Internet dnes nie je len prostriedkom komunikácie či trávenia voľného času, ale aj pracovným nástrojom. Vyhľadávanie informácií, účasť na aukciách, práca s klientmi a partnermi si vyžaduje prítomnosť zamestnancov spoločnosti na webe. Väčšina počítačov používaných na osobné účely aj na záujmy organizácie má nainštalovaný operačný systém Windows. Všetky sú samozrejme vybavené mechanizmami na poskytovanie prístupu na internet. Počnúc systémom Windows 98 Second Edition je zdieľanie internetového pripojenia (ICS) zabudované do operačných systémov Windows ako štandardná funkcia, ktorá poskytuje skupinový prístup z lokálnej siete na Internet. Neskôr Windows 2000 Server predstavil službu Routing and Remote Access Service (smerovanie a vzdialený prístup) a implementoval podporu pre protokol NAT.

Ale ICS má svoje nevýhody. Táto funkcia teda zmení adresu sieťového adaptéra, čo môže spôsobiť problémy v lokálnej sieti. Preto je vhodnejšie používať ICS iba v domácich alebo malých kancelárskych sieťach. Táto služba neposkytuje autorizáciu používateľov, preto je nežiaduce používať ju v podnikovej sieti. Ak hovoríme o aplikácii v domácej sieti, nedostatok autorizácie používateľským menom sa tu tiež stáva neprijateľným, pretože adresy IP a MAC sa dajú veľmi ľahko sfalšovať. Preto, hoci v systéme Windows existuje možnosť organizácie jediného prístupu na internet, v praxi sa na implementáciu tejto úlohy používajú hardvérové ​​alebo softvérové ​​​​nástroje nezávislých vývojárov. Jedným z takýchto riešení je program UserGate.

Prvé stretnutie

Proxy server Usergate vám umožňuje poskytnúť užívateľom lokálnej siete prístup na internet a definovať politiku prístupu, odmietnutie prístupu k určitým zdrojom, obmedzenie prevádzky alebo času používateľov v sieti. Usergate navyše umožňuje viesť oddelené záznamy o návštevnosti podľa užívateľov aj podľa protokolu, čo výrazne zjednodušuje kontrolu nákladov na internetové pripojenie. V poslednej dobe existuje medzi poskytovateľmi internetu tendencia poskytovať neobmedzený prístup na internet prostredníctvom vlastných kanálov. Na pozadí takéhoto trendu sa do popredia dostáva kontrola a účtovanie prístupu. Na tento účel má proxy server Usergate pomerne flexibilný systém pravidiel.

Proxy server Usergate s podporou NAT (Network Address Translation) funguje na operačných systémoch Windows 2000/2003/XP s nainštalovaným protokolom TCP/IP. Bez podpory protokolu NAT je Usergate schopná pracovať na Windows 95/98 a Windows NT 4.0. Samotný program nevyžaduje špeciálne prostriedky na prácu, hlavnou podmienkou je dostupnosť dostatočného miesta na disku pre vyrovnávaciu pamäť a protokolové súbory. Preto sa stále odporúča nainštalovať proxy server na samostatný počítač, ktorý mu poskytne maximálne zdroje.

Nastavenie

Na čo slúži proxy server? Koniec koncov, každý webový prehliadač (Netscape Navigator, Microsoft Internet Explorer, Opera) už vie, ako ukladať dokumenty do vyrovnávacej pamäte. Pamätajte však, že po prvé, na tieto účely neprideľujeme značné množstvo miesta na disku. A po druhé, pravdepodobnosť návštevy tých istých stránok jednou osobou je oveľa menšia, ako keby to robili desiatky či stovky ľudí (a veľa organizácií má taký počet používateľov). Vytvorenie jedného vyrovnávacieho priestoru pre organizáciu preto zníži prichádzajúcu návštevnosť a urýchli vyhľadávanie dokumentov na internete, ktoré už niekto zo zamestnancov prijal. Proxy server UserGate je možné hierarchicky prepojiť s externými proxy servermi (poskytovateľmi) a v tomto prípade bude možné, ak nie znížiť prevádzku, tak aspoň urýchliť získavanie dát, ako aj znížiť náklady (zvyčajne náklady na prevádzka od poskytovateľa cez proxy server je nižšia).

Obrázok 1. Nastavenia vyrovnávacej pamäte

Pri pohľade do budúcnosti poviem, že nastavenie vyrovnávacej pamäte sa vykonáva v časti ponuky „Služby“ (pozri obrazovku 1). Po prepnutí cache do režimu „Enabled“ si môžete nakonfigurovať jej jednotlivé funkcie – cachovanie POST požiadaviek, dynamických objektov, cookies, obsahu prijatého cez FTP. Tu sa konfiguruje aj veľkosť diskového priestoru prideleného pre vyrovnávaciu pamäť a životnosť dokumentu uloženého vo vyrovnávacej pamäti. A aby vyrovnávacia pamäť začala fungovať, musíte nakonfigurovať a povoliť režim proxy. Nastavenia určujú, ktoré protokoly budú fungovať cez proxy server (HTTP, FTP, SOCKS), na akom sieťovom rozhraní budú počúvať a či sa bude vykonávať kaskádovanie (údaje potrebné na to sa zadávajú na samostatnej karte okna nastavení služieb) .

Pred začatím práce s programom je potrebné vykonať ďalšie nastavenia. Spravidla sa to robí v nasledujúcom poradí:

1. Vytváranie používateľských účtov v Usergate.
2. Nastavenie DNS a NAT v systéme s užívateľskou bránou. V tejto fáze sa konfigurácia redukuje hlavne na konfiguráciu NAT pomocou sprievodcu.
3. Nastavenie sieťového pripojenia na klientskych počítačoch, kde je potrebné zadať bránu a DNS vo vlastnostiach sieťového pripojenia TCP / IP.
4. Vytvorenie politiky prístupu na internet.

Pre pohodlie je program rozdelený do niekoľkých modulov. Serverový modul beží na počítači pripojenom na internet a vykonáva základné úlohy. Správa užívateľskej brány sa vykonáva pomocou špeciálneho modulu Usergate Administrator. S jeho pomocou sa všetka konfigurácia servera vykonáva v súlade s nevyhnutné požiadavky. Klientska časť Usergate je implementovaná ako Usergate Authentication Client, ktorý je nainštalovaný na počítači používateľa a slúži na autorizáciu používateľov na serveri Usergate, ak sa používa iná autorizácia ako autorizácia IP alebo IP + MAC.

Kontrola

Správa používateľov a skupín je presunutá do samostatnej sekcie. Skupiny sú potrebné na uľahčenie správy používateľov a ich všeobecných nastavení prístupu a fakturácie. Môžete vytvoriť toľko skupín, koľko potrebujete. Skupiny sa zvyčajne vytvárajú podľa štruktúry organizácie. Aké možnosti možno priradiť skupine používateľov? Každá skupina má priradenú sadzbu, ktorá bude zodpovedať za prístupové náklady. Štandardne sa používa predvolená tarifa. Je prázdna, takže pripojenia všetkých používateľov zahrnutých v skupine sa neúčtujú, pokiaľ nie je sadzba v používateľskom profile prepísaná.

Program má sadu preddefinovaných pravidiel NAT, ktoré nie je možné zmeniť. Ide o prístupové pravidlá pre Telten, POP3, SMTP, HTTP, ICQ atď. Pri nastavovaní skupiny môžete určiť, ktoré z pravidiel bude aplikované na túto skupinu a používateľov v nej zahrnutých.

Režim automatického opakovaného vytáčania je možné použiť, keď je pripojenie k internetu cez modem. Keď je tento režim povolený, používateľ môže iniciovať pripojenie k internetu, keď ešte nie je pripojenie - na jeho žiadosť modem vytvorí pripojenie a poskytne prístup. Ale pri pripojení cez prenajatú linku alebo ADSL tento režim nie je potrebný.

Pridávanie používateľských účtov je rovnako jednoduché ako pridávanie skupín (pozri obrázok 2). A ak je počítač s nainštalovaným proxy serverom Usergate zahrnutý v doméne Active Directory (AD), používateľské účty možno importovať odtiaľ a potom rozdeliť do skupín. Ale ako pri manuálnom zadávaní, tak aj pri importe účtov z AD, musíte nakonfigurovať používateľské práva a pravidlá prístupu. Patria sem typ oprávnenia, tarifný plán, dostupné pravidlá NAT (ak skupinové pravidlá plne neuspokojujú potreby konkrétneho užívateľa).

Proxy server Usergate podporuje niekoľko typov autorizácie vrátane autorizácie používateľov prostredníctvom služby Active Directory a okna Prihlásenie do systému Windows, ktoré vám umožňuje integrovať bránu používateľa do vašej existujúcej sieťovej infraštruktúry. Usergate používa vlastný NAT ovládač, ktorý podporuje autorizáciu prostredníctvom špeciálneho modulu - modulu autorizácie klienta. V závislosti od zvoleného spôsobu autorizácie musíte v nastaveniach užívateľského profilu zadať buď jeho IP adresu (alebo rozsah adries), alebo meno a heslo, alebo len jeho meno. Tu je možné uviesť aj e-mailovú adresu používateľa, na ktorú budú zasielané prehľady o využívaní prístupu na internet.

pravidlá

Systém pravidiel používateľskej brány je flexibilnejší v nastaveniach v porovnaní s možnosťami politiky vzdialeného prístupu (politika vzdialeného prístupu v RRAS). Pravidlá možno použiť na blokovanie prístupu k určitým adresám URL, obmedzenie návštevnosti pre určité protokoly, nastavenie časového limitu, obmedzenie maximálnej veľkosti súboru, ktorý si môže používateľ stiahnuť, a mnoho ďalšieho (pozri obrázok 3). Štandardné nástroje operačného systému nemajú dostatočnú funkčnosť na vyriešenie týchto problémov.

Pravidlá sa vytvárajú pomocou pomocníka. Vzťahujú sa na štyri hlavné objekty sledované systémom – pripojenie, premávku, tarifu a rýchlosť. A pre každú z nich je možné vykonať jednu akciu. Vykonávanie pravidiel závisí od nastavení a obmedzení, ktoré sú preň vybraté. Patria sem používané protokoly, čas podľa dňa v týždni, kedy bude toto pravidlo účinné. Nakoniec sa definujú kritériá pre objem prevádzky (prichádzajúcu a odchádzajúce), čas siete, zostatok na účte používateľa, ako aj zoznam zdrojových IP adries požiadavky a sieťových adries zdrojov, ktorých sa to týka. Nastavenie sieťových adries vám tiež umožňuje definovať typy súborov, ktoré používatelia nebudú môcť sťahovať.

Mnoho organizácií nepovoľuje služby okamžitých správ. Ako implementovať takýto zákaz pomocou Usergate? Stačí vytvoriť jedno pravidlo, ktoré pri požiadavke stránky *login.icq.com* uzavrie spojenie a aplikovať ho na všetkých používateľov. Aplikácia pravidiel vám umožňuje zmeniť tarify za prístup cez deň alebo v noci, k regionálnym alebo zdieľaným zdrojom (ak takéto rozdiely poskytovateľ poskytuje). Napríklad na prepínanie medzi nočnými a dennými tarifami budete musieť vytvoriť dve pravidlá, jedno prepne v čase z dennej na nočnú tarifu, druhé prepne späť. Na čo sú vlastne tarify? Toto je základ vstavaného fakturačného systému. V súčasnosti je možné tento systém použiť iba na odsúhlasenie a skúšobný výpočet nákladov, ale po certifikácii fakturačného systému budú mať majitelia systémov spoľahlivý mechanizmus na prácu so svojimi zákazníkmi.

Používatelia

Teraz späť k nastaveniam DNS a NAT. Konfigurácia DNS spočíva v zadaní adries externých serverov DNS, ku ktorým bude systém pristupovať. Zároveň na používateľských počítačoch v nastaveniach pripojenia pre vlastnosti TCP / IP špecifikujte IP interného sieťového rozhrania počítača s Usergate ako bránou a DNS. Trochu iný princíp konfigurácie pri použití NAT. V tomto prípade je potrebné pridať do systému nové pravidlo, v ktorom je potrebné definovať IP prijímača (lokálne rozhranie) a IP odosielateľa (externé rozhranie), port - 53 a protokol UDP. Toto pravidlo musí byť priradené všetkým používateľom. A v nastaveniach pripojenia na ich počítačoch by ste mali zadať IP adresu DNS servera poskytovateľa ako DNS a IP adresu počítača s užívateľskou bránou ako bránou.

Poštových klientov je možné konfigurovať pomocou mapovania portov aj pomocou NAT. Ak má organizácia povolené používať služby okamžitých správ, musíte pre ne zmeniť nastavenia pripojenia - musíte určiť použitie brány firewall a proxy, nastaviť IP adresu interného sieťového rozhrania počítača s používateľskou bránou a vybrať HTTPS alebo Socks protokol. Majte však na pamäti, že pri práci cez proxy server nebude práca v chatovacích miestnostiach a videorozhovore dostupná, ak používate Yahoo Messenger.

Štatistika prevádzky sa zaznamenáva do denníka, ktorý obsahuje informácie o parametroch pripojenia všetkých používateľov: čas pripojenia, trvanie, vynaložené prostriedky, požadované adresy, množstvo prijatých a odoslaných informácií. Zaznamenávanie informácií o používateľských pripojeniach do štatistického súboru nie je možné zrušiť. Na prezeranie štatistík je v systéme špeciálny modul, ku ktorému je možné pristupovať ako cez administrátorské rozhranie, tak aj na diaľku. Dáta je možné filtrovať podľa používateľa, protokolu a času a možno ich uložiť do externého súboru Excel na ďalšie spracovanie.

Čo bude ďalej

Ak boli prvé verzie systému určené len na implementáciu mechanizmu ukladania do vyrovnávacej pamäte proxy servera, potom najnovšie verzie majú nové komponenty navrhnuté tak, aby poskytovali informačná bezpečnosť. Používatelia Usergate dnes môžu používať vstavaný firewall a antivírusový modul Kaspersky. Firewall vám umožňuje kontrolovať, otvárať a blokovať konkrétne porty, ako aj zverejňovať firemné webové zdroje na internete. Zabudovaný firewall spracováva pakety, ktoré nie sú spracované na úrovni pravidiel NAT. Ak bol paket spracovaný ovládačom NAT, už ho firewall nespracováva. Nastavenia portov vykonané pre server proxy, ako aj porty špecifikované v mapovaní portov, sú umiestnené v automaticky generovaných pravidlách brány firewall (automatický typ). Automatické pravidlá zahŕňajú aj TCP port 2345, ktorý používa modul Usergate Administrator na pripojenie k backendu Usergate.

Keď už hovoríme o vyhliadkach na ďalší vývoj produktu, stojí za zmienku vytvorenie vlastného servera VPN, ktorý nám umožní opustiť VPN z operačného systému; implementácia poštového servera s podporou antispamovej funkcie a vývoj inteligentného firewallu na aplikačnej úrovni.

Michail Abramzon- Vedúci marketingovej skupiny spoločnosti "Digt".

Poznámka: Tento článok bol upravený, doplnený o relevantné údaje a ďalšie odkazy.

UserGate Proxy a Firewall je internetová brána triedy UTM (Unified Threat Management), ktorá umožňuje poskytovať a kontrolovať všeobecný prístup zamestnancov k internetovým zdrojom, filtrovať škodlivé, nebezpečné a nechcené stránky, chrániť firemnú sieť pred vonkajšími prienikmi a útokmi, vytvárať virtuálne siete a organizovať bezpečný prístup VPN k sieťovým zdrojom zvonku, ako aj spravovať šírku pásma a internetové aplikácie.

Produkt je efektívnou alternatívou k drahému softvéru a hardvéru a je určený pre použitie v malých a stredných podnikoch, vládnych agentúrach, ako aj veľkých organizáciách s odvetvovou štruktúrou.

Všetky Ďalšie informácie o produkte, ktorý nájdete.

Program má ďalšie platené moduly:

• Kaspersky antivírus
• panda antivírus
• Antivírus Avira
• Filtrovanie adries URL Entensys

Každý modul je licencovaný pre jeden kalendárny rok. Fungovanie všetkých modulov si môžete vyskúšať v skúšobnom kľúči, ktorý je možné poskytnúť na dobu 1 až 3 mesiacov pre neobmedzený počet užívateľov.

Môžete si prečítať viac o pravidlách udeľovania licencií.

V prípade akýchkoľvek otázok súvisiacich s nákupom riešení Entensy kontaktujte: [e-mail chránený] alebo zavolajte na bezplatnú linku: 8-800-500-4032.

Požiadavky na systém

Na usporiadanie brány potrebujete počítač alebo server, ktorý musí spĺňať nasledujúce systémové požiadavky:

• Frekvencia CPU: od 1,2 GHz
• Veľkosť RAM: od 1024 Gb
• Kapacita HDD: od 80 GB
• Počet sieťových adaptérov: 2 alebo viac

Čím väčší je počet používateľov (v pomere k 75 používateľom), tým väčší by mal byť výkon servera.

Náš produkt odporúčame nainštalovať na počítač s "čistým" serverovým operačným systémom, odporúčaný operačný systém je Windows 2008/2012.
Nezaručujeme správne fungovanie UserGate Proxy&Firewall a/alebo spoločná práca služby tretích strán a neodporúčame zdieľať so službami na bráne, ktorá vykonáva nasledujúce úlohy:

• Je radič domény
• Je hypervízor virtuálneho stroja
• Je terminálový server
• Funguje ako vysoko zaťažený server DBMS/DNS/HTTP atď.
• Funguje ako SIP server
• Vykonáva dôležité obchodné služby alebo služby
• Všetko vyššie uvedené

UserGate Proxy&Firewall môže byť momentálne v konflikte s nasledujúcimi typmi softvéru:

• Všetci bez výnimky tretia strana Firewall/Firewall riešenia
• Antivírusové produkty od BitDefender
• Antivírusové moduly, ktoré plnia funkciu brány firewall alebo „Anti-Hacker“ väčšiny antivírusových produktov. Odporúča sa tieto moduly vypnúť
• Antivírusové moduly, ktoré kontrolujú údaje prenášané prostredníctvom protokolov HTTP/SMTP/POP3, to môže spôsobiť oneskorenie pri aktívnej práci cez proxy
• Softvérové ​​produkty tretích strán, ktoré sú schopné zachytávať údaje zo sieťových adaptérov - "merače rýchlosti", "shapery" atď.
• Aktívna rola Windows Server "Smerovanie a vzdialený prístup" v režime NAT/Zdieľanie internetového pripojenia (ICS).

Pozor! Počas inštalácie sa odporúča vypnúť na bráne podporu protokolu IPv6 za predpokladu, že sa nepoužívajú aplikácie využívajúce IPv6. Aktuálna implementácia UserGate Proxy&Firewall nepodporuje protokol IPv6, a preto tento protokol nie je filtrovaný. Hostiteľ je teda dostupný zvonku cez protokol IPv6, aj keď sú aktivované pravidlá odmietnutia brány firewall.

Pri správnej konfigurácii je UserGate Proxy&Firewall kompatibilný s nasledujúcimi službami:

Úlohy servera Microsoft Windows Server:

• DNS server
• DHCP server
• Tlačový server
• Súborový (SMB) server
• Server aplikácií
• server WSUS
• Webový server
• server WINS
• server VPN

A s produktmi tretích strán:

• FTP/SFTP servery
• Servery na odosielanie správ – IRC/XMPP

Pri inštalácii UserGate Proxy&Firewall sa uistite, že softvér tretej strany nepoužíva port alebo porty, ktoré môže používať UserGate Proxy&Firewall. UserGate štandardne používa nasledujúce porty:

• 25 - SMTP proxy
• 80 - transparentný HTTP proxy
• 110 - POP3 proxy
• 2345 - Správcovská konzola UserGate
• 5455 - Server VPN UserGate
• 5456 - Autorizačný klient UserGate
• 5458 - DNS forwarding
• 8080 - HTTP proxy
• 8081 - Webové štatistiky UserGate

Všetky porty je možné zmeniť pomocou administrátorskej konzoly UserGate.

Inštalácia programu a výber databázy pre prácu

UserGate Proxy & Firewall Configuration Wizard

Podrobnejší popis nastavenia pravidiel NAT je popísaný v tomto článku:

Agent UserGate

Po inštalácii UserGate Proxy&Firewall nevyhnutne reštartujte bránu. Po autorizácii v systéme na paneli úloh Windows vedľa hodín by sa ikona agenta UserGate mala zmeniť na zelenú. Ak je ikona sivá, znamená to, že počas procesu inštalácie sa vyskytla chyba a služba servera UserGate Proxy&Firewall nie je spustená, v tomto prípade si pozrite príslušnú časť databázy znalostí Entensy alebo technická podpora Spoločnosť Entensys.

Produkt sa konfiguruje pomocou administračnej konzoly UserGate Proxy&Firewall, ktorú je možné vyvolať buď dvojitým kliknutím na ikonu UserGate agenta alebo kliknutím na odkaz z ponuky Štart.
Keď spustíte administračnú konzolu, prvým krokom je registrácia produktu.

Všeobecné nastavenia

V časti Všeobecné nastavenia konzoly správcu nastavte heslo pre používateľa správcu. Dôležité! Na prístup k administračnej konzole nepoužívajte ako heslo špeciálne znaky Unicode ani kód PIN produktu.

Produkt UserGate Proxy&Firewall má mechanizmus ochrany pred útokmi, môžete ho aktivovať aj v menu „Všeobecné nastavenia“. Mechanizmus ochrany pred útokmi je aktívny mechanizmus, akési „červené tlačidlo“, ktoré funguje na všetkých rozhraniach. Odporúča sa používať túto funkciu v prípade DDoS útokov alebo hromadnej infekcie počítačov malvérom (vírusy/červy/botnet aplikácie) v rámci lokálnej siete. Mechanizmus ochrany pred útokmi môže blokovať používateľov využívajúcich klientov na zdieľanie súborov – torrenty, priame pripojenie, niektoré typy VoIP klientov/serverov, ktoré si aktívne vymieňajú prevádzku. Ak chcete získať adresy IP blokovaných počítačov, otvorte súbor ProgramData\Entensys\Usergate6\logging\fw.log alebo Dokumenty a nastavenia\Všetci používatelia\Údaje aplikácií\Entensys\Usergate6\logging\fw.log.

Pozor! Parametre popísané nižšie sa odporúča meniť iba v prípade veľkého počtu klientov/požiadaviek brány na veľkú šírku pásma.

Táto sekcia obsahuje aj nasledovné nastavenia: "Max connection" - maximálny počet všetkých pripojení cez NAT a cez UserGate Proxy&Firewall.

"Maximálny počet pripojení NAT" - maximálny počet pripojení, ktoré môže UserGate Proxy&Firewall prejsť cez ovládač NAT.

Ak počet klientov nie je vyšší ako 200-300, potom by sa nastavenia "Maximálny počet pripojení" a "Maximálny počet pripojení NAT" nemali meniť. Zvýšenie týchto parametrov môže viesť k značnému zaťaženiu zariadenia brány a odporúča sa len vtedy, ak sú nastavenia optimalizované pre veľký počet klientov.

Rozhrania

Pozor! Predtým, ako to urobíte, skontrolujte nastavenia sieťového adaptéra v systéme Windows! Rozhranie pripojené k lokálnej sieti (LAN) nesmie obsahovať adresu brány! DNS servery nie je potrebné špecifikovať v nastaveniach LAN adaptéra, IP adresa musí byť pridelená ručne, neodporúčame získavať ju pomocou DHCP.

IP adresa LAN adaptéra musí byť súkromná IP adresa. je prijateľné použiť IP adresu z nasledujúcich rozsahov:

10.0.0.0 - 10.255.255.255 (predpona 10/8) 172.16.0.0 - 172.31.255.255 (predpona 172.16/12) 192.168.0.0 - 192.165.25 / 192.165.25

Prideľovanie adries privátnej siete je popísané v RFC 1918 .

Použitie iných rozsahov ako adries pre lokálnu sieť povedie k chybám v prevádzke UserGate Proxy&Firewall.

Rozhranie pripojené k internetu (WAN) musí obsahovať IP adresu, masku siete, adresu brány a adresy servera DNS.
V nastaveniach adaptéra WAN sa neodporúča používať viac ako tri servery DNS, môže to viesť k chybám siete. Najprv skontrolujte stav každého servera DNS pomocou príkazu nslookup v konzole cmd.exe, príklad:

nslookup usergate.ru 8.8.8.8

kde 8.8.8.8 je adresa servera DNS. Odpoveď by mala obsahovať IP adresu požadovaného servera. Ak nepríde žiadna odpoveď, server DNS nie je platný alebo je prenos DNS zablokovaný.

Musíte definovať typ rozhrania. Rozhranie s IP adresou, ktoré je pripojené k internej sieti, musí byť typu LAN; rozhranie, ktoré je pripojené k internetu - WAN.

Ak existuje niekoľko rozhraní WAN, musíte vybrať hlavné rozhranie WAN, cez ktoré pôjde všetka prevádzka, kliknutím naň pravým tlačidlom myši a výberom položky „Nastaviť ako hlavné pripojenie“. Ak plánujete použiť iné rozhranie WAN ako záložný kanál, odporúčame použiť „Sprievodcu nastavením“.

Pozor! Pri konfigurácii záložného pripojenia sa odporúča nešpecifikovať názov hostiteľa DNS, ale IP adresu, aby ho UserGate Proxy&Firewall pravidelne zisťoval pomocou požiadaviek icmp(ping) a zapol záložné pripojenie, ak nepríde žiadna odpoveď. Skontrolujte, či sú servery DNS v nastaveniach sieťového zálohovacieho adaptéra v systéme Windows v poriadku.

Používatelia a skupiny

Aby bol klientsky počítač autorizovaný na bráne a mal prístup k službám UserGate Proxy&Firewall a NAT, musíte pridať používateľov. Na zjednodušenie tohto postupu použite funkciu skenovania - "Skenovať lokálnu sieť". UserGate Proxy&Firewall automaticky prehľadá lokálnu sieť a poskytne zoznam hostiteľov, ktorých možno pridať do zoznamu používateľov. Ďalej môžete vytvoriť skupiny a zahrnúť do nich používateľov.

Ak máte nasadený doménový radič, potom môžete nastaviť synchronizáciu skupín so skupinami v Active Directory alebo importovať používateľov z Active Directory, bez neustálej synchronizácie s Active Directory.

Vytvoríme skupinu, ktorá bude synchronizovaná so skupinou alebo skupinami z AD, zadáme potrebné údaje v menu „Synchronizovať s AD“ a reštartujeme službu UserGate pomocou agenta UserGate. Po 300 sek. používatelia sa automaticky importujú do skupiny. Títo používatelia budú mať spôsob autorizácie nastavený na AD.

POŽARNE DVERE

Za správne a bezpečná práca potrebná brána nevyhnutne nakonfigurovať firewall.

Odporúča sa nasledujúci algoritmus prevádzky brány firewall: zakázať všetku komunikáciu a potom pridať povoľovacie pravidlá v potrebných smeroch. Aby ste to dosiahli, pravidlo #NEPOUŽÍVATEĽ# musí byť nastavené na režim „Odmietnuť“ (tým sa zakáže všetka lokálna komunikácia na bráne). Opatrne! Ak nakonfigurujete UserGate Proxy&Firewall vzdialene, bude nasledovať odpojenie od servera. Potom musíte vytvoriť pravidlá povolenia.

Všetku lokálnu komunikáciu povoľujeme na všetkých portoch z brány do lokálnej siete a z lokálnej siete do brány vytvorením pravidiel s nasledujúcimi parametrami:

Zdroj - "LAN", cieľ - "Akýkoľvek", služby - ANY:FULL, akcia - "Povoliť"
Zdroj - "Akýkoľvek", cieľ - "LAN", služby - ANY:FULL, akcia - "Povoliť"

Potom vytvoríme pravidlo, ktoré otvorí bráne prístup na internet:

Zdroj - "WAN"; cieľ - "Akýkoľvek"; služby - ANY:FULL; akcia - "Povoliť"

Ak potrebujete povoliť prístup prichádzajúcich pripojení na všetkých portoch k bráne, pravidlo bude vyzerať takto:

Zdroj - "Akýkoľvek"; cieľ - "WAN"; služby - ANY:FULL; akcia - "Povoliť"

A ak potrebujete, aby brána prijímala prichádzajúce pripojenia, napríklad iba cez RDP (TCP:3389) a mohla by byť pingovaná zvonku, musíte vytvoriť nasledujúce pravidlo:

Zdroj - "Akýkoľvek"; cieľ - "WAN"; služby - Akékoľvek ICMP, RDP; akcia - "Povoliť"

Vo všetkých ostatných prípadoch z bezpečnostných dôvodov nemusíte vytvárať pravidlo pre prichádzajúce spojenia.

Ak chcete klientskym počítačom povoliť prístup na Internet, musíte vytvoriť pravidlo prekladu sieťových adries (NAT).

Zdroj - "LAN"; cieľ - "WAN"; služby - ANY:FULL; akcia - "Povoliť"; Vyberte používateľov alebo skupiny, ktorým chcete udeliť prístup.

Je možné nakonfigurovať pravidlá firewallu – povoliť to, čo je vyslovene zakázané a naopak, zakázať to, čo je výslovne povolené, podľa toho, ako si nastavíte pravidlo #NEPOUŽÍVATEĽ# a akú politiku vo firme máte. Všetky pravidlá majú prednosť – pravidlá fungujú v poradí zhora nadol.

Je možné zobraziť možnosti rôznych nastavení a príklady pravidiel brány firewall.

Iné nastavenia

Ďalej v sekcii služby - proxy môžete povoliť potrebné proxy servery - HTTP, FTP, SMTP, POP3, SOCKS. Vyberte požadované rozhrania, zapnutie možnosti "počúvať na všetkých rozhraniach" bude neisté, pretože proxy bude v tomto prípade k dispozícii na rozhraniach LAN aj na externých rozhraniach. Režim „transparentného“ proxy smeruje všetku komunikáciu na vybranom porte na port proxy, v tomto prípade nie je potrebné špecifikovať proxy na klientskych počítačoch. Proxy zostáva dostupný aj na porte uvedenom v nastaveniach samotného proxy servera.

Ak je na serveri povolený transparentný proxy režim (Služby - Nastavenia Proxy), potom stačí v sieťových nastaveniach na klientskom počítači zadať server UserGate ako hlavnú bránu. Môžete tiež zadať server UserGate ako server DNS, v tomto prípade musí byť povolený.

Ak je na serveri zakázaný transparentný režim, musíte zadať adresu servera UserGate a zodpovedajúci port proxy uvedený v časti Služby - Nastavenia proxy v nastaveniach pripojenia prehliadača. Môžete vidieť príklad nastavenia servera UserGate pre takýto prípad.

Ak má vaša sieť nakonfigurovaný server DNS, môžete ho špecifikovať v nastaveniach presmerovania DNS UserGate a nastavení adaptéra UserGate WAN. V tomto prípade v režime NAT aj v režime proxy budú všetky dotazy DNS smerované na tento server.

V tomto článku vám poviem o novom produkte spoločnosti Entensys, ktorej partnermi sme v troch oblastiach, UserGate Proxy & Firewall 6.2.1.

Dobrý deň vážený návštevník. Po roku 2013 to bolo pre niekoho ťažké, pre niekoho ľahké, ale čas beží a vzhľadom na to, že jedna nanosekunda je 10 −9 s. potom to už len letí. V tomto článku vám poviem o novinke od Entensys, ktorej partnermi sme v troch oblastiach UserGate Proxy & Firewall 6.2.1.

Z pohľadu administrácie verzie 6.2 od UserGate Proxy & Firewall 5.2F, ktorej implementáciu úspešne praktizujeme v našej praxi IT outsourcingu, prakticky neexistuje. Ako laboratórne prostredie použijeme Hyper-V, konkrétne dva virtuálne stroje prvej generácie, serverovú časť na Windows Server 2008 R2 SP1 a klientsky Windows 7 SP1. Z nejakého neznámeho dôvodu nie je UserGate verzia 6 nainštalovaná na Windows Server 2012 a Windows Server 2012 R2.

Čo je teda proxy server?

Proxy server(z anglického proxy - „reprezentatívny, autorizovaný“) - služba (súbor programov) v počítačových sieťach, ktorá umožňuje klientom zadávať nepriame požiadavky na iné sieťové služby. Najprv sa klient pripojí k proxy serveru a požiada o nejaký zdroj (napríklad e-mail) umiestnený na inom serveri. Proxy server sa potom buď pripojí k zadanému serveru a získa z neho zdroj, alebo vráti zdroj zo svojej vlastnej vyrovnávacej pamäte (v prípadoch, keď má proxy vlastnú vyrovnávaciu pamäť). V niektorých prípadoch môže proxy server na určité účely upraviť požiadavku klienta alebo odpoveď servera. Proxy server tiež umožňuje chrániť počítač klienta pred niektorými sieťovými útokmi a pomáha udržiavať anonymitu klienta.

ČotakýUserGate Proxy a Firewall?

UserGate Proxy a Firewall je komplexné riešenie pre pripojenie používateľov k internetu, ktoré poskytuje plnohodnotné účtovanie návštevnosti, riadenie prístupu a poskytuje vstavané nástroje na ochranu siete.

Z definície sa pozrime na to, aké riešenia Entensys vo svojom produkte poskytuje, ako sa počíta návštevnosť, ako je obmedzený prístup a aké ochranné nástroje poskytuje UserGate Proxy & Firewall.

Z čoho pozostávaužívateľská brána?

UserGate sa skladá z niekoľkých častí: server, administračná konzola a niekoľko doplnkových modulov. Server je hlavnou časťou proxy servera, ktorá implementuje všetky jeho funkcie. Server UserGate poskytuje prístup na internet, vykonáva počítanie návštevnosti, vedie štatistiky o aktivite používateľov v sieti a vykonáva mnoho ďalších úloh.

Administračná konzola UserGate je program určený na správu servera UserGate. Administračná konzola UserGate komunikuje so serverovou časťou prostredníctvom špeciálneho zabezpečeného protokolu cez TCP/IP, ktorý umožňuje vzdialenú správu servera.

UserGate obsahuje tri doplnkové moduly: "Web Statistics", "UserGate Authorization Client" a "Application Control" modul.

Server

Inštalácia backendu UserGate je veľmi jednoduchá, jediným rozdielom je výber databázy počas procesu inštalácie. K databáze sa pristupuje priamo (pre vstavanú databázu Firebird) alebo cez ODBC ovládač, ktorý umožňuje serveru UserGate pracovať s databázami takmer akéhokoľvek formátu (MSAccess, MSSQL, MySQL). Štandardne sa používa databáza Firebird. Ak sa rozhodnete aktualizovať UserGate z predchádzajúcich verzií, potom sa budete musieť rozlúčiť so štatistickou databázou, pretože: Pre štatistický súbor je podporovaný iba prenos aktuálnych zostatkov užívateľov, samotné štatistiky návštevnosti sa neprenášajú. Zmeny databázy boli spôsobené problémami s výkonom starej databázy a obmedzeniami jej veľkosti. Nová databáza Firebird nemá tieto nevýhody.

Spustenie administračnej konzoly.

Konzola je nainštalovaná na serverovom VM. Pri prvom spustení sa administračná konzola otvorí na stránke Pripojenia, ktorá má pre administrátora jediné pripojenie k serveru localhost. Heslo pripojenia nebolo nastavené. Administračnú konzolu môžete pripojiť k serveru dvojitým kliknutím na riadok localhost-administrator alebo kliknutím na tlačidlo pripojenia na ovládacom paneli. V administračnej konzole UserGate môžete vytvoriť viacero pripojení.

Nastavenia pripojenia zahŕňajú nasledujúce možnosti:

• Názov servera je názov pripojenia;
• Používateľské meno - prihláste sa na pripojenie k serveru;
• Adresa servera – názov domény alebo IP adresa servera UserGate;
• Port – TCP port používaný na pripojenie k serveru (štandardne sa používa port 2345);
• Heslo – heslo pre pripojenie;
• Pri pripájaní požiadať o heslo – táto možnosť umožňuje zobraziť dialógové okno na zadanie používateľského mena a hesla pri pripájaní k serveru;
• Automaticky pripojiť k tomuto serveru – administračná konzola sa pri štarte automaticky pripojí k tomuto serveru.

Pri prvom spustení servera systém ponúkne sprievodcu inštaláciou, ktorý odmietame. Nastavenia administračnej konzoly sú uložené v súbore console.xml umiestnenom v adresári %UserGate%\Administrator.

Konfigurácia pripojení za NAT. Odsek "Všeobecné nastavenia NAT" umožňuje nastaviť hodnotu časového limitu pre pripojenia NAT cez TCP, UDP alebo ICMP. Hodnota časového limitu určuje životnosť používateľského pripojenia cez NAT po dokončení prenosu údajov cez pripojenie. Nechajme toto nastavenie ako predvolené.

Detektor útoku je špeciálna možnosť, ktorá vám umožňuje použiť vnútorný mechanizmus na monitorovanie a blokovanie skenera portov alebo na pokusy o obsadenie všetkých portov na serveri.

Blokovať riadkom prehliadača- zoznam prehliadačov User-Agent, ktoré môžu byť blokované proxy serverom. Tie. môžete napríklad zabrániť starým prehliadačom ako IE 6.0 alebo Firefox 3.x v prístupe na internet.

Rozhrania

Sekcia Rozhrania je hlavná v nastaveniach servera UserGate, pretože určuje také veci, ako je správnosť počítania návštevnosti, možnosť vytvárať pravidlá pre firewall, obmedzovať šírku internetového kanála pre určité typy prevádzky, vytvárať vzťahy medzi siete a poradie, v ktorom sú pakety spracovávané ovládačom NAT. Na karte „Rozhrania“ vyberte požadovaný typ rozhraní. Takže pre adaptér pripojený k internetu by ste mali zvoliť typ WAN, pre adaptér pripojený k lokálnej sieti typ LAN. Prístup na internet pre VM je zdieľaný, respektíve rozhranie s adresou 192.168.137.118 bude adaptér WAN, vyberte požadovaný typ a kliknite na „Použiť“. Po reštartovaní servera.

Používatelia a skupiny

Prístup na internet je poskytovaný iba používateľom, ktorí úspešne prešli autorizáciou na serveri UserGate. Program podporuje nasledujúce spôsoby autorizácie používateľov:

• Podľa IP adresy
• Podľa rozsahu IP adries
• Podľa IP+MAC adresy
• Podľa MAC adresy
• Autorizácia pomocou HTTP (HTTP-základné, NTLM)
• Autorizácia cez prihlasovacie meno a heslo (Autorizačný klient)
• Zjednodušená verzia autorizácie cez Active Directory

Pre využitie posledných troch spôsobov autorizácie musí byť na pracovnej stanici užívateľa nainštalovaná špeciálna aplikácia - autorizačný klient UserGate. Príslušný balík MSI (AuthClientInstall.msi) sa nachádza v adresári %UserGate%\tools a možno ho použiť na automatickú inštaláciu skupinovej politiky v Active Directory.

Pre používateľov terminálu je k dispozícii iba možnosť „Autorizácia pomocou HTTP“. Príslušná možnosť je povolená v položke Všeobecné nastavenia v administračnej konzole.

Prostredníctvom položky môžete vytvoriť nového používateľa Pridať nového používateľa alebo kliknutím na tlačidlo Pridať v ovládacom paneli na stránke Používatelia a skupiny.

Existuje ďalší spôsob, ako pridať používateľov - skenovanie siete pomocou požiadaviek ARP. Musíte kliknúť na prázdne miesto v správcovskej konzole na stránke používateľov a vyberte položku skenovať lokálnu sieť. Ďalej nastavte parametre lokálnej siete a počkajte na výsledky kontroly. V dôsledku toho uvidíte zoznam používateľov, ktorých možno pridať do UserGate. No, poďme skontrolovať, kliknite na "Skenovať lokálnu sieť"

Nastaviť parametre:

Tvorba!

Pridanie používateľa

Je potrebné pripomenúť, že UserGate má prioritu autentifikácie, najprv fyzickú a potom logickú. Táto metóda nie je spoľahlivá, pretože užívateľ môže zmeniť IP adresu. Vystačíme si s importovaním účtov Active Directory, ktoré môžeme ľahko importovať kliknutím na tlačidlo Importovať, potom na Vybrať a názov nášho účtu, Ok, Ok.

Vyberte "Skupina", ponechajte predvolené "predvolené"

Kliknite na "OK" a uložte zmeny.

Náš používateľ bol pridaný bez problémov. Na karte "Skupiny" je tiež možné synchronizovať skupiny AD.

Nastavenie proxy služieb v UserGate

Na serveri UserGate sú integrované nasledujúce proxy: HTTP (podporuje režim “FTP cez HTTP” a HTTPS, - metóda Connect), FTP, SOCKS4, SOCKS5, POP3 a SMTP, SIP a H323. Nastavenia proxy servera sú dostupné v administračnej konzole v časti Služby → Nastavenia proxy. Hlavné nastavenia proxy servera zahŕňajú: rozhranie a číslo portu, na ktorom proxy funguje. Povoľme teda napríklad transparentný HTTP proxy na našom LAN rozhraní. Poďme na "Nastavenia proxy", vyberte HTTP.

Vyberte naše rozhranie, ponechajte všetko ako predvolené a kliknite na tlačidlo "OK"

Použitie transparentného režimu

Funkcia „Transparent Mode“ v nastaveniach proxy servera je dostupná, ak je UserGate server nainštalovaný spolu s ovládačom NAT. V transparentnom režime počúva ovládač UserGate NAT na štandardných portoch služby: 80 TCP pre HTTP, 21 TCP pre FTP, 110 a 25 TCP pre POP3 a SMTP na sieťových rozhraniach počítača UserGate. Ak existujú požiadavky, odošle ich príslušnému proxy serveru UserGate. Pri použití transparentného režimu v sieťových aplikáciách používatelia nemusia špecifikovať adresu a port proxy servera, čo výrazne znižuje prácu administrátora pri poskytovaní lokálneho sieťového prístupu na internet. V sieťových nastaveniach pracovných staníc je však potrebné zadať server UserGate ako bránu a zadať adresu servera DNS.

Mail proxy v UserGate

Mail proxy servery v UserGate sú navrhnuté na prácu s protokolmi POP3 a SMTP a na antivírusovú kontrolu poštovej prevádzky. Pri použití transparentného režimu POP3 a SMTP proxy sa nastavenie poštového klienta na pracovnej stanici používateľa nelíši od nastavení zodpovedajúcej možnosti s priamym prístupom na internet.

Ak sa používa POP3 proxy UserGate v netransparentnom režime, potom v nastaveniach poštového klienta na pracovnej stanici používateľa musí byť ako adresa POP3 servera uvedená IP adresa počítača UserGate a port zodpovedajúci POP3 proxy UserGate. . Okrem toho je prihlasovacie meno pre autorizáciu na vzdialenom serveri POP3 špecifikované v nasledujúcom formáte: email_address@POP3_server_address. Napríklad, ak má používateľ poštovú schránku [e-mail chránený], potom ako prihlásenie na serveri UserGate POP3 proxy v poštovom klientovi budete musieť zadať: [e-mail chránený]@pop.mail123.com. Tento formát je potrebný, aby server UserGate mohol určiť adresu vzdialeného servera POP3.

Ak sa SMTP proxy UserGate používa v netransparentnom režime, potom v nastaveniach proxy musíte zadať IP adresu a port SMTP servera, ktorý bude UserGate používať na odosielanie e-mailov. V tomto prípade je potrebné v nastaveniach poštového klienta na pracovnej stanici užívateľa zadať ako adresu SMTP servera IP adresu servera UserGate a port zodpovedajúci SMTP proxy UserGate. Ak je na odoslanie potrebná autorizácia, potom v nastaveniach poštového klienta musíte zadať prihlasovacie meno a heslo zodpovedajúce SMTP serveru uvedenému v nastaveniach SMTP proxy v UserGate.

No, to znie super, skontrolujeme to na mail.ru.

Najprv povoľme POP3 a SMTP proxy na našom serveri. Pri povolení POP3 zadajte rozhranie LAN, štandardný port 110.

A tiež sa uistite, že nie je začiarknuté políčko "Transparentný proxy" a kliknite na "OK" a "Použiť"

Zrušte začiarknutie políčka „Transparentný režim“ a napíšte „Nastavenia vzdialeného servera“, v našom prípade smtp.mail.ru. A prečo je špecifikovaný iba jeden server? A tu je odpoveď: predpokladá sa, že organizácia používa jeden server smtp, je to on, kto je uvedený v nastaveniach proxy SMTP.

Prvé pravidlo pre POP3 by malo vyzerať takto.

Po druhé, ako by povedal Alexander Nevsky "To je ono"

Nezabudnite na tlačidlo "Použiť" a prejdite na nastavenia klienta. Ako si pamätáme, „Ak sa server UserGate POP3 proxy používa v netransparentnom režime, potom v nastaveniach poštového klienta na pracovnej stanici používateľa musí byť IP adresa počítača s UserGate a port zodpovedajúci POP3 proxy UserGate zadaný ako adresa servera POP3. Okrem toho je prihlasovacie meno pre autorizáciu na vzdialenom serveri POP3 špecifikované v nasledujúcom formáte: email_address@POP3_server_address“. Konáme.

Najprv autorizujeme v autorizačnom klientovi, potom otvoríme Outlook ako obvykle, v našom príklade som vytvoril testovaciu schránku [e-mail chránený] a vykonajte nastavenia s uvedením našej poštovej schránky vo formáte zrozumiteľnom pre UserGate [e-mail chránený]@pop.mail.ru, ako aj servery POP a SMTP, adresa nášho proxy.

Kliknite na "Overenie účtu..."

Priradenie portu

UserGate podporuje funkciu Port Forwarding. Ak existujú pravidlá pre prideľovanie portov, server UserGate presmeruje požiadavky používateľov prichádzajúce na konkrétny port zadaného sieťového rozhrania počítača s UserGate na inú zadanú adresu a port, napríklad na iný počítač v lokálnej sieti. Funkcia Port Forwarding je dostupná pre protokoly TCP a UDP.

Ak sa mapovanie portov používa na poskytovanie prístupu k internému firemnému zdroju na Internet, musíte ako možnosť Autorizácia vybrať Určený používateľ, inak nebude presmerovanie portov fungovať. Nezabudnite povoliť vzdialenú plochu.

Nastavenia vyrovnávacej pamäte

Jedným z účelov proxy servera je ukladať sieťové zdroje do vyrovnávacej pamäte. Ukladanie do vyrovnávacej pamäte znižuje zaťaženie vášho internetového pripojenia a urýchľuje prístup k často navštevovaným zdrojom. Proxy server UserGate vykonáva ukladanie návštevnosti HTTP a FTP do vyrovnávacej pamäte. Dokumenty vo vyrovnávacej pamäti sú umiestnené v lokálnom priečinku %UserGate_data%\Cache. Nastavenia vyrovnávacej pamäte určujú: limit veľkosti vyrovnávacej pamäte a čas uloženia dokumentov uložených vo vyrovnávacej pamäti.

Antivírusová kontrola

Do servera UserGate sú integrované tri antivírusové moduly: antivírus Kaspersky Lab, Panda Security a Avira. Všetky antivírusové moduly sú navrhnuté tak, aby kontrolovali prichádzajúcu komunikáciu cez HTTP, FTP a Mail proxy servery UserGate, ako aj odchádzajúce dáta cez SMTP proxy.

Nastavenia antivírusového modulu sú dostupné v administračnej konzole v časti Služby → Antivírus. Pre každý antivírus môžete určiť, ktoré protokoly má kontrolovať, nastaviť frekvenciu aktualizácie antivírusových databáz a tiež určiť URL adresy, ktoré nie je potrebné kontrolovať (možnosť filtrovania URL). Okrem toho v nastaveniach môžete určiť skupinu používateľov, ktorých návštevnosť nemusí byť podrobená antivírusovej kontrole.

Pred zapnutím antivírusu musíte najprv aktualizovať jeho databázy.

Po vyššie uvedených funkciách prejdime k často používaným, sú to “Raffic Management” a “Application Control”.

Systém pravidiel cestnej premávky

Server UserGate poskytuje možnosť kontrolovať prístup používateľov na internet pomocou pravidiel riadenia prevádzky. Pravidlá riadenia premávky sú navrhnuté tak, aby zakázali prístup k určitým sieťovým zdrojom, stanovili limity spotreby prevádzky, vytvorili plán pre používateľov na prácu na internete a monitorovali stav používateľského účtu.

V našom príklade obmedzíme prístup k akémukoľvek zdroju používateľovi, ktorý má vo svojej požiadavke vk.com. Ak to chcete urobiť, prejdite na „Riadenie premávky – pravidlá“

Dávame názov pravidla a akciu „Zatvoriť spojenie“

Po pridaní stránky prejdite na ďalší parameter, výber skupiny alebo používateľa, pravidlo je možné nastaviť pre používateľa aj skupinu, v našom prípade používateľa „Používateľ“.

Ovládanie aplikácie

Politika kontroly prístupu na internet dostala logické pokračovanie v podobe modulu Kontrola aplikácií (Application Firewall). Administrátor UserGate môže povoliť alebo zakázať prístup na internet nielen používateľom, ale aj sieťovým aplikáciám na pracovnej stanici používateľa. Ak to chcete urobiť, musíte na používateľské pracovné stanice nainštalovať špeciálnu aplikáciu App.FirewallService. Balík je možné nainštalovať prostredníctvom spustiteľného súboru aj prostredníctvom príslušného balíka MSI (AuthFwInstall.msi), ktorý sa nachádza v adresári %Usergate%\tools.

Poďme do modulu "Kontrola aplikácií - Pravidlá" a vytvorte pravidlo zákazu, napríklad na zákaz spustenia IE. Kliknite na Pridať skupinu, pomenujte ju a nastavte pravidlo pre skupinu.

Vyberieme našu vytvorenú skupinu pravidiel, môžeme zaškrtnúť políčko „Predvolené pravidlo“, v tomto prípade budú pravidlá pridané do skupiny „Predvolené_pravidlá“

Použiť pravidlo na používateľa vo vlastnostiach používateľa

Teraz na klientskej stanici nainštalujeme Auth.Client a App.Firewall, po inštalácii by mal byť IE zablokovaný pravidlami vytvorenými skôr.

Ako vidíme, pravidlo fungovalo, teraz zakážme pravidlá pre používateľa, aby sme videli, ako funguje pravidlo pre stránku vk.com. Po zakázaní pravidla na serveri používateľskej brány musíte počkať 10 minút (čas synchronizácie so serverom). Pokúšate sa získať prístup k priamemu odkazu

Pokúšam sa prejsť vyhľadávač google.com

Ako vidíte, pravidlá fungujú bez problémov.

V tomto článku sa teda uvažuje len o malej časti funkcií. Možné nastavenia brány firewall, pravidlá smerovania, pravidlá NAT sú vynechané. UserGate Proxy & Firewall poskytuje širokú škálu riešení, dokonca o niečo viac. Produkt sa ukázal ako veľmi dobrý, a čo je najdôležitejšie, ľahko sa nastavuje. Naďalej ho budeme využívať pri údržbe zákazníckych IT infraštruktúr na riešenie typických problémov!

"UserGate Proxy & Firewall v.6 Príručka správcu Obsah Úvod O programe Systémové požiadavky Inštalácia UserGate Proxy & Firewall Registrácia Aktualizácia..."

-- [ Strana 1 ] --

UserGate Proxy & Firewall v.6

Príručka správcu

Úvod

O programe

Požiadavky na systém

Inštalácia UserGate Proxy & Firewall

Registrácia

Aktualizácia a odstránenie

UserGate Proxy & Firewall Licenčná politika

Administračná konzola

Nastavenie pripojenia

Nastavenie hesla pripojenia

Overenie správcu UserGate

Nastavenie hesla pre prístup do štatistickej databázy UserGate

Všeobecné nastavenia NAT (Network Address Translation).

Všeobecné nastavenia

Nastavenie rozhrania

Počítanie návštevnosti v UserGate

Podpora záložného kanála

Používatelia a skupiny

Synchronizácia s Active Directory

Stránka osobných štatistík používateľov

Podpora používateľov terminálu

Nastavenie služieb v UserGate

Konfigurácia DHCP

Nastavenie proxy služieb v UserGate

Podpora protokolov IP telefónie (SIP, H323)

Podpora režimu SIP Registrar

Podpora protokolu H323

Mail proxy v UserGate

Použitie transparentného režimu

Kaskádové proxy

Priradenie portu

Nastavenia vyrovnávacej pamäte

Antivírusová kontrola

Plánovač v UserGate

Nastavenie DNS

Nastavenie servera VPN

Nastavenie systému detekcie narušenia (IDS)

Nastavenie upozornení

Firewall v UserGate

Ako funguje firewall

Registrácia na ME

Pravidlá prekladu sieťových adries (NAT).

Spolupráca s viacerými poskytovateľmi

Automatický výber odchádzajúceho rozhrania

www.usergate.ru

Publikovanie sieťových zdrojov

Nastavenie pravidiel filtrovania

Podpora smerovania

Obmedzenie rýchlosti v UserGate

Ovládanie aplikácie

Cache Explorer v UserGate

Správa premávky v UserGate

Systém pravidiel cestnej premávky

Obmedzenie prístupu k internetovým zdrojom

Filtrovanie adries URL Entensys

Nastavenie limitu spotreby dopravy

Limit veľkosti súboru

Filtrovanie podľa typu obsahu

Fakturačný systém

Účtovanie prístupu na internet

Periodické udalosti

Dynamické prepínanie tarifov

Vzdialená správa UserGate

Nastavenie vzdialeného pripojenia

Vzdialený reštart servera UserGate

Kontrola dostupnosti novej verzie

Webové štatistiky UserGate

Hodnotenie účinnosti pravidiel riadenia premávky

Hodnotenie účinnosti antivírusu

Štatistiky používania SIP

Aplikácia

Kontrola integrity UserGate

Kontrola spustenia

Výstup informácií o ladení

Získanie technickej podpory

www.usergate.ru

Úvod Proxy server je súbor programov, ktoré fungujú ako sprostredkovateľ (z anglického „proxy“ – „sprostredkovateľ“) medzi používateľskými pracovnými stanicami a inými sieťovými službami.

Riešenie prenáša všetky požiadavky používateľov na internet a po prijatí odpovede ich odošle späť. Ak je k dispozícii funkcia cachovania, proxy server si zapamätá pracovné stanice pristupujúce k externým zdrojom a v prípade opakovanej požiadavky vráti zdroj z vlastnej pamäte, čím sa výrazne skráti čas požiadavky.

V niektorých prípadoch môže proxy server upraviť alebo zablokovať požiadavku klienta alebo odpoveď servera na vykonanie určitých úloh, ako je zabránenie vírusom infikovať pracovné stanice.

O UserGate Proxy & Firewall je komplexné riešenie na pripojenie používateľov k internetu, ktoré poskytuje úplné účtovanie prevádzky, riadenie prístupu a vstavanú ochranu siete.

UserGate vám umožňuje spoplatniť prístup používateľov na internet, a to ako podľa prevádzky, tak aj podľa času siete. Správca môže pridať rôzne tarifné plány, vykonávať dynamické prepínanie taríf, automatizovať výber / pripisovanie finančných prostriedkov a regulovať prístup k internetovým zdrojom. Zabudovaný firewall a antivírusový modul vám umožňujú chrániť server UserGate a kontrolovať prenos, ktorý cezň prechádza, na prítomnosť škodlivého kódu. Na bezpečné pripojenie k sieti vašej organizácie môžete použiť vstavaný server a klienta VPN.

UserGate sa skladá z niekoľkých častí: server, administračná konzola (UserGateAdministrator) a niekoľko doplnkových modulov. Server UserGate (proces usergate.exe) je hlavnou súčasťou proxy servera, ktorý implementuje všetky jeho funkcie.

Server UserGate poskytuje prístup na internet, vykonáva počítanie návštevnosti, vedie štatistiky o aktivite používateľov v sieti a vykonáva mnoho ďalších úloh.

Administračná konzola UserGate je program určený na správu servera UserGate. Administračná konzola UserGate komunikuje so serverovou časťou prostredníctvom špeciálneho zabezpečeného protokolu cez TCP/IP, ktorý umožňuje vzdialenú správu servera.

UserGate obsahuje tri doplnkové moduly: "Web Statistics", "Autorizačný klient" a "Application Control" modul.

www.entensys.ru

Systémové požiadavky UserGate Server sa odporúča nainštalovať na počítač s operačným systémom Windows XP/2003/7/8/2008/2008R2/2012 pripojený k internetu cez modem alebo akékoľvek iné pripojenie. Hardvérové ​​požiadavky servera:

–  –  –

Inštalácia UserGate Proxy & Firewall Inštalačná procedúra UserGate spočíva v spustení inštalačného súboru a výbere možností sprievodcu inštaláciou. Pri prvej inštalácii riešenia stačí ponechať predvolené možnosti. Po dokončení inštalácie budete musieť reštartovať počítač.

Registrácia Pre registráciu programu spustite server UserGate, pripojte administračnú konzolu k serveru a zvoľte položku menu „Pomoc“ - „Registrovať produkt“. Pri prvom pripojení administračnej konzoly sa zobrazí registračný dialóg s dvomi dostupnými možnosťami: žiadosťou o demo kľúč a žiadosťou o plnohodnotný kľúč. Žiadosť o kľúč sa vykonáva online (protokol HTTPS), prístupom na webovú stránku usergate.ru.

Pri vyžiadaní plnohodnotného kľúča je potrebné zadať špeciálny PIN kód, ktorý vám pri kúpe vydá UserGate Proxy & Firewall alebo služba podpory na testovanie. Okrem toho pri registrácii budete musieť zadať ďalšie osobné údaje (používateľské meno, adresa Email, krajina, región). Osobné údaje slúžia výhradne na viazanie licencie pre používateľa a nie sú žiadnym spôsobom distribuované. Po prijatí úplného alebo demo kľúča sa server UserGate automaticky reštartuje.

www.usergate.ru

Dôležité! V demo režime bude UserGate Proxy & Firewall server fungovať 30 dní. Pri kontaktovaní spoločnosti Entensy si môžete vyžiadať špeciálny PIN kód na pokročilé testovanie. Môžete napríklad požiadať o demo kľúč na tri mesiace. Bez zadania špeciálneho rozšíreného PIN kódu nie je možné opätovne získať skúšobnú licenciu.

Dôležité! Keď beží UserGate Proxy & Firewall, stav registračného kľúča sa pravidelne kontroluje. Pre správnu činnosť UserGate je potrebné povoliť prístup na internet cez protokol HTTPS. Toto je potrebné na online kontrolu stavu kľúča. Ak overenie kľúča trikrát zlyhá, licencia pre proxy server sa resetuje a zobrazí sa dialógové okno registrácie programu. Program implementuje počítadlo pre maximálny počet aktivácií, ktorý je 10-krát. Po prekročení tohto limitu budete môcť produkt aktivovať pomocou kľúča až po kontaktovaní služby podpory na adrese: http://entensys.ru/support.

Aktualizácia a odinštalovanie Novú verziu UserGate Proxy & Firewall v.6 je možné nainštalovať cez predchádzajúce verzie piatej rodiny. V tomto prípade sprievodca inštaláciou ponúkne uloženie alebo prepísanie súboru nastavení servera config.cfg a štatistického súboru log.mdb. Oba súbory sa nachádzajú v adresári, kde je nainštalovaná UserGate (ďalej len „%UserGate%“). Server UserGate v.6 podporuje formát nastavení UserGate v.4,5, takže pri prvom spustení servera sa nastavenia prenesú do nový formát automaticky.

Spätná kompatibilita nastavení nie je podporovaná.

Pozor! Pre štatistický súbor je podporovaný iba prenos aktuálnych zostatkov užívateľov, samotné štatistiky návštevnosti sa neprenesú.

Zmeny databázy boli spôsobené problémami s výkonom starej databázy a obmedzeniami jej veľkosti. Nová databáza Firebird nemá tieto nevýhody.

Odinštalovanie servera UserGate sa vykonáva prostredníctvom príslušnej položky ponuky Štart Programy alebo prostredníctvom položky Pridať/Odobrať programy (Programy a funkcie vo Windows 7/2008/2012) v ovládacom paneli Windows. Po odinštalovaní UserGate zostanú niektoré súbory v inštalačnom adresári programu, pokiaľ nebola nastavená možnosť delete all.

UserGate Proxy & Firewall Licenčná politika Server UserGate je navrhnutý tak, aby poskytoval prístup na internet užívateľom LAN. Maximálny počet používateľov, ktorí môžu súčasne pracovať na internete cez UserGate, je indikovaný počtom „relácií“ a je určený registračným kľúčom.

Registračný kľúč UserGate v.6 je jedinečný a nezhoduje sa s predchádzajúcimi verziami UserGate. V demo období riešenie funguje 30 dní s limitom piatich relácií. Pojem „relácia“ by sa nemal zamieňať s počtom internetových aplikácií alebo pripojení, ktoré používateľ spustí. Počet pripojení od jedného používateľa môže byť ľubovoľný, pokiaľ nie je špecificky obmedzený.

www.usergate.ru

Antivírusové moduly zabudované do UserGate (od spoločností Kaspersky Lab, Panda Security a Avira), ako aj modul Entensy URL Filtering, sú licencované samostatne. V demo verzii UserGate môžu vstavané moduly fungovať 30 dní.

Modul Entensys URL Filtering, navrhnutý pre prácu s kategóriami stránok, poskytuje možnosť pracovať v demo režime po dobu 30 dní. Pri zakúpení UserGate Proxy & Firewall s modulom filtrovania je licencia Entensy URL Filtering platná jeden rok. Keď uplynie platnosť predplatného, ​​filtrovanie zdrojov cez modul sa zastaví.

www.usergate.ru

Administračná konzola Administračná konzola je aplikácia určená na správu lokálneho alebo vzdialeného servera UserGate. Pre používanie administračnej konzoly je potrebné spustiť server UserGate výberom položky Spustiť server UserGate v kontextovom menu agenta UserGate (ikona v systémovej lište, ďalej

- "agent"). Administračnú konzolu môžete spustiť cez kontextovú ponuku agenta alebo cez položku ponuky Štart Programy, ak je administračná konzola nainštalovaná na inom počítači. Ak chcete pracovať s nastaveniami, musíte k serveru pripojiť administračnú konzolu.

Výmena dát medzi administračnou konzolou a serverom UserGate prebieha pomocou protokolu SSL. Po inicializácii spojenia (SSLHandshake) sa vykoná jednosmerná autentifikácia, počas ktorej server UserGate odošle svoj certifikát do administračnej konzoly umiestnenej v adresári %UserGate%\ssl. Na pripojenie nie je potrebný certifikát alebo heslo zo strany administračnej konzoly.

Konfigurácia pripojení Pri prvom spustení sa administračná konzola otvorí na stránke Pripojenia, ktorá má pre administrátora jediné pripojenie k serveru localhost. Heslo pripojenia nebolo nastavené. Administračnú konzolu môžete pripojiť k serveru dvojitým kliknutím na riadok localhost-administrator alebo kliknutím na tlačidlo Connect na ovládacom paneli. V administračnej konzole UserGate môžete vytvoriť viacero pripojení. Nastavenia pripojenia zahŕňajú nasledujúce možnosti:

Názov servera je názov pripojenia;

Používateľské meno - prihláste sa na pripojenie k serveru;

Adresa servera – názov domény alebo IP adresa servera UserGate;

Port – TCP port používaný na pripojenie k serveru (štandardne sa používa port 2345);

Heslo – heslo pre pripojenie;

Pri pripájaní požiadať o heslo – táto možnosť umožňuje zobraziť dialógové okno na zadanie používateľského mena a hesla pri pripájaní k serveru;

Automaticky pripojiť k tomuto serveru – administračná konzola sa pri štarte automaticky pripojí k tomuto serveru.

Nastavenia administračnej konzoly sú uložené v súbore console.xml umiestnenom v adresári %UserGate%\Administrator\. Na strane servera UserGate sú používateľské meno a md5 hash hesla pre pripojenie uložené v súbore config.cfg umiestnenom v adresári %UserGate_data, kde %UserGate_data% je priečinok pre Windows XP - (C:\Documents and Settings\ Všetci používatelia www.usergate.ru\Application Data\Entensys\UserGate6), pre priečinok Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Nastavenie hesla pripojenia Môžete si vytvoriť prihlasovacie meno a heslo pre pripojte sa k serveru UserGate na stránke Všeobecné nastavenia v časti Nastavenia správcu. V tej istej časti môžete zadať port TCP na pripojenie k serveru. Aby sa nové nastavenia prejavili, musíte reštartovať server UserGate (položka Reštartovať server UserGate v menu agenta). Po reštarte servera je potrebné zadať nové nastavenia aj v nastaveniach pripojenia v administračnej konzole. V opačnom prípade sa administrátor nebude môcť pripojiť k serveru.

Pozor! Aby sa predišlo problémom s funkčnosťou administračnej konzoly UserGate, neodporúčame meniť tieto nastavenia!

Autentifikácia administrátora UserGate Pre úspešné pripojenie administračnej konzoly k serveru UserGate musí administrátor prejsť autentifikačnou procedúrou na strane servera.

Autentifikácia administrátora sa vykoná po nadviazaní SSL pripojenia administračnej konzoly k serveru UserGate. Konzola odošle prihlasovacie meno a md5 hash hesla správcu na server. Server UserGate porovnáva prijaté údaje s údajmi uvedenými v súbore nastavení config.cfg.

Autentifikácia sa považuje za úspešnú, ak sa údaje prijaté z administračnej konzoly zhodujú s údajmi zadanými v nastaveniach servera. Ak autentifikácia zlyhá, server UserGate ukončí SSL spojenie s administračnou konzolou. Výsledok autentifikačnej procedúry je zaznamenaný v súbore usergate.log umiestnenom v adresári %UserGate_data%\logging\.

Nastavenie hesla pre prístup do databázy štatistík UserGate Štatistiky používateľov - návštevnosť, navštívené zdroje a pod.

sú evidované serverom UserGate v špeciálnej databáze. Prístup k databáze je realizovaný priamo (pre vstavanú databázu Firebird) alebo cez ODBC ovládač, ktorý umožňuje serveru UserGate pracovať s databázami takmer akéhokoľvek formátu (MSAccess, MSSQL, MySQL). Štandardne sa používa databáza Firebird - %UserGate_data%\usergate.fdb. Prihlasovacie meno a heslo pre prístup do databázy - SYSDBA\masterkey. Iné heslo môžete nastaviť cez položku Všeobecné nastavenia Nastavenia databázy v administračnej konzole.

Všeobecné nastavenia NAT (Network Address Translation) Položka Všeobecné nastavenia NAT umožňuje nastaviť hodnotu časového limitu pre pripojenia NAT cez protokoly TCP, UDP alebo ICMP. Hodnota časového limitu určuje životnosť používateľského pripojenia cez NAT po dokončení prenosu údajov cez pripojenie. Voľba Output debug logs je určená na ladenie a umožňuje v prípade potreby povoliť režim pokročilého logovania správ v ovládači NAT UserGate.

Detektor útokov je špeciálna možnosť, ktorá vám umožňuje použiť vnútorný mechanizmus na monitorovanie a blokovanie skenera portov alebo pokusov www.usergate.ru obsadiť všetky porty servera. Tento modul pracuje v automatickom režime, udalosti sa budú zapisovať do súboru %UserGate_data%\logging\fw.log.

Pozor! Nastavenia tohto modulu je možné zmeniť cez konfiguračný súbor config.cfg, sekcia options.

Všeobecné nastavenia Blokovať reťazcom prehliadača – zoznam prehliadačov User-Agent, ktoré môže proxy server zablokovať. Tie. môžete napríklad zabrániť starým prehliadačom ako IE 6.0 alebo Firefox 3.x v prístupe na internet.

www.usergate.ru Konfigurácia rozhraní Sekcia Rozhrania (obr. 1) je hlavná v nastaveniach servera UserGate, pretože určuje také veci, ako je správnosť počítania návštevnosti, možnosť vytvárať pravidlá pre firewall, obmedzovať šírku internetový kanál pre určitý typ prevádzky, ktorý vytvára vzťahy medzi sieťami a poradie, v ktorom sú pakety spracovávané ovládačom NAT (Network Address Translation).

Obrázok 1. Konfigurácia serverových rozhraní V časti Rozhrania sú uvedené všetky dostupné sieťové rozhrania servera, na ktorom je UserGate nainštalovaný, vrátane telefonického pripojenia (VPN, PPPoE).

Pre každý sieťový adaptér musí administrátor UserGate špecifikovať jeho typ. Takže pre adaptér pripojený k internetu by ste mali zvoliť typ WAN, pre adaptér pripojený k lokálnej sieti typ LAN.

Nie je možné zmeniť typ telefonického pripojenia (VPN, PPPoE). Pre takéto pripojenia server UserGate automaticky nastaví typ rozhrania PPP.

Môžete zadať meno používateľa a heslo pre telefonické pripojenie (VPN) dvojitým kliknutím na príslušné rozhranie. Rozhranie v hornej časti zoznamu je hlavné internetové pripojenie.

Počítanie návštevnosti v UserGate Prevádzka prechádzajúca cez server UserGate sa zaznamenáva na užívateľovi lokálnej siete, ktorý je iniciátorom spojenia, alebo na serveri www.usergate.ru UserGate, ak je server iniciátorom spojenia. Pre prevádzku servera je v štatistike UserGate poskytnutý špeciálny užívateľ - UserGate Server. Používateľskému účtu UserGate Server sa pripisuje prevádzka na aktualizáciu antivírusových databáz pre vstavané moduly Kaspersky Lab, Panda Security, Avira, ako aj prevádzka pri prekladaní mien prostredníctvom DNS forwardingu.

Prevádzka sa zohľadňuje v plnej miere spolu s hlavičkami služieb.

Okrem toho bola pridaná možnosť brať do úvahy ethernetové hlavičky.

Ak sú typy sieťových adaptérov servera (LAN alebo WAN) správne špecifikované, neberie sa do úvahy prevádzka v smere "lokálna sieť - server UserGate" (napríklad prístup k zdieľaným sieťovým zdrojom na serveri).

Dôležité! Prítomnosť programov tretích strán – firewallov alebo antivírusov (s funkciou kontroly prevádzky) – môže výrazne ovplyvniť správny výpočet návštevnosti v UserGate. Na počítač s UserGate sa neodporúča inštalovať sieťové programy tretích strán!

Podpora záložného kanála Stránka rozhraní obsahuje nastavenie záložného kanála. Kliknutím na tlačidlo Sprievodca nastavením môžete vybrať rozhranie, ktoré sa použije ako záložný kanál. Druhá stránka implementuje výber hostiteľov, ktorých pripojenie k internetu bude skontrolované proxy serverom. V zadanom intervale riešenie skontroluje dostupnosť týchto hostiteľov pomocou ICMP Echo-request. Ak sa vráti odpoveď aspoň od jedného daného hostiteľa, pripojenie sa považuje za aktívne. Ak od žiadneho hostiteľa nepríde žiadna odpoveď, spojenie sa bude považovať za neaktívne a hlavná brána v systéme sa zmení na bránu záložného kanála. Ak boli súčasne vytvorené pravidlá NAT so špeciálnym rozhraním Masquerade špecifikovaným ako externé rozhranie, potom sa takéto pravidlá znovu vytvoria podľa aktuálnej smerovacej tabuľky. Vytvorené pravidlá NAT začnú fungovať cez záložný kanál.

Obrázok 2. Sprievodca konfiguráciou záložného kanála www.

usergate.ru Ako záložné pripojenie môže server UserGate použiť ethernetové pripojenie (vyhradený kanál, rozhranie WAN) aj telefonické pripojenie (VPN, PPPoE) (rozhranie PPP). Po prepnutí na záložné internetové pripojenie bude server UserGate pravidelne kontrolovať dostupnosť hlavného kanála. Ak sa obnoví jeho výkon, program prepne používateľov na hlavné internetové pripojenie.

www.usergate.ru

Používatelia a skupiny Ak chcete poskytnúť prístup na internet, musíte vytvoriť používateľov v UserGate. Pre uľahčenie správy je možné používateľov spájať do skupín podľa územia alebo podľa úrovne prístupu. Logicky je najsprávnejšie spájať používateľov do skupín podľa úrovní prístupu, keďže v tomto prípade je oveľa jednoduchšie pracovať s pravidlami riadenia premávky. V predvolenom nastavení má UserGate iba jednu skupinu - predvolenú.

Nového používateľa môžete vytvoriť cez položku Pridať nového používateľa alebo kliknutím na tlačidlo Pridať na ovládacom paneli na stránke Používatelia a skupiny. Existuje ďalší spôsob, ako pridať používateľov - skenovanie siete pomocou požiadaviek ARP. Musíte kliknúť na prázdne miesto v správcovskej konzole na stránke používateľov a vybrať možnosť Skenovať lokálnu sieť. Ďalej nastavte parametre lokálnej siete a počkajte na výsledky kontroly. V dôsledku toho uvidíte zoznam používateľov, ktorých možno pridať do UserGate. Povinné parametre používateľa (obr. 3) sú meno, typ oprávnenia, parameter oprávnenia (IP adresa, prihlasovacie meno a heslo atď.), skupina a tarifa. V predvolenom nastavení všetci používatelia patria do predvolenej skupiny. Používateľské meno v UserGate musí byť jedinečné. Okrem toho vo vlastnostiach používateľa môžete definovať úroveň prístupu používateľov k webovým štatistikám, nastaviť interné telefónne číslo pre H323, obmedziť počet pripojení pre používateľa, povoliť pravidlá NAT, pravidlá riadenia prevádzky alebo pravidlá pre kontrolu aplikácií. modul.

Obrázok 3. Používateľský profil v UserGate Používateľ v UserGate zdedí všetky vlastnosti skupiny, do ktorej patrí, okrem tarify, ktorú je možné prepísať.

Pre tarifikáciu všetkých pripojení užívateľa bude platiť tarifa uvedená vo vlastnostiach užívateľa. Ak prístup na internet nie je spoplatnený, môžete použiť prázdnu tarifu s názvom „predvolené“.

www.usergate.ru

Synchronizácia s Active Directory Skupiny užívateľov v UserGate môžu byť synchronizované so skupinami Active Directory. Ak chcete použiť synchronizáciu s Active Directory, počítač s UserGate Proxy & Firewallom nemusí byť členom domény.

Synchronizácia prebieha v dvoch krokoch. V prvej fáze povoľte na stránke „Skupiny“ administrátorskej konzoly UserGate (obr. 4) možnosť Synchronizácia s AD a zadajte nasledujúce parametre:

názov domény IP adresa doménového radiča prihlasovacie meno a heslo pre prístup k Active Directory (používateľské meno vo formáte UPN – je povolený formát User Principal Name) doba synchronizácie (v sekundách) možnosť "synchronizovať skupiny s AD" a vybrať jednu alebo viac skupín z Active Directory .

Počas synchronizácie sa používatelia z Active Directory, ktorí patria do vybratých skupín Active Directory, zmestia do skupín UserGate. Typ autorizácie pre importovaných používateľov bude „HTTP Imported User State (NTLM)“.

(povolené/zakázané) je riadené stavom príslušného účtu v doméne Active Directory.

www.usergate.ru Obrázok 4. Nastavenie synchronizácie s Active Directory Dôležité! Pre synchronizáciu je potrebné zabezpečiť prechod protokolu LDAP medzi serverom UserGate a radičom domény.

www.usergate.ru Osobná stránka so štatistikami používateľov Každý používateľ v UserGate má možnosť zobraziť stránku so štatistikami. Stránka osobných štatistík je prístupná na http://192.168.0.1:8080/statistics.html, kde napríklad 192.168.0.1 je lokálna adresa stroja UserGate a 8080 je port, na ktorom HTTP proxy server beží usergate . Používateľ si môže zobraziť svoje osobné rozšírené štatistiky po prihlásení na adrese - http://192.168.0.1:8081.

Pozor! Vo verzii 6.x bolo pridané načúvacie rozhranie 127.0.0.1:8080, ktoré je potrebné pre fungovanie webovej štatistiky, keď je HTTP proxy server UserGate vypnutý. V tomto ohľade bude port 8080 na rozhraní 127.0.0.1 vždy obsadený serverom UserGate Proxy & Firewall, kým je spustený proces usergate.exe

Podľa IP adresy Podľa rozsahu IP adries Podľa IP+MAC adresy Podľa MAC adresy Autorizácia cez HTTP (HTTP-základné, NTLM) Autorizácia cez prihlasovacie meno a heslo (Autorizačný klient) Zjednodušená verzia autorizácie cez Active Directory Použitie posledných troch spôsobov autorizácie a na pracovnej stanici užívateľa musí byť nainštalovaná špeciálna aplikácia - autorizačný klient UserGate. Príslušný balík MSI (AuthClientInstall.msi) sa nachádza v adresári %UserGate%\tools a možno ho použiť na automatickú inštaláciu skupinovej politiky v Active Directory.

Administratívna šablóna na inštaláciu autorizačného klienta pomocou skupinovej politiky Active Directory sa tiež nachádza v adresári %UserGate%\tools. Na stránke http://usergate.ru/support je video návod na nasadenie autorizačného klienta prostredníctvom skupinovej politiky.

Ak je server UserGate nainštalovaný na počítači, ktorý nie je súčasťou domény Active Directory, odporúča sa použiť zjednodušenú možnosť autorizácie cez Active Directory. V tomto prípade server UserGate porovná prihlasovacie meno a názov domény prijaté od autorizačného klienta s príslušnými poľami zadanými v profile používateľa bez toho, aby kontaktoval radič domény.

Podpora pre koncových užívateľov Na autorizáciu koncových užívateľov na proxy serveri UserGate bol od verzie 6.5 pridaný špeciálny softvérový modul s názvom "Terminal Authorization Agent". Distribučná súprava programu Terminal Agent sa nachádza v priečinku %UserGate%\tools a nazýva sa TerminalServerAgent*.msi. Pre 32-bitové systémy musíte použiť verziu „TerminalServerAgent32.msi“ a pre 64-bitové systémy TerminalServerAgent64.msi. Program je agent, ktorý pravidelne, každých 90 sekúnd, odosiela informácie o autorizácii o všetkých klientoch terminálového servera na proxy server, a ovládač, ktorý poskytuje port spoofing pre každého terminálového klienta. Kombinácia používateľských informácií a pridružených portov umožňuje proxy serveru presne identifikovať používateľov terminálového servera a aplikovať na nich rôzne pravidlá riadenia prevádzky.

Pri inštalácii terminálového agenta sa zobrazí výzva na zadanie IP adresy proxy servera a počtu používateľov. Je to potrebné pre optimálne využitie voľných TCP\UDP portov terminálového servera.

www.usergate.ru

Po nainštalovaní agenta terminálového servera zadá požiadavku na proxy server a ak všetko prebehne v poriadku, vytvoria sa na serveri traja používatelia s autorizáciou "AD login-password" a "NT AUTHORIY\*".

Ak máte takýchto používateľov v konzole, váš terminálový agent je pripravený pracovať.

Prvý spôsob (synchronizácia s doménou Active Directory):

V administrátorskej konzole na stránke skupín užívateľov vo vlastnostiach voľby "synchronizácia s AD" musíte zadať správne parametre pre autorizáciu s AD.

Potom musíte vytvoriť nová skupina užívateľov a v ňom určiť, ktorá skupina užívateľov v AD má byť synchronizovaná s aktuálnou skupinou na proxy serveri. Vaši používatelia budú potom pridaní do tejto lokálnej užívateľskej skupiny UserGate Proxy. Tým sa dokončí nastavenie proxy servera. Potom sa musíte prihlásiť ako používateľ AD na terminálový server a ten bude automaticky autorizovaný na proxy serveri bez toho, aby ste museli zadávať prihlasovacie meno a heslo. Používatelia terminálového servera môžu byť spravovaní ako bežní používatelia proxy servera s autorizáciou podľa IP adresy. Tie. môžu aplikovať rôzne pravidlá NAT a/alebo pravidlá riadenia prevádzky.

Druhý spôsob (import používateľov z domény Active Directory):

Využite „import“ používateľov z AD, konfiguruje sa na stránke s používateľmi kliknutím na príslušné tlačidlo – „import“, v rozhraní administrátorskej konzoly UserGate.

Musíte importovať používateľov z AD do špecifickej lokálnej skupiny na proxy serveri. Potom budú mať všetci importovaní užívatelia, ktorí budú požadovať prístup do internetu z terminálového servera, prístup do internetu s právami definovanými na proxy serveri UserGate.

Tretí spôsob (pomocou účtov lokálneho terminálového servera):

Táto metóda je vhodná na testovanie činnosti terminálového agenta alebo v prípadoch, keď sa terminálový server nenachádza v doméne Active Directory. V tomto prípade musíte vytvoriť nového používateľa s typom oprávnenia Prihlasovacia doména-AD“ a zadať názov počítača terminálového servera ako „adresu domény“ a meno používateľa, ktorý sa bude prihlasovať do terminálu. server ako prihlasovacie meno Všetci užívatelia, ktorí budú vytvorení na proxy serveri budú pristupovať na internet z terminálového servera s právami definovanými na proxy serveri UserGate.

Malo by byť zrejmé, že terminálový agent má určité obmedzenia:

Iné protokoly ako TCP\UDP nemožno preniesť z terminálového servera na internet. Napríklad nebude možné spustiť PING z tohto servera kdekoľvek na internete cez NAT.

www.usergate.ru Maximálny počet používateľov na terminálovom serveri nemôže presiahnuť 220, pričom každému používateľovi bude pridelených maximálne 200 portov pre protokoly TCP\UDP.

Pri reštarte proxy servera UserGate terminálový agent nikoho neuvoľní na internet až do prvej synchronizácie s proxy serverom UserGate (do 90 sekúnd).

HTTP autorizácia pri práci cez transparentný proxy UserGate v.6 pridáva možnosť HTTP autorizácie pre proxy server pracujúci v transparentnom režime. Ak prehliadač na pracovnej stanici používateľa nie je nakonfigurovaný na používanie proxy servera a HTTP proxy v UserGate je povolený v transparentnom režime, požiadavka od neoprávneného používateľa bude presmerovaná na autorizačnú stránku, ktorá vyžaduje zadanie prihlasovacieho mena. a heslo.

Po autorizácii nie je potrebné túto stránku zatvárať. Autorizačná stránka sa pravidelne aktualizuje pomocou špeciálneho skriptu, čím sa udržiava relácia používateľa aktívna. V tomto režime bude mať používateľ prístup ku všetkým službám UserGate, vrátane možnosti pracovať cez NAT. Ak chcete ukončiť reláciu používateľa, musíte kliknúť na tlačidlo Odhlásiť na autorizačnej stránke alebo jednoducho zavrieť kartu autorizácie. a po 30-60 sekundách autorizácia na proxy serveri zmizne.

povoliť prechod paketov NetBIOSNameRequest (UDP:137) medzi serverom UserGate a radičom domény povoliť prechod paketov NetBIOSSessionRequest (TCP:139) medzi serverom UserGate a radičom domény nastaviť adresu a port servera proxy UserGate HTTP v prehliadači na stroj užívateľa Dôležité! Ak chcete použiť autorizáciu NTLM, počítač s nainštalovanou bránou UserGate nemusí byť členom domény Active Directory.

Používanie autorizačného klienta Autorizačný klient UserGate je sieťová aplikácia spustená na úrovni Winsock, ktorá sa pripája k serveru UserGate na špecifickom porte UDP (štandardne sa používa port 5456) a prenáša parametre autorizácie používateľa: typ autorizácie, prihlasovacie meno, heslo atď. .

www.usergate.ru

Pri prvom spustení sa autorizačný klient UserGate pozrie do vetvy HKCU\Software\Policies\Entensys\Authclient v systémovom registri. Nastavenia získané prostredníctvom skupinovej politiky domény Active Directory nájdete tu. Ak sa nastavenia v systémovom registri nenájdu, adresu servera UserGate bude potrebné zadať manuálne na tretej záložke zhora v autorizačnom klientovi. Po zadaní adresy servera kliknite na tlačidlo Použiť a prejdite na druhú kartu. Táto stránka špecifikuje parametre autorizácie užívateľa. Nastavenia autorizačného klienta sú uložené v kľúči HKCU\Software\Entensys\Authclient v systémovom registri. Protokol autorizačných služieb klienta je uložený v priečinku Documents and Settings\%USER%\Application data\UserGate Client.

Okrem toho bol do autorizačného klienta pridaný odkaz na stránku osobných štatistík používateľa. Zmeniť vzhľad autorizačného klienta je možné úpravou príslušnej šablóny vo forme *.xml súboru nachádzajúceho sa v adresári, kde je klient nainštalovaný.

www.usergate.ru

Konfigurácia služieb v UserGate Konfigurácia DHCP Služba umožňuje DHCP (Dynamic Host Configuration Protocol) automatizovať proces vydávania sieťových nastavení klientom v lokálnej sieti. V sieti so serverom DHCP možno každému sieťovému zariadeniu dynamicky priradiť adresu IP, adresu brány, DNS, server WINS atď.

DHCP server povolíte cez rozhranie DHCP server Add v sekcii Služby v administračnej konzole UserGate alebo kliknutím na tlačidlo Pridať v ovládacom paneli. V zobrazenom dialógovom okne vyberte sieťové rozhranie, na ktorom bude server DHCP fungovať. V minimálnej konfigurácii pre DHCP server stačí nastaviť tieto parametre: rozsah IP adries (pool adries), z ktorého bude server prideľovať adresy klientom v lokálnej sieti; sieťovú masku a čas prenájmu.

Maximálna veľkosť fondu v UserGate nemôže presiahnuť 4000 adries. V prípade potreby je možné jednu alebo viac adries IP vylúčiť z vybraného fondu adries (tlačidlo Vylúčenia). Konkrétnemu zariadeniu v sieti môžete priradiť trvalú IP adresu vytvorením príslušnej väzby v sekcii Rezervácie. Stálosť IP adresy pri predĺžení alebo získaní prenájmu je zabezpečená väzbou (Rezerváciou) na MAC adresu sieťového zariadenia. Na vytvorenie väzby stačí zadať IP adresu zariadenia.

MAC adresa bude určená automaticky kliknutím na príslušné tlačidlo.

Obrázok 6. Konfigurácia servera UserGate DHCP

Server DHCP v UserGate podporuje import nastavení servera Windows DHCP. Nastavenia Windows DHCP sa musia najskôr uložiť do súboru. Ak to chcete urobiť, na serveri, kde je nainštalovaný systém Windows DHCP, spustite režim príkazového riadka (Štart Spustiť, zadajte cmd a stlačte kláves Enter) a v zobrazenom okne spustite príkaz: netsh dhcp server IP dump filename, kde IP je IP adresa vášho DHCP servera. Importovať nastavenia

www.usergate.ru

zo súboru sa vykoná pomocou príslušného tlačidla na prvej stránke sprievodcu konfiguráciou servera DHCP.

Vydané IP adresy sú zobrazené v spodnej polovici okna administračnej konzoly (obrázok 8) spolu s informáciami o klientovi (názov počítača, MAC adresa), čas začiatku a konca prenájmu. Výberom vydanej IP adresy môžete pridať používateľa do UserGate, vytvoriť väzbu podľa MAC adresy alebo uvoľniť IP adresu.

Obrázok 7. Vymazanie vydaných adries

Uvoľnená IP adresa sa po určitom čase umiestni do skupiny voľných adries DHCP servera. Operácia uvoľnenia IP adresy môže byť potrebná, ak počítač, ktorý predtým požadoval adresu zo servera UserGate DHCP, už nie je prítomný v sieti alebo zmenil svoju MAC adresu.

Server DHCP má schopnosť odpovedať na požiadavky klientov pri žiadosti o súbor "wpad.dat". Použitím tejto metódy na získanie nastavení proxy servera je potrebné upraviť súbor šablóny, ktorý sa nachádza v priečinku „C:\program files\entensys\usergate6\wwwroot\wpad.dat“.

Viac detailné informácie tento spôsob získania nastavení proxy servera je popísaný na Wikipédii.

Konfigurácia proxy služieb v UserGate Do servera UserGate sú integrované tieto proxy servery: HTTP (s podporou režimu “FTP cez HTTP” a HTTPS, - metóda Connect), FTP, SOCKS4, SOCKS5, POP3 a SMTP, SIP a H323. Nastavenia proxy servera www.usergate.ru sú dostupné v sekcii Služby Nastavenia proxy v administračnej konzole. Hlavné nastavenia proxy servera zahŕňajú:

rozhranie (obr. 9) a číslo portu, na ktorom proxy beží.

Obrázok 8. Základné nastavenia proxy servera UserGate štandardne obsahuje iba HTTP proxy, ktorá počúva na TCP porte 8080 na všetkých dostupných sieťových rozhraniach servera.

Ak chcete nakonfigurovať prehliadač klienta na prácu cez proxy server, stačí zadať adresu a port proxy v príslušnej položke nastavení. V programe Internet Explorer sa nastavenia servera proxy špecifikujú v ponuke Nástroje Možnosti Internetu Pripojenie Nastavenia siete LAN. Pri práci cez HTTP proxy nemusíte špecifikovať bránu a DNS vo vlastnostiach sieťového pripojenia TCP / IP na pracovnej stanici používateľa, pretože HTTP proxy sám rozpozná názvy.

Pre každý proxy server je k dispozícii kaskádový režim na upstream proxy server.

Dôležité! Port zadaný v nastaveniach proxy servera sa automaticky otvorí vo firewalle UserGate. Preto sa z bezpečnostného hľadiska odporúča v nastaveniach proxy špecifikovať iba lokálne sieťové rozhrania servera.

Dôležité! Ďalšie informácie o nastaveniach rôznych prehliadačov pre proxy server nájdete v špeciálnom článku v databáze znalostí Entensys.

Podpora protokolov IP telefónie (SIP, H323) UserGate implementuje funkciu stavového proxy SIP Registrar. SIP proxy je povolená v sekcii Služby Nastavenia proxy a vždy pracuje v transparentnom režime, počúva na portoch 5060 TCP a 5060 UDP. Pri použití SIP proxy zapnuté

www.usergate.ru

Stránka Sessions administračnej konzoly zobrazuje informácie o stave aktívneho pripojenia (registrácia, hovor, čakanie atď.), ako aj informácie o používateľskom mene (alebo čísle), trvaní hovoru a počte odoslaných/prijatých bajtov. Tieto informácie budú zaznamenané aj v štatistickej databáze UserGate.

Ak chcete použiť SIP proxy UserGate vo vlastnostiach TCP/IP na pracovnej stanici používateľa, musíte zadať adresu IP servera UserGate ako predvolenú bránu a nezabudnite zadať adresu servera DNS.

Ukážme si na príklade konfiguráciu klientskej časti pomocou softvérového telefónu SJPhone a poskytovateľa Sipnet. Spustite SJPhone, z kontextového menu vyberte Možnosti a vytvorte nový profil. Zadajte názov profilu (obr. 10), napríklad sipnet.ru. Nastavte typ profilu na Volať cez SIP-Proxy.

Obrázok 9. Vytvorenie nového profilu v SJPhone V dialógovom okne Profile Options (Možnosti profilu) musíte zadať adresu proxy servera vášho poskytovateľa VoIP.

Po zatvorení dialógového okna budete musieť zadať údaje na autorizáciu na serveri vášho poskytovateľa VoIP (používateľské meno a heslo).

Obrázok 10. Nastavenia profilu SJPhone www.usergate.ru Pozor! Ak, keď povolíte SIP proxy, vaša hlasová prevádzka neprechádza jedným alebo druhým smerom, potom musíte použiť server proxy STUN alebo nechať prevádzku cez NAT na všetkých portoch (ANY:FULL) pre potrebných používateľov. Ak povolíte pravidlo NAT na všetkých portoch, bude potrebné vypnúť SIP proxy server!

Podpora režimu SIP Registrar Funkcia SIP Registrar umožňuje použiť UserGate ako softvérovú PBX (Automatic Telephone Exchange) pre lokálnu sieť.

Funkcia SIP Registrar funguje súčasne s funkciou SIP Proxy. Na autorizáciu na UserGate SIP Registrar v nastaveniach SIP UAC (User Agent Client) musíte zadať:

Adresa UserGate ako adresa SIP servera Používateľské meno UserGate (bez medzier) akékoľvek heslo Podpora protokolu H323 Podpora protokolu H323 umožňuje použiť server UserGate ako H323 Gatekeeper. Nastavenia servera proxy H323 určujú rozhranie, na ktorom bude server načúvať požiadavkám klientov, číslo portu a adresu a port brány H323. Pre autorizáciu na UserGate Gatekeeper musí užívateľ zadať prihlasovacie meno (používateľské meno v UserGate), heslo (akékoľvek) a telefónne číslo uvedené v užívateľskom profile v UserGate.

Dôležité! Ak UserGate GateKeeper prijme hovor na číslo H323, ktoré nepatrí žiadnemu z autorizovaných používateľov UserGate, hovor bude presmerovaný na bránu H323. Hovory na bránu H323 sa uskutočňujú v režime CallModel: Direct.

Mail proxy v UserGate Mail proxy v UserGate sú určené na prácu s protokolmi POP3 a SMTP a na antivírusovú kontrolu poštovej prevádzky.

Pri použití transparentného režimu POP3 a SMTP proxy sa nastavenie poštového klienta na pracovnej stanici používateľa nelíši od nastavení zodpovedajúcej možnosti s priamym prístupom na internet.

Ak sa používa POP3 proxy UserGate v netransparentnom režime, potom v nastaveniach poštového klienta na pracovnej stanici používateľa musí byť ako adresa POP3 servera uvedená IP adresa počítača UserGate a port zodpovedajúci POP3 proxy UserGate. . Okrem toho je prihlasovacie meno na autorizáciu na vzdialenom serveri POP3 špecifikované v nasledujúcom formáte:

email_address@POP3_server_address. Napríklad, ak má používateľ poštovú schránku [e-mail chránený], potom ako prihlásenie

Proxy servera POP3 UserGate v poštovom klientovi bude potrebné zadať:

[e-mail chránený]@pop.mail123.com. Tento formát je potrebný, aby server UserGate mohol určiť adresu vzdialeného servera POP3.

www.usergate.ru

Ak sa SMTP proxy UserGate používa v netransparentnom režime, potom v nastaveniach proxy musíte zadať IP adresu a port SMTP servera, ktorý bude UserGate používať na odosielanie e-mailov. V tomto prípade je potrebné v nastaveniach poštového klienta na pracovnej stanici užívateľa zadať ako adresu SMTP servera IP adresu servera UserGate a port zodpovedajúci SMTP proxy UserGate. Ak je na odoslanie potrebná autorizácia, potom v nastaveniach poštového klienta musíte zadať prihlasovacie meno a heslo zodpovedajúce SMTP serveru uvedenému v nastaveniach SMTP proxy v UserGate.

Používanie transparentného režimu Funkcia Transparentný režim v nastaveniach proxy servera je dostupná, ak je UserGate server nainštalovaný spolu s ovládačom NAT. V transparentnom režime počúva ovládač UserGate NAT na štandardných portoch služby: 80 TCP pre HTTP, 21 TCP pre FTP, 110 a 25 TCP pre POP3 a SMTP na sieťových rozhraniach počítača UserGate.

Ak existujú požiadavky, odošle ich príslušnému proxy serveru UserGate. Pri použití transparentného režimu v sieťových aplikáciách používatelia nemusia špecifikovať adresu a port proxy servera, čo výrazne znižuje prácu administrátora pri poskytovaní lokálneho sieťového prístupu na internet. V sieťových nastaveniach pracovných staníc je však potrebné zadať server UserGate ako bránu a zadať adresu servera DNS.

Kaskádové proxy Server UserGate môže pracovať s internetovým pripojením priamo aj cez nadradené proxy servery. Takéto proxy servery sú zoskupené v UserGate pod Services Cascading proxy. UserGate podporuje nasledujúce typy kaskádových proxy: HTTP, HTTPS, Socks4, Socks5. V nastaveniach kaskádového proxy sú špecifikované štandardné parametre: adresa a port. Ak upstream proxy podporuje autorizáciu, v nastaveniach môžete zadať príslušné prihlasovacie meno a heslo. Vytvorené kaskádové proxy budú dostupné v nastaveniach proxy servera v UserGate.

www.usergate.ru Obrázok 11 Nadradené servery proxy v UserGate Priradenie portu UserGate podporuje funkciu mapovania portov. Ak existujú pravidlá pre prideľovanie portov, server UserGate presmeruje požiadavky používateľov prichádzajúce na konkrétny port zadaného sieťového rozhrania počítača s UserGate na inú zadanú adresu a port, napríklad na iný počítač v lokálnej sieti.

Funkcia Port Forwarding je dostupná pre protokoly TCP a UDP.

Obrázok 12. Priradenie portu v UserGate Dôležité! Ak sa priradenie portov používa na poskytovanie prístupu z internetu k internému zdroju spoločnosti, musíte ako parameter autorizácie www.usergate.ru vybrať Určený používateľ, inak nebude presmerovanie portov fungovať.

Konfigurácia vyrovnávacej pamäte Jedným z účelov servera proxy je ukladanie sieťových zdrojov do vyrovnávacej pamäte.

Ukladanie do vyrovnávacej pamäte znižuje zaťaženie vášho internetového pripojenia a urýchľuje prístup k často navštevovaným zdrojom. Proxy server UserGate vykonáva ukladanie návštevnosti HTTP a FTP do vyrovnávacej pamäte. Dokumenty vo vyrovnávacej pamäti sú umiestnené v lokálnom priečinku %UserGate_data%\Cache. Nastavenia vyrovnávacej pamäte sú:

limit veľkosti vyrovnávacej pamäte a čas uchovávania dokumentov vo vyrovnávacej pamäti.

Okrem toho môžete povoliť ukladanie dynamických stránok do vyrovnávacej pamäte a počítanie návštevnosti z vyrovnávacej pamäte. Ak je povolená možnosť Čítať návštevnosť z vyrovnávacej pamäte, v UserGate sa bude zaznamenávať nielen externá (internetová) prevádzka na používateľa, ale aj návštevnosť prijatá z vyrovnávacej pamäte UserGate.

Pozor! Ak chcete zobraziť aktuálne položky vo vyrovnávacej pamäti, musíte spustiť špeciálny nástroj na zobrazenie databázy vyrovnávacej pamäte. Spúšťa sa kliknutím pravým tlačidlom myši na ikonu „UserGate Agent“ v systémovej lište a výberom možnosti „Otvoriť vyrovnávaciu pamäť prehliadača“.

Pozor! Ak ste povolili vyrovnávaciu pamäť a stále nemáte žiadne prostriedky v „prehliadači vyrovnávacej pamäte“, pravdepodobne budete musieť povoliť transparentný proxy server pre protokol HTTP na stránke „Služby - Nastavenia proxy“.

Antivírusová kontrola Do servera UserGate sú integrované tri antivírusové moduly: Kaspersky Lab Anti-Virus, Panda Security a Avira. Všetky antivírusové moduly sú navrhnuté tak, aby kontrolovali prichádzajúcu komunikáciu cez HTTP, FTP a Mail proxy servery UserGate, ako aj odchádzajúce dáta cez SMTP proxy.

Nastavenia antivírusového modulu sú dostupné v administračnej konzole v časti Služby Antivírus (obr. 14). Pre každý antivírus môžete určiť, ktoré protokoly má kontrolovať, nastaviť frekvenciu aktualizácie antivírusových databáz a tiež určiť URL adresy, ktoré nie je potrebné kontrolovať (možnosť filtrovania URL). Okrem toho v nastaveniach môžete určiť skupinu používateľov, ktorých návštevnosť nemusí byť podrobená antivírusovej kontrole.

www.usergate.ru

Obrázok 13. Antivírusové moduly v UserGate Pred spustením antivírusových modulov začnite aktualizovať antivírusové databázy a počkajte na dokončenie. V predvolenom nastavení sa antivírusové databázy Kaspersky aktualizujú z webovej lokality Kaspersky Lab a pre antivírus Panda sa sťahujú zo serverov Entensys.

Server UserGate podporuje súčasnú prevádzku troch antivírusových modulov. V tomto prípade Kaspersky Anti-Virus ako prvý skontroluje prenos.

Dôležité! Keď je aktivovaná antivírusová kontrola prevádzky, server UserGate blokuje sťahovanie súborov cez HTTP a FTP. Blokovanie možnosti stiahnuť časť súboru cez HTTP môže viesť k problémom so službou Windows Update.

Plánovač v UserGate Server UserGate má vstavaný plánovač úloh, ktorý možno použiť na vykonávanie nasledujúcich úloh: inicializácia a odpojenie telefonického pripojenia, odosielanie štatistík používateľom UserGate, spustenie ľubovoľného programu, aktualizácia antivírusových databáz, vymazanie štatistík databázy, kontrola veľkosti databázy.

www.usergate.ru

Obrázok 14. Nastavenie plánovača úloh Položku Spustiť program v plánovači UserGate možno použiť aj na spustenie sekvencie príkazov (skriptov) zo súborov *.bat alebo *.cmd.

Podobné diela:

“AKČNÝ PLÁN 2014-2015 "KONFERENCIA REGIONÁLNEJ A MIESTNEJ VLÁDY K AKČNÉMU PLÁNU VÝCHODNÉHO PARTNERSTVA AKČNÝ PLÁN KONFERENCIE REGIONÁLNYCH A MIESTNYCH ORGÁNOV PRE VÝCHODNÉ PARTNERSTVO (CORLEAP) NA ROK 2014 AŽ DO VÝROČNÉHO STRETNUTIA MIESTNEHO PARTNERSTVA NA 2. AUTH. ") je politické fórum, ktoré je určené na podporu správania miestnych a ... "

„Riaditeľ odboru štátnej politiky a regulácie v oblasti geológie a využívania podložia Ministerstva prírodných zdrojov Ruska A.V. Orel schválený 23. augusta 2013 SCHVÁLENÝ Riaditeľ odboru štátnej politiky a regulácie v oblasti geológie a využívania podložia Ministerstva prírodných zdrojov Ruska _ A.V. Eagle "_" 2013 DOHODLA Riaditeľ Federálneho štátneho jednotného podniku pre geologický prieskum V.V. Shimansky "_"_ 2013 ZÁVER Vedeckej a metodickej rady pre geologické a geofyzikálne technológie prieskumu a prieskumu pevných nerastov ... "

„REDAKČNÝ STĹPEK D MILÍ PRIATELIA! Držíte v rukách prvé tohtoročné číslo časopisu New Forest Journal. Jeho hlavnou témou bol už tradične medzinárodný veľtrh „Ruský les“, ktorý sa konal koncom minulého roka. Samozrejme, toto podujatie sme nepovažovali ani tak za informačnú príležitosť, ale ako platformu pre rozvoj politiky, stratégie a taktiky rozvoja odvetvia odborníkmi lesného komplexu. Práve z tohto pohľadu sme sa snažili pokryť prácu seminárov, ... “

„Program štátnej záverečnej medziodborovej skúšky sa zostavuje v súlade s ustanoveniami: o štátnej záverečnej atestácii absolventov federálnej štátnej rozpočtovej vzdelávacej inštitúcie vyššie odborné vzdelanie Ruská akadémia národného hospodárstva a verejná služba za prezidenta Ruskej federácie" zo dňa 24. januára 2012, Moskva; o magisterskom štúdiu (magistráte) vo federálnom štátnom rozpočtovom vzdelávacom ... "

“Zoznam účinkujúcich Nechaev V.D. Vedúci Programu strategického rozvoja univerzity, rektor Glazkov A.A. vedúca práce na Programe strategického rozvoja univerzity, prorektorka pre vedu, inovácie a strategický rozvoj Sharaborova G.K. koordinátor aktivít v rámci Programu strategického rozvoja univerzity, riaditeľ Centra strategického rozvoja Kurátori projektu: Sokolov E.F. Prorektor pre administratívnu a ekonomickú podporu Ognev A.S. prorektor pre vedu,...“

«UDK 91:327 Lysenko A. V. Matematické modelovanie ako metóda na štúdium fenoménu autonomizmu v politickej geografii Taurida National University pomenovaná po V. I. Vernadskom, Simferopol е-mail: [e-mail chránený] Anotácia. Článok rozoberá možnosti využitia matematického modelovania ako metódy štúdia politickej geografie, odhaľuje koncept územnej autonómie, ako aj faktory jej genézy. Kľúčové slová: matematické modelovanie,..."

„PRÁVA“ v Murmansku SCHVÁLENÉ PRIJATÉ Riaditeľ pobočky na zasadnutí Katedry všeobecného práva PEI VPO BIEPP v Murmanských disciplínach PEI VPO BIEPP v.g. Murmansk A.S. Korobeinikov protokol č. 2_ zo dňa "_09_" _september_ 2014 "_09_" september 2014 Vzdelávací a metodický komplex odboru Dejiny politických a právnych doktrín Špecializácia ... "

„RUSKÝ DRUHOVÝ FOND PROGRAMU ROZVOJA VZDELÁVANIA (PREČÍTAJTE SI) PREČÍTAJTE SI VÝROČNÚ SPRÁVU ZA „Investovaním do hodnotenia kvality vzdelávania, hodnotenia výsledkov reforiem a systémov hodnotenia výsledkov vzdelávania a zručností banka pomôže svojim partnerským krajinám odpovedať na kľúčové otázky reformy politiky v vzdelávanie: aké sú výhody nášho systému? aké má nedostatky? Aké opatrenia na odstránenie týchto nedostatkov sa ukázali ako najúčinnejšie? čo sú..."

„OKHUNOV ALIŠER ORIPOVIČ [e-mail chránený] Názov Sillabus Všeobecné informácie o učiteľoch politiky disciplíny „Program všeobecných otázok Konečné študijné výsledky dropa a postprasitov chirurgie“ Kritériá a pravidlá hodnotenia vedomostí a zručností študentov Typ kontroly „Všeobecné otázky chirurgie“ Okhunov Alisher Oripovič [e-mail chránený] VŠEOBECNÉ INFORMÁCIE: NÁZOV Názov univerzity: Tashkent Medical Academy VŠEOBECNÉ INFORMÁCIE Oddelenie všeobecnej a detskej chirurgie Miesto...»

„Výbor pre vykonávanie zahraničných vzťahov v Petrohrade Petrohrad štátnej politiky Ruskej federácie voči krajanom v zahraničí VIII. Petrohradské fórum mládežníckych organizácií ruských krajanov a zahraničných ruskojazyčných médií „Ruské zahraničie“ 7.-13. , 2015 PROGRAM 7. JÚNA, NEDEĽA Príchod účastníkov Fórum počas dňa Hotel "St. Petersburg" Adresa: Pirogovské nábrežie, 5/2 Registrácia účastníkov, vystavenie "Nábor účastníka" POZOR!

„Učebný plán doplnkovej prijímacej skúšky do magisterského programu pre špecializáciu 1-23 80 06 „Dejiny medzinárodných vzťahov a zahraničnej politiky“ je zostavený na základe štandardných programov „História“. Medzinárodné vzťahy“ a „Dejiny zahraničnej politiky Bieloruska“, ako aj programy štátnej skúšky v špeciálnych disciplínach pre špecializáciu 1-23 01 01 „Medzinárodné vzťahy“. Posúdený a doporučený na schválenie na zasadnutí Protokolu odboru medzinárodných vzťahov č. 10 zo dňa 7 ... “

« Rusko-čínske laboratórium Vesmírne uväzovacie systémy si budúci týždeň môžu vybrať projekt superťažkej rakety Ďalšie satelity série Meteor nedostanú radarové systémy vesmírny odpad v januári ohrozil ISS 60-krát Minulý rok na Zemi ... “

"MINISTERSTVO ŠKOLSTVA A VEDY RUSKEJ FEDERÁCIE Federálna štátna rozpočtová vzdelávacia inštitúcia vyššieho odborného vzdelávania "Štátna univerzita Kemerovo" SCHVÁLENÉ: Rektor _ V. A. Volchek "" _ 2014 Hlavný vzdelávací program vysokoškolského vzdelávania Špecializácia 030701 Zameranie na medzinárodné vzťahy (špecializácia) " Svetová politika "Kvalifikačný (titulný) špecialista v oblasti medzinárodných vzťahov Forma štúdia denná Kemerovo 2014..."

„ISLAM NA MODERNOM URALE Alexej Malashenko, Alexej Starostin APRÍL 2015 ISLAM NA MODERNOM URALE Alexej Malashenko, Alexej Starostin Toto číslo Working Papers pripravilo Carnegie Moscow Center, nezisková mimovládna výskumná organizácia. Carnegie Endowment for International Peace a Carnegie Moscow Center ako organizácia nezastávajú spoločný postoj k sociálnym a politickým otázkam. Publikácia odráža osobné názory autorov, ktorí by nemali ... “

“„Hlavným princípom spoločnosti Knauf je, že všetko by malo byť „mitdenken“ (robte to po dobrom spoločnom premyslení a zohľadňovaní záujmov tých, pre ktorých pracujete). Postupne to kľúčový koncept zakorenil v Rusku. Z rozhovoru s Yu.A. Michajlovom, CEO LLC "Knauf GIPS KOLPINO"Postupy riadenia ruská divízia medzinárodná korporácia: skúsenosti "Knauf CIS"* Gurkov Igor Borisovič, Kossov Vladimir Viktorovič Anotácia Na základe analýzy skúseností z vývoja skupiny "Knauf CIS" v...»

"Príloha INFORMÁCIA o plnení nariadenia gubernátora Omskej oblasti zo dňa 28.02.2013 č. 25-r "O opatreniach na vykonanie výnosu gubernátora Omskej oblasti zo dňa 16.01.2013 č. 3" podľa k Plánu prioritných akcií na roky 2013 – 2014 na implementáciu regionálnej akčnej stratégie v záujme detí na území Omského regiónu na roky 2013 – 2017 na rok 2013 č. exekútor I. Rodinná politika ochrany dieťaťa ... “

„ODDELENIE VZDELÁVANIA A POLITIKY MLÁDEŽE CHANTY-MANSijskéHO AUTONÓMNEHO OBVODU - Štátna vzdelávacia inštitúcia vyššieho odborného vzdelávania JUGRA v Chanty-Mansijsku autonómnej oblasti– Program Ugra „Štátna pedagogická univerzita v Surgute“. priemyselná prax BP.5. PEDAGOGICKÁ PRAX Smer tréningu 49.03.02 Telesná kultúra pre osoby so zdravotným postihnutím (Adaptívne Telesná kultúra) Kvalifikácia (stupeň) ... "

„Štátna autonómna vzdelávacia inštitúcia vyššieho odborného vzdelávania „Moskva City University of Management of the Government of Moscow“ Inštitút vyššieho odborného vzdelávania Katedra verejnej správy a personálnej politiky SCHVÁLENÝ prorektorom pre akademické a vedecká práca A.A. Aleksandrov "_"_ 20_ Pracovný program akademická disciplína"Metódy prijímania manažérskych rozhodnutí" pre študentov smeru 38.03.02 "Manažment" pre denné vzdelávanie Moskva ... "

„Séria jednoduchých financií“ Y. V. Brekhova AKO ROZPOZNAŤ FINANČNÚ PYRAMÍDU Volgograd 2011 UDC 336 BBK 65.261 B 87 Service“ s Výborom pre rozpočtovú a finančnú politiku a ministerstvom financií Správy Volgogradského regiónu v rámci implementácie dlhej -termín regionálne cieľový program„Zlepšovanie úrovne finančnej gramotnosti obyvateľstva a rozvoj finančnej...“
Materiály tejto stránky sú zverejnené na kontrolu, všetky práva patria ich autorom.
Ak nesúhlasíte s tým, aby bol váš materiál zverejnený na tejto stránke, napíšte nám, my ho odstránime do 1-2 pracovných dní.