Ανασκόπηση του διακομιστή μεσολάβησης UserGate - μια ολοκληρωμένη λύση για την παροχή δημόσιας πρόσβασης στο Διαδίκτυο. Ανασκόπηση του διακομιστή μεσολάβησης UserGate - μια ολοκληρωμένη λύση για την παροχή κοινής πρόσβασης στο Διαδίκτυο με χρήση διαφανούς λειτουργίας

Έχοντας συνδέσει το Διαδίκτυο στο γραφείο, κάθε αφεντικό θέλει να ξέρει τι πληρώνει. Ειδικά αν το τιμολόγιο δεν είναι απεριόριστο, αλλά βασίζεται στην κίνηση. Υπάρχουν διάφοροι τρόποι επίλυσης των προβλημάτων του ελέγχου της κυκλοφορίας και της οργάνωσης της πρόσβασης στο Διαδίκτυο σε επιχειρηματική κλίμακα. Θα μιλήσω για την υλοποίηση του διακομιστή μεσολάβησης UserGate για τη λήψη στατιστικών στοιχείων και τον έλεγχο του εύρους ζώνης του καναλιού χρησιμοποιώντας την εμπειρία μου ως παράδειγμα.

Θα πω αμέσως ότι χρησιμοποίησα την υπηρεσία UserGate (έκδοση 4.2.0.3459), αλλά οι μέθοδοι οργάνωσης της πρόσβασης και οι τεχνολογίες που χρησιμοποιούνται χρησιμοποιούνται επίσης σε άλλους διακομιστές μεσολάβησης. Επομένως, τα βήματα που περιγράφονται εδώ είναι γενικά κατάλληλα για άλλες λύσεις λογισμικού (για παράδειγμα, Kerio Winroute Firewall ή άλλους proxies), με μικρές διαφορές στις λεπτομέρειες υλοποίησης της διεπαφής διαμόρφωσης.

Θα περιγράψω την εργασία που μου ανατέθηκε: Υπάρχει ένα δίκτυο 20 μηχανημάτων, υπάρχει ένα μόντεμ ADSL στο ίδιο υποδίκτυο (εναλλακτικά 512/512 kbit/s). Απαιτείται ο περιορισμός της μέγιστης ταχύτητας για τους χρήστες και η παρακολούθηση της κυκλοφορίας. Η εργασία είναι λίγο περίπλοκη από το γεγονός ότι η πρόσβαση στις ρυθμίσεις του μόντεμ είναι κλειστή από τον πάροχο (η πρόσβαση είναι δυνατή μόνο μέσω του τερματικού, αλλά ο κωδικός πρόσβασης είναι στον πάροχο). Η σελίδα στατιστικών στον ιστότοπο του παρόχου δεν είναι διαθέσιμη (Μην ρωτάτε γιατί, υπάρχει μόνο μία απάντηση - η εταιρεία έχει μια τέτοια σχέση με τον πάροχο).

Εγκαθιστούμε την πύλη χρήστη και την ενεργοποιούμε. Για να οργανώσουμε την πρόσβαση στο δίκτυο θα χρησιμοποιήσουμε NAT ( Μετάφραση Διεύθυνσης Δικτύου- «Μετάφραση διεύθυνσης δικτύου»). Για να λειτουργήσει η τεχνολογία, είναι απαραίτητο να έχουμε δύο κάρτες δικτύου στο μηχάνημα όπου θα εγκαταστήσουμε τον διακομιστή UserGate (υπηρεσία) (Υπάρχει πιθανότητα να κάνετε το NAT να λειτουργεί σε μία κάρτα δικτύου εκχωρώντας δύο διευθύνσεις IP σε αυτήν σε διαφορετικά υποδίκτυα).

Ετσι, αρχικό στάδιο εγκατάστασης - διαμόρφωση προγράμματος οδήγησης NAT(πρόγραμμα οδήγησης από το UserGate, εγκατεστημένο κατά την κύρια εγκατάσταση της υπηρεσίας). Μας απαιτούνται δύο διεπαφές δικτύου(διαβάστε κάρτες δικτύου) στο υλικό του διακομιστή ( Για μένα αυτό δεν ήταν πρόβλημα, γιατί... Ανέπτυξα το UserGate σε μια εικονική μηχανή. Και εκεί μπορείτε να φτιάξετε "πολλές" κάρτες δικτύου).

Ιδανικά, να Το ίδιο το μόντεμ είναι συνδεδεμένο σε μία κάρτα δικτύου, ΕΝΑ στο δεύτερο - ολόκληρο το δίκτυο, από το οποίο θα έχουν πρόσβαση στο Διαδίκτυο. Στην περίπτωσή μου, το μόντεμ είναι εγκατεστημένο σε διαφορετικά δωμάτια με τον διακομιστή (φυσικό μηχάνημα) και είμαι πολύ τεμπέλης και δεν έχω χρόνο να μετακινήσω τον εξοπλισμό (και στο εγγύς μέλλον, η οργάνωση μιας αίθουσας διακομιστή διαφαίνεται). Συνέδεσα και τους δύο προσαρμογείς δικτύου στο ίδιο δίκτυο (φυσικά), αλλά τους ρύθμισα για διαφορετικά υποδίκτυα. Επειδή δεν μπόρεσα να αλλάξω τις ρυθμίσεις του μόντεμ (η πρόσβαση είχε αποκλειστεί από τον πάροχο), έπρεπε να μεταφέρω όλους τους υπολογιστές σε άλλο υποδίκτυο (ευτυχώς, αυτό γίνεται εύκολα χρησιμοποιώντας DHCP).

Κάρτα δικτύου συνδεδεμένη στο μόντεμ ( Διαδίκτυο) ρυθμίστηκε όπως πριν (σύμφωνα με δεδομένα από τον πάροχο).

διορίζουμε στατική διεύθυνση IP(στην περίπτωσή μου είναι 192.168.0.5).
Δεν άλλαξα τη μάσκα υποδικτύου 255.255.255.0, αλλά μπορεί να ρυθμιστεί με τέτοιο τρόπο ώστε να υπάρχουν μόνο δύο συσκευές στο υποδίκτυο του διακομιστή μεσολάβησης και του μόντεμ.
Πύλη - διεύθυνση μόντεμ 192.168.0.1
Διευθύνσεις των διακομιστών DNS του παρόχου ( κύρια και επιπλέον απαιτείται).

Δεύτερη κάρτα δικτύου, συνδεδεμένο στο εσωτερικό δίκτυο ( intranet), ρυθμίζεται ως εξής:

Στατικός Διεύθυνση IP, αλλά σε διαφορετικό υποδίκτυο(έχω 192.168.1.5).
Μάσκα σύμφωνα με τις ρυθμίσεις του δικτύου σας (έχω 255.255.255.0).
πύλη δεν υποδεικνύουμε.
Στο πεδίο διεύθυνση διακομιστή DNS εισαγάγετε τη διεύθυνση του εταιρικού διακομιστή DNS(αν υπάρχει, αν όχι, αφήστε το κενό).

Σημείωση: πρέπει να βεβαιωθείτε ότι η χρήση του στοιχείου NAT από το UserGate έχει επιλεγεί στις ρυθμίσεις διεπαφής δικτύου.

Μετά τη ρύθμιση των διεπαφών δικτύου εκκινήστε την ίδια την υπηρεσία UserGate(μην ξεχάσετε να το ρυθμίσετε ώστε να λειτουργεί ως υπηρεσία για αυτόματη εκκίνηση με δικαιώματα συστήματος) και μεταβείτε στην κονσόλα διαχείρισης(πιθανώς τοπικά ή εξ αποστάσεως). Μεταβείτε στους «Κανόνες δικτύου» και επιλέξτε « NAT Setup Wizard", θα χρειαστεί να υποδείξετε το intranet σας ( intranet) και το Διαδίκτυο ( Διαδίκτυο) προσαρμογείς. Intranet - ένας προσαρμογέας συνδεδεμένος σε εσωτερικό δίκτυο. Ο οδηγός θα διαμορφώσει το πρόγραμμα οδήγησης NAT.

Μετά από αυτό πρέπει να κατανοήσουν τους κανόνες NAT, για το οποίο πηγαίνουμε στις "Ρυθμίσεις δικτύου" - "NAT". Κάθε κανόνας έχει πολλά πεδία και μια κατάσταση (ενεργό και ανενεργό). Η ουσία των πεδίων είναι απλή:

Τίτλος - το όνομα του κανόνα, Προτείνω να δώσετε κάτι ουσιαστικό(δεν χρειάζεται να γράψετε διευθύνσεις και θύρες σε αυτό το πεδίο, αυτές οι πληροφορίες θα είναι ήδη διαθέσιμες στη λίστα κανόνων).
Η διεπαφή του δέκτη είναι δική σας διεπαφή intranet(στην περίπτωσή μου 192.168.1.5).
Η διεπαφή αποστολέα είναι δική σας διεπαφή διαδικτύου(στο ίδιο υποδίκτυο με το μόντεμ, στην περίπτωσή μου 192.168.0.5).
Λιμάνι— υποδείξτε σε ποια κατηγορία ισχύει αυτός ο κανόνας ( για παράδειγμα, για τη θύρα 80 του προγράμματος περιήγησης (HTTP) και για τη λήψη αλληλογραφίας, τη θύρα 110). Μπορείτε να καθορίσετε μια σειρά θυρών, εάν δεν θέλετε να μπερδεύεστε, αλλά δεν συνιστάται να το κάνετε αυτό για ολόκληρη τη γκάμα των θυρών.
Πρωτόκολλο - επιλέξτε μία από τις επιλογές από το αναπτυσσόμενο μενού: TCP(συνήθως), UPDή ICMP(για παράδειγμα, για να χειριστείτε τις εντολές ping ή tracert).

Αρχικά, η λίστα κανόνων περιέχει ήδη τους πιο χρησιμοποιούμενους κανόνες που είναι απαραίτητοι για τη λειτουργία αλληλογραφίας και διαφόρων τύπων προγραμμάτων. Αλλά συμπλήρωσα την τυπική λίστα με τους δικούς μου κανόνες: για αιτήματα λειτουργίας DNS (χωρίς τη χρήση της επιλογής προώθησης στο UserGate), για εργασία με προστασία Συνδέσεις SSL, για τον πελάτη torrent, για το πρόγραμμα Radmin κ.λπ. Ακολουθούν στιγμιότυπα οθόνης της λίστας κανόνων μου. Ο κατάλογος είναι ακόμα μικρός, αλλά επεκτείνεται με την πάροδο του χρόνου (με την εμφάνιση της ανάγκης για εργασία σε μια νέα θύρα).

Το επόμενο στάδιο είναι η ρύθμιση των χρηστών. Στην περίπτωσή μου επέλεξα εξουσιοδότηση από τη διεύθυνση IP και τη διεύθυνση MAC. Υπάρχουν επιλογές εξουσιοδότησης μόνο από τη διεύθυνση IP και τα διαπιστευτήρια Active Directory. Μπορείτε επίσης να χρησιμοποιήσετε την εξουσιοδότηση HTTP (κάθε φορά που οι χρήστες εισάγουν για πρώτη φορά έναν κωδικό πρόσβασης μέσω του προγράμματος περιήγησης). Δημιουργούμε χρήστες και ομάδες χρηστώνΚαι τους εκχωρήστε τους χρησιμοποιημένους κανόνες NAT(Πρέπει να δώσουμε στον χρήστη Internet στο πρόγραμμα περιήγησης - ενεργοποιούμε τον κανόνα HTTP με τη θύρα 80 για αυτόν, πρέπει να του δώσουμε ICQ - τον κανόνα ICQ με τότε 5190).

Τέλος, στο στάδιο της υλοποίησης, ρύθμισα τους χρήστες να εργάζονται μέσω ενός διακομιστή μεσολάβησης. Για αυτό χρησιμοποίησα την υπηρεσία DHCP. Οι ακόλουθες ρυθμίσεις μεταφέρονται σε υπολογιστές-πελάτες:

Διεύθυνση IP - δυναμική από DHCP στην περιοχή του υποδικτύου intranet (στην περίπτωσή μου το εύρος είναι 192.168.1.30 -192.168.1.200. Για τα απαραίτητα αυτοκίνηταδιαμορφωμένη κράτηση διεύθυνσης IP).
Μάσκα υποδικτύου (255.255.255.0)
Πύλη - διεύθυνση του μηχανήματος με UserGate στο τοπικό δίκτυο (διεύθυνση Intranet - 192.168.1.5)
Διακομιστές DNS - Παρέχω 3 διευθύνσεις. Το πρώτο είναι η διεύθυνση του εταιρικού διακομιστή DNS, το δεύτερο και το τρίτο είναι οι διευθύνσεις DNS του παρόχου. (Το εταιρικό DNS έχει ρυθμιστεί να προωθείται στο DNS του παρόχου, επομένως σε περίπτωση «πτώσης» του τοπικού DNS, τα ονόματα Διαδικτύου θα επιλυθούν στο DNS του παρόχου).

Για το θέμα αυτό ολοκληρώθηκε η βασική ρύθμιση. Αριστερά ελέγξτε τη λειτουργικότητα, για να το κάνετε αυτό στον υπολογιστή-πελάτη που χρειάζεστε (λαμβάνοντας τις ρυθμίσεις από το DHCP ή προσθέτοντάς τες με μη αυτόματο τρόπο, σύμφωνα με τις παραπάνω συστάσεις) εκκινήστε το πρόγραμμα περιήγησης και ανοίξτε οποιαδήποτε σελίδα στο Διαδίκτυο. Εάν κάτι δεν λειτουργεί, ελέγξτε ξανά την κατάσταση:

Είναι σωστές οι ρυθμίσεις του προσαρμογέα δικτύου πελάτη; (το μηχάνημα με τον διακομιστή μεσολάβησης κάνει ping;)
Είναι ο χρήστης/υπολογιστής εξουσιοδοτημένος στον διακομιστή μεσολάβησης; (δείτε μεθόδους εξουσιοδότησης UserGate)
Έχει ο χρήστης/ομάδα ενεργοποιημένους τους απαραίτητους κανόνες NAT για τη λειτουργία; (για να λειτουργήσει το πρόγραμμα περιήγησης, χρειάζεστε τουλάχιστον κανόνες HTTP για το πρωτόκολλο TCP στη θύρα 80).
Υπέρβαση των ορίων κίνησης για τον χρήστη ή την ομάδα; (Δεν το παρουσίασα μόνος μου).

Τώρα μπορείτε να παρακολουθείτε τους συνδεδεμένους χρήστες και τους κανόνες NAT που χρησιμοποιούν στο στοιχείο "Παρακολούθηση" της κονσόλας διαχείρισης διακομιστή μεσολάβησης.

Περαιτέρω ρυθμίσεις διακομιστή μεσολάβησης έχουν ήδη συντονιστεί, σε συγκεκριμένες απαιτήσεις. Το πρώτο πράγμα που έκανα ήταν να ενεργοποιήσω τον περιορισμό εύρους ζώνης στις ιδιότητες χρήστη (αργότερα μπορείτε να εφαρμόσετε ένα σύστημα κανόνων για τον περιορισμό της ταχύτητας) και να ενεργοποιήσω πρόσθετες υπηρεσίες UserGate - διακομιστή μεσολάβησης (HTTP στη θύρα 8080, SOCKS5 στη θύρα 1080). Η ενεργοποίηση των υπηρεσιών διακομιστή μεσολάβησης σάς επιτρέπει να χρησιμοποιείτε την προσωρινή αποθήκευση αιτημάτων. Ωστόσο, είναι απαραίτητο να ρυθμίσετε επιπλέον τις παραμέτρους των υπολογιστών-πελατών ώστε να συνεργάζονται με τον διακομιστή μεσολάβησης.

Καμιά ερώτηση? Προτείνω να τους ρωτήσετε εδώ.

________________________________________

Σε αυτό το άρθρο θα σας μιλήσω για ένα νέο προϊόν από την Entensys, της οποίας είμαστε συνεργάτες σε τρεις τομείς, UserGate Proxy & Firewall 6.2.1.

Καλημέρα αγαπητέ επισκέπτη. Το 2013 είναι πίσω μας, για κάποιους ήταν δύσκολο, για άλλους ήταν εύκολο, αλλά ο χρόνος κυλά και αν σκεφτείτε ότι ένα νανοδευτερόλεπτο είναι 10 −9 Με. τότε απλά πετάει. Σε αυτό το άρθρο θα σας μιλήσω για ένα νέο προϊόν από την Entensys, της οποίας είμαστε συνεργάτες σε τρεις τομείς UserGate Proxy & Firewall 6.2.1.

Από την άποψη της διαχείρισης της έκδοσης 6.2 του UserGate Proxy & Firewall 5.2F, η εφαρμογή της οποίας εξασκούμε με επιτυχία στην πρακτική μας στο IT outsourcing, είναι πρακτικά ανύπαρκτη. Θα χρησιμοποιήσουμε το Hyper-V ως εργαστηριακό περιβάλλον, συγκεκριμένα δύο εικονικές μηχανέςπρώτης γενιάς, τμήμα διακομιστή στον Windows Server 2008 R2 SP1, τμήμα πελάτη Windows 7 SP1. Για κάποιον άγνωστο σε εμένα λόγο, η έκδοση 6 του UserGate δεν εγκαθίσταται στον Windows Server 2012 και στον Windows Server 2012 R2.

Λοιπόν, τι είναι ένας διακομιστής μεσολάβησης;

Διακομιστής μεσολάβησης(από τον αγγλικό πληρεξούσιο - "αντιπρόσωπος, εξουσιοδοτημένος") - μια υπηρεσία (σύνολο προγραμμάτων) στο δίκτυα υπολογιστών, επιτρέποντας στους πελάτες να υποβάλλουν έμμεσα αιτήματα σε άλλες υπηρεσίες δικτύου. Αρχικά, ο πελάτης συνδέεται με τον διακομιστή μεσολάβησης και ζητά έναν πόρο (για παράδειγμα, e-mail) που βρίσκεται σε άλλο διακομιστή. Στη συνέχεια, ο διακομιστής μεσολάβησης είτε συνδέεται με τον καθορισμένο διακομιστή και λαμβάνει τον πόρο από αυτόν, είτε επιστρέφει τον πόρο από τη δική του κρυφή μνήμη (σε περιπτώσεις όπου ο διακομιστής μεσολάβησης έχει τη δική του κρυφή μνήμη). Σε ορισμένες περιπτώσεις, το αίτημα πελάτη ή η απάντηση διακομιστή ενδέχεται να τροποποιηθεί από τον διακομιστή μεσολάβησης για συγκεκριμένους σκοπούς. Ένας διακομιστής μεσολάβησης σάς επιτρέπει επίσης να προστατεύετε τον υπολογιστή του πελάτη από ορισμένες επιθέσεις δικτύου και βοηθά στη διατήρηση της ανωνυμίας του πελάτη.

ΤιτέτοιοςUserGate Proxy & Firewall;

UserGate Proxy & Firewallείναι μια ολοκληρωμένη λύση για τη σύνδεση χρηστών στο Διαδίκτυο, παρέχοντας πλήρη καταγραφή κίνησης, έλεγχο πρόσβασης και ενσωματωμένη προστασία δικτύου.

Από τον ορισμό, ας δούμε ποιες λύσεις παρέχει η Entensys στο προϊόν της, πώς υπολογίζεται η επισκεψιμότητα, πώς η πρόσβαση είναι περιορισμένη και ποια εργαλεία προστασίας παρέχει το UserGate Proxy & Firewall.

Από τι αποτελείται;UserGate;

Το UserGate αποτελείται από πολλά μέρη: έναν διακομιστή, μια κονσόλα διαχείρισης και πολλές πρόσθετες ενότητες. Ο διακομιστής είναι το κύριο μέρος του διακομιστή μεσολάβησης, στον οποίο υλοποιείται όλη η λειτουργικότητά του. Ο διακομιστής UserGate παρέχει πρόσβαση στο Διαδίκτυο, μετράει την κίνηση, διατηρεί στατιστικά στοιχεία της δραστηριότητας των χρηστών στο δίκτυο και εκτελεί πολλές άλλες εργασίες.

Το UserGate Administration Console είναι ένα πρόγραμμα που έχει σχεδιαστεί για τη διαχείριση του διακομιστή UserGate. Η κονσόλα διαχείρισης UserGate επικοινωνεί με το τμήμα διακομιστή μέσω ενός ειδικού ασφαλούς πρωτοκόλλου μέσω TCP/IP, το οποίο σας επιτρέπει να εκτελέσετε απομακρυσμένη διαχείριση διακομιστή.

Το UserGate περιλαμβάνει τρεις επιπλέον ενότητες: «Στατιστικά Ιστού», «Πελάτης Εξουσιοδότησης Χρήστη» και «Έλεγχος Εφαρμογών».

Υπηρέτης

Η εγκατάσταση του διακομιστή UserGate είναι πολύ απλή, η μόνη διαφορά είναι η επιλογή της βάσης δεδομένων κατά τη διαδικασία εγκατάστασης. Η πρόσβαση στη βάση δεδομένων πραγματοποιείται απευθείας (για την ενσωματωμένη βάση δεδομένων Firebird) ή μέσω ενός προγράμματος οδήγησης ODBC, το οποίο επιτρέπει στον διακομιστή UserGate να λειτουργεί με βάσεις δεδομένων σχεδόν οποιασδήποτε μορφής (MSAccess, MSSQL, MySQL). Από προεπιλογή, χρησιμοποιείται η βάση δεδομένων Firebird. Εάν αποφασίσετε να ενημερώσετε το UserGate από προηγούμενες εκδόσεις, τότε θα πρέπει να πείτε αντίο στη βάση δεδομένων στατιστικών στοιχείων, επειδή: Για το αρχείο στατιστικών στοιχείων, δεν υποστηρίζεται μόνο η μεταφορά των τρεχόντων υπολοίπων χρηστών. Οι αλλαγές στη βάση δεδομένων προκλήθηκαν από προβλήματα απόδοσης με την παλιά και περιορισμούς στο μέγεθός της. Η νέα βάση δεδομένων Firebird δεν έχει τέτοιες ελλείψεις.

Εκκίνηση της κονσόλας διαχείρισης.

Η κονσόλα είναι εγκατεστημένη στον διακομιστή VM. Κατά την πρώτη εκκίνηση, η κονσόλα διαχείρισης ανοίγει στη σελίδα Συνδέσεις, η οποία περιέχει μία μόνο σύνδεση με τον διακομιστή localhost για τον χρήστη Διαχειριστή. Ο κωδικός σύνδεσης δεν έχει οριστεί. Μπορείτε να συνδέσετε την κονσόλα διαχείρισης στον διακομιστή κάνοντας διπλό κλικ στη γραμμή localhost-administrator ή κάνοντας κλικ στο κουμπί σύνδεσης στον πίνακα ελέγχου. Μπορείτε να δημιουργήσετε πολλές συνδέσεις στην κονσόλα διαχείρισης UserGate.

Οι ρυθμίσεις σύνδεσης καθορίζουν τις ακόλουθες παραμέτρους:

Το όνομα διακομιστή είναι το όνομα της σύνδεσης.
Όνομα χρήστη – συνδεθείτε για να συνδεθείτε στο διακομιστή.
Διεύθυνση διακομιστή – όνομα τομέα ή διεύθυνση IP του διακομιστή UserGate.
Θύρα – Θύρα TCP που χρησιμοποιείται για τη σύνδεση με τον διακομιστή (από προεπιλογή, χρησιμοποιείται η θύρα 2345).
Κωδικός πρόσβασης – κωδικός πρόσβασης για σύνδεση.
Ζητήστε κωδικό πρόσβασης κατά τη σύνδεση – αυτή η επιλογή σας επιτρέπει να εμφανίσετε ένα παράθυρο διαλόγου για την εισαγωγή του ονόματος χρήστη και του κωδικού πρόσβασής σας κατά τη σύνδεση στο διακομιστή.
Αυτόματη σύνδεση σε αυτόν τον διακομιστή – η κονσόλα διαχείρισης θα συνδεθεί αυτόματα σε αυτόν τον διακομιστή όταν εκκινηθεί.

Κατά την πρώτη εκκίνηση του διακομιστή, το σύστημα προσφέρει έναν οδηγό εγκατάστασης, τον οποίο αρνούμαστε. Οι ρυθμίσεις της κονσόλας διαχείρισης αποθηκεύονται στο αρχείο console.xml που βρίσκεται στον κατάλογο %UserGate%\Administrator.

Ρύθμιση συνδέσεων πίσω από το NAT. Παράγραφος "Γενικές ρυθμίσεις NAT"σας επιτρέπει να ορίσετε την τιμή χρονικού ορίου για τις συνδέσεις NAT μέσω πρωτοκόλλων TCP, UDP ή ICMP. Η τιμή χρονικού ορίου καθορίζει τη διάρκεια ζωής μιας σύνδεσης χρήστη μέσω NAT όταν ολοκληρωθεί η μετάδοση δεδομένων μέσω της σύνδεσης. Ας αφήσουμε αυτήν τη ρύθμιση ως προεπιλογή.

Ανιχνευτής επίθεσηςείναι μια ειδική επιλογή που σας επιτρέπει να ενεργοποιήσετε τον εσωτερικό μηχανισμό για την παρακολούθηση και τον αποκλεισμό του σαρωτή θύρας ή απόπειρες κατάληψης όλων των θυρών διακομιστή.

Αποκλεισμός ανά γραμμή προγράμματος περιήγησης– μια λίστα με τα προγράμματα περιήγησης του User-Agent που μπορούν να αποκλειστούν από τον διακομιστή μεσολάβησης. Εκείνοι. Μπορείτε, για παράδειγμα, να αποτρέψετε παλαιότερα προγράμματα περιήγησης όπως ο IE 6.0 ή ο Firefox 3.x από την πρόσβαση στο Διαδίκτυο.

Διεπαφές

Η ενότητα Διεπαφές είναι η κύρια στις ρυθμίσεις διακομιστή UserGate, καθώς καθορίζει θέματα όπως η ορθότητα της καταμέτρησης της κυκλοφορίας, η δυνατότητα δημιουργίας κανόνων για το τείχος προστασίας, περιορισμοί στο πλάτος του καναλιού Διαδικτύου για κίνηση συγκεκριμένου τύπου, δημιουργία σχέσεων μεταξύ δικτύων και η σειρά με την οποία τα πακέτα επεξεργάζονται από το πρόγραμμα οδήγησης NAT. Στην καρτέλα "Interfaces", επιλέξτε τον επιθυμητό τύπο για τις διεπαφές. Έτσι, για έναν προσαρμογέα συνδεδεμένο στο Διαδίκτυο, θα πρέπει να επιλέξετε τον τύπο WAN, για έναν προσαρμογέα συνδεδεμένο σε τοπικό δίκτυο - τον τύπο LAN. Η πρόσβαση στο Διαδίκτυο για το VM είναι κοινόχρηστη, αντίστοιχα, η διεπαφή με τη διεύθυνση 192.168.137.118 θα είναι ένας προσαρμογέας WAN, επιλέξτε τον επιθυμητό τύπο και κάντε κλικ στο "Εφαρμογή". Στη συνέχεια κάνουμε επανεκκίνηση του διακομιστή.

Χρήστες και ομάδες

Πρόσβαση στο Διαδίκτυο παρέχεται μόνο σε χρήστες που έχουν ολοκληρώσει επιτυχώς την εξουσιοδότηση στον διακομιστή UserGate. Το πρόγραμμα υποστηρίζει τις ακόλουθες μεθόδους εξουσιοδότησης χρήστη:

Με διεύθυνση IP
Ανά εύρος IP
Με διεύθυνση IP+MAC
Με διεύθυνση MAC
Εξουσιοδότηση με χρήση HTTP (HTTP-basic, NTLM)
Εξουσιοδότηση μέσω σύνδεσης και κωδικού πρόσβασης (Authorization Client)
Απλοποιημένη επιλογή εξουσιοδότησης μέσω της υπηρεσίας καταλόγου Active Directory

Για να χρησιμοποιήσετε τις τρεις τελευταίες μεθόδους εξουσιοδότησης, πρέπει να εγκαταστήσετε μια ειδική εφαρμογή στο σταθμό εργασίας του χρήστη - τον πελάτη εξουσιοδότησης UserGate. Το αντίστοιχο πακέτο MSI (AuthClientInstall.msi) βρίσκεται στον κατάλογο %UserGate%\tools και μπορεί να χρησιμοποιηθεί για αυτόματη εγκατάσταση χρησιμοποιώντας Πολιτική ομάδας στην υπηρεσία καταλόγου Active Directory.

Για χρήστες τερματικού, παρέχεται μόνο η επιλογή «Εξουσιοδότηση μέσω HTTP». Η αντίστοιχη επιλογή είναι ενεργοποιημένη στο στοιχείο Γενικές ρυθμίσεις στην κονσόλα διαχείρισης.

Μπορείτε να δημιουργήσετε έναν νέο χρήστη μέσω του στοιχείου Προσθήκη νέου χρήστηή κάνοντας κλικ στο κουμπί Προσθήκηστον πίνακα ελέγχου στη σελίδα Χρήστες και ομάδες.

Υπάρχει ένας άλλος τρόπος για να προσθέσετε χρήστες - σάρωση του δικτύου με αιτήματα ARP. Πρέπει να κάνετε κλικ σε έναν κενό χώρο στην κονσόλα διαχειριστή στη σελίδα χρήστεςκαι επιλέξτε αντικείμενο σάρωση τοπικού δικτύου. Στη συνέχεια, ορίστε τις παραμέτρους του τοπικού δικτύου και περιμένετε τα αποτελέσματα σάρωσης. Ως αποτέλεσμα, θα δείτε μια λίστα χρηστών που μπορούν να προστεθούν στο UserGate. Λοιπόν, ας ελέγξουμε, κάντε κλικ στο "Σάρωση τοπικού δικτύου"

Ορίστε τις παραμέτρους:

Εργα!

Προσθήκη χρήστη

Αξίζει να υπενθυμίσουμε ότι το UserGate έχει προτεραιότητα ελέγχου ταυτότητας, πρώτα φυσική και μετά λογική. Αυτή η μέθοδοςδεν είναι αξιόπιστο, γιατί ο χρήστης μπορεί να αλλάξει τη διεύθυνση IP. Αυτό που μας ταιριάζει είναι η εισαγωγή λογαριασμών Active Directory, τους οποίους μπορούμε να εισάγουμε εύκολα κάνοντας κλικ στο κουμπί «Εισαγωγή», μετά «Επιλογή» και στο όνομα του λογαριασμού μας, «Οκ», «Οκ».

Επιλέξτε "Ομάδα", αφήστε την προεπιλεγμένη "προεπιλογή"

Κάντε κλικ στο "Ok" και αποθηκεύστε τις αλλαγές.

Ο χρήστης μας προστέθηκε χωρίς κανένα πρόβλημα. Είναι επίσης δυνατός ο συγχρονισμός ομάδων AD στην καρτέλα "Ομάδες".

Ρύθμιση υπηρεσιών διακομιστή μεσολάβησης στο UserGate

Οι ακόλουθοι διακομιστές μεσολάβησης είναι ενσωματωμένοι στον διακομιστή UserGate: HTTP (με υποστήριξη για τη λειτουργία "FTP μέσω HTTP" και HTTPS - Μέθοδος σύνδεσης), FTP, SOCKS4, SOCKS5, POP3 και SMTP, SIP και H323. Οι ρυθμίσεις διακομιστή μεσολάβησης είναι διαθέσιμες στην ενότητα Υπηρεσίες → Ρυθμίσεις διακομιστή μεσολάβησης στην κονσόλα διαχείρισης. Οι κύριες ρυθμίσεις του διακομιστή μεσολάβησης περιλαμβάνουν: τη διεπαφή και τον αριθμό θύρας στην οποία λειτουργεί ο διακομιστής μεσολάβησης. Έτσι, για παράδειγμα, ας ενεργοποιήσουμε έναν διαφανή διακομιστή μεσολάβησης HTTP στη διεπαφή LAN μας. Ας πάμε στις «Ρυθμίσεις διακομιστή μεσολάβησης» και επιλέξτε HTTP.

Ας επιλέξουμε τη διεπαφή μας, αφήστε τα πάντα ως προεπιλογή και κάντε κλικ στο "OK"

Χρήση διαφανούς λειτουργίας

Η λειτουργία "Transparent Mode" στις ρυθμίσεις διακομιστή μεσολάβησης είναι διαθέσιμη εάν ο διακομιστής UserGate είναι εγκατεστημένος μαζί με το πρόγραμμα οδήγησης NAT. Σε διαφανή λειτουργία, το πρόγραμμα οδήγησης NAT UserGate ακούει τυπικές θύρες για υπηρεσίες: 80 TCP για HTTP, 21 TCP για FTP, 110 και 25 TCP για POP3 και SMTP στις διεπαφές δικτύου του υπολογιστή με το UserGate. Εάν υπάρχουν αιτήματα, τα μεταφέρει στον κατάλληλο διακομιστή μεσολάβησης UserGate. Όταν χρησιμοποιείτε διαφανή λειτουργία σε εφαρμογές δικτύου, οι χρήστες δεν χρειάζεται να καθορίσουν τη διεύθυνση και τη θύρα του διακομιστή μεσολάβησης, γεγονός που μειώνει σημαντικά το έργο του διαχειριστή όσον αφορά την παροχή πρόσβασης τοπικού δικτύου στο Διαδίκτυο. Ωστόσο, στις ρυθμίσεις δικτύου των σταθμών εργασίας, ο διακομιστής UserGate πρέπει να καθοριστεί ως πύλη και η διεύθυνση διακομιστή DNS πρέπει να καθοριστεί.

Διακομιστές μεσολάβησης αλληλογραφίας στο UserGate

Οι διακομιστές μεσολάβησης αλληλογραφίας στο UserGate έχουν σχεδιαστεί για να λειτουργούν με τα πρωτόκολλα POP3 και SMTP και για σάρωση κατά των ιών της κυκλοφορίας αλληλογραφίας. Όταν χρησιμοποιείτε τη διαφανή λειτουργία του POP3 και του διακομιστή μεσολάβησης SMTP, οι ρυθμίσεις του προγράμματος-πελάτη αλληλογραφίας στο σταθμό εργασίας του χρήστη δεν διαφέρουν από τις ρυθμίσεις που αντιστοιχούν στην επιλογή με άμεση πρόσβαση στο Διαδίκτυο.

Εάν ο διακομιστής μεσολάβησης UserGate POP3 χρησιμοποιείται σε αδιαφανή λειτουργία, τότε στις ρυθμίσεις του προγράμματος-πελάτη αλληλογραφίας στο σταθμό εργασίας του χρήστη, η διεύθυνση IP του υπολογιστή με το UserGate και η θύρα που αντιστοιχεί στον διακομιστή μεσολάβησης UserGate POP3 πρέπει να καθοριστούν ως διεύθυνση διακομιστή POP3. Επιπλέον, η σύνδεση για εξουσιοδότηση στον απομακρυσμένο διακομιστή POP3 καθορίζεται στην ακόλουθη μορφή: email_address@POP3_server_address. Για παράδειγμα, εάν ο χρήστης έχει γραμματοκιβώτιο [email προστατευμένο], τότε ως Σύνδεση για τον διακομιστή μεσολάβησης UserGate POP3 στο πρόγραμμα-πελάτη αλληλογραφίας θα πρέπει να καθορίσετε: [email προστατευμένο]@pop.mail123.com. Αυτή η μορφή είναι απαραίτητη ώστε ο διακομιστής UserGate να μπορεί να προσδιορίσει τη διεύθυνση του απομακρυσμένου διακομιστή POP3.

Εάν ο διακομιστής μεσολάβησης UserGate SMTP χρησιμοποιείται σε αδιαφανή λειτουργία, τότε στις ρυθμίσεις διακομιστή μεσολάβησης πρέπει να καθορίσετε τη διεύθυνση IP και τη θύρα του διακομιστή SMTP που θα χρησιμοποιεί το UserGate για την αποστολή επιστολών. Σε αυτήν την περίπτωση, στις ρυθμίσεις του προγράμματος-πελάτη αλληλογραφίας στο σταθμό εργασίας του χρήστη, η διεύθυνση IP του διακομιστή UserGate και η θύρα που αντιστοιχεί στον διακομιστή μεσολάβησης UserGate SMTP πρέπει να καθοριστούν ως διεύθυνση διακομιστή SMTP. Εάν απαιτείται εξουσιοδότηση για την αποστολή, τότε στις ρυθμίσεις του προγράμματος-πελάτη αλληλογραφίας πρέπει να καθορίσετε τη σύνδεση και τον κωδικό πρόσβασης που αντιστοιχούν στον διακομιστή SMTP, ο οποίος καθορίζεται στις ρυθμίσεις διακομιστή μεσολάβησης SMTP στο UserGate.

Λοιπόν, αυτό ακούγεται ωραίο, ας το ελέγξουμε χρησιμοποιώντας το mail.ru.

Πρώτα απ 'όλα, ας ενεργοποιήσουμε τους διακομιστή μεσολάβησης POP3 και SMTP στον διακομιστή μας. Κατά την ενεργοποίηση του POP3, θα καθορίσουμε τη διεπαφή LAN ως τυπική θύρα 110.

Επίσης, βεβαιωθείτε ότι δεν υπάρχει σημάδι επιλογής για "Διαφανής διακομιστής μεσολάβησης" και κάντε κλικ στο "Ok" και "Εφαρμογή"

Καταργήστε την επιλογή "Διαφανής λειτουργία" και γράψτε "Επιλογές" απομακρυσμένος διακομιστής», στην περίπτωσή μας smtp.mail.ru. Γιατί υποδεικνύεται μόνο ένας διακομιστής; Και εδώ είναι η απάντηση: υποτίθεται ότι ο οργανισμός χρησιμοποιεί έναν μόνο διακομιστή smtp και είναι αυτός ο διακομιστής που υποδεικνύεται στις ρυθμίσεις διακομιστή μεσολάβησης SMTP.

Ο πρώτος κανόνας για το POP3 θα πρέπει να μοιάζει με αυτό.

Δεύτερον, όπως θα έλεγε ο Alexander Nevsky "Σαν αυτό"

Μην ξεχάσετε το κουμπί "Εφαρμογή" και προχωρήστε στη ρύθμιση του προγράμματος-πελάτη. Όπως θυμόμαστε, «Εάν ο διακομιστής μεσολάβησης UserGate POP3 χρησιμοποιείται σε αδιαφανή λειτουργία, τότε στις ρυθμίσεις του προγράμματος-πελάτη αλληλογραφίας στο σταθμό εργασίας του χρήστη, η διεύθυνση IP του υπολογιστή με το UserGate και η θύρα που αντιστοιχεί στον διακομιστή μεσολάβησης UserGate POP3 πρέπει να καθοριστούν ως τη διεύθυνση διακομιστή POP3. Επιπλέον, η σύνδεση για εξουσιοδότηση στον απομακρυσμένο διακομιστή POP3 καθορίζεται στην ακόλουθη μορφή: email_address@POP3_server_address." Ας δράσουμε.

Πρώτα, συνδεθείτε στο πρόγραμμα-πελάτη εξουσιοδότησης και, στη συνέχεια, ανοίξτε το κανονικό Outlook στο παράδειγμά μας, δημιούργησα ένα δοκιμαστικό γραμματοκιβώτιο [email προστατευμένο], και διαμορφώστε το καθορίζοντας το γραμματοκιβώτιό μας σε μορφή κατανοητή για το UserGate [email προστατευμένο]@pop.mail.ru, καθώς και οι διακομιστές POP και SMTP, η διεύθυνσή μας μεσολάβησης.

Κάντε κλικ στην "Επαλήθευση λογαριασμού..."

Ανάθεση λιμένα

Το UserGate υποστηρίζει τη λειτουργία Port Forwarding. Εάν υπάρχουν κανόνες εκχώρησης θύρας, ο διακομιστής UserGate ανακατευθύνει αιτήματα χρήστη που φτάνουν σε μια συγκεκριμένη θύρα μιας δεδομένης διεπαφής δικτύου ενός υπολογιστή με UserGate σε άλλη καθορισμένη διεύθυνση και θύρα, για παράδειγμα, σε άλλον υπολογιστή στο τοπικό δίκτυο. Η λειτουργία Port Forwarding είναι διαθέσιμη για πρωτόκολλα TCP και UDP.

Εάν η εκχώρηση θύρας χρησιμοποιείται για την παροχή πρόσβασης από το Διαδίκτυο σε έναν εσωτερικό πόρο της εταιρείας, πρέπει να επιλέξετε Καθορισμένος χρήστης ως παράμετρος Εξουσιοδότηση, διαφορετικά η προώθηση θύρας δεν θα λειτουργήσει. Μην ξεχάσετε να ενεργοποιήσετε την Απομακρυσμένη επιφάνεια εργασίας.

Ρύθμιση προσωρινής μνήμης

Ένας από τους σκοπούς ενός διακομιστή μεσολάβησης είναι η προσωρινή αποθήκευση πόρων δικτύου. Η προσωρινή αποθήκευση μειώνει το φόρτο στη σύνδεσή σας στο Διαδίκτυο και επιταχύνει την πρόσβαση σε πόρους που επισκέπτεστε συχνά. Ο διακομιστής μεσολάβησης UserGate αποθηκεύει προσωρινά την κίνηση HTTP και FTP. Τα αποθηκευμένα έγγραφα τοποθετούνται τοπικό φάκελο%UserGate_data%\Cache. Οι ρυθμίσεις της κρυφής μνήμης υποδεικνύουν το μέγιστο μέγεθος της κρυφής μνήμης και τον χρόνο αποθήκευσης για τα αποθηκευμένα έγγραφα.

Σάρωση κατά των ιών

Τρεις μονάδες προστασίας από ιούς είναι ενσωματωμένες στον διακομιστή UserGate: Kaspersky Lab antivirus, Panda Security και Avira. Όλες οι μονάδες προστασίας από ιούς έχουν σχεδιαστεί για να σαρώνουν την εισερχόμενη κίνηση μέσω διακομιστών μεσολάβησης αλληλογραφίας HTTP, FTP και UserGate, καθώς και την εξερχόμενη κίνηση μέσω διακομιστών μεσολάβησης SMTP.

Οι ρυθμίσεις της μονάδας προστασίας από ιούς είναι διαθέσιμες στην ενότητα Υπηρεσίες → Anti-virus της κονσόλας διαχείρισης. Για κάθε πρόγραμμα προστασίας από ιούς, μπορείτε να καθορίσετε ποια πρωτόκολλα θα πρέπει να σαρώσει, να ορίσετε τη συχνότητα ενημέρωσης βάσεων δεδομένων προστασίας από ιούς και επίσης να καθορίσετε διευθύνσεις URL που δεν χρειάζεται να σαρωθούν (επιλογή φίλτρου URL). Επιπλέον, στις ρυθμίσεις μπορείτε να καθορίσετε μια ομάδα χρηστών των οποίων η κυκλοφορία δεν χρειάζεται να υποβάλλεται σε σάρωση προστασίας από ιούς.

Πριν ενεργοποιήσετε το πρόγραμμα προστασίας από ιούς, πρέπει πρώτα να ενημερώσετε τη βάση δεδομένων του.

Μετά τις παραπάνω λειτουργίες, ας προχωρήσουμε στις πιο συχνά χρησιμοποιούμενες, αυτές είναι η «Διαχείριση κυκλοφορίας» και ο «Έλεγχος εφαρμογών».

Σύστημα κανόνων κυκλοφορίας

Ο διακομιστής UserGate παρέχει τη δυνατότητα ελέγχου της πρόσβασης των χρηστών στο Διαδίκτυο χρησιμοποιώντας κανόνες διαχείρισης κίνησης. Οι κανόνες ελέγχου κυκλοφορίας έχουν σχεδιαστεί για να απαγορεύουν την πρόσβαση σε ορισμένους πόρους δικτύου, να ορίζουν περιορισμούς στην κατανάλωση κίνησης, να δημιουργούν ένα πρόγραμμα για τους χρήστες στο Διαδίκτυο και επίσης να παρακολουθούν την κατάσταση των λογαριασμών χρηστών.

Στο παράδειγμά μας, θα περιορίσουμε την πρόσβαση σε έναν χρήστη που έχει αναφορές στο vk.com στο αίτημά του. Για να το κάνετε αυτό, μεταβείτε στο "Διαχείριση κυκλοφορίας - Κανόνες"

Δώστε στον κανόνα ένα όνομα και στην ενέργεια "Κλείσιμο σύνδεσης"

Αφού προσθέσετε τον ιστότοπο, προχωρήστε στην επόμενη παράμετρο, επιλέγοντας μια ομάδα ή χρήστη, ο κανόνας μπορεί να οριστεί τόσο για τον χρήστη όσο και για την ομάδα, στην περίπτωσή μας τον χρήστη "Χρήστης".

Έλεγχος Εφαρμογών

Η πολιτική ελέγχου πρόσβασης στο Διαδίκτυο έλαβε μια λογική συνέχεια με τη μορφή της ενότητας Τείχος προστασίας εφαρμογών. Ο διαχειριστής του UserGate μπορεί να επιτρέψει ή να αρνηθεί την πρόσβαση στο Διαδίκτυο όχι μόνο για χρήστες, αλλά και για εφαρμογές δικτύου στο σταθμό εργασίας του χρήστη. Για να το κάνετε αυτό, πρέπει να εγκαταστήσετε μια ειδική εφαρμογή App.FirewallService σε σταθμούς εργασίας χρήστη. Η εγκατάσταση της συσκευασίας είναι δυνατή είτε μέσω εκτελέσιμο αρχείο, και μέσω του αντίστοιχου πακέτου MSI (AuthFwInstall.msi), που βρίσκεται στον κατάλογο %Usergate%\tools.

Ας πάμε στην ενότητα "Έλεγχος εφαρμογής - Κανόνες" και ας δημιουργήσουμε έναν κανόνα απαγόρευσης, για παράδειγμα, για να απαγορεύσουμε την εκκίνηση του IE. Κάντε κλικ στην προσθήκη μιας ομάδας, δώστε της ένα όνομα και ορίστε έναν κανόνα για την ομάδα.

Επιλέγουμε την ομάδα κανόνων που δημιουργήσαμε, μπορούμε να ελέγξουμε το πλαίσιο ελέγχου "Προεπιλεγμένος κανόνας", σε αυτήν την περίπτωση οι κανόνες θα προστεθούν στην ομάδα "Προεπιλεγμένοι_Κανόνες"

Εφαρμογή κανόνα σε έναν χρήστη στις ιδιότητες χρήστη

Τώρα εγκαθιστούμε το Auth.Client και το App.Firewall στο σταθμό πελάτη μετά την εγκατάσταση, ο IE θα πρέπει να αποκλειστεί από τους κανόνες που δημιουργήθηκαν νωρίτερα.

Όπως μπορούμε να δούμε, ο κανόνας λειτούργησε, τώρα ας απενεργοποιήσουμε τους κανόνες για τον χρήστη για να δει πώς λειτουργεί ο κανόνας για τον ιστότοπο vk.com. Αφού απενεργοποιήσετε τον κανόνα στον διακομιστή usergate, πρέπει να περιμένετε 10 λεπτά (χρόνος συγχρονισμού με τον διακομιστή). Ας προσπαθήσουμε να αποκτήσουμε πρόσβαση στον άμεσο σύνδεσμο

Ας προσπαθήσουμε μηχανή αναζήτησης google.com

Όπως μπορείτε να δείτε, οι κανόνες λειτουργούν χωρίς κανένα πρόβλημα.

Έτσι, αυτό το άρθρο καλύπτει μόνο ένα μικρό μέρος των λειτουργιών. Οι πιθανές ρυθμίσεις για το τείχος προστασίας, οι κανόνες δρομολόγησης και οι κανόνες NAT παραλείπονται. Το UserGate Proxy & Firewall παρέχει μια μεγάλη ποικιλία λύσεων, ακόμη και λίγο περισσότερες. Το προϊόν είχε πολύ καλή απόδοση και, το πιο σημαντικό, ήταν εύκολο στη ρύθμιση. Θα συνεχίσουμε να το χρησιμοποιούμε για την εξυπηρέτηση των υποδομών πληροφορικής των πελατών για την επίλυση τυπικών προβλημάτων!

Επί του παρόντος, καμία εταιρεία δεν μπορεί να κάνει τη δουλειά της χωρίς το Διαδίκτυο. Το παγκόσμιο δίκτυο χρησιμοποιείται ενεργά στις επιχειρηματικές διαδικασίες για την επίλυση ενός ευρέος φάσματος εργασιών πληροφόρησης, επικοινωνίας και μάρκετινγκ. Αλλά ταυτόχρονα, είναι επίσης μια πιθανή απειλή για την ασφάλεια των πληροφοριών. Η επισκεψιμότητα μέσω ηλεκτρονικού ταχυδρομείου και ιστού χρησιμοποιείται συχνά από εισβολείς για τη διάδοση πληροφοριών σχετικά με κακόβουλο λογισμικό, μηνύματα ηλεκτρονικού ψαρέματος κ.λπ.

Ένας άλλος πιθανός κίνδυνος του Διαδικτύου είναι η κακή χρήση του από τους εργαζόμενους κατά τις ώρες εργασίας. Οι υπάλληλοι της εταιρείας, αντί να εκτελούν τα επίσημα καθήκοντά τους, μπορούν να αφιερώνουν χρόνο στην επικοινωνία στα κοινωνικά δίκτυα, στην περιήγηση σε διάφορους ιστότοπους ψυχαγωγίας, στη λήψη ταινιών, μουσικής, λογισμικού χωρίς άδεια, κ.λπ. Αυτό αυξάνει το άμεσο και έμμεσο κόστος της εταιρείας, μειώνει την παραγωγικότητα των υπαλλήλων γραφείου , και αποτελεί άμεση απειλή για την ασφάλεια των πληροφοριών (όταν επισκέπτεστε ορισμένες κατηγορίες ανεπιθύμητων τοποθεσιών, ο κίνδυνος μόλυνσης του υπολογιστή σας αυξάνεται αισθητά).

Ως εκ τούτου, στις σύγχρονες συνθήκες, το πρόβλημα της σύνδεσης ενός εταιρικού δικτύου στο Διαδίκτυο πρέπει να επιλυθεί λαμβάνοντας υπόψη όλες τις απαιτήσεις ασφαλείας και την παρακολούθηση των ενεργειών των εργαζομένων. Το προϊόν UserGate Proxy & Firewall παρέχει λύση στα προβλήματα που αναφέρονται. Εμφανίστηκε για πρώτη φορά στην αγορά πριν από περίπου 10 χρόνια και ήταν ένας αρκετά απλός, αλλά αξιόπιστος και εύχρηστος διακομιστής μεσολάβησης. Αυτό είναι που του χάρισε τη δημοτικότητά του στη Ρωσία και τις γειτονικές χώρες.

Επί του παρόντος, οι προγραμματιστές συνεχίζουν να βελτιώνουν το πνευματικό τους τέκνο και έχουν επεκτείνει σημαντικά το λειτουργικό περιεχόμενο του προϊόντος, λαμβάνοντας υπόψη τις πραγματικότητες στον τομέα της ασφάλειας πληροφοριών. Όχι μόνο σημαντικές (περίπου μία φορά κάθε 2-3 χρόνια), αλλά και δευτερεύουσες (2-4 μεταξύ των μεγάλων) εκδόσεις του UserGate Proxy & Firewall κυκλοφορούν αρκετά τακτικά, σε καθεμία από τις οποίες επεκτείνονται οι δυνατότητες του διακομιστή μεσολάβησης. Σήμερα είναι ένα ολοκληρωμένο προϊόν που μπορεί να χρησιμοποιηθεί για την επίλυση ολόκληρου του φάσματος προβλημάτων που σχετίζονται με την κοινή χρήση του Διαδικτύου.

Σύνθεση UserGate Proxy & Firewall

Η βάση της λύσης UserGate Proxy & Firewall είναι ο διακομιστής UserGate. Εγκαθίσταται απευθείας σε μια εταιρική πύλη Διαδικτύου και υλοποιεί παγκόσμια κοινή χρήση δικτύου, συντήρηση στατιστικών στοιχείων, καταμέτρηση κίνησης κ.λπ.

Η διαχείριση του συστήματος πρόσβασης γίνεται με χρήση της κονσόλας διαχείρισης. Αυτή είναι μια ξεχωριστή εφαρμογή που συνδέεται με τον διακομιστή μέσω ενός ειδικού πρωτοκόλλου μέσω TCP/IP (χρησιμοποιείται ιδιόκτητο πρωτόκολλο, η μετάδοση προστατεύεται χρησιμοποιώντας τεχνολογία Open SSL με μήκος κλειδιού 1024 bit), η οποία σας επιτρέπει να τη χρησιμοποιείτε όχι μόνο τοπικά, αλλά και εξ αποστάσεως. Έτσι, ο διαχειριστής του συστήματος έχει τη δυνατότητα να διαχειρίζεται το UserGate Proxy & Firewall απευθείας από τον χώρο εργασίας του, χωρίς να χρειάζεται φυσική πρόσβαση στην πύλη Internet.

Επιπλέον, το UserGate Proxy & Firewall υλοποιεί έναν αριθμό πρόσθετων λειτουργικών μονάδων για την επίλυση διαφόρων συγκεκριμένων προβλημάτων.

Στατιστικά UserGate. Μια ξεχωριστή εφαρμογή που είναι εγκατεστημένη στον υπολογιστή των υπευθύνων υπαλλήλων και τους επιτρέπει να βλέπουν στατιστικά στοιχεία χρήσης του Διαδικτύου.
Στατιστικά Ιστού. Η ενότητα για την προβολή στατιστικών έχει αφαιρεθεί μέσω ενός προγράμματος περιήγησης ιστού. Εάν είναι απαραίτητο, μπορεί να προσπελαστεί όχι μόνο από το τοπικό δίκτυο, αλλά και από το Διαδίκτυο.
Εξερεύνηση προσωρινής μνήμης. Μια ξεχωριστή εφαρμογή για την προβολή περιεχομένων της προσωρινής μνήμης που έχουν αποθηκευτεί από το UserGate Proxy & Firewall.
Πελάτης εξουσιοδότησης UserGate. Μια ξεχωριστή εφαρμογή που είναι εγκατεστημένη σε υπολογιστές τελικού χρήστη και παρέχει τη δυνατότητα χρήσης "προηγμένων" μεθόδων εξουσιοδότησης - χρησιμοποιώντας Active Directory, σύνδεση στα Windows κ.λπ.
Έλεγχος Εφαρμογών. Μια ξεχωριστή εφαρμογή εγκατεστημένη σε σταθμούς εργασίας. Σας επιτρέπει να περιορίσετε τη λίστα των προγραμμάτων που επιτρέπεται να έχουν πρόσβαση στο Διαδίκτυο.

Απαιτήσεις συστήματος

Οι απαιτήσεις συστήματος που επιβάλλονται από τον διακομιστή μεσολάβησης στον υπολογιστή περιγράφονται στον πίνακα.

	Ελάχιστες απαιτήσεις	Προτεινόμενη διαμόρφωση
ΕΠΕΞΕΡΓΑΣΤΗΣ	1 GHz	1-2 GHz ανάλογα με τον αριθμό των χρηστών
ΕΜΒΟΛΟ	512 MB	512 MB – 1 GB ανάλογα με τον αριθμό των χρηστών
λειτουργικό σύστημα	Windows 2000/XP/2003/2008/7/2008 R2 (υποστηρίζεται λειτουργικό σύστημα 32 και 64 bit)
σύνδεση στο Internet	Το είδος και η χωρητικότητα καθορίζονται σε κάθε συγκεκριμένη περίπτωση, με βάση τις ανάγκες

Χαρακτηριστικά του UserGate Proxy & Firewall

Το προϊόν UserGate Proxy & Firewall έχει ένα ευρύ φάσμα δυνατοτήτων για τη διασφάλιση της συνεργασίας στο Διαδίκτυο, την προστασία των εταιρικών σύστημα πληροφορίωναπό εξωτερικές απειλές, παρακολούθηση της χρήσης του παγκόσμιου δικτύου από τους χρήστες.

Οργάνωση διαδικτυακής συνεργασίας

Το UserGate Proxy & Firewall σάς επιτρέπει να οργανώσετε τη συνεργασία στο Διαδίκτυο για μεγάλο αριθμό χρηστών. Για να γίνει αυτό, υλοποιεί έναν αριθμό διακομιστών μεσολάβησης (για πρωτόκολλα HTTP, FTP, POP3, SMTP, SOCKS4, SOCKS5, SIP και H323), το δικό του πρόγραμμα οδήγησης NAT και ένα σύστημα προώθησης DNS.

Διαφανής λειτουργία διακομιστή μεσολάβησης

Οι διακομιστές μεσολάβησης στο UserGate Proxy & Firewall μπορούν να λειτουργούν σε διαφανή λειτουργία. Σε αυτή την περίπτωση δεν απαιτείται πρόσθετη ρύθμιση λογισμικόαπό την πλευρά του πελάτη. Για την εφαρμογή του χρησιμοποιείται η τεχνολογία NAT.

Υποστήριξη πολλών παρόχων

Το εν λόγω πρόγραμμα μπορεί να λειτουργήσει με πολλές διεπαφές δικτύου που συνδέονται με διαφορετικούς παρόχους. Αυτό σας επιτρέπει να εφαρμόσετε λειτουργίες όπως η ανακατεύθυνση της κυκλοφορίας από διαφορετικές ομάδες χρηστών σε διαφορετικά κανάλια Διαδικτύου, καθώς και η κράτηση πρόσβασης στο Διαδίκτυο.

ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣΔιευθυντής

Το UserGate Proxy & Firewall υλοποιεί τη λειτουργική μονάδα Traffic Manager, σχεδιασμένη για ευέλικτο έλεγχο του πλάτους του καναλιού Διαδικτύου. Με τη βοήθειά του, μπορείτε να καθορίσετε την προτεραιότητα διαφόρων τύπων κίνησης, να περιορίσετε τον ρυθμό μεταφοράς δεδομένων για ορισμένα πρωτόκολλα κ.λπ.

Προσωρινή αποθήκευση

Το εν λόγω πρόγραμμα εφαρμόζει ένα σύστημα προσωρινής αποθήκευσης. Αποθηκεύει αρχεία που έχουν λάβει οι χρήστες στον σκληρό δίσκο της πύλης Internet και, μετά την επακόλουθη πρόσβαση σε αυτά, δεν τα κατεβάζει ξανά από τον απομακρυσμένο διακομιστή. Αυτό σας επιτρέπει να μειώσετε το φόρτο στο κανάλι Διαδικτύου και την κατανάλωση κυκλοφορίας γενικότερα.

Υποστήριξη IP τηλεφωνίας

Ένα ενδιαφέρον χαρακτηριστικό του UserGate Proxy & Firewall είναι η υποστήριξή του για IP τηλεφωνία. Εκτός από τους διακομιστές μεσολάβησης SIP και H323, υλοποιεί λειτουργίες όπως SIP Registrar (στην πραγματικότητα, διακομιστές τηλεφωνίας IP) και H323 GateKeeper.

Το UserGate Proxy & Firewall εφαρμόζει οκτώ μεθόδους εξουσιοδότησης χρήστη. Για παράδειγμα, κατά διεύθυνση IP, κατά MAC κάρτα δικτύου, καθώς και μέσω της υπηρεσίας καταλόγου Active Directory, των στοιχείων σύνδεσης και των κωδικών πρόσβασης που καθορίζονται από τον διαχειριστή, των λογαριασμών Windows.

Περιορισμός κυκλοφορίας και ταχύτητας πρόσβασης

Ο εν λόγω διακομιστής μεσολάβησης σάς επιτρέπει να ορίσετε κανόνες που περιορίζουν τη χρήση του Διαδικτύου. Συγκεκριμένα, μπορείτε να καθορίσετε το ημερήσιο, εβδομαδιαίο ή μηνιαίο όριο της καταναλωμένης κίνησης, τη μέγιστη ταχύτητα μεταφοράς δεδομένων, τα επιτρεπόμενα πρωτόκολλα για χρήση κ.λπ. Οι κανόνες μπορούν να δεσμευτούν τόσο για μεμονωμένους χρήστες όσο και για ολόκληρες ομάδες τους.

Σύστημα χρέωσης

Το UserGate Proxy & Firewall εφαρμόζει το δικό του σύστημα χρέωσης, το οποίο μπορεί να χρησιμοποιηθεί για τον υπολογισμό του κόστους χρήσης του Διαδικτύου. Τα τιμολόγια μπορούν να οριστούν είτε προσωρινά είτε με βάση την κίνηση που καταναλώνεται. Ταυτόχρονα, είναι δυνατή η ευέλικτη διαμόρφωση τους και η αυτόματη εναλλαγή από το ένα στο άλλο ανάλογα με την ώρα της ημέρας ή την κατηγορία του ιστότοπου που προβάλλεται.

Έλεγχος Εφαρμογών

Το UserGate Proxy & Firewall σάς επιτρέπει να περιορίσετε τη λίστα των εφαρμογών που επιτρέπεται να έχουν πρόσβαση στο Διαδίκτυο. Αυτό μας επιτρέπει να λύσουμε το πρόβλημα της ομοιομορφίας στη χρήση λογισμικού σε ένα τοπικό δίκτυο. Επιπλέον, αυτή η ενότητα μπορεί να χρησιμεύσει ως μέσο πρόσθετης προστασίας από κακόβουλο λογισμικό. Ακόμα κι αν είναι ενεργά στον υπολογιστή, το κανάλι Διαδικτύου δεν θα είναι διαθέσιμο σε αυτούς.

Ο εν λόγω διακομιστής μεσολάβησης σάς επιτρέπει να περιορίσετε την πρόσβαση σε ανεπιθύμητους ιστότοπους ανά κατηγορία. Για το σκοπό αυτό χρησιμοποιείται η τεχνολογία cloud Entensys URL Filtering. Βασίζεται σε μια ειδική βάση δεδομένων ιστοτόπων, χωρισμένη σε 82 κατηγορίες. Είναι μέσω αυτών που η πρόσβαση μπορεί να περιοριστεί. Η βάση δεδομένων περιέχει περισσότερα από 500 εκατομμύρια διαδικτυακά έργα και ενημερώνεται και επεξεργάζεται συνεχώς από προγραμματιστές. Αξίζει να σημειωθεί ότι η χρήση του φιλτραρίσματος κατηγορίας απαιτεί την αγορά πρόσθετης άδειας χρήσης.

Έλεγχος Εφαρμογών

Το UserGate Proxy & Firewall εφαρμόζει ένα σύστημα φιλτραρίσματος κυκλοφορίας που βασίζεται στις εφαρμογές που το δημιουργούν. Αυτό σας επιτρέπει να επιτρέψετε σε ένα λογισμικό να έχει πρόσβαση στο Διαδίκτυο και να αποκλείσετε τη δραστηριότητα δικτύου ενός άλλου. Αξίζει να σημειωθεί η υψηλή ευελιξία των κανόνων φιλτραρίσματος. Με τη βοήθειά τους, μπορείτε να επιτρέψετε στις εφαρμογές να λειτουργούν μόνο χρησιμοποιώντας ένα συγκεκριμένο πρωτόκολλο, μεταδίδοντας πακέτα δικτύου μόνο σε μια καθορισμένη διεύθυνση IP ή εύρος διευθύνσεων IP, κ.λπ. Για να εφαρμόσετε αυτόν τον τύπο φιλτραρίσματος, πρέπει να εγκαταστήσετε ένα ειδικό "Έλεγχος εφαρμογής". πρόγραμμα στους σταθμούς εργασίας, που περιλαμβάνεται στο προϊόν του πακέτου παράδοσης.

Στατιστικά στοιχεία και αναφορές

Ο εν λόγω διακομιστής μεσολάβησης διατηρεί λεπτομερή στατιστικά στοιχεία σχετικά με τη χρήση του Διαδικτύου από όλους τους χρήστες. Μπορείτε να εργαστείτε μαζί του χρησιμοποιώντας μια ειδική εφαρμογή ή μέσω μιας διεπαφής ιστού. Ταυτόχρονα, έχει εφαρμοστεί ένα σύστημα διαχωρισμού των δικαιωμάτων πρόσβασης, το οποίο επιτρέπει στους υπεύθυνους υπαλλήλους να βλέπουν πλήρεις πληροφορίες και σε άλλους χρήστες - μόνο τα στατιστικά τους. Κατά τη διαδικασία της εργασίας, μπορείτε να χρησιμοποιήσετε εργαλεία όπως φιλτράρισμα κατά διάφορες συνθήκες, δημιουργία πινάκων και γραφικών αναφορών, εισαγωγή δεδομένων σε μορφή HTML και προγράμματα της Microsoft Excel και OpenOffice.org Υπολογ.

Ενσωματωμένος διακομιστής DHCP

Το UserGate Proxy & Firewall υλοποιεί τον δικό του διακομιστή DHCP, ο οποίος μπορεί να διανέμει διευθύνσεις IP σε πελάτες από μια ομάδα που καθορίζεται από τον διαχειριστή. Αυτό το εργαλείο δεν χρειάζεται εάν ο τομέας έχει εγγραφεί στο εταιρικό σύστημα πληροφοριών. Ωστόσο, μπορεί να απλοποιήσει τη διαχείριση των υπολογιστών σε μικρά δίκτυα peer-to-peer.

Ενσωματωμένος δρομολογητής

Ένα άλλο εργαλείο για τον διαχειριστή είναι ο ενσωματωμένος δρομολογητής. Σας επιτρέπει να συνδυάσετε δύο ή περισσότερα τοπικά δίκτυα, παρέχοντας διαφανή αμφίδρομη επικοινωνία μεταξύ τους. Ταυτόχρονα, μπορείτε να καθορίσετε τα πρωτόκολλα και τις υπηρεσίες που θα επιτρέπεται να χρησιμοποιούν συνδέσεις δικτύου.

Προστασία από ιούς

Χρησιμοποιώντας το UserGate Proxy & Firewall, όλη η κίνηση που διέρχεται από έναν διακομιστή μεσολάβησης μπορεί να σαρωθεί για την παρουσία κακόβουλου λογισμικού. Για το σκοπό αυτό, χρησιμοποιούνται ενσωματωμένες μονάδες που αναπτύχθηκαν από την Kaspersky Lab και την Panda Security. Επιπλέον, η σάρωση κυκλοφορίας μπορεί να πραγματοποιηθεί είτε από μία από τις καθορισμένες μονάδες προστασίας από ιούς είτε διαδοχικά. Αξίζει να σημειωθεί ότι η χρήση λογισμικού προστασίας από ιούς απαιτεί την αγορά πρόσθετων αδειών από τους σχετικούς κατασκευαστές.

Τείχος προστασίας

Ο εν λόγω διακομιστής μεσολάβησης εφαρμόζει ένα πλήρες τείχος προστασίας που σας επιτρέπει να αποκλείετε την ανεπιθύμητη κυκλοφορία δικτύου και συμβάλλει στην προστασία από εξωτερικές εισβολές. Ταυτόχρονα, είναι πολύ εύκολο στη ρύθμιση. Όταν ενεργοποιείτε ή απενεργοποιείτε τις υπηρεσίες και τους κανόνες εκχώρησης θυρών, οι αντίστοιχες θύρες θα ανοίγουν ή θα κλείνουν αυτόματα.

Υποστήριξη VPN

Το UserGate Proxy & Firewall υποστηρίζει πρωτόκολλα PPTP και L2TP, τα οποία χρησιμοποιούνται για την επικοινωνία με διακομιστές VPN. Αυτό καθιστά εύκολη την παροχή ασφαλών απομακρυσμένων συνδέσεων πηγές πληροφοριώνεπιχείρηση ή τα υποκαταστήματά της.

Ανάπτυξη του UserGate Proxy & Firewall και εργασία με αυτό

Η διαδικασία για την ανάπτυξη του διακομιστή μεσολάβησης UserGate Proxy & Firewall μπορεί να χωριστεί σε διάφορα στάδια.

Εγκατάσταση προγράμματος.
Βασική ρύθμισηδιακομιστές μεσολάβησης.
Δημιουργία κανόνων εφαρμογής της πολιτικής εταιρικής χρήσης του Διαδικτύου.
Προσθήκη χρηστών.

Στάδιο 1. Εγκατάσταση του προγράμματος

Η διαδικασία εγκατάστασης του UserGate Proxy & Firewall είναι πολύ απλή και δεν απαιτεί ειδικές γνώσεις ή δεξιότητες από τον εκτελεστή. Πρώτα απ 'όλα, πραγματοποιήστε λήψη της διανομής από τον επίσημο ιστότοπο του προγραμματιστή, εκκινήστε την και επιλέξτε τη γλώσσα λειτουργίας του προγράμματος εγκατάστασης. Στο παράθυρο καλωσορίσματος που ανοίγει, κάντε κλικ στο κουμπί «Επόμενο».

Εικόνα 1. Παράθυρο καλωσορίσματος εγκαταστάτηUserGateProxy &Τείχος προστασίας

Στο επόμενο βήμα, διαβάστε την άδεια χρήσης, αποδεχτείτε την και κάντε ξανά κλικ στο «Επόμενο».

Εικόνα 2. Άδεια χρήσηςUserGateProxy &Τείχος προστασίας

Το τρίτο στάδιο είναι να επιλέξετε τα στοιχεία που θα εγκαταστήσετε. Εάν εγκαθιστάτε το πρόγραμμα σε μια πύλη Internet, πρέπει να ενεργοποιήσετε το στοιχείο "UserGate Proxy & Firewall 5 Basic Files" και να επιλέξετε εκεί τα απαραίτητα δευτερεύοντα στοιχεία. Έτσι, για παράδειγμα, εάν δεν έχετε άδεια για μονάδες σάρωσης κατά των ιών ή δεν πρόκειται να χρησιμοποιήσετε στατιστικά web, τότε δεν χρειάζεται να εγκαταστήσετε τις αντίστοιχες μονάδες. Μπορείτε να επιλέξετε ξεχωριστά την κονσόλα διαχείρισης και το στοιχείο UserGate Statistics. Αυτό μπορεί να απαιτείται κατά την εγκατάσταση του προϊόντος στον υπολογιστή ενός διαχειριστή ή υπεύθυνου υπαλλήλου για απομακρυσμένη διαχείριση του διακομιστή μεσολάβησης και προβολή αναφορών.

Εδώ, εάν είναι απαραίτητο, μπορείτε να αλλάξετε το φάκελο στον οποίο θα εγκατασταθεί το προϊόν (ο προεπιλεγμένος φάκελος είναι C:\Program Files\Entensys\UserGate 5\).

Εικόνα 3. Επιλογή στοιχείων εγκατάστασηςUserGateProxy &Τείχος προστασίας

Μετά από αυτό, εμφανίζεται το τελικό παράθυρο του προγράμματος εγκατάστασης, στο οποίο πρέπει να κάνετε κλικ στο κουμπί "Εγκατάσταση" για να ξεκινήσει η διαδικασία.

Εικόνα 4. Παράθυρο τελικού εγκαταστάτηUserGateProxy &Τείχος προστασίας

Ο χρόνος που απαιτείται για την ολοκλήρωση της διαδικασίας εγκατάστασης εξαρτάται από τους διαθέσιμους πόρους του συστήματος.

Εικόνα 5. ΕγκατάστασηUserGateProxy &Τείχος προστασίας

Απαιτείται επανεκκίνηση του υπολογιστή για να ολοκληρωθεί η εγκατάσταση.

Στάδιο 2. Βασική ρύθμιση διακομιστή μεσολάβησης

Όλες οι εργασίες διαχείρισης διακομιστή μεσολάβησης εκτελούνται χρησιμοποιώντας την κονσόλα διαχείρισης. Μπορεί να πραγματοποιηθεί είτε απευθείας από την πύλη Διαδικτύου είτε από απόσταση από το σταθμό εργασίας του διαχειριστή. Εάν η κονσόλα είναι εγκατεστημένη μαζί με τον διακομιστή στον ίδιο υπολογιστή, η σύνδεση δημιουργείται αυτόματα. Διαφορετικά, πρέπει να διαμορφώσετε τη σύνδεση με μη αυτόματο τρόπο - καθορίστε το όνομα τομέα ή τη διεύθυνση IP του διακομιστή, τη θύρα (2345 από προεπιλογή), τη σύνδεση και τον κωδικό πρόσβασης.

Εικόνα 6. Ρύθμιση σύνδεσης με τον διακομιστήUserGateProxy &Τείχος προστασίας

Αφού συνδεθείτε στον διακομιστή για πρώτη φορά, πρέπει να διαμορφώσετε τις διεπαφές. Αυτό μπορεί να γίνει στην καρτέλα της κονσόλας ελέγχου με το ίδιο όνομα. Το UserGate Proxy & Firewall εντοπίζει αυτόματα όλες τις διαθέσιμες διεπαφές δικτύου και τις εμφανίζει στη λίστα. Επιλέξτε ανάμεσά τους αυτά που «βλέπουν» το τοπικό δίκτυο και αλλάξτε τον τύπο τους σε LAN. Όλες οι εξωτερικές διεπαφές πρέπει να είναι τύπου WAN. Εκτός από τις διασυνδέσεις δικτύου, η λίστα περιλαμβάνει συνδέσεις όπως PPoE, VPN κ.λπ. Είναι άμεσα τύπου PPP, οι οποίες δεν μπορούν να αλλάξουν.

Εικόνα 7. Διαμόρφωση διεπαφών δικτύουUserGateProxy &Τείχος προστασίας

Εάν είναι απαραίτητο, μπορείτε να οργανώσετε ένα σύστημα κρατήσεων καναλιών Διαδικτύου. Σας επιτρέπει να μεταβείτε αυτόματα σε άλλη διεπαφή εάν η κύρια δεν είναι διαθέσιμη. Για να το χρησιμοποιήσετε, πρέπει να έχετε δύο ή περισσότερες συνδέσεις στο Διαδίκτυο. Για να δημιουργήσετε μια κράτηση, είναι πιο βολικό να χρησιμοποιήσετε έναν ειδικό οδηγό. Στο πρώτο στάδιο, καθορίστε τις κύριες και εφεδρικές συνδέσεις.

Εικόνα 8. Καθορισμός της κύριας και της εφεδρικής σύνδεσηςUserGateProxy &Τείχος προστασίας

Στο δεύτερο στάδιο, εισαγάγετε τις διευθύνσεις των διακομιστών των οποίων η μη διαθεσιμότητα θα σημαίνει "κάτω" του καναλιού. Λάβετε υπόψη ότι είναι καλύτερο να χρησιμοποιείτε δημοφιλείς υπηρεσίες, και όχι μόνο μία, αλλά πολλές. Αυτό σας επιτρέπει να αποφύγετε τη μετάβαση σε εφεδρικό κανάλι λόγω προβλημάτων εσωτερικού διακομιστή, αποτυχίας κύριας γραμμής και άλλων παρόμοιων λόγων. Επιπλέον, μπορείτε να εισαγάγετε το διάστημα ελέγχου και το χρονικό όριο για την εντολή Ping.

Εικόνα 9. Λίστα διακομιστών για έλεγχο της λειτουργικότητας της σύνδεσηςUserGateProxy &Τείχος προστασίας

Όλες οι ρυθμίσεις κράτησης καναλιών Διαδικτύου εμφανίζονται στη σελίδα "Διεπαφές" της κονσόλας διαχείρισης. Εδώ μπορείτε να τα αλλάξετε χειροκίνητα χωρίς να περάσετε από τον οδηγό εγκατάστασης.

Εικόνα 10. Ιδιότητες κράτησης καναλιών Διαδικτύου σεUserGateProxy &Τείχος προστασίας

Στη συνέχεια, πρέπει να ρυθμίσετε τις παραμέτρους του διακομιστή μεσολάβησης. Για να το κάνετε αυτό, ανοίξτε την ενότητα "Υπηρεσίες" στην κονσόλα διαχείρισης και επιλέξτε την καρτέλα "Ρυθμίσεις διακομιστή μεσολάβησης" σε αυτήν. Σε αυτήν την περίπτωση, μια λίστα με όλους τους διαθέσιμους διακομιστές μεσολάβησης θα εμφανιστεί στη δεξιά πλευρά του παραθύρου. Ενεργοποιήστε τις απαραίτητες υπηρεσίες και απενεργοποιήστε όλες τις άλλες.

Εικόνα 11. Λίστα διακομιστών μεσολάβησης σεUserGateProxy &Τείχος προστασίας

Εάν είναι απαραίτητο, μπορείτε να αλλάξετε τις παραμέτρους λειτουργίας οποιουδήποτε διακομιστή μεσολάβησης. Αυτό γίνεται σε ένα ειδικό παράθυρο, που καλείται κάνοντας διπλό κλικ στο επιθυμητό αντικείμενο. Σε αυτό πρέπει να καθορίσετε τις διεπαφές δικτύου που θα ακούσει ο διακομιστής μεσολάβησης. Στις περισσότερες περιπτώσεις, θα χρειαστεί να επιλέξετε όλες τις συνδέσεις LAN. Δεν χρειάζεται να καθορίσετε διεπαφές στις ιδιότητες, αλλά σε αυτήν την περίπτωση το UserGate Proxy & Firewall θα τις ακούσει όλες, συμπεριλαμβανομένων των εξωτερικών. Εδώ μπορείτε επίσης να αλλάξετε τη θύρα στην οποία εκτελείται ο διακομιστής μεσολάβησης.

Επιπλέον, σε αυτό το παράθυρο μπορείτε να αλλάξετε τον διακομιστή μεσολάβησης στη λεγόμενη διαφανή λειτουργία λειτουργίας. Η ουσία του είναι η εξής. Όταν είναι ενεργοποιημένη η διαφάνεια, το πρόγραμμα οδήγησης NAT ακούει στις κατάλληλες θύρες (80 TCP για HTTP, 110 TCP για POP3 κ.λπ.) της πύλης Internet, εντοπίζει αιτήματα που προέρχονται από αυτές και τις προωθεί στον διακομιστή μεσολάβησης. Ως αποτέλεσμα, η εργασία ουσιαστικά εκτελείται μέσω ενός "proxy", αλλά οι διαχειριστές δεν χρειάζεται πλέον να διαμορφώνουν τις εφαρμογές σε σταθμούς εργασίας. Όλα θα λειτουργούν σαν να είναι συνδεδεμένα απευθείας στο Διαδίκτυο. Ωστόσο, όταν χρησιμοποιείτε διαφανή τρόπο λειτουργίας, πρέπει να διαμορφώσετε εκ νέου τις ιδιότητες σύνδεση δικτύουσταθμούς εργασίας (καθορίστε τη διεύθυνση IP της πύλης Internet ως πύλη και εισαγάγετε τον διακομιστή DNS).

Εικόνα 12. Ιδιότητες διακομιστή μεσολάβησης σεUserGateProxy &Τείχος προστασίας

Στη συνέχεια, πρέπει να βεβαιωθείτε ότι τα αιτήματα DNS περνούν μέσω του διακομιστή μεσολάβησης. Ο ευκολότερος τρόπος για να το κάνετε αυτό είναι να χρησιμοποιήσετε την προώθηση DNS. Όταν χρησιμοποιείτε αυτήν την τεχνολογία, τα αιτήματα που φτάνουν στη θύρα 53 της πύλης Διαδικτύου (ακούγονται μόνο οι διεπαφές LAN) ανακατευθύνονται στον διακομιστή DNS του παρόχου. Για να το ενεργοποιήσετε, μεταβείτε στην καρτέλα "Ρυθμίσεις DNS" στην ενότητα "Υπηρεσίες". Στο παράθυρο που ανοίγει, ενεργοποιήστε την προώθηση DNS και καθορίστε τη διεύθυνση διακομιστή DNS. Από προεπιλογή, θα ληφθεί αυτόματα από τις ρυθμίσεις της κάρτας δικτύου διασύνδεσης WAN. Ωστόσο, εάν είναι απαραίτητο, μπορείτε να ορίσετε τη δική σας λίστα διακομιστών DNS.

Εικόνα 13. ΡύθμισηDNS μέσαUserGate Proxy & Firewall

Επιπλέον, μπορείτε να διαμορφώσετε τέτοιες δυνατότητες προϊόντος όπως γενική διαχείριση εύρους ζώνης, προώθηση θυρών, έλεγχος εφαρμογών κ.λπ. Ωστόσο, δεν θα τις συζητήσουμε λεπτομερώς: Ο διακομιστής μεσολάβησης και το τείχος προστασίας UserGate είναι πολύ λειτουργικό για να το περιγράψουμε πλήρης προσαρμογήμέσα σε μία αξιολόγηση. Επιπλέον, αυτό το προϊόν συνοδεύεται από ένα αρκετά λεπτομερές σύστημα βοήθειας.

Στάδιο 3. Δημιουργία κανόνων που εφαρμόζουν την εταιρική πολιτική χρήσης του Διαδικτύου

Ένα σημαντικό χαρακτηριστικό του UserGate Proxy & Firewall είναι ένα σύστημα διαχείρισης κίνησης που σας επιτρέπει να αποτρέψετε την κακή χρήση εταιρικών πόρων Διαδικτύου από τους υπαλλήλους του οργανισμού, να ενισχύσετε την ασφάλεια του συστήματος πληροφοριών και να επιλύσετε μια σειρά από άλλα παρόμοια προβλήματα. Βασίζεται σε κανόνες που περιγράφουν τη συμπεριφορά του συστήματος σε ορισμένες περιπτώσεις. Η κύρια εργασία μαζί τους πραγματοποιείται στην καρτέλα με το ίδιο όνομα στην ενότητα "Διαχείριση κυκλοφορίας". Εδώ μπορούν να δημιουργηθούν, να διαγραφούν και να επεξεργαστούν. Μπορεί να υπάρχει οποιοσδήποτε αριθμός κανόνων. Ωστόσο, δεν είναι απαραίτητο να συμμετέχουν όλοι. Οι κανόνες εκχωρούνται σε ομάδες ή χρήστες και λειτουργούν μόνο για αυτούς.

Εικόνα 14. Κατάλογος κανόνων ελέγχου κυκλοφορίας στοUserGateProxy &Τείχος προστασίας

Κάθε κανόνας αντιπροσωπεύει μία ή περισσότερες συνθήκες σε συνδυασμό με τους λογικούς τελεστές AND ή OR. Όταν εκτελούνται, ενεργοποιείται η καθορισμένη ενέργεια. Το παράθυρο ιδιοτήτων κανόνων αποτελείται από πέντε καρτέλες. Το πρώτο ορίζει τις βασικές παραμέτρους: όνομα, τύπος λογικής, καθώς και το αντικείμενο και την ενέργεια που θα εκτελεστεί με αυτό. Εδώ έχετε επιλογές όπως κλείσιμο της σύνδεσης, απενεργοποίηση καταμέτρησης κίνησης, ενεργοποίηση ορίων ταχύτητας κ.λπ.

Εικόνα 15. Βασικές παράμετροι ενός κανόνα ελέγχου κυκλοφορίας σεUserGateProxy &Τείχος προστασίας

Η δεύτερη καρτέλα καθορίζει τα πρωτόκολλα για τα οποία θα λειτουργεί ο κανόνας. Από προεπιλογή είναι όλα ενεργοποιημένα. Ωστόσο, ο διαχειριστής μπορεί να απενεργοποιήσει ορισμένα από αυτά.

Εικόνα 16. Διαμόρφωση πρωτοκόλλων σε έναν κανόνα ελέγχου κυκλοφορίας στοUserGateProxy &Τείχος προστασίας

Η επόμενη καρτέλα σάς επιτρέπει να ορίσετε ένα χρονοδιάγραμμα, π.χ. υποδεικνύουν τη διάρκεια του κανόνα.

Εικόνα 17. Διαμόρφωση του χρονοδιαγράμματος ενεργειών κανόνων ελέγχου κυκλοφορίας στοUserGateProxy &Τείχος προστασίας

Η τέταρτη καρτέλα προορίζεται για την εισαγωγή περιορισμών στην ημερήσια, εβδομαδιαία ή μηνιαία κατανάλωση κίνησης. Ο κανόνας θα ενεργοποιηθεί όταν ο χρήστης φτάσει σε ένα συγκεκριμένο όριο. Επιπλέον, σε αυτήν την καρτέλα μπορείτε να ορίσετε περιορισμούς στο μέγεθος των μεταφορτωμένων αρχείων.

Εικόνα 18. Διαμόρφωση περιορισμών κατανάλωσης σε έναν κανόνα ελέγχου κυκλοφορίας στοUserGateProxy &Τείχος προστασίας

Η τελευταία, πέμπτη καρτέλα σάς επιτρέπει να διαμορφώσετε το φιλτράρισμα περιεχομένου ιστού. Σε αυτό μπορείτε να ορίσετε συνθήκες τεσσάρων διαφορετικών τύπων: ανά διεύθυνση IP (ή εύρος διευθύνσεων IP), κατά διεύθυνση τοποθεσίας (συμπεριλαμβανομένου κατά τμήμα της διεύθυνσης), κατά τύπο περιεχομένου (ανά ολόκληρες κατηγορίες - ήχος, βίντεο, εικόνες, έγγραφα κειμένου κ.λπ. ή με μεμονωμένες επεκτάσεις - *.avi, *.mp3, *.flv, κ.λπ.), καθώς και ανά κατηγορία. Αξίζει να σημειωθεί ότι μπορεί να καθοριστεί ο τύπος φιλτραρισμένου περιεχομένου.

Εικόνα 19. Διαμόρφωση συνθηκών φιλτραρίσματος περιεχομένου ιστού σε έναν κανόνα ελέγχου κυκλοφορίας στοUserGateProxy &Τείχος προστασίας

Οι συνθήκες που περιγράφονται παραπάνω μπορούν να συνδυαστούν σε οποιονδήποτε συνδυασμό, γεγονός που σας επιτρέπει να δημιουργήσετε πολύ ευέλικτους κανόνες που περιγράφουν σχεδόν οποιαδήποτε εταιρική πολιτική για τη χρήση του Διαδικτύου.

Στάδιο 4. Προσθήκη χρηστών

Το UserGate Proxy & Firewall παρέχει δύο τρόπους για να προσθέσετε χρήστες: μη αυτόματα και με ενσωμάτωση στην υπηρεσία καταλόγου Active Directory. Είναι σαφές ότι το πρώτο από αυτά προορίζεται μόνο για μικρές εταιρείες που χρησιμοποιούν ένα απλό δίκτυο peer-to-peer. Εάν ο οργανισμός έχει αναπτύξει έναν τομέα, τότε είναι πολύ πιο εύκολο και πιο αποτελεσματικό να χρησιμοποιήσετε την ενοποίηση με την υπηρεσία καταλόγου Active Directory.

Εάν επιλέξετε τη δεύτερη επιλογή για την προσθήκη χρηστών, πρέπει πρώτα να διαμορφώσετε τις ρυθμίσεις συγχρονισμού. Αυτό μπορεί να γίνει στην καρτέλα "Ομάδες" της ενότητας "Χρήστες και Ομάδες". Για να εισαγάγετε παραμέτρους, κάντε κλικ στο κουμπί «Ρύθμιση συγχρονισμού με AD» και εισαγάγετε το όνομα τομέα, τη διεύθυνση ελεγκτή, τη σύνδεση διαχειριστή και τον κωδικό πρόσβασης και τη συχνότητα ενημέρωσης δεδομένων στο παράθυρο που ανοίγει.

Εικόνα 20. Ρυθμίσεις συγχρονισμούUserGateProxy &Τείχος προστασίας μεΕνεργόςΕυρετήριο

Η εργασία με λογαριασμούς ξεκινά με την εισαγωγή ομάδων χρηστών, για καθεμία από τις οποίες μπορείτε να καθορίσετε κανόνες που έχετε εισαγάγει προηγουμένως. Ταυτόχρονα, θα διανεμηθούν άμεσα σε όλους τους λογαριασμούς, γεγονός που απλοποιεί τη διαχείριση.

Εικόνα 21. Λίστα ομάδων σεUserGateProxy &Τείχος προστασίας

Αφού ολοκληρώσετε την εργασία με ομάδες, μπορείτε να ξεκινήσετε τη ρύθμιση της λίστας των χρηστών. Με τη χειροκίνητη μέθοδο, το καθένα λογαριασμόςθα πρέπει να το εισαγάγετε μόνοι σας, ορίζοντας όλες τις ιδιότητές του, συμπεριλαμβανομένης της μεθόδου εξουσιοδότησης. Κατά τη διάρκεια του συγχρονισμού, η λίστα των λογαριασμών συμπληρώνεται και ενημερώνεται αυτόματα. Εάν είναι απαραίτητο, μπορείτε να κάνετε αλλαγές στους λογαριασμούς χρηστών, για παράδειγμα, να ορίσετε μια διαφορετική μέθοδο εξουσιοδότησης (η εξουσιοδότηση NTLM χρησιμοποιείται από προεπιλογή).

Εικόνα 22. Λίστα λογαριασμών σεUserGateProxy &Τείχος προστασίας

Εδώ είναι απαραίτητο να κάνουμε μια μικρή παρέκβαση. Για να χρησιμοποιήσετε ορισμένες μεθόδους εξουσιοδότησης (σύνδεση και κωδικός πρόσβασης που έχουν εισαχθεί στο UserGate Proxy & Firewall, σύνδεση στα Windows, εξουσιοδότηση μέσω της υπηρεσίας καταλόγου Active Directory.) πρέπει να εγκαταστήσετε σε σταθμούς εργασίας ειδικό πρόγραμμα– Πελάτης εξουσιοδότησης UserGate. Το πακέτο εγκατάστασής του (AuthClientInstall.msi) βρίσκεται στον υποφάκελο Εργαλεία του καταλόγου εγκατάστασης του προϊόντος. Μπορεί να εγκατασταθεί είτε με μη αυτόματο τρόπο είτε χρησιμοποιώντας πολιτικές ομάδας Active Directory.

Σε αυτό το σημείο, η αρχική διαδικασία εγκατάστασης για το UserGate Proxy & Firewall μπορεί να θεωρηθεί ολοκληρωμένη. Ο διακομιστής μας μεσολάβησης είναι εντελώς έτοιμος να λειτουργήσει. Στο μέλλον, ο διαχειριστής μπορεί να συνδεθεί σε αυτό απομακρυσμένα ανά πάσα στιγμή και να αλλάξει τις παραμέτρους που καθορίστηκαν προηγουμένως.

Το UserGate Proxy & Firewall αναφέρεται σε εφαρμογές που δεν απαιτούν συνεχή προσοχή από τον διαχειριστή. Η σύνδεση στο Διαδίκτυο, η μετάβαση σε εφεδρικό κανάλι και πίσω, η παρακολούθηση της χρήσης του παγκόσμιου δικτύου από τους υπαλλήλους της εταιρείας και άλλες ενέργειες εκτελούνται αυτόματα. Έτσι, στην πραγματικότητα, όλη η περαιτέρω εργασία καταλήγει στη μελέτη στατιστικών και, μερικές φορές, στην αλλαγή ορισμένων παραμέτρων λειτουργίας.

Για να εργαστείτε με τις πληροφορίες που συλλέγονται από το σύστημα, μπορεί να χρησιμοποιηθεί μια ειδική εφαρμογή - "UserGate Statistics". Με τη βοήθειά του, ο διαχειριστής ή ο υπεύθυνος υπάλληλος μπορεί να δει πλήρη δεδομένα, φιλτράροντάς τα κατά ημερομηνία, προορισμό, χρήστη, πρωτόκολλο, κατηγορία ιστότοπου και άλλες παραμέτρους, καθώς και να τα εξάγει σε διαφορετικές μορφές.

Εικόνα 24. Προβολή στατιστικών στοιχείων με χρήση ειδικής εφαρμογής

Υπάρχει μια άλλη επιλογή για την προβολή των συλλεγόμενων πληροφοριών - στατιστικά web. Με τη βοήθειά του, μπορείτε να μελετήσετε δεδομένα χρησιμοποιώντας ένα πρόγραμμα περιήγησης. Είναι ενδιαφέρον ότι όχι μόνο οι διαχειριστές, αλλά και οι απλοί χρήστες μπορούν να το κάνουν αυτό. Ταυτόχρονα, θα είναι στη διάθεσή τους μόνο τα προσωπικά τους στατιστικά στοιχεία.

Εικόνα 25. Προβολή στατιστικών στοιχείων με χρήση προγράμματος περιήγησης

συμπεράσματα

Εν κατακλείδι, ας συνοψίσουμε. Μια λεπτομερής εξέταση των δυνατοτήτων του UserGate Proxy & Firewall έδειξε ότι σήμερα αυτό το προϊόν είναι ένας από τους πιο λειτουργικούς διακομιστές μεσολάβησης που υπάρχουν στη ρωσική αγορά. Με τη βοήθειά του, μπορείτε να λύσετε σχεδόν οποιοδήποτε πρόβλημα που σχετίζεται με την οργάνωση της κοινής πρόσβασης στο Διαδίκτυο.

Ένα σημαντικό χαρακτηριστικό του εξεταζόμενου προϊόντος είναι η δυνατότητα εφαρμογής εταιρικών πολιτικών για τη χρήση του παγκόσμιου δικτύου. Η άρνηση πρόσβασης σε δυνητικά επικίνδυνους ιστότοπους, ο αποκλεισμός της φόρτωσης ορισμένων τύπων περιεχομένου και ορισμένες άλλες λειτουργίες αυξάνουν το επίπεδο ασφάλειας του συστήματος πληροφοριών.

Ένας σημαντικός παράγοντας είναι η παρουσία εργαλείων ασφαλείας στο UserGate Proxy & Firewall, τα οποία σας επιτρέπουν να οργανώσετε γρήγορα και εύκολα την προστασία της περιμέτρου του τοπικού δικτύου από εξωτερικές απειλές: antivirus και τείχος προστασίας. Φυσικά, η χρήση τους δεν αντικαθιστά την ανάγκη προστασίας των σταθμών εργασίας. Ωστόσο, μια «άμυνα» δύο σταδίων, κατά την οποία η κυκλοφορία του δικτύου ελέγχεται διαδοχικά (πρώτα σε επίπεδο πύλης Διαδικτύου και στη συνέχεια σε επίπεδο υπολογιστή χρήστη) συνήθως αποδεικνύεται πολύ πιο αποτελεσματική.

Τα κύρια μειονεκτήματα του UserGate Proxy & Firewall δεν είναι τεχνικά, αλλά μάλλον «οικονομικής» φύσης. Μιλάμε για την ανάγκη ετήσιας ανανέωσης αδειών χρήσης λειτουργικών μονάδων προστασίας από ιούς, καθώς και συστήματος φιλτραρίσματος ιστότοπων βάσει κατηγοριών. Κατ 'αρχήν, ο διακομιστής μεσολάβησης μπορεί να λειτουργήσει χωρίς αυτούς, ειδικά επειδή η άδεια για το ίδιο το UserGate Proxy & Firewall είναι απεριόριστη. Ωστόσο, αυτές οι λειτουργίες μπορούν να αυξήσουν σημαντικά την ασφάλεια του συστήματος πληροφοριών και, ως εκ τούτου, η χρήση τους εξακολουθεί να είναι επιθυμητή.

Σήμερα, η διοίκηση όλων των εταιρειών έχει πιθανώς ήδη εκτιμήσει τις ευκαιρίες που παρέχει το Διαδίκτυο για επιχειρηματική δραστηριότητα. Δεν μιλάμε φυσικά για τα ηλεκτρονικά καταστήματα και το ηλεκτρονικό εμπόριο, που, ό,τι και να πει κανείς, σήμερα είναι περισσότερο εργαλεία μάρκετινγκ παρά πραγματικός τρόπος αύξησης του τζίρου αγαθών ή υπηρεσιών. Το παγκόσμιο δίκτυο είναι ένα εξαιρετικό περιβάλλον πληροφοριών, μια σχεδόν ανεξάντλητη πηγή μεγάλης ποικιλίας δεδομένων. Επιπλέον, παρέχει γρήγορη και φθηνή επικοινωνία τόσο με πελάτες όσο και με συνεργάτες της εταιρείας. Οι δυνατότητες του Διαδικτύου για μάρκετινγκ δεν μπορούν να μειωθούν. Έτσι, αποδεικνύεται ότι το Παγκόσμιο Δίκτυο, γενικά, μπορεί να θεωρηθεί ένα πολυλειτουργικό επιχειρηματικό εργαλείο που μπορεί να αυξήσει την αποτελεσματικότητα των εργαζομένων της εταιρείας στην εκτέλεση των καθηκόντων τους.

Ωστόσο, πρώτα πρέπει να παρέχετε σε αυτούς τους υπαλλήλους πρόσβαση στο Διαδίκτυο. Η απλή σύνδεση ενός υπολογιστή στο Παγκόσμιο Δίκτυο δεν αποτελεί πρόβλημα σήμερα. Υπάρχουν πολλοί τρόποι που μπορεί να γίνει αυτό. Υπάρχουν επίσης πολλές εταιρείες που προσφέρουν πρακτική λύση σε αυτό το πρόβλημα. Αλλά είναι απίθανο το Διαδίκτυο σε έναν υπολογιστή να είναι σε θέση να φέρει αξιοσημείωτα οφέλη στην εταιρεία. Κάθε εργαζόμενος πρέπει να έχει πρόσβαση στο Διαδίκτυο από τον χώρο εργασίας του. Και εδώ δεν μπορούμε να κάνουμε χωρίς ειδικό λογισμικό, τον λεγόμενο διακομιστή μεσολάβησης. Κατ 'αρχήν, οι δυνατότητες των λειτουργικών συστημάτων της οικογένειας των Windows καθιστούν δυνατή την κοινή χρήση οποιασδήποτε σύνδεσης στο Διαδίκτυο. Σε αυτήν την περίπτωση, άλλοι υπολογιστές στο τοπικό δίκτυο θα έχουν πρόσβαση σε αυτό. Ωστόσο, αυτή η απόφαση δύσκολα αξίζει να εξεταστεί τουλάχιστον σοβαρά. Το γεγονός είναι ότι όταν το επιλέγετε, θα πρέπει να ξεχάσετε τον έλεγχο της χρήσης του Παγκόσμιου Δικτύου από τους υπαλλήλους της εταιρείας. Δηλαδή, οποιοσδήποτε από οποιονδήποτε εταιρικό υπολογιστή μπορεί να έχει πρόσβαση στο Διαδίκτυο και να κάνει ό,τι θέλει εκεί. Και τι απειλεί αυτό μάλλον δεν χρειάζεται να εξηγηθεί σε κανέναν.

Έτσι, ο μόνος αποδεκτός τρόπος για μια εταιρεία να οργανώσει τη σύνδεση όλων των υπολογιστών που περιλαμβάνονται στο εταιρικό τοπικό δίκτυο είναι ένας διακομιστής μεσολάβησης. Σήμερα υπάρχουν πολλά προγράμματα αυτής της κατηγορίας στην αγορά. Αλλά θα μιλήσουμε μόνο για μια εξέλιξη. Ονομάζεται UserGate και δημιουργήθηκε από ειδικούς του eSafeLine. Τα κύρια χαρακτηριστικά αυτού του προγράμματος είναι η ευρεία λειτουργικότητά του και η πολύ βολική διεπαφή στη ρωσική γλώσσα. Επιπλέον, αξίζει να σημειωθεί ότι εξελίσσεται συνεχώς. Πρόσφατα, μια νέα, τέταρτη έκδοση αυτού του προϊόντος παρουσιάστηκε στο κοινό.

Λοιπόν, UserGate. Αυτό το προϊόν λογισμικού αποτελείται από πολλές ξεχωριστές ενότητες. Το πρώτο από αυτά είναι ο ίδιος ο διακομιστής. Πρέπει να εγκατασταθεί σε υπολογιστή απευθείας συνδεδεμένο στο Διαδίκτυο (πύλη Διαδικτύου). Είναι ο διακομιστής που παρέχει πρόσβαση χρήστη στο Παγκόσμιο Δίκτυο, μετράει την κίνηση που χρησιμοποιείται, διατηρεί στατιστικά στοιχεία λειτουργίας κ.λπ. Η δεύτερη ενότητα προορίζεται για διαχείριση συστήματος. Με τη βοήθειά του, ο υπεύθυνος υπάλληλος πραγματοποιεί όλες τις ρυθμίσεις παραμέτρων του διακομιστή μεσολάβησης. Το κύριο χαρακτηριστικό του UserGate από αυτή την άποψη είναι ότι η μονάδα διαχείρισης δεν χρειάζεται να βρίσκεται στην πύλη Διαδικτύου. Έτσι, μιλάμε για τηλεχειριστήριοδιακομιστή μεσολάβησης. Αυτό είναι πολύ καλό, αφού ο διαχειριστής του συστήματος έχει την ευκαιρία να διαχειρίζεται την πρόσβαση στο Διαδίκτυο απευθείας από τον χώρο εργασίας του.

Επιπλέον, το UserGate περιλαμβάνει δύο ακόμη ξεχωριστά ενότητες λογισμικού. Το πρώτο από αυτά είναι απαραίτητο για εύκολη προβολή στατιστικών στοιχείων χρήσης του Διαδικτύου και δημιουργία αναφορών που βασίζονται σε αυτό, και το δεύτερο είναι για την εξουσιοδότηση χρηστών σε ορισμένες περιπτώσεις. Αυτή η προσέγγιση ταιριάζει καλά με τη ρωσική γλώσσα και τη διαισθητική διεπαφή όλων των λειτουργικών μονάδων. Συνολικά, αυτό σας επιτρέπει να ρυθμίσετε γρήγορα και χωρίς κανένα πρόβλημα την κοινή πρόσβαση στο Παγκόσμιο Δίκτυο σε οποιοδήποτε γραφείο.

Ας προχωρήσουμε όμως στην ανάλυση της λειτουργικότητας του διακομιστή μεσολάβησης UserGate. Πρέπει να ξεκινήσετε με το γεγονός ότι αυτό το πρόγραμμα εφαρμόζει αμέσως δύο διαφορετικούς τρόπους ρύθμισης του DNS (ίσως η πιο σημαντική εργασία κατά την υλοποίηση δημόσια πρόσβαση). Το πρώτο από αυτά είναι το NAT (Network Address Translation). Παρέχει πολύ ακριβή καταγραφή της κίνησης που καταναλώνεται και επιτρέπει στους χρήστες να χρησιμοποιούν οποιαδήποτε πρωτόκολλα επιτρέπεται από τον διαχειριστή. Ωστόσο, αξίζει να σημειωθεί ότι ορισμένες εφαρμογές δικτύου δεν θα λειτουργήσουν σωστά σε αυτήν την περίπτωση. Η δεύτερη επιλογή είναι η προώθηση DNS. Έχει μεγαλύτερους περιορισμούς σε σύγκριση με το NAT, αλλά μπορεί να χρησιμοποιηθεί σε υπολογιστές με παλιούς λειτουργικές οικογένειες(Windows 95, 98 και NT).

Τα δικαιώματα Διαδικτύου διαμορφώνονται χρησιμοποιώντας τους όρους "χρήστης" και "ομάδα χρηστών". Επιπλέον, αυτό που είναι ενδιαφέρον είναι ότι στον διακομιστή μεσολάβησης UserGate ο χρήστης δεν είναι απαραίτητα άτομο. Ένας υπολογιστής μπορεί επίσης να παίξει το ρόλο του. Δηλαδή, στην πρώτη περίπτωση, επιτρέπεται η πρόσβαση στο Διαδίκτυο σε ορισμένους υπαλλήλους και στη δεύτερη - σε όλους τους ανθρώπους που κάθονται σε έναν υπολογιστή. Φυσικά, χρησιμοποιούνται διαφορετικές μέθοδοι εξουσιοδότησης χρήστη. Αν μιλάμε για υπολογιστές, τότε μπορούν να αναγνωριστούν από τη διεύθυνση IP τους, έναν συνδυασμό διευθύνσεων IP και MAC και μια σειρά από διευθύνσεις IP. Για την εξουσιοδότηση υπαλλήλων, μπορούν να χρησιμοποιηθούν ειδικά ζεύγη σύνδεσης/κωδικού πρόσβασης, δεδομένα από την υπηρεσία καταλόγου Active Directory, όνομα και κωδικός πρόσβασης που ταιριάζουν με την εξουσιοδότηση Πληροφορίες για τα Windows, κ.λπ. Οι χρήστες μπορούν να συνδυαστούν σε ομάδες για ευκολία στη διαμόρφωση. Αυτή η προσέγγιση σάς επιτρέπει να διαχειρίζεστε την πρόσβαση για όλους τους υπαλλήλους με τα ίδια δικαιώματα (στις ίδιες θέσεις) ταυτόχρονα, αντί να ρυθμίζετε κάθε λογαριασμό ξεχωριστά.

Ο διακομιστής μεσολάβησης UserGate έχει επίσης το δικό του σύστημα χρέωσης. Ο διαχειριστής μπορεί να ορίσει οποιονδήποτε αριθμό τιμολογίων που περιγράφουν πόσο κοστίζει μια μονάδα εισερχόμενης ή εξερχόμενης κίνησης ή χρόνου σύνδεσης. Αυτό σας επιτρέπει να διατηρείτε ακριβή αρχεία για όλα τα έξοδα Διαδικτύου που συνδέονται με τους χρήστες. Δηλαδή, η διοίκηση της εταιρείας θα ξέρει πάντα ποιος ξόδεψε πόσα. Παρεμπιπτόντως, τα τιμολόγια μπορούν να εξαρτηθούν από την τρέχουσα ώρα, γεγονός που σας επιτρέπει να αναπαράγετε με ακρίβεια την τιμολογιακή πολιτική του παρόχου.

Ο διακομιστής μεσολάβησης UserGate σάς επιτρέπει να εφαρμόσετε οποιαδήποτε, ανεξάρτητα από το πόσο πολύπλοκη, εταιρική πολιτική πρόσβασης στο Διαδίκτυο. Για το σκοπό αυτό, χρησιμοποιούνται οι λεγόμενοι κανόνες. Με τη βοήθειά τους, ο διαχειριστής μπορεί να θέσει περιορισμούς για τους χρήστες σχετικά με τον χρόνο λειτουργίας, την ποσότητα της αποστέλλουσας ή ληφθείσας κίνησης ανά ημέρα ή μήνα, την ποσότητα του χρόνου που χρησιμοποιείται ανά ημέρα ή μήνα κ.λπ. Σε περίπτωση υπέρβασης αυτών των ορίων, πρόσβαση στο Το Παγκόσμιο Δίκτυο θα αποκλειστεί αυτόματα. Επιπλέον, χρησιμοποιώντας κανόνες, μπορείτε να επιβάλλετε περιορισμούς στην ταχύτητα πρόσβασης μεμονωμένων χρηστών ή ολόκληρων ομάδων από αυτούς.

Ένα άλλο παράδειγμα χρήσης κανόνων είναι οι περιορισμοί στην πρόσβαση σε ορισμένες διευθύνσεις IP ή το εύρος τους, σε ολόκληρα ονόματα τομέα ή διευθύνσεις που περιέχουν συγκεκριμένες συμβολοσειρές κ.λπ. Δηλαδή, στην πραγματικότητα, μιλάμε για φιλτράρισμα τοποθεσιών, με τη βοήθεια των οποίων μπορεί να αποκλείσει επισκέψεις υπαλλήλων ανεπιθύμητων έργων web. Αλλά, φυσικά, αυτά δεν είναι όλα παραδείγματα εφαρμογής των κανόνων. Με τη βοήθειά τους, μπορείτε, για παράδειγμα, να εφαρμόσετε τιμολόγια εναλλαγής ανάλογα με τον ιστότοπο που φορτώνεται αυτήν τη στιγμή (απαραίτητο για να ληφθεί υπόψη η προνομιακή κίνηση που υπάρχει σε ορισμένους παρόχους), να διαμορφώσετε την περικοπή διαφημιστικά πανόκαι ούτω καθεξής.

Παρεμπιπτόντως, έχουμε ήδη πει ότι ο διακομιστής μεσολάβησης UserGate διαθέτει ξεχωριστή ενότητα για εργασία με στατιστικά στοιχεία. Με τη βοήθειά του, ο διαχειριστής μπορεί να δει την κίνηση που καταναλώνεται ανά πάσα στιγμή (σύνολο, για κάθε χρήστη, για ομάδες χρηστών, για ιστότοπους, για διευθύνσεις IP διακομιστή κ.λπ.). Επιπλέον, όλα αυτά γίνονται πολύ γρήγορα χρησιμοποιώντας ένα βολικό σύστημα φίλτρων. Επιπλέον, αυτή η ενότητα υλοποιεί μια δημιουργία αναφορών, με την οποία ο διαχειριστής μπορεί να προετοιμάσει οποιεσδήποτε αναφορές και να τις εξάγει σε μορφή MS Excel.

Μια πολύ ενδιαφέρουσα λύση από τους προγραμματιστές είναι η ενσωμάτωση μιας μονάδας προστασίας από ιούς στο τείχος προστασίας, η οποία ελέγχει όλη την εισερχόμενη και εξερχόμενη κίνηση. Επιπλέον, δεν ανακάλυψαν ξανά τον τροχό, αλλά ενσωμάτωσαν την ανάπτυξη του Kaspersky Lab. Αυτή η λύση εγγυάται, πρώτον, πραγματικά αξιόπιστη προστασία έναντι όλων των κακόβουλων προγραμμάτων και, δεύτερον, την τακτική ενημέρωση των βάσεων δεδομένων υπογραφών. Ένα άλλο σημαντικό χαρακτηριστικό όσον αφορά την ασφάλεια των πληροφοριών είναι το ενσωματωμένο τείχος προστασίας. Και έτσι δημιουργήθηκε από τους προγραμματιστές του UserGate ανεξάρτητα. Δυστυχώς, αξίζει να σημειωθεί ότι το τείχος προστασίας που είναι ενσωματωμένο στον διακομιστή μεσολάβησης διαφέρει αρκετά στις δυνατότητές του από τα κορυφαία προϊόντα σε αυτόν τον τομέα. Αυστηρά μιλώντας, μιλάμε για μια ενότητα που υλοποιεί απλό μπλοκάρισμακίνηση που διέρχεται από θύρες και πρωτόκολλα που καθορίζονται από τον διαχειριστή προς και από υπολογιστές με καθορισμένες διευθύνσεις IP. Δεν διαθέτει λειτουργία αορατότητας ή κάποιες άλλες λειτουργίες που απαιτούνται γενικά για τείχη προστασίας.

Δυστυχώς, ένα άρθρο δεν μπορεί να περιλαμβάνει λεπτομερή ανάλυση όλων των λειτουργιών του διακομιστή μεσολάβησης UserGate. Επομένως, ας απαριθμήσουμε απλώς τα πιο ενδιαφέροντα από αυτά, που δεν περιλαμβάνονται στην κριτική μας. Πρώτον, είναι η προσωρινή αποθήκευση αρχείων που έχουν ληφθεί από το Διαδίκτυο, η οποία σας επιτρέπει να εξοικονομήσετε πραγματικά χρήματα στις υπηρεσίες του παρόχου. Δεύτερον, αξίζει να σημειωθεί η λειτουργία χαρτογράφησης θύρας, η οποία σας επιτρέπει να συνδέσετε οποιαδήποτε επιλεγμένη θύρα μιας από τις τοπικές διεπαφές Ethernet στην επιθυμητή θύρα του απομακρυσμένου κεντρικού υπολογιστή (αυτή η λειτουργία είναι απαραίτητη για τη λειτουργία των εφαρμογών δικτύου: συστήματα τράπεζας-πελάτη , διάφορα παιχνίδια κ.λπ.) . Επιπλέον, ο διακομιστής μεσολάβησης UserGate υλοποιεί λειτουργίες όπως πρόσβαση σε εσωτερικούς εταιρικούς πόρους, προγραμματιστή εργασιών, σύνδεση σε καταρράκτη διακομιστή μεσολάβησης, παρακολούθηση της κυκλοφορίας και των διευθύνσεων IP των ενεργών χρηστών, τις συνδέσεις τους, τις διευθύνσεις URL που έχουν επισκεφτεί σε πραγματικό χρόνο και πολλά άλλα άλλα.

Λοιπόν, τώρα ήρθε η ώρα να κάνουμε έναν απολογισμό. Εμείς, αγαπητοί αναγνώστες, εξετάσαμε λεπτομερώς τον διακομιστή μεσολάβησης UserGate, με τη βοήθεια του οποίου μπορείτε να οργανώσετε τη γενική πρόσβαση στο Διαδίκτυο σε οποιοδήποτε γραφείο. Και ήμασταν πεπεισμένοι ότι αυτή η εξέλιξη συνδυάζει την απλότητα και την ευκολία εγκατάστασης και χρήσης με ένα πολύ εκτεταμένο σύνολο λειτουργιών. Όλα αυτά κάνουν την τελευταία έκδοση του UserGate ένα πολύ ελκυστικό προϊόν.

Σημείωση:Αυτό το άρθρο έχει υποστεί επεξεργασία, ενημερώθηκε με τρέχοντα δεδομένα και πρόσθετους συνδέσμους.

UserGate Proxy & Firewallείναι μια πύλη Διαδικτύου κατηγορίας UTM (Unified Threat Management) που σας επιτρέπει να παρέχετε και να ελέγχετε τη γενική πρόσβαση των εργαζομένων σε πόρους του Διαδικτύου, να φιλτράρετε κακόβουλους, επικίνδυνους και ανεπιθύμητους ιστότοπους, να προστατεύετε το δίκτυο της εταιρείας από εξωτερικές εισβολές και επιθέσεις, να δημιουργείτε εικονικά δίκτυακαι οργανώστε την ασφαλή πρόσβαση VPN σε πόρους δικτύου από το εξωτερικό, καθώς και διαχείριση του πλάτους του καναλιού και των εφαρμογών Διαδικτύου.

Το προϊόν είναι μια αποτελεσματική εναλλακτική λύση σε ακριβό λογισμικό και υλικό και προορίζεται για χρήση σε μικρές και μεσαίες επιχειρήσεις, κυβερνητικούς φορείς και μεγάλους οργανισμούς με δομή υποκαταστημάτων.

Ολα Επιπλέον πληροφορίεςσχετικά με το προϊόν που μπορείτε να βρείτε.

Το πρόγραμμα διαθέτει πρόσθετες ενότητες επί πληρωμή:

Kaspersky Antivirus
Panda Antivirus
Avira Antivirus
Φιλτράρισμα URL Entensys

Η άδεια για κάθε ενότητα παρέχεται για ένα ημερολογιακό έτος. Μπορείτε να δοκιμάσετε τη λειτουργία όλων των μονάδων σε ένα δοκιμαστικό κλειδί, το οποίο μπορεί να παρέχεται για περίοδο 1 έως 3 μηνών για απεριόριστο αριθμό χρηστών.

Μπορείτε να διαβάσετε αναλυτικά τους κανόνες αδειοδότησης.

Για όλες τις ερωτήσεις που σχετίζονται με την αγορά λύσεων Entensys, επικοινωνήστε με: [email προστατευμένο]ή καλώντας τη γραμμή χωρίς χρέωση: 8-800-500-4032.

Απαιτήσεις συστήματος

Για να οργανώσετε μια πύλη, χρειάζεστε έναν υπολογιστή ή διακομιστή που πρέπει να πληροί τις ακόλουθες απαιτήσεις συστήματος:

Συχνότητα CPU: από 1,2 GHz
Χωρητικότητα RAM: από 1024 Gb
Χωρητικότητα σκληρού δίσκου: από 80 GB
Αριθμός προσαρμογέων δικτύου: 2 ή περισσότεροι

Όσο μεγαλύτερος είναι ο αριθμός των χρηστών (σε σχέση με 75 χρήστες), τόσο μεγαλύτερα θα πρέπει να είναι τα χαρακτηριστικά του διακομιστή.

Συνιστούμε να εγκαταστήσετε το προϊόν μας σε υπολογιστή με «καθαρό» διακομιστή λειτουργικό σύστημα, το προτεινόμενο λειτουργικό σύστημα είναι τα Windows 2008/2012.
Δεν εγγυόμαστε τη σωστή λειτουργία του UserGate Proxy&Firewall ή/και τη συνεργασία υπηρεσιών τρίτων και Δεν συνιστούμε τη χρήση του μαζίμε υπηρεσίες στην πύλη, η οποία εκτελεί τους ακόλουθους ρόλους:

Είναι ελεγκτής τομέα
Είναι μια εικονική μηχανή hypervisor
Είναι διακομιστή τερματικού
Λειτουργεί ως διακομιστής DBMS/DNS/HTTP υψηλού φορτίου κ.λπ.
Λειτουργεί ως διακομιστής SIP
Εκτελεί υπηρεσίες ή υπηρεσίες κρίσιμες για τις επιχειρήσεις
Ολα τα παραπανω

Το UserGate Proxy&Firewall ενδέχεται επί του παρόντος να έρχεται σε διένεξη με τους ακόλουθους τύπους λογισμικού:

Όλα χωρίς εξαίρεση τρίτο μέροςΛύσεις τείχους προστασίας/τείχους προστασίας
Προϊόντα προστασίας από ιούς BitDefender
Ενότητες προστασίας από ιούς που εκτελούν τη λειτουργία Τείχους προστασίας ή Anti-Hacker των περισσότερων προϊόντων προστασίας από ιούς. Συνιστάται να απενεργοποιήσετε αυτές τις μονάδες
Μονάδες προστασίας από ιούς που σαρώνουν δεδομένα που μεταδίδονται μέσω πρωτοκόλλων HTTP/SMTP/POP3 μπορεί να προκαλέσει καθυστέρηση κατά την ενεργή εργασία μέσω διακομιστή μεσολάβησης
Προϊόντα λογισμικού τρίτων που είναι σε θέση να υποκλοπούν δεδομένα από προσαρμογείς δικτύου - "μετρητές ταχύτητας", "σχηματιστές" κ.λπ.
Ενεργός ρόλος διακομιστή Windows "Δρομολόγηση και απομακρυσμένη πρόσβαση" σε λειτουργία NAT/Κοινή χρήση σύνδεσης στο Διαδίκτυο (ICS).

Προσοχή!Κατά την εγκατάσταση, συνιστάται να απενεργοποιήσετε την υποστήριξη πρωτοκόλλου IPv6 στην πύλη, υπό την προϋπόθεση ότι δεν χρησιμοποιούνται εφαρμογές που χρησιμοποιούν IPv6. Η τρέχουσα εφαρμογή του UserGate Proxy&Firewall δεν υποστηρίζει το πρωτόκολλο IPv6 και, κατά συνέπεια, δεν πραγματοποιείται φιλτράρισμα αυτού του πρωτοκόλλου. Έτσι, ο κεντρικός υπολογιστής μπορεί να είναι προσβάσιμος από το εξωτερικό μέσω του πρωτοκόλλου IPv6 ακόμη και με ενεργοποιημένους απαγορευτικούς κανόνες τείχους προστασίας.

Όταν έχει ρυθμιστεί σωστά, το UserGate Proxy&Firewall είναι συμβατό με τις ακόλουθες υπηρεσίες:

Ρόλοι Microsoft Windows Server:

Διακομιστής DNS
Διακομιστής DHCP
Διακομιστής εκτύπωσης
Διακομιστής αρχείων (SMB).
Διακομιστής εφαρμογών
Διακομιστής WSUS
Διακομιστής WEB
διακομιστής WINS
Διακομιστής VPN

Και με προϊόντα τρίτων:

Διακομιστές FTP/SFTP
Διακομιστές ανταλλαγής μηνυμάτων - IRC/XMPP

Κατά την εγκατάσταση του UserGate Proxy&Firewall, βεβαιωθείτε ότι το λογισμικό τρίτου κατασκευαστή δεν χρησιμοποιεί τη θύρα ή τις θύρες που μπορεί να χρησιμοποιήσει το UserGate Proxy&Firewall. Από προεπιλογή, το UserGate χρησιμοποιεί τις ακόλουθες θύρες:

25 - Διακομιστής μεσολάβησης SMTP
80 - διαφανής διακομιστής μεσολάβησης HTTP
110 - διακομιστής μεσολάβησης POP3
2345 - Κονσόλα διαχειριστή UserGate
5455 - Διακομιστής VPN UserGate
5456 - Πελάτης εξουσιοδότησης UserGate
5458 - Προώθηση DNS
8080 - διακομιστής μεσολάβησης HTTP
8081 - Στατιστικά στοιχεία ιστού UserGate

Όλες οι θύρες μπορούν να αλλάξουν χρησιμοποιώντας την κονσόλα διαχειριστή UserGate.

Εγκατάσταση του προγράμματος και επιλογή βάσης δεδομένων για εργασία

UserGate Proxy & Firewall Setup Wizard

Μια πιο λεπτομερής περιγραφή της ρύθμισης κανόνων NAT περιγράφεται σε αυτό το άρθρο:

Πράκτορας UserGate

Μετά την εγκατάσταση του UserGate Proxy&Firewall Αναγκαίωςεπανεκκινήστε την πύλη. Μετά την εξουσιοδότηση στο σύστημα, το εικονίδιο του παράγοντα UserGate στη γραμμή εργασιών των Windows δίπλα στο ρολόι θα πρέπει να γίνει πράσινο. Εάν το εικονίδιο είναι γκρι, σημαίνει ότι παρουσιάστηκε σφάλμα κατά τη διαδικασία εγκατάστασης και δεν εκτελείται η υπηρεσία διακομιστή μεσολάβησης και τείχους προστασίας UserGate, σε αυτήν την περίπτωση, ανατρέξτε στην αντίστοιχη ενότητα της γνωσιακής βάσης του Entensys ή στο τεχνική υποστήριξηΕταιρεία Entensys.

Το προϊόν διαμορφώνεται μέσω της κονσόλας διαχείρισης UserGate Proxy&Firewall, η οποία μπορεί να κληθεί είτε κάνοντας διπλό κλικ στο εικονίδιο του παράγοντα UserGate είτε στη συντόμευση από το μενού Έναρξη.
Όταν εκκινείτε την κονσόλα διαχείρισης, το πρώτο βήμα είναι να καταχωρήσετε το προϊόν σας.

Γενικές Ρυθμίσεις

Στην ενότητα Γενικές ρυθμίσεις της κονσόλας διαχειριστή, ορίστε τον κωδικό πρόσβασης για τον χρήστη διαχειριστή. Σπουδαίος!Μη χρησιμοποιείτε ειδικούς χαρακτήρες Unicode ή το PIN του προϊόντος ως κωδικό πρόσβασης για πρόσβαση στην κονσόλα διαχείρισης.

Το προϊόν UserGate Proxy&Firewall έχει μηχανισμός προστασίας από επίθεση, μπορείτε επίσης να το ενεργοποιήσετε στο μενού "Γενικές ρυθμίσεις". Ο μηχανισμός προστασίας επίθεσης είναι ένας ενεργός μηχανισμός, ένα είδος «κόκκινου κουμπιού» που λειτουργεί σε όλες τις διεπαφές. Συνιστάται η χρήση αυτής της λειτουργίας σε περίπτωση Επιθέσεις DDoSή μαζική μόλυνση υπολογιστών εντός του τοπικού δικτύου με κακόβουλο λογισμικό (ιούς/worm/εφαρμογές botnet). Ο μηχανισμός προστασίας επίθεσης μπορεί να μπλοκάρει χρήστες που χρησιμοποιούν πελάτες κοινής χρήσης αρχείων - torrents, απευθείας σύνδεση, ορισμένους τύπους πελατών/διακομιστών VoIP που ανταλλάσσουν ενεργά κίνηση. Για να λάβετε τις διευθύνσεις IP των αποκλεισμένων υπολογιστών, ανοίξτε το αρχείο ProgramData\Entensys\Usergate6\logging\fw.logή Έγγραφα και ρυθμίσεις\Όλοι οι χρήστες\Δεδομένα εφαρμογής\Entensys\Usergate6\logging\fw.log.

Προσοχή!Συνιστάται η αλλαγή των παραμέτρων που περιγράφονται παρακάτω μόνο εάν υπάρχει μεγάλος αριθμός πελατών/υψηλών απαιτήσεων διεκπεραίωσης πύλης.

Αυτή η ενότητα περιέχει επίσης τις ακόλουθες ρυθμίσεις: "Μέγιστος αριθμός συνδέσεων" - ο μέγιστος αριθμός όλων των συνδέσεων μέσω NAT και μέσω του διακομιστή μεσολάβησης UserGate Proxy&Firewall.

"Μέγιστος αριθμός συνδέσεων NAT" - ο μέγιστος αριθμός συνδέσεων που μπορεί να περάσει το UserGate Proxy&Firewall μέσω του προγράμματος οδήγησης NAT.

Εάν ο αριθμός των πελατών δεν είναι μεγαλύτερος από 200-300, τότε δεν συνιστάται η αλλαγή των ρυθμίσεων "Μέγιστος αριθμός συνδέσεων" και "Μέγιστος αριθμός συνδέσεων NAT". Η αύξηση αυτών των παραμέτρων μπορεί να οδηγήσει σε σημαντικό φορτίο στο υλικό πύλης και συνιστάται μόνο κατά τη βελτιστοποίηση ρυθμίσεων για μεγάλο αριθμό πελατών.

Διεπαφές

Προσοχή!Πριν το κάνετε αυτό, φροντίστε να ελέγξετε τις ρυθμίσεις του προσαρμογέα δικτύου στα Windows! Η διεπαφή που είναι συνδεδεμένη στο τοπικό δίκτυο (LAN) δεν πρέπει να περιέχει διεύθυνση πύλης! Δεν είναι απαραίτητο να προσδιορίσετε διακομιστές DNS στις ρυθμίσεις του προσαρμογέα LAN, η διεύθυνση IP πρέπει να εκχωρηθεί με μη αυτόματο τρόπο.

Η διεύθυνση IP του προσαρμογέα LAN πρέπει να έχει ιδιωτική διεύθυνση IP. Είναι αποδεκτή η χρήση διεύθυνσης IP από τις ακόλουθες περιοχές:

10.0.0.0 - 10.255.255.255 (10/8 πρόθεμα) 172.16.0.0 - 172.31.255.255 (172.16/12 πρόθεμα) 192.168.0.0 - 192.16.165.

Η κατανομή των διευθύνσεων ιδιωτικού δικτύου περιγράφεται στο RFC 1918 .

Η χρήση άλλων περιοχών ως διευθύνσεων για το τοπικό δίκτυο θα οδηγήσει σε σφάλματα στη λειτουργία του UserGate Proxy&Firewall.

Η διεπαφή που είναι συνδεδεμένη στο Διαδίκτυο (WAN) πρέπει να περιέχει μια διεύθυνση IP, μάσκα δικτύου, διεύθυνση πύλης και διευθύνσεις διακομιστή DNS.
Δεν συνιστάται η χρήση περισσότερων από τρεις διακομιστές DNS στις ρυθμίσεις του προσαρμογέα WAN, αυτό μπορεί να οδηγήσει σε σφάλματα στη λειτουργία του δικτύου. Πρώτα ελέγξτε τη λειτουργικότητα κάθε διακομιστή DNS χρησιμοποιώντας την εντολή nslookup στην κονσόλα cmd.exe, για παράδειγμα:

nslookup usergate.ru 8.8.8.8

όπου 8.8.8.8 είναι η διεύθυνση διακομιστή DNS. Η απάντηση πρέπει να περιέχει τη διεύθυνση IP του διακομιστή που ζητήθηκε. Εάν δεν υπάρχει απάντηση, τότε ο διακομιστής DNS δεν είναι έγκυρος ή η κυκλοφορία DNS έχει αποκλειστεί.

Είναι απαραίτητο να προσδιοριστεί ο τύπος των διεπαφών. Η διεπαφή με μια διεύθυνση IP που είναι συνδεδεμένη στο εσωτερικό δίκτυο πρέπει να είναι τύπου LAN. διεπαφή που είναι συνδεδεμένη στο Διαδίκτυο - WAN.

Εάν υπάρχουν πολλές διεπαφές WAN, τότε πρέπει να επιλέξετε την κύρια διεπαφή WAN μέσω της οποίας θα ρέει όλη η κίνηση κάνοντας δεξί κλικ πάνω της και επιλέγοντας «Ορισμός ως κύρια σύνδεση». Εάν σκοπεύετε να χρησιμοποιήσετε μια άλλη διεπαφή WAN ως εφεδρικό κανάλι, συνιστούμε να χρησιμοποιήσετε τον "Οδηγό εγκατάστασης".

Προσοχή!Κατά τη ρύθμιση μιας εφεδρικής σύνδεσης, συνιστάται να προσδιορίζετε όχι το όνομα κεντρικού υπολογιστή DNS, αλλά τη διεύθυνση IP, έτσι ώστε το UserGate Proxy&Firewall να το κάνει περιοδικά δημοσκόπηση χρησιμοποιώντας αιτήματα icmp (ping) και, εάν δεν υπάρχει απάντηση, να ενεργοποιεί τη σύνδεση αντιγράφου ασφαλείας. Βεβαιωθείτε ότι οι διακομιστές DNS στις ρυθμίσεις του προσαρμογέα αντιγράφων ασφαλείας δικτύου στα Windows λειτουργούν.

Χρήστες και ομάδες

Για να συνδεθεί ο υπολογιστής-πελάτης στην πύλη και να αποκτήσει πρόσβαση στις υπηρεσίες UserGate Proxy&Firewall και NAT, πρέπει να προσθέσετε χρήστες. Για να απλοποιήσετε αυτή τη διαδικασία, χρησιμοποιήστε τη λειτουργία σάρωσης - "Σάρωση τοπικού δικτύου". Το UserGate Proxy&Firewall θα σαρώσει ανεξάρτητα το τοπικό δίκτυο και θα παρέχει μια λίστα κεντρικών υπολογιστών που μπορούν να προστεθούν στη λίστα των χρηστών. Στη συνέχεια, μπορείτε να δημιουργήσετε ομάδες και να συμπεριλάβετε χρήστες σε αυτές.

Εάν έχετε αναπτύξει έναν ελεγκτή τομέα, τότε μπορείτε να διαμορφώσετε τον συγχρονισμό ομάδων με ομάδες στην υπηρεσία καταλόγου Active Directory ή να εισάγετε χρήστες από την υπηρεσία καταλόγου Active Directory, χωρίς συνεχή συγχρονισμό με την υπηρεσία καταλόγου Active Directory.

Δημιουργούμε μια ομάδα που θα συγχρονιστεί με την ομάδα ή τις ομάδες από το AD, εισάγουμε τα απαραίτητα δεδομένα στο μενού "Συγχρονισμός με AD" και επανεκκινούμε την υπηρεσία UserGate χρησιμοποιώντας τον παράγοντα UserGate. Μετά από 300 δευτερόλεπτα. οι χρήστες εισάγονται αυτόματα στην ομάδα. Αυτοί οι χρήστες θα ορίσουν τη μέθοδο ελέγχου ταυτότητας σε AD.

Τείχος προστασίας

Για σωστή και ασφαλή λειτουργία της πύλης είναι απαραίτητο Αναγκαίωςδιαμορφώστε το τείχος προστασίας.

Συνιστάται ο ακόλουθος αλγόριθμος λειτουργίας τείχους προστασίας: αποκλείστε όλη την κυκλοφορία και, στη συνέχεια, προσθέστε επιτρεπόμενους κανόνες στις απαραίτητες κατευθύνσεις. Για να γίνει αυτό, ο κανόνας #NONUSER# πρέπει να οριστεί σε λειτουργία "Απόρριψη" (αυτό θα απαγορεύσει όλη την τοπική κυκλοφορία στην πύλη). Προσεκτικά!Εάν ρυθμίσετε απομακρυσμένα το UserGate Proxy&Firewall, θα αποσυνδεθείτε από τον διακομιστή. Στη συνέχεια, πρέπει να δημιουργήσετε επιτρεπόμενους κανόνες.

Επιτρέπουμε όλη την τοπική κυκλοφορία, σε όλες τις θύρες από την πύλη προς το τοπικό δίκτυο και από το τοπικό δίκτυο στην πύλη, δημιουργώντας κανόνες με τις ακόλουθες παραμέτρους:

Πηγή - "LAN", προορισμός - "Οποιοδήποτε", υπηρεσίες - ΟΠΟΙΑΔΗΠΟΤΕ:ΠΛΗΡΗΣ, ενέργεια - "Να επιτρέπεται"
Πηγή - "Οποιοδήποτε", προορισμός - "LAN", υπηρεσίες - ΟΠΟΙΑΔΗΠΟΤΕ:ΠΛΗΡΗΣ, ενέργεια - "Να επιτρέπεται"

Στη συνέχεια, δημιουργούμε έναν κανόνα που θα ανοίξει την πρόσβαση στο Διαδίκτυο για την πύλη:

Πηγή - "WAN"; προορισμός - "Οποιοδήποτε" υπηρεσίες - ΟΠΟΙΑΔΗΠΟΤΕ:ΠΛΗΡΕΣ; δράση - "Να επιτρέπεται"

Εάν πρέπει να επιτρέψετε την πρόσβαση για εισερχόμενες συνδέσεις σε όλες τις θύρες προς την πύλη, τότε ο κανόνας θα μοιάζει με αυτό:

Πηγή - "Οποιαδήποτε"? προορισμός - "WAN"? υπηρεσίες - ΟΠΟΙΑΔΗΠΟΤΕ:ΠΛΗΡΕΣ; δράση - "Να επιτρέπεται"

Και αν χρειάζεστε την πύλη για να αποδέχεστε εισερχόμενες συνδέσεις, για παράδειγμα, μόνο μέσω RDP (TCP:3389) και μπορεί να γίνει ping από έξω, τότε πρέπει να δημιουργήσετε τον ακόλουθο κανόνα:

Πηγή - "Οποιαδήποτε"? προορισμός - "WAN"? υπηρεσίες - Οποιοδήποτε ICMP, RDP. δράση - "Να επιτρέπεται"

Σε όλες τις άλλες περιπτώσεις, για λόγους ασφαλείας, η δημιουργία κανόνα για τις εισερχόμενες συνδέσεις δεν είναι απαραίτητη.

Για να δώσετε στους υπολογιστές-πελάτες πρόσβαση στο Διαδίκτυο, πρέπει να δημιουργήσετε έναν κανόνα μετάφρασης διευθύνσεων δικτύου (NAT).

Πηγή - "LAN"? προορισμός - "WAN"? υπηρεσίες - ΟΠΟΙΑΔΗΠΟΤΕ:ΠΛΗΡΕΣ; δράση - "Να επιτρέπεται"? επιλέξτε χρήστες ή ομάδες στις οποίες θέλετε να παραχωρήσετε πρόσβαση.

Είναι δυνατό να διαμορφώσετε κανόνες τείχους προστασίας - να επιτρέψετε ό,τι απαγορεύεται ρητά και αντίστροφα, να απαγορεύσετε ό,τι σαφώς επιτρέπεται, ανάλογα με το πώς διαμορφώνετε τον κανόνα #NON_USER# και ποια είναι η πολιτική της εταιρείας σας. Όλοι οι κανόνες έχουν προτεραιότητα - οι κανόνες λειτουργούν με τη σειρά από πάνω προς τα κάτω.

Μπορούν να προβληθούν επιλογές για διάφορες ρυθμίσεις και παραδείγματα κανόνων τείχους προστασίας.

Αλλες ρυθμίσεις

Στη συνέχεια, στην ενότητα Υπηρεσίες - Διακομιστής μεσολάβησης, μπορείτε να ενεργοποιήσετε τους απαραίτητους διακομιστές μεσολάβησης - HTTP, FTP, SMTP, POP3, SOCKS. Επιλέγω απαιτούμενες διεπαφές, η ενεργοποίηση της επιλογής "ακρόαση σε όλες τις διεπαφές" ενδέχεται να μην είναι ασφαλής, επειδή ο διακομιστής μεσολάβησης σε αυτήν την περίπτωση θα είναι διαθέσιμος τόσο σε διεπαφές LAN όσο και σε εξωτερικές διεπαφές. Η "διαφανής" λειτουργία διακομιστή μεσολάβησης δρομολογεί όλη την κίνηση στην επιλεγμένη θύρα στη θύρα διακομιστή μεσολάβησης, σε αυτήν την περίπτωση, δεν χρειάζεται να ορίσετε διακομιστή μεσολάβησης σε υπολογιστές-πελάτες. Ο διακομιστής μεσολάβησης παραμένει επίσης διαθέσιμος στη θύρα που καθορίζεται στις ρυθμίσεις του ίδιου του διακομιστή μεσολάβησης.

Εάν η λειτουργία διαφανούς διακομιστή μεσολάβησης είναι ενεργοποιημένη στον διακομιστή (Υπηρεσίες - Ρυθμίσεις διακομιστή μεσολάβησης), τότε αρκεί να ορίσετε τον διακομιστή UserGate ως την κύρια πύλη στις ρυθμίσεις δικτύου στο μηχάνημα-πελάτη. Μπορείτε επίσης να καθορίσετε τον διακομιστή UserGate ως διακομιστή DNS, σε αυτήν την περίπτωση, πρέπει να είναι ενεργοποιημένος.

Εάν η διαφανής λειτουργία είναι απενεργοποιημένη στον διακομιστή, τότε πρέπει να εισαγάγετε τη διεύθυνση διακομιστή UserGate και την αντίστοιχη θύρα διακομιστή μεσολάβησης που καθορίζεται στις Υπηρεσίες - Ρυθμίσεις διακομιστή μεσολάβησης στις ρυθμίσεις σύνδεσης του προγράμματος περιήγησης. Μπορείτε να δείτε ένα παράδειγμα ρύθμισης διακομιστή UserGate για μια τέτοια περίπτωση.

Εάν το δίκτυό σας διαθέτει διαμορφωμένο διακομιστή DNS, μπορείτε να τον καθορίσετε στις ρυθμίσεις προώθησης DNS του UserGate και στις ρυθμίσεις του προσαρμογέα UserGate WAN. Σε αυτήν την περίπτωση, τόσο σε λειτουργία NAT όσο και σε λειτουργία διακομιστή μεσολάβησης, όλα τα αιτήματα DNS θα κατευθύνονται σε αυτόν τον διακομιστή.