Pregled UserGate proxy servera - sveobuhvatnog rješenja za pružanje javnog pristupa Internetu. Pregled UserGate proxy servera - sveobuhvatnog rješenja za pružanje zajedničkog pristupa internetu korištenjem transparentnog načina rada

Nakon što je u kancelariji spojio internet, svaki šef želi da zna za šta plaća. Pogotovo ako tarifa nije neograničena, već bazirana na prometu. Postoji nekoliko načina za rješavanje problema kontrole saobraćaja i organizovanja pristupa Internetu na nivou preduzeća. Govoriću o implementaciji UserGate proxy servera za dobijanje statistike i kontrolu propusnog opsega kanala koristeći svoje iskustvo kao primer.

Odmah ću reći da sam koristio uslugu UserGate (verzija 4.2.0.3459), ali metode organizacije pristupa i korištene tehnologije se koriste i na drugim proxy serverima. Dakle, ovdje opisani koraci su općenito prikladni za druga softverska rješenja (na primjer, Kerio Winroute Firewall ili drugi proxy serveri), sa manjim razlikama u detaljima implementacije konfiguracijskog sučelja.

Opisaću zadatak koji mi je dodeljen: Postoji mreža od 20 mašina, postoji ADSL modem u istoj podmreži (alternativno 512/512 kbit/s). Potrebno je ograničiti maksimalnu brzinu za korisnike i pratiti promet. Zadatak je malo kompliciran činjenicom da je pristup postavkama modema zatvoren od strane provajdera (pristup je moguć samo preko terminala, ali lozinka je kod provajdera). Stranica statistike na web stranici provajdera je nedostupna (Ne pitajte zašto, postoji samo jedan odgovor - kompanija ima takav odnos sa provajderom).

Instaliramo usergate i aktiviramo ga. Za organiziranje pristupa mreži koristit ćemo NAT ( Prevod mrežnih adresa- “prevod mrežne adrese”). Da bi tehnologija funkcionisala potrebno je na mašini imati dve mrežne kartice na koje ćemo instalirati UserGate server (servis) (Postoji mogućnost da NAT radi na jednoj mrežnoj kartici tako što ćete joj dodeliti dve IP adrese u različite podmreže).

dakle, početna faza podešavanja - konfiguracija NAT drajvera(drajver sa UserGate-a, instaliran tokom glavne instalacije servisa). Nas potrebna su dva mrežna interfejsa(čitanje mrežnih kartica) na hardveru servera ( Za mene to nije bio problem, jer... Postavio sam UserGate na virtuelnu mašinu. I tu možete napraviti "mnogo" mrežnih kartica).

Idealno, da Sam modem je povezan na jednu mrežnu karticu, A do drugog - cijelu mrežu, sa kojeg će pristupiti internetu. U mom slučaju, modem je instaliran u različitim prostorijama sa serverom (fizičkom mašinom), a ja sam previše lijen i nemam vremena da premjestim opremu (a u bliskoj budućnosti nastaje organiziranje server sobe). Povezao sam oba mrežna adaptera na istu mrežu (fizički), ali sam ih konfigurirao za različite podmreže. Pošto nisam mogao da promenim podešavanja modema (pristup je blokirao provajder), morao sam da prebacim sve računare u drugu podmrežu (srećom, to se lako radi pomoću DHCP-a).

Mrežna kartica spojena na modem ( Internet) postaviti kao i do sada (prema podacima provajdera).

  • Mi imenujemo statička IP adresa(u mom slučaju to je 192.168.0.5);
  • Nisam mijenjao podmrežnu masku 255.255.255.0, ali se može konfigurirati na način da u podmreži proxy servera i modema budu samo dva uređaja;
  • Gateway - adresa modema 192.168.0.1
  • Adrese DNS servera provajdera ( glavni i dodatni potrebni).

Druga mrežna kartica, spojen na internu mrežu ( intranet), postaviti na sljedeći način:

  • Statički IP adresa, ali u drugoj podmreži(imam 192.168.1.5);
  • Maskirajte prema vašim mrežnim postavkama (imam 255.255.255.0);
  • Gateway ne ukazujemo.
  • U polju za adresu DNS servera unesite adresu poslovnog DNS servera(ako postoji, ako ne, ostavite prazno).

Napomena: morate biti sigurni da je upotreba NAT komponente iz UserGate-a odabrana u postavkama mrežnog interfejsa.

Nakon podešavanja mrežnih interfejsa pokrenuti samu uslugu UserGate(ne zaboravite ga konfigurirati da radi kao servis za automatsko pokretanje sa sistemskim pravima) i idite na upravljačku konzolu(moguće lokalno ili daljinski). Idite na “Mrežna pravila” i odaberite “ Čarobnjak za podešavanje NAT-a", morat ćete navesti svoj intranet ( intranet) i internet ( internet) adapteri. Intranet - adapter povezan na internu mrežu. Čarobnjak će konfigurirati NAT drajver.

Nakon toga potrebno je razumjeti NAT pravila, za koji idemo na “Mrežne postavke” - “NAT”. Svako pravilo ima nekoliko polja i status (aktivan i neaktivan). Suština polja je jednostavna:

  • Naslov - naziv pravila, Preporučujem da date nešto smisleno(nema potrebe pisati adrese i portove u ovo polje, ove informacije će već biti dostupne na listi pravila);
  • Interfejs prijemnika je vaš intranet interfejs(u mom slučaju 192.168.1.5);
  • Interfejs pošiljaoca je vaš internet interfejs(na istoj podmreži sa modemom, u mom slučaju 192.168.0.5);
  • Luka— naznačiti na koju kategoriju se ovo pravilo odnosi ( na primjer, za port 80 pretraživača (HTTP), a za prijem pošte port 110). Možete odrediti raspon portova, ako ne želite da se petljate, ali nije preporučljivo da to radite za cijeli niz portova.
  • Protokol - odaberite jednu od opcija iz padajućeg menija: TCP(obično), UPD ili ICMP(na primjer, za rad sa komandama ping ili tracert).

U početku, lista pravila već sadrži najčešće korištena pravila neophodna za rad pošte i raznih vrsta programa. Ali standardnu ​​listu sam dopunio svojim pravilima: za rad DNS zahtjeva (bez korištenja opcije prosljeđivanja u UserGateu), za rad zaštićen SSL veze, za torrent klijent, za Radmin program itd. Evo snimaka ekrana moje liste pravila. Lista je još uvijek mala, ali se vremenom širi (s pojavom potrebe za radom na novom portu).

Sljedeća faza je postavljanje korisnika. U mom slučaju sam izabrao autorizacija putem IP adrese i MAC adrese. Postoje opcije autorizacije samo prema IP adresi i vjerodajnicama Active Directory. Također možete koristiti HTTP autorizaciju (svaki put kada korisnici prvi put unesu lozinku preko pretraživača). Kreiramo korisnike i grupe korisnika I dodijelite im korištena NAT pravila(Korisniku treba dati Internet u pretraživaču - za njega omogućavamo HTTP pravilo sa portom 80, trebamo mu dati ICQ - ICQ pravilo sa tada 5190).

Konačno, u fazi implementacije, konfigurirao sam korisnike da rade preko proxyja. Za ovo sam koristio DHCP uslugu. Sljedeća podešavanja se prenose na klijentske mašine:

  • IP adresa - dinamička od DHCP u opsegu intranet podmreže (u mom slučaju raspon je 192.168.1.30 -192.168.1.200. Za potrebnim automobilima konfigurisana rezervacija IP adrese).
  • Maska podmreže (255.255.255.0)
  • Gateway - adresa mašine sa UserGate-om na lokalnoj mreži (Intranet adresa - 192.168.1.5)
  • DNS serveri - dajem 3 adrese. Prva je adresa poslovnog DNS servera, druga i treća su DNS adrese provajdera. (DNS preduzeća je konfigurisan da prosleđuje na DNS provajdera, tako da će u slučaju „pada“ lokalnog DNS-a, Internet imena biti rešena na DNS-u provajdera).

Na ovom osnovno podešavanje je završeno. lijevo provjerite funkcionalnost, da to uradite na klijentskoj mašini koja vam je potrebna (primanjem postavki od DHCP-a ili dodavanjem ručno, u skladu sa gore navedenim preporukama) pokrenite pretraživač i otvorite bilo koju stranicu na Internetu. Ako nešto ne radi, provjerite situaciju ponovo:

  • Da li su postavke mrežnog adaptera klijenta ispravne? (da li mašina sa proxy serverom pinguje?)
  • Da li je korisnik/računar ovlašten na proxy serveru? (pogledajte UserGate metode autorizacije)
  • Da li korisnik/grupa ima omogućena NAT pravila koja su neophodna za rad? (da bi pretraživač radio, potrebna su vam barem HTTP pravila za TCP protokol na portu 80).
  • Jesu li prekoračena ograničenja prometa za korisnika ili grupu? (nisam ovo sam predstavio).

Sada možete pratiti povezane korisnike i NAT pravila koja koriste u stavci „Nadgledanje“ konzole za upravljanje proxy serverom.

Dalja podešavanja proxyja se već podešavaju, prema specifičnim zahtjevima. Prvo što sam uradio je da omogućim ograničenje propusnog opsega u korisničkim svojstvima (kasnije možete implementirati sistem pravila za ograničavanje brzine) i omogućiti dodatne usluge UserGate - proxy server (HTTP na portu 8080, SOCKS5 na portu 1080). Omogućavanje proxy usluga vam omogućava da koristite keširanje zahtjeva. Ali potrebno je izvršiti dodatnu konfiguraciju klijenata za rad sa proxy serverom.

Ima li pitanja? Predlažem da ih pitate ovdje.

________________________________________

U ovom članku ću vam reći o novom proizvodu kompanije Entensys, čiji smo partneri u tri oblasti, UserGate Proxy & Firewall 6.2.1.

Dobar dan, dragi posjetitelju. Iza nas je 2013. godina, nekima je bilo teško, drugima lako, ali vrijeme leti, a ako uzmete u obzir da je jedna nanosekunda 10 −9 With. onda samo leti. U ovom članku ću vam reći o novom proizvodu kompanije Entensys, čiji smo partneri u tri oblasti UserGate Proxy & Firewall 6.2.1.

Sa stanovišta administriranja verzije 6.2 UserGate Proxy & Firewall 5.2F, čiju implementaciju uspješno prakticiramo u našoj IT outsourcing praksi, praktično ne postoji. Koristićemo Hyper-V kao laboratorijsko okruženje, odnosno dva virtuelne mašine prva generacija, serverski dio na Windows Server 2008 R2 SP1, klijentski dio Windows 7 SP1. Iz nekog meni nepoznatog razloga, UserGate verzija 6 se ne instalira na Windows Server 2012 i Windows Server 2012 R2.

Dakle, šta je proxy server?

Proxy server(od engleskog proxy - "zastupnik, ovlašten") - usluga (skup programa) u kompjuterske mreže, omogućavajući klijentima da upućuju indirektne zahtjeve prema drugim mrežnim uslugama. Prvo, klijent se povezuje sa proxy serverom i zahteva resurs (na primer, e-mail) koji se nalazi na drugom serveru. Zatim se proxy server ili povezuje sa navedenim serverom i dobija resurs od njega, ili vraća resurs iz sopstvene keš memorije (u slučajevima kada proxy ima sopstvenu keš memoriju). U nekim slučajevima, zahtjev klijenta ili odgovor servera može biti izmijenjen od strane proxy servera za određene svrhe. Proxy server vam takođe omogućava da zaštitite računar klijenta od nekih mrežnih napada i pomaže u održavanju anonimnosti klijenta.

ŠtatakavUserGate Proxy & Firewall?

UserGate Proxy & Firewall je sveobuhvatno rješenje za povezivanje korisnika na Internet, pružanje potpunog obračuna prometa, kontrolu pristupa i pružanje ugrađenih alata za zaštitu mreže.

Iz definicije, pogledajmo koja rješenja Entensys nudi u svom proizvodu, kako se izračunava promet, kako je pristup ograničen i koje alate za zaštitu nudi UserGate Proxy & Firewall.

Od čega se sastoji?UserGate?

UserGate se sastoji od nekoliko delova: servera, administrativne konzole i nekoliko dodatnih modula. Server je glavni dio proxy servera, u kojem su implementirane sve njegove funkcionalnosti. UserGate server omogućava pristup Internetu, broji promet, vodi statistiku aktivnosti korisnika na mreži i obavlja mnoge druge zadatke.

UserGate Administration Console je program dizajniran za upravljanje UserGate serverom. Administrativna konzola UserGate komunicira sa serverskim dijelom preko posebnog sigurnog protokola preko TCP/IP, koji vam omogućava da izvršite udaljenu administraciju servera.

UserGate uključuje tri dodatna modula: “Web Statistics”, “UserGate Authorization Client” i “Application Control” modul.

Server

Instalacija UserGate serverske strane je vrlo jednostavna, jedina razlika je izbor baze podataka tokom procesa instalacije. Pristup bazi podataka se vrši direktno (za ugrađenu Firebird bazu podataka) ili preko ODBC drajvera, koji omogućava UserGate serveru da radi sa bazama podataka gotovo svih formata (MSAccess, MSSQL, MySQL). Standardno se koristi Firebird baza podataka. Ako odlučite da ažurirate UserGate sa prethodnih verzija, onda ćete morati da kažete zbogom bazi statistike, jer: Za datoteku statistike, samo prenos trenutnih korisničkih bilansa neće biti prenošen; Promjene u bazi su uzrokovane problemima performansi sa starom i ograničenjima njene veličine. Nova Firebird baza podataka nema takvih nedostataka.

Pokretanje administrativne konzole.

Konzola je instalirana na server VM. Kada prvi put pokrenete administrativnu konzolu, otvara se stranica “Veze” koja sadrži jednu vezu s localhost serverom za administratorskog korisnika. Lozinka za vezu nije postavljena. Administratorsku konzolu možete povezati sa serverom dvostrukim klikom na liniju localhost-administrator ili klikom na dugme za povezivanje na kontrolnoj tabli. Možete kreirati više veza u UserGate administrativnoj konzoli.

Postavke veze specificiraju sljedeće parametre:

  • Ime servera je ime veze;
  • Korisničko ime – prijavite se za povezivanje sa serverom;
  • Adresa servera – naziv domene ili IP adresa UserGate servera;
  • Port – TCP port koji se koristi za povezivanje sa serverom (po defaultu se koristi port 2345);
  • Lozinka – lozinka za povezivanje;
  • Pitaj lozinku prilikom povezivanja – ova opcija vam omogućava da prikažete dijalog za unos korisničkog imena i lozinke prilikom povezivanja na server;
  • Automatski se povežite na ovaj server – administratorska konzola će se automatski povezati na ovaj server kada se pokrene.

Kada prvi put pokrenete server, sistem nudi čarobnjaka za instalaciju, što odbijamo. Postavke administrativne konzole su pohranjene u console.xml datoteci koja se nalazi u %UserGate%\Administrator direktoriju.

Postavljanje veza iza NAT-a. Paragraf "Opće postavke NAT-a" omogućava vam da postavite vrijednost vremenskog ograničenja za NAT veze putem TCP, UDP ili ICMP protokola. Vrijednost vremenskog ograničenja određuje životni vijek korisničke veze preko NAT-a kada se završi prijenos podataka preko veze. Ostavimo ovu postavku kao zadanu.

Detektor napada je posebna opcija koja vam omogućava da omogućite interni mehanizam za nadgledanje i blokiranje skenera portova ili pokušaja zauzimanja svih portova servera.

Blokiraj linijom pretraživača– spisak pretraživača User-Agenta koje proxy server može blokirati. One. Možete, na primjer, spriječiti starije pretraživače kao što su IE 6.0 ili Firefox 3.x da pristupe Internetu.

Interfejsi

Odjeljak Interfaces je glavni u postavkama UserGate servera, jer određuje pitanja kao što su ispravnost brojanja prometa, mogućnost kreiranja pravila za firewall, ograničenja širine internetskog kanala za promet određenog tipa, uspostavljanje odnosa između mreža i redosleda kojim se paketi obrađuju od strane NAT drajvera. Na kartici „Interfejsi“ izaberite željeni tip interfejsa. Dakle, za adapter spojen na Internet treba odabrati WAN tip, za adapter povezan na lokalnu mrežu - LAN tip. Pristup internetu za VM je zajednički, odnosno interfejs sa adresom 192.168.137.118 će biti WAN adapter, izaberite željeni tip i kliknite na „Primeni“. Zatim ponovo pokrećemo server.

Korisnici i grupe

Pristup internetu je omogućen samo korisnicima koji su uspješno završili autorizaciju na UserGate serveru. Program podržava sljedeće metode autorizacije korisnika:

  • Po IP adresi
  • Po IP opsegu
  • Po IP+MAC adresi
  • Po MAC adresi
  • Autorizacija koristeći HTTP (HTTP-basic, NTLM)
  • Autorizacija putem prijave i lozinke (Authorization Client)
  • Pojednostavljena opcija autorizacije putem Active Directory-a

Da biste koristili posljednja tri načina autorizacije, morate instalirati posebnu aplikaciju na radnu stanicu korisnika - klijent autorizacije UserGate. Odgovarajući MSI paket (AuthClientInstall.msi) nalazi se u %UserGate%\tools direktorijumu i može se koristiti za automatsku instalaciju pomoću grupnih politika u Active Directory.

Za korisnike terminala omogućena je samo opcija „Autorizacija putem HTTP-a“. Odgovarajuća opcija je omogućena u stavci Opće postavke na administrativnoj konzoli.

Preko stavke možete kreirati novog korisnika Dodajte novog korisnika ili klikom na dugme Dodati u kontrolnoj tabli na stranici Korisnici i grupe.

Postoji još jedan način za dodavanje korisnika - skeniranje mreže sa ARP zahtjevima. Morate kliknuti na prazan prostor u administratorskoj konzoli na stranici korisnika i izaberite stavku skenirati lokalnu mrežu. Zatim postavite parametre lokalne mreže i pričekajte rezultate skeniranja. Kao rezultat, vidjet ćete listu korisnika koji se mogu dodati u UserGate. Pa, hajde da provjerimo, kliknite "Skeniraj lokalnu mrežu"

Postavite parametre:

Radi!

Dodavanje korisnika

Vrijedi podsjetiti da UserGate ima prioritet autentifikacije, prvo fizički, a zatim logički. Ova metoda nije pouzdan, jer korisnik može promijeniti IP adresu. Ono što nam odgovara je uvoz Active Directory naloga, koje možemo lako uvesti klikom na dugme „Uvezi“, zatim „Odaberi“ i naziv našeg naloga „Ok“, „Ok“.

Odaberite "Grupa", ostavite zadano "podrazumevano"

Kliknite na “OK” i sačuvajte promjene.

Naš korisnik je dodan bez problema. Također je moguće sinhronizirati AD grupe na kartici “Grupe”.

Postavljanje proxy usluga u UserGate-u

Sljedeći proxy serveri su integrirani u UserGate server: HTTP (sa podrškom za “FTP preko HTTP-a” i HTTPS način – Connect metoda), FTP, SOCKS4, SOCKS5, POP3 i SMTP, SIP i H323. Postavke proxy servera su dostupne u odeljku Usluge → Postavke proxy servera na administrativnoj konzoli. Glavna podešavanja proxy servera uključuju: interfejs i broj porta na kojem proxy radi. Tako, na primjer, omogućimo transparentni HTTP proxy na našem LAN interfejsu. Idemo na "Postavke proxyja" i odaberite HTTP.

Odaberimo naše sučelje, ostavimo sve kao zadano i kliknite "OK"

Korištenje transparentnog načina rada

Funkcija “Transparent Mode” u postavkama proxy servera je dostupna ako je UserGate server instaliran zajedno sa NAT drajverom. U transparentnom režimu, NAT UserGate drajver sluša standardne portove za usluge: 80 TCP za HTTP, 21 TCP za FTP, 110 i 25 TCP za POP3 i SMTP na mrežnim interfejsima računara sa UserGate-om. Ako postoje zahtjevi, on ih prenosi na odgovarajući UserGate proxy server. Prilikom korištenja transparentnog načina rada u mrežnim aplikacijama, korisnici ne moraju specificirati adresu i port proxy servera, što značajno smanjuje rad administratora u smislu obezbjeđivanja pristupa lokalnoj mreži Internetu. Međutim, u mrežnim postavkama radnih stanica, UserGate server mora biti specificiran kao gateway, a adresa DNS servera mora biti navedena.

Mail proxy u UserGate-u

Mail proxy serveri u UserGate-u su dizajnirani da rade sa POP3 i SMTP protokolima i za antivirusno skeniranje mail saobraćaja. Prilikom korištenja transparentnog načina rada POP3 i SMTP proxyja, postavke mail klijenta na radnoj stanici korisnika se ne razlikuju od postavki koje odgovaraju opciji sa direktnim pristupom Internetu.

Ako se UserGate POP3 proxy koristi u neprozirnom modu, tada se u postavkama mail klijenta na radnoj stanici korisnika, kao adresa POP3 servera mora navesti IP adresa računara sa UserGate-om i port koji odgovara UserGate POP3 proxyju. Dodatno, prijava za autorizaciju na udaljenom POP3 serveru je navedena u sljedećem formatu: adresa_e-pošte@adresa_POP3_servera. Na primjer, ako korisnik ima poštansko sanduče [email protected], zatim kao Login za UserGate POP3 proxy u klijentu e-pošte morat ćete navesti: [email protected]@pop.mail123.com. Ovaj format je neophodan kako bi UserGate server mogao da odredi adresu udaljenog POP3 servera.

Ako se UserGate SMTP proxy koristi u netransparentnom režimu, tada u postavkama proksija morate navesti IP adresu i port SMTP servera koji će UserGate koristiti za slanje pisama. U ovom slučaju, u postavkama mail klijenta na radnoj stanici korisnika, IP adresa UserGate servera i port koji odgovara UserGate SMTP proxyju moraju biti navedeni kao adresa SMTP servera. Ako je za slanje potrebna autorizacija, tada u postavkama klijenta e-pošte morate navesti login i lozinku koji odgovaraju SMTP serveru, a koji su navedeni u postavkama SMTP proxyja u UserGate-u.

Pa, to zvuči super, hajde da to proverimo koristeći mail.ru.

Prije svega, omogućimo POP3 i SMTP proxy na našem serveru. Kada omogućimo POP3, odredićemo LAN interfejs kao standardni port 110.

I također provjerite da nema kvačice za "Transparent proxy" i kliknite "U redu" i "Primijeni"

Poništite izbor "Transparentni način rada" i napišite "Opcije" udaljeni server", u našem slučaju smtp.mail.ru. Zašto je naznačen samo jedan server? I evo odgovora: pretpostavlja se da organizacija koristi jedan smtp server, a upravo je taj server naznačen u postavkama SMTP proxyja.

Prvo pravilo za POP3 bi trebalo izgledati ovako.

Drugo, kako bi rekao Aleksandar Nevski "Volim ovo"

Ne zaboravite na dugme "Primijeni" i prijeđite na podešavanje klijenta. Kao što se sjećamo, „Ako se UserGate POP3 proxy koristi u neprozirnom načinu, tada u postavkama klijenta e-pošte na radnoj stanici korisnika, IP adresa računara sa UserGate-om i port koji odgovara UserGate POP3 proxyju moraju biti navedeni kao adresu POP3 servera. Osim toga, prijava za autorizaciju na udaljenom POP3 serveru je navedena u sljedećem formatu: adresa e-pošte@adresa_POP3_servera." Hajde da delujemo.

Prvo, prijavite se na klijenta za autorizaciju, a zatim otvorite obični Outlook, u našem primjeru, napravio sam probno poštansko sanduče [email protected], i konfigurišite ga tako što ćete navesti naše poštansko sanduče u formatu razumljivom za UserGate [email protected]@pop.mail.ru, kao i POP i SMTP serveri, naša proxy adresa.

Kliknite na "Potvrda računa..."

Dodjela luka

UserGate podržava funkciju Port Forwarding. Ako postoje pravila za dodjelu portova, UserGate server preusmjerava korisničke zahtjeve koji pristižu na određeni port datog mrežnog interfejsa računara sa UserGate-om na drugu određenu adresu i port, na primjer, na drugi računar na lokalnoj mreži. Funkcija Port Forwarding dostupna je za TCP i UDP protokole.

Ako se dodjela porta koristi za pružanje pristupa sa Interneta internom resursu kompanije, morate odabrati Navedeni korisnik kao autorizacijski parametar, inače prosljeđivanje porta neće raditi. Ne zaboravite omogućiti udaljenu radnu površinu.

Podešavanje keša

Jedna od svrha proxy servera je keširanje mrežnih resursa. Keširanje smanjuje opterećenje vaše internetske veze i ubrzava pristup često posjećenim resursima. UserGate proxy server kešira HTTP i FTP saobraćaj. Keširani dokumenti su smješteni lokalni folder%UserGate_data%\Cache. Postavke keš memorije ukazuju na maksimalnu veličinu keš memorije i vrijeme skladištenja za keširane dokumente.

Anti-virus skeniranje

Tri antivirusna modula su integrisana u UserGate server: Kaspersky Lab antivirus, Panda Security i Avira. Svi antivirusni moduli su dizajnirani da skeniraju dolazni saobraćaj preko HTTP, FTP i UserGate mail proxy servera, kao i odlazni saobraćaj preko SMTP proksija.

Postavke antivirusnog modula dostupne su u odeljku Usluge → Anti-virus na administrativnoj konzoli. Za svaki antivirus možete odrediti koje protokole treba skenirati, postaviti učestalost ažuriranja antivirusnih baza podataka, kao i odrediti URL-ove koje ne treba skenirati (opcija URL filtera). Dodatno, u postavkama možete odrediti grupu korisnika čiji promet ne mora biti podvrgnut antivirusnom skeniranju.

Prije nego što uključite antivirusni program, prvo morate ažurirati njegovu bazu podataka.

Nakon gore navedenih funkcija, prijeđimo na one koje se često koriste, a to su "Upravljanje prometom" i "Kontrola aplikacija".

Sistem pravila kontrole saobraćaja

UserGate server pruža mogućnost kontrole pristupa korisnika Internetu koristeći pravila upravljanja prometom. Pravila kontrole saobraćaja su dizajnirana da zabrane pristup određenim mrežnim resursima, da postave ograničenja potrošnje saobraćaja, da kreiraju raspored za korisnike na Internetu, kao i da prate status korisničkih naloga.

U našem primjeru ćemo ograničiti pristup korisniku koji u svom zahtjevu ima reference na vk.com. Da biste to učinili, idite na "Upravljanje saobraćajem - Pravila"

Dajte pravilu ime i akciju "Zatvori vezu"

Nakon dodavanja stranice prelazi se na sljedeći parametar, odabirom grupe ili korisnika, pravilo se može postaviti i za korisnika i za grupu, u našem slučaju korisnika “Korisnik”.

Kontrola aplikacija

Politika kontrole pristupa Internetu dobila je logičan nastavak u obliku modula Application Firewall. Administrator UserGate-a može dozvoliti ili zabraniti pristup Internetu ne samo za korisnike, već i za mrežne aplikacije na radnoj stanici korisnika. Da biste to učinili, morate instalirati posebnu aplikaciju App.FirewallService na korisničke radne stanice. Instalacija paketa je moguća bilo putem izvršnu datoteku, i kroz odgovarajući MSI paket (AuthFwInstall.msi), koji se nalazi u %Usergate%\tools direktoriju.

Idemo na modul "Kontrola aplikacija - Pravila" i kreiramo pravilo zabrane, na primjer, za zabranu pokretanja IE-a. Kliknite na dodaj grupu, dajte joj ime i postavite pravilo za grupu.

Odabiremo našu kreiranu grupu pravila, možemo označiti potvrdni okvir “Default Rule”, u ovom slučaju će pravila biti dodana u grupu “Default_Rules”

Primjena pravila na korisnika u svojstvima korisnika

Sada instaliramo Auth.Client i App.Firewall na klijentsku stanicu nakon instalacije, IE bi trebao biti blokiran ranije kreiranim pravilima.

Kao što vidimo, pravilo je funkcioniralo, sada deaktivirajmo pravila da korisnik vidi kako pravilo funkcionira za stranicu vk.com. Nakon što onemogućite pravilo na serveru usergate-a, potrebno je sačekati 10 minuta (vrijeme sinhronizacije sa serverom). Pokušajmo pristupiti direktnoj vezi

Hajde da probamo pretraživač google.com

Kao što vidite, pravila funkcionišu bez ikakvih problema.

Dakle, ovaj članak pokriva samo mali dio funkcija. Moguća podešavanja za zaštitni zid, pravila rutiranja i NAT pravila su izostavljena. UserGate Proxy & Firewall pruža širok spektar rješenja, čak i malo više. Proizvod se pokazao vrlo dobro, i što je najvažnije, bilo ga je lako postaviti. Nastavit ćemo ga koristiti u servisiranju IT infrastrukture klijenata za rješavanje tipičnih problema!

Trenutno nijedna kompanija ne može raditi svoj posao bez interneta. Globalna mreža se aktivno koristi u poslovnim procesima za rješavanje širokog spektra informacijskih, komunikacijskih i marketinških zadataka. Ali u isto vrijeme, to je i potencijalna prijetnja sigurnosti informacija. E-mail i web promet često koriste napadači za širenje informacija malware, phishing poruke itd.

Još jedna potencijalna opasnost interneta je zloupotreba od strane zaposlenih tokom radnog vremena. Zaposleni u kompaniji, umjesto da obavljaju svoje službene dužnosti, mogu provoditi vrijeme u komunikaciji na društvenim mrežama, pretraživanju raznih zabavnih sajtova, preuzimanju filmova, muzike, nelicenciranog softvera itd. To povećava direktne i indirektne troškove kompanije, smanjuje produktivnost zaposlenih u uredu. , i predstavlja direktnu prijetnju sigurnosti informacija (prilikom posjete određenim kategorijama neželjenih lokacija, rizik od zaraze vašeg računara primjetno raste).

Stoga se u savremenim uslovima problem povezivanja korporativne mreže na Internet mora riješiti uzimajući u obzir sve sigurnosne zahtjeve i praćenje postupanja zaposlenih. UserGate Proxy & Firewall proizvod pruža rješenje za navedene probleme. Prvi put se pojavio na tržištu prije otprilike 10 godina i bio je prilično jednostavan, ali pouzdan i jednostavan za korištenje proxy server. To mu je priskrbilo popularnost u Rusiji i susjednim zemljama.

Trenutno, programeri nastavljaju da poboljšavaju svoju zamisao i značajno su proširili funkcionalni sadržaj proizvoda, uzimajući u obzir realnost u oblasti informacione sigurnosti. Ne samo glavne (otprilike jednom u 2-3 godine), već i manje (2-4 između glavnih) verzije UserGate Proxy & Firewall-a se prilično redovno objavljuju, u svakoj od kojih se proširuju mogućnosti proxy servera. Danas je to sveobuhvatan proizvod koji se može koristiti za rješavanje čitavog niza problema povezanih s dijeljenjem interneta.

Sastav UserGate proxyja i zaštitnog zida

Osnova UserGate Proxy & Firewall rješenja je UserGate server. Instalira se direktno na korporativni Internet gateway i implementira dijeljenje globalne mreže, održavanje statistike, brojanje prometa itd.

Sistem pristupa se administrira pomoću upravljačke konzole. Ovo je zasebna aplikacija koja se povezuje sa serverom preko posebnog protokola preko TCP/IP (koristi se vlasnički protokol, prenos je zaštićen Open SSL tehnologijom sa dužinom ključa od 1024 bita), što vam omogućava da ga koristite ne samo lokalno, ali i na daljinu. Dakle, administrator sistema ima mogućnost da upravlja UserGate Proxy & Firewall-om direktno sa svog radnog mesta, bez potrebe za fizičkim pristupom Internet gateway-u.

Uz to, UserGate Proxy & Firewall implementira niz dodatnih modula za rješavanje različitih specifičnih problema.

  • UserGate statistika. Zasebna aplikacija koja je instalirana na računaru odgovornih zaposlenih i omogućava im uvid u statistiku korišćenja interneta.
  • Web statistika. Modul za pregled statistike je uklonjen preko web pretraživača. Ako je potrebno, može se pristupiti ne samo s lokalne mreže, već i s interneta.
  • Cache Explorer. Zasebna aplikacija za pregled sadržaja keša sačuvanog od strane UserGate Proxy & Firewall-a.
  • UserGate autorizacijski klijent. Zasebna aplikacija koja je instalirana na računarima krajnjih korisnika i pruža mogućnost korištenja „naprednih“ metoda autorizacije - korištenjem Active Directory-a, Windows prijavom itd.
  • Kontrola aplikacija. Zasebna aplikacija instalirana na radnim stanicama. Omogućava vam da ograničite listu programa kojima je dozvoljen pristup Internetu.

Zahtjevi sustava

Sistemski zahtjevi koje nameće proxy server na računaru opisani su u tabeli.

Minimalni zahtjevi Preporučena konfiguracija
CPU1 GHz1-2 GHz u zavisnosti od broja korisnika
RAM512 MB512 MB – 1 GB u zavisnosti od broja korisnika
operativni sistemWindows 2000/XP/2003/2008/7/2008 R2 (podržani 32- i 64-bitni OS)
priključak za internetVrsta i kapacitet se određuju u svakom konkretnom slučaju, na osnovu potreba

Karakteristike UserGate Proxy & Firewall-a

UserGate Proxy & Firewall proizvod ima širok spektar mogućnosti da osigura saradnju na Internetu, zaštiti korporativne informacioni sistem od vanjskih prijetnji, praćenje korištenja globalne mreže od strane korisnika.

Organiziranje online saradnje

UserGate Proxy & Firewall vam omogućava da organizujete saradnju na Internetu za veliki broj korisnika. Da bi to uradio, implementira niz proxy servera (za HTTP, FTP, POP3, SMTP, SOCKS4, SOCKS5, SIP i H323 protokole), sopstveni NAT drajver i DNS sistem prosleđivanja.

Transparentni proxy način rada

Proxy serveri u UserGate Proxy & Firewall mogu raditi u transparentnom načinu rada. U ovom slučaju to nije potrebno dodatno prilagođavanje softver na strani klijenta. Za njegovu implementaciju koristi se NAT tehnologija.

Podrška više provajdera

Dotični program može raditi sa nekoliko mrežnih interfejsa povezanih sa različitim provajderima. Ovo vam omogućava da implementirate takve funkcije kao što je preusmjeravanje prometa s različitih grupa korisnika na različite internetske kanale, kao i rezerviranje pristupa Internetu.

SaobraćajMenadžer

UserGate Proxy & Firewall implementira Traffic Manager modul, dizajniran za fleksibilnu kontrolu širine Internet kanala. Uz njegovu pomoć možete odrediti prioritet različitih vrsta prometa, ograničiti brzinu prijenosa podataka za određene protokole itd.

Keširanje

Program u pitanju implementira sistem keširanja. Pohranjuje datoteke koje su korisnici preuzeli na hard disk Internet gateway-a i, nakon naknadnog pristupa njima, ne preuzima ih ponovo sa udaljenog servera. To vam omogućava da smanjite opterećenje internetskog kanala i općenito potrošnju prometa.

Podrška za IP telefoniju

Zanimljiva karakteristika UserGate Proxy & Firewall-a je njegova podrška za IP telefoniju. Pored SIP i H323 proxy servera, implementira funkcije kao što su SIP Registrar (u stvari, serveri IP telefonije) i H323 GateKeeper.

UserGate Proxy & Firewall implementira osam metoda autorizacije korisnika. Na primjer, po IP adresi, po MAC-u mrežna kartica, kao i preko Active Directory-a, prijava i lozinki koje je odredio administrator, Windows nalozi.

Ograničavanje saobraćaja i pristupne brzine

Dotični proxy server vam omogućava da postavite pravila koja ograničavaju upotrebu Interneta. Konkretno, možete odrediti dnevno, sedmično ili mjesečno ograničenje utrošenog saobraćaja, maksimalnu brzinu prijenosa podataka, protokole dozvoljene za korištenje itd. Pravila se mogu vezati kako za pojedinačne korisnike tako i za cijele grupe.

Sistem naplate

UserGate Proxy & Firewall implementira sopstveni sistem naplate, koji se može koristiti za izračunavanje troškova korišćenja Interneta. Tarife se mogu postaviti ili privremeno ili na osnovu utrošenog saobraćaja. Istovremeno, moguće ih je fleksibilno konfigurirati i automatski se prebacivati ​​s jednog na drugi ovisno o dobu dana ili kategoriji stranice koja se pregledava.

Kontrola aplikacija

UserGate Proxy & Firewall vam omogućava da ograničite listu aplikacija kojima je dozvoljen pristup Internetu. To nam omogućava da riješimo problem uniformnosti u korištenju softvera na lokalnoj mreži. Osim toga, ovaj modul može poslužiti kao sredstvo dodatne zaštite od zlonamjernog softvera. Čak i ako su aktivni na računaru, internet kanal im neće biti dostupan.

Dotični proxy server vam omogućava da ograničite pristup neželjenim stranicama po kategorijama. U tu svrhu koristi se Entensys URL Filtering cloud tehnologija. Zasnovan je na posebnoj bazi podataka sajtova, podeljenih u 82 kategorije. Preko njih se pristup može ograničiti. Baza podataka sadrži više od 500 miliona web projekata, a programeri je stalno ažuriraju i uređuju. Vrijedi napomenuti da korištenje filtriranja kategorija zahtijeva kupovinu dodatne licence.

Kontrola aplikacija

UserGate Proxy & Firewall implementira sistem filtriranja saobraćaja zasnovan na aplikacijama koje ga generišu. Ovo vam omogućava da jednom softveru omogućite pristup Internetu i blokirate mrežnu aktivnost drugog. Vrijedi napomenuti visoku fleksibilnost pravila filtriranja. Uz njihovu pomoć možete dozvoliti aplikacijama da rade samo koristeći određeni protokol, prenoseći mrežne pakete samo na određenu IP adresu ili raspon IP adresa, itd. Da biste implementirali ovu vrstu filtriranja, potrebno je instalirati posebnu „Kontrolu aplikacije“ program na radnim stanicama, uključen u paket isporuke proizvoda.

Statistika i izvještaji

Dotični proxy server vodi detaljnu statistiku o korištenju Interneta od strane svih korisnika. S njim možete raditi pomoću posebne aplikacije ili preko web sučelja. Istovremeno, implementiran je sistem podjele prava pristupa, koji omogućava odgovornim zaposlenima uvid u kompletne informacije, a ostalim korisnicima - samo njihovu statistiku. U procesu rada možete koristiti alate kao što su filtriranje po različitim uslovima, generisanje tabelarnih i grafičkih izveštaja, uvoz podataka u HTML format i Microsoft programi Excel i OpenOffice.org Calc.

Ugrađeni DHCP server

UserGate Proxy & Firewall implementira sopstveni DHCP server, koji može distribuirati IP adrese klijentima iz grupe koju odredi administrator. Ovaj alat nije potreban ako je domen podignut u informacionom sistemu preduzeća. Međutim, može pojednostaviti administraciju računara u malim peer-to-peer mrežama.

Ugrađen ruter

Još jedan alat za administratora je ugrađeni ruter. Omogućava vam da kombinirate dvije ili više lokalnih mreža, pružajući transparentnu dvosmjernu komunikaciju između njih. Istovremeno, možete odrediti protokole i usluge kojima će biti dozvoljeno korištenje mrežnih veza.

Antivirusna zaštita

Koristeći UserGate Proxy & Firewall, sav promet koji prolazi kroz proxy server može se skenirati na prisustvo zlonamjernog softvera. U tu svrhu koriste se integrisani moduli koje su razvili Kaspersky Lab i Panda Security. Štaviše, skeniranje saobraćaja može se izvršiti bilo jednim od navedenih antivirusnih modula ili uzastopno. Vrijedi napomenuti da korištenje antivirusnog softvera zahtijeva kupovinu dodatnih licenci od relevantnih proizvođača.

Firewall

Dotični proxy server implementira punopravni zaštitni zid koji vam omogućava da blokirate neželjeni mrežni promet i pomaže u zaštiti od vanjskih upada. Istovremeno, vrlo je lako postaviti. Kada omogućite ili onemogućite usluge i pravila dodjele portova, odgovarajući portovi će se automatski otvoriti ili zatvoriti.

VPN podrška

UserGate Proxy & Firewall podržava PPTP i L2TP protokole, koji se koriste za komunikaciju sa VPN serverima. Ovo olakšava pružanje sigurnih daljinskih veza informacionih resursa preduzeće ili njegove filijale.

Postavljanje UserGate proxyja i zaštitnog zida i rad s njima

Procedura za implementaciju UserGate Proxy & Firewall proxy servera može se podijeliti u nekoliko faza.

  1. Instalacija programa.
  2. Basic setup proxy serveri.
  3. Kreiranje pravila koja implementiraju korporativnu politiku korišćenja interneta.
  4. Dodavanje korisnika.

Faza 1. Instaliranje programa

Procedura instalacije UserGate Proxy & Firewall-a je vrlo jednostavna i ne zahtijeva nikakva posebna znanja ili vještine od izvođača. Prije svega, preuzmite distribuciju sa službene web stranice programera, pokrenite je i odaberite operativni jezik instalatera. U prozoru dobrodošlice koji se otvori kliknite na dugme „Dalje“.

Slika 1. Prozor dobrodošlice instalateraUserGateProxy &Firewall

U sljedećem koraku pročitajte ugovor o licenci, prihvatite ga i ponovo kliknite na “Dalje”.

Slika 2. Ugovor o licenciUserGateProxy &Firewall

Treća faza je odabir komponenti za instalaciju. Ako instalirate program na Internet gateway, morate omogućiti stavku “UserGate Proxy & Firewall 5 Basic Files” i tamo odabrati potrebne podstavke. Tako, na primjer, ako nemate licencu za module za antivirusno skeniranje ili nećete koristiti web statistiku, onda nema potrebe za instaliranjem odgovarajućih modula. Možete zasebno odabrati upravljačku konzolu i komponentu UserGate Statistics. Ovo može biti potrebno kada instalirate proizvod na računar administratora ili odgovornog zaposlenika za daljinsko upravljanje proxy serverom i pregled izvještaja.

Ovdje, ako je potrebno, možete promijeniti fasciklu u kojoj će se proizvod instalirati (podrazumevana fascikla je C:\Program Files\Entensys\UserGate 5\).

Slika 3. Odabir instalacijskih komponentiUserGateProxy &Firewall

Nakon toga, prikazuje se konačni prozor instalatera u kojem morate kliknuti na dugme „Instaliraj“ da biste započeli proces.

Slika 4. Prozor konačnog instalateraUserGateProxy &Firewall

Vrijeme potrebno za dovršetak postupka instalacije ovisi o dostupnim sistemskim resursima.

Slika 5. InstalacijaUserGateProxy &Firewall

Za dovršetak instalacije potrebno je ponovno pokretanje računara.

Faza 2. Osnovno podešavanje proxy servera

Sav rad na administraciji proxy servera obavlja se pomoću upravljačke konzole. Može se izvesti ili direktno sa Internet pristupnika ili daljinski sa administratorske radne stanice. Ako je konzola instalirana zajedno sa serverom na istom računaru, veza se kreira automatski. U suprotnom, morate ručno da konfigurišete vezu - navedite ime domena ili IP adresu servera, port (podrazumevano 2345), login i lozinku.

Slika 6. Postavljanje veze sa serveromUserGateProxy &Firewall

Nakon prvog povezivanja sa serverom, potrebno je da konfigurišete interfejse. To se može učiniti na kartici kontrolne konzole istog imena. UserGate Proxy & Firewall automatski detektuje sva dostupna mrežna sučelja i prikazuje ih na listi. Odaberite među njima one koje „gledaju“ na lokalnu mrežu i promijenite njihov tip u LAN. Sva eksterna sučelja moraju biti tipa WAN. Pored mrežnih interfejsa, lista uključuje i konekcije kao što su PPoE, VPN, itd. One su odmah tipa PPP, koje se ne mogu menjati.

Slika 7. Konfiguriranje mrežnih sučeljaUserGateProxy &Firewall

Ako je potrebno, možete organizirati sistem za rezervaciju internetskih kanala. Omogućava vam da se automatski prebacite na drugi interfejs ako glavni nije dostupan. Da biste ga koristili, morate imati dvije ili više internetskih veza. Za postavljanje rezervacije najpogodnije je koristiti poseban čarobnjak. U prvoj fazi navedite glavne i rezervne veze.

Slika 8. Određivanje primarne i rezervne veze uUserGateProxy &Firewall

U drugoj fazi unesite adrese servera čija će nedostupnost značiti „dolje“ kanala. Imajte na umu da je najbolje koristiti popularne usluge, i to ne samo jednu, već nekoliko. Ovo vam omogućava da izbjegnete prelazak na rezervni kanal zbog internih problema sa serverom, kvara glavne linije i drugih sličnih razloga. Dodatno, možete unijeti interval provjere i vremensko ograničenje za komandu Ping.

Slika 9. Lista servera za provjeru funkcionalnosti vezeUserGateProxy &Firewall

Sve postavke rezervacije internetskih kanala prikazane su na stranici "Interfejsi" upravljačke konzole. Ovdje ih možete promijeniti ručno bez prolaska kroz čarobnjak za podešavanje.

Slika 10. Svojstva rezervacije internet kanala uUserGateProxy &Firewall

Zatim morate konfigurirati proxy server. Da biste to učinili, otvorite odjeljak "Usluge" u upravljačkoj konzoli i u njemu odaberite karticu "Postavke proxyja". U tom slučaju, lista svih dostupnih proxy servera će biti prikazana na desnoj strani prozora. Uključite potrebne usluge i isključite sve ostale.

Slika 11. Lista proxy servera uUserGateProxy &Firewall

Ako je potrebno, možete promijeniti radne parametre bilo kojeg proxy servera. To se radi u posebnom prozoru koji se poziva dvostrukim klikom na željenu stavku. U njemu morate navesti mrežna sučelja koja će proxy server slušati. U većini slučajeva morat ćete odabrati sve LAN veze. Ne morate specificirati interfejse u svojstvima, ali u ovom slučaju UserGate Proxy & Firewall će ih slušati sve, uključujući i eksterne. Ovdje također možete promijeniti port na kojem radi proxy server.

Dodatno, u ovom prozoru možete prebaciti proxy server u tzv. transparentni način rada. Njegova suština je sljedeća. Kada je transparentnost omogućena, NAT drajver osluškuje odgovarajuće portove (80 TCP za HTTP, 110 TCP za POP3, itd.) Internet gateway-a, detektuje zahteve koji dolaze preko njih i prosleđuje ih proxy serveru. Kao rezultat, rad se u suštini obavlja preko "proxyja", ali administratori više ne moraju da konfigurišu aplikacije na radnim stanicama. Svi će oni raditi kao da su povezani direktno na Internet. Međutim, kada koristite transparentni način rada, morate ponovo konfigurirati svojstva mrežna veza radne stanice (navedite IP adresu Internet gateway-a kao gateway-a i unesite DNS server).

Slika 12. Svojstva proxy servera uUserGateProxy &Firewall

Zatim morate osigurati da DNS zahtjevi prolaze kroz proxy server. Najlakši način za to je korištenje DNS prosljeđivanja. Kada se koristi ova tehnologija, zahtjevi koji stignu na port 53 Internet gateway-a (slušaju se samo LAN interfejsi) se preusmjeravaju na DNS server provajdera. Da biste to omogućili, idite na karticu "DNS postavke" u odjeljku "Usluge". U prozoru koji se otvori omogućite DNS prosljeđivanje i navedite adresu DNS servera. Podrazumevano će se automatski preuzeti iz postavki mrežne kartice WAN interfejsa. Međutim, ako je potrebno, možete postaviti vlastitu listu DNS servera.

Slika 13. PodešavanjeDNS inUserGate Proxy & Firewall

Osim toga, možete konfigurirati takve karakteristike proizvoda kao što su općenito upravljanje propusnim opsegom, prosljeđivanje portova, kontrola aplikacija, itd. Međutim, nećemo ih detaljno raspravljati: UserGate Proxy & Firewall je previše funkcionalan da bi ga opisali potpuno prilagođavanje u okviru jednog pregleda. Osim toga, ovaj proizvod prati prilično detaljan sistem pomoći.

Faza 3. Kreiranje pravila koja implementiraju korporativnu politiku korišćenja interneta

Važna karakteristika UserGate Proxy & Firewall-a je sistem upravljanja saobraćajem koji vam omogućava da sprečite zloupotrebu korporativnih Internet resursa od strane zaposlenih u organizaciji, poboljšate bezbednost informacionog sistema i rešite niz drugih sličnih problema. Zasniva se na pravilima koja opisuju ponašanje sistema u određenim slučajevima. Glavni rad s njima obavlja se na istoimenoj kartici u odjeljku „Upravljanje prometom“. Ovdje se mogu kreirati, brisati i uređivati. Može postojati neograničen broj pravila. Međutim, nije neophodno da svi oni budu uključeni. Pravila se dodjeljuju grupama ili korisnicima i rade samo za njih.

Slika 14. Spisak pravila kontrole saobraćaja uUserGateProxy &Firewall

Svako pravilo predstavlja jedan ili više uslova u kombinaciji sa logičkim operatorima AND ili OR. Kada se izvrše, aktivira se navedena radnja. Prozor svojstava pravila sastoji se od pet kartica. Prvi postavlja osnovne parametre: ime, tip logike, kao i objekat i radnju koja se s njim izvodi. Ovdje imate opcije kao što su zatvaranje veze, onemogućavanje brojanja prometa, omogućavanje ograničenja brzine itd.

Slika 15. Osnovni parametri pravila kontrole saobraćaja uUserGateProxy &Firewall

Druga kartica specificira protokole za koje će pravilo funkcionirati. Podrazumevano su svi aktivirani. Međutim, administrator može onemogućiti neke od njih.

Slika 16. Konfiguriranje protokola u pravilu kontrole prometa uUserGateProxy &Firewall

Sljedeća kartica vam omogućava da postavite raspored, tj. označite trajanje pravila.

Slika 17. Konfiguriranje rasporeda radnji pravila kontrole prometa uUserGateProxy &Firewall

Četvrta kartica je namijenjena za unos ograničenja dnevne, sedmične ili mjesečne potrošnje saobraćaja. Pravilo će se pokrenuti kada korisnik dostigne određeno ograničenje. Osim toga, na ovoj kartici možete postaviti ograničenja na veličinu učitanih datoteka.

Slika 18. Konfiguriranje ograničenja potrošnje u pravilu kontrole prometa uUserGateProxy &Firewall

Posljednja, peta kartica vam omogućava da konfigurirate filtriranje web sadržaja. Na njemu možete postaviti uslove četiri različita tipa: po IP adresi (ili opsegu IP adresa), po adresi stranice (uključujući i po fragmentu adrese), po vrsti sadržaja (po cijelim kategorijama - audio, video, slike, tekstualni dokumenti itd. ili po pojedinačnim ekstenzijama - *.avi, *.mp3, *.flv, itd.), kao i po kategorijama. Vrijedi napomenuti da se može odrediti tip filtriranog sadržaja.

Slika 19. Konfiguriranje uslova filtriranja web sadržaja u pravilu kontrole prometa uUserGateProxy &Firewall

Gore opisani uvjeti mogu se kombinirati u bilo kojoj kombinaciji, što vam omogućava da kreirate vrlo fleksibilna pravila koja opisuju gotovo svaku korporativnu politiku korištenja Interneta.

Faza 4. Dodavanje korisnika

UserGate Proxy & Firewall pruža dva načina za dodavanje korisnika: ručno i integracijom sa Active Directory. Jasno je da je prvi od njih namijenjen samo malim kompanijama koje koriste jednostavnu peer-to-peer mrežu. Ako je organizacija implementirala domenu, onda je mnogo lakše i efikasnije koristiti integraciju sa Active Directoryjem.

Ako odaberete drugu opciju za dodavanje korisnika, prvo morate konfigurirati postavke sinhronizacije. To se može učiniti na kartici "Grupe" u odjeljku "Korisnici i grupe". Za unos parametara kliknite na dugme „Podešavanje sinhronizacije sa AD“ i u prozor koji se otvori unesite naziv domene, adresu kontrolera, administratorsku prijavu i lozinku i učestalost ažuriranja podataka.

Slika 20. Postavke sinhronizacijeUserGateProxy &Firewall withAktivanImenik

Rad s nalozima počinje unosom korisničkih grupa za svaku od kojih možete odrediti prethodno unesena pravila. Istovremeno će se odmah distribuirati na sve račune, što pojednostavljuje upravljanje.

Slika 21. Lista grupa uUserGateProxy &Firewall

Nakon što završite rad sa grupama, možete započeti postavljanje liste korisnika. Ručnom metodom, svaki račun morat ćete ga sami unijeti, postavljajući sva njegova svojstva, uključujući i način autorizacije. Tokom sinhronizacije, lista naloga se popunjava i automatski ažurira. Ako je potrebno, možete napraviti promjene na korisničkim računima, na primjer, instalirati drugu metodu autorizacije (NTLM autorizacija se koristi po defaultu).

Slika 22. Lista računa uUserGateProxy &Firewall

Ovdje je potrebno napraviti malu digresiju. Da biste koristili neke metode autorizacije (prijava i lozinka uneseni u UserGate Proxy & Firewall, Windows prijava, autorizacija preko Active Directory.) potrebno je da instalirate na radnim stanicama poseban program– UserGate autorizacijski klijent. Njegov instalacioni paket (AuthClientInstall.msi) nalazi se u podfolderu Alati direktorijuma za instalaciju proizvoda. Može se instalirati ručno ili korištenjem grupnih politika Active Directory.

U ovom trenutku, početna procedura podešavanja za UserGate Proxy & Firewall može se smatrati završenom. Naš proxy server je potpuno spreman za rad. Ubuduće se administrator može daljinski povezati na njega u bilo koje vrijeme i promijeniti prethodno navedene parametre.

UserGate Proxy & Firewall odnosi se na aplikacije koje ne zahtijevaju stalnu pažnju administratora. Povezivanje na Internet, prelazak na rezervni kanal i nazad, praćenje korištenja globalne mreže od strane zaposlenih u kompaniji i druge radnje se obavljaju automatski. Dakle, u stvari, sav dalji rad se svodi na proučavanje statistike, a ponekad i na promjenu nekih parametara rada.

Za rad sa informacijama koje prikuplja sistem može se koristiti posebna aplikacija – „UserGate Statistics“. Uz njegovu pomoć administrator ili odgovorni zaposlenik može pregledati kompletne podatke, filtrirajući ih po datumu, destinaciji, korisniku, protokolu, kategoriji web stranice i drugim parametrima, kao i izvoziti ih u različite formate.

Slika 24. Pregled statistike pomoću posebne aplikacije

Postoji još jedna opcija za pregled prikupljenih informacija - web statistika. Uz njegovu pomoć možete proučavati podatke koristeći pretraživač. Zanimljivo je da to mogu učiniti ne samo administratori, već i obični korisnici. Istovremeno će im biti dostupna samo njihova lična statistika.

Slika 25. Pregled statistike pomoću pretraživača

zaključci

U zaključku, hajde da sumiramo. Detaljno ispitivanje mogućnosti UserGate Proxy & Firewall-a pokazalo je da je ovaj proizvod danas jedan od najfunkcionalnijih proxy servera prisutnih na ruskom tržištu. Uz njegovu pomoć možete riješiti gotovo svaki problem koji se odnosi na organiziranje zajedničkog pristupa internetu.

Važna karakteristika razmatranog proizvoda je mogućnost implementacije korporativnih politika za korišćenje globalne mreže. Uskraćivanje pristupa potencijalno opasnim sajtovima, blokiranje učitavanja određenih vrsta sadržaja i neke druge funkcije povećavaju nivo bezbednosti informacionog sistema.

Važan faktor je prisustvo sigurnosnih alata u UserGate Proxy & Firewall-u, koji vam omogućavaju da brzo i jednostavno organizirate zaštitu perimetra lokalne mreže od vanjskih prijetnji: antivirusa i firewall-a. Naravno, njihova upotreba ne zamjenjuje potrebu za zaštitom radnih stanica. Međutim, dvostepena “odbrana”, tokom koje se mrežni promet provjerava uzastopno (prvo na nivou internet prolaza, a zatim na nivou korisničkog računara) obično se pokaže mnogo efikasnijom.

Glavni nedostaci UserGate Proxy & Firewall-a nisu tehničke, već „ekonomske“ prirode. Riječ je o potrebi godišnjeg obnavljanja licenci za korištenje antivirusnih modula, kao i o sistemu za filtriranje sajtova po kategorijama. U principu, proxy server može raditi i bez njih, pogotovo jer je sama licenca za UserGate Proxy & Firewall neograničena. Međutim, ove funkcije mogu značajno povećati sigurnost informacionog sistema, te je stoga njihova upotreba i dalje poželjna.


Danas je rukovodstvo svih kompanija vjerovatno već cijenilo mogućnosti koje internet pruža za poslovanje. Naravno, ne govorimo o internet prodavnicama i e-trgovini, koji su, kako god da se kaže, danas više marketinški alat nego pravi način povećanja prometa robe ili usluga. Globalna mreža je odlično informaciono okruženje, gotovo nepresušan izvor širokog spektra podataka. Osim toga, omogućava brzu i jeftinu komunikaciju kako sa klijentima tako i sa partnerima kompanije. Potencijal interneta za marketing se ne može odbaciti. Tako se ispostavlja da se Globalna mreža, općenito, može smatrati multifunkcionalnim poslovnim alatom koji može povećati efikasnost zaposlenika kompanije u obavljanju njihovih dužnosti.

Međutim, prvo morate ovim zaposlenima omogućiti pristup internetu. Jednostavno povezivanje jednog računara na globalnu mrežu danas nije problem. To se može učiniti na mnogo načina. Postoje i mnoge kompanije koje nude praktično rješenje za ovaj problem. Ali malo je vjerovatno da će Internet na jednom računaru moći donijeti primjetne prednosti kompaniji. Svaki zaposleni treba da ima pristup internetu sa svog radnog mjesta. I tu ne možemo bez posebnog softvera, takozvanog proxy servera. U principu, mogućnosti operativnih sistema Windows porodice omogućavaju da bilo koja veza na Internet bude uobičajena. U tom slučaju, drugi računari na lokalnoj mreži će mu imati pristup. Međutim, teško da je ova odluka vrijedna razmatranja barem ozbiljno. Činjenica je da ćete pri odabiru morati zaboraviti na kontrolu korištenja Globalne mreže od strane zaposlenih u kompaniji. Odnosno, svako sa bilo kog korporativnog računara može pristupiti Internetu i tamo raditi šta god želi. A šta ovo prijeti vjerovatno ne treba nikome objašnjavati.

Dakle, jedini prihvatljiv način da kompanija organizuje povezivanje svih računara uključenih u korporativnu lokalnu mrežu je proxy server. Danas na tržištu postoji mnogo programa ove klase. Ali mi ćemo govoriti samo o jednom razvoju. Zove se UserGate, a kreirali su ga stručnjaci za eSafeLine. Glavne karakteristike ovog programa su njegova široka funkcionalnost i vrlo zgodno sučelje na ruskom jeziku. Osim toga, vrijedno je napomenuti da se stalno razvija. Nedavno je javnosti predstavljena nova, četvrta verzija ovog proizvoda.

Dakle, UserGate. Ovaj softverski proizvod se sastoji od nekoliko zasebnih modula. Prvi od njih je sam server. Mora biti instaliran na računar direktno povezan na Internet (Internet Gateway). To je server koji korisniku omogućava pristup globalnoj mreži, broji korišteni promet, održava statistiku rada itd. Drugi modul je namijenjen sistemskoj administraciji. Uz njegovu pomoć, odgovorni zaposlenik obavlja svu konfiguraciju proxy servera. Glavna karakteristika UserGate-a u tom smislu je da administrativni modul ne mora biti lociran na Internet gateway-u. Dakle, govorimo o daljinski upravljač proxy server. Ovo je veoma dobro, jer administrator sistema dobija mogućnost da upravlja pristupom Internetu direktno sa svog radnog mesta.

Uz to, UserGate uključuje još dva odvojena softverski moduli. Prvi od njih je potreban za praktičan pregled statistike korišćenja Interneta i izradu izveštaja na osnovu toga, a drugi je za autorizaciju korisnika u nekim slučajevima. Ovaj pristup se dobro slaže sa ruskim jezikom i intuitivnim interfejsom svih modula. Sve zajedno, ovo vam omogućava da brzo i bez ikakvih problema postavite zajednički pristup Globalnoj mreži u bilo kojoj kancelariji.

Ali idemo dalje na analizu funkcionalnosti UserGate proxy servera. Morate početi s činjenicom da ovaj program odmah implementira dva različita načina za konfiguraciju DNS-a (možda najvažniji zadatak pri implementaciji javni pristup). Prvi od njih je NAT (Network Address Translation). Omogućava vrlo precizno obračunavanje potrošenog saobraćaja i omogućava korisnicima da koriste bilo koje protokole koje im administrator dozvoli. Međutim, vrijedi napomenuti da neke mrežne aplikacije u ovom slučaju neće raditi ispravno. Druga opcija je DNS prosljeđivanje. Ima veća ograničenja u odnosu na NAT, ali se može koristiti na računarima sa zastarjelim operativne porodice(Windows 95, 98 i NT).

Internet dozvole se konfiguriraju korištenjem pojmova "korisnik" i "korisnička grupa". Štaviše, ono što je zanimljivo je da u UserGate proxy serveru korisnik nije nužno osoba. Kompjuter takođe može igrati svoju ulogu. Odnosno, u prvom slučaju pristup Internetu je dozvoljen određenim zaposlenima, au drugom - svim ljudima koji sjede za računarom. Naravno, koriste se različite metode autorizacije korisnika. Ako govorimo o računarima, onda se oni mogu identifikovati po njihovoj IP adresi, kombinaciji IP i MAC adresa ili nizu IP adresa. Za autorizaciju zaposlenika mogu se koristiti posebni parovi prijava/lozinka, podaci iz Active Directory, ime i lozinka koji odgovaraju autorizaciji Windows informacije, itd. Korisnici se mogu kombinovati u grupe radi lakšeg konfigurisanja. Ovaj pristup vam omogućava da upravljate pristupom za sve zaposlene sa istim pravima (na istim pozicijama) odjednom, umesto da postavljate svaki nalog posebno.

UserGate proxy server takođe ima sopstveni sistem naplate. Administrator može postaviti bilo koji broj tarifa koje opisuju koliko košta jedna jedinica dolaznog ili odlaznog saobraćaja ili vremena veze. Ovo vam omogućava da vodite tačnu evidenciju o svim internet troškovima povezanim s korisnicima. Odnosno, menadžment kompanije će uvijek znati ko je koliko potrošio. Usput, tarife se mogu odrediti ovisno o trenutnom vremenu, što vam omogućava da precizno reproducirate politiku cijena provajdera.

UserGate proxy server vam omogućava da implementirate bilo koju, bez obzira koliko složenu, korporativnu politiku pristupa Internetu. U tu svrhu koriste se tzv. pravila. Uz njihovu pomoć administrator može postaviti ograničenja za korisnike na vrijeme rada, na količinu poslanog ili primljenog saobraćaja po danu ili mjesecu, na količinu iskorištenog vremena po danu ili mjesecu, itd. Ako se ova ograničenja prekorače, pristup Globalna mreža će biti automatski blokirana. Osim toga, koristeći pravila, možete nametnuti ograničenja na brzinu pristupa pojedinačnim korisnicima ili čitavim grupama.

Drugi primjer korištenja pravila su ograničenja pristupa određenim IP adresama ili njihovim rasponima, cijelim imenima domena ili adresama koje sadrže određene nizove itd. Naime, riječ je o filtriranju stranica uz pomoć kojih se može isključiti posjete zaposlenicima neželjenih web projekata. Ali, naravno, ovo nisu svi primjeri primjene pravila. Uz njihovu pomoć možete, na primjer, implementirati prebacivanje tarifa u zavisnosti od trenutno učitanog sajta (neophodno je uzeti u obzir preferencijalni promet koji postoji kod nekih provajdera), konfigurirati rezanje reklamni baneri i tako dalje.

Inače, već smo rekli da UserGate proxy server ima poseban modul za rad sa statistikom. Uz njegovu pomoć administrator može u svakom trenutku vidjeti potrošeni promet (ukupan, za svakog korisnika, za korisničke grupe, za stranice, za IP adrese servera itd.). Štaviše, sve se to radi vrlo brzo pomoću prikladnog sistema filtera. Osim toga, ovaj modul implementira generator izvještaja, pomoću kojeg administrator može kreirati bilo koji izvještaj i izvesti ih u MS Excel format.

Vrlo zanimljivo rješenje programera je integracija antivirusnog modula u firewall, koji kontrolira sav dolazni i odlazni promet. Štaviše, nisu ponovo izmislili točak, već su integrisali razvoj Kaspersky Lab-a. Ovo rješenje garantuje, prvo, zaista pouzdanu zaštitu od svih zlonamjernih programa, a drugo, redovno ažuriranje baza potpisa. Još jedna važna karakteristika u smislu sigurnosti informacija je ugrađeni zaštitni zid. I tako su ga kreirali UserGate programeri nezavisno. Nažalost, vrijedi napomenuti da se firewall integriran u proxy server po svojim mogućnostima prilično razlikuje od vodećih proizvoda u ovoj oblasti. Strogo govoreći, govorimo o modulu koji implementira jednostavno blokiranje saobraćaj koji ide kroz portove i protokole koje je odredio administrator do i od računara sa specificiranim IP adresama. Nema mod nevidljivosti ili neke druge funkcije koje su općenito potrebne za firewall.

Nažalost, jedan članak ne može uključiti detaljnu analizu svih funkcija UserGate proxy servera. Stoga, hajde da barem jednostavno navedemo najzanimljivije od njih, koje nisu uključene u našu recenziju. Prvo, to je keširanje datoteka preuzetih s Interneta, što vam omogućava da zaista uštedite novac na uslugama provajdera. Drugo, vrijedno je napomenuti funkciju mapiranja porta, koja vam omogućava da povežete bilo koji odabrani port jednog od lokalnih Ethernet sučelja na željeni port udaljenog hosta (ova funkcija je neophodna za rad mrežnih aplikacija: sistemi banka-klijent , razne igre itd.). Uz to, UserGate proxy server implementira takve funkcije kao što su pristup internim korporativnim resursima, planer zadataka, povezivanje na proxy kaskadu, praćenje prometa i IP adresa aktivnih korisnika, njihovih prijava, posjećenih URL-ova u realnom vremenu i još mnogo, mnogo više ostalo.

E pa, sada je vrijeme da se sagledamo. Mi, dragi čitaoci, pobliže smo razgovarali o UserGate proxy serveru, pomoću kojeg možete organizirati zajednički pristup Internetu u bilo kojoj kancelariji. I bili smo uvjereni da ovaj razvoj kombinuje jednostavnost i lakoću postavljanja i korištenja s vrlo opsežnim skupom funkcionalnosti. Sve ovo čini najnoviju verziju UserGate-a veoma atraktivnim proizvodom.

Bilješka: Ovaj članak je uređen i ažuriran trenutnim podacima i dodatnim vezama.

UserGate Proxy & Firewall je Internet gateway klase UTM (Unified Threat Management) koji vam omogućava da omogućite i kontrolišete opšti pristup zaposlenih Internet resursima, filtrirate zlonamerne, opasne i neželjene sajtove, zaštitite mrežu kompanije od spoljnih upada i napada, kreirate virtuelne mreže i organizirati siguran VPN pristup mrežnim resursima izvana, kao i upravljati širinom kanala i internet aplikacijama.

Proizvod je efikasna alternativa skupom softveru i hardveru i namenjen je za upotrebu u malim i srednjim preduzećima, vladinim agencijama i velikim organizacijama sa granskom strukturom.

Sve Dodatne informacije o proizvodu koji možete pronaći.

Program ima dodatne plaćene module:

  • Kaspersky Antivirus
  • Panda Antivirus
  • Avira Antivirus
  • Entensys URL Filtriranje

Licenca za svaki modul se daje na jednu kalendarsku godinu. Rad svih modula možete testirati u probnom ključu, koji se može dati na period od 1 do 3 mjeseca za neograničen broj korisnika.

Možete pročitati detaljno o pravilima licenciranja.

Za sva pitanja u vezi kupovine Entensys rješenja obratite se na: [email protected] ili pozivom na besplatnu liniju: 8-800-500-4032.

Zahtjevi sustava

Da biste organizirali gateway, potreban vam je računar ili server koji mora ispunjavati sljedeće sistemske zahtjeve:

  • Frekvencija procesora: od 1,2 GHz
  • Kapacitet RAM-a: od 1024 Gb
  • HDD kapacitet: od 80 GB
  • Broj mrežnih adaptera: 2 ili više

Što je veći broj korisnika (u odnosu na 75 korisnika), to bi karakteristike servera trebale biti veće.

Preporučujemo da instalirate naš proizvod na računar sa „čistim“ serverom operativni sistem, preporučeni operativni sistem je Windows 2008/2012.
Ne garantujemo ispravan rad UserGate Proxy&Firewall-a i/ili saradnju usluga trećih strana i Ne preporučujemo da ga koristite zajedno sa uslugama na gateway-u, koji obavlja sljedeće uloge:

  • Is kontroler domena
  • To je hipervizor virtuelne mašine
  • Is terminal server
  • Djeluje kao DBMS/DNS/HTTP server visokog opterećenja itd.
  • Djeluje kao SIP server
  • Obavlja usluge ili usluge kritične za poslovanje
  • Sve navedeno

UserGate Proxy&Firewall trenutno može biti u sukobu sa sljedećim tipovima softvera:

  • Sve bez izuzetka treća stranka Firewall/Firewall rješenja
  • BitDefender antivirusni proizvodi
  • Antivirusni moduli koji obavljaju funkciju Firewall ili Anti-Hacker većine antivirusnih proizvoda. Preporučljivo je onemogućiti ove module
  • Antivirusni moduli koji skeniraju podatke koji se prenose putem HTTP/SMTP/POP3 protokola to može uzrokovati kašnjenje prilikom aktivnog rada preko proxyja
  • Softverski proizvodi trećih strana koji mogu presresti podatke sa mrežnih adaptera - „merača brzine“, „oblikovača“ itd.
  • Aktivna uloga Windows Servera "Rutiranje i daljinski pristup" u načinu rada NAT/Internet Connection Sharing (ICS).

Pažnja! Tokom instalacije, preporučuje se da onemogućite podršku za IPv6 protokol na mrežnom prolazu, pod uslovom da se ne koriste aplikacije koje koriste IPv6. Trenutna implementacija UserGate Proxy&Firewall ne podržava IPv6 protokol, pa se stoga filtriranje ovog protokola ne vrši. Dakle, host može biti dostupan izvana preko IPv6 protokola čak i kada su aktivirana zabranjena pravila zaštitnog zida.

Kada je ispravno konfigurisan, UserGate Proxy&Firewall je kompatibilan sa sljedećim uslugama:

Uloge Microsoft Windows Servera:

  • DNS server
  • DHCP server
  • Print server
  • File(SMB) server
  • Server aplikacija
  • WSUS server
  • WEB server
  • WINS server
  • VPN server

I sa proizvodima trećih strana:

  • FTP/SFTP serveri
  • Serveri za razmjenu poruka - IRC/XMPP

Kada instalirate UserGate Proxy&Firewall, uverite se da softver treće strane ne koristi port ili portove koje UserGate Proxy&Firewall može da koristi. Po defaultu, UserGate koristi sljedeće portove:

  • 25 - SMTP proxy
  • 80 - transparentni HTTP proxy
  • 110 - POP3 proxy
  • 2345 - UserGate administratorska konzola
  • 5455 - UserGate VPN server
  • 5456 - UserGate autorizacijski klijent
  • 5458 - DNS prosljeđivanje
  • 8080 - HTTP proxy
  • 8081 - UserGate web statistika

Svi portovi se mogu promijeniti koristeći UserGate administratorsku konzolu.

Instaliranje programa i odabir baze podataka za rad

UserGate proxy i čarobnjak za postavljanje zaštitnog zida

Detaljniji opis postavljanja NAT pravila opisan je u ovom članku:

UserGate Agent

Nakon instaliranja UserGate Proxy&Firewall-a Neophodno ponovo pokrenite gateway. Nakon autorizacije u sistemu, ikona UserGate agenta na Windows traci zadataka pored sata bi trebala postati zelena. Ako je ikona siva, to znači da je došlo do greške tokom procesa instalacije i da usluga UserGate Proxy&Firewall servera nije pokrenuta, u ovom slučaju pogledajte odgovarajući odjeljak Entensys baze znanja ili tehnička podrška Kompanija Entensys.

Proizvod se konfiguriše preko UserGate Proxy&Firewall administrativne konzole, koja se može pozvati ili dvostrukim klikom na ikonu UserGate agenta ili na prečicu iz Start menija.
Kada pokrenete Administracijsku konzolu, prvi korak je registracija vašeg proizvoda.

Opšte postavke

U odeljku Opšte postavke administratorske konzole postavite lozinku za administratorskog korisnika. Bitan! Nemojte koristiti Unicode posebne znakove ili PIN vašeg proizvoda kao lozinku za pristup konzoli za administraciju.

UserGate Proxy&Firewall proizvod ima mehanizam zaštite od napada, možete ga aktivirati i u meniju "Opšta podešavanja". Mehanizam zaštite od napada je aktivan mehanizam, neka vrsta "crvenog dugmeta" koji radi na svim interfejsima. Preporučuje se korištenje ove funkcije u slučaju DDoS napadi ili masovna infekcija računara unutar lokalne mreže malverom (virusi/crvi/botnet aplikacije). Mehanizam zaštite od napada može blokirati korisnike koji koriste klijente za dijeljenje datoteka - torente, direktnu vezu, neke vrste VoIP klijenata/servera koji aktivno razmjenjuju promet. Da biste dobili IP adrese blokiranih računara, otvorite datoteku ProgramData\Entensys\Usergate6\logging\fw.log ili Dokumenti i postavke\Svi korisnici\Podaci aplikacije\Entensys\Usergate6\logging\fw.log.

Pažnja! Preporučljivo je promijeniti parametre opisane u nastavku samo ako postoji veliki broj klijenata/zahtjeva za propusnost velikog prolaza.

Ovaj odjeljak također sadrži sljedeće postavke: "Maksimalni broj veza" - maksimalan broj svih veza preko NAT-a i preko UserGate Proxy&Firewall proxyja.

"Maksimalni broj NAT veza" - maksimalan broj konekcija koje UserGate Proxy&Firewall može proći kroz NAT drajver.

Ako broj klijenata nije veći od 200-300, onda se ne preporučuje mijenjanje postavki "Maksimalni broj veza" i "Maksimalni broj NAT veza". Povećanje ovih parametara može dovesti do značajnog opterećenja na hardveru gateway-a i preporučuje se samo kada se optimiziraju postavke za veliki broj klijenata.

Interfejsi

Pažnja! Prije nego što to učinite, provjerite postavke mrežnog adaptera u Windowsu! Interfejs spojen na lokalnu mrežu (LAN) ne smije sadržavati adresu gatewaya! Nije potrebno specificirati DNS servere u postavkama LAN adaptera;

IP adresa LAN adaptera mora imati privatnu IP adresu. Prihvatljivo je koristiti IP adresu iz sljedećih raspona:

10.0.0.0 - 10.255.255.255 (10/8 prefiks) 172.16.0.0 - 172.31.255.255 (172.16/12 prefiks) 192.168.0.0 - 192.168.16.5 prefiks

Distribucija privatnih mrežnih adresa je opisana u RFC 1918 .

Korišćenje drugih opsega kao adresa za lokalnu mrežu će dovesti do grešaka u radu UserGate Proxy&Firewall-a.

Interfejs povezan na Internet (WAN) mora sadržavati IP adresu, mrežnu masku, adresu gatewaya i adrese DNS servera.
Nije preporučljivo koristiti više od tri DNS servera u postavkama WAN adaptera to može dovesti do grešaka u radu mreže. Prvo provjerite funkcionalnost svakog DNS servera koristeći naredbu nslookup u konzoli cmd.exe, na primjer:

nslookup usergate.ru 8.8.8.8

gdje je 8.8.8.8 adresa DNS servera. Odgovor mora sadržavati IP adresu traženog servera. Ako nema odgovora, onda DNS server nije važeći ili je DNS saobraćaj blokiran.

Potrebno je odrediti vrstu interfejsa. Interfejs sa IP adresom koji je povezan na internu mrežu mora biti tipa LAN; interfejs koji je povezan na Internet - WAN.

Ako postoji nekoliko WAN sučelja, tada morate odabrati glavni WAN interfejs kroz koji će sav promet teći tako što ćete kliknuti desnim tasterom miša na njega i odabrati “Postavi kao primarnu vezu”. Ako planirate da koristite drugi WAN interfejs kao rezervni kanal, preporučujemo korišćenje "Čarobnjaka za podešavanje".

Pažnja! Prilikom postavljanja rezervne veze, preporučljivo je da navedete ne ime DNS hosta, već IP adresu kako bi ga UserGate Proxy&Firewall periodično ispitivao koristeći icmp (ping) zahtjeve i, ako nema odgovora, uključio backup vezu. Uverite se da DNS serveri u postavkama mrežnog rezervnog adaptera u Windows-u rade.

Korisnici i grupe

Da bi se klijentski računar prijavio na gateway i pristupio UserGate Proxy&Firewall i NAT uslugama, potrebno je da dodate korisnike. Da biste pojednostavili ovu proceduru, koristite funkciju skeniranja - "Skeniraj lokalnu mrežu". UserGate Proxy&Firewall će nezavisno skenirati lokalnu mrežu i obezbediti listu hostova koji se mogu dodati na listu korisnika. Zatim možete kreirati grupe i uključiti korisnike u njih.

Ako ste postavili kontroler domene, tada možete konfigurirati sinhronizaciju grupa sa grupama u Active Directory-u ili uvesti korisnike iz Active Directory-a, bez stalne sinhronizacije sa Active Directory-jem.

Kreiramo grupu koja će biti sinhronizovana sa grupom ili grupama iz AD, unosimo potrebne podatke u meni "Sinhronizacija sa AD" i ponovo pokrećemo UserGate servis koristeći UserGate agent. Nakon 300 sek. korisnici se automatski uvoze u grupu. Ovi korisnici će imati svoj metod provjere autentičnosti postavljen na AD.

Firewall

Za ispravan i siguran rad gatewaya neophodno je Neophodno konfigurišite zaštitni zid.

Preporučuje se sljedeći algoritam rada zaštitnog zida: blokirajte sav promet, a zatim dodajte pravila koja dozvoljavaju u potrebnim smjerovima. Da biste to učinili, pravilo #NONUSER# mora biti postavljeno na “Deny” mod (ovo će zabraniti sav lokalni promet na gateway-u). Pažljivo! Ako daljinski konfigurišete UserGate Proxy&Firewall, bićete isključeni sa servera. Zatim morate kreirati pravila koja dozvoljavaju.

Dozvoljavamo sav lokalni promet, na svim portovima od gatewaya do lokalne mreže i od lokalne mreže do gatewaya, kreiranjem pravila sa sljedećim parametrima:

Izvor - "LAN", odredište - "Bilo koji", usluge - ANY:FULL, akcija - "Dozvoli"
Izvor - "Bilo koji", odredište - "LAN", usluge - ANY:FULL, akcija - "Dozvoli"

Zatim kreiramo pravilo koje će otvoriti pristup Internetu za gateway:

Izvor - "WAN"; odredište - "Bilo koje"; usluge - ANY:FULL; akcija - "Dozvoli"

Ako trebate dozvoliti pristup dolaznim vezama na svim portovima do gatewaya, pravilo će izgledati ovako:

Izvor - "Bilo koji"; odredište - "WAN"; usluge - ANY:FULL; akcija - "Dozvoli"

A ako vam je potreban gateway za prihvatanje dolaznih veza, na primjer, samo preko RDP-a (TCP:3389), a može se pingovati izvana, onda morate kreirati sljedeće pravilo:

Izvor - "Bilo koji"; odredište - "WAN"; usluge - Bilo koji ICMP, RDP; akcija - "Dozvoli"

U svim ostalim slučajevima, iz sigurnosnih razloga, kreiranje pravila za dolazne veze nije potrebno.

Da biste klijentskim računarima omogućili pristup Internetu, potrebno je da kreirate pravilo prevođenja mrežnih adresa (NAT).

Izvor - "LAN"; odredište - "WAN"; usluge - ANY:FULL; akcija - "Dozvoli"; odaberite korisnike ili grupe kojima želite dodijeliti pristup.

Moguće je konfigurisati pravila zaštitnog zida - dozvoliti ono što je izričito zabranjeno i obrnuto, zabraniti ono što je jasno dozvoljeno, u zavisnosti od toga kako konfigurišete pravilo #NON_USER# i kakva je politika vaše kompanije. Sva pravila imaju prioritet - pravila rade po redu od vrha do dna.

Mogu se vidjeti opcije za različite postavke i primjeri pravila zaštitnog zida.

Ostala podešavanja

Zatim, u odjeljku Usluge - Proxy, možete omogućiti potrebne proxy servere - HTTP, FTP, SMTP, POP3, SOCKS. Odaberite potrebnih interfejsa, omogućavanje opcije "slušaj na svim interfejsima" možda nije sigurno, jer proxy će u ovom slučaju biti dostupan i na LAN interfejsima i na eksternim interfejsima. "Transparentni" proxy način usmjerava sav promet na odabranom portu do proxy porta, u ovom slučaju nije potrebno specificirati proxy na klijentskim računarima. Proxy također ostaje dostupan na portu navedenom u postavkama samog proxy servera.

Ako je na serveru omogućen transparentni proxy mod (Usluge - Proxy postavke), dovoljno je da u mrežnim postavkama na klijentskoj mašini navedete UserGate server kao glavni gateway. Takođe možete odrediti UserGate server kao DNS server, u ovom slučaju on mora biti omogućen.

Ako je transparentni režim onemogućen na serveru, potrebno je da unesete adresu UserGate servera i odgovarajući proxy port koji je naveden u Usluge - Proxy podešavanja u podešavanjima veze pretraživača. Možete vidjeti primjer postavljanja UserGate servera za takav slučaj.

Ako vaša mreža ima konfigurisan DNS server, možete ga odrediti u postavkama UserGate DNS prosljeđivanja i UserGate WAN adaptera. U ovom slučaju, i u NAT modu iu proxy modu, svi DNS zahtjevi će biti usmjereni na ovaj server.

mob_info