Організація спільного доступу до інтернету користувачів локальної мережі – одне з найпоширеніших завдань, з якими доводиться стикатися системним адміністраторам. Тим не менш, досі вона викликає багато труднощів і питань. Наприклад - як забезпечити максимальну безпеку та повну керованість?

Вступ

Сьогодні ми докладно розглянемо, як організувати спільний доступ до інтернету співробітників якоїсь гіпотетичної компанії. Припустимо, що їх кількість буде лежати в межах 50-100 осіб, а в локальній мережі розгорнуто всі звичайні для таких інформаційних систем послуги: домен Windows, власний поштовий сервер, FTP-сервер.

Для спільного доступу ми будемо використовувати рішення під назвою UserGate Proxy & Firewall. Він має кілька особливостей. По-перше, це суто російська технологія, на відміну багатьох локалізованих товарів. По-друге, вона має більш ніж десятирічну історію. Але найголовніше – це постійний розвиток продукту.

Перші версії цього рішення були відносно простими проксі-серверами, які могли тільки забезпечувати спільне використання одного підключення до інтернету і вести статистику його використання. Найбільшого поширення серед них набув білд 2.8, який досі ще можна зустріти у невеликих конторах. Останню ж шосту версію самі розробники вже не називають проксі-сервером. За їх словами, це повноцінне UTM-рішення, яке охоплює цілий спектр завдань, пов'язаних із безпекою та контролем дій користувачів. Давай подивимося, чи це так.

Розгортання UserGate Proxy & Firewall

У ході встановлення інтерес становлять два етапи (інші кроки стандартні для інсталяції будь-якого ПЗ). Перший - це вибір компонентів. Крім базових файлів, нам пропонується встановити ще чотири серверні компоненти - це VPN, два антивіруси (Panda та «Антивірус Касперського») та оглядач кешу.

Модуль VPN-сервера встановлюється за потребою, тобто коли в компанії планується використання віддаленого доступу співробітників або об'єднання кількох віддалених мереж. Антивіруси має сенс встановлювати лише в тому випадку, якщо у компанії придбано відповідні ліцензії. Їх наявність дозволить сканувати інтернет-трафік, локалізувати та блокувати шкідливе ПЗ безпосередньо на шлюзі. Оглядач кешу забезпечить перегляд закешованих проксі-сервером веб-сторінок.

Додаткові функції

Заборона небажаних сайтів

Рішення підтримує технологію Entensys URL Filtering. По суті, це хмарна база даних, що містить понад 500 мільйонів сайтів різними мовами, розбитими більш ніж за 70 категоріями. Основна її відмінність - постійний моніторинг, в ході якого веб-проекти постійно контролюються та змінюють вміст переносяться в іншу категорію. Це дозволяє з високою точністю заборонити всі небажані сайти, просто вибравши певні рубрики.

Застосування Entensys URL Filtering збільшує безпеку роботи в інтернеті, а також сприяє підвищенню ефективності праці співробітників (за рахунок заборони соціальних мереж, розважальних сайтів тощо). Проте її використання вимагає наявність платної підписки, яку необхідно продовжувати щороку.

Крім цього, до складу дистрибутива входить ще два компоненти. Перший з них – «Консоль адміністратора». Це окрема програма, призначена, як це видно з назви, для керування сервером UserGate Proxy & Firewall. Головна його особливість – можливість віддаленого підключення. Таким чином, адміністраторам або відповідальним за використання інтернету особам не потрібний прямий доступ до інтернет-шлюзу.

Другий додатковий компонент – веб-статистика. По суті, вона є веб-сервером, який дозволяє відображати докладну статистику використання глобальної мережі співробітниками компанії. З одного боку, це, поза всяким сумнівом, корисний та зручний компонент. Адже він дозволяє отримувати дані без встановлення додаткового ПЗ, у тому числі через інтернет. Але з іншого – він займає зайві системні ресурси інтернет-шлюзу. А тому його краще встановлювати лише в тому випадку, коли він справді потрібний.

Другий етап, який варто звернути увагу під час інсталяції UserGate Proxy & Firewall, - вибір бази даних. У попередніх версіях UGPF міг працювати тільки з файлами MDB, що позначалося на продуктивності системи в цілому. Тепер є вибір між двома СУБД - Firebird і MySQL. Причому перша входить до складу дистрибутива, тому при її виборі ніяких додаткових маніпуляцій робити не потрібно. Якщо ж ти забажаєш використовувати MySQL, то попередньо її потрібно встановити та налаштувати. Після встановлення серверних компонентів необхідно підготувати робочі місця адміністраторів та інших відповідальних співробітників, які можуть керувати доступом користувачів. Зробити це дуже просто. Достатньо з того самого дистрибутива встановити на їх робочі комп'ютери консоль адміністрування.

Додаткові функції

Вбудований VPN-сервер

У версії 6.0 з'явився VPN-сервер. З його допомогою можна організувати захищений віддалений доступ співробітників компанії до локальної мережі або об'єднати віддалені мережі окремих філій організації в єдиний інформаційний простір. Даний VPN-сервер має всі необхідні функціональні можливості для створення тунелів «сервер - сервер» і «клієнт - сервер» та маршрутизації між підмережами.

Базове налаштування

Все налаштування UserGate Proxy & Firewall ведеться за допомогою консолі керування. За промовчанням після встановлення в ній вже створено підключення до локального сервера. Однак якщо ти використовуєш її віддалено, то з'єднання доведеться створити вручну, вказавши IP-адресу або ім'я хоста інтернет-шлюзу, мережевий порт (за замовчуванням 2345) та параметри авторизації.

Після підключення до сервера насамперед необхідно налаштувати мережеві інтерфейси. Це можна зробити на вкладці «Інтерфейси» розділу «Сервер UserGate». Мережевій карті, яка «дивиться» в локальну мережу, виставляємо тип LAN, а решті всіх підключень - WAN. Тимчасовим підключенням, таким як PPPoE, VPN, автоматично присвоюється тип PPP.

Якщо компанія має два або більше підключення до глобальної мережі, причому одне з них основне, а інші резервні, то можна налаштувати автоматичне резервування. Зробити це досить легко. Достатньо додати потрібні інтерфейси до списку резервних, вказати один або кілька контрольних ресурсів та час їхньої перевірки. Принцип роботи цієї системи такий. UserGate автоматично із зазначеним інтервалом перевіряє доступність контрольних сайтів. Як тільки вони перестають відповідати, продукт самостійно без втручання адміністратора перемикається на резервний канал. При цьому перевірка доступності контрольних ресурсів за основним інтерфейсом продовжується. І як тільки вона виявляється успішною, автоматично виконується перемикання назад. Єдине, на що потрібно звернути увагу під час налаштування, - це вибір контрольних ресурсів. Краще взяти кілька великих сайтів, стабільну роботу яких практично гарантовано.

Додаткові функції

Контроль мережевих програм

У UserGate Proxy & Firewall реалізовано таку цікаву можливість, як контроль мережевих додатків. Її мета – заборонити доступ до інтернету будь-якого несанкціонованого ПЗ. В рамках налаштування контролю створюються правила, які дозволяють або блокують мережеву роботу різних програм (з урахуванням версії або без нього). У них можна вказувати конкретні IP-адреси та порти призначення, що дозволяє гнучко налаштовувати доступ, дозволивши йому виконувати лише певні дії в інтернеті.

Контроль програм дозволяє виробити чітку корпоративну політику щодо використання програм, частково запобігти поширенню шкідливого ПЗ.

Після цього можна переходити безпосередньо до налаштування проксі-серверів. Усього в розглянутому рішенні їх реалізовано сім штук: для протоколів HTTP (включаючи HTTPs), FTP, SOCKS, POP3, SMTP, SIP та H323. Це практично все, що може знадобитись для роботи співробітників компанії в інтернеті. За промовчанням увімкнено лише HTTP-проксі, решту можна активувати за потреби.

Проксі-сервери в UserGate Proxy & Firewall можуть працювати у двох режимах – звичайному та прозорому. У першому випадку йдеться про традиційне проксі. Сервер отримує запити від користувачів та переправляє їх зовнішнім серверам, а отримані відповіді передає клієнтам. Це традиційне рішення, однак у ньому є свої незручності. Зокрема, необхідно налаштовувати кожну програму, яка використовується для роботи в інтернеті (інтернет-браузер, поштовий клієнт, ICQ та інше) на кожному комп'ютері в локальній мережі. Це, звісно, ​​велика робота. Тим паче періодично, у міру встановлення нового програмного забезпечення, вона повторюватиметься.

При виборі прозорого режиму використовується спеціальний NAT-драйвер, що входить до комплекту постачання рішення. Він прослуховує відповідні порти (80-й для HTTP, 21-й для FTP і так далі), детектує запити, що надходять на них, і передає їх проксі-серверу, звідки вони вирушають далі. Таке рішення вдало в тому плані, що налаштування програмного забезпечення на клієнтських машинах вже не потрібне. Єдине, що потрібно, - як основний шлюз у мережному підключенні всіх робочих станцій вказати IP-адресу інтернет-шлюзу.

Наступний крок – налаштування пересилання DNS-запитів. Зробити це можна двома способами. Найпростіший із них – включити так званий DNS-форвардинг. При його використанні DNS-запити, що надходять на інтернет-шлюз від клієнтів, перенаправляються на зазначені сервери (можна використовувати як DNS-сервер з параметрів мережного підключення, так і будь-які довільні DNS-сервери).

Другий варіант - створення NAT-правила, яке прийматиме запити по 53-му (стандартний для DNS) порту і переправлятиме їх у зовнішню мережу. Однак у цьому випадку доведеться або на всіх комп'ютерах вручну прописувати DNS-сервери в налаштуваннях мережних підключень, або налаштувати надсилання DNS-запитів через інтернет-шлюз із сервера контролера домену.

Керування користувачами

Після завершення базового налаштування можна перейти до роботи з користувачами. Почати потрібно зі створення груп, в які згодом об'єднуватимуться облікові записи. Для чого це потрібно? По-перше, для подальшої інтеграції з Active Directory. А по-друге, групам можна надавати правила (про них ми поговоримо пізніше), таким чином керуючи доступом одразу великої кількості користувачів.

Наступним кроком буде внесення до системи користувачів. Зробити це можна трьома різними способами. Перший з них, ручне створення кожного облікового запису, ми зі зрозумілих причин навіть не розглядаємо. Цей варіант підходить лише для малих мереж із невеликою кількістю користувачів. Другий спосіб – сканування корпоративної мережі ARP-запитами, в ході якого система сама визначає список можливих облікових записів. Однак ми вибираємо третій, найбільш оптимальний з погляду простоти та зручності адміністрування варіант – інтеграцію з Active Directory. Виконується вона з урахуванням створених раніше груп. Спочатку потрібно заповнити загальні параметри інтеграції: вказати домен, адресу його контролера, логін та пароль користувача з необхідними правами доступу до нього, а також інтервал синхронізації. Після цього кожній створеній у UserGate групі потрібно присвоїти одну або кілька груп з Active Directory. Власне, налаштування на цьому і закінчується. Після збереження всіх параметрів синхронізація буде виконуватись в автоматичному режимі.

Користувачі, що створюються в ході авторизації, за замовчуванням будуть використовувати NTLM-авторизацію, тобто авторизацію за домінним логіном. Це дуже зручний варіант, оскільки правила та система обліку трафіку працюватимуть незалежно від того, за яким комп'ютером зараз сидить користувач.

Щоправда, використання цього методу авторизації необхідне додаткове програмне забезпечення - спеціальний клієнт. Ця програма працює на рівні Winsock та передає на інтернет-шлюз параметри авторизації користувачів. Її дистрибутив входить у комплект постачання UserGate Proxy & Firewall. Швидко встановити клієнт на всі робочі станції можна за допомогою групових політик Windows.

NTLM-авторизація далеко не єдиний метод авторизації співробітників компанії для роботи в інтернеті. Наприклад, якщо в організації практикується жорстка прив'язка працівників до робочих станцій, можна використовувати для ідентифікації користувачів IP-адресу, MAC-адресу або їх поєднання. За допомогою цих методів можна організувати доступ до глобальної мережі різних серверів.

Контроль користувачів

Однією з значних переваг UGPF є широкі можливості для контролю користувачів. Вони реалізуються за допомогою системи правил керування трафіком. Принцип її роботи дуже простий. Адміністратор (або інша відповідальна особа) створює набір правил, кожне з яких являє собою одну або кілька умов спрацьовування та виконувану при цьому дію. Ці правила надаються окремим користувачам або цілим їхнім групам і дозволяють в автоматичному режимі контролювати їхню роботу в інтернеті. Усього реалізовано чотири можливі дії. Перше з них – закрити з'єднання. Воно дозволяє, наприклад, заборонити завантаження певних файлів, запобігти відвідуванню небажаних сайтів та інше. Друга дія – змінити тариф. Воно використовується в системі тарифікації, яка інтегрована в продукт, що розглядається (ми її не розглядаємо, оскільки для корпоративних мереж вона не особливо актуальна). Наступна дія дозволяє вимкнути підрахунок трафіку, який отримується в рамках даного з'єднання. У цьому випадку інформація, що передається, не враховується при підведенні добового, тижневого та місячного споживання. Ну і нарешті, остання дія – обмеження швидкості до зазначеного значення. Його дуже зручно використовувати для запобігання забиванню каналу при завантаженні великих файлів і вирішенні інших подібних завдань.

Умов у правилах управління трафіком набагато більше – близько десяти. Деякі з них відносно прості, наприклад, максимальний розмір файлу. Таке правило спрацьовуватиме при спробі користувачів завантажити файл більше зазначеного розміру. Інші умови прив'язані до часу. Зокрема, серед них можна відзначити розклад (спрацювання за часом та днями тижня) та свята (спрацьовує у зазначені дні).

Однак найбільший інтерес становлять умови, пов'язані з сайтами та контентом. Зокрема, з їх допомогою можна блокувати або встановлювати інші дії на певні види контенту (наприклад, відео, аудіо, файли, текст, картинки та інше), конкретні веб-проекти або цілі їх категорії (для цього використовується технологія Entensys URL Filtering, див. врізання).

Примітно, що одне правило може містити відразу кілька умов. При цьому адміністратор може вказувати, у якому разі воно виконуватиметься - за дотримання всіх умов або будь-якого з них. Це дозволяє створити дуже гнучку політику використання інтернету співробітниками компанії, яка враховує велику кількість різноманітних нюансів.

Налаштування міжмережевого екрану

Невід'ємна частина драйвера NAT UserGate – міжмережевий екран, з його допомогою вирішуються різні завдання, пов'язані з обробкою мережного трафіку. Для налаштування використовуються спеціальні правила, які можуть бути одного з трьох типів: трансляції мережевої адреси, маршрутизації та файрвола. Правил у системі може бути довільна кількість. У цьому застосовуються вони у порядку, у якому перелічені у загальному списку. Тому якщо трафік, що надходить, підходить під кілька правил, він буде оброблений тим з них, яке розташоване вище інших.

Кожне правило характеризується трьома основними параметрами. Перший – джерело трафіку. Це може бути один або кілька певних хостів, WAN або LAN-інтерфейс інтернет-шлюзу. Другий параметр – призначення інформації. Тут може бути вказаний LAN або WAN-інтерфейс або dial-up з'єднання. Остання основна характеристика правила - це чи кілька сервісів, куди воно поширюється. Під сервісом у UserGate Proxy & Firewall розуміється пара із сімейства протоколів (TCP, UDP, ICMP, довільний протокол) та мережного порту (або діапазону мережевих портів). За замовчуванням у системі вже є значний набір встановлених сервісів, починаючи з загальнопоширених (HTTP, HTTPs, DNS, ICQ) і закінчуючи специфічними (WebMoney, RAdmin, різні онлайн-ігри і так далі). Однак при необхідності адміністратор може створювати і свої сервіси, наприклад, що описують роботу з онлайн-банком.

Також у кожного правила є дія, яку воно виконує з підходящим під умови трафіком. Їх лише два: дозволити чи заборонити. У першому випадку трафік безперешкодно проходить вказаним маршрутом, а в другому блокується.

Правила трансляції мережевої адреси використовують технологію NAT. З їх допомогою можна налаштувати доступ до Інтернету робочих станцій з локальними адресами. Для цього необхідно створити правило, вказавши як джерело LAN-інтерфейс, а як приймач - WAN-інтерфейс. Правила маршрутизації застосовуються в тому випадку, якщо розглянуте рішення використовуватиметься як роутер між двома локальними мережами (в ньому реалізована така можливість). У цьому випадку маршрутизацію можна налаштувати для двоспрямованої прозорої передачі трафіку.

Правила файрвола використовуються для обробки трафіку, що надходить не на проксі-сервер, а безпосередньо на інтернет-шлюз. Відразу після установки в системі є одне таке правило, яке дозволяє всі пакети мережі. У принципі, якщо створюваний інтернет-шлюз не використовуватиметься як робоча станція, то дію правила можна змінити з «Дозволити» на «Заборонити». У цьому випадку на комп'ютері буде блоковано будь-яку мережну активність, крім транзитних NAT-пакетів, що передаються з локальної мережі в інтернет і назад.

Правила файрволу дозволяють публікувати в глобальній мережі будь-які локальні послуги: веб-сервери, FTP-сервери, поштові сервери та інше. При цьому віддалені користувачі мають можливість підключення до них через інтернет. Як приклад, можна розглянути публікацію корпоративного FTP-сервера. Для цього адмін повинен створити правило, в якому як джерело вибрати пункт «Будь-який», як призначення вказати потрібний WAN-інтерфейс, а як сервіс - FTP. Після цього вибрати дію «Дозволити», увімкнути трансляцію трафіку і в полі «Адреса призначення» вказати IP-адресу локального FTP-сервера та його мережевий порт.

Після такого налаштування всі з'єднання по 21-му порту, що надходять на мережеві карти інтернет-шлюзу, будуть автоматично перенаправлятися на FTP-сервер. До речі, в процесі налаштування можна вибрати не лише «рідний», а й будь-який інший сервіс (або створити власний). У цьому випадку зовнішні користувачі повинні звертатися не на 21-й, а на інший порт. Такий підхід дуже зручний у тих випадках, коли в інформаційній системі є два або більше однотипних сервісів. Наприклад, можна організувати доступ ззовні до корпоративного порталу стандартного для HTTP порту 80, а доступ до веб-статистики UserGate - порту 81.

Аналогічно налаштовується зовнішній доступ до внутрішнього поштового сервера.

Важлива риса реалізованого міжмережевого екрану - система запобігання вторгнень. Вона працює повністю в автоматичному режимі, виявляючи на основі сигнатур та евристичних методів спроби несанкціонованого впливу та нівелюючи їх через блокування потоків небажаного трафіку або скидання небезпечних з'єднань.

Підбиваємо підсумки

У цьому огляді ми детально розглянули організацію спільного доступу співробітників компанії до Інтернету. У сучасних умовах це не найпростіший процес, оскільки потрібно враховувати велику кількість різноманітних нюансів. Причому важливі як технічні, і організаційні аспекти, особливо контроль дій користувачів.

«UserGate Proxy & Firewall v.6 Посібник адміністратора Зміст Вступ Про програму Системні вимоги Встановлення UserGate Proxy & Firewall Реєстрація Оновлення...»

-- [ Сторінка 1 ] --

UserGate Proxy & Firewall v.6

Керівництво адміністратора

Вступ

Про програму

Системні вимоги

Встановлення UserGate Proxy & Firewall

Реєстрація

Оновлення та видалення

Політика ліцензування UserGate Proxy & Firewall

Консоль адміністрування

Налаштування з'єднань

Встановлення пароля на підключення

Аутентифікація адміністратора UserGate

Встановлення пароля доступу до бази статистики UserGate

Загальні налаштування NAT (Network Address Translation)

Загальні налаштування

Налаштування інтерфейсів

Підрахунок трафіку в UserGate

Підтримка резервного каналу

Користувачі та групи

Синхронізація з Active Directory

Персональна сторінка статистики користувача

Підтримка термінальних користувачів

Налаштування сервісів у UserGate

Налаштування DHCP

Налаштування сервісів проксі у UserGate

Підтримка протоколів IP-телефонії (SIP, H323)

Підтримка режиму SIP Registrar

Підтримка протоколу H323

Поштові проксі у UserGate

Використання прозорого режиму

Каскадні проксі

Призначення портів

Налаштування кешу

Антивірусна перевірка

Планувальник у UserGate

Налаштування DNS

Налаштування VPN-сервера

Налаштування системи виявлення вторгнень

Налаштування оповіщень

Міжмережевий екран у UserGate

Принцип роботи міжмережевого екрану

Реєстрація подій МЕ

Правила трансляції мережевої адреси (NAT)

Робота з кількома провайдерами

Автоматичний вибір вихідного інтерфейсу

www.usergate.ru

Публікація мережевих ресурсів

Налаштування правил фільтрації

Підтримка маршрутизації

Обмеження швидкості у UserGate

Контроль додатків

Оглядач кеш у UserGate

Управління трафіком у UserGate

Система правил керування трафіком

Обмеження доступу до Інтернет-ресурсів

Entensys URL Filtering

Встановлення ліміту споживання трафіку

Обмеження розміру файлу

Фільтрування по Content-type

Білінгова система

Тарифікація доступу до Інтернету

Періодичні події

Динамічне перемикання тарифів

Дистанційне адміністрування UserGate

Налаштування віддаленого підключення

Видалений перезапуск сервера UserGate

Перевірка доступності нової версії

Веб-статистика UserGate

Оцінка ефективності роботи правил керування трафіком

Оцінка ефективності роботи антивірусу

Статистика використання SIP

додаток

Контроль цілісності UserGate

Перевірка правильності запуску

Висновок налагоджувальної інформації

Отримання технічної підтримки

www.usergate.ru

Проксі-сервер – це комплекс програм, що виконує роль посередника (від англійського «proxy» - «посередник») між робочими станціями користувачів та іншими мережевими службами.

Рішення передає всі звернення користувача до Інтернету та, отримавши відповідь, відправляє його назад. За наявності функції кешування проксі-сервер запам'ятовує звернення робочих станцій до зовнішніх ресурсів, і у разі повторення запиту повертає ресурс із власної пам'яті, що суттєво знижує час запиту.

У деяких випадках запит клієнта або відповідь сервера може бути модифікований або блокований проксі-сервером для виконання певних завдань, наприклад, запобігання зараженню робочих станцій вірусами.

Про програму UserGate Proxy & Firewall – це комплексне рішення для підключення користувачів до мережі Інтернет, що забезпечує повноцінний облік трафіку, розмежування доступу та надає вбудовані засоби мережного захисту.

UserGate дозволяє тарифікувати доступ користувачів до мережі Інтернет як по трафіку, так і за часом роботи в мережі. Адміністратор може додавати різні тарифні плани, здійснювати динамічне перемикання тарифів, автоматизувати зняття/нарахування коштів та регулювати доступ до ресурсів Інтернету. Вбудований міжмережевий екран і антивірусний модуль дозволяють захищати сервер UserGate і перевіряти трафік, що проходить через нього, на наявність шкідливого коду. Для безпечного підключення до мережі організації можна використовувати вбудований VPN-сервер та клієнт.

UserGate складається з кількох частин: сервер, консоль адміністрування (UserGateAdministrator) та кілька додаткових модулів. Сервер UserGate (процес usergate.exe) - це основна частина проксі-сервера, в якій реалізовані всі його функціональні можливості.

Сервер UserGate надає доступ до мережі Інтернет, здійснює підрахунок трафіку, веде статистику роботи користувачів у мережі та виконує багато інших завдань.

Консоль адміністрування UserGate – це програма, призначена для керування сервером UserGate. Консоль адміністрування UserGate зв'язується із серверною частиною за спеціальним захищеним протоколом поверх TCP/IP, що дозволяє виконувати віддалене адміністрування сервера.

UserGate включає три додаткові модулі: «Веб-статистика», «Клієнт авторизації та модуль «Контроль додатків».

www.entensys.ru

Системні вимоги Сервер UserGate рекомендується встановлювати на комп'ютер з операційною системою Windows XP/2003/7/8/2008/2008R2/2012, підключений до Інтернету через модемне або будь-яке інше з'єднання. Вимоги до апаратного забезпечення сервера:

–  –  –

Встановлення UserGate Proxy & Firewall Процедура встановлення UserGate зводиться до запуску інсталяційного файлу та вибору опцій майстра інсталяції. При першому встановленні рішення достатньо залишити опції за замовчуванням. Після завершення інсталяції потрібно буде перезавантажити комп'ютер.

Реєстрація Для реєстрації програми необхідно запустити сервер UserGate, підключити консоль адміністрування до сервера та вибрати пункт меню «Допомога» – «Зареєструвати продукт». При першому підключенні консолі адміністрування з'явиться діалог для реєстрації із двома доступними опціями: запит демонстраційного ключа та запит повнофункціонального ключа. Запит ключа виконується online (протокол HTTPS) через звернення до сайту usergate.ru.

При запиті повнофункціонального ключа потрібно ввести спеціальний ПІН-код, який видається при покупці UserGate Proxy & Firewall або службою підтримки для тестування. Крім того, під час реєстрації потрібно ввести додаткову персональну інформацію (ім'я користувача, адресу електронної пошти, країна, регіон). Особисті дані використовуються виключно для прив'язування ліцензії до користувача і не поширюються. Після отримання повного або демонстраційного ключа сервер UserGate буде автоматично перезапущено.

www.usergate.ru

Важливо! У демонстраційному режимі сервер UserGate Proxy & Firewall працюватиме 30 днів. Під час звернення до компанії Entensys можна запросити спеціальний ПІН-код для розширеного тестування. Наприклад, можна запросити демонстраційний ключ на три місяці. Повторне отримання тріальної ліцензії без введення спеціального розширеного ПІН-коду неможливе.

Важливо! Під час роботи UserGate Proxy & Firewall періодично виконується перевірка статусу реєстраційного ключа. Для коректної роботи UserGate необхідно дозволити доступ до мережі Інтернет за протоколом HTTPS. Це потрібно для online перевірки статусу ключа. При триразовій неуспішній перевірці ключа ліцензія на проксі-сервер скинеться та з'явиться діалог реєстрації програми. У програмі реалізовано лічильник максимальної кількості активацій, що становить 10 разів. Після перевищення цього ліміту, ви зможете активувати продукт вашим ключем лише після звернення до служби підтримки за адресою http://entensys.ru/support.

Оновлення та видалення Нова версія UserGate Proxy & Firewall v.6 може бути встановлена ​​поверх попередніх версій п'ятого сімейства. У цьому випадку майстер установки запропонує зберегти або перезаписати файл налаштувань сервера config.cfg та файл статистики log.mdb. Обидва файли розташовані в директорії, в яку встановлено UserGate (надалі – %UserGate%). Сервер UserGate v.6 підтримує формат налаштувань UserGate v.4,5, тому при першому запуску сервера налаштування буде переведено у новий формат автоматично.

Зворотна сумісність установок не підтримується.

Увага! Для файлу статистики підтримується лише перенесення поточних балансів користувачів, сама статистика трафіку не буде перенесена.

Зміни бази даних були викликані проблемами у продуктивності старої та лімітами на її розмір. Нова база даних Firebird не має таких недоліків.

Видалення сервера UserGate виконується через відповідний пункт меню Пуск Програми або через пункт Встановлення та видалення програм (Програми та компоненти у Windows 7/2008/2012) на панелі керування Windows. Після видалення UserGate у директорії установки програми залишаться деякі файли, якщо не було встановлено опцію видалити все.

Політика ліцензування UserGate Proxy & Firewall Сервер UserGate призначений для надання доступу до Інтернету користувачам локальної мережі. Максимальна кількість користувачів, які можуть одночасно працювати в Інтернеті через UserGate, позначається кількістю «сесій» і визначається реєстраційним ключем.

Реєстраційний ключ UserGate v.6 є унікальним і не підходить до попередніх версій UserGate. У демонстраційному періоді рішення працює протягом 30 днів з обмеженням п'ять сесій. Поняття «сесія» не слід плутати з кількістю інтернет-застосунків або підключень, які запускає користувач. Кількість підключень від одного користувача може бути будь-якою, якщо вона спеціально не обмежується.

www.usergate.ru

Вбудовані в UserGate антивірусні модулі (від Kaspersky Lab, Panda Security та Avira), а також модуль Entensys URL Filtering ліцензуються окремо. У демонстраційній версії UserGate убудовані модулі можуть працювати 30 днів.

Модуль Entensys URL Filtering призначений для роботи з категоріями сайтів, надає можливість роботи в демонстраційному режимі терміном на 30 днів. При покупці UserGate Proxy & Firewall з модулем фільтрації термін дії ліцензії на Entensys URL Filtering становить один рік. Після закінчення терміну підписки фільтрація ресурсів за допомогою модуля припиниться.

www.usergate.ru

Консоль адміністрування Консоль адміністрування є програмою, призначеною для керування локальним або віддаленим сервером UserGate. Для використання консолі адміністрування необхідно запустити сервер UserGate, вибравши пункт Запустити сервер UserGate у контекстному меню UserGate-агента (іконка у системному треї, надалі

- "Агент"). Запустити консоль адміністрування можна через контекстне меню агента або через пункт меню Пуск Програми, якщо консоль адміністрування встановлена ​​на інший комп'ютер. Для роботи з налаштуваннями необхідно підключити консоль адміністрування до сервера.

Обмін даними між консоллю адміністрування та сервером UserGate, виконується за протоколом SSL. При ініціалізації підключення (SSLHandshake) виконується одностороння автентифікація, під час якої сервер UserGate передає консолі адміністрування свій сертифікат, розташований у директорії %UserGate%\ssl. Сертифікат або пароль консолі адміністрування не потрібно.

Налаштування з'єднань При першому запуску консоль адміністрування відкривається на сторінці З'єднання, на якій є єдине з'єднання з сервером localhost для користувача Administrator. Пароль на підключення не встановлено. Підключити консоль адміністрування до сервера можна двічі, клацнувши на рядку localhost-administrator або натиснувши кнопку Підключитися на панелі керування. У консолі адміністрування UserGate можна створити кілька з'єднань. У налаштуваннях підключень вказуються такі параметри:

Назва сервера – це назва підключення;

Ім'я користувача – логін для підключення до сервера;

Адреса сервера – доменне ім'я або IP-адреса сервера UserGate;

Порт – TCP-порт, який використовується для підключення до сервера (за замовчуванням використовується порт 2345);

Пароль – пароль для підключення;

Запитувати пароль під час підключення – опція дозволяє відображати діалог введення імені користувача та пароля при підключенні до сервера;

Автоматично підключатися до цього сервера – консоль адміністрування під час запуску підключатиметься до цього сервера автоматично.

Параметри консолі адміністрування зберігаються у файлі console.xml, розташованому в директорії %UserGate%\Administrator\. На стороні сервера UserGate ім'я користувача та md5 хеш пароля для підключення зберігаються у файлі config.cfg, розташованому в директорії %UserGate_data, де %UserGate_data% – папка для Windows XP – (C:\Documents and Settings\All www.usergate.ru Users\Application Data\Entensys\UserGate6), для Windows 7/2008 папка – (C:\Documents and Settings\All Users\Entensys\UserGate6) Установка пароля на підключення Створити логін та пароль для підключення до сервера UserGate можна на сторінці Загальні налаштування у розділі Налаштування адміністратора. У цьому розділі можна вказати TCP-порт для підключення до серверу. Для набуття чинності нових налаштувань необхідно перезапустити сервер UserGate (пункт Перезапустити сервер UserGate в меню агента). Після перезапуску сервера нові налаштування потрібно вказати і в параметрах з'єднання консолі адміністрування. В іншому випадку адміністратор не зможе підключитися до сервера.

Увага! З метою уникнення проблем із працездатністю консолі адміністрування UserGate змінювати ці параметри не рекомендується!

Аутентифікація адміністратора UserGate Для успішного підключення консолі адміністрування до сервера UserGate адміністратор повинен пройти процедуру автентифікації на стороні сервера.

Аутентифікація адміністратора виконується після встановлення SSL підключення консолі адміністрування до сервера UserGate. Консоль передає серверу логін та md5 хеш пароля адміністратора. Сервер UserGate порівнює отримані дані з тим, що вказано у файлі налаштувань config.cfg.

Аутентифікація вважається успішною, якщо дані, отримані від консолі адміністрування, збігаються з тим, що вказано в установках сервера. У разі невдалої автентифікації сервер UserGate розриває SSL-підключення з консоллю адміністрування. Результат процедури аутентифікації реєструється у файлі usergate.log, розташованому в директорії %UserGate_data%\logging\.

Встановлення пароля на доступ до бази статистики UserGate Статистика користувача – трафік, відвідані ресурси, тощо.

записуються сервером UserGate у спеціальну базу даних. Доступ до бази здійснюється безпосередньо (для вбудованої БД Firebird) або через ODBC драйвер, що дозволяє серверу UserGate працювати з базами практично будь-якого формату (MSAccess, MSSQL, MySQL). За промовчанням використовується база Firebird – %UserGate_data%\usergate.fdb. Логін та пароль на доступ до бази даних – SYSDBA\masterkey. Інший пароль можна встановити за допомогою Загальних параметрів Налаштування бази даних консолі адміністрування.

Загальні налаштування NAT (Network Address Translation) Пункт Загальні налаштування NAT дає змогу вказати величину таймууту для з'єднань NAT за протоколами TCP, UDP або ICMP. Величина таймууту визначає час життя з'єднання користувача через NAT, коли передача даних по з'єднанню завершена. Опція Виведення налагоджувальних логів призначена для налагодження та дозволяє, за потреби, увімкнути режим розширеного логування повідомлень драйвера NAT UserGate.

Детектор атак – це спеціальна опція, що дозволяє вам задіяти внутрішній механізм відстеження та блокування сканера портів або спроб www.usergate.ru заняття всіх портів сервера. Цей модуль працює в автоматичному режимі, події будуть записані до файлу %UserGate_data%\logging\fw.log.

Увага! Налаштування цього модуля можна змінити через конфігураційний файл config.cfg, розділ options.

Загальні налаштування Заблокувати по рядку браузера – список User-Agent's браузерів, які можуть бути заблоковані проксі-сервером. Тобто. можна, наприклад, заборонити виходити в інтернет старим браузерам таким як IE 6.0 або Firefox 3.x.

www.usergate.ru Налаштування інтерфейсів Розділ Інтерфейси (рис. 1) є головним у налаштуваннях сервера UserGate, оскільки визначає такі моменти, як правильність підрахунку трафіку, можливість створення правил для міжмережевого екрану, обмеження ширини Інтернет-каналу для трафіку певного типу, встановлення відносин між мережами та порядок обробки пакетів драйвером NAT (Network Address Translation).

Рисунок 1. Налаштування інтерфейсів сервера У розділі Інтерфейси перераховані всі доступні мережеві інтерфейси сервера, на який встановлено UserGate, включаючи Dial-Up (VPN, PPPoE) підключення.

Для кожного адаптера адаптера адміністратор UserGate повинен вказати його тип. Так, для адаптера, підключеного до Інтернету, слід вибрати тип WAN, для адаптера, підключеного до локальної мережі – тип LAN.

Не можна змінити тип Dial-Up (VPN, PPPoE). Для таких з'єднань сервер UserGate автоматично встановить тип PPP-інтерфейсу.

Вказати ім'я користувача та пароль для Dial-Up (VPN) підключення можна двічі клацнувши на відповідному інтерфейсі. Інтерфейс, розташований вгорі списку, є основним підключенням до Інтернету.

Підрахунок трафіку в UserGate Трафік, що проходить через сервер UserGate, записується на користувача локальної мережі, який є ініціатором з'єднання, або сервер www.usergate.ru UserGate, якщо ініціатором з'єднання є сервер. Для трафіку сервера у статистиці UserGate передбачений спеціальний користувач – Сервер UserGate. На рахунок користувача Сервер UserGate записується трафік оновлення антивірусних баз для вбудованих модулів Kaspersky Lab, Panda Security, Avira, а також трафік дозволу імен через DNS-форвардинг.

Трафік враховується повністю разом із службовими заголовками.

Додатково додано можливість обліку Ethernet-заголовків.

При правильному завданні типів мережевих адаптерів сервера (LAN або WAN), трафік у напрямку «локальна мережа – сервер UserGate» (наприклад, звернення до загальних мережних ресурсів на сервері) не враховується.

Важливо! Наявність сторонніх програм – міжмережевих екранів або антивірусів (з функцією перевірки трафіку) – може суттєво вплинути на правильність підрахунку трафіку в UserGate. На комп'ютері з UserGate не рекомендується встановлювати мережні програми сторонніх виробників!

Підтримка резервного каналу На сторінці інтерфейсів знаходиться налаштування резервного каналу. Натиснувши кнопку Майстер налаштування, ви зможете вибрати інтерфейс, який буде задіяний як резервний канал. На другій сторінці реалізовано вибір хостів, які перевірятимуться проксі-сервером на наявність зв'язку з Інтернетом. З зазначеним інтервалом рішення перевірятиме доступність цих хостів ICMP-запитом Echo-request. Якщо відповідь хоча від одного заданого хоста повернеться, з'єднання вважається активним. Якщо жодного хоста не прийде відповіді, то з'єднання вважатиметься неактивним, і основний шлюз у системі зміниться на шлюз резервного каналу. Якщо при цьому були створені правила NAT із зазначенням спеціального інтерфейсу Masquerade як зовнішній інтерфейс, такі правила будуть перестворені відповідно до поточної таблиці маршрутизації. Створені правила NAT почнуть працювати через резервний канал.

Малюнок 2. Майстер налаштування резервного каналу www.

usergate.ru Як резервне підключення сервер UserGate може використовувати як Ethernet-підключення (виділений канал, WAN-інтерфейс), так і Dial-Up (VPN, PPPoE) підключення (PPP-інтерфейс). Після переключення на резервне підключення до Інтернету, сервер UserGate періодично перевірятиме доступність основного каналу. Якщо його працездатність відновиться, програма здійснить перемикання користувачів на основне підключення до Інтернету.

www.usergate.ru

Користувачі та групи Для надання доступу до Інтернету необхідно створити користувачів у UserGate. Для зручності адміністрування користувачів можна об'єднувати групи за територіальною ознакою або за рівнем доступу. Логічно найбільш правильним є об'єднання користувачів у групи за рівнями доступу, оскільки в цьому випадку значно полегшується робота з правилами управління трафіком. За замовчуванням у UserGate є єдина група - default.

Створити нового користувача можна через пункт Додати нового користувача або натиснувши кнопку Додати на панелі керування на сторінці Користувачі та групи. Існує ще один спосіб додавання користувачів – сканування мережі ARP-запитів. Потрібно клацнути на порожньому місці в консолі адміністратора на сторінці користувачі та вибрати пункт сканувати локальну мережу. Далі встановити параметри локальної мережі і дочекатися результатів сканування. У результаті ви побачите список користувачів, яких можна додати до UserGate. Обов'язковими параметрами користувача (рис. 3) є ім'я, тип авторизації, параметр авторизації (IP-адреса, логін і пароль тощо), група та тариф. За замовчуванням усі користувачі належать до групи default. Ім'я користувача в UserGate має бути унікальним. Додатково у властивостях користувача можна визначити рівень доступу користувача до веб-статистики, встановити номер внутрішнього телефону для H323, обмежити кількість з'єднань для користувача, включити правила NAT, правила керування трафіком або правила для модуля «Контроль додатків».

Рисунок 3. Профіль користувача в UserGate Користувач у UserGate успадковує всі властивості групи, до якої належить, крім тарифу, який можна перевизначити.

Вказаний у властивостях користувача тариф ставитиметься до тарифікації всіх з'єднань користувача. Якщо доступ до Інтернету не тарифікується, можна використовувати порожній тариф, який називається “default”.

www.usergate.ru

Синхронізація з Active Directory Групи користувачів у UserGate можна синхронізувати з групами Active Directory. Для використання синхронізації з Active Directory машина з UserGate Proxy & Firewall не обов'язково має входити до домену.

Налаштування синхронізації виконується у два етапи. На першому етапі, на сторінці «Групи» консолі адміністратора UserGate (мал. 4) потрібно увімкнути опцію Синхронізація з AD та вказати такі параметри:

назва домену IP-адреса контролера домену логін і пароль для доступу до Active Directory (допускається вказівка ​​логіна у форматі UPN – User Principal Name) період синхронізації (у секундах) На другому етапі потрібно відкрити властивості групи користувачів (вичекавши інтервал синхронізації) в UserGate опцію «синхронізація груп із AD» та вибрати одну або кілька груп з Active Directory.

Під час синхронізації в UserGate помістяться користувачі з Active Directory, які належать вибраним групам Active Directory. Як тип авторизації для імпортованих користувачів буде використовуватися тип “HTTP Стан імпортованого користувача (NTLM)”.

(ввімкнено/вимкнено) керується станом відповідного облікового запису в домені Active Directory.

www.usergate.ru Малюнок 4. Налаштування синхронізації з Active Directory Важливо! Для синхронізації необхідно забезпечити проходження протоколу LDAP між сервером UserGate та контролером домену.

www.usergate.ru Персональна сторінка статистики користувача Кожному користувачеві в UserGate надано можливість перегляду сторінки статистики. Доступ до персональної сторінки статистики можна отримати за адресою http://192.168.0.1:8080/statistics.html, де для прикладу 192.168.0.1 – локальна адреса машини з UserGate, а 8080 – порт, на якому працює HTTP-проксі-сервер UserGate. Користувач може переглянути свою особисту розширену статистику, увійшовши за адресою - http://192.168.0.1:8081.

Увага! У версії 6.х був доданий інтерфейс 127.0.0.1:8080, який потрібен для роботи веб-статистики при відключеному HTTP-проксисервері UserGate. У зв'язку з цим порт 8080 на інтерфейсі 127.0.0.1 завжди буде зайнятий UserGate Proxy & Firewall, доки буде запущено процес usergate.exe

За IP-адресою За діапазоном IP-адрес За IP+MAC-адресою За MAC-адресою Авторизація засобами HTTP (HTTP-basic, NTLM) Авторизація через логін і пароль (Клієнт авторизації) Спрощений варіант авторизації через Active Directory Для використання трьох останніх методів авторизації на робочу станцію користувача необхідно встановити спеціальний додаток – клієнт авторизації UserGate. Відповідний пакет MSI (AuthClientInstall.msi) розташований у директорії %UserGate%\tools і може бути використаний для автоматичної установки засобами групової політики в Active Directory.

Адміністративний шаблон для встановлення клієнта авторизації засобами групової політики Active Directory також розташований у директорії %UserGate%\tools. На сайті http://usergate.ru/support є відео-інструкція з розгортання клієнта авторизації через групову політику.

Якщо сервер UserGate встановлено на комп'ютер, який не входить до домену Active Directory, рекомендується використовувати спрощений варіант авторизації через Active Directory. У цьому випадку сервер UserGate порівнюватиме логін та ім'я домену, отримані від клієнта авторизації, з відповідними полями, вказаними у профілі користувача, не звертаючись до контролера домену.

Підтримка термінальних користувачів Для авторизації термінальних користувачів у проксі-сервері UserGate, починаючи з версії 6.5, був доданий спеціальний програмний модуль, який називається «Термінальний Агент Авторизації». Дистрибутив програми Термінального агента знаходиться в папці %UserGate%\tools і називається TerminalServerAgent*.msi. Для 32-бітних систем треба брати версію «TerminalServerAgent32.msi», а для 64-бітових TerminalServerAgent64.msi». Програма є агентом, який періодично, раз на 90 секунд відсилає авторизаційну інформацію про всіх клієнтів термінального сервера на проксі-сервер, і драйвер, який забезпечує заміну портів для кожного термінального клієнта. Поєднання інформації про користувача та зіставлених йому портів, дозволяють проксисерверу точно визначати користувачів термінального сервера та застосовувати до них різні політики керування трафіком.

При установці термінального агента, вас попросять вказати IP-адресу проксисервера та кількість користувачів. Це необхідно для оптимального використання вільних TCP\UDP портів термінального сервера.

www.usergate.ru

Після встановлення агента термінального сервера, він запитує проксисервер, і якщо все проходить успішно, на сервері створюються три користувача з авторизацією "логін-пароль AD", і з логіном "NT AUTHORIY\*".

Якщо такі користувачі у вас з'являться в консолі, значить ваш термінальний агент готовий до роботи.

Перший спосіб (синхронізація з доменом Active Directory):

У консолі адміністратора, на сторінці груп користувачів у властивостях опції "синхронізації з AD", треба вказати коректні параметри для авторизації з AD.

Потім треба створити нову групу користувачів, і в ній вказати яку групу користувачів AD слід синхронізувати з поточною групою в Проксі-сервері. Потім ваші користувачі додадуться до цієї локальної групи користувачів UserGate Proxy. На цьому налаштування проксисервера практично закінчено. Після цього треба зайти під користувачем AD на термінальний сервер, і він автоматично буде авторизований на проксисервері, не вимагаючи введення логіну та паролю. Користувачами термінального сервера можна буде керувати як звичайними користувачами проксі-сервера з авторизацією IP-адреси. Тобто. їм можна буде застосовувати різні правила NAT або правила керування трафіком.

Другий спосіб (імпорт користувачів з домену Active Directory):

Використовуючи "імпорт" користувачів з AD, він налаштовується на сторінці з користувачами, шляхом натискання на відповідну кнопку - "імпорт", в інтерфейсі консолі адміністратора UserGate.

Необхідно імпортувати користувачів з AD до певної локальної групи на проксі-сервері. Після цього у всіх імпортованих користувачів, які вимагатимуть вихід в інтернет з термінального сервера, з'явиться доступ в інтернет з правами, визначеними на проксі-сервері UserGate.

Третій спосіб (використання локальних облікових записів термінального сервера):

Цей спосіб зручний для тестування роботи термінального агента або випадків, коли термінальний сервер не знаходиться в домені Active Directory. У такому разі необхідно завести нового користувача з типом авторизації Логін домен-AD", і у вигляді "адреси домену" вказати ім'я комп'ютера термінального сервера, а як логін - ім'я користувача, який входитиме на термінальний сервер. Усі користувачі, які будуть заведені на проксі-сервері, отримають доступ до Інтернету з термінального сервера, з правами, визначеними на проксі-сервері UserGate.

Варто розуміти, що є деякі обмеження термінального агента:

Протоколи, відмінні від TCP\UDP, не можуть бути пропущені з термінального сервера в інтернет. Наприклад, не можна буде запустити PING з цього сервера кудись в інтернет через NAT.

www.usergate.ru Максимальна кількість користувачів на термінальному сервері не може перевищувати 220, при цьому на кожного користувача буде виділено не більше ніж по 200 портів для протоколів TCP\UDP.

При перезапуску проксі-сервера UserGate термінальний агент не випускатиме нікого в інтернет до першої синхронізації з проксі-сервером UserGate (до 90 секунд).

HTTP-авторизація під час роботи через прозорий проксі У UserGate v.6 додано можливість HTTP-авторизації для проксі-сервера, що працює у прозорому режимі. Якщо браузер на робочій станції користувача не налаштований на використання проксі-сервера, а HTTP-проксі в UserGate включений у прозорому режимі, запит від неавторизованого користувача буде перенаправлений на сторінку авторизації, на якій потрібно вказати логін та пароль.

Після авторизації цю сторінку не потрібно закривати. Сторінка авторизації періодично оновлюється через спеціальний скрипт, зберігаючи користувальницьку сесію активною. У такому режимі користувачі будуть доступні всі послуги UserGate, включаючи можливість роботи через NAT. Для завершення сеансу користувача потрібно натиснути Logout на сторінці авторизації або просто закрити вкладку з авторизацією. і через 30-60 секунд авторизація на проксі-сервері зникне.

дозволити проходження NetBIOSNameRequest (UDP:137) пакетів між сервером UserGate та контролером домену забезпечити проходження пакетів NetBIOSSessionRequest (TCP:139) між сервером UserGate та контролером домену прописати адресу та порт HTTP-проксі UserGate у браузері на машині користувача Важливо! Для використання NTLM-авторизації машина із встановленим UserGate може і не бути членом домену Active Directory.

Використання клієнта авторизації Клієнт авторизації UserGate є мережевою програмою, що працює на рівні Winsock, яка підключається до сервера UserGate на певний UDP-порт (за замовчуванням використовується порт 5456) і передає параметри авторизації користувача: тип авторизації, логін, пароль і т.п.

www.usergate.ru

При першому запуску клієнт авторизації UserGate переглядає гілку HKCU\Software\Policies\Entensys\Authclient системного реєстру. Тут можуть бути розташовані установки, отримані через групову політику домену Active Directory. Якщо налаштування в реєстрі не виявлено, адресу сервера UserGate доведеться вказати вручну на третій зверху закладці в клієнті авторизації. Після вказівки адреси сервера потрібно натиснути кнопку Застосувати та перейти до другої закладки. На цій сторінці вказуються параметри авторизації користувача. Налаштування клієнта авторизації зберігаються у розділі HKCU\Software\Entensys\Authclient реєстру. Службовий лог клієнта авторизації зберігається в папці Documents and Settings\%USER%\Application data\UserGate Client.

Додатково до клієнта авторизації додано посилання на персональну сторінку статистики користувача. Змінити зовнішній вигляд клієнта авторизації можна через редагування відповідного шаблону у вигляді *.xml файлу, розташованого в директорії, до якої встановлений клієнт.

www.usergate.ru

Налаштування сервісів у UserGate Налаштування DHCP Служба дозволяє DHCP (Dynamic Host Configuration Protocol) автоматизувати процес надання мережевих налаштувань клієнтам у локальній мережі. У мережі з DHCP-сервером кожному мережному пристрою можна динамічно призначати IP-адресу, адресу шлюзу, DNS, WINS-сервера тощо.

Увімкнути DHCP-сервер можна через розділ Сервіси DHCP-сервер Додати інтерфейс у консолі адміністрування UserGate або натисканням на кнопку Додати в панелі керування. У діалозі, що з'явився, необхідно вибрати мережевий інтерфейс, на якому працюватиме DHCP-сервер. У мінімальній конфігурації для DHCP-сервера достатньо встановити такі параметри: діапазон IP-адрес (пул адрес), з якого сервер видаватиме адреси клієнтам в локальній мережі; маску мережі та час оренди.

Максимальний розмір пулу в UserGate не може перевищувати 4000 адрес. При необхідності з вибраного пулу адрес можна виключити (кнопка Винятки) одну або кілька IP-адрес. За певним пристроєм у мережі можна закріпити постійну IP-адресу, створивши відповідну прив'язку в розділі Резервації. Постійність IP-адреси при продовженні або отриманні оренди забезпечується за рахунок прив'язки (Резервації) до MAC-адреси мережного пристрою. Для створення прив'язки достатньо вказати IP-адресу пристрою.

MAC-адреса буде визначена автоматично за допомогою натискання на відповідну кнопку.

Рисунок 6. Налаштування DHCP-сервера UserGate

Сервер DHCP у UserGate підтримує імпорт установок DHCP-сервера Windows. Попередньо налаштування Windows DHCP необхідно зберегти у файлі. Для цього на сервері, де встановлений Windows DHCP, запустіть режим командного рядка (Пуск Виконати, введіть cmd і натисніть Enter) і у вікні виконайте команду: netsh dhcp server IP dumpім'я_файлу, де IP - IP-адреса вашого DHCP-сервера. Імпорт налаштувань

www.usergate.ru

з файлу здійснюється через відповідну кнопку на першій сторінці майстра налаштування DHCP-сервера.

Видані IP-адреси відображаються в нижній половині вікна консолі адміністрування (рис. 8) разом з інформацією про клієнта (назва комп'ютера, MAC-адреса), часом початку та кінця оренди. Виділивши видану IP-адресу, можна додати користувача до UserGate, створити прив'язку за MAC-адресою або звільнити IP-адресу.

Малюнок 7. Видалення виданих адрес

Звільнена IP-адреса через деякий час буде поміщена в пул вільних адрес DHCP-сервера. Операція звільнення IP-адреси може знадобитися, якщо комп'ютер, який раніше запросив адресу DHCP-сервера UserGate, більше не присутній в мережі або змінила MAC-адресу.

У DHCP-сервері реалізовано можливість відповідати на запити клієнтів при запиті файлу wpad.dat. За допомогою цього методу отримання налаштувань проксі-сервера необхідно редагувати файл шаблону, який знаходиться в папці "C:\program files\entensys\usergate6\wwwroot\wpad.dat".

Більш детальна інформація про такий метод отримання налаштувань проксисервера описана у Вікіпедії.

Налаштування сервісів проксі в UserGate У сервері UserGate інтегровані такі проксі-сервери: HTTP- (з підтримкою режиму “FTP поверх HTTP” і HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 та SMTP, SIP та H323. Установки проксі-серверів www.usergate.ru доступні у розділі Сервіси Налаштування проксі в консолі адміністрування. До основних налаштувань проксі-сервера відносяться:

інтерфейс (рис. 9) та номер порту, на якому працює проксі.

Рисунок 8. Базові налаштування проксі-сервера За замовчуванням у UserGate увімкнено лише HTTP-проксі, який прослуховує порт 8080 TCP на всіх доступних мережевих інтерфейсах сервера.

Для налаштування браузера клієнта на роботу через проксі-сервер достатньо вказати адресу та порт проксі у відповідному пункті налаштувань. В Internet Explorer налаштування проксі вказуються в меню Сервіс Властивості браузера Підключення Налаштування LAN. При роботі через HTTP-проксі у властивостях TCP/IP мережного підключення на робочій станції користувача не потрібно вказувати шлюз та DNS, оскільки дозвіл імен буде виконувати сам HTTP-проксі.

Для кожного проксі-сервера доступний режим каскадного включення на проксі-сервер.

Важливо! Порт, вказаний у налаштуваннях проксі-сервера, автоматично відкривається у міжмережевому екрані UserGate. Тому, з точки зору безпеки, в налаштуваннях проксі рекомендується вказувати лише локальні інтерфейси сервера.

Важливо! Докладніше про налаштування різних браузерів на проксі-сервер, описано у спеціальній статті бази знань Entensys.

Підтримка протоколів IP-телефонії (SIP, H323) У UserGate реалізована функція SIP-проксі з контролем стану з'єднань (stateful proxy) SIP Registrar. SIP-проксі включається в розділі Сервіси Налаштування проксі та завжди працює у прозорому режимі, прослуховуючи порти 5060 TCP та 5060 UDP. При використанні SIP-проксі на

www.usergate.ru

на сторінці Сесії консолі адміністрування відображається інформація про стан активного з'єднання (реєстрація, дзвінок, очікування тощо), а також інформація про ім'я користувача (або його номер), тривалість дзвінка та кількість переданих/отриманих байт. Ця інформація буде записана і до бази статистики UserGate.

Для використання SIP-проксі UserGate у властивостях TCP/IP на робочій станції користувача потрібно вказати IP-адресу сервера UserGate як шлюз за промовчанням, а також обов'язково вказати адресу DNS-сервера.

Налаштування клієнтської частини проілюструємо на прикладі програмного телефону SJPhone та провайдера Sipnet. Запустіть SJPhone, виберіть у контекстному меню пункт Options і створіть новий профіль. Введіть назву профілю (рис. 10), наприклад sipnet.ru. Як тип профілю вкажіть Call through SIP-Proxy.

Рисунок 9. Створення нового профілю в SJPhone У діалоговому вікні Profile Options потрібно вказати адресу проксі-сервера вашого VoIP-провайдера.

При закритті діалогу потрібно ввести дані для авторизації на сервері вашого VoIP-провайдера (ім'я користувача та пароль).

Малюнок 10. Налаштування профілю SJPhone www.usergate.ru Увага! Якщо при включенні SIP-проксі у вас голосовий трафік не проходить в одну чи іншу сторону, вам необхідно або використовувати STUN-проксі-сервер, або пускати трафік через NAT по всіх портах (ANY:FULL) для потрібних користувачів. При включенні правила NAT по всіх портах SIP-проксі-сервер необхідно буде вимкнути!

Підтримка режиму SIP Registrar Функція SIP Registrar дозволяє використовувати UserGate як програмну АТС (Автоматична Телефонна Станція) для локальної мережі.

Функція SIP Registrar працює одночасно з функцією SIP-проксі. Для авторизації на UserGate SIP Registrar у налаштуваннях SIP UAC (User Agent Client) потрібно вказати:

адреса UserGate як адреса SIP сервера ім'я користувача в UserGate (без пробілів) будь-який пароль Підтримка протоколу H323 Підтримка протоколу H323 дозволяє використовувати сервер UserGate як «брамника» (H323 Gatekeeper). У налаштуваннях H323-проксі вказується інтерфейс, на якому сервер прослуховуватиме клієнтські запити, номер порту, а також адресу та порт H323-шлюзу. Для авторизації на UserGate Gatekeeper користувачу потрібно вказати логін (ім'я користувача в UserGate), пароль (будь-який) та номер телефону, вказаний у профілі користувача в UserGate.

Важливо! Якщо на UserGate GateKeeper надходить дзвінок на номер H323, що не належить жодному з авторизованих користувачів UserGate, дзвінок буде перенаправлений на H323 gateway. Дзвінки на H323 gateway виконуються в режимі CallModel: Direct.

Поштові проксі у UserGate Поштові проксі-сервери у UserGate призначені для роботи з протоколами POP3 та SMTP та для антивірусної перевірки поштового трафіку.

При використанні прозорого режиму роботи POP3 та SMTP-проксі налаштування поштового клієнта на робочій станції користувача не відрізняється від налаштувань, що відповідають варіанту прямого доступу до мережі Інтернет.

Якщо POP3-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях поштового клієнта на робочій станції користувача в якості адреси POP3-сервера потрібно вказувати IP-адресу комп'ютера з UserGate та порт, який відповідає POP3-проксі UserGate. Крім того, логін для авторизації на віддаленому POP3-сервері вказується в наступному форматі:

адреса_електронної_пошти@адреса_POP3_сервера. Наприклад, якщо користувач має поштову скриньку [email protected], то як Логін на

POP3-проксі UserGate у поштовому клієнті потрібно буде вказати:

[email protected]@pop.mail123.com. Такий формат необхідний для того, щоб сервер UserGate міг визначити адресу віддаленого сервера POP3.

www.usergate.ru

Якщо SMTP-проксі UserGate використовується в непрозорому режимі, то в налаштуваннях проксі потрібно вказати IP-адресу та порт SMTP-сервера, який UserGate буде використовувати для надсилання листів. У такому разі в налаштуваннях поштового клієнта на робочій станції користувача в якості адреси SMTP-сервера потрібно вказувати IP-адресу сервера UserGate і порт, що відповідає SMTP-проксі UserGate. Якщо для надсилання потрібна авторизація, то в налаштуваннях поштового клієнта потрібно вказати логін та пароль, що відповідає SMTP-серверу, який вказаний у налаштуваннях SMTP-проксі в UserGate.

Використання прозорого режиму Функція Прозорий режим у налаштуваннях проксі-серверів доступна, якщо сервер UserGate встановлено разом із драйвером NAT. У прозорому режимі драйвер NAT UserGate прослуховує стандартні для сервісів порти: 80 TCP для HTTP, 21 TCP для FTP, 110 та 25 TCP для POP3 та SMTP на мережевих інтерфейсах комп'ютера з UserGate.

За наявності запитів передає їх на проксі-сервер UserGate. При використанні прозорого режиму в мережних програмах користувачів не потрібно вказувати адресу та порт проксі-сервера, що суттєво зменшує роботу адміністратора в плані надання доступу локальної мережі до Інтернету. Однак, у мережних налаштуваннях робочих станцій сервер UserGate повинен бути вказаний як шлюз, і потрібно вказати адресу DNS-сервера.

Каскадні проксі Сервер UserGate може працювати з підключенням Інтернету як безпосередньо, так і через вищі проксі-сервери. Такі проксі групуються в UserGate у пункті Сервіси Каскадні проксі. UserGate підтримує такі типи каскадних проксі: HTTP, HTTPS, Socks4, Socks5. У налаштуваннях каскадного проксі вказуються стандартні параметри: адреса та порт. Якщо вищий проксі підтримує авторизацію, в налаштуваннях можна вказати відповідний логін та пароль. Створені каскадні проксі стають доступними у налаштуваннях проксі-серверів у UserGate.

www.usergate.ru Малюнок 11 Батьківські проксі в UserGate Призначення портів У UserGate реалізована підтримка функції Перенаправлення портів (Port mapping). За наявності правил призначення портів сервер UserGate перенаправляє запити користувача, що надходять на певний порт заданого мережного інтерфейсу комп'ютера з UserGate, на іншу вказану адресу і порт, наприклад, на інший комп'ютер у локальній мережі.

Функція Перенаправлення портів доступна для протоколів TCP та UDP.

Рисунок 12. Призначення портів у UserGate Важливо! Якщо призначення портів використовується для надання доступу з Інтернету до внутрішнього ресурсу компанії, в якості параметра www.usergate.ru Авторизація слід вибрати Вказаний користувач, інакше перенаправлення порту працювати не буде.

Налаштування кешу Одним із призначень проксі-сервера є кешування мережевих ресурсів.

Кешування знижує навантаження на підключення до мережі Інтернет та прискорює доступ до часто відвідуваних ресурсів. Проксі-сервер UserGate виконує кешування HTTP та FTP-трафіку. Кешовані документи розміщуються в локальній папці %UserGate_data%\Cache. У налаштуваннях кешу вказується:

граничний розмір кешу та час зберігання кешованих документів.

Додатково можна увімкнути кешування динамічних сторінок та підрахунок трафіку з кешу. Якщо увімкнено опцію Рахувати трафік з кешу, на користувача в UserGate буде записуватися не тільки зовнішній (Інтернет) трафік, але також і трафік, отриманий з кешу UserGate.

Увага! Щоб подивитися поточні записи в кеш, необхідно запустити спеціальну утиліту для перегляду бази даних кеш. Вона запускається через натискання правої кнопки миші на іконці «UserGate агент», у системному треї та виборі пункту «Відкрити браузер кеш».

Увага! Якщо ви увімкнули кеш, а в «браузері кеш» у вас, як і раніше, немає жодного ресурсу, то вам швидше за все необхідно включити прозорий проксі-сервер для протоколу HTTP, на сторінці «Сервіси – Налаштування проксі

Антивірусна перевірка У сервер UserGate інтегровано три антивірусні модулі: антивірус Kaspersky Lab, Panda Security та Avira. Усі антивірусні модулі призначені для перевірки вхідного трафіку через HTTP, FTP та поштові проксі-сервери UserGate, а також вихідного трафіку через SMTP-проксі.

Налаштування антивірусних модулів доступні у розділі Сервіси Антивіруси консолі адміністрування (рис. 14). Для кожного антивірусу можна вказати, які протоколи він повинен перевіряти, встановити періодичність оновлення антивірусних баз, а також вказати URL-адреси, які перевіряти не потрібно (опція Фільтр URL). Додатково в налаштуваннях можна вказати групу користувачів, трафік яких не потрібно антивірусною перевіркою.

www.usergate.ru

Рисунок 13. Антивірусні модулі в UserGate Перед запуском антивірусних модулів необхідно запустити оновлення антивірусних баз та дочекатися його завершення. У налаштуваннях за промовчанням бази антивірусу Касперського оновлюються із сайту Kaspersky Lab, а для антивіруса Panda завантажуються із серверів Entensys.

Сервер UserGate підтримує одночасно три антивірусних модулів. У цьому випадку першим перевірятиме трафік Антивірус Касперського.

Важливо! При увімкненні антивірусної перевірки трафіку сервер UserGate блокує багатопоточні завантаження файлів через HTTP та FTP. Блокування можливості завантаження частини файлу HTTP може призвести до проблем у роботі служби Windows Update.

Планувальник у UserGate У сервері UserGate вбудований планувальник завдань, який може бути використаний для виконання наступних завдань: ініціалізація та розрив DialUp з'єднання, розсилка статистики користувачам UserGate, виконання довільної програми, оновлення антивірусних баз, очищення бази статистики, перевірка розміру бази даних.

www.usergate.ru

Рисунок 14. Налаштування планувальника завдань Пункт Виконати програму у планувальнику UserGate може бути використаний і для виконання послідовності команд (скриптів) з файлів *.bat або *.cmd.

Схожі роботи:

«ПЛАН ДІЙ 2014-2015 років. КОНФЕРЕНЦІЯ РЕГІОНАЛЬНИХ І МІСЦЕВИХ ОРГАНІВ ВЛАДИ ПО СХІДНОМУ ПАРТНЕРСТВІ ПЛАН ДІЙ ПЛАН ДІЙ КОНФЕРЕНЦІЇ РЕГІОНАЛЬНИХ І МІСЦЕВИХ ОРГАНІВ ПОУ ОД І ДО ПРОВЕДЕННЯ ЩОРІЧНОЇ ЗУСТРІЧІ У 2015 РОКУ 1. Вступ Конференція регіональних та місцевих органів влади щодо Східного партнерства (далі за текстом - «CORLEAP» або «Конференція») є політичним форумом, який покликаний сприяти проведенню на місцевому та...»

«Директор Департаменту державної політики та регулювання у галузі геології та надрокористування Мінприроди Росії А.В. Орел затвердив 23 серпня 2013 р. ЗАТВЕРДЖУЮ Директор Департаменту державної політики та регулювання в галузі геології та надрокористування Мінприроди Росії _ А.В. Орел «_» 2013 р. ПОГОДЖЕНО Директор ФГУНВП «Геологорозвідка» В.В. Шиманський «_»_ 2013 р. ВИСНОВОК Науково-методичної Ради з геолого-геофізичних технологій пошуків та розвідки твердих корисних...»

«КОЛОНКА РЕДАКТОРА Д ДОРОГІ ДРУЗІ! Ви тримаєте в руках перший цьогорічний номер «Нового лісового журналу». За традицією його головною темою стала міжнародна виставка-ярмарок «Російський ліс», що пройшла наприкінці минулого року. Звичайно, ми розглядали цей захід не стільки як інформаційний привод, скільки як майданчик для розробки фахівцями лісового комплексу політики, стратегії та тактики розвитку галузі. Саме з цього погляду ми намагалися висвітлювати роботу семінарів,...»

«Програма державного підсумкового міждисциплінарного іспиту складена відповідно до положень: про підсумкову державну атестацію випускників федеральної державної бюджетної освітньої установи вищої професійної освіти «Російська академія народного господарства та державної служби при Президентові Російської Федерації» від 24 січня 2012 року, м. Москва; підготовці (магістратурі) у федеральному державному бюджетному освітньому...»

«Список виконавців Нечаєв В.Д. керівник Програми стратегічного розвитку Університету, ректор Глазков О.О. керівник робіт з Програми стратегічного розвитку Університету, проректор з науки, інновацій та стратегічного розвитку Шараборова Г.К. координатор робіт із Програми стратегічного розвитку Університету, директор Центру стратегічного розвитку Куратори проектів: Соколов Є.Ф. проректор з адміністративно-господарського забезпечення Огнєв О.С. проректор з науки,...»

«УДК 91:327 Лисенко А. В. Математичне моделювання як метод дослідження феномена автономізму в політичній географії Таврійський національний університет імені В. І. Вернадського, м. Сімферополь е-mail: [email protected]Анотація. У статті розглядається можливість використання математичного моделювання як методу дослідження політичної географії, розкривається поняття територіального автономізму, а також фактори його генези. Ключові слова: математичне моделювання,...»

«ПРАВА» у м. Мурманську ЗАТВЕРДЖЕНО ПРИЙНЯТО Директор Філії на засіданні кафедри загальноправових ЧОУ ВПО БІЕПП у м. Мурманську дисциплін ЧОУ ВПО БІЕПП в.м. Мурманське А.С. Коробейников протокол № 2_ від «_09_»_вересня_ 2014 року «_09_»вересня 2014 року Навчально-методичний комплекс дисципліни Історія політичних та правових навчань Спеціальність...»

«Трастовий фонд російської програми допомоги розвитку в області освіти (READ) READ РІЧНИЙ ЗВІТ ЗА “інвестуючи в оцінку якості освіти, оцінку результатів реформ та системи оцінювання навчальних досягнень та набутих навичок, банк допоможе своїм країнам-партіям в освіті: які переваги має наша система? які її недоліки? які заходи щодо усунення цих недоліків виявилися найефективнішими? які...»

«ОХУНІВ АЛІШЕР ОРИПОВИЧ [email protected]ТИТУЛ СІЛЛАБУС ЗАГАЛЬНІ ВІДОМОСТІ ВІДОМОСТІ ПРО ВИКЛАДНИКІВ ПОЛІТИКА ДИСЦИПЛІНИ «ЗАГАЛЬНІ ПИТАННЯ ПРОГРАМА КІНЦЕВІ РЕЗУЛЬТАТИ НАВЧАННЯ ПРЕКРИЗИТИ І ПОСТКВИРКИ» КИ ЗНАНЬ І НАВИКІВ НАВЧАЛЬНИХ ВИГЛЯД КОНТРОЛЮ СІЛЛАБУС «ЗАГАЛЬНІ ПИТАННЯ ХІРУРГІЇ» ОХУНІВ АЛІШЕР ОРИПОВИЧ [email protected]ЗАГАЛЬНІ ВІДОМОСТІ: ТИТУЛ Найменування вузу: Ташкентська Медична Академія ЗАГАЛЬНІ ВІДОМОСТІ Кафедра загальної та дитячої хірургії Місце знаходження...»

«Комітет із зовнішніх зв'язків Реалізація в Санкт-Петербурзі Санкт-Петербурга державної політики Російської Федерації щодо співвітчизників за кордоном VIII Петербурзький Форум молодіжних організацій російських співвітчизників та зарубіжних російськомовних ЗМІ «Російське зарубіжжя» 7-13 червня 2015 року ПРОГРАМА 7 ЧЕРВНЯ, ВО Форуму протягом дня Готель "Санкт-Петербург" Адреса: Пирігівська набережна, 5/2 Реєстрація учасників, видача «Набору учасника» УВАГА!...»

«Навчальна програма додаткового вступного іспиту до магістратури для спеціальності 1-23 80 06 «Історія міжнародних відносин та зовнішньої політики» складена на основі типових програм «Історія міжнародних відносин» та «Історія зовнішньої політики Білорусі», а також програми державного іспиту зі спеціальних дисциплін для спеціальності 1-23 01 01 "Міжнародні відносини". Розглянуто та рекомендовано до затвердження на засіданні кафедри міжнародних відносин Протокол №10 від 7...»

« тижні може вибрати проект надважкої ракети Російсько - китайська лабораторія Космічні тросові системи Наступні супутники серії Метеор не отримають радіолокаційних комплексів Зниклий зв'язок з російським науковим супутником Вернов поки не налагодили 19.02.2015 4 Космічний сміття на 6 січня ..»

«МІНІСТЕРСТВО ОСВІТИ ТА НАУКИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ Федеральна державна бюджетна освітня установа вищої професійної освіти «Кемеровський державний університет» СТВЕРДЖУЮ: Ректор _ В. А. Волчек «» _ 2014 р. Основна освітня програма вищої освіти Спеціальність політика» Кваліфікація (ступінь) спеціаліст у галузі міжнародних відносин Форма навчання очна Кемерово 2014...»

«ІСЛАМ НА СУЧАСНОМУ УРАЛІ Олексій Малашенко, Олексій Старостін КВІТЕНЬ 2015 ІСЛАМ НА СУЧАСНОМУ УРАЛІ Олексій Малашенко, Олексій Старостін Даний випуск «Робочих матеріалів» підготовлений некомерційною неурядовою дослідницькою організацією – Московським Центром Карне. Фонд Карнегі за Міжнародний Світ та Московський Центр Карнегі як організація не виступають із спільною позицією щодо суспільно-політичних питань. У публікації відображено особисті погляди авторів, які не повинні...»

««Головний принцип Knauf полягає в тому, що все треба mitdenken (робити, попередньо добре подумавши спільно і з урахуванням інтересів тих, на кого працюєш). Поступово це ключове поняття прищепилося у Росії». З інтерв'ю з Ю.А.Михайловым, Генеральним директором ТОВ «КНАУФ ГІПС КОЛПІНО»Управлінські практики російського підрозділу міжнародної корпорації: досвід «КНАУФ СНД»* Гурков Ігор Борисович, Коссов Володимир Вікторович Анотація На основі аналізу досвіду розвитку групи «КНАУФ. ..»

«Додаток ІНФОРМАЦІЯ про хід виконання розпорядження Губернатора Омської області від 28 лютого 2013 року № 25-р «Про заходи щодо реалізації Указу Губернатора Омської області від 16 січня 2013 року № 3» щодо Плану першочергових заходів на 2013 – 2014 роки в інтересах дітей на території Омської області на 2013 – 2017 роки за 2013 рік № Найменування Відповідальний Інформація про виконання підприємницької діяльності виконавець I. Сімейна політика дитинствазбереження...»

«ДЕПАРТАМЕНТ ОСВІТИ ТА МОЛОДІЖНОЇ ПОЛІТИКИ ХАНТИ-МАНСІЙСЬКОГО АВТОНОМНОГО ОКРУГА – ПІВДЕННЯ Державна освітня установа Вищої професійної освіти Ханти-Мансійського автономного округу – Югри «Сургутський державний педагогічний університет» Програма. ПЕДАГОГІЧНА ПРАКТИКА Напрям підготовки 49.03.02 Фізична культура для осіб з відхиленнями у стані здоров'я (Адаптивна фізична культура) Кваліфікація (ступінь)...»

«Державна автономна освітня установа вищої професійної освіти «Московський міський університет управління Уряду Москви» Інститут вищої професійної освіти Кафедра державного управління та кадрової політики СТВЕРДЖУЮ Проректор з навчальної та наукової роботи О.О. Александров «_»_ 20_ р. Робоча програма навчальної дисципліни «Методи прийняття управлінських рішень» для студентів напряму 38.03.02 «Менеджмент» для очної форми навчання Москва...»

«Серія «Прості фінанси» Ю. В. Брехова ЯК РОЗІЗНАТИ ФІНАНСОВУ ПІРАМІДУ Волгоград 2011 УДК 336 ББК 65.261 Б 87 Брошура з серії «Прості фінанси» виконана відповідно до договору 7(2) від 1 служби» з Комітетом бюджетно-фінансової політики та казначейства Адміністрації Волгоградської області у рамках виконання довгострокової обласної цільової програми «Підвищення рівня фінансової грамотності населення та розвиток фінансового...»
Матеріали цього сайту розміщені для ознайомлення, всі права належать їхнім авторам.
Якщо Ви не згодні з тим, що Ваш матеріал розміщений на цьому сайті, будь ласка, напишіть нам, ми протягом 1-2 робочих днів видалимо його.

Сьогодні Internet - як засіб спілкування чи спосіб проведення дозвілля, а й робочий інструмент. Пошук інформації, участь у торгах, робота з клієнтами та партнерами вимагають присутності співробітників компаній у Мережі. На більшості комп'ютерів, що використовуються як в особистих цілях, так і на користь організації, встановлені операційні системи Windows. Звісно, ​​вони оснащені механізмами надання доступу до Internet. Починаючи з версії Windows 98 Second Edition, як стандартний компонент у операційні системи Windows вбудована функція Internet Connection Sharing (ICS), за допомогою якої забезпечується груповий доступ з локальної мережі до Internet. Пізніше у версії Windows 2000 Server з'явилася служба Routing and Remote Access Service (маршрутизація та віддалений доступ) та була реалізована підтримка протоколу NAT.

Але ICS має свої недоліки. Так, ця функція змінює адресу мережного адаптера, а це може викликати проблеми в локальній мережі. Тому ICS переважно використовувати лише у домашніх чи невеликих офісних мережах. У цій службі не передбачено авторизації користувачів, тому в корпоративній мережі її задіяти небажано. Якщо говорити про застосування в домашній мережі, то і тут відсутність авторизації на ім'я користувача також стає неприйнятною, оскільки IP-адреси і MAC дуже легко підробити. Тому, хоча у Windows і є можливість організації єдиного доступу до Internet, практично реалізації цього завдання застосовують або апаратні, або програмні засоби незалежних розробників. Одним із таких рішень є програма UserGate.

Перше знайомство

Proxy-сервер Usergate дозволяє надати користувачам локальної мережі вихід в Internet та визначати політику доступу, забороняючи доступ до певних ресурсів, обмежуючи трафік або час роботи користувачів у мережі. З іншого боку, Usergate дає можливість вести роздільний облік трафіку як у користувачам, і за протоколами, що значно полегшує контроль витрат за Internet-подключение. Останнім часом серед Internet-провайдерів спостерігається тенденція надавати безлімітний доступ в Internet своїми каналами. На тлі такої тенденції на перший план виходить саме контроль та облік доступу. Для цього proxy-сервер Usergate має досить гнучку систему правил.

Proxy-сервер Usergate з підтримкою NAT (Network Address Translation) працює на операційних системах Windows 2000/2003/XP із встановленим протоколом TCP/IP. Без підтримки протоколу NAT Usergate здатний працювати на Windows 95/98 та Windows NT 4.0. Сама програма не вимагає роботи спеціальних ресурсів, основна умова - наявність достатнього місця на диску для файлів кешу і журналу. Тому все ж таки рекомендується встановлювати proxy-сервер на окремій машині, віддаючи йому максимальні ресурси.

Налаштування

Навіщо потрібен proxy-сервер? Адже будь-який Web-браузер (Netscape Navigator, Microsoft Internet Explorer, Opera) вже вміє кешувати документи. Але згадаємо, що, по-перше, ми не виділяємо з цією метою значних обсягів дискового простору. А по-друге, ймовірність відвідування тих самих сторінок однією людиною значно менше, ніж якби це робили десятки або сотні людей (а така кількість користувачів є в багатьох організаціях). Тому створення єдиного кеш-простору для організації дозволить скоротити вхідний трафік і прискорить пошук в Інтернеті документів, вже отриманих кимось із співробітників. Proxy-сервер UserGate може бути пов'язаний з ієрархією із зовнішніми proxy-серверами (провайдерів), і в цьому випадку вдасться якщо не зменшити трафік, то хоча б прискорити отримання даних, а також зменшити вартість (зазвичай вартість трафіку у провайдера через proxy-сервер нижче ).

Екран 1. Налаштування кешу

Забігаючи вперед, скажу, що налаштування кешу виконується у розділі меню "Сервіси" (див. екран 1). Після переведення кешу в режим "Увімкнено" можна налаштувати його окремі функції - кешування POST-запитів, динамічних об'єктів, cookies, контенту, що отримується за FTP. Тут налаштовується розмір виділеного для кеша дискового простору та час життя кешованого документа. А щоб кеш почав працювати, потрібно налаштувати та увімкнути режим proxy. У налаштуваннях визначається, які протоколи працюватимуть через проксі-сервер (HTTP, FTP, SOCKS), на якому мережному інтерфейсі вони прослуховуватимуться і чи виконуватиметься каскадування (необхідні для цього дані вводяться на окремій закладці вікна налаштування служб).

Перед початком роботи з програмою потрібно виконати інші настройки. Як правило, це робиться в такій послідовності:

1. Створення облікових записів користувачів у Usergate.
2. Налаштування DNS та NAT на системі з Usergate. На цьому етапі налаштування зводиться головним чином налаштування NAT за допомогою майстра.
3. Налаштування мережного з'єднання на клієнтських машинах, де необхідно прописати шлюз та DNS у властивостях TCP/IP мережного з'єднання.
4. Створення політики доступу до Internet.

Для зручності роботи програму поділено на кілька модулів. Серверний модуль запускається на комп'ютері, що має підключення до Internet, та забезпечує виконання основних завдань. Адміністрація Usergate здійснюється за допомогою спеціального модуля Usergate Administrator. З його допомогою проводиться все налаштування сервера відповідно до необхідних вимог. Клієнтська частина Usergate реалізована у вигляді Usergate Authentication Client, який встановлюється на комп'ютер користувача та служить для авторизації користувачів на сервері Usergate, якщо застосовується авторизація, відмінна від авторизації IP або IP+MAC.

Управління

Керування користувачами та групами винесено до окремого розділу. Групи необхідні для полегшення керування користувачами та їх загальними налаштуваннями доступу та тарифікації. Можна створити стільки груп, скільки потрібно. Зазвичай групи створюються відповідно до структури організації. Які параметри можна призначити для користувачів? З кожною групою пов'язаний тариф, за яким враховуватимуться витрати на доступ. За промовчанням використовується тариф default. Він порожній, тому з'єднання всіх користувачів, що входять до групи, не тарифікуються, якщо тариф не перевизначено у профілі користувача.

У програмі є набір визначених правил NAT, які не можна змінити. Це правила доступу за протоколами Telten, POP3, SMTP, HTTP, ICQ та ін. Під час налаштування групи можна вказати, які правила будуть застосовуватися для цієї групи та користувачів, що входять до неї.

Режим автодозвону можна використовувати у разі, коли підключення до Internet здійснюється через модем. При включенні цього режиму користувач може ініціалізувати підключення до Internet, коли з'єднання ще немає - на його запит модем встановлює з'єднання і забезпечує доступ. Але при підключенні через виділену лінію або ADSL потреба у цьому режимі відпадає.

Додавання облікових записів користувачів не складніше, ніж додати групи (див. екран 2). А якщо комп'ютер із встановленим proxy-сервером Usergate входить до домену Active Directory (AD), облікові записи користувачів можуть бути імпортовані звідти і потім рознесені по групах. Але як під час введення вручну, так і при імпорті облікових записів з AD необхідно налаштувати права користувачів та правила доступу. До них належать тип авторизації, тарифний план, доступні правила NAT (якщо групові правила в повному обсязі задовольняють потреби конкретного пользователя).

Proxy-сервер Usergate підтримує кілька типів авторизації, у тому числі авторизацію користувачів через Active Directory та вікно реєстрації Windows Login, що дозволяє інтегрувати Usergate у існуючу мережну інфраструктуру. Usergate використовує власний драйвер NAT, що підтримує авторизацію через спеціальний модуль – модуль клієнтської авторизації. Залежно від вибраного способу авторизації в налаштуваннях профілю користувача необхідно вказати або його IP-адресу (або діапазон адрес), або ім'я та пароль, або тільки ім'я. Тут же може бути вказана електронна адреса користувача, на яку надсилатимуться звіти про використання ним доступу в Internet.

Правила

Система правил Usergate є більш гнучкою в налаштуваннях, ніж можливості Remote Access Policy (політика віддаленого доступу в RRAS). За допомогою правил можна закрити доступ до певних адрес URL, обмежити трафік по тих чи інших протоколах, встановити тимчасовий ліміт, обмежити максимальний розмір файлу, який користувач може завантажити, і багато іншого (див. екран 3). Стандартні засоби операційної системи не мають достатньої для вирішення цих завдань функціональністю.

Правила створюються за допомогою помічника. Вони поширюються на чотири основні об'єкти, що відстежуються системою, - з'єднання, трафік, тариф та швидкість. Причому для кожного з них може бути виконана одна дія. Виконання правил залежить від налаштувань та обмежень, які для нього вибираються. До них відносяться протоколи, що використовуються, час по днях тижня, коли це правило буде діяти. Нарешті, визначаються критерії щодо обсягу трафіку (вхідного та вихідного), часу роботи в мережі, залишку коштів на рахунку користувача, а також список IP-адрес джерел запиту та мережні адреси ресурсів, на які поширюється дія. Налаштування мережевих адрес також дозволяє визначити типи файлів, які користувачі не зможуть завантажувати.

Багато організацій не дозволяється використовувати служби миттєвих повідомлень. Як реалізувати таку заборону за допомогою Usergate? Достатньо створити одне правило, що закриває з'єднання при запиті сайту *login.icq.com*, та застосувати його до всіх користувачів. Застосування правил дозволяє змінювати тарифи для доступу в денний або нічний час до регіональних або загальних ресурсів (якщо такі відмінності надаються провайдером). Наприклад, для перемикання між нічним та денним тарифами необхідно буде створити два правила, одне виконуватиме перемикання за часом з денного на нічний тариф, друге – зворотне перемикання. Власне, навіщо потрібні тарифи? Це основа роботи вбудованої системи білінгу. В даний час цією системою можна користуватися тільки для звіряння та пробного розрахунку витрат, але після того, як білінгова система буде сертифікована, власники системи отримають надійний механізм для роботи зі своїми клієнтами.

Користувачі

Тепер повернемося до налаштувань DNS та NAT. Налаштування DNS полягає у вказівці адрес зовнішніх DNS-серверів, до яких буде звертатися система. При цьому на комп'ютерах користувачів необхідно в налаштуваннях з'єднання для властивостей TCP/IP як шлюз і DNS вказати IP внутрішнього мережевого інтерфейсу комп'ютера з Usergate. Дещо інший принцип налаштування при використанні NAT. В цьому випадку в системі потрібно додати нове правило, в якому потрібно визначити IP приймача (локальний інтерфейс) та IP відправника (зовнішній інтерфейс), порт – 53 та протокол UDP. Це правило слід призначити всім користувачам. А в налаштуваннях з'єднання на їх комп'ютерах як DNS слід вказати IP-адресу сервера DNS провайдера, як шлюз - IP-адресу комп'ютера з Usergate.

Налаштування поштових клієнтів може бути виконане як через Port mapping, так і через NAT. Якщо в організації дозволено використовувати служби миттєвих повідомлень, то для них має бути змінено налаштування підключення - необхідно вказати застосування брандмауера та proxy, встановити IP-адресу внутрішнього мережевого інтерфейсу комп'ютера з Usergate і вибрати протокол HTTPS або Socks. Але треба мати на увазі, що при роботі через proxy-сервер буде недоступна робота в Chat rooms та Video Chat, якщо використовується Yahoo Messenger.

Статистика роботи записується в журнал, що містить інформацію про параметри з'єднань всіх користувачів: час з'єднання, тривалість, витрачені кошти, адреси, кількість отриманої та переданої інформації. Скасувати запис інформації про з'єднання користувача у файл статистики не можна. Для перегляду статистики в системі існує спеціальний модуль, доступ до якого можливий через інтерфейс адміністратора, так і віддалено. Дані можуть бути відфільтровані за користувачами, протоколами та часом і можуть бути збережені у зовнішньому файлі у форматі Excel для подальшої обробки.

Що далі

Якщо перші версії системи були призначені лише реалізації механізму кешування proxy-сервера, то останніх версіях з'явилися нові компоненти, призначені задля забезпечення інформаційної безпеки. Сьогодні користувачі Usergate можуть задіяти вбудований модуль брандмауера та антивірусу Касперського. Брандмауер дозволяє контролювати, відкривати та блокувати певні порти, а також публікувати Web-ресурси компанії в Internet. Вбудований брандмауер обробляє пакети, які не пройшли обробку на рівні правил NAT. Якщо пакет був оброблений драйвером NAT, він не обробляється брандмауером. Налаштування портів, виконані для proxy, а також порти, зазначені в Port Mapping, містяться в автоматично генерованих правилах брандмауера (тип auto). У правила auto також міститься порт 2345 TCP, який використовується модулем Usergate Administrator для підключення до серверної частини Usergate.

Говорячи про перспективи подальшого розвитку продукту, варто згадати створення власного сервера VPN, що дозволить відмовитися від VPN зі складу операційної системи; впровадження поштового сервера за допомогою функції антиспаму та розробку інтелектуального брандмауера лише на рівні додатків.

Михайло Абрамзон- керівник групи аркетингу компанії «Дігт».

Підключивши інтернет в офісі, кожен начальник хоче знати, за що він платить. Особливо, якщо тариф не безлімітний, а щодо трафіку. Є кілька шляхів вирішення проблем контролю трафіку та організації доступу до Інтернету в масштабах підприємства. Я розповім про впровадження проксі сервера UserGate для отримання статистики та контролю пропускної спроможності каналу на прикладі свого досвіду.

Відразу скажу, що я використав сервіс UserGate (версія 4.2.0.3459), але методи організації доступу та технології при цьому використовуються і в інших проксі-серверах. Так що описані кроки в цілому підійдуть і для інших програмних рішень (наприклад Kerio Winroute Firewall, або інші proxy), з невеликими відмінностями в деталях реалізації інтерфейсу налаштування.

Опишу поставлене переді мною завдання: Є мережа з 20 машин, є ADSL модем у цій самій підмережі (алнім 512/512 кбіт/с). Потрібно обмежити максимальну швидкість користувача та вести облік трафіку. Завдання трохи ускладнене тим, що доступ до налаштувань модему закритий провайдером (можливий доступ лише через термінал, але пароль у провайдера). Сторінка статистики на сайті провайдера недоступна (Не питайте чому відповідь одна — такі відносини з провайдером у підприємства).

Ставимо юзергейт та активуємо його. Для організації доступу до мережі будемо використовувати NAT ( Network Address Translation- «Перетворення мережевих адрес»». Для роботи технології необхідна наявність двох мережевих карток на машині, де ставитимемо сервер (сервіс) UserGate (Є ймовірність, що можна змусити працювати NAT на одній мережевій карті, призначивши їй два IP адреси в різних підмережах).

І так, початковий етап насройки - конфігурація драйвера NAT(Драйвер від UserGate, ставиться під час основної інсталяції сервісу). Нам необхідно два мережеві інтерфейси(читай мережевих карт) на апаратурі сервера ( мені це був пробелмой, т.к. я розгортав UserGate на віртуальній машині. А там можна зробити «багато» мережевих карток).

В ідеалі, до одній мережній карті підключається сам модем, а до другої - вся мережа, з якої отримуватимуть доступ до Інтернету. У моєму випадку модем встановлений у різних приміщеннях з сервером (фізичною машиною), а переносити обладнання мені ліньки і колись (та й у недалекому майбутньому маячить організація серверного приміщення). Обидва мережні адаптери я підключив в одну мережу (фізично), але налаштував різні підмережі. Так як змінити налаштування модему я не в силах (закритий доступ провайдером) довелося перевести всі комп'ютери в іншу підмережу (добре засобами DHCP це робиться просто).

Мережеву карту, підключену до модему ( інтернет) налаштовуємо як і раніше було (відповідно до даних від провайдера).

• Призначаємо статична IP адреса(у моєму випадку це 192.168.0.5);
• Маску підмережі 255.255.255.0 - я не змінював, але можна налаштувати таким чином, що в підмережі проксі сервера та модему будуть лише два пристрої;
• Шлюз - адреса модему 192.168.0.1
• Адреси DNS-серверів провайдера ( основний та додатковий обов'язково).

Другу мережеву карту, підключену до внутрішньої мережі ( інтранет), налаштовуємо наступним чином:

• Статичний IP адреса, але в іншій підмережі(У мене 192.168.1.5);
• Маску згідно з вашими мережевими налаштуваннями (у мене 255.255.255.0);
• Шлюз не вказуємо.
• У полі адреси сервера DNS вводимо адресу DNS-сервера підприємства(якщо є, якщо нема - залишаємо порожнім).

Примітка: необхідно переконатися, що в налаштуваннях мережних інтерфейсів зазначено використання компонента NAT від UserGate.

Після налаштування мережевих інтерфейсів запускаємо сам сервіс UserGate(не забудьте налаштувати його роботу як сервіс, для автоматичного запуску з правами системи) та заходимо в консоль керування(можна локально, а можна і віддалено). Заходимо до «Мережевих правил» і вибираємо « Майстер налаштування NAT«, необхідно буде вказати свої інтранет ( intranet) та інтернет ( internet) адаптери. Інтранет – адаптер підключений до внутрішньої мережі. Майстер здійснить конфігурацію драйвера NAT.

Після цього необхідно розібратися з правилами NAT, для чого переходимо в "Мережеві налаштування" - "NAT". Кожне правило має кілька полів та статус (активно та не активно). Суть полів проста:

• Назва - ім'я правила, рекомендую дати щось осмислене(писати в це поле адреси та порти не потрібно, ця інформація і так буде доступна у переліку правил);
• Інтерфейс приймача – ваш інтранет інтерфейс(У моєму випадку 192.168.1.5);
• Інтерфейс відправника – ваш інтернет інтерфейс(в одній підмережі з модемом, у моєму випадку 192.168.0.5);
• Порт- Вказуєте до якого потру відноситься дане правило ( наприклад, для браузера (HTTP) порт 80, а для отримання пошти 110 порт). Можна вказати діапазон портівякщо не хочете поратися, але це не рекомендується робити на весь діапазон портів.
• Протокол — вибираєте з меню, що випадає, один з варіантів: TCP(зазвичай), UPDабо ICMP(наприклад, для роботи команд ping або tracert).

Спочатку в списку правил вже присутні правила, необхідні для роботи пошти і різноманітних програм. Але я доповнив стандартний список своїми правилами: для роботи DNS запитів (не використовуючи опцію форвардингу в UserGate), для роботи захищених з'єднань SSL, для роботи torrent клієнта, для роботи програми Radmin та інше. Ось скріншоти мого списку правил. Список поки замалий - але згодом розширюється (з появою необхідності роботи по новому порту).

Наступний етап – налаштування користувачів. Я у своєму випадку вибрав авторизацію за IP адресою та MAC адресою. Є варіанти авторизації тільки за IP-адресом та за обліковими даними Active Directory. Також можна використовувати HTTP авторизацію (щоразу гравці спочатку вводять пароль через браузер). Створюємо користувачів та гуппи користувачіві призначаємо їм використовувані правила NAT(Треба дати користувачеві ітернет в браузер - включаємо йому правило HTTP з портом 80, треба дати ICQ - правило аськи з згодом 5190).

Останнє на етапі впровадження я налаштував повзавателів на роботу через проксі. Для цього я використав DHCP сервіс. На клієнтські машини передаються наступні опції:

• IP-адреса - динамічна від DHCP в діапазоні підмережі інтранета (у моєму випадку діапазон 192.168.1.30 -192.168.1.200. Для потрібних машин налаштував резервацію IP адреси).
• Маска підмережі (255.255.255.0)
• Шлюз – адреса машини з UserGate у локальній мережі (Інтранет адреса – 192.168.1.5)
• DNS сервера - я віддаю 3 адреси. Перший — адреса DNS-сервера підприємства, друга та третя — адреси ДНС провайдера. (На DNS підприємства натроєний форвардинг на ДНЗ провайдера, так у разі «падіння» місцевого ДНЗ — інтернет імена будуть резолвуватися на ДНЗ провайдера).

На цьому базове налаштування закінчено. Залишилось перевірити працездатність, для цього на клієнській машині треба (отримавши налаштування від DHCP або впоравши їх вручну, відповідно до рекомендацій вище) запустити браузер і відкрити будь-яку сторінку в мережі. Якщо щось не працює перевірити ще раз ситуацію:

• Налаштування адаптера клієнта коректні? (машина з поксі сервером пінгується?)
• Чи авторизувався повзувач/комп'ютер на проксі-сервері? (Див. метоти авторизації UserGate)
• Чи ввімкнені у повзувача/групи правила NAT, необхідні для роботи? (Для роботи браузера треба хоча б HTTP правило для протоколу TCP на 80 порту).
• Ліміти трафіку для користувача чи групи не закінчилися? (Я в себе не вводив цього).

Тепер можна спостерігати користувачів і правила NAT, що підключилися, в пункті «Моніторинг» консолі управління проксі-сервером.

Подальше налаштування проксі - це вже тюнінгдо конкретних вимог. Перше що я зробив - це включив обмеження пропускної спроможності в своїх користувачах (пізніше можна впровадити систему правил для обмеження швидкості) і включив додаткові сервіси UserGate - проксі сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Увімкнення проксі-сервісів дозволяє використовувати кешування запитів. Але необхідно проводити додаткове налаштування клієнтів працювати з проксисервером.

Залишити питання? Пропоную задати їх прямо тут.

________________________________________

Примітка:Ця стаття була відредагована, доповнена актуальними даними та додатковими посиланнями.

UserGate Proxy & Firewallявляє собою інтернет-шлюз класу UTM (Unified Threat Management), що дозволяє забезпечувати та контролювати загальний доступ співробітників до інтернет-ресурсів, фільтрувати шкідливі, небезпечні та небажані сайти, захищати мережу компанії від зовнішніх вторгнень та атак, створювати віртуальні мережі та організовувати безпечний VPN. доступ до ресурсів мережі ззовні, а також керувати шириною каналу та інтернет-додатками.

Продукт є ефективною альтернативою дорогому програмному та апаратному забезпеченню та призначений для використання в компаніях малого та середнього бізнесу, у державних установах, а також великих організаціях з філіальною структурою.

Усю додаткову інформацію про продукт ви зможете знайти.

У програмі є додаткові платні модулі:

• Kaspersky Antivirus
• Panda Antivirus
• Avira Antivirus
• Entensys URL Filtering

Ліцензія на кожен із модулів надається на один календарний рік. Випробувати роботу всіх модулів можна в тріальному ключі, який може бути наданий терміном від 1 до 3 місяців на необмежену кількість користувачів.

Детально про правила ліцензування можна прочитати.

З усіх питань, пов'язаних із покупкою рішень Entensys, звертайтесь за адресою: sal [email protected]або за телефоном безкоштовної лінії: 8-800-500-4032.

Системні вимоги

Для організації шлюзу необхідний комп'ютер або сервер, який має відповідати наступним системним вимогам:

• Частота CPU: від 1,2 ГГц
• Об'єм RAM: від 1024 Gb
• Об'єм HDD: від 80 Гб
• Кількість мережевих адаптерів: 2 і більше

Чим більша кількість користувачів (відносно 75 користувачів), тим більші характеристики сервера мають бути.

Ми рекомендуємо встановлювати наш продукт на комп'ютер з "чистою" серверною операційною системою, операційною системою, що рекомендується, є Windows 2008/2012.
Ми не гарантуємо коректної роботи UserGate Proxy&Firewall та/або спільної роботи сторонніх служб та не рекомендуємо його спільне використанняз сервісами на шлюзі, який виконує такі ролі:

• Є контролером домену
• Є гіпервізором віртуальних машин
• Є сервером терміналів
• Виконує роль високонавантаженого сервера СУБД/DNS/HTTP та ін.
• Виконує роль SIP сервера
• Виконує критичні для бізнес-процесів послуги чи служби
• Все вищезазначене

UserGate Proxy&Firewall на даний момент може конфліктувати з такими типами програмного забезпечення:

• Все без винятку сторонніБрандмауер/Firewall рішення
• Антивірусні продукти компанії BitDefender
• Антивірусні модулі виконують функцію Firewall або "Антихакер", більшості антивірусних продуктів. Рекомендується вимкнути ці модулі
• Антивірусні модулі, що забезпечують перевірку даних, що передаються за протоколами HTTP/SMTP/POP3, це може викликати затримку при активній роботі через проксі
• Сторонні програмні продукти, здатні перехоплювати дані мережевих адаптерів - "вимірники швидкості", "шейпери" тощо.
• Активна роль Windows Server "Маршрутизація та віддалений доступ" у режимі NAT/Internet Connection Sharing (ICS)

Увага!При установці рекомендується вимкнути підтримку протоколу IPv6 на шлюзі, за умови, що не використовуються програми, які використовують IPv6. У поточній реалізації UserGate Proxy&Firewall немає підтримки протоколу IPv6 і відповідно фільтрація цього протоколу не здійснюється. Таким чином, хост може бути доступний ззовні за протоколом IPv6 навіть за активованих заборонних правил файрволла.

При коректному налаштуванні UserGate Proxy&Firewall сумісний з наступними сервісами та службами:

Ролі Microsoft Windows Server:

• DNS сервер
• DHCP сервер
• Print сервер
• Файловий (SMB) сервер
• Сервер додатків
• WSUS сервер
• WEB сервер
• WINS сервер
• VPN сервер

І зі сторонніми продуктами:

• FTP/SFTP сервери
• Сервери обміну повідомленнями - IRC/XMPP

Під час встановлення UserGate Proxy&Firewall переконайтеся, що інше програмне забезпечення не використовує порт або порти, які може використовувати UserGate Proxy&Firewall. За замовчуванням UserGate використовує такі порти:

• 25 - SMTP-проксі
• 80 - прозорий HTTP-проксі
• 110 - POP3-проксі
• 2345 - консоль адміністратора UserGate
• 5455 - VPN-сервер UserGate
• 5456 - клієнт авторизації UserGate
• 5458 - DNS-форвардинг
• 8080 - HTTP-проксі
• 8081 - веб-статистика UserGate

Усі порти можна змінювати за допомогою консолі адміністратора UserGate.

Встановлення програми та вибір бази даних для роботи

Майстер налаштування UserGate Proxy & Firewall

Більш детальний опис налаштування правил NAT описаний у цій статті:

Агент UserGate

Після встановлення UserGate Proxy&Firewall обов'язковоздійсніть перезавантаження шлюзу. Після авторизації в системі, в панелі завдань Windows поруч із годинником іконка UserGate агент має стати зеленою. Якщо іконка сіра, то в процесі установки відбулася помилка і служба сервера UserGate Proxy&Firewall не запущена, у цьому випадку зверніться до відповідного розділу бази знань Entensys або технічної підтримки компанії Entensys.

Конфігурування продукту здійснюється за допомогою консолі адміністрування UserGate Proxy&Firewall, яку можна викликати як подвійним клацанням по іконці агента UserGate, так і по ярлику меню "Пуск".
При запуску консолі адміністрування першим кроком є ​​реєстрація продукту.

Загальні налаштування

У розділі "Загальні налаштування" консолі адміністратора введіть пароль користувача Administrator. Важливо!Не використовуйте юнікод-спецісмоли або PIN-код продукту як пароль для доступу до консолі адміністрування.

У продукті UserGate Proxy&Firewall є механізм захисту від атак, активувати його можна також у меню "Загальні настройки". Механізм захисту від атак є активним механізмом свого роду "червона кнопка", який працює на всіх інтерфейсах. Рекомендується використовувати цю функцію у разі DDoS атак або масового зараження шкідливим програмним забезпеченням (віруси/хробаки/ботнет-додатки) комп'ютерів усередині локальної мережі. Механізм захисту від атак може блокувати користувачів, які використовують файлобмінні клієнти - торенти, direct connect, деякі типи VoIP клієнтів/серверів, які здійснюють активний обмін трафіком. Щоб отримати ip адреси заблокованих комп'ютерів, відкрийте файл ProgramData\Entensys\Usergate6\logging\fw.logабо Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log.

Увага!Параметри, описані нижче, рекомендується змінювати лише за великої кількості клієнтів/високих вимог до пропускної спроможності шлюзу.

У цьому розділі також наведено такі параметри: "Максимальна кількість з'єднань" - максимальна кількість всіх з'єднань через NAT і через проксі UserGate Proxy&Firewall.

"Максимальне число NAT з'єднань" - максимальна кількість з'єднань, які UserGate Proxy&Firewall може пропускати через драйвер NAT.

Якщо кількість клієнтів не більше 200-300, то налаштування "Максимальне число з'єднань" та "Максимальне число NAT з'єднань" змінювати не рекомендується. Збільшення цих параметрів може спричинити суттєве навантаження на обладнання шлюзу і рекомендується лише у разі оптимізації налаштувань при великій кількості клієнтів.

Інтерфейси

Увага!Перед цим обов'язково перевірте налаштування мережевих адаптерів у Windows! Інтерфейс, підключений до локальної мережі (LAN), не повинен містити адреси шлюзу! DNS-сервери в налаштуваннях LAN-адаптера вказувати не обов'язково, IP-адреса повинна бути призначена вручну, не рекомендуємо її отримувати за допомогою DHCP.

IP-адреса LAN-адаптера повинна мати приватну IP-адресу. допустимо використовувати IP-адресу з наступних діапазонів:

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.165.65

Розподіл адрес приватних мереж описано в RFC 1918 .

Використання інших діапазонів як адреси локальної мережі призведе до помилок у роботі UserGate Proxy&Firewall.

Інтерфейс, підключений до Інтернету (WAN), повинен містити IP-адресу, маску мережі, адресу шлюзу, адреси DNS-серверів.
Не рекомендується використовувати більше трьох DNS-серверів у налаштуваннях WAN-адаптера, це може призвести до помилок у роботі мережі. Попередньо перевірте працездатність кожного сервера DNS за допомогою команди nslookup в консолі cmd.exe, приклад:

nslookup usergate.ru 8.8.8.8

де 8.8.8.8 – адреса DNS-сервера. Відповідь має містити IP-адресу запитаного сервера. Якщо відповіді немає, то DNS-сервер не валідний або DNS-трафік блокується.

Потрібно визначити тип інтерфейсів. Інтерфейс з IP-адресою, яка підключена до внутрішньої мережі, повинен мати тип LAN; інтерфейс, який підключений до мережі Інтернет – WAN.

Якщо WAN-інтерфейсів кілька, то необхідно вибрати основний WAN-інтерфейс, через який ходитиме весь трафік, клікнувши правою кнопкою миші по ньому і вибравши "Встановити основним з'єднанням". Якщо планується використовувати інший WAN-інтерфейс як резервний канал, рекомендуємо скористатися "Майстром налаштування" .

Увага!При налаштуванні резервного підключення рекомендується вказати не DNS-ім'я хоста, а IP-адресу для того, щоб UserGate Proxy&Firewall періодично опитував його за допомогою icmp(ping) запитів і за відсутності відповіді включав резервне підключення. Переконайтеся, що DNS-сервери в налаштуваннях мережного резервного адаптера Windows працюють.

Користувачі та групи

Для того, щоб клієнтський комп'ютер міг авторизуватися на шлюзі та отримувати доступ до служб UserGate Proxy&Firewall та NAT, необхідно додати користувачів. Для спрощення виконання цієї процедури скористайтеся функцією сканування - "Сканувати локальну мережу". UserGate Proxy&Firewall самостійно просканує локальну мережу та надасть список хостів, які можна додати до списку користувачів. Далі, можна створити групи та включити до них користувачів.

Якщо у Вас розгорнуто контролер домену, то Ви можете налаштувати синхронізацію груп з групами в Active Directory або зробити імпорт користувачів з Active Directory без постійної синхронізації з Active Directory.

Створюємо групу, яка буде синхронізована із групою або групами з AD, вводимо необхідні дані в меню "Синхронізація з AD", перезапускаємо службу UserGate за допомогою агента UserGate. Через 300 сік. Користувачі автоматично імпортуються до групи. У цих користувачів буде виставлений спосіб авторизації – AD.

Міжмережевий екран

Для коректної та безпечної роботи шлюзу необхідно обов'язковоналаштувати міжмережевий екран.

Рекомендується наступний алгоритм роботи міжмережевого екрану: заборонити весь трафік, а потім додавати роздільні правила за необхідними напрямками. Для цього правило #NONUSER# треба перевести в режим "Заборонити" (це заборонить весь локальний трафік на шлюзі). Обережно!Якщо ви конфігуруєте UserGate Proxy&Firewall віддалено, відключення від сервера. Потім необхідно створити дозвільні правила.

Дозволяємо весь локальний трафік, по всіх портах від шлюзу до локальної мережі та з локальної мережі до шлюзу, створивши правила з наступними параметрами:

Джерело - "LAN", призначення - "Будь-який", сервіси - ANY:FULL, дія - "Дозволити"
Джерело - "Будь-який", призначення - "LAN", сервіси - ANY:FULL, дія - "Дозволити"

Потім створюємо правило, яке відкриє доступ до Інтернету для шлюзу:

Джерело – "WAN"; призначення - "Будь-який"; послуги - ANY:FULL; дія - "Дозволити"

Якщо Вам необхідно дозволити доступ вхідних підключень по всіх портах до шлюзу, правило буде виглядати так:

Джерело - "Будь-який"; призначення – "WAN"; послуги - ANY:FULL; дія - "Дозволити"

І якщо Вам необхідно, щоб шлюз приймав вхідні підключення, наприклад, тільки за RDP (TCP:3389), і його можна було пінгувати зовні, то необхідно створити таке правило:

Джерело - "Будь-який"; призначення – "WAN"; сервіси – Any ICMP, RDP; дія - "Дозволити"

В інших випадках, з міркувань безпеки, створення правила для вхідних підключень не потрібно.

Щоб дати доступ клієнтським комп'ютерам до Інтернету, необхідно створити правило трансляції мережевих адрес (NAT).

Джерело – "LAN"; призначення – "WAN"; послуги - ANY:FULL; дія - "Дозволити"; вибираєте користувачів чи групи, яким необхідно надати доступ.

Можливе налаштування правил міжмережевого екрану - дозволяти те, що явно заборонено та навпаки, забороняти те, що явно дозволено залежно від того, як Ви налаштуєте правило #NON_USER# і яка у Вас політика в компанії. Усі правила мають пріоритет - правила працюють у порядку зверху донизу.

Варіанти різних налаштувань та приклади правил міжмережевого екрану можна переглянути.

Інші налаштування

Далі, в розділі сервіси - проксі можете включити проксі-сервери - HTTP, FTP, SMTP, POP3, SOCKS. Виберіть потрібні інтерфейси, включення опції "прослуховувати всіх інтерфейсах" бути небезпечною, т.к. проксі в такому випадку буде доступний як на інтерфейсах LAN так і на зовнішніх інтерфейсах. Режим "прозорого" проксі, що маршрутизує весь трафік по вибраному порту на порт проксі, в такому випадку на клієнтських комп'ютерах, вказувати проксі не потрібно. Проксі залишається також доступним і по порту, вказаному в налаштуваннях самого проксі-сервера.

Якщо на сервері увімкнено прозорий режим проксі (Сервіси - Налаштування проксі), то достатньо вказати в налаштуваннях мережі на клієнтській машині сервер UserGate як основний шлюз. Як DNS-сервер також можна вказати сервер UserGate, у цьому випадку має бути увімкнено .

Якщо на сервері прозорий режим вимкнено, потрібно прописати адресу сервера UserGate і відповідний порт проксі, вказаний у Сервіси - Налаштування проксі, в налаштуваннях підключення браузера. Приклад налаштування сервера UserGate для такого випадку можна переглянути.

Якщо у вашій мережі є налаштований DNS сервер, то можете вказати його в налаштуваннях DNS форвардингу UserGate та налаштуваннях WAN адаптера UserGate. У такому випадку і в режимі NAT і в режимі проксі всі запити DNS будуть направлені на цей сервер.