Usergate proxy forgalomkorlátozási beállítások. A UserGate proxy szerver áttekintése – átfogó megoldás az internet-hozzáférés megosztására. Közlekedési szabályok rendszere

Jegyzet: Ez a cikk szerkesztve, releváns adatokkal és további hivatkozásokkal kiegészítve.

UserGate proxy és tűzfal az UTM (Unified Threat Management) osztály internetes átjárója, amely lehetővé teszi az alkalmazottak általános hozzáférésének biztosítását és ellenőrzését az internetes erőforrásokhoz, a rosszindulatú, veszélyes és nem kívánt webhelyek szűrését, a vállalati hálózat védelmét a külső behatolásoktól és támadásoktól, virtuális létrehozást. hálózatokat és biztonságos VPN-hozzáférést szervezhet a hálózati erőforrásokhoz kívülről, valamint kezelheti a sávszélességet és az internetes alkalmazásokat.

A termék hatékony alternatívája a drága szoftvereknek és hardvereknek, és kis- és középvállalkozások, kormányzati szervek, valamint fióki struktúrával rendelkező nagy szervezetek számára készült.

Minden további információt megtalál a termékről.

A program további fizetős modulokat tartalmaz:

  • kaspersky antivírus
  • panda vírusirtó
  • Avira Antivirus
  • Entensys URL-szűrés

Minden modul egy naptári évre szól. Az összes modul működését egy próbakulcsban lehet kipróbálni, mely 1-3 hónapos időtartamra biztosítható korlátlan számú felhasználó számára.

Az engedélyezési szabályokról bővebben olvashat.

Az Entensys megoldások vásárlásával kapcsolatos minden kérdésével forduljon a következőhöz: [e-mail védett] vagy hívja az ingyenes zöld számot: 8-800-500-4032.

Rendszerkövetelmények

Az átjáró megszervezéséhez olyan számítógépre vagy szerverre van szüksége, amelynek meg kell felelnie a következő rendszerkövetelményeknek:

  • CPU frekvencia: 1,2 GHz-től
  • RAM mérete: 1024 Gb-tól
  • HDD kapacitás: 80 GB-tól
  • Hálózati adapterek száma: 2 vagy több

Minél nagyobb a felhasználók száma (75 felhasználóhoz képest), annál nagyobbnak kell lennie a szerver teljesítményének.

Termékünket "tiszta" szerver operációs rendszerű számítógépre javasoljuk telepíteni, az ajánlott operációs rendszer a Windows 2008/2012.
Nem garantáljuk a UserGate Proxy&Tűzfal megfelelő működését és/vagy a harmadik féltől származó szolgáltatások együttes működését és nem javasoljuk megosztását szolgáltatásokkal az átjárón, amely a következő szerepeket látja el:

  • Is tartományvezérlő
  • Egy virtuális gép hipervizor
  • Is terminál szerver
  • Erősen terhelt DBMS/DNS/HTTP szerverként működik stb.
  • SIP szerverként működik
  • Üzleti szempontból kritikus szolgáltatásokat vagy szolgáltatásokat nyújt
  • A fentiek mindegyike

A UserGate Proxy&Firewall jelenleg ütközhet a következő típusú szoftverekkel:

  • Kivétel nélkül harmadik fél Tűzfal/Tűzfal megoldások
  • Víruskereső termékek a BitDefendertől
  • Víruskereső modulok, amelyek a legtöbb víruskereső termék tűzfalaként vagy "Hacker-ellenes" funkcióként működnek. Javasoljuk, hogy tiltsa le ezeket a modulokat
  • A HTTP/SMTP/POP3 protokollon keresztül továbbított adatokat ellenőrző víruskereső modulok ez késést okozhat a proxyn keresztüli aktív munka során
  • Harmadik féltől származó szoftvertermékek, amelyek képesek elfogni az adatokat a hálózati adapterekről - "sebességmérők", "alakítók" stb.
  • A Windows Server aktív szerepköre "Útválasztás és távelérés" NAT/internetkapcsolat-megosztás (ICS) módban

Figyelem! A telepítés során ajánlatos letiltani az IPv6 protokoll támogatását az átjárón, feltéve, hogy nem használnak IPv6-ot használó alkalmazásokat. A UserGate Proxy&Firewall jelenlegi megvalósítása nem támogatja az IPv6 protokollt, és ennek megfelelően ez a protokoll nincs szűrve. Így az IPv6 protokollon keresztül kívülről is elérhető a gazdagép a tűzfal tiltási szabályainak aktiválása mellett is.

Ha megfelelően van konfigurálva, a UserGate Proxy&Firewall a következő szolgáltatásokkal kompatibilis:

A Microsoft Windows Server szerepei:

  • DNS szerver
  • DHCP szerver
  • Nyomtatószerver
  • Fájl (SMB) szerver
  • Alkalmazások szervere
  • WSUS szerver
  • Web szerver
  • WINS szerver
  • VPN szerver

És harmadik fél termékeivel:

  • FTP/SFTP szerverek
  • Üzenetküldő szerverek – IRC/XMPP

A UserGate Proxy&Firewall telepítésekor győződjön meg arról, hogy a harmadik féltől származó szoftver nem használja azt a portot vagy portokat, amelyeket a UserGate Proxy&Firewall használhat. Alapértelmezés szerint a UserGate a következő portokat használja:

  • 25 - SMTP proxy
  • 80 - átlátszó HTTP proxy
  • 110 - POP3 proxy
  • 2345 – UserGate felügyeleti konzol
  • 5455 – UserGate VPN szerver
  • 5456 – UserGate hitelesítési kliens
  • 5458 – DNS-továbbítás
  • 8080 – HTTP proxy
  • 8081 - UserGate webstatisztika

Minden port módosítható a UserGate felügyeleti konzol segítségével.

A program telepítése és az adatbázis kiválasztása a munkához

UserGate proxy és tűzfal konfigurációs varázsló

A NAT-szabályok beállításának részletesebb leírása ebben a cikkben található:

UserGate Agent

A UserGate Proxy&Firewall telepítése után szükségszerűen indítsa újra az átjárót. A rendszerben történő engedélyezés után a Windows tálcán az óra mellett a UserGate ügynök ikonjának zöldre kell váltania. Ha az ikon szürke, az azt jelenti, hogy hiba történt a telepítési folyamat során, és a UserGate Proxy&Firewall szerver szolgáltatás nem fut, ebben az esetben tekintse meg az Entensys tudásbázis megfelelő részét, vagy lépjen kapcsolatba az Entensys műszaki támogatásával.

A termék konfigurálása a UserGate Proxy&Firewall adminisztrációs konzoljával történik, amely a UserGate ügynök ikonra duplán kattintva, vagy a Start menü parancsikonjára kattintva hívható meg.
Az adminisztrációs konzol elindításakor az első lépés a termék regisztrálása.

Általános beállítások

A Felügyeleti konzol Általános beállítások részében állítsa be a rendszergazda felhasználó jelszavát. Fontos! Ne használjon Unicode speciális karaktereket vagy a termék PIN-kódját jelszóként az adminisztrációs konzol eléréséhez.

A UserGate Proxy&Tűzfal termék rendelkezik támadásvédelmi mechanizmus, az "Általános beállítások" menüben is aktiválhatja. A támadásvédelmi mechanizmus egy aktív mechanizmus, egyfajta "piros gomb", amely minden interfészen működik. Ezt a funkciót a helyi hálózaton belüli DDoS-támadások vagy a számítógépek rosszindulatú programokkal (vírusok/férgek/botnet-alkalmazások) történő tömeges fertőzése esetén javasoljuk használni. A támadásvédelmi mechanizmus blokkolhatja a fájlmegosztó klienseket használó felhasználókat – torrenteket, közvetlen kapcsolatot, bizonyos típusú VoIP klienseket/szervereket, amelyek aktívan cserélik a forgalmat. A blokkolt számítógépek IP-címének lekéréséhez nyissa meg a fájlt ProgramData\Entensys\Usergate6\logging\fw.log vagy Dokumentumok és beállítások\Minden felhasználó\Alkalmazásadatok\Entensys\Usergate6\logging\fw.log.

Figyelem! Az alább leírt paraméterek módosítása csak akkor javasolt, ha nagyszámú kliens/nagy sávszélességigény van az átjárónak.

Ez a szakasz a következő beállításokat is tartalmazza: „Maximális kapcsolatok” – a NAT-on és a UserGate Proxy&Tűzfalon keresztüli kapcsolatok maximális száma.

"NAT-kapcsolatok maximális száma" - a kapcsolatok maximális száma, amelyet a UserGate Proxy&Firewall áthat a NAT-illesztőprogramon.

Ha a kliensek száma nem haladja meg a 200-300-at, akkor a "Kapcsolatok maximális száma" és a "NAT-kapcsolatok maximális száma" beállításokat nem szabad megváltoztatni. Ezeknek a paramétereknek a növelése jelentős terheléshez vezethet az átjáró berendezésen, és csak akkor javasolt, ha a beállításokat nagyszámú ügyfél számára optimalizálták.

Interfészek

Figyelem! Mielőtt ezt megtenné, feltétlenül ellenőrizze a hálózati adapter beállításait a Windows rendszerben! A helyi hálózatra (LAN) csatlakozó interfész nem tartalmazhat átjáró címet! A LAN-adapter beállításainál nem szükséges DNS-szervereket megadni, az IP-címet manuálisan kell megadni, DHCP-vel nem javasoljuk a beszerzését.

A LAN-adapter IP-címének privát IP-címnek kell lennie. elfogadható az alábbi tartományokból származó IP-címek használata:

10.0.0.0 - 10.255.255.255 (10/8 előtag) 172.16.0.0 - 172.31.255.255 (172.16/12 előtag) 192.168.0.0 - 192.168.51.615.6

A privát hálózati címek kiosztását a RFC 1918 .

Más tartományok használata a helyi hálózat címeként hibákhoz vezet a UserGate Proxy&Firewall működésében.

Az internethez (WAN) csatlakoztatott interfésznek tartalmaznia kell egy IP-címet, hálózati maszkot, átjárócímet és DNS-kiszolgáló címét.
Nem ajánlott háromnál több DNS-kiszolgálót használni a WAN-adapter beállításainál, ez hálózati hibákhoz vezethet. Először ellenőrizze az egyes DNS-kiszolgálók állapotát a cmd.exe konzol nslookup parancsával, például:

nslookup usergate.ru 8.8.8.8

ahol a 8.8.8.8 a DNS-kiszolgáló címe. A válasznak tartalmaznia kell a kért szerver IP-címét. Ha nem érkezik válasz, akkor a DNS-kiszolgáló érvénytelen, vagy a DNS-forgalom le van tiltva.

Meg kell határoznia az interfészek típusát. A belső hálózathoz csatlakoztatott IP-című interfésznek LAN típusúnak kell lennie; interfész, amely csatlakozik az internethez - WAN.

Ha több WAN-interfész van, akkor ki kell választania azt a fő WAN-interfészt, amelyen keresztül az összes forgalom átmegy. Ehhez kattintson rá jobb gombbal, és válassza a "Beállítás fő kapcsolatként" lehetőséget. Ha más WAN interfészt tervez tartalék csatornaként használni, javasoljuk a "Beállítás varázsló" használatát.

Figyelem! A tartalék kapcsolat konfigurálásakor nem DNS-gazdanevet, hanem IP-címet javasolt megadni, hogy a UserGate Proxy&Firewall időszakonként lekérdezze azt icmp(ping) kérésekkel, és válasz hiányában bekapcsolja a tartalék kapcsolatot. Győződjön meg arról, hogy a DNS-kiszolgálók a Windows Network Backup Adapter beállításaiban rendben vannak.

Felhasználók és csoportok

Ahhoz, hogy az ügyfélszámítógép jogosult legyen az átjárón, és hozzáférjen a UserGate Proxy&Tűzfal és NAT szolgáltatásokhoz, felhasználókat kell hozzáadnia. Az eljárás leegyszerűsítéséhez használja a szkennelési funkciót - "Helyi hálózat keresése". A UserGate Proxy&Firewall automatikusan átvizsgálja a helyi hálózatot, és megadja azon gazdagépek listáját, amelyek hozzáadhatók a felhasználók listájához. Ezután csoportokat hozhat létre, és felhasználókat vehet fel ebbe.

Ha van telepítve egy tartományvezérlő, akkor beállíthatja a csoportok szinkronizálását az Active Directory csoportjaival, vagy importálhat felhasználókat az Active Directoryból anélkül, hogy állandó szinkronizálást végezne az Active Directoryval.

Létrehozunk egy csoportot, amely szinkronizálva lesz az AD-ből származó csoporttal vagy csoportokkal, a "Szinkronizálás AD-vel" menüben megadjuk a szükséges adatokat, és a UserGate ügynök segítségével újraindítjuk a UserGate szolgáltatást. 300 mp után. a felhasználók automatikusan importálódnak a csoportba. Ezeknek a felhasználóknak az engedélyezési módszere AD lesz.

Tűzfal

Az átjáró helyes és biztonságos működéséhez szükséges szükségszerűen konfigurálja a tűzfalat.

A következő tűzfalműveleti algoritmus javasolt: tiltson le minden forgalmat, majd adjon hozzá engedélyezési szabályokat a szükséges irányokban. Ehhez a #NONUSER# szabályt "Deny" módba kell állítani (ez letilt minden helyi forgalmat az átjárón). Gondosan! Ha távolról konfigurálja a UserGate Proxy&Tűzfalat, akkor megszakad a kapcsolat a szerverrel. Ezután engedélyezési szabályokat kell létrehoznia.

A következő paraméterekkel rendelkező szabályok létrehozásával engedélyezzük az összes helyi forgalmat az átjárótól a helyi hálózatig és a helyi hálózattól az átjáróig terjedő összes porton:

Forrás - "LAN", cél - "Bármilyen", szolgáltatások - ANY:FULL, művelet - "Engedélyezés"
Forrás - "Bármilyen", cél - "LAN", szolgáltatások - ANY:FULL, művelet - "Engedélyezés"

Ezután létrehozunk egy szabályt, amely megnyitja az internet-hozzáférést az átjáró számára:

Forrás - "WAN"; rendeltetési hely - "Bármilyen"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"

Ha engedélyeznie kell a bejövő kapcsolatok elérését az átjáró összes portján, akkor a szabály így fog kinézni:

Forrás - "Bármilyen"; rendeltetési hely - "WAN"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"

És ha szüksége van az átjáróra a bejövő kapcsolatok fogadásához, például csak RDP-n keresztül (TCP:3389), és kívülről pingelhető, akkor létre kell hoznia a következő szabályt:

Forrás - "Bármilyen"; rendeltetési hely - "WAN"; szolgáltatások - Bármilyen ICMP, RDP; művelet - "Engedélyezés"

Minden más esetben biztonsági okokból nem kell szabályt létrehozni a bejövő kapcsolatokhoz.

Ahhoz, hogy az ügyfélszámítógépek hozzáférjenek az internethez, létre kell hoznia egy hálózati címfordítási (NAT) szabályt.

Forrás - "LAN"; rendeltetési hely - "WAN"; szolgáltatások - BÁRMELY:TELJES; művelet - "Engedélyezés"; Válassza ki azokat a felhasználókat vagy csoportokat, amelyeknek hozzáférést szeretne adni.

Lehetőség van tűzfalszabályok konfigurálására – a kifejezetten tiltottak engedélyezésére és fordítva, a kifejezetten engedélyezettek tiltására, attól függően, hogy hogyan konfigurálja a #NON_USER# szabályt, és milyen szabályzatot alkalmaz a vállalatnál. Minden szabálynak van elsőbbsége – a szabályok fentről lefelé haladva működnek.

Megtekinthetők a különféle beállítások lehetőségei és a tűzfalszabályokra vonatkozó példák.

Egyéb beállitások

Továbbá a szolgáltatások - proxy részben engedélyezheti a szükséges proxyszervereket - HTTP, FTP, SMTP, POP3, SOCKS. Válassza ki a kívánt interfészt, a "hallgatni minden felületen" opció engedélyezése nem lesz biztonságos, mert a proxy ebben az esetben mind a LAN-interfészeken, mind a külső interfészeken elérhető lesz. Az "átlátszó" proxy mód a kiválasztott porton lévő összes forgalmat a proxy portra irányítja, ebben az esetben nem szükséges proxyt megadni a kliens számítógépeken. A proxy a proxyszerver beállításaiban megadott porton is elérhető marad.

Ha a szerveren engedélyezve van a transzparens proxy mód (Szolgáltatások - Proxy beállítások), akkor a kliensgép hálózati beállításainál elegendő a UserGate szervert megadni fő átjáróként. A UserGate szervert DNS szerverként is megadhatjuk, ebben az esetben engedélyezni kell.

Ha a transzparens mód le van tiltva a szerveren, akkor a böngésző csatlakozási beállításainál meg kell adni a UserGate szerver címét és a megfelelő proxy portot, amelyet a Szolgáltatások - Proxy beállítások részben megadott. Láthat egy példát a UserGate szerver ilyen esetre történő beállítására.

Ha hálózata rendelkezik konfigurált DNS-kiszolgálóval, akkor azt a UserGate DNS továbbítási beállításaiban és a UserGate WAN adapter beállításaiban adhatja meg. Ebben az esetben mind NAT módban, mind proxy módban minden DNS-lekérdezés erre a szerverre lesz irányítva.

És ma egy elemi proxyszerver beállításáról fogunk beszélni. Bizonyára sokan hallottatok már olyat, hogy proxy, de nem igazán mélyedtek el a definíciójában. Egyszerűen fogalmazva, a proxyszerver egy közbenső kapcsolat a hálózaton lévő számítógépek és az internet között. Ez azt jelenti, hogy ha egy ilyen szervert a rácsban implementálnak, akkor az internethez való hozzáférés nem közvetlenül az útválasztón keresztül történik, hanem a közvetítő állomás előfeldolgozza.

Miért van szüksége proxy szerverre a helyi hálózatban? Milyen előnyökben részesülünk a telepítés után? Az első fontos tulajdonság a webhelyekről származó információk gyorsítótárazásának és hosszú távú tárolásának lehetősége a szerveren. Ez lehetővé teszi az internetes csatorna terhelésének jelentős csökkentését. Ez különösen igaz azokra a szervezetekre, ahol a globális hálózathoz való hozzáférés még mindig ADSL technológiával történik. Tehát például, ha egy gyakorlati óra során a tanulók azonos típusú információkat keresnek bizonyos webhelyekről, akkor az információ forrásból való teljes letöltése után az egyik állomáson a letöltés sebessége a többire jelentősen megnő.

Emellett a proxyszerver bevezetésével a rendszeradminisztrátor egy hatékony eszközt tart a kezében, amely lehetővé teszi számára, hogy az összes webhelyhez való hozzáférést szabályozza. Vagyis ha megfigyeled, hogy egy bizonyos kis ember tankolással vagy tévéműsorokkal tölti a munkaidejét, akkor elfedheti, hogy hozzáférhet az élet ezen örömeihez. Vagy gúnyolódhat, fokozatosan csökkentve a kapcsolat sebességét ... vagy csak bizonyos funkciókat blokkolhat, például vacsora utáni képek letöltését. Általában van hova megfordulni. A rendszergazda proxyszerver feletti irányítása miatt a barátai még kedvesebbek, az ellenségei pedig dühösebbek.

Ebben a cikkben közelebbről megvizsgáljuk a UserGate 2.8 proxy telepítését és konfigurálását. A program ezen verziója már 2003 májusában megjelent. Akkor még számítógépem sem volt. Ennek ellenére továbbra is a felhasználói kapunak ez a kiadása tekinthető a legsikeresebbnek a munka stabilitása és a könnyű beállítás miatt. Természetesen a funkcionalitás nem elegendő, ráadásul az egyidejűleg dolgozó felhasználók száma korlátozott. Számuk nem haladhatja meg a 300 főt. Engem személy szerint ez a gát nem nagyon szomorít el. Ha ugyanis egy 300 gépes grid adminisztrál, akkor biztosan nem fog ilyen szoftvert használni. Az UG 2.8 a kis irodai és otthoni hálózatok sokasága.

Nos, azt hiszem, ideje lekötni a randalírozással. Töltse le a UserGate-et torrentekből vagy ezen a linken keresztül, válasszon egy számítógépet jövőbeli proxyszerverként, és azonnal folytassa a telepítést.

Telepítés és aktiválás

1. lépés. Ez az alkalmazás az egyik legkönnyebben telepíthető. Az embernek az a benyomása támad, hogy nem proxyszervert telepítünk, hanem az orrunkat szedegetjük. Futtassa a Setup.exe fájlt, és fogadja el a megállapodást az első ablakban. Kattintson a "Tovább" gombra.

2. lépés Válasszon egy helyet a telepítéshez. Valószínűleg az alapbeállításon hagyom. Kattintson a "Start" gombra, és várja meg, amíg a telepítési folyamat befejeződik.

3. lépés Voálá. Telepítés befejezve. Ne felejtse el bejelölni a "Futtassa a telepített alkalmazást" négyzetet, és kattintson az "OK" gombra.

4. lépésÁtkozott! A 2003-as program nem ingyenes. Engedély kell. Rendben van. Az általunk feltöltött archívumban van rá gyógymód. Nyissa meg a "Crack" mappát, és ebben találjuk az egyetlen Serial.txt fájlt. Másolja ki belőle a licencszámot és a sorozatszámot. Csak két sor. Nehéz tévedni.

5. lépés Az értesítési ikonokkal ellátott panel jobb alsó sarkában kattintson duplán a kék felhasználói kapu ikonra, és ellenőrizze, hogy a program megfelelően telepítve és aktiválva van-e.

Proxy szerver beállítása

1. lépés. Az első lépés, hogy megbizonyosodjunk arról, hogy szerverünknek statikus IP-címe van. Ehhez lépjen a "Start - Vezérlőpult - Hálózati és megosztási központ - Az adapter beállításainak módosítása" elemre, és kattintson a jobb gombbal arra a hálózati kártyára, amelyen keresztül a helyi hálózat elérhető. A megnyíló listában válassza ki a „Tulajdonságok – Internet Protokoll 4-es verzió” elemet, és győződjön meg arról, hogy rögzített IP-cím van megadva. Őt állítjuk be proxy-közvetítőnek minden ügyfélállomáson.

2. lépés Visszatérünk programunkhoz. A "Beállítások" fülön keressük a "HTTP" protokollt és megadjuk a portot (alapértelmezés szerint elhagyhatod), az FTP-n keresztüli munkavégzés lehetőségével együtt, engedélyezzük a használatát. Ezzel a beállítással a felhasználók böngészőben tekinthetik meg a weboldalakat. Portként egyáltalán nem szükséges a szabványos 8080-as vagy 3128-as opciókat használni. Kitalálhat valamit a sajátjával. Ez jelentősen növeli a hálózati biztonság szintjét, a lényeg az, hogy válasszon egy számot az 1025 és 65535 közötti tartományban, és boldog lesz.

3. lépés A következő lépés a gyorsítótárazás engedélyezése. Ahogy korábban említettük, ez jelentősen megnöveli ugyanazon erőforrások terhelését az ügyfélállomásokon. Minél hosszabb a tárolási idő és a gyorsítótár mérete, annál nagyobb a terhelés a proxyszerver RAM-ján. Kifelé azonban az oldal betöltési sebessége a böngészőben nagyobb lesz, mint a gyorsítótár használata nélkül. A megőrzési időt mindig 72 órára (ez két napnak felel meg), a gyorsítótár méretét pedig 2 gigabájtra állítom.

4. lépés Ideje továbblépni a felhasználói csoportok létrehozására. Ehhez az azonos nevű menüpontban válassza ki az „Alapértelmezett” felhasználói csoportot, és kattintson a „Módosítás” gombra.

Nevezze át az alapértelmezett csoportot, és kattintson a "Hozzáadás" gombra.

Itt az ideje a felhasználók létrehozásának. A "Név" mezőbe szoktam beírni a számítógép teljes hálózatnevét, ami a kliens gépen a rendszertulajdonságok között megtekinthető. Ez kényelmes, ha kicsi a hálózat, és úgy döntöttünk, hogy ez a program nem alkalmas komoly hálózatra. Kiválasztjuk a jogosultság típusát "IP-cím alapján", és bejelentkezésként előírjuk az ügyfél IP-címét. Azt, hogy hol lehet megnézni, már korábban megvizsgáltuk. Kis hálózatokban a régimódi adminisztrátorok manuálisan írják elő az IP-t minden talicskára a régi módon, és szinte soha nem változtatják meg.

class="eliadunit">

5. lépés Most foglalkozzunk a legérdekesebbekkel. Mégpedig a felhasználók korlátozása. Még egy kis hálózatban is jobb csoportokkal dolgozni, nem pedig egyéni felhasználókkal. Ezért kiválasztjuk a létrehozott csoportunkat, és a "Munkaütemezés" fülre lépünk. Ebben kiválaszthatjuk, hogy csoportunk mely napokon és órákon legyen nyitva az Internet elérése.

Görgessen jobbra, és a „Korlátozások” lapon adja meg az internet-hozzáférés sebességét a felhasználók egy csoportja számára. Kattintson a "Korlátozások beállítása csoportos felhasználók számára" gombra, és csak ezután az "Alkalmaz" gombra. Így a Számítógép-osztály csoport minden egyes felhasználójának hozzáférési sebességét 300 kb/s-ra korlátoztuk. Ez persze nem sok, de gyakorlati gyakorlatokhoz bőven elég.

6. lépés Ezzel be kell fejezni az alapbeállítást, de szeretnék többet beszélni a „Szűrő” paraméterről. Ezen a lapon korlátozhatja a felhasználók hozzáférését bizonyos webhelyekhez. Ehhez csak adjon meg egy hivatkozást a webhelyre a listában. Megjegyzem azonban, hogy ez a beállítás nem működik teljesen megfelelően. Sok modern webhely már átvált a HTTP protokollról a biztonságosabb HTTPS-re. És egy 2003-as proxy szerver nem tud kezelni egy ilyen vadállatot. Ezért ettől a verziótól nem érdemes minőségi tartalomszűrést követelni.

7. lépés Az utolsó simítás pedig az, hogy minden beállításunkat külön fájlba mentjük (minden tűzoltó számára), és megvédjük a proxy szervert a kíváncsi kezek zavarása ellen. Mindezt a "Speciális" részben teheti meg. Írja be a jelszót, majd erősítse meg. Jelentkezzünk. És csak most kattintunk a gombra a konfiguráció mentéséhez. Adja meg a mentés helyét. Minden. Most, ha valami elromlik. Vagy úgy dönt, hogy kísérletezik a beállításokkal. Készítsen biztonsági másolatot.

Ügyfélállomások beállítása

1. lépés. Befejeztük a proxyszerver beállítását. Átmegyünk az ügyfélállomásra. Először is meg kell győződnie arról, hogy a szerverünkön regisztrált IP-címmel rendelkezik. Ha emlékszel, a konfiguráció során megadtuk, hogy a Station01 nevű kliens címe 192.168.0.3. Győződjünk meg erről.

2. lépés Ezután regisztrálnia kell a proxyszerver címét és portját a rendszerben. Ehhez lépjen a következő elérési útra: "Start - Vezérlőpult - Internetbeállítások (XP) vagy Böngésző (7) - Kapcsolatok - Hálózati beállítások", és a proxyszerver használatának engedélyezésével állítsa be annak címét és portját a HTTP-hez. kapcsolat. Kattintson az "OK" gombra ebben és az előző ablakban.

3. lépés Kiváló. Már a célban vagyunk. Megnyitjuk a böngészőt, és ha mindent megfelelően konfigurált, akkor a kezdőlapnak meg kell nyílnia.

Itt még egy pontot szeretnék tisztázni. Beállíthatja számítógépét úgy, hogy csak egy böngésző működjön a proxyn keresztül, és ne egyszerre. Ehhez lépjen az "Eszközök - Beállítások - Speciális - Hálózat - Konfigurálás" - fülre, és válassza ki a kézi beállítást a szerver azonos IP-címének és portjának regisztrálásához.

Nos, nézzük meg a szűrők működését.. Most próbáljunk meg az egyikhez menni. A várakozásoknak megfelelően az erőforrás blokkolva van.

Forgalomfigyelés

De mi történik a szerveren? Javában folyik a munka. A felhasználókat tartalmazó lapon nyomon követhetjük, hány megabájtot töltöttek le és utaltak át kórtermeink egy nap, hónap, de akár egy év alatt is!

A "Kapcsolatok" lapon nyomon követheti, hogy az ügyfél éppen melyik erőforrást keresi fel. Osztálytársak? Kapcsolatban áll? Vagy még mindig munkával van elfoglalva.

Ha a felhasználónak hirtelen sikerült bezárnia egy kíváncsi webhelyet, az nem számít. Mindig megtekintheti az előzményeket a "Monitor" lapon.

Következtetés

Azt hiszem, ideje megfordulni. Végezetül szeretném elmondani, hogy ennek az anyagnak a témája okkal lett kiválasztva. Szülővárosomban a felhasználói kapu 2.8-as verziója működik a legtöbb rosszul fejlett hálózati infrastruktúrával rendelkező vállalkozásban. Talán mára jobbra fordult a helyzet, de 2013 közepén, akkoriban rohangáltam a városban a Garant információs és jogrendszert kiszolgálva, minden pontosan így volt. Gate egyszerűen átvette a különféle kategóriájú kereskedelmi és nem kereskedelmi vállalkozások hálózatait. És tekintettel arra, hogy a pénzügyi válság egy évvel később tört ki, nem hiszem, hogy egyikük sem utazott volna el.

A hiányosságok ellenére a HTTP-hiány, a görbe szűrő, a torrentek intuitíven egyértelmű beállításának lehetetlensége stb. A UserGate 2.8-ra minden adminisztrátor sokáig emlékezni fog, mint a proxyszerver legstabilabb és legszerényebb verziójára. a történelemben. A program új verziói lehetővé teszik a domain felhasználók engedélyezését, a tűzfalat, a NAT-ot, a kiváló minőségű tartalomszűrést és egyéb finomságokat. Mindezért az örömért azonban fizetni kell. És fizessen sokat (54 600 rubelt 100 autóért). Az ingyenes ajándékok kedvelőinek ez az összehangolás nem tetszik nekik.

Taxi úgy gondolja, hogy ideje elköszönni. Barátaim, szeretnélek emlékeztetni arra, hogy ha az anyag hasznos volt számodra, akkor lájkold. És ha most először jár oldalunkon, akkor iratkozzon fel. Végül is a Runetben ritkák a rendszeres strukturált kiadások az információtechnológia területén ingyenesen. Amúgy a freeloaderek számára hamarosan egy másik SmallProxy proxyszerverrel kapcsolatos problémám lesz. Ez a gyerek annak ellenére, hogy szabad, semmivel sem rosszabb, mint egy felhasználói kapu, és tökéletesen bevált. Szóval jelentkezz és várj. Találkozunk egy hét múlva. Viszlát mindenkinek!

class="eliadunit">

Az internet-hozzáférés megosztása a helyi hálózati felhasználók között az egyik leggyakoribb feladat, amellyel a rendszergazdáknak szembe kell nézniük. Ennek ellenére még mindig sok nehézséget és kérdést vet fel. Például - hogyan biztosítható a maximális biztonság és a teljes kezelhetőség?

Bevezetés

Ma közelebbről megvizsgáljuk, hogyan lehet megszervezni az internetes megosztást egy hipotetikus cég alkalmazottai számára. Tételezzük fel, hogy számuk 50-100 fő között lesz, és az ilyen információs rendszerekben megszokott összes szolgáltatás a helyi hálózaton van kiépítve: Windows tartomány, saját levelezőszerver, FTP szerver.

A megosztás biztosításához a UserGate Proxy & Firewall nevű megoldást fogjuk használni. Számos funkciója van. Először is, ez egy tisztán orosz fejlesztés, ellentétben sok helyi termékkel. Másodszor, több mint tíz éves múltra tekint vissza. De a legfontosabb a termék folyamatos fejlesztése.

A megoldás első verziói viszonylag egyszerű proxyszerverek voltak, amelyek csak egyetlen internetkapcsolatot tudtak megosztani, és statisztikákat vezettek a használatáról. Közülük a legelterjedtebb a build 2.8 volt, amely még mindig megtalálható kis irodákban. Maguk a fejlesztők már nem nevezik proxy szervernek a legújabb, hatodik verziót. Szerintük ez egy teljes értékű UTM-megoldás, amely a biztonsággal és a felhasználói műveletek ellenőrzésével kapcsolatos feladatok egész sorát fedi le. Lássuk, így van-e.

UserGate proxy és tűzfal telepítése

A telepítés során két lépésre van szükség (a többi lépés szabványos bármely szoftver telepítéséhez). Az első az összetevők kiválasztása. Az alapfájlokon kívül további négy szerverkomponens – VPN, két vírusirtó (Panda és Kaspersky Anti-Virus) és egy gyorsítótár-böngésző – telepítésére is felkérést kapunk.

A VPN szerver modul szükség szerint kerül telepítésre, vagyis amikor a vállalat távoli hozzáférést tervez alkalmazottai számára, vagy több távoli hálózat összekapcsolását tervezi. A vírusirtó telepítésének csak akkor van értelme, ha a cégtől megvásárolták a megfelelő licenceket. Jelenlétük lehetővé teszi az internetes forgalom vizsgálatát, a rosszindulatú programok lokalizálását és blokkolását közvetlenül az átjárón. A Cache Browser lehetővé teszi a proxyszerver által gyorsítótárazott weboldalak megtekintését.

További funkciók

Tiltsa le a nem kívánt oldalakat

A megoldás támogatja az Entensys URL Filtering technológiát. Valójában ez egy felhő alapú adatbázis, amely több mint 500 millió webhelyet tartalmaz különböző nyelveken, több mint 70 kategóriába sorolva. Legfőbb különbsége az állandó monitorozás, melynek során folyamatosan figyelik a webes projekteket, és tartalmi változások esetén átkerülnek egy másik kategóriába. Ez lehetővé teszi az összes nem kívánt webhely nagy pontosságú kitiltását, egyszerűen csak bizonyos kategóriák kiválasztásával.

Az Entensys URL Filtering használata növeli az internetes munkavégzés biztonságát, és javítja az alkalmazottak hatékonyságát is (a közösségi oldalak, szórakoztató oldalak stb. kitiltásával). Használata azonban fizetős előfizetést igényel, amelyet minden évben meg kell újítani.

Ezenkívül a disztribúció további két összetevőt tartalmaz. Az első a "Felügyeleti konzol". Ez egy különálló alkalmazás, amint azt a neve is sugallja, a UserGate Proxy és Firewall szerver kezelésére. Fő jellemzője a távoli csatlakozás lehetősége. Így az adminisztrátoroknak vagy az internet használatáért felelős személyeknek nincs szükségük közvetlen hozzáférésre az internetes átjáróhoz.

A második kiegészítő összetevő a webstatisztika. Valójában ez egy webszerver, amely lehetővé teszi, hogy részletes statisztikákat jelenítsen meg a globális hálózat vállalati alkalmazottak általi használatáról. Egyrészt kétségtelenül hasznos és kényelmes alkatrész. Végül is lehetővé teszi az adatok fogadását további szoftverek telepítése nélkül, beleértve az interneten keresztül is. Másrészt azonban az internetes átjáró extra rendszererőforrásait veszi igénybe. Ezért jobb, ha csak akkor telepíti, amikor valóban szükség van rá.

A második lépés, amire figyelnie kell a UserGate Proxy & Firewall telepítése során, az adatbázis kiválasztása. A korábbi verziókban az UGPF csak MDB fájlokkal működhetett, ami befolyásolta a rendszer egészének teljesítményét. Most két DBMS - Firebird és MySQL - közül választhat. Sőt, az elsőt az elosztókészlet tartalmazza, így kiválasztásakor nincs szükség további manipulációkra. Ha használni szeretné a MySQL-t, akkor először telepítenie és konfigurálnia kell. A szerver komponensek telepítése után fel kell készíteni az adminisztrátorok és más felelős munkatársak munkahelyeit, akik a felhasználói hozzáférést kezelhetik. Ezt nagyon könnyű megtenni. Elég, ha az adminisztrációs konzolt ugyanabból a disztribúciós készletből telepítik működő számítógépeikre.

További funkciók

Beépített VPN szerver

A 6.0-s verzió bevezette a VPN-kiszolgáló összetevőt. Segítségével megszervezheti a vállalati alkalmazottak biztonságos távoli hozzáférését a helyi hálózathoz, vagy egyesítheti a szervezet egyes fiókjainak távoli hálózatait egyetlen információs térben. Ez a VPN-kiszolgáló minden szükséges funkcióval rendelkezik a szerver-kiszolgáló és a kliens-szerver alagutak létrehozásához, valamint az alhálózatok közötti útvonalak továbbításához.


Alapbeállítás

A UserGate Proxy & Firewall minden konfigurációja a felügyeleti konzolon történik. Alapértelmezés szerint a telepítés után már van kapcsolata a helyi szerverrel. Ha azonban távolról használja, akkor manuálisan kell létrehoznia a kapcsolatot, megadva az internetes átjáró IP-címét vagy gazdagépnevét, a hálózati portot (alapértelmezés szerint 2345) és az engedélyezési paramétereket.

A szerverhez való csatlakozás után első lépésként be kell állítani a hálózati interfészt. Ezt a "UserGate Server" szakasz "Interfaces" fülén teheti meg. A helyi hálózatba "néző" hálózati kártya típusát LAN-ra, az összes többi kapcsolatra pedig WAN-ra állítjuk. Az „ideiglenes” kapcsolatok, mint például a PPPoE, VPN, automatikusan PPP-típushoz vannak rendelve.

Ha egy vállalat két vagy több WAN-kapcsolattal rendelkezik, amelyek közül az egyik elsődleges, a többi pedig redundáns, akkor beállíthatja az automatikus redundanciát. Ennek végrehajtása meglehetősen egyszerű. Elegendő felvenni a szükséges interfészeket a tartalékok listájára, megadni egy vagy több vezérlési erőforrást és ellenőrzésük időpontját. Ennek a rendszernek a működési elve a következő. A UserGate a megadott időközönként automatikusan ellenőrzi a vezérlőhelyek elérhetőségét. Amint nem válaszolnak, a termék automatikusan, rendszergazdai beavatkozás nélkül átvált a tartalék csatornára. Ezzel egyidejűleg folytatódik a vezérlőerőforrások elérhetőségének ellenőrzése a fő felületen. És amint ez sikeres, a visszakapcsolás automatikusan megtörténik. Az egyetlen dolog, amire figyelnie kell a beállításkor, az a vezérlő erőforrások kiválasztása. Jobb több nagy telephelyet venni, amelyek stabil működése szinte garantált.

További funkciók

Hálózati alkalmazások vezérlése

A UserGate Proxy & Firewall olyan érdekes funkciót valósít meg, mint a hálózati alkalmazások vezérlése. Célja, hogy megakadályozza, hogy illetéktelen szoftverek hozzáférjenek az internethez. A vezérlési beállítások részeként olyan szabályok jönnek létre, amelyek lehetővé teszik vagy blokkolják a különféle programok hálózati működését (verzióval vagy anélkül). Megadhatnak konkrét cél IP-címeket és portokat, ami lehetővé teszi a szoftverelérés rugalmas konfigurálását, így csak bizonyos műveleteket hajthat végre az interneten.

Az alkalmazásvezérlés lehetővé teszi, hogy világos vállalati szabályzatot dolgozzon ki a programok használatára vonatkozóan, és részben megakadályozza a rosszindulatú programok terjedését.

Ezt követően közvetlenül folytathatja a proxyszerverek beállítását. A vizsgált megoldásban összesen hét van beépítve: a HTTP protokollokhoz (beleértve a HTTP-t is), az FTP, a SOCKS, a POP3, az SMTP, a SIP és a H323. Ez szinte minden, amire a vállalati alkalmazottak internetes munkájához szükség lehet. Alapértelmezés szerint csak a HTTP proxy engedélyezett, az összes többi aktiválható, ha szükséges.


A UserGate Proxy & Firewall proxyszerverei két módban működhetnek - normál és transzparens. Az első esetben hagyományos proxyról beszélünk. A szerver fogadja a felhasználóktól érkező kéréseket és továbbítja azokat külső szervereknek, a kapott válaszokat pedig továbbítja a klienseknek. Ez egy hagyományos megoldás, de megvannak a maga hátrányai. Különösen be kell állítani minden olyan programot, amely az interneten működik (internetböngésző, levelezőkliens, ICQ stb.) a helyi hálózat minden számítógépén. Ez természetesen nagy munka. Sőt, időnként, amikor új szoftvert telepítenek, ez megismétlődik.

Az átlátszó mód kiválasztásakor egy speciális NAT-illesztőprogramot használnak, amely a kérdéses megoldás szállítási csomagjában található. Figyel a megfelelő portokon (HTTP 80., FTP 21. stb.), észleli az azokon érkező kéréseket, és továbbítja a proxyszervernek, ahonnan továbbküldik. Ez a megoldás sikeresebb abból a szempontból, hogy már nincs szükség szoftverkonfigurációra a kliensgépeken. Az egyetlen dolog, amire szükség van, az az Internet átjáró IP-címe, mint fő átjáró minden munkaállomás hálózati kapcsolatában.

A következő lépés a DNS-lekérdezés-továbbítás beállítása. Ezt kétféleképpen lehet megtenni. Ezek közül a legegyszerűbb az úgynevezett DNS-továbbítás engedélyezése. Használata során a kliensektől az Internet átjáróra érkező DNS-kérelmek a megadott szerverekre kerülnek átirányításra (használhat DNS-kiszolgálót a hálózati kapcsolat beállításaiból, vagy tetszőleges DNS-szervert).


A második lehetőség egy NAT-szabály létrehozása, amely az 53. (a DNS szabványos) portján fogadja a kéréseket, és továbbítja azokat a külső hálózatra. Ebben az esetben azonban vagy manuálisan kell regisztrálnia a DNS-kiszolgálókat az összes számítógépen a hálózati kapcsolat beállításainál, vagy konfigurálnia kell a DNS-lekérdezések küldését az internetes átjárón keresztül a tartományvezérlő szerveréről.

felhasználókezelés

Az alapbeállítások elvégzése után folytathatja a felhasználókkal való munkát. Kezdje a csoportok létrehozásával, amelyekbe a fiókokat később egyesítik. Mire való? Először is, az Active Directoryval való későbbi integrációhoz. Másodszor pedig szabályokat rendelhet a csoportokhoz (ezekről később lesz szó), így egyszerre nagy számú felhasználó hozzáférését szabályozhatja.

A következő lépés a felhasználók hozzáadása a rendszerhez. Ezt három különböző módon lehet megtenni. Az első közülük, az egyes fiókok manuális létrehozása, nyilvánvaló okokból nem is vesszük figyelembe. Ez az opció csak kis hálózatokhoz alkalmas, kevés felhasználóval. A második módszer a vállalati hálózat átvizsgálása ARP-kérésekkel, amely során a rendszer maga határozza meg a lehetséges fiókok listáját. Mi azonban a harmadik lehetőséget választjuk, ami az egyszerűség és a könnyű adminisztráció szempontjából a legoptimálisabb – az Active Directoryval való integráció. Előzetesen létrehozott csoportok alapján hajtják végre. Először ki kell töltenie az általános integrációs beállításokat: adja meg a tartományt, a vezérlőjének címét, a szükséges hozzáférési jogokkal rendelkező felhasználó felhasználónevét és jelszavát, valamint a szinkronizálási intervallumot. Ezt követően minden UserGate-ben létrehozott csoporthoz hozzá kell rendelni egy vagy több csoportot az Active Directoryból. Valójában a beállítás itt véget is ér. Az összes paraméter mentése után a szinkronizálás automatikusan megtörténik.

Az engedélyezés során létrehozott felhasználók alapértelmezés szerint NTLM-engedélyezést, azaz tartományi bejelentkezés alapján történő engedélyezést használnak. Ez egy nagyon kényelmes lehetőség, mivel a szabályok és a forgalomszámláló rendszer attól függetlenül működik, hogy a felhasználó éppen melyik számítógépen ül.

Igaz, ennek az engedélyezési módszernek a használatához további szoftverre van szükség - egy speciális kliensre. Ez a program Winsock szinten működik, és átadja a felhasználói engedélyezési paramétereket az internetes átjárónak. Elosztókészlete a UserGate Proxy & Firewall terjesztési csomag része. Gyorsan telepítheti az ügyfelet az összes munkaállomásra a Windows csoportházirendek használatával.

Mellesleg, az NTLM-engedélyezés korántsem az egyetlen módszer a vállalati alkalmazottak internetes munkavégzésének engedélyezésére. Például, ha egy szervezet keményen köti a dolgozókat a munkaállomásokhoz, akkor IP-címet, MAC-címet vagy mindkettő kombinációját használhatja a felhasználók azonosítására. Ugyanezzel a módszerrel megszervezheti a hozzáférést a különböző szerverek globális hálózatához.

Felhasználói vezérlés

Az UGPF egyik jelentős előnye a széles körű felhasználói vezérlés. Ezeket a forgalomirányítási szabályok rendszerével valósítják meg. Működésének elve nagyon egyszerű. Az adminisztrátor (vagy más felelős személy) szabályokat hoz létre, amelyek mindegyike egy vagy több kiváltó feltételt és a végrehajtandó műveletet képviseli. Ezek a szabályok egyes felhasználókhoz vagy teljes csoportjukhoz vannak hozzárendelve, és lehetővé teszik az interneten végzett munkájuk automatikus vezérlését. Összesen négy művelet lehetséges. Az első a kapcsolat lezárása. Lehetővé teszi például bizonyos fájlok letöltésének megtiltását, nem kívánt oldalak látogatásának megakadályozását stb. A második lépés a tarifa megváltoztatása. A számlázási rendszerben használatos, amely a szóban forgó termékbe integrálva van (nem vesszük figyelembe, mivel a vállalati hálózatoknál nem különösebben releváns). A következő művelet lehetővé teszi az ezen a kapcsolaton belül fogadott forgalom számának letiltását. Ebben az esetben a továbbított információ nem kerül figyelembevételre a napi, heti és havi fogyasztás összegzésekor. És végül az utolsó lépés a sebesség korlátozása a megadott értékre. Használata nagyon kényelmes, hogy megakadályozza a csatorna "eltömődését" nagy fájlok letöltése és más hasonló problémák megoldása során.

A forgalomirányítási szabályokban sokkal több feltétel van - körülbelül tíz. Ezek közül néhány viszonylag egyszerű, például a maximális fájlméret. Ez a szabály akkor lép életbe, amikor a felhasználók a megadott méretnél nagyobb fájlt próbálnak feltölteni. Az egyéb feltételek időhöz kötöttek. Közülük különösen megjegyezhető az ütemezés (időpont és a hét napjai szerint) és az ünnepnapok (meghatározott napokon aktiválva).

A legérdekesebbek azonban a webhelyekkel és a tartalommal kapcsolatos feltételek. Különösen használhatók bizonyos típusú tartalom (például videó, hang, futtatható fájlok, szöveg, képek stb.), bizonyos webprojektek vagy azok teljes kategóriája (ehhez Entensys URL) blokkolására vagy beállítására. Szűrési technológiát használnak, lásd oldalsáv).

Figyelemre méltó, hogy egy szabály egyszerre több feltételt is tartalmazhat. Ugyanakkor az adminisztrátor megadhatja, hogy ez milyen esetben kerüljön végrehajtásra - ha minden feltétel vagy valamelyik teljesül. Ez lehetővé teszi, hogy nagyon rugalmas szabályzatot hozzon létre a vállalati alkalmazottak internethasználatára vonatkozóan, figyelembe véve számos különféle árnyalatot.

Tűzfal konfigurációja

A NAT UserGate meghajtó szerves részét képezi a tűzfal, melynek segítségével különféle, a hálózati forgalom feldolgozásával kapcsolatos feladatokat oldják meg. A konfiguráláshoz speciális szabályokat használnak, amelyek a három típus egyike lehet: hálózati címfordítás, útválasztás és tűzfal. A rendszerben tetszőleges számú szabály lehet. Alkalmazásuk abban a sorrendben történik, ahogyan az általános listában szerepelnek. Ezért, ha a bejövő forgalom több szabálynak is megfelel, akkor azt a többiek feletti forgalom fogja feldolgozni.

Minden szabályt három fő paraméter jellemez. Az első a forgalom forrása. Ez lehet egy vagy több meghatározott gazdagép, az Internet Gateway WAN vagy LAN interfésze. A második paraméter az információ célja. Itt adható meg a LAN vagy WAN interfész vagy telefonos kapcsolat. A szabály utolsó fő jellemzője egy vagy több szolgáltatás, amelyre vonatkozik. A UserGate Proxy & Firewall szolgáltatása egy protokollcsalád (TCP, UDP, ICMP, tetszőleges protokoll) és egy hálózati port (vagy hálózati portok egy sora) párja. A rendszer alapértelmezés szerint impozáns előre telepített szolgáltatásokkal rendelkezik, a gyakori szolgáltatásoktól (HTTP, HTTPs, DNS, ICQ) egészen a konkrét szolgáltatásokig (WebMoney, RAdmin, különféle online játékok stb.) terjed. Szükség esetén azonban az adminisztrátor saját szolgáltatásokat is létrehozhat, például leírhatja az online bankkal való munkát.


Ezenkívül minden szabályhoz tartozik egy művelet, amelyet a feltételeknek megfelelő forgalommal hajt végre. Csak kettő van belőlük: engedélyezni vagy tiltani. Az első esetben a forgalom szabadon halad a megadott útvonalon, a második esetben pedig blokkolva van.

A hálózati címfordítási szabályok NAT technológiát használnak. Segítségükkel konfigurálhatja a helyi címekkel rendelkező munkaállomások internet-hozzáférését. Ehhez létre kell hozni egy szabályt, amely a LAN interfészt adja meg forrásként és a WAN interfészt célként. Útválasztási szabályokat alkalmazunk, ha a szóban forgó megoldást két helyi hálózat között routerként fogják használni (ilyen lehetőséget valósít meg). Ebben az esetben az útválasztás kétirányú transzparens forgalomhoz konfigurálható.

A tűzfalszabályok olyan forgalom feldolgozására szolgálnak, amely nem a proxyszerverhez, hanem közvetlenül az internetes átjáróhoz megy. Közvetlenül a telepítés után a rendszernek van egy ilyen szabálya, amely engedélyezi az összes hálózati csomagot. Elvileg, ha a létrehozott internetes átjárót nem használják munkaállomásként, akkor a szabály művelete "Engedélyezés"-ről "Megtagadás"-ra módosítható. Ebben az esetben minden hálózati tevékenység blokkolva lesz a számítógépen, kivéve a helyi hálózatról az internetre és fordítva továbbított NAT-csomagokat.

A tűzfalszabályok lehetővé teszik bármely helyi szolgáltatás közzétételét a globális hálózaton: webszerverek, FTP-kiszolgálók, levelezőszerverek stb. Ugyanakkor a távoli felhasználóknak lehetőségük van az interneten keresztül csatlakozni hozzájuk. Példaként vegye fontolóra egy vállalati FTP-kiszolgáló közzétételét. Ehhez az adminisztrátornak létre kell hoznia egy szabályt, amelyben forrásként válassza ki az "Any"-t, célként adja meg a kívánt WAN interfészt, szolgáltatásként pedig FTP-t. Ezután válassza ki az "Engedélyezés" műveletet, engedélyezze a forgalom fordítását, és a "Cél címe" mezőben adja meg a helyi FTP-szerver IP-címét és hálózati portját.

A konfiguráció után a 21-es porton lévő internetes átjáró hálózati kártyáira érkező összes bejövő kapcsolat automatikusan át lesz irányítva az FTP-kiszolgálóra. Egyébként a beállítási folyamat során nem csak a „natív”, hanem bármely más szolgáltatást is választhat (vagy létrehozhat sajátot). Ebben az esetben a külső felhasználóknak nem 21-én kell kapcsolatba lépniük, hanem egy másik porton. Ez a megközelítés nagyon kényelmes, ha két vagy több azonos típusú szolgáltatás van az információs rendszerben. Például megszervezheti a vállalati portál külső hozzáférését a szabványos 80-as HTTP-porton, és a UserGate webstatisztikáihoz való hozzáférést a 81-es porton.

A belső levelezőszerverhez való külső hozzáférés ugyanígy van konfigurálva.

A megvalósított tűzfal fontos megkülönböztető jellemzője a behatolásgátló rendszer. Teljesen automatikusan működik, aláírások és heurisztikus módszerek alapján észleli a jogosulatlan próbálkozásokat, és kiegyenlíti azokat a nem kívánt forgalom blokkolásával vagy a veszélyes kapcsolatok megszakításával.

Összegezve

Ebben az áttekintésben kellő részletességgel megvizsgáltuk a vállalati alkalmazottak közös internet-hozzáférésének megszervezését. A modern körülmények között ez nem a legegyszerűbb folyamat, mivel számos különböző árnyalatot kell figyelembe vennie. Ezenkívül mind a technikai, mind a szervezési szempontok fontosak, különösen a felhasználói műveletek ellenőrzése.


Ma már valószínűleg az összes vállalat vezetése értékelte az internet által az üzleti életben rejlő lehetőségeket. Itt természetesen nem az online áruházakról és az elektronikus kereskedelemről van szó, amelyek – bármit is mondjunk – ma inkább marketingeszközök, mint valódi eszköz az áruk vagy szolgáltatások forgalmának növelésére. A globális hálózat kiváló információs környezet, szinte kimeríthetetlen forrása sokféle adatnak. Mindemellett gyors és olcsó kommunikációt biztosít a cég ügyfeleivel és partnereivel egyaránt. Az internet marketingben rejlő lehetőségeit nem szabad figyelmen kívül hagyni. Így kiderül, hogy a Globális Hálózat általánosságban egy olyan multifunkcionális üzleti eszköznek tekinthető, amely növelheti a vállalat dolgozóinak hatékonyságát feladataik ellátásában.

Először azonban biztosítania kell az alkalmazottaknak hozzáférést az internethez. Egy számítógép egyszerű csatlakoztatása a globális hálózathoz ma már nem jelent problémát. Ennek számos módja van. Számos cég kínál praktikus megoldást erre a problémára. De nem valószínű, hogy az internet egy számítógépen jelentős előnyökkel járhat a vállalat számára. A hálózathoz való hozzáférést minden alkalmazott számára elérhetővé kell tenni a munkahelyéről. És itt nem nélkülözhetjük speciális szoftvert, az úgynevezett proxy szervert. A Windows család operációs rendszereinek képességei elvileg lehetővé teszik bármely internetkapcsolat nyilvánossá tételét. Ebben az esetben a helyi hálózat többi számítógépe hozzáférhet hozzá. Ezt a döntést azonban aligha érdemes legalább egy kicsit komolyan megfontolni. A helyzet az, hogy amikor kiválasztja, el kell felejtenie a globális hálózat vállalati alkalmazottak általi használatának ellenőrzését. Vagyis bármely vállalati számítógépről bárki hozzáférhet az Internethez, és azt tehet, amit akar. És hogy mivel fenyeget, valószínűleg senkinek sem kell megmagyaráznia.

Így a vállalat számára a proxyszerver az egyetlen elfogadható módja annak, hogy megszervezze a vállalati helyi hálózatban lévő összes számítógép kapcsolatát. Ma már számos ilyen típusú program van a piacon. De csak egy fejleményről fogunk beszélni. Ezt UserGate-nek hívják, és az eSafeLine szakemberei hozták létre. A program fő jellemzői a széles funkcionalitás és a nagyon kényelmes orosz nyelvű felület. Emellett érdemes megjegyezni, hogy folyamatosan fejlődik. Nemrég bemutatták a nagyközönségnek ennek a terméknek az új, negyedik változatát.

Szóval UserGate. Ez a szoftvertermék több különálló modulból áll. Az első maga a szerver. Olyan számítógépre kell telepíteni, amely közvetlenül kapcsolódik az internethez (Internet Gateway). Ez a szerver valósítja meg a felhasználói hozzáférést a globális hálózathoz, kiszámítja a használt forgalmat, statisztikát vezet a munkavégzésről stb. A második modul a rendszer adminisztrálására szolgál. Segítségével a felelős alkalmazott elvégzi az összes proxyszerver beállítást. A UserGate fő jellemzője ezzel kapcsolatban, hogy az adminisztrációs modult nem kell az internetes átjárón elhelyezni. Így egy proxyszerver távvezérléséről beszélünk. Ez nagyon jó, hiszen a rendszergazda közvetlenül a munkahelyéről kap lehetőséget az internet-hozzáférés kezelésére.

Ezenkívül a UserGate még két különálló szoftvermodult tartalmaz. Közülük az első az internethasználati statisztikák kényelmes megtekintéséhez és az ezek alapján riportok készítéséhez szükséges, a második pedig bizonyos esetekben a felhasználói jogosultsághoz. Ez a megközelítés tökéletesen kombinálható az összes modul orosz nyelvű és intuitív kezelőfelületével. Ez együtt lehetővé teszi, hogy gyorsan és problémamentesen megosztott hozzáférést hozzon létre a globális hálózathoz bármely irodában.

De térjünk át a UserGate proxyszerver működésének elemzésére. Kezdje azzal a ténnyel, hogy ez a program azonnal végrehajtja a DNS konfigurálásának két különböző módját (talán a legfontosabb feladat a nyilvános hozzáférés megvalósítása során). Az első a NAT (Network Address Translation). Nagyon pontos elszámolást biztosít a felhasznált forgalomról, és lehetővé teszi a felhasználók számára, hogy az adminisztrátor által engedélyezett protokollokat használják. Igaz, érdemes megjegyezni, hogy bizonyos hálózati alkalmazások ebben az esetben nem fognak megfelelően működni. A második lehetőség a DNS-továbbítás. Több korlátozása van, mint a NAT-nak, de elavult operációs családdal rendelkező számítógépeken (Windows 95, 98 és NT) használható.

Az internetes munkavégzés engedélyei a "felhasználó" és a "felhasználói csoport" fogalmak alapján vannak konfigurálva. És érdekes módon a UserGate proxy szerveren a felhasználó nem feltétlenül személy. A számítógép is betöltheti a szerepét. Vagyis az első esetben bizonyos alkalmazottak számára engedélyezett az internethez való hozzáférés, a másodikban pedig minden olyan ember számára, aki leült valamilyen számítógépre. Természetesen ebben az esetben különböző felhasználói engedélyezési módszereket alkalmaznak. Ha számítógépekről beszélünk, akkor IP-cím, egy csomó IP- és MAC-cím, valamint egy IP-címtartomány alapján azonosíthatók. Az alkalmazottak hitelesítéséhez speciális bejelentkezési / jelszó párok, Active Directoryból származó adatok, a Windows jogosultsági információinak megfelelő név és jelszó használhatók stb. A felhasználók csoportokba vonhatók a könnyebb konfiguráció érdekében. Ez a megközelítés lehetővé teszi, hogy azonnal kezelje a hozzáférést minden, azonos jogokkal rendelkező (ugyanolyan pozícióban lévő) alkalmazott számára, ahelyett, hogy minden fiókot külön-külön állítana be.

A UserGate proxy szervernek is van saját számlázási rendszere. Az adminisztrátor tetszőleges számú tarifát állíthat be, amelyek leírják, hogy mennyibe kerül egy egységnyi bejövő vagy kimenő forgalom vagy csatlakozási idő. Ez lehetővé teszi, hogy minden internetes kiadásról pontos nyilvántartást vezessen a felhasználókra hivatkozva. Vagyis a cég vezetése mindig tudni fogja, ki mennyit költött. Mellesleg, a tarifák az aktuális időtől függővé tehetők, ami lehetővé teszi a szolgáltató árpolitikájának pontos reprodukálását.

A UserGate proxy szerver lehetővé teszi bármilyen, bármilyen összetett vállalati internet-hozzáférési szabályzat megvalósítását. Ehhez úgynevezett szabályokat használnak. Segítségükkel az adminisztrátor korlátokat állíthat be a felhasználók számára munkaidő, napi vagy havi küldött vagy fogadott forgalom, napi vagy havi felhasznált idő, stb. szerint. Ezen határok túllépése esetén a hozzáférés a A globális hálózat automatikusan blokkolva lesz. Ezenkívül a szabályok használatával korlátozásokat írhat elő az egyes felhasználók vagy teljes csoportjaik hozzáférési sebességére vonatkozóan.

A szabályok használatának másik példája az egyes IP-címekhez vagy azok tartományaihoz való hozzáférés korlátozása, teljes domain nevek vagy bizonyos karakterláncokat tartalmazó címek stb. meglátogatja a nem kívánt webprojektek alkalmazottait. De persze ez messze nem minden példa a szabályok alkalmazására. Segítségükkel megvalósítható például az éppen feltöltött oldaltól függő tarifaváltás (egyes szolgáltatóknál fennálló kedvezményes forgalom figyelembevétele szükséges), reklámbannerek kivágása stb.

Egyébként már említettük, hogy a UserGate proxy szervernek külön modulja van a statisztikákkal való munkavégzéshez. Használatával az adminisztrátor bármikor megtekintheti a fogyasztott forgalmat (összesen, felhasználónként, felhasználói csoportonként, webhelyenként, szerver IP címeként stb.). És mindez nagyon gyorsan megtörténik egy kényelmes szűrőrendszer segítségével. Ezen kívül ez a modul egy jelentéskészítőt valósít meg, amellyel a rendszergazda bármilyen jelentést készíthet és exportálhat MS Excelbe.

A fejlesztők számára nagyon érdekes megoldás egy vírusirtó modul beágyazása a tűzfalba, amely minden bejövő és kimenő forgalmat vezérel. Ráadásul nem találták fel újra a kereket, hanem integrálták a Kaspersky Lab fejlesztését. Ez a megoldás egyrészt valóban megbízható védelmet garantál minden rosszindulatú program ellen, másrészt az aláírási adatbázisok rendszeres frissítését. Az információbiztonság szempontjából egy másik fontos tulajdonság a beépített tűzfal. Itt pedig a UserGate fejlesztői hozták létre saját maguk. Sajnos érdemes megjegyezni, hogy a proxyszerverbe integrált tűzfal képességeiben egészen eltér az e téren vezető termékektől. Szigorúan véve egy olyan modulról beszélünk, amely egyszerűen blokkolja az adminisztrátor által megadott portokon és protokollokon keresztül a megadott IP-című számítógépek felé és onnan érkező forgalmat. Nem rendelkezik lopakodó üzemmóddal, vagy más, általában a tűzfalakhoz kötelező funkcióval.

Sajnos egy cikk nem tartalmazhatja a UserGate proxyszerver összes funkciójának részletes lebontását. Ezért legalább felsoroljuk a legérdekesebbeket, amelyek nem szerepeltek áttekintésünkben. Először is, ez az internetről letöltött fájlok gyorsítótárazása, amely lehetővé teszi, hogy valóban pénzt takarítson meg a szolgáltatói szolgáltatásokon. Másodszor érdemes megjegyezni a Port leképezés funkciót, amely lehetővé teszi az egyik helyi Ethernet interfész bármely kiválasztott portjának egy távoli gazdagép kívánt portjához való kötését (ez a funkció a hálózati alkalmazások működéséhez szükséges: bank-kliens rendszerek , különféle játékok stb.) . Ezenkívül a UserGate proxyszerver olyan szolgáltatásokat valósít meg, mint a belső vállalati erőforrásokhoz való hozzáférés, a feladatütemező, a proxy kaszkádhoz való csatlakozás, az aktív felhasználók forgalmának és IP-címeinek, bejelentkezési adataiknak, valós idejű látogatott URL-címeinek figyelése és még sok minden más. Egyéb.

Nos, itt az ideje, hogy mérleget készítsünk. Mi, kedves olvasók, részletesen elemeztük a UserGate proxy szervert, amellyel bármely irodában megszervezheti az általános internet-hozzáférést. Megbizonyosodtunk arról is, hogy ez a fejlesztés az egyszerűséget és a könnyű beállítást és használatot egy nagyon széles körű funkcionalitással ötvözi. Mindez rendkívül vonzó termékké teszi a UserGate legújabb verzióját.