esență, este un server web care vă permite să afișați statistici detaliate despre utilizarea rețelei globale de către angajații companiei. Pe de o parte, aceasta este, fără îndoială, o componentă utilă și convenabilă. La urma urmei, vă permite să primiți date fără a instala software suplimentar, inclusiv prin Internet. Dar, pe de altă parte, ocupă resurse de sistem inutile ale gateway-ului de internet. Prin urmare, este mai bine să-l instalați numai atunci când este cu adevărat necesar.

A doua etapă la care ar trebui să acordați atenție în timpul instalării UserGate Proxy & Firewall este alegerea unei baze de date. În versiunile anterioare, UGPF putea funcționa numai cu fișiere MDB, ceea ce a afectat performanța generală a sistemului. Acum există o alegere între două SGBD - Firebird și MySQL. Mai mult decât atât, primul este inclus în kitul de distribuție, astfel încât atunci când îl selectați, nu sunt necesare manipulări suplimentare. Dacă doriți să utilizați MySQL, trebuie mai întâi să îl instalați și să îl configurați. După finalizarea instalării componentelor serverului, este necesară pregătirea stațiilor de lucru pentru administratori și alți angajați responsabili care pot gestiona accesul utilizatorilor. Este foarte ușor de făcut. Este suficient să instalați consola de administrare din aceeași distribuție pe computerele lor de lucru.

Funcții suplimentare

Server VPN încorporat

Versiunea 6.0 a introdus componenta server VPN. Cu ajutorul acestuia, puteți organiza accesul securizat de la distanță pentru angajații companiei la rețeaua locală sau puteți combina rețelele de la distanță ale filialelor individuale ale organizației într-un singur spațiu de informații. Acest server VPN are toate funcționalitățile necesare pentru a crea tuneluri de la server la server și de la client la server și de rutare între subrețele.

Configurare de bază

Toată configurația UserGate Proxy & Firewall se realizează folosind consola de management. În mod implicit, după instalare, este deja creată o conexiune la serverul local. Cu toate acestea, dacă îl utilizați de la distanță, va trebui să creați manual conexiunea prin specificarea adresei IP sau a numelui de gazdă a gateway-ului de internet, a portului de rețea (implicit 2345) și a parametrilor de autorizare.

După conectarea la server, trebuie mai întâi să configurați interfețele de rețea. Acest lucru se poate face în fila „Interfețe” din secțiunea „Server UserGate”. Placa de rețea care „se uită” în rețeaua locală este setată la tipul LAN, iar toate celelalte conexiuni sunt setate la WAN. Conexiunile „temporare”, cum ar fi PPPoE, VPN, sunt atribuite automat tipul PPP.

Dacă o companie are două sau mai multe conexiuni la rețeaua globală, una dintre ele fiind cea principală, iar restul fiind cele de rezervă, atunci backupul automat poate fi configurat. Acest lucru este destul de ușor de făcut. Este suficient să adăugați interfețele necesare la lista celor de rezervă, să specificați una sau mai multe resurse de control și timpul pentru verificarea acestora. Principiul de funcționare al acestui sistem este următorul. UserGate verifică automat disponibilitatea site-urilor de control la un interval specificat. De îndată ce nu mai răspunde, produsul trece în mod independent, fără intervenția administratorului, la canalul de rezervă. În același timp, se continuă verificarea disponibilității resurselor de control prin interfața principală. Și de îndată ce are succes, trecerea înapoi este efectuată automat. Singurul lucru la care trebuie să acordați atenție atunci când configurați este alegerea resurselor de control. Este mai bine să luați mai multe site-uri mari, a căror funcționare stabilă este practic garantată.

Funcții suplimentare

Controlul aplicațiilor de rețea

UserGate Proxy & Firewall implementează o caracteristică atât de interesantă precum controlul aplicațiilor de rețea. Scopul său este de a împiedica orice software neautorizat să acceseze Internetul. Ca parte a setărilor de control, sunt create reguli care permit sau blochează funcționarea în rețea a diferitelor programe (cu sau fără considerente de versiune). Acestea pot specifica adrese IP specifice și porturi de destinație, ceea ce vă permite să configurați în mod flexibil accesul la software, permițându-i să efectueze doar anumite acțiuni pe Internet.

Controlul aplicațiilor vă permite să dezvoltați o politică corporativă clară privind utilizarea programelor și să preveniți parțial răspândirea programelor malware.

După aceasta, puteți trece direct la configurarea serverelor proxy. În total, soluția luată în considerare implementează șapte dintre ele: pentru protocoalele HTTP (inclusiv HTTP-uri), FTP, SOCKS, POP3, SMTP, SIP și H323. Acesta este practic tot ceea ce ar putea avea nevoie angajații unei companii pentru a lucra pe Internet. În mod implicit, numai proxy-ul HTTP este activat, dacă este necesar, toate celelalte pot fi activate.

Serverele proxy din UserGate Proxy & Firewall pot funcționa în două moduri - normal și transparent. In primul caz despre care vorbim despre proxy tradițional. Serverul primește cereri de la utilizatori și le transmite către servere externe și transmite răspunsurile primite clienților. Aceasta este o soluție tradițională, dar are propriile inconveniente. În special, este necesar să configurați fiecare program care este utilizat pentru a funcționa pe Internet (browser de internet, client de e-mail, ICQ etc.) pe fiecare computer din rețeaua locală. Aceasta este, desigur, multă muncă. Mai mult, periodic, pe măsură ce se instalează unul nou software, se va repeta.

Atunci când alegeți modul transparent, se folosește un driver NAT special, care este inclus în pachetul de livrare al soluției în cauză. Ascultă pe porturile corespunzătoare (80 pentru HTTP, 21 pentru FTP și așa mai departe), detectează cererile care vin la ele și le transmite serverului proxy, de unde sunt trimise mai departe. Această soluție are mai mult succes în sensul că configurarea software-ului pe mașinile client nu mai este necesară. Singurul lucru care este necesar este să specificați adresa IP a gateway-ului de Internet ca gateway principal în conexiunea de rețea a tuturor stațiilor de lucru.

Următorul pas este configurarea redirecționării interogărilor DNS. Există două moduri de a face acest lucru. Cel mai simplu dintre ele este să activezi așa-numita redirecționare DNS. Când îl utilizați, solicitările DNS care ajung la poarta de internet de la clienți sunt redirecționate către serverele specificate (puteți utiliza fie un server DNS din setările de conexiune la rețea, fie orice server DNS arbitrar).

A doua opțiune este de a crea o regulă NAT care va primi cereri pe portul 53 (standard pentru DNS) și le va transmite către rețeaua externă. Cu toate acestea, în acest caz, va trebui fie să înregistrați manual serverele DNS în setările de conexiune la rețea de pe toate computerele, fie să configurați trimiterea cererilor DNS prin poarta de internet de la serverul controlerului de domeniu.

managementul utilizatorilor

După finalizarea configurării de bază, puteți trece la lucrul cu utilizatorii. Trebuie să începeți prin a crea grupuri în care conturile vor fi ulterior combinate. Pentru ce este? În primul rând, pentru integrarea ulterioară cu Active Directory. Și în al doilea rând, puteți atribui reguli grupurilor (vom vorbi despre ele mai târziu), gestionând astfel accesul pentru un număr mare de utilizatori simultan.

Următorul pas este să adăugați utilizatori în sistem. Puteți face acest lucru în trei moduri diferite. Din motive evidente, nici măcar nu luăm în considerare prima dintre ele, crearea manuală a fiecărui cont. Această opțiune este potrivită numai pentru rețelele mici cu un număr mic de utilizatori. A doua metodă este scanarea rețelei corporative cu solicitări ARP, timp în care sistemul însuși determină lista de conturi posibile. Totuși, alegem a treia opțiune, care este cea mai optimă din punct de vedere al simplității și ușurinței în administrare – integrarea cu Active Directory. Se realizează pe baza unor grupuri create anterior. Mai întâi trebuie să completați parametrii generali de integrare: specificați domeniul, adresa controlerului acestuia, numele de utilizator și parola cu drepturile de acces necesare la acesta, precum și intervalul de sincronizare. După aceasta, fiecărui grup creat în UserGate trebuie să i se atribuie unul sau mai multe grupuri din Active Directory. De fapt, configurarea se termină aici. După salvarea tuturor setărilor, sincronizarea va fi efectuată în mod automat.

Utilizatorii creați în timpul autorizării vor folosi în mod implicit autorizarea NTLM, adică autorizarea prin autentificare la domeniu. Aceasta este o opțiune foarte convenabilă, deoarece regulile și sistemul de contabilitate a traficului vor funcționa indiferent de computerul pe care îl utilizați. acest moment utilizatorul stă.

Cu toate acestea, pentru a utiliza această metodă de autorizare aveți nevoie de software suplimentar - un client special. Acest program funcționează la nivel Winsock și transmite parametrii de autorizare a utilizatorului către poarta de internet. Distribuția sa este inclusă în pachetul UserGate Proxy & Firewall. Puteți instala rapid clientul pe toate stațiile de lucru utilizând politicile de grup Windows.

Apropo, autorizarea NTLM este departe de a fi singura metodă de autorizare a angajaților companiei să lucreze pe Internet. De exemplu, dacă o organizație practică legarea strictă a lucrătorilor de stațiile de lucru, atunci o adresă IP, o adresă MAC sau o combinație a ambelor pot fi utilizate pentru a identifica utilizatorii. Folosind aceleași metode, puteți organiza accesul la o rețea globală de diverse servere.

Controlul utilizatorului

Unul dintre avantajele semnificative ale UGPF este capabilitățile sale extinse de control al utilizatorului. Acestea sunt implementate folosind un sistem de reguli de control al traficului. Principiul funcționării sale este foarte simplu. Administrator (sau altul persoana responsabila) creează un set de reguli, fiecare dintre acestea reprezentând una sau mai multe condiții de declanșare și acțiunea care trebuie efectuată. Aceste reguli sunt atribuite utilizatorilor individuali sau grupurilor întregi dintre aceștia și vă permit să controlați automat munca lor pe Internet. Există patru acțiuni posibile în total. Prima este închiderea conexiunii. Permite, de exemplu, să blochezi descărcarea anumitor fișiere, să previi vizitarea site-urilor nedorite etc. A doua acțiune este modificarea tarifului. Este utilizat în sistemul tarifar, care este integrat în produsul analizat (nu îl luăm în considerare, deoarece nu este deosebit de relevant pentru rețelele corporative). Următoarea acțiune vă permite să dezactivați contorizarea traficului primit în cadrul acestei conexiuni. În acest caz, informațiile transmise nu sunt luate în considerare la calcularea consumului zilnic, săptămânal și lunar. Și, în sfârșit, ultima acțiune este limitarea vitezei la valoarea specificată. Este foarte convenabil de utilizat pentru a preveni înfundarea canalului atunci când descărcați fișiere mari și rezolvați alte probleme similare.

Sunt mult mai multe condiții în regulile de control al traficului - vreo zece. Unele dintre ele sunt relativ simple, cum ar fi dimensiunea maximă a fișierului. Această regulă va fi declanșată atunci când utilizatorii încearcă să descarce un fișier mai mare decât dimensiunea specificată. Alte condiții sunt bazate pe timp. În special, printre ele putem remarca programul (declanșat de oră și zile ale săptămânii) și sărbătorile (declanșate în anumite zile).

Cu toate acestea, cel mai mare interes sunt termenii și condițiile asociate site-urilor și conținutului. În special, ele pot fi folosite pentru a bloca sau a seta alte acțiuni asupra anumitor tipuri de conținut (de exemplu, video, audio, fișiere executabile, text, imagini etc.), proiecte web specifice sau întregii lor categorii (tehnologia Entensys URL Filtering este folosit pentru aceasta).

Este de remarcat faptul că o regulă poate conține mai multe condiții simultan. În acest caz, administratorul poate specifica în ce caz va fi executat - dacă toate condițiile sau oricare dintre ele sunt îndeplinite. Acest lucru vă permite să creați o politică foarte flexibilă pentru utilizarea Internetului de către angajații companiei, ținând cont de un număr mare de diferite nuanțe.

Configurarea unui firewall

O parte integrantă a driverului UserGate NAT este firewall-ul, care poate fi folosit pentru a rezolva diverse sarcini legate de procesarea traficului de rețea. Pentru configurare, se folosesc reguli speciale, care pot fi unul din trei tipuri: traducerea adresei de rețea, rutare și firewall. În sistem poate exista un număr arbitrar de reguli. În acest caz, acestea se aplică în ordinea în care sunt enumerate în lista generală. Prin urmare, dacă traficul de intrare se potrivește cu mai multe reguli, acesta va fi procesat de cel care se află deasupra celorlalte.

Fiecare regulă este caracterizată de trei parametri principali. Prima este sursa de trafic. Aceasta poate fi una sau mai multe gazde specifice, interfața WAN sau LAN a gateway-ului de Internet. Al doilea parametru este scopul informațiilor. Interfața LAN sau WAN poate fi specificată aici, sau conexiune internet prin telefonie. Ultima caracteristică principală a unei reguli este unul sau mai multe servicii cărora li se aplică. În UserGate Proxy & Firewall, un serviciu este înțeles ca o pereche de o familie de protocoale (TCP, UDP, ICMP, protocol arbitrar) și un port de rețea (sau o gamă de porturi de rețea). Implicit, sistemul are deja un set impresionant de servicii preinstalate, de la cele comune (HTTP, HTTPs, DNS, ICQ) la unele specifice (WebMoney, RAdmin, diverse jocuri online etc.). Cu toate acestea, dacă este necesar, administratorul își poate crea propriile servicii, de exemplu, cele care descriu modul de lucru cu online banking.

De asemenea, fiecare regulă are o acțiune pe care o efectuează cu trafic care se potrivește condițiilor. Sunt doar două dintre ele: permite sau interzice. În primul caz, traficul circulă nestingherit pe traseul specificat, în timp ce în al doilea este blocat.

Regulile de traducere a adreselor de rețea folosesc tehnologia NAT. Cu ajutorul lor, puteți configura accesul la Internet pentru stațiile de lucru cu adrese locale. Pentru a face acest lucru, trebuie să creați o regulă, specificând interfața LAN ca sursă și interfața WAN ca destinație. Regulile de rutare se aplică dacă soluția în cauză va fi folosită ca router între două rețele locale (implementează această caracteristică). În acest caz, rutarea poate fi configurată pentru a transporta traficul bidirecțional și transparent.

Regulile de firewall sunt folosite pentru a procesa traficul care nu ajunge la serverul proxy, ci direct la gateway-ul de internet. Imediat după instalare, sistemul are o astfel de regulă care permite toate pachetele de rețea. În principiu, dacă gateway-ul Internet creat nu va fi folosit ca stație de lucru, atunci acțiunea regulii poate fi schimbată din „Permite” în „Refuză”. În acest caz, orice activitate de rețea pe computer va fi blocată, cu excepția pachetelor NAT de tranzit transmise din rețeaua locală la Internet și înapoi.

Regulile firewall vă permit să publicați orice servicii locale în rețeaua globală: servere web, servere FTP, servere de e-mail etc. În același timp, utilizatorii de la distanță au posibilitatea de a se conecta la ei prin Internet. De exemplu, luați în considerare publicarea unui server FTP corporativ. Pentru a face acest lucru, administratorul trebuie să creeze o regulă în care să selecteze „Orice” ca sursă, să specifice interfața WAN dorită ca destinație și FTP ca serviciu. După aceasta, selectați acțiunea „Permite”, activați difuzarea traficului și în câmpul „Adresa de destinație” specificați adresa IP a serverului FTP local și portul său de rețea.

După această configurare, toate conexiunile care vin către plăcile de rețea ale gateway-ului de Internet prin portul 21 vor fi redirecționate automat către serverul FTP. Apropo, în timpul procesului de configurare, puteți selecta nu numai pe cel „nativ”, ci și orice alt serviciu (sau să creați al dvs.). În acest caz, utilizatorii externi vor trebui să contacteze un alt port decât 21. Această abordare este foarte convenabilă în cazurile în care sistemul informațional are două sau mai multe servicii de același tip. De exemplu, puteți organiza accesul extern la portal corporativ prin portul HTTP standard 80 și acces la statisticile web UserGate prin portul 81.

Accesul extern la serverul de mail intern este configurat într-un mod similar.

O caracteristică distinctivă importantă a paravanului de protecție implementat este sistemul de prevenire a intruziunilor. Funcționează într-un mod complet automat, identificând încercările neautorizate pe baza semnăturilor și metodelor euristice și neutralizându-le prin blocarea fluxurilor de trafic nedorite sau resetarea conexiunilor periculoase.

Să rezumam

În această revizuire, am examinat în detaliu organizarea accesului partajat al angajaților companiei la Internet. În condițiile moderne, acesta nu este cel mai ușor proces, deoarece trebuie luate în considerare un număr mare de nuanțe diferite. Mai mult, atât aspectele tehnice, cât și cele organizatorice sunt importante, în special controlul acțiunilor utilizatorilor.

Astăzi, conducerea tuturor companiilor probabil a apreciat deja oportunitățile pe care le oferă internetul pentru a face afaceri. Desigur, nu vorbim despre magazine online și e-commerce, care, orice s-ar spune, astăzi sunt mai multe instrumente de marketing decât într-un mod real creşterea cifrei de afaceri a mărfurilor sau serviciilor. Rețeaua globală este un mediu de informare excelent, o sursă aproape inepuizabilă de o mare varietate de date. În plus, oferă o comunicare rapidă și ieftină atât cu clienții, cât și cu partenerii companiei. Potențialul internetului pentru marketing nu poate fi redus. Astfel, rezultă că Rețeaua Globală, în general, poate fi considerată un instrument de business multifuncțional care poate crește eficiența angajaților companiei în îndeplinirea atribuțiilor lor.

Cu toate acestea, mai întâi trebuie să oferiți acestor angajați acces la Internet. Doar conectarea unui computer la rețeaua globală nu este o problemă astăzi. Există multe moduri în care se poate face acest lucru. Există, de asemenea, multe companii care oferă solutie practica a acestei sarcini. Dar este puțin probabil ca internetul pe un singur computer să poată aduce beneficii notabile companiei. Fiecare angajat ar trebui să aibă acces la internet de la locul de muncă. Și aici nu ne putem lipsi de un software special, așa-numitul server proxy. În principiu, capacitățile sistemelor de operare ale familiei Windows fac posibilă realizarea oricărei conexiuni la Internet comună. În acest caz, alte computere din rețeaua locală vor avea acces la el. Cu toate acestea, această decizie nu merită luată în considerare cel puțin în serios. Cert este că atunci când îl alegeți, va trebui să uitați de controlul asupra utilizării Rețelei Globale de către angajații companiei. Adică, oricine de la orice computer corporativ poate accesa Internetul și poate face tot ce dorește acolo. Și probabil că ceea ce amenință acest lucru nu trebuie explicat nimănui.

Astfel, singura modalitate acceptabilă pentru o companie de a organiza conexiunea tuturor calculatoarelor incluse în rețeaua locală corporativă este un server proxy. Astăzi există multe programe din această clasă pe piață. Dar vom vorbi doar despre o evoluție. Se numește UserGate și a fost creat de specialiștii eSafeLine. Principalele caracteristici ale acestui program sunt funcționalitatea sa largă și o interfață foarte convenabilă în limba rusă. În plus, este de remarcat faptul că este în continuă evoluție. Recent, a fost prezentată publicului o nouă, a patra versiune a acestui produs.

Deci, UserGate. Acest software constă din mai multe module separate. Primul dintre ele este serverul în sine. Trebuie instalat pe un computer conectat direct la Internet (Internet gateway). Este serverul care oferă acces utilizatorilor la Rețeaua Globală, numără traficul utilizat, menține statisticile de funcționare etc. Al doilea modul este destinat administrării sistemului. Cu ajutorul lui ofițer responsabil realizează toată configurarea serverului proxy. Principala caracteristică a UserGate în acest sens este că modulul de administrare nu trebuie să fie localizat pe gateway-ul de internet. Astfel, vorbim de controlul de la distanță al serverului proxy. Acest lucru este foarte bun, deoarece administratorul de sistem are posibilitatea de a gestiona accesul la Internet direct de la locul său de muncă.

În plus, UserGate include încă două module software separate. Primul dintre ele este necesar pentru vizualizarea comodă a statisticilor de utilizare a Internetului și crearea de rapoarte bazate pe acesta, iar al doilea este pentru autorizarea utilizatorilor în unele cazuri. Această abordare se potrivește bine cu interfața intuitivă și în limba rusă a tuturor modulelor. Toate împreună, acest lucru vă permite să configurați rapid și fără probleme accesul partajat la rețeaua globală în orice birou.

Dar să trecem la analiză funcţionalitate Server proxy UserGate. Trebuie să începem cu faptul că acest program implementează imediat două moduri diferite de a configura DNS (poate cea mai importantă sarcină la implementarea accesului public). Primul dintre ele este NAT (Network Address Translation). Oferă o contabilizare foarte precisă a traficului consumat și permite utilizatorilor să utilizeze orice protocoale permise de administrator. Cu toate acestea, este de remarcat faptul că unele aplicații de rețea nu vor funcționa corect în acest caz. A doua opțiune este redirecționarea DNS. Are limitări mai mari în comparație cu NAT, dar poate fi folosit pe computere cu familii de operare mai vechi (Windows 95, 98 și NT).

Permisiunile Internet sunt configurate folosind termenii „utilizator” și „grup de utilizatori”. Mai mult, interesant, în serverul proxy UserGate, utilizatorul nu este neapărat o persoană. Un computer își poate juca și rolul. Adică, în primul caz, accesul la Internet este permis anumitor angajați, iar în al doilea - tuturor persoanelor care stau la un computer. Desigur, ei folosesc căi diferite autorizarea utilizatorului. Dacă vorbim despre computere, atunci acestea pot fi identificate după adresa lor IP, o combinație de adrese IP și MAC sau o serie de adrese IP. Pentru a autoriza angajații, pot fi utilizate perechi speciale de autentificare/parolă, date din Active Directory, numele și parola care se potrivesc cu informațiile de autorizare Windows etc. Pentru ușurința instalării, utilizatorii pot fi combinați în grupuri. Această abordare vă permite să gestionați accesul pentru toți angajații cu aceleași drepturi (în aceleași poziții) simultan, mai degrabă decât să configurați fiecare cont separat.

Serverul proxy UserGate are și propriul sistem de facturare. Administratorul poate seta orice număr de tarife care descriu cât costă o unitate de trafic de intrare sau de ieșire sau timpul de conectare. Acest lucru vă permite să păstrați înregistrări exacte ale tuturor cheltuielilor de internet legate de utilizatori. Adică, conducerea companiei va ști întotdeauna cine a cheltuit cât. Apropo, tarifele pot fi făcute în funcție de ora actuală, ceea ce vă permite să reproduceți cu exactitate Politica de prețuri furnizor.

Serverul proxy UserGate vă permite să implementați orice politică corporativă de acces la Internet, indiferent cât de complexă. În acest scop, se folosesc așa-numitele reguli. Cu ajutorul lor, administratorul poate stabili restricții pentru utilizatori cu privire la timpul de funcționare, la cantitatea de trafic trimis sau primit pe zi sau lună, la cantitatea de timp folosită pe zi sau lună etc. Dacă aceste limite sunt depășite, accesul la Rețeaua globală va fi blocată automat. În plus, folosind reguli, puteți impune restricții asupra vitezei de acces a utilizatorilor individuali sau a grupurilor întregi dintre aceștia.

Un alt exemplu de utilizare a regulilor este restricțiile privind accesul la anumite adrese IP sau intervalele acestora, la întreg nume de domenii sau adrese care conțin anumite șiruri etc. Adică, de fapt, vorbim despre filtrarea site-urilor, cu ajutorul căreia poți împiedica angajații să viziteze proiecte web nedorite. Dar, desigur, acestea nu sunt toate exemple de aplicare a regulilor. Cu ajutorul lor, puteți, de exemplu, să implementați tarife de comutare în funcție de site-ul care se încarcă în prezent (necesar pentru a ține cont de traficul preferențial care există la unii furnizori), să configurați tăierea bannere publicitareși așa mai departe.

Apropo, am spus deja că serverul proxy UserGate are un modul separat pentru lucrul cu statistici. Cu ajutorul acestuia, administratorul poate vizualiza oricând traficul consumat (total, pentru fiecare utilizator, pentru grupuri de utilizatori, pentru site-uri, pentru adrese IP server etc.). În plus, toate acestea se realizează foarte rapid folosind un sistem de filtrare convenabil. În plus, acest modul implementează un generator de rapoarte, cu ajutorul căruia administratorul poate pregăti orice rapoarte și le poate exporta în format MS Excel.

O soluție foarte interesantă din partea dezvoltatorilor este integrarea unui modul antivirus în firewall, care controlează tot traficul de intrare și de ieșire. Mai mult, nu au reinventat roata, ci au integrat dezvoltarea Kaspersky Lab. Această soluție garantează, în primul rând, o protecție cu adevărat fiabilă împotriva tuturor programelor rău intenționate și, în al doilea rând, actualizarea regulată a bazelor de date de semnături. Un alt important din punct de vedere al securitatea informatiei O caracteristică este firewall-ul încorporat. Și așa a fost creat de dezvoltatorii UserGate în mod independent. Din păcate, este de remarcat faptul că firewall-ul integrat în serverul proxy este destul de diferit în ceea ce privește capacitățile sale de produsele de vârf în acest domeniu. Strict vorbind, vorbim despre un modul care pur și simplu blochează traficul care trece prin porturile și protocoalele specificate de administrator către și de la computere cu adrese IP specificate. Nu are un mod de invizibilitate sau alte funcții care sunt în general necesare pentru firewall-uri.

Din păcate, un articol nu poate include o analiză detaliată a tuturor funcțiilor serverului proxy UserGate. Prin urmare, să le enumerăm cel puțin pe cele mai interesante dintre ele, care nu sunt incluse în recenzia noastră. În primul rând, este stocarea în cache a fișierelor descărcate de pe Internet, ceea ce vă permite să economisiți cu adevărat bani pe serviciile furnizorului. În al doilea rând, este de remarcat funcția Port mapping, care vă permite să legați orice port selectat al uneia dintre interfețele Ethernet locale la portul dorit al gazdei de la distanță (această funcție este necesară pentru funcționarea aplicațiilor de rețea: sisteme bancă-client , diverse jocuri etc.) . În plus, serverul proxy UserGate implementează caracteristici precum accesul la resurse interne ale companiei, un planificator de sarcini, conexiune la o cascadă de proxy, monitorizarea traficului și a adreselor IP ale utilizatorilor activi, autentificarea acestora, URL-urile vizitate în timp real și multe, multe altele alte.

Ei bine, acum este timpul să facem un bilanț. Noi, dragi cititori, am examinat în detaliu serverul proxy UserGate, cu ajutorul căruia puteți organiza accesul general la Internet în orice birou. Și eram convinși că această dezvoltare combină simplitatea și ușurința de configurare și utilizare cu un set foarte extins de funcționalități. Toate acestea fac din cea mai recentă versiune a UserGate un produs foarte atractiv.

După ce se conectează la internet la birou, fiecare șef vrea să știe pentru ce plătește. Mai ales dacă tariful nu este nelimitat, ci bazat pe trafic. Există mai multe modalități de a rezolva problemele de control al traficului și organizarea accesului la Internet la scară întreprindere. Voi vorbi despre implementarea unui server proxy UserGate pentru a obține statistici și control lățime de bandă canal bazat pe experiența mea.

Voi spune imediat că am folosit serviciul UserGate (versiunea 4.2.0.3459), dar metodele de organizare a accesului și tehnologiile folosite sunt folosite și în alte servere proxy. Deci, pașii descriși aici sunt în general potriviți pentru alte soluții software (de exemplu, Kerio Winroute Firewall sau alte proxy), cu diferențe minore în detaliile de implementare a interfeței de configurare.

Voi descrie sarcina care mi-a fost atribuită: Există o rețea de 20 de mașini, există un modem ADSL în aceeași subrețea (alternativ 512/512 kbit/s). Obligatoriu pentru limitare viteza maxima utilizatorii și urmăriți traficul. Sarcina este puțin complicată de faptul că accesul la setările modemului este închis de către furnizor (accesul este posibil doar prin terminal, dar parola este la furnizor). Pagina de statistici de pe site-ul furnizorului este indisponibilă (Nu întrebați de ce, există un singur răspuns - compania are o astfel de relație cu furnizorul).

Instalăm usergate și o activăm. Pentru a organiza accesul la rețea vom folosi NAT ( Traducere adrese de rețea- „traducere adrese de rețea”). Pentru ca tehnologia să funcționeze, este necesar să avem două plăci de rețea pe mașina unde vom instala serverul (serviciul) UserGate (Există posibilitatea ca NAT-ul să funcționeze pe o singură placă de rețea atribuindu-i două adrese IP în diferite subrețele).

Asa de, etapa inițială de configurare - configurarea driverului NAT(driver de la UserGate, instalat în timpul instalării principale a serviciului). Ne sunt necesare două interfețe de rețea(citește plăcile de rețea) pe hardware-ul serverului ( Pentru mine aceasta nu a fost o problemă, pentru că... Am implementat UserGate pe o mașină virtuală. Și acolo puteți face „multe” plăci de rețea).

În mod ideal, să Modemul în sine este conectat la o singură placă de rețea, A la al doilea - întreaga rețea, de pe care vor accesa Internetul. În cazul meu, modemul este instalat în camere diferite cu serverul (mașină fizică), iar eu sunt prea leneș și nu am timp să mută echipamentul (și în viitorul apropiat, organizarea unei săli de servere). Am conectat ambele adaptoare de rețea la aceeași rețea (fizic), dar le-am configurat pentru subrețele diferite. Deoarece nu am reușit să schimb setările modemului (accesul a fost blocat de către furnizor), a trebuit să transfer toate computerele pe o altă subrețea (din fericire, acest lucru se face cu ușurință folosind DHCP).

Placa de retea conectata la modem ( Internet) configurat ca înainte (conform datelor de la furnizor).

• Numim adresa IP statica(în cazul meu este 192.168.0.5);
• Nu am schimbat masca de subrețea 255.255.255.0, dar poate fi configurată în așa fel încât să fie doar două dispozitive în subrețeaua serverului proxy și modemului;
• Gateway - adresa modemului 192.168.0.1
• Adresele serverelor DNS ale furnizorului ( principale și suplimentare necesare).

A doua placă de rețea, conectat la rețeaua internă ( intranet), configurați după cum urmează:

• Static Adresă IP, dar într-o subrețea diferită(Am 192.168.1.5);
• Masca conform setărilor tale de rețea (am 255.255.255.0);
• Poarta de acces noi nu indicam.
• În câmpul pentru adresa serverului DNS introduceți adresa serverului DNS al companiei(dacă există, dacă nu, lăsați necompletat).

Notă: trebuie să vă asigurați că utilizarea componentei NAT din UserGate este selectată în setările interfeței de rețea.

După configurarea interfețelor de rețea lansați serviciul UserGate în sine(nu uitați să îl configurați să funcționeze ca un serviciu care să se lanseze automat cu drepturi de sistem) și accesați consola de management(posibil local sau de la distanță). Să mergem la " Regulile rețelei" și selectați " Expert de configurare NAT", va trebui să indicați intranetul dvs. ( intranet) și internetul ( Internet) adaptoare. Intranet - un adaptor conectat la o rețea internă. Expertul va configura driverul NAT.

După care trebuie să înțelegeți regulile NAT, pentru care mergem la „Setări de rețea” - „NAT”. Fiecare regulă are mai multe câmpuri și un statut (activ și inactiv). Esența câmpurilor este simplă:

• Titlu - numele regulii, Recomand să oferi ceva semnificativ(nu este nevoie să scrieți adrese și porturi în acest câmp, aceste informații vor fi deja disponibile în lista de reguli);
• Interfața receptorului este a ta interfață intranet(în cazul meu 192.168.1.5);
• Interfața expeditorului este a ta interfață de internet(pe aceeași subrețea cu modemul, în cazul meu 192.168.0.5);
• Port— indicați categoria căreia i se aplică această regulă ( de exemplu, pentru browserul (HTTP) portul 80 și pentru primirea e-mailului, portul 110). Puteți specifica o gamă de porturi, dacă nu vrei să te încurci, dar nu este recomandat să faci asta pentru toată gama de porturi.
• Protocol - selectați una dintre opțiunile din meniul derulant: TCP(de obicei), UPD sau ICMP(de exemplu, pentru a opera comenzile ping sau tracert).

Inițial, lista de reguli conține deja cele mai utilizate reguli necesare pentru funcționarea mailului și a diferitelor tipuri de programe. Dar am completat lista standard cu propriile mele reguli: pentru rularea interogărilor DNS (fără a folosi opțiunea de redirecționare din UserGate), pentru rularea conexiunilor securizate SSL, pentru rularea unui client torrent, pentru rularea programului Radmin etc. Iată capturi de ecran ale listei mele de reguli. Lista este încă mică, dar se extinde în timp (odată cu apariția nevoii de a lucra la un nou port).

Următoarea etapă este configurarea utilizatorilor. In cazul meu am ales autorizare prin adresa IP și adresa MAC. Există opțiuni de autorizare numai după adresa IP și acreditările Active Directory. De asemenea, puteți utiliza autorizarea HTTP (de fiecare dată când utilizatorii introduc prima dată o parolă prin browser). Creăm utilizatori și grupuri de utilizatoriȘi atribuiți-le regulile NAT utilizate(Trebuie să dăm utilizatorului Internet în browser - activăm regula HTTP cu portul 80 pentru el, trebuie să îi dăm ICQ - regula ICQ cu apoi 5190).

În sfârșit, în etapa de implementare, am configurat utilizatorii să lucreze printr-un proxy. Pentru asta am folosit serviciul DHCP. Următoarele setări sunt transferate pe computerele client:

• Adresa IP este dinamică de la DHCP în intervalul subrețelei intranet (în cazul meu intervalul este 192.168.1.30 -192.168.1.200. Am configurat rezervarea adresei IP pentru mașinile necesare).
• Mască de subrețea (255.255.255.0)
• Gateway - adresa mașinii cu UserGate în rețeaua locală (adresă Intranet - 192.168.1.5)
• Servere DNS - ofer 3 adrese. Prima este adresa serverului DNS al întreprinderii, a doua și a treia sunt adresele DNS ale furnizorului. (DNS-ul companiei este configurat pentru a redirecționa către DNS-ul furnizorului, astfel încât în ​​cazul unei „căderi” DNS-ului local, numele de internet vor fi rezolvate pe DNS-ul furnizorului).

Pe aceasta setare de bază terminat. Stânga verificați funcționalitatea, pentru a face acest lucru, pe computerul client de care aveți nevoie (prin primirea setărilor de la DHCP sau adăugarea acestora manual, în conformitate cu recomandările de mai sus) lansați browserul și deschideți orice pagină de pe Internet. Dacă ceva nu funcționează, verificați din nou situația:

• Sunt corecte setările adaptorului de rețea client? (Mașina cu serverul proxy face ping?)
• Este utilizatorul/calculatorul autorizat pe serverul proxy? (vezi metodele de autorizare UserGate)
• Utilizatorul/grupul are regulile NAT necesare pentru funcționare activate? (pentru ca browserul să funcționeze, aveți nevoie de cel puțin reguli HTTP pentru protocolul TCP pe portul 80).
• Sunt depășite limitele de trafic pentru utilizator sau grup? (Nu l-am prezentat eu însumi).

Acum puteți monitoriza utilizatorii conectați și regulile NAT pe care le folosesc în elementul „Monitorizare” din consola de gestionare a serverului proxy.

Alte setări proxy sunt deja reglate, la cerințe specifice. Primul lucru pe care l-am făcut a fost să activez limitarea lățimii de bandă în proprietățile utilizatorului (mai târziu puteți implementa un sistem de reguli pentru a limita viteza) și să activez servicii suplimentare UserGate - un server proxy (HTTP pe portul 8080, SOCKS5 pe portul 1080). Activarea serviciilor proxy vă permite să utilizați memorarea în cache a cererilor. Dar este necesar să se efectueze o configurare suplimentară a clienților pentru a lucra cu serverul proxy.

Alte intrebari? Vă sugerez să-i întrebați chiar aici.

________________________________________