اشتراک گذاری دسترسی به اینترنت بین کاربران شبکه محلی یکی از رایج ترین کارهایی است که مدیران سیستم باید با آن روبرو شوند. با این حال، هنوز هم مشکلات و سوالات زیادی را ایجاد می کند. به عنوان مثال - چگونه از حداکثر امنیت و مدیریت کامل اطمینان حاصل کنیم؟

مقدمه

امروز نگاهی دقیق تر به نحوه سازماندهی اشتراک گذاری اینترنت برای کارکنان یک شرکت فرضی خواهیم داشت. بیایید فرض کنیم که تعداد آنها در محدوده 50-100 نفر خواهد بود و تمام خدمات معمول برای چنین سیستم های اطلاعاتی در شبکه محلی مستقر می شوند: دامنه ویندوز، سرور پست الکترونیکی، سرور FTP.

برای ارائه اشتراک گذاری، از راه حلی به نام UserGate Proxy & Firewall استفاده می کنیم. چندین ویژگی دارد. اولا، این یک توسعه کاملاً روسی است، بر خلاف بسیاری از محصولات محلی. ثانیا بیش از ده سال سابقه دارد. اما مهمترین چیز توسعه مداوم محصول است.

اولین نسخه‌های این راه‌حل، سرورهای پروکسی نسبتاً ساده‌ای بودند که فقط می‌توانستند یک اتصال اینترنتی را به اشتراک بگذارند و آمار استفاده از آن را حفظ کنند. گسترده ترین در میان آنها بیلد 2.8 بود که هنوز هم در دفاتر کوچک یافت می شود. خود توسعه دهندگان دیگر آخرین نسخه ششم را سرور پروکسی نمی نامند. به گفته آنها، این یک راه حل کامل UTM است که طیف وسیعی از وظایف مربوط به امنیت و کنترل اقدامات کاربر را پوشش می دهد. بیایید ببینیم که آیا این مورد است.

استقرار پروکسی و فایروال UserGate

در حین نصب، دو مرحله مورد توجه است (مراحل باقیمانده برای نصب هر نرم افزاری استاندارد هستند). اولین مورد انتخاب اجزا است. علاوه بر فایل‌های اصلی، از ما دعوت شده است که چهار جزء سرور دیگر را نصب کنیم - یک VPN، دو آنتی ویروس (پاندا و آنتی ویروس کسپرسکی) و یک مرورگر کش.

ماژول سرور VPN در صورت نیاز نصب می شود، یعنی زمانی که شرکت قصد دارد از دسترسی از راه دور برای کارمندان استفاده کند یا چندین شبکه راه دور را ترکیب کند. نصب آنتی ویروس تنها در صورتی منطقی است که مجوزهای مناسب از شرکت خریداری شده باشد. حضور آنها امکان اسکن ترافیک اینترنت، بومی سازی و مسدود کردن بدافزارها را مستقیماً در دروازه فراهم می کند. مرورگر کش به شما این امکان را می دهد که صفحات وب را که توسط سرور پروکسی ذخیره شده اند مشاهده کنید.

توابع اضافی

ممنوعیت سایت های ناخواسته

این راه حل از فناوری Entensys URL Filtering پشتیبانی می کند. در واقع، این یک پایگاه داده مبتنی بر ابر است که شامل بیش از 500 میلیون سایت به زبان های مختلف است که به بیش از 70 دسته تقسیم می شوند. تفاوت اصلی آن در نظارت دائمی است که طی آن پروژه های وب به طور مداوم نظارت می شوند و با تغییر محتوا به دسته دیگری منتقل می شوند. این به شما این امکان را می‌دهد تا با انتخاب دسته‌های خاص، تمام سایت‌های ناخواسته را با دقت بالایی ممنوع کنید.

استفاده از Entensys URL Filtering باعث افزایش ایمنی کار در اینترنت و همچنین افزایش کارایی کارمندان (با ممنوعیت شبکه های اجتماعی، سایت های سرگرمی و غیره) می شود. با این حال، استفاده از آن نیاز به اشتراک پولی دارد که باید هر سال تمدید شود.

علاوه بر این، توزیع شامل دو جزء دیگر است. اولین مورد "کنسول مدیریت" است. این یک برنامه جداگانه است که همانطور که از نام آن پیداست برای مدیریت سرور پروکسی و فایروال UserGate طراحی شده است. ویژگی اصلی آن امکان اتصال از راه دور است. بنابراین، مدیران یا افرادی که مسئول استفاده از اینترنت هستند نیازی به دسترسی مستقیم به دروازه اینترنت ندارند.

دومین جزء اضافی، آمار وب است. در واقع این یک وب سرور است که به شما امکان می دهد آمار دقیق استفاده از شبکه جهانی توسط کارمندان شرکت را نمایش دهید. از یک طرف، بدون شک، یک جزء مفید و راحت است. از این گذشته ، به شما امکان می دهد بدون نصب نرم افزار اضافی ، از جمله از طریق اینترنت ، داده ها را دریافت کنید. اما از سوی دیگر، منابع سیستم اضافی دروازه اینترنت را اشغال می کند. بنابراین، بهتر است آن را تنها زمانی نصب کنید که واقعاً به آن نیاز است.

مرحله دومی که در هنگام نصب UserGate Proxy & Firewall باید به آن توجه کنید، انتخاب پایگاه داده است. در نسخه‌های قبلی، UGPF فقط می‌توانست با فایل‌های MDB کار کند، که بر عملکرد سیستم به طور کلی تأثیر می‌گذاشت. اکنون یک انتخاب بین دو DBMS وجود دارد - Firebird و MySQL. علاوه بر این، اولین مورد در کیت توزیع گنجانده شده است، بنابراین هنگام انتخاب آن، هیچ دستکاری اضافی لازم نیست. اگر می خواهید از MySQL استفاده کنید، ابتدا باید آن را نصب و پیکربندی کنید. پس از اتمام نصب اجزای سرور، لازم است محل کار مدیران و سایر کارکنان مسئول که می توانند دسترسی کاربران را مدیریت کنند، آماده شود. انجام این کار بسیار آسان است. کافی است کنسول مدیریت را از همان کیت توزیع روی رایانه های کار خود نصب کنید.

توابع اضافی

سرور داخلی VPN

نسخه 6.0 مؤلفه سرور VPN را معرفی کرد. با کمک آن می توانید دسترسی از راه دور ایمن کارمندان شرکت را به شبکه محلی سازماندهی کنید یا شبکه های راه دور شاخه های فردی سازمان را در یک فضای اطلاعاتی واحد ترکیب کنید. این سرور VPN تمام قابلیت های لازم برای ایجاد تونل های سرور به سرور و مشتری به سرور و مسیریابی بین زیرشبکه ها را دارد.

راه اندازی اولیه

تمام پیکربندی UserGate Proxy & Firewall با استفاده از کنسول مدیریت انجام می شود. به طور پیش فرض، پس از نصب، از قبل به سرور محلی متصل است. با این حال، اگر از راه دور از آن استفاده می کنید، باید با مشخص کردن آدرس IP دروازه اینترنت یا نام میزبان، پورت شبکه (به طور پیش فرض 2345) و پارامترهای مجوز، اتصال را به صورت دستی ایجاد کنید.

پس از اتصال به سرور، اولین کاری که باید انجام دهید این است که رابط های شبکه را پیکربندی کنید. می توانید این کار را در تب "Interfaces" در بخش "UserGate Server" انجام دهید. برای کارت شبکه ای که به شبکه محلی "نگاه می کند"، نوع را روی LAN و برای همه اتصالات دیگر - WAN تنظیم می کنیم. اتصالات "موقت"، مانند PPPoE، VPN، به طور خودکار نوع PPP اختصاص داده می شوند.

اگر شرکتی دو یا چند اتصال WAN دارد که یکی از آنها اصلی و بقیه اضافی هستند، می‌توانید افزونگی خودکار را تنظیم کنید. انجام این کار بسیار ساده است. کافی است رابط های لازم را به لیست ذخیره ها اضافه کنید، یک یا چند منبع کنترلی و زمان بررسی آنها را مشخص کنید. اصل عملکرد این سیستم به شرح زیر است. UserGate به طور خودکار در دسترس بودن سایت های کنترل را در بازه زمانی مشخص شده بررسی می کند. به محض توقف پاسخ، محصول به طور خودکار، بدون دخالت مدیر، به کانال پشتیبان تغییر می کند. در همان زمان، بررسی در دسترس بودن منابع کنترل در رابط اصلی ادامه دارد. و به محض موفقیت آمیز بودن، سوئیچ برگشت به طور خودکار انجام می شود. تنها چیزی که باید در هنگام راه اندازی به آن توجه کنید انتخاب منابع کنترلی است. بهتر است چندین سایت بزرگ را بگیرید که عملکرد پایدار آنها تقریباً تضمین شده است.

توابع اضافی

کنترل برنامه های شبکه

UserGate Proxy & Firewall چنین ویژگی جالبی مانند کنترل برنامه های شبکه را پیاده سازی می کند. هدف آن جلوگیری از دسترسی هر نرم افزار غیرمجاز به اینترنت است. به عنوان بخشی از تنظیمات کنترل، قوانینی ایجاد می شود که عملکرد شبکه برنامه های مختلف (با یا بدون نسخه) را مجاز یا مسدود می کند. آن‌ها می‌توانند آدرس‌ها و پورت‌های IP مقصد خاصی را مشخص کنند، که به شما امکان می‌دهد دسترسی نرم‌افزار را به‌طور انعطاف‌پذیر پیکربندی کنید و به آن اجازه می‌دهد فقط اقدامات خاصی را در اینترنت انجام دهد.

کنترل برنامه به شما امکان می دهد یک خط مشی شرکتی واضح در مورد استفاده از برنامه ها ایجاد کنید و تا حدی از گسترش بدافزارها جلوگیری کنید.

پس از آن، می توانید مستقیماً به راه اندازی سرورهای پروکسی بروید. در مجموع، هفت مورد از آنها در راه حل مورد نظر پیاده سازی شده است: برای پروتکل های HTTP (از جمله HTTP)، FTP، SOCKS، POP3، SMTP، SIP و H323. این تقریباً همه چیزهایی است که ممکن است برای کار کارمندان شرکت در اینترنت مورد نیاز باشد. به‌طور پیش‌فرض، فقط پروکسی HTTP فعال است، در صورت لزوم می‌توان بقیه را فعال کرد.

سرورهای پروکسی در UserGate Proxy & Firewall می توانند در دو حالت عادی و شفاف کار کنند. در مورد اول، ما در مورد یک پروکسی سنتی صحبت می کنیم. سرور درخواست های کاربران را دریافت کرده و به سرورهای خارجی ارسال می کند و پاسخ های دریافتی را به مشتریان ارسال می کند. این یک راه حل سنتی است، اما دارای معایبی است. به طور خاص، لازم است هر برنامه ای که برای کار در اینترنت استفاده می شود (مرورگر اینترنت، سرویس گیرنده ایمیل، ICQ و غیره) روی هر رایانه در شبکه محلی پیکربندی شود. این البته کار بزرگی است. علاوه بر این، به صورت دوره ای، با نصب نرم افزار جدید، تکرار خواهد شد.

هنگام انتخاب حالت شفاف، از یک درایور NAT ویژه استفاده می شود که در بسته تحویل راه حل مورد نظر موجود است. به پورت‌های مناسب گوش می‌دهد (هشتادمین برای HTTP، بیست و یکمین برای FTP، و غیره)، درخواست‌های دریافتی روی آن‌ها را شناسایی می‌کند و آن‌ها را به سرور پراکسی ارسال می‌کند، از آنجا که بیشتر ارسال می‌شوند. این راه حل از این نظر موفق تر است که پیکربندی نرم افزار در ماشین های مشتری دیگر مورد نیاز نیست. تنها چیزی که لازم است این است که آدرس IP دروازه اینترنت را به عنوان دروازه اصلی در اتصال شبکه تمام ایستگاه های کاری مشخص کنید.

مرحله بعدی راه اندازی ارسال پرس و جو DNS است. این میتواند با دو راه انجام شود. ساده ترین آنها فعال کردن به اصطلاح DNS Forwarding است. هنگام استفاده از آن، درخواست های DNS که از کلاینت ها به دروازه اینترنت می آیند به سرورهای مشخص شده هدایت می شوند (می توانید از یک سرور DNS از تنظیمات اتصال شبکه یا هر سرور DNS دلخواه استفاده کنید).

گزینه دوم ایجاد یک قانون NAT است که درخواست ها را در پورت 53 (استاندارد DNS) دریافت کرده و آنها را به شبکه خارجی ارسال می کند. با این حال، در این مورد، یا باید سرورهای DNS را در تمام رایانه‌ها در تنظیمات اتصال شبکه به صورت دستی ثبت کنید یا ارسال پرس‌وجوهای DNS را از طریق دروازه اینترنت از سرور کنترل‌کننده دامنه پیکربندی کنید.

مدیریت کاربر

پس از تکمیل تنظیمات اولیه، می توانید به کار با کاربران ادامه دهید. شما باید با ایجاد گروه‌هایی شروع کنید که حساب‌ها متعاقباً در آنها ترکیب می‌شوند. این برای چیست؟ اول، برای ادغام بعدی با Active Directory. و ثانیا، می توانید قوانینی را به گروه ها اختصاص دهید (در ادامه در مورد آنها صحبت خواهیم کرد)، بنابراین دسترسی تعداد زیادی از کاربران را به طور همزمان کنترل کنید.

مرحله بعدی اضافه کردن کاربران به سیستم است. این را می توان به سه روش مختلف انجام داد. اولین آنها، ایجاد دستی هر حساب، ما حتی به دلایل واضح در نظر نمی گیریم. این گزینه فقط برای شبکه های کوچک با تعداد کم کاربر مناسب است. راه دوم اسکن شبکه شرکتی با درخواست های ARP است که طی آن سیستم خود لیست حساب های ممکن را تعیین می کند. با این حال، گزینه سوم را انتخاب می کنیم که از نظر سادگی و سهولت مدیریت بهینه ترین است - ادغام با Active Directory. این بر اساس گروه های قبلا ایجاد شده انجام می شود. ابتدا باید تنظیمات ادغام عمومی را پر کنید: دامنه، آدرس کنترلر آن، نام کاربری و رمز عبور کاربر با حقوق دسترسی لازم به آن و همچنین فاصله همگام سازی را مشخص کنید. پس از آن، به هر گروه ایجاد شده در UserGate باید یک یا چند گروه از Active Directory اختصاص داده شود. در واقع، تنظیمات اینجا به پایان می رسد. پس از ذخیره تمام پارامترها، همگام سازی به صورت خودکار انجام می شود.

کاربرانی که در طول مجوز ایجاد می شوند به طور پیش فرض از مجوز NTLM استفاده می کنند، یعنی مجوز ورود به دامنه. این یک گزینه بسیار راحت است، زیرا قوانین و سیستم حسابداری ترافیک بدون در نظر گرفتن اینکه کاربر در حال حاضر روی کدام رایانه نشسته کار می کند.

درست است، برای استفاده از این روش مجوز، نرم افزار اضافی مورد نیاز است - یک مشتری خاص. این برنامه در سطح Winsock کار می کند و پارامترهای مجوز کاربر را به دروازه اینترنت ارسال می کند. کیت توزیع آن در بسته توزیع UserGate Proxy & Firewall موجود است. با استفاده از خط مشی های گروه ویندوز می توانید به سرعت کلاینت را در تمام ایستگاه های کاری نصب کنید.

به هر حال، مجوز NTLM به دور از تنها روش اجازه دادن به کارمندان شرکت برای کار در اینترنت است. به عنوان مثال، اگر سازمانی به سختی کارگران را به ایستگاه های کاری متصل کند، می توانید از یک آدرس IP، یک آدرس MAC یا ترکیبی از هر دو برای شناسایی کاربران استفاده کنید. با استفاده از همین روش ها می توانید دسترسی به شبکه جهانی سرورهای مختلف را سازماندهی کنید.

کنترل کاربر

یکی از مزایای قابل توجه UGPF دامنه وسیع کنترل کاربر است. آنها با استفاده از یک سیستم قوانین کنترل ترافیک اجرا می شوند. اصل کار آن بسیار ساده است. مدیر (یا شخص مسئول دیگر) مجموعه ای از قوانین را ایجاد می کند که هر یک از آنها بیانگر یک یا چند شرایط محرک و اقدامی است که باید انجام شود. این قوانین به تک تک کاربران یا کل گروه های آنها اختصاص داده می شود و به شما امکان می دهد به طور خودکار کار آنها را در اینترنت کنترل کنید. در مجموع چهار عمل ممکن وجود دارد. اولین مورد این است که اتصال را ببندید. به عنوان مثال، این امکان را به شما می دهد که دانلود فایل های خاص را ممنوع کنید، از بازدید از سایت های ناخواسته و غیره جلوگیری کنید. مرحله دوم تغییر تعرفه است. در سیستم صورتحساب استفاده می شود که در محصول مورد بررسی ادغام شده است (ما آن را در نظر نمی گیریم، زیرا به ویژه برای شبکه های شرکتی مرتبط نیست). عمل بعدی به شما امکان می دهد تعداد ترافیک دریافتی در این اتصال را غیرفعال کنید. در این حالت هنگام جمع بندی مصرف روزانه، هفتگی و ماهانه اطلاعات ارسالی در نظر گرفته نمی شود. و در نهایت آخرین اقدام محدود کردن سرعت به مقدار مشخص شده است. استفاده از آن برای جلوگیری از "انسداد" کانال هنگام دانلود فایل های حجیم و حل سایر مشکلات مشابه بسیار راحت است.

شرایط بسیار بیشتری در قوانین کنترل ترافیک وجود دارد - حدود ده. برخی از این موارد نسبتا ساده هستند، مانند حداکثر اندازه فایل. زمانی که کاربران سعی می کنند فایلی بزرگتر از اندازه مشخص شده آپلود کنند، این قانون فعال می شود. شرایط دیگر به زمان گره خورده است. به طور خاص، در میان آنها می توان به برنامه (راه اندازی بر اساس زمان و روزهای هفته) و تعطیلات (در روزهای مشخص شده) اشاره کرد.

با این حال، جالب ترین شرایط مربوط به سایت ها و محتوا است. به طور خاص، می توان از آنها برای مسدود کردن یا تنظیم اقدامات دیگر بر روی انواع خاصی از محتوا (به عنوان مثال، ویدئو، صدا، فایل های اجرایی، متن، تصاویر و غیره)، پروژه های وب خاص یا کل دسته های آنها استفاده کرد (برای این، URL Entensys فن آوری فیلتر استفاده می شود، به نوار کناری مراجعه کنید).

قابل توجه است که یک قانون می تواند چندین شرط را در آن واحد داشته باشد. در همان زمان، مدیر می تواند تعیین کند که در چه صورت اجرا شود - اگر همه شرایط یا هر یک از آنها برآورده شود. این به شما امکان می دهد با در نظر گرفتن تعداد زیادی تفاوت های ظریف، یک خط مشی بسیار انعطاف پذیر برای استفاده از اینترنت توسط کارمندان شرکت ایجاد کنید.

پیکربندی فایروال

بخش جدایی ناپذیر درایور NAT UserGate یک فایروال است که با کمک آن وظایف مختلف مربوط به پردازش ترافیک شبکه حل می شود. برای پیکربندی از قوانین خاصی استفاده می شود که می تواند یکی از سه نوع باشد: ترجمه آدرس شبکه، مسیریابی و فایروال. هر تعداد قانون می تواند در سیستم وجود داشته باشد. آنها به ترتیبی که در فهرست کلی فهرست شده اند اعمال می شوند. بنابراین، اگر ترافیک ورودی با چندین قانون مطابقت داشته باشد، توسط یکی که بالاتر از سایرین قرار دارد پردازش می شود.

هر قانون با سه پارامتر اصلی مشخص می شود. اولین مورد منبع ترافیک است. این می تواند یک یا چند میزبان خاص، رابط WAN یا LAN دروازه اینترنت باشد. پارامتر دوم هدف اطلاعات است. رابط LAN یا WAN یا اتصال شماره گیری را می توان در اینجا مشخص کرد. آخرین ویژگی اصلی یک قانون یک یا چند سرویس است که در مورد آن اعمال می شود. یک سرویس در UserGate Proxy & Firewall یک جفت از خانواده پروتکل ها (TCP، UDP، ICMP، پروتکل دلخواه) و یک پورت شبکه (یا محدوده ای از پورت های شبکه) است. به‌طور پیش‌فرض، سیستم دارای مجموعه‌ای از خدمات از پیش نصب‌شده است که از سرویس‌های رایج (HTTP، HTTP، DNS، ICQ) تا خدمات خاص (WebMoney، RAdmin، بازی‌های آنلاین مختلف و غیره) را شامل می‌شود. با این حال، در صورت لزوم، مدیر همچنین می تواند خدمات خود را ایجاد کند، به عنوان مثال، کار با یک بانک آنلاین را شرح می دهد.

همچنین، هر قانون یک عمل دارد که با ترافیک مطابق با شرایط انجام می دهد. تنها دو مورد از آنها وجود دارد: مجاز یا ممنوع. در حالت اول تردد در مسیر مشخص شده آزادانه می گذرد و در حالت دوم مسدود می شود.

قوانین ترجمه آدرس شبکه از فناوری NAT استفاده می کنند. با کمک آنها می توانید دسترسی به اینترنت را برای ایستگاه های کاری با آدرس های محلی پیکربندی کنید. برای انجام این کار، باید یک قانون ایجاد کنید که رابط LAN را به عنوان مبدا و رابط WAN را به عنوان مقصد مشخص کند. قوانین مسیریابی در صورتی اعمال می شود که راه حل مورد نظر به عنوان روتر بین دو شبکه محلی استفاده شود (چنین امکانی را پیاده سازی می کند). در این مورد، مسیریابی را می توان برای ترافیک شفاف دو طرفه پیکربندی کرد.

قوانین فایروال برای پردازش ترافیکی استفاده می شود که به سرور پروکسی نمی رود، بلکه مستقیماً به دروازه اینترنت می رود. بلافاصله پس از نصب، سیستم یک قانون دارد که به همه بسته های شبکه اجازه می دهد. در اصل، اگر دروازه اینترنتی ایجاد شده به عنوان یک ایستگاه کاری استفاده نشود، می توان عمل قانون را از "Allow" به "Deny" تغییر داد. در این حالت، هر گونه فعالیت شبکه در رایانه مسدود می شود، به جز بسته های انتقال NAT که از شبکه محلی به اینترنت و بالعکس منتقل می شوند.

قوانین فایروال به شما امکان می دهد هر سرویس محلی را در شبکه جهانی منتشر کنید: سرورهای وب، سرورهای FTP، سرورهای پست الکترونیکی و غیره. در عین حال، کاربران از راه دور این فرصت را دارند که از طریق اینترنت به آنها متصل شوند. به عنوان مثال، انتشار یک سرور FTP شرکتی را در نظر بگیرید. برای انجام این کار، مدیر باید یک قانون ایجاد کند که در آن "Any" را به عنوان منبع انتخاب کنید، رابط WAN مورد نظر را به عنوان مقصد و FTP را به عنوان سرویس مشخص کنید. پس از آن، عمل "Allow" را انتخاب کنید، ترجمه ترافیک را فعال کنید و در قسمت "آدرس مقصد"، آدرس IP سرور FTP محلی و پورت شبکه آن را مشخص کنید.

پس از این پیکربندی، تمام اتصالات ورودی به کارت های شبکه دروازه اینترنت در پورت 21 به طور خودکار به سرور FTP هدایت می شوند. به هر حال، در طول فرآیند راه اندازی، می توانید نه تنها "بومی"، بلکه هر سرویس دیگری را نیز انتخاب کنید (یا خدمات خود را ایجاد کنید). در این صورت، کاربران خارجی باید نه در 21ام، بلکه در یک پورت دیگر تماس بگیرند. این رویکرد زمانی بسیار راحت است که دو یا چند سرویس از یک نوع در سیستم اطلاعاتی وجود داشته باشد. به عنوان مثال، می توانید دسترسی خارجی به پورتال شرکتی را در پورت استاندارد HTTP 80 و دسترسی به آمار وب UserGate را در پورت 81 سازماندهی کنید.

دسترسی خارجی به سرور ایمیل داخلی نیز به همین ترتیب پیکربندی شده است.

یک ویژگی متمایز مهم فایروال پیاده سازی شده یک سیستم جلوگیری از نفوذ است. کاملاً خودکار کار می‌کند، تلاش‌های غیرمجاز را بر اساس امضاها و روش‌های اکتشافی شناسایی می‌کند و با مسدود کردن جریان‌های ترافیکی ناخواسته یا رها کردن اتصالات خطرناک، آنها را یکسان می‌کند.

جمع بندی

در این بررسی، سازماندهی دسترسی مشترک کارکنان شرکت به اینترنت را با جزئیات کافی بررسی کردیم. در شرایط مدرن، این ساده ترین فرآیند نیست، زیرا باید تعداد زیادی از تفاوت های ظریف را در نظر بگیرید. علاوه بر این، هر دو جنبه فنی و سازمانی، به ویژه کنترل اقدامات کاربر مهم هستند.

"UserGate Proxy & Firewall v.6 Administrator's Guide محتویات مقدمه درباره برنامه مورد نیاز سیستم نصب به روز رسانی UserGate Proxy & Firewall Registration..."

-- [ صفحه 1 ] --

UserGate Proxy & Firewall v.6

راهنمای مدیریت

مقدمه

در مورد برنامه

سیستم مورد نیاز

نصب UserGate Proxy & Firewall

ثبت

به روز رسانی و حذف

خط مشی مجوز پروکسی و فایروال UserGate

کنسول مدیریت

راه اندازی اتصال

تنظیم رمز عبور اتصال

احراز هویت مدیر UserGate

تنظیم رمز عبور برای دسترسی به پایگاه آمار UserGate

تنظیمات عمومی NAT (ترجمه آدرس شبکه).

تنظیمات عمومی

راه اندازی رابط

شمارش ترافیک در UserGate

پشتیبانی از کانال پشتیبان

کاربران و گروه ها

همگام سازی با اکتیو دایرکتوری

صفحه آمار شخصی کاربران

پشتیبانی کاربر ترمینال

راه اندازی سرویس ها در یوزر گیت

پیکربندی DHCP

راه اندازی سرویس های پروکسی در UserGate

پشتیبانی از پروتکل های تلفن IP (SIP، H323)

پشتیبانی از حالت SIP Registrar

پشتیبانی از پروتکل H323

پراکسی های ایمیل در UserGate

استفاده از حالت شفاف

پراکسی های آبشاری

واگذاری بندر

تنظیمات کش

بررسی آنتی ویروس

زمانبند در UserGate

تنظیمات DNS

راه اندازی سرور VPN

راه اندازی سیستم تشخیص نفوذ (IDS)

تنظیم هشدارها

فایروال در یوزر گیت

فایروال چگونه کار می کند

ثبت نام رویداد ME

قوانین ترجمه آدرس شبکه (NAT).

کار با چندین ارائه دهنده

انتخاب رابط خروجی خودکار

www.usergate.ru

انتشار منابع شبکه

تنظیم قوانین فیلترینگ

پشتیبانی از مسیریابی

محدودیت سرعت در UserGate

کنترل برنامه

کش اکسپلورر در یوزر گیت

مدیریت ترافیک در یوزر گیت

سیستم قوانین راهنمایی و رانندگی

محدود کردن دسترسی به منابع اینترنتی

Entensys URL Filtering

تعیین محدودیت مصرف ترافیک

محدودیت اندازه فایل

فیلتر کردن بر اساس نوع محتوا

سیستم صدور صورت حساب

صورتحساب دسترسی به اینترنت

رویدادهای دوره ای

تغییر تعرفه دینامیک

مدیریت از راه دور UserGate

راه اندازی یک اتصال از راه دور

راه اندازی مجدد از راه دور سرور UserGate

بررسی در دسترس بودن نسخه جدید

آمار وب UserGate

ارزیابی اثربخشی قوانین کنترل ترافیک

ارزیابی اثربخشی آنتی ویروس

آمار استفاده از SIP

کاربرد

کنترل یکپارچگی UserGate

بررسی راه اندازی

خروجی اطلاعات اشکال زدایی

دریافت پشتیبانی فنی

www.usergate.ru

مقدمه یک سرور پراکسی مجموعه ای از برنامه ها است که به عنوان یک واسطه (از انگلیسی "پروکسی" - "واسطه") بین ایستگاه های کاری کاربر و سایر خدمات شبکه عمل می کند.

این راه حل تمام درخواست های کاربر را به اینترنت منتقل می کند و پس از دریافت پاسخ، آن را پس می فرستد. اگر تابع کش در دسترس باشد، سرور پراکسی ایستگاه های کاری را که به منابع خارجی دسترسی دارند را به خاطر می آورد و اگر درخواست تکرار شود، منبع را از حافظه خود باز می گرداند که به طور قابل توجهی زمان درخواست را کاهش می دهد.

در برخی موارد، درخواست مشتری یا پاسخ سرور ممکن است توسط یک سرور پروکسی برای انجام برخی وظایف، مانند جلوگیری از آلوده کردن ایستگاه‌های کاری توسط ویروس‌ها، تغییر یا مسدود شود.

درباره UserGate Proxy & Firewall یک راه حل جامع برای اتصال کاربران به اینترنت، ارائه حسابداری ترافیک کامل، کنترل دسترسی و حفاظت شبکه داخلی است.

یوزر گیت به شما امکان می دهد دسترسی کاربران به اینترنت را هم از نظر ترافیک و هم بر اساس زمان شبکه شارژ کنید. مدیر می تواند طرح های تعرفه های مختلف را اضافه کند، تعرفه ها را به صورت پویا تغییر دهد، برداشت / جمع آوری وجوه را خودکار کند و دسترسی به منابع اینترنتی را تنظیم کند. فایروال داخلی و ماژول آنتی ویروس به شما امکان می دهد از سرور UserGate محافظت کنید و ترافیک عبوری از آن را برای کدهای مخرب بررسی کنید. می توانید از سرور داخلی و سرویس گیرنده VPN برای اتصال ایمن به شبکه سازمان خود استفاده کنید.

UserGate از چندین بخش تشکیل شده است: سرور، کنسول مدیریت (UserGateAdministrator) و چندین ماژول اضافی. سرور UserGate (فرآیند usergate.exe) بخش اصلی سرور پروکسی است که تمام عملکردهای آن را اجرا می کند.

سرور UserGate دسترسی به اینترنت را فراهم می کند، شمارش ترافیک را انجام می دهد، آمار فعالیت کاربران در شبکه را حفظ می کند و بسیاری از وظایف دیگر را انجام می دهد.

UserGate Administration Console برنامه ای است که برای مدیریت سرور UserGate طراحی شده است. کنسول مدیریت UserGate از طریق یک پروتکل امن خاص از طریق TCP/IP با بخش سرور ارتباط برقرار می کند که امکان مدیریت سرور از راه دور را فراهم می کند.

UserGate شامل سه ماژول اضافی است: "آمار وب"، "Authorization Client" و "Application Control" ماژول.

www.entensys.ru

سیستم مورد نیاز سرور UserGate توصیه می شود روی رایانه ای با سیستم عامل Windows XP/2003/7/8/2008/2008R2/2012 که از طریق مودم یا هر اتصال دیگری به اینترنت متصل است نصب شود. الزامات سخت افزاری سرور:

–  –  –

نصب UserGate Proxy & Firewall رویه نصب UserGate به راه اندازی فایل نصب و انتخاب گزینه های جادوگر نصب خلاصه می شود. هنگام نصب راه حل برای اولین بار، کافی است گزینه های پیش فرض را رها کنید. پس از اتمام نصب، باید کامپیوتر خود را مجددا راه اندازی کنید.

ثبت نام برای ثبت برنامه، سرور UserGate را راه اندازی کنید، کنسول مدیریت را به سرور متصل کنید و آیتم منو "Help" - "Register product" را انتخاب کنید. هنگامی که کنسول مدیریت را برای اولین بار وصل می کنید، یک گفتگوی ثبت نام با دو گزینه در دسترس ظاهر می شود: یک درخواست برای یک کلید آزمایشی و یک درخواست برای یک کلید با امکانات کامل. درخواست کلید به صورت آنلاین (پروتکل HTTPS) با دسترسی به وب سایت usergate.ru انجام می شود.

هنگام درخواست یک کلید با امکانات کامل، باید یک کد پین ویژه را وارد کنید که پس از خرید توسط UserGate Proxy & Firewall یا توسط سرویس پشتیبانی برای آزمایش صادر می شود. علاوه بر این، هنگام ثبت نام، باید اطلاعات شخصی اضافی (نام کاربری، آدرس ایمیل، کشور، منطقه) را وارد کنید. داده های شخصی صرفاً برای اتصال مجوز به کاربر استفاده می شود و به هیچ وجه توزیع نمی شود. پس از دریافت کلید کامل یا دمو، سرور UserGate به طور خودکار راه اندازی مجدد می شود.

www.usergate.ru

مهم! در حالت نمایشی، سرور UserGate Proxy & Firewall به مدت 30 روز کار می کند. هنگام تماس با Entensys، می توانید یک کد پین ویژه برای آزمایش پیشرفته درخواست کنید. به عنوان مثال، شما می توانید یک کلید دمو برای سه ماه درخواست کنید. دریافت مجدد مجوز آزمایشی بدون وارد کردن پین کد توسعه یافته خاص امکان پذیر نیست.

مهم! هنگامی که UserGate Proxy & Firewall در حال اجرا است، وضعیت کلید ثبت نام به صورت دوره ای بررسی می شود. برای عملکرد صحیح یوزر گیت، لازم است اجازه دسترسی به اینترنت از طریق پروتکل HTTPS داده شود. این برای بررسی وضعیت کلید آنلاین مورد نیاز است. اگر تأیید کلید سه بار ناموفق باشد، مجوز سرور پراکسی بازنشانی می‌شود و گفتگوی ثبت برنامه ظاهر می‌شود. این برنامه یک شمارنده برای حداکثر تعداد فعال سازی که 10 بار است پیاده سازی می کند. پس از فراتر رفتن از این محدودیت، تنها پس از تماس با خدمات پشتیبانی در آدرس: http://entensys.ru/support، قادر خواهید بود محصول را با کلید خود فعال کنید.

ارتقا و حذف نسخه جدید UserGate Proxy & Firewall v.6 را می توان بر روی نسخه های قبلی خانواده پنجم نصب کرد. در این حالت، جادوگر نصب فایل تنظیمات سرور config.cfg و فایل آمار log.mdb را ذخیره یا بازنویسی می کند. هر دو فایل در دایرکتوری قرار دارند که UserGate در آن نصب شده است (از این پس به عنوان "%UserGate%" نامیده می شود). سرور UserGate v.6 از فرمت تنظیمات UserGate v.4,5 پشتیبانی می کند، بنابراین هنگامی که سرور برای اولین بار راه اندازی شد، تنظیمات به صورت خودکار به فرمت جدید منتقل می شوند.

سازگاری به عقب تنظیمات پشتیبانی نمی شود.

توجه! برای فایل آمار، فقط انتقال موجودی کاربر فعلی پشتیبانی می شود، خود آمار ترافیک منتقل نمی شود.

تغییرات پایگاه داده به دلیل مشکلات مربوط به عملکرد قدیمی و محدودیت در اندازه آن ایجاد شده است. پایگاه داده جدید Firebird این اشکالات را ندارد.

حذف نصب سرور UserGate از طریق آیتم منوی Start مربوطه Programs یا از طریق آیتم Add/Remove Programs (برنامه ها و ویژگی ها در ویندوز 7/2008/2012) در کنترل پنل ویندوز انجام می شود. پس از حذف یوزر گیت، برخی از فایل ها در دایرکتوری نصب برنامه باقی می مانند، مگر اینکه گزینه delete all تنظیم شده باشد.

خط مشی مجوز پروکسی و فایروال UserGate سرور UserGate برای ارائه دسترسی به اینترنت برای کاربران LAN طراحی شده است. حداکثر تعداد کاربرانی که می توانند به طور همزمان از طریق UserGate در اینترنت کار کنند با تعداد "جلسات" مشخص می شود و با کلید ثبت نام مشخص می شود.

کلید ثبت نام UserGate v.6 منحصر به فرد است و با نسخه های قبلی UserGate مطابقت ندارد. در دوره دمو، راه حل به مدت 30 روز با محدودیت پنج جلسه کار می کند. مفهوم "جلسه" را نباید با تعداد برنامه های اینترنتی یا اتصالاتی که کاربر راه اندازی می کند اشتباه گرفت. تعداد اتصالات یک کاربر می تواند هر چیزی باشد، مگر اینکه به طور خاص محدود باشد.

www.usergate.ru

ماژول های ضد ویروس ساخته شده در UserGate (از Kaspersky Lab، Panda Security و Avira)، و همچنین ماژول Entensys URL Filtering، به طور جداگانه مجوز دارند. در نسخه آزمایشی یوزر گیت، ماژول های داخلی می توانند به مدت 30 روز کار کنند.

ماژول Entensys URL Filtering که برای کار با دسته بندی سایت ها طراحی شده است، امکان کار در حالت نمایشی را برای مدت 30 روز فراهم می کند. هنگام خرید UserGate Proxy & Firewall با ماژول فیلتر، مجوز Entensys URL Filtering به مدت یک سال معتبر است. هنگامی که اشتراک منقضی شود، فیلتر کردن منابع از طریق ماژول متوقف می شود.

www.usergate.ru

Administration Console برنامه ای است که برای مدیریت یک سرور UserGate محلی یا راه دور طراحی شده است. برای استفاده از کنسول مدیریت، باید سرور UserGate را با انتخاب مورد Start UserGate server در منوی زمینه عامل UserGate (نماد در سینی سیستم، از این پس

- "عامل"). اگر کنسول مدیریت روی رایانه دیگری نصب شده باشد، می توانید کنسول مدیریت را از طریق منوی زمینه عامل یا از طریق آیتم منوی Start Programs راه اندازی کنید. برای کار با تنظیمات، باید کنسول مدیریت را به سرور متصل کنید.

تبادل داده بین کنسول مدیریت و سرور UserGate با استفاده از پروتکل SSL انجام می شود. هنگامی که اتصال اولیه می شود (SSLHandshake)، احراز هویت یک طرفه انجام می شود، که طی آن سرور UserGate گواهی خود را به کنسول مدیریت، واقع در فهرست %UserGate%\ssl ارسال می کند. گواهی یا رمز عبور از سمت کنسول مدیریت برای اتصال لازم نیست.

پیکربندی اتصالات در اولین راه‌اندازی، کنسول مدیریت به صفحه اتصالات باز می‌شود که یک اتصال واحد به سرور لوکال هاست برای کاربر Administrator دارد. رمز اتصال تنظیم نشده است. می توانید با دوبار کلیک کردن روی خط localhost-administrator یا با کلیک کردن روی دکمه Connect در کنترل پنل، کنسول مدیریت را به سرور متصل کنید. می توانید چندین اتصال را در کنسول مدیریت UserGate ایجاد کنید. تنظیمات اتصال شامل گزینه های زیر است:

نام سرور نام اتصال است.

نام کاربری - برای اتصال به سرور وارد شوید.

آدرس سرور – نام دامنه یا آدرس IP سرور UserGate.

پورت - پورت TCP که برای اتصال به سرور استفاده می شود (پورت 2345 به طور پیش فرض استفاده می شود).

رمز عبور - رمز عبور برای اتصال؛

درخواست رمز عبور هنگام اتصال - این گزینه به شما امکان می دهد هنگام اتصال به سرور، یک گفتگو برای وارد کردن نام کاربری و رمز عبور نمایش دهید.

اتصال خودکار به این سرور - کنسول مدیریت در هنگام راه اندازی به طور خودکار به این سرور متصل می شود.

تنظیمات کنسول مدیریت در فایل console.xml واقع در پوشه %UserGate%\Administrator\ ذخیره می‌شوند. در سمت سرور UserGate، نام کاربری و هش md5 ​​رمز عبور برای اتصال در فایل config.cfg واقع در پوشه %UserGate_data ذخیره می‌شود، جایی که %UserGate_data% پوشه Windows XP است - (C:\Documents and Settings\ همه www.usergate.ru Users\Application Data\Entensys\UserGate6)، برای پوشه Windows 7/2008 - (C:\Documents and Settings\All Users\Entensys\UserGate6) تنظیم رمز عبور اتصال شما می توانید یک لاگین و رمز عبور ایجاد کنید در صفحه تنظیمات عمومی در قسمت تنظیمات مدیریت به سرور UserGate متصل شوید. در همین قسمت می توانید پورت TCP را برای اتصال به سرور مشخص کنید. برای اعمال تنظیمات جدید، باید سرور UserGate (مورد Restart UserGate server در منوی عامل) را مجددا راه اندازی کنید. پس از راه اندازی مجدد سرور، تنظیمات جدید نیز باید در تنظیمات اتصال در کنسول مدیریت مشخص شود. در غیر این صورت، مدیر قادر به اتصال به سرور نخواهد بود.

توجه! برای جلوگیری از بروز مشکل در عملکرد کنسول مدیریت UserGate، تغییر این تنظیمات توصیه نمی شود!

احراز هویت مدیر UserGate برای اتصال موفقیت آمیز کنسول مدیریت به سرور UserGate، سرپرست باید رویه احراز هویت را در سمت سرور انجام دهد.

احراز هویت مدیر پس از برقراری اتصال SSL کنسول مدیریت به سرور UserGate انجام می شود. کنسول ورود و هش md5 ​​رمز عبور مدیر را به سرور ارسال می کند. سرور UserGate داده های دریافتی را با آنچه در فایل تنظیمات config.cfg مشخص شده است مقایسه می کند.

اگر داده های دریافتی از کنسول مدیریت با آنچه در تنظیمات سرور مشخص شده است مطابقت داشته باشد، احراز هویت موفقیت آمیز تلقی می شود. اگر احراز هویت ناموفق باشد، سرور UserGate اتصال SSL را با کنسول مدیریت قطع می کند. نتیجه فرآیند احراز هویت در فایل usergate.log واقع در پوشه %UserGate_data%\logging\ ثبت می‌شود.

تنظیم رمز عبور برای دسترسی به پایگاه داده آمار UserGate آمار کاربران - ترافیک، منابع بازدید شده و غیره.

توسط سرور UserGate در یک پایگاه داده خاص ثبت می شوند. دسترسی به پایگاه داده مستقیماً (برای پایگاه داده داخلی Firebird) یا از طریق درایور ODBC انجام می شود که به سرور UserGate امکان می دهد تقریباً با هر قالبی (MSAccess، MSSQL، MySQL) با پایگاه داده کار کند. به طور پیش فرض، پایگاه داده Firebird استفاده می شود - %UserGate_data%\usergate.fdb. ورود و رمز عبور برای دسترسی به پایگاه داده - SYSDBA\masterkey. می‌توانید رمز عبور دیگری را از طریق تنظیمات عمومی تنظیمات پایگاه داده کنسول مدیریت تنظیم کنید.

تنظیمات عمومی NAT (ترجمه آدرس شبکه) آیتم تنظیمات عمومی NAT به شما امکان می دهد مقدار وقفه زمانی اتصالات NAT را از طریق پروتکل های TCP، UDP یا ICMP تنظیم کنید. مقدار مهلت زمانی که انتقال داده از طریق اتصال کامل می شود، طول عمر اتصال کاربر از طریق NAT را تعیین می کند. گزینه Output debug logs برای اشکال زدایی در نظر گرفته شده است و در صورت لزوم امکان فعال کردن حالت ثبت پیشرفته پیام ها را در درایور NAT UserGate می دهد.

آشکارساز حمله یک گزینه ویژه است که به شما امکان می دهد از مکانیسم داخلی برای نظارت و مسدود کردن اسکنر پورت استفاده کنید یا www.usergate.ru تلاش می کند تمام پورت های سرور را تصرف کند. این ماژول در حالت خودکار کار می کند، رویدادها در فایل %UserGate_data%\logging\fw.log نوشته می شوند.

توجه! تنظیمات این ماژول از طریق فایل پیکربندی config.cfg، گزینه های بخش قابل تغییر است.

تنظیمات عمومی مسدود کردن بر اساس رشته مرورگر - لیستی از مرورگرهای User-Agent که می توانند توسط سرور پروکسی مسدود شوند. آن ها برای مثال می توانید از دسترسی مرورگرهای قدیمی مانند IE 6.0 یا Firefox 3.x به اینترنت جلوگیری کنید.

www.usergate.ru پیکربندی رابط‌ها بخش رابط‌ها (شکل 1) بخش اصلی در تنظیمات سرور UserGate است، زیرا مواردی مانند صحت شمارش ترافیک، توانایی ایجاد قوانین برای دیوار آتش، محدود کردن عرض را تعیین می‌کند. کانال اینترنت برای نوع خاصی از ترافیک، ایجاد روابط بین شبکه ها و ترتیب پردازش بسته ها توسط درایور NAT (ترجمه آدرس شبکه).

شکل 1. پیکربندی رابط های سرور بخش رابط ها همه رابط های شبکه موجود سروری که UserGate روی آن نصب شده است، از جمله اتصالات Dial-Up (VPN، PPPoE) را فهرست می کند.

برای هر آداپتور شبکه، مدیر UserGate باید نوع آن را مشخص کند. بنابراین، برای یک آداپتور متصل به اینترنت، باید نوع WAN را انتخاب کنید، برای آداپتور متصل به یک شبکه محلی، نوع LAN را انتخاب کنید.

شما نمی توانید نوع اتصال Dial-Up (VPN، PPPoE) را تغییر دهید. برای چنین اتصالاتی، سرور UserGate به طور خودکار نوع رابط PPP را تنظیم می کند.

می توانید با دوبار کلیک کردن بر روی رابط مربوطه، نام کاربری و رمز عبور را برای اتصال Dial-Up (VPN) مشخص کنید. رابطی که در بالای لیست قرار دارد، اتصال اصلی اینترنت است.

شمارش ترافیک در UserGate ترافیک عبوری از سرور UserGate بر روی کاربر شبکه محلی که آغازگر اتصال است یا در سرور www.usergate.ru UserGate ثبت می شود اگر سرور آغازگر اتصال باشد. یک کاربر ویژه برای ترافیک سرور در آمار UserGate - UserGate Server در نظر گرفته شده است. حساب کاربر UserGate Server با ترافیک به‌روزرسانی پایگاه‌داده‌های ضد ویروس برای ماژول‌های داخلی Kaspersky Lab، Panda Security، Avira و همچنین ترافیک تفکیک نام از طریق ارسال DNS محاسبه می‌شود.

ترافیک به طور کامل همراه با سرفصل های سرویس در نظر گرفته می شود.

علاوه بر این، قابلیت در نظر گرفتن هدرهای اترنت اضافه شده است.

اگر انواع آداپتورهای شبکه سرور (LAN یا WAN) به درستی مشخص شده باشند، ترافیک در جهت "شبکه محلی - سرور UserGate" (به عنوان مثال، دسترسی به منابع شبکه مشترک روی سرور) در نظر گرفته نمی شود.

مهم! وجود برنامه های شخص ثالث - فایروال ها یا آنتی ویروس ها (با عملکرد بررسی ترافیک) - می تواند به طور قابل توجهی بر محاسبه صحیح ترافیک در UserGate تأثیر بگذارد. نصب برنامه های شبکه شخص ثالث روی رایانه با UserGate توصیه نمی شود!

پشتیبانی از کانال پشتیبان صفحه رابط ها شامل تنظیمات کانال پشتیبان است. با کلیک بر روی دکمه Setup Wizard می توانید رابطی را که به عنوان کانال پشتیبان استفاده می شود انتخاب کنید. صفحه دوم مجموعه ای از میزبان ها را پیاده سازی می کند که توسط یک سرور پروکسی برای اتصال به اینترنت بررسی می شود. در بازه زمانی مشخص شده، راه حل در دسترس بودن این میزبان ها را با درخواست ICMP Echo بررسی می کند. اگر پاسخی از حداقل یک میزبان داده شده برگردد، اتصال فعال در نظر گرفته می شود. اگر پاسخی از هیچ میزبانی دریافت نشود، اتصال غیر فعال در نظر گرفته می شود و دروازه اصلی در سیستم به دروازه کانال پشتیبان تغییر می کند. اگر در همان زمان قوانین NAT با یک رابط Masquerade ویژه که به عنوان یک رابط خارجی مشخص شده است ایجاد شده باشند، چنین قوانینی مطابق با جدول مسیریابی فعلی دوباره ایجاد می شوند. قوانین NAT ایجاد شده از طریق کانال پشتیبان شروع به کار خواهند کرد.

شکل 2. جادوگر پیکربندی کانال پشتیبان www.

usergate.ru به عنوان یک اتصال پشتیبان، سرور UserGate می تواند از یک اتصال اترنت (کانال اختصاصی، رابط WAN) و یک اتصال Dial-Up (VPN، PPPoE) (واسط PPP) استفاده کند. پس از تغییر به اتصال اینترنتی پشتیبان، سرور UserGate به صورت دوره ای در دسترس بودن کانال اصلی را بررسی می کند. اگر عملکرد آن بازیابی شود، برنامه کاربران را به اتصال اصلی اینترنت سوئیچ می کند.

www.usergate.ru

کاربران و گروه ها برای دسترسی به اینترنت، باید کاربرانی را در UserGate ایجاد کنید. برای راحتی مدیریت، کاربران را می توان به گروه ها بر اساس قلمرو یا سطح دسترسی ترکیب کرد. از نظر منطقی، ترکیب کردن کاربران در گروه ها با توجه به سطوح دسترسی بسیار صحیح است، زیرا در این حالت کار با قوانین کنترل ترافیک بسیار ساده تر است. به طور پیش فرض، UserGate تنها یک گروه دارد - پیش فرض.

می توانید از طریق آیتم افزودن کاربر جدید یا با کلیک بر روی دکمه افزودن در کنترل پنل در صفحه کاربران و گروه ها یک کاربر جدید ایجاد کنید. راه دیگری برای اضافه کردن کاربران وجود دارد - اسکن شبکه با درخواست های ARP. باید روی یک فضای خالی در کنسول مدیریت در صفحه کاربران کلیک کنید و Scan the local network را انتخاب کنید. در مرحله بعد، پارامترهای شبکه محلی را تنظیم کنید و منتظر نتایج اسکن باشید. در نتیجه، لیستی از کاربرانی را مشاهده می کنید که می توانند به UserGate اضافه شوند. پارامترهای اجباری کاربر (شکل 3) عبارتند از نام، نوع مجوز، پارامتر مجوز (آدرس IP، ورود به سیستم و رمز عبور و غیره)، گروه و تعرفه. به طور پیش فرض، همه کاربران به گروه پیش فرض تعلق دارند. نام کاربری در UserGate باید منحصر به فرد باشد. علاوه بر این، در ویژگی های کاربر، می توانید سطح دسترسی کاربر به آمار وب را تعریف کنید، شماره تلفن داخلی را برای H323 تنظیم کنید، تعداد اتصالات را برای کاربر محدود کنید، قوانین NAT، قوانین کنترل ترافیک یا قوانین را برای Application Control فعال کنید. مدول.

شکل 3. نمایه کاربر در UserGate یک کاربر در UserGate تمام ویژگی های گروهی را که به آن تعلق دارد به ارث می برد، به جز تعرفه که می تواند لغو شود.

تعرفه مشخص شده در ویژگی های کاربر برای تعرفه کلیه اتصالات کاربر اعمال خواهد شد. اگر دسترسی به اینترنت شارژ نمی شود، می توانید از تعرفه خالی به نام "پیش فرض" استفاده کنید.

www.usergate.ru

همگام سازی با گروه های کاربری Active Directory در UserGate را می توان با گروه های Active Directory همگام سازی کرد. برای استفاده از همگام سازی با اکتیو دایرکتوری، ماشینی با پروکسی UserGate و فایروال لازم نیست عضو یک دامنه باشد.

همگام سازی در دو مرحله تنظیم می شود. در مرحله اول، در صفحه "گروه ها" کنسول مدیر UserGate (شکل 4)، گزینه Synchronization with AD را فعال کرده و پارامترهای زیر را مشخص کنید:

نام دامنه آدرس IP ورود به سیستم کنترل کننده دامنه و رمز عبور برای دسترسی به اکتیو دایرکتوری (نام کاربری در UPN - فرمت نام اصلی کاربر مجاز است) دوره همگام سازی (در ثانیه) گزینه "همگام سازی گروه ها با AD" و انتخاب یک یا چند گروه از اکتیو دایرکتوری .

در طول همگام سازی، کاربران اکتیو دایرکتوری متعلق به گروه های اکتیو دایرکتوری انتخاب شده در گروه های UserGate قرار می گیرند. نوع مجوز برای کاربران وارد شده "HTTP Imported User State (NTLM)" خواهد بود.

(فعال/غیرفعال) توسط وضعیت حساب مربوطه در دامنه Active Directory کنترل می شود.

www.usergate.ru شکل 4. تنظیم همگام سازی با Active Directory مهم است! برای همگام سازی، باید از عبور پروتکل LDAP بین سرور UserGate و کنترل کننده دامنه اطمینان حاصل کنید.

www.usergate.ru صفحه آمار شخصی کاربر هر کاربر در UserGate این فرصت را دارد که صفحه آمار را مشاهده کند. صفحه آمار شخصی در http://192.168.0.1:8080/statistics.html قابل دسترسی است، به عنوان مثال، 192.168.0.1 آدرس محلی ماشین UserGate و 8080 پورتی است که سرور پراکسی HTTP روی آن است. در حال اجرا است. usergate. کاربر می تواند آمار توسعه یافته شخصی خود را با ورود به سیستم در - http://192.168.0.1:8081 مشاهده کند.

توجه! در نسخه 6.x، رابط شنیداری 127.0.0.1: 8080 اضافه شد، که برای کار کردن آمار وب در زمانی که سرور پروکسی HTTP UserGate غیرفعال است، مورد نیاز است. در این رابطه، پورت 8080 در رابط 127.0.0.1 همیشه توسط UserGate Proxy & Firewall اشغال خواهد شد در حالی که فرآیند usergate.exe در حال اجرا است.

بر اساس آدرس IP بر اساس محدوده IP توسط آدرس IP+MAC توسط آدرس MAC مجوز از طریق HTTP (HTTP-basic, NTLM) مجوز از طریق ورود به سیستم و رمز عبور (Authorization Client) نسخه ساده شده مجوز از طریق Active Directory برای استفاده از سه روش آخر مجوز یک ویژه برنامه باید روی ایستگاه کاری کاربر نصب شود - مشتری مجوز UserGate. بسته MSI مربوطه (AuthClientInstall.msi) در دایرکتوری %UserGate%\tools قرار دارد و می تواند برای نصب خودکار خط مشی گروهی در Active Directory استفاده شود.

الگوی مدیریتی برای نصب مشتری مجوز با استفاده از Active Directory Group Policy نیز در دایرکتوری %UserGate%\tools قرار دارد. در سایت http://usergate.ru/support یک دستورالعمل ویدیویی برای استقرار مشتری مجوز از طریق خط مشی گروه وجود دارد.

اگر سرور UserGate بر روی رایانه ای نصب شده است که در دامنه اکتیو دایرکتوری قرار ندارد، توصیه می شود از گزینه مجوز ساده شده از طریق Active Directory استفاده کنید. در این حالت، سرور UserGate بدون تماس با کنترل کننده دامنه، ورود و نام دامنه دریافتی از مشتری مجوز را با فیلدهای مربوطه مشخص شده در نمایه کاربر مقایسه می کند.

پشتیبانی از کاربران ترمینال برای اجازه دادن به کاربران ترمینال در سرور پروکسی UserGate، از نسخه 6.5، ماژول نرم افزاری ویژه ای به نام "Terminal Authorization Agent" اضافه شد. کیت توزیع برنامه Terminal Agent در پوشه %UserGate%\tools قرار دارد و TerminalServerAgent*.msi نام دارد. برای سیستم های 32 بیتی، باید نسخه "TerminalServerAgent32.msi" و برای سیستم های 64 بیتی، TerminalServerAgent64.msi را انتخاب کنید. این برنامه عاملی است که به صورت دوره ای، هر 90 ثانیه یک بار، اطلاعات مجوز در مورد تمام مشتریان سرور ترمینال را به سرور پروکسی ارسال می کند و درایوری که برای هر مشتری ترمینال جعل پورت را فراهم می کند. ترکیب اطلاعات کاربر و پورت های مرتبط با کاربر به سرور پروکسی اجازه می دهد تا کاربران سرور ترمینال را به دقت شناسایی کند و سیاست های کنترل ترافیک مختلف را برای آنها اعمال کند.

هنگام نصب یک ترمینال، از شما خواسته می شود که آدرس IP سرور پروکسی و تعداد کاربران را مشخص کنید. این برای استفاده بهینه از پورت های TCP\UDP رایگان سرور ترمینال ضروری است.

www.usergate.ru

پس از نصب عامل سرور ترمینال، درخواستی به سرور پروکسی می دهد و اگر همه چیز خوب پیش برود، سه کاربر با مجوز "AD login-password" و "NT AUTHORIY\*" روی سرور ایجاد می شوند.

اگر چنین کاربرانی در کنسول دارید، پس عامل ترمینال شما آماده کار است.

راه اول (همگام سازی با دامنه اکتیو دایرکتوری):

در کنسول مدیر، در صفحه گروه های کاربری در ویژگی های گزینه "همگام سازی با AD" باید پارامترهای صحیح برای مجوز با AD را مشخص کنید.

سپس باید یک گروه کاربری جدید ایجاد کنید و در آن مشخص کنید که کدام گروه کاربری در AD باید با گروه فعلی در سرور پروکسی همگام شود. سپس کاربران شما به این گروه کاربری محلی UserGate Proxy اضافه خواهند شد. این کار راه اندازی سرور پروکسی را کامل می کند. پس از آن، شما باید به عنوان یک کاربر AD وارد سرور ترمینال شوید و به طور خودکار بدون نیاز به وارد کردن لاگین و رمز عبور، روی سرور پروکسی مجاز می شود. کاربران سرور ترمینال را می توان به عنوان کاربران معمولی سرور پروکسی با مجوز توسط آدرس IP مدیریت کرد. آن ها آنها می توانند قوانین NAT و/یا قوانین کنترل ترافیک مختلف را اعمال کنند.

راه دوم (وارد کردن کاربران از دامنه اکتیو دایرکتوری):

از "وارد کردن" کاربران از AD استفاده کنید، با کلیک بر روی دکمه مناسب - "وارد کردن" در رابط کنسول مدیر UserGate در صفحه با کاربران پیکربندی می شود.

شما باید کاربران را از AD به یک گروه محلی خاص در سرور پراکسی وارد کنید. پس از آن تمامی کاربران وارداتی که از سرور ترمینال درخواست دسترسی به اینترنت را خواهند داشت با حقوق تعریف شده در سرور پروکسی یوزر گیت به اینترنت دسترسی خواهند داشت.

راه سوم (استفاده از حساب های سرور ترمینال محلی):

این روش برای آزمایش عملکرد یک عامل ترمینال یا برای مواردی که سرور ترمینال در دامنه اکتیو دایرکتوری قرار ندارد، مناسب است. در این مورد، باید یک کاربر جدید با نوع مجوز Login domain-AD ایجاد کنید، و نام رایانه سرور ترمینال را به عنوان «آدرس دامنه» و نام کاربری که وارد ترمینال می شود را مشخص کنید. سرور به عنوان ورود به سیستم همه کاربرانی که در سرور پروکسی ایجاد می شوند، با حقوق تعریف شده در سرور پروکسی UserGate، از سرور ترمینال به اینترنت دسترسی خواهند داشت.

باید درک کرد که برخی از محدودیت های عامل ترمینال وجود دارد:

پروتکل های غیر از TCP\UDP نمی توانند از سرور ترمینال به اینترنت منتقل شوند. به عنوان مثال، راه اندازی PING از این سرور در هیچ کجای اینترنت از طریق NAT امکان پذیر نخواهد بود.

www.usergate.ru حداکثر تعداد کاربران در یک سرور پایانه نمی تواند از 220 تجاوز کند، در حالی که به هر کاربر بیش از 200 پورت برای پروتکل های TCP\UDP اختصاص داده می شود.

هنگام راه اندازی مجدد سرور پراکسی UserGate، عامل ترمینال تا اولین همگام سازی با سرور پروکسی UserGate (حداکثر 90 ثانیه) کسی را به اینترنت آزاد نمی کند.

مجوز HTTP هنگام کار از طریق یک پروکسی شفاف UserGate نسخه 6 امکان مجوز HTTP را برای سرور پراکسی که در حالت شفاف کار می کند اضافه می کند. اگر مرورگر در ایستگاه کاری کاربر برای استفاده از یک سرور پراکسی پیکربندی نشده باشد، و پراکسی HTTP در UserGate در حالت شفاف فعال باشد، در این صورت درخواست یک کاربر غیرمجاز به صفحه مجوز هدایت می‌شود که نیاز به تعیین یک ورود به سیستم دارد. و رمز عبور

پس از مجوز، این صفحه نیازی به بسته شدن ندارد. صفحه مجوز بطور دوره ای از طریق یک اسکریپت خاص به روز می شود و جلسه کاربر را فعال نگه می دارد. در این حالت کاربر به تمامی سرویس های UserGate از جمله قابلیت کار از طریق NAT دسترسی خواهد داشت. برای پایان دادن به جلسه کاربر، باید روی Logout در صفحه مجوز کلیک کنید یا به سادگی برگه مجوز را ببندید. و پس از 30-60 ثانیه مجوز روی سرور پروکسی ناپدید می شود.

به بسته‌های NetBIOSNameRequest (UDP:137) اجازه دهید بین سرور UserGate و کنترل‌کننده دامنه عبور کنند، اطمینان حاصل کنید که بسته‌های NetBIOSSessionRequest (TCP:139) بین سرور UserGate و کنترل‌کننده دامنه، آدرس و پورت پراکسی UserGate HTTP را در مرورگر تنظیم می‌کند. ماشین کاربر مهم است! برای استفاده از مجوز NTLM، ماشینی که UserGate نصب شده است ممکن است عضو یک دامنه Active Directory نباشد.

استفاده از Authorization Client مشتری مجوز UserGate یک برنامه شبکه است که در سطح Winsock کار می کند که به سرور UserGate در یک پورت UDP خاص متصل می شود (پورت 5456 به طور پیش فرض استفاده می شود) و پارامترهای مجوز کاربر را ارسال می کند: نوع مجوز، ورود به سیستم، رمز عبور و غیره. .

www.usergate.ru

هنگامی که برای اولین بار راه اندازی شد، مشتری مجوز UserGate در HKCU\Software\Policies\Entensys\Authclient در رجیستری سیستم نگاه می کند. تنظیمات به دست آمده از طریق خط مشی گروه دامنه اکتیو دایرکتوری را می توان در اینجا قرار داد. اگر تنظیمات در رجیستری سیستم پیدا نشد، آدرس سرور UserGate باید به صورت دستی در برگه سوم از بالا در مشتری مجوز مشخص شود. پس از تعیین آدرس سرور، روی دکمه Apply کلیک کنید و به تب دوم بروید. این صفحه پارامترهای مجوز کاربر را مشخص می کند. تنظیمات مشتری مجوز در کلید HKCU\Software\Entensys\Authclient در رجیستری سیستم ذخیره می شود. گزارش خدمات مشتری مجوز در پوشه Documents and Settings\%USER%\Application data\UserGate Client ذخیره می‌شود.

علاوه بر این، پیوندی به صفحه آمار شخصی کاربر در مشتری مجوز اضافه شده است. می‌توانید با ویرایش الگوی مربوطه به شکل *.xml که در فهرستی که کلاینت در آن نصب شده است، ظاهر مشتری مجوز را تغییر دهید.

www.usergate.ru

پیکربندی سرویس ها در UserGate پیکربندی DHCP این سرویس به DHCP (پروتکل پیکربندی میزبان پویا) اجازه می دهد تا فرآیند صدور تنظیمات شبکه را به مشتریان در شبکه محلی خودکار کند. در شبکه ای با سرور DHCP، به هر دستگاه شبکه می توان به صورت پویا یک آدرس IP، آدرس دروازه، DNS، سرور WINS و غیره اختصاص داد.

می توانید سرور DHCP را از طریق بخش خدمات رابط DHCP سرور افزودن در کنسول مدیریت UserGate یا با کلیک بر روی دکمه افزودن در کنترل پنل فعال کنید. در گفتگوی ظاهر شده، رابط شبکه ای را که سرور DHCP روی آن اجرا می شود، انتخاب کنید. در حداقل پیکربندی برای سرور DHCP، کافی است پارامترهای زیر را تنظیم کنید: محدوده آدرس IP (مجموعه آدرس)، که از آن سرور آدرس هایی را برای مشتریان در شبکه محلی صادر می کند. ماسک شبکه و زمان اجاره.

حداکثر اندازه استخر در UserGate نمی تواند از 4000 آدرس تجاوز کند. در صورت لزوم، یک یا چند آدرس IP را می توان از مجموعه آدرس انتخابی (دکمه Exclusions) حذف کرد. می توانید با ایجاد یک اتصال مناسب در بخش رزرواسیون، یک آدرس IP دائمی را به یک دستگاه خاص در شبکه اختصاص دهید. ثابت بودن آدرس IP هنگام تمدید یا اخذ اجاره با اتصال (رزرو) به آدرس MAC دستگاه شبکه تضمین می شود. برای ایجاد یک اتصال، فقط باید آدرس IP دستگاه را مشخص کنید.

آدرس MAC به طور خودکار با کلیک بر روی دکمه مناسب مشخص می شود.

شکل 6. پیکربندی سرور DHCP UserGate

سرور DHCP در UserGate از وارد کردن تنظیمات سرور DHCP ویندوز پشتیبانی می کند. تنظیمات DHCP ویندوز ابتدا باید در یک فایل ذخیره شوند. برای انجام این کار، در سروری که Windows DHCP در آن نصب شده است، حالت خط فرمان را شروع کنید (Start Run، تایپ کنید cmd و Enter را فشار دهید) و در پنجره ظاهر شده دستور: netsh dhcp server IP dump filename را اجرا کنید، که IP عبارت است از آدرس IP سرور DHCP شما. تنظیمات وارد کنید

www.usergate.ru

از فایل از طریق دکمه مربوطه در صفحه اول جادوگر پیکربندی سرور DHCP انجام می شود.

آدرس های IP صادر شده در نیمه پایینی پنجره کنسول مدیریت (شکل 8) به همراه اطلاعات مربوط به مشتری (نام کامپیوتر، آدرس MAC)، زمان شروع و پایان اجاره نمایش داده می شود. با انتخاب آدرس IP صادر شده، می توانید یک کاربر به UserGate اضافه کنید، یک اتصال با آدرس MAC ایجاد کنید یا یک آدرس IP را آزاد کنید.

شکل 7. حذف آدرس های صادر شده

آدرس IP منتشر شده پس از مدتی در مخزن آدرس های رایگان سرور DHCP قرار می گیرد. اگر رایانه ای که قبلاً از سرور DHCP UserGate درخواست کرده بود، دیگر در شبکه وجود نداشته باشد یا آدرس MAC خود را تغییر داده باشد، ممکن است عملیات انتشار آدرس IP مورد نیاز باشد.

سرور DHCP این قابلیت را دارد که در هنگام درخواست فایل "wpad.dat" به درخواست های مشتری پاسخ دهد. با استفاده از این روش برای دریافت تنظیمات سرور پروکسی، باید فایل قالب را ویرایش کنید که در پوشه "C:\program files\entensys\usergate6\wwwroot\wpad.dat" قرار دارد.

اطلاعات بیشتر در مورد این روش برای به دست آوردن تنظیمات پروکسی در ویکی پدیا توضیح داده شده است.

پیکربندی سرویس های پراکسی در UserGate سرورهای پراکسی زیر در سرور UserGate ادغام شده اند: HTTP (با پشتیبانی از "FTP over HTTP" و حالت HTTPS، - روش اتصال)، FTP، SOCKS4، SOCKS5، POP3 و SMTP، SIP و H323. تنظیمات سرور پروکسی www.usergate.ru در بخش خدمات تنظیمات پروکسی در کنسول مدیریت موجود است. تنظیمات اصلی سرور پروکسی عبارتند از:

رابط (شکل 9) و شماره پورتی که پراکسی روی آن اجرا می شود.

شکل 8. تنظیمات اصلی سرور پراکسی به طور پیش فرض، UserGate فقط شامل یک پراکسی HTTP است که به پورت TCP 8080 در تمام رابط های شبکه موجود سرور گوش می دهد.

برای پیکربندی مرورگر مشتری برای کار از طریق یک سرور پراکسی، کافی است آدرس و پورت پروکسی را در مورد تنظیمات مربوطه مشخص کنید. در اینترنت اکسپلورر، تنظیمات پراکسی در منوی ابزارها، گزینه های اینترنت تنظیمات اتصال LAN مشخص شده است. هنگام کار از طریق یک پراکسی HTTP، نیازی به تعیین دروازه و DNS در ویژگی های اتصال شبکه TCP / IP در ایستگاه کاری کاربر ندارید، زیرا خود پراکسی HTTP نام ها را حل می کند.

برای هر سرور پراکسی، یک حالت آبشاری به یک سرور پروکسی بالادست در دسترس است.

مهم! پورت مشخص شده در تنظیمات سرور پراکسی به طور خودکار در فایروال UserGate باز می شود. بنابراین، از نظر امنیتی، توصیه می شود در تنظیمات پروکسی فقط رابط های شبکه محلی سرور را مشخص کنید.

مهم! برای اطلاعات بیشتر در مورد تنظیمات مرورگرهای مختلف برای سرور پروکسی، به مقاله ویژه در پایگاه دانش Entensys مراجعه کنید.

پشتیبانی از پروتکل های تلفن IP (SIP، H323) UserGate عملکرد پروکسی حالت SIP Registrar را پیاده سازی می کند. پروکسی SIP در تنظیمات پراکسی بخش خدمات فعال است و همیشه در حالت شفاف کار می کند و به پورت های 5060 TCP و 5060 UDP گوش می دهد. هنگام استفاده از پروکسی SIP در

www.usergate.ru

صفحه Sessions کنسول مدیریت اطلاعاتی را در مورد وضعیت اتصال فعال (ثبت نام، زنگ زدن، انتظار و غیره) و همچنین اطلاعاتی در مورد نام کاربری (یا شماره)، مدت تماس و تعداد ارسال/دریافت نشان می دهد. بایت ها همچنین این اطلاعات در پایگاه آمار UserGate ثبت خواهد شد.

برای استفاده از پراکسی UserGate SIP در ویژگی های TCP/IP در ایستگاه کاری کاربر، باید آدرس IP سرور UserGate را به عنوان دروازه پیش فرض مشخص کنید و حتما آدرس سرور DNS را مشخص کنید.

بیایید پیکربندی بخش مشتری را با استفاده از تلفن نرم افزاری SJPhone و ارائه دهنده Sipnet به عنوان مثال نشان دهیم. SJPhone را راه اندازی کنید، گزینه ها را از منوی زمینه انتخاب کنید و یک نمایه جدید ایجاد کنید. نام نمایه را وارد کنید (شکل 10)، به عنوان مثال، sipnet.ru. نوع پروفایل را روی Call through SIP-Proxy تنظیم کنید.

شکل 9. ایجاد یک نمایه جدید در SJPhone در کادر محاوره ای گزینه های پروفایل، باید آدرس سرور پروکسی ارائه دهنده VoIP خود را مشخص کنید.

هنگامی که گفتگو را می بندید، باید داده هایی را برای مجوز در سرور ارائه دهنده VoIP خود (نام کاربری و رمز عبور) وارد کنید.

شکل 10. تنظیمات پروفایل SJPhone www.usergate.ru توجه! اگر وقتی پراکسی SIP را فعال می کنید، ترافیک صوتی شما در یک جهت یا جهت دیگر عبور نمی کند، باید یا از یک سرور پراکسی STUN استفاده کنید یا اجازه دهید ترافیک از طریق NAT در همه پورت ها (ANY:FULL) برای کاربران ضروری باشد. اگر قانون NAT را در همه پورت ها فعال کنید، سرور پروکسی SIP باید غیرفعال شود!

پشتیبانی از حالت SIP Registrar عملکرد SIP Registrar اجازه می دهد تا از UserGate به عنوان یک نرم افزار PBX (مبادله تلفنی خودکار) برای یک شبکه محلی استفاده کنید.

تابع SIP Registrar به طور همزمان با تابع SIP Proxy کار می کند. برای مجوز در UserGate SIP Registrar در تنظیمات SIP UAC (User Agent Client) باید مشخص کنید:

آدرس UserGate به عنوان آدرس سرور SIP نام کاربری UserGate (بدون فاصله) هر رمز عبور پشتیبانی از پروتکل H323 پشتیبانی از پروتکل H323 اجازه می دهد تا از سرور UserGate به عنوان H323 Gatekeeper استفاده کنید. تنظیمات پراکسی H323 رابطی را مشخص می کند که سرور از طریق آن به درخواست های مشتری گوش می دهد، شماره پورت و آدرس و پورت دروازه H323. برای مجوز در UserGate Gatekeeper، کاربر باید ورود (نام کاربری در UserGate)، رمز عبور (هر کدام) و شماره تلفن مشخص شده در نمایه کاربر در UserGate را مشخص کند.

مهم! اگر UserGate GateKeeper تماسی با شماره H323 دریافت کند که به هیچ یک از کاربران مجاز UserGate تعلق ندارد، تماس به دروازه H323 هدایت می شود. تماس با دروازه H323 در حالت CallModel: Direct انجام می شود.

پراکسی های ایمیل در UserGate پراکسی های ایمیل در UserGate برای کار با پروتکل های POP3 و SMTP و برای اسکن ضد ویروس ترافیک ایمیل طراحی شده اند.

هنگام استفاده از حالت شفاف POP3 و پراکسی SMTP، تنظیمات سرویس گیرنده نامه در ایستگاه کاری کاربر مانند تنظیمات مربوط به گزینه با دسترسی مستقیم به اینترنت است.

اگر پراکسی UserGate POP3 در حالت غیر شفاف استفاده می شود، در تنظیمات سرویس گیرنده ایمیل در ایستگاه کاری کاربر، آدرس IP رایانه UserGate و پورت مربوط به پراکسی UserGate POP3 باید به عنوان آدرس سرور POP3 مشخص شود. . علاوه بر این، ورود برای مجوز در سرور POP3 راه دور در قالب زیر مشخص شده است:

email_address@POP3_server_address. به عنوان مثال، اگر کاربر یک صندوق پستی داشته باشد [ایمیل محافظت شده]، سپس به عنوان یک ورود به سیستم

پروکسی UserGate POP3 در سرویس گیرنده ایمیل باید مشخص شود:

[ایمیل محافظت شده]@pop.mail123.com. این فرمت مورد نیاز است تا سرور UserGate بتواند آدرس سرور POP3 راه دور را تعیین کند.

www.usergate.ru

اگر پروکسی UserGate SMTP در حالت غیر شفاف استفاده می شود، در تنظیمات پروکسی باید آدرس IP و پورت سرور SMTP را که UserGate برای ارسال ایمیل از آن استفاده می کند، مشخص کنید. در این حالت، در تنظیمات سرویس گیرنده ایمیل در ایستگاه کاری کاربر، آدرس IP سرور UserGate و پورت مربوط به پراکسی UserGate SMTP باید به عنوان آدرس سرور SMTP مشخص شود. اگر برای ارسال مجوز لازم است، در تنظیمات سرویس گیرنده نامه، باید لاگین و رمز عبور مربوط به سرور SMTP مشخص شده در تنظیمات پروکسی SMTP در UserGate را مشخص کنید.

استفاده از حالت شفاف اگر سرور UserGate همراه با درایور NAT نصب شده باشد، عملکرد حالت شفاف در تنظیمات سرور پراکسی در دسترس است. در حالت شفاف، درایور UserGate NAT به پورت های استاندارد برای خدمات گوش می دهد: 80 TCP برای HTTP، 21 TCP برای FTP، 110 و 25 TCP برای POP3 و SMTP در رابط های شبکه کامپیوتر UserGate.

در صورت وجود درخواست، آنها را به سرور پروکسی UserGate مربوطه ارسال می کند. هنگام استفاده از حالت شفاف در برنامه های شبکه، کاربران نیازی به تعیین آدرس و پورت سرور پراکسی ندارند، که به طور قابل توجهی کار مدیر را در زمینه دسترسی به شبکه محلی به اینترنت کاهش می دهد. اما در تنظیمات شبکه ایستگاه های کاری، سرور UserGate باید به عنوان دروازه و آدرس سرور DNS مشخص شود.

پراکسی های آبشاری سرور UserGate می تواند با اتصال اینترنت هم به طور مستقیم و هم از طریق سرورهای پراکسی برتر کار کند. چنین پراکسی‌هایی در UserGate تحت پراکسی‌های Services Cascading گروه‌بندی می‌شوند. UserGate از انواع زیر پراکسی های آبشاری پشتیبانی می کند: HTTP، HTTPS، Socks4، Socks5. در تنظیمات پراکسی آبشاری، پارامترهای استاندارد مشخص شده است: آدرس و پورت. اگر پروکسی بالادست از مجوز پشتیبانی می کند، می توانید ورود و رمز عبور مناسب را در تنظیمات مشخص کنید. پراکسی های آبشاری ایجاد شده در تنظیمات سرور پراکسی در UserGate در دسترس قرار می گیرند.

www.usergate.ru شکل 11 پراکسی های والد در تخصیص پورت UserGate UserGate از عملکرد نگاشت پورت پشتیبانی می کند. اگر قوانینی برای تخصیص پورت‌ها وجود داشته باشد، سرور UserGate درخواست‌های کاربر را که به پورت خاصی از یک رابط شبکه مشخص شده از رایانه با UserGate می‌رسند، به آدرس و پورت مشخص دیگری، برای مثال، به رایانه دیگری در شبکه محلی هدایت می‌کند.

ویژگی Port Forwarding برای پروتکل های TCP و UDP در دسترس است.

شکل 12. تخصیص پورت در UserGate مهم! اگر از تخصیص پورت برای دسترسی از اینترنت به منبع داخلی شرکت استفاده می شود، باید User Specified را به عنوان پارامتر Authorization www.usergate.ru انتخاب کنید، در غیر این صورت حمل و نقل پورت کار نخواهد کرد.

پیکربندی کش یکی از اهداف یک سرور پراکسی، کش کردن منابع شبکه است.

ذخیره سازی بار روی اتصال اینترنت شما را کاهش می دهد و دسترسی به منابعی را که اغلب بازدید می کنید سرعت می بخشد. سرور پروکسی UserGate ذخیره ترافیک HTTP و FTP را انجام می دهد. اسناد ذخیره شده در حافظه پنهان در پوشه محلی %UserGate_data%\Cache قرار می گیرند. تنظیمات کش عبارتند از:

محدودیت اندازه کش و زمان نگهداری اسناد ذخیره شده در حافظه پنهان.

علاوه بر این، می توانید کش کردن صفحات پویا و شمارش ترافیک از کش را فعال کنید. اگر گزینه Read traffic from cache فعال باشد، نه تنها ترافیک خارجی (اینترنت) به ازای هر کاربر در UserGate ثبت می شود، بلکه ترافیک دریافتی از کش UserGate نیز ثبت می شود.

توجه! برای مشاهده ورودی های جاری در حافظه نهان، باید یک ابزار ویژه را برای مشاهده پایگاه داده کش اجرا کنید. با کلیک راست بر روی نماد "UserGate Agent" در سینی سیستم و انتخاب "Open Browser Cache" راه اندازی می شود.

توجه! اگر حافظه پنهان را فعال کرده اید، و هنوز هیچ منبعی در "مرورگر کش" ندارید، به احتمال زیاد باید یک سرور پروکسی شفاف برای پروتکل HTTP در صفحه "سرویس ها - تنظیمات پراکسی" فعال کنید.

اسکن آنتی ویروس سه ماژول ضد ویروس در سرور UserGate ادغام شده است: آنتی ویروس کسپرسکی، امنیت پاندا و آویرا. همه ماژول های آنتی ویروس برای اسکن ترافیک ورودی از طریق پراکسی های ایمیل HTTP، FTP و UserGate و همچنین ترافیک خروجی از طریق پراکسی های SMTP طراحی شده اند.

تنظیمات ماژول آنتی ویروس در بخش Services Anti-virus کنسول مدیریت موجود است (شکل 14). برای هر آنتی ویروس، می‌توانید مشخص کنید که کدام پروتکل‌ها را باید بررسی کند، فرکانس به‌روزرسانی پایگاه‌های اطلاعاتی آنتی‌ویروس را تنظیم کنید و همچنین آدرس‌هایی را که لازم نیست بررسی شوند (گزینه فیلتر URL) مشخص کنید. علاوه بر این، در تنظیمات، می توانید گروهی از کاربران را مشخص کنید که ترافیک آنها نیازی به اسکن آنتی ویروس نداشته باشد.

www.usergate.ru

شکل 13. ماژول های آنتی ویروس در UserGate قبل از راه اندازی ماژول های ضد ویروس، به روز رسانی پایگاه داده های آنتی ویروس را شروع کرده و منتظر بمانید تا کامل شود. در تنظیمات پیش فرض، پایگاه داده های آنتی ویروس کسپرسکی از سایت آزمایشگاه کسپرسکی به روز می شوند و برای آنتی ویروس پاندا از سرورهای انتنسیس دانلود می شوند.

سرور UserGate از عملکرد همزمان سه ماژول آنتی ویروس پشتیبانی می کند. در این صورت آنتی ویروس کسپرسکی اولین کسی است که ترافیک را اسکن می کند.

مهم! هنگامی که اسکن ترافیک ضد ویروس فعال است، سرور UserGate بارگیری فایل های چند رشته ای را از طریق HTTP و FTP مسدود می کند. مسدود کردن امکان دانلود بخشی از یک فایل از طریق HTTP می تواند منجر به مشکلاتی در سرویس Windows Update شود.

Scheduler در UserGate سرور UserGate دارای یک زمانبندی وظایف داخلی است که می تواند برای انجام وظایف زیر استفاده شود: مقداردهی اولیه و قطع اتصال DialUp، ارسال آمار به کاربران UserGate، اجرای یک برنامه دلخواه، به روز رسانی پایگاه داده های آنتی ویروس، پاک کردن آمار. پایگاه داده، بررسی اندازه پایگاه داده

www.usergate.ru

شکل 14. تنظیم زمانبندی کار آیتم برنامه Run در زمانبندی UserGate همچنین می تواند برای اجرای دنباله ای از دستورات (اسکریپت ها) از فایل های *.bat یا *.cmd استفاده شود.

کارهای مشابه:

«برنامه اقدام 2014-2015 "کنفرانس مقامات منطقه ای و محلی برای طرح اقدام مشارکت شرقی، برنامه اقدام برای کنفرانس مقامات منطقه ای و محلی برای مشارکت شرقی (CORLEAPLEAPLEAP) برای سال 2014 - متنی در سال 2014 (CORLEAPLEORCALMEOCALMETEN 2014) ") یک انجمن سیاسی است که برای ترویج رفتار محلی و ... طراحی شده است.

"مدیر بخش سیاست و مقررات دولتی در زمینه زمین شناسی و استفاده از خاک زیرزمینی وزارت منابع طبیعی روسیه A.V. Orel تایید شده در 23 اوت 2013 تایید شده مدیر بخش سیاست و مقررات دولتی در زمینه زمین شناسی و استفاده از زیر خاک وزارت منابع طبیعی روسیه _ A.V. Eagle "_" 2013 AGREED مدیر اکتشاف زمین شناسی سازمانی واحد ایالتی فدرال V.V. شیمانسکی "_"_ 2013 نتیجه‌گیری شورای علمی و روش‌شناسی فناوری‌های زمین‌شناسی و ژئوفیزیکی اکتشاف و اکتشاف مواد معدنی جامد ...

«ستون سردبیر دوستان عزیز! شما اولین شماره مجله جنگل جدید امسال را در دست دارید. طبق سنت، موضوع اصلی آن نمایشگاه بین المللی "جنگل روسیه" بود که در پایان سال گذشته برگزار شد. البته ما این رویداد را نه چندان به عنوان یک مناسبت اطلاع رسانی، بلکه به عنوان بستری برای تدوین سیاست، استراتژی و تاکتیک های توسعه صنعت توسط متخصصان صنعت جنگل در نظر گرفتیم. از این منظر است که ما سعی کردیم کار سمینارها را پوشش دهیم، ... "

"برنامه امتحان نهایی بین رشته ای ایالتی مطابق با مفاد تهیه شده است: در مورد گواهینامه نهایی ایالتی فارغ التحصیلان موسسه آموزشی بودجه ایالتی فدرال آموزش عالی حرفه ای "آکادمی اقتصاد ملی و مدیریت دولتی روسیه زیر نظر رئیس جمهور فدراسیون روسیه" مورخ 24 ژانویه 2012، مسکو؛ آماده سازی (کارشناسی ارشد) در آموزش بودجه ایالت فدرال ... "

"فهرست اجراکنندگان Nechaev V.D. رئیس برنامه توسعه استراتژیک دانشگاه، رئیس Glazkov A.A. سرپرست کار بر روی برنامه توسعه استراتژیک دانشگاه، معاون علمی، نوآوری و توسعه استراتژیک شارابورووا G.K. هماهنگ کننده برنامه توسعه استراتژیک دانشگاه، مدیر مرکز پروژه توسعه استراتژیک متصدیان پروژه: Sokolov E.F. معاون اداری و اقتصادی اوگنف A.S. معاون علمی ... "

«UDK 91:327 Lysenko A. V. مدل‌سازی ریاضی به عنوان روشی برای مطالعه پدیده خودمختاری در جغرافیای سیاسی دانشگاه ملی تائوریدا به نام V. I. Vernadsky، سیمفروپل ایمیل الکترونیکی: [ایمیل محافظت شده]حاشیه نویسی. این مقاله امکان استفاده از مدل‌سازی ریاضی را به عنوان روشی برای مطالعه جغرافیای سیاسی مورد بحث قرار می‌دهد، مفهوم خودمختاری سرزمینی و همچنین عوامل پیدایش آن را آشکار می‌کند. کلمات کلیدی: مدل سازی ریاضی،...»

"حقوق" در مورمانسک مورد تایید قرار گرفت مدیر شعبه در جلسه دپارتمان حقوق عمومی PEI VPO BIEPP در رشته های مورمانسک PEI VPO BIEPP v.g. مورمانسک A.S. پروتکل کوروبینیکوف شماره 2_ مورخ "_09_" _سپتامبر_ 2014 "_09_" سپتامبر 2014 مجتمع آموزشی و روش شناختی رشته تاریخ دکترین های سیاسی و حقوقی تخصص ... "

صندوق اعتماد برنامه کمک به توسعه آموزشی روسیه (خواندن) گزارش سالانه را بخوانید: «با سرمایه گذاری در ارزیابی کیفیت آموزش، اصلاح ارزیابی نتایج، و سیستم های ارزیابی پیشرفت و مهارت های یادگیری، بانک به کشورهای شریک خود کمک می کند تا به سؤالات کلیدی اصلاح سیاست در کشور پاسخ دهند. آموزش: مزایای سیستم ما چیست؟ کاستی های آن چیست؟ چه اقداماتی برای رفع این کاستی ها مؤثرتر بود؟ چی هستن..."

اوخونوف آلیشر اوریپوویچ [ایمیل محافظت شده]عنوان سیلابوس اطلاعات کلی در مورد معلمان خط مشی رشته "برنامه سوالات عمومی نتایج یادگیری نهایی باستارد و پس از عمل جراحی" معیارها و قوانین ارزیابی دانش و مهارت های دانش آموزان نوع کنترل "مسائل عمومی جراحی" اوخونوف علیشیر اوریپوویچ [ایمیل محافظت شده]اطلاعات عمومی: عنوان نام دانشگاه: آکادمی پزشکی تاشکند اطلاعات عمومی گروه جراحی عمومی و اطفال محل...»

"کمیته اجرای روابط خارجی در سن پترزبورگ سن پترزبورگ سیاست دولتی فدراسیون روسیه در رابطه با هموطنان خارج از کشور هشتم انجمن سن پترزبورگ سازمان های جوانان هموطنان روسی و رسانه های خارجی روسی زبان "روسی خارج از کشور" 7 ژوئن -13، 2015 برنامه 7 ژوئن، یکشنبه ورود شرکت کنندگان انجمن در طول روز هتل "سن پترزبورگ" آدرس: خاکریز Pirogovskaya، 5/2 ثبت نام شرکت کنندگان، صدور "استخدام شرکت کننده" توجه!

برنامه درسی آزمون تکمیلی ورودی دوره کارشناسی ارشد برای تخصص 1-23 80 06 "تاریخ روابط بین الملل و سیاست خارجی" بر اساس برنامه های استاندارد "تاریخ روابط بین الملل" و "تاریخ سیاست خارجی" تدوین شده است. بلاروس» و همچنین برنامه آزمون دولتی در رشته های ویژه برای تخصص 1-23 01 01 «روابط بین الملل». در جلسه پروتکل شماره 10 از 7 وزارت روابط بین‌الملل برای تصویب در نظر گرفته شد و برای تصویب پیشنهاد شد.

« آزمایشگاه روسی و چینی ممکن است یک پروژه موشکی فوق سنگین را برای یک هفته انتخاب کند آزمایشگاه روسی و چینی سیستم های اتصال فضایی ماهواره های زیر از سری Meteor سیستم های راداری دریافت نخواهند کرد. ارتباط گمشده با ماهواره علمی روسی Vernov هنوز برقرار نشده است /19/2015 4 زباله های فضایی 60 بار ایستگاه فضایی بین المللی را در ژانویه سال گذشته در زمین تهدید کردند.

«وزارت آموزش و پرورش و علوم فدراسیون روسیه» مؤسسه آموزشی بودجه دولتی فدرال آموزش عالی حرفه ای «دانشگاه دولتی کمروو» تأیید شده: رئیس V. A. Volchek «» _ 2014 برنامه آموزشی اصلی آموزش عالی تخصص 030701 گرایش بین المللی "کارشناس صلاحیت (مدرک تحصیلی) در زمینه روابط بین الملل فرم تحصیل تمام وقت کمروو 2014..."

«اسلام در اورال های مدرن الکسی مالاشنکو، الکسی استاروستین آوریل 2015 اسلام در اورال های مدرن الکسی مالاشنکو، الکسی استاروستین این شماره از Working Papers توسط مرکز کارنگی مسکو، یک سازمان تحقیقاتی غیرانتفاعی و غیر دولتی تهیه شده است. بنیاد کارنگی برای صلح بین المللی و مرکز کارنگی مسکو به عنوان یک سازمان موضع مشترکی در مورد مسائل اجتماعی و سیاسی اتخاذ نمی کنند. این نشریه منعکس کننده دیدگاه های شخصی نویسندگان است که نباید ... "

«اصل اصلی کناف این است که همه چیز باید «میتدنکن» باشد (این کار را پس از فکر کردن با هم و در نظر گرفتن منافع کسانی که برای آنها کار می کنید انجام دهید). به تدریج، این مفهوم کلیدی در روسیه ریشه دوانید. از مصاحبه با Yu.A. Mikhailov، مدیر کل Knauf GIPS KOLPINO LLC شیوه های مدیریت بخش روسی یک شرکت بین المللی: تجربه Knauf CIS* ایگور بوریسوویچ گورکوف، ولادیمیر ویکتوروویچ کوسوف .."

"اطلاعات ضمیمه در مورد اجرای فرمان فرماندار منطقه اومسک مورخ 28 فوریه 2013 شماره 25-r "در مورد اقدامات برای اجرای فرمان فرماندار منطقه اومسک مورخ 16 ژانویه 2013 شماره 3" با توجه به به برنامه اقدامات اولویت دار برای 2013-2014 برای اجرای استراتژی اقدام منطقه ای به نفع کودکان در قلمرو منطقه اومسک برای سال 2013 - 2017 برای سال 2013 شماره نام اطلاعات مسئول در مورد اجرای اقدامات p / p مجری اول. سیاست خانواده حمایت از کودک ... "

"دپارتمان آموزش و سیاست جوانان منطقه خودمختار خانتی-مانسییسکی - موسسه آموزشی دولتی آموزش عالی حرفه ای یوگرا در منطقه خودمختار خانتی مانسیسک - یوگرا "دانشگاه آموزشی دولتی سورگوت" BP.5. PDAGOGICAL PRACTICE جهت آموزش 49.03.02 تربیت بدنی برای افراد دارای مشکلات سلامتی (فرهنگ بدنی تطبیقی) صلاحیت (مدرک تحصیلی) ... "

"موسسه آموزشی دولتی مستقل آموزش عالی حرفه ای "دانشگاه مدیریت شهر مسکو از دولت مسکو" موسسه آموزش عالی حرفه ای گروه مدیریت دولتی و سیاست پرسنل تایید شده توسط معاون امور علمی و علمی A.A. الکساندروف "_"_ 20_ برنامه کاری رشته دانشگاهی "روش های تصمیم گیری مدیریتی" برای دانش آموزان گرایش 38.03.02 "مدیریت" برای آموزش تمام وقت مسکو ... "

«سریال مالی ساده» نوشته یو. وی. برخوف چگونه هرم مالی را بشناسیم Volgograd 2011 UDC 336 BBK 65.261 B 87 Service» با کمیته سیاست های بودجه و مالی و خزانه داری منطقه اداری به عنوان بخشی از اجرای ولگو برنامه هدف بلندمدت منطقه ای "بهبود سطح سواد مالی جمعیت و توسعه مالی ..."
مطالب این سایت برای بررسی قرار داده شده است، کلیه حقوق متعلق به نویسندگان آنها می باشد.
اگر موافق نیستید که مطالب شما در این سایت ارسال شود، لطفاً برای ما بنویسید، ما ظرف 1 تا 2 روز کاری آن را حذف خواهیم کرد.

امروزه اینترنت نه تنها وسیله ارتباطی یا راهی برای گذراندن اوقات فراغت است، بلکه یک ابزار کار نیز می باشد. جستجوی اطلاعات، شرکت در مزایده ها، کار با مشتریان و شرکا مستلزم حضور کارکنان شرکت در وب است. اکثر رایانه‌هایی که هم برای اهداف شخصی و هم برای منافع سازمان استفاده می‌شوند، سیستم‌عامل ویندوز نصب شده‌اند. طبیعتاً همه آنها به مکانیسم هایی برای دسترسی به اینترنت مجهز هستند. با شروع نسخه دوم ویندوز 98، اشتراک اتصال اینترنت (ICS) به عنوان یک ویژگی استاندارد در سیستم عامل های ویندوز تعبیه شده است که دسترسی گروهی را از یک شبکه محلی به اینترنت فراهم می کند. بعداً، ویندوز 2000 سرور سرویس مسیریابی و دسترسی از راه دور (مسیریابی و دسترسی از راه دور) را معرفی کرد و پشتیبانی از پروتکل NAT را پیاده سازی کرد.

اما ICS معایبی دارد. بنابراین، این تابع آدرس آداپتور شبکه را تغییر می دهد و این می تواند باعث ایجاد مشکل در شبکه محلی شود. بنابراین استفاده از ICS فقط در شبکه های خانگی یا اداری کوچک ترجیح داده می شود. این سرویس مجوز کاربر را ارائه نمی دهد، بنابراین استفاده از آن در یک شبکه شرکتی نامطلوب است. اگر در مورد برنامه در شبکه خانگی صحبت کنیم، عدم مجوز توسط نام کاربری نیز در اینجا غیرقابل قبول می شود، زیرا آدرس های IP و MAC به راحتی جعل می شوند. بنابراین، اگرچه در ویندوز امکان سازماندهی یک دسترسی به اینترنت وجود دارد، اما در عمل از ابزارهای سخت افزاری یا نرم افزاری توسعه دهندگان مستقل برای اجرای این کار استفاده می شود. یکی از این راه حل ها برنامه UserGate است.

اولین ملاقات

سرور پروکسی Usergate به شما امکان می دهد دسترسی کاربران شبکه محلی را به اینترنت فراهم کنید و یک خط مشی دسترسی تعریف کنید، دسترسی به منابع خاصی را ممنوع کنید، ترافیک یا زمانی را که کاربران در شبکه می گذرانند محدود کنید. علاوه بر این، Usergate امکان نگهداری سوابق ترافیک جداگانه را هم توسط کاربر و هم توسط پروتکل فراهم می کند که کنترل هزینه های اتصال به اینترنت را بسیار ساده می کند. اخیراً در بین ارائه دهندگان اینترنت تمایلی وجود دارد که دسترسی نامحدود به اینترنت را از طریق کانال های خود فراهم کنند. در پس زمینه چنین روندی، این کنترل و حسابداری دسترسی است که به چشم می خورد. برای انجام این کار، سرور پروکسی Usergate یک سیستم قوانین نسبتاً منعطف دارد.

سرور پروکسی Usergate با پشتیبانی از NAT (ترجمه آدرس شبکه) روی سیستم عامل های Windows 2000/2003/XP با پروتکل TCP/IP نصب شده کار می کند. بدون پشتیبانی از پروتکل NAT، Usergate می‌تواند روی ویندوز 95/98 و ویندوز NT 4.0 کار کند. خود برنامه برای کار به منابع خاصی نیاز ندارد، شرط اصلی در دسترس بودن فضای دیسک کافی برای کش و فایل های گزارش است. بنابراین، همچنان توصیه می شود که یک سرور پروکسی را روی یک دستگاه جداگانه نصب کنید و حداکثر منابع را در اختیار آن قرار دهید.

تنظیمات

پروکسی سرور برای چیست؟ پس از همه، هر مرورگر وب (Netscape Navigator، Microsoft Internet Explorer، Opera) از قبل می داند که چگونه اسناد را کش کند. اما به یاد داشته باشید که اولاً، ما مقدار قابل توجهی از فضای دیسک را برای این اهداف اختصاص نمی دهیم. و ثانیاً، احتمال بازدید از همان صفحات توسط یک نفر بسیار کمتر از زمانی است که ده ها یا صدها نفر این کار را انجام دهند (و بسیاری از سازمان ها چنین تعداد کاربر دارند). بنابراین ایجاد فضای کش واحد برای سازمان باعث کاهش ترافیک ورودی و سرعت بخشیدن به جستجوی اسنادی در اینترنت می شود که قبلاً توسط هر یک از کارکنان دریافت شده است. سرور پروکسی یوزر گیت می تواند به صورت سلسله مراتبی به سرورهای پراکسی خارجی (ارائه دهندگان) متصل شود و در این صورت، اگر نه کاهش ترافیک، حداقل سرعت بخشیدن به دریافت داده ها و همچنین کاهش هزینه (معمولاً) امکان پذیر خواهد بود. هزینه ترافیک یک ارائه دهنده از طریق سرور پروکسی کمتر است).

شکل 1. تنظیمات حافظه پنهان

با نگاهی به آینده، می گویم که تنظیمات حافظه پنهان در بخش منوی "سرویس ها" انجام می شود (صفحه 1 را ببینید). پس از تغییر حافظه پنهان به حالت "فعال"، می توانید عملکردهای جداگانه آن را پیکربندی کنید - ذخیره درخواست های POST، اشیاء پویا، کوکی ها، محتوای دریافت شده از طریق FTP. اندازه فضای دیسک اختصاص داده شده برای کش و طول عمر سند ذخیره شده نیز در اینجا پیکربندی می شود. و برای اینکه کش شروع به کار کند، باید حالت پروکسی را پیکربندی و فعال کنید. تنظیمات تعیین می کند که کدام پروتکل ها از طریق یک سرور پراکسی (HTTP، FTP، SOCKS) کار می کنند، به کدام رابط شبکه گوش می دهند و آیا آبشاری انجام می شود (داده های مورد نیاز برای این کار در یک برگه جداگانه از پنجره تنظیمات خدمات وارد می شود). .

قبل از شروع کار با برنامه، باید تنظیمات دیگری را انجام دهید. به عنوان یک قاعده، این کار به ترتیب زیر انجام می شود:

1. ایجاد حساب کاربری در یوزر گیت
2. راه اندازی DNS و NAT روی یک سیستم با Usergate. در این مرحله، پیکربندی عمدتاً به پیکربندی NAT با استفاده از جادوگر کاهش می یابد.
3. راه اندازی یک اتصال شبکه در ماشین های مشتری، که در آن باید دروازه و DNS را در ویژگی های اتصال شبکه TCP / IP مشخص کنید.
4. ایجاد خط مشی دسترسی به اینترنت

برای راحتی، برنامه به چندین ماژول تقسیم شده است. ماژول سرور بر روی یک کامپیوتر متصل به اینترنت اجرا می شود و وظایف اساسی را انجام می دهد. مدیریت یوزر گیت با استفاده از یک ماژول ویژه Usergate Administrator انجام می شود. با کمک آن، کل پیکربندی سرور مطابق با الزامات لازم انجام می شود. بخش سرویس گیرنده Usergate به عنوان Usergate Authentication Client پیاده سازی می شود که بر روی رایانه کاربر نصب می شود و در صورت استفاده از مجوز به غیر از مجوزهای IP یا IP + MAC، برای مجوز دادن به کاربران در سرور Usergate خدمت می کند.

کنترل

مدیریت کاربر و گروه به بخش جداگانه ای منتقل می شود. گروه‌ها برای تسهیل مدیریت کاربران و دسترسی عمومی و تنظیمات صورت‌حساب آن‌ها ضروری هستند. می توانید هر تعداد گروه که نیاز دارید ایجاد کنید. به طور معمول، گروه ها با توجه به ساختار سازمان ایجاد می شوند. چه گزینه هایی را می توان به یک گروه کاربری اختصاص داد؟ هر گروه یک نرخ مرتبط دارد که هزینه های دسترسی را محاسبه می کند. به طور پیش فرض از تعرفه پیش فرض استفاده می شود. خالی است، بنابراین اتصالات همه کاربرانی که در گروه گنجانده شده اند شارژ نمی شوند مگر اینکه نرخ در نمایه کاربر لغو شود.

این برنامه دارای مجموعه ای از قوانین NAT از پیش تعریف شده است که قابل تغییر نیستند. اینها قوانین دسترسی برای پروتکل‌های Telten، POP3، SMTP، HTTP، ICQ و غیره هستند. هنگام راه‌اندازی یک گروه، می‌توانید مشخص کنید که کدام یک از قوانین برای این گروه و کاربرانی که در آن قرار دارند اعمال شود.

حالت شماره گیری مجدد خودکار زمانی قابل استفاده است که اتصال به اینترنت از طریق مودم باشد. هنگامی که این حالت فعال است، کاربر می تواند در زمانی که هنوز اتصالی وجود ندارد، اتصال به اینترنت را آغاز کند - به درخواست او، مودم اتصال برقرار می کند و دسترسی را فراهم می کند. اما در صورت اتصال از طریق یک خط اجاره ای یا ADSL، این حالت مورد نیاز نیست.

افزودن حساب‌های کاربری به آسانی افزودن گروه‌ها است (شکل 2 را ببینید). و اگر رایانه با سرور پراکسی Usergate نصب شده در دامنه اکتیو دایرکتوری (AD) گنجانده شود، حساب های کاربری را می توان از آنجا وارد کرد و سپس به گروه ها تقسیم کرد. اما هم هنگام وارد کردن دستی و هم هنگام وارد کردن حساب ها از AD، باید حقوق کاربر و قوانین دسترسی را پیکربندی کنید. اینها شامل نوع مجوز، طرح تعرفه، قوانین NAT موجود است (اگر قوانین گروه به طور کامل نیازهای یک کاربر خاص را برآورده نمی کند).

سرور پروکسی Usergate از چندین نوع مجوز پشتیبانی می کند، از جمله مجوز کاربر از طریق Active Directory و پنجره ورود به ویندوز، که به شما امکان می دهد Usergate را در زیرساخت شبکه موجود خود ادغام کنید. Usergate از درایور NAT خود استفاده می کند که از مجوز از طریق یک ماژول خاص - ماژول مجوز مشتری - پشتیبانی می کند. بسته به روش مجوز انتخابی، در تنظیمات نمایه کاربر، باید آدرس IP آن (یا محدوده ای از آدرس ها) یا نام و رمز عبور یا فقط نام آن را مشخص کنید. آدرس ایمیل کاربر نیز در اینجا قابل تعیین است که گزارشات استفاده از دسترسی به اینترنت به آن ارسال می شود.

قوانین

سیستم قوانین Usergate در مقایسه با قابلیت های Remote Access Policy (سیاست دسترسی از راه دور در RRAS) در تنظیمات انعطاف پذیرتر است. قوانین را می توان برای مسدود کردن دسترسی به URL های خاص، محدود کردن ترافیک برای پروتکل های خاص، تعیین محدودیت زمانی، محدود کردن حداکثر اندازه فایلی که کاربر می تواند دانلود کند، و موارد دیگر مورد استفاده قرار گیرد (شکل 3 را ببینید). ابزارهای استاندارد سیستم عامل عملکرد کافی برای حل این مشکلات را ندارند.

قوانین با استفاده از کمک کننده ایجاد می شوند. آنها برای چهار شی اصلی ردیابی شده توسط سیستم - اتصال، ترافیک، تعرفه و سرعت اعمال می شوند. و برای هر یک از آنها می توان یک عمل انجام داد. اجرای قوانین بستگی به تنظیمات و محدودیت هایی دارد که برای آن انتخاب شده است. اینها شامل پروتکل های مورد استفاده، زمان به روز در هفته که این قانون اجرا می شود، می شود. در نهایت، معیارهایی برای حجم ترافیک (ورودی و خروجی)، زمان شبکه، موجودی حساب کاربر و همچنین لیستی از آدرس‌های IP منبع درخواست و آدرس شبکه منابعی که تحت تأثیر قرار می‌گیرند، تعریف می‌شوند. تنظیم آدرس های شبکه همچنین به شما امکان می دهد انواع فایل هایی را که کاربران قادر به دانلود آنها نخواهند بود تعریف کنید.

بسیاری از سازمان ها خدمات پیام رسانی فوری را مجاز نمی دانند. چگونه با استفاده از Usergate چنین ممنوعیتی را اجرا کنیم؟ کافی است یک قانون ایجاد کنید که در صورت درخواست سایت *login.icq.com* اتصال را ببندد و آن را برای همه کاربران اعمال کنید. اعمال قوانین به شما امکان می دهد تعرفه های دسترسی در طول روز یا شب را به منابع منطقه ای یا مشترک تغییر دهید (اگر چنین تفاوت هایی توسط ارائه دهنده ارائه شده باشد). به عنوان مثال، برای جابه‌جایی بین نرخ شب و روز، باید دو قانون ایجاد کنید، یکی از نرخ روز به شب تغییر می‌کند، دومی به عقب برمی‌گردد. تعرفه ها دقیقا برای چیست؟ این اساس سیستم صورتحساب داخلی است. در حال حاضر این سیستم فقط برای تطبیق و محاسبه آزمایشی هزینه ها قابل استفاده است، اما پس از تایید سیستم صورتحساب، صاحبان سیستم مکانیزم مطمئنی برای کار با مشتریان خود خواهند داشت.

کاربران

اکنون به تنظیمات DNS و NAT برگردید. پیکربندی DNS شامل تعیین آدرس سرورهای DNS خارجی است که سیستم به آنها دسترسی خواهد داشت. در همان زمان، در رایانه های کاربر، در تنظیمات اتصال برای ویژگی های TCP / IP، IP رابط شبکه داخلی رایانه را با Usergate به عنوان دروازه و DNS مشخص کنید. یک اصل پیکربندی کمی متفاوت هنگام استفاده از NAT. در این مورد، باید یک قانون جدید در سیستم اضافه کنید، که در آن باید IP گیرنده (رابط محلی) و IP فرستنده (رابط خارجی)، پورت - 53 و پروتکل UDP را تعریف کنید. این قانون باید به همه کاربران اختصاص داده شود. و در تنظیمات اتصال در رایانه آنها باید آدرس IP سرور DNS ارائه دهنده را به عنوان DNS و آدرس IP رایانه با Usergate را به عنوان دروازه تعیین کنید.

کلاینت های ایمیل را می توان هم از طریق نگاشت پورت و هم از طریق NAT پیکربندی کرد. اگر سازمان مجاز است از خدمات پیام رسانی فوری استفاده کند، تنظیمات اتصال برای آنها باید تغییر کند - باید استفاده از فایروال و پروکسی را مشخص کنید، آدرس IP رابط شبکه داخلی رایانه را با Usergate تنظیم کنید و HTTPS را انتخاب کنید. یا پروتکل Socks. اما به خاطر داشته باشید که هنگام کار از طریق یک سرور پراکسی، کار در اتاق های گفتگو و چت تصویری در صورت استفاده از یاهو مسنجر در دسترس نخواهد بود.

آمار عملیات در یک لاگ حاوی اطلاعات مربوط به پارامترهای اتصال همه کاربران ثبت می شود: زمان اتصال، مدت زمان، وجوه صرف شده، آدرس های درخواستی، میزان اطلاعات دریافتی و ارسال شده. شما نمی توانید ضبط اطلاعات مربوط به اتصالات کاربر را در فایل آمار لغو کنید. برای مشاهده آمار، ماژول خاصی در سیستم وجود دارد که هم از طریق رابط مدیر و هم از راه دور قابل دسترسی است. داده ها را می توان بر اساس کاربر، پروتکل و زمان فیلتر کرد و برای پردازش بیشتر در یک فایل اکسل خارجی ذخیره کرد.

بعدش چی

اگر اولین نسخه‌های سیستم فقط برای پیاده‌سازی مکانیزم حافظه پنهان سرور پروکسی طراحی شده‌اند، آخرین نسخه‌ها دارای اجزای جدیدی هستند که برای تضمین امنیت اطلاعات طراحی شده‌اند. امروزه کاربران یوزر گیت می توانند از فایروال داخلی و ماژول آنتی ویروس کسپرسکی استفاده کنند. فایروال به شما امکان می دهد پورت های خاصی را کنترل، باز و مسدود کنید و همچنین منابع وب شرکت را در اینترنت منتشر کنید. فایروال داخلی بسته هایی را پردازش می کند که در سطح قوانین NAT پردازش نمی شوند. اگر بسته توسط درایور NAT اداره می شد، دیگر توسط فایروال مدیریت نمی شود. تنظیمات پورت ساخته شده برای پراکسی، و همچنین پورت های مشخص شده در Port Mapping، در قوانین فایروال تولید شده به طور خودکار (نوع خودکار) قرار می گیرند. قوانین خودکار همچنین شامل پورت TCP 2345 است که توسط ماژول Usergate Administrator برای اتصال به Usergate back end استفاده می شود.

در مورد چشم انداز توسعه بیشتر محصول، لازم به ذکر است ایجاد سرور VPN خودمان است که به ما امکان می دهد VPN را از سیستم عامل کنار بگذاریم. اجرای یک سرور ایمیل با پشتیبانی از عملکرد ضد هرزنامه و توسعه یک فایروال هوشمند در لایه برنامه.

میخائیل آبرامزون- رئیس گروه بازاریابی شرکت «دیگت».

پس از اتصال به اینترنت در دفتر، هر رئیسی می خواهد بداند برای چه چیزی پول می دهد. به خصوص اگر تعرفه نامحدود نباشد، بلکه بر اساس ترافیک باشد. راه های مختلفی برای حل مشکلات کنترل ترافیک و سازماندهی دسترسی به اینترنت در مقیاس سازمانی وجود دارد. من در مورد پیاده سازی سرور پروکسی UserGate برای بدست آوردن آمار و کنترل پهنای باند کانال با استفاده از تجربه خود به عنوان مثال صحبت خواهم کرد.

فوراً باید بگویم که من از سرویس UserGate (نسخه 4.2.0.3459) استفاده کردم، اما روش ها و فناوری های سازماندهی دسترسی مورد استفاده در سرورهای پروکسی دیگر نیز استفاده می شود. بنابراین مراحل توضیح داده شده در اینجا به طور کلی برای راه حل های نرم افزاری دیگر (به عنوان مثال Kerio Winroute Firewall یا سایر پروکسی ها) با تفاوت های جزئی در جزئیات پیاده سازی رابط پیکربندی مناسب است.

من مجموعه وظایف را برای من شرح می دهم: یک شبکه از 20 ماشین وجود دارد، یک مودم ADSL در همان زیر شبکه وجود دارد (alnim 512/512 kbps). لازم است حداکثر سرعت را برای کاربران محدود کنید و ترافیک را ثبت کنید. این کار با این واقعیت که دسترسی به تنظیمات مودم توسط ارائه دهنده بسته شده است کمی پیچیده است (دسترسی فقط از طریق ترمینال امکان پذیر است، اما ارائه دهنده رمز عبور را دارد). صفحه آمار در وب سایت ارائه دهنده در دسترس نیست (نپرسید چرا، فقط یک پاسخ وجود دارد - شرکت چنین رابطه ای با ارائه دهنده دارد).

یک یوزر گیت قرار می دهیم و آن را فعال می کنیم. برای سازماندهی دسترسی به شبکه، از NAT ( ترجمه آدرس شبکه- "ترجمه آدرس شبکه"). برای اینکه این فناوری کار کند، لازم است دو کارت شبکه روی دستگاهی وجود داشته باشد که سرور (سرویس) UserGate را در آنجا نصب می کنیم (این امکان وجود دارد که NAT را با اختصاص دو آدرس IP در یک کارت شبکه به صورت متفاوت، روی یک کارت شبکه کار کنید. زیر شبکه ها).

بنابراین، مرحله پیکربندی اولیه - پیکربندی درایور NAT(درایور از UserGate، نصب شده در هنگام نصب اصلی سرویس). ما به دو رابط شبکه نیاز دارد(خواندن کارت های شبکه) روی سخت افزار سرور ( برای من این یک شکاف نبود، زیرا من UserGate را روی یک ماشین مجازی مستقر کردم. و در آنجا می توانید کارت های شبکه "بسیاری" بسازید).

در حالت ایده آل، به یک کارت شبکه خود مودم را وصل می کند، آ به دوم - کل شبکهکه از آن به اینترنت دسترسی خواهند داشت. در مورد من، مودم در اتاق های مختلف با یک سرور (ماشین فیزیکی) نصب می شود و من خیلی تنبل هستم و زمانی برای انتقال تجهیزات ندارم (و در آینده نزدیک سازماندهی اتاق سرور به چشم می خورد). من هر دو آداپتور شبکه را به یک شبکه (از لحاظ فیزیکی) متصل کردم، اما آنها را در زیر شبکه های مختلف پیکربندی کردم. از آنجایی که نمی توانم تنظیمات مودم را تغییر دهم (دسترسی توسط ارائه دهنده بسته است)، مجبور شدم همه رایانه ها را به یک زیر شبکه دیگر منتقل کنم (خوشبختانه، با استفاده از DHCP، این کار به طور ابتدایی انجام می شود).

کارت شبکه متصل به مودم ( اینترنت) مانند قبل تنظیم شود (طبق داده های ارائه دهنده).

• اختصاص دهید آدرس IP استاتیک(در مورد من 192.168.0.5 است)؛
• Subnet mask 255.255.255.0 - من آن را تغییر ندادم، اما می توان آن را به گونه ای پیکربندی کرد که تنها دو دستگاه در زیر شبکه سرور پراکسی و مودم وجود داشته باشد.
• دروازه - آدرس مودم 192.168.0.1
• آدرس های سرور DNS ISP ( اولیه و ثانویه مورد نیاز).

کارت شبکه دوم، متصل به شبکه داخلی ( اینترانت) به صورت زیر تنظیم کنید:

• استاتیک آدرس IP اما در یک زیر شبکه متفاوت(من 192.168.1.5 دارم)؛
• با توجه به تنظیمات شبکه خود ماسک کنید (من 255.255.255.0 دارم).
• دروازه نشان نمی دهد.
• در قسمت آدرس سرور DNS آدرس سرور DNS شرکت را وارد کنید(اگر بله، اگر نه، آن را خالی بگذارید).

توجه: باید مطمئن شوید که استفاده از مؤلفه NAT از UserGate در تنظیمات رابط شبکه بررسی شده است.

پس از پیکربندی رابط های شبکه خود سرویس UserGate را راه اندازی کنید(فراموش نکنید آن را پیکربندی کنید تا به عنوان یک سرویس اجرا شود تا به طور خودکار با حقوق سیستم شروع شود) و به کنسول مدیریت بروید(می توانید این کار را به صورت محلی یا از راه دور انجام دهید). به «قوانین شبکه» بروید و « NAT Setup Wizard"، باید اینترانت خود را مشخص کنید ( اینترانت) و اینترنت ( اینترنت) آداپتورها. اینترانت - یک آداپتور متصل به یک شبکه داخلی. ویزارد درایور NAT را پیکربندی خواهد کرد.

بعد از آن باید قوانین NAT را درک کنید، که برای آن به "تنظیمات شبکه" - "NAT" می رویم. هر قانون دارای چندین فیلد و یک وضعیت (فعال و غیرفعال) است. ماهیت زمینه ها ساده است:

• نام - نام قانون، توصیه می کنم چیزی معنادار ارائه کنید(نیازی به نوشتن آدرس و پورت در این قسمت ندارید، به هر حال این اطلاعات در لیست قوانین موجود خواهد بود).
• رابط گیرنده مال شماست رابط اینترانت(در مورد من 192.168.1.5)؛
• رابط فرستنده مال شماست رابط اینترنت(در زیر شبکه مشابه مودم، در مورد من 192.168.0.5)؛
• بندر- نشان دهید که این قانون برای کدام گلدان اعمال می شود ( به عنوان مثال، برای یک مرورگر (HTTP) پورت 80، و برای دریافت ایمیل پورت 110). می توانید محدوده ای از پورت ها را مشخص کنیداگر نمی‌خواهید سر و سامان دهید، اما توصیه نمی‌شود این کار را در کل محدوده پورت‌ها انجام دهید.
• پروتکل - یکی از گزینه ها را از منوی کشویی انتخاب کنید: TCP(معمولا)، UPDیا ICMP(مثلاً برای اجرای دستورات پینگ یا tracert).

در ابتدا، فهرست قوانین از قبل حاوی بیشترین استفاده از قوانین لازم برای عملکرد نامه و انواع مختلف برنامه ها است. اما من قوانین خودم را به لیست استاندارد اضافه کردم: برای پرس و جوهای DNS (بدون استفاده از گزینه ارسال در UserGate)، برای اتصالات SSL امن، برای مشتری تورنت، برای برنامه Radmin و غیره. در اینجا تصاویری از لیست قوانین من وجود دارد. لیست هنوز کوچک است - اما با گذشت زمان (با نیاز به کار بر روی یک پورت جدید) گسترش می یابد.

مرحله بعدی راه اندازی کاربران است. در مورد من، من انتخاب کردم مجوز توسط آدرس IP و آدرس MAC. گزینه هایی برای مجوز فقط از طریق آدرس IP و اعتبارنامه Active Directory وجود دارد. همچنین می توانید از مجوز HTTP استفاده کنید (هر بار که کاربران ابتدا رمز عبور را از طریق مرورگر وارد می کنند). ایجاد کاربران و گروه های کاربریو قوانین NAT را برای استفاده به آنها اختصاص دهید(باید به کاربر یک اتصال اینترنتی به مرورگر بدهیم - قانون HTTP را با پورت 80 برای آن فعال می کنیم، باید ICQ را بدهیم - قانون ICQ را با سپس 5190).

در نهایت، در مرحله پیاده سازی، کاربران را برای کار از طریق یک پروکسی پیکربندی کردم. برای این کار از سرویس DHCP استفاده کردم. تنظیمات زیر به ماشین های مشتری ارسال می شود:

• آدرس IP - پویا از DHCP در محدوده زیر شبکه اینترانت (در مورد من، محدوده 192.168.1.30 -192.168.1.200 است. من یک رزرو آدرس IP برای ماشین های لازم تنظیم کردم).
• ماسک زیر شبکه (255.255.255.0)
• دروازه - آدرس دستگاه با UserGate در شبکه محلی (آدرس اینترانت - 192.168.1.5)
• سرورهای DNS - من به 3 آدرس خیانت می کنم. اولی آدرس سرور DNS شرکت، دوم و سوم آدرس های DNS ارائه دهنده است. (در DNS شرکت، ارسال به DNS ارائه دهنده پیکربندی شده است، بنابراین در صورت "سقوط" DNS محلی، نام های اینترنت در DNS ارائه دهنده حل می شود).

روی این راه اندازی اولیه تکمیل شد. ترک کرد عملکرد را بررسی کنید، برای این کار، در دستگاه مشتری، شما نیاز دارید (با دریافت تنظیمات از DHCP یا با افزودن دستی آنها، مطابق با توصیه های بالا) یک مرورگر راه اندازی کنید و هر صفحه ای را در وب باز کنید. اگر چیزی کار نکرد، دوباره وضعیت را بررسی کنید:

• آیا تنظیمات آداپتور شبکه مشتری درست است؟ (آیا دستگاه با سرور پراکسی پینگ می کند؟)
• آیا کاربر/رایانه در سرور پروکسی مجاز است؟ (به روش های مجوز UserGate مراجعه کنید)
• آیا کاربر/گروه قوانین NAT را فعال کرده است تا کار کند؟ (برای اینکه مرورگر کار کند، حداقل به قوانین HTTP برای پروتکل TCP در پورت 80 نیاز دارید).
• آیا محدودیت های ترافیکی برای کاربر یا گروه منقضی شده است؟ (این را وارد نکردم).

اکنون می توانید کاربران متصل و قوانین NAT را که آنها استفاده می کنند در مورد "مانیتورینگ" کنسول مدیریت سرور پراکسی مشاهده کنید.

تنظیمات پراکسی بیشتر در حال تنظیم هستند، به الزامات خاص. اولین کاری که انجام دادم این بود که محدودیت پهنای باند را در ویژگی های کاربر فعال کردم (بعداً می توانید سیستمی از قوانین را برای محدود کردن سرعت پیاده سازی کنید) و خدمات اضافی UserGate - یک سرور پروکسی (HTTP در پورت 8080، SOCKS5 در پورت 1080) را فعال کنید. فعال کردن سرویس‌های پراکسی به شما امکان می‌دهد از حافظه پنهان درخواست استفاده کنید. اما برای کار با یک سرور پروکسی باید پیکربندی اضافی مشتریان را انجام داد.

سوالات را ترک کنید؟ پیشنهاد می کنم همین جا از آنها بپرسید.

________________________________________

توجه داشته باشید:این مقاله ویرایش شده است، با داده های مربوطه و پیوندهای اضافی تکمیل شده است.

پروکسی یوزر گیت و فایروالیک دروازه اینترنتی کلاس UTM (مدیریت تهدید یکپارچه) است که به شما امکان می دهد دسترسی عمومی کارکنان به منابع اینترنتی را فراهم و کنترل کنید، سایت های مخرب، خطرناک و ناخواسته را فیلتر کنید، شبکه شرکت را از نفوذ و حملات خارجی محافظت کنید، شبکه های مجازی ایجاد کنید و سازماندهی کنید. دسترسی ایمن VPN به منابع شبکه از خارج، و همچنین مدیریت پهنای باند و برنامه های کاربردی اینترنت.

این محصول جایگزین موثری برای نرم افزار و سخت افزار گران قیمت است و برای استفاده در مشاغل کوچک و متوسط، سازمان های دولتی و همچنین سازمان های بزرگ با ساختار شعبه طراحی شده است.

شما می توانید تمام اطلاعات اضافی در مورد محصول را بیابید.

این برنامه دارای ماژول های پولی اضافی است:

• آنتی ویروس کسپرسکی
• آنتی ویروس پاندا
• آنتی ویروس آویرا
• Entensys URL Filtering

هر ماژول برای یک سال تقویمی مجوز دارد. می‌توانید عملکرد همه ماژول‌ها را در یک کلید آزمایشی امتحان کنید، که می‌تواند برای یک دوره ۱ تا ۳ ماهه برای تعداد نامحدودی کاربر ارائه شود.

می توانید در مورد قوانین صدور مجوز بیشتر بخوانید.

برای تمام سوالات مربوط به خرید راه حل های Entensys، لطفا با: [ایمیل محافظت شده]یا با خط رایگان: 8-800-500-4032 تماس بگیرید.

سیستم مورد نیاز

برای سازماندهی یک دروازه، به یک کامپیوتر یا سرور نیاز دارید که باید شرایط سیستم زیر را داشته باشد:

• فرکانس پردازنده: از 1.2 گیگاهرتز
• حجم رم: از 1024 گیگابایت
• ظرفیت هارد: از 80 گیگابایت
• تعداد آداپتورهای شبکه: 2 یا بیشتر

هرچه تعداد کاربران بیشتر باشد (نسبت به 75 کاربر)، عملکرد سرور باید بزرگتر باشد.

توصیه می کنیم محصول خود را بر روی رایانه ای با سیستم عامل سرور "تمیز" نصب کنید، سیستم عامل توصیه شده ویندوز 2008/2012 است.
ما عملکرد صحیح پروکسی و فایروال UserGate و/یا عملکرد مشترک خدمات شخص ثالث و ما به اشتراک گذاری آن را توصیه نمی کنیمبا خدمات در دروازه، که نقش های زیر را انجام می دهد:

• است کنترل کننده دامنه
• یک هایپروایزر ماشین مجازی است
• است سرور ترمینال
• به عنوان یک سرور DBMS/DNS/HTTP بسیار بارگذاری شده و غیره عمل می کند.
• به عنوان یک سرور SIP عمل می کند
• خدمات یا خدمات مهم تجاری را انجام می دهد
• همه موارد فوق

UserGate Proxy&Firewall ممکن است در حال حاضر با انواع نرم افزارهای زیر در تضاد باشد:

• همه بدون استثنا شخص ثالثراه حل های فایروال/فایروال
• محصولات آنتی ویروس از BitDefender
• ماژول های آنتی ویروس که عملکرد فایروال یا "ضد هکر" اکثر محصولات ضد ویروس را انجام می دهند. توصیه می شود این ماژول ها را غیرفعال کنید
• ماژول‌های آنتی ویروس که داده‌های ارسال شده از طریق پروتکل‌های HTTP/SMTP/POP3 را بررسی می‌کنند، ممکن است هنگام کار فعال از طریق یک پروکسی باعث تأخیر شود.
• محصولات نرم افزاری شخص ثالث که قادر به رهگیری داده ها از آداپتورهای شبکه هستند - "سرعت سنج"، "شکل دهنده" و غیره.
• نقش فعال Windows Server "Routing and Remote Access" در حالت NAT/Internet Connection Sharing (ICS)

توجه!در حین نصب، توصیه می شود پشتیبانی از پروتکل IPv6 را در دروازه غیرفعال کنید، مشروط بر اینکه برنامه هایی که از IPv6 استفاده می کنند استفاده نشوند. اجرای فعلی UserGate Proxy&Firewall از پروتکل IPv6 پشتیبانی نمی کند و بر این اساس، این پروتکل فیلتر نمی شود. بنابراین، حتی اگر قوانین انکار فایروال فعال شده باشد، می توان از بیرون از طریق پروتکل IPv6 به میزبان دسترسی داشت.

هنگامی که به درستی پیکربندی شده باشد، UserGate Proxy&Firewall با خدمات زیر سازگار است:

وظایف مایکروسافت ویندوز سرور:

• سرور DNS
• سرور DHCP
• سرور چاپ
• سرور فایل (SMB).
• سرور برنامه های کاربردی
• سرور WSUS
• وب سرور
• سرور WINS
• سرور VPN

و با محصولات شخص ثالث:

• سرورهای FTP/SFTP
• سرورهای پیام رسانی - IRC/XMPP

هنگام نصب UserGate Proxy&Firewall، مطمئن شوید که نرم افزار شخص ثالث از پورت یا پورت هایی که UserGate Proxy&Firewall می تواند استفاده کند استفاده نمی کند. به طور پیش فرض، UserGate از پورت های زیر استفاده می کند:

• 25 - پروکسی SMTP
• 80 - پروکسی HTTP شفاف
• 110 - پروکسی POP3
• 2345 - کنسول مدیریت UserGate
• 5455 - سرور VPN UserGate
• 5456 - مشتری مجوز UserGate
• 5458 - ارسال DNS
• 8080 - پروکسی HTTP
• 8081 - آمار وب UserGate

همه پورت ها را می توان با استفاده از کنسول مدیریت UserGate تغییر داد.

نصب برنامه و انتخاب دیتابیس برای کار

جادوگر پیکربندی پروکسی و فایروال UserGate

شرح مفصل تری از تنظیم قوانین NAT در این مقاله توضیح داده شده است:

عامل یوزر گیت

پس از نصب UserGate Proxy & Firewall لزوماراه اندازی مجدد دروازه پس از مجوز در سیستم، در نوار وظیفه ویندوز در کنار ساعت، نماد UserGate باید سبز شود. اگر نماد خاکستری است، به این معنی است که در مراحل نصب خطایی رخ داده است و سرویس سرور UserGate Proxy&Firewall اجرا نمی شود، در این صورت به بخش مربوطه پایگاه دانش Entensys مراجعه کنید یا با پشتیبانی فنی Entensys تماس بگیرید.

این محصول از طریق کنسول مدیریت UserGate Proxy&Firewall پیکربندی می‌شود، که می‌توان با دوبار کلیک کردن بر روی نماد UserGate یا با کلیک کردن روی میانبر از منوی Start، آن را فراخوانی کرد.
هنگامی که کنسول مدیریت را راه اندازی می کنید، اولین قدم ثبت نام محصول است.

تنظیمات عمومی

در قسمت تنظیمات عمومی کنسول Administrator رمز عبور را برای کاربر Administrator تنظیم کنید. مهم!از کاراکترهای خاص یونیکد یا پین محصول به عنوان رمز عبور برای دسترسی به کنسول مدیریت استفاده نکنید.

محصول UserGate Proxy&Firewall دارای مکانیسم حفاظت از حمله، همچنین می توانید آن را در منوی "تنظیمات عمومی" فعال کنید. مکانیسم حفاظت از حمله یک مکانیسم فعال است، نوعی "دکمه قرمز" که روی همه رابط ها کار می کند. توصیه می‌شود در صورت حملات DDoS یا آلودگی انبوه رایانه‌ها به بدافزار (ویروس‌ها/کرم‌ها/برنامه‌های بات‌نت) در شبکه محلی از این عملکرد استفاده کنید. مکانیسم حفاظت از حمله می‌تواند کاربرانی را که از کلاینت‌های اشتراک‌گذاری فایل استفاده می‌کنند مسدود کند - تورنت‌ها، اتصال مستقیم، برخی از انواع سرویس‌گیرنده/سرورهای VoIP که به طور فعال ترافیک را مبادله می‌کنند. برای دریافت آدرس IP رایانه های مسدود شده، فایل را باز کنید ProgramData\Entensys\Usergate6\logging\fw.logیا اسناد و تنظیمات\همه کاربران\داده های برنامه\Entensys\Usergate6\logging\fw.log.

توجه!پارامترهای توضیح داده شده در زیر توصیه می شود فقط در صورت وجود تعداد زیادی مشتری/نیازهای پهنای باند بالای دروازه، تغییر کنند.

این بخش همچنین شامل تنظیمات زیر است: "Max connections" - حداکثر تعداد اتصالات از طریق NAT و از طریق UserGate Proxy&Firewall.

"حداکثر تعداد اتصالات NAT" - حداکثر تعداد اتصالاتی که UserGate Proxy&Firewall می تواند از طریق درایور NAT عبور کند.

اگر تعداد کلاینت ها از 200-300 بیشتر نباشد، تنظیمات "حداکثر تعداد اتصالات" و "حداکثر تعداد اتصالات NAT" نباید تغییر کنند. افزایش این پارامترها می تواند منجر به بار قابل توجهی بر روی تجهیزات دروازه شود و تنها در صورتی توصیه می شود که تنظیمات برای تعداد زیادی از مشتریان بهینه شده باشند.

رابط ها

توجه!قبل از انجام این کار، حتما تنظیمات آداپتور شبکه در ویندوز را بررسی کنید! رابط متصل به شبکه محلی (LAN) نباید حاوی آدرس دروازه باشد! نیازی به تعیین سرورهای DNS در تنظیمات آداپتور LAN نیست، آدرس IP باید به صورت دستی اختصاص داده شود، ما توصیه نمی کنیم آن را با استفاده از DHCP دریافت کنید.

آدرس IP آداپتور LAN باید یک آدرس IP خصوصی باشد. استفاده از آدرس IP از محدوده های زیر قابل قبول است:

10.0.0.0 - 10.255.255.255 (پیش شماره 10/8) 172.16.0.0 - 172.31.255.255 (پیش شماره 172.16/12) 192.168.0.0 - 192.16.165) (192.16.0.0)

تخصیص آدرس های شبکه خصوصی در شرح داده شده است RFC 1918 .

استفاده از محدوده های دیگر به عنوان آدرس برای شبکه محلی منجر به خطا در عملکرد UserGate Proxy & Firewall می شود.

یک رابط متصل به اینترنت (WAN) باید حاوی آدرس IP، ماسک شبکه، آدرس دروازه و آدرس های سرور DNS باشد.
استفاده از بیش از سه سرور DNS در تنظیمات آداپتور WAN توصیه نمی شود، این می تواند منجر به خطاهای شبکه شود. ابتدا سلامت هر سرور DNS را با استفاده از دستور nslookup در کنسول cmd.exe بررسی کنید، به عنوان مثال:

nslookup usergate.ru 8.8.8.8

که در آن 8.8.8.8 آدرس سرور DNS است. پاسخ باید حاوی آدرس IP سرور درخواستی باشد. اگر پاسخی وجود نداشته باشد، سرور DNS معتبر نیست یا ترافیک DNS مسدود شده است.

باید نوع اینترفیس ها را مشخص کنید. رابط با یک آدرس IP که به شبکه داخلی متصل است باید از نوع LAN باشد. رابطی که به اینترنت متصل است - WAN.

اگر چندین رابط WAN وجود دارد، باید رابط اصلی WAN را انتخاب کنید که با کلیک راست روی آن و انتخاب "Set as the main connection"، تمام ترافیک از طریق آن عبور می کند. اگر قصد دارید از رابط WAN دیگری به عنوان کانال پشتیبان استفاده کنید، توصیه می کنیم از "Setup Wizard" استفاده کنید.

توجه!هنگام پیکربندی یک اتصال پشتیبان، توصیه می‌شود نام میزبان DNS، بلکه یک آدرس IP را مشخص کنید تا UserGate Proxy&Firewall به طور دوره‌ای با استفاده از درخواست‌های icmp(ping) آن را نظرسنجی کند و در صورت عدم پاسخ، اتصال پشتیبان را روشن کند. مطمئن شوید که سرورهای DNS در تنظیمات Network Backup Adapter در ویندوز سالم هستند.

کاربران و گروه ها

برای اینکه کامپیوتر کلاینت در گیت‌وی مجاز باشد و به سرویس‌های UserGate Proxy&Firewall و NAT دسترسی پیدا کند، باید کاربرانی را اضافه کنید. برای ساده کردن این روش، از تابع اسکن - "اسکن شبکه محلی" استفاده کنید. UserGate Proxy&Firewall به طور خودکار شبکه محلی را اسکن می کند و لیستی از میزبان ها را ارائه می دهد که می توانند به لیست کاربران اضافه شوند. در مرحله بعد، می توانید گروه هایی ایجاد کنید و کاربران را در آنها بگنجانید.

اگر یک دامین کنترلر مستقر دارید، می‌توانید همگام‌سازی گروه‌ها را با گروه‌ها در اکتیو دایرکتوری تنظیم کنید، یا کاربران را از اکتیو دایرکتوری وارد کنید، بدون همگام‌سازی دائمی با اکتیو دایرکتوری.

ما گروهی ایجاد می کنیم که با گروه یا گروه هایی از AD همگام می شود، داده های لازم را در منوی "Synchronize with AD" وارد می کنیم و با استفاده از عامل UserGate سرویس UserGate را راه اندازی مجدد می کنیم. بعد از 300 ثانیه کاربران به طور خودکار به گروه وارد می شوند. این کاربران روش مجوز آنها را روی AD تنظیم خواهند کرد.

دیواره آتش

برای عملکرد صحیح و ایمن درگاه لازم است لزومافایروال را پیکربندی کنید

الگوریتم عملیات دیوار آتش زیر توصیه می شود: تمام ترافیک را رد کنید و سپس قوانین مجاز را در جهت های لازم اضافه کنید. برای انجام این کار، قانون #NONUSER# باید روی حالت "Deny" تنظیم شود (این کار تمام ترافیک محلی در دروازه را ممنوع می کند). با دقت!اگر UserGate Proxy & Firewall را از راه دور پیکربندی کنید، قطع ارتباط از سرور به دنبال خواهد داشت. سپس باید قوانین مجاز را ایجاد کنید.

ما با ایجاد قوانینی با پارامترهای زیر به تمام ترافیک محلی، در همه پورت ها از دروازه به شبکه محلی و از شبکه محلی به دروازه اجازه می دهیم:

منبع - "LAN"، مقصد - "Any"، خدمات - ANY:FULL، اقدام - "Allow"
منبع - "Any"، مقصد - "LAN"، خدمات - ANY:FULL، اقدام - "Allow"

سپس یک قانون ایجاد می کنیم که دسترسی به اینترنت را برای دروازه باز می کند:

منبع - "WAN"؛ مقصد - "هر"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"

اگر نیاز به اجازه دسترسی به اتصالات ورودی در همه پورت ها به دروازه دارید، قانون به شکل زیر خواهد بود:

منبع - "هر"؛ مقصد - "WAN"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"

و اگر برای پذیرش اتصالات ورودی، به عنوان مثال، فقط از طریق RDP (TCP:3389) به دروازه نیاز دارید و می توان آن را از خارج پینگ کرد، باید قانون زیر را ایجاد کنید:

منبع - "هر"؛ مقصد - "WAN"؛ خدمات - هر ICMP، RDP؛ اقدام - "اجازه دادن"

در سایر موارد، به دلایل امنیتی، نیازی به ایجاد قانون برای اتصالات ورودی ندارید.

برای اجازه دادن به رایانه های مشتری برای دسترسی به اینترنت، باید یک قانون ترجمه آدرس شبکه (NAT) ایجاد کنید.

منبع - "LAN"؛ مقصد - "WAN"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"؛ کاربران یا گروه هایی را که می خواهید به آنها اجازه دسترسی بدهید انتخاب کنید.

این امکان وجود دارد که قوانین فایروال را پیکربندی کنید - برای اجازه دادن به مواردی که صراحتاً ممنوع است و بالعکس، ممنوع کردن مواردی که صراحتاً مجاز هستند، بسته به اینکه قانون #NON_USER# را چگونه پیکربندی کنید و چه سیاستی در شرکت دارید. همه قوانین یک اولویت دارند - قوانین به ترتیب از بالا به پایین کار می کنند.

گزینه های تنظیمات مختلف و نمونه هایی از قوانین فایروال را می توان مشاهده کرد.

تنظیمات دیگر

علاوه بر این، در بخش خدمات - پروکسی، می توانید سرورهای پروکسی لازم - HTTP، FTP، SMTP، POP3، SOCKS را فعال کنید. رابط های مورد نظر را انتخاب کنید، فعال کردن گزینه "Listen on all interfaces" ناامن خواهد بود، زیرا پروکسی در این مورد هم در رابط های LAN و هم در رابط های خارجی در دسترس خواهد بود. حالت پروکسی "شفاف" تمام ترافیک پورت انتخاب شده را به درگاه پراکسی هدایت می کند، در این صورت نیازی به تعیین یک پراکسی در رایانه های مشتری نیست. پروکسی همچنین در پورت مشخص شده در تنظیمات خود سرور پراکسی در دسترس باقی می ماند.

اگر حالت پروکسی شفاف روی سرور فعال باشد (سرویس ها - تنظیمات پروکسی)، کافی است سرور UserGate را به عنوان دروازه اصلی در تنظیمات شبکه در دستگاه مشتری مشخص کنید. همچنین می توانید سرور UserGate را به عنوان سرور DNS تعیین کنید، در این صورت باید فعال باشد.

اگر حالت شفاف در سرور غیرفعال است، باید آدرس سرور UserGate و پورت پروکسی مربوطه را که در Services - تنظیمات پروکسی در تنظیمات اتصال مرورگر مشخص شده است، مشخص کنید. نمونه ای از راه اندازی سرور یوزر گیت برای چنین موردی را مشاهده می کنید.

اگر شبکه شما دارای یک سرور DNS پیکربندی شده است، می توانید آن را در تنظیمات انتقال DNS UserGate و تنظیمات آداپتور WAN UserGate مشخص کنید. در این حالت، هم در حالت NAT و هم در حالت پروکسی، تمام کوئری های DNS به این سرور هدایت می شوند.