Examen du serveur proxy UserGate - une solution complète pour fournir un accès public à Internet. Examen du serveur proxy UserGate - une solution complète pour fournir un accès partagé à Internet en mode transparent

Après avoir connecté Internet au bureau, chaque patron veut savoir ce qu'il paie. Surtout si le tarif n'est pas illimité, mais basé sur le trafic. Il existe plusieurs façons de résoudre les problèmes de contrôle du trafic et d'organisation de l'accès à Internet à l'échelle de l'entreprise. Je parlerai de la mise en œuvre du serveur proxy UserGate pour obtenir des statistiques et contrôler la bande passante du canal en utilisant mon expérience comme exemple.

Je dirai tout de suite que j'ai utilisé le service UserGate (version 4.2.0.3459), mais les modalités d'organisation des accès et les technologies utilisées sont également utilisées dans d'autres serveurs proxy. Ainsi, les étapes décrites ici conviennent généralement à d'autres solutions logicielles (par exemple, Kerio Winroute Firewall ou d'autres proxys), avec des différences mineures dans les détails d'implémentation de l'interface de configuration.

Je vais décrire la tâche qui m'est assignée : Il y a un réseau de 20 machines, il y a un modem ADSL dans le même sous-réseau (en alternance 512/512 kbit/s). Il est nécessaire de limiter la vitesse maximale des utilisateurs et de suivre le trafic. La tâche est un peu compliquée par le fait que l'accès aux paramètres du modem est fermé par le fournisseur (l'accès n'est possible que via le terminal, mais le mot de passe est chez le fournisseur). La page de statistiques sur le site Web du fournisseur n'est pas disponible (Ne demandez pas pourquoi, il n'y a qu'une seule réponse : l'entreprise entretient une telle relation avec le fournisseur).

Nous installons le usergate et l'activons. Pour organiser l'accès au réseau nous utiliserons NAT ( Traduction d'adresses réseau- « traduction d'adresse réseau »). Pour que la technologie fonctionne, il est nécessaire d'avoir deux cartes réseau sur la machine sur laquelle nous installerons le serveur (service) UserGate (Il est possible que vous puissiez faire fonctionner NAT sur une carte réseau en lui attribuant deux adresses IP dans différents sous-réseaux).

Donc, étape de configuration initiale - configuration du pilote NAT(pilote de UserGate, installé lors de l'installation principale du service). Nous deux interfaces réseau requises(lire les cartes réseau) sur le matériel du serveur ( Pour moi, ce n'était pas un problème, car... J'ai déployé UserGate sur une machine virtuelle. Et là, vous pouvez créer « de nombreuses » cartes réseau).

Idéalement, pour Le modem lui-même est connecté à une carte réseau, UN au second - l'ensemble du réseau, à partir duquel ils accéderont à Internet. Dans mon cas, le modem est installé dans des pièces différentes avec le serveur (machine physique), et je suis trop paresseux et n'ai pas le temps de déplacer le matériel (et dans un futur proche, l'organisation d'une salle de serveurs se profile). J'ai connecté les deux cartes réseau au même réseau (physiquement), mais je les ai configurées pour différents sous-réseaux. Comme je n'ai pas pu modifier les paramètres du modem (l'accès a été bloqué par le fournisseur), j'ai dû transférer tous les ordinateurs vers un autre sous-réseau (heureusement, cela se fait facilement via DHCP).

Carte réseau connectée au modem ( l'Internet) configuré comme auparavant (selon les données du fournisseur).

Nous nommons Adresse IP statique(dans mon cas, c'est 192.168.0.5) ;
Je n'ai pas modifié le masque de sous-réseau 255.255.255.0, mais il peut être configuré de telle manière qu'il n'y aura que deux appareils dans le sous-réseau du serveur proxy et du modem ;
Passerelle - adresse du modem 192.168.0.1
Adresses des serveurs DNS du fournisseur ( principal et supplémentaire requis).

Deuxième carte réseau, connecté au réseau interne ( intranet), configuré comme suit :

Statique Adresse IP, mais dans un sous-réseau différent(J'ai 192.168.1.5);
Masquez en fonction de vos paramètres réseau (j'ai le 255.255.255.0) ;
passerelle nous n'indiquons pas.
Dans le champ Adresse du serveur DNS entrez l'adresse du serveur DNS de l'entreprise(si c'est le cas, sinon laissez-le vide).

Remarque : vous devez vous assurer que l'utilisation du composant NAT de UserGate est sélectionnée dans les paramètres de l'interface réseau.

Après avoir configuré les interfaces réseau lancer le service UserGate lui-même(n'oubliez pas de le configurer pour qu'il fonctionne en tant que service afin de démarrer automatiquement avec les droits système) et allez dans la console de gestion(éventuellement localement ou à distance). Allez dans « Règles du réseau » et sélectionnez « Assistant de configuration NAT", vous devrez indiquer votre intranet ( intranet) et Internet ( l'Internet) adaptateurs. Intranet - un adaptateur connecté à un réseau interne. L'assistant configurera le pilote NAT.

Après cela besoin de comprendre les règles NAT, pour lequel nous allons dans « Paramètres réseau » - « NAT ». Chaque règle possède plusieurs champs et un statut (actif et inactif). L'essence des champs est simple :

Titre - le nom de la règle, Je recommande de donner quelque chose de significatif(il n'est pas nécessaire d'écrire des adresses et des ports dans ce champ, ces informations seront déjà disponibles dans la liste des règles) ;
L'interface du récepteur est à vous interface intranet(dans mon cas 192.168.1.5) ;
L'interface de l'expéditeur est la vôtre interface internet(sur le même sous-réseau avec le modem, dans mon cas 192.168.0.5) ;
Port— indiquer à quelle catégorie s'applique cette règle ( par exemple, pour le port 80 du navigateur (HTTP) et pour la réception du courrier, le port 110). Vous pouvez spécifier une plage de ports, si vous ne voulez pas vous embêter, mais il n'est pas recommandé de le faire pour toute la gamme de ports.
Protocole - sélectionnez l'une des options dans le menu déroulant : TCP(généralement), MISE À JOUR ou ICMP(par exemple, pour faire fonctionner les commandes ping ou tracert).

Initialement, la liste des règles contient déjà les règles les plus utilisées nécessaires au fonctionnement du courrier et de divers types de programmes. Mais j'ai complété la liste standard avec mes propres règles : pour travailler les requêtes DNS (sans utiliser l'option de transfert dans UserGate), pour travailler en mode protégé Connexions SSL, pour le client torrent, pour le programme Radmin, etc. Voici des captures d'écran de ma liste de règles. La liste est encore petite, mais elle s'allonge au fil du temps (avec l'émergence de la nécessité de travailler sur un nouveau port).

La prochaine étape consiste à configurer les utilisateurs. Dans mon cas j'ai choisi autorisation par adresse IP et adresse MAC. Il existe des options d'autorisation uniquement par adresse IP et informations d'identification Active Directory. Vous pouvez également utiliser l'autorisation HTTP (chaque fois que les utilisateurs saisissent pour la première fois un mot de passe via le navigateur). Nous créons des utilisateurs et des groupes d'utilisateurs Et attribuez-leur les règles NAT utilisées(Nous devons donner à l'utilisateur Internet dans le navigateur - nous activons la règle HTTP avec le port 80 pour lui, nous devons lui donner ICQ - la règle ICQ avec ensuite 5190).

Enfin, lors de la phase d'implémentation, j'ai configuré les utilisateurs pour qu'ils travaillent via un proxy. Pour cela, j'ai utilisé le service DHCP. Les paramètres suivants sont transférés aux machines client :

Adresse IP - dynamique de DHCP dans la plage du sous-réseau intranet (dans mon cas, la plage est 192.168.1.30 -192.168.1.200. Pour les voitures nécessaires réservation d'adresse IP configurée).
Masque de sous-réseau (255.255.255.0)
Passerelle - adresse de la machine avec UserGate sur le réseau local (adresse Intranet - 192.168.1.5)
Serveurs DNS – je fournis 3 adresses. Le premier est l'adresse du serveur DNS de l'entreprise, les deuxième et troisième sont les adresses DNS du fournisseur. (Le DNS de l’entreprise est configuré pour rediriger vers le DNS du fournisseur, donc en cas de « chute » du DNS local, les noms Internet seront résolus sur le DNS du fournisseur).

Sur ce configuration de base terminée. Gauche vérifier la fonctionnalité, pour le faire sur la machine client dont vous avez besoin (en recevant les paramètres de DHCP ou en les ajoutant manuellement, conformément aux recommandations ci-dessus) lancez le navigateur et ouvrez n'importe quelle page sur Internet. Si quelque chose ne fonctionne pas, vérifiez à nouveau la situation :

Les paramètres de la carte réseau client sont-ils corrects ? (est-ce que la machine avec le serveur proxy cingle ?)
L'utilisateur/l'ordinateur est-il autorisé sur le serveur proxy ? (voir méthodes d'autorisation UserGate)
L'utilisateur/le groupe dispose-t-il des règles NAT activées qui sont nécessaires au fonctionnement ? (pour que le navigateur fonctionne, vous avez besoin d'au moins des règles HTTP pour le protocole TCP sur le port 80).
Les limites de trafic pour l'utilisateur ou le groupe sont-elles dépassées ? (Je ne l'ai pas présenté moi-même).

Vous pouvez désormais surveiller les utilisateurs connectés et les règles NAT qu'ils utilisent dans l'élément « Surveillance » de la console de gestion du serveur proxy.

D'autres paramètres de proxy sont déjà en cours de réglage, à des exigences spécifiques. La première chose que j'ai faite a été d'activer la limitation de bande passante dans les propriétés utilisateur (vous pourrez plus tard implémenter un système de règles pour limiter la vitesse) et d'activer des services UserGate supplémentaires - un serveur proxy (HTTP sur le port 8080, SOCKS5 sur le port 1080). L'activation des services proxy vous permet d'utiliser la mise en cache des demandes. Mais il est nécessaire d'effectuer une configuration supplémentaire des clients pour travailler avec le serveur proxy.

Des questions? Je suggère de leur demander ici.

________________________________________

Dans cet article je vais vous parler d'un nouveau produit d'Entensys, dont nous sommes partenaires dans trois domaines, UserGate Proxy & Firewall 6.2.1.

Bonjour, cher visiteur. L'année 2013 est derrière nous, pour certains cela a été difficile, pour d'autres cela a été facile, mais le temps passe vite, et si l'on considère qu'une nanoseconde vaut 10 −9 Avec. alors ça vole. Dans cet article je vais vous parler d'un nouveau produit d'Entensys, dont nous sommes partenaires dans trois domaines UserGate Proxy & Firewall 6.2.1.

Du point de vue de l'administration de la version 6.2 de UserGate Proxy & Firewall 5.2F, dont nous pratiquons avec succès la mise en œuvre dans notre pratique d'externalisation informatique, est pratiquement inexistante. Nous utiliserons Hyper-V comme environnement de laboratoire, soit deux machines virtuelles première génération, partie serveur sur Windows Server 2008 R2 SP1, partie client Windows 7 SP1. Pour une raison que je ne connais pas, UserGate version 6 ne s'installe pas sur Windows Server 2012 et Windows Server 2012 R2.

Alors, qu’est-ce qu’un serveur proxy ?

Serveur proxy(du proxy anglais - « representative,authorized ») - un service (un ensemble de programmes) dans réseaux informatiques, permettant aux clients de faire des requêtes indirectes à d'autres services réseau. Tout d'abord, le client se connecte au serveur proxy et demande une ressource (par exemple, un courrier électronique) située sur un autre serveur. Ensuite, le serveur proxy se connecte au serveur spécifié et en obtient la ressource, ou renvoie la ressource depuis son propre cache (dans les cas où le proxy possède son propre cache). Dans certains cas, la demande du client ou la réponse du serveur peuvent être modifiées par le serveur proxy à certaines fins. Un serveur proxy vous permet également de protéger l’ordinateur du client contre certaines attaques réseau et contribue à maintenir l’anonymat du client.

QuoitelProxy et pare-feu UserGate ?

Proxy et pare-feu UserGate est une solution complète pour connecter les utilisateurs à Internet, offrant une comptabilité complète du trafic, un contrôle d'accès et une protection réseau intégrée.

À partir de la définition, examinons les solutions proposées par Entensys dans son produit, la manière dont le trafic est calculé, la manière dont l'accès est limité et les outils de protection fournis par UserGate Proxy & Firewall.

En quoi cela consiste?Porte utilisateur ?

UserGate se compose de plusieurs parties : un serveur, une console d'administration et plusieurs modules supplémentaires. Le serveur est la partie principale du serveur proxy, dans laquelle toutes ses fonctionnalités sont implémentées. Le serveur UserGate fournit un accès à Internet, compte le trafic, conserve des statistiques sur l'activité des utilisateurs sur le réseau et effectue de nombreuses autres tâches.

UserGate Administration Console est un programme conçu pour gérer le serveur UserGate. La console d'administration UserGate communique avec la partie serveur via un protocole sécurisé spécial sur TCP/IP, qui vous permet d'effectuer une administration du serveur à distance.

UserGate comprend trois modules supplémentaires : « Web Statistics », « UserGate Authorization Client » et le module « Application Control ».

Serveur

L'installation côté serveur UserGate est très simple, la seule différence est le choix de la base de données lors du processus d'installation. L'accès à la base de données s'effectue directement (pour la base de données Firebird intégrée) ou via un pilote ODBC, qui permet au serveur UserGate de fonctionner avec des bases de données de presque tous les formats (MSAccess, MSSQL, MySQL). Par défaut, la base de données Firebird est utilisée. Si vous décidez de mettre à jour UserGate à partir des versions précédentes, vous devrez alors dire au revoir à la base de données de statistiques, car : Pour le fichier de statistiques, seul le transfert des soldes utilisateur actuels est pris en charge ; les statistiques de trafic elles-mêmes ne seront pas transférées. Les modifications apportées à la base de données ont été causées par des problèmes de performances avec l'ancienne et des limitations de sa taille. La nouvelle base de données Firebird ne présente pas de tels défauts.

Lancement de la console d'administration.

La console est installée sur la VM du serveur. Lors du premier lancement, la console d'administration s'ouvre sur la page Connexions, qui contient une seule connexion au serveur localhost pour l'utilisateur Administrateur. Le mot de passe de connexion n'a pas été défini. Vous pouvez connecter la console d'administration au serveur en double-cliquant sur la ligne localhost-administrator ou en cliquant sur le bouton de connexion du panneau de configuration. Vous pouvez créer plusieurs connexions dans la console d'administration UserGate.

Les paramètres de connexion spécifient les paramètres suivants :

Le nom du serveur est le nom de la connexion ;
Nom d'utilisateur – identifiant pour vous connecter au serveur ;
Adresse du serveur – nom de domaine ou adresse IP du serveur UserGate ;
Port – Port TCP utilisé pour se connecter au serveur (par défaut, le port 2345 est utilisé) ;
Mot de passe – mot de passe pour la connexion ;
Demander un mot de passe lors de la connexion – cette option vous permet d'afficher une boîte de dialogue pour saisir votre nom d'utilisateur et votre mot de passe lors de la connexion au serveur ;
Se connecter automatiquement à ce serveur – la console d'administration se connectera automatiquement à ce serveur lors de son lancement.

Lors du premier démarrage du serveur, le système propose un assistant d'installation, que nous refusons. Les paramètres de la console d'administration sont stockés dans le fichier console.xml situé dans le répertoire %UserGate%\Administrator.

Configuration des connexions derrière NAT. Paragraphe "Paramètres NAT généraux" vous permet de définir la valeur du délai d'attente pour les connexions NAT via les protocoles TCP, UDP ou ICMP. La valeur du délai d'attente détermine la durée de vie d'une connexion utilisateur via NAT lorsque la transmission des données via la connexion est terminée. Laissons ce paramètre par défaut.

Détecteur d'attaque est une option spéciale qui vous permet d'activer le mécanisme interne pour surveiller et bloquer le scanner de ports ou les tentatives d'occupation de tous les ports du serveur.

Bloquer par ligne de navigateur– une liste des navigateurs du User-Agent pouvant être bloqués par le serveur proxy. Ceux. Vous pouvez, par exemple, empêcher les anciens navigateurs tels que IE 6.0 ou Firefox 3.x d'accéder à Internet.

Interfaces

La section Interfaces est la principale dans les paramètres du serveur UserGate, car elle détermine des problèmes tels que l'exactitude du comptage du trafic, la possibilité de créer des règles pour le pare-feu, les restrictions sur la largeur du canal Internet pour le trafic d'un certain type, la établissement des relations entre les réseaux et l'ordre dans lequel les paquets sont traités par le pilote NAT. Onglet « Interfaces », sélectionnez le type souhaité pour les interfaces. Ainsi, pour un adaptateur connecté à Internet, vous devez sélectionner le type WAN, pour un adaptateur connecté à un réseau local, le type LAN. L'accès Internet pour la VM est partagé, respectivement, l'interface avec l'adresse 192.168.137.118 sera un adaptateur WAN, sélectionnez le type souhaité et cliquez sur « Appliquer ». Ensuite, nous redémarrons le serveur.

Utilisateurs et groupes

L'accès à Internet est fourni uniquement aux utilisateurs ayant obtenu avec succès l'autorisation sur le serveur UserGate. Le programme prend en charge les méthodes d'autorisation utilisateur suivantes :

Par adresse IP
Par plage d'adresses IP
Par adresse IP+MAC
Par adresse MAC
Autorisation via HTTP (HTTP-basic, NTLM)
Autorisation via login et mot de passe (Authorization Client)
Option d'autorisation simplifiée via Active Directory

Pour utiliser les trois dernières méthodes d'autorisation, vous devez installer une application spéciale sur le poste de travail de l'utilisateur - le client d'autorisation UserGate. Le package MSI correspondant (AuthClientInstall.msi) se trouve dans le répertoire %UserGate%\tools et peut être utilisé pour une installation automatique à l'aide de la stratégie de groupe dans Active Directory.

Pour les utilisateurs du terminal, seule l'option « Autorisation via HTTP » est proposée. L'option correspondante est activée dans l'élément Paramètres généraux de la console d'administration.

Vous pouvez créer un nouvel utilisateur via l'élément Ajouter un nouvel utilisateur ou en cliquant sur le bouton Ajouter dans le panneau de configuration sur la page Utilisateurs et groupes.

Il existe une autre façon d'ajouter des utilisateurs : analyser le réseau avec des requêtes ARP. Vous devez cliquer sur un espace vide dans la console d'administration de la page utilisateurs et sélectionnez l'élément analyser le réseau local. Ensuite, définissez les paramètres du réseau local et attendez les résultats de l'analyse. En conséquence, vous verrez une liste d’utilisateurs qui peuvent être ajoutés à UserGate. Eh bien, vérifions, cliquez sur « Analyser le réseau local »

Définissez les paramètres :

Travaux!

Ajouter un utilisateur

Il convient de rappeler que UserGate a une priorité d'authentification, d'abord physique puis logique. Cette méthode n'est pas fiable, parce que l'utilisateur peut modifier l'adresse IP. Ce qui nous convient, c'est l'import de comptes Active Directory, que l'on peut importer facilement en cliquant sur le bouton « Importer », puis « Sélectionner » et le nom de notre compte, « Ok », « Ok ».

Sélectionnez « Groupe », laissez la valeur par défaut « par défaut »

Cliquez sur « OK » et enregistrez les modifications.

Notre utilisateur a été ajouté sans aucun problème. Il est également possible de synchroniser les groupes AD sur l'onglet « Groupes ».

Configuration des services proxy dans UserGate

Les serveurs proxy suivants sont intégrés au serveur UserGate : HTTP (avec prise en charge du mode « FTP sur HTTP » et HTTPS - Méthode Connect), FTP, SOCKS4, SOCKS5, POP3 et SMTP, SIP et H323. Les paramètres du serveur proxy sont disponibles dans la section Services → Paramètres proxy de la console d'administration. Les principaux paramètres du serveur proxy incluent : l'interface et le numéro de port sur lequel le proxy fonctionne. Ainsi, par exemple, activons un proxy HTTP transparent sur notre interface LAN. Allons dans « Paramètres du proxy » et sélectionnons HTTP.

Sélectionnons notre interface, laissons tout par défaut et cliquons sur "OK"

Utiliser le mode transparent

La fonction « Mode transparent » dans les paramètres du serveur proxy est disponible si le serveur UserGate est installé avec le pilote NAT. En mode transparent, le pilote NAT UserGate écoute les ports standards pour les services : 80 TCP pour HTTP, 21 TCP pour FTP, 110 et 25 TCP pour POP3 et SMTP sur les interfaces réseau de l'ordinateur avec UserGate. S'il y a des demandes, il les transfère au serveur proxy UserGate approprié. Lors de l'utilisation du mode transparent dans les applications réseau, les utilisateurs n'ont pas besoin de spécifier l'adresse et le port du serveur proxy, ce qui réduit considérablement le travail de l'administrateur en termes de fourniture d'un accès réseau local à Internet. Cependant, dans les paramètres réseau des postes de travail, le serveur UserGate doit être précisé comme passerelle, et l'adresse du serveur DNS doit être précisée.

Proxy de messagerie dans UserGate

Les serveurs proxy de messagerie de UserGate sont conçus pour fonctionner avec les protocoles POP3 et SMTP et pour l'analyse antivirus du trafic de messagerie. Lors de l'utilisation du mode de fonctionnement transparent du proxy POP3 et SMTP, les paramètres du client de messagerie sur le poste de travail de l'utilisateur ne diffèrent pas des paramètres correspondant à l'option avec accès direct à Internet.

Si le proxy UserGate POP3 est utilisé en mode opaque, alors dans les paramètres du client de messagerie sur le poste de travail de l'utilisateur, l'adresse IP de l'ordinateur avec UserGate et le port correspondant au proxy UserGate POP3 doivent être précisés comme adresse du serveur POP3. De plus, la connexion pour l'autorisation sur le serveur POP3 distant est spécifiée au format suivant : email_address@POP3_server_address. Par exemple, si l'utilisateur dispose d'une boîte aux lettres [email protégé], puis comme identifiant pour le proxy UserGate POP3 dans le client de messagerie, vous devrez spécifier : [email protégé]@pop.mail123.com. Ce format est nécessaire pour que le serveur UserGate puisse déterminer l'adresse du serveur POP3 distant.

Si le proxy SMTP UserGate est utilisé en mode non transparent, alors dans les paramètres du proxy, vous devez spécifier l'adresse IP et le port du serveur SMTP que UserGate utilisera pour envoyer des lettres. Dans ce cas, dans les paramètres du client de messagerie sur le poste de travail de l'utilisateur, l'adresse IP du serveur UserGate et le port correspondant au proxy SMTP UserGate doivent être précisés comme adresse du serveur SMTP. Si une autorisation est requise pour l'envoi, dans les paramètres du client de messagerie, vous devez spécifier le login et le mot de passe correspondant au serveur SMTP, qui sont spécifiés dans les paramètres du proxy SMTP dans UserGate.

Eh bien, ça a l'air cool, vérifions ça en utilisant mail.ru.

Tout d'abord, activons les proxys POP3 et SMTP sur notre serveur. Lors de l'activation de POP3, nous spécifierons l'interface LAN comme port standard 110.

Et assurez-vous également qu'il n'y a pas de coche pour « Proxy transparent » et cliquez sur « Ok » et « Appliquer ».

Décochez « Mode transparent » et écrivez « Options » serveur distant", dans notre cas smtp.mail.ru. Pourquoi un seul serveur est-il indiqué ? Et voici la réponse : on suppose que l'organisation utilise un seul serveur smtp, et c'est ce serveur qui est indiqué dans les paramètres du proxy SMTP.

La première règle pour POP3 devrait ressembler à ceci.

Deuxièmement, comme dirait Alexandre Nevski "Comme ça"

N'oubliez pas le bouton « Appliquer » et passez à la configuration du client. Comme on le rappelle, « Si le proxy UserGate POP3 est utilisé en mode opaque, alors dans les paramètres du client de messagerie sur le poste de travail de l'utilisateur, l'adresse IP de l'ordinateur avec UserGate et le port correspondant au proxy UserGate POP3 doivent être précisés comme l'adresse du serveur POP3. De plus, la connexion pour l'autorisation sur le serveur POP3 distant est spécifiée au format suivant : email_address@POP3_server_address." Agissons.

Tout d'abord, connectez-vous au client d'autorisation, puis ouvrez Outlook standard. Dans notre exemple, j'ai créé une boîte aux lettres de test ; [email protégé], et configurez-le en spécifiant notre boîte mail dans un format compréhensible pour UserGate [email protégé]@pop.mail.ru, ainsi que les serveurs POP et SMTP, notre adresse proxy.

Cliquez sur « Vérification du compte… »

Affectation des ports

UserGate prend en charge la fonction de redirection de port. S'il existe des règles d'attribution de port, le serveur UserGate redirige les demandes des utilisateurs arrivant sur un port spécifique d'une interface réseau donnée d'un ordinateur avec UserGate vers une autre adresse et un autre port spécifiés, par exemple vers un autre ordinateur du réseau local. La fonction Port Forwarding est disponible pour les protocoles TCP et UDP.

Si l'attribution de port est utilisée pour fournir un accès depuis Internet à une ressource interne de l'entreprise, vous devez sélectionner Utilisateur spécifié comme paramètre d'autorisation, sinon la redirection de port ne fonctionnera pas. N'oubliez pas d'activer le Bureau à distance.

Configuration du cache

L'un des objectifs d'un serveur proxy est de mettre en cache les ressources réseau. La mise en cache réduit la charge de votre connexion Internet et accélère l'accès aux ressources fréquemment visitées. Le serveur proxy UserGate met en cache le trafic HTTP et FTP. Les documents mis en cache sont placés dans dossier local%UserGate_data%\Cache. Les paramètres du cache indiquent la taille maximale du cache et la durée de stockage des documents mis en cache.

Analyse antivirus

Trois modules antivirus sont intégrés au serveur UserGate : l'antivirus Kaspersky Lab, Panda Security et Avira. Tous les modules antivirus sont conçus pour analyser le trafic entrant via les serveurs proxy de messagerie HTTP, FTP et UserGate, ainsi que le trafic sortant via les proxys SMTP.

Les paramètres du module antivirus sont disponibles dans la section Services → Antivirus de la console d'administration. Pour chaque antivirus, vous pouvez spécifier les protocoles à analyser, définir la fréquence de mise à jour des bases de données antivirus et également spécifier les URL qui n'ont pas besoin d'être analysées (option Filtre d'URL). De plus, dans les paramètres, vous pouvez spécifier un groupe d'utilisateurs dont le trafic n'a pas besoin d'être soumis à une analyse antivirus.

Avant d'activer l'antivirus, vous devez d'abord mettre à jour sa base de données.

Après les fonctions ci-dessus, passons aux plus fréquemment utilisées, à savoir « Gestion du trafic » et « Contrôle des applications ».

Système de règles de contrôle de la circulation

Le serveur UserGate offre la possibilité de contrôler l'accès des utilisateurs à Internet à l'aide de règles de gestion du trafic. Les règles de contrôle du trafic sont conçues pour interdire l'accès à certaines ressources du réseau, définir des restrictions sur la consommation de trafic, créer un calendrier pour les utilisateurs sur Internet et également surveiller l'état des comptes d'utilisateurs.

Dans notre exemple, nous restreindrons l'accès à un utilisateur qui a des références à vk.com dans sa demande. Pour cela, rendez-vous dans « Gestion du trafic – Règles »

Donnez un nom à la règle et l'action « Fermer la connexion »

Après avoir ajouté le site, passez au paramètre suivant, en sélectionnant un groupe ou un utilisateur, la règle peut être définie à la fois pour l'utilisateur et le groupe, dans notre cas l'utilisateur « Utilisateur ».

Contrôle des applications

La politique de contrôle d'accès à Internet a reçu une suite logique sous la forme du module Application Firewall. L'administrateur UserGate peut autoriser ou refuser l'accès à Internet non seulement aux utilisateurs, mais également aux applications réseau sur le poste de travail de l'utilisateur. Pour ce faire, vous devez installer une application spéciale, App.FirewallService, sur les postes des utilisateurs. L'installation du package est possible soit via fichier exécutable, et via le package MSI correspondant (AuthFwInstall.msi), situé dans le répertoire %Usergate%\tools.

Passons au module "Application Control - Rules" et créons une règle d'interdiction, par exemple, pour interdire le lancement d'IE. Cliquez sur Ajouter un groupe, donnez-lui un nom et définissez une règle pour le groupe.

Nous sélectionnons notre groupe de règles créé, nous pouvons cocher la case "Default Rule", dans ce cas les règles seront ajoutées au groupe "Default_Rules"

Appliquer une règle à un utilisateur dans les propriétés de l'utilisateur

Nous installons maintenant Auth.Client et App.Firewall sur le poste client ; après l'installation, IE devrait être bloqué par les règles créées précédemment.

Comme nous pouvons le voir, la règle a fonctionné, désactivons maintenant les règles pour que l'utilisateur puisse voir comment la règle fonctionne pour le site vk.com. Après avoir désactivé la règle sur le serveur usergate, vous devez attendre 10 minutes (temps de synchronisation avec le serveur). Essayons d'accéder au lien direct

Essayons à travers moteur de recherche google.com

Comme vous pouvez le constater, les règles fonctionnent sans aucun problème.

Cet article ne couvre donc qu’une petite partie des fonctions. Les paramètres possibles pour le pare-feu, les règles de routage et les règles NAT sont omis. UserGate Proxy & Firewall propose un large choix de solutions, voire un peu plus. Le produit a très bien fonctionné et, surtout, il a été facile à installer. Nous continuerons à l’utiliser pour entretenir les infrastructures informatiques des clients afin de résoudre les problèmes typiques !

Actuellement, aucune entreprise ne peut faire son travail sans Internet. Le réseau mondial est activement utilisé dans les processus commerciaux pour résoudre un large éventail de tâches d'information, de communication et de marketing. Mais en même temps, cela constitue également une menace potentielle pour la sécurité des informations. Le trafic de courrier électronique et Web est souvent utilisé par les attaquants pour diffuser des informations sur malware, messages de phishing, etc.

Un autre danger potentiel d’Internet est son utilisation abusive par les salariés pendant les heures de travail. Les employés de l'entreprise, au lieu d'exercer leurs fonctions officielles, peuvent passer du temps à communiquer sur les réseaux sociaux, à parcourir divers sites de divertissement, à télécharger des films, de la musique, des logiciels sans licence, etc. Cela augmente les coûts directs et indirects de l'entreprise, réduit la productivité des employés de bureau. , et constitue une menace directe pour la sécurité des informations (lors de la visite de certaines catégories de sites indésirables, le risque d'infecter votre ordinateur augmente nettement).

Par conséquent, dans les conditions modernes, le problème de la connexion d'un réseau d'entreprise à Internet doit être résolu en tenant compte de toutes les exigences de sécurité et en surveillant les actions des employés. Le produit UserGate Proxy & Firewall fournit une solution aux problèmes répertoriés. Il est apparu pour la première fois sur le marché il y a environ 10 ans et était un serveur proxy assez simple, mais fiable et facile à utiliser. C'est ce qui lui a valu sa popularité en Russie et dans les pays voisins.

Actuellement, les développeurs continuent d'améliorer leur idée et ont considérablement élargi le contenu fonctionnel du produit, en tenant compte des réalités dans le domaine de la sécurité de l'information. Non seulement des versions majeures (environ une fois tous les 2-3 ans), mais également des versions mineures (2 à 4 entre les majeures) de UserGate Proxy & Firewall sont publiées assez régulièrement, dans chacune desquelles les capacités du serveur proxy sont étendues. Il s'agit aujourd'hui d'un produit complet qui permet de résoudre l'ensemble des problèmes liés au partage d'Internet.

Composition du proxy et du pare-feu UserGate

La base de la solution UserGate Proxy & Firewall est le serveur UserGate. Il s'installe directement sur une passerelle Internet d'entreprise et met en œuvre le partage de réseau global, la maintenance de statistiques, le comptage de trafic, etc.

Le système d'accès est administré à l'aide de la console de gestion. Il s'agit d'une application distincte qui se connecte au serveur via un protocole spécial sur TCP/IP (un protocole propriétaire est utilisé, la transmission est protégée par la technologie Open SSL avec une longueur de clé de 1024 bits), ce qui vous permet de l'utiliser non seulement localement, mais aussi à distance. Ainsi, l'administrateur système a la possibilité de gérer UserGate Proxy & Firewall directement depuis son lieu de travail, sans avoir besoin d'un accès physique à la passerelle Internet.

De plus, UserGate Proxy & Firewall implémente un certain nombre de modules supplémentaires pour résoudre divers problèmes spécifiques.

Statistiques de la porte utilisateur. Une application distincte qui s'installe sur l'ordinateur des employés responsables et leur permet de consulter les statistiques d'utilisation d'Internet.
Statistiques Web. Le module de visualisation des statistiques a été supprimé via un navigateur web. Si nécessaire, il est accessible non seulement depuis le réseau local, mais également depuis Internet.
Explorateur de cache. Une application distincte pour afficher le contenu du cache enregistré par UserGate Proxy & Firewall.
Client d'autorisation UserGate. Une application distincte installée sur les ordinateurs des utilisateurs finaux et offrant la possibilité d'utiliser des méthodes d'autorisation « avancées » - en utilisant Active Directory, la connexion Windows, etc.
Contrôle des applications. Une application distincte installée sur les postes de travail. Il vous permet de limiter la liste des programmes autorisés à accéder à Internet.

Configuration requise

La configuration système requise par le serveur proxy sur l'ordinateur est décrite dans le tableau.

	Exigences minimales	Configuration recommandée
CPU	1 GHz	1-2 GHz selon le nombre d'utilisateurs
RAM	512 Mo	512 Mo – 1 Go selon le nombre d'utilisateurs
système opérateur	Windows 2000/XP/2003/2008/7/2008 R2 (OS 32 et 64 bits pris en charge)
connexion Internet	Le type et la capacité sont déterminés dans chaque cas spécifique, en fonction des besoins

Caractéristiques du proxy et du pare-feu UserGate

Le produit UserGate Proxy & Firewall dispose d'un large éventail de fonctionnalités pour assurer la collaboration sur Internet, protéger les entreprises Système d'Information contre les menaces externes, en surveillant l'utilisation du réseau mondial par les utilisateurs.

Organiser la collaboration en ligne

UserGate Proxy & Firewall permet d'organiser la collaboration sur Internet pour un grand nombre d'utilisateurs. Pour ce faire, il implémente un certain nombre de serveurs proxy (pour les protocoles HTTP, FTP, POP3, SMTP, SOCKS4, SOCKS5, SIP et H323), son propre pilote NAT et un système de transfert DNS.

Mode proxy transparent

Les serveurs proxy de UserGate Proxy & Firewall peuvent fonctionner en mode transparent. Dans ce cas, ce n'est pas obligatoire personnalisation supplémentaire logiciel du côté du client. Pour le mettre en œuvre, la technologie NAT est utilisée.

Prise en charge multi-fournisseurs

Le programme en question peut fonctionner avec plusieurs interfaces réseau connectées à différents fournisseurs. Cela vous permet de mettre en œuvre des fonctionnalités telles que la redirection du trafic de différents groupes d'utilisateurs vers différents canaux Internet, ainsi que la réservation de l'accès Internet.

TraficDirecteur

UserGate Proxy & Firewall implémente le module Traffic Manager, conçu pour un contrôle flexible de la largeur du canal Internet. Avec son aide, vous pouvez spécifier la priorité des différents types de trafic, limiter le taux de transfert de données pour certains protocoles, etc.

Mise en cache

Le programme en question implémente un système de mise en cache. Il stocke les fichiers téléchargés par les utilisateurs sur le disque dur de la passerelle Internet et, lors d'un accès ultérieur à ceux-ci, ne les télécharge plus depuis le serveur distant. Cela vous permet de réduire la charge sur le canal Internet et la consommation de trafic en général.

Prise en charge de la téléphonie IP

Une fonctionnalité intéressante de UserGate Proxy & Firewall est sa prise en charge de la téléphonie IP. En plus des serveurs proxy SIP et H323, il implémente des fonctions telles que SIP Registrar (en fait, des serveurs de téléphonie IP) et H323 GateKeeper.

UserGate Proxy & Firewall implémente huit méthodes d'autorisation des utilisateurs. Par exemple, par adresse IP, par MAC carte réseau, ainsi que via Active Directory, les identifiants et mots de passe spécifiés par l'administrateur, les comptes Windows.

Limiter le trafic et la vitesse d’accès

Le serveur proxy en question vous permet de définir des règles qui limitent l'utilisation d'Internet. En particulier, vous pouvez déterminer la limite quotidienne, hebdomadaire ou mensuelle du trafic consommé, la vitesse maximale de transfert de données, les protocoles d'utilisation autorisés, etc. Les règles peuvent être liées à la fois à des utilisateurs individuels et à des groupes entiers d'entre eux.

Le système de facturation

UserGate Proxy & Firewall implémente son propre système de facturation, qui peut être utilisé pour calculer les coûts d'utilisation d'Internet. Les tarifs peuvent être fixés soit temporairement, soit en fonction du trafic consommé. Parallèlement, il est possible de les configurer de manière flexible et de passer automatiquement de l'un à l'autre en fonction de l'heure de la journée ou de la catégorie du site consulté.

Contrôle des applications

UserGate Proxy & Firewall vous permet de limiter la liste des applications autorisées à accéder à Internet. Cela permet de résoudre le problème de l'uniformité dans l'utilisation des logiciels sur un réseau local. De plus, ce module peut servir de moyen de protection supplémentaire contre les logiciels malveillants. Même s'ils sont actifs sur l'ordinateur, le canal Internet ne leur sera pas accessible.

Le serveur proxy en question permet de restreindre l'accès aux sites indésirables par catégorie. À cette fin, la technologie cloud Entensys URL Filtering est utilisée. Il s'appuie sur une base de données spéciale de sites, divisée en 82 catégories. C'est par leur intermédiaire que l'accès peut être limité. La base de données contient plus de 500 millions de projets Web et est constamment mise à jour et éditée par les développeurs. Il convient de noter que l’utilisation du filtrage par catégorie nécessite l’achat d’une licence supplémentaire.

Contrôle des applications

UserGate Proxy & Firewall implémente un système de filtrage du trafic basé sur les applications qui le génèrent. Cela vous permet d'autoriser un logiciel à accéder à Internet et de bloquer l'activité réseau d'un autre. Il convient de noter la grande flexibilité des règles de filtrage. Avec leur aide, vous pouvez autoriser les applications à fonctionner uniquement en utilisant un protocole spécifique, en transmettant des paquets réseau uniquement à une adresse IP ou une plage d'adresses IP spécifiée, etc. Pour mettre en œuvre ce type de filtrage, vous devez installer un « Contrôle d'application » spécial. programme sur postes de travail, inclus dans le package de livraison du produit.

Statistiques et rapports

Le serveur proxy en question conserve des statistiques détaillées sur l'utilisation d'Internet par tous les utilisateurs. Vous pouvez travailler avec lui à l'aide d'une application spéciale ou via une interface Web. Parallèlement, un système de répartition des droits d'accès a été mis en place, qui permet aux salariés responsables de consulter des informations complètes, et aux autres utilisateurs - uniquement leurs statistiques. Au cours du travail, vous pouvez utiliser des outils tels que le filtrage selon diverses conditions, la génération de rapports tabulaires et graphiques, l'importation de données au format HTML et Programmes Microsoft Excel et OpenOffice.org Calc.

Serveur DHCP intégré

UserGate Proxy & Firewall implémente son propre serveur DHCP, qui peut distribuer des adresses IP aux clients à partir d'un pool spécifié par l'administrateur. Cet outil n'est pas nécessaire si le domaine est élevé dans le système d'information de l'entreprise. Cependant, cela peut simplifier l’administration des ordinateurs dans les petits réseaux peer-to-peer.

Routeur intégré

Un autre outil pour l'administrateur est le routeur intégré. Il vous permet de combiner deux ou plusieurs réseaux locaux, offrant ainsi une communication bidirectionnelle transparente entre eux. Dans le même temps, vous pouvez spécifier les protocoles et services qui seront autorisés à utiliser les connexions réseau.

Protection antivirus

Grâce à UserGate Proxy & Firewall, tout le trafic passant par un serveur proxy peut être analysé pour détecter la présence de logiciels malveillants. À cette fin, des modules intégrés développés par Kaspersky Lab et Panda Security sont utilisés. De plus, l'analyse du trafic peut être effectuée soit par l'un des modules antivirus spécifiés, soit de manière séquentielle. Il convient de noter que l'utilisation d'un logiciel antivirus nécessite l'achat de licences supplémentaires auprès des fabricants concernés.

Pare-feu

Le serveur proxy en question implémente un pare-feu à part entière qui vous permet de bloquer le trafic réseau indésirable et contribue à vous protéger contre les intrusions externes. En même temps, sa mise en place est très simple. Lorsque vous activez ou désactivez les services et les règles d'attribution de ports, les ports correspondants seront automatiquement ouverts ou fermés.

Prise en charge des VPN

UserGate Proxy & Firewall prend en charge les protocoles PPTP et L2TP, qui sont utilisés pour communiquer avec les serveurs VPN. Cela facilite la fourniture de connexions à distance sécurisées à ressources d'informations entreprise ou ses succursales.

Déployer le proxy et le pare-feu UserGate et travailler avec

La procédure de déploiement du serveur proxy UserGate Proxy & Firewall peut être divisée en plusieurs étapes.

Installation du programme.
Configuration de base serveurs proxy.
Création de règles mettant en œuvre la politique d'utilisation d'Internet en entreprise.
Ajout d'utilisateurs.

Étape 1. Installation du programme

La procédure d'installation de UserGate Proxy & Firewall est très simple et ne nécessite aucune connaissance ou compétence particulière de la part de l'interprète. Tout d’abord, téléchargez la distribution depuis le site officiel du développeur, lancez-la et sélectionnez la langue de fonctionnement de l’installateur. Dans la fenêtre de bienvenue qui s'ouvre, cliquez sur le bouton « Suivant ».

Figure 1. Fenêtre de bienvenue du programme d'installationPorte utilisateurProcuration &Pare-feu

À l'étape suivante, lisez le contrat de licence, acceptez-le et cliquez à nouveau sur « Suivant ».

Figure 2. Contrat de licencePorte utilisateurProcuration &Pare-feu

La troisième étape consiste à sélectionner les composants à installer. Si vous installez le programme sur une passerelle Internet, vous devez activer l'élément « UserGate Proxy & Firewall 5 Basic Files » et y sélectionner les sous-éléments nécessaires. Ainsi, par exemple, si vous ne disposez pas de licence pour les modules d'analyse antivirus ou si vous n'utilisez pas de statistiques Web, il n'est pas nécessaire d'installer les modules correspondants. Séparément, vous pouvez sélectionner la console de gestion et le composant UserGate Statistics. Cela peut être nécessaire lors de l'installation du produit sur l'ordinateur d'un administrateur ou d'un employé responsable pour gérer à distance le serveur proxy et afficher les rapports.

Ici, si nécessaire, vous pouvez modifier le dossier dans lequel le produit sera installé (le dossier par défaut est C:\Program Files\Entensys\UserGate 5\).

Figure 3. Sélection des composants d'installationPorte utilisateurProcuration &Pare-feu

Après cela, la fenêtre finale du programme d'installation s'affiche, dans laquelle vous devez cliquer sur le bouton « Installer » pour démarrer le processus.

Figure 4. Fenêtre du programme d'installation finalPorte utilisateurProcuration &Pare-feu

Le temps nécessaire pour terminer la procédure d'installation dépend des ressources système disponibles.

Figure 5. InstallationPorte utilisateurProcuration &Pare-feu

Un redémarrage de l'ordinateur est nécessaire pour terminer l'installation.

Étape 2. Configuration de base du serveur proxy

Tous les travaux d'administration du serveur proxy sont effectués à l'aide de la console de gestion. Elle peut être réalisée soit directement depuis la passerelle Internet, soit à distance depuis le poste de l’administrateur. Si la console est installée avec le serveur sur le même ordinateur, la connexion est créée automatiquement. Sinon, vous devez configurer la connexion manuellement - spécifiez le nom de domaine ou l'adresse IP du serveur, le port (2345 par défaut), le login et le mot de passe.

Figure 6. Configuration d'une connexion au serveurPorte utilisateurProcuration &Pare-feu

Après vous être connecté pour la première fois au serveur, vous devez configurer les interfaces. Cela peut être fait sur l'onglet de la console de contrôle du même nom. UserGate Proxy & Firewall détecte automatiquement toutes les interfaces réseau disponibles et les affiche dans la liste. Sélectionnez parmi eux ceux qui « regardent » le réseau local et changez leur type en LAN. Toutes les interfaces externes doivent être de type WAN. En plus des interfaces réseau, la liste comprend des connexions telles que PPoE, VPN, etc. Elles sont immédiatement de type PPP, non modifiables.

Figure 7. Configuration des interfaces réseauPorte utilisateurProcuration &Pare-feu

Si nécessaire, vous pouvez organiser un système de réservation de chaînes Internet. Il permet de basculer automatiquement vers une autre interface si la principale n'est pas disponible. Pour l'utiliser, vous devez disposer de deux connexions Internet ou plus. Pour établir une réservation, il est plus pratique d'utiliser un assistant spécial. Dans un premier temps, spécifiez les connexions principales et de secours.

Figure 8. Spécification des connexions principale et de secours dansPorte utilisateurProcuration &Pare-feu

Dans un deuxième temps, saisissez les adresses des serveurs dont l'indisponibilité entraînera un « down » du canal. Veuillez noter qu'il est préférable d'utiliser des services populaires, et pas un, mais plusieurs. Cela vous permet d'éviter de passer à un canal de sauvegarde en raison de problèmes de serveur internes, d'une panne de ligne principale et d'autres raisons similaires. De plus, vous pouvez saisir l'intervalle de vérification et le délai d'expiration de la commande Ping.

Figure 9. Liste des serveurs pour vérifier la fonctionnalité de la connexion dansPorte utilisateurProcuration &Pare-feu

Tous les paramètres de réservation de canaux Internet sont affichés sur la page "Interfaces" de la console de gestion. Ici, vous pouvez les modifier manuellement sans passer par l'assistant de configuration.

Figure 10. Propriétés de réservation de canaux Internet dansPorte utilisateurProcuration &Pare-feu

Ensuite, vous devez configurer le serveur proxy. Pour ce faire, ouvrez la section « Services » dans la console de gestion et sélectionnez-y l'onglet « Paramètres du proxy ». Dans ce cas, une liste de tous les serveurs proxy disponibles s'affichera sur le côté droit de la fenêtre. Activez les services nécessaires et désactivez tous les autres.

Figure 11. Liste des serveurs proxy dansPorte utilisateurProcuration &Pare-feu

Si nécessaire, vous pouvez modifier les paramètres de fonctionnement de n'importe quel serveur proxy. Cela se fait dans une fenêtre spéciale, appelée en double-cliquant sur l'élément souhaité. Dans celui-ci, vous devez spécifier les interfaces réseau que le serveur proxy écoutera. Dans la plupart des cas, vous devrez sélectionner toutes les connexions LAN. Vous n'êtes pas obligé de spécifier les interfaces dans les propriétés, mais dans ce cas, UserGate Proxy & Firewall les écoutera toutes, y compris les interfaces externes. Ici, vous pouvez également modifier le port sur lequel le serveur proxy s'exécute.

De plus, dans cette fenêtre, vous pouvez faire passer le serveur proxy en mode de fonctionnement dit transparent. Son essence est la suivante. Lorsque la transparence est activée, le pilote NAT écoute sur les ports appropriés (80 TCP pour HTTP, 110 TCP pour POP3, etc.) de la passerelle Internet, détecte les requêtes qui les transitent et les transmet au serveur proxy. De ce fait, le travail s'effectue essentiellement via un « proxy », mais les administrateurs n'ont plus besoin de configurer les applications sur les postes de travail. Tous fonctionneront comme s’ils étaient connectés directement à Internet. Cependant, lors de l'utilisation du mode de fonctionnement transparent, vous devez reconfigurer les propriétés connexion réseau postes de travail (précisez l'adresse IP de la passerelle Internet comme passerelle et saisissez le serveur DNS).

Figure 12. Propriétés du serveur proxy dansPorte utilisateurProcuration &Pare-feu

Ensuite, vous devez vous assurer que les requêtes DNS transitent par le serveur proxy. Le moyen le plus simple de procéder consiste à utiliser le transfert DNS. Lors de l'utilisation de cette technologie, les requêtes arrivant sur le port 53 de la passerelle Internet (seules les interfaces LAN sont écoutées) sont redirigées vers le serveur DNS du fournisseur. Pour l'activer, rendez-vous dans l'onglet « Paramètres DNS » dans la section « Services ». Dans la fenêtre qui s'ouvre, activez le transfert DNS et spécifiez l'adresse du serveur DNS. Par défaut, il sera automatiquement extrait des paramètres de la carte réseau de l'interface WAN. Toutefois, si nécessaire, vous pouvez définir votre propre liste de serveurs DNS.

Figure 13. ConfigurationDNS dansProxy et pare-feu UserGate

De plus, vous pouvez configurer des fonctionnalités du produit telles que la gestion générale de la bande passante, la redirection de port, le contrôle des applications, etc. Cependant, nous ne les aborderons pas en détail : UserGate Proxy & Firewall est trop fonctionnel pour le décrire. personnalisation complète dans un seul examen. De plus, ce produit est accompagné d’un système d’aide assez détaillé.

Étape 3. Création de règles qui mettent en œuvre la politique d'utilisation d'Internet dans l'entreprise

Une caractéristique importante de UserGate Proxy & Firewall est un système de gestion du trafic qui vous permet d'empêcher l'utilisation abusive des ressources Internet de l'entreprise par les employés de l'organisation, d'améliorer la sécurité du système d'information et de résoudre un certain nombre d'autres problèmes similaires. Il repose sur des règles qui décrivent le comportement du système dans certains cas. Le travail principal avec eux s'effectue sur l'onglet du même nom dans la rubrique « Gestion du trafic ». Ici, ils peuvent être créés, supprimés et modifiés. Il peut y avoir un certain nombre de règles. Il n’est cependant pas nécessaire que tous soient impliqués. Les règles sont attribuées à des groupes ou à des utilisateurs et fonctionnent uniquement pour eux.

Figure 14. Liste des règles de contrôle de la circulation dansPorte utilisateurProcuration &Pare-feu

Chaque règle représente une ou plusieurs conditions combinées avec les opérateurs logiques AND ou OR. Lorsqu'ils sont exécutés, l'action spécifiée est déclenchée. La fenêtre des propriétés de la règle se compose de cinq onglets. Le premier définit les paramètres de base : nom, type de logique, ainsi que l'objet et l'action à effectuer avec lui. Ici, vous avez des options telles que fermer la connexion, désactiver le comptage du trafic, activer les limitations de vitesse, etc.

Figure 15. Paramètres de base d'une règle de contrôle du trafic dansPorte utilisateurProcuration &Pare-feu

Le deuxième onglet précise les protocoles pour lesquels la règle fonctionnera. Par défaut ils sont tous activés. Cependant, l'administrateur peut en désactiver certains.

Figure 16. Configuration des protocoles dans une règle de contrôle du trafic dansPorte utilisateurProcuration &Pare-feu

L'onglet suivant vous permet de définir un planning, c'est-à-dire indiquer la durée de la règle.

Figure 17. Configuration du calendrier d'action des règles de contrôle du trafic dansPorte utilisateurProcuration &Pare-feu

Le quatrième onglet est destiné à saisir les restrictions de consommation de trafic quotidienne, hebdomadaire ou mensuelle. La règle sera déclenchée lorsque l'utilisateur atteint une certaine limite. De plus, sur cet onglet, vous pouvez définir des restrictions sur la taille des fichiers téléchargés.

Figure 18. Configuration des restrictions de consommation dans une règle de contrôle du trafic dansPorte utilisateurProcuration &Pare-feu

Le dernier et cinquième onglet permet de configurer le filtrage du contenu Web. Vous pouvez y définir des conditions de quatre types différents : par adresse IP (ou plage d'adresses IP), par adresse de site (y compris par fragment d'adresse), par type de contenu (par catégories entières - audio, vidéo, images, documents texte etc. ou par extensions individuelles - *.avi, *.mp3, *.flv, etc.), ainsi que par catégorie. Il est à noter que le type de contenu filtré peut être spécifié.

Figure 19. Configuration des conditions de filtrage du contenu Web dans une règle de contrôle du trafic dansPorte utilisateurProcuration &Pare-feu

Les conditions décrites ci-dessus peuvent être combinées dans n'importe quelle combinaison, ce qui vous permet de créer des règles très flexibles qui décrivent presque toutes les politiques d'entreprise en matière d'utilisation d'Internet.

Étape 4. Ajout d'utilisateurs

UserGate Proxy & Firewall propose deux manières d'ajouter des utilisateurs : manuellement et en s'intégrant à Active Directory. Il est clair que le premier d’entre eux s’adresse uniquement aux petites entreprises qui utilisent un simple réseau peer-to-peer. Si l'organisation a déployé un domaine, il est alors beaucoup plus simple et efficace d'utiliser l'intégration avec Active Directory.

Si vous sélectionnez la deuxième option pour ajouter des utilisateurs, vous devez d'abord configurer les paramètres de synchronisation. Cela peut être fait dans l'onglet "Groupes" de la section "Utilisateurs et groupes". Pour saisir les paramètres, cliquez sur le bouton « Configuration de la synchronisation avec AD » et saisissez le nom de domaine, l'adresse du contrôleur, le login et le mot de passe de l'administrateur ainsi que la fréquence de mise à jour des données dans la fenêtre qui s'ouvre.

Figure 20. Paramètres de synchronisationPorte utilisateurProcuration &Pare-feu avecActifAnnuaire

Travailler avec des comptes commence par la saisie de groupes d'utilisateurs, pour chacun desquels vous pouvez spécifier des règles précédemment saisies. Dans le même temps, ils seront répartis immédiatement sur tous les comptes, ce qui simplifie la gestion.

Figure 21. Liste des groupes dansPorte utilisateurProcuration &Pare-feu

Une fois que vous avez fini de travailler avec les groupes, vous pouvez commencer à configurer la liste des utilisateurs. Avec la méthode manuelle, chacun compte vous devrez le saisir vous-même, en définissant toutes ses propriétés, y compris la méthode d'autorisation. Lors de la synchronisation, la liste des comptes est renseignée et mise à jour automatiquement. Si nécessaire, vous pouvez apporter des modifications aux comptes d'utilisateurs, par exemple installer une méthode d'autorisation différente (l'autorisation NTLM est utilisée par défaut).

Figure 22. Liste des comptes dansPorte utilisateurProcuration &Pare-feu

Ici, il faut faire une petite digression. Pour utiliser certaines méthodes d'autorisation (identifiant et mot de passe saisis dans UserGate Proxy & Firewall, connexion Windows, autorisation via Active Directory.), vous devez installer sur les postes de travail. programme spécial– Client d'autorisation UserGate. Son package d'installation (AuthClientInstall.msi) se trouve dans le sous-dossier Tools du répertoire d'installation du produit. Il peut être installé manuellement ou à l'aide des stratégies de groupe Active Directory.

À ce stade, la procédure de configuration initiale de UserGate Proxy & Firewall peut être considérée comme terminée. Notre serveur proxy est complètement prêt à fonctionner. À l'avenir, l'administrateur pourra s'y connecter à distance à tout moment et modifier les paramètres précédemment spécifiés.

UserGate Proxy & Firewall fait référence aux applications qui ne nécessitent pas une attention constante de la part de l'administrateur. La connexion à Internet, le passage à un canal de sauvegarde et inversement, la surveillance de l'utilisation du réseau mondial par les employés de l'entreprise et d'autres actions sont effectués automatiquement. Ainsi, en fait, tous les travaux ultérieurs se résument à l'étude des statistiques et, parfois, à la modification de certains paramètres de fonctionnement.

Pour travailler avec les informations collectées par le système, une application spéciale peut être utilisée – « UserGate Statistics ». Avec son aide, l'administrateur ou l'employé responsable peut visualiser les données complètes, les filtrer par date, destination, utilisateur, protocole, catégorie de site Web et autres paramètres, ainsi que les exporter dans différents formats.

Figure 24. Affichage des statistiques à l'aide d'une application spéciale

Il existe une autre option pour afficher les informations collectées : les statistiques Web. Avec son aide, vous pouvez étudier les données à l'aide d'un navigateur. Fait intéressant, non seulement les administrateurs, mais également les utilisateurs ordinaires peuvent le faire. Parallèlement, seules leurs statistiques personnelles leur seront accessibles.

Figure 25. Affichage des statistiques à l'aide d'un navigateur

conclusions

En conclusion, résumons. Un examen détaillé des capacités de UserGate Proxy & Firewall a montré qu'aujourd'hui ce produit est l'un des serveurs proxy les plus fonctionnels présents sur le marché russe. Avec son aide, vous pouvez résoudre presque tous les problèmes liés à l'organisation d'un accès partagé à Internet.

Une caractéristique importante du produit considéré est la capacité de mettre en œuvre des politiques d'entreprise pour l'utilisation du réseau mondial. Refuser l'accès à des sites potentiellement dangereux, bloquer le chargement de certains types de contenus et certaines autres fonctionnalités augmentent le niveau de sécurité du système d'information.

Un facteur important est la présence d'outils de sécurité dans UserGate Proxy & Firewall, qui vous permettent d'organiser rapidement et facilement la protection du périmètre du réseau local contre les menaces externes : antivirus et pare-feu. Bien entendu, leur utilisation ne remplace pas la nécessité de protéger les postes de travail. Cependant, une « défense » en deux étapes, au cours de laquelle le trafic réseau est vérifié séquentiellement (d'abord au niveau de la passerelle Internet, puis au niveau de l'ordinateur de l'utilisateur), s'avère généralement beaucoup plus efficace.

Les principaux inconvénients de UserGate Proxy & Firewall ne sont pas de nature technique, mais plutôt de nature « économique ». Nous parlons de la nécessité de renouveler chaque année les licences d'utilisation des modules antivirus, ainsi que d'un système de filtrage des sites par catégories. En principe, le serveur proxy peut fonctionner sans eux, d'autant plus que la licence de UserGate Proxy & Firewall elle-même est illimitée. Cependant, ces fonctions peuvent augmenter considérablement la sécurité du système d’information et leur utilisation reste donc souhaitable.

Aujourd'hui, les dirigeants de toutes les entreprises ont probablement déjà apprécié les opportunités qu'offre Internet pour faire des affaires. Nous ne parlons bien sûr pas des boutiques en ligne et du e-commerce qui, quoi qu'on en dise, sont aujourd'hui plus des outils marketing qu'un véritable moyen d'augmenter le chiffre d'affaires d'un bien ou d'un service. Le réseau mondial constitue un excellent environnement d’information, une source presque inépuisable de données très diverses. De plus, il permet une communication rapide et bon marché avec les clients et les partenaires de l'entreprise. Le potentiel d’Internet en matière de marketing ne peut être écarté. Ainsi, il s'avère que le réseau mondial, en général, peut être considéré comme un outil commercial multifonctionnel capable d'augmenter l'efficacité des employés de l'entreprise dans l'exercice de leurs fonctions.

Cependant, vous devez d’abord fournir à ces employés un accès à Internet. La simple connexion d’un ordinateur au réseau mondial ne pose plus de problème aujourd’hui. Il existe de nombreuses façons d’y parvenir. Il existe également de nombreuses entreprises proposant une solution pratique à ce problème. Mais il est peu probable qu'Internet sur un ordinateur puisse apporter des avantages notables à l'entreprise. Chaque employé devrait avoir accès à Internet depuis son lieu de travail. Et ici, nous ne pouvons pas nous passer d'un logiciel spécial, ce qu'on appelle le serveur proxy. En principe, les capacités des systèmes d'exploitation de la famille Windows permettent de rendre commune toute connexion à Internet. Dans ce cas, d'autres ordinateurs du réseau local y auront accès. Cependant, cette décision ne vaut guère la peine d’être envisagée, au moins sérieusement. Le fait est qu'au moment de le choisir, vous devrez oublier le contrôle de l'utilisation du Réseau Mondial par les salariés de l'entreprise. Autrement dit, n'importe qui, depuis n'importe quel ordinateur d'entreprise, peut accéder à Internet et y faire ce qu'il veut. Et ce que cela menace n’a probablement pas besoin d’être expliqué à qui que ce soit.

Ainsi, le seul moyen acceptable pour une entreprise d'organiser la connexion de tous les ordinateurs inclus dans le réseau local de l'entreprise est un serveur proxy. Il existe aujourd'hui de nombreux programmes de cette classe sur le marché. Mais nous ne parlerons que d’une évolution. Il s'appelle UserGate et a été créé par les spécialistes d'eSafeLine. Les principales caractéristiques de ce programme sont ses nombreuses fonctionnalités et son interface en russe très pratique. De plus, il convient de noter qu’il est en constante évolution. Récemment, une nouvelle et quatrième version de ce produit a été présentée au public.

Donc, UserGate. Ce produit logiciel se compose de plusieurs modules distincts. Le premier d’entre eux est le serveur lui-même. Il doit être installé sur un ordinateur directement connecté à Internet (passerelle Internet). C'est le serveur qui permet aux utilisateurs d'accéder au réseau mondial, compte le trafic utilisé, tient des statistiques de fonctionnement, etc. Le deuxième module est destiné à l'administration du système. Avec son aide, l'employé responsable réalise toute la configuration du serveur proxy. La principale caractéristique de UserGate à cet égard est qu'il n'est pas nécessaire que le module d'administration soit situé sur la passerelle Internet. Ainsi, nous parlons de télécommande Serveur proxy. C'est très bien, puisque l'administrateur système a la possibilité de gérer l'accès à Internet directement depuis son lieu de travail.

De plus, UserGate comprend deux autres modules logiciels. Le premier d'entre eux est nécessaire pour visualiser facilement les statistiques d'utilisation d'Internet et créer des rapports basés sur celles-ci, et le second est pour autoriser les utilisateurs dans certains cas. Cette approche se marie bien avec l'interface intuitive et en russe de tous les modules. Dans l'ensemble, cela vous permet de configurer rapidement et sans aucun problème un accès partagé au réseau mondial dans n'importe quel bureau.

Mais passons à l'analyse des fonctionnalités du serveur proxy UserGate. Vous devez commencer par le fait que ce programme implémente immédiatement deux manières différentes de configurer DNS (peut-être la tâche la plus importante lors de la mise en œuvre accès publique). Le premier d’entre eux est NAT (Network Address Translation). Il fournit une comptabilité très précise du trafic consommé et permet aux utilisateurs d'utiliser tous les protocoles autorisés par l'administrateur. Cependant, il convient de noter que certaines applications réseau ne fonctionneront pas correctement dans ce cas. La deuxième option est le transfert DNS. Il présente de plus grandes limitations par rapport au NAT, mais peut être utilisé sur des ordinateurs dotés de versions obsolètes. familles opérationnelles(Windows 95, 98 et NT).

Les autorisations Internet sont configurées à l'aide des termes « utilisateur » et « groupe d'utilisateurs ». De plus, il est intéressant de noter que dans le serveur proxy UserGate, l'utilisateur n'est pas nécessairement une personne. Un ordinateur peut également jouer son rôle. Autrement dit, dans le premier cas, l'accès à Internet est autorisé à certains employés et dans le second, à toutes les personnes assises devant un PC. Naturellement, différentes méthodes d'autorisation des utilisateurs sont utilisées. Lorsqu'il s'agit d'ordinateurs, ils peuvent être identifiés par leur adresse IP, une combinaison d'adresses IP et MAC ou une plage d'adresses IP. Pour autoriser les employés, des paires spéciales login/mot de passe peuvent être utilisées, des données d'Active Directory, un nom et un mot de passe correspondant à l'autorisation. Informations Windows, etc. Les utilisateurs peuvent être regroupés en groupes pour faciliter la configuration. Cette approche vous permet de gérer simultanément les accès de tous les employés ayant les mêmes droits (dans les mêmes postes), plutôt que de configurer chaque compte séparément.

Le serveur proxy UserGate dispose également de son propre système de facturation. L'administrateur peut définir un nombre illimité de tarifs décrivant le coût d'une unité de trafic entrant ou sortant ou de temps de connexion. Cela vous permet de conserver des enregistrements précis de toutes les dépenses Internet liées aux utilisateurs. Autrement dit, la direction de l’entreprise saura toujours qui a dépensé combien. D'ailleurs, les tarifs peuvent être rendus dépendants de l'heure actuelle, ce qui permet de reproduire fidèlement la politique tarifaire du fournisseur.

Le serveur proxy UserGate vous permet de mettre en œuvre n'importe quelle politique d'accès Internet d'entreprise, quelle que soit sa complexité. À cette fin, des règles sont utilisées. Avec leur aide, l'administrateur peut définir des restrictions pour les utilisateurs sur la durée de fonctionnement, sur la quantité de trafic envoyé ou reçu par jour ou par mois, sur la durée d'utilisation par jour ou par mois, etc. Si ces limites sont dépassées, l'accès au Le réseau mondial sera automatiquement bloqué. De plus, à l'aide de règles, vous pouvez imposer des restrictions sur la vitesse d'accès d'utilisateurs individuels ou de groupes entiers d'entre eux.

Un autre exemple d'utilisation de règles concerne les restrictions d'accès à certaines adresses IP ou à leurs plages, à des noms de domaine entiers ou à des adresses contenant certaines chaînes, etc. En fait, nous parlons de sites de filtrage, à l'aide desquels vous peut exclure les visites des employés de projets Web indésirables. Mais bien entendu, ce ne sont pas tous des exemples d’application des règles. Avec leur aide, vous pouvez par exemple mettre en place des changements de tarifs en fonction du site en cours de chargement (nécessaire pour prendre en compte le trafic préférentiel qui existe chez certains fournisseurs), paramétrer la coupure bannières publicitaires et ainsi de suite.

À propos, nous avons déjà dit que le serveur proxy UserGate dispose d'un module distinct pour travailler avec les statistiques. Avec son aide, l'administrateur peut visualiser à tout moment le trafic consommé (total, pour chaque utilisateur, pour les groupes d'utilisateurs, pour les sites, pour les adresses IP des serveurs, etc.). De plus, tout cela se fait très rapidement grâce à un système de filtrage pratique. De plus, ce module implémente un générateur de rapports, avec lequel l'administrateur peut préparer n'importe quel rapport et les exporter au format MS Excel.

Une solution très intéressante des développeurs consiste à intégrer un module antivirus dans le pare-feu, qui contrôle tout le trafic entrant et sortant. De plus, ils n’ont pas réinventé la roue, mais ont intégré le développement de Kaspersky Lab. Cette solution garantit, d'une part, une protection réellement fiable contre tous les programmes malveillants, et d'autre part, une mise à jour régulière des bases de signatures. Une autre fonctionnalité importante en termes de sécurité des informations est le pare-feu intégré. Il a donc été créé indépendamment par les développeurs de UserGate. Malheureusement, il convient de noter que le pare-feu intégré au serveur proxy est assez différent dans ses capacités des produits leaders dans ce domaine. À proprement parler, nous parlons d'un module qui implémente blocage simple trafic passant par les ports et les protocoles spécifiés par l'administrateur vers et depuis des ordinateurs avec des adresses IP spécifiées. Il ne dispose pas de mode d'invisibilité ni d'autres fonctions généralement requises pour les pare-feu.

Malheureusement, un article ne peut pas inclure une analyse détaillée de toutes les fonctions du serveur proxy UserGate. Par conséquent, énumérons au moins simplement les plus intéressants d’entre eux, qui ne sont pas inclus dans notre revue. Tout d'abord, il s'agit de la mise en cache des fichiers téléchargés sur Internet, ce qui permet de réellement économiser de l'argent sur les services du fournisseur. Deuxièmement, il convient de noter la fonction de mappage de ports, qui permet de lier n'importe quel port sélectionné de l'une des interfaces Ethernet locales au port souhaité de l'hôte distant (cette fonction est nécessaire au fonctionnement des applications réseau : systèmes banque-client , jeux divers, etc.) . De plus, le serveur proxy UserGate implémente des fonctionnalités telles que l'accès aux ressources internes de l'entreprise, un planificateur de tâches, la connexion à une cascade de proxy, la surveillance du trafic et des adresses IP des utilisateurs actifs, leurs connexions, les URL visitées en temps réel et bien plus encore. autre.

Eh bien, il est maintenant temps de faire le point. Nous, chers lecteurs, avons examiné en détail le serveur proxy UserGate, à l'aide duquel vous pouvez organiser l'accès général à Internet dans n'importe quel bureau. Et nous étions convaincus que ce développement allie simplicité et facilité de configuration et d’utilisation avec un ensemble très étendu de fonctionnalités. Tout cela fait de la dernière version de UserGate un produit très attractif.

Note: Cet article a été édité, mis à jour avec les données actuelles et des liens supplémentaires.

Proxy et pare-feu UserGate est une passerelle Internet de classe UTM (Unified Threat Management) qui permet de fournir et de contrôler l'accès général des salariés aux ressources Internet, de filtrer les sites malveillants, dangereux et indésirables, de protéger le réseau de l'entreprise contre les intrusions et attaques externes, de créer réseaux virtuels et organiser un accès VPN sécurisé aux ressources du réseau depuis l'extérieur, ainsi que gérer la largeur des canaux et les applications Internet.

Le produit constitue une alternative efficace aux logiciels et matériels coûteux et est destiné à être utilisé dans les petites et moyennes entreprises, les agences gouvernementales et les grandes organisations dotées d'une structure de succursales.

Tous Informations Complémentaires sur le produit que vous pouvez trouver.

Le programme comporte des modules payants supplémentaires :

Kaspersky Antivirus
Antivirus Panda
Avira Antivirus
Filtrage d'URL Entensys

La licence pour chaque module est fournie pour une année civile. Vous pouvez tester le fonctionnement de tous les modules dans une clé d'essai, qui peut être fournie pour une durée de 1 à 3 mois pour un nombre illimité d'utilisateurs.

Vous pouvez lire en détail les règles de licence.

Pour toutes questions liées à l’achat de solutions Entensys, veuillez contacter : [email protégé] ou en appelant la ligne gratuite : 8-800-500-4032.

Configuration requise

Pour organiser une passerelle, vous avez besoin d'un ordinateur ou d'un serveur qui doit répondre à la configuration système suivante :

Fréquence du processeur : à partir de 1,2 GHz
Capacité RAM : à partir de 1024 Go
Capacité du disque dur : à partir de 80 Go
Nombre de cartes réseau : 2 ou plus

Plus le nombre d'utilisateurs est élevé (par rapport à 75 utilisateurs), plus les caractéristiques du serveur doivent être élevées.

Nous vous recommandons d'installer notre produit sur un ordinateur doté d'un serveur « propre » système opérateur, le système d'exploitation recommandé est Windows 2008/2012.
Nous ne garantissons pas le bon fonctionnement de UserGate Proxy&Firewall et/ou la collaboration de services tiers et Nous ne recommandons pas de l'utiliser ensemble avec des services sur la passerelle, qui remplit les rôles suivants :

Est contrôleur de domaine
Est un hyperviseur de machine virtuelle
Est serveur Principal
Agit comme un serveur DBMS/DNS/HTTP à forte charge, etc.
Agit comme un serveur SIP
Exécute des services ou des services critiques pour l'entreprise
Tout ce qui précède

UserGate Proxy&Firewall peut actuellement entrer en conflit avec les types de logiciels suivants :

Tous sans exception tierce personne Solutions pare-feu/pare-feu
Produits antivirus BitDefender
Modules antivirus qui exécutent la fonction pare-feu ou anti-piratage de la plupart des produits antivirus. Il est recommandé de désactiver ces modules
Modules antivirus qui analysent les données transmises via les protocoles HTTP/SMTP/POP3, cela peut entraîner un retard lors du travail actif via un proxy ;
Produits logiciels tiers capables d'intercepter les données des adaptateurs réseau - « compteurs de vitesse », « shapers », etc.
Rôle Windows Server actif « Routage et accès à distance" en mode NAT/Partage de connexion Internet (ICS)

Attention! Lors de l'installation, il est recommandé de désactiver le support du protocole IPv6 sur la passerelle, à condition de ne pas utiliser d'applications utilisant IPv6. L'implémentation actuelle de UserGate Proxy&Firewall ne prend pas en charge le protocole IPv6 et, par conséquent, le filtrage de ce protocole n'est pas effectué. Ainsi, l'hôte peut être accessible de l'extérieur via le protocole IPv6 même avec des règles de pare-feu prohibitives activées.

Lorsqu'il est configuré correctement, UserGate Proxy&Firewall est compatible avec les services suivants :

Rôles Microsoft Windows Server :

Serveur dns
Serveur DHCP
Serveur d'imprimante
Serveur de fichiers (SMB)
Serveur d'applications
Serveur WSUS
Serveur Web
Serveur WINS
serveur VPN

Et avec des produits tiers :

Serveurs FTP/SFTP
Serveurs de messagerie - IRC/XMPP

Lors de l'installation de UserGate Proxy&Firewall, assurez-vous qu'un logiciel tiers n'utilise pas le ou les ports que UserGate Proxy&Firewall peut utiliser. Par défaut, UserGate utilise les ports suivants :

25 - Proxy SMTP
80 - proxy HTTP transparent
110 - Proxy POP3
2345 - Console administrateur UserGate
5455 - Serveur VPN UserGate
5456 - Client d'autorisation UserGate
5458 - Redirection DNS
8080 - Proxy HTTP
8081 - Statistiques Web UserGate

Tous les ports peuvent être modifiés à l'aide de la console d'administration UserGate.

Installation du programme et sélection d'une base de données avec laquelle travailler

Assistant de configuration du proxy et du pare-feu UserGate

Une description plus détaillée de la configuration des règles NAT est décrite dans cet article :

Agent UserGate

Après avoir installé UserGate Proxy&Firewall Nécessairement redémarrez la passerelle. Après autorisation dans le système, l'icône de l'agent UserGate dans la barre des tâches Windows à côté de l'horloge doit devenir verte. Si l'icône est grise, cela signifie qu'une erreur s'est produite lors du processus d'installation et que le service du serveur UserGate Proxy&Firewall ne fonctionne pas, dans ce cas, reportez-vous à la section correspondante de la base de connaissances Entensys, ou à soutien technique Société Entensys.

Le produit est configuré via la console d'administration UserGate Proxy&Firewall, qui peut être appelée soit en double-cliquant sur l'icône de l'agent UserGate, soit sur le raccourci du menu Démarrer.
Lorsque vous lancez la console d'administration, la première étape consiste à enregistrer votre produit.

Réglages généraux

Dans la section Paramètres généraux de la console Administrateur, définissez le mot de passe de l'utilisateur Administrateur. Important! N'utilisez pas de caractères spéciaux Unicode ou le code PIN du produit comme mot de passe pour accéder à la console d'administration.

Le produit UserGate Proxy&Firewall a mécanisme de protection contre les attaques, vous pouvez également l'activer dans le menu "Paramètres généraux". Le mécanisme de protection contre les attaques est un mécanisme actif, une sorte de « bouton rouge » qui fonctionne sur toutes les interfaces. Il est recommandé d'utiliser cette fonction au cas où Attaques DDoS ou une infection massive des ordinateurs du réseau local par des logiciels malveillants (virus/vers/applications botnet). Le mécanisme de protection contre les attaques peut bloquer les utilisateurs utilisant des clients de partage de fichiers - torrents, connexion directe, certains types de clients/serveurs VoIP qui échangent activement du trafic. Pour obtenir les adresses IP des ordinateurs bloqués, ouvrez le fichier ProgramData\Entensys\Usergate6\logging\fw.log ou Documents et paramètres\Tous les utilisateurs\Données d'application\Entensys\Usergate6\logging\fw.log.

Attention! Il est recommandé de modifier les paramètres décrits ci-dessous uniquement s'il existe un grand nombre de clients/exigences de débit de passerelle élevé.

Cette section contient également les paramètres suivants : « Nombre maximum de connexions » - le nombre maximum de toutes les connexions via NAT et via le proxy UserGate Proxy&Firewall.

"Nombre maximum de connexions NAT" - le nombre maximum de connexions que UserGate Proxy&Firewall peut passer via le pilote NAT.

Si le nombre de clients ne dépasse pas 200-300, il n'est pas recommandé de modifier les paramètres « Nombre maximum de connexions » et « Nombre maximum de connexions NAT ». L'augmentation de ces paramètres peut entraîner une charge importante sur le matériel de la passerelle et n'est recommandée que lors de l'optimisation des paramètres pour un grand nombre de clients.

Interfaces

Attention! Avant de faire cela, assurez-vous de vérifier les paramètres de votre carte réseau sous Windows ! L'interface connectée au réseau local (LAN) ne doit pas contenir d'adresse de passerelle ! Il n'est pas nécessaire de spécifier les serveurs DNS dans les paramètres de l'adaptateur LAN ; l'adresse IP doit être attribuée manuellement ; nous vous déconseillons de l'obtenir via DHCP.

L'adresse IP de l'adaptateur LAN doit avoir une adresse IP privée. Il est acceptable d'utiliser une adresse IP parmi les plages suivantes :

10.0.0.0 - 10.255.255.255 (préfixe 10/8) 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12) 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)

La distribution des adresses de réseau privé est décrite dans RFC1918 .

L'utilisation d'autres plages comme adresses pour le réseau local entraînera des erreurs dans le fonctionnement de UserGate Proxy&Firewall.

L'interface connectée à Internet (WAN) doit contenir une adresse IP, un masque réseau, une adresse de passerelle et des adresses de serveur DNS.
Il n'est pas recommandé d'utiliser plus de trois serveurs DNS dans les paramètres de l'adaptateur WAN ; cela peut entraîner des erreurs dans le fonctionnement du réseau. Vérifiez d'abord la fonctionnalité de chaque serveur DNS à l'aide de la commande nslookup dans la console cmd.exe, exemple :

nslookup usergate.ru 8.8.8.8

où 8.8.8.8 est l'adresse du serveur DNS. La réponse doit contenir l'adresse IP du serveur demandé. S'il n'y a pas de réponse, cela signifie que le serveur DNS n'est pas valide ou que le trafic DNS est bloqué.

Il est nécessaire de déterminer le type d'interfaces. L'interface avec une adresse IP connectée au réseau interne doit être de type LAN ; interface connectée à Internet - WAN.

S'il existe plusieurs interfaces WAN, vous devez sélectionner l'interface WAN principale à travers laquelle tout le trafic circulera en cliquant dessus avec le bouton droit et en sélectionnant « Définir comme connexion principale ». Si vous envisagez d'utiliser une autre interface WAN comme canal de sauvegarde, nous vous recommandons d'utiliser l'« Assistant de configuration ».

Attention! Lors de la configuration d'une connexion de sauvegarde, il est recommandé de spécifier non pas le nom d'hôte DNS, mais l'adresse IP afin que UserGate Proxy&Firewall l'interroge périodiquement à l'aide de requêtes icmp (ping) et, s'il n'y a pas de réponse, active la connexion de sauvegarde. Assurez-vous que les serveurs DNS dans les paramètres de l'adaptateur de sauvegarde réseau sous Windows fonctionnent.

Utilisateurs et groupes

Pour que l'ordinateur client puisse se connecter à la passerelle et accéder aux services UserGate Proxy&Firewall et NAT, il est nécessaire d'ajouter des utilisateurs. Pour simplifier cette procédure, utilisez la fonction de numérisation - "Scanner le réseau local". UserGate Proxy&Firewall analysera indépendamment le réseau local et fournira une liste d'hôtes pouvant être ajoutés à la liste des utilisateurs. Ensuite, vous pouvez créer des groupes et y inclure des utilisateurs.

Si vous avez déployé un contrôleur de domaine, vous pouvez configurer la synchronisation des groupes avec des groupes dans Active Directory ou importer des utilisateurs depuis Active Directory, sans synchronisation constante avec Active Directory.

Nous créons un groupe qui sera synchronisé avec le ou les groupes d'AD, entrons les données nécessaires dans le menu "Synchronisation avec AD", et redémarrons le service UserGate à l'aide de l'agent UserGate. Après 300 secondes. les utilisateurs sont automatiquement importés dans le groupe. Ces utilisateurs verront leur méthode d’authentification définie sur AD.

Pare-feu

Pour un fonctionnement correct et sûr de la passerelle, il est nécessaire Nécessairement configurer le pare-feu.

L'algorithme de fonctionnement du pare-feu suivant est recommandé : bloquez tout le trafic, puis ajoutez des règles d'autorisation dans les directions nécessaires. Pour ce faire, la règle #NONUSER# doit être définie sur le mode « Deny » (cela interdira tout trafic local sur la passerelle). Soigneusement! Si vous configurez UserGate Proxy&Firewall à distance, vous serez déconnecté du serveur. Ensuite, vous devez créer des règles d'autorisation.

Nous autorisons tout le trafic local, sur tous les ports de la passerelle vers le réseau local et du réseau local vers la passerelle, en créant des règles avec les paramètres suivants :

Source - "LAN", destination - "Any", services - ANY:FULL, action - "Autoriser"
Source - "Tout", destination - "LAN", services - TOUT : COMPLET, action - "Autoriser"

Ensuite, nous créons une règle qui ouvrira l'accès à Internet pour la passerelle :

Source - « WAN » ; destination - « Toute » ; services - TOUT : COMPLET ; action - "Autoriser"

Si vous devez autoriser l'accès aux connexions entrantes sur tous les ports de la passerelle, la règle ressemblera à ceci :

Source - « Tout » ; destination - « WAN » ; services - TOUT : COMPLET ; action - "Autoriser"

Et si vous avez besoin que la passerelle accepte les connexions entrantes, par exemple, uniquement via RDP (TCP : 3389), et qu'elle peut être pingée de l'extérieur, vous devez alors créer la règle suivante :

Source - « Tout » ; destination - « WAN » ; services - Tout ICMP, RDP ; action - "Autoriser"

Dans tous les autres cas, pour des raisons de sécurité, il n’est pas nécessaire de créer une règle pour les connexions entrantes.

Afin de permettre aux ordinateurs clients d'accéder à Internet, vous devez créer une règle de traduction d'adresses réseau (NAT).

Source - « LAN » ; destination - « WAN » ; services - TOUT : COMPLET ; action - "Autoriser" ; sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez accorder l’accès.

Il est possible de configurer des règles de pare-feu - pour autoriser ce qui est explicitement interdit et vice versa, pour interdire ce qui est clairement autorisé, selon la façon dont vous configurez la règle #NON_USER# et la politique de votre entreprise. Toutes les règles ont la priorité – les règles fonctionnent dans l’ordre de haut en bas.

Des options pour divers paramètres et des exemples de règles de pare-feu peuvent être consultés.

Autres réglages

Ensuite, dans la section Services - Proxy, vous pouvez activer les serveurs proxy nécessaires - HTTP, FTP, SMTP, POP3, SOCKS. Sélectionner interfaces requises, l'activation de l'option « écouter sur toutes les interfaces » peut ne pas être sûre, car le proxy dans ce cas sera disponible à la fois sur les interfaces LAN et sur les interfaces externes. Le mode proxy « transparent » achemine tout le trafic sur le port sélectionné vers le port proxy ; dans ce cas, il n'est pas nécessaire de spécifier un proxy sur les ordinateurs clients. Le proxy reste également disponible sur le port spécifié dans les paramètres du serveur proxy lui-même.

Si le mode proxy transparent est activé sur le serveur (Services - Paramètres proxy), alors il suffit de spécifier le serveur UserGate comme passerelle principale dans les paramètres réseau de la machine client. Vous pouvez également spécifier le serveur UserGate comme serveur DNS ; dans ce cas, il doit être activé.

Si le mode transparent est désactivé sur le serveur, vous devez alors saisir l'adresse du serveur UserGate et le port proxy correspondant spécifié dans Services - Paramètres proxy dans les paramètres de connexion du navigateur. Vous pouvez voir un exemple de configuration d'un serveur UserGate pour ce cas.

Si votre réseau dispose d'un serveur DNS configuré, vous pouvez le spécifier dans les paramètres de transfert DNS UserGate et les paramètres de l'adaptateur WAN UserGate. Dans ce cas, aussi bien en mode NAT qu'en mode proxy, toutes les requêtes DNS seront dirigées vers ce serveur.