У цій статті розповім Вам про новий продукт компанії Entensys, партнерами якої ми є за трьома напрямками, UserGate Proxy & Firewall 6.2.1.

Доброго часу доби шановний відвідувач. Позаду 2013, для когось він був важкий, для когось легкий, але час біжить, а якщо врахувати, що одна наносекунда це 10 −9 с. то воно просто летить. У цій статті розповім Вам про новий продукт компанії Entensys, партнерами якої ми є за трьома напрямками UserGate Proxy & Firewall 6.2.1.

З точки зору адміністрування версії 6.2 від UserGate Proxy & Firewall 5.2F, впровадження якої ми успішно практикуємо в нашій практиці ІТ аусорсингу практично немає. Як лабораторне середовище будемо використовувати Hyper-V, а саме дві віртуальні машини першого покоління, серверну частину на Windows Server 2008 R2 SP1, клієнтську Windows 7 SP1. З якихось невідомих причин UserGate версії 6 не встановлюється на Windows Server 2012 і Windows Server 2012 R2.

Отже, що таке проксі сервер?

Проксі-сервер(від англ. proxy – «представник, уповноважений») – служба (комплекс програм) у комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережних служб. Спочатку клієнт підключається до проксі-сервера та запитує якийсь ресурс (наприклад, e-mail), розташований на іншому сервері. Потім проксі-сервер або підключається до вказаного сервера і отримує ресурс у нього, або повертає ресурс із власного кеша (у разі, якщо проксі має кеш). У деяких випадках запит клієнта або відповідь сервера може бути змінений проксі-сервером у певних цілях. Також проксі-сервер дозволяє захищати комп'ютер клієнта від деяких мережевих атак та допомагає зберігати анонімність клієнта.

ЩотакеUserGate Proxy & Firewall?

UserGate Proxy & Firewall– це комплексне рішення для підключення користувачів до мережі Інтернет, що забезпечує повноцінний облік трафіку, розмежування доступу та надає вбудовані засоби мережного захисту.

З визначення розглянемо, які рішення надає Entensys у своєму продукті, як обліковується трафік, чим розмежовується доступ, а також які засоби захисту надає UserGate Proxy & Firewall.

З чого складаєтьсяUserGate?

UserGate складається з кількох частин: сервер, консоль адміністрування та кілька додаткових модулів. Сервер - це основна частина проксі-сервера, в якій реалізовані всі його функціональні можливості. Сервер UserGate надає доступ до мережі Інтернет, здійснює підрахунок трафіку, веде статистику роботи користувачів у мережі та виконує багато інших завдань.

Консоль адміністрування UserGate – це програма, призначена для керування сервером UserGate. Консоль адміністрування UserGate зв'язується із серверною частиною за спеціальним захищеним протоколом поверх TCP/IP, що дозволяє виконувати віддалене адміністрування сервера.

UserGate включає три додаткові модулі: «Веб-статистика», «Клієнт авторизації UserGate» та модуль «Контроль додатків».

Сервер

Установка серверної частини UserGate дуже проста, єдина відмінність - це вибір бази даних у процесі встановлення. Доступ до бази здійснюється безпосередньо (для вбудованої БД Firebird) або через ODBC-драйвер, що дозволяє серверу UserGate працювати з базами практично будь-якого формату (MSAccess, MSSQL, MySQL). За промовчанням використовується база Firebird. Якщо ви вирішили оновити UserGate з попередніх версій, вам доведеться розпрощатися з базою статистики, тому що: Для файлу статистики підтримується тільки перенесення поточних балансів користувачів, сама статистика по трафіку не буде перенесена. Зміни бази даних були викликані проблемами у продуктивності старої та лімітами на її розмір. Нова база даних Firebird не має таких недоліків.

Запуск адміністрування консолі.

Консоль встановлена ​​на серверній ВМ. При першому запуску консоль адміністрування відкривається на сторінці "З'єднання", на якій є єдине з'єднання з сервером localhost для користувача Administrator. Пароль на підключення не встановлено. Підключити консоль адміністрування до сервера можна двічі клацнувши на рядку localhost-administrator або натиснувши кнопку підключитися на панелі керування. У консолі адміністрування UserGate можна створити кілька з'єднань.

У налаштуваннях підключень вказуються такі параметри:

• Назва сервера – це назва підключення;
• Ім'я користувача – логін для підключення до сервера;
• Адреса сервера – доменне ім'я або IP-адреса сервера UserGate;
• Порт – TCP-порт, який використовується для підключення до сервера (за замовчуванням використовується порт 2345);
• Пароль – пароль для підключення;
• Запитувати пароль під час підключення – опція дозволяє відображати діалог введення імені користувача та пароля при підключенні до сервера;
• Автоматично підключатися до цього сервера – консоль адміністрування під час запуску підключатиметься до цього сервера автоматично.

При першому запуску сервера система пропонує майстра установки, від якого ми відмовляємося. Установки консолі адміністрування зберігаються у файлі console.xml, розташованому в директорії %UserGate%\Administrator.

Налаштування з'єднань за NAT. Пункт «Загальні налаштування NAT»дозволяє задати величину таймауту для з'єднань NAT за протоколами TCP, UDP чи ICMP. Величина таймууту визначає час життя з'єднання користувача через NAT, коли передача даних по з'єднанню завершена. Залишимо за промовчанням це налаштування.

Детектор атак– це спеціальна опція, яка дозволяє вам задіяти внутрішній механізм відстеження та блокування сканера портів або спроби зайняти всі порти сервера.

Заблокувати по рядку браузера– Список User-Agent's браузерів, які можуть бути заблоковані проксі-сервером. Тобто. можна, наприклад, заборонити виходити в інтернет старим браузерам таким як IE 6.0 або Firefox 3.x.

Інтерфейси

Розділ Інтерфейси є головним у налаштуваннях сервера UserGate, оскільки визначає такі моменти, як правильність підрахунку трафіку, можливість створення правил для міжмережевого екрану, обмеження ширини Інтернет-каналу для трафіку певного типу, встановлення відносин між мережами та порядок обробки пакетів драйвером NAT. Вкладка «Інтерфейси» вибираємо потрібний тип для інтерфейсів. Так, для адаптера, підключеного до Інтернету, слід вибрати тип WAN, для адаптера, підключеного до локальної мережі – тип LAN. Доступ до інтернету для ВМ розшарений, відповідно інтерфейс з адресою 192.168.137.118 буде WAN-адаптер, вибираємо потрібний тип і тиснемо "Застосувати". Після цього перезавантажуємо сервер.

Користувачі та групи

Доступ до Інтернету надається лише користувачам, які успішно пройшли авторизацію на сервері UserGate. Програма підтримує такі методи авторизації користувачів:

• За IP-адресою
• За діапазоном IP-адрес
• За IP+MAC-адресою
• За MAC-адресою
• Авторизація засобами HTTP (HTTP-basic, NTLM)
• Авторизація через логін та пароль (Клієнт авторизації)
• Спрощений варіант авторизації через Active Directory

Для використання трьох останніх методів авторизації на робочу станцію користувача необхідно встановити спеціальну програму - клієнт авторизації UserGate. Відповідний пакет MSI (AuthClientInstall.msi) розташований у директорії %UserGate%\tools і може бути використаний для автоматичної установки засобами групової політики в Active Directory.

Для термінальних користувачів надано можливість лише «Авторизація засобами HTTP». Відповідна опція включається в пункті Загальні налаштування консолі адміністрування.

Створити нового користувача можна через пункт Додати нового користувачаабо натиснувши кнопку Додатина панелі керування на сторінці Користувачі та групи.

Існує ще один спосіб додавання користувачів – сканування мережі ARP-запитів. Потрібно натиснути на порожньому місці в консолі адміністратора на сторінці користувачіта вибрати пункт сканувати локальну мережу. Далі встановити параметри локальної мережі і дочекатися результатів сканування. У результаті ви побачите список користувачів, яких можна додати до UserGate. Ну що ж, перевіримо, тиснемо "Сканувати локальну мережу"

Задаємо параметри:

Працює!

Додаємо користувача

У UserGate є пріоритет автентифікації, спочатку фізична потім логічна. Цей метод перестав бути надійним, т.к. користувач може змінити IP-адресу. Нам підійде імпорт облікових записів Active Directory, які ми можемо імпортувати легко, натиснувши кнопку «Імпортувати», далі «Вибрати» та ім'я нашого облікового запису, «Ок», «Ок».

Вибираємо "Групу", залишаємо за замовчуванням "default"

Тиснемо «Ок» і зберігаємо зміни.

Наш користувач доданий без проблем. Також існує можливість синхронізації груп AD на вкладці «Групи».

Налаштування сервісів проксі у UserGate

У сервері UserGate інтегровані такі проксі-сервери: HTTP- (з підтримкою режиму “FTP поверх HTTP” і HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 та SMTP, SIP та H323. Установки проксі-серверів можна знайти в розділі Сервіс → Налаштування проксі в консолі адміністрування. До основних параметрів проксі-сервера відносяться: інтерфейс та номер порту, на якому працює проксі. Так, наприклад, увімкнемо прозорий HTTP проксі на нашому інтерфейсі LAN. Перейдемо "Параметри проксі", виберемо HTTP.

Виберемо наш інтерфейс, залишимо все за замовчуванням і тиснемо "Ок"

Використання прозорого режиму

Функція «Прозорий режим» у налаштуваннях проксі-серверів доступна, якщо сервер UserGate встановлено разом із драйвером NAT. У прозорому режимі драйвер NAT UserGate прослуховує стандартні для сервісів порти: 80 TCP для HTTP, 21 TCP для FTP, 110 та 25 TCP для POP3 та SMTP на мережевих інтерфейсах комп'ютера з UserGate. За наявності запитів передає їх на проксі-сервер UserGate. При використанні прозорого режиму в мережних програмах користувачів не потрібно вказувати адресу та порт проксі-сервера, що суттєво зменшує роботу адміністратора в плані надання доступу локальної мережі до Інтернету. Однак, у мережних налаштуваннях робочих станцій сервер UserGate повинен бути вказаний як шлюз, і потрібно вказати адресу DNS-сервера.

Поштові проксі у UserGate

Поштові проксі-сервери в UserGate призначені для роботи з протоколами POP3 та SMTP та для антивірусної перевірки поштового трафіку. При використанні прозорого режиму роботи POP3 та SMTP-проксі налаштування поштового клієнта на робочій станції користувача не відрізняється від налаштувань, що відповідають варіанту прямого доступу до мережі Інтернет.

Якщо POP3-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях поштового клієнта на робочій станції користувача в якості адреси POP3-сервера потрібно вказувати IP-адресу комп'ютера з UserGate та порт, який відповідає POP3-проксі UserGate. Крім того, логін для авторизації на віддаленому POP3-сервері вказується в наступному форматі: адреса електронної пошти@адреса POP3_сервера. Наприклад, якщо користувач має поштову скриньку [email protected], то як Логін на POP3-проксі UserGate у поштовому клієнті потрібно буде вказати: use [email protected]@pop.mail123.com. Такий формат необхідний для того, щоб сервер UserGate міг визначити адресу віддаленого сервера POP3.

Якщо SMTP-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях проксі потрібно вказати IP-адресу та порт SMTP-сервера, який UserGate буде використовувати для надсилання листів. У такому разі в установках поштового клієнта на робочій станції користувача в якості адреси SMTP-сервера потрібно вказувати IP-адресу сервера UserGate та порт, що відповідає SMTP-проксі UserGate. Якщо для надсилання потрібна авторизація, то в налаштуваннях поштового клієнта потрібно вказати логін та пароль, що відповідає SMTP-серверу, який вказаний у налаштуваннях SMTP-проксі в UserGate.

Ну що, звучить круто, перевіримо за допомогою mail.ru.

Насамперед включимо POP3 і SMTP проксі на нашому сервері. При включенні POP3 вкажемо стандартний порт 110 інтерфейсу LAN.

А також переконаємося у відсутності галочки на «Прозорому проксі» і тиснемо «Ок» та «Застосувати»

Забираємо галочку «Прозорий режим» та пишемо «Параметри віддаленого сервера», у нашому випадку smtp.mail.ru. А чому лише один сервер вказується? А ось відповідь: передбачається, що організація використовує єдиний сервер smtp, саме він і вказується в налаштуваннях SMTP проксі.

Перше правило для POP3 має виглядати так.

Друге, як сказав би Олександр Невський "Ось так ось"

Не забуваємо про кнопку «Застосувати» і переходимо до налаштування клієнта. Як ми пам'ятаємо «Якщо POP3-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях поштового клієнта на робочій станції користувача як адреса POP3-сервера потрібно вказувати IP-адресу комп'ютера з UserGate та порт, який відповідає POP3-проксі UserGate. Крім того, логін для авторизації на віддаленому POP3-сервері вказується в наступному форматі: адреса електронної пошти@адреса POP3_сервера». Діємо.

Спочатку авторизуємося в клієнті авторизації, далі відкриваємо Outlook звичайний, у нашому прикладі я створив тестову поштову скриньку [email protected], і виконуємо налаштування, вказуючи нашу скриньку у форматі зрозумілому для UserGate [email protected]@pop.mail.ru, а також POP та SMTP сервери адресу нашого проксі.

Тиснемо «Перевірка облікового запису ...»

Призначення портів

У UserGate реалізовано підтримку функції Перенаправлення портів. За наявності правил призначення портів сервер UserGate перенаправляє запити користувача, що надходять на певний порт заданого мережного інтерфейсу комп'ютера з UserGate, на іншу вказану адресу і порт, наприклад, на інший комп'ютер у локальній мережі. Функція Перенаправлення портів доступна для протоколів TCP та UDP.

Якщо призначення портів використовується для надання доступу з мережі Інтернет до внутрішнього ресурсу компанії, в якості параметра Авторизація слід вибрати Вказаний користувач, інакше перенаправлення порту не працюватиме. Не забуваймо включити «Віддалений робочий стіл».

Налаштування кешу

Одним із призначень проксі-сервера є кешування мережевих ресурсів. Кешування знижує навантаження на підключення до мережі Інтернет та прискорює доступ до часто відвідуваних ресурсів. Проксі-сервер UserGate виконує кешування HTTP та FTP-трафіку. Кешовані документи розміщуються в локальній папці %UserGate_data%\Cache. У налаштуваннях кешу вказується: граничний розмір кешу та час зберігання кешованих документів.

Антивірусна перевірка

У сервер UserGate інтегровані три антивірусні модулі: антивірус Kaspersky Lab, Panda Security та Avira. Усі антивірусні модулі призначені для перевірки вхідного трафіку через HTTP, FTP та поштові проксі-сервери UserGate, а також вихідного трафіку через SMTP-проксі.

Параметри антивірусних модулів можна знайти в розділі Сервіс → Антивіруси консолі адміністрування. Для кожного антивірусу можна вказати, які протоколи він повинен перевіряти, встановити періодичність оновлення антивірусних баз, а також вказати URL-адреси, які перевіряти не потрібно (опція Фільтр URL). Додатково в налаштуваннях можна вказати групу користувачів, трафік яких не потрібно антивірусною перевіркою.

Перед включенням антивірусу необхідно спочатку оновити його основи.

Після перерахованих вище функцій перейдемо до часто використовуваних, це – «Управління трафіком» і «Контроль додатків».

Система правил керування трафіком

У сервері UserGate передбачена можливість керування доступом користувачів до Інтернету за допомогою правил керування трафіком. Правила керування трафіком призначені для заборони доступу до певних мережевих ресурсів, для встановлення обмежень споживання трафіку, створення розкладу роботи користувачів в мережі Інтернет, а також для стеження за станом рахунку користувачів.

У нашому прикладі обмежимо доступ користувачеві, який до будь-якого ресурсу має у своєму запиті згадки vk.com. Для цього переходимо до «Управління трафіком – Правила»

Даємо назву правилу та дію «Закрити з'єднання»

Після додавання сайту, переходимо до наступного параметра, вибір групи або користувача, правило можна встановити як для користувача, так і для групи, в нашому випадку користувач «User».

Контроль додатків

Політика управління доступом до Інтернету отримала логічне продовження у вигляді модуля «Контроль додатків» (Application Firewall). Адміністратор UserGate може дозволяти або забороняти доступ до Інтернету не тільки для користувачів, але й для мережних програм на робочій станції користувача. Для цього на робочі станції користувачів потрібно встановити спеціальну програму App.FirewallService. Установка пакета можлива як через файл, що виконується, так і через відповідний MSI-пакет (AuthFwInstall.msi), розташовані в директорії %Usergate%\tools.

Перейдемо в модуль «Контроль додатків – Правила» і створимо забороняюче правило, наприклад, на заборону запуску IE. Тиснемо додати групу, даємо їй назву і вже групі задаємо правило.

Вибираємо нашу створену групу правил, можемо поставити галочку «Правило за замовчуванням», у цьому випадку правила додадуться до групи «Default_Rules»

Застосовуємо правило до користувача у властивостях користувача

Тепер встановлюємо Auth.Client та App.Firewall на клієнтську станцію, після встановлення IE має заблокуватися створеними раніше правилами.

Як ми бачимо, правило спрацювало, тепер відключимо правила для користувача, щоб переглянути відпрацювання правила для сайту vk.com. Після вимкнення правила на сервері usergate потрібно почекати 10 хвилин (час синхронізації з сервером). Пробуємо зайти за прямим посиланням

Пробуємо через пошукову систему google.com

Як бачимо правила спрацьовують без жодних проблем.

Отже, у цій статті розглянуто лише невелику частину функцій. Опущено можливі налаштування міжмережевого екрану, правил маршрутизації, правил NAT. UserGate Proxy & Firewall надає великий вибір рішень, навіть трохи більше. Продукт показав себе дуже добре, а найголовніше простий у налаштуванні. Ми й надалі використовуватимемо його в обслуговуванні ІТ інфраструктур клієнтів для вирішення типових завдань!

Сьогодні керівництво, напевно, вже всіх компаній гідно оцінило ті можливості, які надає Інтернет для ведення бізнесу. Йдеться, звичайно ж, не про інтернет-магазини та електронну торгівлю, які, як не крути, сьогодні є більше маркетинговими інструментами, ніж реальним способом збільшення обороту товарів чи послуг. Глобальна мережа є чудовим інформаційним середовищем, практично невичерпним джерелом найрізноманітніших даних. Крім того, вона забезпечує швидкий та дешевий зв'язок як з клієнтами, так і з партнерами фірми. Не можна скидати з рахунків та можливості Інтернету для маркетингу. Таким чином, виходить, що Глобальну мережу загалом можна вважати багатофункціональним бізнес-інструментом, який може підвищити ефективність виконання співробітниками компанії своїх обов'язків.

Втім, спочатку необхідно надати цим співробітникам доступ до Інтернету. Просто підключити один комп'ютер до Глобальної мережі сьогодні не є проблемою. Існує багато способів, як це можна зробити. Також знайдеться чимало компаній, які пропонують практичне вирішення цього завдання. Ось тільки навряд чи Інтернет на одному комп'ютері зможе принести помітну користь фірмі. Доступ до Мережі повинен мати кожен співробітник з його робочого місця. І тут нам не обійтися без спеціального програмного забезпечення так званого проксі-сервера. У принципі, можливості операційних систем сімейства Windows дозволяють зробити будь-яке з'єднання з Інтернетом спільним. У цьому випадку доступ до нього отримають інші комп'ютери з локальної мережі. Втім, це рішення навряд чи варто розглядати хоч трохи серйозно. Справа в тому, що при його виборі доведеться забути про контроль за використанням Глобальної мережі співробітниками компанії. Тобто будь-яка людина з будь-якого корпоративного комп'ютера може вийти в Інтернет і робити там що завгодно. А чим це загрожує, мабуть, нікому пояснювати не треба.

Таким чином, єдиний прийнятний для компанії спосіб організації підключення всіх комп'ютерів, що входять до корпоративної локальної мережі, – це проксі-сервер. Сьогодні на ринку є чимало програм цього класу. Але ми говоритимемо лише про одну розробку. Вона називається UserGate, а створили її спеціалісти компанії eSafeLine. Головними особливостями цієї програми є широкі функціональні можливості та дуже зручний російськомовний інтерфейс. Крім того, слід зазначити, що вона постійно розвивається. Нещодавно на суд громадськості було представлено нову, вже четверту версію цього продукту.

Отже, UserGate. Цей програмний продукт складається з кількох окремих модулів. Перший - безпосередньо сам сервер. Він повинен бути встановлений на комп'ютері, що безпосередньо підключений до Інтернету (інтернет-шлюзу). Саме сервер реалізує доступ користувачів до Глобальної мережі, здійснює підрахунок використаного трафіку, веде статистику роботи тощо. Другий модуль призначений для адміністрування системи. З його допомогою відповідальний співробітник здійснює налаштування проксі-сервера. Головною особливістю UserGate у цьому плані є те, що модуль адміністрування не обов'язково має бути розміщений на інтернет-шлюзі. Таким чином, йдеться про віддалене управління проксі-сервером. Це дуже добре, оскільки системний адміністратор отримує можливість керувати доступом до Інтернету безпосередньо зі свого робочого місця.

Крім цього до складу UserGate входять ще два окремі програмні модулі. Перший з них потрібен для зручного перегляду статистики використання Інтернету та побудови звітів на її основі, а другий – для авторизації користувачів у деяких випадках. Такий підхід чудово поєднується з російськомовним та інтуїтивно зрозумілим інтерфейсом усіх модулів. Все це дозволяє швидко і без будь-яких проблем налаштувати загальний доступ до Глобальної мережі в будь-якому офісі.

Але давайте все-таки перейдемо до аналізу функціональних можливостей проксі-сервера UserGate. Почати потрібно з того, що в цій програмі реалізовано відразу два різні способи налаштування DNS (найважливіше завдання при реалізації загального доступу). Перший - NAT (Network Address Translation - перетворення мережевих адрес). Він забезпечує дуже точний облік спожитого трафіку та дозволяє користувачам застосовувати будь-які дозволені адміністратором протоколи. Щоправда, варто зазначити, що деякі мережеві програми у цьому випадку працюватимуть некоректно. Другий варіант – DNS-форвардинг. Він має великі обмеження в порівнянні з NAT, але може використовуватися на комп'ютерах зі застарілими операційними сімействами (Windows 95, 98 і NT).

Дозволи на роботу в Інтернеті налаштовуються за допомогою понять "користувач" та "група користувачів". Причому, що цікаво, у проксі-сервері UserGate користувач - це не обов'язково людина. Його роль може виконувати комп'ютер. Тобто в першому випадку доступ до Інтернету дозволяється певним співробітникам, а в другому – всім людям, які сіли за якийсь ПК. Звичайно, при цьому використовуються різні способи авторизації користувачів. Якщо йдеться про комп'ютери, то їх можна визначати за IP-адресою, зв'язкою IP-і MAC-адрес, діапазоном IP-адрес. Для авторизації ж співробітників можуть використовуватись спеціальні пари логін/пароль, дані з Active Directory, ім'я та пароль, що збігаються з авторизаційною інформацією Windows, і т. д. Користувачів для зручності налаштування можна об'єднувати в групи. Такий підхід дозволяє керувати доступом відразу всіх співробітників з однаковими правами (які перебувають на однакових посадах), а не налаштовувати кожен обліковий запис окремо.

Є в проксі-сервері UserGate та власна білінгова система. Адміністратор може задавати будь-яку кількість тарифів, що описують скільки коштує одна одиниця вхідного або вихідного трафіку або часу підключення. Це дозволяє вести точний облік усіх витрат на Інтернет із прив'язкою до користувачів. Тобто керівництво компанії завжди знатиме, хто скільки витратив. До речі, тарифи можна зробити залежними від поточного часу, що дозволяє точно відтворити цінову політику провайдера.

Проксі-сервер UserGate дозволяє реалізовувати будь-яку складну політику корпоративного доступу до Інтернету. І тому використовуються звані правила. З їх допомогою адміністратор може задати обмеження для користувачів за часом роботи, за кількістю відправленого або прийнятого трафіку за день або місяць, за кількістю часу, що використовується за день або місяць і т. д. У разі перевищення цих лімітів доступ до Глобальної мережі буде автоматично перекриватися. Крім того, за допомогою правил можна ввести обмеження на швидкість доступу окремих користувачів або цілих груп.

Іншим прикладом використання правил є обмеження на доступ до тих чи інших IP-адрес або їх діапазонів, до цілих доменних імен або адрес, що містять певні рядки, і т. д. Тобто фактично йдеться про фільтрацію сайтів, за допомогою якої можна виключити відвідування співробітниками небажаних веб-проектів. Але, звичайно, це далеко не всі приклади застосування правил. З їх допомогою можна, наприклад, реалізувати перемикання тарифів залежно від сайту, що завантажується в даний момент (необхідно для обліку пільгового трафіку, що існує у деяких провайдерів), налаштувати вирізування рекламних банерів і т.п.

До речі, ми вже говорили, що проксі-сервер UserGate має окремий модуль для роботи зі статистикою. З його допомогою адміністратор може будь-якої миті переглянути спожитий трафік (загальний, по кожному з користувачів, по групах користувачів, по сайтам, по IP-адресах серверів тощо). Причому це робиться дуже швидко за допомогою зручної системи фільтрів. Крім того, в даному модулі реалізовано генератор звітів, за допомогою якого адміністратор може складати будь-яку звітність та експортувати її до формату MS Excel.

Дуже цікавим рішенням розробників є вбудовування у файрвол антивірусного модуля, який контролює весь вхідний та вихідний трафік. Причому вони не винаходили велосипед, а інтегрували розробку "Лабораторії Касперського". Таке рішення гарантує, по-перше, справді надійний захист від усіх шкідливих програм, а по-друге, регулярне оновлення баз даних сигнатур. Іншою важливою у плані інформаційної безпеки можливістю є вбудований файрвол. І ось він був створений розробниками UserGate самостійно. На жаль, варто відзначити, що інтегрований у проксі-сервер файрвол досить серйозно відрізняється за своїми можливостями від провідних продуктів у цій галузі. Власне кажучи, йдеться про модуль, що здійснює просте блокування трафіку, що йде за вказаними адміністратором портами та протоколами до комп'ютерів із заданими IP-адресами та від них. У ньому немає ні режиму невидимості, ні деяких інших обов'язкових для файрволів функцій.

На жаль, одна стаття не може включити докладний аналіз усіх функцій проксі-сервера UserGate. Тому давайте хоча б просто перерахуємо найцікавіші з них, які не увійшли до нашого огляду. По-перше, це кешування завантажених з Інтернету файлів, що дозволяє заощаджувати гроші на послугах провайдера. По-друге, варто відзначити функцію Port mapping, яка дозволяє прив'язати будь-який вибраний порт одного з локальних Ethernet-інтерфейсів до потрібного порту віддаленого хоста (ця функція необхідна для роботи мережевих додатків: системи типу банк – клієнт, різні ігри тощо) . Крім цього в проксі-сервері UserGate реалізовані такі можливості, як доступ до внутрішніх корпоративних ресурсів, планувальник завдань, підключення до каскаду проксі, моніторинг трафіку та IP-адрес активних користувачів, їх логінів, відвіданих URL-адрес в режимі реального часу і багато, багато інше.

Ну а тепер настав час підбити підсумки. Ми з вами, шановні читачі, досить детально розібрали проксі-сервер UserGate, за допомогою якого можна організувати спільний доступ до Інтернету у будь-якому офісі. І переконалися в тому, що дана технологія поєднує в собі простоту та зручність налаштування та використання з досить широким набором функціональних можливостей. Все це робить останню версію UserGate дуже привабливим продуктом.

Підключивши інтернет в офісі, кожен начальник хоче знати, за що він платить. Особливо, якщо тариф не безлімітний, а щодо трафіку. Є кілька шляхів вирішення проблем контролю трафіку та організації доступу до Інтернету в масштабах підприємства. Я розповім про впровадження проксі сервера UserGate для отримання статистики та контролю пропускної спроможності каналу на прикладі свого досвіду.

Відразу скажу, що я використав сервіс UserGate (версія 4.2.0.3459), але методи організації доступу та технології при цьому використовуються і в інших проксі-серверах. Так що описані кроки в цілому підійдуть і для інших програмних рішень (наприклад Kerio Winroute Firewall, або інші proxy), з невеликими відмінностями в деталях реалізації інтерфейсу налаштування.

Опишу поставлене переді мною завдання: Є мережа з 20 машин, є ADSL модем у цій самій підмережі (алнім 512/512 кбіт/с). Потрібно обмежити максимальну швидкість користувача та вести облік трафіку. Завдання трохи ускладнене тим, що доступ до налаштувань модему закритий провайдером (можливий доступ лише через термінал, але пароль у провайдера). Сторінка статистики на сайті провайдера недоступна (Не питайте чому відповідь одна — такі відносини з провайдером у підприємства).

Ставимо юзергейт та активуємо його. Для організації доступу до мережі будемо використовувати NAT ( Network Address Translation- «Перетворення мережевих адрес»». Для роботи технології необхідна наявність двох мережевих карток на машині, де ставитимемо сервер (сервіс) UserGate (Є ймовірність, що можна змусити працювати NAT на одній мережевій карті, призначивши їй два IP адреси в різних підмережах).

І так, початковий етап насройки - конфігурація драйвера NAT(Драйвер від UserGate, ставиться під час основної інсталяції сервісу). Нам необхідно два мережеві інтерфейси(читай мережевих карт) на апаратурі сервера ( мені це був пробелмой, т.к. я розгортав UserGate на віртуальній машині. А там можна зробити «багато» мережевих карток).

В ідеалі, до одній мережній карті підключається сам модем, а до другої - вся мережа, з якої отримуватимуть доступ до Інтернету. У моєму випадку модем встановлений у різних приміщеннях з сервером (фізичною машиною), а переносити обладнання мені ліньки і колись (та й у недалекому майбутньому маячить організація серверного приміщення). Обидва мережні адаптери я підключив в одну мережу (фізично), але налаштував різні підмережі. Так як змінити налаштування модему я не в силах (закритий доступ провайдером) довелося перевести всі комп'ютери в іншу підмережу (добре засобами DHCP це робиться просто).

Мережеву карту, підключену до модему ( інтернет) налаштовуємо як і раніше було (відповідно до даних від провайдера).

• Призначаємо статична IP адреса(у моєму випадку це 192.168.0.5);
• Маску підмережі 255.255.255.0 - я не змінював, але можна налаштувати таким чином, що в підмережі проксі сервера та модему будуть лише два пристрої;
• Шлюз - адреса модему 192.168.0.1
• Адреси DNS-серверів провайдера ( основний та додатковий обов'язково).

Другу мережеву карту, підключену до внутрішньої мережі ( інтранет), налаштовуємо наступним чином:

• Статичний IP адреса, але в іншій підмережі(У мене 192.168.1.5);
• Маску згідно з вашими мережевими налаштуваннями (у мене 255.255.255.0);
• Шлюз не вказуємо.
• У полі адреси сервера DNS вводимо адресу DNS-сервера підприємства(якщо є, якщо нема - залишаємо порожнім).

Примітка: необхідно переконатися, що в налаштуваннях мережних інтерфейсів зазначено використання компонента NAT від UserGate.

Після налаштування мережевих інтерфейсів запускаємо сам сервіс UserGate(не забудьте налаштувати його роботу як сервіс, для автоматичного запуску з правами системи) та заходимо в консоль керування(можна локально, а можна і віддалено). Заходимо до «Мережевих правил» і вибираємо « Майстер налаштування NAT«, необхідно буде вказати свої інтранет ( intranet) та інтернет ( internet) адаптери. Інтранет – адаптер підключений до внутрішньої мережі. Майстер здійснить конфігурацію драйвера NAT.

Після цього необхідно розібратися з правилами NAT, для чого переходимо в "Мережеві налаштування" - "NAT". Кожне правило має кілька полів та статус (активно та не активно). Суть полів проста:

• Назва - ім'я правила, рекомендую дати щось осмислене(писати в це поле адреси та порти не потрібно, ця інформація і так буде доступна у переліку правил);
• Інтерфейс приймача – ваш інтранет інтерфейс(У моєму випадку 192.168.1.5);
• Інтерфейс відправника – ваш інтернет інтерфейс(в одній підмережі з модемом, у моєму випадку 192.168.0.5);
• Порт- Вказуєте до якого потру відноситься дане правило ( наприклад, для браузера (HTTP) порт 80, а для отримання пошти 110 порт). Можна вказати діапазон портівякщо не хочете поратися, але це не рекомендується робити на весь діапазон портів.
• Протокол — вибираєте з меню, що випадає, один з варіантів: TCP(зазвичай), UPDабо ICMP(наприклад, для роботи команд ping або tracert).

Спочатку в списку правил вже присутні правила, необхідні для роботи пошти і різноманітних програм. Але я доповнив стандартний список своїми правилами: для роботи DNS запитів (не використовуючи опцію форвардингу в UserGate), для роботи захищених з'єднань SSL, для роботи torrent клієнта, для роботи програми Radmin та інше. Ось скріншоти мого списку правил. Список поки замалий - але згодом розширюється (з появою необхідності роботи по новому порту).

Наступний етап – налаштування користувачів. Я у своєму випадку вибрав авторизацію за IP адресою та MAC адресою. Є варіанти авторизації тільки за IP-адресом та за обліковими даними Active Directory. Також можна використовувати HTTP авторизацію (щоразу гравці спочатку вводять пароль через браузер). Створюємо користувачів та гуппи користувачіві призначаємо їм використовувані правила NAT(Треба дати користувачеві ітернет в браузер - включаємо йому правило HTTP з портом 80, треба дати ICQ - правило аськи з згодом 5190).

Останнє на етапі впровадження я налаштував повзавателів на роботу через проксі. Для цього я використав DHCP сервіс. На клієнтські машини передаються наступні опції:

• IP-адреса - динамічна від DHCP в діапазоні підмережі інтранета (у моєму випадку діапазон 192.168.1.30 -192.168.1.200. Для потрібних машин налаштував резервацію IP адреси).
• Маска підмережі (255.255.255.0)
• Шлюз – адреса машини з UserGate у локальній мережі (Інтранет адреса – 192.168.1.5)
• DNS сервера - я віддаю 3 адреси. Перший — адреса DNS-сервера підприємства, друга та третя — адреси ДНС провайдера. (На DNS підприємства натроєний форвардинг на ДНЗ провайдера, так у разі «падіння» місцевого ДНЗ — інтернет імена будуть резолвуватися на ДНЗ провайдера).

На цьому базове налаштування закінчено. Залишилось перевірити працездатність, для цього на клієнській машині треба (отримавши налаштування від DHCP або впоравши їх вручну, відповідно до рекомендацій вище) запустити браузер і відкрити будь-яку сторінку в мережі. Якщо щось не працює перевірити ще раз ситуацію:

• Налаштування адаптера клієнта коректні? (машина з поксі сервером пінгується?)
• Чи авторизувався повзувач/комп'ютер на проксі-сервері? (Див. метоти авторизації UserGate)
• Чи ввімкнені у повзувача/групи правила NAT, необхідні для роботи? (Для роботи браузера треба хоча б HTTP правило для протоколу TCP на 80 порту).
• Ліміти трафіку для користувача чи групи не закінчилися? (Я в себе не вводив цього).

Тепер можна спостерігати користувачів і правила NAT, що підключилися, в пункті «Моніторинг» консолі управління проксі-сервером.

Подальше налаштування проксі - це вже тюнінгдо конкретних вимог. Перше що я зробив - це включив обмеження пропускної спроможності в своїх користувачах (пізніше можна впровадити систему правил для обмеження швидкості) і включив додаткові сервіси UserGate - проксі сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Увімкнення проксі-сервісів дозволяє використовувати кешування запитів. Але необхідно проводити додаткове налаштування клієнтів працювати з проксисервером.

Залишити питання? Пропоную задати їх прямо тут.

________________________________________

Сьогодні Internet - як засіб спілкування чи спосіб проведення дозвілля, а й робочий інструмент. Пошук інформації, участь у торгах, робота з клієнтами та партнерами вимагають присутності співробітників компаній у Мережі. На більшості комп'ютерів, що використовуються як в особистих цілях, так і на користь організації, встановлені операційні системи Windows. Звісно, ​​вони оснащені механізмами надання доступу до Internet. Починаючи з версії Windows 98 Second Edition, як стандартний компонент у операційні системи Windows вбудована функція Internet Connection Sharing (ICS), за допомогою якої забезпечується груповий доступ з локальної мережі до Internet. Пізніше у версії Windows 2000 Server з'явилася служба Routing and Remote Access Service (маршрутизація та віддалений доступ) та була реалізована підтримка протоколу NAT.

Але ICS має свої недоліки. Так, ця функція змінює адресу мережного адаптера, а це може викликати проблеми в локальній мережі. Тому ICS переважно використовувати лише у домашніх чи невеликих офісних мережах. У цій службі не передбачено авторизації користувачів, тому в корпоративній мережі її задіяти небажано. Якщо говорити про застосування в домашній мережі, то і тут відсутність авторизації на ім'я користувача також стає неприйнятною, оскільки IP-адреси і MAC дуже легко підробити. Тому, хоча у Windows і є можливість організації єдиного доступу до Internet, практично реалізації цього завдання застосовують або апаратні, або програмні засоби незалежних розробників. Одним із таких рішень є програма UserGate.

Перше знайомство

Proxy-сервер Usergate дозволяє надати користувачам локальної мережі вихід в Internet та визначати політику доступу, забороняючи доступ до певних ресурсів, обмежуючи трафік або час роботи користувачів у мережі. З іншого боку, Usergate дає можливість вести роздільний облік трафіку як у користувачам, і за протоколами, що значно полегшує контроль витрат за Internet-подключение. Останнім часом серед Internet-провайдерів спостерігається тенденція надавати безлімітний доступ в Internet своїми каналами. На тлі такої тенденції на перший план виходить саме контроль та облік доступу. Для цього proxy-сервер Usergate має досить гнучку систему правил.

Proxy-сервер Usergate з підтримкою NAT (Network Address Translation) працює на операційних системах Windows 2000/2003/XP із встановленим протоколом TCP/IP. Без підтримки протоколу NAT Usergate здатний працювати на Windows 95/98 та Windows NT 4.0. Сама програма не вимагає роботи спеціальних ресурсів, основна умова - наявність достатнього місця на диску для файлів кешу і журналу. Тому все ж таки рекомендується встановлювати proxy-сервер на окремій машині, віддаючи йому максимальні ресурси.

Налаштування

Навіщо потрібен proxy-сервер? Адже будь-який Web-браузер (Netscape Navigator, Microsoft Internet Explorer, Opera) вже вміє кешувати документи. Але згадаємо, що, по-перше, ми не виділяємо з цією метою значних обсягів дискового простору. А по-друге, ймовірність відвідування тих самих сторінок однією людиною значно менше, ніж якби це робили десятки або сотні людей (а така кількість користувачів є в багатьох організаціях). Тому створення єдиного кеш-простору для організації дозволить скоротити вхідний трафік і прискорить пошук в Інтернеті документів, вже отриманих кимось із співробітників. Proxy-сервер UserGate може бути пов'язаний з ієрархією із зовнішніми proxy-серверами (провайдерів), і в цьому випадку вдасться якщо не зменшити трафік, то хоча б прискорити отримання даних, а також зменшити вартість (зазвичай вартість трафіку у провайдера через proxy-сервер нижче ).

Екран 1. Налаштування кешу

Забігаючи вперед, скажу, що налаштування кешу виконується у розділі меню "Сервіси" (див. екран 1). Після переведення кешу в режим "Увімкнено" можна налаштувати його окремі функції - кешування POST-запитів, динамічних об'єктів, cookies, контенту, що отримується за FTP. Тут налаштовується розмір виділеного для кеша дискового простору та час життя кешованого документа. А щоб кеш почав працювати, потрібно налаштувати та увімкнути режим proxy. У налаштуваннях визначається, які протоколи працюватимуть через проксі-сервер (HTTP, FTP, SOCKS), на якому мережному інтерфейсі вони прослуховуватимуться і чи виконуватиметься каскадування (необхідні для цього дані вводяться на окремій закладці вікна налаштування служб).

Перед початком роботи з програмою потрібно виконати інші настройки. Як правило, це робиться в такій послідовності:

1. Створення облікових записів користувачів у Usergate.
2. Налаштування DNS та NAT на системі з Usergate. На цьому етапі налаштування зводиться головним чином налаштування NAT за допомогою майстра.
3. Налаштування мережного з'єднання на клієнтських машинах, де необхідно прописати шлюз та DNS у властивостях TCP/IP мережного з'єднання.
4. Створення політики доступу до Internet.

Для зручності роботи програму поділено на кілька модулів. Серверний модуль запускається на комп'ютері, що має підключення до Internet, та забезпечує виконання основних завдань. Адміністрація Usergate здійснюється за допомогою спеціального модуля Usergate Administrator. З його допомогою проводиться все налаштування сервера відповідно до необхідних вимог. Клієнтська частина Usergate реалізована у вигляді Usergate Authentication Client, який встановлюється на комп'ютер користувача та служить для авторизації користувачів на сервері Usergate, якщо застосовується авторизація, відмінна від авторизації IP або IP+MAC.

Управління

Керування користувачами та групами винесено до окремого розділу. Групи необхідні для полегшення керування користувачами та їх загальними налаштуваннями доступу та тарифікації. Можна створити стільки груп, скільки потрібно. Зазвичай групи створюються відповідно до структури організації. Які параметри можна призначити для користувачів? З кожною групою пов'язаний тариф, за яким враховуватимуться витрати на доступ. За промовчанням використовується тариф default. Він порожній, тому з'єднання всіх користувачів, що входять до групи, не тарифікуються, якщо тариф не перевизначено у профілі користувача.

У програмі є набір визначених правил NAT, які не можна змінити. Це правила доступу за протоколами Telten, POP3, SMTP, HTTP, ICQ та ін. Під час налаштування групи можна вказати, які правила будуть застосовуватися для цієї групи та користувачів, що входять до неї.

Режим автодозвону можна використовувати у разі, коли підключення до Internet здійснюється через модем. При включенні цього режиму користувач може ініціалізувати підключення до Internet, коли з'єднання ще немає - на його запит модем встановлює з'єднання і забезпечує доступ. Але при підключенні через виділену лінію або ADSL потреба у цьому режимі відпадає.

Додавання облікових записів користувачів не складніше, ніж додати групи (див. екран 2). А якщо комп'ютер із встановленим proxy-сервером Usergate входить до домену Active Directory (AD), облікові записи користувачів можуть бути імпортовані звідти і потім рознесені по групах. Але як під час введення вручну, так і при імпорті облікових записів з AD необхідно налаштувати права користувачів та правила доступу. До них належать тип авторизації, тарифний план, доступні правила NAT (якщо групові правила в повному обсязі задовольняють потреби конкретного пользователя).

Proxy-сервер Usergate підтримує кілька типів авторизації, у тому числі авторизацію користувачів через Active Directory та вікно реєстрації Windows Login, що дозволяє інтегрувати Usergate у існуючу мережну інфраструктуру. Usergate використовує власний драйвер NAT, що підтримує авторизацію через спеціальний модуль – модуль клієнтської авторизації. Залежно від вибраного способу авторизації в налаштуваннях профілю користувача необхідно вказати або його IP-адресу (або діапазон адрес), або ім'я та пароль, або тільки ім'я. Тут же може бути вказана електронна адреса користувача, на яку надсилатимуться звіти про використання ним доступу в Internet.

Правила

Система правил Usergate є більш гнучкою в налаштуваннях, ніж можливості Remote Access Policy (політика віддаленого доступу в RRAS). За допомогою правил можна закрити доступ до певних адрес URL, обмежити трафік по тих чи інших протоколах, встановити тимчасовий ліміт, обмежити максимальний розмір файлу, який користувач може завантажити, і багато іншого (див. екран 3). Стандартні засоби операційної системи не мають достатньої для вирішення цих завдань функціональністю.

Правила створюються за допомогою помічника. Вони поширюються на чотири основні об'єкти, що відстежуються системою, - з'єднання, трафік, тариф та швидкість. Причому для кожного з них може бути виконана одна дія. Виконання правил залежить від налаштувань та обмежень, які для нього вибираються. До них відносяться протоколи, що використовуються, час по днях тижня, коли це правило буде діяти. Нарешті, визначаються критерії щодо обсягу трафіку (вхідного та вихідного), часу роботи в мережі, залишку коштів на рахунку користувача, а також список IP-адрес джерел запиту та мережні адреси ресурсів, на які поширюється дія. Налаштування мережевих адрес також дозволяє визначити типи файлів, які користувачі не зможуть завантажувати.

Багато організацій не дозволяється використовувати служби миттєвих повідомлень. Як реалізувати таку заборону за допомогою Usergate? Достатньо створити одне правило, що закриває з'єднання при запиті сайту *login.icq.com*, та застосувати його до всіх користувачів. Застосування правил дозволяє змінювати тарифи для доступу в денний або нічний час до регіональних або загальних ресурсів (якщо такі відмінності надаються провайдером). Наприклад, для перемикання між нічним та денним тарифами необхідно буде створити два правила, одне виконуватиме перемикання за часом з денного на нічний тариф, друге – зворотне перемикання. Власне, навіщо потрібні тарифи? Це основа роботи вбудованої системи білінгу. В даний час цією системою можна користуватися тільки для звіряння та пробного розрахунку витрат, але після того, як білінгова система буде сертифікована, власники системи отримають надійний механізм для роботи зі своїми клієнтами.

Користувачі

Тепер повернемося до налаштувань DNS та NAT. Налаштування DNS полягає у вказівці адрес зовнішніх DNS-серверів, до яких буде звертатися система. При цьому на комп'ютерах користувачів необхідно в налаштуваннях з'єднання для властивостей TCP/IP як шлюз і DNS вказати IP внутрішнього мережевого інтерфейсу комп'ютера з Usergate. Дещо інший принцип налаштування при використанні NAT. В цьому випадку в системі потрібно додати нове правило, в якому потрібно визначити IP приймача (локальний інтерфейс) та IP відправника (зовнішній інтерфейс), порт – 53 та протокол UDP. Це правило слід призначити всім користувачам. А в налаштуваннях з'єднання на їх комп'ютерах як DNS слід вказати IP-адресу сервера DNS провайдера, як шлюз - IP-адресу комп'ютера з Usergate.

Налаштування поштових клієнтів може бути виконане як через Port mapping, так і через NAT. Якщо в організації дозволено використовувати служби миттєвих повідомлень, то для них має бути змінено налаштування підключення - необхідно вказати застосування брандмауера та proxy, встановити IP-адресу внутрішнього мережевого інтерфейсу комп'ютера з Usergate і вибрати протокол HTTPS або Socks. Але треба мати на увазі, що при роботі через proxy-сервер буде недоступна робота в Chat rooms та Video Chat, якщо використовується Yahoo Messenger.

Статистика роботи записується в журнал, що містить інформацію про параметри з'єднань всіх користувачів: час з'єднання, тривалість, витрачені кошти, адреси, кількість отриманої та переданої інформації. Скасувати запис інформації про з'єднання користувача у файл статистики не можна. Для перегляду статистики в системі існує спеціальний модуль, доступ до якого можливий через інтерфейс адміністратора, так і віддалено. Дані можуть бути відфільтровані за користувачами, протоколами та часом і можуть бути збережені у зовнішньому файлі у форматі Excel для подальшої обробки.

Що далі

Якщо перші версії системи були призначені лише реалізації механізму кешування proxy-сервера, то останніх версіях з'явилися нові компоненти, призначені задля забезпечення інформаційної безпеки. Сьогодні користувачі Usergate можуть задіяти вбудований модуль брандмауера та антивірусу Касперського. Брандмауер дозволяє контролювати, відкривати та блокувати певні порти, а також публікувати Web-ресурси компанії в Internet. Вбудований брандмауер обробляє пакети, які не пройшли обробку на рівні правил NAT. Якщо пакет був оброблений драйвером NAT, він не обробляється брандмауером. Налаштування портів, виконані для proxy, а також порти, зазначені в Port Mapping, містяться в автоматично генерованих правилах брандмауера (тип auto). У правила auto також міститься порт 2345 TCP, який використовується модулем Usergate Administrator для підключення до серверної частини Usergate.

Говорячи про перспективи подальшого розвитку продукту, варто згадати створення власного сервера VPN, що дозволить відмовитися від VPN зі складу операційної системи; впровадження поштового сервера за допомогою функції антиспаму та розробку інтелектуального брандмауера лише на рівні додатків.

Михайло Абрамзон- керівник групи аркетингу компанії «Дігт».

Організація спільного доступу до інтернету користувачів локальної мережі – одне з найпоширеніших завдань, з якими доводиться стикатися системним адміністраторам. Тим не менш, досі вона викликає багато труднощів і питань. Наприклад - як забезпечити максимальну безпеку та повну керованість?

Вступ

Сьогодні ми докладно розглянемо, як організувати спільний доступ до інтернету співробітників якоїсь гіпотетичної компанії. Припустимо, що їх кількість буде лежати в межах 50-100 осіб, а в локальній мережі розгорнуто всі звичайні для таких інформаційних систем послуги: домен Windows, власний поштовий сервер, FTP-сервер.

Для спільного доступу ми будемо використовувати рішення під назвою UserGate Proxy & Firewall. Він має кілька особливостей. По-перше, це суто російська технологія, на відміну багатьох локалізованих товарів. По-друге, вона має більш ніж десятирічну історію. Але найголовніше – це постійний розвиток продукту.

Перші версії цього рішення були відносно простими проксі-серверами, які могли тільки забезпечувати спільне використання одного підключення до інтернету і вести статистику його використання. Найбільшого поширення серед них набув білд 2.8, який досі ще можна зустріти у невеликих конторах. Останню ж шосту версію самі розробники вже не називають проксі-сервером. За їх словами, це повноцінне UTM-рішення, яке охоплює цілий спектр завдань, пов'язаних із безпекою та контролем дій користувачів. Давай подивимося, чи це так.

Розгортання UserGate Proxy & Firewall

У ході встановлення інтерес становлять два етапи (інші кроки стандартні для інсталяції будь-якого ПЗ). Перший - це вибір компонентів. Крім базових файлів, нам пропонується встановити ще чотири серверні компоненти - це VPN, два антивіруси (Panda та «Антивірус Касперського») та оглядач кешу.

Модуль VPN-сервера встановлюється за потребою, тобто коли в компанії планується використання віддаленого доступу співробітників або об'єднання кількох віддалених мереж. Антивіруси має сенс встановлювати лише в тому випадку, якщо у компанії придбано відповідні ліцензії. Їх наявність дозволить сканувати інтернет-трафік, локалізувати та блокувати шкідливе ПЗ безпосередньо на шлюзі. Оглядач кешу забезпечить перегляд закешованих проксі-сервером веб-сторінок.

Додаткові функції

Заборона небажаних сайтів

Рішення підтримує технологію Entensys URL Filtering. По суті, це хмарна база даних, що містить понад 500 мільйонів сайтів різними мовами, розбитими більш ніж за 70 категоріями. Основна її відмінність - постійний моніторинг, в ході якого веб-проекти постійно контролюються та змінюють вміст переносяться в іншу категорію. Це дозволяє з високою точністю заборонити всі небажані сайти, просто вибравши певні рубрики.

Застосування Entensys URL Filtering збільшує безпеку роботи в інтернеті, а також сприяє підвищенню ефективності праці співробітників (за рахунок заборони соціальних мереж, розважальних сайтів тощо). Проте її використання вимагає наявність платної підписки, яку необхідно продовжувати щороку.

Крім цього, до складу дистрибутива входить ще два компоненти. Перший з них – «Консоль адміністратора». Це окрема програма, призначена, як це видно з назви, для керування сервером UserGate Proxy & Firewall. Головна його особливість – можливість віддаленого підключення. Таким чином, адміністраторам або відповідальним за використання інтернету особам не потрібний прямий доступ до інтернет-шлюзу.

Другий додатковий компонент – веб-статистика. По суті, вона є веб-сервером, який дозволяє відображати докладну статистику використання глобальної мережі співробітниками компанії. З одного боку, це, поза всяким сумнівом, корисний та зручний компонент. Адже він дозволяє отримувати дані без встановлення додаткового ПЗ, у тому числі через інтернет. Але з іншого – він займає зайві системні ресурси інтернет-шлюзу. А тому його краще встановлювати лише в тому випадку, коли він справді потрібний.

Другий етап, який варто звернути увагу під час інсталяції UserGate Proxy & Firewall, - вибір бази даних. У попередніх версіях UGPF міг працювати тільки з файлами MDB, що позначалося на продуктивності системи в цілому. Тепер є вибір між двома СУБД - Firebird і MySQL. Причому перша входить до складу дистрибутива, тому при її виборі ніяких додаткових маніпуляцій робити не потрібно. Якщо ж ти забажаєш використовувати MySQL, то попередньо її потрібно встановити та налаштувати. Після встановлення серверних компонентів необхідно підготувати робочі місця адміністраторів та інших відповідальних співробітників, які можуть керувати доступом користувачів. Зробити це дуже просто. Достатньо з того самого дистрибутива встановити на їх робочі комп'ютери консоль адміністрування.

Додаткові функції

Вбудований VPN-сервер

У версії 6.0 з'явився VPN-сервер. З його допомогою можна організувати захищений віддалений доступ співробітників компанії до локальної мережі або об'єднати віддалені мережі окремих філій організації в єдиний інформаційний простір. Даний VPN-сервер має всі необхідні функціональні можливості для створення тунелів «сервер - сервер» і «клієнт - сервер» та маршрутизації між підмережами.

Базове налаштування

Все налаштування UserGate Proxy & Firewall ведеться за допомогою консолі керування. За промовчанням після встановлення в ній вже створено підключення до локального сервера. Однак якщо ти використовуєш її віддалено, то з'єднання доведеться створити вручну, вказавши IP-адресу або ім'я хоста інтернет-шлюзу, мережевий порт (за замовчуванням 2345) та параметри авторизації.

Після підключення до сервера насамперед необхідно налаштувати мережеві інтерфейси. Це можна зробити на вкладці «Інтерфейси» розділу «Сервер UserGate». Мережевій карті, яка «дивиться» в локальну мережу, виставляємо тип LAN, а решті всіх підключень - WAN. Тимчасовим підключенням, таким як PPPoE, VPN, автоматично присвоюється тип PPP.

Якщо компанія має два або більше підключення до глобальної мережі, причому одне з них основне, а інші резервні, то можна налаштувати автоматичне резервування. Зробити це досить легко. Достатньо додати потрібні інтерфейси до списку резервних, вказати один або кілька контрольних ресурсів та час їхньої перевірки. Принцип роботи цієї системи такий. UserGate автоматично із зазначеним інтервалом перевіряє доступність контрольних сайтів. Як тільки вони перестають відповідати, продукт самостійно без втручання адміністратора перемикається на резервний канал. При цьому перевірка доступності контрольних ресурсів за основним інтерфейсом продовжується. І як тільки вона виявляється успішною, автоматично виконується перемикання назад. Єдине, на що потрібно звернути увагу під час налаштування, - це вибір контрольних ресурсів. Краще взяти кілька великих сайтів, стабільну роботу яких практично гарантовано.

Додаткові функції

Контроль мережевих програм

У UserGate Proxy & Firewall реалізовано таку цікаву можливість, як контроль мережевих додатків. Її мета – заборонити доступ до інтернету будь-якого несанкціонованого ПЗ. В рамках налаштування контролю створюються правила, які дозволяють або блокують мережеву роботу різних програм (з урахуванням версії або без нього). У них можна вказувати конкретні IP-адреси та порти призначення, що дозволяє гнучко налаштовувати доступ, дозволивши йому виконувати лише певні дії в інтернеті.

Контроль програм дозволяє виробити чітку корпоративну політику щодо використання програм, частково запобігти поширенню шкідливого ПЗ.

Після цього можна переходити безпосередньо до налаштування проксі-серверів. Усього в розглянутому рішенні їх реалізовано сім штук: для протоколів HTTP (включаючи HTTPs), FTP, SOCKS, POP3, SMTP, SIP та H323. Це практично все, що може знадобитись для роботи співробітників компанії в інтернеті. За промовчанням увімкнено лише HTTP-проксі, решту можна активувати за потреби.

Проксі-сервери в UserGate Proxy & Firewall можуть працювати у двох режимах – звичайному та прозорому. У першому випадку йдеться про традиційне проксі. Сервер отримує запити від користувачів та переправляє їх зовнішнім серверам, а отримані відповіді передає клієнтам. Це традиційне рішення, однак у ньому є свої незручності. Зокрема, необхідно налаштовувати кожну програму, яка використовується для роботи в інтернеті (інтернет-браузер, поштовий клієнт, ICQ та інше) на кожному комп'ютері в локальній мережі. Це, звісно, ​​велика робота. Тим паче періодично, у міру встановлення нового програмного забезпечення, вона повторюватиметься.

При виборі прозорого режиму використовується спеціальний NAT-драйвер, що входить до комплекту постачання рішення. Він прослуховує відповідні порти (80-й для HTTP, 21-й для FTP і так далі), детектує запити, що надходять на них, і передає їх проксі-серверу, звідки вони вирушають далі. Таке рішення вдало в тому плані, що налаштування програмного забезпечення на клієнтських машинах вже не потрібне. Єдине, що потрібно, - як основний шлюз у мережному підключенні всіх робочих станцій вказати IP-адресу інтернет-шлюзу.

Наступний крок – налаштування пересилання DNS-запитів. Зробити це можна двома способами. Найпростіший із них – включити так званий DNS-форвардинг. При його використанні DNS-запити, що надходять на інтернет-шлюз від клієнтів, перенаправляються на зазначені сервери (можна використовувати як DNS-сервер з параметрів мережного підключення, так і будь-які довільні DNS-сервери).

Другий варіант - створення NAT-правила, яке прийматиме запити по 53-му (стандартний для DNS) порту і переправлятиме їх у зовнішню мережу. Однак у цьому випадку доведеться або на всіх комп'ютерах вручну прописувати DNS-сервери в налаштуваннях мережних підключень, або налаштувати надсилання DNS-запитів через інтернет-шлюз із сервера контролера домену.

Керування користувачами

Після завершення базового налаштування можна перейти до роботи з користувачами. Почати потрібно зі створення груп, в які згодом об'єднуватимуться облікові записи. Для чого це потрібно? По-перше, для подальшої інтеграції з Active Directory. А по-друге, групам можна надавати правила (про них ми поговоримо пізніше), таким чином керуючи доступом одразу великої кількості користувачів.

Наступним кроком буде внесення до системи користувачів. Зробити це можна трьома різними способами. Перший з них, ручне створення кожного облікового запису, ми зі зрозумілих причин навіть не розглядаємо. Цей варіант підходить лише для малих мереж із невеликою кількістю користувачів. Другий спосіб – сканування корпоративної мережі ARP-запитами, в ході якого система сама визначає список можливих облікових записів. Однак ми вибираємо третій, найбільш оптимальний з погляду простоти та зручності адміністрування варіант – інтеграцію з Active Directory. Виконується вона з урахуванням створених раніше груп. Спочатку потрібно заповнити загальні параметри інтеграції: вказати домен, адресу його контролера, логін та пароль користувача з необхідними правами доступу до нього, а також інтервал синхронізації. Після цього кожній створеній у UserGate групі потрібно присвоїти одну або кілька груп з Active Directory. Власне, налаштування на цьому і закінчується. Після збереження всіх параметрів синхронізація буде виконуватись в автоматичному режимі.

Користувачі, що створюються в ході авторизації, за замовчуванням будуть використовувати NTLM-авторизацію, тобто авторизацію за домінним логіном. Це дуже зручний варіант, оскільки правила та система обліку трафіку працюватимуть незалежно від того, за яким комп'ютером зараз сидить користувач.

Щоправда, використання цього методу авторизації необхідне додаткове програмне забезпечення - спеціальний клієнт. Ця програма працює на рівні Winsock та передає на інтернет-шлюз параметри авторизації користувачів. Її дистрибутив входить у комплект постачання UserGate Proxy & Firewall. Швидко встановити клієнт на всі робочі станції можна за допомогою групових політик Windows.

NTLM-авторизація далеко не єдиний метод авторизації співробітників компанії для роботи в інтернеті. Наприклад, якщо в організації практикується жорстка прив'язка працівників до робочих станцій, можна використовувати для ідентифікації користувачів IP-адресу, MAC-адресу або їх поєднання. За допомогою цих методів можна організувати доступ до глобальної мережі різних серверів.

Контроль користувачів

Однією з значних переваг UGPF є широкі можливості для контролю користувачів. Вони реалізуються за допомогою системи правил керування трафіком. Принцип її роботи дуже простий. Адміністратор (або інша відповідальна особа) створює набір правил, кожне з яких являє собою одну або кілька умов спрацьовування та виконувану при цьому дію. Ці правила надаються окремим користувачам або цілим їхнім групам і дозволяють в автоматичному режимі контролювати їхню роботу в інтернеті. Усього реалізовано чотири можливі дії. Перше з них – закрити з'єднання. Воно дозволяє, наприклад, заборонити завантаження певних файлів, запобігти відвідуванню небажаних сайтів та інше. Друга дія – змінити тариф. Воно використовується в системі тарифікації, яка інтегрована в продукт, що розглядається (ми її не розглядаємо, оскільки для корпоративних мереж вона не особливо актуальна). Наступна дія дозволяє вимкнути підрахунок трафіку, який отримується в рамках даного з'єднання. У цьому випадку інформація, що передається, не враховується при підведенні добового, тижневого та місячного споживання. Ну і нарешті, остання дія – обмеження швидкості до зазначеного значення. Його дуже зручно використовувати для запобігання забиванню каналу при завантаженні великих файлів і вирішенні інших подібних завдань.

Умов у правилах управління трафіком набагато більше – близько десяти. Деякі з них відносно прості, наприклад, максимальний розмір файлу. Таке правило спрацьовуватиме при спробі користувачів завантажити файл більше зазначеного розміру. Інші умови прив'язані до часу. Зокрема, серед них можна відзначити розклад (спрацювання за часом та днями тижня) та свята (спрацьовує у зазначені дні).

Однак найбільший інтерес становлять умови, пов'язані з сайтами та контентом. Зокрема, з їх допомогою можна блокувати або встановлювати інші дії на певні види контенту (наприклад, відео, аудіо, файли, текст, картинки та інше), конкретні веб-проекти або цілі їх категорії (для цього використовується технологія Entensys URL Filtering, див. врізання).

Примітно, що одне правило може містити відразу кілька умов. При цьому адміністратор може вказувати, у якому разі воно виконуватиметься - за дотримання всіх умов або будь-якого з них. Це дозволяє створити дуже гнучку політику використання інтернету співробітниками компанії, яка враховує велику кількість різноманітних нюансів.

Налаштування міжмережевого екрану

Невід'ємна частина драйвера NAT UserGate – міжмережевий екран, з його допомогою вирішуються різні завдання, пов'язані з обробкою мережного трафіку. Для налаштування використовуються спеціальні правила, які можуть бути одного з трьох типів: трансляції мережевої адреси, маршрутизації та файрвола. Правил у системі може бути довільна кількість. У цьому застосовуються вони у порядку, у якому перелічені у загальному списку. Тому якщо трафік, що надходить, підходить під кілька правил, він буде оброблений тим з них, яке розташоване вище інших.

Кожне правило характеризується трьома основними параметрами. Перший – джерело трафіку. Це може бути один або кілька певних хостів, WAN або LAN-інтерфейс інтернет-шлюзу. Другий параметр – призначення інформації. Тут може бути вказаний LAN або WAN-інтерфейс або dial-up з'єднання. Остання основна характеристика правила - це чи кілька сервісів, куди воно поширюється. Під сервісом у UserGate Proxy & Firewall розуміється пара із сімейства протоколів (TCP, UDP, ICMP, довільний протокол) та мережного порту (або діапазону мережевих портів). За замовчуванням у системі вже є значний набір встановлених сервісів, починаючи з загальнопоширених (HTTP, HTTPs, DNS, ICQ) і закінчуючи специфічними (WebMoney, RAdmin, різні онлайн-ігри і так далі). Однак при необхідності адміністратор може створювати і свої сервіси, наприклад, що описують роботу з онлайн-банком.

Також у кожного правила є дія, яку воно виконує з підходящим під умови трафіком. Їх лише два: дозволити чи заборонити. У першому випадку трафік безперешкодно проходить вказаним маршрутом, а в другому блокується.

Правила трансляції мережевої адреси використовують технологію NAT. З їх допомогою можна налаштувати доступ до Інтернету робочих станцій з локальними адресами. Для цього необхідно створити правило, вказавши як джерело LAN-інтерфейс, а як приймач - WAN-інтерфейс. Правила маршрутизації застосовуються в тому випадку, якщо розглянуте рішення використовуватиметься як роутер між двома локальними мережами (в ньому реалізована така можливість). У цьому випадку маршрутизацію можна налаштувати для двоспрямованої прозорої передачі трафіку.

Правила файрвола використовуються для обробки трафіку, що надходить не на проксі-сервер, а безпосередньо на інтернет-шлюз. Відразу після установки в системі є одне таке правило, яке дозволяє всі пакети мережі. У принципі, якщо створюваний інтернет-шлюз не використовуватиметься як робоча станція, то дію правила можна змінити з «Дозволити» на «Заборонити». У цьому випадку на комп'ютері буде блоковано будь-яку мережну активність, крім транзитних NAT-пакетів, що передаються з локальної мережі в інтернет і назад.

Правила файрволу дозволяють публікувати в глобальній мережі будь-які локальні послуги: веб-сервери, FTP-сервери, поштові сервери та інше. При цьому віддалені користувачі мають можливість підключення до них через інтернет. Як приклад, можна розглянути публікацію корпоративного FTP-сервера. Для цього адмін повинен створити правило, в якому як джерело вибрати пункт «Будь-який», як призначення вказати потрібний WAN-інтерфейс, а як сервіс - FTP. Після цього вибрати дію «Дозволити», увімкнути трансляцію трафіку і в полі «Адреса призначення» вказати IP-адресу локального FTP-сервера та його мережевий порт.

Після такого налаштування всі з'єднання по 21-му порту, що надходять на мережеві карти інтернет-шлюзу, будуть автоматично перенаправлятися на FTP-сервер. До речі, в процесі налаштування можна вибрати не лише «рідний», а й будь-який інший сервіс (або створити власний). У цьому випадку зовнішні користувачі повинні звертатися не на 21-й, а на інший порт. Такий підхід дуже зручний у тих випадках, коли в інформаційній системі є два або більше однотипних сервісів. Наприклад, можна організувати доступ ззовні до корпоративного порталу стандартного для HTTP порту 80, а доступ до веб-статистики UserGate - порту 81.

Аналогічно налаштовується зовнішній доступ до внутрішнього поштового сервера.

Важлива риса реалізованого міжмережевого екрану - система запобігання вторгнень. Вона працює повністю в автоматичному режимі, виявляючи на основі сигнатур та евристичних методів спроби несанкціонованого впливу та нівелюючи їх через блокування потоків небажаного трафіку або скидання небезпечних з'єднань.

Підбиваємо підсумки

У цьому огляді ми детально розглянули організацію спільного доступу співробітників компанії до Інтернету. У сучасних умовах це не простий процес, оскільки потрібно враховувати велику кількість різних нюансів. Причому важливі як технічні, і організаційні аспекти, особливо контроль дій користувачів.