Настройка на Usergate - отчитане на интернет трафика в локалната мрежа. Достъп до интернет чрез UserGate Използване на прозрачен режим

Организирането на споделен достъп до Интернет за потребителите на локалната мрежа е една от най-честите задачи, пред които трябва да се изправят системните администратори. Въпреки това, той все още повдига много трудности и въпроси. Например, как да осигурим максимална сигурност и пълна управляемост?

Въведение

Днес ще разгледаме подробно как да организираме споделен достъп до интернет между служители на определена хипотетична компания. Да приемем, че техният брой ще бъде от порядъка на 50-100 души и всички обичайни услуги за такива информационни системи са разположени в локалната мрежа: домейн на Windows, собствен пощенски сървър, FTP сървър.

За да предоставим споделен достъп, ще използваме решение, наречено UserGate Proxy & Firewall. Има няколко функции. Първо, това е чисто руско развитие, за разлика от много локализирани продукти. Второ, има повече от десет години история. Но най-важното е постоянното развитие на продукта.

Първите версии на това решение бяха сравнително прости прокси сървъри, които можеха да споделят само една интернет връзка и да поддържат статистика за нейното използване. Най-разпространената сред тях е build 2.8, която все още може да се намери в малки офиси. Последната, шеста версия вече не се нарича прокси сървър от самите разработчици. Според тях това е пълноценно UTM решение, което покрива цял набор от задачи, свързани със сигурността и контрола на действията на потребителите. Да видим дали това е вярно.

Внедряване на прокси и защитна стена на UserGate

По време на инсталацията представляват интерес две стъпки (останалите стъпки са стандартни за инсталиране на всеки софтуер). Първият от тях е изборът на компоненти. В допълнение към основните файлове, от нас се иска да инсталираме още четири сървърни компонента - VPN, две антивирусни програми (Panda и Kaspersky Anti-Virus) и кеш браузър.

Модулът за VPN сървър се инсталира според нуждите, т.е. когато компанията планира да използва отдалечен достъп за служители или да комбинира няколко отдалечени мрежи. Има смисъл да се инсталират антивируси само ако са закупени съответните лицензи от компанията. Тяхното присъствие ще ви позволи да сканирате интернет трафика, да локализирате и блокирате зловреден софтуер директно на шлюза. Кеш браузърът ще ви позволи да видите уеб страници, кеширани от прокси сървъра.

Допълнителни функции

Забрана на нежелани сайтове

Решението поддържа технологията Entensys URL Filtering. По същество това е базирана в облак база данни, съдържаща повече от 500 милиона уебсайта на различни езици, разделени в повече от 70 категории. Основната му разлика е постоянното наблюдение, по време на което уеб проектите се наблюдават постоянно и когато съдържанието се промени, те се прехвърлят в друга категория. Това ви позволява да блокирате всички нежелани сайтове с висока степен на точност, просто като изберете определени категории.

Използването на Entensys URL Filtering повишава безопасността при работа в Интернет, а също така спомага за повишаване на ефективността на служителите (чрез забрана на социални мрежи, сайтове за забавление и др.). Използването му обаче изисква платен абонамент, който трябва да се подновява всяка година.

Освен това дистрибуцията включва още два компонента. Първата е „Администраторска конзола“. Това е отделно приложение, предназначено, както подсказва името, за управление на сървъра на прокси и защитна стена на UserGate. Основната му характеристика е възможността за дистанционно свързване. По този начин администраторите или лицата, отговорни за използването на интернет, не се нуждаят от директен достъп до интернет портала.

Вторият допълнителен компонент е уеб статистиката. По същество това е уеб сървър, който ви позволява да показвате подробни статистики за използването на глобалната мрежа от служители на компанията. От една страна, това без съмнение е полезен и удобен компонент. В крайна сметка ви позволява да получавате данни без инсталиране на допълнителен софтуер, включително чрез интернет. Но от друга страна, това отнема ненужни системни ресурси на интернет шлюза. Затова е по-добре да го инсталирате само когато наистина е необходимо.

Вторият етап, на който трябва да обърнете внимание по време на инсталирането на UserGate Proxy & Firewall, е изборът на база данни. В предишни версии UGPF можеше да функционира само с MDB файлове, което се отразяваше на цялостната производителност на системата. Сега има избор между две СУБД - Firebird и MySQL. Освен това първият е включен в комплекта за разпространение, така че при избора му не са необходими допълнителни манипулации. Ако искате да използвате MySQL, първо трябва да го инсталирате и конфигурирате. След приключване на инсталирането на сървърните компоненти е необходимо да се подготвят работни станции за администратори и други отговорни служители, които могат да управляват потребителския достъп. Много лесно се прави. Достатъчно е да инсталират административната конзола от същата дистрибуция на работните си компютри.

Допълнителни функции

Вграден VPN сървър

Версия 6.0 представи компонента VPN сървър. С негова помощ можете да организирате защитен отдалечен достъп за служители на компанията до локалната мрежа или да комбинирате отдалечени мрежи на отделни клонове на организацията в едно информационно пространство. Този VPN сървър има цялата необходима функционалност за създаване на тунели сървър към сървър и клиент към сървър и маршрутизиране между подмрежи.

Основна настройка

Цялата конфигурация на UserGate Proxy & Firewall се извършва с помощта на конзолата за управление. По подразбиране след инсталацията вече е създадена връзка към локалния сървър. Ако обаче го използвате отдалечено, ще трябва да създадете връзката ръчно, като посочите IP адреса или името на хоста на интернет шлюза, мрежовия порт (по подразбиране 2345) и параметрите за оторизация.

След като се свържете със сървъра, първо трябва да конфигурирате мрежовите интерфейси. Това може да се направи в раздела „Интерфейси“ на секцията „UserGate Server“. Мрежовата карта, която „гледа“ в локалната мрежа, е настроена на тип LAN, а всички останали връзки са настроени на WAN. „Временните“ връзки, като PPPoE, VPN, автоматично получават тип PPP.

Ако една компания има две или повече връзки към глобалната мрежа, като една от тях е основна, а останалите са резервни, тогава може да се конфигурира автоматично архивиране. Това е доста лесно да се направи. Достатъчно е да добавите необходимите интерфейси към списъка с резервни, да посочите един или повече контролни ресурси и времето за тяхната проверка. Принципът на работа на тази система е следният. UserGate автоматично проверява наличността на контролни сайтове на определен интервал. Веднага щом спрат да отговарят, продуктът самостоятелно, без намеса на администратор, превключва към резервния канал. В същото време продължава проверката за наличие на контролни ресурси през основния интерфейс. И веднага щом е успешно, обратното превключване се извършва автоматично. Единственото нещо, на което трябва да обърнете внимание при настройката, е изборът на контролни ресурси. По-добре е да вземете няколко големи сайта, чиято стабилна работа е практически гарантирана.

Допълнителни функции

Контрол на мрежовите приложения

UserGate Proxy & Firewall реализира такава интересна функция като контрол на мрежови приложения. Целта му е да предотврати достъпа на неоторизиран софтуер до интернет. Като част от контролните настройки се създават правила, които позволяват или блокират мрежовата работа на различни програми (с или без съображения за версия). Те могат да указват конкретни IP адреси и портове за местоназначение, което ви позволява гъвкаво да конфигурирате софтуерния достъп, позволявайки му да извършва само определени действия в Интернет.

Контролът на приложенията ви позволява да разработите ясна корпоративна политика относно използването на програми и частично да предотвратите разпространението на зловреден софтуер.

След това можете да продължите директно към настройката на прокси сървъри. Като цяло разглежданото решение прилага седем от тях: за протоколите HTTP (включително HTTPs), FTP, SOCKS, POP3, SMTP, SIP и H323. Това е на практика всичко, което може да е необходимо на служителите на една компания за работа в Интернет. По подразбиране само HTTP проксито е активирано; всички останали могат да бъдат активирани, ако е необходимо.

Прокси сървърите в UserGate Proxy & Firewall могат да работят в два режима - нормален и прозрачен. В първия случай говорим за традиционно прокси. Сървърът получава заявки от потребители и ги препраща към външни сървъри и предава получените отговори на клиентите. Това е традиционно решение, но има своите неудобства. По-специално, необходимо е да конфигурирате всяка програма, която се използва за работа в Интернет (интернет браузър, имейл клиент, ICQ и т.н.) на всеки компютър в локалната мрежа. Това, разбира се, е много работа. Освен това периодично, когато се инсталира нов софтуер, той ще се повтаря.

При избора на прозрачен режим се използва специален NAT драйвер, който е включен в пакета за доставка на въпросното решение. Той слуша съответните портове (80 за HTTP, 21 за FTP и т.н.), разпознава идващите към тях заявки и ги предава на прокси сървъра, откъдето се изпращат по-нататък. Това решение е по-успешно в смисъл, че софтуерната конфигурация на клиентските машини вече не е необходима. Единственото, което се изисква, е да посочите IP адреса на интернет шлюза като основен шлюз в мрежовата връзка на всички работни станции.

Следващата стъпка е да конфигурирате пренасочване на DNS заявки. Има два начина да направите това. Най-простият от тях е да активирате така нареченото DNS препращане. Когато го използвате, DNS заявките, пристигащи към интернет шлюза от клиенти, се пренасочват към посочените сървъри (можете да използвате или DNS сървър от настройките за мрежова връзка, или произволни DNS сървъри).

Втората опция е да създадете NAT правило, което ще получава заявки на порт 53 (стандартен за DNS) и ще ги препраща към външната мрежа. В този случай обаче ще трябва или ръчно да регистрирате DNS сървъри в настройките на мрежовата връзка на всички компютри, или да конфигурирате изпращане на DNS заявки през интернет шлюза от сървъра на домейн контролера.

Управление на потребителите

След като завършите основната настройка, можете да преминете към работа с потребители. Трябва да започнете, като създадете групи, в които акаунтите впоследствие ще бъдат комбинирани. за какво е това Първо, за последваща интеграция с Active Directory. И второ, можете да задавате правила на групи (ще говорим за тях по-късно), като по този начин контролирате достъпа за голям брой потребители наведнъж.

Следващата стъпка е да добавите потребители към системата. Можете да направите това по три различни начина. По очевидни причини ние дори не разглеждаме първата от тях, ръчно създаване на всеки акаунт. Тази опция е подходяща само за малки мрежи с малък брой потребители. Вторият метод е сканиране на корпоративната мрежа с ARP заявки, по време на което системата сама определя списъка с възможни акаунти. Ние обаче избираме третия вариант, който е най-оптимален от гледна точка на простота и лекота на администриране - интеграция с Active Directory. Извършва се въз основа на предварително създадени групи. Първо, трябва да попълните общите параметри на интеграция: посочете домейна, адреса на неговия контролер, потребителско име и парола с необходимите права за достъп до него, както и интервала на синхронизация. След това всяка група, създадена в UserGate, трябва да получи една или повече групи от Active Directory. Всъщност настройката свършва дотук. След като запазите всички параметри, синхронизирането ще се извърши автоматично.

Потребителите, създадени по време на оторизация, по подразбиране ще използват NTLM оторизация, тоест оторизация чрез влизане в домейн. Това е много удобна опция, тъй като правилата и системата за отчитане на трафика ще работят независимо на кой компютър седи потребителят в момента.

Въпреки това, за да използвате този метод за оторизация, ви е необходим допълнителен софтуер - специален клиент. Тази програма работи на ниво Winsock и предава параметри за оторизация на потребителя към интернет шлюза. Неговото разпространение е включено в пакета UserGate Proxy & Firewall. Можете бързо да инсталирате клиента на всички работни станции, като използвате групови правила на Windows.

Между другото, NTLM разрешението далеч не е единственият метод за разрешаване на служители на компанията да работят в Интернет. Например, ако една организация практикува стриктно обвързване на работниците към работните станции, тогава IP адрес, MAC адрес или комбинация от двете могат да се използват за идентифициране на потребителите. Използвайки същите методи, можете да организирате достъп до глобална мрежа от различни сървъри.

Потребителски контрол

Едно от значителните предимства на UGPF са неговите широки възможности за потребителски контрол. Те се изпълняват с помощта на система от правила за контрол на движението. Принципът на действието му е много прост. Администраторът (или друго отговорно лице) създава набор от правила, всяко от които представлява едно или повече условия на задействане и действието, което се извършва, когато възникнат. Тези правила се присвояват на отделни потребители или цели групи от тях и ви позволяват автоматично да контролирате работата им в Интернет. Има общо четири възможни действия. Първият е да затворите връзката. Позволява например да се блокира изтеглянето на определени файлове, да се предотврати посещението на нежелани сайтове и т.н. Второто действие е промяна на тарифата. Използва се в тарифната система, която е интегрирана в разглеждания продукт (не го разглеждаме, тъй като не е особено подходящо за корпоративни мрежи). Следното действие ви позволява да деактивирате отчитането на трафика, получен в рамките на тази връзка. В този случай предадената информация не се взема предвид при изчисляване на дневно, седмично и месечно потребление. И накрая, последното действие е да ограничите скоростта до определената стойност. Много е удобно да се използва за предотвратяване на запушване на канала при изтегляне на големи файлове и решаване на други подобни проблеми.

В правилата за контрол на движението има много повече условия - около десет. Някои от тях са относително прости, като максимален размер на файла. Това правило ще се задейства, когато потребителите се опитат да изтеглят файл, по-голям от определения размер. Други условия са базирани на времето. По-специално, сред тях можем да отбележим графика (задействан по време и дни от седмицата) и празниците (задействан в определени дни).

От най-голям интерес обаче са правилата и условията, свързани със сайтовете и съдържанието. По-специално те могат да се използват за блокиране или задаване на други действия върху определени типове съдържание (например видео, аудио, изпълними файлове, текст, снимки и т.н.), конкретни уеб проекти или цели техни категории (технологията Entensys URL Filtering е използвана за това).

Трябва да се отбележи, че едно правило може да съдържа няколко условия наведнъж. В този случай администраторът може да посочи в какъв случай да се изпълни - ако са изпълнени всички условия или някое от тях. Това ви позволява да създадете много гъвкава политика за използването на Интернет от служителите на компанията, като вземете предвид голям брой различни нюанси.

Настройка на защитна стена

Неразделна част от драйвера на NAT UserGate е защитна стена; тя помага за решаването на различни проблеми, свързани с обработката на мрежовия трафик. За конфигуриране се използват специални правила, които могат да бъдат един от три вида: превод на мрежови адреси, маршрутизиране и защитна стена. В системата може да има произволен брой правила. В този случай те се прилагат в реда, в който са изброени в общия списък. Следователно, ако входящият трафик отговаря на няколко правила, той ще бъде обработен от това, което се намира над останалите.

Всяко правило се характеризира с три основни параметъра. Първият е източникът на трафик. Това може да бъде един или повече конкретни хостове, WAN или LAN интерфейс на интернет шлюза. Вторият параметър е целта на информацията. Тук може да се укаже LAN или WAN интерфейс или комутируема връзка. Последната основна характеристика на едно правило е една или повече услуги, към които се прилага. В UserGate Proxy & Firewall услугата се разбира като двойка от семейство протоколи (TCP, UDP, ICMP, произволен протокол) и мрежов порт (или диапазон от мрежови портове). По подразбиране системата вече има впечатляващ набор от предварително инсталирани услуги, вариращи от обикновени (HTTP, HTTPs, DNS, ICQ) до специфични (WebMoney, RAdmin, различни онлайн игри и т.н.). Въпреки това, ако е необходимо, администраторът може да създаде свои собствени услуги, например тези, които описват как да работите с онлайн банкиране.

Всяко правило също има действие, което изпълнява с трафик, който отговаря на условията. Има само две от тях: разрешаване или забрана. В първия случай движението протича безпрепятствено по посочения маршрут, а във втория е блокирано.

Правилата за превод на мрежови адреси използват NAT технология. С тяхна помощ можете да конфигурирате достъп до интернет за работни станции с локални адреси. За да направите това, трябва да създадете правило, като посочите LAN интерфейса като източник и WAN интерфейса като дестинация. Правилата за маршрутизиране се прилагат, ако въпросното решение ще се използва като рутер между две локални мрежи (имплементира тази функция). В този случай маршрутизирането може да бъде конфигурирано да пренася трафик двупосочно и прозрачно.

Правилата на защитната стена се използват за обработка на трафик, който не отива към прокси сървъра, а директно към интернет шлюза. Веднага след инсталирането системата има едно такова правило, което позволява всички мрежови пакети. По принцип, ако създаваният интернет шлюз няма да се използва като работна станция, тогава действието на правилото може да се промени от „Разрешаване“ на „Отказ“. В този случай всяка мрежова активност на компютъра ще бъде блокирана, с изключение на транзитните NAT пакети, предавани от локалната мрежа към Интернет и обратно.

Правилата на защитната стена ви позволяват да публикувате всякакви локални услуги в глобалната мрежа: уеб сървъри, FTP сървъри, пощенски сървъри и др. В същото време отдалечените потребители имат възможност да се свързват с тях чрез интернет. Като пример, помислете за публикуване на корпоративен FTP сървър. За да направи това, администраторът трябва да създаде правило, в което да избере „Any“ като източник, да посочи желания WAN интерфейс като дестинация и FTP като услуга. След това изберете действието „Разрешаване“, активирайте излъчването на трафик и в полето „Адрес на местоназначение“ посочете IP адреса на локалния FTP сървър и неговия мрежов порт.

След тази конфигурация всички връзки към мрежовите карти на интернет шлюза през порт 21 ще бъдат автоматично пренасочени към FTP сървъра. Между другото, по време на процеса на настройка можете да изберете не само „родния“, но и всяка друга услуга (или да създадете своя собствена). В този случай външните потребители ще трябва да се свържат с порт, различен от 21. Този подход е много удобен в случаите, когато информационната система разполага с две или повече услуги от един и същи тип. Например, можете да организирате външен достъп до корпоративния портал чрез стандартен HTTP порт 80 и достъп до уеб статистика на UserGate през порт 81.

Външният достъп до вътрешния пощенски сървър е конфигуриран по подобен начин.

Важна отличителна черта на внедрената защитна стена е системата за предотвратяване на проникване. Той работи напълно автоматично, като идентифицира неразрешени опити въз основа на сигнатури и евристични методи и ги неутрализира чрез блокиране на нежелани потоци от трафик или нулиране на опасни връзки.

Нека обобщим

В този преглед разгледахме подробно организацията на споделен достъп на служителите на компанията до Интернет. В съвременните условия това не е най-лесният процес, тъй като трябва да се вземат предвид голям брой различни нюанси. Освен това както техническите, така и организационните аспекти са важни, особено контролът на действията на потребителите.

И днес ще говорим за настройка на основен прокси сървър. Със сигурност много от вас са чували понятието прокси, но не са се задълбочавали особено в неговото определение. С прости думи, прокси сървърът е междинна връзка между компютрите в мрежата и Интернет. Това означава, че ако такъв сървър е инсталиран в мрежата, тогава достъпът до Интернет не се осъществява директно през рутера, а се обработва предварително от междинна станция.

Защо ви е необходим прокси сървър в локална мрежа? Какви ползи ще получим след инсталирането му? Първото важно свойство е способността за кеширане и дългосрочно съхранение на информация от уебсайтове на сървъра. Това ви позволява значително да намалите натоварването на интернет канала. Това е особено вярно в онези организации, където достъпът до глобалната мрежа все още се осъществява чрез ADSL технология. Така например, ако по време на практически урок студентите търсят същия тип информация от конкретни сайтове, тогава след пълно изтегляне на информацията от ресурса на една станция, скоростта на зареждането й на останалите се увеличава значително.

Също така, с внедряването на прокси сървър, системният администратор получава в ръцете си ефективен инструмент, който му позволява да контролира достъпа на потребителите до всички уебсайтове. Тоест, ако забележите, че определен човек прекарва работното си време в игра на танкове или гледане на телевизионни сериали, можете да блокирате достъпа му до тези удоволствия от живота. Или можете да се подигравате с това, като постепенно намалявате скоростта на връзката...или блокирате само определени функции, например зареждане на снимки след обяд. Като цяло тук има накъде да се разшири. Това е контролът на системния администратор върху прокси сървъра, който прави приятелите му още по-мили и враговете му по-ядосани.

В този материал ще разгледаме по-подробно инсталирането и конфигурирането на проксито UserGate 2.8. Тази версия на програмата беше пусната през май 2003 г. Тогава дори нямах собствен компютър. Въпреки това, тази конкретна версия на Usergate все още се счита за най-успешната поради своята стабилност и лесна настройка. Разбира се, функционалността не е достатъчна и има ограничение за броя на едновременните потребители. Техният брой не трябва да надвишава 300 души. Лично мен тази бариера не ме притеснява много. Защото, ако администрирате мрежа с 300 машини, тогава със сигурност няма да използвате такъв софтуер. UG 2.8 е за малки офиси и домашни мрежи.

Е, мисля, че е време да спрем да се изказваме. Изтеглете UserGate от торентиили чрез тази връзка, изберете компютър като бъдещ прокси сървър и незабавно започнете инсталацията.

Инсталиране и активиране

Стъпка 1.Това приложение е едно от най-лесните за инсталиране. Създава се впечатлението, че не инсталираме прокси сървър, а си бъркаме в носа. Стартираме файла Setup.exe и приемаме споразумението в първия прозорец. Кликнете върху "Напред".

Стъпка 2.Избор на място за монтаж. Вероятно ще го оставя по подразбиране. Щракнете върху „Старт“ и изчакайте процеса на инсталиране да завърши.

Стъпка 3.Готово. Инсталацията е завършена. Не забравяйте да поставите отметка в квадратчето „Изпълни инсталирано приложение“ и смело щракнете върху „OK“.

Стъпка 4.По дяволите! Програмата от 2003 г. се оказва не безплатна. Трябва лиценз. Ами нищо. Архивът, който качихме, съдържа лекарство. Отваряме папката “Crack” и в нея намираме единствения файл Serial.txt. Ние копираме номера на лиценза и серийния номер от него. Само два реда. Трудно е да сгрешиш.

Стъпка 5.В долния десен ъгъл на панела с икони за известяване щракнете двукратно върху синята икона на usergate и се уверете, че програмата е инсталирана и активирана правилно.

Настройка на прокси сървър

Стъпка 1.Първата стъпка е да се уверим, че нашият сървър има статичен IP адрес. За да направите това, отидете на „Старт - Контролен панел - Център за мрежи и споделяне - Промяна на настройките на адаптера“ и щракнете с десния бутон върху мрежовата карта, чрез която се осъществява достъп до локалната мрежа. В списъка, който се отваря, изберете „Properties - Internet Protocol version 4“ и се уверете, че е посочен фиксиран IP адрес. Това ще зададем като прокси посредник на всички клиентски станции.

Стъпка 2.Да се ​​върнем към нашата програма. В раздела „Настройки“ потърсете протокола „HTTP“ и като посочите порта (можете да го оставите по подразбиране), заедно с възможността за работа през FTP, разрешаваме използването му. Тази настройка позволява на потребителите да разглеждат уеб страници в браузъра. Изобщо не е необходимо да използвате стандарт 8080 или 3128 като порт. Можете да измислите нещо свое. Това значително ще повиши нивото на мрежова сигурност, основното е да изберете номер в диапазона от 1025 до 65535 и ще бъдете щастливи.

Стъпка 3.Следващата стъпка е да активирате кеширането. Както казахме по-рано, това значително ще увеличи натоварването на същите ресурси на клиентските станции. Колкото по-дълго е времето за съхранение и размерът на кеша, толкова по-голямо е натоварването на RAM на прокси сървъра. Въпреки това, външно, скоростта на зареждане на страници в браузъра ще бъде по-висока, отколкото без използване на кеша. Винаги задавам времето за задържане на 72 часа (еквивалентно на два дни) и задавам размера на кеша на 2 гигабайта.

Стъпка 4.Време е да преминем към създаване на потребителски групи. За да направите това, в елемента от менюто със същото име изберете потребителската група „По подразбиране“ и щракнете върху „Промяна“.

Преименувайте групата по подразбиране и щракнете върху бутона „Добавяне“.

Време е да създадете потребители. Обикновено въвеждам пълното мрежово име на компютъра в полето „Име“, което може да се види в системните свойства на клиентската машина. Това е удобно, ако мрежата е малка, но ние решихме, че тази програма не е подходяща за сериозна мрежа. Изберете типа оторизация „По IP адрес“ и въведете IP адреса на клиента като потребителско име. Вече разгледахме къде да го гледаме по-рано. В малките мрежи старите админи по стария начин регистрират IP ръчно на всички коли и почти никога не ги сменят.

class="eliadunit">

Стъпка 5.Сега нека да разгледаме най-интересната част. А именно ограничаване на потребителите. Дори в малка мрежа е за предпочитане да се работи с групи, отколкото с отделни хора. Затова избираме създадената от нас група и отиваме в раздела „График на работа“. В него можем да изберем дните и часовете, през които да бъде отворен достъпът до интернет за нашата група.

Превъртете надясно и в раздела „Ограничения“ посочете скоростта на достъп до интернет за потребителската група. Щракнете върху „Задаване на ограничения за групови потребители“ и едва след това щракнете върху бутона „Прилагане“. Така ограничихме скоростта на достъп за всеки потребител от групата „Компютърен клас” до 300 kb/s. Това със сигурност не е много, но е напълно достатъчно за практическо обучение.

Стъпка 6.Това трябва да завърши основната настройка, но бих искал да говоря и за параметъра „Филтър“. В този раздел можете да ограничите достъпа на потребителите до определени сайтове. За да направите това, просто добавете връзка към сайта към списъка. Отбелязвам обаче, че тази настройка не работи напълно правилно. Тъй като много съвременни сайтове вече са преминали от HTTP протокола към по-сигурния HTTPS. И прокси сървър 2003 не може да се справи с такъв звяр. Следователно не трябва да изисквате висококачествено филтриране на съдържание от тази версия.

Стъпка 7И последният щрих е да запазим всичките си настройки в отделен файл (за всеки случай) и да защитим прокси сървъра от намеса от неподходящи ръце. Всичко това може да се направи в елемента „Разширени“. Въведете паролата, след което я потвърдете. Щракнете върху Приложи. И едва сега кликнете върху бутона за запазване на конфигурацията. Посочете мястото за запазване. Всички. Сега, ако нещо се обърка. Или решавате да експериментирате с настройките. Ще бъде готово тяхно резервно копие.

Настройка на клиентски станции

Стъпка 1.Завършихме настройката на прокси сървъра. Да преминем към клиентската станция. Първото нещо, което трябва да направите, е да се уверите, че IP адресът е регистриран на нашия сървър. Ако си спомняте, по време на настройката посочихме, че клиентът с име Station01 има адрес 192.168.0.3. Нека се уверим в това.

Стъпка 2.След това трябва да регистрирате адреса на прокси сървъра и неговия порт в системата. За да направите това, отидете на следния път „Старт – Контролен панел – Опции за интернет (XP) или Браузър (7) – Връзки – Мрежови настройки“ и активирайте опцията за използване на прокси сървър, задайте неговия адрес и порт за HTTP връзката . Кликнете върху „OK“ в този и предишния прозорец.

Стъпка 3.страхотно Вече сме на финала. Отворете браузъра и ако сте конфигурирали всичко правилно, трябва да се отвори началната страница.

Тук бих искал да изясня още един момент. Можете да конфигурирате компютъра си така, че само един браузър да работи през проксито, а не всички наведнъж. За да направите това, трябва да отидете в раздела „Инструменти – Настройки – Разширени – Мрежа – Конфигуриране“ и да изберете ръчна конфигурация и да регистрирате същия IP адрес и порт на сървъра.

Е, нека проверим работата на филтрите. Сега нека се опитаме да получим достъп до един от тях. Както се очакваше, ресурсът е блокиран.

Следене на трафика

Какво се случва на сървъра? Работата е в разгара си. В раздела потребители можем да проследим колко мегабайта са изтеглени и прехвърлени от нашите клиенти на ден, месец и дори година!

Разделът „Връзки“ ви позволява да проследите кой ресурс посещава клиентът в момента. Съученици? ВКонтакте? Или все още сте заети с работа.

Ако внезапно нашият потребител е успял да затвори интересен сайт, това не е проблем. Винаги можете да разгледате хронологията в раздела „Монитор“.

Заключение

Мисля, че е време да приключим. И накрая, бих искал да кажа, че темата за този материал е избрана с причина. В моя роден град UserGate версия 2.8 работи в повечето предприятия със слабо развита мрежова инфраструктура. Може би днес ситуацията се е променила към по-добро, но в средата на 2013 г., когато тичах из целия град, обслужвайки информационната и правна система Garant, всичко беше точно така. Портата просто улавя мрежи от търговски и нестопански предприятия от различни ивици. И като се има предвид, че финансовата криза удари година по-късно, не мисля, че някой от тях се е отказал за прокси за пътуване.

Въпреки недостатъците като липсата на HTTPs, крив филтър, невъзможността за интуитивно настройване на торенти и т.н. UserGate 2.8 ще бъде запомнен от всички администратори дълго време като най-стабилната и непретенциозна версия на прокси сървър в историята. Новите версии на програмата могат да се похвалят с възможност за оторизиране на потребители на домейн, защитна стена, NAT, висококачествено филтриране на съдържание и други екстри. Цялото това удоволствие обаче си има цена. И плащат много (54 600 рубли за 100 коли). Любителите на безплатните не харесват тази подредба.

Така че мисля, че е време да се сбогуваме. Приятели, искам да ви напомня, че ако материалът е бил полезен за вас, харесайте го. И ако това е първият ви път на нашия уебсайт, тогава се абонирайте. В крайна сметка редовните структурирани издания в областта на информационните технологии на безплатна основа са рядкост в RuNet. Между другото, за freeloaders, скоро ще направя проблем за друг прокси сървър, SmallProxy. Този малък човек, въпреки че е безплатен, не е по-лош от Usergate и се е доказал като отличен. Така че регистрирайте се и изчакайте. Ще се видим след седмица. Чао на всички!

class="eliadunit">

Днес Интернет е не само средство за комуникация или начин за прекарване на свободното време, но и работен инструмент. Търсенето на информация, участието в търгове, работата с клиенти и партньори изискват присъствието на служители на компанията в Интернет. Повечето компютри, използвани както за лични, така и за организационни цели, работят с операционни системи Windows. Естествено, всички те са оборудвани с механизми за осигуряване на достъп до интернет. Започвайки с второто издание на Windows 98, споделянето на интернет връзка (ICS) е вградено в операционните системи Windows като стандартен компонент, който осигурява групов достъп от локална мрежа до интернет. По-късно Windows 2000 Server представи услугата за маршрутизиране и отдалечен достъп и добави поддръжка за NAT протокола.

Но ICS има своите недостатъци. Така че тази функция променя адреса на мрежовия адаптер и това може да причини проблеми в локалната мрежа. Следователно ICS е за предпочитане да се използва само в домашни или малки офис мрежи. Тази услуга не предоставя потребителско разрешение, така че не е препоръчително да я използвате в корпоративна мрежа. Ако говорим за приложение в домашна мрежа, тогава и тук липсата на оторизация по потребителско име също става неприемлива, тъй като IP и MAC адресите са много лесни за фалшифициране. Следователно, въпреки че в Windows е възможно да се организира унифициран достъп до Интернет, на практика за изпълнение на тази задача се използва или хардуер, или софтуер от независими разработчици. Едно такова решение е програмата UserGate.

Първо запознанство

Прокси сървърът Usergate ви позволява да предоставите на потребителите на локалната мрежа достъп до Интернет и да дефинирате политики за достъп, забранявайки достъпа до определени ресурси, ограничавайки трафика или времето, през което потребителите работят в мрежата. В допълнение, Usergate дава възможност да се водят отделни записи на трафика както по потребител, така и по протокол, което значително улеснява контрола на разходите за интернет връзка. Напоследък се забелязва тенденция сред интернет доставчиците да предоставят неограничен достъп до интернет през своите канали. На фона на тази тенденция на преден план излизат контролът на достъпа и счетоводството. За тази цел прокси сървърът на Usergate има доста гъвкава система от правила.

Прокси сървърът Usergate с поддръжка на NAT (превод на мрежови адреси) работи на операционни системи Windows 2000/2003/XP с инсталиран TCP/IP протокол. Без поддръжка на NAT протокол, Usergate може да работи на Windows 95/98 и Windows NT 4.0. Самата програма не изисква специални ресурси за работа; основното условие е наличието на достатъчно дисково пространство за кеш и лог файлове. Затова все още се препоръчва инсталирането на прокси сървър на отделна машина, като му се предоставят максимални ресурси.

Настройки

За какво е прокси сървър? В крайна сметка всеки уеб браузър (Netscape Navigator, Microsoft Internet Explorer, Opera) вече знае как да кешира документи. Но не забравяйте, че първо, ние не отделяме значителни количества дисково пространство за тези цели. И второ, вероятността един човек да посети едни и същи страници е много по-малка, отколкото ако десетки или стотици хора направят това (а много организации имат такъв брой потребители). Следователно създаването на единно кеш пространство за организацията ще намали входящия трафик и ще ускори търсенето в Интернет на документи, които вече са получени от един от служителите. Прокси сървърът на UserGate може да бъде свързан в йерархия с външни прокси сървъри (доставчици) и в този случай ще бъде възможно, ако не да се намали трафикът, то поне да се ускори получаването на данни, както и да се намалят разходите (обикновено цената на трафика от доставчик през прокси сървър е по-ниска).

Екран 1: Настройка на кеша

Гледайки напред, ще кажа, че кешът е конфигуриран в раздела на менюто „Услуги“ (вижте екран 1). След като превключите кеша в режим „Активиран“, можете да конфигурирате отделните му функции - кеширане на POST заявки, динамични обекти, бисквитки, съдържание, получено чрез FTP. Тук можете да конфигурирате размера на дисковото пространство, разпределено за кеша и живота на кеширания документ. И за да започне да работи кешът, трябва да конфигурирате и активирате прокси режима. Настройките определят кои протоколи ще работят през прокси сървъра (HTTP, FTP, SOCKS), на кой мрежов интерфейс ще се слушат и дали ще се извършва каскадно свързване (необходимите данни за това се въвеждат в отделен раздел на услугата прозорец за настройки).

Преди да започнете работа с програмата, трябва да направите други настройки. По правило това се прави в следната последователност:

1. Създаване на потребителски акаунти в Usergate.
2. Настройка на DNS и NAT на система с Usergate. На този етап конфигурацията се свежда главно до конфигуриране на NAT с помощта на съветника.
3. Настройка на мрежова връзка на клиентски машини, където е необходимо да се регистрират шлюза и DNS в свойствата на TCP/IP мрежовата връзка.
4. Създаване на политика за достъп до Интернет.

За по-лесно използване програмата е разделена на няколко модула. Сървърният модул работи на компютър, свързан с интернет и изпълнява основни задачи. Администрирането на Usergate се извършва с помощта на специален модул Usergate Administrator. С негова помощ цялата конфигурация на сървъра се извършва в съответствие с необходимите изисквания. Клиентската част на Usergate е внедрена под формата на Usergate Authentication Client, който се инсталира на компютъра на потребителя и служи за оторизиране на потребители на сървъра на Usergate, ако се използва оторизация, различна от IP или IP + MAC оторизации.

контрол

Управлението на потребители и групи е поставено в отделен раздел. Групите са необходими за улесняване на управлението на потребителите и техния общ достъп и настройки за таксуване. Можете да създадете толкова групи, колкото е необходимо. Обикновено групите се създават според структурата на организацията. Какви параметри могат да бъдат присвоени на потребителска група? Всяка група е свързана с тарифа, при която ще се вземат предвид разходите за достъп. По подразбиране се използва тарифата по подразбиране. Той е празен, така че връзките на всички потребители, включени в групата, не се таксуват, освен ако тарифата не е заменена в потребителския профил.

Програмата има набор от предварително дефинирани NAT правила, които не могат да бъдат променяни. Това са правила за достъп за протоколите Telten, POP3, SMTP, HTTP, ICQ и др. Когато създавате група, можете да посочите кои правила ще се прилагат към тази група и потребителите, включени в нея.

Режимът на автоматично набиране може да се използва, когато връзката с интернет е през модем. Когато този режим е активиран, потребителят може да инициализира връзка с интернет, когато все още няма връзка - по негово искане модемът установява връзка и осигурява достъп. Но когато се свързвате чрез наета линия или ADSL, няма нужда от този режим.

Добавянето на потребителски акаунти не е по-трудно от добавянето на групи (вижте Фигура 2). И ако компютърът с инсталиран прокси сървър Usergate е част от домейн на Active Directory (AD), потребителските акаунти могат да бъдат импортирани от там и след това категоризирани в групи. Но както при ръчно въвеждане, така и при импортиране на акаунти от AD, трябва да конфигурирате потребителски права и правила за достъп. Те включват вида на разрешението, тарифния план, наличните NAT правила (ако груповите правила не отговарят напълно на нуждите на конкретен потребител).

Прокси сървърът на Usergate поддържа няколко типа оторизация, включително оторизация на потребител чрез Active Directory и прозореца за влизане в Windows, което позволява на Usergate да бъде интегриран в съществуваща мрежова инфраструктура. Usergate използва свой собствен NAT драйвер, който поддържа оторизация чрез специален модул - модул за оторизация на клиента. В зависимост от избрания метод за оторизация, в настройките на потребителския профил трябва да посочите или неговия IP адрес (или диапазон от адреси), или име и парола, или само име. Тук може да се посочи и имейл адресът на потребителя, на който да се изпращат отчети за използването на достъп до Интернет.

правила

Системата с правила на Usergate е по-гъвкава в настройките в сравнение с възможностите на политиката за отдалечен достъп (политика за отдалечен достъп в RRAS). С помощта на правила можете да блокирате достъпа до определени URL адреси, да ограничите трафика с помощта на определени протоколи, да зададете времеви лимит, да ограничите максималния размер на файла, който потребителят може да изтегли, и много повече (вижте Фигура 3). Стандартните инструменти на операционната система нямат достатъчна функционалност за решаване на тези проблеми.

Правилата се създават с помощта на асистента. Те се отнасят за четири основни обекта, наблюдавани от системата - връзка, трафик, тарифа и скорост. Освен това за всеки от тях може да се извърши едно действие. Изпълнението на правила зависи от настройките и ограниченията, които са избрани за него. Те включват използваните протоколи, часовете по дни от седмицата, когато това правило ще бъде в сила. Накрая се определят критерии за обема на трафика (входящ и изходящ), времето, прекарано в мрежата, баланса на средствата в акаунта на потребителя, както и списък с IP адреси на източника на заявката и мрежови адреси на ресурси, които подлежат на действие. Конфигурирането на мрежови адреси също ви позволява да определите типовете файлове, които потребителите няма да могат да изтеглят.

Много организации не позволяват използването на услуги за незабавни съобщения. Как да приложите такава забрана с помощта на Usergate? Достатъчно е да създадете едно правило, което затваря връзката при заявка на сайта *login.icq.com*, и да го приложите към всички потребители. Прилагането на правилата ви позволява да променяте тарифите за достъп през деня или нощта, до регионални или споделени ресурси (ако такива разлики са предоставени от доставчика). Например, за да превключите между нощни и дневни тарифи, ще е необходимо да създадете две правила, едното ще извърши превключване на времето от дневна към нощна тарифа, второто ще превключи обратно. Всъщност защо са необходими тарифите? Това е основата на вградената система за таксуване. Понастоящем тази система може да се използва само за съпоставяне и изпробване на разходите, но след като системата за таксуване бъде сертифицирана, собствениците на системата ще имат надежден механизъм за работа с клиентите си.

Потребители

Сега да се върнем към настройките на DNS и NAT. Настройката на DNS включва указване на адресите на външни DNS сървъри, до които системата ще има достъп. В този случай на потребителски компютри е необходимо да посочите IP на вътрешния мрежов интерфейс на компютъра с Usergate в настройките за връзка за свойствата на TCP/IP като шлюз и DNS. Малко по-различен принцип на конфигурация при използване на NAT. В този случай трябва да добавите ново правило към системата, което изисква дефиниране на IP на получателя (локален интерфейс) и IP на изпращача (външен интерфейс), порт - 53 и UDP протокол. Това правило трябва да бъде присвоено на всички потребители. И в настройките за връзка на техните компютри трябва да посочите IP адреса на DNS сървъра на доставчика като DNS и IP адреса на компютъра с Usergate като шлюз.

Конфигурирането на имейл клиенти може да се извърши както чрез картографиране на портове, така и чрез NAT. Ако вашата организация позволява използването на услуги за незабавни съобщения, тогава настройките за връзка за тях трябва да бъдат променени - трябва да посочите използването на защитна стена и прокси, да зададете IP адреса на вътрешния мрежов интерфейс на компютъра с Usergate и да изберете HTTPS или Socks протокол. Но трябва да имате предвид, че когато работите през прокси сървър, няма да можете да работите в чат стаи и видео чат, ако използвате Yahoo Messenger.

Статистиката на операциите се записва в дневник, съдържащ информация за параметрите на връзката на всички потребители: време на връзката, продължителност, изразходвани средства, заявени адреси, количество получена и предадена информация. Не можете да отмените записването на информация за потребителските връзки във файла със статистика. За преглед на статистиката в системата има специален модул, който може да бъде достъпен както през администраторския интерфейс, така и от разстояние. Данните могат да бъдат филтрирани по потребители, протоколи и време и могат да бъдат записани във външен файл на Excel за по-нататъшна обработка.

Какво следва

Докато първите версии на системата бяха предназначени само за прилагане на механизъм за кеширане на прокси сървър, последните версии имат нови компоненти, предназначени да гарантират сигурността на информацията. Днес потребителите на Usergate могат да използват вградената защитна стена и антивирусен модул на Kaspersky. Защитната стена ви позволява да контролирате, отваряте и блокирате определени портове, както и да публикувате фирмени уеб ресурси в Интернет. Вградената защитна стена обработва пакети, които не се обработват на ниво NAT правила. След като пакетът бъде обработен от NAT драйвера, той вече не се обработва от защитната стена. Настройките на порта, направени за проксито, както и портовете, посочени в Port Mapping, се поставят в автоматично генерирани правила за защитна стена (автоматичен тип). Автоматичните правила също включват TCP порт 2345, който се използва от модула Usergate Administrator за свързване към бекенда на Usergate.

Говорейки за перспективите за по-нататъшно развитие на продукта, заслужава да се спомене създаването на ваш собствен VPN сървър, който ще ви позволи да изоставите VPN от операционната система; внедряване на мейл сървър с антиспам поддръжка и разработка на интелигентна защитна стена на ниво приложение.

Михаил Абрамзон- Ръководител маркетинг група в Digt.

Забележка:Тази статия е редактирана и актуализирана с актуални данни и допълнителни връзки.

Прокси и защитна стена на UserGateе интернет портал от клас UTM (Unified Threat Management), който ви позволява да предоставяте и контролирате споделен достъп на служителите до интернет ресурси, да филтрирате злонамерени, опасни и нежелани сайтове, да защитавате мрежата на компанията от външни намеси и атаки, да създавате виртуални мрежи и да организирате защитен VPN достъп до мрежови ресурси отвън, както и управление на ширината на канала и интернет приложенията.

Продуктът е ефективна алтернатива на скъпия софтуер и хардуер и е предназначен за използване в малки и средни предприятия, държавни агенции и големи организации с браншова структура.

Можете да намерите цялата допълнителна информация за продукта.

Програмата има допълнителни платени модули:

• Kaspersky Antivirus
• Panda Antivirus
• Avira Antivirus
• Entensys URL филтриране

Лицензът за всеки модул се предоставя за една календарна година. Можете да тествате работата на всички модули в пробен ключ, който може да бъде предоставен за период от 1 до 3 месеца за неограничен брой потребители.

Можете да прочетете подробно за правилата за лицензиране.

За всички въпроси, свързани със закупуването на решения Entensys, моля свържете се с: [имейл защитен]или като се обадите на безплатния телефон: 8-800-500-4032.

Системни изисквания

За да организирате шлюз, ви е необходим компютър или сървър, който трябва да отговаря на следните системни изисквания:

• Честота на процесора: от 1,2 GHz
• Капацитет на RAM: от 1024 Gb
• Капацитет на HDD: от 80 GB
• Брой мрежови адаптери: 2 или повече

Колкото по-голям е броят на потребителите (спрямо 75 потребители), толкова по-големи трябва да бъдат характеристиките на сървъра.

Препоръчваме да инсталирате нашия продукт на компютър с „чиста“ сървърна операционна система; препоръчителната операционна система е Windows 2008/2012.
Ние не гарантираме правилната работа на UserGate Proxy&Firewall и/или сътрудничеството на услуги на трети страни и Не препоръчваме да ги използвате заеднос услуги на шлюза, който изпълнява следните роли:

• Е домейн контролер
• Е хипервизор на виртуална машина
• Е терминален сървър
• Действа като високонатоварен DBMS/DNS/HTTP сървър и др.
• Действа като SIP сървър
• Извършва критични за бизнеса услуги или услуги
• Всички по-горе

UserGate Proxy&Firewall в момента може да е в конфликт със следните видове софтуер:

• Всички без изключение трета страна Firewall/Решения за защитна стена
• Антивирусни продукти на BitDefender
• Антивирусни модули, които изпълняват функцията Firewall или Anti-Hacker на повечето антивирусни продукти. Препоръчително е да деактивирате тези модули
• Антивирусни модули, които сканират данни, предавани чрез HTTP/SMTP/POP3 протоколи; това може да причини забавяне при активна работа през прокси
• Софтуерни продукти на трети страни, които могат да прихващат данни от мрежови адаптери - „измерватели на скоростта“, „шейпъри“ и др.
• Активна роля на Windows Server „Маршрутизиране и отдалечен достъп“ в режим NAT/споделяне на интернет връзка (ICS)

внимание!По време на инсталацията се препоръчва да деактивирате поддръжката на IPv6 протокол на шлюза, при условие че не се използват приложения, които използват IPv6. Текущата реализация на UserGate Proxy&Firewall не поддържа протокола IPv6 и съответно филтрирането на този протокол не се извършва. По този начин хостът може да бъде достъпен отвън чрез протокола IPv6 дори при активирани забранителни правила на защитната стена.

Когато е конфигуриран правилно, UserGate Proxy&Firewall е съвместим със следните услуги:

Роли на Microsoft Windows Server:

• DNS сървър
• DHCP сървър
• Сървър за печат
• Файлов (SMB) сървър
• Сървър за приложения
• WSUS сървър
• WEB сървър
• WINS сървър
• VPN сървър

И с продукти на трети страни:

• FTP/SFTP сървъри
• Сървъри за съобщения - IRC/XMPP

Когато инсталирате UserGate Proxy&Firewall, уверете се, че софтуерът на трети страни не използва порта или портовете, които UserGate Proxy&Firewall може да използва. По подразбиране UserGate използва следните портове:

• 25 - SMTP прокси
• 80 - прозрачен HTTP прокси
• 110 - POP3 прокси
• 2345 - Администраторска конзола на UserGate
• 5455 - UserGate VPN сървър
• 5456 - Клиент за оторизация на UserGate
• 5458 - DNS пренасочване
• 8080 - HTTP прокси
• 8081 - Уеб статистика на UserGate

Всички портове могат да се променят с помощта на администраторската конзола на UserGate.

Инсталиране на програмата и избор на база данни за работа

Съветник за настройка на прокси и защитна стена на UserGate

По-подробно описание на настройката на NAT правила е описано в тази статия:

Агент на UserGate

След инсталиране на UserGate Proxy & Firewall Задължителнорестартирайте шлюза. След оторизация в системата иконата на агента на UserGate в лентата на задачите на Windows до часовника трябва да стане зелена. Ако иконата е сива, това означава, че е възникнала грешка по време на инсталационния процес и сървърната услуга UserGate Proxy&Firewall не работи, в този случай се свържете със съответния раздел на базата знания на Entensys или се свържете с техническата поддръжка на Entensys.

Продуктът се конфигурира чрез конзолата за администриране на UserGate Proxy&Firewall, която може да бъде извикана чрез двукратно щракване върху иконата на агента на UserGate или върху прекия път от менюто "Старт".
Когато стартирате административната конзола, първата стъпка е да регистрирате вашия продукт.

Общи настройки

В секцията Общи настройки на конзолата на администратора задайте паролата за потребителя на администратора. важно!Не използвайте специални символи на Unicode или ПИН кода на продукта като парола за достъп до административната конзола.

Продуктът UserGate Proxy&Firewall има механизъм за защита от атака, можете да го активирате и в менюто "Общи настройки". Механизмът за защита от атаки е активен механизъм, нещо като "червен бутон", който работи на всички интерфейси. Препоръчително е да използвате тази функция в случай на DDoS атаки или масово заразяване на компютри в локалната мрежа със зловреден софтуер (вируси/червеи/ботнет приложения). Механизмът за защита от атаки може да блокира потребители, използващи клиенти за споделяне на файлове - торенти, директна връзка, някои видове VoIP клиенти/сървъри, които активно обменят трафик. За да получите IP адресите на блокираните компютри, отворете файла ProgramData\Entensys\Usergate6\logging\fw.logили Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log.

внимание!Препоръчително е да промените параметрите, описани по-долу, само ако има голям брой клиенти/високи изисквания за пропускателна способност на шлюза.

Този раздел също така съдържа следните настройки: "Максимален брой връзки" - максималният брой на всички връзки през NAT и през проксито на UserGate Proxy&Firewall.

"Максимален брой NAT връзки" - максималният брой връзки, които UserGate Proxy&Firewall може да премине през NAT драйвера.

Ако броят на клиентите е не повече от 200-300, тогава не се препоръчва да променяте настройките „Максимален брой връзки“ и „Максимален брой NAT връзки“. Увеличаването на тези параметри може да доведе до значително натоварване на хардуера на шлюза и се препоръчва само при оптимизиране на настройките за голям брой клиенти.

Интерфейси

внимание!Преди да направите това, не забравяйте да проверите настройките на вашия мрежов адаптер в Windows! Интерфейсът, свързан към локалната мрежа (LAN), не трябва да съдържа адрес на шлюз! Не е необходимо да указвате DNS сървъри в настройките на LAN адаптера; IP адресът трябва да бъде зададен ръчно; не препоръчваме да го получавате чрез DHCP.

IP адресът на LAN адаптера трябва да има частен IP адрес. Приемливо е да използвате IP адрес от следните диапазони:

10.0.0.0 - 10.255.255.255 (префикс 10/8) 172.16.0.0 - 172.31.255.255 (префикс 172.16/12) 192.168.0.0 - 192.168.255.255 (префикс 192.168/16)

Разпределението на частни мрежови адреси е описано в RFC 1918 .

Използването на други диапазони като адреси за локалната мрежа ще доведе до грешки в работата на UserGate Proxy & Firewall.

Интерфейсът, свързан към интернет (WAN), трябва да съдържа IP адрес, мрежова маска, адрес на шлюз и адреси на DNS сървъри.
Не се препоръчва използването на повече от три DNS сървъра в настройките на WAN адаптера; това може да доведе до грешки в работата на мрежата. Първо проверете функционалността на всеки DNS сървър, като използвате командата nslookup в конзолата cmd.exe, например:

nslookup usergate.ru 8.8.8.8

където 8.8.8.8 е адресът на DNS сървъра. Отговорът трябва да съдържа IP адреса на искания сървър. Ако няма отговор, значи DNS сървърът не е валиден или DNS трафикът е блокиран.

Необходимо е да се определи вида на интерфейсите. Интерфейсът с IP адрес, който е свързан към вътрешната мрежа, трябва да е от тип LAN; интерфейс, който е свързан с интернет - WAN.

Ако има няколко WAN интерфейса, тогава трябва да изберете основния WAN интерфейс, през който ще преминава целият трафик, като щракнете с десния бутон върху него и изберете „Задаване като основна връзка“. Ако планирате да използвате друг WAN интерфейс като резервен канал, препоръчваме да използвате "Съветника за настройка".

внимание!Когато настройвате резервна връзка, се препоръчва да посочите не DNS името на хоста, а IP адреса, така че UserGate Proxy & Firewall периодично да го проверява чрез icmp (ping) заявки и, ако няма отговор, да включва резервната връзка. Уверете се, че DNS сървърите в настройките на мрежовия адаптер за архивиране в Windows работят.

Потребители и групи

За да може клиентският компютър да влезе в шлюза и да получи достъп до услугите UserGate Proxy&Firewall и NAT, е необходимо да добавите потребители. За да опростите тази процедура, използвайте функцията за сканиране - "Сканиране на локална мрежа". UserGate Proxy&Firewall ще сканира самостоятелно локалната мрежа и ще предостави списък с хостове, които могат да бъдат добавени към списъка с потребители. След това можете да създавате групи и да включвате потребители в тях.

Ако сте внедрили домейн контролер, тогава можете да конфигурирате синхронизиране на групи с групи в Active Directory или да импортирате потребители от Active Directory, без постоянна синхронизация с Active Directory.

Създаваме група, която ще се синхронизира с групата или групите от AD, въвеждаме необходимите данни в менюто „Синхронизация с AD“ и рестартираме услугата UserGate с помощта на агента UserGate. След 300 сек. потребителите автоматично се импортират в групата. Методът за удостоверяване на тези потребители ще бъде зададен на AD.

Защитна стена

За правилната и безопасна работа на шлюза е необходимо Задължителноконфигурирайте защитната стена.

Препоръчва се следният алгоритъм за работа на защитната стена: блокирайте целия трафик и след това добавете разрешаващи правила в необходимите посоки. За да направите това, правилото #NONUSER# трябва да бъде настроено на режим „Отказ“ (това ще забрани целия локален трафик на шлюза). Внимателно!Ако конфигурирате UserGate Proxy&Firewall дистанционно, ще бъдете прекъснати от сървъра. След това трябва да създадете разрешаващи правила.

Разрешаваме целия локален трафик на всички портове от шлюза към локалната мрежа и от локалната мрежа до шлюза, като създаваме правила със следните параметри:

Източник - "LAN", дестинация - "Всички", услуги - ANY:FULL, действие - "Разрешаване"
Източник - "Any", местоназначение - "LAN", услуги - ANY:FULL, действие - "Allow"

След това създаваме правило, което ще отвори достъп до интернет за шлюза:

Източник - "WAN"; дестинация - "Всяка"; услуги - ANY:FULL; действие - "Разрешаване"

Ако трябва да разрешите достъп за входящи връзки на всички портове към шлюза, тогава правилото ще изглежда така:

Източник - "Всеки"; дестинация - "WAN"; услуги - ANY:FULL; действие - "Разрешаване"

И ако имате нужда шлюзът да приема входящи връзки, например само чрез RDP (TCP:3389) и може да бъде пингован отвън, тогава трябва да създадете следното правило:

Източник - "Всеки"; дестинация - "WAN"; услуги - Всякакви ICMP, RDP; действие - "Разрешаване"

Във всички останали случаи, от съображения за сигурност, създаването на правило за входящи връзки не е необходимо.

За да дадете на клиентските компютри достъп до Интернет, трябва да създадете правило за преобразуване на мрежови адреси (NAT).

Източник - "LAN"; дестинация - "WAN"; услуги - ANY:FULL; действие - "Разрешаване"; изберете потребители или групи, на които искате да предоставите достъп.

Възможно е да конфигурирате правилата на защитната стена - да разрешите това, което е изрично забранено и обратно, да забраните това, което е ясно разрешено, в зависимост от това как конфигурирате правилото #NON_USER# и каква е политиката на вашата компания. Всички правила имат приоритет - правилата работят в ред отгоре надолу.

Могат да се видят опции за различни настройки и примери за правила на защитната стена.

Други настройки

След това в секцията Услуги - Прокси можете да активирате необходимите прокси сървъри - HTTP, FTP, SMTP, POP3, SOCKS. Изберете необходимите интерфейси; активирането на опцията „слушане на всички интерфейси“ може да не е безопасно, тъй като проксито в този случай ще бъде достъпно както на LAN интерфейси, така и на външни интерфейси. „Прозрачният“ прокси режим насочва целия трафик на избрания порт към прокси порта, в този случай няма нужда да посочвате прокси на клиентските компютри. Проксито също остава достъпно на порта, посочен в настройките на самия прокси сървър.

Ако режимът на прозрачен прокси е активиран на сървъра (Услуги - Настройки на прокси), тогава е достатъчно да посочите сървъра на UserGate като основен шлюз в мрежовите настройки на клиентската машина. Можете също да посочите сървъра UserGate като DNS сървър, в този случай трябва да бъде активиран.

Ако прозрачният режим е деактивиран на сървъра, тогава трябва да въведете адреса на сървъра на UserGate и съответния прокси порт, посочени в Услуги - Настройки на прокси в настройките за връзка на браузъра. Можете да видите пример за настройка на сървър на UserGate за такъв случай.

Ако вашата мрежа има конфигуриран DNS сървър, можете да го посочите в настройките за пренасочване на DNS на UserGate и настройките на WAN адаптера на UserGate. В този случай, както в режим NAT, така и в режим на прокси, всички DNS заявки ще бъдат насочени към този сървър.

След като свържете вашата локална мрежа към интернет, има смисъл да настроите система за отчитане на трафика и програмата Usergate ще ни помогне с това. Usergate е прокси сървър и ви позволява да контролирате достъпа на компютри от локалната мрежа до интернет.

Но първо, нека си спомним как преди това настроихме мрежата във видео курса „Създаване и настройка на локална мрежа между Windows 7 и WindowsXP“ и как предоставихме на всички компютри достъп до интернет чрез един комуникационен канал. Схематично може да се представи в следния вид: има четири компютъра, които свързахме в peer-to-peer мрежа, като шлюз избрахме работната станция work-station-4-7, с операционна система Windows 7, т.е. свърза допълнителна мрежова карта с достъп до интернет и позволи на други компютри в мрежата да имат достъп до интернет чрез тази мрежова връзка. Останалите три машини са интернет клиенти и на тях като шлюз и DNS беше посочен IP адреса на компютъра, който раздава интернет. Е, сега нека да разгледаме въпроса за контрола на достъпа до интернет.

Инсталирането на UserGate не се различава от инсталирането на обикновена програма след инсталирането, системата иска да се рестартира, така че рестартираме. След рестартирането, първо, нека се опитаме да влезем в интернет от компютъра, на който е инсталиран UserGate - възможно е достъпът до него, но не и от други компютри, следователно прокси сървърът е започнал да работи и по подразбиране забранява на всички достъп до интернет, така че трябва да го конфигурирате.

Стартирайте администраторската конзола ( Старт\Програми\UserGate\Административна конзола) и тук се появява самата конзола и се отваря раздел Връзки. Ако се опитаме да отворим някой от разделите отляво, се показва съобщение (Administrator Console на UserGate не е свързано към сървъра на UserGate), така че когато стартираме, се отваря разделът Connections, за да можем първо да се свържем със сървъра на UserGate.

И така, по подразбиране името на сървъра е локално; Потребител – Администратор; Сървър – localhost, т.е. сървърната част се намира на този компютър; Пристанище – 2345.

Щракнете двукратно върху този запис и се свържете с услугата UserGate, ако връзката е неуспешна, проверете дали услугата работи ( Ctrl+ Alt+ Esc\Услуги\UserGate)

Когато се свържете за първи път, стартира Съветник за настройкаUserGate, щракнете не, тъй като ще конфигурираме всичко ръчно, за да стане по-ясно какво и къде да търсите. И преди всичко отидете на раздела сървърUserGate\ Интерфейси, тук посочваме коя мрежова карта се свързва с интернет ( 192.168.137.2 - WAN), и кой към локалната мрежа ( 192.168.0.4 - LAN).

Следваща Потребители и групи\Потребители, тук има само един потребител, това е самата машина, на която работи сървърът на UserGate и се нарича Default, т.е. по подразбиране. Нека добавим всички потребители, които ще влязат онлайн, имам три от тях:

Работна станция-1-xp – 192.168.0.1

Работна станция-2-xp – 192.168.0.2

Работна станция-3-7 – 192.168.0.3

Оставяме групата и тарифния план по подразбиране; ще използвам типа на оторизация чрез IP адрес, тъй като съм ги регистрирал ръчно и остават непроменени.

Сега нека конфигурираме самия прокси, отидете на Услуги\Настройки на прокси сървъра\HTTP, тук избираме IP адреса, който сме посочили като шлюз на клиентски машини, имам това 192.168.0.4 , а също и поставете отметка Прозрачен режимЗа да не въвеждате ръчно адреса на прокси сървъра в браузърите, в този случай браузърът ще гледа кой шлюз е посочен в настройките на мрежовата връзка и ще пренасочва заявките към него.