Internet dnes nie je len prostriedkom komunikácie či trávenia voľného času, ale aj pracovným nástrojom. Vyhľadávanie informácií, účasť vo výberových konaniach, práca s klientmi a partnermi si vyžaduje prítomnosť zamestnancov spoločnosti na internete. Väčšina počítačov používaných na osobné aj organizačné účely používa operačné systémy Windows. Prirodzene, všetky sú vybavené mechanizmami na poskytovanie prístupu na internet. Počnúc systémom Windows 98 Second Edition bolo zdieľanie internetového pripojenia (ICS) zabudované do operačných systémov Windows ako štandardná funkcia, ktorá umožňuje skupinový prístup z lokálna sieť na internete. Neskôr Windows 2000 Server zaviedol službu Routing and Remote Access Service a pridal podporu pre protokol NAT.

Ale ICS má svoje nevýhody. Táto funkcia teda zmení adresu sieťového adaptéra, čo môže spôsobiť problémy v lokálnej sieti. Preto sa ICS prednostne používa iba v domácich alebo malých kancelárskych sieťach. Táto služba neposkytuje autorizáciu používateľov, preto nie je vhodné ju používať v podnikovej sieti. Ak hovoríme o aplikácii v domácej siete, potom sa aj tu stáva neprijateľná nedostatočná autorizácia používateľským menom, pretože adresy IP a MAC sa dajú veľmi ľahko sfalšovať. Preto, hoci vo Windows je možné organizovať jednotný prístup na internet, v praxi sa na realizáciu tejto úlohy používa buď hardvér alebo softvér od nezávislých vývojárov. Jedným z takýchto riešení je program UserGate.

Prvé stretnutie

Proxy server Usergate vám umožňuje poskytnúť užívateľom lokálnej siete prístup na internet a definovať prístupové politiky, zakázať prístup k určitým zdrojom, obmedziť prevádzku alebo čas, počas ktorého používatelia pracujú na sieti. Usergate navyše umožňuje viesť oddelené záznamy o prevádzke podľa užívateľa aj podľa protokolu, čo výrazne uľahčuje kontrolu nákladov na internetové pripojenie. IN V poslednej dobe Medzi poskytovateľmi internetu existuje tendencia poskytovať neobmedzený prístup na internet prostredníctvom svojich kanálov. Na pozadí tohto trendu sa do popredia dostáva kontrola prístupu a účtovníctvo. Na to stačí proxy server Usergate flexibilný systém pravidlá

Proxy server používateľskej brány s podporou NAT (Network Address Translation) beží na operačných systémoch systémy Windows 2000/2003/XP s nainštalovaným protokolom TCP/IP. Bez podpory protokolu NAT môže Usergate bežať na Windows 95/98 a Windows NT 4.0. Samotný program nevyžaduje špeciálne prostriedky na prevádzku, hlavnou podmienkou je dostupnosť dostatočného miesta na disku pre vyrovnávaciu pamäť a súbory denníka. Preto sa stále odporúča nainštalovať proxy server na samostatný počítač, ktorý mu poskytne maximálne zdroje.

nastavenie

Na čo slúži proxy server? Koniec koncov, každý webový prehliadač (Netscape Navigator, Microsoft Internet Explorer, Opera) už dokáže dokumenty vyrovnávať. Pamätajte však, že po prvé, na tieto účely neprideľujeme značné množstvo miesta na disku. A po druhé, pravdepodobnosť, že jedna osoba navštívi tie isté stránky, je oveľa menšia, ako keby to urobili desiatky alebo stovky ľudí (a veľa organizácií má taký počet používateľov). Vytvorenie jedného vyrovnávacieho priestoru pre organizáciu preto zníži prichádzajúcu návštevnosť a urýchli vyhľadávanie dokumentov, ktoré už jeden zo zamestnancov dostal na internete. Proxy server UserGate môže byť hierarchicky prepojený s externými proxy servermi (poskytovateľmi) a v tomto prípade bude možné, ak nie znížiť prevádzku, tak aspoň urýchliť príjem dát, ako aj znížiť náklady. (zvyčajne sú náklady na prevádzku od poskytovateľa cez proxy server nižšie).

Obrazovka 1: Nastavenie vyrovnávacej pamäte

Pri pohľade do budúcnosti poviem, že vyrovnávacia pamäť je nakonfigurovaná v časti ponuky „Služby“ (pozri obrazovku 1). Po prepnutí cache do režimu “Enabled” môžete konfigurovať jej jednotlivé funkcie – cachovanie POST požiadaviek, dynamických objektov, cookies, obsahu prijatého cez FTP. Tu môžete nakonfigurovať veľkosť diskového priestoru prideleného pre vyrovnávaciu pamäť a životnosť dokumentu uloženého vo vyrovnávacej pamäti. A aby vyrovnávacia pamäť začala fungovať, musíte nakonfigurovať a povoliť režim proxy. Nastavenia určujú, ktoré protokoly budú fungovať cez proxy server (HTTP, FTP, SOCKS), na akom sieťovom rozhraní sa budú počúvať a či sa bude vykonávať kaskádovanie (údaje potrebné na to sa zadávajú na samostatnej záložke služby okno nastavení).

Pred začatím práce s programom je potrebné vykonať ďalšie nastavenia. Spravidla sa to robí v nasledujúcom poradí:

1. Vytváranie používateľských účtov v Usergate.
2. Nastavenie DNS a NAT v systéme s užívateľskou bránou. Zapnuté v tomto štádiu Nastavenie sa týka hlavne konfigurácie NAT pomocou sprievodcu.
3. Nastavenie sieťového pripojenia na klientskych strojoch, kde je potrebné zaregistrovať bránu a DNS vo vlastnostiach sieťového pripojenia TCP/IP.
4. Vytvorenie politiky prístupu na internet.

Pre jednoduchosť používania je program rozdelený do niekoľkých modulov. Serverový modul beží na počítači pripojenom na internet a vykonáva základné úlohy. Správa užívateľskej brány sa vykonáva pomocou špeciálneho modulu Správca užívateľskej brány. S jeho pomocou sa všetky nastavenia servera vykonajú v súlade s nevyhnutné požiadavky. Klientska časť Usergate je implementovaná vo forme Usergate Authentication Client, ktorý je nainštalovaný na počítači používateľa a slúži na autorizáciu používateľov na serveri Usergate, ak je použitá iná autorizácia ako IP alebo IP + MAC autorizácia.

Kontrola

Správa používateľov a skupín je umiestnená v samostatnej časti. Skupiny sú potrebné na uľahčenie správy používateľov a ich všeobecných nastavení prístupu a fakturácie. Môžete vytvoriť toľko skupín, koľko potrebujete. Skupiny sa zvyčajne vytvárajú podľa štruktúry organizácie. Aké parametre možno priradiť skupine používateľov? Ku každej skupine je priradená tarifa, v ktorej sa budú brať do úvahy náklady na prístup. Štandardne sa používa predvolená tarifa. Je prázdna, takže pripojenia všetkých používateľov zaradených do skupiny nie sú spoplatňované, pokiaľ nie je v používateľskom profile prepísaná tarifa.

Program má sadu preddefinovaných pravidiel NAT, ktoré nie je možné zmeniť. Ide o prístupové pravidlá pre protokoly Telten, POP3, SMTP, HTTP, ICQ atď. Pri nastavovaní skupiny môžete určiť, ktoré pravidlá budú aplikované na túto skupinu a používateľov v nej zahrnutých.

Režim automatického vytáčania možno použiť, keď je pripojenie k internetu cez modem. Keď je tento režim povolený, používateľ môže inicializovať pripojenie k internetu, keď ešte nie je pripojenie - na jeho žiadosť modem vytvorí pripojenie a poskytne prístup. Ale pri pripojení cez prenajatú linku alebo ADSL tento režim nie je potrebný.

Pridávanie používateľských účtov nie je o nič zložitejšie ako pridávanie skupín (pozri obrázok 2). A ak je počítač s nainštalovaným proxy serverom Usergate súčasťou domény Active Directory (AD), účty používatelia môžu byť odtiaľ importovaní a potom kategorizovaní do skupín. Ale ako pri manuálnom zadávaní, tak aj pri importe účtov z AD je potrebné nakonfigurovať užívateľské práva a pravidlá prístupu. Patria sem typ oprávnenia, tarifný plán, dostupné pravidlá NAT (ak skupinové pravidlá plne neuspokojujú potreby konkrétneho užívateľa).

Proxy server Usergate podporuje niekoľko typov autorizácie, vrátane autorizácie používateľov prostredníctvom služby Active Directory a okna Prihlásenie do systému Windows, ktoré vám umožňuje integrovať bránu používateľa do existujúceho sieťovú infraštruktúru. Usergate používa vlastný NAT ovládač, ktorý podporuje autorizáciu prostredníctvom špeciálneho modulu - modulu autorizácie klienta. V závislosti od zvoleného spôsobu autorizácie musíte v nastaveniach užívateľského profilu zadať buď jeho IP adresu (alebo rozsah adries), alebo meno a heslo, alebo len meno. Tu je možné zadať aj e-mailovú adresu používateľa, na ktorú mu budú zasielané správy o využívaní prístupu na internet.

pravidlá

Systém pravidiel používateľskej brány je flexibilnejší v nastaveniach v porovnaní s možnosťami politiky vzdialeného prístupu (politika vzdialeného prístupu v RRAS). Pomocou pravidiel môžete zablokovať prístup k určitým adresám URL, obmedziť návštevnosť pomocou určitých protokolov, nastaviť časový limit, obmedziť maximálnu veľkosť súboru, ktorý si môže používateľ stiahnuť, a mnoho ďalšieho (pozri obrázok 3). Štandardné nástroje operačného systému nemajú dostatočnú funkčnosť na vyriešenie týchto problémov.

Pravidlá sa vytvárajú pomocou asistenta. Vzťahujú sa na štyri hlavné objekty monitorované systémom – pripojenie, premávku, tarifu a rýchlosť. Okrem toho je možné pre každú z nich vykonať jednu akciu. Vykonávanie pravidiel závisí od nastavení a obmedzení, ktoré sú preň vybraté. Patria sem používané protokoly, časy podľa dní v týždni, kedy bude toto pravidlo platiť. Nakoniec sú stanovené kritériá pre objem prevádzky (prichádzajúcu a odchádzajúce), čas strávený v sieti, zostatok finančných prostriedkov na účte používateľa, ako aj zoznam IP adries zdroja požiadavky a sieťových adries zdrojov, ktoré sú predmetom akcie. Konfigurácia sieťových adries vám tiež umožňuje určiť typy súborov, ktoré si používatelia nebudú môcť stiahnuť.

Mnohé organizácie nepovoľujú používanie služieb okamžitých správ. Ako implementovať takýto zákaz pomocou Usergate? Stačí vytvoriť jedno pravidlo, ktoré uzavrie spojenie pri vyžiadaní stránky *login.icq.com* a aplikovať ho na všetkých používateľov. Aplikácia pravidiel umožňuje zmeniť tarify za prístup cez deň alebo v noci, na regionálne resp zdieľané zdroje(ak takéto rozdiely poskytovateľ poskytuje). Napríklad na prepínanie medzi nočnou a dennou tarifou bude potrebné vytvoriť dve pravidlá, jedno vykoná časové prepnutie z dennej na nočnú tarifu, druhé prepne späť. Prečo sú vlastne potrebné tarify? Toto je základ vstavaného fakturačného systému. V súčasnosti je možné tento systém použiť iba na porovnávanie a skúšobné kalkulácie, ale po certifikácii fakturačného systému budú mať majitelia systému spoľahlivý mechanizmus na prácu so svojimi klientmi.

Používatelia

Teraz sa vráťme k nastaveniam DNS a NAT. Nastavenie DNS zahŕňa zadanie adries externých serverov DNS, ku ktorým bude systém pristupovať. V tomto prípade je na používateľských počítačoch potrebné zadať IP interného sieťového rozhrania počítača s Usergate v nastaveniach pripojenia pre vlastnosti TCP/IP ako bránu a DNS. Trochu iný princíp konfigurácie pri použití NAT. V tomto prípade je potrebné pridať do systému nové pravidlo, ktoré vyžaduje definovanie IP adresy prijímača (lokálne rozhranie) a IP odosielateľa (externé rozhranie), portu - 53 a protokolu UDP. Toto pravidlo musí byť priradené všetkým používateľom. A v nastaveniach pripojenia na ich počítačoch by ste mali zadať IP adresu DNS servera poskytovateľa ako DNS a IP adresu počítača s užívateľskou bránou ako bránou.

Konfiguráciu e-mailových klientov je možné vykonať pomocou mapovania portov aj pomocou NAT. Ak vaša organizácia povoľuje používanie služieb okamžitých správ, musíte pre ne zmeniť nastavenia pripojenia - musíte určiť použitie brány firewall a proxy, nastaviť IP adresu interného sieťového rozhrania počítača s používateľskou bránou a vybrať HTTPS alebo Socks protokol. Musíte však mať na pamäti, že pri práci cez proxy server nebudete môcť pracovať v chatovacích miestnostiach a videorozhovore, ak používate Yahoo Messenger.

Štatistiky prevádzky sa zaznamenávajú do denníka, ktorý obsahuje informácie o parametroch pripojenia všetkých používateľov: čas pripojenia, trvanie, vynaložené prostriedky, požadované adresy, množstvo prijatých a odoslaných informácií. Zaznamenávanie informácií o používateľských pripojeniach do štatistického súboru nie je možné zrušiť. Na prezeranie štatistík v systéme slúži špeciálny modul, ku ktorému je možné pristupovať ako cez administrátorské rozhranie, tak aj na diaľku. Dáta môžu byť filtrované podľa používateľov, protokolov a času a môžu byť uložené v externý súbor vo formáte Excel na ďalšie spracovanie.

Čo bude ďalej

Ak boli prvé verzie systému určené iba na implementáciu mechanizmu ukladania do vyrovnávacej pamäte proxy servera, potom v najnovšie verzie objavili sa nové komponenty navrhnuté tak, aby poskytovali informačná bezpečnosť. Používatelia Usergate dnes môžu používať vstavaný firewall a antivírusový modul Kaspersky. Firewall vám umožňuje kontrolovať, otvárať a blokovať určité porty, ako aj zverejňovať firemné webové zdroje na internete. Zabudovaný firewall spracováva pakety, ktoré nie sú spracované na úrovni pravidiel NAT. Po spracovaní paketu ovládačom NAT ho už firewall nespracováva. Nastavenia portov vykonané pre server proxy, ako aj porty špecifikované v mapovaní portov, sú umiestnené v automaticky generovaných pravidlách brány firewall (automatický typ). Automatické pravidlá zahŕňajú aj TCP port 2345, ktorý používa modul Usergate Administrator na pripojenie k backendu Usergate.

Keď už hovoríme o vyhliadkach na ďalší vývoj produktu, stojí za zmienku vytvorenie vlastného servera VPN, ktorý vám umožní opustiť VPN z operačného systému; implementácia poštového servera s podporou antispamu a vývoj inteligentného firewallu na aplikačnej úrovni.

Michail Abramzon- Vedúci marketingovej skupiny v Digt.

Poznámka: Tento článok bol upravený a aktualizovaný o aktuálne údaje a ďalšie odkazy.

UserGate Proxy a Firewall je internetová brána triedy UTM (Unified Threat Management), ktorá vám umožňuje poskytovať a kontrolovať zdieľaný prístup zamestnancov k internetovým zdrojom, filtrovať škodlivé, nebezpečné a nechcené stránky, chrániť sieť spoločnosti pred vonkajšími prienikmi a útokmi, vytvárať virtuálne siete a organizovať bezpečné VPN pristupuje k sieťovým zdrojom zvonku, ako aj spravuje šírku kanála a internetové aplikácie.

Produkt je efektívnou alternatívou k drahému softvéru a hardvéru a je určený na použitie v malých a stredných podnikoch, v vládne inštitúcie, ako aj veľké organizácie s odvetvovou štruktúrou.

Všetky Ďalšie informácie o produkte, ktorý nájdete.

Program má ďalšie platené moduly:

• Kaspersky Antivirus
• Panda Antivirus
• Antivírus Avira
• Filtrovanie adries URL Entensys

Licencia pre každý modul sa poskytuje pre jeden modul kalendárny rok. Fungovanie všetkých modulov si môžete vyskúšať v skúšobnom kľúči, ktorý je možné poskytnúť na dobu 1 až 3 mesiacov pre neobmedzený počet užívateľov.

Podrobne si môžete prečítať o licenčných pravidlách.

V prípade akýchkoľvek otázok súvisiacich s nákupom riešení Entensy kontaktujte: [e-mail chránený] alebo zavolaním na bezplatnú linku: 8-800-500-4032.

Požiadavky na systém

Na usporiadanie brány potrebujete počítač alebo server, ktorý musí spĺňať nasledujúce systémové požiadavky:

• Frekvencia CPU: od 1,2 GHz
• Kapacita RAM: od 1024 Gb
• Kapacita HDD: od 80 GB
• Počet sieťových adaptérov: 2 alebo viac

Čím väčší je počet používateľov (v pomere k 75 používateľom), tým lepšie by mali byť charakteristiky servera.

Odporúčame nainštalovať náš produkt na počítač s „čistým“ operačným systémom servera, odporúčaný operačný systém je Windows 2008/2012.
Nezaručujeme správne fungovanie UserGate Proxy&Firewall a/alebo spolupráce služby tretích strán a Neodporúčame používať spolu so službami na bráne, ktorá vykonáva nasledujúce úlohy:

• Je radič domény
• Je hypervízor virtuálneho stroja
• Je terminálový server
• Funguje ako server DBMS/DNS/HTTP s vysokým zaťažením atď.
• Funguje ako SIP server
• Vykonáva dôležité obchodné služby alebo služby
• Všetko vyššie uvedené

UserGate Proxy&Firewall môže byť v súčasnosti v konflikte s nasledujúcimi typmi softvéru:

• Všetci bez výnimky tretia strana Firewall/Firewall riešenia
• Antivírusové produkty BitDefender
• Antivírusové moduly, ktoré vykonávajú funkciu Firewall alebo Anti-Hacker väčšiny antivírusových produktov. Odporúča sa tieto moduly vypnúť
• Antivírusové moduly, ktoré skenujú údaje prenášané prostredníctvom protokolov HTTP/SMTP/POP3, to môže spôsobiť oneskorenie pri aktívnej práci cez proxy;
• Softvérové ​​produkty tretích strán, ktoré sú schopné zachytávať údaje zo sieťových adaptérov - „merače rýchlosti“, „tvarovače“ atď.
• Aktívna rola Windows Server "Smerovanie a vzdialený prístup" v režime NAT/Zdieľanie internetového pripojenia (ICS).

Pozor! Počas inštalácie sa odporúča vypnúť na bráne podporu protokolu IPv6 za predpokladu, že sa nepoužívajú aplikácie využívajúce IPv6. Aktuálna implementácia UserGate Proxy&Firewall nepodporuje protokol IPv6, a preto sa filtrovanie tohto protokolu nevykonáva. Hostiteľ tak môže byť prístupný zvonku cez protokol IPv6 aj s aktivovanými zakázanými pravidlami brány firewall.

Pri správnej konfigurácii je UserGate Proxy&Firewall kompatibilný s nasledujúcimi službami:

Roly Microsoft Windows Server:

• DNS server
• DHCP server
• Tlačový server
• Súborový (SMB) server
• Server aplikácií
• server WSUS
• Webový server
• server WINS
• server VPN

A s produktmi tretích strán:

• FTP/SFTP servery
• Servery na odosielanie správ - IRC/XMPP

Pri inštalácii UserGate Proxy&Firewall sa uistite, že softvér tretej strany nepoužíva port alebo porty, ktoré môže používať UserGate Proxy&Firewall. UserGate štandardne používa nasledujúce porty:

• 25 - SMTP proxy
• 80 - transparentný HTTP proxy
• 110 - POP3 proxy
• 2345 - Konzola správcu UserGate
• 5455 - Server VPN UserGate
• 5456 - Autorizačný klient UserGate
• 5458 - DNS forwarding
• 8080 - HTTP proxy
• 8081 - Webové štatistiky UserGate

Všetky porty je možné zmeniť pomocou administrátorskej konzoly UserGate.

Inštalácia programu a výber databázy, s ktorou budete pracovať

UserGate Proxy & Firewall Setup Wizard

Podrobnejší popis nastavenia pravidiel NAT je popísaný v tomto článku:

Agent UserGate

Po inštalácii UserGate Proxy&Firewall Nevyhnutne reštartujte bránu. Po autorizácii v systéme by sa ikona agenta UserGate na paneli úloh Windows vedľa hodín mala zmeniť na zelenú. Ak je ikona sivá, znamená to, že sa vyskytla chyba počas procesu inštalácie a služba UserGate Proxy&Firewall server nie je spustená, v tomto prípade si pozrite príslušnú sekciu databázy znalostí Entensy alebo technická podpora Spoločnosť Entensys.

Produkt sa konfiguruje prostredníctvom administračnej konzoly UserGate Proxy&Firewall, ktorú je možné vyvolať buď dvojitým kliknutím na ikonu agenta UserGate alebo skratkou z ponuky Štart.
Keď spustíte administračnú konzolu, prvým krokom je registrácia vášho produktu.

Všeobecné nastavenia

V časti Všeobecné nastavenia administrátorskej konzoly nastavte heslo pre administrátora. Dôležité! Na prístup k administračnej konzole nepoužívajte ako heslo špeciálne znaky Unicode ani kód PIN produktu.

Produkt UserGate Proxy&Firewall má mechanizmus ochrany pred útokmi, môžete ho aktivovať aj v menu „Všeobecné nastavenia“. Mechanizmus ochrany pred útokmi je aktívny mechanizmus, akési „červené tlačidlo“, ktoré funguje na všetkých rozhraniach. Túto funkciu odporúčame použiť v prípade DDoS útokov alebo hromadnej infekcie počítačov v rámci lokálnej siete malvérom (vírusy/červy/botnetové aplikácie). Mechanizmus ochrany pred útokmi môže blokovať používateľov využívajúcich klientov na zdieľanie súborov – torrenty, priame pripojenie, niektoré typy VoIP klientov/serverov, ktoré si aktívne vymieňajú prevádzku. Ak chcete získať adresy IP blokovaných počítačov, otvorte súbor ProgramData\Entensys\Usergate6\logging\fw.log alebo Dokumenty a nastavenia\Všetci používatelia\Údaje aplikácií\Entensys\Usergate6\logging\fw.log.

Pozor! Odporúča sa meniť parametre popísané nižšie len v prípade veľkého počtu klientov/vysokých požiadaviek na priepustnosť brány.

Táto sekcia obsahuje aj nasledovné nastavenia: „Maximálny počet pripojení“ – maximálny počet všetkých pripojení cez NAT a cez proxy server UserGate Proxy&Firewall.

"Maximálny počet pripojení NAT" - maximálny počet pripojení, ktoré môže UserGate Proxy&Firewall prejsť cez ovládač NAT.

Ak počet klientov nie je vyšší ako 200-300, neodporúčame meniť nastavenia „Maximálny počet pripojení“ a „Maximálny počet pripojení NAT“. Zvýšenie týchto parametrov môže viesť k značnému zaťaženiu hardvéru brány a odporúča sa len pri optimalizácii nastavení pre veľký počet klientov.

Rozhrania

Pozor! Predtým, ako to urobíte, skontrolujte nastavenia sieťového adaptéra v systéme Windows! Rozhranie pripojené k lokálnej sieti (LAN) nesmie obsahovať adresu brány! DNS servery nie je potrebné špecifikovať v nastaveniach LAN adaptéra, IP adresa sa musí prideľovať manuálne, neodporúčame získavať pomocou DHCP.

IP adresa LAN adaptéra musí mať súkromnú IP adresu. Je prijateľné použiť IP adresu z nasledujúcich rozsahov:

10.0.0.0 - 10.255.255.255 (predpona 10/8) 172.16.0.0 - 172.31.255.255 (predpona 172.16/12) 192.168.0.0 - 192.165.25 / 192.165.25

Distribúcia adries privátnej siete je popísaná v RFC 1918 .

Použitie iných rozsahov ako adries pre lokálnu sieť povedie k chybám v prevádzke UserGate Proxy&Firewall.

Rozhranie pripojené k internetu (WAN) musí obsahovať IP adresu, masku siete, adresu brány a adresy servera DNS.
V nastaveniach adaptéra WAN sa neodporúča používať viac ako tri servery DNS, môže to viesť k chybám v prevádzke siete. Najprv skontrolujte funkčnosť každého servera DNS pomocou príkazu nslookup v konzole cmd.exe, príklad:

nslookup usergate.ru 8.8.8.8

kde 8.8.8.8 je adresa servera DNS. Odpoveď musí obsahovať IP adresu požadovaného servera. Ak nepríde žiadna odpoveď, server DNS nie je platný alebo je prenos DNS zablokovaný.

Je potrebné určiť typ rozhraní. Rozhranie s IP adresou, ktoré je pripojené k internej sieti, musí byť typu LAN; rozhranie, ktoré je pripojené k internetu - WAN.

Ak existuje niekoľko rozhraní WAN, musíte vybrať hlavné rozhranie WAN, cez ktoré bude prúdiť všetka prevádzka, kliknutím naň pravým tlačidlom myši a výberom položky „Nastaviť ako primárne pripojenie“. Ak plánujete použiť iné rozhranie WAN ako záložný kanál, odporúčame použiť „Sprievodcu nastavením“.

Pozor! Pri nastavovaní záložného pripojenia sa odporúča zadať nie názov hostiteľa DNS, ale IP adresu, aby ho UserGate Proxy&Firewall pravidelne zisťoval pomocou požiadaviek icmp (ping) a ak neodpovedá, zapol záložné pripojenie. Uistite sa, že servery DNS v nastaveniach sieťového záložného adaptéra v systéme Windows fungujú.

Používatelia a skupiny

Aby sa klientsky počítač mohol prihlásiť do brány a získať prístup k službám UserGate Proxy&Firewall a NAT, musíte pridať používateľov. Na zjednodušenie tohto postupu použite funkciu skenovania - "Skenovať lokálnu sieť". UserGate Proxy&Firewall nezávisle prehľadá lokálnu sieť a poskytne zoznam hostiteľov, ktorých možno pridať do zoznamu používateľov. Ďalej môžete vytvoriť skupiny a zahrnúť do nich používateľov.

Ak ste nasadili radič domény, môžete nakonfigurovať synchronizáciu skupín so skupinami v službe Active Directory alebo importovať používateľov zo služby Active Directory bez neustálej synchronizácie so službou Active Directory.

Vytvoríme skupinu, ktorá bude synchronizovaná so skupinou alebo skupinami z AD, zadáme potrebné údaje v menu „Synchronizácia s AD“ a reštartujeme službu UserGate pomocou agenta UserGate. Po 300 sek. používatelia sa automaticky importujú do skupiny. Títo používatelia budú mať spôsob overenia nastavený na AD.

POŽARNE DVERE

Pre správnu a bezpečnú prevádzku brány je potrebné Nevyhnutne nakonfigurovať firewall.

Odporúča sa nasledujúci algoritmus prevádzky brány firewall: zablokujte všetku komunikáciu a potom pridajte povoľovacie pravidlá v potrebných smeroch. Aby ste to dosiahli, pravidlo #NEPOUŽÍVATEĽ# musí byť nastavené na režim „Odmietnuť“ (toto zakáže všetku miestnu komunikáciu na bráne). Opatrne! Ak nakonfigurujete UserGate Proxy&Firewall vzdialene, budete odpojení od servera. Potom musíte vytvoriť povoľovacie pravidlá.

Všetku lokálnu komunikáciu povoľujeme na všetkých portoch z brány do lokálnej siete a z lokálnej siete do brány vytvorením pravidiel s nasledujúcimi parametrami:

Zdroj - "LAN", cieľ - "Akýkoľvek", služby - ANY:FULL, akcia - "Povoliť"
Zdroj - "Akýkoľvek", cieľ - "LAN", služby - ANY:FULL, akcia - "Povoliť"

Potom vytvoríme pravidlo, ktoré otvorí bráne prístup na internet:

Zdroj - "WAN"; cieľ - "Akýkoľvek"; služby - ANY:FULL; akcia - "Povoliť"

Ak potrebujete povoliť prístup pre prichádzajúce pripojenia na všetkých portoch k bráne, pravidlo bude vyzerať takto:

Zdroj - "Akýkoľvek"; cieľ - "WAN"; služby - ANY:FULL; akcia - "Povoliť"

A ak potrebujete, aby brána prijímala prichádzajúce pripojenia, napríklad iba cez RDP (TCP:3389) a mohla by byť pingovaná zvonku, musíte vytvoriť nasledujúce pravidlo:

Zdroj - "Akýkoľvek"; cieľ - "WAN"; služby - Akékoľvek ICMP, RDP; akcia - "Povoliť"

Vo všetkých ostatných prípadoch nie je z bezpečnostných dôvodov vytváranie pravidla pre prichádzajúce spojenia potrebné.

Ak chcete klientskym počítačom poskytnúť prístup na internet, musíte vytvoriť pravidlo prekladu sieťových adries (NAT).

Zdroj - "LAN"; cieľ - "WAN"; služby - ANY:FULL; akcia - "Povoliť"; vyberte používateľov alebo skupiny, ktorým chcete udeliť prístup.

Je možné nakonfigurovať pravidlá brány firewall – povoliť to, čo je jasne zakázané a naopak, zakázať to, čo je jasne povolené, v závislosti od toho, ako si nastavíte pravidlo #NEPOUŽÍVATEĽ# a aké sú pravidlá vašej spoločnosti. Všetky pravidlá majú prednosť – pravidlá fungujú v poradí zhora nadol.

Je možné zobraziť možnosti rôznych nastavení a príklady pravidiel brány firewall.

Iné nastavenia

Ďalej v časti Služby - Proxy môžete povoliť potrebné proxy servery - HTTP, FTP, SMTP, POP3, SOCKS. Vyberte požadované rozhrania zapnutie možnosti „počúvať na všetkých rozhraniach“ nemusí byť bezpečné, pretože proxy bude v tomto prípade k dispozícii na rozhraniach LAN aj na externých rozhraniach. Režim „transparentného“ proxy smeruje všetku komunikáciu na vybranom porte na port proxy, v tomto prípade nie je potrebné špecifikovať proxy na klientskych počítačoch. Proxy zostáva dostupný aj na porte uvedenom v nastaveniach samotného proxy servera.

Ak je na serveri povolený transparentný proxy režim (Služby - Nastavenia proxy), potom stačí v nastaveniach siete na klientskom počítači zadať server UserGate ako hlavnú bránu. Môžete tiež zadať server UserGate ako server DNS, v tomto prípade musí byť povolený.

Ak je na serveri zakázaný transparentný režim, musíte zadať adresu servera UserGate a zodpovedajúci port proxy uvedený v časti Služby - Nastavenia proxy v nastaveniach pripojenia prehliadača. Môžete vidieť príklad nastavenia servera UserGate pre takýto prípad.

Ak má vaša sieť nakonfigurovaný server DNS, môžete ho špecifikovať v nastaveniach presmerovania DNS UserGate a nastavení adaptéra UserGate WAN. V tomto prípade v režime NAT aj v režime proxy budú všetky požiadavky DNS smerované na tento server.

Po pripojení internetu v kancelárii chce každý šéf vedieť, za čo platí. Najmä ak tarifa nie je neobmedzená, ale založená na návštevnosti. Existuje niekoľko spôsobov, ako vyriešiť problémy riadenia dopravy a organizácie prístupu na internet v podnikovom meradle. Budem hovoriť o implementácii proxy servera UserGate na získanie štatistík a kontrolu šírky pásma kanála pomocou mojich skúseností ako príkladu.

Hneď poviem, že som použil službu UserGate (verzia 4.2.0.3459), ale spôsoby organizácie prístupu a použité technológie sa používajú aj na iných proxy serveroch. Tu popísané kroky sú teda vo všeobecnosti vhodné pre iné softvérové ​​riešenia (napríklad Kerio Winroute Firewall alebo iné proxy), s malými rozdielmi v detailoch implementácie konfiguračného rozhrania.

Popíšem zadanú úlohu: Je tu sieť 20 strojov, v tej istej podsieti je ADSL modem (striedavo 512/512 kbit/s). Vyžaduje sa obmedzenie maximálna rýchlosť používateľov a sledovať návštevnosť. Úloha je trochu komplikovaná skutočnosťou, že prístup k nastaveniam modemu je uzavretý poskytovateľom (prístup je možný iba cez terminál, ale heslo je u poskytovateľa). Stránka so štatistikami na webe poskytovateľa je nedostupná (nepýtajte sa prečo, existuje len jedna odpoveď – spoločnosť má s poskytovateľom takýto vzťah).

Nainštalujeme užívateľskú bránu a aktivujeme ju. Na organizáciu prístupu k sieti použijeme NAT ( Preklad sieťových adries- „preklad sieťovej adresy“). Aby technológia fungovala, je potrebné mať dve sieťové karty na stroji, na ktorý nainštalujeme server (službu) UserGate (Je možnosť, že NAT sfunkčníte na jednej sieťovej karte tak, že jej pridelíte dve IP adresy v rôzne podsiete).

takže, fáza počiatočného nastavenia - konfigurácia ovládača NAT(ovládač od UserGate, nainštalovaný pri hlavnej inštalácii služby). nás potrebné dve sieťové rozhrania(čítať sieťové karty) na hardvéri servera ( Pre mňa to nebol problém, pretože... Nasadil som UserGate na virtuálny počítač. A tam môžete vytvoriť „veľa“ sieťových kariet).

V ideálnom prípade do Samotný modem je pripojený k jednej sieťovej karte, A na druhú - celú sieť, z ktorého budú pristupovať na internet. V mojom prípade je modem nainštalovaný v rôznych miestnostiach so serverom (fyzickým strojom) a ja som príliš lenivý a nemám čas presúvať zariadenie (a v blízkej budúcnosti sa objaví organizácia serverovej miestnosti). Oba sieťové adaptéry som pripojil k rovnakej sieti (fyzicky), ale nakonfiguroval som ich pre rôzne podsiete. Keďže sa mi nepodarilo zmeniť nastavenia modemu (prístup bol zablokovaný poskytovateľom), musel som preniesť všetky počítače do inej podsiete (našťastie to ide jednoducho pomocou DHCP).

Sieťová karta pripojená k modemu ( internet) nastaviť ako doteraz (podľa údajov od poskytovateľa).

• Menujeme statická IP adresa(v mojom prípade je to 192.168.0.5);
• Masku podsiete 255.255.255.0 som nezmenil, ale dá sa nakonfigurovať tak, že v podsieti proxy servera a modemu budú iba dve zariadenia;
• Brána - adresa modemu 192.168.0.1
• Adresy serverov DNS poskytovateľa ( hlavné a doplnkové požadované).

Druhá sieťová karta, pripojený k internej sieti ( intranet), nastavte takto:

• Statické IP adresa, ale v inej podsieti(mám 192.168.1.5);
• Maska podľa vašich nastavení siete (mám 255.255.255.0);
• Brána neuvádzame.
• V poli Adresa servera DNS zadajte adresu podnikového servera DNS(ak existuje, ak nie, nechajte pole prázdne).

Poznámka: musíte sa uistiť, že v nastaveniach sieťového rozhrania je vybraté použitie komponentu NAT z UserGate.

Po nastavení sieťových rozhraní spustiť samotnú službu UserGate(nezabudnite ho nakonfigurovať tak, aby fungoval ako služba, ktorá sa automaticky spúšťa so systémovými právami) a prejdite do riadiacej konzoly(možno lokálne alebo na diaľku). Prejdite na „Pravidlá siete“ a vyberte „ Sprievodca nastavením NAT“, budete musieť uviesť svoj intranet ( intranet) a internet ( internet) adaptéry. Intranet - adaptér pripojený k internej sieti. Sprievodca nakonfiguruje ovládač NAT.

Potom musíte pochopiť pravidlá NAT, pre ktorý prejdeme na „Nastavenia siete“ - „NAT“. Každé pravidlo má niekoľko polí a stav (aktívne a neaktívne). Podstata polí je jednoduchá:

• Názov – názov pravidla, Odporúčam dať niečo zmysluplné(do tohto poľa nie je potrebné písať adresy a porty, tieto informácie už budú dostupné v zozname pravidiel);
• Rozhranie prijímača je vaše intranetové rozhranie(v mojom prípade 192.168.1.5);
• Rozhranie odosielateľa je vaše internetové rozhranie(na rovnakej podsieti s modemom, v mojom prípade 192.168.0.5);
• Port- uveďte, do ktorej kategórie patrí toto pravidlo (napríklad pre prehliadač (HTTP) port 80 a pre prijímanie pošty port 110). Môžete určiť rozsah portov, ak sa nechcete motať, ale neodporúča sa to robiť pre celú škálu portov.
• Protokol - vyberte jednu z možností z rozbaľovacej ponuky: TCP(zvyčajne), UPD alebo ICMP(napríklad na ovládanie príkazov ping alebo tracert).

Zoznam pravidiel už spočiatku obsahuje najpoužívanejšie pravidlá potrebné pre fungovanie pošty a rôznych typov programov. Štandardný zoznam som ale doplnil o vlastné pravidlá: pre spúšťanie DNS dotazov (bez použitia možnosti presmerovania v UserGate), pre spúšťanie SSL bezpečných spojení, pre spúšťanie torrent klienta, pre spúšťanie programu Radmin atď. Tu sú snímky obrazovky môjho zoznamu pravidiel. Zoznam je zatiaľ malý, no postupom času sa rozširuje (vzhľadom na potrebu pracovať na novom porte).

Ďalšou fázou je nastavenie používateľov. V mojom prípade som si vybral autorizácia podľa IP adresy a MAC adresy. Možnosti autorizácie sú len podľa adresy IP a poverení služby Active Directory. Môžete tiež použiť autorizáciu HTTP (zakaždým, keď používatelia prvýkrát zadajú heslo cez prehliadač). Vytvárame používateľov a skupiny používateľov A priraďte im použité pravidlá NAT(Používateľovi musíme dať internet v prehliadači - povolíme mu pravidlo HTTP s portom 80, musíme mu dať ICQ - pravidlo ICQ s potom 5190).

Nakoniec som vo fáze implementácie nakonfiguroval používateľov na prácu cez proxy. Na tento účel som použil službu DHCP. Nasledujúce nastavenia sa prenesú do klientskych počítačov:

• IP adresa je dynamická z DHCP v rozsahu intranetovej podsiete (v mojom prípade je rozsah 192.168.1.30 -192.168.1.200. Pre požadované stroje som nakonfiguroval rezerváciu IP adresy).
• Maska podsiete (255.255.255.0)
• Brána - adresa stroja s UserGate v lokálnej sieti (adresa intranetu - 192.168.1.5)
• DNS servery - poskytujem 3 adresy. Prvá je adresa podnikového servera DNS, druhá a tretia sú adresy DNS poskytovateľa. (Podnikový DNS je nakonfigurovaný tak, aby preposielal na DNS poskytovateľa, takže v prípade „padnutia“ lokálneho DNS sa internetové názvy vyriešia na DNS poskytovateľa).

Na toto základné nastavenie dokončené. Vľavo skontrolujte funkčnosť, aby ste to urobili na klientskom počítači, ktorý potrebujete (prijatím nastavení z DHCP alebo ich manuálnym pridaním v súlade s vyššie uvedenými odporúčaniami) spustite prehliadač a otvorte ľubovoľnú stránku na internete. Ak niečo nefunguje, znova skontrolujte situáciu:

• Sú nastavenia sieťového adaptéra klienta správne? (Pinguje stroj s proxy serverom?)
• Je používateľ/počítač autorizovaný na serveri proxy? (pozrite si metódy autorizácie UserGate)
• Má používateľ/skupina povolené pravidlá NAT, ktoré sú potrebné na prevádzku? (aby prehliadač fungoval, potrebujete aspoň pravidlá HTTP pre protokol TCP na porte 80).
• Sú prekročené dopravné limity pre používateľa alebo skupinu? (toto som sám nepredstavil).

Teraz môžete monitorovať pripojených používateľov a pravidlá NAT, ktoré používajú, v položke „Monitoring“ konzoly na správu proxy servera.

Ďalšie nastavenia servera proxy sa už ladia, Komu špecifické požiadavky. Prvá vec, ktorú som urobil, bolo povoliť obmedzenie šírky pásma vo vlastnostiach používateľa (neskôr môžete implementovať systém pravidiel na obmedzenie rýchlosti) a povoliť doplnkové služby UserGate je proxy server (HTTP na porte 8080, SOCKS5 na porte 1080). Povolenie služieb proxy vám umožňuje používať ukladanie žiadostí do vyrovnávacej pamäte. Ale je potrebné vykonať dodatočné nastavenia klientov na prácu s proxy serverom.

Nejaké otázky? Odporúčam sa ich opýtať tu.

________________________________________

Organizovanie zdieľaného prístupu na internet pre používateľov lokálnej siete je jednou z najbežnejších úloh správcov systému. Napriek tomu stále vyvoláva množstvo ťažkostí a otázok. Ako napríklad zabezpečiť maximálnu bezpečnosť a úplnú ovládateľnosť?

Úvod

Dnes sa podrobne pozrieme na to, ako zorganizovať zdieľaný prístup na internet medzi zamestnancami určitej hypotetickej spoločnosti. Predpokladajme, že ich počet sa bude pohybovať v rozmedzí 50–100 osôb a na lokálnej sieti sú nasadené všetky obvyklé služby pre takéto informačné systémy: Windows doména, vlastný mail server, FTP server.

Na poskytovanie zdieľaného prístupu použijeme riešenie s názvom UserGate Proxy & Firewall. Má niekoľko funkcií. Po prvé, ide o čisto ruský vývoj, na rozdiel od mnohých lokalizovaných produktov. Po druhé, má viac ako desaťročnú históriu. Najdôležitejší je však neustály vývoj produktu.

Prvé verzie tohto riešenia boli relatívne jednoduché proxy servery, ktoré mohli zdieľať iba jedno internetové pripojenie a viesť štatistiky o jeho využívaní. Najrozšírenejší z nich je build 2.8, ktorý ešte stále nájdeme v malých kanceláriách. Najnovšiu, šiestu verziu už samotní vývojári nenazývajú proxy serverom. Podľa nich ide o plnohodnotné UTM riešenie, ktoré pokrýva celý rad úloh súvisiacich s bezpečnosťou a kontrolou akcií používateľov. Pozrime sa, či je to pravda.

Nasadenie UserGate Proxy a Firewallu

Počas inštalácie sú zaujímavé dva kroky (zvyšné kroky sú štandardné pre inštaláciu akéhokoľvek softvéru). Prvým z nich je výber komponentov. Okrem základných súborov sme požiadaní o inštaláciu ďalších štyroch serverových komponentov - VPN, dvoch antivírusov (Panda a Kaspersky Anti-Virus) a prehliadača vyrovnávacej pamäte.

Modul VPN servera sa inštaluje podľa potreby, teda vtedy, keď spoločnosť plánuje využiť vzdialený prístup pre zamestnancov alebo skombinovať viacero vzdialených sietí. Inštalovať antivírusy má zmysel iba vtedy, ak sú od spoločnosti zakúpené príslušné licencie. Ich prítomnosť vám umožní skenovať internetový prenos, lokalizovať a blokovať malvér priamo na bráne. Prehliadač vyrovnávacej pamäte vám umožní prezerať webové stránky uložené vo vyrovnávacej pamäti proxy servera.

Doplnkové funkcie

Zákaz nechcených stránok

Riešenie podporuje technológiu Entensy URL Filtering. V podstate ide o cloudovú databázu obsahujúcu viac ako 500 miliónov webových stránok v rôznych jazykoch, rozdelených do viac ako 70 kategórií. Jeho hlavným rozdielom je neustále sledovanie, počas ktorého sú webové projekty neustále monitorované a pri zmene obsahu sa presúvajú do inej kategórie. To vám umožňuje zablokovať všetky nechcené stránky s vysokou mierou presnosti jednoduchým výberom určitých kategórií.

Použitie Entensys URL Filtering zvyšuje bezpečnosť práce na internete a tiež pomáha zvyšovať efektivitu zamestnancov (zákazom sociálne siete, zábavné stránky a iné veci). Jeho použitie však vyžaduje dostupnosť platené predplatné, ktorý je potrebné každoročne obnovovať.

Okrem toho distribúcia obsahuje ďalšie dva komponenty. Prvým je „Administrátorská konzola“. Ide o samostatnú aplikáciu určenú, ako už názov napovedá, na správu servera UserGate Proxy & Firewall. Jeho hlavnou vlastnosťou je možnosť pripojenia na diaľku. Správcovia alebo osoby zodpovedné za používanie internetu teda nepotrebujú priamy prístup k internetovej bráne.

Druhým doplnkovým komponentom sú webové štatistiky. V podstate ide o webový server, ktorý vám umožňuje zobraziť podrobné štatistiky používania globálnej siete zamestnancov spoločnosti. Na jednej strane je to nepochybne užitočná a pohodlná súčasť. Koniec koncov, umožňuje vám prijímať dáta bez inštalácie dodatočného softvéru, a to aj cez internet. Ale na druhej strane zaberá zbytočné systémové prostriedky internetovej brány. Preto je lepšie ho inštalovať len vtedy, keď je to skutočne potrebné.

Druhou fázou, ktorej by ste mali venovať pozornosť pri inštalácii UserGate Proxy & Firewallu, je výber databázy. V predchádzajúcich verziách mohol UGPF fungovať iba so súbormi MDB, čo ovplyvnilo celkový výkon systému. Teraz je na výber medzi dvoma DBMS - Firebird a MySQL. Prvý je navyše súčasťou distribučnej súpravy, takže pri jeho výbere nie sú potrebné žiadne ďalšie manipulácie. Ak chcete používať MySQL, musíte ho najprv nainštalovať a nakonfigurovať. Po dokončení inštalácie serverových komponentov je potrebné pripraviť pracovné stanice pre administrátorov a iné zodpovedných zamestnancov, ktorý môže ovládať prístup používateľov. Je to veľmi jednoduché. Na ich pracovné počítače stačí nainštalovať administračnú konzolu z rovnakej distribúcie.

Doplnkové funkcie

Vstavaný server VPN

Verzia 6.0 zaviedla komponent servera VPN. S jeho pomocou môžete organizovať bezpečný vzdialený prístup pre zamestnancov spoločnosti do lokálnej siete alebo kombinovať vzdialené siete jednotlivé pobočky organizácie do jedného informačný priestor. Tento server VPN má všetko, čo potrebujete funkčnosť na vytvorenie tunelov server-server a klient-server a smerovanie medzi podsieťami.

Základné nastavenie

Celá konfigurácia UserGate Proxy & Firewall sa vykonáva pomocou riadiacej konzoly. Štandardne je po inštalácii už vytvorené pripojenie k lokálnemu serveru. Ak ho však používate vzdialene, budete musieť vytvoriť pripojenie manuálne zadaním IP adresy alebo názvu hostiteľa internetovej brány, sieťového portu (predvolené 2345) a parametrov autorizácie.

Po pripojení k serveru musíte najskôr nakonfigurovať sieťové rozhrania. Môžete to urobiť na karte „Rozhrania“ v „ Server UserGate" Sieťová karta, ktorá „nazerá“ do lokálnej siete, je nastavená na typ LAN a všetky ostatné pripojenia sú nastavené na WAN. „Dočasným“ pripojeniam, ako sú PPPoE, VPN, sa automaticky priradí typ PPP.

Ak má spoločnosť dve alebo viac pripojení do globálnej siete, pričom jedno z nich je hlavné a ostatné je záložné, potom je možné nakonfigurovať automatické zálohovanie. Je to celkom jednoduché. Stačí pridať potrebné rozhrania do zoznamu rezervných, špecifikovať jeden alebo viac riadiacich prostriedkov a čas ich kontroly. Princíp fungovania tohto systému je nasledujúci. UserGate automaticky kontroluje dostupnosť kontrolných miest v určenom intervale. Akonáhle prestanú reagovať, produkt sa nezávisle, bez zásahu administrátora, prepne na záložný kanál. Zároveň pokračuje kontrola dostupnosti riadiacich prostriedkov cez hlavné rozhranie. A akonáhle sa to podarí, prepnutie sa automaticky vykoná. Jediné, na čo si treba dať pozor pri nastavovaní, je výber ovládacích prostriedkov. Je lepšie vziať niekoľko veľkých miest, ktorých stabilná prevádzka je prakticky zaručená.

Doplnkové funkcie

Kontrola sieťových aplikácií

UserGate Proxy & Firewall implementuje takú zaujímavú funkciu, akou je ovládanie sieťových aplikácií. Jeho cieľom je zabrániť akémukoľvek neoprávnenému softvéru v prístupe na internet. V rámci nastavení ovládania sa vytvárajú pravidlá, ktoré povoľujú alebo blokujú sieťovú prevádzku rôznych programov (s ohľadom na verziu alebo bez nej). Môžu špecifikovať konkrétne IP adresy a cieľové porty, čo vám umožňuje flexibilne konfigurovať softvérový prístup, čo umožňuje vykonávať iba určité akcie na internete.

Ovládanie aplikácie vám umožňuje rozvíjať prehľadnosť firemná politika o používaní programov, čiastočne zabrániť šíreniu malvéru.

Potom môžete prejsť priamo k nastaveniu proxy serverov. Celkovo ich uvažované riešenie implementuje sedem: pre protokoly HTTP (vrátane HTTPs), FTP, SOCKS, POP3, SMTP, SIP a H323. To je prakticky všetko, čo môžu zamestnanci firmy potrebovať na prácu na internete. V predvolenom nastavení je povolený iba HTTP proxy, všetky ostatné môžu byť v prípade potreby aktivované.

Proxy servery v UserGate Proxy & Firewall môžu fungovať v dvoch režimoch – normálnom a transparentnom. V prvom prípade hovoríme o tradičnom proxy. Server prijíma požiadavky od používateľov a preposiela ich externým serverom a prijaté odpovede odosiela klientom. Toto je tradičné riešenie, ktoré má však svoje nevýhody. Predovšetkým je potrebné nakonfigurovať každý program, ktorý sa používa na prácu na internete (internetový prehliadač, poštový klient, ICQ atď.) na každom počítači v lokálnej sieti. To je, samozrejme, veľa práce. Okrem toho sa to bude pravidelne opakovať, keď je nainštalovaný nový softvér.

Pri voľbe transparentného režimu sa používa špeciálny NAT ovládač, ktorý je súčasťou dodávky daného riešenia. Počúva na príslušných portoch (80 pre HTTP, 21 pre FTP atď.), deteguje požiadavky, ktoré k nim prichádzajú a odovzdáva ich proxy serveru, odkiaľ sú odosielané ďalej. Toto riešenie je úspešnejšie v tom zmysle, že softvérová konfigurácia na klientskych strojoch už nie je potrebná. Jediné, čo je potrebné, je zadať IP adresu internetovej brány ako hlavnej brány v sieťovom pripojení všetkých pracovných staníc.

Ďalším krokom je konfigurácia presmerovania DNS dotazov. Existujú dva spôsoby, ako to urobiť. Najjednoduchším z nich je povoliť takzvané presmerovanie DNS. Pri jeho použití sú DNS požiadavky prichádzajúce na internetovú bránu od klientov presmerované na zadané servery (môžete použiť buď DNS server z nastavení sieťového pripojenia, alebo ľubovoľné DNS servery).

Druhou možnosťou je vytvorenie pravidla NAT, ktoré bude prijímať požiadavky na porte 53 (štandard pre DNS) a posielať ich do externej siete. V tomto prípade však budete musieť buď manuálne zaregistrovať servery DNS v nastaveniach sieťového pripojenia na všetkých počítačoch, alebo nakonfigurovať odosielanie požiadaviek DNS cez internetovú bránu zo servera radiča domény.

správa užívateľov

Po dokončení základného nastavenia môžete prejsť k práci s používateľmi. Musíte začať vytvorením skupín, do ktorých budú účty následne spojené. Načo to je? Po prvé, pre následnú integráciu s Active Directory. A po druhé, môžete skupinám priraďovať pravidlá (povieme si o nich neskôr), a tak kontrolovať prístup pre veľké množstvo používateľov naraz.

Ďalším krokom je pridanie používateľov do systému. Môžete to urobiť tromi rôznymi spôsobmi. Z pochopiteľných dôvodov ani neuvažujeme o prvom z nich, o manuálnom vytvorení každého účtu. Táto možnosť je vhodná len pre malé siete s malým počtom používateľov. Druhým spôsobom je skenovanie podnikovej siete s požiadavkami ARP, počas ktorého si systém sám určí zoznam možných účtov. My však volíme tretiu možnosť, ktorá je z hľadiska jednoduchosti a jednoduchosti administrácie najoptimálnejšia – integráciu s Active Directory. Vykonáva sa na základe predtým vytvorených skupín. Najprv musíte vyplniť všeobecné parametre integrácie: špecifikovať doménu, adresu jej radiča, používateľské meno a heslo s potrebnými prístupovými právami k nej, ako aj interval synchronizácie. Potom musí byť každej skupine vytvorenej v UserGate priradená jedna alebo viac skupín z Active Directory. V skutočnosti tam nastavenie končí. Po uložení všetkých parametrov sa synchronizácia vykoná automaticky.

Používatelia vytvorení počas autorizácie budú štandardne používať autorizáciu NTLM, teda autorizáciu doménovým prihlásením. Toto je veľmi pohodlná možnosť, pretože pravidlá a systém účtovania premávky budú fungovať bez ohľadu na to, na akom počítači používateľ práve sedí.

Ak však chcete použiť túto metódu autorizácie, potrebujete ďalšie softvér- špeciálny klient. Tento program pracuje na úrovni Winsock a prenáša parametre autorizácie používateľa do internetovej brány. Jeho distribúcia je súčasťou balíka UserGate Proxy & Firewall. Klienta môžete rýchlo nainštalovať na všetky pracovné stanice pomocou skupinových zásad Windows.

Mimochodom, NTLM autorizácia nie je zďaleka jedinou metódou autorizácie zamestnancov firmy na prácu na internete. Napríklad, ak organizácia praktizuje prísne viazanie pracovníkov na pracovné stanice, potom na identifikáciu používateľov možno použiť IP adresu, MAC adresu alebo kombináciu oboch. Pomocou rovnakých metód môžete organizovať prístup do globálnej siete rôznych serverov.

Užívateľské ovládanie

Jednou z významných výhod UGPF sú jeho rozsiahle možnosti používateľského ovládania. Realizujú sa pomocou systému pravidiel riadenia dopravy. Princíp jeho fungovania je veľmi jednoduchý. Správca (alebo iná zodpovedná osoba) vytvára súbor pravidiel, z ktorých každé predstavuje jednu alebo viacero spúšťacích podmienok a akciu, ktorá sa vykoná, keď nastanú. Tieto pravidlá sú priradené jednotlivým používateľom alebo celým ich skupinám a umožňujú vám automaticky kontrolovať ich prácu na internete. Celkovo boli zrealizované štyri možné akcie. Prvým je zatvorenie spojenia. Umožňuje napríklad zablokovať sťahovanie určitých súborov, zabrániť návšteve nechcených stránok atď. Druhou akciou je zmena tarify. Používa sa v tarifnom systéme, ktorý je integrovaný do posudzovaného produktu (neuvažujeme o ňom, pretože nie je zvlášť relevantný pre podnikové siete). Nasledujúca akcia vám umožňuje zakázať počítanie návštevnosti prijatej v rámci tohto pripojenia. V tomto prípade sa prenášané informácie nezohľadňujú pri výpočte dennej, týždennej a mesačnej spotreby. A nakoniec poslednou akciou je obmedzenie rýchlosti na zadanú hodnotu. Je veľmi vhodné ho použiť na zabránenie upchatiu kanála pri sťahovaní veľkých súborov a riešení iných podobných problémov.

V pravidlách riadenia cestnej premávky je podmienok oveľa viac – asi desať. Niektoré z nich sú pomerne jednoduché, napríklad maximálna veľkosť súboru. Toto pravidlo sa spustí, keď sa používatelia pokúsia stiahnuť súbor väčší ako zadaná veľkosť. Ostatné podmienky sú časovo obmedzené. Najmä medzi nimi môžeme zaznamenať plán (spúšťaný časom a dňami v týždni) a sviatky (spúšťaný v určených dňoch).

Najzaujímavejšie sú však zmluvné podmienky spojené so stránkami a obsahom. Predovšetkým ich možno použiť na blokovanie alebo nastavenie iných akcií pre určité typy obsahu (napríklad video, zvuk, spustiteľné súbory, text, obrázky atď.), konkrétne webové projekty alebo ich celé kategórie (technológia Entensys URL Filtering je slúži na to).

Je pozoruhodné, že jedno pravidlo môže obsahovať niekoľko podmienok naraz. V tomto prípade môže správca určiť, v akom prípade sa vykoná - ak sú splnené všetky podmienky alebo ktorákoľvek z nich. To vám umožňuje vytvoriť veľmi flexibilnú politiku používania internetu zamestnancami spoločnosti, berúc do úvahy veľké množstvo najrôznejšie nuansy.

Nastavenie brány firewall

Neoddeliteľnou súčasťou ovládača UserGate NAT je firewall, ktorý pomáha riešiť rôzne problémy súvisiace so spracovaním sieťovej prevádzky. Na konfiguráciu sa používajú špeciálne pravidlá, ktoré môžu byť jedného z troch typov: preklad sieťových adries, smerovanie a firewall. V systéme môže byť ľubovoľný počet pravidiel. V tomto prípade sa aplikujú v poradí, v akom sú uvedené vo všeobecnom zozname. Ak teda prichádzajúca návštevnosť vyhovuje viacerým pravidlám, spracuje ju to, ktoré sa nachádza nad ostatnými.

Každé pravidlo je charakterizované tromi hlavnými parametrami. Prvým je zdroj návštevnosti. Môže to byť jeden alebo viac konkrétnych hostiteľov, rozhranie WAN alebo LAN internetovej brány. Druhým parametrom je účel informácie. Tu je možné špecifikovať rozhranie LAN alebo WAN alebo telefonické pripojenie. Poslednou hlavnou charakteristikou pravidla je jedna alebo viacero služieb, na ktoré sa vzťahuje. Služba je v UserGate Proxy & Firewall chápaná ako dvojica rodiny protokolov (TCP, UDP, ICMP, ľubovoľný protokol) a sieťového portu (alebo rozsahu sieťových portov). V predvolenom nastavení má systém už pôsobivú sadu predinštalovaných služieb, od bežných (HTTP, HTTPs, DNS, ICQ) až po špecifické (WebMoney, RAdmin, rôzne online hry atď.). V prípade potreby si však administrátor môže vytvoriť vlastné služby, napríklad tie, ktoré popisujú prácu s online bankovníctvom.

Každé pravidlo má tiež akciu, ktorú vykonáva s návštevnosťou, ktorá zodpovedá podmienkam. Sú len dve z nich: povoliť alebo zakázať. V prvom prípade premávka po zadanej trase prebieha bez prekážok, v druhom prípade je zablokovaná.

Pravidlá prekladu sieťových adries využívajú technológiu NAT. S ich pomocou môžete nakonfigurovať prístup na internet pre pracovné stanice s lokálnymi adresami. Ak to chcete urobiť, musíte vytvoriť pravidlo, ktoré špecifikuje rozhranie LAN ako zdroj a rozhranie WAN ako cieľ. Smerovacie pravidlá sa aplikujú, ak sa príslušné riešenie bude používať ako smerovač medzi dvoma lokálnymi sieťami (túto funkciu implementuje). V tomto prípade môže byť smerovanie nakonfigurované tak, aby prenášalo prevádzku obojsmerne a transparentne.

Pravidlá brány firewall sa používajú na spracovanie prenosu, ktorý nesmeruje na server proxy, ale priamo na internetovú bránu. Hneď po inštalácii má systém jedno takéto pravidlo, ktoré povoľuje všetky sieťové pakety. V zásade platí, že ak sa vytváraná internetová brána nebude používať ako pracovná stanica, potom sa akcia pravidla môže zmeniť z „Povoliť“ na „Odmietnuť“. V tomto prípade bude zablokovaná akákoľvek sieťová aktivita na počítači, okrem tranzitných NAT paketov prenášaných z lokálnej siete do internetu a späť.

Pravidlá brány firewall vám umožňujú publikovať akékoľvek lokálne služby v globálnej sieti: webové servery, servery FTP, poštové servery atď. Vzdialení používatelia majú zároveň možnosť pripojiť sa k nim cez internet. Ako príklad zvážte publikovanie firemného servera FTP. Na tento účel musí správca vytvoriť pravidlo, v ktorom ako zdroj vyberte možnosť „Any“, špecifikujte požadované rozhranie WAN ako cieľ a FTP ako službu. Potom vyberte akciu „Povoliť“, povoľte vysielanie premávky a do poľa „Cieľová adresa“ zadajte IP adresu lokálneho FTP servera a jeho sieťový port.

Po tejto konfigurácii budú všetky pripojenia prichádzajúce na sieťové karty internetovej brány cez port 21 automaticky presmerované na FTP server. Mimochodom, počas procesu nastavenia si môžete vybrať nielen „natívnu“, ale aj akúkoľvek inú službu (alebo si vytvoriť vlastnú). V tomto prípade budú musieť externí používatelia kontaktovať iný port ako 21. Tento prístup je veľmi vhodný v prípadoch, keď informačný systém existujú dve alebo viac služieb rovnakého typu. Môžete napríklad organizovať externý prístup k firemný portál cez štandardný HTTP port 80 a prístup k webovým štatistikám UserGate cez port 81.

Externý prístup k internému poštovému serveru je nakonfigurovaný podobným spôsobom.

Dôležitým rozlišovacím znakom implementovaného firewallu je systém prevencie narušenia. Pracuje v plne automatickom režime, identifikuje neoprávnené pokusy na základe podpisov a heuristických metód a neutralizuje ich blokovaním nežiaducich dopravných tokov alebo resetovaním nebezpečných spojení.

Poďme si to zhrnúť

V tomto prehľade sme pomerne podrobne skúmali organizáciu zdieľaného prístupu zamestnancov spoločnosti na internet. IN moderné podmienky Toto nie je najjednoduchší proces, pretože musíte vziať do úvahy veľké množstvo rôznych nuancií. Okrem toho sú dôležité technické aj organizačné aspekty, najmä kontrola akcií používateľa.