Jegyzet: Ez a cikk szerkesztve, releváns adatokkal és további hivatkozásokkal kiegészítve.

UserGate proxy& Tűzfal egy UTM (Unified Threat Management) osztályú internetes átjáró, amely lehetővé teszi az alkalmazottak általános hozzáférésének biztosítását és ellenőrzését az internetes erőforrásokhoz, a rosszindulatú, veszélyes és nem kívánt webhelyek szűrését, a vállalati hálózat védelmét a külső behatolásoktól és támadásoktól, virtuális hálózatok létrehozását és rendszerezését. biztonságos VPN hozzáférés a hálózati erőforrásokhoz kívülről, valamint a sávszélesség és az internetes alkalmazások kezelése.

A termék hatékony alternatívája a drága szoftvereknek és hardvereknek, és kis- és középvállalkozások, kormányzati szervek, valamint fióki struktúrával rendelkező nagy szervezetek számára készült.

Minden további információt megtalál a termékről.

A program további fizetős modulokat tartalmaz:

• kaspersky antivírus
• panda vírusirtó
• Avira Antivirus
• Entensys URL-szűrés

Minden modul egy naptári évre szól. Az összes modul működését egy próbakulcsban lehet kipróbálni, mely 1-3 hónapos időtartamra biztosítható korlátlan számú felhasználó számára.

Az engedélyezési szabályokról bővebben olvashat.

Az Entensys megoldások vásárlásával kapcsolatos minden kérdésével forduljon a következőhöz: [e-mail védett] vagy hívja az ingyenes zöld számot: 8-800-500-4032.

Rendszerkövetelmények

Az átjáró megszervezéséhez olyan számítógépre vagy szerverre van szüksége, amelynek meg kell felelnie a következő rendszerkövetelményeknek:

• CPU frekvencia: 1,2 GHz-től
• RAM mérete: 1024 Gb-tól
• HDD kapacitás: 80 GB-tól
• Hálózati adapterek száma: 2 vagy több

Minél nagyobb a felhasználók száma (75 felhasználóhoz képest), annál nagyobbnak kell lennie a szerver teljesítményének.

Termékünket "tiszta" szerver operációs rendszerű számítógépre javasoljuk telepíteni, az ajánlott operációs rendszer a Windows 2008/2012.
Nem garantáljuk a UserGate Proxy&Tűzfal megfelelő működését és/vagy a harmadik féltől származó szolgáltatások együttes működését és nem javasoljuk megosztását szolgáltatásokkal az átjárón, amely a következő szerepeket látja el:

• Egy tartományvezérlő
• Egy virtuális gép hipervizor
• Egy terminál szerver
• Erősen terhelt DBMS/DNS/HTTP szerverként működik stb.
• SIP szerverként működik
• Üzleti szempontból kritikus szolgáltatásokat vagy szolgáltatásokat nyújt
• A fentiek mindegyike

A UserGate Proxy&Tűzfal jelenleg ütközhet a következő típusokkal szoftver:

• Kivétel nélkül harmadik fél Tűzfal/Tűzfal megoldások
• Víruskereső termékek a BitDefendertől
• Víruskereső modulok, amelyek a legtöbb víruskereső termék tűzfalaként vagy "Hacker-ellenes" funkcióként működnek. Javasoljuk, hogy tiltsa le ezeket a modulokat
• A HTTP/SMTP/POP3 protokollon keresztül továbbított adatokat ellenőrző víruskereső modulok ez késést okozhat a proxyn keresztüli aktív munka során
• Harmadik féltől származó szoftvertermékek, amelyek képesek elfogni az adatokat a hálózati adapterekről - "sebességmérők", "alakítók" stb.
• A Windows Server aktív szerepköre "Útválasztás és távelérés" NAT/internetkapcsolat-megosztás (ICS) módban

Figyelem! A telepítés során ajánlatos letiltani az IPv6 protokoll támogatását az átjárón, feltéve, hogy nem használnak IPv6-ot használó alkalmazásokat. A UserGate Proxy&Firewall jelenlegi megvalósítása nem támogatja az IPv6 protokollt, és ennek megfelelően ez a protokoll nincs szűrve. Így az IPv6 protokollon keresztül kívülről akkor is elérhető a gazdagép, ha a tűzfal tiltó szabályai aktiválva vannak.

Ha megfelelően van konfigurálva, a UserGate Proxy&Firewall a következő szolgáltatásokkal kompatibilis:

A Microsoft Windows Server szerepei:

• DNS szerver
• DHCP szerver
• Nyomtatószerver
• Fájl (SMB) szerver
• Alkalmazások szervere
• WSUS szerver
• Web szerver
• WINS szerver
• VPN szerver

És harmadik fél termékeivel:

• FTP/SFTP szerverek
• Üzenetküldő szerverek – IRC/XMPP

A UserGate Proxy&Firewall telepítésekor győződjön meg arról, hogy a harmadik féltől származó szoftver nem használja azt a portot vagy portokat, amelyeket a UserGate Proxy&Firewall használhat. Alapértelmezés szerint a UserGate a következő portokat használja:

• 25 - SMTP proxy
• 80 - átlátszó HTTP proxy
• 110 - POP3 proxy
• 2345 – UserGate felügyeleti konzol
• 5455 – UserGate VPN szerver
• 5456 – UserGate hitelesítési kliens
• 5458 – DNS-továbbítás
• 8080 – HTTP proxy
• 8081 - UserGate webstatisztika

Minden port módosítható a UserGate felügyeleti konzol segítségével.

A program telepítése és az adatbázis kiválasztása a munkához

UserGate proxy és tűzfal konfigurációs varázsló

A NAT-szabályok beállításának részletesebb leírása ebben a cikkben található:

UserGate Agent

A UserGate Proxy&Firewall telepítése után szükségszerűen indítsa újra az átjárót. A rendszerben történő engedélyezés után a Windows tálcán az óra mellett a UserGate ügynök ikonjának zöldre kell váltania. Ha az ikon szürke, az azt jelenti, hogy hiba történt a telepítési folyamat során, és a UserGate Proxy&Firewall szerver szolgáltatás nem fut, ebben az esetben tekintse meg az Entensys tudásbázis megfelelő részét, vagy technikai támogatás Entensys cég.

A termék konfigurálása a UserGate Proxy&Firewall adminisztrációs konzolon keresztül történik, amely vagy a UserGate ügynök ikonjára duplán kattintva, vagy a Start menü parancsikonjára kattintva hívható meg.
Az adminisztrációs konzol elindításakor az első lépés a termék regisztrálása.

Általános beállítások

A Felügyeleti konzol Általános beállítások részében állítsa be a rendszergazda felhasználó jelszavát. Fontos! Ne használjon Unicode speciális karaktereket vagy a termék PIN-kódját jelszóként az adminisztrációs konzol eléréséhez.

A UserGate Proxy&Firewall termék rendelkezik támadásvédelmi mechanizmus, az "Általános beállítások" menüben is aktiválhatja. A támadásvédelmi mechanizmus egy aktív mechanizmus, egyfajta "piros gomb", amely minden interfészen működik. Ezt a funkciót DDoS támadások vagy súlyos kártevőfertőzések (vírusok/férgek/botnet-alkalmazások) esetén javasoljuk a belső számítógépeken. helyi hálózat. A támadásvédelmi mechanizmus blokkolhatja a fájlmegosztó klienseket használó felhasználókat – torrenteket, közvetlen kapcsolatot, bizonyos típusú VoIP klienseket/szervereket, amelyek aktívan cserélik a forgalmat. A blokkolt számítógépek IP-címének lekéréséhez nyissa meg a fájlt ProgramData\Entensys\Usergate6\logging\fw.log vagy Dokumentumok és beállítások\Minden felhasználó\Alkalmazásadatok\Entensys\Usergate6\logging\fw.log.

Figyelem! Az alább leírt paraméterek módosítása csak akkor javasolt, ha nagyszámú kliens/nagy sávszélességigény van az átjárónak.

Ez a szakasz a következő beállításokat is tartalmazza: „Maximális kapcsolatok” – a NAT-on és a UserGate Proxy&Tűzfalon keresztüli kapcsolatok maximális száma.

"NAT-kapcsolatok maximális száma" - a kapcsolatok maximális száma, amelyet a UserGate Proxy&Firewall áthat a NAT-illesztőprogramon.

Ha a kliensek száma nem haladja meg a 200-300-at, akkor a "Kapcsolatok maximális száma" és a "NAT-kapcsolatok maximális száma" beállításokat nem szabad megváltoztatni. Ezeknek a paramétereknek a növelése jelentős terheléshez vezethet az átjáró berendezésen, és csak akkor javasolt, ha a beállításokat nagyszámú ügyfél számára optimalizálták.

Interfészek

Figyelem! Mielőtt ezt megtenné, feltétlenül ellenőrizze a hálózati adapter beállításait a Windows rendszerben! A helyi hálózatra (LAN) csatlakozó interfész nem tartalmazhat átjáró címet! A LAN-adapter beállításainál nem szükséges DNS-szervereket megadni, az IP-címet manuálisan kell megadni, DHCP-vel nem javasoljuk a beszerzését.

A LAN-adapter IP-címének privát IP-címnek kell lennie. elfogadható az alábbi tartományokból származó IP-címek használata:

10.0.0.0 - 10.255.255.255 (10/8 előtag) 172.16.0.0 - 172.31.255.255 (172.16/12 előtag) 192.168.0.0 - 192.168.51.615.6

A privát hálózati címek kiosztását a RFC 1918 .

Más tartományok használata a helyi hálózat címeként hibákhoz vezet a UserGate Proxy&Firewall működésében.

Az internethez (WAN) csatlakoztatott interfésznek tartalmaznia kell egy IP-címet, hálózati maszkot, átjárócímet és DNS-kiszolgáló címét.
Nem ajánlott háromnál több DNS-kiszolgálót használni a WAN-adapter beállításainál, ez hálózati hibákhoz vezethet. Először ellenőrizze az egyes DNS-kiszolgálók állapotát a cmd.exe konzol nslookup parancsával, például:

nslookup usergate.ru 8.8.8.8

ahol a 8.8.8.8 a DNS-kiszolgáló címe. A válasznak tartalmaznia kell a kért szerver IP-címét. Ha nem érkezik válasz, akkor a DNS-kiszolgáló érvénytelen, vagy a DNS-forgalom le van tiltva.

Meg kell határoznia az interfészek típusát. A belső hálózathoz csatlakoztatott IP-című interfésznek LAN típusúnak kell lennie; interfész, amely csatlakozik az internethez - WAN.

Ha több WAN-interfész van, akkor ki kell választania azt a fő WAN-interfészt, amelyen keresztül az összes forgalom átmegy. Ehhez kattintson rá jobb gombbal, és válassza a "Beállítás fő kapcsolatként" lehetőséget. Ha más WAN interfészt tervez tartalék csatornaként használni, javasoljuk a "Beállítás varázsló" használatát.

Figyelem! A tartalék kapcsolat konfigurálásakor nem DNS-gazdanevet, hanem IP-címet javasolt megadni, hogy a UserGate Proxy&Firewall rendszeresen lekérdezze az icmp(ping) kérések segítségével, és válasz hiányában bekapcsolja a tartalék kapcsolatot. Győződjön meg arról, hogy a DNS-kiszolgálók a Windows Network Backup Adapter beállításaiban rendben vannak.

Felhasználók és csoportok

Ahhoz, hogy az ügyfélszámítógép jogosult legyen az átjárón, és hozzáférjen a UserGate Proxy&Tűzfal és NAT szolgáltatásokhoz, felhasználókat kell hozzáadnia. Az eljárás leegyszerűsítéséhez használja a szkennelési funkciót - "Helyi hálózat keresése". A UserGate Proxy&Firewall automatikusan átvizsgálja a helyi hálózatot, és megadja azon gazdagépek listáját, amelyek hozzáadhatók a felhasználók listájához. Ezután csoportokat hozhat létre, és felhasználókat vehet fel ebbe.

Ha van telepítve egy tartományvezérlő, akkor beállíthatja a csoportok szinkronizálását az Active Directory csoportjaival, vagy importálhat felhasználókat az Active Directoryból anélkül, hogy állandó szinkronizálást végezne az Active Directoryval.

Létrehozunk egy csoportot, amelyet az AD-ből szinkronizálunk egy csoporttal vagy csoportokkal, a "Szinkronizálás AD-vel" menüben megadjuk a szükséges adatokat, és a UserGate ügynök segítségével újraindítjuk a UserGate szolgáltatást. 300 mp után. a felhasználók automatikusan importálódnak a csoportba. Ezeknek a felhasználóknak az engedélyezési módszere AD lesz.

Tűzfal

A helyes és biztonságos munkavégzésátjáróra van szükség szükségszerűen konfigurálja a tűzfalat.

A következő tűzfalműveleti algoritmus javasolt: tiltson le minden forgalmat, majd adjon hozzá engedélyezési szabályokat a szükséges irányokban. Ehhez a #NONUSER# szabályt "Deny" módba kell állítani (ez letilt minden helyi forgalmat az átjárón). Gondosan! Ha távolról konfigurálja a UserGate Proxy&Tűzfalat, akkor megszakad a kapcsolat a szerverrel. Ezután engedélyezési szabályokat kell létrehoznia.

A következő paraméterekkel rendelkező szabályok létrehozásával engedélyezzük az összes helyi forgalmat az átjárótól a helyi hálózatig és a helyi hálózattól az átjáróig terjedő összes porton:

Forrás - "LAN", cél - "Bármilyen", szolgáltatások - ANY:FULL, művelet - "Engedélyezés"
Forrás - "Bármilyen", cél - "LAN", szolgáltatások - ANY:FULL, művelet - "Engedélyezés"

Ezután létrehozunk egy szabályt, amely megnyitja az internet-hozzáférést az átjáró számára:

Forrás - "WAN"; rendeltetési hely - "Bármilyen"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"

Ha engedélyeznie kell a bejövő kapcsolatok elérését az átjáró összes portján, akkor a szabály így fog kinézni:

Forrás - "Bármilyen"; rendeltetési hely - "WAN"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"

És ha szüksége van az átjáróra a bejövő kapcsolatok fogadásához, például csak RDP-n keresztül (TCP:3389), és kívülről pingelhető, akkor létre kell hoznia a következő szabályt:

Forrás - "Bármilyen"; rendeltetési hely - "WAN"; szolgáltatások - Bármilyen ICMP, RDP; művelet - "Engedélyezés"

Minden más esetben biztonsági okokból nem kell szabályt létrehozni a bejövő kapcsolatokhoz.

Ahhoz, hogy az ügyfélszámítógépek hozzáférjenek az internethez, létre kell hoznia egy hálózati címfordítási (NAT) szabályt.

Forrás - "LAN"; rendeltetési hely - "WAN"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"; Válassza ki azokat a felhasználókat vagy csoportokat, amelyeknek hozzáférést szeretne adni.

Lehetőség van tűzfalszabályok konfigurálására - a kifejezetten tiltottak engedélyezésére és fordítva, a kifejezetten engedélyezettek tiltására, attól függően, hogy hogyan konfigurálja a #NON_USER# szabályt, és milyen házirenddel rendelkezik a vállalatnál. Minden szabálynak van elsőbbsége – a szabályok fentről lefelé haladva működnek.

Megtekinthetők a különféle beállítások lehetőségei és a tűzfalszabályokra vonatkozó példák.

Egyéb beállitások

Továbbá a szolgáltatások - proxy részben engedélyezheti a szükséges proxyszervereket - HTTP, FTP, SMTP, POP3, SOCKS. Válassza ki a kívánt interfészt, a "hallgatni minden felületen" opció engedélyezése nem lesz biztonságos, mert a proxy ebben az esetben mind a LAN-interfészeken, mind a külső interfészeken elérhető lesz. Az "átlátszó" proxy mód a kiválasztott porton lévő összes forgalmat a proxy portra irányítja, ebben az esetben nem szükséges proxyt megadni a kliens számítógépeken. A proxy a proxyszerver beállításaiban megadott porton is elérhető marad.

Ha a szerveren engedélyezve van a transzparens proxy mód (Szolgáltatások - Proxy beállítások), akkor a kliensgép hálózati beállításainál elegendő a UserGate szervert megadni fő átjáróként. A UserGate szervert DNS szerverként is megadhatjuk, ebben az esetben engedélyezni kell.

Ha a transzparens mód le van tiltva a szerveren, akkor a böngésző csatlakozási beállításainál meg kell adni a UserGate szerver címét és a megfelelő proxy portot, amelyet a Szolgáltatások - Proxy beállítások részben megadott. Láthat egy példát a UserGate szerver ilyen esetre történő beállítására.

Ha hálózata rendelkezik konfigurált DNS-kiszolgálóval, megadhatja azt a UserGate DNS továbbítási beállításaiban és a UserGate WAN adapter beállításaiban. Ebben az esetben mind NAT módban, mind proxy módban minden DNS-lekérdezés erre a szerverre lesz irányítva.

Ebben a cikkben az Entensys új termékéről fogok mesélni, amelynek három területen vagyunk partnerei, a UserGate Proxy és Firewall 6.2.1.

Jó napot kedves látogató. 2013 mögött valakinek nehéz volt, valakinek könnyű, de az idő rohan, és tekintve, hogy egy nanoszekundum 10 −9 val vel. akkor csak repül. Ebben a cikkben az Entensys új termékéről fogok mesélni, amelynek három területen vagyunk partnerei: UserGate Proxy & Firewall 6.2.1.

A UserGate Proxy & Firewall 5.2F ​​6.2-es verziójának adminisztrációja szempontjából, amelynek megvalósítását IT outsourcing gyakorlatunkban sikeresen gyakoroljuk, gyakorlatilag nem létezik. Laboratóriumi környezetként a Hyper-V-t fogjuk használni, nevezetesen két első generációs virtuális gépet, egy kiszolgálórészt a Windows Server 2008 R2 SP1 rendszeren, és egy kliens Windows 7 SP1-et. A UserGate 6-os verziója számomra ismeretlen okból nincs telepítve a Windows Server 2012 és a Windows Server 2012 R2 rendszereken.

Tehát mi az a proxy szerver?

Proxy szerver(az angol proxyból - „képviselő, jogosult”) - olyan szolgáltatás (programok készlete) a számítógépes hálózatokban, amely lehetővé teszi az ügyfelek számára, hogy közvetett kéréseket intézzenek más hálózati szolgáltatásokhoz. Először az ügyfél csatlakozik a proxyszerverhez, és egy másik szerveren található erőforrást (például e-mailt) kér. A proxyszerver ezután vagy csatlakozik a megadott kiszolgálóhoz, és lekéri onnan az erőforrást, vagy visszaadja az erőforrást a saját gyorsítótárából (olyan esetekben, amikor a proxynak saját gyorsítótára van). Egyes esetekben a klienskérést vagy a szerverválaszt a proxyszerver bizonyos célokra módosíthatja. Ezenkívül a proxyszerver lehetővé teszi az ügyfél számítógépének védelmét bizonyos hálózati támadásokkal szemben, és segít megőrizni az ügyfél anonimitását.

MitilyenUserGate proxy és tűzfal?

UserGate proxy és tűzfal egy átfogó megoldás a felhasználók internethez való csatlakoztatására, amely teljes körű forgalomelszámolást, hozzáférés-vezérlést és beépített hálózatvédelmi eszközöket biztosít.

A definícióból nézzük meg, milyen megoldásokat kínál az Entensys a termékében, hogyan számítják ki a forgalmat, hogyan korlátozzák a hozzáférést, és milyen védelmi eszközöket biztosít a UserGate Proxy & Firewall.

Miből állfelhasználói kapu?

A UserGate több részből áll: szerver, adminisztrációs konzol és több további modul. A szerver a proxyszerver fő része, amely minden funkcióját megvalósítja. A UserGate szerver hozzáférést biztosít az internethez, forgalomszámlálást végez, statisztikát vezet a felhasználói aktivitásról a hálózaton, és számos egyéb feladatot is ellát.

A UserGate adminisztrációs konzol egy olyan program, amelyet a UserGate szerver kezelésére terveztek. A UserGate adminisztrációs konzol egy speciális biztonságos protokollon keresztül kommunikál a szerverrésszel TCP/IP-n keresztül, amely lehetővé teszi a távoli szerver adminisztrációját.

A UserGate három további modult tartalmaz: "Web statisztika", "UserGate Authorization Client" és "Application Control" modul.

szerver

A UserGate backend telepítése nagyon egyszerű, az egyetlen különbség az adatbázis kiválasztása a telepítési folyamat során. Az adatbázis elérése közvetlenül (a beépített Firebird adatbázis esetében) vagy ODBC meghajtón keresztül történik, ami lehetővé teszi a UserGate szerver számára, hogy szinte bármilyen formátumú adatbázissal (MSAccess, MSSQL, MySQL) dolgozzon. Alapértelmezés szerint a Firebird adatbázist használják. Ha úgy dönt, hogy frissíti a UserGate-et a korábbi verziókról, akkor búcsút kell mondania a statisztikai adatbázisnak, mert: A statisztikai fájl esetében csak az aktuális felhasználói egyenlegek átvitele támogatott, a forgalmi statisztikák nem kerülnek átvitelre. Az adatbázis változásait a régivel kapcsolatos teljesítménybeli problémák és a méretkorlátozás okozták. Az új Firebird adatbázis nem rendelkezik ezekkel a hátrányokkal.

Az adminisztrációs konzol elindítása.

A konzol telepítve van a kiszolgáló virtuális gépére. Az első indításkor az adminisztrációs konzol megnyílik a Kapcsolatok oldalra, amely egyetlen kapcsolattal rendelkezik a helyi gazdagép kiszolgálóval az adminisztrátor felhasználó számára. A csatlakozási jelszó nincs beállítva. Az adminisztrációs konzolt a localhost-administrator sorra duplán kattintva vagy a vezérlőpulton a csatlakozás gombra kattintva csatlakoztathatja a szerverhez. A UserGate adminisztrációs konzolban több kapcsolatot is létrehozhat.

A csatlakozási beállítások a következő lehetőségeket tartalmazzák:

• A szerver neve a kapcsolat neve;
• Felhasználónév - bejelentkezés a szerverhez való csatlakozáshoz;
• Szerver címe – a UserGate szerver domain neve vagy IP címe;
• Port – a szerverhez való csatlakozáshoz használt TCP-port (alapértelmezés szerint a 2345-ös port használatos);
• Jelszó – jelszó a csatlakozáshoz;
• Jelszó kérése csatlakozáskor – ez az opció lehetővé teszi egy párbeszédpanel megjelenítését a felhasználónév és jelszó megadásához, amikor csatlakozik a szerverhez;
• Automatikus csatlakozás ehhez a szerverhez – az adminisztrációs konzol indításkor automatikusan csatlakozik ehhez a szerverhez.

A szerver első indításakor a rendszer felajánl egy telepítővarázslót, amit elutasítunk. Az adminisztrációs konzol beállításai a console.xml fájlban tárolódnak, amely a %UserGate%\Administrator könyvtárban található.

NAT mögötti kapcsolatok konfigurálása. Bekezdés "Általános NAT beállítások" lehetővé teszi a TCP-n, UDP-n vagy ICMP-n keresztüli NAT-kapcsolatok időtúllépési értékének beállítását. Az időtúllépési érték határozza meg a felhasználói kapcsolat élettartamát a NAT-on keresztül, amikor az adatátvitel a kapcsolaton keresztül befejeződik. Hagyjuk ezt a beállítást alapértelmezettként.

Támadásérzékelő egy speciális lehetőség, amely lehetővé teszi a belső mechanizmus használatával a portszkenner figyelését és blokkolását, vagy a szerver összes portjának lefoglalására irányuló kísérletet.

Letiltás böngészősor szerint- A proxyszerver által blokkolható User-Agent böngészők listája. Azok. például megakadályozhatja, hogy a régi böngészők, például az IE 6.0 vagy a Firefox 3.x hozzáférjenek az internethez.

Interfészek

Az Interfészek rész a fő a UserGate szerver beállításaiban, mivel olyan dolgokat határoz meg, mint a forgalomszámlálás helyessége, a tűzfal szabályainak létrehozásának lehetősége, az internetes csatorna szélességének korlátozása bizonyos típusú forgalom számára, kapcsolatok létrehozása hálózatok, valamint a csomagok NAT-illesztőprogram általi feldolgozásának sorrendje. Az „Interfészek” lapon válassza ki az interfészek kívánt típusát. Tehát az internethez csatlakoztatott adapternél válassza ki a WAN típusát, a helyi hálózathoz csatlakoztatott adapternél pedig a LAN típusát. A virtuális gép internet-hozzáférése meg van osztva, a 192.168.137.118 címmel rendelkező interfész WAN-adapter lesz, válassza ki a kívánt típust, és kattintson az "Alkalmaz" gombra. Miután újraindítottuk a szervert.

Felhasználók és csoportok

Az internethez csak azok a felhasználók férhetnek hozzá, akik sikeresen átmentek a UserGate szerveren a jogosultságon. A program a következő felhasználói engedélyezési módszereket támogatja:

• IP cím alapján
• IP-címek tartománya szerint
• IP+MAC cím alapján
• MAC cím alapján
• Engedélyezés HTTP használatával (HTTP-alap, NTLM)
• Engedélyezés bejelentkezési névvel és jelszóval (Authorization kliens)
• Az Active Directoryon keresztüli engedélyezés egyszerűsített változata

Az utolsó három engedélyezési mód használatához egy speciális alkalmazást kell telepíteni a felhasználó munkaállomására - a UserGate hitelesítési klienst. A megfelelő MSI-csomag (AuthClientInstall.msi) a %UserGate%\tools könyvtárban található, és használható automatikus csoportházirend-telepítéshez az Active Directoryban.

A terminálfelhasználók számára csak a „HTTP hitelesítés” opció érhető el. A megfelelő opció engedélyezve van az adminisztrációs konzol Általános beállítások elemében.

Az elemen keresztül új felhasználót hozhat létre Új felhasználó hozzáadása vagy a gombra kattintva Hozzáadás oldalon található vezérlőpulton Felhasználók és csoportok.

Van egy másik módja a felhasználók hozzáadásának - a hálózat átvizsgálása ARP-kérésekkel. Az oldalon lévő adminisztrációs konzolban egy üres helyre kell kattintania felhasználókatés válassza ki az elemet helyi hálózat szkennelése. Ezután állítsa be a helyi hálózat paramétereit, és várja meg a vizsgálat eredményét. Ennek eredményeként megjelenik a UserGate-hez hozzáadható felhasználók listája. Nos, nézzük meg, kattintson a "Helyi hálózat keresése" gombra.

Paraméterek beállítása:

Művek!

Felhasználó hozzáadása

Érdemes felidézni, hogy a UserGate hitelesítési prioritást élvez, először fizikai, majd logikai. Ez a módszer nem megbízható, mert a felhasználó megváltoztathatja az IP-címet. Az Active Directory fiókok importálásával is jól járunk, amelyeket egyszerűen importálhatunk az Importálás gombra, majd a Kijelölésre, majd a fiókunk nevére, az Ok, Ok gombra kattintva.

Válassza a "Csoport" lehetőséget, hagyja meg az alapértelmezett "alapértelmezett"

Kattintson az "OK" gombra, és mentse a változtatásokat.

Felhasználónkat probléma nélkül hozzáadtuk. Az AD-csoportok szinkronizálása a "Csoportok" fülön is lehetséges.

Proxy szolgáltatások beállítása a UserGate-ben

A következő proxyk vannak beépítve a UserGate szerverbe: HTTP ("FTP over HTTP" és HTTPS mód támogatása, - Connect method), FTP, SOCKS4, SOCKS5, POP3 és SMTP, SIP és H323. A proxyszerver beállításai az adminisztrációs konzol Szolgáltatások → Proxybeállítások részében érhetők el. A fő proxyszerver beállításai a következők: interfész és portszám, amelyen a proxy működik. Így például engedélyezzünk egy transzparens HTTP proxyt a LAN interfészünkön. Menjünk a "Proxybeállítások" részhez, válassza a HTTP lehetőséget.

Válassza ki felületünket, hagyjon mindent alapértelmezettként, majd kattintson az "OK" gombra.

Átlátszó mód használata

Az "Átlátszó mód" funkció a proxyszerver beállításaiban elérhető, ha a UserGate szerver a NAT-illesztőprogrammal együtt telepítve van. Transzparens módban a UserGate NAT illesztőprogram szabványos portokon figyel a szolgáltatásokra: 80 TCP HTTP, 21 TCP FTP, 110 és 25 TCP POP3 és SMTP esetén a UserGate számítógép hálózati interfészein. Ha vannak kérések, akkor továbbítja azokat a megfelelő UserGate proxyszervernek. Ha hálózati alkalmazásokban transzparens módot használ, a felhasználóknak nem kell megadniuk a proxyszerver címét és portját, ami jelentősen csökkenti a rendszergazda munkáját az internethez való helyi hálózati hozzáférés biztosítása terén. Azonban in hálózati beállítások munkaállomások esetén a UserGate szervert kell megadni átjáróként, és meg kell adni a DNS szerver címét.

Levelezési proxy a UserGate-ben

A UserGate levelezőproxyszervereit úgy tervezték, hogy működjenek együtt a POP3 és SMTP protokollokkal, valamint a levélforgalom víruskeresésére. Transzparens POP3 mód és SMTP proxy használatakor a levelezőkliens beállításai a felhasználó munkaállomásán megegyeznek a közvetlen internet-hozzáférési opciónak megfelelő beállításokkal.

Ha a UserGate POP3 proxyt nem transzparens módban használjuk, akkor a felhasználó munkaállomásán a levelezőkliens beállításaiban a UserGate számítógép IP címét és a UserGate POP3 proxynak megfelelő portot kell megadni POP3 szerver címként. . Ezenkívül a távoli POP3-kiszolgálón az engedélyezéshez szükséges bejelentkezés a következő formátumban van megadva: e-mail_cím@POP3_kiszolgáló_címe. Például, ha a felhasználónak van postafiókja [e-mail védett], majd a levelezőkliens UserGate POP3 proxyjának bejelentkezésekor meg kell adnia: [e-mail védett]@pop.mail123.com. Ez a formátum szükséges ahhoz, hogy a UserGate szerver meg tudja határozni a távoli POP3 szerver címét.

Ha a UserGate SMTP proxyt nem transzparens módban használjuk, akkor a proxy beállításokban meg kell adni az SMTP szerver IP címét és portját, amelyet a UserGate az e-mailek küldésére fog használni. Ebben az esetben a felhasználó munkaállomásán a levelezőkliens beállításaiban a UserGate szerver IP címét és a UserGate SMTP proxynak megfelelő portot kell megadni SMTP szerver címként. Ha a küldéshez jogosultság szükséges, akkor a levelezőkliens beállításaiban meg kell adni a UserGate SMTP proxy beállításainál megadott SMTP szerverhez tartozó bejelentkezési nevet és jelszót.

Nos, ez jól hangzik, nézzük meg a mail.ru oldalon.

Először is engedélyezzük a POP3 és SMTP proxykat a szerverünkön. A POP3 engedélyezésekor adja meg a LAN interfészt, a szabványos 110-es portot.

Győződjön meg arról is, hogy nincs pipa az "Átlátszó proxy" mellett, és kattintson az "OK" és az "Alkalmaz" gombra.

Törölje az "Átlátszó mód" jelölőnégyzetet, és írja be a "Távoli szerver beállításai" lehetőséget, esetünkben az smtp.mail.ru. És miért csak egy szerver van megadva? És itt a válasz: feltételezzük, hogy a szervezet egyetlen smtp-kiszolgálót használ, az SMTP-proxy beállításaiban ő van feltüntetve.

A POP3 első szabályának így kell kinéznie.

Másodszor, ahogy Alekszandr Nyevszkij mondaná "Ez az"

Ne felejtse el az "Alkalmaz" gombot, és folytassa az ügyfél beállításaival. Emlékszünk rá, hogy „Ha a UserGate POP3 proxyt nem transzparens módban használjuk, akkor a felhasználó munkaállomásán a levelezőkliens beállításaiban meg kell adni a UserGate-tel rendelkező számítógép IP-címét és a portnak megfelelő portot. UserGate POP3 proxy a POP3 szerver címeként. Ezenkívül a távoli POP3-kiszolgálón az engedélyezéshez szükséges bejelentkezés a következő formátumban van megadva: email_cím@POP3_szerver_címe. cselekszünk.

Először az engedélyezési kliensben engedélyezzük, majd a szokásos módon megnyitjuk az Outlookot, példánkban létrehoztam egy tesztpostafiókot [e-mail védett], és végezze el a beállításokat, jelezve postafiókunkat UserGate számára érthető formátumban [e-mail védett]@pop.mail.ru, valamint a POP és SMTP szerverek, a proxynk címe.

Kattintson a "Fiókellenőrzés..." gombra.

Port hozzárendelés

A UserGate támogatja a Port Forwarding funkciót. Ha vannak szabályok a portok hozzárendelésére, a UserGate szerver átirányítja a UserGate-tel rendelkező számítógép meghatározott hálózati interfészének egy adott portjára érkező felhasználói kéréseket egy másik megadott címre és portra, például egy másik számítógépre a helyi hálózaton. A Port Forwarding szolgáltatás TCP és UDP protokollokhoz érhető el.

Ha a port-hozzárendelést egy belső vállalati erőforrás internet-hozzáférésének biztosítására használják, akkor a Meghatározott felhasználót kell kiválasztani az Engedélyezés opciónál, különben a porttovábbítás nem fog működni. Ne felejtse el engedélyezni a Távoli asztalt.

Gyorsítótár beállításai

A proxyszerverek egyik célja a hálózati erőforrások gyorsítótárazása. A gyorsítótárazás csökkenti az internetkapcsolat terhelését, és felgyorsítja a gyakran látogatott erőforrásokhoz való hozzáférést. A UserGate proxy szerver HTTP és FTP forgalom gyorsítótárazást végez. A gyorsítótárazott dokumentumok a %UserGate_data%\Cache helyi mappába kerülnek. A gyorsítótár beállításai meghatározzák: a gyorsítótár méretének korlátját és a gyorsítótárazott dokumentumok tárolási idejét.

Vírusirtó ellenőrzés

Három vírusirtó modul van integrálva a UserGate szerverbe: Kaspersky Lab antivirus, Panda Security és Avira. Minden víruskereső modult úgy terveztek, hogy ellenőrizze a bejövő forgalmat HTTP, FTP és UserGate mail-proxykon keresztül, valamint a kimenő forgalmat az SMTP-proxykon keresztül.

A víruskereső modul beállításai az adminisztrációs konzol Szolgáltatások → Vírusvédelem részében érhetők el. Minden egyes vírusirtónál megadhatja, hogy mely protokollokat kell ellenőriznie, beállíthatja a víruskereső adatbázisok frissítésének gyakoriságát, és megadhatja azokat az URL-eket is, amelyeket nem kötelező ellenőrizni (URL-szűrő opció). Ezenkívül a beállításokban megadhatja azon felhasználók csoportját, akiknek a forgalmát nem kell víruskeresőnek alávetni.

A víruskereső bekapcsolása előtt frissítenie kell az adatbázisait.

A fenti funkciók után térjünk át a gyakran használt funkciókra, ezek a „Traffic Management” és az „Application Control”.

Közlekedési szabályok rendszere

A UserGate szerver lehetővé teszi a felhasználók internet-hozzáférésének szabályozását a forgalomszabályozási szabályok segítségével. A forgalomszabályozási szabályok célja, hogy megtagadják a hozzáférést bizonyos hálózati erőforrásokhoz, korlátozzák a forgalom fogyasztását, ütemezést készítsenek a felhasználók számára az interneten való munkavégzéshez, és figyeljék a felhasználói fiókok állapotát.

Példánkban bármely erőforrásra korlátozzuk a hozzáférést azon felhasználók számára, akiknek a kérésében szerepel a vk.com. Ehhez lépjen a "Forgalomirányítás - Szabályok" oldalra.

Megadjuk a szabály nevét és a "Close connection" műveletet.

Az oldal hozzáadása után lépjen a következő paraméterre, a csoport vagy felhasználó választására, a szabály beállítható mind a felhasználóra, mind a csoportra, esetünkben a "Felhasználó" felhasználóra.

Alkalmazásvezérlés

Az Internet hozzáférés-szabályozási szabályzat logikus folytatást kapott az Alkalmazásvezérlő modul (Application Firewall) formájában. A UserGate adminisztrátor nem csak a felhasználók, hanem a felhasználó munkaállomásán lévő hálózati alkalmazások számára is engedélyezheti vagy megtagadhatja az internethez való hozzáférést. Ehhez egy speciális App.FirewallService alkalmazást kell telepítenie a felhasználói munkaállomásokra. A csomag a futtatható fájlon és a megfelelő MSI-csomagon (AuthFwInstall.msi) keresztül is telepíthető, amely a %Usergate%\tools könyvtárban található.

Menjünk az "Alkalmazásvezérlés - Szabályok" modulhoz, és hozzunk létre egy tiltó szabályt, például az IE elindításának tiltására. Kattintson a csoport hozzáadása elemre, adjon neki nevet, és állítsa be a csoport szabályát.

Kiválasztjuk a létrehozott szabálycsoportunkat, bejelölhetjük az „Alapértelmezett szabály” jelölőnégyzetet, ebben az esetben a szabályok bekerülnek a „Default_Rules” csoportba.

Szabály alkalmazása a felhasználóra a felhasználói tulajdonságokban

Most telepítjük az Auth.Client és App.Firewall alkalmazást a kliens állomásra, telepítés után az IE-t le kell tiltani a korábban létrehozott szabályok szerint.

Amint látjuk, a szabály működött, most tiltsuk le a szabályokat a felhasználó számára, hogy lássuk, hogyan működik a vk.com webhely szabálya. A szabály letiltása után a felhasználóikapu-kiszolgálón várnia kell 10 percet (a szerverrel való szinkronizálási idő). Megpróbál elérni a közvetlen linket

Megpróbáljuk a google.com keresőn keresztül

Amint látja, a szabályok minden probléma nélkül működnek.

Tehát ebben a cikkben a funkcióknak csak egy kis részét vesszük figyelembe. A lehetséges tűzfalbeállítások, útválasztási szabályok, NAT szabályok kimaradnak. A UserGate Proxy & Firewall megoldások széles skáláját kínálja, még egy kicsit többet is. A termék nagyon jónak bizonyult, és ami a legfontosabb, könnyű beállítani. A tipikus problémák megoldására továbbra is alkalmazzuk az ügyfél informatikai infrastruktúráinak karbantartása során!

És ma egy elemi proxyszerver beállításáról fogunk beszélni. Bizonyára sokan hallottatok már olyat, hogy proxy, de nem igazán mélyedtek el a definíciójában. Ha beszélni egyszerű nyelv, akkor a proxyszerver egy közbenső kapcsolat a hálózaton lévő számítógépek és az internet között. Ez azt jelenti, hogy ha egy ilyen szervert a rácsban implementálnak, akkor az internethez való hozzáférés nem közvetlenül az útválasztón keresztül történik, hanem a közvetítő állomás előfeldolgozza.

Miért van szüksége proxy szerverre a helyi hálózatban? Milyen előnyökben részesülünk a telepítés után? Az első fontos tulajdonság a webhelyekről származó információk gyorsítótárazásának és hosszú távú tárolásának lehetősége a szerveren. Ez lehetővé teszi az internetes csatorna terhelésének jelentős csökkentését. Ez különösen igaz azokra a szervezetekre, ahol a globális hálózathoz való hozzáférés még mindig ADSL technológiával történik. Tehát például, ha egy gyakorlati óra során a tanulók azonos típusú információkat keresnek bizonyos webhelyekről, akkor az információ teljes letöltése után az erőforrásból egy állomáson a letöltés sebessége jelentősen megnő.

A proxy szerver bevezetésével is Rendszergazda kapja a kezét hatékony eszköz, amely lehetővé teszi a felhasználók hozzáférésének szabályozását az összes webhelyhez. Azaz, ha megfigyeled, hogy egy bizonyos kisember elkölti az övét munkaidő egy tankjátékhoz vagy TV-műsorok nézéséhez eltitkolhatja, hogy hozzáférjen az élet ezen örömeihez. Vagy gúnyolódhat, fokozatosan csökkentve a kapcsolat sebességét ... vagy csak bizonyos funkciókat blokkolhat, például vacsora utáni képek letöltését. Általában van hova megfordulni. A rendszergazda proxyszerver feletti irányítása miatt a barátai még kedvesebbek, az ellenségei pedig dühösebbek.

Ebben a cikkben közelebbről megvizsgáljuk a UserGate 2.8 proxy telepítését és konfigurálását. A program ezen verziója már 2003 májusában megjelent. Akkor még számítógépem sem volt. Ennek ellenére továbbra is a felhasználói kapunak ez a kiadása tekinthető a legsikeresebbnek a munka stabilitása és a könnyű beállítás miatt. Természetesen a funkcionalitás nem elegendő, ráadásul az egyidejűleg dolgozó felhasználók száma korlátozott. Számuk nem haladhatja meg a 300 főt. Engem személy szerint ez a gát nem nagyon szomorít el. Ha ugyanis egy 300 gépes grid adminisztrál, akkor biztosan nem fog ilyen szoftvert használni. Az UG 2.8 a kis irodai és otthoni hálózatok sokasága.

Nos, azt hiszem, ideje lekötni a randalírozással. Töltse le a UserGate-et torrentekből vagy ezen a linken keresztül, válasszon egy számítógépet jövőbeli proxyszerverként, és azonnal folytassa a telepítést.

Telepítés és aktiválás

1. lépés. Ez az alkalmazás az egyik legkönnyebben telepíthető. Az embernek az a benyomása támad, hogy nem proxyszervert telepítünk, hanem az orrunkat szedegetjük. Futtassa a Setup.exe fájlt, és fogadja el a megállapodást az első ablakban. Kattintson a "Tovább" gombra.

2. lépés Válasszon egy helyet a telepítéshez. Valószínűleg az alapbeállításon hagyom. Kattintson a "Start" gombra, és várja meg, amíg a telepítési folyamat befejeződik.

3. lépés Voálá. Telepítés befejezve. Ne felejtse el bejelölni a "Futtassa a telepített alkalmazást" négyzetet, és kattintson az "OK" gombra.

4. lépésÁtkozott! A 2003-as program nem ingyenes. Engedély kell. Rendben van. Az általunk feltöltött archívumban van rá gyógymód. Nyissa meg a "Crack" mappát, és ebben találjuk az egyetlen Serial.txt fájlt. Másolja ki belőle a licencszámot és a sorozatszámot. Csak két sor. Nehéz tévedni.

5. lépés Az értesítési ikonokkal ellátott panel jobb alsó sarkában kattintson duplán a kék felhasználói kapu ikonra, és ellenőrizze, hogy a program megfelelően telepítve és aktiválva van-e.

Proxy szerver beállítása

1. lépés. Az első lépés, hogy megbizonyosodjunk arról, hogy szerverünknek statikus IP-címe van. Ehhez lépjen a "Start - Vezérlőpult - Hálózati és megosztási központ - Az adapter beállításainak módosítása" elemre, és kattintson a jobb gombbal arra a hálózati kártyára, amelyen keresztül a helyi hálózat elérhető. A megnyíló listában válassza ki a „Tulajdonságok – Internet Protokoll 4-es verzió” elemet, és győződjön meg arról, hogy rögzített IP-cím van megadva. Őt állítjuk be proxy-közvetítőnek minden ügyfélállomáson.

2. lépés Visszatérünk programunkhoz. A "Beállítások" fülön keressük a "HTTP" protokollt és megadjuk a portot (alapértelmezés szerint elhagyhatod), az FTP-n keresztüli munkavégzés lehetőségével együtt, engedélyezzük a használatát. Ezzel a beállítással a felhasználók böngészőben tekinthetik meg a weboldalakat. Portként egyáltalán nem szükséges a szabványos 8080-as vagy 3128-as opciókat használni. Kitalálhat valamit a sajátjával. Ez jelentősen növeli a hálózati biztonság szintjét, a lényeg az, hogy válasszon egy számot az 1025 és 65535 közötti tartományban, és boldog lesz.

3. lépés A következő lépés a gyorsítótár engedélyezése. Ahogy korábban említettük, ez jelentősen megnöveli ugyanazon erőforrások terhelését az ügyfélállomásokon. Minél hosszabb a tárolási idő és a gyorsítótár mérete, annál nagyobb a terhelés a proxyszerver RAM-ján. Kifelé azonban az oldal betöltési sebessége a böngészőben nagyobb lesz, mint a gyorsítótár használata nélkül. A megőrzési időt mindig 72 órára (ez két napnak felel meg), a gyorsítótár méretét pedig 2 gigabájtra állítom.

4. lépés Ideje továbblépni a felhasználói csoportok létrehozására. Ehhez az azonos nevű menüpontban válassza ki az „Alapértelmezett” felhasználói csoportot, és kattintson a „Módosítás” gombra.

Nevezze át az alapértelmezett csoportot, és kattintson a "Hozzáadás" gombra.

Itt az ideje a felhasználók létrehozásának. A "Név" mezőbe szoktam beírni a számítógép teljes hálózatnevét, ami a kliens gépen a rendszertulajdonságok között megtekinthető. Ez kényelmes, ha kicsi a hálózat, és úgy döntöttünk, hogy ez a program nem alkalmas komoly hálózatra. Kiválasztjuk a jogosultság típusát "IP-cím alapján", és bejelentkezésként előírjuk az ügyfél IP-címét. Azt, hogy hol lehet megnézni, már korábban megvizsgáltuk. Kis hálózatokban a régimódi adminisztrátorok manuálisan írják elő az IP-t minden talicskára a régi módon, és szinte soha nem változtatják meg.

class="eliadunit">

5. lépés Most foglalkozzunk a legérdekesebbekkel. Mégpedig a felhasználók korlátozása. Még egy kis hálózatban is jobb csoportokkal dolgozni, nem pedig egyéni felhasználókkal. Ezért kiválasztjuk a létrehozott csoportunkat, és a "Munkaütemezés" fülre lépünk. Ebben kiválaszthatjuk, hogy csoportunk mely napokon és órákon legyen nyitva az Internet elérése.

Görgessen jobbra, és a „Korlátozások” lapon adja meg az internet-hozzáférés sebességét a felhasználók egy csoportja számára. Kattintson a "Korlátozások beállítása csoportos felhasználók számára" gombra, és csak ezután az "Alkalmaz" gombra. Így a Számítógép-osztály csoport minden egyes felhasználójának hozzáférési sebességét 300 kb/s-ra korlátoztuk. Ez persze nem sok, de gyakorlati gyakorlatokhoz bőven elég.

6. lépés Ezen alapbeállítás Be kellett volna fejeznem, de a "Szűrő" paraméterről szeretnék többet mondani. Ezen a lapon korlátozhatja a felhasználók hozzáférését bizonyos webhelyekhez. Ehhez csak adjon meg egy hivatkozást a webhelyre a listában. Megjegyzem azonban, hogy ez a beállítás nem működik teljesen megfelelően. Sok modern webhely már átvált a HTTP protokollról a biztonságosabb HTTPS-re. És egy 2003-as proxy szerver nem tud kezelni egy ilyen vadállatot. Ezért ettől a verziótól nem érdemes minőségi tartalomszűrést követelni.

7. lépés Az utolsó simítás pedig az, hogy minden beállításunkat külön fájlba mentjük (minden tűzoltó számára), és megvédjük a proxy szervert a kíváncsi kezek zavarása ellen. Mindezt a "Speciális" részben teheti meg. Írja be a jelszót, majd erősítse meg. Jelentkezzünk. És csak most kattintunk a gombra a konfiguráció mentéséhez. Adja meg a mentés helyét. Minden. Most, ha valami elromlik. Vagy úgy dönt, hogy kísérletezik a beállításokkal. Készítsen biztonsági másolatot.

Ügyfélállomások beállítása

1. lépés. Befejeztük a proxyszerver beállítását. Átmegyünk az ügyfélállomásra. Először is meg kell győződnie arról, hogy a szerverünkön regisztrált IP-címmel rendelkezik. Ha emlékszel, a konfiguráció során megadtuk, hogy a Station01 nevű kliens címe 192.168.0.3. Győződjünk meg erről.

2. lépés Ezután regisztrálnia kell a proxyszerver címét és portját a rendszerben. Ehhez lépjen a következő elérési útra: "Start - Vezérlőpult - Internetbeállítások (XP) vagy Böngésző (7) - Kapcsolatok - Hálózati beállítások" és a proxyszerver használatának engedélyezésével állítsa be annak címét és portját a HTTP kapcsolathoz. . Kattintson az "OK" gombra ebben és az előző ablakban.

3. lépés Bírság. Már a célban vagyunk. Megnyitjuk a böngészőt, és ha mindent megfelelően konfigurált, akkor a kezdőlapnak meg kell nyílnia.

Itt még egy pontot szeretnék tisztázni. Beállíthatja számítógépét úgy, hogy csak egy böngésző működjön a proxyn keresztül, és ne egyszerre. Ehhez lépjen az "Eszközök - Beállítások - Speciális - Hálózat - Konfigurálás" - fülre, és válassza ki a kézi beállítást a szerver azonos IP-címének és portjának regisztrálásához.

Nos, nézzük meg a szűrők működését.. Most próbáljunk meg az egyikhez menni. A várakozásoknak megfelelően az erőforrás blokkolva van.

Forgalomfigyelés

De mi történik a szerveren? Javában folyik a munka. A felhasználókat tartalmazó lapon nyomon követhetjük, hány megabájtot töltöttek le és utaltak át kórtermeink egy nap, hónap, de akár egy év alatt is!

A "Kapcsolatok" lapon nyomon követheti, hogy az ügyfél éppen melyik erőforrást keresi fel. Osztálytársak? Kapcsolatban áll? Vagy még mindig munkával van elfoglalva.

Ha a felhasználónak hirtelen sikerült bezárnia egy kíváncsi webhelyet, az nem számít. Mindig megtekintheti az előzményeket a "Monitor" lapon.

Következtetés

Azt hiszem, ideje megfordulni. Végezetül szeretném elmondani, hogy ennek az anyagnak a témája okkal lett kiválasztva. Szülővárosomban a felhasználói kapu 2.8-as verziója működik a legtöbb rosszul fejlett hálózati infrastruktúrával rendelkező vállalkozásban. Talán mára megváltozott a helyzet jobb oldala, de 2013 közepén pont akkor rohangáltam a városban a Garant információs és jogrendszert kiszolgálva minden pontosan így volt. Gate egyszerűen átvette a különféle kategóriájú kereskedelmi és nem kereskedelmi vállalkozások hálózatait. És tekintettel arra, hogy a pénzügyi válság egy évvel később tört ki, nem hiszem, hogy egyikük sem utazott volna el.

A hiányosságok ellenére a HTTP-hiány, a ferde szűrő, az intuitív torrentbeállítások lehetetlensége stb. A UserGate 2.8-ra minden adminisztrátor sokáig emlékezni fog, mint a proxyszerver történetének legstabilabb és szerényebb verziójára. . A program új verziói lehetővé teszik a domain felhasználók engedélyezését, a tűzfalat, a NAT-ot, a kiváló minőségű tartalomszűrést és egyéb finomságokat. Mindezért az örömért azonban fizetni kell. És fizessen sokat (54 600 rubelt 100 autóért). Az ingyenes ajándékok kedvelőinek ez az összehangolás nem tetszik nekik.

Taxi úgy gondolja, hogy itt az ideje a búcsúnak. Barátaim, szeretnélek emlékeztetni arra, hogy ha az anyag hasznos volt számodra, akkor lájkold. És ha most először jár oldalunkon, akkor iratkozzon fel. Végül is a Runetben ritkák a rendszeres strukturált kiadások az információtechnológia területén ingyenesen. Amúgy a freeloaderek számára hamarosan egy másik SmallProxy proxyszerverrel kapcsolatos problémát fogok tenni. Ez a gyerek annak ellenére, hogy szabad, semmivel sem rosszabb, mint egy felhasználói kapu, és tökéletesen bevált. Szóval iratkozz fel és várj. Találkozunk egy hét múlva. Ég veletek!

class="eliadunit">

Ma már valószínűleg az összes vállalat vezetése értékelte az internet által az üzleti életben rejlő lehetőségeket. Itt természetesen nem az online áruházakról és az e-kereskedelemről van szó, amelyek, bármit is mondjunk, ma inkább marketingeszközök, mint valódi eszköz az áruk vagy szolgáltatások forgalmának növelésére. A globális hálózat kiváló információs környezet, szinte kimeríthetetlen forrása sokféle adatnak. Mindemellett gyors és olcsó kommunikációt biztosít a cég ügyfeleivel és partnereivel egyaránt. Az internet marketingben rejlő lehetőségeit nem szabad figyelmen kívül hagyni. Így kiderül, hogy a Globális Hálózat általánosságban egy olyan multifunkcionális üzleti eszköznek tekinthető, amely növelheti a vállalat dolgozóinak hatékonyságát feladataik ellátásában.

Először azonban biztosítania kell az alkalmazottaknak hozzáférést az internethez. Egy számítógép egyszerű csatlakoztatása a globális hálózathoz ma már nem jelent problémát. Ennek számos módja van. Számos cég kínál praktikus megoldást erre a problémára. De nem valószínű, hogy az internet egy számítógépen jelentős előnyökkel járhat a vállalat számára. A hálózathoz való hozzáférést minden alkalmazott számára elérhetővé kell tenni a munkahelyéről. És itt nem nélkülözhetjük speciális szoftvert, az úgynevezett proxy szervert. A Windows család operációs rendszereinek képességei elvileg lehetővé teszik bármely internetkapcsolat nyilvánossá tételét. Ebben az esetben a helyi hálózat többi számítógépe hozzáférhet hozzá. Ezt a döntést azonban aligha érdemes legalább egy kicsit komolyan megfontolni. A helyzet az, hogy amikor kiválasztja, el kell felejtenie a globális hálózat vállalati alkalmazottak általi használatának ellenőrzését. Vagyis bármely vállalati számítógépről bárki hozzáférhet az Internethez, és azt tehet, amit akar. És hogy mivel fenyeget, valószínűleg senkinek sem kell megmagyaráznia.

Így a vállalat számára a proxyszerver az egyetlen elfogadható módja annak, hogy megszervezze a vállalati helyi hálózatban lévő összes számítógép kapcsolatát. Ma már számos ilyen típusú program van a piacon. De csak egy fejleményről fogunk beszélni. Ezt UserGate-nek hívják, és az eSafeLine szakemberei hozták létre. A program fő jellemzői a széles funkcionalitás és a nagyon kényelmes orosz nyelvű felület. Emellett érdemes megjegyezni, hogy folyamatosan fejlődik. Nemrég bemutatták a nagyközönségnek ennek a terméknek az új, negyedik változatát.

Szóval UserGate. Ez a szoftvertermék több különálló modulból áll. Az első maga a szerver. Olyan számítógépre kell telepíteni, amely közvetlenül kapcsolódik az internethez (Internet Gateway). Ez a szerver valósítja meg a felhasználói hozzáférést a globális hálózathoz, kiszámítja a használt forgalmat, statisztikát vezet a munkavégzésről stb. A második modul a rendszer adminisztrálására szolgál. Segítségével a felelős alkalmazott elvégzi az összes proxyszerver beállítást. A UserGate fő jellemzője ezzel kapcsolatban, hogy az adminisztrációs modult nem kell az internetes átjárón elhelyezni. Így egy proxyszerver távvezérléséről beszélünk. Ez nagyon jó, hiszen a rendszergazda közvetlenül a munkahelyéről kap lehetőséget az internet-hozzáférés kezelésére.

Ezenkívül a UserGate még két különálló szoftvermodult tartalmaz. Közülük az első az internethasználati statisztikák kényelmes megtekintésére és az alapján készült riportok készítésére, a második pedig bizonyos esetekben a felhasználói jogosultságra. Ez a megközelítés tökéletesen kombinálható az összes modul orosz nyelvű és intuitív kezelőfelületével. Ez együtt lehetővé teszi, hogy gyorsan és problémamentesen megosztott hozzáférést hozzon létre a globális hálózathoz bármely irodában.

De térjünk át a UserGate proxyszerver működésének elemzésére. Kezdje azzal a ténnyel, hogy ez a program azonnal végrehajtja a DNS konfigurálásának két különböző módját (talán a legfontosabb feladat a nyilvános hozzáférés megvalósítása során). Az első a NAT (Network Address Translation). Nagyon pontos elszámolást biztosít a felhasznált forgalomról, és lehetővé teszi a felhasználók számára, hogy az adminisztrátor által engedélyezett protokollokat használják. Igaz, érdemes megjegyezni, hogy bizonyos hálózati alkalmazások ebben az esetben nem fognak megfelelően működni. A második lehetőség a DNS-továbbítás. Több korlátozása van, mint a NAT-nak, de elavult operációs családdal rendelkező számítógépeken (Windows 95, 98 és NT) használható.

Az internetes munkavégzés engedélyei a "felhasználó" és a "felhasználói csoport" fogalmak alapján vannak konfigurálva. És érdekes módon a UserGate proxy szerveren a felhasználó nem feltétlenül személy. A számítógép is betöltheti a szerepét. Vagyis az első esetben bizonyos alkalmazottak számára engedélyezett az internethez való hozzáférés, a másodikban pedig minden olyan ember számára, aki leült valamilyen számítógépre. Természetesen ebben az esetben különböző felhasználói engedélyezési módszereket alkalmaznak. Ha számítógépekről beszélünk, akkor IP-cím, egy csomó IP- és MAC-cím, valamint egy IP-címtartomány alapján azonosíthatók. Az alkalmazottak hitelesítéséhez speciális bejelentkezési / jelszó párok, Active Directoryból származó adatok, a Windows jogosultsági információinak megfelelő név és jelszó használhatók stb. A felhasználók csoportokba vonhatók a könnyebb konfigurálás érdekében. Ez a megközelítés lehetővé teszi, hogy azonnal kezelje a hozzáférést minden, azonos jogokkal rendelkező (ugyanolyan pozícióban lévő) alkalmazott számára, ahelyett, hogy minden fiókot külön-külön állítana be.

A UserGate proxy szervernek is van saját számlázási rendszere. Az adminisztrátor tetszőleges számú tarifát állíthat be, amelyek leírják, hogy mennyibe kerül egy egységnyi bejövő vagy kimenő forgalom vagy csatlakozási idő. Ez lehetővé teszi, hogy minden internetes kiadásról pontos nyilvántartást vezessen a felhasználókra hivatkozva. Vagyis a cég vezetése mindig tudni fogja, ki mennyit költött. Mellesleg, a tarifák az aktuális időtől függővé tehetők, ami lehetővé teszi a pontos reprodukálást árazási szabály szolgáltató.

A UserGate proxy szerver lehetővé teszi bármilyen, bármilyen összetett vállalati internet-hozzáférési szabályzat megvalósítását. Ehhez úgynevezett szabályokat használnak. Segítségükkel az adminisztrátor korlátokat állíthat be a felhasználók számára munkaidő szerint, a napi vagy havi küldött vagy fogadott forgalom mennyisége, a napi vagy havi felhasznált idő mennyisége szerint stb. Ezen határok túllépése esetén a hozzáférés a A globális hálózat automatikusan blokkolva lesz. Ezenkívül a szabályok használatával korlátozásokat írhat elő az egyes felhasználók vagy teljes csoportjaik hozzáférési sebességére vonatkozóan.

A szabályok használatának egy másik példája az egyes IP-címekhez vagy azok tartományaihoz való hozzáférés korlátozása, teljes domain nevek vagy bizonyos karakterláncokat tartalmazó címek stb. meglátogatja a nem kívánt webprojektek alkalmazottait. De persze ez messze nem minden példa a szabályok alkalmazására. Segítségükkel megvalósítható például az éppen feltöltött oldaltól függő tarifaváltás (egyes szolgáltatóknál fennálló kedvezményes forgalmat figyelembe kell venni), reklámbannerek kivágását stb.

Egyébként már említettük, hogy a UserGate proxy szervernek külön modulja van a statisztikákkal való munkavégzéshez. Segítségével az adminisztrátor bármikor megtekintheti a fogyasztott forgalmat (összesen, felhasználónként, felhasználói csoportonként, webhelyenként, szerver IP címeként stb.). És mindez nagyon gyorsan megtörténik egy kényelmes szűrőrendszer segítségével. Ezen kívül ez a modul egy jelentéskészítőt valósít meg, amellyel a rendszergazda bármilyen jelentést készíthet és exportálhat MS Excelbe.

A fejlesztők számára nagyon érdekes megoldás egy vírusirtó modul beágyazása a tűzfalba, amely minden bejövő és kimenő forgalmat vezérel. Ráadásul nem találták fel újra a kereket, hanem integrálták a Kaspersky Lab fejlesztését. Ez a megoldás egyrészt valóban megbízható védelmet garantál minden rosszindulatú program ellen, másrészt az aláírási adatbázisok rendszeres frissítését. Egy másik fontos szempont információ biztonság egy lehetőség a beépített tűzfal. Itt pedig a UserGate fejlesztői hozták létre saját maguk. Sajnos érdemes megjegyezni, hogy a proxyszerverbe integrált tűzfal képességeiben egészen eltér az e téren vezető termékektől. Szigorúan véve egy olyan modulról beszélünk, amely egyszerűen blokkolja az adminisztrátor által megadott portokon és protokollokon keresztül a megadott IP-című számítógépek felé és onnan érkező forgalmat. Nem rendelkezik lopakodó üzemmóddal, vagy más, általában a tűzfalakhoz kötelező funkcióval.

Sajnos egy cikk nem tartalmazhatja a UserGate proxyszerver összes funkciójának részletes lebontását. Ezért legalább felsoroljuk a legérdekesebbeket, amelyek nem szerepeltek áttekintésünkben. Először is, ez az internetről letöltött fájlok gyorsítótárazása, amely lehetővé teszi, hogy valóban pénzt takarítson meg a szolgáltatói szolgáltatásokon. Másodszor érdemes megjegyezni a Port mapping funkciót, amely lehetővé teszi, hogy az egyik helyi Ethernet interfész kiválasztott portját egy távoli gazdagép kívánt portjához kapcsolja (ez a funkció a hálózati alkalmazások működéséhez szükséges: bank-kliens rendszerek , különféle játékok stb.) . Ezenkívül a UserGate proxyszerver olyan szolgáltatásokat valósít meg, mint a belső vállalati erőforrásokhoz való hozzáférés, a feladatütemező, a proxy kaszkádhoz való csatlakozás, az aktív felhasználók forgalmának és IP-címeinek, bejelentkezési adataiknak, valós időben meglátogatott URL-jeik figyelése és még sok minden más. Egyéb.

Nos, itt az ideje, hogy mérleget készítsünk. Mi, kedves olvasók, részletesen elemeztük a UserGate proxy szervert, amellyel bármely irodában megszervezheti az általános internet-hozzáférést. És megbizonyosodott róla ezt a fejlődéstötvözi az egyszerűséget és a könnyű beállítást és használatot a funkciók széles skálájával. Mindez rendkívül vonzó termékké teszi a UserGate legújabb verzióját.

A helyi hálózat internetre kapcsolása után célszerű egy forgalom elszámoló rendszert felállítani, ebben a Usergate program is segítségünkre lesz. A Usergate egy proxyszerver, amely lehetővé teszi a számítógépek hozzáférésének szabályozását a helyi hálózatról az internetre.

De először is emlékezzünk arra, hogyan állítottuk be korábban a hálózatot a „Helyi hálózat létrehozása és konfigurálása a Windows 7 és a WindowsXP között” című videó tanfolyamon, és hogyan biztosítottunk hozzáférést az összes számítógéphez az internethez egyetlen kommunikációs csatornán keresztül. Sematikusan a következőképpen ábrázolható, négy számítógép van, amelyeket peer-to-peer hálózattá egyesítettünk, átjáróként a munkaállomás munkaállomás-4-7, Windows 7 operációs rendszert választottuk, azaz csatlakoztatott egy további hálózati kártyát internet-hozzáféréssel, és lehetővé tette a hálózat többi számítógépének, hogy ezen a hálózati kapcsolaton keresztül hozzáférjenek az internethez. A maradék három gép internetes kliens, és átjáróként és DNS-ként rendelkeznek az internetet terjesztő számítógép IP-címével. Nos, most foglalkozzunk az internethez való hozzáférés szabályozásának kérdésével.

A UserGate telepítése nem különbözik a normál program telepítésétől, telepítés után a rendszer újraindítást, újraindítást kér. Az újraindítás után először próbáljunk meg elérni az internetet arról a számítógépről, amelyre a UserGate telepítve van - kiderül, de nem más számítógépekről, ezért a proxyszerver működni kezdett, és alapértelmezés szerint megtiltja mindenkinek az internet elérését , tehát konfigurálnia kell.

A felügyeleti konzol indítása Start \ Programok \UserGate\ Felügyeleti konzol) és itt van maga a konzol, és megnyílik a lap Kapcsolatok. Ha megpróbáljuk megnyitni valamelyik bal oldali fület, akkor egy üzenet jelenik meg (a UserGate adminisztrációs konzol nem csatlakozik a UserGate Serverhez), így induláskor megnyitjuk a Connections lapot, hogy először csatlakozhassunk a UserGate szerverhez.

Így az alapértelmezett kiszolgálónév helyi; Felhasználó – Rendszergazda; A szerver localhost, azaz. a szerver rész ezen a számítógépen található; Port - 2345.

Kattintson duplán erre a bejegyzésre, és csatlakozzon a UserGate szolgáltatáshoz, ha a kapcsolat nem sikerült, ellenőrizze, hogy a szolgáltatás fut-e ( ctrl+ alt+ Kilépés\ Szolgáltatások \UserGate)

Elindul az első csatlakozáskor Beállítási varázslótUserGate, nyomja meg Nem, mivel mindent kézzel fogunk konfigurálni, hogy egyértelműbb legyen, mit és hol kell keresni. És mindenekelőtt lépjen a lapra szerverUserGate\ Interfészek, itt jelezzük, hogy melyik hálózati kártya nézi az internetet ( 192.168.137.2 - HALVÁNY), és melyik a helyi hálózathoz ( 192.168.0.4 - LAN).

További Felhasználók és csoportok \ Felhasználók, itt csak egy felhasználó van, ez maga a gép, amelyen a UserGate szerver fut, és ennek neve Default, azaz. alapértelmezett. Adjunk hozzá minden olyan felhasználót, aki hozzá fog férni az internethez, három van közülük:

Munkaállomás-1-xp - 192.168.0.1

Munkaállomás-2-xp - 192.168.0.2

Munkaállomás-3-7 - 192.168.0.3

A csoportot és a tarifacsomagot alapból elhagyjuk, a jogosultság típusát, IP címen keresztül fogom használni, mivel manuálisan regisztráltam, és változatlanok maradnak.

Most konfiguráljuk magát a proxyt, menjünk a következőre Szolgáltatások \ Proxy beállítások \HTTP, itt kiválasztjuk azt az IP címet, amit átjáróként adtunk meg a kliens gépeken, ez megvan 192.168.0.4 és jelölje be a négyzetet is átlátszó mód, hogy ne kelljen manuálisan megadni a proxy szerver címét a böngészőkben, ilyenkor a böngésző megnézi, hogy a hálózati kapcsolat beállításainál melyik átjáró van megadva, és arra irányítja át a kéréseket.