Usergate 5 поетапне налаштування. Огляд проксі-сервера UserGate – комплексного рішення для надання загального доступу до Інтернету. Встановлення програми та вибір бази даних для роботи

Примітка:Ця стаття була відредагована, доповнена актуальними даними та додатковими посиланнями.

UserGate Proxy & Firewallявляє собою інтернет-шлюз класу UTM (Unified Threat Management), що дозволяє забезпечувати та контролювати загальний доступ співробітників до інтернет-ресурсів, фільтрувати шкідливі, небезпечні та небажані сайти, захищати мережу компанії від зовнішніх вторгнень та атак, створювати віртуальні мережі та організовувати безпечний VPN. доступ до ресурсів мережі ззовні, а також керувати шириною каналу та інтернет-додатками.

Продукт є ефективною альтернативою дорогому програмному та апаратному забезпеченню і призначений для використання в компаніях малого та середнього бізнесу, державні установи, а також великі організації з філіальною структурою.

Усю додаткову інформацію про продукт ви зможете знайти.

У програмі є додаткові платні модулі:

  • Kaspersky Antivirus
  • Panda Antivirus
  • Avira Antivirus
  • Entensys URL Filtering

Ліцензія на кожен із модулів надається на один календарний рік. Випробувати роботу всіх модулів можна в тріальному ключі, який може бути наданий терміном від 1 до 3 місяців на необмежену кількість користувачів.

Детально про правила ліцензування можна прочитати.

З усіх питань, пов'язаних із покупкою рішень Entensys, звертайтесь за адресою: [email protected]або за телефоном безкоштовної лінії: 8-800-500-4032.

Системні вимоги

Для організації шлюзу необхідний комп'ютер або сервер, який має відповідати наступним системним вимогам:

  • Частота CPU: від 1,2 ГГц
  • Об'єм RAM: від 1024 Gb
  • Об'єм HDD: від 80 Гб
  • Кількість мережевих адаптерів: 2 і більше

Чим більша кількість користувачів (відносно 75 користувачів), тим більші характеристики сервера мають бути.

Ми рекомендуємо встановлювати наш продукт на комп'ютер з "чистою" серверною операційною системою, операційною системою, що рекомендується, є Windows 2008/2012.
Ми не гарантуємо коректної роботи UserGate Proxy&Firewall та/або спільної роботи сторонніх служб та не рекомендуємо його спільне використанняз сервісами на шлюзі, який виконує такі ролі:

  • Є контролером домену
  • Є гіпервізором віртуальних машин
  • Є сервером терміналів
  • Виконує роль високонавантаженого сервера СУБД/DNS/HTTP та ін.
  • Виконує роль SIP сервера
  • Виконує критичні для бізнес-процесів послуги чи служби
  • Все вищезазначене

UserGate Proxy&Firewall на даний момент може конфліктувати з такими типами програмного забезпечення:

  • Все без винятку сторонніБрандмауер/Firewall рішення
  • Антивірусні продукти компанії BitDefender
  • Антивірусні модулі виконують функцію Firewall або "Антихакер", більшості антивірусних продуктів. Рекомендується вимкнути ці модулі
  • Антивірусні модулі, що забезпечують перевірку даних, що передаються за протоколами HTTP/SMTP/POP3, це може викликати затримку при активній роботі через проксі
  • Сторонні програмні продукти, здатні перехоплювати дані мережевих адаптерів - "вимірники швидкості", "шейпери" тощо.
  • Активна роль Windows Server "Маршрутизація та віддалений доступ" у режимі NAT/Internet Connection Sharing (ICS)

Увага!При установці рекомендується вимкнути підтримку протоколу IPv6 на шлюзі, за умови, що не використовуються програми, які використовують IPv6. У поточній реалізації UserGate Proxy&Firewall немає підтримки протоколу IPv6 і відповідно фільтрація цього протоколу не здійснюється. Таким чином, хост може бути доступний ззовні за протоколом IPv6 навіть за активованих заборонних правил файрволла.

При коректному налаштуванні UserGate Proxy&Firewall сумісний з наступними сервісами та службами:

Ролі Microsoft Windows Server:

  • DNS сервер
  • DHCP сервер
  • Print сервер
  • Файловий (SMB) сервер
  • Сервер додатків
  • WSUS сервер
  • WEB сервер
  • WINS сервер
  • VPN сервер

І зі сторонніми продуктами:

  • FTP/SFTP сервери
  • Сервери обміну повідомленнями - IRC/XMPP

Під час встановлення UserGate Proxy&Firewall переконайтеся, що інше програмне забезпечення не використовує порт або порти, які може використовувати UserGate Proxy&Firewall. За замовчуванням UserGate використовує такі порти:

  • 25 - SMTP-проксі
  • 80 - прозорий HTTP-проксі
  • 110 - POP3-проксі
  • 2345 - консоль адміністратора UserGate
  • 5455 - VPN-сервер UserGate
  • 5456 - клієнт авторизації UserGate
  • 5458 - DNS-форвардинг
  • 8080 - HTTP-проксі
  • 8081 - веб-статистика UserGate

Усі порти можна змінювати за допомогою консолі адміністратора UserGate.

Встановлення програми та вибір бази даних для роботи

Майстер налаштування UserGate Proxy & Firewall

Більш детальний опис налаштування правил NAT описаний у цій статті:

Агент UserGate

Після встановлення UserGate Proxy&Firewall обов'язковоздійсніть перезавантаження шлюзу. Після авторизації в системі, в панелі завдань Windows поруч із годинником іконка UserGate агент має стати зеленою. Якщо іконка сіра, то в процесі установки сталася помилка і служба сервера UserGate Proxy&Firewall не запущена, у цьому випадку зверніться до відповідного розділу бази знань Entensys або до технічної підтримкикомпанії Entensys.

Конфігурування продукту здійснюється за допомогою консолі адміністрування UserGate Proxy&Firewall, яку можна викликати як подвійним клацанням по іконці агента UserGate, так і по ярлику меню "Пуск".
При запуску консолі адміністрування першим кроком є ​​реєстрація продукту.

Загальні налаштування

У розділі "Загальні налаштування" консолі адміністратора введіть пароль користувача Administrator. Важливо!Не використовуйте юнікод-спецісмоли або PIN-код продукту як пароль для доступу до консолі адміністрування.

У продукті UserGate Proxy&Firewall є механізм захисту від атак, активувати його можна також у меню "Загальні настройки". Механізм захисту від атак є активним механізмом свого роду "червона кнопка", який працює на всіх інтерфейсах. Рекомендується використовувати цю функцію у разі DDoS атак або масового зараження шкідливим ПЗ (віруси/хробаки/ботнет-додатки) комп'ютерів усередині локальної мережі. Механізм захисту від атак може блокувати користувачів, які використовують файлобмінні клієнти - торенти, direct connect, деякі типи VoIP клієнтів/серверів, які здійснюють активний обмін трафіком. Щоб отримати ip адреси заблокованих комп'ютерів, відкрийте файл ProgramData\Entensys\Usergate6\logging\fw.logабо Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log.

Увага!Параметри, описані нижче, рекомендується змінювати лише за великої кількості клієнтів/високих вимог до пропускну здатністьшлюзу.

У цьому розділі також наведено такі параметри: "Максимальна кількість з'єднань" - максимальна кількість всіх з'єднань через NAT і через проксі UserGate Proxy&Firewall.

"Максимальне число NAT з'єднань" - максимальна кількість з'єднань, які UserGate Proxy&Firewall може пропускати через драйвер NAT.

Якщо кількість клієнтів не більше 200-300, то налаштування "Максимальне число з'єднань" та "Максимальне число NAT з'єднань" змінювати не рекомендується. Збільшення цих параметрів може спричинити суттєве навантаження на обладнання шлюзу і рекомендується лише у разі оптимізації налаштувань при великій кількості клієнтів.

Інтерфейси

Увага!Перед цим обов'язково перевірте налаштування мережевих адаптерів у Windows! Інтерфейс, підключений до локальної мережі (LAN), не повинен містити адреси шлюзу! DNS-сервери в налаштуваннях LAN-адаптера вказувати не обов'язково, IP-адреса повинна бути призначена вручну, не рекомендуємо її отримувати за допомогою DHCP.

IP-адреса LAN-адаптера повинна мати приватну IP-адресу. допустимо використовувати IP-адресу з наступних діапазонів:

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.165.65

Розподіл адрес приватних мереж описано в RFC 1918 .

Використання інших діапазонів як адреси локальної мережі призведе до помилок у роботі UserGate Proxy&Firewall.

Інтерфейс, підключений до Інтернету (WAN), повинен містити IP-адресу, маску мережі, адресу шлюзу, адреси DNS-серверів.
Не рекомендується використовувати більше трьох DNS-серверів у налаштуваннях WAN-адаптера, це може призвести до помилок у роботі мережі. Попередньо перевірте працездатність кожного сервера DNS за допомогою команди nslookup в консолі cmd.exe, приклад:

nslookup usergate.ru 8.8.8.8

де 8.8.8.8 – адреса DNS-сервера. Відповідь має містити IP-адресу запитаного сервера. Якщо відповіді немає, то DNS-сервер не валідний або DNS-трафік блокується.

Потрібно визначити тип інтерфейсів. Інтерфейс з IP-адресою, яка підключена до внутрішньої мережі, повинен мати тип LAN; інтерфейс, який підключений до мережі Інтернет – WAN.

Якщо WAN-інтерфейсів кілька, то необхідно вибрати основний WAN-інтерфейс, через який ходитиме весь трафік, клікнувши правою кнопкою миші по ньому і вибравши "Встановити основним з'єднанням". Якщо планується використовувати інший WAN-інтерфейс як резервний канал, рекомендуємо скористатися "Майстром налаштування" .

Увага!При налаштуванні резервного підключення рекомендується вказати не DNS-ім'я хоста, а IP-адресу для того, щоб UserGate Proxy&Firewall періодично опитував його за допомогою icmp(ping) запитів і за відсутності відповіді включав резервне підключення. Переконайтеся, що DNS-сервери в налаштуваннях мережного резервного адаптера Windows працюють.

Користувачі та групи

Для того, щоб клієнтський комп'ютер міг авторизуватися на шлюзі та отримувати доступ до служб UserGate Proxy&Firewall та NAT, необхідно додати користувачів. Для спрощення виконання цієї процедури скористайтеся функцією сканування - "Сканувати локальну мережу". UserGate Proxy&Firewall самостійно просканує локальну мережу та надасть список хостів, які можна додати до списку користувачів. Далі, можна створити групи та включити до них користувачів.

Якщо у Вас розгорнуто контролер домену, то Ви можете налаштувати синхронізацію груп з групами в Active Directory або зробити імпорт користувачів з Active Directory без постійної синхронізації з Active Directory.

Створюємо групу, яка буде синхронізована із групою або групами з AD, вводимо необхідні дані в меню "Синхронізація з AD", перезапускаємо службу UserGate за допомогою агента UserGate. Через 300 сік. Користувачі автоматично імпортуються до групи. У цих користувачів буде виставлений спосіб авторизації – AD.

Міжмережевий екран

Для коректної та безпечної роботишлюзу необхідно обов'язковоналаштувати міжмережевий екран.

Рекомендується наступний алгоритм роботи міжмережевого екрану: заборонити весь трафік, а потім додавати роздільні правила за необхідними напрямками. Для цього правило #NONUSER# треба перевести в режим "Заборонити" (це заборонить весь локальний трафік на шлюзі). Обережно!Якщо ви конфігуруєте UserGate Proxy&Firewall віддалено, відключення від сервера. Потім необхідно створити дозвільні правила.

Дозволяємо весь локальний трафік, по всіх портах від шлюзу до локальної мережі та з локальної мережі до шлюзу, створивши правила з наступними параметрами:

Джерело - "LAN", призначення - "Будь-який", сервіси - ANY:FULL, дія - "Дозволити"
Джерело - "Будь-який", призначення - "LAN", сервіси - ANY:FULL, дія - "Дозволити"

Потім створюємо правило, яке відкриє доступ до Інтернету для шлюзу:

Джерело – "WAN"; призначення - "Будь-який"; послуги - ANY:FULL; дія - "Дозволити"

Якщо Вам необхідно дозволити доступ вхідних підключень по всіх портах до шлюзу, правило буде виглядати так:

Джерело - "Будь-який"; призначення – "WAN"; послуги - ANY:FULL; дія - "Дозволити"

І якщо Вам необхідно, щоб шлюз приймав вхідні підключення, наприклад, тільки за RDP (TCP:3389), і його можна було пінгувати зовні, то необхідно створити таке правило:

Джерело - "Будь-який"; призначення – "WAN"; сервіси – Any ICMP, RDP; дія - "Дозволити"

В інших випадках, з міркувань безпеки, створення правила для вхідних підключень не потрібно.

Щоб дати доступ клієнтським комп'ютерам до Інтернету, необхідно створити правило трансляції мережевих адрес (NAT).

Джерело – "LAN"; призначення – "WAN"; послуги - ANY:FULL; дія - "Дозволити"; вибираєте користувачів чи групи, яким необхідно надати доступ.

Можливе налаштування правил міжмережевого екрану - дозволяти те, що явно заборонено та навпаки, забороняти те, що явно дозволено залежно від того, як Ви налаштуєте правило #NON_USER# і яка у Вас політика в компанії. Усі правила мають пріоритет - правила працюють у порядку зверху донизу.

Варіанти різних налаштувань та приклади правил міжмережевого екрану можна переглянути.

Інші налаштування

Далі, в розділі сервіси - проксі можете включити проксі-сервери - HTTP, FTP, SMTP, POP3, SOCKS. Виберіть потрібні інтерфейси, включення опції "прослуховувати всіх інтерфейсах" бути небезпечною, т.к. проксі в такому випадку буде доступний як на інтерфейсах LAN так і на зовнішніх інтерфейсах. Режим "прозорого" проксі, що маршрутизує весь трафік по вибраному порту на порт проксі, в такому випадку на клієнтських комп'ютерах, вказувати проксі не потрібно. Проксі залишається також доступним і по порту, вказаному в налаштуваннях самого проксі-сервера.

Якщо на сервері увімкнено прозорий режим проксі (Сервіси - Налаштування проксі), то достатньо вказати в налаштуваннях мережі на клієнтській машині сервер UserGate як основний шлюз. Як DNS-сервер також можна вказати сервер UserGate, у цьому випадку має бути увімкнено .

Якщо на сервері прозорий режим вимкнено, потрібно прописати адресу сервера UserGate і відповідний порт проксі, вказаний у Сервіси - Налаштування проксі, в налаштуваннях підключення браузера. Приклад налаштування сервера UserGate для такого випадку можна переглянути.

Якщо у вашій мережі є налаштований DNS сервер, то можете вказати його в налаштуваннях DNS форвардингу UserGate та налаштуваннях WAN адаптера UserGate. У такому випадку і в режимі NAT і в режимі проксі всі запити DNS будуть направлені на цей сервер.

У цій статті розповім Вам про новий продукт компанії Entensys, партнерами якої ми є за трьома напрямками, UserGate Proxy & Firewall 6.2.1.

Доброго часу доби шановний відвідувач. Позаду 2013, для когось він був важкий, для когось легкий, але час біжить, а якщо врахувати, що одна наносекунда це 10 −9 с. то воно просто летить. У цій статті розповім Вам про новий продукт компанії Entensys, партнерами якої ми є за трьома напрямками UserGate Proxy & Firewall 6.2.1.

З точки зору адміністрування версії 6.2 від UserGate Proxy & Firewall 5.2F, впровадження якої ми успішно практикуємо в нашій практиці ІТ аусорсингу практично немає. Як лабораторне середовище будемо використовувати Hyper-V, а саме дві віртуальні машини першого покоління, серверну частину на Windows Server 2008 R2 SP1, клієнтську Windows 7 SP1. З якихось невідомих причин UserGate версії 6 не встановлюється на Windows Server 2012 і Windows Server 2012 R2.

Отже, що таке проксі сервер?

Проксі-сервер(від англ. proxy – «представник, уповноважений») – служба (комплекс програм) у комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережних служб. Спочатку клієнт підключається до проксі-сервера та запитує якийсь ресурс (наприклад, e-mail), розташований на іншому сервері. Потім проксі-сервер або підключається до вказаного сервера і отримує ресурс у нього, або повертає ресурс із власного кеша (у разі, якщо проксі має кеш). У деяких випадках запит клієнта або відповідь сервера може бути змінений проксі-сервером у певних цілях. Також проксі-сервер дозволяє захищати комп'ютер клієнта від деяких мережевих атак та допомагає зберігати анонімність клієнта.

ЩотакеUserGate Proxy & Firewall?

UserGate Proxy & Firewall– це комплексне рішення для підключення користувачів до мережі Інтернет, що забезпечує повноцінний облік трафіку, розмежування доступу та надає вбудовані засоби мережного захисту.

З визначення розглянемо, які рішення надає Entensys у своєму продукті, як обліковується трафік, чим розмежовується доступ, а також які засоби захисту надає UserGate Proxy & Firewall.

З чого складаєтьсяUserGate?

UserGate складається з кількох частин: сервер, консоль адміністрування та кілька додаткових модулів. Сервер - це основна частина проксі-сервера, в якій реалізовані всі його функціональні можливості. Сервер UserGate надає доступ до мережі Інтернет, здійснює підрахунок трафіку, веде статистику роботи користувачів у мережі та виконує багато інших завдань.

Консоль адміністрування UserGate – це програма, призначена для керування сервером UserGate. Консоль адміністрування UserGate зв'язується із серверною частиною за спеціальним захищеним протоколом поверх TCP/IP, що дозволяє виконувати віддалене адміністрування сервера.

UserGate включає три додаткові модулі: «Веб-статистика», «Клієнт авторизації UserGate» та модуль «Контроль додатків».

Сервер

Установка серверної частини UserGate дуже проста, єдина відмінність - це вибір бази даних у процесі встановлення. Доступ до бази здійснюється безпосередньо (для вбудованої БД Firebird) або через ODBC-драйвер, що дозволяє серверу UserGate працювати з базами практично будь-якого формату (MSAccess, MSSQL, MySQL). За промовчанням використовується база Firebird. Якщо ви вирішили оновити UserGate з попередніх версій, вам доведеться розпрощатися з базою статистики, тому що: Для файлу статистики підтримується тільки перенесення поточних балансів користувачів, сама статистика по трафіку не буде перенесена. Зміни бази даних були викликані проблемами у продуктивності старої та лімітами на її розмір. Нова база даних Firebird не має таких недоліків.

Запуск адміністрування консолі.

Консоль встановлена ​​на серверній ВМ. При першому запуску консоль адміністрування відкривається на сторінці "З'єднання", на якій є єдине з'єднання з сервером localhost для користувача Administrator. Пароль на підключення не встановлено. Підключити консоль адміністрування до сервера можна двічі клацнувши на рядку localhost-administrator або натиснувши кнопку підключитися на панелі керування. У консолі адміністрування UserGate можна створити кілька з'єднань.

У налаштуваннях підключень вказуються такі параметри:

  • Назва сервера – це назва підключення;
  • Ім'я користувача – логін для підключення до сервера;
  • Адреса сервера – доменне ім'я або IP-адреса сервера UserGate;
  • Порт – TCP-порт, який використовується для підключення до сервера (за замовчуванням використовується порт 2345);
  • Пароль – пароль для підключення;
  • Запитувати пароль під час підключення – опція дозволяє відображати діалог введення імені користувача та пароля при підключенні до сервера;
  • Автоматично підключатися до цього сервера – консоль адміністрування під час запуску підключатиметься до цього сервера автоматично.

При першому запуску сервера система пропонує майстра установки, від якого ми відмовляємося. Установки консолі адміністрування зберігаються у файлі console.xml, розташованому в директорії %UserGate%\Administrator.

Налаштування з'єднань за NAT. Пункт «Загальні налаштування NAT»дозволяє задати величину таймауту для з'єднань NAT за протоколами TCP, UDP чи ICMP. Величина таймууту визначає час життя з'єднання користувача через NAT, коли передача даних по з'єднанню завершена. Залишимо за промовчанням це налаштування.

Детектор атак– це спеціальна опція, яка дозволяє вам задіяти внутрішній механізм відстеження та блокування сканера портів або спроби зайняти всі порти сервера.

Заблокувати по рядку браузера– Список User-Agent's браузерів, які можуть бути заблоковані проксі-сервером. Тобто. можна, наприклад, заборонити виходити в інтернет старим браузерам таким як IE 6.0 або Firefox 3.x.

Інтерфейси

Розділ Інтерфейси є головним у налаштуваннях сервера UserGate, оскільки визначає такі моменти, як правильність підрахунку трафіку, можливість створення правил для міжмережевого екрану, обмеження ширини Інтернет-каналу для трафіку певного типу, встановлення відносин між мережами та порядок обробки пакетів драйвером NAT. Вкладка «Інтерфейси» вибираємо потрібний тип для інтерфейсів. Так, для адаптера, підключеного до Інтернету, слід вибрати тип WAN, для адаптера, підключеного до локальної мережі – тип LAN. Доступ до інтернету для ВМ розшарений, відповідно інтерфейс з адресою 192.168.137.118 буде WAN-адаптер, вибираємо потрібний тип і тиснемо "Застосувати". Після цього перезавантажуємо сервер.

Користувачі та групи

Доступ до Інтернету надається лише користувачам, які успішно пройшли авторизацію на сервері UserGate. Програма підтримує такі методи авторизації користувачів:

  • За IP-адресою
  • За діапазоном IP-адрес
  • За IP+MAC-адресою
  • За MAC-адресою
  • Авторизація засобами HTTP (HTTP-basic, NTLM)
  • Авторизація через логін та пароль (Клієнт авторизації)
  • Спрощений варіант авторизації через Active Directory

Для використання трьох останніх методів авторизації на робочу станцію користувача необхідно встановити спеціальну програму - клієнт авторизації UserGate. Відповідний пакет MSI (AuthClientInstall.msi) розташований у директорії %UserGate%\tools і може бути використаний для автоматичної установки засобами групової політики в Active Directory.

Для термінальних користувачів надано можливість лише «Авторизація засобами HTTP». Відповідна опція включається в пункті Загальні налаштування консолі адміністрування.

Створити нового користувача можна через пункт Додати нового користувачаабо натиснувши кнопку Додатина панелі керування на сторінці Користувачі та групи.

Існує ще один спосіб додавання користувачів – сканування мережі ARP-запитів. Потрібно натиснути на порожньому місці в консолі адміністратора на сторінці користувачіта вибрати пункт сканувати локальну мережу. Далі встановити параметри локальної мережі і дочекатися результатів сканування. У результаті ви побачите список користувачів, яких можна додати до UserGate. Ну що ж, перевіримо, тиснемо "Сканувати локальну мережу"

Задаємо параметри:

Працює!

Додаємо користувача

У UserGate є пріоритет автентифікації, спочатку фізична потім логічна. Цей методперестав бути надійним, т.к. користувач може змінити IP-адресу. Нам підійде імпорт облікових записів Active Directory, які ми можемо імпортувати легко, натиснувши кнопку «Імпортувати», далі «Вибрати» та ім'я нашого облікового запису, «Ок», «Ок».

Вибираємо "Групу", залишаємо за замовчуванням "default"

Тиснемо «Ок» і зберігаємо зміни.

Наш користувач доданий без проблем. Також існує можливість синхронізації груп AD на вкладці «Групи».

Налаштування сервісів проксі у UserGate

У сервері UserGate інтегровані такі проксі-сервери: HTTP- (з підтримкою режиму “FTP поверх HTTP” і HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 та SMTP, SIP та H323. Установки проксі-серверів можна знайти в розділі Сервіс → Налаштування проксі в консолі адміністрування. До основних параметрів проксі-сервера відносяться: інтерфейс та номер порту, на якому працює проксі. Так, наприклад, увімкнемо прозорий HTTP проксі на нашому інтерфейсі LAN. Перейдемо "Параметри проксі", виберемо HTTP.

Виберемо наш інтерфейс, залишимо все за замовчуванням і тиснемо "Ок"

Використання прозорого режиму

Функція «Прозорий режим» у налаштуваннях проксі-серверів доступна, якщо сервер UserGate встановлено разом із драйвером NAT. У прозорому режимі драйвер NAT UserGate прослуховує стандартні для сервісів порти: 80 TCP для HTTP, 21 TCP для FTP, 110 та 25 TCP для POP3 та SMTP на мережевих інтерфейсах комп'ютера з UserGate. За наявності запитів передає їх на проксі-сервер UserGate. При використанні прозорого режиму в мережних програмах користувачів не потрібно вказувати адресу та порт проксі-сервера, що суттєво зменшує роботу адміністратора в плані надання доступу локальної мережі до Інтернету. Однак, у мережевих налаштуванняхробочих станцій сервер UserGate повинен бути вказаний як шлюз, і потрібно вказати адресу DNS-сервера.

Поштові проксі у UserGate

Поштові проксі-сервери в UserGate призначені для роботи з протоколами POP3 та SMTP та для антивірусної перевірки поштового трафіку. При використанні прозорого режиму роботи POP3 та SMTP-проксі налаштування поштового клієнта на робочій станції користувача не відрізняється від налаштувань, що відповідають варіанту прямого доступу до мережі Інтернет.

Якщо POP3-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях поштового клієнта на робочій станції користувача в якості адреси POP3-сервера потрібно вказувати IP-адресу комп'ютера з UserGate та порт, який відповідає POP3-проксі UserGate. Крім того, логін для авторизації на віддаленому POP3-сервері вказується в наступному форматі: адреса електронної пошти@адреса POP3_сервера. Наприклад, якщо користувач має поштову скриньку [email protected], то як Логін на POP3-проксі UserGate у поштовому клієнті потрібно буде вказати: [email protected]@pop.mail123.com. Такий формат необхідний для того, щоб сервер UserGate міг визначити адресу віддаленого сервера POP3.

Якщо SMTP-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях проксі потрібно вказати IP-адресу та порт SMTP-сервера, який UserGate буде використовувати для надсилання листів. У такому разі в установках поштового клієнта на робочій станції користувача в якості адреси SMTP-сервера потрібно вказувати IP-адресу сервера UserGate та порт, що відповідає SMTP-проксі UserGate. Якщо для надсилання потрібна авторизація, то в налаштуваннях поштового клієнта потрібно вказати логін та пароль, що відповідає SMTP-серверу, який вказаний у налаштуваннях SMTP-проксі в UserGate.

Ну що, звучить круто, перевіримо за допомогою mail.ru.

Насамперед включимо POP3 і SMTP проксі на нашому сервері. При включенні POP3 вкажемо стандартний порт 110 інтерфейсу LAN.

А також переконаємося у відсутності галочки на «Прозорому проксі» і тиснемо «Ок» та «Застосувати»

Забираємо галочку «Прозорий режим» та пишемо «Параметри віддаленого сервера», у нашому випадку smtp.mail.ru. А чому лише один сервер вказується? А ось відповідь: передбачається, що організація використовує єдиний сервер smtp, саме він і вказується в налаштуваннях SMTP проксі.

Перше правило для POP3 має виглядати так.

Друге, як сказав би Олександр Невський "Ось так ось"

Не забуваємо про кнопку «Застосувати» і переходимо до налаштування клієнта. Як ми пам'ятаємо «Якщо POP3-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях поштового клієнта на робочій станції користувача як адреса POP3-сервера потрібно вказувати IP-адресу комп'ютера з UserGate та порт, який відповідає POP3-проксі UserGate. Крім того, логін для авторизації на віддаленому POP3-сервері вказується в наступному форматі: адреса електронної пошти@адреса POP3_сервера». Діємо.

Спочатку авторизуємося в клієнті авторизації, далі відкриваємо Outlook звичайний, у нашому прикладі я створив тестову поштову скриньку [email protected], і виконуємо налаштування, вказуючи нашу скриньку у форматі зрозумілому для UserGate [email protected]@pop.mail.ru, а також POP та SMTP сервери адресу нашого проксі.

Тиснемо «Перевірка облікового запису ...»

Призначення портів

У UserGate реалізовано підтримку функції Перенаправлення портів. За наявності правил призначення портів сервер UserGate перенаправляє запити користувача, що надходять на певний порт заданого мережного інтерфейсу комп'ютера з UserGate, на іншу вказану адресу і порт, наприклад, на інший комп'ютер у локальній мережі. Функція Перенаправлення портів доступна для протоколів TCP та UDP.

Якщо призначення портів використовується для надання доступу з мережі Інтернет до внутрішнього ресурсу компанії, в якості параметра Авторизація слід вибрати Вказаний користувач, інакше перенаправлення порту не працюватиме. Не забуваймо включити «Віддалений робочий стіл».

Налаштування кешу

Одним із призначень проксі-сервера є кешування мережевих ресурсів. Кешування знижує навантаження на підключення до мережі Інтернет та прискорює доступ до часто відвідуваних ресурсів. Проксі-сервер UserGate виконує кешування HTTP та FTP-трафіку. Кешовані документи розміщуються в локальній папці %UserGate_data%\Cache. У налаштуваннях кешу вказується: граничний розмір кешу та час зберігання кешованих документів.

Антивірусна перевірка

У сервер UserGate інтегровані три антивірусні модулі: антивірус Kaspersky Lab, Panda Security та Avira. Усі антивірусні модулі призначені для перевірки вхідного трафіку через HTTP, FTP та поштові проксі-сервери UserGate, а також вихідного трафіку через SMTP-проксі.

Параметри антивірусних модулів можна знайти в розділі Сервіс → Антивіруси консолі адміністрування. Для кожного антивірусу можна вказати, які протоколи він повинен перевіряти, встановити періодичність оновлення антивірусних баз, а також вказати URL-адреси, які перевіряти не потрібно (опція Фільтр URL). Додатково в налаштуваннях можна вказати групу користувачів, трафік яких не потрібно антивірусною перевіркою.

Перед включенням антивірусу необхідно спочатку оновити його основи.

Після перерахованих вище функцій перейдемо до часто використовуваних, це – «Управління трафіком» і «Контроль додатків».

Система правил керування трафіком

У сервері UserGate передбачена можливість керування доступом користувачів до Інтернету за допомогою правил керування трафіком. Правила керування трафіком призначені для заборони доступу до певних мережевих ресурсів, для встановлення обмежень споживання трафіку, створення розкладу роботи користувачів в мережі Інтернет, а також для стеження за станом рахунку користувачів.

У нашому прикладі обмежимо доступ користувачеві, який до будь-якого ресурсу має у своєму запиті згадки vk.com. Для цього переходимо до «Управління трафіком – Правила»

Даємо назву правилу та дію «Закрити з'єднання»

Після додавання сайту, переходимо до наступного параметра, вибір групи або користувача, правило можна встановити як для користувача, так і для групи, в нашому випадку користувач «User».

Контроль додатків

Політика управління доступом до Інтернету отримала логічне продовження у вигляді модуля «Контроль додатків» (Application Firewall). Адміністратор UserGate може дозволяти або забороняти доступ до Інтернету не тільки для користувачів, але й для мережних програм на робочій станції користувача. Для цього на робочі станції користувачів потрібно встановити спеціальну програму App.FirewallService. Установка пакета можлива як через файл, що виконується, так і через відповідний MSI-пакет (AuthFwInstall.msi), розташовані в директорії %Usergate%\tools.

Перейдемо в модуль «Контроль додатків – Правила» і створимо забороняюче правило, наприклад, на заборону запуску IE. Тиснемо додати групу, даємо їй назву і вже групі задаємо правило.

Вибираємо нашу створену групу правил, можемо поставити галочку «Правило за замовчуванням», у цьому випадку правила додадуться до групи «Default_Rules»

Застосовуємо правило до користувача у властивостях користувача

Тепер встановлюємо Auth.Client та App.Firewall на клієнтську станцію, після встановлення IE має заблокуватися створеними раніше правилами.

Як ми бачимо, правило спрацювало, тепер відключимо правила для користувача, щоб переглянути відпрацювання правила для сайту vk.com. Після вимкнення правила на сервері usergate потрібно почекати 10 хвилин (час синхронізації з сервером). Пробуємо зайти за прямим посиланням

Пробуємо через пошукову систему google.com

Як бачимо правила спрацьовують без жодних проблем.

Отже, у цій статті розглянуто лише невелику частину функцій. Опущено можливі налаштування міжмережевого екрану, правил маршрутизації, правил NAT. UserGate Proxy & Firewall надає великий вибір рішень, навіть трохи більше. Продукт показав себе дуже добре, а найголовніше простий у налаштуванні. Ми й надалі використовуватимемо його в обслуговуванні ІТ інфраструктур клієнтів для вирішення типових завдань!

І сьогодні ми поговоримо про налаштування елементарного проксі-сервера. Напевно, багато хто з вас чув таке поняття як проксі, але особливо не вникав у його визначення. Якщо казати простою мовою, то проксі-сервер є проміжною ланкою між комп'ютерами в мережі та інтернетом. Це означає, що якщо в сітці впроваджено такий сервер, то доступ до інету здійснюється не безпосередньо через роутер, а попередньо обробляється станцією-посередником.

Навіщо потрібен проксі-сервер в локальній мережі? Які переваги ми отримаємо після встановлення? Першою важливою властивістю є можливість кешування та тривалого зберігання інформації з веб-сайтів на сервері. Це дозволяє значно зменшити завантаження інтернет-каналу. Особливо це актуально у тих організаціях, де доступ до глобальної мережі досі здійснюється за технологією ADSL. Так, наприклад, якщо під час проведення практичного заняття студенти шукають однотипну інформацію з конкретних сайтів, то після повного завантаження інформації з ресурсу на одній станції швидкість його завантаження на інших значно зростає.

Також із впровадженням проксі-сервера системний адміністраторотримує у свої руки ефективний інструмент, що дозволяє контролювати доступ користувачів до всіх веб-сайтів. Тобто якщо ви спостерігаєте, що якась людина витрачає своє робочий часна гру в танчики або на перегляд серіалів ви можете прикрити йому доступ до цих принад життя. А можете знущатися, поступово знижуючи швидкість з'єднання ... або блокуючи лише певні можливості, наприклад, завантаження картинок після обіду. Загалом тут є де розвернутися. Саме контроль сисадміну над проксі-сервером робить його друзів ще добрішим, а недругів злішим.

У цьому матеріалі ми детально розглянемо установку та налаштування проксі UserGate 2.8. Ця версія програми вийшла аж у травні 2003 року. У мене тоді й комп'ютера свого не було. Тим не менш, саме даний реліз юзергейту і до сьогодні вважається найвдалішим за рахунок стабільності роботи та простоти налаштування. Функціонала звичайно обмаль, до того ж є обмеження за кількістю одночасно працюючих користувачів. Їхня кількість не повинна перевищувати позначку в 300 осіб. Особисто мене цей бар'єр не дуже засмучує. Бо якщо ви адмініструєте сітку з 300 машинами, то точно не користуватиметеся подібним софтом. УГ 2.8 це доля невеликих офісних та домашніх мереж.

Що ж думаю настав час зав'язувати з розмовами. Завантажуємо UserGate з торентівабо за цим посиланням, вибираємо комп'ютер як вашого майбутнього проксі-сервера і негайно приступаємо до встановлення.

Встановлення та активація

Крок 1.За встановлення ця програма одна з найлегших. Складається враження, що встановлюємо не проксі-сервер, а в носі колупаємося. Запускаємо файл Setup.exe і в першому вікні приймаємо угоду. Клікаємо «Далі».

Крок 2Вибираємо місце для встановлення. Я, мабуть, залишу за замовчуванням. Тиснемо «Почати» і чекаємо закінчення процесу встановлення.

Крок 3Вуаль. Встановлення завершено. Не забуваємо поставити галочку «Запустити встановлений додаток» і сміливо тицяємо на «ОК».

Крок 4.Прокляття! Програма 2003 виявляється не безкоштовна. Потрібна ліцензія. Ну нічого. В архіві, який ми завантажили, є ліки. Відкриваємо папку Crack, а в ній знаходимо єдиний файлик Serial.txt. Копіюємо з нього номер ліцензії та серійний номер. Усього два рядки. Важко помилитись.

Крок 5.У правому нижньому кутку на панельці зі значками повідомлення робимо подвійний клік по синій іконці юзергейту і засвідчуємо коректну установку та активацію програми.

Налаштування проксі-сервера

Крок 1.Насамперед потрібно переконатися в тому, що на наш сервер має статичну IP адресу. Для цього переходимо в «Пуск – Панель управління – Центр управління мережами та загальним доступом – Зміна параметрів адаптера» та клацаємо правою кнопкою миші по мережній карті, через яку здійснюється доступ до локальної мережі. У списку вибираємо пункт «Властивості - Протокол Інтернету 4 версії» і дивимося, щоб була вказана фіксована IP адреса. Саме його ми будемо задавати як проксі-посередник на всіх станціях клієнтів.

Крок 2Повертаємось до нашої програми. У вкладці "Налаштування" шукаємо протокол "HTTP" і вказавши порт (можна залишити за замовчуванням) разом з можливістю роботи по FTP дозволяємо його застосування. Це налаштування дозволяє користувачам переглядати веб-сторінку в браузері. Як порт зовсім не обов'язково використовувати стандартні варіанти 8080 або 3128. Можете придумати, що щось своє. Це значно підвищить рівень безпеки мережі, головне вибирайте число в діапазоні від 1025 до 65 535 і буде вам щастя.

Крок 3Наступною дією бажано включити кешування. Як ми вже говорили раніше, це дозволить значно збільшити завантаження тих самих ресурсів на клієнтських станціях. Чим більший час зберігання та розмір кешу – тим значніше навантаження на оперативну пам'ять проксі-сервера. Однак зовнішність швидкості завантаження сторінок у браузері буде вищою, ніж без використання кеша. Я завжди налаштовую час зберігання на 72 години (еквівалентно двом дням) і розмір кешу встановлюю 2 гігабайти.

Крок 4.Настав час перейти до створення груп користувачів. Для цього в однойменному пункті меню вибираємо групу користувачів "Default" і тиснемо "Змінити".

Перейменовуємо дефолтну групу та клацаємо на кнопку «Додати».

Настав час створити користувачів. Я зазвичай в полі "Ім'я" вписую повне мережеве ім'я комп'ютера, яке можна подивитися у властивостях системи клієнтської машини. Це зручно, якщо мережа невелика, а ми з вами визначилися, що для серйозної мережі дана прога не підійде. Вибираємо тип авторизації «За IP-адресою» і як логін прописуємо IP-шник клієнта. Де його дивитись ми вже розглядали раніше. У маленьких мережах олдові адміни по-старому прописують IP вручну на всіх тачках і не змінюють їх практично ніколи.

class="eliadunit">

Крок 5.Тепер розберемося із найцікавішим. А саме – обмеженням користувачів. Навіть у невеликій мережі краще працювати з групами, ніж з окремими користувачами. Тому обираємо нашу створену групу та переходимо на вкладку «Розклад роботи». У ній ми можемо вибрати дні та години, в які доступ до мережі Інтернет для нашої групи буде відкритий.

Гортаємо праворуч і на вкладці Обмеження вказуємо швидкість доступу до Інтернету для групи користувачів. Клацаємо "Задати обмеження для користувачів групи" і лише потім на кнопку "Застосувати". Таким чином, ми обмежили швидкість доступу для кожного користувача групи «Комп'ютерний клас» до 300 кб/с. Це звичайно небагато, але для проведення практичних занять цілком достатньо.

Крок 6На цьому базове налаштуванняслід було б завершити, але хотілося б ще розповісти про параметр «Фільтр». У цій вкладці можна обмежити доступ користувачів до певних сайтів. Для цього достатньо додати посилання на сайт до списку. Однак зауважу, що це налаштування працює не зовсім коректно. Бо багато сучасних сайтів вже перейшли з протоколу HTTP на безпечніший HTTPS. А проксі-сервер 2003 року не може впоратися із подібним звіром. Тому якісної контент-фільтрації саме цієї версії вимагати не варто.

Крок 7.І останній штрих – це збереження всіх наших налаштувань в окремому файлі (про всяк пожежний) та захист проксі-сервера від втручання чужих рук. Все це можна зробити у пункті "Додатково". Вводимо пароль, потім підтверджуємо його. Тиснемо застосувати. І тільки тепер натискаємо кнопку зберегти конфігурацію. Вказуємо місце збереження. Всі. Тепер якщо щось злетить. Або ви вирішите поекспериментувати з налаштуваннями. Напоготові буде їхня резервна копія.

Налаштування клієнтських станцій

Крок 1.Налаштування проксі-сервера ми закінчили. Переходимо до клієнтської станції. Насамперед потрібно переконатися в тому, що на ній задана IP адреса, прописана на нашому сервері. Якщо пам'ятаєте, під час налаштування ми вказали, що клієнт із ім'ям Station01 має адресу 192.168.0.3. Давайте ж переконаємось у цьому.

Крок 2Далі потрібно прописати в системі адресу проксі-сервера та його порт. Для цього переходимо наступним шляхом «Пуск - Панель керування - Властивості браузера (XP) або браузера (7) – Підключення – Налаштування мережі» та ввімкнувши параметр використання проксі-сервера задаємо його адресу та порт для HTTP з'єднання. Тиснемо «ОК» у цьому та попередньому вікні.

Крок 3Чудово. Ми вже на фінішній прямій. Відкриваємо браузер і якщо ви все налаштували правильно, то має відкритися домашня сторінка.

Тут же хочу пояснити ще один момент. Можна настроїти комп'ютер таким чином, щоб через проксі працював лише один браузер, а не всі одразу. Для цього необхідно перейти у вкладку «Інструменти – Налаштування – Додатково – Мережа – Налаштувати» і вибравши ручне налаштування прописати ту саму IP адресу та порт сервера.

Що ж давайте перевіримо роботу фільтрів. Зараз спробуємо зайти на один з них. Як і належить, ресурс заблоковано.

Моніторинг трафіку

А що відбувається на сервері? Робота кипить. У вкладці з користувачами ми можемо відстежити, скільки мегабайтів було завантажено та передано нашими підопічними за день, місяць і навіть рік!

Вкладка "З'єднання" дозволяє відстежити, який ресурс клієнт відвідує в даний момент. Однокласники? Вконтакті? Або все ж таки зайнятий робочими справами.

Якщо раптом наш користувач встиг закрити цікавий сайт – не біда. Ви завжди зможете подивитись історію на вкладці «Монітор».

Висновок

Думаю настав час закруглюватися. Насамкінець хочеться сказати, що тема для даного матеріалу була обрана недарма. У моєму рідному місті юзверьгейт версії 2.8 функціонує на більшості підприємств із погано розвиненою мережевою інфраструктурою. Можливо на сьогоднішній день ситуація змінилася в кращий бікАле в середині 2013 року, саме тоді я бігав по всьому місту, обслуговуючи інформаційно-правову систему «Гарант», все було саме так. Гейт просто захопив мережі комерційних та некомерційних підприємств різних мастей. І якщо врахувати, що роком пізніше гримнув фінансова криза, не думаю, що хтось із них розщедрився на колійну проксю

Незважаючи на недоліки у вигляді відсутності HTTPs, кривий фільтр, неможливість інтуїтивно-зрозумілого налаштування торентів і т.д. Нові версії програми можуть похвалитися можливістю авторизації доменних користувачів, Firewall'ом, NAT'ом, якісним контентом фільтрацією та іншими плюшками. Проте за все це задоволення доводиться платити. І платити чимало (54600 рублів за 100 машин). Любителям халяви, такий розклад не до вподоби.

Такс думаю, що настав час прощатися. Друзі я хочу нагадати, що якщо матеріал вам був корисний, то лайкніть його. А якщо ви вперше на нашому сайті, підписуйтесь. Адже регулярні структуровані випуски у сфері інформаційних технологійна безкоштовній основі рідкість у рунеті. До речі для халявників незабаром зроблю випуск про ще один проксі-сервер SmallProxy. Цей малюк, незважаючи на свою безкоштовність нітрохи не гірший від юзергейту і чудово зарекомендував себе. Тож підписуємось і чекаємо. До зустрічі за тиждень. Бувайте усі!

class="eliadunit">

Сьогодні керівництво, напевно, вже всіх компаній гідно оцінило ті можливості, які надає Інтернет для ведення бізнесу. Йдеться, звичайно ж, не про інтернет-магазини та електронну торгівлю, які, як не крути, сьогодні є більше маркетинговими інструментами, ніж реальним способом збільшення обороту товарів чи послуг. Глобальна мережа є чудовим інформаційним середовищем, практично невичерпним джерелом найрізноманітніших даних. Крім того, вона забезпечує швидкий та дешевий зв'язок як з клієнтами, так і з партнерами фірми. Не можна скидати з рахунків та можливості Інтернету для маркетингу. Таким чином, виходить, що Глобальну мережу загалом можна вважати багатофункціональним бізнес-інструментом, який може підвищити ефективність виконання співробітниками компанії своїх обов'язків.

Втім, спочатку необхідно надати цим співробітникам доступ до Інтернету. Просто підключити один комп'ютер до Глобальної мережі сьогодні не є проблемою. Існує багато способів, як це можна зробити. Також знайдеться чимало компаній, які пропонують практичне вирішення цього завдання. Ось тільки навряд чи Інтернет на одному комп'ютері зможе принести помітну користь фірмі. Доступ до Мережі повинен мати кожен співробітник з його робочого місця. І тут нам не обійтися без спеціального програмного забезпечення так званого проксі-сервера. У принципі, можливості операційних систем сімейства Windows дозволяють зробити будь-яке з'єднання з Інтернетом спільним. У цьому випадку доступ до нього отримають інші комп'ютери з локальної мережі. Втім, це рішення навряд чи варто розглядати хоч трохи серйозно. Справа в тому, що при його виборі доведеться забути про контроль за використанням Глобальної мережі співробітниками компанії. Тобто будь-яка людина з будь-якого корпоративного комп'ютера може вийти в Інтернет і робити там що завгодно. А чим це загрожує, мабуть, нікому пояснювати не треба.

Таким чином, єдиний прийнятний для компанії спосіб організації підключення всіх комп'ютерів, що входять до корпоративної локальної мережі, – це проксі-сервер. Сьогодні на ринку є чимало програм цього класу. Але ми говоритимемо лише про одну розробку. Вона називається UserGate, а створили її спеціалісти компанії eSafeLine. Головними особливостями цієї програми є широкі функціональні можливості та дуже зручний російськомовний інтерфейс. Крім того, слід зазначити, що вона постійно розвивається. Нещодавно на суд громадськості було представлено нову, вже четверту версію цього продукту.

Отже, UserGate. Цей програмний продукт складається з кількох окремих модулів. Перший - безпосередньо сам сервер. Він повинен бути встановлений на комп'ютері, що безпосередньо підключений до Інтернету (інтернет-шлюзу). Саме сервер реалізує доступ користувачів до Глобальної мережі, здійснює підрахунок використаного трафіку, веде статистику роботи тощо. Другий модуль призначений для адміністрування системи. З його допомогою відповідальний співробітник здійснює налаштування проксі-сервера. Головною особливістю UserGate у цьому плані є те, що модуль адміністрування не обов'язково має бути розміщений на інтернет-шлюзі. Таким чином, йдеться про віддалене управління проксі-сервером. Це дуже добре, оскільки системний адміністратор отримує можливість керувати доступом до Інтернету безпосередньо зі свого робочого місця.

Крім цього до складу UserGate входять ще два окремі програмні модулі. Перший з них потрібен для зручного перегляду статистики використання Інтернету та побудови звітів на її основі, а другий – для авторизації користувачів у деяких випадках. Такий підхід чудово поєднується з російськомовним та інтуїтивно зрозумілим інтерфейсом усіх модулів. Все це дозволяє швидко і без будь-яких проблем налаштувати загальний доступ до Глобальної мережі в будь-якому офісі.

Але давайте все-таки перейдемо до аналізу функціональних можливостей проксі-сервера UserGate. Почати потрібно з того, що в цій програмі реалізовано відразу два різні способи налаштування DNS (найважливіше завдання при реалізації загального доступу). Перший - NAT (Network Address Translation - перетворення мережевих адрес). Він забезпечує дуже точний облік спожитого трафіку та дозволяє користувачам застосовувати будь-які дозволені адміністратором протоколи. Щоправда, варто зазначити, що деякі мережеві програми у цьому випадку працюватимуть некоректно. Другий варіант – DNS-форвардинг. Він має великі обмеження в порівнянні з NAT, але може використовуватися на комп'ютерах зі застарілими операційними сімействами (Windows 95, 98 і NT).

Дозволи на роботу в Інтернеті налаштовуються за допомогою понять "користувач" та "група користувачів". Причому, що цікаво, у проксі-сервері UserGate користувач - це не обов'язково людина. Його роль може виконувати комп'ютер. Тобто в першому випадку доступ до Інтернету дозволяється певним співробітникам, а в другому – всім людям, які сіли за якийсь ПК. Звичайно, при цьому використовуються різні способи авторизації користувачів. Якщо йдеться про комп'ютери, то їх можна визначати за IP-адресою, зв'язкою IP-і MAC-адрес, діапазоном IP-адрес. Для авторизації ж співробітників можуть використовуватись спеціальні пари логін/пароль, дані з Active Directory, ім'я та пароль, що збігаються з авторизаційною інформацією Windows, і т. д. Користувачів для зручності налаштування можна об'єднувати в групи. Такий підхід дозволяє керувати доступом відразу всіх співробітників з однаковими правами (які перебувають на однакових посадах), а не налаштовувати кожен обліковий запис окремо.

Є в проксі-сервері UserGate та власна білінгова система. Адміністратор може задавати будь-яку кількість тарифів, що описують скільки коштує одна одиниця вхідного або вихідного трафіку або часу підключення. Це дозволяє вести точний облік усіх витрат на Інтернет із прив'язкою до користувачів. Тобто керівництво компанії завжди знатиме, хто скільки витратив. До речі, тарифи можна зробити залежними від поточного часу, що дозволяє точно відтворити цінову політикупровайдера.

Проксі-сервер UserGate дозволяє реалізовувати будь-яку складну політику корпоративного доступу до Інтернету. І тому використовуються звані правила. З їх допомогою адміністратор може задати обмеження для користувачів за часом роботи, за кількістю відправленого або прийнятого трафіку за день або місяць, за кількістю часу, що використовується за день або місяць і т. д. У разі перевищення цих лімітів доступ до Глобальної мережі буде автоматично перекриватися. Крім того, за допомогою правил можна ввести обмеження на швидкість доступу окремих користувачів або цілих груп.

Іншим прикладом використання правил є обмеження на доступ до тих чи інших IP-адрес або їх діапазонів, до цілих доменних імен або адрес, що містять певні рядки, і т. д. Тобто фактично йдеться про фільтрацію сайтів, за допомогою якої можна виключити відвідування співробітниками небажаних веб-проектів. Але, звичайно, це далеко не всі приклади застосування правил. З їх допомогою можна, наприклад, реалізувати перемикання тарифів залежно від сайту, що завантажується в даний момент (необхідно для обліку пільгового трафіку, що існує у деяких провайдерів), налаштувати вирізування рекламних банерів і т.п.

До речі, ми вже говорили, що проксі-сервер UserGate має окремий модуль для роботи зі статистикою. З його допомогою адміністратор може будь-якої миті переглянути спожитий трафік (загальний, по кожному з користувачів, по групах користувачів, по сайтам, по IP-адресах серверів тощо). Причому це робиться дуже швидко за допомогою зручної системи фільтрів. Крім того, в даному модулі реалізовано генератор звітів, за допомогою якого адміністратор може складати будь-яку звітність та експортувати її до формату MS Excel.

Дуже цікавим рішенням розробників є вбудовування у файрвол антивірусного модуля, який контролює весь вхідний та вихідний трафік. Причому вони не винаходили велосипед, а інтегрували розробку "Лабораторії Касперського". Таке рішення гарантує, по-перше, справді надійний захист від усіх шкідливих програм, а по-друге, регулярне оновлення баз даних сигнатур. Інший важливий у плані інформаційної безпекиможливістю є вбудований файрвол. І ось він був створений розробниками UserGate самостійно. На жаль, варто відзначити, що інтегрований у проксі-сервер файрвол досить серйозно відрізняється за своїми можливостями від провідних продуктів у цій галузі. Власне кажучи, йдеться про модуль, що здійснює просте блокування трафіку, що йде за вказаними адміністратором портами та протоколами до комп'ютерів із заданими IP-адресами та від них. У ньому немає ні режиму невидимості, ні деяких інших обов'язкових для файрволів функцій.

На жаль, одна стаття не може включити докладний аналіз усіх функцій проксі-сервера UserGate. Тому давайте хоча б просто перерахуємо найцікавіші з них, які не увійшли до нашого огляду. По-перше, це кешування завантажених з Інтернету файлів, що дозволяє заощаджувати гроші на послугах провайдера. По-друге, варто відзначити функцію Port mapping, яка дозволяє прив'язати будь-який вибраний порт одного з локальних Ethernet-інтерфейсів до потрібного порту віддаленого хоста (ця функція необхідна для роботи мережевих додатків: системи типу банк – клієнт, різні ігри тощо) . Крім цього в проксі-сервері UserGate реалізовані такі можливості, як доступ до внутрішніх корпоративних ресурсів, планувальник завдань, підключення до каскаду проксі, моніторинг трафіку та IP-адрес активних користувачів, їх логінів, відвіданих URL-адрес в режимі реального часу і багато, багато інше.

Ну а тепер настав час підбити підсумки. Ми з вами, шановні читачі, досить детально розібрали проксі-сервер UserGate, за допомогою якого можна організувати спільний доступ до Інтернету у будь-якому офісі. І переконалися в тому, що дана технологія поєднує в собі простоту та зручність налаштування та використання з досить широким набором функціональних можливостей. Все це робить останню версію UserGate дуже привабливим продуктом.

Після того, як підключили локальну мережу до інтернету, є сенс налаштувати систему обліку трафіку і в цьому нам допоможе програма Usergate. Usergate є проксі-сервером і дозволяє контролювати доступ комп'ютерів з локальної мережі до мережі інтернет.

Але, спочатку давайте згадаємо, як ми раніше налаштували мережу у відеокурсі «Створення та налаштування локальної мережі між Windows 7 і Windows XP», і як надали доступ всім комп'ютери до мережі інтернет через один канал зв'язку. Схематично можна уявити в наступному вигляді, є чотири комп'ютери, які ми об'єднали в однорангову мережу, вибрали робочу станцію work-station-4-7, з операційною системою Windows 7, як шлюз, тобто. підключили додаткову мережну карту, з доступом до мережі Інтернет та дозволили іншим комп'ютерам у мережі, виходити в Інтернет через дане мережне підключення. Інші три машини є клієнтами інтернету і на них, як шлюз і DNS, вказали IP адресу комп'ютера, що роздає інтернет. Ну що ж, тепер розберемося з питанням контролю доступу до мережі Інтернет.

Установка UserGate не відрізняється від встановлення звичайної програми, після встановлення система просить перезавантажитися, перезавантажуємося. Після перезавантаження, насамперед спробуємо вийти в інтернет, з комп'ютера на якому встановлено UserGate - вийти виходить, а з інших комп'ютерів немає, отже, Proxy сервер почав працювати і за замовчуванням забороняє всім вихід в Інтернет, тому потрібно його налаштувати.

Запускаємо консоль адміністратора ( Пуск \ Програми \UserGate\ Консоль адміністратора) і тут у нас з'являється сама консоль і відкривається вкладка З'єднання. Якщо ми спробуємо відкрити якусь із вкладок зліва, видається повідомлення (UserGate Консоль адміністратора не підключена до UserGate Серверу), тому при запуску у нас відкривається вкладка З'єднання, щоб ми могли спочатку підключитися до сервера UserGate.

Отже, за умовчанням Ім'я сервера – local; Користувач – Administrator; Сервер – localhost, тобто. серверна частина розташована на цьому комп'ютері; Порт - 2345.

Двічі клацаємо на цей запис і підключається до служби UserGate, якщо підключитися не вдалося, перевірте, чи запущена служба ( Ctrl+ Alt+ Esc\ Служби \UserGate)

При першому підключенні запускається Майстер налаштуванняUserGate, тиснемо Ні, тому що все будемо налаштовувати вручну, щоб було зрозуміліше, що і де шукати. І насамперед переходимо у вкладку СерверUserGate\ Інтерфейси, тут вказуємо, яка мережева карта дивиться в інтернет ( 192.168.137.2 - WAN), а яка в локальну мережу ( 192.168.0.4 - LAN).

Далі Користувачі та групи \ Користувачі, тут є єдиний користувач, це сама машина де запущений сервер UserGate і називається він Default, тобто. за замовчуванням. Додамо всіх користувачів, які виходитимуть в інтернет, у мене їх три:

Work-station-1-xp - 192.168.0.1

Work-station-2-xp - 192.168.0.2

Work-station-3-7 - 192.168.0.3

Групу та тарифний планзалишаємо за замовчуванням тип авторизації, я буду використовувати через IP-адресу, так як у мене вони прописані вручну, і залишаються незмінними.

Тепер налаштуємо сам проксі, заходимо в Сервіси \ Налаштування проксі \HTTP, тут вибираємо IP адресу, яку ми вказали як шлюз на клієнтських машинах, у мене це 192.168.0.4 , а також ставимо галочку Прозорий режим, щоб не прописувати вручну в браузерах адресу проксі сервера, в даному випадку браузер дивитися який шлюз вказаний в налаштуваннях мережного підключення і перенаправлятиме запити на нього.