„UserGate“ tarpinio serverio apžvalga – visapusiškas sprendimas viešai prieigai prie interneto suteikti. „UserGate“ tarpinio serverio apžvalga - išsamus sprendimas, suteikiantis bendrą prieigą prie interneto naudojant skaidrų režimą

Prijungęs internetą biure, kiekvienas viršininkas nori žinoti, už ką jis moka. Ypač jei tarifas yra ne neribotas, o pagrįstas srautu. Yra keletas būdų, kaip išspręsti eismo valdymo ir prieigos prie interneto organizavimo problemas įmonės mastu. Aš kalbėsiu apie UserGate tarpinio serverio įdiegimą, kad gaučiau statistiką ir valdyčiau kanalo pralaidumą, kaip pavyzdį naudodamas savo patirtį.

Iš karto pasakysiu, kad naudojau „UserGate“ paslaugą (4.2.0.3459 versija), tačiau prieigos organizavimo metodai ir naudojamos technologijos yra naudojamos ir kituose tarpiniuose serveriuose. Taigi čia aprašyti veiksmai paprastai tinka kitiems programinės įrangos sprendimams (pavyzdžiui, Kerio Winroute Firewall ar kitiems tarpiniams serveriams), su nedideliais konfigūracijos sąsajos įgyvendinimo detalių skirtumais.

Aprašysiu man skirtą užduotį: Yra 20 mašinų tinklas, tame pačiame potinklyje yra ADSL modemas (alternatyva 512/512 kbit/s). Reikalaujama apriboti maksimalų naudotojų greitį ir sekti eismą. Užduotį šiek tiek apsunkina tai, kad prieigą prie modemo nustatymų uždaro teikėjas (prieiga galima tik per terminalą, bet slaptažodis yra pas teikėją). Statistikos puslapis teikėjo svetainėje nepasiekiamas (Neklauskite kodėl, yra tik vienas atsakymas - įmonė turi tokį ryšį su teikėju).

Įdiegiame vartotojo vartus ir suaktyviname. Norėdami organizuoti prieigą prie tinklo, naudosime NAT ( Tinklo adresų vertimas- „tinklo adreso vertimas“). Kad technologija veiktų, reikia turėti dvi tinklo plokštes mašinoje, kurioje įdiegsime UserGate serverį (paslaugą) (yra galimybė, kad NAT galėsite dirbti vienoje tinklo plokštėje priskirdami jai du IP adresus skirtingi potinkliai).

Taigi, pradinis sąrankos etapas – NAT tvarkyklės konfigūracija(tvarkyklė iš UserGate, įdiegta pagrindinio paslaugos diegimo metu). Mes reikalingos dvi tinklo sąsajos(skaityti tinklo plokštes) serverio aparatinėje įrangoje ( Man tai nebuvo problema, nes... „UserGate“ įdiegiau virtualioje mašinoje. Ir ten galite padaryti „daug“ tinklo plokščių).

Idealiu atveju, kad Pats modemas yra prijungtas prie vienos tinklo plokštės, A į antrąjį – visas tinklas, iš kurios jie galės prisijungti prie interneto. Mano atveju modemas yra sumontuotas skirtinguose kambariuose su serveriu (fizine mašina), o aš tingiu ir neturiu laiko perkelti įrangos (o artimiausiu metu sutvarkyti serverio kambarį). Abu tinklo adapterius prijungiau prie to paties tinklo (fiziškai), bet sukonfigūravau juos skirtingiems potinkliams. Kadangi nepavyko pakeisti modemo nustatymų (prieigą užblokavo tiekėjas), teko visus kompiuterius perkelti į kitą potinklį (laimei, tai nesunku padaryti naudojant DHCP).

Prie modemo prijungta tinklo plokštė ( internetas) nustatyta kaip anksčiau (pagal teikėjo duomenis).

  • Mes skiriame statinis IP adresas(mano atveju tai yra 192.168.0.5);
  • Potinklio kaukės 255.255.255.0 nekeičiau, bet ją galima sukonfigūruoti taip, kad tarpinio serverio ir modemo potinklyje būtų tik du įrenginiai;
  • Vartai – modemo adresas 192.168.0.1
  • Teikėjo DNS serverių adresai ( reikalingas pagrindinis ir papildomas).

Antroji tinklo plokštė, prijungtas prie vidinio tinklo ( intranetas), nustatyti taip:

  • Statinis IP adresas, bet kitame potinklyje(turiu 192.168.1.5);
  • Kaukė pagal jūsų tinklo nustatymus (turiu 255.255.255.0);
  • Vartai nenurodome.
  • DNS serverio adreso lauke įveskite įmonės DNS serverio adresą(jei yra, jei ne, palikite tuščią).

Pastaba: turite įsitikinti, kad tinklo sąsajos nustatymuose pasirinktas NAT komponentas iš UserGate.

Nustačius tinklo sąsajas paleiskite pačią UserGate paslaugą(nepamirškite sukonfigūruoti, kad ji veiktų kaip paslauga, kuri automatiškai paleidžiama naudojant sistemos teises) ir eikite į valdymo pultą(galbūt vietoje arba nuotoliniu būdu). Eikite į „Tinklo taisyklės“ ir pasirinkite „ NAT sąrankos vedlys“, turėsite nurodyti savo intranetą ( intranetas) ir internetas ( internetas) adapteriai. Intranetas – adapteris, prijungtas prie vidinio tinklo. Vedlys sukonfigūruos NAT tvarkyklę.

Po to reikia suprasti NAT taisykles, kuriam einame į „Tinklo nustatymai“ - „NAT“. Kiekviena taisyklė turi kelis laukus ir būseną (aktyvią ir neaktyvią). Laukų esmė paprasta:

  • Pavadinimas – taisyklės pavadinimas, Rekomenduoju duoti ką nors prasmingo(šiame laukelyje adresų ir prievadų rašyti nereikia, ši informacija jau bus pateikta taisyklių sąraše);
  • Imtuvo sąsaja priklauso jums intraneto sąsaja(mano atveju 192.168.1.5);
  • Siuntėjo sąsaja priklauso jums interneto sąsaja(tame pačiame potinklyje su modemu, mano atveju 192.168.0.5);
  • Uostas— nurodyti, kuriai kategorijai taikoma ši taisyklė ( pvz., naršyklės (HTTP) prievadas 80, o laiškams priimti – 110 prievadas). Galite nurodyti prievadų diapazoną, jei nenorite blaškytis, bet nerekomenduojama to daryti visam prievadų asortimentui.
  • Protokolas – išskleidžiamajame meniu pasirinkite vieną iš parinkčių: TCP(dažniausiai), UPD arba ICMP(pavyzdžiui, norėdami valdyti ping arba tracert komandas).

Iš pradžių taisyklių sąraše jau yra dažniausiai naudojamos taisyklės, reikalingos pašto ir įvairių tipų programoms. Bet aš papildžiau standartinį sąrašą savo taisyklėmis: veikiančioms DNS užklausoms (nenaudojant persiuntimo parinkties UserGate), darbui apsaugotam SSL jungtys, torrent klientui, Radmin programai ir kt. Čia yra mano taisyklių sąrašo ekrano kopijos. Sąrašas vis dar nedidelis, bet laikui bėgant plečiasi (atsiradus poreikiui dirbti su nauju uostu).

Kitas etapas yra vartotojų nustatymas. Mano atveju pasirinkau autorizacija pagal IP adresą ir MAC adresą. Yra autorizavimo parinktys tik pagal IP adresą ir „Active Directory“ kredencialus. Taip pat galite naudoti HTTP autorizaciją (kiekvieną kartą, kai vartotojai pirmą kartą įveda slaptažodį per naršyklę). Kuriame vartotojus ir vartotojų grupes Ir priskirti jiems naudojamas NAT taisykles(Naršyklėje turime duoti vartotojui internetą – įgaliname jam HTTP taisyklę su 80 prievadu, turime suteikti jam ICQ – ICQ taisyklę su tada 5190).

Galiausiai diegimo etape sukonfigūravau vartotojus dirbti per tarpinį serverį. Tam naudojau DHCP paslaugą. Į kliento įrenginius perduodami šie nustatymai:

  • IP adresas – dinaminis iš DHCP intraneto potinklio diapazone (mano atveju diapazonas yra 192.168.1.30 -192.168.1.200. reikalingų automobilių sukonfigūruotas IP adreso rezervavimas).
  • Potinklio kaukė (255.255.255.0)
  • Vartai – įrenginio su UserGate adresas vietiniame tinkle (intraneto adresas – 192.168.1.5)
  • DNS serveriai – pateikiu 3 adresus. Pirmasis yra įmonės DNS serverio adresas, antrasis ir trečiasis yra teikėjo DNS adresai. (Įmonės DNS yra sukonfigūruotas taip, kad persiųstų į teikėjo DNS, todėl vietinio DNS „nukritimo“ atveju interneto vardai bus išspręsti tiekėjo DNS).

Ant šito pagrindinė sąranka baigta. Kairė patikrinti funkcionalumą, kad tai padarytumėte reikiamame kliento kompiuteryje (gaunant nustatymus iš DHCP arba įtraukiant juos rankiniu būdu pagal aukščiau pateiktas rekomendacijas) paleiskite naršyklę ir atidarykite bet kurį interneto puslapį. Jei kažkas neveikia, dar kartą patikrinkite situaciją:

  • Ar teisingi kliento tinklo adapterio nustatymai? (ar mašina su tarpiniu serveriu pinga?)
  • Ar vartotojas / kompiuteris įgaliotas įgaliotajame serveryje? (žr. UserGate autorizacijos metodus)
  • Ar vartotojas / grupė turi NAT taisykles, reikalingas darbui? (kad naršyklė veiktų, reikia bent jau HTTP taisyklių TCP protokolui 80 prievade).
  • Ar viršijami naudotojo ar grupės srauto apribojimai? (Aš pats to nepristačiau).

Dabar galite stebėti prisijungusius vartotojus ir jų naudojamas NAT taisykles tarpinio serverio valdymo konsolės elemente „Stebėjimas“.

Kiti tarpinio serverio nustatymai jau derinami, pagal specifinius reikalavimus. Pirmas dalykas, kurį padariau, įgalinau pralaidumo ribojimą vartotojo ypatybėse (vėliau galite įdiegti taisyklių sistemą greičiui apriboti) ir įgalinau papildomas UserGate paslaugas – proxy serverį (HTTP prie 8080 prievado, SOCKS5 prie 1080 prievado). Įgalinus tarpinio serverio paslaugas galite naudoti užklausų talpyklą. Tačiau būtina papildomai sukonfigūruoti klientus dirbti su tarpiniu serveriu.

Turite klausimų? Siūlau jų paklausti čia pat.

________________________________________

Šiame straipsnyje papasakosiu apie naują Entensys produktą, kurio partneriai esame trijose srityse: UserGate Proxy & Firewall 6.2.1.

Laba diena, mielas lankytojau. 2013 metai jau už nugaros, vieniems buvo sunku, kitiems lengva, bet laikas bėga, o jei galvoji, kad viena nanosekundė yra 10 −9 Su. tada jis tiesiog skrenda. Šiame straipsnyje papasakosiu apie naują Entensys produktą, kurio partneriai esame trijose srityse UserGate Proxy & Firewall 6.2.1.

UserGate Proxy & Firewall 5.2F ​​6.2 versijos administravimo požiūriu, kurios diegimą sėkmingai praktikuojame IT užsakomųjų paslaugų praktikoje, praktiškai nėra. Mes naudosime Hyper-V kaip laboratorinę aplinką, būtent dvi virtualios mašinos pirmosios kartos, serverio dalis Windows Server 2008 R2 SP1, kliento dalis Windows 7 SP1. Dėl kažkokių man nežinomų priežasčių UserGate 6 versija neįdiegta Windows Server 2012 ir Windows Server 2012 R2.

Taigi, kas yra tarpinis serveris?

Proxy serveris(iš anglų kalbos įgaliotojo serverio - „atstovas, įgaliotas“) - paslauga (programų rinkinys). kompiuterių tinklai, leidžianti klientams teikti netiesiogines užklausas dėl kitų tinklo paslaugų. Pirma, klientas prisijungia prie tarpinio serverio ir prašo išteklių (pavyzdžiui, el. pašto), esančio kitame serveryje. Tada tarpinis serveris arba prisijungia prie nurodyto serverio ir gauna iš jo išteklius, arba grąžina išteklius iš savo talpyklos (tais atvejais, kai tarpinis serveris turi savo talpyklą). Kai kuriais atvejais tarpinis serveris tam tikrais tikslais gali pakeisti kliento užklausą arba serverio atsakymą. Tarpinis serveris taip pat leidžia apsaugoti kliento kompiuterį nuo kai kurių tinklo atakų ir padeda išlaikyti kliento anonimiškumą.

toks„UserGate“ tarpinis serveris ir ugniasienė?

„UserGate“ tarpinis serveris ir ugniasienė yra visapusiškas sprendimas vartotojų prijungimui prie interneto, užtikrinantis pilną srauto apskaitą, prieigos kontrolę ir įmontuotą tinklo apsaugą.

Iš apibrėžimo pažiūrėkime, kokius sprendimus „Entensys“ teikia savo gaminyje, kaip apskaičiuojamas srautas, kaip ribojama prieiga ir kokias apsaugos priemones teikia „UserGate Proxy & Firewall“.

Iš ko jis susideda?UserGate?

UserGate susideda iš kelių dalių: serverio, administravimo konsolės ir kelių papildomų modulių. Serveris yra pagrindinė tarpinio serverio dalis, kurioje įdiegtos visos jo funkcijos. „UserGate“ serveris suteikia prieigą prie interneto, skaičiuoja srautą, kaupia vartotojų veiklos tinkle statistiką ir atlieka daugybę kitų užduočių.

„UserGate“ administravimo konsolė yra programa, skirta „UserGate“ serveriui valdyti. UserGate administravimo konsolė su serverio dalimi bendrauja per specialų saugų protokolą per TCP/IP, kuris leidžia atlikti nuotolinio serverio administravimą.

„UserGate“ apima tris papildomus modulius: „Web Statistics“, „UserGate Authorization Client“ ir „Application Control“ modulį.

Serveris

„UserGate“ serverio pusės įdiegimas yra labai paprastas, vienintelis skirtumas yra duomenų bazės pasirinkimas diegimo proceso metu. Prieiga prie duomenų bazės vykdoma tiesiogiai (įtaisytai „Firebird“ duomenų bazei) arba per ODBC tvarkyklę, kuri leidžia „UserGate“ serveriui dirbti su beveik bet kokio formato duomenų bazėmis (MSAccess, MSSQL, MySQL). Pagal numatytuosius nustatymus naudojama Firebird duomenų bazė. Jei nuspręsite atnaujinti UserGate iš ankstesnių versijų, tuomet turėsite atsisveikinti su statistikos duomenų baze, nes: Statistikos rinkmenai palaikomas tik esamų vartotojų likučių perkėlimas, pati srauto statistika nebus perkelta; Duomenų bazės pakeitimus lėmė senosios duomenų bazės veikimo problemos ir jos dydžio apribojimai. Naujoji Firebird duomenų bazė tokių trūkumų neturi.

Paleidžiama administravimo konsolė.

Konsolė įdiegta serverio VM. Pirmą kartą paleidus administravimo konsolę, atidaromas puslapis Ryšiai, kuriame yra vienas administratoriaus vartotojo ryšys su vietiniu prieglobos serveriu. Ryšio slaptažodis nenustatytas. Administravimo konsolę prie serverio galite prijungti dukart spustelėdami eilutę localhost-administrator arba valdymo skydelyje spustelėję prisijungimo mygtuką. „UserGate“ administravimo konsolėje galite sukurti kelis ryšius.

Ryšio parametrai nurodo šiuos parametrus:

  • Serverio pavadinimas yra ryšio pavadinimas;
  • Vartotojo vardas – prisijungimas norint prisijungti prie serverio;
  • Serverio adresas – UserGate serverio domeno pavadinimas arba IP adresas;
  • Prievadas – TCP prievadas, naudojamas prisijungimui prie serverio (pagal nutylėjimą naudojamas 2345 prievadas);
  • Slaptažodis – prisijungimo slaptažodis;
  • Prašyti slaptažodžio jungiantis – ši parinktis leidžia atidaryti vartotojo vardo ir slaptažodžio įvedimo dialogą jungiantis prie serverio;
  • Automatiškai prisijungti prie šio serverio – paleidus administravimo konsolę prie šio serverio prisijungs automatiškai.

Kai pirmą kartą paleidžiate serverį, sistema siūlo diegimo vedlį, kurio mes atsisakome. Administravimo pulto nustatymai saugomi console.xml faile, esančiame %UserGate%\Administrator kataloge.

Ryšių nustatymas už NAT. Pastraipa „Bendrieji NAT nustatymai“ leidžia nustatyti skirtojo laiko reikšmę NAT ryšiams naudojant TCP, UDP arba ICMP protokolus. Laiko pabaigos reikšmė nustato vartotojo ryšio per NAT trukmę, kai baigiamas duomenų perdavimas ryšiu. Palikime šį nustatymą kaip numatytąjį.

Atakos detektorius yra speciali parinktis, leidžianti įjungti vidinį mechanizmą stebėti ir blokuoti prievadų skaitytuvą arba bandymus užimti visus serverio prievadus.

Blokuoti pagal naršyklės eilutę– „User-Agent“ naršyklių, kurias gali užblokuoti tarpinis serveris, sąrašas. Tie. Pavyzdžiui, galite neleisti senesnėms naršyklėms, tokioms kaip IE 6.0 arba Firefox 3.x, prisijungti prie interneto.

Sąsajos

Sąsajos yra pagrindinė „UserGate“ serverio nustatymų dalis, nes ji nustato tokias problemas kaip srauto skaičiavimo teisingumas, galimybė kurti ugniasienės taisykles, tam tikro tipo srauto interneto kanalo pločio apribojimai, ryšių tarp tinklų nustatymas ir tvarka, kuria NAT tvarkyklė apdoroja paketus. Skirtuke „Sąsajos“ pasirinkite norimą sąsajų tipą. Taigi, adapteriui, prijungtam prie interneto, turėtumėte pasirinkti WAN tipą, o adapteriui, prijungtam prie vietinio tinklo - LAN tipą. VM interneto prieiga yra bendra, atitinkamai sąsaja su adresu 192.168.137.118 bus WAN adapteris, pasirinkite norimą tipą ir spustelėkite „Taikyti“. Tada mes perkrauname serverį.

Vartotojai ir grupės

Prieiga prie interneto suteikiama tik tiems vartotojams, kurie sėkmingai baigė autorizaciją UserGate serveryje. Programa palaiko šiuos vartotojo autorizacijos metodus:

  • Pagal IP adresą
  • Pagal IP diapazoną
  • Pagal IP+MAC adresą
  • Pagal MAC adresą
  • Autorizacija naudojant HTTP (HTTP-basic, NTLM)
  • Autorizacija naudojant prisijungimo vardą ir slaptažodį (Authorization Client)
  • Supaprastinta autorizacijos parinktis naudojant „Active Directory“.

Norėdami naudoti paskutinius tris autorizavimo būdus, vartotojo darbo vietoje turite įdiegti specialią programą – UserGate autorizacijos klientą. Atitinkamas MSI paketas (AuthClientInstall.msi) yra %UserGate%\tools kataloge ir gali būti naudojamas automatiniam diegimui naudojant grupės politiką Active Directory.

Terminalo naudotojams pateikiama tik parinktis „Autorizacija per HTTP“. Atitinkama parinktis įjungta administravimo konsolės elemente Bendrieji nustatymai.

Naudodami elementą galite sukurti naują vartotoją Pridėti naują vartotoją arba spustelėdami mygtuką Papildyti puslapyje esančiame valdymo skydelyje Vartotojai ir grupės.

Yra dar vienas būdas pridėti vartotojus - nuskaityti tinklą naudojant ARP užklausas. Puslapio administratoriaus konsolėje turite spustelėti tuščią vietą vartotojų ir pasirinkite elementą nuskaityti vietinį tinklą. Tada nustatykite vietinio tinklo parametrus ir palaukite nuskaitymo rezultatų. Dėl to pamatysite sąrašą vartotojų, kuriuos galima įtraukti į UserGate. Na, patikrinkime, spustelėkite „Nuskaityti vietinį tinklą“

Nustatykite parametrus:

Veikia!

Pridedamas vartotojas

Verta prisiminti, kad „UserGate“ turi autentifikavimo prioritetą, pirmiausia fizinį, o paskui loginį. Šis metodas nėra patikimas, nes vartotojas gali pakeisti IP adresą. Mums tinka „Active Directory“ paskyrų importas, kurį galime lengvai importuoti spustelėję mygtuką „Importuoti“, tada „Pasirinkti“ ir savo paskyros pavadinimą „Gerai“, „Gerai“.

Pasirinkite „Grupė“, palikite numatytąjį „numatytąjį“

Spustelėkite „Gerai“ ir išsaugokite pakeitimus.

Mūsų vartotojas buvo pridėtas be jokių problemų. Taip pat galima sinchronizuoti AD grupes skirtuke „Grupės“.

Tarpinio serverio paslaugų nustatymas „UserGate“.

Į „UserGate“ serverį integruoti šie tarpiniai serveriai: HTTP (su „FTP per HTTP“ ir HTTPS režimo palaikymu – prisijungimo metodas), FTP, SOCKS4, SOCKS5, POP3 ir SMTP, SIP ir H323. Tarpinio serverio nustatymus galite rasti administravimo pulto skiltyje Paslaugos → Tarpinio serverio nustatymai. Pagrindiniai tarpinio serverio nustatymai apima: sąsają ir prievado numerį, kuriame veikia tarpinis serveris. Taigi, pavyzdžiui, įgalinkime skaidrų HTTP tarpinį serverį mūsų LAN sąsajoje. Eikime į „Tarpinio serverio nustatymai“ ir pasirinkite HTTP.

Pasirinkite savo sąsają, palikime viską kaip numatytuosius ir spustelėkite „Gerai“

Skaidraus režimo naudojimas

Funkcija „Transparent Mode“ tarpinio serverio nustatymuose galima, jei „UserGate“ serveris yra įdiegtas kartu su NAT tvarkykle. Skaidriu režimu NAT UserGate tvarkyklė klausosi standartinių paslaugų prievadų: 80 TCP HTTP, 21 TCP FTP, 110 ir 25 TCP POP3 ir SMTP kompiuterio tinklo sąsajose su UserGate. Jei yra užklausų, ji perkelia jas į atitinkamą UserGate tarpinį serverį. Naudojant skaidrų režimą tinklo programose, vartotojams nereikia nurodyti tarpinio serverio adreso ir prievado, o tai žymiai sumažina administratoriaus darbą teikiant vietinio tinklo prieigą prie interneto. Tačiau darbo stočių tinklo nustatymuose UserGate serveris turi būti nurodytas kaip šliuzas ir DNS serverio adresas.

Pašto tarpiniai serveriai „UserGate“.

„UserGate“ pašto tarpiniai serveriai yra skirti dirbti su POP3 ir SMTP protokolais ir antivirusiniam pašto srauto nuskaitymui. Naudojant skaidrų POP3 ir SMTP tarpinio serverio veikimo režimą, vartotojo darbo vietoje esančios pašto kliento nuostatos nesiskiria nuo nustatymų, atitinkančių parinktį su tiesiogine prieiga prie interneto.

Jei UserGate POP3 tarpinis serveris naudojamas nepermatomu režimu, tai vartotojo darbo vietoje esančio pašto kliento nustatymuose kaip POP3 serverio adresas turi būti nurodytas kompiuterio su UserGate IP adresas ir UserGate POP3 tarpinį serverį atitinkantis prievadas. Be to, prieigos prie nuotolinio POP3 serverio prisijungimas nurodomas tokiu formatu: el. pašto_adresas@POP3_serverio_adresas. Pavyzdžiui, jei vartotojas turi pašto dėžutę [apsaugotas el. paštas], tada kaip UserGate POP3 tarpinio serverio prisijungimą pašto programoje turėsite nurodyti: [apsaugotas el. paštas]@pop.mail123.com. Šis formatas reikalingas, kad „UserGate“ serveris galėtų nustatyti nuotolinio POP3 serverio adresą.

Jei UserGate SMTP tarpinis serveris naudojamas neskaidriu režimu, tada tarpinio serverio nustatymuose turite nurodyti SMTP serverio IP adresą ir prievadą, kurį UserGate naudos laiškams siųsti. Tokiu atveju vartotojo darbo vietoje esančio pašto kliento nustatymuose kaip SMTP serverio adresą reikia nurodyti UserGate serverio IP adresą ir UserGate SMTP tarpinį serverį atitinkantį prievadą. Jei siuntimui reikalingas autorizavimas, tada pašto kliento nustatymuose reikia nurodyti prisijungimo vardą ir slaptažodį, atitinkantį SMTP serverį, kuris nurodytas UserGate SMTP tarpinio serverio nustatymuose.

Na, tai skamba šauniai, patikrinkime tai naudodami mail.ru.

Visų pirma, įgalinkime POP3 ir SMTP tarpinius serverius savo serveryje. Įjungus POP3, LAN sąsają nurodysime kaip standartinį 110 prievadą.

Taip pat įsitikinkite, kad nėra varnelės „Skaidrus tarpinis serveris“, ir spustelėkite „Gerai“ ir „Taikyti“.

Atžymėkite laukelį „Skaidrus režimas“ ir parašykite „Parinktys“. nuotolinis serveris“, mūsų atveju smtp.mail.ru. Kodėl nurodytas tik vienas serveris? Ir štai atsakymas: daroma prielaida, kad organizacija naudoja vieną smtp serverį ir būtent šis serveris yra nurodytas SMTP tarpinio serverio nustatymuose.

Pirmoji POP3 taisyklė turėtų atrodyti taip.

Antra, kaip pasakytų Aleksandras Nevskis "Kaip šitas"

Nepamirškite apie mygtuką „Taikyti“ ir pereikite prie kliento nustatymo. Kaip prisimename, „Jei UserGate POP3 tarpinis serveris naudojamas nepermatomu režimu, tai vartotojo darbo vietos pašto kliento nustatymuose turi būti nurodytas kompiuterio su UserGate IP adresas ir prievadas, atitinkantis UserGate POP3 tarpinį serverį. POP3 serverio adresą. Be to, nuotolinio POP3 serverio autorizavimo prisijungimas nurodomas tokiu formatu: el. pašto_adresas@POP3_serverio_adresas. Veikim.

Pirmiausia prisijunkite prie autorizacijos kliento, tada atidarykite įprastą „Outlook“ mūsų pavyzdyje, aš sukūriau bandomąją pašto dėžutę [apsaugotas el. paštas], ir sukonfigūruokite, nurodydami mūsų pašto dėžutę UserGate suprantamu formatu [apsaugotas el. paštas]@pop.mail.ru, taip pat POP ir SMTP serveriai, mūsų įgaliotojo serverio adresas.

Spustelėkite „Paskyros patvirtinimas...“

Uosto paskyrimas

UserGate palaiko prievado persiuntimo funkciją. Jei yra prievado priskyrimo taisyklės, „UserGate“ serveris peradresuoja vartotojo užklausas, gaunamas per tam tikrą kompiuterio su „UserGate“ tinklo sąsajos prievadą, į kitą nurodytą adresą ir prievadą, pavyzdžiui, į kitą kompiuterį vietiniame tinkle. Prievado persiuntimo funkcija galima TCP ir UDP protokolams.

Jei prievado priskyrimas naudojamas norint suteikti prieigą iš interneto prie vidinio įmonės resurso, kaip autorizavimo parametrą turite pasirinkti Nurodytas vartotojas, kitaip prievado peradresavimas neveiks. Nepamirškite įjungti nuotolinio darbalaukio.

Talpyklos nustatymas

Vienas iš tarpinio serverio tikslų yra talpykloje saugoti tinklo išteklius. Saugojimas talpykloje sumažina interneto ryšio apkrovą ir pagreitina prieigą prie dažnai lankomų išteklių. „UserGate“ tarpinis serveris talpina HTTP ir FTP srautą. Talpykloje saugomi dokumentai įdedami vietinis aplankas%UserGate_data%\Cache. Talpyklos nustatymai nurodo maksimalų talpyklos dydį ir talpykloje esančių dokumentų saugojimo laiką.

Antivirusinis nuskaitymas

Į UserGate serverį integruoti trys antivirusiniai moduliai: Kaspersky Lab antivirus, Panda Security ir Avira. Visi antivirusiniai moduliai yra skirti nuskaityti gaunamą srautą per HTTP, FTP ir UserGate pašto tarpinius serverius, taip pat išeinantį srautą per SMTP tarpinius serverius.

Antivirusinio modulio nustatymus galima rasti administravimo konsolės skiltyje Paslaugos → Antivirusinė. Kiekvienai antivirusinei programai galite nurodyti, kokius protokolus ji turi nuskaityti, nustatyti antivirusinių duomenų bazių atnaujinimo dažnumą, taip pat nurodyti URL, kurių nereikia nuskaityti (URL filtro parinktis). Be to, nustatymuose galite nurodyti vartotojų grupę, kurių srautui nereikia tikrinti antivirusinės programos.

Prieš įjungdami antivirusinę programą, pirmiausia turite atnaujinti jos duomenų bazę.

Po pirmiau minėtų funkcijų pereikime prie dažnai naudojamų, tai yra „Eismo valdymas“ ir „Programų valdymas“.

Eismo valdymo taisyklių sistema

„UserGate“ serveris suteikia galimybę valdyti vartotojų prieigą prie interneto naudojant srauto valdymo taisykles. Eismo valdymo taisyklės skirtos uždrausti prieigą prie tam tikrų tinklo išteklių, nustatyti srauto suvartojimo apribojimus, sudaryti tvarkaraštį vartotojams internete, taip pat stebėti vartotojų paskyrų būseną.

Mūsų pavyzdyje apribosime prieigą tik vartotojui, kurio užklausoje yra nuorodų į vk.com. Norėdami tai padaryti, eikite į „Eismo valdymas – taisyklės“

Suteikite taisyklei pavadinimą ir veiksmą „Uždaryti ryšį“

Pridėjus svetainę pereikite prie kito parametro, pasirinkdami grupę arba vartotoją, taisyklę galima nustatyti ir vartotojui, ir grupei, mūsų atveju vartotojui „Vartotojas“.

Programų valdymas

Interneto prieigos kontrolės politika gavo logišką tęsinį programos ugniasienės modulio pavidalu. „UserGate“ administratorius gali leisti arba uždrausti prieigą prie interneto ne tik vartotojams, bet ir tinklo programoms vartotojo darbo vietoje. Norėdami tai padaryti, vartotojo darbo vietose turite įdiegti specialią programą App.FirewallService. Įdiegti paketą galima arba per vykdomąjį failą, ir per atitinkamą MSI paketą (AuthFwInstall.msi), esantį %Usergate%\tools kataloge.

Eikime į modulį „Programų valdymas – taisyklės“ ir sukurkime draudžiančią taisyklę, pavyzdžiui, uždrausti paleisti IE. Spustelėkite pridėti grupę, suteikite jai pavadinimą ir nustatykite grupės taisyklę.

Mes pasirenkame savo sukurtą taisyklių grupę, galime pažymėti žymimąjį laukelį „Numatytoji taisyklė“, tokiu atveju taisyklės bus įtrauktos į grupę „Numatytosios_taisyklės“

Taisyklės taikymas vartotojui vartotojo ypatybėse

Dabar po įdiegimo kliento stotyje įdiegiame Auth.Client ir App.Firewall, IE turėtų būti užblokuotas pagal anksčiau sukurtas taisykles.

Kaip matome, taisyklė veikė, dabar išjunkite taisykles, kad vartotojas pamatytų, kaip taisyklė veikia svetainėje vk.com. Išjungus taisyklę vartotojo vartų serveryje, reikia palaukti 10 minučių (sinchronizacijos laikas su serveriu). Pabandykime pasiekti tiesioginę nuorodą

Pabandykime paieškos variklis google.com

Kaip matote, taisyklės veikia be jokių problemų.

Taigi, šis straipsnis apima tik nedidelę funkcijų dalį. Galimi ugniasienės, maršruto parinkimo taisyklių ir NAT taisyklių nustatymai praleisti. „UserGate Proxy & Firewall“ siūlo didelį sprendimų pasirinkimą, net šiek tiek daugiau. Produktas veikė labai gerai, o svarbiausia, jį buvo lengva nustatyti. Mes ir toliau jį naudosime aptarnaujant klientų IT infrastruktūrą, kad išspręstume tipines problemas!

Šiuo metu nė viena įmonė negali atlikti savo darbo be interneto. Pasaulinis tinklas aktyviai naudojamas verslo procesuose sprendžiant įvairiausias informacijos, komunikacijos ir rinkodaros užduotis. Tačiau kartu tai yra ir potenciali grėsmė informacijos saugumui. Užpuolikai dažnai naudoja el. paštą ir žiniatinklio srautą, norėdami skleisti informaciją apie kenkėjiška programa, sukčiavimo pranešimai ir kt.

Kitas galimas interneto pavojus – darbuotojų piktnaudžiavimas juo darbo valandomis. Įmonės darbuotojai, užuot atlikę tarnybines pareigas, gali praleisti laiką bendraudami socialiniuose tinkluose, naršydami įvairias pramogų svetaines, siųsdami filmus, muziką, nelicencijuotą programinę įrangą ir kt. Tai didina tiesiogines ir netiesiogines įmonės išlaidas, mažina biuro darbuotojų darbo našumą. , ir yra tiesioginė grėsmė informacijos saugumui (lankantis tam tikrų kategorijų nepageidaujamose svetainėse, rizika užkrėsti kompiuterį pastebimai išauga).

Todėl šiuolaikinėmis sąlygomis įmonės tinklo prijungimo prie interneto problema turi būti sprendžiama atsižvelgiant į visus saugumo reikalavimus ir stebint darbuotojų veiksmus. „UserGate Proxy & Firewall“ produktas pateikia išvardytų problemų sprendimą. Pirmą kartą jis pasirodė rinkoje maždaug prieš 10 metų ir buvo gana paprastas, bet patikimas ir lengvai naudojamas tarpinis serveris. Būtent tai jam pelnė populiarumą Rusijoje ir kaimyninėse šalyse.

Šiuo metu kūrėjai toliau tobulina savo mintis ir, atsižvelgdami į realijas informacijos saugumo srityje, žymiai išplėtė funkcinį produkto turinį. Gana reguliariai išleidžiamos ne tik pagrindinės (maždaug kartą per 2-3 metus), bet ir nedidelės (2-4 tarp pagrindinių) UserGate Proxy & Firewall versijos, kurių kiekvienoje išplečiamos tarpinio serverio galimybės. Šiandien tai yra visapusiškas produktas, kuris gali būti naudojamas sprendžiant visas problemas, susijusias su dalijimusi internetu.

„UserGate“ tarpinio serverio ir ugniasienės sudėtis

„UserGate Proxy & Firewall“ sprendimo pagrindas yra „UserGate“ serveris. Jis įdiegiamas tiesiai į įmonės interneto šliuzą ir įgyvendina visuotinį tinklo bendrinimą, statistikos priežiūrą, srauto skaičiavimą ir kt.

Prieigos sistema administruojama naudojant valdymo pultą. Tai atskira programa, kuri prie serverio jungiasi per specialų protokolą per TCP/IP (naudojamas patentuotas protokolas, perdavimas apsaugotas naudojant Open SSL technologiją, kurios rakto ilgis 1024 bitai), leidžianti juo naudotis ne tik vietoje, bet ir nuotoliniu būdu. Taigi sistemos administratorius turi galimybę valdyti UserGate Proxy & Firewall tiesiai iš savo darbo vietos, nereikalaujant fizinės prieigos prie interneto šliuzo.

Be to, „UserGate Proxy & Firewall“ įdiegia daugybę papildomų modulių, skirtų įvairioms specifinėms problemoms spręsti.

  • „UserGate“ statistika. Atskira programėlė, kuri įdiegiama atsakingų darbuotojų kompiuteryje ir leidžia peržiūrėti interneto naudojimo statistiką.
  • Interneto statistika. Per interneto naršyklę buvo pašalintas statistikos peržiūros modulis. Jei reikia, prie jo galima prisijungti ne tik iš vietinio tinklo, bet ir iš interneto.
  • Cache Explorer. Atskira programa, skirta peržiūrėti talpyklos turinį, išsaugotą „UserGate Proxy“ ir ugniasienės.
  • UserGate autorizacijos klientas. Atskira programa, įdiegta galutinio vartotojo kompiuteriuose ir suteikianti galimybę naudoti „išplėstinius“ autorizacijos metodus - naudojant „Active Directory“, „Windows“ prisijungimą ir kt.
  • Programų valdymas. Darbo stotyse įdiegta atskira programa. Tai leidžia apriboti programų, kurioms leidžiama prisijungti prie interneto, sąrašą.

Sistemos reikalavimai

Sistemos reikalavimai, kuriuos kompiuteryje nustato įgaliotasis serveris, aprašyti lentelėje.

Minimalūs reikalavimai Rekomenduojama konfigūracija
CPU1 GHz1-2 GHz, priklausomai nuo vartotojų skaičiaus
RAM512 MB512 MB – 1 GB, priklausomai nuo vartotojų skaičiaus
Operacinė sistemaWindows 2000/XP/2003/2008/7/2008 R2 (palaikoma 32 ir 64 bitų OS)
interneto ryšysTipas ir talpa nustatomi kiekvienu konkrečiu atveju, atsižvelgiant į poreikius

„UserGate“ tarpinio serverio ir ugniasienės savybės

„UserGate“ tarpinis serveris ir ugniasienės produktas turi daugybę galimybių, užtikrinančių bendradarbiavimą internete, apsaugoti įmonės informacinė sistema nuo išorinių grėsmių, stebint, kaip vartotojai naudojasi pasauliniu tinklu.

Internetinio bendradarbiavimo organizavimas

„UserGate Proxy & Firewall“ leidžia organizuoti bendradarbiavimą internete daugeliui vartotojų. Norėdami tai padaryti, jis įdiegia daugybę tarpinių serverių (HTTP, FTP, POP3, SMTP, SOCKS4, SOCKS5, SIP ir H323 protokolams), savo NAT tvarkyklę ir DNS persiuntimo sistemą.

Skaidrus tarpinio serverio režimas

„UserGate Proxy & Firewall“ įgaliotieji serveriai gali veikti skaidriu režimu. Šiuo atveju tai nėra būtina papildomas nustatymas programinė įranga kliento pusėje. Jai įgyvendinti naudojama NAT technologija.

Kelių paslaugų teikėjų palaikymas

Aptariama programa gali veikti su keliomis tinklo sąsajomis, prijungtomis prie skirtingų tiekėjų. Tai leidžia įdiegti tokias funkcijas kaip srauto iš skirtingų vartotojų grupių nukreipimas į skirtingus interneto kanalus, taip pat interneto prieigos rezervavimas.

EismasVadovas

„UserGate Proxy & Firewall“ įdiegia „Traffic Manager“ modulį, skirtą lanksčiam interneto kanalo pločio valdymui. Su jo pagalba galite nurodyti įvairių tipų srauto prioritetą, apriboti tam tikrų protokolų duomenų perdavimo spartą ir pan.

Talpykla

Aptariama programa įgyvendina talpyklos sistemą. Ji išsaugo vartotojų atsisiųstus failus interneto šliuzo standžiajame diske ir, vėliau prie jų prisijungus, daugiau jų neatsisiunčia iš nuotolinio serverio. Tai leidžia sumažinti interneto kanalo apkrovą ir apskritai srauto suvartojimą.

IP telefonijos palaikymas

Įdomi „UserGate Proxy & Firewall“ savybė yra jos palaikymas IP telefonijai. Be SIP ir H323 tarpinių serverių, jis įgyvendina tokias funkcijas kaip SIP registratorius (iš tikrųjų IP telefonijos serveriai) ir H323 GateKeeper.

„UserGate Proxy & Firewall“ įgyvendina aštuonis vartotojo autorizacijos metodus. Pavyzdžiui, pagal IP adresą, pagal MAC tinklo plokštė, taip pat per Active Directory, administratoriaus nurodytus prisijungimus ir slaptažodžius, Windows paskyras.

Eismo ir prieigos greičio ribojimas

Aptariamas tarpinis serveris leidžia nustatyti taisykles, kurios riboja naudojimąsi internetu. Visų pirma galite nustatyti suvartojamo srauto dienos, savaitės ar mėnesio limitą, didžiausią duomenų perdavimo greitį, leidžiamus naudoti protokolus ir kt. Taisyklės gali būti susietos tiek su atskirais vartotojais, tiek su visomis jų grupėmis.

Atsiskaitymo sistema

UserGate Proxy & Firewall įdiegia savo atsiskaitymo sistemą, pagal kurią galima apskaičiuoti naudojimosi internetu išlaidas. Tarifai gali būti nustatyti arba laikini, arba pagal sunaudotą srautą. Tuo pačiu galima lanksčiai juos konfigūruoti ir automatiškai persijungti iš vieno į kitą, priklausomai nuo žiūrimos svetainės paros laiko ar kategorijos.

Programų valdymas

„UserGate Proxy & Firewall“ leidžia apriboti programų, kurioms leidžiama prisijungti prie interneto, sąrašą. Tai leidžia išspręsti programinės įrangos naudojimo vietiniame tinkle vienodumo problemą. Be to, šis modulis gali pasitarnauti kaip papildomos apsaugos nuo kenkėjiškų programų priemonė. Net jei jie yra aktyvūs kompiuteryje, interneto kanalas jiems nebus pasiekiamas.

Aptariamas tarpinis serveris leidžia apriboti prieigą prie nepageidaujamų svetainių pagal kategorijas. Šiuo tikslu naudojama Entensys URL Filtering debesies technologija. Jis pagrįstas specialia svetainių duomenų baze, suskirstyta į 82 kategorijas. Būtent per juos galima apriboti prieigą. Duomenų bazėje yra daugiau nei 500 milijonų interneto projektų, ją nuolat atnaujina ir redaguoja kūrėjai. Verta paminėti, kad norint naudoti kategorijų filtravimą, reikia įsigyti papildomą licenciją.

Programų valdymas

„UserGate Proxy & Firewall“ įdiegia srauto filtravimo sistemą, pagrįstą ją generuojančiomis programomis. Tai leidžia vienai programinei įrangai leisti prisijungti prie interneto ir blokuoti kitos tinklo veiklą. Verta paminėti didelį filtravimo taisyklių lankstumą. Jų pagalba galite leisti programoms dirbti tik naudojant tam tikrą protokolą, perduodant tinklo paketus tik nurodytu IP adresu arba IP adresų diapazonu ir tt Norint įgyvendinti tokio tipo filtravimą, reikia įdiegti specialų "Programų valdymą". programa darbo vietose, įtraukta į pristatymo paketą.

Statistika ir ataskaitos

Aptariamas tarpinis serveris saugo išsamią visų vartotojų interneto naudojimo statistiką. Galite dirbti su juo naudodami specialią programą arba naudodami žiniatinklio sąsają. Kartu įdiegta prieigos teisių padalijimo sistema, leidžianti atsakingiems darbuotojams peržiūrėti visą informaciją, o kitiems vartotojams – tik savo statistiką. Darbo metu galite naudoti tokius įrankius kaip filtravimas pagal įvairias sąlygas, lentelių ir grafinių ataskaitų generavimas, duomenų importavimas į HTML formatą ir Microsoft programos Excel ir OpenOffice.org Calc.

Integruotas DHCP serveris

„UserGate Proxy & Firewall“ įdiegia savo DHCP serverį, kuris gali paskirstyti IP adresus klientams iš administratoriaus nurodyto telkinio. Šis įrankis nereikalingas, jei domenas iškeltas įmonės informacinėje sistemoje. Tačiau tai gali supaprastinti kompiuterių administravimą mažuose lygiaverčiuose tinkluose.

Integruotas maršrutizatorius

Kitas administratoriaus įrankis yra įtaisytas maršrutizatorius. Tai leidžia sujungti du ar daugiau vietinių tinklų, užtikrinant skaidrų dvipusį ryšį tarp jų. Tuo pačiu galite nurodyti protokolus ir paslaugas, kurioms bus leista naudoti tinklo ryšius.

Antivirusinė apsauga

Naudojant UserGate Proxy & Firewall, visas srautas, einantis per tarpinį serverį, gali būti nuskaitytas, ar nėra kenkėjiškų programų. Tam naudojami integruoti Kaspersky Lab ir Panda Security sukurti moduliai. Be to, srauto nuskaitymas gali būti atliekamas vienu iš nurodytų antivirusinių modulių arba nuosekliai. Verta paminėti, kad norint naudoti antivirusinę programinę įrangą, reikia įsigyti papildomų atitinkamų gamintojų licencijų.

Ugniasienė

Minėtame tarpiniame serveryje įdiegta visavertė ugniasienė, kuri leidžia blokuoti nepageidaujamą tinklo srautą ir padeda apsisaugoti nuo išorinių įsilaužimų. Tuo pačiu metu jį labai lengva nustatyti. Kai įjungiate arba išjungiate paslaugas ir prievadų priskyrimo taisykles, atitinkami prievadai bus automatiškai atidaromi arba uždaromi.

VPN palaikymas

„UserGate“ tarpinis serveris ir ugniasienė palaiko PPTP ir L2TP protokolus, kurie naudojami bendrauti su VPN serveriais. Tai leidžia lengvai užmegzti saugų nuotolinį ryšį informacijos šaltiniaiįmonė ar jos filialai.

„UserGate“ tarpinio serverio ir ugniasienės diegimas ir darbas su jais

„UserGate“ tarpinio serverio ir ugniasienės tarpinio serverio diegimo procedūra gali būti suskirstyta į kelis etapus.

  1. Programos diegimas.
  2. Pagrindinė sąranka tarpiniai serveriai.
  3. Taisyklių, įgyvendinančių įmonės interneto naudojimo politiką, sukūrimas.
  4. Naudotojų pridėjimas.

1 etapas. Programos diegimas

„UserGate Proxy & Firewall“ diegimo procedūra yra labai paprasta ir nereikalauja iš atlikėjo jokių specialių žinių ar įgūdžių. Pirmiausia atsisiųskite platinimą iš oficialios kūrėjo svetainės, paleiskite jį ir pasirinkite diegimo programos darbo kalbą. Atsidariusiame pasveikinimo lange spustelėkite mygtuką „Kitas“.

1 pav. Diegimo programos pasveikinimo langasVartotojo vartaiProxy &Ugniasienė

Kitame žingsnyje perskaitykite licencijos sutartį, sutikite su ja ir dar kartą spustelėkite „Kitas“.

2 pav. Licencijos sutartisVartotojo vartaiProxy &Ugniasienė

Trečias etapas yra įdiegti komponentus. Jei diegiate programą interneto šliuze, turite įjungti elementą „UserGate Proxy & Firewall 5 Basic Files“ ir ten pasirinkti reikiamus antrinius elementus. Taigi, pavyzdžiui, jei neturite antivirusinių nuskaitymo modulių licencijos arba nesiruošiate naudotis žiniatinklio statistika, tuomet nereikia diegti atitinkamų modulių. Galite atskirai pasirinkti valdymo konsolę ir UserGate Statistics komponentą. To gali prireikti diegiant produktą administratoriaus ar atsakingo darbuotojo kompiuteryje, kad būtų galima nuotoliniu būdu valdyti įgaliotąjį serverį ir peržiūrėti ataskaitas.

Čia, jei reikia, galite pakeisti aplanką, kuriame bus įdiegtas produktas (numatytasis aplankas yra C:\Program Files\Entensys\UserGate 5\).

3 pav. Montavimo komponentų pasirinkimasVartotojo vartaiProxy &Ugniasienė

Po to bus rodomas galutinis diegimo programos langas, kuriame, norėdami pradėti procesą, turite spustelėti mygtuką „Įdiegti“.

4 pav. Galutinis diegimo programos langasVartotojo vartaiProxy &Ugniasienė

Laikas, kurio reikia diegimo procedūrai užbaigti, priklauso nuo turimų sistemos išteklių.

5 pav. MontavimasVartotojo vartaiProxy &Ugniasienė

Norint užbaigti diegimą, reikia iš naujo paleisti kompiuterį.

2 etapas. Pagrindinė tarpinio serverio sąranka

Visi tarpinio serverio administravimo darbai atliekami naudojant valdymo pultą. Tai galima atlikti tiesiogiai iš interneto šliuzo arba nuotoliniu būdu iš administratoriaus darbo vietos. Jei konsolė įdiegta kartu su serveriu tame pačiame kompiuteryje, ryšys sukuriamas automatiškai. Kitu atveju ryšį reikia konfigūruoti rankiniu būdu – nurodyti domeno pavadinimą arba serverio IP adresą, prievadą (2345 pagal nutylėjimą), prisijungimo vardą ir slaptažodį.

6 pav. Ryšio su serveriu nustatymasVartotojo vartaiProxy &Ugniasienė

Pirmą kartą prisijungę prie serverio, turite sukonfigūruoti sąsajas. Tai galima padaryti to paties pavadinimo valdymo pulto skirtuke. „UserGate Proxy & Firewall“ automatiškai aptinka visas galimas tinklo sąsajas ir parodo jas sąraše. Iš jų pasirinkite tuos, kurie „žiūri“ į vietinį tinklą, ir pakeiskite jų tipą į LAN. Visos išorinės sąsajos turi būti WAN tipo. Be tinklo sąsajų, sąraše yra jungčių, tokių kaip PPoE, VPN ir kt. Jie iš karto yra PPP tipo, kurių negalima pakeisti.

7 pav. Tinklo sąsajų konfigūravimasVartotojo vartaiProxy &Ugniasienė

Jei reikia, galite organizuoti interneto kanalų rezervavimo sistemą. Tai leidžia automatiškai persijungti į kitą sąsają, jei pagrindinė sąsaja nepasiekiama. Norėdami juo naudotis, turite turėti du ar daugiau interneto ryšių. Norėdami nustatyti rezervaciją, patogiausia naudoti specialų vedlį. Pirmajame etape nurodykite pagrindinius ir atsarginius ryšius.

8 pav. Pirminių ir atsarginių jungčių nurodymasVartotojo vartaiProxy &Ugniasienė

Antrame etape įveskite serverių, kurių nepasiekiamumas reikš, kad kanalas bus „nutrūkęs“, adresus. Atkreipkite dėmesį, kad geriausia naudotis populiariomis paslaugomis ir ne tik viena, o keliomis. Tai leidžia išvengti perjungimo į atsarginį kanalą dėl vidinių serverio problemų, pagrindinio tinklo gedimo ir kitų panašių priežasčių. Be to, galite įvesti komandos Ping tikrinimo intervalą ir skirtąjį laiką.

9 pav. Serverių, skirtų patikrinti ryšio funkcionalumą, sąrašasVartotojo vartaiProxy &Ugniasienė

Visi interneto kanalų rezervavimo nustatymai rodomi valdymo konsolės puslapyje „Sąsajos“. Čia galite juos pakeisti rankiniu būdu, nesinaudodami sąrankos vedliu.

10 pav. Interneto kanalų rezervavimo ypatybėsVartotojo vartaiProxy &Ugniasienė

Toliau reikia sukonfigūruoti tarpinį serverį. Norėdami tai padaryti, valdymo pulte atidarykite skyrių „Paslaugos“ ir jame pasirinkite skirtuką „Tarpinio serverio nustatymai“. Tokiu atveju dešinėje lango pusėje bus rodomas visų galimų tarpinių serverių sąrašas. Įjunkite reikalingas paslaugas ir išjunkite visas kitas.

11 pav. Įgaliotųjų serverių sąrašasVartotojo vartaiProxy &Ugniasienė

Jei reikia, galite pakeisti bet kurio įgaliotojo serverio veikimo parametrus. Tai atliekama specialiame lange, kuris iškviečiamas dukart spustelėjus norimą elementą. Jame turite nurodyti tinklo sąsajas, kurių klausysis tarpinis serveris. Daugeliu atvejų turėsite pasirinkti visas LAN jungtis. Nereikia nurodyti sąsajų ypatybėse, tačiau tokiu atveju „UserGate Proxy & Firewall“ išklausys jas visas, įskaitant išorines. Čia taip pat galite pakeisti prievadą, kuriame veikia tarpinis serveris.

Be to, šiame lange galite perjungti tarpinį serverį į vadinamąjį skaidrų darbo režimą. Jo esmė yra tokia. Kai įjungtas skaidrumas, NAT tvarkyklė klauso atitinkamų interneto šliuzo prievadų (80 TCP HTTP, 110 TCP POP3 ir kt.), aptinka per juos gaunamas užklausas ir persiunčia jas į tarpinį serverį. Dėl to darbas iš esmės atliekamas per „proxy“, tačiau administratoriams nebereikia konfigūruoti programų darbo stotyse. Visi jie veiks taip, lyg būtų tiesiogiai prijungti prie interneto. Tačiau naudojant skaidrų darbo režimą reikia iš naujo sukonfigūruoti savybes tinklo prisijungimas darbo stotys (nurodykite interneto šliuzo IP adresą kaip šliuzą ir įveskite DNS serverį).

12 pav. Tarpinio serverio ypatybėsVartotojo vartaiProxy &Ugniasienė

Tada turite užtikrinti, kad DNS užklausos būtų perduodamos per tarpinį serverį. Lengviausias būdas tai padaryti yra DNS persiuntimas. Naudojant šią technologiją, užklausos, gaunamos į interneto šliuzo 53 prievadą (klausomos tik LAN sąsajos), nukreipiamos į tiekėjo DNS serverį. Norėdami jį įjungti, eikite į skirtuką „DNS nustatymai“, esantį skiltyje „Paslaugos“. Atsidariusiame lange įjunkite DNS persiuntimą ir nurodykite DNS serverio adresą. Pagal numatytuosius nustatymus jis bus automatiškai paimtas iš WAN sąsajos tinklo plokštės nustatymų. Tačiau, jei reikia, galite nustatyti savo DNS serverių sąrašą.

13 pav. SąrankaDNS yra„UserGate“ tarpinis serveris ir ugniasienė

Be to, galite sukonfigūruoti tokias produkto funkcijas kaip bendras pralaidumo valdymas, prievadų peradresavimas, programų valdymas ir kt. Tačiau mes jų išsamiai neaptarsime: „UserGate“ tarpinis serveris ir ugniasienė yra per daug funkcionalūs, kad tai apibūdintų. pilnas pritaikymas per vieną peržiūrą. Be to, prie šio produkto pridedama gana išsami pagalbos sistema.

3 etapas. Taisyklių, įgyvendinančių įmonės interneto naudojimo politiką, sukūrimas

Svarbi „UserGate Proxy & Firewall“ savybė yra srauto valdymo sistema, leidžianti neleisti organizacijos darbuotojams piktnaudžiauti įmonės interneto ištekliais, padidinti informacinės sistemos saugumą ir išspręsti daugybę kitų panašių problemų. Jis pagrįstas taisyklėmis, apibūdinančiomis sistemos elgesį tam tikrais atvejais. Pagrindinis darbas su jais atliekamas to paties pavadinimo skirtuke, esančiame skyriuje „Eismo valdymas“. Čia juos galima kurti, ištrinti ir redaguoti. Taisyklių gali būti bet koks skaičius. Tačiau nebūtina, kad visi jie dalyvautų. Taisyklės priskiriamos grupėms arba vartotojams ir veikia tik jiems.

14 pav. Eismo valdymo taisyklių sąrašas inVartotojo vartaiProxy &Ugniasienė

Kiekviena taisyklė reiškia vieną ar daugiau sąlygų, sujungtų su loginiais operatoriais IR arba ARBA. Kai jie vykdomi, suaktyvinamas nurodytas veiksmas. Taisyklių ypatybių langą sudaro penki skirtukai. Pirmasis nustato pagrindinius parametrus: pavadinimą, logikos tipą, taip pat objektą ir su juo atliekamą veiksmą. Čia yra tokių parinkčių kaip ryšio uždarymas, srauto skaičiavimo išjungimas, greičio apribojimų įjungimas ir kt.

15 pav. Pagrindiniai eismo valdymo taisyklės parametraiVartotojo vartaiProxy &Ugniasienė

Antrame skirtuke nurodomi protokolai, kuriems taisyklė veiks. Pagal numatytuosius nustatymus jie visi yra aktyvuoti. Tačiau administratorius gali kai kuriuos iš jų išjungti.

16 pav. Protokolų konfigūravimas eismo valdymo taisyklėjeVartotojo vartaiProxy &Ugniasienė

Kitas skirtukas leidžia nustatyti tvarkaraštį, t.y. nurodykite taisyklės trukmę.

17 pav. Eismo valdymo taisyklės veiksmų grafiko konfigūravimasVartotojo vartaiProxy &Ugniasienė

Ketvirtasis skirtukas skirtas dienos, savaitės ar mėnesio srauto suvartojimo apribojimams įvesti. Taisyklė bus suaktyvinta, kai vartotojas pasieks tam tikrą ribą. Be to, šiame skirtuke galite nustatyti įkeltų failų dydžio apribojimus.

18 pav. Vartojimo apribojimų konfigūravimas eismo valdymo taisyklėjeVartotojo vartaiProxy &Ugniasienė

Paskutiniame, penktame skirtuke galite sukonfigūruoti žiniatinklio turinio filtravimą. Jame galite nustatyti keturių skirtingų tipų sąlygas: pagal IP adresą (arba IP adresų diapazoną), pagal svetainės adresą (įskaitant adreso fragmentą), pagal turinio tipą (pagal visas kategorijas - garso, vaizdo, paveikslėlių, tekstinių dokumentų). ir tt arba pagal atskirus plėtinius - *.avi, *.mp3, *.flv ir kt.), taip pat pagal kategorijas. Verta paminėti, kad galima nurodyti filtruojamo turinio tipą.

19 pav. Žiniatinklio turinio filtravimo sąlygų konfigūravimas srauto valdymo taisyklėjeVartotojo vartaiProxy &Ugniasienė

Aukščiau aprašytas sąlygas galima derinti bet kokiu deriniu, o tai leidžia sukurti labai lanksčias taisykles, apibūdinančias beveik bet kokią įmonės naudojimosi internetu politiką.

4 etapas. Vartotojų įtraukimas

„UserGate Proxy & Firewall“ suteikia du būdus pridėti vartotojus: rankiniu būdu ir integruojant su „Active Directory“. Akivaizdu, kad pirmasis iš jų skirtas tik mažoms įmonėms, kurios naudoja paprastą peer-to-peer tinklą. Jei organizacija įdiegė domeną, daug lengviau ir efektyviau naudoti integraciją su Active Directory.

Jei pasirenkate antrąją vartotojų įtraukimo parinktį, pirmiausia turite sukonfigūruoti sinchronizavimo nustatymus. Tai galima padaryti skilties „Vartotojai ir grupės“ skirtuke „Grupės“. Norėdami įvesti parametrus, spustelėkite mygtuką „Sinchronizavimo su AD nustatymas“ ir atsidariusiame lange įveskite domeno pavadinimą, valdiklio adresą, administratoriaus prisijungimą ir slaptažodį bei duomenų atnaujinimo dažnumą.

20 pav. Sinchronizavimo nustatymaiVartotojo vartaiProxy &Ugniasienė suAktyvusKatalogas

Darbas su paskyromis prasideda įvedus vartotojų grupes, kurių kiekvienai galite nurodyti anksčiau įvestas taisykles. Tuo pačiu metu jie bus iš karto paskirstyti visoms paskyroms, o tai supaprastina valdymą.

21 pav. Grupių sąrašasVartotojo vartaiProxy &Ugniasienė

Baigę darbą su grupėmis galite pradėti kurti vartotojų sąrašą. Naudojant rankinį metodą, kiekvienas sąskaitą turėsite jį įvesti patys, nustatydami visas jo savybes, įskaitant autorizacijos metodą. Sinchronizavimo metu paskyrų sąrašas pildomas ir atnaujinamas automatiškai. Jei reikia, galite pakeisti vartotojų paskyras, pavyzdžiui, nustatyti kitą autorizacijos metodą (NTLM autorizacija naudojama pagal numatytuosius nustatymus).

22 pav. Sąskaitų sąrašasVartotojo vartaiProxy &Ugniasienė

Čia reikia padaryti nedidelį nukrypimą. Norėdami naudoti kai kuriuos autorizavimo būdus (prisijungimo vardas ir slaptažodis, įvestas UserGate proxy ir ugniasienėje, Windows prisijungimas, autorizacija per Active Directory.), turite įdiegti darbo vietose. speciali programa– UserGate autorizacijos klientas. Jo diegimo paketas (AuthClientInstall.msi) yra produkto diegimo katalogo poaplankyje Įrankiai. Jį galima įdiegti rankiniu būdu arba naudojant „Active Directory“ grupės strategijas.

Šiuo metu pradinė UserGate tarpinio serverio ir ugniasienės sąrankos procedūra gali būti laikoma baigta. Mūsų tarpinis serveris yra visiškai paruoštas darbui. Ateityje administratorius gali bet kada prie jo prisijungti nuotoliniu būdu ir keisti anksčiau nurodytus parametrus.

„UserGate“ tarpinis serveris ir ugniasienė reiškia programas, kurioms nereikia nuolatinio administratoriaus dėmesio. Prisijungimas prie interneto, perjungimas į atsarginį kanalą ir atgal, įmonės darbuotojų naudojimosi pasauliniu tinklu stebėjimas ir kiti veiksmai atliekami automatiškai. Taigi, tiesą sakant, visas tolesnis darbas atitenka statistikos studijoms ir kartais kai kurių veikimo parametrų keitimui.

Norint dirbti su sistemos surinkta informacija, galima naudoti specialią aplikaciją – „UserGate Statistics“. Jos pagalba administratorius ar atsakingas darbuotojas gali peržiūrėti pilnus duomenis, filtruojant juos pagal datą, paskirties vietą, vartotoją, protokolą, svetainės kategoriją ir kitus parametrus, bei eksportuoti įvairiais formatais.

24 pav. Statistikos peržiūra naudojant specialią programą

Yra ir kita galimybė peržiūrėti surinktą informaciją – žiniatinklio statistika. Su jo pagalba galite tyrinėti duomenis naudodami naršyklę. Įdomu tai, kad tai gali padaryti ne tik administratoriai, bet ir paprasti vartotojai. Tuo pačiu metu jiems bus prieinama tik jų asmeninė statistika.

25 pav. Statistikos peržiūra naudojant naršyklę

išvadas

Pabaigoje apibendrinkime. Išsamus UserGate Proxy & Firewall galimybių tyrimas parodė, kad šiandien šis produktas yra vienas funkcionaliausių tarpinių serverių Rusijos rinkoje. Su jo pagalba galite išspręsti beveik bet kokią problemą, susijusią su bendros prieigos prie interneto organizavimu.

Svarbi nagrinėjamo produkto savybė yra galimybė įgyvendinti įmonės politiką, skirtą naudoti pasaulinį tinklą. Draudimas patekti į potencialiai pavojingas svetaines, blokuoti tam tikro tipo turinio įkėlimą ir kai kurios kitos funkcijos padidina informacinės sistemos saugumo lygį.

Svarbus veiksnys yra „UserGate Proxy & Firewall“ saugos įrankių buvimas, leidžiantis greitai ir lengvai organizuoti vietinio tinklo perimetro apsaugą nuo išorinių grėsmių: antivirusinės ir ugniasienės. Žinoma, jų naudojimas nepakeičia poreikio apsaugoti darbo vietas. Tačiau dviejų etapų „gynyba“, kurios metu tinklo srautas tikrinamas nuosekliai (pirmiausia interneto šliuzo, o vėliau ir vartotojo kompiuterio lygiu), dažniausiai pasirodo daug efektyvesnis.

Pagrindiniai „UserGate Proxy & Firewall“ trūkumai yra ne techniniai, o „ekonominiai“. Kalbame apie būtinybę kasmet atnaujinti antivirusinių modulių naudojimo licencijas, taip pat svetainių filtravimo pagal kategorijas sistemą. Iš esmės tarpinis serveris gali veikti ir be jų, juolab kad pati UserGate Proxy & Firewall licencija yra neribota. Tačiau šios funkcijos gali žymiai padidinti informacinės sistemos saugumą, todėl jomis naudotis vis dar pageidautina.


Šiandien turbūt jau visų įmonių vadovybė įvertino interneto teikiamas galimybes verslui. Žinoma, nekalbame apie internetines parduotuves ir elektroninę prekybą, kurios, kad ir kaip būtų galima sakyti, šiandien yra daugiau rinkodaros priemonės nei realus būdas padidinti prekių ar paslaugų apyvartą. Pasaulinis tinklas yra puiki informacinė aplinka, beveik neišsenkantis įvairiausių duomenų šaltinis. Be to, tai užtikrina greitą ir pigų bendravimą tiek su įmonės klientais, tiek su partneriais. Negalima nuvertinti interneto rinkodaros galimybių. Taigi paaiškėja, kad Global Network apskritai gali būti laikomas daugiafunkciu verslo įrankiu, galinčiu padidinti įmonės darbuotojų darbo efektyvumą.

Tačiau pirmiausia turite suteikti šiems darbuotojams prieigą prie interneto. Tiesiog prijungti vieną kompiuterį prie pasaulinio tinklo šiandien nėra problema. Yra daug būdų, kaip tai padaryti. Taip pat yra daug įmonių, siūlančių praktinį šios problemos sprendimą. Tačiau vargu ar internetas viename kompiuteryje galės atnešti pastebimos naudos įmonei. Kiekvienas darbuotojas turi turėti prieigą prie interneto iš savo darbo vietos. Ir čia neapsieisime be specialios programinės įrangos, vadinamojo tarpinio serverio. Iš esmės „Windows“ šeimos operacinių sistemų galimybės leidžia bet kokį prisijungimą prie interneto padaryti įprastu. Tokiu atveju kiti vietinio tinklo kompiuteriai turės prieigą prie jo. Tačiau šį sprendimą vargu ar verta svarstyti bent rimtai. Faktas yra tas, kad renkantis jį turėsite pamiršti apie įmonės darbuotojų naudojimosi Globaliu tinklu kontrolę. Tai reiškia, kad kiekvienas iš bet kurio įmonės kompiuterio gali prisijungti prie interneto ir ten daryti ką nori. O kuo tai gresia, tikriausiai niekam aiškinti nereikia.

Taigi vienintelis priimtinas būdas įmonei organizuoti visų į įmonės vietinį tinklą įtrauktų kompiuterių prijungimą yra tarpinis serveris. Šiandien rinkoje yra daug šios klasės programų. Bet mes kalbėsime tik apie vieną raidą. Jis vadinamas „UserGate“ ir jį sukūrė „eSafeLine“ specialistai. Pagrindinės šios programos savybės yra platus funkcionalumas ir labai patogi sąsaja rusų kalba. Be to, verta paminėti, kad ji nuolat tobulėja. Neseniai visuomenei buvo pristatyta nauja, ketvirtoji šio gaminio versija.

Taigi, UserGate. Šis programinės įrangos produktas susideda iš kelių atskirų modulių. Pirmasis iš jų yra pats serveris. Jis turi būti įdiegtas kompiuteryje, kuris yra tiesiogiai prijungtas prie interneto (interneto šliuzas). Būtent serveris suteikia vartotojui prieigą prie pasaulinio tinklo, skaičiuoja naudojamą srautą, veda veiklos statistiką ir kt. Antrasis modulis skirtas sistemos administravimui. Su jo pagalba atsakingas darbuotojas atlieka visą tarpinio serverio konfigūraciją. Pagrindinė UserGate savybė šiuo atžvilgiu yra ta, kad administravimo modulis nebūtinai turi būti interneto šliuze. Taigi, mes kalbame apie nuotolinio valdymo pultas tarpinis serveris. Tai labai gerai, nes sistemos administratorius gauna galimybę valdyti prieigą prie interneto tiesiai iš savo darbo vietos.

Be to, „UserGate“ apima dar du atskirus programinės įrangos moduliai. Pirmasis iš jų reikalingas patogiam interneto naudojimo statistikos peržiūrai ir ataskaitoms pagal ją kurti, o antrasis tam tikrais atvejais skirtas autorizuoti vartotojus. Šis metodas puikiai dera su rusų kalba ir intuityvia visų modulių sąsaja. Visa tai leidžia greitai ir be jokių problemų nustatyti bendrą prieigą prie pasaulinio tinklo bet kuriame biure.

Bet pereikime prie „UserGate“ tarpinio serverio funkcionalumo analizės. Pradėti reikia nuo to, kad ši programa iš karto įdiegia du skirtingus DNS konfigūravimo būdus (galbūt svarbiausia užduotis diegiant vieša prieiga). Pirmasis iš jų yra NAT (Network Address Translation). Tai suteikia labai tikslią suvartojamo srauto apskaitą ir leidžia vartotojams naudoti bet kokius administratoriaus leidžiamus protokolus. Tačiau verta paminėti, kad šiuo atveju kai kurios tinklo programos neveiks tinkamai. Antrasis variantas yra DNS persiuntimas. Jis turi didesnių apribojimų, palyginti su NAT, bet gali būti naudojamas kompiuteriuose su pasenusiu veikiančios šeimos(„Windows 95“, „98“ ir „NT“).

Interneto leidimai konfigūruojami naudojant terminus „vartotojas“ ir „naudotojų grupė“. Be to, įdomu tai, kad UserGate tarpiniame serveryje vartotojas nebūtinai yra asmuo. Kompiuteris taip pat gali atlikti savo vaidmenį. Tai yra, pirmuoju atveju prieiga prie interneto leidžiama tam tikriems darbuotojams, o antruoju - visiems žmonėms, sėdintiems prie kompiuterio. Natūralu, kad naudojami skirtingi vartotojo autorizacijos būdai. Jei kalbame apie kompiuterius, juos galima atpažinti pagal jų IP adresą, IP ir MAC adresų derinį ir IP adresų diapazoną. Darbuotojams autorizuoti galima naudoti specialias prisijungimo/slaptažodžių poras, duomenis iš Active Directory, autorizaciją atitinkantį vardą ir slaptažodį. „Windows“ informacija Naudotojai gali būti sujungti į grupes, kad būtų lengviau konfigūruoti. Šis metodas leidžia valdyti prieigą visiems darbuotojams, turintiems tas pačias teises (esančius tas pačias pareigas), o ne nustatyti kiekvieną paskyrą atskirai.

„UserGate“ tarpinis serveris taip pat turi savo atsiskaitymo sistemą. Administratorius gali nustatyti bet kokį tarifų skaičių, nurodantį, kiek kainuoja vienas gaunamo ar išeinančio srauto ar ryšio laiko vienetas. Tai leidžia tiksliai registruoti visas su vartotojais susijusias interneto išlaidas. Tai yra, įmonės vadovybė visada žinos, kas kiek išleido. Beje, tarifai gali būti priklausomi nuo esamo laiko, o tai leidžia tiksliai atkurti tiekėjo kainų politiką.

„UserGate“ tarpinis serveris leidžia įgyvendinti bet kokią, kad ir kokia sudėtinga, įmonės interneto prieigos politiką. Šiuo tikslu naudojamos vadinamosios taisyklės. Jų pagalba administratorius gali nustatyti apribojimus vartotojams dėl veikimo laiko, siunčiamo ar gaunamo srauto kiekio per dieną ar mėnesį, sunaudojamo laiko per dieną ar mėnesį ir pan. Viršijus šias ribas, prieiga prie Pasaulinis tinklas bus automatiškai užblokuotas. Be to, naudodamiesi taisyklėmis galite nustatyti atskirų vartotojų arba visų jų grupių prieigos greičio apribojimus.

Kitas taisyklių naudojimo pavyzdys – prieigos prie tam tikrų IP adresų ar jų diapazonų, ištisų domenų vardų ar adresų, kuriuose yra tam tikros eilutės, apribojimai ir pan. Tai yra, iš tikrųjų kalbame apie svetainių filtravimą, kurių pagalba jūs galite gali neįtraukti nepageidaujamų interneto projektų darbuotojų apsilankymų. Bet, žinoma, tai ne visi taisyklių taikymo pavyzdžiai. Su jų pagalba galite, pavyzdžiui, įdiegti perjungimo tarifus priklausomai nuo šiuo metu įkeliamos svetainės (būtina atsižvelgti į kai kurių paslaugų teikėjų lengvatinį srautą), sukonfigūruoti pjovimą. reklaminiai baneriai ir taip toliau.

Beje, jau minėjome, kad UserGate proxy serveris turi atskirą modulį darbui su statistika. Jos pagalba administratorius gali bet kada peržiūrėti sunaudotą srautą (iš viso, kiekvienam vartotojui, vartotojų grupėms, svetainėms, serverių IP adresus ir pan.). Be to, visa tai atliekama labai greitai naudojant patogią filtrų sistemą. Be to, šiame modulyje įdiegtas ataskaitų generatorius, su kuriuo administratorius gali paruošti bet kokias ataskaitas ir eksportuoti jas į MS Excel formatą.

Labai įdomus kūrėjų sprendimas – į ugniasienę integruoti antivirusinį modulį, kuris valdo visą įeinantį ir išeinantį srautą. Be to, jie neišrado dviračio iš naujo, o integravo „Kaspersky Lab“ kūrimą. Šis sprendimas garantuoja, pirma, tikrai patikimą apsaugą nuo visų kenkėjiškų programų, antra, reguliarų parašų duomenų bazių atnaujinimą. Kita svarbi informacijos saugumo savybė yra įmontuota ugniasienė. Taigi „UserGate“ kūrėjai jį sukūrė savarankiškai. Deja, verta paminėti, kad į tarpinį serverį integruota ugniasienė savo galimybėmis gerokai skiriasi nuo pirmaujančių šios srities produktų. Griežtai kalbant, mes kalbame apie modulį, kuris įgyvendina paprastas blokavimas srautas, einantis per administratoriaus nurodytus prievadus ir protokolus į kompiuterius su nurodytais IP adresais ir iš jų. Jis neturi nematomumo režimo ar kai kurių kitų funkcijų, kurios paprastai reikalingos ugniasienėms.

Deja, vienas straipsnis negali apimti išsamios visų UserGate tarpinio serverio funkcijų analizės. Todėl bent jau tiesiog išvardinkime įdomiausius iš jų, neįtrauktus į mūsų apžvalgą. Pirma, tai yra failų, atsisiųstų iš interneto, kaupimas talpykloje, kuri leidžia tikrai sutaupyti pinigų tiekėjo paslaugoms. Antra, verta atkreipti dėmesį į Port susiejimo funkciją, kuri leidžia susieti bet kurį pasirinktą vienos iš vietinių Ethernet sąsajų prievadą su norimu nuotolinio kompiuterio prievadu (ši funkcija reikalinga tinklo programoms: banko-kliento sistemoms veikti. , įvairūs žaidimai ir kt.). Be to, UserGate tarpinis serveris įgyvendina tokias funkcijas kaip prieiga prie vidinių įmonės išteklių, užduočių planuoklis, prisijungimas prie tarpinio serverio kaskados, aktyvių vartotojų srauto ir IP adresų, jų prisijungimų, aplankytų URL realiuoju laiku stebėjimas ir daug, daug daugiau. kitas.

Na, dabar laikas įvertinti. Mes, mieli skaitytojai, išsamiai išnagrinėjome „UserGate“ tarpinį serverį, kurio pagalba galite organizuoti bendrą prieigą prie interneto bet kuriame biure. Ir mes buvome įsitikinę, kad ši plėtra sujungia paprastumą ir lengvą sąranką bei naudojimą su labai plačiu funkcijų rinkiniu. Visa tai daro naujausią „UserGate“ versiją labai patraukliu produktu.

Pastaba:Šis straipsnis buvo redaguotas, atnaujintas naujausiais duomenimis ir papildomomis nuorodomis.

„UserGate“ tarpinis serveris ir ugniasienė yra UTM (Unified Threat Management) klasės interneto vartai, leidžiantys suteikti ir kontroliuoti bendrą darbuotojų prieigą prie interneto išteklių, filtruoti kenkėjiškas, pavojingas ir nepageidaujamas svetaines, apsaugoti įmonės tinklą nuo išorinių įsilaužimų ir atakų, kurti virtualūs tinklai ir organizuoti saugią VPN prieigą prie tinklo išteklių iš išorės, taip pat valdyti kanalo plotį ir interneto programas.

Produktas yra veiksminga alternatyva brangiai programinei ir techninei įrangai ir yra skirtas naudoti mažose ir vidutinėse įmonėse, vyriausybinėse įstaigose ir didelėse organizacijose, turinčiose filialų struktūrą.

Visi Papildoma informacija apie produktą, kurį galite rasti.

Programa turi papildomų mokamų modulių:

  • Kaspersky Antivirus
  • Panda Antivirus
  • Avira Antivirus
  • „Entensys“ URL filtravimas

Licencija kiekvienam moduliui suteikiama vieneriems kalendoriniams metams. Visų modulių veikimą galite išbandyti bandomajame rakte, kuris gali būti suteikiamas nuo 1 iki 3 mėnesių laikotarpiui neribotam vartotojų skaičiui.

Išsamiai galite perskaityti apie licencijavimo taisykles.

Visais klausimais, susijusiais su Entensys sprendimų pirkimu, kreipkitės: [apsaugotas el. paštas] arba paskambinę nemokamu telefonu: 8-800-500-4032.

Sistemos reikalavimai

Norėdami organizuoti šliuzą, jums reikia kompiuterio arba serverio, kuris turi atitikti šiuos sistemos reikalavimus:

  • CPU dažnis: nuo 1,2 GHz
  • RAM talpa: nuo 1024 Gb
  • HDD talpa: nuo 80 GB
  • Tinklo adapterių skaičius: 2 ar daugiau

Kuo didesnis vartotojų skaičius (lyginant su 75 vartotojais), tuo geresnės turėtų būti serverio charakteristikos.

Rekomenduojame savo gaminį įdiegti kompiuteryje su „švariu“ serveriu Operacinė sistema, rekomenduojama operacinė sistema yra „Windows 2008/2012“.
Mes negarantuojame tinkamo UserGate Proxy&Firewall veikimo ir (arba) bendradarbiavimo su trečiųjų šalių paslaugomis ir Nerekomenduojame jo naudoti kartu su paslaugomis šliuze, kuris atlieka šias funkcijas:

  • Is domeno valdiklis
  • Yra virtualios mašinos hipervizorius
  • Is terminalo serveris
  • Veikia kaip didelės apkrovos DBMS/DNS/HTTP serveris ir kt.
  • Veikia kaip SIP serveris
  • Teikia verslui svarbias paslaugas ar paslaugas
  • Visa tai, kas išdėstyta aukščiau

„UserGate“ tarpinis serveris ir ugniasienė šiuo metu gali prieštarauti šių tipų programinei įrangai:

  • Visi be išimties trečias vakarėlis Ugniasienė / ugniasienės sprendimai
  • BitDefender antivirusiniai produktai
  • Antivirusiniai moduliai, kurie atlieka daugumos antivirusinių produktų ugniasienės arba antivirusinės programos funkciją. Šiuos modulius rekomenduojama išjungti
  • Antivirusiniai moduliai, kurie nuskaito HTTP/SMTP/POP3 protokolais perduodamus duomenis, tai gali sukelti delsą aktyviai dirbant per tarpinį serverį
  • Trečiųjų šalių programinės įrangos produktai, galintys perimti duomenis iš tinklo adapterių - „greičio matuokliai“, „formatai“ ir kt.
  • Aktyvus „Windows Server“ vaidmuo „Maršrutizavimas ir Nuotolinis prisijungimas“ NAT/Internet Connection Sharing (ICS) režimu

Dėmesio! Diegimo metu rekomenduojama išjungti IPv6 protokolo palaikymą šliuzuose, jei nenaudojamos programos, kurios naudoja IPv6. Dabartinis UserGate Proxy&Firewall diegimas nepalaiko IPv6 protokolo, todėl šio protokolo filtravimas nevykdomas. Taigi, priegloba gali būti pasiekiama iš išorės per IPv6 protokolą net ir suaktyvinus draudžiamąsias ugniasienės taisykles.

Teisingai sukonfigūruotas „UserGate Proxy&Firewall“ yra suderinamas su šiomis paslaugomis:

„Microsoft Windows Server“ vaidmenys:

  • DNS serveris
  • DHCP serveris
  • Spausdinimo serveris
  • Failų (SMB) serveris
  • Programų serveris
  • WSUS serveris
  • Tinklapio serveris
  • WINS serveris
  • VPN serveris

Ir su trečiųjų šalių produktais:

  • FTP/SFTP serveriai
  • Pranešimų serveriai – IRC/XMPP

Diegdami „UserGate Proxy&Firewall“ įsitikinkite, kad trečiosios šalies programinė įranga nenaudoja prievado ar prievadų, kuriuos gali naudoti „UserGate Proxy&Firewall“. Pagal numatytuosius nustatymus UserGate naudoja šiuos prievadus:

  • 25 – SMTP tarpinis serveris
  • 80 – skaidrus HTTP tarpinis serveris
  • 110 – POP3 tarpinis serveris
  • 2345 – „UserGate“ administratoriaus konsolė
  • 5455 – UserGate VPN serveris
  • 5456 – UserGate autorizacijos klientas
  • 5458 – DNS persiuntimas
  • 8080 – HTTP tarpinis serveris
  • 8081 – „UserGate“ žiniatinklio statistika

Visus prievadus galima keisti naudojant UserGate administratoriaus konsolę.

Programos diegimas ir duomenų bazės, su kuria norite dirbti, pasirinkimas

„UserGate“ tarpinio serverio ir ugniasienės sąrankos vedlys

Išsamesnis NAT taisyklių nustatymo aprašymas aprašytas šiame straipsnyje:

„UserGate“ agentas

Įdiegę UserGate Proxy&Firewall Būtinai iš naujo paleiskite šliuzą. Po autorizavimo sistemoje „Windows“ užduočių juostoje, šalia laikrodžio, „UserGate“ agento piktograma turėtų pasidaryti žalia. Jei piktograma yra pilka, tai reiškia, kad diegimo proceso metu įvyko klaida ir „UserGate Proxy&Firewall“ serverio paslauga neveikia, tokiu atveju žr. atitinkamą „Entensys“ žinių bazės skyrių arba Techninė pagalbaĮmonė Entensys.

Produktas sukonfigūruojamas per UserGate Proxy&Firewall administravimo konsolę, kurią galima iškviesti dukart spustelėjus UserGate agento piktogramą arba meniu Pradėti nuorodą.
Kai paleidžiate administravimo konsolę, pirmiausia turite užregistruoti savo produktą.

Bendrieji nustatymai

Administratoriaus konsolės skiltyje Bendrieji nustatymai nustatykite administratoriaus vartotojo slaptažodį. Svarbu! Norėdami pasiekti administravimo pultą, nenaudokite specialiųjų Unicode simbolių ar gaminio PIN kodo kaip slaptažodžio.

„UserGate Proxy&Firewall“ produktas turi atakos apsaugos mechanizmas, taip pat galite jį suaktyvinti meniu „Bendrieji nustatymai“. Atakos apsaugos mechanizmas yra aktyvus mechanizmas, savotiškas „raudonas mygtukas“, veikiantis visose sąsajose. Šią funkciją rekomenduojama naudoti tuo atveju DDoS atakos arba masinis vietinio tinklo kompiuterių užkrėtimas kenkėjiškomis programomis (virusais/kirminais/botnet programomis). Apsaugos nuo atakų mechanizmas gali blokuoti vartotojus, naudojančius failų dalijimosi klientus – torrentus, tiesioginį ryšį, kai kurių tipų VoIP klientus/serverius, kurie aktyviai keičiasi srautu. Norėdami gauti užblokuotų kompiuterių IP adresus, atidarykite failą ProgramData\Entensys\Usergate6\logging\fw.log arba Dokumentai ir nustatymai\Visi vartotojai\Programos duomenys\Entensys\Usergate6\logging\fw.log.

Dėmesio! Toliau aprašytus parametrus rekomenduojama keisti tik tuo atveju, jei yra didelis klientų skaičius / dideli šliuzo pralaidumo reikalavimai.

Šiame skyriuje taip pat yra šie nustatymai: „Maksimalus jungčių skaičius“ – didžiausias visų jungčių per NAT ir per „UserGate Proxy&Firewall“ tarpinį serverį skaičius.

„Maksimalus NAT jungčių skaičius“ – maksimalus jungčių skaičius, kurį „UserGate Proxy&Firewall“ gali perduoti per NAT tvarkyklę.

Jei klientų skaičius yra ne didesnis kaip 200–300, tada nerekomenduojama keisti nustatymų „Maksimalus jungčių skaičius“ ir „Maksimalus NAT jungčių skaičius“. Šių parametrų padidinimas gali labai apkrauti šliuzo aparatinę įrangą ir rekomenduojamas tik optimizuojant parametrus daugeliui klientų.

Sąsajos

Dėmesio! Prieš tai darydami būtinai patikrinkite tinklo adapterio nustatymus sistemoje Windows! Prie vietinio tinklo (LAN) prijungtoje sąsajoje negali būti šliuzo adreso! Nebūtina nurodyti DNS serverių LAN adapterio nustatymuose, nerekomenduojame jo gauti naudojant DHCP;

LAN adapterio IP adresas turi turėti privatų IP adresą. Priimtinas naudoti IP adresą iš šių diapazonų:

10.0.0.0 - 10.255.255.255 (10/8 priešdėlis) 172.16.0.0 - 172.31.255.255 (172.16/12 priešdėlis) 192.168.0.0 - 192.168.51 priešdėlis 6.6

Privataus tinklo adresų paskirstymas aprašytas RFC 1918 .

Naudojant kitus diapazonus kaip vietinio tinklo adresus, „UserGate Proxy&Firewall“ veikime gali atsirasti klaidų.

Prie interneto prijungtoje sąsajoje (WAN) turi būti IP adresas, tinklo kaukė, šliuzo adresas ir DNS serverio adresai.
Nerekomenduojama WAN adapterio nustatymuose naudoti daugiau nei tris DNS serverius, tai gali sukelti tinklo veikimo klaidų. Pirmiausia patikrinkite kiekvieno DNS serverio funkcionalumą naudodami cmd.exe konsolės komandą nslookup, pavyzdžiui:

nslookup usergate.ru 8.8.8.8

kur 8.8.8.8 yra DNS serverio adresas. Atsakyme turi būti nurodytas prašomo serverio IP adresas. Jei atsakymo nėra, vadinasi, DNS serveris negalioja arba DNS srautas užblokuotas.

Būtina nustatyti sąsajų tipą. Sąsaja su IP adresu, kuri yra prijungta prie vidinio tinklo, turi būti LAN tipo; sąsaja, kuri yra prijungta prie interneto - WAN.

Jei yra kelios WAN sąsajos, turite pasirinkti pagrindinę WAN sąsają, per kurią bus srautas, dešiniuoju pelės mygtuku spustelėdami ją ir pasirinkdami „Nustatyti kaip pagrindinį ryšį“. Jei planuojate naudoti kitą WAN sąsają kaip atsarginį kanalą, rekomenduojame naudoti „Sąrankos vedlį“.

Dėmesio! Nustatant atsarginį ryšį, rekomenduojama nurodyti ne DNS pagrindinio kompiuterio pavadinimą, o IP adresą, kad UserGate Proxy&Firewall periodiškai jį apklaustų naudodamas icmp (ping) užklausas ir, jei atsakymo nėra, įjungtų atsarginį ryšį. Įsitikinkite, kad veikia DNS serveriai tinklo atsarginės kopijos adapterio nustatymuose sistemoje Windows.

Vartotojai ir grupės

Kad kliento kompiuteris galėtų prisijungti prie šliuzo ir pasiekti UserGate Proxy&Firewall ir NAT paslaugas, turite pridėti vartotojų. Norėdami supaprastinti šią procedūrą, naudokite nuskaitymo funkciją - „Nuskaityti vietinį tinklą“. „UserGate Proxy&Firewall“ savarankiškai nuskaitys vietinį tinklą ir pateiks prieglobų, kuriuos galima įtraukti į vartotojų sąrašą, sąrašą. Tada galite sukurti grupes ir įtraukti į jas vartotojus.

Jei įdiegėte domeno valdiklį, galite konfigūruoti grupių sinchronizavimą su grupėmis Active Directory arba importuoti vartotojus iš Active Directory be nuolatinio sinchronizavimo su Active Directory.

Sukuriame grupę, kuri bus sinchronizuojama su grupe ar grupėmis iš AD, meniu "Sinchronizavimas su AD" įvedame reikiamus duomenis ir iš naujo paleidžiame UserGate paslaugą naudodami UserGate agentą. Po 300 sek. vartotojai automatiškai importuojami į grupę. Šių vartotojų autentifikavimo metodas bus nustatytas kaip AD.

Ugniasienė

Kad šliuzas veiktų teisingai ir saugiai, tai būtina Būtinai sukonfigūruoti ugniasienę.

Rekomenduojamas toks ugniasienės veikimo algoritmas: užblokuokite visą srautą ir pridėkite leidimo taisykles reikiamomis kryptimis. Kad tai padarytumėte, taisyklė #NONUSER# turi būti nustatyta į "Deny" režimą (tai uždraus visą vietinį srautą šliuze). Atsargiai! Jei „UserGate Proxy&Firewall“ konfigūruosite nuotoliniu būdu, būsite atjungti nuo serverio. Tada turite sukurti leidimo taisykles.

Leidžiame visą vietinį srautą visuose prievaduose nuo šliuzo iki vietinio tinklo ir nuo vietinio tinklo iki šliuzo, sukurdami taisykles su šiais parametrais:

Šaltinis - "LAN", paskirties vieta - "Bet koks", paslaugos - ANY:FULL, veiksmas - "Leisti"
Šaltinis - "Bet koks", paskirties vieta - "LAN", paslaugos - ANY:FULL, veiksmas - "Leisti"

Tada sukuriame taisyklę, kuri atvers interneto prieigą vartams:

Šaltinis – „WAN“; paskirties vieta - "Bet koks"; paslaugos - BET KOKIOS:PILNOS; veiksmas - "Leisti"

Jei reikia leisti prieigą prie visų šliuzo prievadų gaunamiems ryšiams, taisyklė atrodys taip:

Šaltinis – „Bet koks“; paskirties vieta - "WAN"; paslaugos - BET KOKIOS:PILNOS; veiksmas - "Leisti"

Ir jei jums reikia šliuzo, kad galėtumėte priimti įeinančius ryšius, pavyzdžiui, tik per RDP (TCP:3389), ir jį galima pinguoti iš išorės, turite sukurti šią taisyklę:

Šaltinis – „Bet koks“; paskirties vieta - "WAN"; paslaugos - Bet koks ICMP, KPP; veiksmas - "Leisti"

Visais kitais atvejais saugumo sumetimais įeinančių jungčių taisyklės kurti nebūtina.

Norėdami suteikti klientų kompiuteriams prieigą prie interneto, turite sukurti tinklo adreso vertimo (NAT) taisyklę.

Šaltinis – „LAN“; paskirties vieta - "WAN"; paslaugos - BET KOKIOS:PILNOS; veiksmas – „Leisti“; pasirinkite vartotojus arba grupes, kuriems norite suteikti prieigą.

Galima konfigūruoti ugniasienės taisykles – leisti tai, kas aiškiai draudžiama, ir atvirkščiai, uždrausti tai, kas aiškiai leidžiama, priklausomai nuo to, kaip konfigūruojate #NON_USER# taisyklę ir kokia yra jūsų įmonės politika. Visos taisyklės turi prioritetą – taisyklės veikia iš eilės iš viršaus į apačią.

Galima peržiūrėti įvairių nustatymų parinktis ir ugniasienės taisyklių pavyzdžius.

Kiti nustatymai

Toliau skiltyje Paslaugos – tarpinis serveris galite įjungti reikiamus tarpinius serverius – HTTP, FTP, SMTP, POP3, SOCKS. Pasirinkite reikalingos sąsajos, įjungti parinktį „klausyti visose sąsajose“ gali būti nesaugu, nes tarpinis serveris šiuo atveju bus prieinamas tiek LAN sąsajose, tiek išorinėse sąsajose. „Permatomas“ tarpinio serverio režimas nukreipia visą srautą pasirinktu prievadu į tarpinio serverio prievadą, kliento kompiuteriuose tarpinio serverio nurodyti nereikia. Įgaliotasis serveris taip pat lieka pasiekiamas prievade, nurodytame paties įgaliotojo serverio nustatymuose.

Jei serveryje įjungtas skaidrus tarpinio serverio režimas (Paslaugos - Tarpinio serverio nustatymai), tada kliento įrenginio tinklo nustatymuose pakanka nurodyti UserGate serverį kaip pagrindinį šliuzą. Taip pat galite nurodyti UserGate serverį kaip DNS serverį, šiuo atveju jis turi būti įjungtas.

Jei serveryje išjungtas skaidrus režimas, naršyklės ryšio nustatymuose turite įvesti UserGate serverio adresą ir atitinkamą tarpinio serverio prievadą, nurodytą Paslaugos - Tarpinio serverio nustatymai. Galite pamatyti UserGate serverio nustatymo tokiu atveju pavyzdį.

Jei jūsų tinkle yra sukonfigūruotas DNS serveris, galite jį nurodyti UserGate DNS persiuntimo nustatymuose ir UserGate WAN adapterio nustatymuose. Tokiu atveju tiek NAT režimu, tiek tarpinio serverio režimu visos DNS užklausos bus nukreiptos į šį serverį.

mob_info