Споделянето на достъп до Интернет между потребители на локална мрежа е една от най-честите задачи, пред които трябва да се изправят системните администратори. Въпреки това, той все още повдига много трудности и въпроси. Например – как да осигурим максимална сигурност и пълна управляемост?

Въведение

Днес ще разгледаме по-отблизо как да организираме споделяне на интернет за служители на хипотетична компания. Да приемем, че техният брой ще бъде от порядъка на 50-100 души и всички обичайни услуги за такива информационни системи са разположени в локалната мрежа: Windows домейн, собствен пощенски сървър, FTP сървър.

За да осигурим споделяне, ще използваме решение, наречено UserGate Proxy & Firewall. Има няколко функции. Първо, това е чисто руско развитие, за разлика от много локализирани продукти. Второ, има повече от десет години история. Но най-важното е постоянното развитие на продукта.

Първите версии на това решение бяха относително прости прокси сървъри, които можеха да споделят само една интернет връзка и да поддържат статистика за нейното използване. Най-разпространената сред тях беше сборка 2.8, която все още може да се намери в малки офиси. Самите разработчици вече не наричат ​​последната, шеста версия, прокси сървър. Според тях това е пълноценно UTM решение, което покрива цял набор от задачи, свързани със сигурността и контрола на действията на потребителите. Да видим дали е така.

Внедряване на прокси и защитна стена на UserGate

По време на инсталацията са интересни два етапа (останалите стъпки са стандартни за инсталиране на всеки софтуер). Първият е изборът на компоненти. В допълнение към основните файлове, ние сме поканени да инсталираме още четири сървърни компонента - VPN, две антивирусни програми (Panda и Kaspersky Anti-Virus) и кеш браузър.

Модулът за VPN сървър се инсталира според нуждите, т.е. когато компанията планира да използва отдалечен достъп за служители или да комбинира няколко отдалечени мрежи. Има смисъл да се инсталират антивируси само ако са закупени съответните лицензи от компанията. Тяхното присъствие ще позволи сканиране на интернет трафика, локализиране и блокиране на зловреден софтуер директно на шлюза. Cache Browser ще ви позволи да преглеждате уеб страници, кеширани от прокси сървъра.

Допълнителни функции

Забрана на нежелани сайтове

Решението поддържа технологията Entensys URL Filtering. Всъщност това е базирана в облак база данни, съдържаща повече от 500 милиона сайта на различни езици, разделени в повече от 70 категории. Основната му разлика е постоянното наблюдение, по време на което уеб проектите се наблюдават постоянно и когато съдържанието се промени, те се прехвърлят в друга категория. Това ви позволява да забраните всички нежелани сайтове с висока степен на точност, просто като изберете определени категории.

Използването на Entensys URL Filtering повишава безопасността при работа в Интернет, а също така подобрява ефективността на служителите (чрез забрана на социални мрежи, развлекателни сайтове и др.). Използването му обаче изисква платен абонамент, който трябва да се подновява всяка година.

Освен това дистрибуцията включва още два компонента. Първият е „Admin Console“. Това е отделно приложение, предназначено, както подсказва името, за управление на сървъра на прокси и защитна стена на UserGate. Основната му характеристика е възможността за дистанционно свързване. По този начин администраторите или лицата, отговорни за използването на интернет, не се нуждаят от директен достъп до интернет портала.

Вторият допълнителен компонент е уеб статистиката. Всъщност това е уеб сървър, който ви позволява да показвате подробна статистика за използването на глобалната мрежа от служители на компанията. От една страна, това без съмнение е полезен и удобен компонент. В крайна сметка ви позволява да получавате данни, без да инсталирате допълнителен софтуер, включително чрез интернет. Но от друга страна, това отнема допълнителни системни ресурси на интернет портала. Затова е по-добре да го инсталирате само когато наистина е необходимо.

Втората стъпка, на която трябва да обърнете внимание по време на инсталирането на UserGate Proxy & Firewall, е изборът на база данни. В предишните версии UGPF можеше да функционира само с MDB файлове, което се отрази на производителността на системата като цяло. Сега има избор между две СУБД - Firebird и MySQL. Освен това първият е включен в комплекта за разпространение, така че при избора му не са необходими допълнителни манипулации. Ако искате да използвате MySQL, първо трябва да го инсталирате и конфигурирате. След приключване на инсталирането на сървърните компоненти е необходимо да се подготвят работните места на администратори и други отговорни служители, които могат да управляват потребителския достъп. Много е лесно да направите това. Достатъчно е да инсталирате административната конзола на работещите си компютри от същия комплект за разпространение.

Допълнителни функции

Вграден VPN сървър

Версия 6.0 представи компонента VPN сървър. С негова помощ можете да организирате защитен отдалечен достъп на служителите на компанията до локалната мрежа или да комбинирате отдалечени мрежи на отделни клонове на организацията в едно информационно пространство. Този VPN сървър има цялата необходима функционалност за създаване на тунели сървър към сървър и клиент към сървър и за маршрутизиране между подмрежи.

Основна настройка

Цялата конфигурация на UserGate Proxy & Firewall се извършва с помощта на конзолата за управление. По подразбиране след инсталацията вече има връзка с локалния сървър. Ако обаче го използвате отдалечено, ще трябва да създадете връзката ръчно, като посочите IP адреса на интернет шлюза или името на хоста, мрежовия порт (2345 по подразбиране) и параметрите за оторизация.

След като се свържете със сървъра, първото нещо, което трябва да направите, е да конфигурирате мрежовите интерфейси. Можете да направите това в раздела "Интерфейси" на секцията "UserGate Server". За мрежовата карта, която "гледа" в локалната мрежа, задаваме типа на LAN, а на всички останали връзки - WAN. „Временните“ връзки, като PPPoE, VPN, автоматично получават тип PPP.

Ако една компания има две или повече WAN връзки, едната от които е основна, а другите са излишни, тогава можете да настроите автоматично резервиране. За да направите това е съвсем просто. Достатъчно е да добавите необходимите интерфейси към списъка с резервни, да посочите един или повече контролни ресурси и времето за тяхната проверка. Принципът на действие на тази система е следният. UserGate автоматично проверява наличността на контролни сайтове на посочения интервал. Веднага щом спрат да отговарят, продуктът автоматично, без намеса на администратор, превключва на резервния канал. В същото време продължава проверката на наличието на контролни ресурси на основния интерфейс. И веднага щом е успешно, автоматично се извършва превключването обратно. Единственото нещо, на което трябва да обърнете внимание при настройката, е изборът на контролни ресурси. По-добре е да вземете няколко големи сайта, чиято стабилна работа е почти гарантирана.

Допълнителни функции

Контрол на мрежовите приложения

UserGate Proxy & Firewall реализира такава интересна функция като контрол на мрежови приложения. Целта му е да предотврати достъпа на неоторизиран софтуер до интернет. Като част от контролните настройки се създават правила, които позволяват или блокират мрежовата работа на различни програми (със или без версия). Те могат да указват конкретни IP адреси и портове на местоназначение, което ви позволява гъвкаво да конфигурирате софтуерния достъп, позволявайки му да извършва само определени действия в Интернет.

Контролът на приложенията ви позволява да разработите ясна корпоративна политика относно използването на програми и частично да предотвратите разпространението на зловреден софтуер.

След това можете да продължите директно към настройката на прокси сървъри. Общо седем от тях са внедрени в разглежданото решение: за HTTP протоколите (включително HTTPs), FTP, SOCKS, POP3, SMTP, SIP и H323. Това е почти всичко, което може да е необходимо за работата на служителите на компанията в Интернет. По подразбиране само HTTP проксито е активирано, всички останали могат да бъдат активирани, ако е необходимо.

Прокси сървърите в UserGate Proxy & Firewall могат да работят в два режима - нормален и прозрачен. В първия случай говорим за традиционно прокси. Сървърът получава заявки от потребители и ги препраща към външни сървъри и предава получените отговори на клиентите. Това е традиционно решение, но има своите недостатъци. По-специално е необходимо да се конфигурира всяка програма, която се използва за работа в Интернет (интернет браузър, пощенски клиент, ICQ и т.н.) на всеки компютър в локалната мрежа. Това, разбира се, е голяма работа. Освен това периодично, когато се инсталира нов софтуер, той ще се повтаря.

При избора на прозрачен режим се използва специален NAT драйвер, който е включен в пакета за доставка на въпросното решение. Той слуша съответните портове (80-ти за HTTP, 21-ви за FTP и т.н.), открива входящи заявки на тях и ги предава на прокси сървъра, откъдето се изпращат по-нататък. Това решение е по-успешно в смисъл, че софтуерната конфигурация на клиентските машини вече не е необходима. Единственото, което се изисква, е да посочите IP адреса на интернет шлюза като основен шлюз в мрежовата връзка на всички работни станции.

Следващата стъпка е да настроите пренасочване на DNS заявки. Това може да стане по два начина. Най-простият от тях е да активирате така нареченото DNS пренасочване. Когато го използвате, DNS заявките, идващи към интернет шлюза от клиенти, се пренасочват към посочените сървъри (можете да използвате или DNS сървър от настройките за мрежова връзка, или произволни DNS сървъри).

Втората опция е да създадете NAT правило, което ще получава заявки на 53-ия (стандартен за DNS) порт и ще ги препраща към външната мрежа. В този случай обаче ще трябва или ръчно да регистрирате DNS сървъри на всички компютри в настройките на мрежовата връзка, или да конфигурирате изпращане на DNS заявки през интернет шлюза от сървъра на домейн контролера.

Управление на потребители

След като завършите основната настройка, можете да продължите да работите с потребителите. Трябва да започнете, като създадете групи, в които акаунтите впоследствие ще бъдат комбинирани. За какво е? Първо, за последваща интеграция с Active Directory. И второ, можете да задавате правила на групи (ще говорим за тях по-късно), като по този начин контролирате достъпа за голям брой потребители наведнъж.

Следващата стъпка е да добавите потребители към системата. Това може да стане по три различни начина. Първата от тях, ръчното създаване на всеки акаунт, ние дори не разглеждаме по очевидни причини. Тази опция е подходяща само за малки мрежи с малък брой потребители. Вторият начин е да сканирате корпоративната мрежа с ARP заявки, по време на които системата сама определя списъка с възможни акаунти. Ние обаче избираме третия вариант, който е най-оптимален от гледна точка на простота и лекота на администриране - интеграция с Active Directory. Извършва се на базата на предварително създадени групи. Първо трябва да попълните общите настройки за интеграция: посочете домейна, адреса на неговия контролер, потребителското име и паролата на потребителя с необходимите права за достъп до него, както и интервала на синхронизация. След това всяка група, създадена в UserGate, трябва да получи една или повече групи от Active Directory. Всъщност настройката приключва тук. След като запазите всички параметри, синхронизацията ще се извърши автоматично.

Потребителите, създадени по време на оторизация, по подразбиране ще използват NTLM оторизация, тоест оторизация чрез влизане в домейн. Това е много удобна опция, тъй като правилата и системата за отчитане на трафика ще работят независимо на кой компютър седи потребителят в момента.

Вярно е, че за да използвате този метод за оторизация, е необходим допълнителен софтуер - специален клиент. Тази програма работи на ниво Winsock и предава параметри за оторизация на потребителя към интернет шлюза. Неговият комплект за разпространение е включен в пакета за разпространение на UserGate Proxy & Firewall. Можете бързо да инсталирате клиента на всички работни станции, като използвате групови правила на Windows.

Между другото, NTLM разрешението далеч не е единственият метод за разрешаване на служители на компанията да работят в Интернет. Например, ако една организация практикува твърдо обвързване на работници към работни станции, тогава можете да използвате IP адрес, MAC адрес или комбинация от двете, за да идентифицирате потребителите. Използвайки същите методи, можете да организирате достъп до глобалната мрежа на различни сървъри.

Потребителски контрол

Едно от значителните предимства на UGPF е широкият обхват за потребителски контрол. Те се изпълняват с помощта на система от правила за контрол на движението. Принципът на неговата работа е много прост. Администраторът (или друго отговорно лице) създава набор от правила, всяко от които представлява едно или повече условия за задействане и действието, което трябва да се предприеме. Тези правила се присвояват на отделни потребители или цели групи и ви позволяват автоматично да контролирате работата им в Интернет. Има общо четири възможни действия. Първият е да затворите връзката. Позволява например да се забрани изтеглянето на определени файлове, да се предотврати посещението на нежелани сайтове и т.н. Втората стъпка е промяна на тарифата. Използва се в системата за таксуване, която е интегрирана в разглеждания продукт (не го разглеждаме, тъй като не е особено подходящ за корпоративни мрежи). Следващото действие ви позволява да деактивирате броя на трафика, получен в рамките на тази връзка. В този случай предадената информация не се взема предвид при сумиране на дневното, седмичното и месечното потребление. И накрая, последното действие е да ограничите скоростта до определената стойност. Много е удобно да го използвате, за да предотвратите "запушването" на канала при изтегляне на големи файлове и решаване на други подобни проблеми.

В правилата за контрол на движението има много повече условия - около десет. Някои от тях са относително прости, като максималния размер на файла. Това правило ще се задейства, когато потребителите се опитат да качат файл, по-голям от определения размер. Други условия са обвързани с времето. По-специално, сред тях може да се отбележи графикът (задействан по време и дни от седмицата) и празниците (задействан в определени дни).

Най-интересни обаче са условията, свързани със сайтовете и съдържанието. По-специално те могат да се използват за блокиране или задаване на други действия върху определени типове съдържание (например видео, аудио, изпълними файлове, текст, снимки и т.н.), конкретни уеб проекти или цели техни категории (за това Entensys URL Използва се технология за филтриране, вижте страничната лента).

Трябва да се отбележи, че едно правило може да съдържа няколко условия наведнъж. В същото време администраторът може да посочи в какъв случай ще се изпълни - ако са изпълнени всички условия или някое от тях. Това ви позволява да създадете много гъвкава политика за използването на Интернет от служителите на компанията, като вземете предвид голям брой различни нюанси.

Настройка на защитната стена

Неразделна част от драйвера на NAT UserGate е защитна стена, с помощта на която се решават различни задачи, свързани с обработката на мрежовия трафик. За конфигуриране се използват специални правила, които могат да бъдат един от три вида: превод на мрежови адреси, маршрутизиране и защитна стена. В системата може да има произволен брой правила. Те се прилагат в реда, в който са посочени в общия списък. Следователно, ако входящият трафик отговаря на няколко правила, той ще бъде обработен от това, което се намира над останалите.

Всяко правило се характеризира с три основни параметъра. Първият е източникът на трафик. Това може да бъде един или повече конкретни хостове, WAN или LAN интерфейс на интернет шлюза. Вторият параметър е целта на информацията. Тук може да се укаже LAN или WAN интерфейс или комутируема връзка. Последната основна характеристика на правилото е една или повече услуги, за които то се прилага. Услуга в UserGate Proxy & Firewall е двойка от семейство протоколи (TCP, UDP, ICMP, произволен протокол) и мрежов порт (или набор от мрежови портове). По подразбиране системата вече има впечатляващ набор от предварително инсталирани услуги, вариращи от обикновени (HTTP, HTTPs, DNS, ICQ) до специфични (WebMoney, RAdmin, различни онлайн игри и т.н.). Въпреки това, ако е необходимо, администраторът може да създаде свои собствени услуги, например, описвайки работа с онлайн банка.

Освен това всяко правило има действие, което изпълнява с трафика, който отговаря на условията. Има само две от тях: разрешаване или забрана. В първия случай движението преминава свободно по посочения маршрут, а във втория е блокирано.

Правилата за превод на мрежови адреси използват NAT технология. С тяхна помощ можете да конфигурирате достъп до интернет за работни станции с локални адреси. За да направите това, трябва да създадете правило, определящо LAN интерфейса като източник и WAN интерфейса като дестинация. Правилата за маршрутизиране се прилагат, ако въпросното решение ще се използва като рутер между две локални мрежи (реализира такава възможност). В този случай маршрутизирането може да бъде конфигурирано за двупосочен прозрачен трафик.

Правилата на защитната стена се използват за обработка на трафик, който не отива към прокси сървъра, а директно към интернет шлюза. Веднага след инсталирането системата има едно такова правило, което позволява всички мрежови пакети. По принцип, ако създаденият интернет шлюз няма да се използва като работна станция, тогава действието на правилото може да се промени от „Разрешаване“ на „Отказ“. В този случай всяка мрежова активност ще бъде блокирана на компютъра, с изключение на транзитните NAT пакети, предавани от локалната мрежа към Интернет и обратно.

Правилата на защитната стена ви позволяват да публикувате всякакви локални услуги в глобалната мрежа: уеб сървъри, FTP сървъри, пощенски сървъри и т.н. В същото време отдалечените потребители имат възможност да се свързват с тях чрез интернет. Като пример, помислете за публикуване на корпоративен FTP сървър. За да направи това, администраторът трябва да създаде правило, в което да избере „Any“ като източник, да посочи желания WAN интерфейс като дестинация и FTP като услуга. След това изберете действието „Разрешаване“, активирайте превода на трафика и в полето „Адрес на местоназначение“ посочете IP адреса на локалния FTP сървър и неговия мрежов порт.

След тази конфигурация всички входящи връзки към мрежовите карти на интернет шлюза на порт 21 ще бъдат автоматично пренасочени към FTP сървъра. Между другото, по време на процеса на настройка можете да изберете не само „родния“, но и всяка друга услуга (или да създадете своя собствена). В този случай външните потребители ще трябва да се свържат не на 21-ви, а на друг порт. Този подход е много удобен, когато в информационната система има две или повече услуги от един и същи тип. Например, можете да организирате външен достъп до корпоративния портал на стандартния HTTP порт 80 и достъп до уеб статистиката на UserGate на порт 81.

Външният достъп до вътрешния пощенски сървър е конфигуриран по същия начин.

Важна отличителна черта на внедрената защитна стена е системата за предотвратяване на проникване. Той работи напълно автоматично, като открива неразрешени опити въз основа на сигнатури и евристични методи и ги изравнява чрез блокиране на нежелани потоци от трафик или прекъсване на опасни връзки.

Обобщаване

В този преглед разгледахме достатъчно подробно организацията на съвместния достъп на служителите на компанията до Интернет. В съвременните условия това не е най-лесният процес, тъй като трябва да вземете предвид голям брой различни нюанси. Освен това са важни както техническите, така и организационните аспекти, особено контролът на действията на потребителите.

"UserGate Proxy & Firewall v.6 Ръководство на администратора Съдържание Въведение За програмата Системни изисквания Инсталиране на UserGate Proxy & Firewall Регистрация Актуализиране..."

-- [ Страница 1 ] --

Прокси и защитна стена на UserGate v.6

Ръководство на администратора

Въведение

Относно програмата

Системни изисквания

Инсталиране на прокси и защитна стена на UserGate

Регистрация

Актуализиране и премахване

Политика за лицензиране на прокси и защитна стена на UserGate

Административна конзола

Настройка на връзката

Задаване на парола за връзка

Удостоверяване на администратор на UserGate

Задаване на парола за достъп до базата данни със статистически данни на UserGate

Общи настройки за NAT (транслация на мрежови адреси).

Основни настройки

Настройка на интерфейса

Преброяване на трафика в UserGate

Поддръжка на резервен канал

Потребители и групи

Синхронизация с Active Directory

Страница с лична потребителска статистика

Поддръжка на потребител на терминал

Настройване на услуги в UserGate

Конфигуриране на DHCP

Настройка на прокси услуги в UserGate

Поддръжка на IP телефонни протоколи (SIP, H323)

Поддръжка на режим SIP Registrar

Поддръжка на протокол H323

Пощенски проксита в UserGate

Използване на прозрачен режим

Каскадни проксита

Задаване на порт

Настройки на кеша

Антивирусна проверка

Планировчик в UserGate

DNS настройка

Настройка на VPN сървър

Настройване на система за откриване на проникване (IDS)

Задаване на предупреждения

Защитна стена в UserGate

Как работи защитната стена

ME регистрация на събитие

Правила за транслация на мрежови адреси (NAT).

Работа с множество доставчици

Автоматичен избор на изходящ интерфейс

www.usergate.ru

Публикуване на мрежови ресурси

Настройка на правила за филтриране

Поддръжка на маршрутизиране

Ограничение на скоростта в UserGate

Контрол на приложението

Cache Explorer в UserGate

Управление на трафика в UserGate

Система за правила за движение

Ограничаване на достъпа до интернет ресурси

Entensys URL филтриране

Задаване на ограничение за потребление на трафик

Ограничение за размера на файла

Филтриране по тип съдържание

Система за таксуване

Таксуване за достъп до Интернет

Периодични събития

Динамично превключване на тарифи

Отдалечено администриране UserGate

Настройка на отдалечена връзка

Отдалечено рестартиране на сървъра на UserGate

Проверка на наличността на нова версия

UserGate уеб статистика

Оценка на ефективността на правилата за контрол на движението

Оценка на ефективността на антивирусната програма

Статистика за използване на SIP

Приложение

Контрол на целостта на UserGate

Проверка при стартиране

Извеждане на информация за отстраняване на грешки

Получаване на техническа поддръжка

www.usergate.ru

Въведение Прокси сървърът е набор от програми, които действат като посредник (от англ. "proxy" - "посредник") между потребителските работни станции и други мрежови услуги.

Решението предава всички потребителски заявки в Интернет и след като получи отговор, го изпраща обратно. Ако функцията за кеширане е налична, прокси сървърът запомня работните станции, които имат достъп до външни ресурси, и ако заявката се повтори, той връща ресурса от собствената си памет, което значително намалява времето за заявка.

В някои случаи клиентска заявка или отговор на сървъра може да бъде променен или блокиран от прокси сървър за изпълнение на определени задачи, като например предотвратяване на вируси от заразяване на работни станции.

За UserGate Proxy & Firewall е цялостно решение за свързване на потребители към Интернет, осигуряващо пълно отчитане на трафика, контрол на достъпа и вградена мрежова защита.

UserGate ви позволява да таксувате достъпа на потребителите до интернет, както по трафик, така и по време на мрежата. Администраторът може да добавя различни тарифни планове, динамично да превключва тарифи, да автоматизира тегленето / натрупването на средства и да регулира достъпа до интернет ресурси. Вградената защитна стена и антивирусен модул ви позволяват да защитите сървъра на UserGate и да проверите преминаващия през него трафик за злонамерен код. Можете да използвате вградения VPN сървър и клиент за сигурно свързване към мрежата на вашата организация.

UserGate се състои от няколко части: сървър, административна конзола (UserGateAdministrator) и няколко допълнителни модула. Сървърът UserGate (процесът usergate.exe) е основната част от прокси сървъра, който изпълнява цялата му функционалност.

Сървърът UserGate осигурява достъп до интернет, извършва преброяване на трафика, поддържа статистика за активността на потребителите в мрежата и изпълнява много други задачи.

Административната конзола на UserGate е програма, предназначена да управлява сървъра на UserGate. Административната конзола на UserGate комуникира със сървърната част чрез специален защитен протокол през TCP/IP, което позволява отдалечено администриране на сървъра.

UserGate включва три допълнителни модула: "Web Statistics", "Authorization Client" и модул "Application Control".

www.entensys.ru

Системни изисквания UserGate Server се препоръчва да се инсталира на компютър с операционна система Windows XP/2003/7/8/2008/2008R2/2012, свързан към интернет чрез модем или друга връзка. Хардуерни изисквания на сървъра:

–  –  –

Инсталиране на прокси и защитна стена на UserGate Процедурата за инсталиране на UserGate се свежда до стартиране на инсталационния файл и избор на опциите на съветника за инсталиране. Когато инсталирате решението за първи път, достатъчно е да оставите опциите по подразбиране. След като инсталацията приключи, ще трябва да рестартирате компютъра си.

Регистрация За да регистрирате програмата, стартирайте сървъра на UserGate, свържете административната конзола към сървъра и изберете елемента от менюто "Помощ" - "Регистриране на продукт". Когато свържете административната конзола за първи път, ще се появи диалогов прозорец за регистрация с две налични опции: заявка за демо ключ и заявка за пълнофункционален ключ. Заявката за ключ се извършва онлайн (HTTPS протокол), чрез достъп до уебсайта usergate.ru.

Когато заявите пълнофункционален ключ, трябва да въведете специален ПИН код, който се издава при покупка от UserGate Proxy & Firewall или от услугата за поддръжка за тестване. Освен това, когато се регистрирате, ще трябва да въведете допълнителна лична информация (потребителско име, имейл адрес, държава, регион). Личните данни се използват единствено за обвързване на лиценза с потребителя и не се разпространяват по никакъв начин. След получаване на пълния или демо ключ, сървърът на UserGate автоматично ще се рестартира.

www.usergate.ru

важно! В демо режим сървърът UserGate Proxy & Firewall ще работи 30 дни. Когато се свържете с Entensys, можете да поискате специален ПИН код за разширено тестване. Например, можете да поискате демо ключ за три месеца. Не е възможно повторно получаване на пробен лиценз без въвеждане на специален разширен ПИН код.

важно! Когато UserGate Proxy & Firewall работи, състоянието на регистрационния ключ се проверява периодично. За правилната работа на UserGate е необходимо да разрешите достъп до интернет чрез HTTPS протокола. Това е необходимо, за да проверите състоянието на ключа онлайн. Ако проверката на ключа е неуспешна три пъти, лицензът за прокси сървъра ще бъде нулиран и ще се появи диалоговият прозорец за регистрация на програмата. Програмата реализира брояч за максимален брой активации, който е 10 пъти. След превишаване на този лимит ще можете да активирате продукта с вашия ключ само след като се свържете с услугата за поддръжка на адрес: http://entensys.ru/support.

Надграждане и деинсталиране Новата версия на UserGate Proxy & Firewall v.6 може да се инсталира върху предишни версии на петата фамилия. В този случай съветникът за инсталиране ще предложи да запишете или презапишете файла с настройки на сървъра config.cfg и файла със статистика log.mdb. И двата файла се намират в директорията, в която е инсталиран UserGate (наричана по-долу „%UserGate%“). Сървърът на UserGate v.6 поддържа формата на настройките на UserGate v.4,5, така че когато сървърът се стартира за първи път, настройките автоматично ще бъдат прехвърлени в новия формат.

Обратната съвместимост на настройките не се поддържа.

внимание! За статистическия файл се поддържа само прехвърлянето на текущи потребителски баланси, самата статистика за трафика няма да бъде прехвърлена.

Промените в базата данни са причинени от проблеми с производителността на старата и ограничения за нейния размер. Новата база данни Firebird няма тези недостатъци.

Деинсталирането на сървъра UserGate се извършва чрез съответния елемент от менюто "Старт" Програми или чрез елемента Добавяне/Премахване на програми (Програми и функции в Windows 7/2008/2012) в контролния панел на Windows. След деинсталиране на UserGate някои файлове ще останат в инсталационната директория на програмата, освен ако не е зададена опцията за изтриване на всички.

Политика за лицензиране на прокси и защитна стена на UserGate Сървърът на UserGate е проектиран да предоставя достъп до интернет на потребителите на LAN. Максималният брой потребители, които могат едновременно да работят в Интернет чрез UserGate, се обозначава с броя на "сесиите" и се определя от регистрационния ключ.

Регистрационният ключ на UserGate v.6 е уникален и не съответства на предишните версии на UserGate. В демо периода решението работи 30 дни с лимит от пет сесии. Концепцията за "сесия" не трябва да се бърка с броя на интернет приложенията или връзките, които потребителят стартира. Броят на връзките от един потребител може да бъде всякакъв, освен ако не е специално ограничен.

www.usergate.ru

Антивирусните модули, вградени в UserGate (от Kaspersky Lab, Panda Security и Avira), както и модулът Entensys URL Filtering, се лицензират отделно. В демо версията на UserGate вградените модули могат да работят 30 дни.

Модулът Entensys URL Filtering, предназначен за работа с категории сайтове, предоставя възможност за работа в демо режим за период от 30 дни. При закупуване на UserGate Proxy & Firewall с филтриращ модул, лицензът Entensys URL Filtering е валиден за една година. Когато абонаментът изтече, филтрирането на ресурси през модула ще спре.

www.usergate.ru

Административна конзола Административната конзола е приложение, предназначено да управлява локален или отдалечен сървър на UserGate. За да използвате административната конзола, трябва да стартирате сървъра на UserGate, като изберете елемента Стартиране на сървъра на UserGate в контекстното меню на агента на UserGate (иконата в системната област, по-нататък

- "агент"). Можете да стартирате конзолата за администриране чрез контекстното меню на агента или чрез елемента от менюто Стартиране на програми, ако конзолата за администриране е инсталирана на друг компютър. За да работите с настройките, трябва да свържете административната конзола към сървъра.

Обменът на данни между административната конзола и сървъра на UserGate се извършва чрез SSL протокол. Когато връзката е инициализирана (SSLHandshake), се извършва еднопосочна автентификация, по време на която сървърът на UserGate изпраща сертификата си към административната конзола, намираща се в директорията %UserGate%\ssl. За връзка не се изисква сертификат или парола от страна на административната конзола.

Конфигуриране на връзки При първото стартиране административната конзола се отваря към страницата Връзки, която има една единствена връзка към сървъра на локалния хост за администраторския потребител. Паролата за връзка не е зададена. Можете да свържете административната конзола към сървъра, като щракнете двукратно върху реда localhost-administrator или като щракнете върху бутона Свързване на контролния панел. Можете да създадете множество връзки в административната конзола на UserGate. Настройките за връзка включват следните опции:

Името на сървъра е името на връзката;

Потребителско име - вход за връзка със сървъра;

Адрес на сървъра – име на домейн или IP адрес на сървъра на UserGate;

Порт – TCP порт, използван за свързване към сървъра (порт 2345 се използва по подразбиране);

Парола – парола за връзка;

Искане на парола при свързване – тази опция ви позволява да извеждате диалогов прозорец за въвеждане на потребителско име и парола при свързване към сървъра;

Автоматично свързване с този сървър – административната конзола автоматично ще се свърже с този сървър при стартиране.

Настройките на административната конзола се съхраняват във файла console.xml, който се намира в директорията %UserGate%\Administrator\. От страната на сървъра на UserGate, потребителското име и md5 хешът на паролата за връзка се съхраняват във файла config.cfg, разположен в директорията %UserGate_data, където %UserGate_data% е папката за Windows XP - (C:\Documents and Settings\ All www.usergate.ru Users\Application Data\Entensys\UserGate6), за папка Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Задаване на парола за връзка Можете да създадете потребителско име и парола за свържете се със сървъра на UserGate на страницата с общи настройки в секцията с настройки на администратора. В същия раздел можете да посочите TCP порта за свързване към сървъра. За да влязат в сила новите настройки, трябва да рестартирате сървъра на UserGate (елементът Рестартиране на сървъра на UserGate в менюто на агента). След рестартиране на сървъра новите настройки трябва да бъдат посочени и в настройките за връзка в административната конзола. В противен случай администраторът няма да може да се свърже със сървъра.

внимание! За да избегнете проблеми с функционалността на административната конзола на UserGate, не се препоръчва да променяте тези настройки!

Удостоверяване на администратора на UserGate За да свържете успешно административната конзола към сървъра на UserGate, администраторът трябва да премине процедурата за удостоверяване от страната на сървъра.

Удостоверяването на администратор се извършва след установяване на SSL връзка на административната конзола към сървъра на UserGate. Конзолата изпраща данните за вход и md5 хеша на администраторската парола на сървъра. Сървърът на UserGate сравнява получените данни с това, което е посочено във файла с настройки config.cfg.

Удостоверяването се счита за успешно, ако данните, получени от административната конзола, съответстват на зададените в настройките на сървъра. Ако удостоверяването е неуспешно, сървърът на UserGate прекъсва SSL връзката с административната конзола. Резултатът от процедурата за удостоверяване се регистрира във файла usergate.log, който се намира в директорията %UserGate_data%\logging\.

Задаване на парола за достъп до статистическата база данни на UserGate Потребителска статистика - трафик, посетени ресурси и др.

се записват от сървъра на UserGate в специална база данни. Достъпът до базата данни се осъществява директно (за вградената база данни Firebird) или чрез ODBC драйвера, което позволява на сървъра UserGate да работи с бази данни от почти всеки формат (MSAccess, MSSQL, MySQL). По подразбиране се използва базата данни на Firebird - %UserGate_data%\usergate.fdb. Логин и парола за достъп до базата данни - SYSDBA\masterkey. Можете да зададете различна парола чрез елемента Общи настройки Настройки на базата данни на административната конзола.

Общи настройки на NAT (превод на мрежови адреси) Елементът Общи настройки на NAT ви позволява да зададете стойността на изчакване за NAT връзки чрез TCP, UDP или ICMP протоколи. Стойността на изчакване определя живота на потребителска връзка чрез NAT, когато прехвърлянето на данни през връзката приключи. Опцията Изходни журнали за отстраняване на грешки е предназначена за отстраняване на грешки и позволява, ако е необходимо, да активирате режима на разширено регистриране на съобщения в драйвера NAT UserGate.

Детекторът за атака е специална опция, която ви позволява да използвате вътрешния механизъм за наблюдение и блокиране на скенера за портове или опитите на www.usergate.ru да завземат всички портове на сървъра. Този модул работи в автоматичен режим, събитията ще се записват във файла %UserGate_data%\logging\fw.log.

внимание! Настройките на този модул могат да се променят чрез конфигурационния файл config.cfg, раздел опции.

Общи настройки Block by browser string - списък с браузъри на User-Agent, които могат да бъдат блокирани от прокси сървъра. Тези. можете например да попречите на стари браузъри като IE 6.0 или Firefox 3.x да имат достъп до интернет.

www.usergate.ru Конфигуриране на интерфейси Разделът "Интерфейси" (фиг. 1) е основният в настройките на сървъра на UserGate, тъй като той определя неща като коректността на преброяването на трафика, възможността за създаване на правила за защитна стена, ограничаване на ширината на интернет канал за определен тип трафик, установяване на връзки между мрежите и реда, в който пакетите се обработват от NAT (Network Address Translation) драйвера.

Фигура 1. Конфигуриране на сървърни интерфейси Разделът Интерфейси изброява всички налични мрежови интерфейси на сървъра, на който е инсталиран UserGate, включително Dial-Up (VPN, PPPoE) връзки.

За всеки мрежов адаптер администраторът на UserGate трябва да посочи неговия тип. Така че за адаптер, свързан към интернет, трябва да изберете типа WAN, за адаптер, свързан към локална мрежа, изберете типа LAN.

Не можете да промените типа Dial-Up (VPN, PPPoE) връзка. За такива връзки сървърът на UserGate автоматично ще зададе типа PPP интерфейс.

Можете да зададете потребителско име и парола за Dial-Up (VPN) връзка, като щракнете двукратно върху съответния интерфейс. Интерфейсът в горната част на списъка е основната интернет връзка.

Преброяване на трафика в UserGate Трафикът, преминаващ през сървъра на UserGate, се записва на потребителя на локалната мрежа, който е инициатор на връзката, или на сървъра www.usergate.ru UserGate, ако сървърът е инициатор на връзката. Специален потребител е предвиден за сървърния трафик в статистиката на UserGate - UserGate Server. Акаунтът на потребителя на UserGate Server се кредитира с трафика за актуализиране на антивирусни бази данни за вградените модули на Kaspersky Lab, Panda Security, Avira, както и трафик за разрешаване на имена чрез DNS пренасочване.

Трафикът се взема предвид изцяло, заедно със заглавките на услугите.

Освен това е добавена възможността да се вземат предвид Ethernet заглавките.

Ако типовете сървърни мрежови адаптери (LAN или WAN) са посочени правилно, трафикът в посока "локална мрежа - сървър на UserGate" (например достъп до споделени мрежови ресурси на сървъра) не се взема предвид.

важно! Наличието на програми на трети страни - защитни стени или антивируси (с функция за проверка на трафика) - може значително да повлияе на правилното изчисляване на трафика в UserGate. Не се препоръчва да инсталирате мрежови програми на трети страни на компютър с UserGate!

Поддръжка на резервен канал Страницата с интерфейси съдържа настройката на резервния канал. Като щракнете върху бутона Setup Wizard, можете да изберете интерфейса, който ще се използва като резервен канал. Втората страница включва селекция от хостове, които ще бъдат проверени от прокси сървър за интернет свързаност. На посочения интервал решението ще проверява наличността на тези хостове с ICMP Echo-заявка. Ако се върне отговор от поне един даден хост, връзката се счита за активна. Ако не се получи отговор от нито един хост, тогава връзката ще се счита за неактивна и главният шлюз в системата ще се промени на шлюза на резервния канал. Ако в същото време NAT правилата са създадени със специален интерфейс Masquerade, посочен като външен интерфейс, тогава такива правила ще бъдат пресъздадени в съответствие с текущата таблица за маршрутизиране. Създадените NAT правила ще започнат да работят през резервния канал.

Фигура 2. Помощник за конфигуриране на резервен канал www.

usergate.ru Като резервна връзка сървърът на UserGate може да използва както Ethernet връзка (отделен канал, WAN интерфейс), така и Dial-Up (VPN, PPPoE) връзка (PPP интерфейс). След превключване към резервната интернет връзка, сървърът на UserGate периодично ще проверява наличността на основния канал. Ако работата му бъде възстановена, програмата ще превключи потребителите към основната интернет връзка.

www.usergate.ru

Потребители и групи За да осигурите достъп до интернет, трябва да създадете потребители в UserGate. За удобство на администрирането, потребителите могат да бъдат комбинирани в групи по територия или по ниво на достъп. Логично, най-правилно е потребителите да се комбинират в групи според нивата на достъп, тъй като в този случай е много по-лесно да се работи с правилата за контрол на трафика. По подразбиране UserGate има само една група - по подразбиране.

Можете да създадете нов потребител чрез елемента Добавяне на нов потребител или като щракнете върху бутона Добавяне в контролния панел на страницата Потребители и групи. Има и друг начин за добавяне на потребители - сканиране на мрежата с ARP заявки. Трябва да щракнете върху празно място в административната конзола на потребителската страница и да изберете Сканиране на локалната мрежа. След това задайте параметрите на локалната мрежа и изчакайте резултатите от сканирането. В резултат на това ще видите списък с потребители, които могат да бъдат добавени към UserGate. Задължителните потребителски параметри (фиг. 3) са името, типът на оторизацията, параметърът за оторизация (IP адрес, потребителско име и парола и др.), група и тарифа. По подразбиране всички потребители принадлежат към групата по подразбиране. Потребителското име в UserGate трябва да е уникално. Освен това в свойствата на потребителя можете да определите нивото на потребителски достъп до уеб статистика, да зададете вътрешния телефонен номер за H323, да ограничите броя на връзките за потребителя, да активирате NAT правила, правила за контрол на трафика или правила за контрол на приложения модул.

Фигура 3. Потребителски профил в UserGate Потребител в UserGate наследява всички свойства на групата, към която принадлежи, с изключение на тарифата, която може да бъде заменена.

Тарифата, посочена в свойствата на потребителя, ще се прилага за тарифирането на всички потребителски връзки. Ако достъпът до интернет не се таксува, можете да използвате празна тарифа, наречена „по подразбиране“.

www.usergate.ru

Синхронизиране с Active Directory Потребителските групи в UserGate могат да се синхронизират с групите на Active Directory. За да използвате синхронизация с Active Directory, машина с UserGate Proxy & Firewall не трябва да е член на домейн.

Синхронизацията се настройва в две стъпки. На първия етап на страницата "Групи" на администраторската конзола на UserGate (фиг. 4) активирайте опцията Синхронизация с AD и задайте следните параметри:

име на домейн IP адрес на домейн контролера вход и парола за достъп до Active Directory (потребителско име в UPN – форматът на основното потребителско име е разрешен) период на синхронизация (в секунди) опция "синхронизиране на групи с AD" и избор на една или повече групи от Active Directory .

По време на синхронизиране, потребителите от Active Directory, принадлежащи към избраните групи на Active Directory, ще се впишат в групите на UserGate. Типът оторизация за импортираните потребители ще бъде „HTTP Imported User State (NTLM)“.

(активирано/деактивирано) се контролира от състоянието на съответния акаунт в домейна на Active Directory.

www.usergate.ru Фигура 4. Настройка на синхронизация с Active Directory Важно! За синхронизация трябва да осигурите преминаването на LDAP протокола между сървъра на UserGate и домейн контролера.

www.usergate.ru Страница с лична статистика на потребителя Всеки потребител в UserGate има възможност да види страницата със статистика. Страницата с лична статистика може да бъде достъпна на http://192.168.0.1:8080/statistics.html, където например 192.168.0.1 е локалният адрес на машината UserGate, а 8080 е портът, на който е HTTP прокси сървърът работи. usergate. Потребителят може да види личната си разширена статистика, като влезе в - http://192.168.0.1:8081.

внимание! Във версия 6.x беше добавен интерфейсът за слушане 127.0.0.1:8080, който е необходим, за да работи уеб статистиката, когато HTTP прокси сървърът на UserGate е деактивиран. В тази връзка, порт 8080 на интерфейс 127.0.0.1 винаги ще бъде зает от UserGate Proxy & Firewall, докато процесът usergate.exe работи

По IP адрес По IP обхват По IP+MAC адрес По MAC адрес Упълномощаване чрез HTTP (HTTP-основен, NTLM) Упълномощаване чрез потребителско име и парола (Клиент за упълномощаване) Опростена версия на оторизация чрез Active Directory За да използвате последните три метода за оторизация, специален приложението трябва да бъде инсталирано на работната станция на потребителя - клиентът за оторизация на UserGate. Съответният MSI пакет (AuthClientInstall.msi) се намира в директорията %UserGate%\tools и може да се използва за автоматично инсталиране на групова политика в Active Directory.

Административният шаблон за инсталиране на клиента за оторизация чрез групови правила на Active Directory също се намира в директорията %UserGate%\tools. На сайта http://usergate.ru/support има видео инструкция за внедряване на клиента за оторизация чрез групова политика.

Ако сървърът UserGate е инсталиран на компютър, който не е включен в домейна на Active Directory, се препоръчва да използвате опростена опция за оторизация чрез Active Directory. В този случай сървърът на UserGate ще сравни данните за влизане и името на домейна, получени от клиента за оторизация, със съответните полета, посочени в потребителския профил, без да се свързва с домейн контролера.

Поддръжка за потребители на терминали За упълномощаване на потребители на терминали в прокси сървъра на UserGate, започвайки от версия 6.5, беше добавен специален софтуерен модул, наречен „Агент за оторизация на терминал“. Комплектът за разпространение на програмата Terminal Agent се намира в папката %UserGate%\tools и се нарича TerminalServerAgent*.msi. За 32-битови системи трябва да вземете версията „TerminalServerAgent32.msi“, а за 64-битови системи, TerminalServerAgent64.msi“. Програмата е агент, който периодично, веднъж на всеки 90 секунди, изпраща информация за оторизация за всички клиенти на терминалния сървър към прокси сървъра и драйвер, който осигурява подправяне на порт за всеки терминален клиент. Комбинацията от потребителската информация и портовете, свързани с потребителя, позволява на прокси сървъра точно да идентифицира потребителите на терминалния сървър и да прилага към тях различни политики за контрол на трафика.

Когато инсталирате терминален агент, ще бъдете помолени да посочите IP адреса на прокси сървъра и броя на потребителите. Това е необходимо за оптимално използване на свободните TCP\UDP портове на терминалния сървър.

www.usergate.ru

След като инсталира агента на терминалния сървър, той прави заявка към прокси сървъра и ако всичко върви добре, на сървъра се създават трима потребители с оторизация „AD login-password“ и „NT AUTHORIY\*“ логин.

Ако имате такива потребители в конзолата, тогава вашият терминален агент е готов за работа.

Първият начин (синхронизация с домейна на Active Directory):

В администраторската конзола, на страницата на потребителските групи в свойствата на опцията "синхронизация с AD", трябва да посочите правилните параметри за оторизация с AD.

След това трябва да създадете нова потребителска група и да посочите в нея коя потребителска група в AD да се синхронизира с текущата група в прокси сървъра. След това вашите потребители ще бъдат добавени към тази локална потребителска група на UserGate Proxy. Това завършва настройката на прокси сървъра. След това трябва да влезете като потребител на AD в терминалния сървър и той автоматично ще бъде упълномощен на прокси сървъра, без да е необходимо да въвеждате потребителско име и парола. Потребителите на терминален сървър могат да се управляват като нормални потребители на прокси сървър с оторизация по IP адрес. Тези. те могат да прилагат различни NAT правила и/или правила за контрол на трафика.

Вторият начин (импортиране на потребители от домейн на Active Directory):

Използвайте "импортиране" на потребители от AD, което се конфигурира на страницата с потребители, като щракнете върху съответния бутон - "импортиране", в интерфейса на администраторската конзола на UserGate.

Трябва да импортирате потребители от AD в конкретна локална група на прокси сървъра. След това всички импортирани потребители, които ще поискат достъп до интернет от терминалния сървър, ще имат достъп до интернет с правата, определени на прокси сървъра на UserGate.

Третият начин (използване на акаунти на локален терминален сървър):

Този метод е удобен за тестване на работата на терминален агент или за случаи, когато терминалният сървър не се намира в домейн на Active Directory. В този случай трябва да създадете нов потребител с тип оторизация Login domain-AD" и да посочите името на компютъра на терминалния сървър като "адрес на домейна" и името на потребителя, който ще влезе в терминала Всички потребители, които ще бъдат създадени на прокси сървъра, ще имат достъп до интернет от терминалния сървър с правата, дефинирани на прокси сървъра на UserGate.

Трябва да се разбере, че има някои ограничения на терминалния агент:

Протоколи, различни от TCP\UDP, не могат да бъдат предавани от терминалния сървър към Интернет. Например, няма да е възможно да стартирате PING от този сървър навсякъде в Интернет чрез NAT.

www.usergate.ru Максималният брой потребители на терминален сървър не може да надвишава 220, като на всеки потребител ще бъдат разпределени не повече от 200 порта за TCP\UDP протоколи.

При рестартиране на прокси сървъра на UserGate, терминалният агент няма да пусне никого в интернет до първата синхронизация с прокси сървъра на UserGate (до 90 секунди).

HTTP авторизация при работа през прозрачен прокси UserGate v.6 добавя възможност за HTTP авторизация за прокси сървър, работещ в прозрачен режим. Ако браузърът на работната станция на потребителя не е конфигуриран да използва прокси сървър и HTTP проксито в UserGate е активирано в прозрачен режим, тогава заявката от неупълномощен потребител ще бъде пренасочена към страницата за оторизация, която изисква да посочите вход и парола.

След упълномощаване тази страница не е необходимо да се затваря. Страницата за оторизация се актуализира периодично чрез специален скрипт, поддържайки потребителската сесия активна. В този режим потребителят ще има достъп до всички услуги на UserGate, включително способността да работи през NAT. За да прекратите потребителската сесия, трябва да щракнете върху Изход на страницата за оторизация или просто да затворите раздела за оторизация. и след 30-60 секунди разрешението на прокси сървъра ще изчезне.

позволява на пакетите NetBIOSNameRequest (UDP:137) да преминават между сървъра на UserGate и контролера на домейна гарантира, че пакетите NetBIOSSessionRequest (TCP:139) преминават между сървъра на UserGate и контролера на домейна задайте адреса и порта на HTTP проксито на UserGate в браузъра на машината на потребителя Важно! За да използвате NTLM оторизация, машина с инсталиран UserGate може да не е член на домейн на Active Directory.

Използване на клиента за оторизация Клиентът за оторизация на UserGate е мрежово приложение, работещо на ниво Winsock, което се свързва към сървъра на UserGate на конкретен UDP порт (порт 5456 се използва по подразбиране) и предава параметри за оторизация на потребителя: тип оторизация, потребителско име, парола и т.н. .

www.usergate.ru

При първото стартиране клиентът за оторизация на UserGate търси в клона HKCU\Software\Policies\Entensys\Authclient на системния регистър. Тук можете да намерите настройките, получени чрез груповата политика на домейна на Active Directory. Ако настройките в системния регистър не бъдат намерени, адресът на сървъра на UserGate ще трябва да бъде зададен ръчно в третия раздел отгоре в клиента за оторизация. След като посочите адреса на сървъра, щракнете върху бутона Приложи и отидете на втория раздел. Тази страница определя параметрите за оторизация на потребителя. Настройките на клиента за оторизация се съхраняват в ключа HKCU\Software\Entensys\Authclient в системния регистър. Регистърът на клиентската услуга за оторизация се съхранява в папката Documents and Settings\%USER%\Application data\UserGate Client.

Освен това в клиента за оторизация е добавена връзка към страницата с лична статистика на потребителя. Можете да промените външния вид на клиента за оторизация, като редактирате съответния шаблон под формата на *.xml файл, намиращ се в директорията, където е инсталиран клиентът.

www.usergate.ru

Конфигуриране на услуги в UserGate Конфигуриране на DHCP Услугата позволява на DHCP (Dynamic Host Configuration Protocol) да автоматизира процеса на издаване на мрежови настройки на клиенти в локалната мрежа. В мрежа с DHCP сървър на всяко мрежово устройство може да бъде присвоен динамично IP адрес, адрес на шлюз, DNS, WINS сървър и т.н.

Можете да активирате DHCP сървъра чрез интерфейса за добавяне на DHCP сървър в секцията Услуги в административната конзола на UserGate или като щракнете върху бутона Добавяне в контролния панел. В диалоговия прозорец, който се появява, изберете мрежовия интерфейс, на който ще работи DHCP сървърът. В минималната конфигурация за DHCP сървъра е достатъчно да зададете следните параметри: диапазон от IP адреси (адресен пул), от който сървърът ще издава адреси на клиенти в локалната мрежа; мрежова маска и време за наем.

Максималният размер на пула в UserGate не може да надвишава 4000 адреса. Ако е необходимо, един или повече IP адреси могат да бъдат изключени от избрания пул адреси (бутон Изключения). Можете да зададете постоянен IP адрес на конкретно устройство в мрежата, като създадете подходящо обвързване в секцията Резервации. Постоянността на IP адреса при подновяване или получаване на лизинг се осигурява чрез обвързване (Резервация) с MAC адреса на мрежовото устройство. За да създадете обвързване, просто трябва да посочите IP адреса на устройството.

MAC адресът ще бъде определен автоматично, като щракнете върху съответния бутон.

Фигура 6. Конфигуриране на DHCP сървъра на UserGate

DHCP сървърът в UserGate поддържа импортиране на настройки на Windows DHCP сървър. Настройките на Windows DHCP трябва първо да бъдат запазени във файл. За да направите това, на сървъра, където е инсталиран Windows DHCP, стартирайте режима на командния ред (Start Run, въведете cmd и натиснете Enter) и в прозореца, който се появява, изпълнете командата: netsh dhcp server IP dump име на файл, където IP е IP адрес на вашия DHCP сървър. Импортиране на настройки

www.usergate.ru

от файла се извършва чрез съответния бутон на първата страница на съветника за конфигуриране на DHCP сървър.

Издадените IP адреси се показват в долната половина на прозореца на административната конзола (Фигура 8) заедно с информация за клиента (име на компютъра, MAC адрес), начален и краен час на лизинга. Като изберете издадения IP адрес, можете да добавите потребител към UserGate, да създадете обвързване по MAC адрес или да освободите IP адрес.

Фигура 7. Изтриване на издадени адреси

Освободеният IP адрес ще бъде поставен в пула от свободни адреси на DHCP сървъра след известно време. Може да се наложи операция по освобождаване на IP адрес, ако компютърът, който преди това е поискал адрес от DHCP сървъра на UserGate, вече не присъства в мрежата или е променил своя MAC адрес.

DHCP сървърът има способността да отговаря на клиентски заявки, когато изисква файла "wpad.dat". Използвайки този метод, за да получите настройките на прокси сървъра, трябва да редактирате файла с шаблона, който се намира в папката "C:\program files\entensys\usergate6\wwwroot\wpad.dat".

Повече информация за този метод за получаване на прокси настройки е описана в Wikipedia.

Конфигуриране на прокси услуги в UserGate Следните прокси сървъри са интегрирани в сървъра на UserGate: HTTP (с поддръжка на режим „FTP през HTTP“ и HTTPS, - метод на свързване), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройките на прокси сървъра www.usergate.ru са достъпни в секцията Услуги Настройки на прокси в административната конзола. Основните настройки на прокси сървъра включват:

интерфейс (фиг. 9) и номера на порта, на който работи проксито.

Фигура 8. Основни настройки на прокси сървър По подразбиране UserGate включва само HTTP прокси, който слуша TCP порт 8080 на всички налични мрежови интерфейси на сървъра.

За да конфигурирате браузъра на клиента да работи чрез прокси сървър, достатъчно е да посочите адреса и порта на прокси сървъра в съответния елемент за настройки. В Internet Explorer настройките за прокси сървър се задават в менюто Инструменти Опции за интернет връзка LAN настройки. Когато работите през HTTP прокси, не е необходимо да указвате шлюза и DNS в свойствата на TCP / IP мрежовата връзка на работната станция на потребителя, тъй като самият HTTP прокси ще разреши имената.

За всеки прокси сървър е наличен каскаден режим към прокси сървър нагоре по веригата.

важно! Портът, посочен в настройките на прокси сървъра, се отваря автоматично в защитната стена на UserGate. Следователно, от гледна точка на сигурността, се препоръчва в настройките на прокси сървъра да се посочат само интерфейсите на локалната мрежа на сървъра.

важно! За повече информация относно настройките на различни браузъри за прокси сървър вижте специална статия в базата знания на Entensys.

Поддръжка на протоколи за IP телефония (SIP, H323) UserGate внедрява прокси функцията на SIP регистратора със състояние. SIP проксито е активирано в секцията Услуги Настройки на прокси и винаги работи в прозрачен режим, слушайки портове 5060 TCP и 5060 UDP. Когато използвате включен SIP прокси

www.usergate.ru

Страницата Сесии на административната конзола показва информация за състоянието на активната връзка (регистрация, звънене, изчакване и др.), както и информация за потребителското име (или номер), продължителността на разговора и броя на предадените/приетите байтове. Тази информация също ще бъде записана в базата данни със статистически данни на UserGate.

За да използвате SIP проксито на UserGate в свойствата на TCP/IP на работната станция на потребителя, трябва да посочите IP адреса на сървъра на UserGate като шлюз по подразбиране и не забравяйте да посочите адреса на DNS сървъра.

Нека да илюстрираме конфигурацията на клиентската част, използвайки софтуерния телефон SJPhone и доставчика на Sipnet като пример. Стартирайте SJPhone, изберете Опции от контекстното меню и създайте нов профил. Въведете името на профила (фиг. 10), например sipnet.ru. Задайте типа профил на Повикване чрез SIP-прокси.

Фигура 9. Създаване на нов профил в SJPhone В диалоговия прозорец Опции на профила трябва да посочите адреса на прокси сървъра на вашия VoIP доставчик.

Когато затворите диалоговия прозорец, ще трябва да въведете данни за авторизация на сървъра на вашия VoIP доставчик (потребителско име и парола).

Фигура 10. Настройки на профила на SJPhone www.usergate.ru Внимание! Ако, когато активирате SIP проксито, вашият гласов трафик не преминава в едната или другата посока, тогава трябва или да използвате STUN прокси сървър, или да пуснете трафик през NAT на всички портове (ANY:FULL) за необходимите потребители. Ако активирате NAT правилото на всички портове, SIP прокси сървърът ще трябва да бъде деактивиран!

Поддръжка за режим SIP Registrar Функцията SIP Registrar позволява използването на UserGate като софтуерна PBX (автоматична телефонна централа) за локална мрежа.

Функцията SIP Registrar работи едновременно с функцията SIP Proxy. За да авторизирате на UserGate SIP Registrar в настройките на SIP UAC (клиент на потребителски агент), трябва да посочите:

Адрес на UserGate като адрес на SIP сървър UserGate потребителско име (без интервали) всяка парола Поддръжка на протокол H323 Поддръжката на протокол H323 позволява използването на сървъра на UserGate като H323 Gatekeeper. Настройките на прокси сървъра H323 определят интерфейса, на който сървърът ще слуша за клиентски заявки, номера на порта и адреса и порта на шлюза H323. За да се упълномощи на UserGate Gatekeeper, потребителят трябва да посочи вход (потребителско име в UserGate), парола (всяка) и телефонен номер, посочени в потребителския профил в UserGate.

важно! Ако UserGate GateKeeper получи обаждане до H323 номер, който не принадлежи на нито един от оторизираните потребители на UserGate, обаждането ще бъде пренасочено към H323 gateway. Обажданията към шлюза H323 се извършват в режим CallModel: Direct.

Пощенски проксита в UserGate Пощенските проксита в UserGate са проектирани да работят с POP3 и SMTP протоколи и за антивирусно сканиране на пощенския трафик.

При използване на прозрачен POP3 режим и SMTP прокси, настройката на мейл клиента на работната станция на потребителя е същата като настройките, съответстващи на опцията с директен достъп до Интернет.

Ако проксито на UserGate POP3 се използва в непрозрачен режим, тогава в настройките на пощенския клиент на работната станция на потребителя IP адресът на компютъра на UserGate и портът, съответстващ на проксито на UserGate POP3, трябва да бъдат посочени като адрес на POP3 сървъра . В допълнение, данните за влизане за оторизация на отдалечения POP3 сървър се посочват в следния формат:

имейл_адрес@POP3_сървърен_адрес. Например, ако потребителят има пощенска кутия [имейл защитен], след това като влизане в

UserGate POP3 проксито в пощенския клиент ще трябва да бъде посочено:

[имейл защитен]@pop.mail123.com. Този формат е необходим, за да може сървърът на UserGate да определи адреса на отдалечения POP3 сървър.

www.usergate.ru

Ако SMTP проксито на UserGate се използва в непрозрачен режим, тогава в настройките на проксито трябва да посочите IP адреса и порта на SMTP сървъра, който UserGate ще използва за изпращане на имейли. В този случай в настройките на пощенския клиент на работната станция на потребителя IP адресът на сървъра на UserGate и портът, съответстващ на SMTP проксито на UserGate, трябва да бъдат посочени като адрес на SMTP сървъра. Ако е необходимо разрешение за изпращане, тогава в настройките на пощенския клиент трябва да посочите данните за вход и паролата, съответстващи на SMTP сървъра, посочен в настройките на SMTP прокси в UserGate.

Използване на прозрачен режим Функцията за прозрачен режим в настройките на прокси сървъра е налична, ако сървърът UserGate е инсталиран заедно с NAT драйвера. В прозрачен режим драйверът на UserGate NAT слуша стандартни портове за услуги: 80 TCP за HTTP, 21 TCP за FTP, 110 и 25 TCP за POP3 и SMTP на мрежовите интерфейси на компютъра UserGate.

Ако има заявки, той ги предава на съответния прокси сървър на UserGate. Когато използвате прозрачен режим в мрежови приложения, потребителите не трябва да посочват адреса и порта на прокси сървъра, което значително намалява работата на администратора по отношение на предоставянето на локална мрежа за достъп до Интернет. В мрежовите настройки на работните станции обаче сървърът UserGate трябва да бъде посочен като шлюз и адресът на DNS сървъра трябва да бъде посочен.

Каскадни проксита Сървърът на UserGate може да работи с интернет връзката както директно, така и чрез превъзходни прокси сървъри. Такива проксита са групирани в UserGate под Каскадни проксита на услуги. UserGate поддържа следните типове каскадни проксита: HTTP, HTTPS, Socks4, Socks5. В настройките на каскадния прокси се посочват стандартните параметри: адрес и порт. Ако проксито нагоре поддържа оторизация, можете да посочите подходящото потребителско име и парола в настройките. Създадените каскадни проксита стават достъпни в настройките на прокси сървъра в UserGate.

www.usergate.ru Фигура 11 Родителски проксита в UserGate Присвояване на порт UserGate поддържа функцията за картографиране на портове. Ако има правила за присвояване на портове, сървърът на UserGate пренасочва потребителските заявки, пристигащи на конкретен порт на определен мрежов интерфейс на компютър с UserGate, към друг определен адрес и порт, например към друг компютър в локалната мрежа.

Функцията Port Forwarding е достъпна за TCP и UDP протоколи.

Фигура 12. Присвояване на порт в UserGate Важно! Ако присвояването на порт се използва за предоставяне на достъп от интернет до вътрешен фирмен ресурс, трябва да изберете Посочен потребител като параметър за оторизация www.usergate.ru, в противен случай препращането на порт няма да работи.

Конфигуриране на кеша Една от целите на прокси сървъра е да кешира мрежовите ресурси.

Кеширането намалява натоварването на вашата интернет връзка и ускорява достъпа до често посещавани ресурси. Прокси сървърът на UserGate извършва кеширане на HTTP и FTP трафик. Кешираните документи се поставят в локалната папка %UserGate_data%\Cache. Настройките на кеша са:

ограничение на размера на кеша и време на задържане на кеширания документ.

Освен това можете да активирате кеширане на динамични страници и отчитане на трафика от кеша. Ако опцията Четене на трафик от кеша е активирана, не само външният (интернет) трафик ще бъде записан за всеки потребител в UserGate, но и трафикът, получен от кеша на UserGate.

внимание! За да видите текущите записи в кеша, трябва да стартирате специална помощна програма за преглед на базата данни на кеша. Стартира се чрез щракване с десен бутон върху иконата "UserGate Agent" в системната област и избиране на "Open Browser Cache".

внимание! Ако сте активирали кеша и все още нямате ресурси в „кеш браузъра“, най-вероятно трябва да активирате прозрачен прокси сървър за HTTP протокола на страницата „Услуги – Настройки на прокси“.

Антивирусно сканиране Три антивирусни модула са интегрирани в сървъра на UserGate: Kaspersky Lab Anti-Virus, Panda Security и Avira. Всички антивирусни модули са проектирани да сканират входящия трафик през HTTP, FTP и пощенски проксита на UserGate, както и изходящия трафик през SMTP проксита.

Настройките на антивирусния модул са достъпни в секцията Антивирусни услуги на административната конзола (фиг. 14). За всяка антивирусна програма можете да посочите кои протоколи трябва да проверява, да зададете честотата на актуализиране на антивирусните бази данни и също така да посочите URL адреси, които не са задължителни за проверка (опция URL филтър). Освен това в настройките можете да посочите група потребители, чийто трафик не трябва да бъде подложен на антивирусно сканиране.

www.usergate.ru

Фигура 13. Антивирусни модули в UserGate Преди да стартирате антивирусните модули, започнете да актуализирате антивирусните бази данни и изчакайте да завърши. В настройките по подразбиране антивирусните бази данни на Kaspersky се актуализират от уебсайта на Kaspersky Lab, а за антивируса Panda те се изтеглят от сървърите на Entensys.

Сървърът UserGate поддържа едновременна работа на три антивирусни модула. В този случай Kaspersky Anti-Virus ще бъде първият, който ще сканира трафика.

важно! Когато антивирусното сканиране на трафика е активирано, сървърът на UserGate блокира изтеглянето на многопоточни файлове чрез HTTP и FTP. Блокирането на възможността за изтегляне на част от файл през HTTP може да доведе до проблеми с услугата Windows Update.

Планировчик в UserGate Сървърът на UserGate има вграден планировчик на задачи, който може да се използва за изпълнение на следните задачи: инициализиране и прекъсване на DialUp връзка, изпращане на статистика до потребителите на UserGate, изпълнение на произволна програма, актуализиране на антивирусни бази данни, изчистване на статистиката база данни, проверка на размера на базата данни.

www.usergate.ru

Фигура 14. Настройване на планировчика на задачи Програмният елемент Run в планировчика на UserGate може също да се използва за изпълнение на поредица от команди (скриптове) от *.bat или *.cmd файлове.

Подобни произведения:

„ПЛАН ЗА ДЕЙСТВИЕ 2014-2015г КОНФЕРЕНЦИЯ НА РЕГИОНАЛНИТЕ И МЕСТНИТЕ ВЛАСТИ ЗА ПЛАН ЗА ДЕЙСТВИЕ ЗА ИЗТОЧНОТО ПАРТНЬОРСТВО ПЛАН ЗА ДЕЙСТВИЕ ЗА КОНФЕРЕНЦИЯТА НА РЕГИОНАЛНИТЕ И МЕСТНИТЕ ВЛАСТИ ЗА ИЗТОЧНОТО ПАРТНЬОРСТВО (CORLEAP) ЗА 2014 г. И ДО ГОДИШНАТА СРЕЩА НА МЕСТНИТЕ ВЛАСТИ ПРЕЗ 2015 г. в текста - "Конференция" или "CORLEAP" ") е политически форум, който има за цел да насърчава поведението на местните и ... "

„Директорът на Департамента за държавна политика и регулиране в областта на геологията и използването на недрата на Министерството на природните ресурси на Русия А.В. Орел одобрен 23 август 2013 г. ОДОБРЕНО Директор на Департамента за държавна политика и регулиране в областта на геологията и използването на недрата на Министерството на природните ресурси на Русия _ A.V. Орел "_" 2013 ДОГОВОРЕНО Директор на Федералното държавно унитарно предприятие Геоложко проучване V.V. Шимански "_"_ 2013 ЗАКЛЮЧЕНИЕ на Научния и методически съвет по геоложки и геофизични технологии за търсене и проучване на твърди минерали ... "

„КОЛОНА D НА РЕДАКТОРА СКЪПИ ПРИЯТЕЛИ! Вие държите в ръцете си първия брой на New Forest Journal тази година. По традиция основната му тема беше проведената в края на миналата година международна изложба-панаир „Руска гора“. Разбира се, ние разглеждахме това събитие не толкова като информационен повод, а като платформа за разработване на политика, стратегия и тактика за развитие на индустрията от специалисти в горската индустрия. Именно от тази гледна точка се опитахме да обхванем работата на семинарите, ... "

„Програмата на държавния финален интердисциплинарен изпит е изготвена в съответствие с разпоредбите: относно окончателното държавно сертифициране на завършилите федералната държавна бюджетна образователна институция за висше професионално образование „Руска академия за национално стопанство и публична администрация при президента на Руска федерация” от 24 януари 2012 г., Москва; подготовка (магистърска степен) във федералната държавна бюджетна образователна ... "

„Списък на изпълнителите Нечаев В.Д. Ръководител на програмата за стратегическо развитие на университета, ректор Глазков А.А. ръководител на работата по Програмата за стратегическо развитие на университета, заместник-ректор по наука, иновации и стратегическо развитие Шараборова Г.К. координатор на програмата за стратегическо развитие на университета, директор на Центъра за стратегическо развитие Куратори на проекта: Соколов E.F. Заместник-ректорът по административно-икономическо подпомагане Огнев А.С. зам.-ректор по науката, ... "

«UDK 91:327 Лисенко А. В. Математическото моделиране като метод за изследване на феномена на автономизма в политическата география Таврически национален университет на името на В. И. Вернадски, Симферопол е-mail: [имейл защитен]Анотация. Статията обсъжда възможността за използване на математическото моделиране като метод за изучаване на политическата география, разкрива концепцията за териториална автономия, както и факторите на нейния генезис. Ключови думи: математическо моделиране,...»

"ПРАВА" в Мурманск ОДОБРЕНО ПРИЕТО Директор на клона на заседание на катедрата по общо право PEI VPO BIEPP в Мурманск дисциплини PEI VPO BIEPP v.g. Murmansk A.S. Коробейников Протокол № 2_ от "_09_" _септември_ 2014 г. "_09_" септември 2014 г. Учебно-методически комплекс по дисциплината История на политическите и правните учения Специалност ... "

„ДОВЕРИТЕЛЕН ФОНД НА ПРОГРАМАТА ЗА ПОМОЩ ЗА РАЗВИТИЕ НА РУСКАТА ОБРАЗОВАТЕЛНА ПРОГРАМА (ЧЕТЕТЕ) ПРОЧЕТЕТЕ ГОДИШЕН ОТЧЕТ ЗА „Чрез инвестиране в оценка на качеството на образованието, оценка на резултатите от реформите и системи за оценка на постиженията в обучението и уменията, банката ще помогне на страните си партньори да отговорят на ключови въпроси за реформа на политиката в образование: какви са предимствата на нашата система? какви са недостатъците му? Какви мерки за отстраняване на тези недостатъци бяха най-ефективни? какво са..."

„ОХУНОВ АЛИШЕР ОРИПОВИЧ [имейл защитен]Заглавие Учебна програма Обща информация информация за преподавателите по политиката на дисциплината „Програма с общи въпроси Крайните резултати от обучението по дропла и постпрасити на хирургия“ Критерии и правила за оценка на знанията и уменията на студентите Вид контрол „Общи въпроси на хирургията“ Охунов Алишер Орипович [имейл защитен]ОБЩА ИНФОРМАЦИЯ: ЗАГЛАВИЕ Име на университета: Ташкентска медицинска академия ОБЩА ИНФОРМАЦИЯ Катедра по обща и детска хирургия Местоположение...»

„Комисия за външни отношения в Санкт Петербург за изпълнение на държавната политика на Руската федерация по отношение на сънародниците в чужбина VIII Санкт Петербургски форум на младежките организации на руските сънародници и чуждестранни рускоезични медии „Руски в чужбина“ 7 юни -13, 2015 г. ПРОГРАМА 7 ЮНИ, НЕДЕЛЯ Пристигане на участниците Форум през деня Хотел "Санкт Петербург" Адрес: Пироговская насип, 5/2 Регистрация на участниците, издаване на "Набиране на участника" ВНИМАНИЕ!

„Учебният план на допълнителния приемен изпит в магистърската програма за специалност 1-23 80 06 „История на международните отношения и външната политика” е съставен на базата на стандартните програми „История на международните отношения” и „История на външната политика”. на Беларус”, както и програмата на държавния изпит по специални дисциплини за специалност 1-23 01 01 „Международни отношения”. Разгледан и препоръчан за одобрение на заседание на катедрата по международни отношения Протокол № 10 от 7 ... "

« Руско-китайската лаборатория може да избере проект за свръхтежка ракета за седмица Руско-китайска лаборатория Системи за космическа връзка Следните сателити от серията Meteor няма да получат радарни системи Липсващата връзка с руския научен спътник Вернов все още не е установена 02 /19/2015 4 Космически боклук застраши МКС 60 пъти през януари Миналата година на Земята..."

„МИНИСТЕРСТВО НА ОБРАЗОВАНИЕТО И НАУКАТА НА РУСКАТА ФЕДЕРАЦИЯ Федерална държавна бюджетна образователна институция за висше професионално образование „Кемеровски държавен университет“ ОДОБРЕНО: ректор _ В. А. Волчек „“ _ 2014 г. Основната образователна програма на висшето образование Специалност 030701 Международни отношения Ориентация (специализация) политика "Квалификация (степен) специалист в областта на международните отношения. Форма на обучение редовна Кемерово 2014..."

„ИСЛЯМЪТ В СЪВРЕМЕННИЯ УРАЛ Алексей Малашенко, Алексей Старостин АПРИЛ 2015 ИСЛЯМЪТ В СЪВРЕМЕННИЯ УРАЛ Алексей Малашенко, Алексей Старостин Този брой на Работни документи е подготвен от Московския център Карнеги, нестопанска, неправителствена изследователска организация. Фондация Карнеги за международен мир и Московският център Карнеги като организация не заемат обща позиция по социални и политически въпроси. Публикацията отразява личните виждания на авторите, които не би трябвало...“

„Основният принцип на Кнауф е всичко да е „митденкен“ (направете го, след като обмислите добре и вземете предвид интересите на тези, за които работите). Постепенно тази ключова концепция пусна корени в Русия. От интервю с Ю. А. Михайлов, генерален директор на Knauf GIPS KOLPINO LLC. Управленски практики на руското подразделение на международна корпорация: опитът на Knauf CIS * Игор Борисович Гурков, Владимир Викторович Косов .."

„Приложение ИНФОРМАЦИЯ относно изпълнението на Заповедта на губернатора на Омска област от 28 февруари 2013 г. № 25-r „За мерките за изпълнение на Указа на губернатора на Омска област от 16 януари 2013 г. № 3“ според към Плана за приоритетни действия за 2013-2014 г. за изпълнение на регионалната стратегия за действие в интерес на децата на територията на Омска област за 2013 - 2017 г. за 2013 г. № Име Отговорен Информация за изпълнението на мерките p / p изпълнител I. Семейна политика за закрила на детето ... "

„ДЕПАРТАМЕНТ ЗА ОБРАЗОВАНИЕ И МЛАДЕЖКА ПОЛИТИКА НА ХАНТИ-МАНСИЙСКИЯ АВТОНОМЕН РАЙОН – ЮГРА Държавно образователно учреждение за висше професионално образование на Ханти-Мансийския автономен окръг – Югра „Сургутски държавен педагогически университет“ Програма за работна практика BP.5. ПЕДАГОГИЧЕСКА ПРАКТИКА Направление на обучение 49.03.02 Физическа култура за лица със здравословни проблеми (Адаптивна физическа култура) Квалификация (степен) ... "

„Държавна автономна образователна институция за висше професионално образование „Московски градски университет по управление на правителството на Москва“ Институт за висше професионално образование Департамент по публична администрация и кадрова политика ОДОБРЕНО от заместник-ректора по академичните и научни въпроси A.A. Александров "_"_ 20_ Работната програма на академичната дисциплина "Методи за вземане на управленски решения" за студенти от посока 38.03.02 "Мениджмънт" за редовно обучение Москва ... "

„Прости финансови серии” от Ю. В. Брехов КАК ДА РАЗПОЗНАЕМ ФИНАНСОВАТА ПИРАМИДА Волгоград 2011 UDC 336 BBK 65.261 B 87 Service” с Комитета по бюджетна и финансова политика и Министерството на финансите на администрацията на Волгоградска област като част от изпълнението на дългосрочната регионална целева програма „Подобряване нивото на финансова грамотност на населението и развитие на финансовата ...“
Материалите на този сайт са публикувани за преглед, всички права принадлежат на техните автори.
Ако не сте съгласни вашите материали да бъдат публикувани на този сайт, моля, пишете ни, ние ще ги премахнем в рамките на 1-2 работни дни.

Днес Интернет е не само средство за комуникация или начин за прекарване на свободното време, но и работен инструмент. Търсенето на информация, участието в търгове, работата с клиенти и партньори изискват присъствието на служители на компанията в мрежата. Повечето компютри, използвани както за лични цели, така и за интересите на организацията, имат инсталирани операционни системи Windows. Естествено, всички те са оборудвани с механизми за осигуряване на достъп до Интернет. Започвайки с второто издание на Windows 98, споделянето на интернет връзка (ICS) е вградено в операционните системи Windows като стандартна функция, която осигурява групов достъп от локална мрежа до интернет. По-късно Windows 2000 Server представи Routing and Remote Access Service (маршрутизиране и отдалечен достъп) и реализира поддръжка за NAT протокола.

Но ICS има своите недостатъци. Така че тази функция променя адреса на мрежовия адаптер и това може да причини проблеми в локалната мрежа. Поради това е за предпочитане да използвате ICS само в домашни или малки офис мрежи. Тази услуга не предоставя оторизация на потребителя, така че е нежелателно да се използва в корпоративна мрежа. Ако говорим за приложението в домашната мрежа, тогава липсата на разрешение по потребителско име също става неприемлива тук, тъй като IP и MAC адресите са много лесни за фалшифициране. Следователно, въпреки че в Windows има възможност за организиране на единен достъп до Интернет, на практика за изпълнение на тази задача се използват или хардуерни, или софтуерни инструменти на независими разработчици. Едно такова решение е програмата UserGate.

Първа среща

Прокси сървърът Usergate ви позволява да предоставите на потребителите на локалната мрежа достъп до Интернет и да дефинирате политика за достъп, отказвайки достъп до определени ресурси, ограничавайки трафика или времето, което потребителите прекарват в мрежата. В допълнение, Usergate дава възможност да се поддържат отделни записи на трафика както по потребител, така и по протокол, което значително опростява контрола на разходите за интернет връзка. Напоследък се наблюдава тенденция сред интернет доставчиците да предоставят неограничен достъп до интернет през собствени канали. На фона на подобна тенденция на преден план излиза контролът и отчитането на достъпа. За да направите това, прокси сървърът на Usergate има доста гъвкава система от правила.

Прокси сървърът Usergate с поддръжка на NAT (превод на мрежови адреси) работи на операционни системи Windows 2000/2003/XP с инсталиран TCP/IP протокол. Без поддръжка за NAT протокола, Usergate може да работи на Windows 95/98 и Windows NT 4.0. Самата програма не изисква специални ресурси за работа, основното условие е наличието на достатъчно дисково пространство за кеш и лог файлове. Затова все още се препоръчва инсталирането на прокси сървър на отделна машина, като му се предоставят максимални ресурси.

Настройка

За какво е прокси сървър? В крайна сметка всеки уеб браузър (Netscape Navigator, Microsoft Internet Explorer, Opera) вече знае как да кешира документи. Но не забравяйте, че първо, ние не отделяме значителни количества дисково пространство за тези цели. И второ, вероятността да посетите едни и същи страници от един човек е много по-малка, отколкото ако го направят десетки или стотици хора (а много организации имат такъв брой потребители). Следователно създаването на единно кеш пространство за организацията ще намали входящия трафик и ще ускори търсенето на документи в Интернет, които вече са били получени от някой от служителите. Прокси сървърът на UserGate може да бъде йерархично свързан с външни прокси сървъри (доставчици) и в този случай ще бъде възможно, ако не да се намали трафикът, то поне да се ускори получаването на данни, както и да се намалят разходите (обикновено цената на трафика от доставчик през прокси сървър е по-ниска).

Фигура 1. Настройки на кеша

Гледайки напред, ще кажа, че настройката на кеша се извършва в раздела на менюто „Услуги“ (вижте екран 1). След като превключите кеша в режим "Включен", можете да конфигурирате отделните му функции - кеширане на POST заявки, динамични обекти, бисквитки, съдържание, получено през FTP. Размерът на дисковото пространство, разпределено за кеша, и продължителността на живота на кеширания документ също се конфигурират тук. И за да започне да работи кешът, трябва да конфигурирате и активирате прокси режима. Настройките определят кои протоколи ще работят през прокси сървър (HTTP, FTP, SOCKS), на кой мрежов интерфейс ще слушат и дали ще се извършва каскадно свързване (данните, необходими за това, се въвеждат в отделен раздел на прозореца за настройки на услугите) .

Преди да започнете работа с програмата, трябва да направите други настройки. По правило това се прави в следната последователност:

1. Създаване на потребителски акаунти в Usergate.
2. Настройка на DNS и NAT на система с Usergate. На този етап конфигурацията се свежда основно до конфигуриране на NAT с помощта на съветника.
3. Настройване на мрежова връзка на клиентски машини, където трябва да посочите шлюза и DNS в свойствата на TCP / IP мрежовата връзка.
4. Създаване на политика за достъп до Интернет.

За удобство програмата е разделена на няколко модула. Сървърният модул работи на компютър, свързан с интернет и изпълнява основни задачи. Администрирането на Usergate се извършва с помощта на специален модул Usergate Administrator. С негова помощ се изпълнява цялата конфигурация на сървъра в съответствие с необходимите изисквания. Клиентската част на Usergate е внедрена като Usergate Authentication Client, който е инсталиран на компютъра на потребителя и служи за упълномощаване на потребители на сървъра на Usergate, ако се използва оторизация, различна от IP или IP + MAC оторизации.

контрол

Управлението на потребители и групи е преместено в отделен раздел. Групите са необходими за улесняване на управлението на потребителите и техния общ достъп и настройки за таксуване. Можете да създадете толкова групи, колкото са ви необходими. Обикновено групите се създават според структурата на организацията. Какви опции могат да бъдат присвоени на потребителска група? Всяка група има свързана тарифа, която ще отчита разходите за достъп. По подразбиране се използва тарифата по подразбиране. Той е празен, така че връзките на всички потребители, включени в групата, не се таксуват, освен ако тарифата не е заменена в потребителския профил.

Програмата има набор от предварително дефинирани NAT правила, които не могат да бъдат променяни. Това са правила за достъп за протоколите Telten, POP3, SMTP, HTTP, ICQ и др. Когато създавате група, можете да посочите кое от правилата да се прилага към тази група и потребителите, включени в нея.

Режимът на автоматично повторно набиране може да се използва, когато връзката с интернет е през модем. Когато този режим е активиран, потребителят може да инициира връзка с интернет, когато все още няма връзка - по негово искане модемът установява връзка и осигурява достъп. Но когато сте свързани чрез наета линия или ADSL, този режим не е необходим.

Добавянето на потребителски акаунти е също толкова лесно, колкото добавянето на групи (вижте Фигура 2). И ако компютърът с инсталиран прокси сървър на Usergate е включен в домейн на Active Directory (AD), потребителските акаунти могат да бъдат импортирани оттам и след това разделени на групи. Но както при ръчно въвеждане, така и при импортиране на акаунти от AD, трябва да конфигурирате потребителски права и правила за достъп. Те включват тип разрешение, тарифен план, налични NAT правила (ако груповите правила не отговарят напълно на нуждите на конкретен потребител).

Прокси сървърът на Usergate поддържа няколко типа оторизация, включително оторизация на потребител чрез Active Directory и прозореца за влизане в Windows, което ви позволява да интегрирате Usergate в съществуващата мрежова инфраструктура. Usergate използва свой собствен NAT драйвер, който поддържа оторизация чрез специален модул - модул за оторизация на клиента. В зависимост от избрания метод за оторизация, в настройките на потребителския профил трябва да посочите или неговия IP адрес (или набор от адреси), или неговото име и парола, или само неговото име. Тук може да се посочи и имейл адресът на потребителя, на който да се изпращат отчети за използването на достъпа до Интернет.

правила

Системата с правила на Usergate е по-гъвкава в настройките в сравнение с възможностите на политиката за отдалечен достъп (политика за отдалечен достъп в RRAS). Правилата могат да се използват за блокиране на достъпа до определени URL адреси, ограничаване на трафика за определени протоколи, задаване на времеви лимит, ограничаване на максималния размер на файла, който потребителят може да изтегли, и много повече (вижте Фигура 3). Стандартните инструменти на операционната система нямат достатъчна функционалност за решаване на тези проблеми.

Правилата се създават с помощта на помощника. Те се отнасят за четирите основни обекта, проследявани от системата - връзка, трафик, тарифа и скорост. И за всеки от тях може да се извърши едно действие. Изпълнението на правилата зависи от настройките и ограниченията, които са избрани за него. Те включват използваните протоколи, времето по дни от седмицата, когато това правило ще бъде в сила. Накрая се дефинират критерии за обема на трафика (входящ и изходящ), времето в мрежата, баланса по акаунта на потребителя, както и списък с изходни IP адреси на заявката и мрежови адреси на ресурсите, които са засегнати. Задаването на мрежови адреси също ви позволява да определите типовете файлове, които потребителите няма да могат да изтеглят.

Много организации не позволяват услуги за незабавни съобщения. Как да приложите такава забрана с помощта на Usergate? Достатъчно е да създадете едно правило, което затваря връзката при заявка на сайта *login.icq.com* и да го приложите към всички потребители. Прилагането на правилата ви позволява да променяте тарифите за достъп през деня или нощта, до регионални или споделени ресурси (ако такива разлики са предоставени от доставчика). Например, за да превключвате между нощни и дневни тарифи, ще трябва да създадете две правила, едното ще превключва навреме от дневна към нощна тарифа, второто ще превключва обратно. За какво точно са тарифите? Това е основата на вградената система за таксуване. В момента тази система може да се използва само за съгласуване и пробно изчисляване на разходите, но след сертифициране на системата за таксуване собствениците на системата ще имат надежден механизъм за работа с клиентите си.

Потребители

Сега обратно към настройките на DNS и NAT. DNS конфигурацията се състои в указване на адресите на външни DNS сървъри, до които системата ще има достъп. В същото време на потребителски компютри, в настройките за връзка за свойствата на TCP / IP, посочете IP на вътрешния мрежов интерфейс на компютъра с Usergate като шлюз и DNS. Малко по-различен принцип на конфигурация при използване на NAT. В този случай трябва да добавите ново правило в системата, в което да дефинирате IP на получателя (локален интерфейс) и IP на изпращача (външен интерфейс), порт - 53 и UDP протокол. Това правило трябва да бъде присвоено на всички потребители. И в настройките за връзка на техните компютри трябва да посочите IP адреса на DNS сървъра на доставчика като DNS и IP адреса на компютъра с Usergate като шлюз.

Пощенските клиенти могат да бъдат конфигурирани както чрез съпоставяне на портове, така и чрез NAT. Ако организацията има право да използва услуги за незабавни съобщения, тогава настройките за връзка за тях трябва да бъдат променени - трябва да посочите използването на защитна стена и прокси, да зададете IP адреса на вътрешния мрежов интерфейс на компютъра с Usergate и да изберете HTTPS или Socks протокол. Но имайте предвид, че когато работите през прокси сървър, работата в чат стаи и видео чат няма да са налични, ако се използва Yahoo Messenger.

Статистиката на операциите се записва в дневник, съдържащ информация за параметрите на връзката на всички потребители: време на връзката, продължителност, изразходвани средства, заявени адреси, количество получена и предадена информация. Не можете да отмените записването на информация за потребителските връзки във файла със статистика. За преглед на статистиката в системата има специален модул, който може да бъде достъпен както през администраторския интерфейс, така и от разстояние. Данните могат да бъдат филтрирани по потребител, протокол и време и могат да бъдат записани във външен Excel файл за по-нататъшна обработка.

Какво следва

Ако първите версии на системата бяха предназначени само за прилагане на механизма за кеширане на прокси сървъра, то последните версии имат нови компоненти, предназначени да гарантират сигурността на информацията. Днес потребителите на Usergate могат да използват вградената защитна стена и антивирусен модул на Kaspersky. Защитната стена ви позволява да контролирате, отваряте и блокирате определени портове, както и да публикувате фирмени уеб ресурси в Интернет. Вградената защитна стена обработва пакети, които не се обработват на ниво NAT правила. Ако пакетът е бил обработен от NAT драйвера, той вече не се обработва от защитната стена. Настройките на порта, направени за проксито, както и портовете, посочени в Port Mapping, се поставят в автоматично генерирани правила за защитна стена (автоматичен тип). Автоматичните правила също включват TCP порт 2345, който се използва от модула Usergate Administrator за свързване към задната част на Usergate.

Говорейки за перспективите за по-нататъшно развитие на продукта, заслужава да се спомене създаването на наш собствен VPN сървър, който ще ни позволи да изоставим VPN от операционната система; внедряване на мейл сървър с поддръжка на антиспам функция и разработка на интелигентна защитна стена на ниво приложение.

Михаил Абрамзон- Ръководител маркетинг група на фирма "Дигт".

След като е свързал интернет в офиса, всеки шеф иска да знае за какво плаща. Особено ако тарифата не е неограничена, а според трафика. Има няколко начина за решаване на проблемите с контрола на трафика и организацията на достъпа до Интернет в мащаб на предприятието. Ще говоря за внедряването на прокси сървъра UserGate за получаване на статистика и контрол на честотната лента на канала, използвайки моя опит като пример.

Веднага трябва да кажа, че използвах услугата UserGate (версия 4.2.0.3459), но използваните методи и технологии за организация на достъпа се използват и в други прокси сървъри. Така че описаните тук стъпки като цяло са подходящи за други софтуерни решения (например Kerio Winroute Firewall или други прокси), с леки разлики в детайлите на изпълнението на конфигурационния интерфейс.

Ще опиша поставената ми задача: Има мрежа от 20 машини, в същата подмрежа има ADSL модем (alnim 512/512 kbps). Изисква се ограничаване на максималната скорост за потребителите и водене на запис на трафика. Задачата е леко усложнена от факта, че достъпът до настройките на модема е затворен от доставчика (достъпът е възможен само през терминала, но доставчикът има паролата). Страницата със статистика на уебсайта на доставчика не е достъпна (Не питайте защо, има само един отговор - компанията има такива отношения с доставчика).

Поставяме usergate и го активираме. За да организираме достъпа до мрежата, ще използваме NAT ( Превод на мрежови адреси- "превод на мрежов адрес"). За да работи технологията, е необходимо да имате две мрежови карти на машината, където ще инсталираме сървъра (услугата) на UserGate (Възможно е да накарате NAT да работи на една мрежова карта, като й присвоите два IP адреса в различни подмрежи).

Така, първоначална стъпка за конфигуриране - конфигурация на NAT драйвер(драйвер от UserGate, инсталиран по време на основната инсталация на услугата). Нас Изисква два мрежови интерфейса(четене на мрежови карти) на хардуера на сървъра ( за мен това не беше пропуск, т.к Разположих UserGate на виртуална машина. И там можете да направите "много" мрежови карти).

В идеалния случай, за да една мрежова карта свързва самия модем, а към втория - цялата мрежаот който ще влизат в интернет. В моя случай модемът е инсталиран в различни стаи със сървър (физическа машина), а аз съм твърде мързелив и нямам време да прехвърлям оборудване (и в близко бъдеще се очертава организацията на сървърна стая). Свързах и двата мрежови адаптера към една и съща мрежа (физически), но ги конфигурирах в различни подмрежи. Тъй като не мога да променя настройките на модема (достъпът е затворен от доставчика), трябваше да прехвърля всички компютри в друга подмрежа (за щастие, използвайки DHCP, това се прави елементарно).

Мрежова карта, свързана към модема ( Интернетът) настроен както преди (по данни от доставчика).

• Присвояване статичен IP адрес(в моя случай това е 192.168.0.5);
• Подмрежова маска 255.255.255.0 - не съм я променил, но може да се конфигурира така, че да има само две устройства в подмрежата на прокси сървъра и модема;
• Gateway - адрес на модем 192.168.0.1
• Адресите на DNS сървъра на ISP ( основно и средно задължително).

Втора мрежова карта, свързан към вътрешната мрежа ( интранет), настроен по следния начин:

• Статично IP адрес, но в друга подмрежа(имам 192.168.1.5);
• Маскирайте според вашите мрежови настройки (имам 255.255.255.0);
• Шлюз не уточнявайте.
• В полето за адрес на DNS сървъра въведете адреса на DNS сървъра на компанията(Ако да, ако не, оставете празно).

Забележка: трябва да се уверите, че използването на NAT компонента от UserGate е отметнато в настройките на мрежовия интерфейс.

След конфигуриране на мрежови интерфейси стартирайте самата услуга UserGate(не забравяйте да го конфигурирате да работи като услуга за автоматично стартиране със системни права) и отидете на конзолата за управление(Можете да го направите локално или дистанционно). Отидете на „Мрежови правила“ и изберете „ Съветник за настройка на NAT“, ще трябва да посочите вашия интранет ( интранет) и интернет ( интернет) адаптери. Интранет - адаптер, свързан към вътрешна мрежа. Помощникът ще конфигурира NAT драйвера.

След това трябва да разбирате NAT правилата, за което отиваме в "Мрежови настройки" - "NAT". Всяко правило има няколко полета и статус (активен и неактивен). Същността на полетата е проста:

• Име - името на правилото, Препоръчвам да дадете нещо смислено(не е необходимо да пишете адреси и портове в това поле, тази информация така или иначе ще бъде налична в списъка с правила);
• Интерфейсът на приемника е ваш интранет интерфейс(в моя случай 192.168.1.5);
• Интерфейсът на подателя е ваш интернет интерфейс(в същата подмрежа като модема, в моя случай 192.168.0.5);
• Порт- посочете за кой пот се прилага това правило ( например за браузър (HTTP) порт 80 и за получаване на поща 110 порт). Можете да посочите диапазон от портовеако не искате да се забърквате, но не е препоръчително да го правите на целия набор от портове.
• Протокол - изберете една от опциите от падащото меню: TCP(обикновено), UPDили ICMP(например за работата на командите ping или tracert).

Първоначално списъкът с правила вече съдържа най-използваните правила, необходими за работата на пощата и различни видове програми. Но добавих свои собствени правила към стандартния списък: за DNS заявки (без да използвам опцията за пренасочване в UserGate), за сигурни SSL връзки, за торент клиента, за програмата Radmin и т.н. Ето екранни снимки на моя списък с правила. Списъкът все още е малък - но се разширява с времето (с необходимостта да се работи върху нов порт).

Следващата стъпка е да настроите потребителите. В моя случай аз избрах оторизация чрез IP адрес и MAC адрес. Има опции за оторизация само по IP адрес и по идентификационни данни на Active Directory. Можете също така да използвате HTTP авторизация (всеки път, когато потребителите първо въвеждат паролата през браузъра). Създаване на потребители и потребителски групии задайте им NAT правилата, които да използват(Трябва да дадем на потребителя интернет връзка с браузъра - активираме HTTP правилото с порт 80 за него, трябва да дадем ICQ - ICQ правилото с след това 5190).

И накрая, на етапа на внедряване, конфигурирах потребителите да работят чрез прокси. За това използвах DHCP услуга. Следните настройки се изпращат на клиентските машини:

• IP адрес - динамичен от DHCP в диапазона на интранет подмрежата (в моя случай диапазонът е 192.168.1.30 -192.168.1.200. Настроил съм резервация на IP адрес за необходимите машини).
• Подмрежова маска (255.255.255.0)
• Gateway - адрес на машината с UserGate в локалната мрежа (Intranet адрес - 192.168.1.5)
• DNS сървъри - издавам 3 адреса. Първият е адресът на DNS сървъра на предприятието, вторият и третият са DNS адресите на доставчика. (В DNS на предприятието е конфигурирано пренасочване към DNS на доставчика, така че в случай на „падане“ на локалния DNS, интернет имената ще бъдат разрешени в DNS на доставчика).

По този основната настройка е завършена. Наляво проверете функционалността, за това на клиентската машина трябва (като получите настройките от DHCP или като ги добавите ръчно, в съответствие с препоръките по-горе) стартирайте браузър и отворете всяка страница в мрежата. Ако нещо не работи, проверете отново ситуацията:

• Правилни ли са настройките на мрежовия адаптер на клиента? (машината с прокси сървъра пингва ли?)
• Потребителят/компютърът оторизиран ли е на прокси сървъра? (вижте методите за оторизация на UserGate)
• Потребителят/групата има ли активирани NAT правила, за да работи? (за да работи браузърът, имате нужда от поне HTTP правила за TCP протокола на порт 80).
• Изтекли ли са ограниченията за трафик за потребителя или групата? (не съм въвел това).

Сега можете да наблюдавате свързаните потребители и NAT правилата, които използват в елемента „Мониторинг“ на конзолата за управление на прокси сървъра.

Допълнителните настройки на прокси сървъра вече се настройват, според специфични изисквания. Първото нещо, което направих, беше да активирам ограничението на честотната лента в свойствата на потребителя (по-късно можете да внедрите система от правила за ограничаване на скоростта) и да активирате допълнителни услуги на UserGate - прокси сървър (HTTP на порт 8080, SOCKS5 на порт 1080). Активирането на прокси услуги ви позволява да използвате кеширане на заявки. Но е необходимо да се извърши допълнителна конфигурация на клиенти за работа с прокси сървър.

Оставете въпроси? Предлагам да ги попитате точно тук.

________________________________________

Забележка:Тази статия е редактирана, допълнена с подходящи данни и допълнителни връзки.

Прокси и защитна стена на UserGateе интернет портал от клас UTM (Unified Threat Management), който ви позволява да предоставяте и контролирате общия достъп на служителите до интернет ресурси, да филтрирате злонамерени, опасни и нежелани сайтове, да защитавате фирмената мрежа от външни прониквания и атаки, да създавате виртуални мрежи и да организирате защитен VPN достъп до мрежови ресурси отвън, както и управление на честотната лента и интернет приложения.

Продуктът е ефективна алтернатива на скъпия софтуер и хардуер и е предназначен за използване в малки и средни предприятия, държавни агенции, както и големи организации с клонова структура.

Можете да намерите цялата допълнителна информация за продукта.

Програмата има допълнителни платени модули:

• антивирус на касперски
• панда антивирус
• Avira Antivirus
• Entensys URL филтриране

Всеки модул се лицензира за една календарна година. Можете да изпробвате работата на всички модули в пробен ключ, който може да бъде предоставен за период от 1 до 3 месеца за неограничен брой потребители.

Можете да прочетете повече за правилата за лицензиране.

За всички въпроси, свързани със закупуването на решения Entensys, моля свържете се с: [имейл защитен]или се обадете на безплатната линия: 8-800-500-4032.

Системни изисквания

За да организирате шлюз, ви е необходим компютър или сървър, който трябва да отговаря на следните системни изисквания:

• Честота на процесора: от 1,2 GHz
• Размер на RAM: от 1024 Gb
• Капацитет на HDD: от 80 GB
• Брой мрежови адаптери: 2 или повече

Колкото по-голям е броят на потребителите (спрямо 75 потребители), толкова по-голяма трябва да бъде производителността на сървъра.

Препоръчваме да инсталирате нашия продукт на компютър с "чиста" сървърна операционна система, препоръчителната операционна система е Windows 2008/2012.
Ние не гарантираме правилната работа на UserGate Proxy&Firewall и/или съвместна работа на услуги на трети страни и не препоръчваме да го споделятес услуги на шлюза, който изпълнява следните роли:

• Е домейн контролер
• Е хипервизор на виртуална машина
• Е терминален сървър
• Действа като силно натоварен DBMS/DNS/HTTP сървър и др.
• Действа като SIP сървър
• Извършва критични за бизнеса услуги или услуги
• Всички изброени

UserGate Proxy&Firewall в момента може да е в конфликт със следните видове софтуер:

• Всички без изключение трета странаРешения за защитна стена/защитни стени
• Антивирусни продукти от BitDefender
• Антивирусни модули, които изпълняват функцията на Firewall или "Anti-Hacker" на повечето антивирусни продукти. Препоръчително е да деактивирате тези модули
• Антивирусни модули, които проверяват данни, предавани чрез HTTP/SMTP/POP3 протоколи, това може да причини забавяне при активна работа през прокси
• Софтуерни продукти на трети страни, които могат да прихващат данни от мрежови адаптери - "измерватели на скорост", "шейпъри" и др.
• Активна роля на Windows Server „Маршрутизиране и отдалечен достъп“ в режим NAT/споделяне на интернет връзка (ICS)

внимание!По време на инсталацията се препоръчва да деактивирате поддръжката на IPv6 протокол на шлюза, при условие че не се използват приложения, които използват IPv6. Текущата реализация на UserGate Proxy&Firewall не поддържа протокола IPv6 и съответно този протокол не се филтрира. По този начин хостът може да бъде достигнат отвън чрез протокола IPv6, дори ако правилата за отказ на защитната стена са активирани.

Когато е правилно конфигуриран, UserGate Proxy&Firewall е съвместим със следните услуги:

Роли на Microsoft Windows Server:

• DNS сървър
• DHCP сървър
• Сървър за печат
• Файлов (SMB) сървър
• Сървър за приложения
• WSUS сървър
• Уеб сървър
• WINS сървър
• VPN сървър

И с продукти на трети страни:

• FTP/SFTP сървъри
• Сървъри за съобщения - IRC/XMPP

Когато инсталирате UserGate Proxy&Firewall, уверете се, че софтуерът на трети страни не използва порта или портовете, които UserGate Proxy&Firewall може да използва. По подразбиране UserGate използва следните портове:

• 25 - SMTP прокси
• 80 - прозрачен HTTP прокси
• 110 - POP3 прокси
• 2345 - Административна конзола на UserGate
• 5455 - UserGate VPN сървър
• 5456 - Клиент за оторизация на UserGate
• 5458 - DNS пренасочване
• 8080 - HTTP прокси
• 8081 - Уеб статистика на UserGate

Всички портове могат да се променят с помощта на административната конзола на UserGate.

Инсталиране на програмата и избор на база данни за работа

Съветник за конфигуриране на прокси и защитна стена на UserGate

По-подробно описание на настройката на NAT правила е описано в тази статия:

Агент на UserGate

След инсталиране на UserGate Proxy & Firewall непременнорестартирайте шлюза. След оторизация в системата, в лентата на задачите на Windows до часовника, иконата на агента на UserGate трябва да стане зелена. Ако иконата е сива, това означава, че е възникнала грешка по време на инсталационния процес и сървърната услуга UserGate Proxy&Firewall не работи, в този случай вижте съответния раздел на базата знания на Entensys или се свържете с техническата поддръжка на Entensys.

Продуктът се конфигурира чрез конзолата за администриране на UserGate Proxy&Firewall, която може да бъде извикана чрез двукратно щракване върху иконата на агента на UserGate или чрез щракване върху прекия път от менюто "Старт".
Когато стартирате административната конзола, първата стъпка е да регистрирате продукта.

Основни настройки

В секцията Общи настройки на конзолата на администратора задайте паролата за потребителя на администратора. важно!Не използвайте специални символи на Unicode или ПИН кода на продукта като парола за достъп до административната конзола.

Продуктът UserGate Proxy&Firewall има механизъм за защита от атака, можете да го активирате и в менюто "Общи настройки". Механизмът за защита от атаки е активен механизъм, нещо като "червен бутон", който работи на всички интерфейси. Препоръчително е да използвате тази функция в случай на DDoS атаки или масово заразяване на компютри със зловреден софтуер (вируси/червеи/ботнет приложения) в локалната мрежа. Механизмът за защита от атаки може да блокира потребители, използващи клиенти за споделяне на файлове - торенти, директна връзка, някои видове VoIP клиенти/сървъри, които активно обменят трафик. За да получите ip адреси на блокирани компютри, отворете файла ProgramData\Entensys\Usergate6\logging\fw.logили Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log.

внимание!Параметрите, описани по-долу, се препоръчват да се променят само ако има голям брой клиенти/високи изисквания за честотна лента на шлюза.

Този раздел съдържа и следните настройки: "Максимални връзки" - максималният брой всички връзки през NAT и през UserGate Proxy&Firewall.

"Максимален брой NAT връзки" - максималният брой връзки, които UserGate Proxy&Firewall може да премине през NAT драйвера.

Ако броят на клиентите не е повече от 200-300, тогава настройките "Максимален брой връзки" и "Максимален брой NAT връзки" не трябва да се променят. Увеличаването на тези параметри може да доведе до значително натоварване на оборудването на шлюза и се препоръчва само ако настройките са оптимизирани за голям брой клиенти.

Интерфейси

внимание!Преди да направите това, не забравяйте да проверите настройките на мрежовия адаптер в Windows! Интерфейсът, свързан към локалната мрежа (LAN), не трябва да съдържа адрес на шлюз! Не е необходимо да посочвате DNS сървъри в настройките на LAN адаптера, IP адресът трябва да бъде зададен ръчно, не препоръчваме получаването му чрез DHCP.

IP адресът на LAN адаптера трябва да е частен IP адрес. приемливо е да се използва IP адрес от следните диапазони:

10.0.0.0 - 10.255.255.255 (префикс 10/8) 172.16.0.0 - 172.31.255.255 (префикс 172.16/12) 192.168.0.0 - 192.168.255.255 (префикс 192.168/16)

Разпределянето на частни мрежови адреси е описано в RFC 1918 .

Използването на други диапазони като адреси за локалната мрежа ще доведе до грешки в работата на UserGate Proxy & Firewall.

Интерфейс, свързан към Интернет (WAN), трябва да съдържа IP адрес, мрежова маска, адрес на шлюз и адреси на DNS сървъри.
Не се препоръчва използването на повече от три DNS сървъра в настройките на WAN адаптера, това може да доведе до мрежови грешки. Първо проверете изправността на всеки DNS сървър, като използвате командата nslookup в конзолата cmd.exe, например:

nslookup usergate.ru 8.8.8.8

където 8.8.8.8 е адресът на DNS сървъра. Отговорът трябва да съдържа IP адреса на искания сървър. Ако няма отговор, значи DNS сървърът не е валиден или DNS трафикът е блокиран.

Трябва да определите вида на интерфейсите. Интерфейсът с IP адрес, който е свързан към вътрешната мрежа, трябва да е от тип LAN; интерфейс, който е свързан с интернет - WAN.

Ако има няколко WAN интерфейса, тогава трябва да изберете основния WAN интерфейс, през който ще преминава целият трафик, като щракнете с десния бутон върху него и изберете „Задаване като основна връзка“. Ако планирате да използвате друг WAN интерфейс като резервен канал, препоръчваме да използвате "Съветника за настройка".

внимание!Когато конфигурирате резервна връзка, се препоръчва да посочите не DNS име на хост, а IP адрес, така че UserGate Proxy&Firewall периодично да го проверява чрез icmp(ping) заявки и да включва резервната връзка, ако няма отговор. Уверете се, че DNS сървърите в настройките на мрежовия адаптер за архивиране в Windows са здрави.

Потребители и групи

За да може клиентският компютър да бъде оторизиран на шлюза и да има достъп до услугите UserGate Proxy&Firewall и NAT, трябва да добавите потребители. За да опростите тази процедура, използвайте функцията за сканиране - "Сканиране на локална мрежа". UserGate Proxy&Firewall автоматично ще сканира локалната мрежа и ще предостави списък с хостове, които могат да бъдат добавени към списъка с потребители. След това можете да създавате групи и да включвате потребители в тях.

Ако имате внедрен домейн контролер, тогава можете да настроите синхронизиране на групи с групи в Active Directory или да импортирате потребители от Active Directory, без постоянна синхронизация с Active Directory.

Създаваме група, която ще се синхронизира с група или групи от AD, въвеждаме необходимите данни в менюто „Синхронизиране с AD“ и рестартираме услугата UserGate с помощта на агента UserGate. След 300 сек. потребителите автоматично се импортират в групата. Методът на оторизация на тези потребители ще бъде зададен на AD.

Защитна стена

За правилната и безопасна работа на шлюза е необходимо непременноконфигурирайте защитната стена.

Препоръчва се следният алгоритъм за работа на защитната стена: откажете целия трафик и след това добавете разрешаващи правила в необходимите посоки. За да направите това, правилото #NONUSER# трябва да бъде настроено на режим "Отказ" (това ще забрани целия локален трафик на шлюза). Внимателно!Ако конфигурирате UserGate Proxy & Firewall дистанционно, ще последва прекъсване на връзката със сървъра. След това трябва да създадете разрешителни правила.

Разрешаваме целия локален трафик на всички портове от шлюза към локалната мрежа и от локалната мрежа до шлюза, като създаваме правила със следните параметри:

Източник - "LAN", дестинация - "Всички", услуги - ANY:FULL, действие - "Разрешаване"
Източник - "Any", местоназначение - "LAN", услуги - ANY:FULL, действие - "Allow"

След това създаваме правило, което ще отвори достъп до интернет за шлюза:

Източник - "WAN"; дестинация - "Всяка"; услуги - ANY:FULL; действие - "Разрешаване"

Ако трябва да разрешите достъп на входящи връзки на всички портове към шлюза, тогава правилото ще изглежда така:

Източник - "Всеки"; дестинация - "WAN"; услуги - ANY:FULL; действие - "Разрешаване"

И ако имате нужда шлюзът да приема входящи връзки, например само чрез RDP (TCP:3389) и може да бъде пингован отвън, тогава трябва да създадете следното правило:

Източник - "Всеки"; дестинация - "WAN"; услуги - Всякакви ICMP, RDP; действие - "Разрешаване"

Във всички останали случаи, от съображения за сигурност, не е необходимо да създавате правило за входящи връзки.

За да разрешите на клиентските компютри достъп до интернет, трябва да създадете правило за преобразуване на мрежови адреси (NAT).

Източник - "LAN"; дестинация - "WAN"; услуги - ANY:FULL; действие - "Разрешаване"; Изберете потребителите или групите, на които искате да предоставите достъп.

Възможно е да конфигурирате правила на защитната стена - да разрешите това, което е изрично забранено и обратно, да забраните това, което е изрично разрешено, в зависимост от това как конфигурирате правилото #NON_USER# и каква политика имате във фирмата. Всички правила имат приоритет - правилата работят в ред отгоре надолу.

Могат да се видят опции за различни настройки и примери за правила на защитната стена.

Други настройки

Освен това в секцията услуги - прокси можете да активирате необходимите прокси сървъри - HTTP, FTP, SMTP, POP3, SOCKS. Изберете желаните интерфейси, активирането на опцията „слушайте на всички интерфейси“ ще бъде несигурно, тъй като проксито в този случай ще бъде достъпно както на LAN интерфейси, така и на външни интерфейси. „Прозрачният“ прокси режим насочва целия трафик на избрания порт към прокси порта, като в този случай не е необходимо да се указва прокси на клиентските компютри. Проксито също остава достъпно на порта, посочен в настройките на самия прокси сървър.

Ако режимът на прозрачен прокси е активиран на сървъра (Услуги - Настройки на прокси), тогава е достатъчно да посочите сървъра на UserGate като основен шлюз в мрежовите настройки на клиентската машина. Можете също да посочите сървъра на UserGate като DNS сървър, в този случай той трябва да бъде активиран.

Ако прозрачният режим е деактивиран на сървъра, тогава трябва да посочите адреса на сървъра на UserGate и съответния прокси порт, посочени в Услуги - Настройки на прокси в настройките за връзка на браузъра. Можете да видите пример за настройка на сървъра UserGate за такъв случай.

Ако вашата мрежа има конфигуриран DNS сървър, можете да го посочите в настройките за пренасочване на DNS на UserGate и настройките на WAN адаптера на UserGate. В този случай, както в режим NAT, така и в режим на прокси, всички DNS заявки ще бъдат насочени към този сървър.