Guten Tag, lieber Besucher. Das Jahr 2013 liegt hinter uns, für einige war es schwierig, für andere einfach, aber die Zeit vergeht wie im Flug, und wenn man bedenkt, dass eine Nanosekunde 10 ist −9 Mit. dann fliegt es einfach. In diesem Artikel erzähle ich Ihnen von einem neuen Produkt von Entensys, dessen Partner wir in drei Bereichen sind: UserGate Proxy & Firewall 6.2.1.

Aus Sicht der Verwaltung der Version 6.2 von UserGate Proxy & Firewall 5.2F, deren Implementierung wir in unserer IT-Outsourcing-Praxis erfolgreich praktizieren, ist sie praktisch nicht existent. Wir werden Hyper-V als Laborumgebung verwenden, nämlich zwei virtuelle Maschinen der ersten Generation, einen Serverteil auf Windows Server 2008 R2 SP1 und einen Clientteil auf Windows 7 SP1. Aus irgendeinem mir unbekannten Grund lässt sich UserGate Version 6 nicht auf Windows Server 2012 und Windows Server 2012 R2 installieren.

Was ist also ein Proxyserver?

Proxy Server(vom englischen Proxy – „Vertreter, Bevollmächtigter“) – ein Dienst (eine Reihe von Programmen) in Computernetzwerke, wodurch Clients indirekte Anfragen an andere Netzwerkdienste stellen können. Zunächst stellt der Client eine Verbindung zum Proxyserver her und fordert eine Ressource (z. B. E-Mail) an, die sich auf einem anderen Server befindet. Anschließend stellt der Proxyserver entweder eine Verbindung zum angegebenen Server her und ruft die Ressource von diesem ab oder gibt die Ressource aus seinem eigenen Cache zurück (in Fällen, in denen der Proxy über einen eigenen Cache verfügt). In einigen Fällen kann die Client-Anfrage oder Server-Antwort für bestimmte Zwecke vom Proxy-Server geändert werden. Mit einem Proxyserver können Sie außerdem den Computer des Kunden vor einigen Netzwerkangriffen schützen und die Anonymität des Kunden wahren.

WassolchUserGate-Proxy und Firewall?

UserGate-Proxy und Firewall- Das umfassende Lösung zum Anschließen von Benutzern an das Internet, zur Bereitstellung einer vollständigen Datenverkehrsabrechnung, Zugriffskontrolle und Bereitstellung integrierter Netzwerkschutztools.

Schauen wir uns anhand der Definition an, welche Lösungen Entensys in seinem Produkt bereitstellt, wie der Datenverkehr berechnet wird, wie der Zugriff begrenzt wird und welche Schutztools UserGate Proxy & Firewall bietet.

Woraus besteht es?UserGate?

UserGate besteht aus mehreren Teilen: einem Server, einer Verwaltungskonsole und mehreren Zusatzmodulen. Der Server ist der Hauptteil des Proxyservers, in dem alle seine Funktionen implementiert sind. Der UserGate-Server bietet Zugriff auf das Internet, zählt den Datenverkehr, führt Statistiken über Benutzeraktivitäten im Netzwerk und führt viele andere Aufgaben aus.

Die UserGate-Verwaltungskonsole ist ein Programm zur Verwaltung des UserGate-Servers. Die UserGate-Verwaltungskonsole kommuniziert mit dem Serverteil über ein spezielles sicheres Protokoll über TCP/IP, das Ihnen die Remote-Serververwaltung ermöglicht.

UserGate enthält drei zusätzliche Module: „Web Statistics“, „UserGate Authorization Client“ und das Modul „Application Control“.

Server

Die serverseitige Installation von UserGate ist sehr einfach. Der einzige Unterschied besteht in der Auswahl der Datenbank während des Installationsprozesses. Der Zugriff auf die Datenbank erfolgt direkt (für die integrierte Firebird-Datenbank) oder über einen ODBC-Treiber, der es dem UserGate-Server ermöglicht, mit Datenbanken nahezu jedes Formats (MSAccess, MSSQL, MySQL) zu arbeiten. Standardmäßig wird die Firebird-Datenbank verwendet. Wenn Sie sich entscheiden, UserGate von früheren Versionen zu aktualisieren, müssen Sie sich von der Statistikdatenbank verabschieden, denn: Für die Statistikdatei wird nur die Übertragung aktueller Benutzerguthaben unterstützt; die Verkehrsstatistiken selbst werden nicht übertragen. Die Änderungen an der Datenbank wurden durch Leistungsprobleme der alten Datenbank und Einschränkungen ihrer Größe verursacht. Die neue Firebird-Datenbank weist solche Mängel nicht auf.

Starten der Administrationskonsole.

Die Konsole wird auf der Server-VM installiert. Beim ersten Start öffnet sich die Administrationskonsole mit der Seite „Verbindungen“, die eine einzelne Verbindung zum Localhost-Server für den Administratorbenutzer enthält. Das Verbindungspasswort wurde nicht festgelegt. Sie können die Administrationskonsole mit dem Server verbinden, indem Sie auf die Zeile „localhost-administrator“ doppelklicken oder in der Systemsteuerung auf die Schaltfläche „Verbinden“ klicken. Sie können in der UserGate-Verwaltungskonsole mehrere Verbindungen erstellen.

Die Verbindungseinstellungen legen die folgenden Parameter fest:

• Der Servername ist der Name der Verbindung;
• Benutzername – Anmelden, um eine Verbindung zum Server herzustellen;
• Serveradresse – Domänenname oder IP-Adresse des UserGate-Servers;
• Port – TCP-Port, der für die Verbindung zum Server verwendet wird (standardmäßig wird Port 2345 verwendet);
• Passwort – Passwort für die Verbindung;
• Beim Herstellen der Verbindung nach dem Passwort fragen – mit dieser Option können Sie beim Herstellen einer Verbindung zum Server einen Dialog zur Eingabe Ihres Benutzernamens und Passworts anzeigen;
• Automatisch mit diesem Server verbinden – Die Administrationskonsole stellt beim Start automatisch eine Verbindung mit diesem Server her.

Beim ersten Start des Servers bietet das System einen Installationsassistenten an, den wir jedoch ablehnen. Die Einstellungen der Verwaltungskonsole werden in der Datei console.xml im Verzeichnis %UserGate%\Administrator gespeichert.

Einrichten von Verbindungen hinter NAT. Absatz „Allgemeine NAT-Einstellungen“ ermöglicht Ihnen, den Timeout-Wert für NAT-Verbindungen über die Protokolle TCP, UDP oder ICMP festzulegen. Der Timeout-Wert bestimmt die Lebensdauer einer Benutzerverbindung über NAT, wenn die Datenübertragung über die Verbindung abgeschlossen ist. Lassen Sie uns diese Einstellung als Standard belassen.

Angriffsdetektor ist eine spezielle Option, mit der Sie den internen Mechanismus zur Überwachung und Blockierung des Port-Scanners oder der Versuche, alle Server-Ports zu belegen, aktivieren können.

Blockieren nach Browserzeile– eine Liste der Browser des User-Agents, die vom Proxyserver blockiert werden können. Diese. Sie können beispielsweise verhindern, dass ältere Browser wie IE 6.0 oder Firefox 3.x auf das Internet zugreifen.

Schnittstellen

Der Abschnitt „Schnittstellen“ ist der wichtigste in den UserGate-Servereinstellungen, da er Fragen wie die Richtigkeit der Verkehrszählung, die Möglichkeit zum Erstellen von Regeln für die Firewall, Einschränkungen der Breite des Internetkanals für Verkehr eines bestimmten Typs usw. bestimmt Aufbau von Beziehungen zwischen Netzwerken und der Reihenfolge, in der Pakete vom NAT-Treiber verarbeitet werden. Wählen Sie im Reiter „Schnittstellen“ den gewünschten Typ der Schnittstellen aus. Für einen mit dem Internet verbundenen Adapter sollten Sie also den WAN-Typ für einen mit dem Internet verbundenen Adapter auswählen lokales Netzwerk– LAN-Typ. Der Internetzugang für die VM ist freigegeben bzw. die Schnittstelle mit der Adresse 192.168.137.118 wird ein WAN-Adapter sein, wählen Sie den gewünschten Typ aus und klicken Sie auf „Übernehmen“. Dann starten wir den Server neu.

Benutzer und Gruppen

Zugang zum Internet erhalten nur Benutzer, die die Autorisierung auf dem UserGate-Server erfolgreich abgeschlossen haben. Das Programm unterstützt die folgenden Benutzerautorisierungsmethoden:

• Nach IP-Adresse
• Nach IP-Adressbereich
• Nach IP+MAC-Adresse
• Nach MAC-Adresse
• Autorisierung über HTTP (HTTP-basic, NTLM)
• Autorisierung per Login und Passwort (Authorization Client)
• Vereinfachte Autorisierungsmöglichkeit über Active Directory

Um die letzten drei Autorisierungsmethoden nutzen zu können, müssen Sie eine spezielle Anwendung auf dem Arbeitsplatzrechner des Benutzers installieren – den UserGate-Autorisierungsclient. Das entsprechende MSI-Paket (AuthClientInstall.msi) befindet sich im Verzeichnis %UserGate%\tools und kann für die automatische Installation über Gruppenrichtlinien im Active Directory verwendet werden.

Für Terminalnutzer steht lediglich die Option „Autorisierung über HTTP“ zur Verfügung. Die entsprechende Option ist im Punkt Allgemeine Einstellungen in der Administrationskonsole aktiviert.

Sie können über das Element einen neuen Benutzer erstellen Fügen Sie einen neuen Benutzer hinzu oder indem Sie auf die Schaltfläche klicken Hinzufügen im Bedienfeld auf der Seite Benutzer und Gruppen.

Es gibt eine andere Möglichkeit, Benutzer hinzuzufügen – das Scannen des Netzwerks mit ARP-Anfragen. Sie müssen auf der Seite in der Admin-Konsole auf eine leere Stelle klicken Benutzer und Element auswählen Scannen Sie das lokale Netzwerk. Stellen Sie als Nächstes die lokalen Netzwerkparameter ein und warten Sie auf die Scanergebnisse. Als Ergebnis sehen Sie eine Liste der Benutzer, die zu UserGate hinzugefügt werden können. Schauen wir mal nach, klicken Sie auf „Lokales Netzwerk scannen“.

Stellen Sie die Parameter ein:

Funktioniert!

Einen Benutzer hinzufügen

Es sei daran erinnert, dass UserGate eine Authentifizierungspriorität hat, zunächst physisch und dann logisch. Diese Methode ist nicht zuverlässig, weil... Der Benutzer kann die IP-Adresse ändern. Was uns gefällt, ist der Import von Active Directory-Konten, die wir einfach importieren können, indem wir auf die Schaltfläche „Importieren“, dann auf „Auswählen“ und den Namen unseres Kontos „Ok“, „Ok“ klicken.

Wählen Sie „Gruppe“ und belassen Sie die Standardeinstellung „Standard“.

Klicken Sie auf „Ok“ und speichern Sie die Änderungen.

Unser Benutzer wurde ohne Probleme hinzugefügt. Es ist auch möglich, AD-Gruppen auf der Registerkarte „Gruppen“ zu synchronisieren.

Proxy-Dienste in UserGate einrichten

Im UserGate-Server sind folgende Proxy-Server integriert: HTTP (mit Unterstützung des „FTP over HTTP“- und HTTPS-Modus – Connect-Methode), FTP, SOCKS4, SOCKS5, POP3 und SMTP, SIP und H323. Proxy-Server-Einstellungen sind im Abschnitt Dienste → Proxy-Einstellungen in der Administrationskonsole verfügbar. Zu den Haupteinstellungen des Proxyservers gehören: die Schnittstelle und die Portnummer, auf der der Proxy arbeitet. Lassen Sie uns beispielsweise einen transparenten HTTP-Proxy auf unserer LAN-Schnittstelle aktivieren. Gehen wir zu „Proxy-Einstellungen“ und wählen Sie HTTP aus.

Wählen wir unsere Schnittstelle aus, belassen Sie alles als Standard und klicken Sie auf „OK“.

Verwendung des transparenten Modus

Die Funktion „Transparenter Modus“ in den Proxy-Server-Einstellungen ist verfügbar, wenn der UserGate-Server zusammen mit dem NAT-Treiber installiert ist. Im transparenten Modus lauscht der NAT-UserGate-Treiber auf Standardports für Dienste: 80 TCP für HTTP, 21 TCP für FTP, 110 und 25 TCP für POP3 und SMTP auf den Netzwerkschnittstellen des Computers mit UserGate. Wenn Anfragen vorliegen, werden diese an den entsprechenden UserGate-Proxyserver weitergeleitet. Bei Verwendung des transparenten Modus in Netzwerkanwendungen müssen Benutzer die Adresse und den Port des Proxyservers nicht angeben, was die Arbeit des Administrators bei der Bereitstellung des lokalen Netzwerkzugriffs auf das Internet erheblich reduziert. Allerdings in Netzwerkeinstellungen Auf Workstations muss der UserGate-Server als Gateway angegeben und die DNS-Serveradresse angegeben werden.

Mail-Proxys in UserGate

Mail-Proxy-Server in UserGate sind für die Arbeit mit den Protokollen POP3 und SMTP sowie für die Virenprüfung des E-Mail-Verkehrs konzipiert. Bei Verwendung des transparenten Betriebsmodus von POP3 und SMTP-Proxy unterscheiden sich die Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers nicht von den Einstellungen, die der Option mit direktem Zugriff auf das Internet entsprechen.

Wenn der UserGate POP3-Proxy im undurchsichtigen Modus verwendet wird, muss in den Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers die IP-Adresse des Computers mit UserGate und der dem UserGate POP3-Proxy entsprechende Port als POP3-Serveradresse angegeben werden. Darüber hinaus wird der Login zur Autorisierung auf dem Remote-POP3-Server im folgenden Format angegeben: E-Mail-Adresse@POP3-Server-Adresse. Wenn der Benutzer beispielsweise über ein Postfach verfügt [email protected], dann müssen Sie als Login für den UserGate POP3-Proxy im Mail-Client Folgendes angeben: use [email protected]@pop.mail123.com. Dieses Format ist notwendig, damit der UserGate-Server die Adresse des Remote-POP3-Servers ermitteln kann.

Wenn der UserGate SMTP-Proxy im nicht transparenten Modus verwendet wird, müssen Sie in den Proxy-Einstellungen die IP-Adresse und den Port des SMTP-Servers angeben, den UserGate zum Versenden von Briefen verwendet. In diesem Fall muss in den Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers als SMTP-Serveradresse die IP-Adresse des UserGate-Servers und der dem UserGate-SMTP-Proxy entsprechende Port angegeben werden. Wenn für den Versand eine Autorisierung erforderlich ist, müssen Sie in den Mail-Client-Einstellungen den Benutzernamen und das Passwort angeben, die dem SMTP-Server entsprechen, der in den SMTP-Proxy-Einstellungen in UserGate angegeben ist.

Naja, das hört sich cool an, lass es uns mit mail.ru ausprobieren.

Lassen Sie uns zunächst POP3- und SMTP-Proxys auf unserem Server aktivieren. Bei der Aktivierung von POP3 geben wir die LAN-Schnittstelle als Standardport 110 an.

Stellen Sie außerdem sicher, dass bei „Transparenter Proxy“ kein Häkchen gesetzt ist, und klicken Sie auf „OK“ und „Übernehmen“.

Deaktivieren Sie „Transparenter Modus“ und schreiben Sie „Remote-Server-Einstellungen“, in unserem Fall smtp.mail.ru. Warum wird nur ein Server angezeigt? Und hier ist die Antwort: Es wird davon ausgegangen, dass die Organisation einen einzelnen SMTP-Server verwendet, und dieser Server wird in den SMTP-Proxy-Einstellungen angegeben.

Die erste Regel für POP3 sollte so aussehen.

Zweitens, wie Alexander Newski sagen würde "So ist das"

Vergessen Sie nicht die Schaltfläche „Übernehmen“ und fahren Sie mit der Einrichtung des Clients fort. Wir erinnern uns: „Wenn der UserGate POP3-Proxy im undurchsichtigen Modus verwendet wird, müssen in den Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers die IP-Adresse des Computers mit UserGate und der Port angegeben werden, der dem UserGate POP3-Proxy entspricht.“ die POP3-Serveradresse. Darüber hinaus wird der Login zur Autorisierung auf dem Remote-POP3-Server im folgenden Format angegeben: E-Mail-Adresse@POP3-Server-Adresse.“ Lasst uns handeln.

Melden Sie sich zunächst beim Autorisierungsclient an und öffnen Sie dann das reguläre Outlook. In unserem Beispiel habe ich ein Testpostfach erstellt [email protected], und konfigurieren Sie es, indem Sie unser Postfach in einem für UserGate verständlichen Format angeben [email protected]@pop.mail.ru sowie POP- und SMTP-Server, unsere Proxy-Adresse.

Klicken Sie auf „Kontobestätigung...“

Portzuweisung

UserGate unterstützt die Port-Forwarding-Funktion. Wenn Portzuweisungsregeln vorhanden sind, leitet der UserGate-Server Benutzeranfragen, die an einem bestimmten Port einer bestimmten Netzwerkschnittstelle eines Computers mit UserGate eingehen, an eine andere angegebene Adresse und einen anderen Port um, beispielsweise an einen anderen Computer im lokalen Netzwerk. Die Port-Forwarding-Funktion ist für die Protokolle TCP und UDP verfügbar.

Wenn die Portzuweisung verwendet wird, um den Zugriff aus dem Internet auf eine interne Unternehmensressource bereitzustellen, müssen Sie als Autorisierungsparameter „Angegebener Benutzer“ auswählen, da sonst die Portweiterleitung nicht funktioniert. Vergessen Sie nicht, Remotedesktop zu aktivieren.

Cache-Setup

Einer der Zwecke eines Proxyservers besteht darin, Netzwerkressourcen zwischenzuspeichern. Caching reduziert die Belastung Ihrer Internetverbindung und beschleunigt den Zugriff auf häufig besuchte Ressourcen. Der UserGate-Proxyserver speichert HTTP- und FTP-Verkehr zwischen. Zwischengespeicherte Dokumente werden im lokalen Ordner %UserGate_data%\Cache abgelegt. Die Cache-Einstellungen geben die maximale Cache-Größe und die Speicherzeit für zwischengespeicherte Dokumente an.

Antiviren-Scan

Im UserGate-Server sind drei Antivirenmodule integriert: Kaspersky Lab Antivirus, Panda Security und Avira. Alle Antivirenmodule sind darauf ausgelegt, eingehenden Datenverkehr über HTTP-, FTP- und UserGate-Mail-Proxy-Server sowie ausgehenden Datenverkehr über SMTP-Proxys zu scannen.

Die Einstellungen des Antiviren-Moduls sind im Abschnitt Dienste → Antivirus der Administrationskonsole verfügbar. Für jedes Antivirenprogramm können Sie angeben, welche Protokolle gescannt werden sollen, die Häufigkeit der Aktualisierung der Antiviren-Datenbanken festlegen und auch URLs angeben, die nicht gescannt werden müssen (Option „URL-Filter“). Darüber hinaus können Sie in den Einstellungen eine Gruppe von Benutzern angeben, deren Datenverkehr keiner Virenprüfung unterzogen werden muss.

Bevor Sie das Antivirenprogramm aktivieren, müssen Sie zunächst seine Datenbank aktualisieren.

Kommen wir nach den oben genannten Funktionen zu den häufig verwendeten Funktionen, nämlich „Traffic Management“ und „Application Control“.

System der Verkehrskontrollregeln

Der UserGate-Server bietet die Möglichkeit, den Benutzerzugriff auf das Internet mithilfe von Verkehrsverwaltungsregeln zu steuern. Verkehrskontrollregeln dienen dazu, den Zugriff auf bestimmte Netzwerkressourcen zu verbieten, Beschränkungen für den Verkehrsverbrauch festzulegen, einen Zeitplan für Benutzer im Internet zu erstellen und auch den Status von Benutzerkonten zu überwachen.

In unserem Beispiel beschränken wir den Zugriff auf einen Benutzer, dessen Anfrage Verweise auf vk.com enthält. Gehen Sie dazu auf „Verkehrsmanagement – ​​Regeln“

Geben Sie der Regel einen Namen und die Aktion „Verbindung schließen“

Fahren Sie nach dem Hinzufügen der Site mit dem nächsten Parameter fort und wählen Sie eine Gruppe oder einen Benutzer aus. Die Regel kann sowohl für den Benutzer als auch für die Gruppe festgelegt werden, in unserem Fall für den Benutzer „Benutzer“.

Anwendungssteuerung

Die Richtlinie zur Internetzugriffskontrolle erhielt eine logische Fortsetzung in Form des Application Firewall-Moduls. Der UserGate-Administrator kann den Zugriff auf das Internet nicht nur Benutzern, sondern auch Netzwerkanwendungen auf dem Arbeitsplatzrechner des Benutzers erlauben oder verweigern. Dazu müssen Sie auf den Benutzerarbeitsplätzen eine spezielle Anwendung App.FirewallService installieren. Die Installation des Pakets ist sowohl über die ausführbare Datei als auch über das entsprechende MSI-Paket (AuthFwInstall.msi) möglich, das sich im Verzeichnis %Usergate%\tools befindet.

Gehen wir zum Modul „Anwendungskontrolle – Regeln“ und erstellen Sie eine Verbotsregel, um beispielsweise den Start des IE zu verbieten. Klicken Sie auf „Gruppe hinzufügen“, geben Sie ihr einen Namen und legen Sie eine Regel für die Gruppe fest.

Wir wählen unsere erstellte Regelgruppe aus und können das Kontrollkästchen „Standardregel“ aktivieren. In diesem Fall werden die Regeln zur Gruppe „Standardregeln“ hinzugefügt

Anwenden einer Regel auf einen Benutzer in den Benutzereigenschaften

Jetzt installieren wir Auth.Client und App.Firewall auf der Client-Station; nach der Installation sollte IE durch die zuvor erstellten Regeln blockiert werden.

Wie wir sehen können, hat die Regel funktioniert. Jetzt deaktivieren wir die Regeln, damit der Benutzer sehen kann, wie die Regel für die Website vk.com funktioniert. Nach dem Deaktivieren der Regel auf dem Usergate-Server müssen Sie 10 Minuten warten (Synchronisierungszeit mit dem Server). Versuchen wir, auf den Direktlink zuzugreifen

Wir versuchen es über die Suchmaschine google.com

Wie Sie sehen, funktionieren die Regeln problemlos.

Daher deckt dieser Artikel nur einen kleinen Teil der Funktionen ab. Mögliche Einstellungen zur Firewall, Routing-Regeln und NAT-Regeln entfallen. UserGate Proxy & Firewall bietet eine breite Palette an Lösungen, sogar noch ein bisschen mehr. Das Produkt funktionierte sehr gut und vor allem war es einfach einzurichten. Wir werden es weiterhin bei der Betreuung der IT-Infrastrukturen unserer Kunden zur Lösung typischer Probleme einsetzen!

Das Internet ist heute nicht nur ein Kommunikations- oder Freizeitmittel, sondern auch ein Arbeitsmittel. Die Suche nach Informationen, die Teilnahme an Ausschreibungen, die Zusammenarbeit mit Kunden und Partnern erfordern die Präsenz von Unternehmensmitarbeitern im Internet. Auf den meisten Computern, die sowohl für persönliche als auch für organisatorische Zwecke verwendet werden, ist das Betriebssystem Windows ausgeführt. Selbstverständlich sind sie alle mit Mechanismen zur Bereitstellung des Internetzugangs ausgestattet. Ab Windows 98 Second Edition wurde Internet Connection Sharing (ICS) als Standardkomponente in Windows-Betriebssysteme integriert, die Gruppenzugriff von einem lokalen Netzwerk auf das Internet ermöglicht. Später führte Windows 2000 Server den Routing- und RAS-Dienst ein und fügte Unterstützung für das NAT-Protokoll hinzu.

Aber ICS hat seine Nachteile. Diese Funktion ändert also die Adresse des Netzwerkadapters, was zu Problemen im lokalen Netzwerk führen kann. Daher wird ICS vorzugsweise nur in Heim- oder kleinen Büronetzwerken verwendet. Dieser Dienst stellt keine Benutzerautorisierung bereit, daher ist die Verwendung in einem Unternehmensnetzwerk nicht zu empfehlen. Wenn es um die Anwendung im Heimnetzwerk geht, ist auch hier die fehlende Autorisierung per Benutzername inakzeptabel, da IP- und MAC-Adressen sehr leicht zu fälschen sind. Obwohl es in Windows möglich ist, einen einheitlichen Zugriff auf das Internet zu organisieren, kann diese Aufgabe in der Praxis entweder mit Hardware oder Hardware umgesetzt werden Software unabhängige Entwickler. Eine solche Lösung ist das UserGate-Programm.

Erstes Treffen

Mit dem Usergate-Proxyserver können Sie lokalen Netzwerkbenutzern Zugriff auf das Internet gewähren und Zugriffsrichtlinien definieren, indem Sie den Zugriff auf bestimmte Ressourcen verweigern, den Datenverkehr begrenzen oder die Zeit, die Benutzer im Netzwerk verbringen. Darüber hinaus ermöglicht Usergate die Führung getrennter Verkehrsaufzeichnungen sowohl nach Benutzer als auch nach Protokoll, was die Kontrolle der Internetverbindungskosten erheblich erleichtert. IN In letzter Zeit Unter Internetanbietern besteht die Tendenz, über ihre Kanäle unbegrenzten Zugang zum Internet bereitzustellen. Vor dem Hintergrund dieses Trends rücken Zutrittskontrolle und Abrechnung in den Vordergrund. Dafür reicht der Usergate-Proxyserver aus flexibles System Regeln

Der Usergate-Proxyserver mit NAT-Unterstützung (Network Address Translation) läuft auf Windows 2000/2003/XP-Betriebssystemen mit installiertem TCP/IP-Protokoll. Ohne NAT-Protokollunterstützung ist Usergate unter Windows 95/98 und Windows NT 4.0 lauffähig. Für den Betrieb des Programms selbst sind keine besonderen Ressourcen erforderlich; die Hauptvoraussetzung ist die Verfügbarkeit von ausreichend Speicherplatz für Cache- und Protokolldateien. Daher wird weiterhin empfohlen, einen Proxyserver auf einem separaten Computer zu installieren, um ihm maximale Ressourcen zu bieten.

Einstellungen

Wozu dient ein Proxyserver? Schließlich kann jeder Webbrowser (Netscape Navigator, Microsoft Internet Explorer, Opera) bereits Dokumente zwischenspeichern. Denken Sie jedoch daran, dass wir für diese Zwecke erstens keinen nennenswerten Speicherplatz zuweisen. Und zweitens ist die Wahrscheinlichkeit, dass eine Person dieselben Seiten besucht, viel geringer, als wenn dies Dutzende oder Hunderte von Personen täten (und viele Organisationen haben eine solche Anzahl von Benutzern). Daher wird die Schaffung eines einzigen Cache-Speicherplatzes für eine Organisation den eingehenden Datenverkehr reduzieren und die Suche im Internet nach Dokumenten beschleunigen, die bereits bei einem der Mitarbeiter eingegangen sind. Der UserGate-Proxyserver kann in einer Hierarchie mit externen Proxyservern (Anbietern) verbunden werden. In diesem Fall ist es möglich, den Datenverkehr zwar nicht zu reduzieren, aber zumindest den Datenempfang zu beschleunigen und die Kosten zu senken (normalerweise sind die Kosten für den Datenverkehr von einem Anbieter über einen Proxyserver niedriger).

Mit Blick auf die Zukunft möchte ich sagen, dass der Cache im Menübereich „Dienste“ konfiguriert wird (siehe Bildschirm 1). Nachdem Sie den Cache in den Modus „Aktiviert“ geschaltet haben, können Sie seine einzelnen Funktionen konfigurieren – Caching von POST-Anfragen, dynamischen Objekten, Cookies, über FTP empfangenen Inhalten. Hier können Sie die Größe des für den Cache zugewiesenen Speicherplatzes und die Lebensdauer des zwischengespeicherten Dokuments konfigurieren. Und damit der Cache funktioniert, müssen Sie den Proxy-Modus konfigurieren und aktivieren. Die Einstellungen bestimmen, welche Protokolle über den Proxyserver funktionieren (HTTP, FTP, SOCKS), auf welcher Netzwerkschnittstelle sie abgehört werden und ob eine Kaskadierung durchgeführt wird (die hierfür erforderlichen Daten werden auf einem separaten Reiter des Dienstes eingegeben). Einstellungsfenster).

Bevor Sie mit dem Programm arbeiten, müssen Sie noch weitere Einstellungen vornehmen. Dies erfolgt in der Regel in folgender Reihenfolge:

1. Benutzerkonten in Usergate erstellen.
2. Einrichten von DNS und NAT auf einem System mit Usergate. In dieser Phase beschränkt sich die Konfiguration hauptsächlich auf die Konfiguration von NAT mithilfe des Assistenten.
3. Einrichten einer Netzwerkverbindung auf Client-Rechnern, wobei das Gateway und DNS in den Eigenschaften der TCP/IP-Netzwerkverbindung registriert werden müssen.
4. Erstellen einer Internet-Zugriffsrichtlinie.

Zur Vereinfachung der Bedienung ist das Programm in mehrere Module unterteilt. Das Servermodul läuft auf einem mit dem Internet verbundenen Computer und führt grundlegende Aufgaben aus. Die Usergate-Verwaltung erfolgt über ein spezielles Modul Usergate Administrator. Mit seiner Hilfe wird die gesamte Serverkonfiguration gemäß den erforderlichen Anforderungen durchgeführt. Der Client-Teil von Usergate ist in Form des Usergate Authentication Client implementiert, der auf dem Computer des Benutzers installiert wird und zur Autorisierung von Benutzern auf dem Usergate-Server dient, wenn andere Autorisierungen als IP- oder IP + MAC-Autorisierungen verwendet werden.

Kontrolle

Die Benutzer- und Gruppenverwaltung ist in einem separaten Abschnitt untergebracht. Gruppen sind erforderlich, um die Verwaltung von Benutzern und deren allgemeinen Zugriffs- und Abrechnungseinstellungen zu erleichtern. Sie können beliebig viele Gruppen erstellen. Typischerweise werden Gruppen entsprechend der Struktur der Organisation erstellt. Welche Parameter können einer Benutzergruppe zugewiesen werden? Jeder Gruppe ist ein Tarif zugeordnet, bei dem die Zugangskosten berücksichtigt werden. Standardmäßig wird der Standardtarif verwendet. Es ist leer, sodass Verbindungen aller in der Gruppe enthaltenen Benutzer nicht berechnet werden, es sei denn, der Tarif wird im Benutzerprofil überschrieben.

Das Programm verfügt über eine Reihe vordefinierter NAT-Regeln, die nicht geändert werden können. Hierbei handelt es sich um Zugriffsregeln für die Protokolle Telten, POP3, SMTP, HTTP, ICQ usw. Beim Einrichten einer Gruppe können Sie festlegen, welche Regeln auf diese Gruppe und die darin enthaltenen Benutzer angewendet werden.

Der automatische Wählmodus kann verwendet werden, wenn die Verbindung zum Internet über ein Modem erfolgt. Wenn dieser Modus aktiviert ist, kann der Benutzer eine Verbindung zum Internet initialisieren, wenn noch keine Verbindung besteht – auf seine Anfrage hin stellt das Modem eine Verbindung her und stellt den Zugriff bereit. Bei einer Verbindung über eine Standleitung oder ADSL ist dieser Modus jedoch nicht erforderlich.

Das Hinzufügen von Benutzerkonten ist nicht schwieriger als das Hinzufügen von Gruppen (siehe Abbildung 2). Und wenn der Computer, auf dem der Usergate-Proxyserver installiert ist, Teil einer Active Directory (AD)-Domäne ist, können Benutzerkonten von dort importiert und dann in Gruppen kategorisiert werden. Aber sowohl bei der manuellen Eingabe als auch beim Import von Konten aus AD müssen Sie Benutzerrechte und Zugriffsregeln konfigurieren. Dazu gehören die Berechtigungsart, Tarifplan, verfügbare NAT-Regeln (wenn Gruppenregeln die Anforderungen eines bestimmten Benutzers nicht vollständig erfüllen).

Der Usergate-Proxyserver unterstützt mehrere Arten der Autorisierung, einschließlich der Benutzerautorisierung über Active Directory und das Windows-Anmeldefenster, wodurch Usergate in eine bestehende Netzwerkinfrastruktur integriert werden kann. Usergate verwendet einen eigenen NAT-Treiber, der die Autorisierung über ein spezielles Modul unterstützt – das Client-Autorisierungsmodul. Abhängig von der gewählten Autorisierungsmethode müssen Sie in den Einstellungen des Benutzerprofils entweder seine IP-Adresse (oder seinen Adressbereich) oder einen Namen und ein Passwort oder nur einen Namen angeben. Hier kann auch die E-Mail-Adresse des Nutzers angegeben werden, an die Berichte über die Nutzung des Internetzugangs gesendet werden.

Regeln

Das Usergate-Regelsystem bietet im Vergleich zu den Remote Access Policy-Funktionen (Remote Access Policy in RRAS) flexiblere Einstellungen. Mithilfe von Regeln können Sie den Zugriff auf bestimmte URLs blockieren, den Datenverkehr über bestimmte Protokolle begrenzen, ein Zeitlimit festlegen, die maximale Dateigröße begrenzen, die ein Benutzer herunterladen kann, und vieles mehr (siehe Abbildung 3). Standard-Betriebssystemtools verfügen nicht über ausreichende Funktionalität, um diese Probleme zu lösen.

Regeln werden mit dem Assistenten erstellt. Sie gelten für vier Hauptobjekte, die das System überwacht: Verbindung, Verkehr, Tarif und Geschwindigkeit. Darüber hinaus kann für jeden von ihnen eine Aktion ausgeführt werden. Die Ausführung von Regeln hängt von den dafür gewählten Einstellungen und Einschränkungen ab. Dazu gehören die verwendeten Protokolle und die Zeiten pro Wochentag, zu denen diese Regel in Kraft treten wird. Abschließend werden Kriterien für das Verkehrsaufkommen (eingehend und ausgehend), die im Netzwerk verbrachte Zeit, den Kontostand des Benutzers sowie eine Liste der IP-Adressen der Quelle der Anfrage und der Netzwerkadressen des Benutzers festgelegt Ressourcen, die einer Aktion unterliegen. Durch die Konfiguration von Netzwerkadressen können Sie auch die Dateitypen bestimmen, die Benutzer nicht herunterladen können.

Viele Organisationen gestatten die Nutzung von Instant-Messaging-Diensten nicht. Wie kann ein solches Verbot mit Usergate umgesetzt werden? Es reicht aus, eine Regel zu erstellen, die die Verbindung schließt, wenn die Site *login.icq.com* angefordert wird, und diese auf alle Benutzer anzuwenden. Durch die Anwendung der Regeln können Sie die Tarife für den Zugang zu regionalen oder gemeinsamen Ressourcen tagsüber oder nachts ändern (sofern solche Unterschiede vom Anbieter bereitgestellt werden). Um beispielsweise zwischen Nacht- und Tagtarifen zu wechseln, müssen zwei Regeln erstellt werden: Eine führt die zeitliche Umstellung vom Tag- auf den Nachttarif durch, die zweite schaltet zurück. Warum sind eigentlich Zölle notwendig? Dies ist die Grundlage des integrierten Abrechnungssystems. Derzeit kann dieses System nur zum Abgleich und zur Probekostenberechnung verwendet werden, aber sobald das Abrechnungssystem zertifiziert ist, verfügen Systembesitzer über einen zuverlässigen Mechanismus für die Zusammenarbeit mit ihren Kunden.

Benutzer

Kommen wir nun zurück zu den DNS- und NAT-Einstellungen. Beim Einrichten von DNS müssen die Adressen externer DNS-Server angegeben werden, auf die das System zugreifen soll. In diesem Fall ist es auf Benutzerrechnern erforderlich, in den Verbindungseinstellungen für die TCP/IP-Eigenschaften als Gateway und DNS die IP der internen Netzwerkschnittstelle des Rechners mit Usergate anzugeben. Ein etwas anderes Konfigurationsprinzip bei der Verwendung von NAT. In diesem Fall müssen Sie dem System eine neue Regel hinzufügen, die die Definition der Empfänger-IP (lokale Schnittstelle) und der Absender-IP (externe Schnittstelle), des Ports 53 und des UDP-Protokolls erfordert. Diese Regel muss allen Benutzern zugewiesen werden. Und in den Verbindungseinstellungen auf ihren Computern sollten Sie als DNS die IP-Adresse des DNS-Servers des Anbieters und als Gateway die IP-Adresse des Computers mit Usergate angeben.

Die Konfiguration von E-Mail-Clients kann sowohl über Port-Mapping als auch über NAT erfolgen. Wenn Ihre Organisation die Nutzung von Instant-Messaging-Diensten zulässt, müssen die Verbindungseinstellungen dafür geändert werden – Sie müssen die Verwendung einer Firewall und eines Proxys angeben, die IP-Adresse der internen Netzwerkschnittstelle des Computers mit Usergate festlegen und HTTPS auswählen oder Socks-Protokoll. Sie müssen jedoch bedenken, dass Sie bei der Arbeit über einen Proxyserver nicht in Chatrooms und Video-Chats arbeiten können, wenn Sie Yahoo Messenger verwenden.

Betriebsstatistiken werden in einem Protokoll aufgezeichnet, das Informationen über die Verbindungsparameter aller Benutzer enthält: Verbindungszeit, Dauer, ausgegebene Mittel, angeforderte Adressen, Menge der empfangenen und übertragenen Informationen. Sie können die Aufzeichnung von Informationen über Benutzerverbindungen in der Statistikdatei nicht abbrechen. Um Statistiken im System anzuzeigen, gibt es ein spezielles Modul, auf das sowohl über die Administratoroberfläche als auch aus der Ferne zugegriffen werden kann. Daten können nach Benutzern, Protokollen und Zeit gefiltert und zur weiteren Verarbeitung in einer externen Excel-Datei gespeichert werden.

Was weiter

Während die ersten Versionen des Systems nur dazu gedacht waren, den Caching-Mechanismus des Proxyservers zu implementieren, verfügen die neuesten Versionen über neue Komponenten, die die Informationssicherheit gewährleisten sollen. Heute können Usergate-Benutzer das integrierte Firewall- und Antivirenmodul von Kaspersky nutzen. Mit der Firewall können Sie bestimmte Ports kontrollieren, öffnen und blockieren sowie Unternehmens-Webressourcen im Internet veröffentlichen. Die integrierte Firewall verarbeitet Pakete, die nicht auf der Ebene der NAT-Regeln verarbeitet werden. Sobald das Paket vom NAT-Treiber verarbeitet wurde, wird es nicht mehr von der Firewall verarbeitet. Die für den Proxy vorgenommenen Porteinstellungen sowie die im Port Mapping angegebenen Ports werden in automatisch generierten Firewall-Regeln (Autotyp) abgelegt. Zu den Auto-Regeln gehört auch der TCP-Port 2345, der vom Usergate-Administratormodul zur Verbindung mit dem Usergate-Backend verwendet wird.

Was die Aussichten für die Weiterentwicklung des Produkts betrifft, ist die Schaffung eines eigenen VPN-Servers zu erwähnen, der es Ihnen ermöglicht, auf VPN vom Betriebssystem zu verzichten; Implementierung eines Mailservers mit Anti-Spam-Unterstützung und Entwicklung einer intelligenten Firewall auf Anwendungsebene.

Michail Abramzon- Leiter der Marketinggruppe bei Digt.

Die Organisation des gemeinsamen Internetzugangs für lokale Netzwerkbenutzer ist eine der häufigsten Aufgaben, denen sich Systemadministratoren stellen müssen. Dennoch wirft es immer noch viele Schwierigkeiten und Fragen auf. Wie gewährleistet man beispielsweise maximale Sicherheit und vollständige Kontrollierbarkeit?

Einführung

Heute werden wir uns im Detail damit befassen, wie man den gemeinsamen Zugang zum Internet für Mitarbeiter eines bestimmten hypothetischen Unternehmens organisiert. Gehen wir davon aus, dass ihre Zahl zwischen 50 und 100 Personen liegt und alle üblichen Dienste für solche Informationssysteme im lokalen Netzwerk bereitgestellt werden: Windows-Domäne, eigener Mailserver, FTP-Server.

Um einen gemeinsamen Zugriff bereitzustellen, verwenden wir eine Lösung namens UserGate Proxy & Firewall. Es verfügt über mehrere Funktionen. Erstens handelt es sich im Gegensatz zu vielen lokalisierten Produkten um eine rein russische Entwicklung. Zweitens hat es eine mehr als zehnjährige Geschichte. Aber das Wichtigste ist die ständige Weiterentwicklung des Produkts.

Die ersten Versionen dieser Lösung waren relativ einfache Proxyserver, die nur eine einzige Internetverbindung gemeinsam nutzen und Statistiken über deren Nutzung führen konnten. Am weitesten verbreitet ist dabei Build 2.8, der auch heute noch in kleinen Büros anzutreffen ist. Die neueste, sechste Version wird von den Entwicklern selbst nicht mehr als Proxy-Server bezeichnet. Ihren Angaben zufolge handelt es sich um eine vollwertige UTM-Lösung, die eine ganze Reihe von Aufgaben rund um die Sicherheit und Kontrolle von Benutzeraktionen abdeckt. Mal sehen, ob das stimmt.

Bereitstellen von UserGate Proxy und Firewall

Bei der Installation sind zwei Schritte von Interesse (die restlichen Schritte sind Standard für die Installation jeglicher Software). Die erste davon ist die Auswahl der Komponenten. Zusätzlich zu den Basisdateien werden wir gebeten, vier weitere Serverkomponenten zu installieren – ein VPN, zwei Antivirenprogramme (Panda und Kaspersky Anti-Virus) und einen Cache-Browser.

Das VPN-Servermodul wird bei Bedarf installiert, also dann, wenn das Unternehmen den Fernzugriff für Mitarbeiter nutzen oder mehrere Remote-Netzwerke zusammenfassen möchte. Die Installation von Antivirenprogrammen ist nur dann sinnvoll, wenn die entsprechenden Lizenzen vom Unternehmen erworben wurden. Ihre Anwesenheit ermöglicht es Ihnen, den Internetverkehr zu scannen, Malware direkt am Gateway zu lokalisieren und zu blockieren. Mit dem Cache-Browser können Sie vom Proxyserver zwischengespeicherte Webseiten anzeigen.

Zusätzliche Funktionen

Verbot unerwünschter Websites

Die Lösung unterstützt die URL-Filtertechnologie von Entensys. Im Wesentlichen handelt es sich um eine cloudbasierte Datenbank mit mehr als 500 Millionen Websites in verschiedenen Sprachen, unterteilt in mehr als 70 Kategorien. Der Hauptunterschied besteht in der ständigen Überwachung, bei der Webprojekte ständig überwacht werden und bei Änderungen des Inhalts in eine andere Kategorie übertragen werden. Auf diese Weise können Sie alle unerwünschten Websites mit einem hohen Maß an Genauigkeit blockieren, indem Sie einfach bestimmte Kategorien auswählen.

Der Einsatz von Entensys URL Filtering erhöht die Sicherheit der Arbeit im Internet und trägt zudem dazu bei, die Effizienz der Mitarbeiter zu steigern (durch das Verbot). soziale Netzwerke, Unterhaltungsseiten und andere Dinge). Für die Nutzung ist jedoch ein kostenpflichtiges Abonnement erforderlich, das jedes Jahr erneuert werden muss.

Darüber hinaus enthält die Distribution zwei weitere Komponenten. Die erste ist die „Administratorkonsole“. Dabei handelt es sich um eine separate Anwendung, die, wie der Name schon sagt, für die Verwaltung des UserGate Proxy- und Firewall-Servers konzipiert ist. Sein Hauptmerkmal ist die Möglichkeit, eine Fernverbindung herzustellen. Somit benötigen Administratoren oder Verantwortliche für die Internetnutzung keinen direkten Zugriff auf das Internet-Gateway.

Die zweite zusätzliche Komponente sind Webstatistiken. Im Wesentlichen handelt es sich um einen Webserver, der die Anzeige detaillierter Nutzungsstatistiken ermöglicht globales Netzwerk Firmenangestellte. Einerseits ist dies zweifellos eine nützliche und praktische Komponente. Schließlich ermöglicht es Ihnen, Daten ohne Installation zusätzlicher Software zu empfangen, auch über das Internet. Andererseits beansprucht es jedoch unnötig Systemressourcen des Internet-Gateways. Daher ist es besser, es nur dann zu installieren, wenn es wirklich benötigt wird.

Der zweite Schritt, auf den Sie bei der Installation von UserGate Proxy & Firewall achten sollten, ist die Auswahl einer Datenbank. In früheren Versionen konnte UGPF nur mit MDB-Dateien funktionieren, was sich auf die Gesamtsystemleistung auswirkte. Jetzt besteht die Wahl zwischen zwei DBMS – Firebird und MySQL. Darüber hinaus ist das erste Teil im Lieferumfang enthalten, sodass bei der Auswahl keine zusätzlichen Manipulationen erforderlich sind. Wenn Sie MySQL verwenden möchten, müssen Sie es zunächst installieren und konfigurieren. Nachdem die Installation der Serverkomponenten abgeschlossen ist, müssen Arbeitsplätze für Administratoren und andere verantwortliche Mitarbeiter vorbereitet werden, die den Benutzerzugriff verwalten können. Es ist sehr einfach zu machen. Es reicht aus, die Administrationskonsole aus derselben Distribution auf ihren Arbeitscomputern zu installieren.

Zusätzliche Funktionen

Integrierter VPN-Server

Mit Version 6.0 wurde die VPN-Serverkomponente eingeführt. Mit seiner Hilfe können Sie einen sicheren Fernzugriff für Unternehmensmitarbeiter auf das lokale Netzwerk organisieren oder Remote-Netzwerke einzelner Niederlassungen der Organisation in einem einzigen Informationsraum zusammenfassen. Dieser VPN-Server verfügt über alle notwendigen Funktionen, um Server-zu-Server- und Client-zu-Server-Tunnel und Routing zwischen Subnetzen zu erstellen.

Grundeinstellung

Die gesamte Konfiguration von UserGate Proxy & Firewall erfolgt über die Verwaltungskonsole. Standardmäßig wird nach der Installation bereits eine Verbindung zum lokalen Server hergestellt. Wenn Sie es jedoch remote verwenden, müssen Sie die Verbindung manuell erstellen, indem Sie die IP-Adresse oder den Hostnamen des Internet-Gateways, den Netzwerkport (Standard 2345) und Autorisierungsparameter angeben.

Nachdem Sie eine Verbindung zum Server hergestellt haben, müssen Sie zunächst die Netzwerkschnittstellen konfigurieren. Dies kann auf der Registerkarte „Schnittstellen“ im Abschnitt „UserGate Server“ erfolgen. Die Netzwerkkarte, die in das lokale Netzwerk „schaut“, ist auf den Typ LAN eingestellt, alle anderen Verbindungen sind auf WAN eingestellt. „Temporären“ Verbindungen wie PPPoE, VPN wird automatisch der PPP-Typ zugewiesen.

Wenn ein Unternehmen über zwei oder mehr Verbindungen zum globalen Netzwerk verfügt, von denen eine die Hauptverbindung und der Rest als Backup dient, kann eine automatische Sicherung konfiguriert werden. Das geht ganz einfach. Es reicht aus, die erforderlichen Schnittstellen zur Liste der Reserveschnittstellen hinzuzufügen, eine oder mehrere Kontrollressourcen und die Zeit für deren Überprüfung anzugeben. Das Funktionsprinzip dieses Systems ist wie folgt. UserGate prüft automatisch in einem festgelegten Intervall die Verfügbarkeit von Kontrollstandorten. Sobald diese nicht mehr reagieren, schaltet das Produkt selbstständig und ohne Eingriff des Administrators auf den Backup-Kanal um. Gleichzeitig wird weiterhin die Verfügbarkeit von Steuerressourcen über die Hauptschnittstelle überprüft. Und sobald es gelingt, wird die Rückschaltung automatisch durchgeführt. Das Einzige, worauf Sie bei der Einrichtung achten müssen, ist die Wahl der Steuerungsressourcen. Besser ist es, mehrere große Standorte zu nehmen, deren stabiler Betrieb praktisch gewährleistet ist.

Zusätzliche Funktionen

Netzwerkanwendungskontrolle

UserGate Proxy & Firewall implementiert eine so interessante Funktion wie die Kontrolle von Netzwerkanwendungen. Ziel ist es, den Zugriff unbefugter Software auf das Internet zu verhindern. Im Rahmen der Steuerungseinstellungen werden Regeln erstellt, die den Netzwerkbetrieb verschiedener Programme (mit oder ohne Versionsberücksichtigung) erlauben oder blockieren. Sie können bestimmte IP-Adressen und Zielports angeben, wodurch Sie den Softwarezugriff flexibel konfigurieren und nur bestimmte Aktionen im Internet ausführen können.

Mithilfe der Anwendungskontrolle können Sie eine klare Unternehmensrichtlinie zur Verwendung von Programmen entwickeln und die Verbreitung von Malware teilweise verhindern.

Danach können Sie direkt mit der Einrichtung von Proxy-Servern fortfahren. Insgesamt implementiert die betrachtete Lösung sieben davon: für die Protokolle HTTP (einschließlich HTTPs), FTP, SOCKS, POP3, SMTP, SIP und H323. Das ist praktisch alles, was die Mitarbeiter eines Unternehmens für die Arbeit im Internet benötigen. Standardmäßig ist nur der HTTP-Proxy aktiviert, alle anderen können bei Bedarf aktiviert werden.

Proxyserver in UserGate Proxy & Firewall können in zwei Modi betrieben werden – normal und transparent. Im ersten Fall sprechen wir von einem traditionellen Proxy. Der Server empfängt Anfragen von Benutzern, leitet sie an externe Server weiter und übermittelt die empfangenen Antworten an Clients. Dies ist eine traditionelle Lösung, die jedoch ihre eigenen Nachteile mit sich bringt. Insbesondere ist es notwendig, jedes Programm, das für die Arbeit im Internet verwendet wird (Internetbrowser, E-Mail-Client, ICQ usw.), auf jedem Computer im lokalen Netzwerk zu konfigurieren. Das ist natürlich viel Arbeit. Darüber hinaus wird es regelmäßig wiederholt, wenn neue Software installiert wird.

Bei der Auswahl des transparenten Modus kommt ein spezieller NAT-Treiber zum Einsatz, der im Lieferumfang der jeweiligen Lösung enthalten ist. Es überwacht die entsprechenden Ports (80 für HTTP, 21 für FTP usw.), erkennt eingehende Anfragen und leitet sie an den Proxyserver weiter, von wo aus sie weitergesendet werden. Diese Lösung ist insofern erfolgreicher, als eine Softwarekonfiguration auf Client-Rechnern nicht mehr erforderlich ist. Es ist lediglich erforderlich, in der Netzwerkverbindung aller Arbeitsplätze die IP-Adresse des Internet-Gateways als Haupt-Gateway anzugeben.

Der nächste Schritt besteht darin, die DNS-Abfrageweiterleitung zu konfigurieren. Es gibt zwei Möglichkeiten, dies zu tun. Die einfachste davon besteht darin, die sogenannte DNS-Weiterleitung zu aktivieren. Bei der Verwendung werden DNS-Anfragen, die von Clients am Internet-Gateway ankommen, an die angegebenen Server umgeleitet (Sie können entweder einen DNS-Server aus den Netzwerkverbindungseinstellungen oder einen beliebigen DNS-Server verwenden).

Die zweite Möglichkeit besteht darin, eine NAT-Regel zu erstellen, die Anfragen auf Port 53 (Standard für DNS) empfängt und an das externe Netzwerk weiterleitet. In diesem Fall müssen Sie jedoch entweder manuell DNS-Server in den Netzwerkverbindungseinstellungen auf allen Computern registrieren oder das Senden von DNS-Anfragen über das Internet-Gateway vom Domänencontroller-Server konfigurieren.

Benutzerverwaltung

Nach Abschluss der Grundeinrichtung können Sie mit der Arbeit mit Benutzern fortfahren. Sie müssen zunächst Gruppen erstellen, in denen die Konten anschließend zusammengefasst werden. Wofür ist das? Erstens für die spätere Integration mit Active Directory. Und zweitens können Sie Gruppen Regeln zuweisen (wir werden später darüber sprechen) und so den Zugriff für eine große Anzahl von Benutzern gleichzeitig steuern.

Der nächste Schritt besteht darin, Benutzer zum System hinzuzufügen. Sie können dies auf drei verschiedene Arten tun. Aus offensichtlichen Gründen ziehen wir die erste davon, die manuelle Erstellung jedes Kontos, nicht einmal in Betracht. Diese Option eignet sich nur für kleine Netzwerke mit wenigen Benutzern. Die zweite Methode ist das Scannen des Unternehmensnetzwerks mit ARP-Anfragen, wobei das System selbst die Liste der möglichen Konten ermittelt. Wir wählen jedoch die dritte Option, die im Hinblick auf Einfachheit und einfache Verwaltung am optimalsten ist – die Integration mit Active Directory. Es wird basierend auf zuvor erstellten Gruppen durchgeführt. Zuerst müssen Sie die allgemeinen Integrationsparameter ausfüllen: Geben Sie die Domäne, die Adresse ihres Controllers, den Benutzernamen und das Passwort mit den erforderlichen Zugriffsrechten dafür sowie das Synchronisierungsintervall an. Danach muss jeder in UserGate erstellten Gruppe eine oder mehrere Gruppen aus dem Active Directory zugewiesen werden. Tatsächlich endet das Setup hier. Nach dem Speichern aller Parameter erfolgt die Synchronisierung automatisch.

Bei der Autorisierung erstellte Benutzer verwenden standardmäßig die NTLM-Autorisierung, d. h. die Autorisierung durch Domänenanmeldung. Dies ist eine sehr praktische Option, da die Regeln und das Verkehrsabrechnungssystem unabhängig davon funktionieren, an welchem ​​Computer der Benutzer gerade sitzt.

Um diese Autorisierungsmethode nutzen zu können, benötigen Sie jedoch zusätzliche Software- Sonderkunde. Dieses Programm arbeitet auf Winsock-Ebene und überträgt Benutzerautorisierungsparameter an das Internet-Gateway. Die Distribution ist im UserGate Proxy & Firewall-Paket enthalten. Mithilfe von Windows-Gruppenrichtlinien können Sie den Client schnell auf allen Arbeitsplätzen installieren.

Übrigens ist die NTLM-Autorisierung bei weitem nicht die einzige Möglichkeit, Unternehmensmitarbeitern die Arbeit im Internet zu ermöglichen. Wenn eine Organisation beispielsweise eine strikte Bindung von Mitarbeitern an Workstations praktiziert, kann eine IP-Adresse, eine MAC-Adresse oder eine Kombination aus beiden zur Identifizierung von Benutzern verwendet werden. Mit denselben Methoden können Sie den Zugriff auf ein globales Netzwerk verschiedener Server organisieren.

Nutzerkontrolle

Einer der wesentlichen Vorteile von UGPF sind seine umfangreichen Benutzerkontrollfunktionen. Sie werden mithilfe eines Systems von Verkehrskontrollregeln umgesetzt. Das Funktionsprinzip ist sehr einfach. Der Administrator (oder eine andere verantwortliche Person) erstellt eine Reihe von Regeln, die jeweils eine oder mehrere Auslösebedingungen und die Aktion darstellen, die bei ihrem Eintreten ausgeführt wird. Diese Regeln werden einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen und ermöglichen Ihnen, deren Arbeit im Internet automatisch zu steuern. Insgesamt wurden vier umgesetzt mögliche Aktionen. Die erste besteht darin, die Verbindung zu schließen. Es ermöglicht beispielsweise, das Herunterladen bestimmter Dateien zu blockieren, den Besuch unerwünschter Websites zu verhindern usw. Die zweite Maßnahme besteht darin, den Tarif zu ändern. Es wird im Tarifsystem verwendet, das in das betrachtete Produkt integriert ist (wir berücksichtigen es nicht, weil z Unternehmensnetzwerke es ist nicht besonders relevant). Mit der folgenden Aktion können Sie die Zählung des über diese Verbindung empfangenen Datenverkehrs deaktivieren. In diesem Fall werden die übermittelten Informationen bei der Berechnung des Tages-, Wochen- und Monatsverbrauchs nicht berücksichtigt. Und schließlich besteht die letzte Aktion darin, die Geschwindigkeit auf den angegebenen Wert zu begrenzen. Es ist sehr praktisch, um ein Verstopfen des Kanals beim Herunterladen großer Dateien und bei der Lösung anderer ähnlicher Probleme zu verhindern.

In den Verkehrskontrollregeln gibt es noch viele weitere Bedingungen – etwa zehn. Einige davon sind relativ einfach, beispielsweise die maximale Dateigröße. Diese Regel wird ausgelöst, wenn Benutzer versuchen, eine Datei herunterzuladen, die größer als die angegebene Größe ist. Andere Bedingungen sind zeitbasiert. Darunter können wir insbesondere den Zeitplan (ausgelöst durch Uhrzeit und Wochentage) und Feiertage (ausgelöst an bestimmten Tagen) notieren.

Von größtem Interesse sind jedoch die mit den Websites und Inhalten verbundenen Geschäftsbedingungen. Sie können insbesondere zum Blockieren oder Festlegen anderer Aktionen für bestimmte Arten von Inhalten (z. B. Video, Audio, ausführbare Dateien, Text, Bilder usw.), bestimmte Webprojekte oder deren gesamte Kategorien (Entensys URL-Filtertechnologie) verwendet werden (siehe Kasten).

Bemerkenswert ist, dass eine Regel mehrere Bedingungen gleichzeitig enthalten kann. In diesem Fall kann der Administrator festlegen, in welchem ​​Fall es ausgeführt wird – wenn alle Bedingungen oder eine davon erfüllt sind. Dadurch können Sie eine sehr flexible Richtlinie für die Nutzung des Internets durch Unternehmensmitarbeiter erstellen und dabei eine Vielzahl unterschiedlicher Nuancen berücksichtigen.

Einrichten einer Firewall

Ein integraler Bestandteil des UserGate NAT-Treibers ist eine Firewall; sie hilft bei der Lösung verschiedener Probleme im Zusammenhang mit der Verarbeitung des Netzwerkverkehrs. Für die Konfiguration werden spezielle Regeln verwendet, die einer von drei Typen sein können: Netzwerkadressübersetzung, Routing und Firewall. Es kann eine beliebige Anzahl von Regeln im System geben. In diesem Fall werden sie in der Reihenfolge angewendet, in der sie aufgeführt sind allgemeine Liste. Wenn also eingehender Datenverkehr mehreren Regeln entspricht, wird er von der Regel verarbeitet, die über den anderen liegt.

Jede Regel ist durch drei Hauptparameter gekennzeichnet. Die erste ist die Verkehrsquelle. Dabei kann es sich um einen oder mehrere bestimmte Hosts, die WAN- oder LAN-Schnittstelle des Internet-Gateways handeln. Der zweite Parameter ist der Zweck der Informationen. Hier kann die LAN- oder WAN-Schnittstelle bzw. DFÜ-Verbindung angegeben werden. Das letzte Hauptmerkmal einer Regel ist der oder die Dienste, für die sie gilt. In UserGate Proxy & Firewall versteht man unter einem Dienst ein Paar aus einer Protokollfamilie (TCP, UDP, ICMP, beliebiges Protokoll) und einem Netzwerkport (oder einer Reihe von Netzwerkports). Standardmäßig verfügt das System bereits über eine beeindruckende Reihe vorinstallierter Dienste, die von allgemeinen (HTTP, HTTPs, DNS, ICQ) bis hin zu spezifischen (WebMoney, RAdmin, verschiedene Online-Spiele usw.) reichen. Bei Bedarf kann der Administrator jedoch eigene Dienste erstellen, beispielsweise solche, die den Umgang mit Online-Banking beschreiben.

Jede Regel verfügt außerdem über eine Aktion, die sie mit Datenverkehr ausführt, der den Bedingungen entspricht. Es gibt nur zwei davon: erlauben oder verbieten. Im ersten Fall fließt der Verkehr ungehindert entlang der vorgegebenen Route, im zweiten Fall ist er blockiert.

Regeln für die Übersetzung von Netzwerkadressen nutzen die NAT-Technologie. Mit ihrer Hilfe können Sie den Internetzugang für Arbeitsplätze mit lokalen Adressen konfigurieren. Dazu müssen Sie eine Regel erstellen, in der Sie die LAN-Schnittstelle als Quelle und die WAN-Schnittstelle als Ziel angeben. Routing-Regeln werden angewendet, wenn die betreffende Lösung als Router zwischen zwei lokalen Netzwerken verwendet wird (sie implementiert diese Funktion). In diesem Fall kann das Routing so konfiguriert werden, dass der Datenverkehr bidirektional und transparent übertragen wird.

Firewallregeln werden verwendet, um Datenverkehr zu verarbeiten, der nicht zum Proxyserver, sondern direkt zum Internet-Gateway geht. Unmittelbar nach der Installation verfügt das System über eine solche Regel, die alle Netzwerkpakete zulässt. Wenn das zu erstellende Internet-Gateway nicht als Workstation verwendet wird, kann die Aktion der Regel grundsätzlich von „Zulassen“ auf „Verweigern“ geändert werden. In diesem Fall wird jede Netzwerkaktivität auf dem Computer blockiert, mit Ausnahme der Transit-NAT-Pakete, die vom lokalen Netzwerk ins Internet und zurück übertragen werden.

Mit Firewall-Regeln können Sie beliebige lokale Dienste im globalen Netzwerk veröffentlichen: Webserver, FTP-Server, Mailserver usw. Gleichzeitig haben Remote-Benutzer die Möglichkeit, sich über das Internet mit ihnen zu verbinden. Betrachten Sie als Beispiel die Veröffentlichung eines Unternehmens-FTP-Servers. Dazu muss der Administrator eine Regel erstellen, in der er als Quelle „Beliebig“ auswählt, als Ziel die gewünschte WAN-Schnittstelle und als Dienst FTP angibt. Wählen Sie anschließend die Aktion „Zulassen“, aktivieren Sie die Verkehrsübertragung und geben Sie im Feld „Zieladresse“ die IP-Adresse des lokalen FTP-Servers und seinen Netzwerkport an.

Nach dieser Konfiguration werden alle Verbindungen zu den Internet-Gateway-Netzwerkkarten über Port 21 automatisch auf den FTP-Server umgeleitet. Übrigens können Sie während des Einrichtungsvorgangs nicht nur den „nativen“, sondern auch jeden anderen Dienst auswählen (oder einen eigenen erstellen). In diesem Fall müssen externe Benutzer einen anderen Port als 21 kontaktieren. Dieser Ansatz ist in Fällen sehr praktisch, in denen Informationssystem Es gibt zwei oder mehr Dienste desselben Typs. Sie können beispielsweise den externen Zugriff auf organisieren Unternehmensportalüber Standard-HTTP-Port 80 und Zugriff auf UserGate-Webstatistiken über Port 81.

Der externe Zugriff auf den internen Mailserver wird auf ähnliche Weise konfiguriert.

Ein wichtiges Unterscheidungsmerkmal der implementierten Firewall ist das Intrusion-Prevention-System. Es arbeitet im vollautomatischen Modus, erkennt unbefugte Versuche anhand von Signaturen und heuristischen Methoden und neutralisiert sie, indem es unerwünschte Verkehrsströme blockiert oder gefährliche Verbindungen zurücksetzt.

Fassen wir es zusammen

In diesem Testbericht haben wir uns eingehend mit der Organisation des gemeinsamen Zugriffs von Unternehmensmitarbeitern auf das Internet befasst. IN moderne Verhältnisse Dies ist nicht der einfachste Vorgang, da Sie viele verschiedene Nuancen berücksichtigen müssen. Darüber hinaus sind sowohl technische als auch organisatorische Aspekte wichtig, insbesondere die Kontrolle der Benutzeraktionen.

Nach der Verbindung des lokalen Netzwerks mit dem Internet ist es sinnvoll, ein Verkehrsabrechnungssystem einzurichten und das Usergate-Programm hilft uns dabei. Usergate ist ein Proxyserver und ermöglicht die Steuerung des Zugriffs von Computern aus dem lokalen Netzwerk auf das Internet.

Aber erinnern wir uns zunächst daran, wie wir zuvor im Videokurs „Erstellen und Einrichten eines lokalen Netzwerks zwischen Windows 7 und WindowsXP“ das Netzwerk eingerichtet und allen Computern über einen Kommunikationskanal Zugang zum Internet ermöglicht haben. Es lässt sich schematisch in folgender Form darstellen: Es gibt vier Computer, die wir zu einem Peer-to-Peer-Netzwerk verbunden haben, wir haben die Workstation-4-7-Workstation mit dem Betriebssystem Windows 7 als Gateway gewählt, d.h. schloss eine zusätzliche Netzwerkkarte mit Internetzugang an und erlaubte anderen Computern im Netzwerk, über diese Netzwerkverbindung auf das Internet zuzugreifen. Die restlichen drei Maschinen sind Internet-Clients und auf ihnen wurde die IP-Adresse des Computers, der das Internet verteilt, als Gateway und DNS angegeben. Schauen wir uns nun die Frage der Kontrolle des Zugangs zum Internet an.

Die Installation von UserGate unterscheidet sich nicht von der Installation eines normalen Programms; nach der Installation fordert das System zum Neustart auf, also starten wir neu. Versuchen wir nach dem Neustart zunächst, von dem Computer, auf dem UserGate installiert ist, auf das Internet zuzugreifen. Der Zugriff ist möglich, jedoch nicht von anderen Computern aus. Daher hat der Proxyserver seine Arbeit aufgenommen und verbietet standardmäßig allen dies Zugriff auf das Internet, daher müssen Sie es konfigurieren.

Starten Sie die Administratorkonsole ( Start\Programme\UserGate\Admin-Konsole) und hier erscheint die Konsole selbst und eine Registerkarte öffnet sich Verbindungen. Wenn wir versuchen, eine der Registerkarten von links zu öffnen, wird eine Meldung angezeigt (die UserGate-Administratorkonsole ist nicht mit dem UserGate-Server verbunden). Wenn wir also starten, wird die Registerkarte „Verbindungen“ geöffnet, sodass wir zunächst eine Verbindung zum UserGate-Server herstellen können.

Daher ist der Servername standardmäßig lokal; Benutzer – Administrator; Server – localhost, d.h. der Serverteil befindet sich auf diesem Computer; Hafen – 2345.

Doppelklicken Sie auf diesen Eintrag und stellen Sie eine Verbindung zum UserGate-Dienst her. Wenn die Verbindung fehlschlägt, prüfen Sie, ob der Dienst ausgeführt wird ( Strg+ Alt+ Esc\Dienstleistungen\UserGate)

Beim ersten Verbinden startet es Setup-AssistentUserGate, klicken Nein, da wir alles manuell konfigurieren werden, um klarer zu machen, was und wo gesucht werden muss. Und gehen Sie zunächst zur Registerkarte ServerUserGate\ Schnittstellen, hier geben wir an, welche Netzwerkkarte eine Verbindung zum Internet herstellt ( 192.168.137.2 - WAN), und welches zum lokalen Netzwerk ( 192.168.0.4 - LAN).

Weiter Benutzer und Gruppen\Benutzer, hier gibt es nur einen Benutzer, das ist die Maschine selbst, auf der der UserGate-Server läuft und sie heißt Default, d.h. Default. Fügen wir alle Benutzer hinzu, die online gehen werden. Ich habe drei davon:

Arbeitsplatz-1-xp – 192.168.0.1

Arbeitsplatz-2-xp – 192.168.0.2

Arbeitsplatz-3-7 – 192.168.0.3

Wir belassen den Gruppen- und Tarifplan als Standard, ich werde die Autorisierungsart über IP-Adresse verwenden, da ich diese manuell registrieren lasse und unverändert bleibe.

Lassen Sie uns nun den Proxy selbst konfigurieren. Gehen Sie zu Dienste\Proxy-Einstellungen\HTTP, hier wählen wir die IP-Adresse aus, die wir als Gateway auf Client-Rechnern angegeben haben, ich habe diese 192.168.0.4 , und auch ein Häkchen setzen Transparenter Modus Um die Proxy-Server-Adresse nicht manuell in Browsern einzugeben, prüft der Browser in diesem Fall, welches Gateway in den Netzwerkverbindungseinstellungen angegeben ist, und leitet Anfragen dorthin um.

Notiz: Dieser Artikel wurde bearbeitet und mit aktuellen Daten und zusätzlichen Links aktualisiert.

UserGate-Proxy und Firewall ist ein Internet-Gateway der UTM-Klasse (Unified Threat Management), das Ihnen die Bereitstellung und Kontrolle ermöglicht allgemeiner Zugang Mitarbeiter auf Internetressourcen zugreifen, bösartige, gefährliche und unerwünschte Websites filtern, das Unternehmensnetzwerk vor Eindringlingen und Angriffen von außen schützen, virtuelle Netzwerke erstellen und sicheren VPN-Zugriff auf Netzwerkressourcen von außen organisieren sowie Kanalbreite und Internetanwendungen verwalten.

Das Produkt ist eine effektive Alternative zu teurer Software und Hardware und ist für den Einsatz in kleinen und mittleren Unternehmen bestimmt Regierungseinrichtungen sowie große Organisationen mit Filialstruktur.

Alle weiteren Informationen zum Produkt finden Sie hier.

Das Programm verfügt über zusätzliche kostenpflichtige Module:

• Kaspersky Antivirus
• Panda Antivirus
• Avira Antivirus
• Entensys URL-Filterung

Die Lizenz für jedes Modul wird für ein Kalenderjahr bereitgestellt. Sie können die Funktion aller Module in einem Testschlüssel testen, der für einen Zeitraum von 1 bis 3 Monaten für eine unbegrenzte Anzahl von Benutzern bereitgestellt werden kann.

Die Lizenzbestimmungen können Sie im Detail nachlesen.

Bei allen Fragen zum Kauf von Entensys-Lösungen wenden Sie sich bitte an: sal [email protected] oder indem Sie die gebührenfreie Nummer 8-800-500-4032 anrufen.

System Anforderungen

Um ein Gateway zu organisieren, benötigen Sie einen Computer oder Server, der die folgenden Systemanforderungen erfüllen muss:

• CPU-Frequenz: ab 1,2 GHz
• RAM-Kapazität: ab 1024 GB
• Festplattenkapazität: ab 80 GB
• Anzahl der Netzwerkadapter: 2 oder mehr

Je größer die Anzahl der Benutzer (im Verhältnis zu 75 Benutzern), desto besser sollten die Servereigenschaften sein.

Wir empfehlen die Installation unseres Produkts auf einem Computer mit einem „sauberen“ Server-Betriebssystem; das empfohlene Betriebssystem ist Windows 2008/2012.
Wir übernehmen keine Garantie für den korrekten Betrieb von UserGate Proxy&Firewall und/oder die Zusammenarbeit mit Drittanbieterdiensten und Wir empfehlen, es nicht zusammen zu verwenden mit Diensten auf dem Gateway, das die folgenden Rollen ausführt:

• Ist Domänencontroller
• Ist ein Hypervisor für virtuelle Maschinen
• Ist Terminal-Server
• Fungiert als Hochlast-DBMS/DNS/HTTP-Server usw.
• Fungiert als SIP-Server
• Führt geschäftskritische Dienste oder Dienstleistungen durch
• Alle oben genannten

UserGate Proxy&Firewall kann derzeit mit den folgenden Softwaretypen in Konflikt geraten:

• Alles ohne Ausnahme dritte Seite Firewall/Firewall-Lösungen
• BitDefender-Antivirenprodukte
• Antivirenmodule, die die Firewall- oder Anti-Hacker-Funktion der meisten Antivirenprodukte ausführen. Es wird empfohlen, diese Module zu deaktivieren
• Antivirenmodule, die über die Protokolle HTTP/SMTP/POP3 übertragene Daten scannen; dies kann zu Verzögerungen führen, wenn aktiv über einen Proxy gearbeitet wird
• Dritte Seite Softwareprodukte, die in der Lage sind, Daten von Netzwerkadaptern abzufangen – „Geschwindigkeitsmesser“, „Shaper“ usw.
• Aktive Windows Server-Rolle „Routing und Remote Access“ im NAT/Internet Connection Sharing (ICS)-Modus

Aufmerksamkeit! Während der Installation wird empfohlen, die IPv6-Protokollunterstützung auf dem Gateway zu deaktivieren, sofern keine Anwendungen verwendet werden, die IPv6 verwenden. Die aktuelle Implementierung von UserGate Proxy&Firewall unterstützt das IPv6-Protokoll nicht und dementsprechend wird keine Filterung dieses Protokolls durchgeführt. Somit ist der Host auch bei aktivierten prohibitiven Firewall-Regeln von außen über das IPv6-Protokoll erreichbar.

Bei korrekter Konfiguration ist UserGate Proxy&Firewall mit den folgenden Diensten kompatibel:

Microsoft Windows Server-Rollen:

• DNS Server
• DHCP-Server
• Druck Server
• Dateiserver (SMB).
• Anwendungsserver
• WSUS-Server
• WEB-Server
• WINS-Server
• VPN-Server

Und mit Produkten von Drittanbietern:

• FTP/SFTP-Server
• Nachrichtenserver – IRC/XMPP

Stellen Sie bei der Installation von UserGate Proxy&Firewall sicher, dass Software von Drittanbietern nicht den oder die Ports verwendet, die UserGate Proxy&Firewall verwenden kann. Standardmäßig verwendet UserGate die folgenden Ports:

• 25 – SMTP-Proxy
• 80 – transparenter HTTP-Proxy
• 110 – POP3-Proxy
• 2345 – UserGate-Administratorkonsole
• 5455 – UserGate VPN-Server
• 5456 – UserGate-Autorisierungsclient
• 5458 – DNS-Weiterleitung
• 8080 – HTTP-Proxy
• 8081 – UserGate-Webstatistiken

Alle Ports können über die UserGate-Administratorkonsole geändert werden.

Installieren des Programms und Auswählen einer Datenbank, mit der gearbeitet werden soll

UserGate Proxy- und Firewall-Setup-Assistent

Eine detailliertere Beschreibung zum Einrichten von NAT-Regeln finden Sie in diesem Artikel:

UserGate-Agent

Nach der Installation von UserGate Proxy&Firewall Notwendig Starten Sie das Gateway neu. Nach der Autorisierung im System sollte das UserGate-Agent-Symbol in der Windows-Taskleiste neben der Uhr grün werden. Wenn das Symbol grau ist, bedeutet dies, dass während des Installationsvorgangs ein Fehler aufgetreten ist und der UserGate Proxy&Firewall-Serverdienst nicht ausgeführt wird. Weitere Informationen finden Sie in diesem Fall im entsprechenden Abschnitt der Entensys-Wissensdatenbank oder unter technische Unterstützung Entensys-Unternehmen.

Die Konfiguration des Produkts erfolgt über die UserGate Proxy&Firewall-Verwaltungskonsole, die entweder durch Doppelklick auf das UserGate-Agentensymbol oder über die Verknüpfung im Startmenü aufgerufen werden kann.
Wenn Sie die Verwaltungskonsole starten, besteht der erste Schritt darin, Ihr Produkt zu registrieren.

Allgemeine Einstellungen

Legen Sie im Abschnitt „Allgemeine Einstellungen“ der Administratorkonsole das Kennwort für den Administratorbenutzer fest. Wichtig! Verwenden Sie keine Unicode-Sonderzeichen oder die Produkt-PIN als Passwort für den Zugriff auf die Administrationskonsole.

Das UserGate Proxy&Firewall-Produkt verfügt über Angriffsschutzmechanismus, können Sie es auch im Menü „Allgemeine Einstellungen“ aktivieren. Der Angriffsschutzmechanismus ist ein aktiver Mechanismus, eine Art „roter Knopf“, der auf allen Schnittstellen funktioniert. Es wird empfohlen, diese Funktion im Falle von DDoS-Angriffen oder Masseninfektionen von Computern im lokalen Netzwerk mit Malware (Viren/Würmer/Botnet-Anwendungen) zu verwenden. Der Angriffsschutzmechanismus kann Benutzer blockieren, die File-Sharing-Clients verwenden – Torrents, Direktverbindungen und einige Arten von VoIP-Clients/Servern, die aktiv Datenverkehr austauschen. Um die IP-Adressen blockierter Computer zu erhalten, öffnen Sie die Datei ProgramData\Entensys\Usergate6\logging\fw.log oder Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Entensys\Usergate6\logging\fw.log.

Aufmerksamkeit! Es wird empfohlen, die unten beschriebenen Parameter nur dann zu ändern, wenn große Mengen Kunden/hohe Anforderungen an Bandbreite Tor.

Dieser Abschnitt enthält auch die folgenden Einstellungen: „Maximale Anzahl von Verbindungen“ – die maximale Anzahl aller Verbindungen über NAT und über den UserGate Proxy&Firewall-Proxy.

„Maximale Anzahl an NAT-Verbindungen“ – die maximale Anzahl an Verbindungen, die UserGate Proxy&Firewall über den NAT-Treiber weiterleiten kann.

Wenn die Anzahl der Clients nicht mehr als 200–300 beträgt, wird nicht empfohlen, die Einstellungen „Maximale Anzahl Verbindungen“ und „Maximale Anzahl NAT-Verbindungen“ zu ändern. Das Erhöhen dieser Parameter kann zu einer erheblichen Belastung der Gateway-Hardware führen und wird nur empfohlen, wenn die Einstellungen für eine große Anzahl von Clients optimiert werden.

Schnittstellen

Aufmerksamkeit!Überprüfen Sie vorher unbedingt Ihre Netzwerkadaptereinstellungen in Windows! Die mit dem lokalen Netzwerk (LAN) verbundene Schnittstelle darf keine Gateway-Adresse enthalten! Es ist nicht notwendig, DNS-Server in den LAN-Adaptereinstellungen anzugeben; die IP-Adresse muss manuell zugewiesen werden; wir empfehlen, sie nicht über DHCP zu beziehen.

Die IP-Adresse des LAN-Adapters muss eine private IP-Adresse haben. Es ist akzeptabel, eine IP-Adresse aus den folgenden Bereichen zu verwenden:

10.0.0.0 - 10.255.255.255 (Präfix 10/8) 172.16.0.0 - 172.31.255.255 (Präfix 172.16/12) 192.168.0.0 - 192.168.255.255 (Präfix 192.168/16)

Die Verteilung privater Netzwerkadressen ist in beschrieben RFC 1918 .

Die Verwendung anderer Bereiche als Adressen für das lokale Netzwerk führt zu Fehlern im Betrieb von UserGate Proxy&Firewall.

Die mit dem Internet (WAN) verbundene Schnittstelle muss eine IP-Adresse, eine Netzwerkmaske, eine Gateway-Adresse und DNS-Serveradressen enthalten.
Es wird nicht empfohlen, in den WAN-Adaptereinstellungen mehr als drei DNS-Server zu verwenden, da dies zu Fehlern im Netzwerkbetrieb führen kann. Überprüfen Sie zunächst die Funktionalität jedes DNS-Servers mit dem Befehl nslookup in der cmd.exe-Konsole, Beispiel:

nslookup usergate.ru 8.8.8.8

Dabei ist 8.8.8.8 die DNS-Serveradresse. Die Antwort muss die IP-Adresse des angeforderten Servers enthalten. Erfolgt keine Antwort, ist der DNS-Server ungültig oder der DNS-Verkehr ist blockiert.

Es ist notwendig, die Art der Schnittstellen zu bestimmen. Die Schnittstelle mit einer IP-Adresse, die mit dem internen Netzwerk verbunden ist, muss vom Typ LAN sein; Schnittstelle, die mit dem Internet verbunden ist – WAN.

Wenn mehrere WAN-Schnittstellen vorhanden sind, müssen Sie die Haupt-WAN-Schnittstelle auswählen, über die der gesamte Datenverkehr fließen soll, indem Sie mit der rechten Maustaste darauf klicken und „Als primäre Verbindung festlegen“ auswählen. Wenn Sie planen, eine andere WAN-Schnittstelle als Backup-Kanal zu verwenden, empfehlen wir die Verwendung des „Setup-Assistenten“.

Aufmerksamkeit! Beim Einrichten einer Backup-Verbindung wird empfohlen, nicht den DNS-Hostnamen, sondern die IP-Adresse anzugeben, damit UserGate Proxy&Firewall diese regelmäßig mithilfe von ICMP-Anfragen (Ping) abfragt und die Backup-Verbindung aktiviert, wenn keine Antwort erfolgt. Stellen Sie sicher, dass die DNS-Server in den Netzwerk-Backup-Adaptereinstellungen in Windows funktionieren.

Benutzer und Gruppen

Damit sich der Client-Computer beim Gateway anmelden und Zugriff auf die UserGate Proxy&Firewall- und NAT-Dienste erhalten kann, müssen Benutzer hinzugefügt werden. Um diesen Vorgang zu vereinfachen, verwenden Sie die Scanfunktion „Lokales Netzwerk scannen“. UserGate Proxy&Firewall scannt selbstständig das lokale Netzwerk und stellt eine Liste von Hosts bereit, die der Benutzerliste hinzugefügt werden können. Als Nächstes können Sie Gruppen erstellen und Benutzer in diese aufnehmen.

Wenn Sie einen Domänencontroller bereitgestellt haben, können Sie die Synchronisierung von Gruppen mit Gruppen in Active Directory konfigurieren oder Benutzer aus Active Directory importieren, ohne ständige Synchronisierung mit Active Directory.

Wir erstellen eine Gruppe, die mit der oder den Gruppen aus AD synchronisiert wird, geben die erforderlichen Daten im Menü „Synchronisierung mit AD“ ein und starten den UserGate-Dienst mithilfe des UserGate-Agenten neu. Nach 300 Sek. Benutzer werden automatisch in die Gruppe importiert. Für diese Benutzer ist die Authentifizierungsmethode auf AD eingestellt.

Firewall

Für korrekte und sicheres Arbeiten Gateway erforderlich Notwendig Konfigurieren Sie die Firewall.

Der folgende Firewall-Betriebsalgorithmus wird empfohlen: Blockieren Sie den gesamten Datenverkehr und fügen Sie dann Zulassungsregeln in die erforderlichen Richtungen hinzu. Dazu muss die #NONUSER#-Regel auf den Modus „Verweigern“ gesetzt werden (dadurch wird jeglicher lokaler Verkehr auf dem Gateway verboten). Sorgfältig! Wenn Sie UserGate Proxy&Firewall remote konfigurieren, wird Ihre Verbindung zum Server getrennt. Dann müssen Sie Zulassungsregeln erstellen.

Wir lassen den gesamten lokalen Datenverkehr auf allen Ports vom Gateway zum lokalen Netzwerk und vom lokalen Netzwerk zum Gateway zu, indem wir Regeln mit den folgenden Parametern erstellen:

Quelle – „LAN“, Ziel – „Any“, Dienste – ANY:FULL, Aktion – „Zulassen“
Quelle – „Any“, Ziel – „LAN“, Dienste – ANY:FULL, Aktion – „Zulassen“

Dann erstellen wir eine Regel, die den Internetzugang für das Gateway öffnet:

Quelle – „WAN“; Ziel – „Beliebig“; Dienste - ANY:FULL; Aktion – „Zulassen“

Wenn Sie den Zugriff für eingehende Verbindungen auf allen Ports zum Gateway zulassen müssen, sieht die Regel wie folgt aus:

Quelle – „Beliebig“; Ziel – „WAN“; Dienste - ANY:FULL; Aktion – „Zulassen“

Und wenn Sie möchten, dass das Gateway eingehende Verbindungen beispielsweise nur über RDP (TCP:3389) akzeptiert und von außen angepingt werden kann, müssen Sie die folgende Regel erstellen:

Quelle – „Beliebig“; Ziel – „WAN“; Dienste – Beliebiges ICMP, RDP; Aktion – „Zulassen“

In allen anderen Fällen ist das Erstellen einer Regel für eingehende Verbindungen aus Sicherheitsgründen nicht erforderlich.

Um Client-Computern Zugriff auf das Internet zu gewähren, müssen Sie eine NAT-Regel (Network Address Translation) erstellen.

Quelle – „LAN“; Ziel – „WAN“; Dienste - ANY:FULL; Aktion – „Zulassen“; Wählen Sie Benutzer oder Gruppen aus, denen Sie Zugriff gewähren möchten.

Es ist möglich, Firewall-Regeln zu konfigurieren – um zu erlauben, was eindeutig verboten ist, und umgekehrt, um zu verbieten, was eindeutig erlaubt ist, abhängig davon, wie Sie die #NON_USER#-Regel konfigurieren und welche Unternehmensrichtlinien Sie haben. Alle Regeln haben Priorität – die Regeln gelten in der Reihenfolge von oben nach unten.

Es können Optionen für verschiedene Einstellungen und Beispiele für Firewall-Regeln angezeigt werden.

Andere Einstellungen

Als nächstes können Sie im Abschnitt Dienste – Proxy die erforderlichen Proxyserver aktivieren – HTTP, FTP, SMTP, POP3, SOCKS. Wählen Sie die erforderlichen Schnittstellen aus; die Aktivierung der Option „Auf allen Schnittstellen abhören“ ist möglicherweise nicht sicher, weil Der Proxy ist in diesem Fall sowohl auf LAN-Schnittstellen als auch auf externen Schnittstellen verfügbar. Der „transparente“ Proxy-Modus leitet den gesamten Datenverkehr auf dem ausgewählten Port an den Proxy-Port weiter; in diesem Fall ist es nicht erforderlich, auf Client-Computern einen Proxy anzugeben. Der Proxy bleibt auch auf dem Port verfügbar, der in den Einstellungen des Proxyservers selbst angegeben ist.

Wenn auf dem Server der transparente Proxy-Modus aktiviert ist (Dienste – Proxy-Einstellungen), reicht es aus, in den Netzwerkeinstellungen auf dem Client-Rechner den UserGate-Server als Haupt-Gateway anzugeben. Sie können auch den UserGate-Server als DNS-Server angeben; in diesem Fall muss dieser aktiviert sein.

Wenn der transparente Modus auf dem Server deaktiviert ist, müssen Sie die UserGate-Serveradresse und den entsprechenden Proxy-Port eingeben, der unter Dienste – Proxy-Einstellungen in den Browser-Verbindungseinstellungen angegeben ist. Hier sehen Sie ein Beispiel für die Einrichtung eines UserGate-Servers für einen solchen Fall.

Wenn Ihr Netzwerk über einen konfigurierten DNS-Server verfügt, können Sie diesen in den UserGate-DNS-Weiterleitungseinstellungen und den UserGate-WAN-Adaptereinstellungen angeben. In diesem Fall werden sowohl im NAT-Modus als auch im Proxy-Modus alle DNS-Anfragen an diesen Server weitergeleitet.