Notiz: Dieser Artikel wurde bearbeitet und mit aktuellen Daten und zusätzlichen Links aktualisiert.

UserGate-Proxy und Firewall ist ein Internet-Gateway der UTM-Klasse (Unified Threat Management), mit dem Sie den gemeinsamen Zugriff von Mitarbeitern auf Internetressourcen bereitstellen und steuern, bösartige, gefährliche und unerwünschte Websites filtern, das Unternehmensnetzwerk vor externen Eingriffen und Angriffen schützen, virtuelle Netzwerke erstellen und eine sichere Organisation organisieren können VPN greift von außen auf Netzwerkressourcen zu und verwaltet die Kanalbreite und Internetanwendungen.

Das Produkt ist eine effektive Alternative zu teurer Software und Hardware und ist für den Einsatz in kleinen und mittleren Unternehmen bestimmt Regierungseinrichtungen sowie große Organisationen mit Filialstruktur.

Alle Weitere Informationenüber das Produkt, das Sie finden können.

Das Programm verfügt über zusätzliche kostenpflichtige Module:

• Kaspersky Antivirus
• Panda Antivirus
• Avira Antivirus
• Entensys URL-Filterung

Die Lizenz für jedes Modul wird für ein Kalenderjahr bereitgestellt. Sie können die Funktion aller Module in einem Testschlüssel testen, der für einen Zeitraum von 1 bis 3 Monaten für eine unbegrenzte Anzahl von Benutzern bereitgestellt werden kann.

Die Lizenzbestimmungen können Sie im Detail nachlesen.

Bei allen Fragen zum Kauf von Entensys-Lösungen wenden Sie sich bitte an: sal [email protected] oder indem Sie die gebührenfreie Nummer anrufen: 8-800-500-4032.

System Anforderungen

Um ein Gateway zu organisieren, benötigen Sie einen Computer oder Server, der die folgenden Systemanforderungen erfüllen muss:

• CPU-Frequenz: ab 1,2 GHz
• RAM-Kapazität: ab 1024 GB
• Festplattenkapazität: ab 80 GB
• Anzahl der Netzwerkadapter: 2 oder mehr

Je größer die Anzahl der Benutzer (im Verhältnis zu 75 Benutzern), desto besser sollten die Servereigenschaften sein.

Wir empfehlen die Installation unseres Produkts auf einem Computer mit einem „sauberen“ Server-Betriebssystem; das empfohlene Betriebssystem ist Windows 2008/2012.
Wir übernehmen keine Garantie für den korrekten Betrieb von UserGate Proxy&Firewall und/oder die Zusammenarbeit mit Drittanbieterdiensten und Wir empfehlen, es nicht zusammen zu verwenden mit Diensten auf dem Gateway, das die folgenden Rollen ausführt:

• Ist Domänencontroller
• Ist ein Hypervisor für virtuelle Maschinen
• Ist Terminal-Server
• Fungiert als Hochlast-DBMS/DNS/HTTP-Server usw.
• Fungiert als SIP-Server
• Führt geschäftskritische Dienste oder Dienstleistungen durch
• Alle oben genannten

UserGate Proxy&Firewall kann derzeit mit den folgenden Softwaretypen in Konflikt geraten:

• Alles ohne Ausnahme dritte Seite Firewall/Firewall-Lösungen
• BitDefender-Antivirenprodukte
• Antivirenmodule, die die Firewall- oder Anti-Hacker-Funktion der meisten Antivirenprodukte ausführen. Es wird empfohlen, diese Module zu deaktivieren
• Antivirenmodule, die über die Protokolle HTTP/SMTP/POP3 übertragene Daten scannen; dies kann zu Verzögerungen führen, wenn aktiv über einen Proxy gearbeitet wird
• Dritte Seite Softwareprodukte, die in der Lage sind, Daten von Netzwerkadaptern abzufangen – „Geschwindigkeitsmesser“, „Shaper“ usw.
• Aktive Windows Server-Rolle „Routing und Remote Access“ im NAT/Internet Connection Sharing (ICS)-Modus

Aufmerksamkeit! Während der Installation wird empfohlen, die IPv6-Protokollunterstützung auf dem Gateway zu deaktivieren, sofern keine Anwendungen verwendet werden, die IPv6 verwenden. Die aktuelle Implementierung von UserGate Proxy&Firewall unterstützt das IPv6-Protokoll nicht und dementsprechend wird keine Filterung dieses Protokolls durchgeführt. Somit ist der Host auch bei aktivierten prohibitiven Firewall-Regeln von außen über das IPv6-Protokoll erreichbar.

Bei korrekter Konfiguration ist UserGate Proxy&Firewall mit den folgenden Diensten kompatibel:

Microsoft Windows Server-Rollen:

• DNS Server
• DHCP-Server
• Druck Server
• Dateiserver (SMB).
• Anwendungsserver
• WSUS-Server
• WEB-Server
• WINS-Server
• VPN-Server

Und mit Produkten von Drittanbietern:

• FTP/SFTP-Server
• Nachrichtenserver – IRC/XMPP

Stellen Sie bei der Installation von UserGate Proxy&Firewall sicher, dass Software von Drittanbietern nicht den oder die Ports verwendet, die UserGate Proxy&Firewall verwenden kann. Standardmäßig verwendet UserGate die folgenden Ports:

• 25 – SMTP-Proxy
• 80 – transparenter HTTP-Proxy
• 110 – POP3-Proxy
• 2345 – UserGate-Administratorkonsole
• 5455 – UserGate VPN-Server
• 5456 – UserGate-Autorisierungsclient
• 5458 – DNS-Weiterleitung
• 8080 – HTTP-Proxy
• 8081 – UserGate-Webstatistiken

Alle Ports können über die UserGate-Administratorkonsole geändert werden.

Installieren des Programms und Auswählen einer Datenbank, mit der gearbeitet werden soll

UserGate Proxy- und Firewall-Setup-Assistent

Eine detailliertere Beschreibung zum Einrichten von NAT-Regeln finden Sie in diesem Artikel:

UserGate-Agent

Nach der Installation von UserGate Proxy&Firewall Notwendig Starten Sie das Gateway neu. Nach der Autorisierung im System sollte das UserGate-Agent-Symbol in der Windows-Taskleiste neben der Uhr grün werden. Wenn das Symbol grau ist, bedeutet dies, dass während des Installationsvorgangs ein Fehler aufgetreten ist und der UserGate Proxy&Firewall-Serverdienst nicht ausgeführt wird. Weitere Informationen finden Sie in diesem Fall im entsprechenden Abschnitt der Entensys-Wissensdatenbank oder unter technische Unterstützung Entensys-Unternehmen.

Die Konfiguration des Produkts erfolgt über die UserGate Proxy&Firewall-Verwaltungskonsole, die entweder durch Doppelklick auf das UserGate-Agentensymbol oder über die Verknüpfung im Startmenü aufgerufen werden kann.
Wenn Sie die Verwaltungskonsole starten, besteht der erste Schritt darin, Ihr Produkt zu registrieren.

Allgemeine Einstellungen

Legen Sie im Abschnitt „Allgemeine Einstellungen“ der Administratorkonsole das Kennwort für den Administratorbenutzer fest. Wichtig! Verwenden Sie keine Unicode-Sonderzeichen oder die Produkt-PIN als Passwort für den Zugriff auf die Administrationskonsole.

Das UserGate Proxy&Firewall-Produkt verfügt über Angriffsschutzmechanismus, können Sie es auch im Menü „Allgemeine Einstellungen“ aktivieren. Der Angriffsschutzmechanismus ist ein aktiver Mechanismus, eine Art „roter Knopf“, der auf allen Schnittstellen funktioniert. Es wird empfohlen, diese Funktion im Falle von DDoS-Angriffen oder Masseninfektionen von Computern im lokalen Netzwerk mit Malware (Viren/Würmer/Botnet-Anwendungen) zu verwenden. Der Angriffsschutzmechanismus kann Benutzer blockieren, die File-Sharing-Clients verwenden – Torrents, Direktverbindungen und einige Arten von VoIP-Clients/Servern, die aktiv Datenverkehr austauschen. Um die IP-Adressen blockierter Computer zu erhalten, öffnen Sie die Datei ProgramData\Entensys\Usergate6\logging\fw.log oder Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Entensys\Usergate6\logging\fw.log.

Aufmerksamkeit! Es wird empfohlen, die unten beschriebenen Parameter nur bei einer großen Anzahl von Clients bzw. hohen Anforderungen zu ändern Bandbreite Tor.

Dieser Abschnitt enthält auch die folgenden Einstellungen: „Maximale Anzahl von Verbindungen“ – die maximale Anzahl aller Verbindungen über NAT und über den UserGate Proxy&Firewall-Proxy.

„Maximale Anzahl an NAT-Verbindungen“ – die maximale Anzahl an Verbindungen, die UserGate Proxy&Firewall über den NAT-Treiber weiterleiten kann.

Wenn die Anzahl der Clients nicht mehr als 200–300 beträgt, wird nicht empfohlen, die Einstellungen „Maximale Anzahl Verbindungen“ und „Maximale Anzahl NAT-Verbindungen“ zu ändern. Das Erhöhen dieser Parameter kann zu einer erheblichen Belastung der Gateway-Hardware führen und wird nur empfohlen, wenn die Einstellungen für eine große Anzahl von Clients optimiert werden.

Schnittstellen

Aufmerksamkeit!Überprüfen Sie vorher unbedingt Ihre Netzwerkadaptereinstellungen in Windows! Die mit dem lokalen Netzwerk (LAN) verbundene Schnittstelle darf keine Gateway-Adresse enthalten! Es ist nicht notwendig, DNS-Server in den LAN-Adaptereinstellungen anzugeben; die IP-Adresse muss manuell zugewiesen werden; wir empfehlen, sie nicht über DHCP zu beziehen.

Die IP-Adresse des LAN-Adapters muss eine private IP-Adresse haben. Es ist akzeptabel, eine IP-Adresse aus den folgenden Bereichen zu verwenden:

10.0.0.0 - 10.255.255.255 (Präfix 10/8) 172.16.0.0 - 172.31.255.255 (Präfix 172.16/12) 192.168.0.0 - 192.168.255.255 (Präfix 192.168/16)

Die Verteilung privater Netzwerkadressen ist in beschrieben RFC 1918 .

Die Verwendung anderer Bereiche als Adressen für das lokale Netzwerk führt zu Fehlern im Betrieb von UserGate Proxy&Firewall.

Die mit dem Internet (WAN) verbundene Schnittstelle muss eine IP-Adresse, eine Netzwerkmaske, eine Gateway-Adresse und DNS-Serveradressen enthalten.
Es wird nicht empfohlen, in den WAN-Adaptereinstellungen mehr als drei DNS-Server zu verwenden, da dies zu Fehlern im Netzwerkbetrieb führen kann. Überprüfen Sie zunächst die Funktionalität jedes DNS-Servers mit dem Befehl nslookup in der cmd.exe-Konsole, Beispiel:

nslookup usergate.ru 8.8.8.8

Dabei ist 8.8.8.8 die DNS-Serveradresse. Die Antwort muss die IP-Adresse des angeforderten Servers enthalten. Erfolgt keine Antwort, ist der DNS-Server ungültig oder der DNS-Verkehr ist blockiert.

Es ist notwendig, die Art der Schnittstellen zu bestimmen. Die Schnittstelle mit einer IP-Adresse, die mit dem internen Netzwerk verbunden ist, muss vom Typ LAN sein; Schnittstelle, die mit dem Internet verbunden ist – WAN.

Wenn mehrere WAN-Schnittstellen vorhanden sind, müssen Sie die Haupt-WAN-Schnittstelle auswählen, über die der gesamte Datenverkehr fließen soll, indem Sie mit der rechten Maustaste darauf klicken und „Als primäre Verbindung festlegen“ auswählen. Wenn Sie planen, eine andere WAN-Schnittstelle als Backup-Kanal zu verwenden, empfehlen wir die Verwendung des „Setup-Assistenten“.

Aufmerksamkeit! Beim Einrichten einer Backup-Verbindung wird empfohlen, nicht den DNS-Hostnamen, sondern die IP-Adresse anzugeben, damit UserGate Proxy&Firewall diese regelmäßig mithilfe von ICMP-Anfragen (Ping) abfragt und die Backup-Verbindung aktiviert, wenn keine Antwort erfolgt. Stellen Sie sicher, dass die DNS-Server in den Netzwerk-Backup-Adaptereinstellungen in Windows funktionieren.

Benutzer und Gruppen

Damit sich der Client-Computer beim Gateway anmelden und Zugriff auf die UserGate Proxy&Firewall- und NAT-Dienste erhalten kann, müssen Benutzer hinzugefügt werden. Um diesen Vorgang zu vereinfachen, verwenden Sie die Scanfunktion „Lokales Netzwerk scannen“. UserGate Proxy&Firewall scannt selbstständig das lokale Netzwerk und stellt eine Liste von Hosts bereit, die der Benutzerliste hinzugefügt werden können. Als Nächstes können Sie Gruppen erstellen und Benutzer in diese aufnehmen.

Wenn Sie einen Domänencontroller bereitgestellt haben, können Sie die Synchronisierung von Gruppen mit Gruppen in Active Directory konfigurieren oder Benutzer aus Active Directory importieren, ohne ständige Synchronisierung mit Active Directory.

Wir erstellen eine Gruppe, die mit der oder den Gruppen aus AD synchronisiert wird, geben die erforderlichen Daten im Menü „Synchronisierung mit AD“ ein und starten den UserGate-Dienst mithilfe des UserGate-Agenten neu. Nach 300 Sek. Benutzer werden automatisch in die Gruppe importiert. Für diese Benutzer ist die Authentifizierungsmethode auf AD eingestellt.

Firewall

Für korrekte und sicheres Arbeiten Gateway erforderlich Notwendig Konfigurieren Sie die Firewall.

Der folgende Firewall-Betriebsalgorithmus wird empfohlen: Blockieren Sie den gesamten Datenverkehr und fügen Sie dann Zulassungsregeln in die erforderlichen Richtungen hinzu. Dazu muss die #NONUSER#-Regel auf den Modus „Verweigern“ gesetzt werden (dadurch wird jeglicher lokaler Verkehr auf dem Gateway verboten). Sorgfältig! Wenn Sie UserGate Proxy&Firewall remote konfigurieren, wird Ihre Verbindung zum Server getrennt. Dann müssen Sie Zulassungsregeln erstellen.

Wir lassen den gesamten lokalen Datenverkehr auf allen Ports vom Gateway zum lokalen Netzwerk und vom lokalen Netzwerk zum Gateway zu, indem wir Regeln mit den folgenden Parametern erstellen:

Quelle – „LAN“, Ziel – „Any“, Dienste – ANY:FULL, Aktion – „Zulassen“
Quelle – „Any“, Ziel – „LAN“, Dienste – ANY:FULL, Aktion – „Zulassen“

Dann erstellen wir eine Regel, die den Internetzugang für das Gateway öffnet:

Quelle – „WAN“; Ziel – „Beliebig“; Dienste - ANY:FULL; Aktion – „Zulassen“

Wenn Sie den Zugriff für eingehende Verbindungen auf allen Ports zum Gateway zulassen müssen, sieht die Regel wie folgt aus:

Quelle – „Beliebig“; Ziel – „WAN“; Dienste - ANY:FULL; Aktion – „Zulassen“

Und wenn Sie möchten, dass das Gateway eingehende Verbindungen beispielsweise nur über RDP (TCP:3389) akzeptiert und von außen angepingt werden kann, müssen Sie die folgende Regel erstellen:

Quelle – „Beliebig“; Ziel – „WAN“; Dienste – Beliebiges ICMP, RDP; Aktion – „Zulassen“

In allen anderen Fällen ist das Erstellen einer Regel für eingehende Verbindungen aus Sicherheitsgründen nicht erforderlich.

Um Client-Computern Zugriff auf das Internet zu gewähren, müssen Sie eine NAT-Regel (Network Address Translation) erstellen.

Quelle – „LAN“; Ziel – „WAN“; Dienste - ANY:FULL; Aktion – „Zulassen“; Wählen Sie Benutzer oder Gruppen aus, denen Sie Zugriff gewähren möchten.

Es ist möglich, Firewall-Regeln zu konfigurieren – um zu erlauben, was ausdrücklich verboten ist, und umgekehrt, um zu verbieten, was eindeutig erlaubt ist, abhängig davon, wie Sie die #NON_USER#-Regel konfigurieren und wie Ihre Unternehmensrichtlinien lauten. Alle Regeln haben Priorität – die Regeln gelten in der Reihenfolge von oben nach unten.

Es können Optionen für verschiedene Einstellungen und Beispiele für Firewall-Regeln angezeigt werden.

Andere Einstellungen

Als nächstes können Sie im Abschnitt Dienste – Proxy die erforderlichen Proxyserver aktivieren – HTTP, FTP, SMTP, POP3, SOCKS. Wählen Sie die erforderlichen Schnittstellen aus; die Aktivierung der Option „Auf allen Schnittstellen abhören“ ist möglicherweise nicht sicher, weil Der Proxy ist in diesem Fall sowohl auf LAN-Schnittstellen als auch auf externen Schnittstellen verfügbar. Der „transparente“ Proxy-Modus leitet den gesamten Datenverkehr auf dem ausgewählten Port an den Proxy-Port weiter; in diesem Fall ist es nicht erforderlich, auf Client-Computern einen Proxy anzugeben. Der Proxy bleibt auch auf dem Port verfügbar, der in den Einstellungen des Proxyservers selbst angegeben ist.

Wenn auf dem Server der transparente Proxy-Modus aktiviert ist (Dienste – Proxy-Einstellungen), reicht es aus, in den Netzwerkeinstellungen auf dem Client-Rechner den UserGate-Server als Haupt-Gateway anzugeben. Sie können auch den UserGate-Server als DNS-Server angeben; in diesem Fall muss dieser aktiviert sein.

Wenn der transparente Modus auf dem Server deaktiviert ist, müssen Sie die UserGate-Serveradresse und den entsprechenden Proxy-Port eingeben, der unter Dienste – Proxy-Einstellungen in den Browser-Verbindungseinstellungen angegeben ist. Hier sehen Sie ein Beispiel für die Einrichtung eines UserGate-Servers für einen solchen Fall.

Wenn Ihr Netzwerk über einen konfigurierten DNS-Server verfügt, können Sie diesen in den UserGate-DNS-Weiterleitungseinstellungen und den UserGate-WAN-Adaptereinstellungen angeben. In diesem Fall werden sowohl im NAT-Modus als auch im Proxy-Modus alle DNS-Anfragen an diesen Server weitergeleitet.

Die Organisation des gemeinsamen Internetzugangs für lokale Netzwerkbenutzer ist eine der häufigsten Aufgaben, denen sich Systemadministratoren stellen müssen. Dennoch wirft es immer noch viele Schwierigkeiten und Fragen auf. Wie gewährleistet man beispielsweise maximale Sicherheit und vollständige Kontrollierbarkeit?

Einführung

Heute werden wir uns im Detail damit befassen, wie man den gemeinsamen Zugang zum Internet für Mitarbeiter eines bestimmten hypothetischen Unternehmens organisiert. Gehen wir davon aus, dass ihre Zahl zwischen 50 und 100 Personen liegt und alle üblichen Dienste für solche Informationssysteme im lokalen Netzwerk bereitgestellt werden: Windows-Domäne, eigener Mailserver, FTP-Server.

Um einen gemeinsamen Zugriff bereitzustellen, verwenden wir eine Lösung namens UserGate Proxy & Firewall. Es verfügt über mehrere Funktionen. Erstens handelt es sich im Gegensatz zu vielen lokalisierten Produkten um eine rein russische Entwicklung. Zweitens hat es eine mehr als zehnjährige Geschichte. Aber das Wichtigste ist die ständige Weiterentwicklung des Produkts.

Die ersten Versionen dieser Lösung waren relativ einfache Proxyserver, die nur eine einzige Internetverbindung gemeinsam nutzen und Statistiken über deren Nutzung führen konnten. Am weitesten verbreitet ist dabei Build 2.8, der auch heute noch in kleinen Büros anzutreffen ist. Die neueste, sechste Version wird von den Entwicklern selbst nicht mehr als Proxy-Server bezeichnet. Ihren Angaben zufolge handelt es sich um eine vollwertige UTM-Lösung, die eine ganze Reihe von Aufgaben rund um die Sicherheit und Kontrolle von Benutzeraktionen abdeckt. Mal sehen, ob das stimmt.

Bereitstellen von UserGate Proxy und Firewall

Bei der Installation sind zwei Schritte von Interesse (die restlichen Schritte sind Standard für die Installation jeglicher Software). Die erste davon ist die Auswahl der Komponenten. Zusätzlich zu den Basisdateien werden wir gebeten, vier weitere Serverkomponenten zu installieren – ein VPN, zwei Antivirenprogramme (Panda und Kaspersky Anti-Virus) und einen Cache-Browser.

Das VPN-Servermodul wird bei Bedarf installiert, also dann, wenn das Unternehmen den Fernzugriff für Mitarbeiter nutzen oder mehrere Remote-Netzwerke zusammenfassen möchte. Die Installation von Antivirenprogrammen ist nur dann sinnvoll, wenn die entsprechenden Lizenzen vom Unternehmen erworben wurden. Ihre Anwesenheit ermöglicht es Ihnen, den Internetverkehr zu scannen, Malware direkt am Gateway zu lokalisieren und zu blockieren. Mit dem Cache-Browser können Sie vom Proxyserver zwischengespeicherte Webseiten anzeigen.

Zusätzliche Funktionen

Verbot unerwünschter Websites

Die Lösung unterstützt die URL-Filtertechnologie von Entensys. Im Wesentlichen handelt es sich um eine cloudbasierte Datenbank mit mehr als 500 Millionen Websites in verschiedenen Sprachen, unterteilt in mehr als 70 Kategorien. Der Hauptunterschied besteht in der ständigen Überwachung, bei der Webprojekte ständig überwacht werden und bei Änderungen des Inhalts in eine andere Kategorie übertragen werden. Auf diese Weise können Sie alle unerwünschten Websites mit einem hohen Maß an Genauigkeit blockieren, indem Sie einfach bestimmte Kategorien auswählen.

Der Einsatz von Entensys URL Filtering erhöht die Sicherheit der Arbeit im Internet und trägt zudem dazu bei, die Effizienz der Mitarbeiter zu steigern (durch das Verbot). soziale Netzwerke, Unterhaltungsseiten und andere Dinge). Für die Nutzung ist jedoch ein kostenpflichtiges Abonnement erforderlich, das jedes Jahr erneuert werden muss.

Darüber hinaus enthält die Distribution zwei weitere Komponenten. Die erste ist die „Administratorkonsole“. Dabei handelt es sich um eine separate Anwendung, die, wie der Name schon sagt, für die Verwaltung des UserGate Proxy- und Firewall-Servers konzipiert ist. Sein Hauptmerkmal ist die Möglichkeit, eine Fernverbindung herzustellen. Somit benötigen Administratoren oder Verantwortliche für die Internetnutzung keinen direkten Zugriff auf das Internet-Gateway.

Die zweite zusätzliche Komponente sind Webstatistiken. Im Wesentlichen handelt es sich um einen Webserver, der die Anzeige detaillierter Nutzungsstatistiken ermöglicht globales Netzwerk Firmenangestellte. Einerseits ist dies zweifellos eine nützliche und praktische Komponente. Schließlich ermöglicht es Ihnen, Daten ohne Installation zusätzlicher Software zu empfangen, auch über das Internet. Andererseits beansprucht es jedoch unnötig Systemressourcen des Internet-Gateways. Daher ist es besser, es nur dann zu installieren, wenn es wirklich benötigt wird.

Der zweite Schritt, auf den Sie bei der Installation von UserGate Proxy & Firewall achten sollten, ist die Auswahl einer Datenbank. In früheren Versionen konnte UGPF nur mit MDB-Dateien funktionieren, was sich auf die Gesamtsystemleistung auswirkte. Jetzt besteht die Wahl zwischen zwei DBMS – Firebird und MySQL. Darüber hinaus ist das erste Teil im Lieferumfang enthalten, sodass bei der Auswahl keine zusätzlichen Manipulationen erforderlich sind. Wenn Sie MySQL verwenden möchten, müssen Sie es zunächst installieren und konfigurieren. Nachdem die Installation der Serverkomponenten abgeschlossen ist, müssen Arbeitsplätze für Administratoren und andere verantwortliche Mitarbeiter vorbereitet werden, die den Benutzerzugriff verwalten können. Es ist sehr einfach zu machen. Es reicht aus, die Administrationskonsole aus derselben Distribution auf ihren Arbeitscomputern zu installieren.

Zusätzliche Funktionen

Integrierter VPN-Server

Mit Version 6.0 wurde die VPN-Serverkomponente eingeführt. Mit seiner Hilfe können Sie einen sicheren Fernzugriff für Unternehmensmitarbeiter auf das lokale Netzwerk organisieren oder Remote-Netzwerke einzelner Niederlassungen der Organisation in einem einzigen Informationsraum zusammenfassen. Dieser VPN-Server verfügt über alle notwendigen Funktionen, um Server-zu-Server- und Client-zu-Server-Tunnel und Routing zwischen Subnetzen zu erstellen.

Grundeinstellung

Die gesamte Konfiguration von UserGate Proxy & Firewall erfolgt über die Verwaltungskonsole. Standardmäßig wird nach der Installation bereits eine Verbindung zum lokalen Server hergestellt. Wenn Sie es jedoch remote verwenden, müssen Sie die Verbindung manuell erstellen, indem Sie die IP-Adresse oder den Hostnamen des Internet-Gateways, den Netzwerkport (Standard 2345) und Autorisierungsparameter angeben.

Nachdem Sie eine Verbindung zum Server hergestellt haben, müssen Sie zunächst die Netzwerkschnittstellen konfigurieren. Dies kann auf der Registerkarte „Schnittstellen“ im Abschnitt „UserGate Server“ erfolgen. Die Netzwerkkarte, die in das lokale Netzwerk „schaut“, ist auf den Typ LAN eingestellt, alle anderen Verbindungen sind auf WAN eingestellt. „Temporären“ Verbindungen wie PPPoE, VPN wird automatisch der PPP-Typ zugewiesen.

Wenn ein Unternehmen über zwei oder mehr Verbindungen zum globalen Netzwerk verfügt, von denen eine die Hauptverbindung und der Rest Backup-Verbindungen sind, kann eine automatische Sicherung konfiguriert werden. Das geht ganz einfach. Es reicht aus, die erforderlichen Schnittstellen zur Liste der Reserveschnittstellen hinzuzufügen, eine oder mehrere Kontrollressourcen und die Zeit für deren Überprüfung anzugeben. Das Funktionsprinzip dieses Systems ist wie folgt. UserGate prüft automatisch in einem festgelegten Intervall die Verfügbarkeit von Kontrollstandorten. Sobald diese nicht mehr reagieren, schaltet das Produkt selbstständig und ohne Eingriff des Administrators auf den Backup-Kanal um. Gleichzeitig wird weiterhin die Verfügbarkeit von Steuerressourcen über die Hauptschnittstelle überprüft. Und sobald es gelingt, wird die Rückschaltung automatisch durchgeführt. Das Einzige, worauf Sie bei der Einrichtung achten müssen, ist die Wahl der Steuerungsressourcen. Besser ist es, mehrere große Standorte zu nehmen, deren stabiler Betrieb praktisch gewährleistet ist.

Zusätzliche Funktionen

Netzwerkanwendungskontrolle

UserGate Proxy & Firewall implementiert eine so interessante Funktion wie die Kontrolle von Netzwerkanwendungen. Ziel ist es, den Zugriff unbefugter Software auf das Internet zu verhindern. Im Rahmen der Steuerungseinstellungen werden Regeln erstellt, die den Netzwerkbetrieb verschiedener Programme (mit oder ohne Versionsberücksichtigung) erlauben oder blockieren. Sie können bestimmte IP-Adressen und Zielports angeben, wodurch Sie den Softwarezugriff flexibel konfigurieren und nur bestimmte Aktionen im Internet ausführen können.

Mithilfe der Anwendungskontrolle können Sie eine klare Unternehmensrichtlinie zur Verwendung von Programmen entwickeln und die Verbreitung von Malware teilweise verhindern.

Danach können Sie direkt mit der Einrichtung von Proxy-Servern fortfahren. Insgesamt implementiert die betrachtete Lösung sieben davon: für die Protokolle HTTP (einschließlich HTTPs), FTP, SOCKS, POP3, SMTP, SIP und H323. Das ist praktisch alles, was die Mitarbeiter eines Unternehmens für die Arbeit im Internet benötigen. Standardmäßig ist nur der HTTP-Proxy aktiviert, alle anderen können bei Bedarf aktiviert werden.

Proxyserver in UserGate Proxy & Firewall können in zwei Modi betrieben werden – normal und transparent. Im ersten Fall sprechen wir von einem traditionellen Proxy. Der Server empfängt Anfragen von Benutzern, leitet sie an externe Server weiter und übermittelt die empfangenen Antworten an Clients. Dies ist eine traditionelle Lösung, die jedoch ihre eigenen Nachteile mit sich bringt. Insbesondere ist es notwendig, jedes Programm, das für die Arbeit im Internet verwendet wird (Internetbrowser, E-Mail-Client, ICQ usw.), auf jedem Computer im lokalen Netzwerk zu konfigurieren. Das ist natürlich viel Arbeit. Darüber hinaus wird es regelmäßig wiederholt, wenn neue Software installiert wird.

Bei der Auswahl des transparenten Modus kommt ein spezieller NAT-Treiber zum Einsatz, der im Lieferumfang der jeweiligen Lösung enthalten ist. Es überwacht die entsprechenden Ports (80 für HTTP, 21 für FTP usw.), erkennt eingehende Anfragen und leitet sie an den Proxyserver weiter, von wo aus sie weitergesendet werden. Diese Lösung ist insofern erfolgreicher, als eine Softwarekonfiguration auf Client-Rechnern nicht mehr erforderlich ist. Es ist lediglich erforderlich, in der Netzwerkverbindung aller Arbeitsplätze die IP-Adresse des Internet-Gateways als Haupt-Gateway anzugeben.

Der nächste Schritt besteht darin, die DNS-Abfrageweiterleitung zu konfigurieren. Es gibt zwei Möglichkeiten, dies zu tun. Die einfachste davon besteht darin, die sogenannte DNS-Weiterleitung zu aktivieren. Bei der Verwendung werden DNS-Anfragen, die von Clients am Internet-Gateway ankommen, an die angegebenen Server umgeleitet (kann aus den Parametern als DNS-Server verwendet werden). Netzwerkverbindung, sowie beliebige beliebige DNS-Server).

Die zweite Möglichkeit besteht darin, eine NAT-Regel zu erstellen, die Anfragen auf Port 53 (Standard für DNS) empfängt und an das externe Netzwerk weiterleitet. In diesem Fall müssen Sie jedoch entweder manuell DNS-Server in den Netzwerkverbindungseinstellungen auf allen Computern registrieren oder das Senden von DNS-Anfragen über das Internet-Gateway vom Domänencontroller-Server konfigurieren.

Benutzerverwaltung

Nach Abschluss der Grundeinrichtung können Sie mit der Arbeit mit Benutzern fortfahren. Sie müssen zunächst Gruppen erstellen, in denen die Konten anschließend zusammengefasst werden. Wofür ist das? Erstens für die spätere Integration mit Active Directory. Und zweitens können Sie Gruppen Regeln zuweisen (wir werden später darüber sprechen) und so den Zugriff für eine große Anzahl von Benutzern gleichzeitig steuern.

Der nächste Schritt besteht darin, Benutzer zum System hinzuzufügen. Sie können dies auf drei verschiedene Arten tun. Aus offensichtlichen Gründen ziehen wir die erste davon, die manuelle Erstellung jedes Kontos, nicht einmal in Betracht. Diese Option eignet sich nur für kleine Netzwerke mit wenigen Benutzern. Die zweite Methode ist das Scannen Firmennetzwerk ARP-Anfragen, bei denen das System selbst die Liste der möglichen Konten ermittelt. Wir wählen jedoch die dritte Option, die im Hinblick auf Einfachheit und einfache Verwaltung am optimalsten ist – die Integration mit Active Directory. Es wird basierend auf zuvor erstellten Gruppen durchgeführt. Zuerst müssen Sie die allgemeinen Integrationsparameter ausfüllen: Geben Sie die Domäne, die Adresse ihres Controllers, den Benutzernamen und das Passwort mit den erforderlichen Zugriffsrechten dafür sowie das Synchronisierungsintervall an. Danach muss jeder in UserGate erstellten Gruppe eine oder mehrere Gruppen aus dem Active Directory zugewiesen werden. Tatsächlich endet das Setup hier. Nach dem Speichern aller Parameter erfolgt die Synchronisierung automatisch.

Bei der Autorisierung erstellte Benutzer verwenden standardmäßig die NTLM-Autorisierung, d. h. die Autorisierung durch Domänenanmeldung. Dies ist eine sehr praktische Option, da die Regeln und das Verkehrsabrechnungssystem unabhängig davon funktionieren, an welchem ​​Computer der Benutzer gerade sitzt.

Um diese Autorisierungsmethode nutzen zu können, benötigen Sie jedoch zusätzliche Software- Sonderkunde. Dieses Programm arbeitet auf Winsock-Ebene und überträgt Benutzerautorisierungsparameter an das Internet-Gateway. Die Distribution ist im UserGate Proxy & Firewall-Paket enthalten. Mithilfe von Windows-Gruppenrichtlinien können Sie den Client schnell auf allen Arbeitsplätzen installieren.

Übrigens ist die NTLM-Autorisierung bei weitem nicht die einzige Möglichkeit, Unternehmensmitarbeitern die Arbeit im Internet zu ermöglichen. Wenn eine Organisation beispielsweise eine strikte Bindung von Mitarbeitern an Workstations praktiziert, kann eine IP-Adresse, eine MAC-Adresse oder eine Kombination aus beiden zur Identifizierung von Benutzern verwendet werden. Mit denselben Methoden können Sie den Zugriff auf ein globales Netzwerk verschiedener Server organisieren.

Nutzerkontrolle

Einer der wesentlichen Vorteile von UGPF sind seine umfangreichen Benutzerkontrollfunktionen. Sie werden mithilfe eines Systems von Verkehrskontrollregeln umgesetzt. Das Funktionsprinzip ist sehr einfach. Der Administrator (oder eine andere verantwortliche Person) erstellt eine Reihe von Regeln, die jeweils eine oder mehrere Auslösebedingungen und die Aktion darstellen, die bei ihrem Eintreten ausgeführt wird. Diese Regeln werden einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen und ermöglichen Ihnen, deren Arbeit im Internet automatisch zu steuern. Insgesamt gibt es vier mögliche Aktionen. Die erste besteht darin, die Verbindung zu schließen. Es ermöglicht beispielsweise, das Herunterladen bestimmter Dateien zu blockieren, den Besuch unerwünschter Websites zu verhindern usw. Die zweite Maßnahme besteht darin, den Tarif zu ändern. Es wird im Tarifsystem verwendet, das in das betrachtete Produkt integriert ist (wir berücksichtigen es nicht, da es für Unternehmensnetzwerke nicht besonders relevant ist). Mit der folgenden Aktion können Sie die Zählung des über diese Verbindung empfangenen Datenverkehrs deaktivieren. In diesem Fall werden die übermittelten Informationen bei der Berechnung des Tages-, Wochen- und Monatsverbrauchs nicht berücksichtigt. Und schließlich besteht die letzte Aktion darin, die Geschwindigkeit auf den angegebenen Wert zu begrenzen. Es ist sehr praktisch, um ein Verstopfen des Kanals beim Herunterladen großer Dateien und bei der Lösung anderer ähnlicher Probleme zu verhindern.

In den Verkehrskontrollregeln gibt es noch viele weitere Bedingungen – etwa zehn. Einige davon sind relativ einfach, beispielsweise die maximale Dateigröße. Diese Regel wird ausgelöst, wenn Benutzer versuchen, eine Datei herunterzuladen, die größer als die angegebene Größe ist. Andere Bedingungen sind zeitbasiert. Darunter können wir insbesondere den Zeitplan (ausgelöst durch Uhrzeit und Wochentage) und Feiertage (ausgelöst an bestimmten Tagen) notieren.

Von größtem Interesse sind jedoch die mit den Websites und Inhalten verbundenen Geschäftsbedingungen. Insbesondere können sie verwendet werden, um bestimmte Arten von Inhalten (z. B. Video, Audio, ausführbare Dateien, Text, Bilder usw.), bestimmte Webprojekte oder deren gesamte Kategorien zu blockieren oder andere Aktionen festzulegen (Entensys URL-Filtertechnologie). (siehe Kasten).

Bemerkenswert ist, dass eine Regel mehrere Bedingungen gleichzeitig enthalten kann. In diesem Fall kann der Administrator festlegen, in welchem ​​Fall es ausgeführt wird – wenn alle Bedingungen oder eine davon erfüllt sind. Auf diese Weise können Sie unter Berücksichtigung dieser Anforderungen eine sehr flexible Richtlinie für die Nutzung des Internets durch Unternehmensmitarbeiter erstellen große Menge alle möglichen Nuancen.

Einrichten einer Firewall

Ein integraler Bestandteil des UserGate NAT-Treibers ist eine Firewall; sie hilft bei der Lösung verschiedener Probleme im Zusammenhang mit der Verarbeitung des Netzwerkverkehrs. Für die Konfiguration werden spezielle Regeln verwendet, die einer von drei Typen sein können: Netzwerkadressübersetzung, Routing und Firewall. Es kann eine beliebige Anzahl von Regeln im System geben. In diesem Fall werden sie in der Reihenfolge angewendet, in der sie aufgeführt sind allgemeine Liste. Wenn also eingehender Datenverkehr mehreren Regeln entspricht, wird er von der Regel verarbeitet, die über den anderen liegt.

Jede Regel ist durch drei Hauptparameter gekennzeichnet. Die erste ist die Verkehrsquelle. Dabei kann es sich um einen oder mehrere bestimmte Hosts, die WAN- oder LAN-Schnittstelle des Internet-Gateways handeln. Der zweite Parameter ist der Zweck der Informationen. Hier kann die LAN- oder WAN-Schnittstelle bzw. DFÜ-Verbindung angegeben werden. Das letzte Hauptmerkmal einer Regel ist der oder die Dienste, für die sie gilt. In UserGate Proxy & Firewall versteht man unter einem Dienst ein Paar aus einer Protokollfamilie (TCP, UDP, ICMP, beliebiges Protokoll) und einem Netzwerkport (oder einer Reihe von Netzwerkports). Standardmäßig verfügt das System bereits über eine beeindruckende Reihe vorinstallierter Dienste, die von allgemeinen (HTTP, HTTPs, DNS, ICQ) bis hin zu spezifischen (WebMoney, RAdmin, verschiedene Online-Spiele usw.) reichen. Bei Bedarf kann der Administrator jedoch eigene Dienste erstellen, beispielsweise solche, die den Umgang mit Online-Banking beschreiben.

Jede Regel verfügt außerdem über eine Aktion, die sie mit Datenverkehr ausführt, der den Bedingungen entspricht. Es gibt nur zwei davon: erlauben oder verbieten. Im ersten Fall fließt der Verkehr ungehindert entlang der vorgegebenen Route, im zweiten Fall ist er blockiert.

Regeln für die Übersetzung von Netzwerkadressen nutzen die NAT-Technologie. Mit ihrer Hilfe können Sie den Internetzugang für Arbeitsplätze mit lokalen Adressen konfigurieren. Dazu müssen Sie eine Regel erstellen, in der Sie die LAN-Schnittstelle als Quelle und die WAN-Schnittstelle als Ziel angeben. Routing-Regeln werden angewendet, wenn die betreffende Lösung als Router zwischen zwei lokalen Netzwerken verwendet wird (sie implementiert diese Funktion). In diesem Fall kann das Routing so konfiguriert werden, dass der Datenverkehr bidirektional und transparent übertragen wird.

Firewallregeln werden verwendet, um Datenverkehr zu verarbeiten, der nicht zum Proxyserver, sondern direkt zum Internet-Gateway geht. Unmittelbar nach der Installation verfügt das System über eine solche Regel, die alle Netzwerkpakete zulässt. Wenn das zu erstellende Internet-Gateway nicht als Workstation verwendet wird, kann die Aktion der Regel grundsätzlich von „Zulassen“ auf „Verweigern“ geändert werden. In diesem Fall wird jede Netzwerkaktivität auf dem Computer blockiert, mit Ausnahme der Transit-NAT-Pakete, die vom lokalen Netzwerk ins Internet und zurück übertragen werden.

Mit Firewall-Regeln können Sie beliebige lokale Dienste im globalen Netzwerk veröffentlichen: Webserver, FTP-Server, Mailserver usw. Gleichzeitig haben Remote-Benutzer die Möglichkeit, sich über das Internet mit ihnen zu verbinden. Betrachten Sie als Beispiel die Veröffentlichung eines Unternehmens-FTP-Servers. Dazu muss der Administrator eine Regel erstellen, in der er als Quelle „Beliebig“ auswählt, als Ziel die gewünschte WAN-Schnittstelle und als Dienst FTP angibt. Wählen Sie anschließend die Aktion „Zulassen“, aktivieren Sie die Verkehrsübertragung und geben Sie im Feld „Zieladresse“ die IP-Adresse des lokalen FTP-Servers und seinen Netzwerkport an.

Nach dieser Konfiguration werden alle Verbindungen zu den Internet-Gateway-Netzwerkkarten über Port 21 automatisch auf den FTP-Server umgeleitet. Übrigens können Sie während des Einrichtungsvorgangs nicht nur den „nativen“, sondern auch jeden anderen Dienst auswählen (oder einen eigenen erstellen). In diesem Fall müssen externe Benutzer einen anderen Port als 21 kontaktieren. Dieser Ansatz ist in Fällen sehr praktisch, in denen Informationssystem Es gibt zwei oder mehr Dienste desselben Typs. Sie können beispielsweise den externen Zugriff auf das Unternehmensportal über den Standard-HTTP-Port 80 und den Zugriff auf die UserGate-Webstatistiken über Port 81 organisieren.

Der externe Zugriff auf den internen Mailserver wird auf ähnliche Weise konfiguriert.

Ein wichtiges Unterscheidungsmerkmal der implementierten Firewall ist das Intrusion-Prevention-System. Es arbeitet im vollautomatischen Modus, erkennt unbefugte Versuche anhand von Signaturen und heuristischen Methoden und neutralisiert sie, indem es unerwünschte Verkehrsströme blockiert oder gefährliche Verbindungen zurücksetzt.

Fassen wir es zusammen

In diesem Testbericht haben wir uns eingehend mit der Organisation des gemeinsamen Zugriffs von Unternehmensmitarbeitern auf das Internet befasst. IN moderne Verhältnisse Dies ist nicht der einfachste Vorgang, da Sie viele verschiedene Nuancen berücksichtigen müssen. Darüber hinaus sind sowohl technische als auch organisatorische Aspekte wichtig, insbesondere die Kontrolle der Benutzeraktionen.

„UserGate Proxy & Firewall v.6 Administratorhandbuch Inhalt Einleitung Über das Programm Systemanforderungen Installation des UserGate Proxy & Firewall-Registrierungsupdates …“

-- [ Seite 1 ] --

UserGate Proxy & Firewall v.6

Administratorhandbuch

Einführung

Über das Programm

System Anforderungen

UserGate Proxy und Firewall installieren

Anmeldung

Aktualisieren und löschen

UserGate Proxy- und Firewall-Lizenzrichtlinie

Verwaltungskonsole

Verbindungen einrichten

Festlegen eines Verbindungspassworts

UserGate-Administratorauthentifizierung

Festlegen eines Passworts für den Zugriff auf die UserGate-Statistikdatenbank

Allgemeine NAT-Einstellungen (Network Address Translation).

Allgemeine Einstellungen

Schnittstellen einrichten

Traffic-Zählung in UserGate

Unterstützung für Backup-Kanäle

Benutzer und Gruppen

Synchronisierung mit Active Directory

Persönliche Benutzerstatistikseite

Unterstützung für Terminalbenutzer

Dienste in UserGate einrichten

DHCP-Setup

Proxy-Dienste in UserGate einrichten

Unterstützung für IP-Telefonieprotokolle (SIP, H323)

Unterstützung des SIP-Registrar-Modus

Unterstützung des H323-Protokolls

Mail-Proxys in UserGate

Verwendung des transparenten Modus

Kaskadierende Proxys

Portzuweisung

Cache-Setup

Antiviren-Scan

Scheduler in UserGate

DNS-Einstellungen

Einrichten eines VPN-Servers

Konfigurieren eines Intrusion Detection Systems (IDS)

Benachrichtigungen einrichten

Firewall in UserGate

Wie eine Firewall funktioniert

Registrierung von ME-Veranstaltungen

NAT-Regeln (Network Address Translation).

Zusammenarbeit mit mehreren Anbietern

Automatische Auswahl der ausgehenden Schnittstelle

www.usergate.ru

Veröffentlichen von Netzwerkressourcen

Filterregeln einrichten

Routing-Unterstützung

Geschwindigkeitsbegrenzung im UserGate

Anwendungssteuerung

Browser-Cache in UserGate

Verkehrsmanagement in UserGate

System der Verkehrskontrollregeln

Beschränken des Zugriffs auf Internetressourcen

Entensys URL-Filterung

Festlegen eines Traffic-Verbrauchslimits

Dateigrößenbeschränkung

Filtern nach Inhaltstyp

Rechnungssystem

Tarifierung für den Internetzugang

Periodische Ereignisse

Dynamischer Tarifwechsel

Remote-Administration von UserGate

Einrichten einer Remote-Verbindung

Remote-Neustart des UserGate-Servers

Überprüfung der Verfügbarkeit einer neuen Version

UserGate-Webstatistiken

Bewertung der Wirksamkeit von Verkehrskontrollregeln

Beurteilung der Wirksamkeit des Antivirenprogramms

SIP-Nutzungsstatistiken

Anwendung

UserGate-Integritätskontrolle

Überprüfung auf korrekten Start

Ausgabe von Debugging-Informationen

Technische Unterstützung erhalten

www.usergate.ru

Einleitung Ein Proxyserver ist eine Reihe von Programmen, die als Vermittler (vom englischen „proxy“ – „Vermittler“) zwischen Benutzerarbeitsplätzen und anderen Netzwerkdiensten fungieren.

Die Lösung übermittelt alle Benutzeranfragen an das Internet und sendet diese bei Erhalt einer Antwort zurück. Mit einer Caching-Funktion merkt sich der Proxy-Server Workstation-Anfragen an externe Ressourcen und gibt bei wiederholter Anfrage die Ressource aus seinem eigenen Speicher zurück, was die Anfragezeit deutlich verkürzt.

In manchen Fällen kann eine Client-Anfrage oder Server-Antwort von einem Proxy-Server geändert oder blockiert werden, um bestimmte Aufgaben auszuführen, beispielsweise um zu verhindern, dass Viren Arbeitsstationen infizieren.

Über das Programm UserGate Proxy & Firewall ist eine umfassende Lösung für die Verbindung von Benutzern mit dem Internet und bietet vollständige Verkehrsabrechnung, Zugriffskontrolle und integrierten Netzwerkschutz.

Mit UserGate können Sie den Benutzerzugriff auf das Internet sowohl nach Datenverkehr als auch nach im Netzwerk verbrachter Zeit abrechnen. Der Administrator kann verschiedene Tarifpläne hinzufügen, Tarife dynamisch wechseln, die Auszahlung/Ansammlung von Geldern automatisieren und den Zugriff auf Internetressourcen regulieren. Mit der integrierten Firewall und dem Antivirenmodul können Sie den UserGate-Server schützen und den durch ihn fließenden Datenverkehr auf das Vorhandensein von Schadcode scannen. Sie können den integrierten VPN-Server und -Client verwenden, um eine sichere Verbindung zum Netzwerk Ihres Unternehmens herzustellen.

UserGate besteht aus mehreren Teilen: einem Server, einer Administrationskonsole (UserGateAdministrator) und mehreren Zusatzmodulen. Der UserGate-Server (Prozess usergate.exe) ist der Hauptteil des Proxyservers, der alle seine Funktionen implementiert.

Der UserGate-Server bietet Zugriff auf das Internet, zählt den Datenverkehr, führt Statistiken über Benutzeraktivitäten im Netzwerk und führt viele andere Aufgaben aus.

Die UserGate-Verwaltungskonsole ist ein Programm zur Verwaltung des UserGate-Servers. Die UserGate-Verwaltungskonsole kommuniziert mit dem Serverteil über ein spezielles sicheres Protokoll über TCP/IP, das Ihnen die Remote-Serververwaltung ermöglicht.

UserGate enthält drei zusätzliche Module: „Web Statistics“, „Authorization Client“ und das Modul „Application Control“.

www.entensys.ru

Systemanforderungen Es wird empfohlen, UserGate Server auf einem Computer mit dem Betriebssystem Windows XP/2003/7/8/2008/2008R2/2012 zu installieren, der über ein Modem oder eine andere Verbindung mit dem Internet verbunden ist. Anforderungen an die Serverhardware:

–  –  –

Installation von UserGate Proxy und Firewall Der UserGate-Installationsvorgang besteht darin, die Installationsdatei auszuführen und die Optionen des Installationsassistenten auszuwählen. Bei der Erstinstallation der Lösung genügt es, die Standardoptionen beizubehalten. Sobald die Installation abgeschlossen ist, müssen Sie Ihren Computer neu starten.

Registrierung Um das Programm zu registrieren, müssen Sie den UserGate-Server starten, die Administrationskonsole mit dem Server verbinden und den Menüpunkt „Hilfe“ – „Produkt registrieren“ auswählen. Wenn Sie zum ersten Mal eine Verbindung zur Verwaltungskonsole herstellen, wird ein Registrierungsdialog mit zwei verfügbaren Optionen angezeigt: „Anfordern eines Demoschlüssels“ und „Anfordern eines Schlüssels mit vollem Funktionsumfang“. Die Schlüsselanforderung erfolgt online (HTTPS-Protokoll) durch Zugriff auf die Website usergate.ru.

Wenn Sie einen Vollfunktionsschlüssel anfordern, müssen Sie einen speziellen PIN-Code eingeben, der beim Kauf von UserGate Proxy & Firewall oder vom Support-Service zum Testen ausgegeben wird. Darüber hinaus müssen Sie bei der Registrierung eine zusätzliche Eingabe machen Persönliche Angaben(Benutzername, Adresse Email, Land, Region). Persönliche Daten werden ausschließlich zur Bindung der Lizenz an den Nutzer verwendet und in keiner Weise weitergegeben. Nach Erhalt des Voll- oder Demoschlüssels wird der UserGate-Server automatisch neu gestartet.

www.usergate.ru

Wichtig! Im Demomodus funktioniert der UserGate Proxy & Firewall-Server 30 Tage lang. Wenn Sie Entensys kontaktieren, können Sie eine spezielle PIN für erweiterte Tests anfordern. Sie können beispielsweise einen Demoschlüssel für drei Monate anfordern. Ohne Eingabe eines speziellen erweiterten PIN-Codes ist es nicht möglich, erneut eine Testlizenz zu erhalten.

Wichtig! Wenn UserGate Proxy & Firewall ausgeführt wird, wird der Status des Registrierungsschlüssels regelmäßig überprüft. Damit UserGate ordnungsgemäß funktioniert, müssen Sie den Zugriff auf das Internet über das HTTPS-Protokoll zulassen. Dies ist für die Online-Überprüfung des Schlüsselstatus erforderlich. Schlägt die Schlüsselüberprüfung dreimal fehl, wird die Lizenz für den Proxyserver zurückgesetzt und der Programmregistrierungsdialog erscheint. Das Programm implementiert einen Zähler für die maximale Anzahl von Aktivierungen, die 10 Mal beträgt. Nach Überschreiten dieses Limits können Sie das Produkt mit Ihrem Schlüssel erst aktivieren, nachdem Sie den Support-Service unter http://entensys.ru/support kontaktiert haben.

Update und Entfernung Die neue Version von UserGate Proxy & Firewall v.6 kann auf früheren Versionen der fünften Familie installiert werden. In diesem Fall werden Sie vom Installationsassistenten aufgefordert, die Servereinstellungsdatei config.cfg und die Statistikdatei log.mdb zu speichern oder zu überschreiben. Beide Dateien befinden sich im Verzeichnis, in dem UserGate installiert ist (im Folgenden „%UserGate%“ genannt). Der UserGate v.6-Server unterstützt das UserGate v.4.5-Einstellungsformat. Wenn Sie den Server also zum ersten Mal starten, werden die Einstellungen in konvertiert neues Format automatisch.

Die Abwärtskompatibilität der Einstellungen wird nicht unterstützt.

Aufmerksamkeit! Für die Statistikdatei wird nur die Übertragung aktueller Benutzerguthaben unterstützt; die Traffic-Statistiken selbst werden nicht übertragen.

Die Änderungen an der Datenbank wurden durch Leistungsprobleme der alten Datenbank und Einschränkungen ihrer Größe verursacht. Die neue Firebird-Datenbank weist solche Mängel nicht auf.

Der UserGate-Server kann über den entsprechenden Start-Menüpunkt „Programme“ oder über „Programme hinzufügen oder entfernen“ (Programme und Funktionen in Windows 7/2008/2012) in der Windows-Systemsteuerung deinstalliert werden. Nach der Deinstallation von UserGate verbleiben einige Dateien im Installationsverzeichnis des Programms, es sei denn, die Option „Alle entfernen“ wurde ausgewählt.

Lizenzrichtlinie UserGate-Proxy und Firewall Der UserGate-Server ist darauf ausgelegt, lokalen Netzwerkbenutzern Internetzugriff zu ermöglichen. Die maximale Anzahl der Benutzer, die über UserGate gleichzeitig im Internet arbeiten können, wird durch die Anzahl der „Sitzungen“ angegeben und durch den Registrierungsschlüssel bestimmt.

Der UserGate v.6-Registrierungsschlüssel ist einzigartig und funktioniert nicht mit früheren Versionen von UserGate. Während des Demozeitraums funktioniert die Lösung 30 Tage lang mit einer Begrenzung auf fünf Sitzungen. Der Begriff „Sitzung“ sollte nicht mit der Anzahl der Internetanwendungen oder -verbindungen verwechselt werden, die ein Benutzer ausführt. Die Anzahl der Verbindungen von einem Benutzer kann beliebig sein, sofern sie nicht ausdrücklich begrenzt ist.

www.usergate.ru

Die in UserGate integrierten Antiviren-Module (von Kaspersky Lab, Panda Security und Avira) sowie das Entensys URL-Filtering-Modul werden separat lizenziert. In der Demoversion von UserGate können integrierte Module 30 Tage lang funktionieren.

Das Entensys-URL-Filtermodul, das für die Arbeit mit Website-Kategorien entwickelt wurde, bietet die Möglichkeit, 30 Tage lang im Demomodus zu arbeiten. Beim Kauf von UserGate Proxy & Firewall mit Filtermodul ist die Lizenz für Entensys URL Filtering ein Jahr gültig. Sobald der Abonnementzeitraum abläuft, wird die Ressourcenfilterung durch das Modul beendet.

www.usergate.ru

Verwaltungskonsole Die Verwaltungskonsole ist eine Anwendung zur Verwaltung eines lokalen oder Remote-UserGate-Servers. Um die Administrationskonsole nutzen zu können, müssen Sie den UserGate-Server starten, indem Sie im Kontextmenü des UserGate-Agenten (im Folgenden das Symbol in der Taskleiste) die Option „UserGate-Server starten“ auswählen

- „Agent“). Sie können die Verwaltungskonsole über das Kontextmenü des Agenten oder über den Menüpunkt „Startprogramme“ starten, wenn die Verwaltungskonsole auf einem anderen Computer installiert ist. Um mit den Einstellungen arbeiten zu können, müssen Sie die Administrationskonsole mit dem Server verbinden.

Der Datenaustausch zwischen der Administrationskonsole und dem UserGate-Server erfolgt über das SSL-Protokoll. Beim Initialisieren der Verbindung (SSLHandshake) wird eine einseitige Authentifizierung durchgeführt, bei der der UserGate-Server sein Zertifikat, das sich im Verzeichnis %UserGate%\ssl befindet, an die Administrationskonsole überträgt. Für die Verbindung ist kein Zertifikat oder Passwort von der Verwaltungskonsole erforderlich.

Konfigurieren von Verbindungen Beim ersten Start wird die Administrationskonsole auf der Seite „Verbindungen“ geöffnet, die eine einzelne Verbindung zum Localhost-Server für den Administratorbenutzer enthält. Das Verbindungspasswort wurde nicht festgelegt. Sie können die Administrationskonsole mit dem Server verbinden, indem Sie auf die Zeile „localhost-administrator“ doppelklicken oder in der Systemsteuerung auf die Schaltfläche „Verbinden“ klicken. Sie können in der UserGate-Verwaltungskonsole mehrere Verbindungen erstellen. Die Verbindungseinstellungen legen die folgenden Parameter fest:

Der Servername ist der Name der Verbindung;

Benutzername – Anmelden, um eine Verbindung zum Server herzustellen;

Serveradresse – Domänenname oder IP-Adresse des UserGate-Servers;

Port – TCP-Port, der für die Verbindung zum Server verwendet wird (standardmäßig wird Port 2345 verwendet);

Passwort – Passwort für die Verbindung;

Beim Herstellen der Verbindung nach dem Passwort fragen – mit dieser Option können Sie beim Herstellen einer Verbindung zum Server einen Dialog zur Eingabe Ihres Benutzernamens und Passworts anzeigen.

Automatisch mit diesem Server verbinden – Die Administrationskonsole stellt beim Start automatisch eine Verbindung mit diesem Server her.

Die Einstellungen der Verwaltungskonsole werden in der Datei console.xml im Verzeichnis %UserGate%\Administrator\ gespeichert. Auf der UserGate-Serverseite werden der Benutzername und der MD5-Hash des Passworts für die Verbindung in der Datei config.cfg gespeichert, die sich im Verzeichnis %UserGate_data befindet, wobei %UserGate_data% der Ordner für Windows XP ist – (C:\Dokumente und Einstellungen\Alle www.usergate.ru Benutzer\Anwendungsdaten\Entensys\UserGate6), für Windows 7/2008 Ordner – (C:\Dokumente und Einstellungen\Alle Benutzer\Entensys\UserGate6) Festlegen eines Passworts für die Verbindung Sie können ein erstellen Login und Passwort für die Verbindung zum UserGate-Server auf der Seite „Allgemeine Einstellungen“ im Abschnitt „Administratoreinstellungen“. Im gleichen Abschnitt können Sie den TCP-Port für die Verbindung zum Server angeben. Damit die neuen Einstellungen wirksam werden, müssen Sie den UserGate-Server neu starten (Punkt „UserGate-Server neu starten“ im Agentenmenü). Nach dem Neustart des Servers müssen in der Administrationskonsole neue Einstellungen in den Verbindungsparametern vorgenommen werden. Andernfalls kann der Administrator keine Verbindung zum Server herstellen.

Aufmerksamkeit! Um Probleme mit der Funktionalität der UserGate-Administrationskonsole zu vermeiden, wird eine Änderung dieser Parameter nicht empfohlen!

UserGate-Administratorauthentifizierung Um die Administrationskonsole erfolgreich mit dem UserGate-Server zu verbinden, muss der Administrator das serverseitige Authentifizierungsverfahren durchlaufen.

Die Administratorauthentifizierung wird durchgeführt, nachdem eine SSL-Verbindung zwischen der Verwaltungskonsole und dem UserGate-Server hergestellt wurde. Die Konsole sendet den Login- und MD5-Hash des Administratorkennworts an den Server. Der UserGate-Server vergleicht die empfangenen Daten mit den Angaben in der Einstellungsdatei config.cfg.

Die Authentifizierung gilt als erfolgreich, wenn die von der Administrationskonsole empfangenen Daten mit den Angaben in den Servereinstellungen übereinstimmen. Wenn die Authentifizierung fehlschlägt, unterbricht der UserGate-Server die SSL-Verbindung mit der Verwaltungskonsole. Das Ergebnis des Authentifizierungsverfahrens wird in der Datei usergate.log protokolliert, die sich im Verzeichnis %UserGate_data%\logging\ befindet.

Festlegen eines Passworts für den Zugriff auf die UserGate-Statistikdatenbank. Benutzerstatistiken – Datenverkehr, besuchte Ressourcen usw.

werden vom UserGate-Server in einer speziellen Datenbank erfasst. Der Zugriff auf die Datenbank erfolgt direkt (für die integrierte Firebird-Datenbank) oder über den ODBC-Treiber, wodurch der UserGate-Server mit Datenbanken nahezu jedes Formats (MSAccess, MSSQL, MySQL) arbeiten kann. Die Standard-Firebird-Datenbank ist %UserGate_data%\usergate.fdb. Login und Passwort für den Zugriff auf die Datenbank – SYSDBA\masterkey. Sie können über den Punkt Allgemeine Einstellungen Datenbankeinstellungen der Administrationskonsole ein anderes Passwort festlegen.

Allgemeine NAT-Einstellungen (Netzwerkadressübersetzung) Mit dem Element „Allgemeine NAT-Einstellungen“ können Sie den Timeout-Wert für NAT-Verbindungen festlegen, die die Protokolle TCP, UDP oder ICMP verwenden. Der Timeout-Wert bestimmt die Lebensdauer einer Benutzerverbindung über NAT, wenn die Datenübertragung über die Verbindung abgeschlossen ist. Die Option Debug-Protokolle ausgeben dient dem Debuggen und ermöglicht bei Bedarf die Aktivierung des erweiterten Protokollierungsmodus von NAT-UserGate-Treibermeldungen.

Der Angriffsdetektor ist eine spezielle Option, mit der Sie den internen Mechanismus zur Überwachung und Blockierung des Port-Scanners oder von www.usergate.ru-Versuchen verwenden können, alle Server-Ports zu belegen. Dieses Modul arbeitet im automatischen Modus, Ereignisse werden in der Datei %UserGate_data%\logging\fw.log aufgezeichnet.

Aufmerksamkeit! Die Einstellungen dieses Moduls können über die Konfigurationsdatei config.cfg im Abschnitt „Optionen“ geändert werden.

Allgemeine Einstellungen Zeile „Nach Browser blockieren“ – Liste der Browser des User-Agents, die vom Proxyserver blockiert werden können. Diese. Sie können beispielsweise verhindern, dass ältere Browser wie IE 6.0 oder Firefox 3.x auf das Internet zugreifen.

www.usergate.ru Einrichten von Schnittstellen Der Abschnitt „Schnittstellen“ (Abb. 1) ist der wichtigste Abschnitt in den Einstellungen des UserGate-Servers, da er Fragen wie die Richtigkeit der Verkehrszählung, die Möglichkeit, Regeln für die Firewall zu erstellen, und Einschränkungen bestimmt von der Breite des Internetkanals für Datenverkehr einer bestimmten Art und vom Aufbau von Beziehungen zwischen Netzwerken und der Reihenfolge, in der Pakete vom NAT-Treiber (Network Address Translation) verarbeitet werden.

Abbildung 1. Serverschnittstellen konfigurieren Der Abschnitt „Schnittstellen“ listet alle verfügbaren Netzwerkschnittstellen des Servers auf, auf dem UserGate installiert ist, einschließlich DFÜ-Verbindungen (VPN, PPPoE).

Für jeden Netzwerkadapter muss der UserGate-Administrator seinen Typ angeben. Für einen mit dem Internet verbundenen Adapter sollten Sie also den WAN-Typ auswählen, für einen mit einem lokalen Netzwerk verbundenen Adapter den LAN-Typ.

Sie können den DFÜ-Typ (VPN, PPPoE) der Verbindung nicht ändern. Für solche Verbindungen stellt der UserGate-Server den Typ automatisch auf PPP-Schnittstelle ein.

Sie können den Benutzernamen und das Passwort für die DFÜ-Verbindung (VPN) festlegen, indem Sie auf die entsprechende Schnittstelle doppelklicken. Die Schnittstelle ganz oben in der Liste ist die Haupt-Internetverbindung.

Verkehrszählung in UserGate Der durch den UserGate-Server fließende Verkehr wird auf dem lokalen Netzwerkbenutzer aufgezeichnet, der der Initiator der Verbindung ist, oder auf dem UserGate-Server www.usergate.ru, wenn der Verbindungsinitiator der Server ist. Für den Serververkehr stellen die UserGate-Statistiken einen speziellen Benutzer bereit – UserGate Server. Das UserGate-Serverkonto des Benutzers zeichnet den Aktualisierungsverkehr der Antiviren-Datenbanken für die integrierten Module Kaspersky Lab, Panda Security und Avira sowie den Datenverkehr zur Namensauflösung über die DNS-Weiterleitung auf.

Der Datenverkehr wird vollständig berücksichtigt, zusammen mit den Service-Headern.

Zusätzlich wurde die Möglichkeit hinzugefügt, Ethernet-Header zu berücksichtigen.

Bei korrekter Angabe der Typen der Server-Netzwerkadapter (LAN oder WAN) wird der Verkehr in Richtung „Lokales Netzwerk – UserGate-Server“ (z. B. Zugriff auf freigegebene Netzwerkressourcen auf dem Server) nicht berücksichtigt.

Wichtig! Das Vorhandensein von Programmen von Drittanbietern – Firewalls oder Antivirenprogrammen (mit einer Funktion zum Scannen des Datenverkehrs) – kann die Richtigkeit der Datenverkehrszählung in UserGate erheblich beeinträchtigen. Es wird nicht empfohlen, Netzwerkprogramme von Drittanbietern auf einem Computer mit UserGate zu installieren!

Unterstützung für Backup-Kanäle Auf der Seite „Schnittstellen“ können Sie den Backup-Kanal konfigurieren. Durch Klicken auf die Schaltfläche „Setup-Assistent“ können Sie die Schnittstelle auswählen, die als Backup-Kanal verwendet werden soll. Auf der zweiten Seite finden Sie eine Auswahl an Hosts, die vom Proxyserver auf Konnektivität zum Internet überprüft werden. Im angegebenen Intervall prüft die Lösung die Verfügbarkeit dieser Hosts mit einer ICMP-Echo-Anfrage. Wenn eine Antwort von mindestens einem angegebenen Host zurückgegeben wird, gilt die Verbindung als aktiv. Wenn von keinem Host eine Antwort eingeht, gilt die Verbindung als inaktiv und das Haupt-Gateway im System wechselt zum Backup-Channel-Gateway. Wenn NAT-Regeln erstellt wurden, die eine spezielle Masquerade-Schnittstelle als externe Schnittstelle angeben, werden diese Regeln gemäß der aktuellen Routing-Tabelle neu erstellt. Die erstellten NAT-Regeln beginnen über den Backup-Kanal zu funktionieren.

Abbildung 2. Assistent zum Einrichten des Backup-Kanals www.

usergate.ru Als Backup-Verbindung kann der UserGate-Server sowohl eine Ethernet-Verbindung (dedizierter Kanal, WAN-Schnittstelle) als auch eine DFÜ-Verbindung (VPN, PPPoE) (PPP-Schnittstelle) verwenden. Nach dem Wechsel zur Backup-Internetverbindung prüft der UserGate-Server regelmäßig die Verfügbarkeit des Hauptkanals. Wenn die Funktionalität wiederhergestellt ist, schaltet das Programm die Benutzer auf die Haupt-Internetverbindung um.

www.usergate.ru

Benutzer und Gruppen Um Zugriff auf das Internet zu ermöglichen, müssen Sie Benutzer in UserGate erstellen. Zur Vereinfachung der Verwaltung können Benutzer nach Standort oder Zugriffsebene gruppiert werden. Logischerweise ist es am richtigsten, Benutzer nach Zugriffsebenen in Gruppen einzuteilen, da dies in diesem Fall die Arbeit mit Verkehrskontrollregeln erheblich erleichtert. Standardmäßig hat UserGate nur eine Gruppe – default.

Sie können einen neuen Benutzer über das Element „Neuen Benutzer hinzufügen“ oder durch Klicken auf die Schaltfläche „Hinzufügen“ im Steuerungsfeld auf der Seite „Benutzer und Gruppen“ erstellen. Es gibt eine andere Möglichkeit, Benutzer hinzuzufügen – das Scannen des Netzwerks mit ARP-Anfragen. Sie müssen auf der Seite „Benutzer“ in der Administratorkonsole auf eine leere Stelle klicken und „Lokales Netzwerk scannen“ auswählen. Stellen Sie als Nächstes die lokalen Netzwerkparameter ein und warten Sie auf die Scanergebnisse. Als Ergebnis sehen Sie eine Liste der Benutzer, die zu UserGate hinzugefügt werden können. Obligatorische Benutzerparameter (Abb. 3) sind Name, Berechtigungstyp, Berechtigungsparameter (IP-Adresse, Login und Passwort usw.), Gruppe und Tarif. Standardmäßig gehören alle Benutzer zur Standardgruppe. Der Benutzername in UserGate muss eindeutig sein. Darüber hinaus können Sie in den Benutzereigenschaften die Zugriffsebene des Benutzers auf Webstatistiken definieren, die interne Telefonnummer für H323 festlegen, die Anzahl der Verbindungen für den Benutzer begrenzen, NAT-Regeln, Verkehrskontrollregeln oder Regeln für das Anwendungskontrollmodul aktivieren.

Abbildung 3. Benutzerprofil in UserGate Ein Benutzer in UserGate erbt alle Eigenschaften der Gruppe, zu der er gehört, mit Ausnahme des Tarifs, der überschrieben werden kann.

Für die Abrechnung aller Benutzerverbindungen gilt der in den Benutzereigenschaften angegebene Tarif. Wenn der Internetzugang nicht kostenpflichtig ist, können Sie einen leeren Tarif namens „Default“ nutzen.

www.usergate.ru

Synchronisierung mit Active Directory Benutzergruppen in UserGate können mit Active Directory-Gruppen synchronisiert werden. Um die Synchronisierung mit Active Directory zu nutzen, muss ein Computer mit UserGate Proxy & Firewall nicht Teil einer Domäne sein.

Das Einrichten der Synchronisierung ist ein zweistufiger Prozess. Im ersten Schritt müssen Sie auf der Seite „Gruppen“ der UserGate-Administratorkonsole (Abb. 4) die Option „Synchronisierung mit AD“ aktivieren und die folgenden Parameter angeben:

Domänenname IP-Adresse des Domänencontrollers Login und Passwort für den Zugriff auf Active Directory (Login kann im UPN-Format (User Principal Name) angegeben werden) Synchronisierungszeitraum (in Sekunden) Im zweiten Schritt müssen Sie die Eigenschaften der Benutzergruppe öffnen ( (nach dem Warten auf das Synchronisierungsintervall) aktivieren Sie in UserGate die Option „Gruppen mit AD synchronisieren“ und wählen Sie eine oder mehrere Gruppen aus Active Directory aus.

Während der Synchronisierung enthalten UserGate-Gruppen Benutzer aus Active Directory, die zu den ausgewählten Active Directory-Gruppen gehören. Der Autorisierungstyp für importierte Benutzer ist „HTTP Imported User State (NTLM)“.

(aktiviert/deaktiviert) wird durch den Status des entsprechenden Kontos in der Active Directory-Domäne gesteuert.

www.usergate.ru Abbildung 4. Synchronisierung mit Active Directory einrichten Wichtig! Zur Synchronisierung müssen Sie die Übertragung des LDAP-Protokolls zwischen dem UserGate-Server und dem Domänencontroller sicherstellen.

www.usergate.ru Persönliche Benutzerstatistikseite Jeder Benutzer in UserGate hat die Möglichkeit, die Statistikseite anzuzeigen. Zugriff auf die Seite mit den persönlichen Statistiken erhalten Sie unter http://192.168.0.1:8080/statistics.html, wobei beispielsweise 192.168.0.1 die lokale Adresse des Computers mit UserGate und 8080 der Port ist, auf dem sich der HTTP-Proxy befindet Server führt UserGate aus. Der Benutzer kann seine persönlichen erweiterten Statistiken einsehen, indem er sich unter der Adresse http://192.168.0.1:8081 anmeldet.

Aufmerksamkeit! In Version 6.x wurde eine Überwachungsschnittstelle 127.0.0.1:8080 hinzugefügt, die erforderlich ist, damit Webstatistiken funktionieren, wenn der UserGate-HTTP-Proxyserver deaktiviert ist. In diesem Zusammenhang wird Port 8080 an der Schnittstelle 127.0.0.1 immer von UserGate Proxy & Firewall belegt, während der Prozess usergate.exe ausgeführt wird

Nach IP-Adresse Nach IP-Adressbereich Nach IP+MAC-Adresse Nach MAC-Adresse Autorisierung über HTTP (HTTP-basic, NTLM) Autorisierung über Login und Passwort (Authorization Client) Vereinfachte Version der Autorisierung über Active Directory Zur Verwendung der letzten drei Autorisierungsmethoden Eine Besonderheit Die Anwendung muss auf der Workstation des Benutzers installiert sein – der UserGate-Autorisierungsclient. Das entsprechende MSI-Paket (AuthClientInstall.msi) befindet sich im Verzeichnis %UserGate%\tools und kann für die automatische Installation über Gruppenrichtlinien im Active Directory verwendet werden.

Eine administrative Vorlage zum Installieren eines Autorisierungsclients mithilfe der Active Directory-Gruppenrichtlinie, ebenfalls im Verzeichnis %UserGate%\tools. Auf der Website http://usergate.ru/support finden Sie Videoanweisungen zur Bereitstellung eines Autorisierungsclients über Gruppenrichtlinien.

Wenn der UserGate-Server auf einem Computer installiert ist, der nicht Teil einer Active Directory-Domäne ist, wird empfohlen, die vereinfachte Version der Autorisierung über Active Directory zu verwenden. In diesem Fall vergleicht der UserGate-Server den vom Autorisierungsclient erhaltenen Login- und Domänennamen mit den entsprechenden im Benutzerprofil angegebenen Feldern, ohne den Domänencontroller zu kontaktieren.

Unterstützung für Terminalbenutzer Um Terminalbenutzer im UserGate-Proxyserver zu autorisieren, wurde ab Version 6.5 ein spezielles Softwaremodul namens „Terminal Authorization Agent“ hinzugefügt. Das Distributionspaket des Terminal Agent-Programms befindet sich im Ordner %UserGate%\tools und heißt TerminalServerAgent*.msi. Für 32-Bit-Systeme benötigen Sie die Version „TerminalServerAgent32.msi“, für 64-Bit-Systeme „TerminalServerAgent64.msi“. Das Programm ist ein Agent, der regelmäßig alle 90 Sekunden Autorisierungsinformationen über alle Terminalserver-Clients an einen Proxyserver sendet, sowie ein Treiber, der für jeden Terminal-Client eine Port-Ersetzung bereitstellt. Die Kombination aus Benutzerinformationen und zugehörigen Ports ermöglicht es dem Proxyserver, Terminalserverbenutzer genau zu identifizieren und verschiedene Richtlinien zur Verkehrssteuerung auf sie anzuwenden.

Bei der Installation des Terminalagenten werden Sie aufgefordert, die IP-Adresse des Proxyservers und die Anzahl der Benutzer anzugeben. Dies ist für die optimale Nutzung freier TCP\UDP-Ports des Terminalservers notwendig.

www.usergate.ru

Nach der Installation des Terminalserver-Agenten stellt dieser eine Anfrage an den Proxyserver und wenn alles gut geht, werden auf dem Server drei Benutzer mit der Berechtigung „AD-Login-Passwort“ und dem Login „NT AUTHORIY\*“ angelegt.

Wenn solche Benutzer in Ihrer Konsole angezeigt werden, ist Ihr Terminalagent betriebsbereit.

Erste Methode (Synchronisierung mit Active Directory-Domäne):

In der Administratorkonsole müssen Sie auf der Seite Benutzergruppen in den Eigenschaften der Option „Synchronisierung mit AD“ die richtigen Parameter für die Autorisierung mit AD angeben.

Dann müssen Sie erstellen Neue Gruppe Benutzer und geben Sie darin an, welche Benutzergruppe in AD mit der aktuellen Gruppe im Proxyserver synchronisiert werden soll. Ihre Benutzer werden dann dieser lokalen UserGate Proxy-Benutzergruppe hinzugefügt. Zu diesem Zeitpunkt ist die Einrichtung des Proxyservers fast abgeschlossen. Danach müssen Sie sich als AD-Benutzer am Terminalserver anmelden und er wird automatisch auf dem Proxyserver autorisiert, ohne dass Sie einen Benutzernamen und ein Passwort eingeben müssen. Terminalserverbenutzer können als reguläre Proxyserverbenutzer mit Autorisierung über die IP-Adresse verwaltet werden. Diese. Sie können unterschiedliche NAT-Regeln und/oder Verkehrskontrollregeln anwenden.

Zweite Methode (Benutzer aus einer Active Directory-Domäne importieren):

Verwenden Sie den „Import“ von Benutzern aus AD. Dies wird auf der Benutzerseite konfiguriert, indem Sie auf die entsprechende Schaltfläche „Importieren“ in der Benutzeroberfläche der UserGate-Administratorkonsole klicken.

Sie müssen Benutzer aus AD in eine bestimmte lokale Gruppe auf dem Proxyserver importieren. Danach erhalten alle importierten Benutzer, die einen Internetzugang vom Terminalserver anfordern, einen Internetzugang mit den auf dem UserGate-Proxyserver definierten Rechten.

Dritte Methode (mit lokalen Terminalserverkonten):

Diese Methode eignet sich zum Testen des Betriebs des Terminalagenten oder für Fälle, in denen sich der Terminalserver nicht in der Active Directory-Domäne befindet. In diesem Fall müssen Sie einen neuen Benutzer mit dem Berechtigungstyp „Login-Domain-AD“ erstellen und als „Domain-Adresse“ den Namen des Computers des Terminalservers und als Login den Namen des Benutzers angeben meldet sich am Terminalserver an. Alle Benutzer, die auf dem Proxyserver erstellt werden, erhalten vom Terminalserver aus Zugriff auf das Internet mit den auf dem UserGate-Proxyserver definierten Rechten.

Es ist zu beachten, dass der Terminalagent einige Einschränkungen aufweist:

Andere Protokolle als TCP\UDP können nicht vom Terminalserver an das Internet übergeben werden. Beispielsweise ist es nicht möglich, von diesem Server aus irgendwo im Internet über NAT einen PING durchzuführen.

www.usergate.ru Die maximale Anzahl der Benutzer auf dem Terminalserver darf 220 nicht überschreiten und jedem Benutzer werden nicht mehr als 200 Ports für die TCP\UDP-Protokolle zugewiesen.

Wenn Sie den UserGate-Proxyserver neu starten, erlaubt der Terminalagent bis zur ersten Synchronisierung mit dem UserGate-Proxyserver niemandem den Zugriff auf das Internet (bis zu 90 Sekunden).

HTTP-Autorisierung beim Arbeiten über einen transparenten Proxy UserGate v.6 hat die Möglichkeit der HTTP-Autorisierung für einen Proxy-Server hinzugefügt, der im transparenten Modus arbeitet. Wenn der Browser auf der Arbeitsstation des Benutzers nicht für die Verwendung eines Proxyservers konfiguriert ist und der HTTP-Proxy in UserGate im transparenten Modus aktiviert ist, wird eine Anfrage eines nicht autorisierten Benutzers auf die Autorisierungsseite umgeleitet, wo Sie ein Login und angeben müssen Passwort.

Es ist nicht erforderlich, diese Seite nach der Autorisierung zu schließen. Die Anmeldeseite wird regelmäßig durch ein spezielles Skript aktualisiert, sodass die Benutzersitzung aktiv bleibt. In diesem Modus hat der Benutzer Zugriff auf alle UserGate-Dienste, einschließlich der Möglichkeit, über NAT zu arbeiten. Um die Benutzersitzung zu beenden, müssen Sie auf der Autorisierungsseite auf „Abmelden“ klicken oder einfach die Registerkarte „Autorisierung“ schließen. und nach 30–60 Sekunden verschwindet die Autorisierung auf dem Proxyserver.

Erlauben Sie die Weiterleitung von NetBIOSNameRequest-Paketen (UDP:137) zwischen dem UserGate-Server und dem Domänencontroller. Stellen Sie die Weiterleitung von NetBIOSSessionRequest-Paketen (TCP:139) zwischen dem UserGate-Server und dem Domänencontroller sicher. Registrieren Sie die Adresse und den Port des UserGate-HTTP-Proxys im Browser auf dem Rechner des Benutzers Wichtig! Um die NTLM-Autorisierung zu verwenden, darf der Computer, auf dem UserGate installiert ist, kein Mitglied der Active Directory-Domäne sein.

Verwendung des Autorisierungsclients Der UserGate-Autorisierungsclient ist eine auf Winsock-Ebene laufende Netzwerkanwendung, die über einen bestimmten UDP-Port (standardmäßig wird Port 5456 verwendet) eine Verbindung zum UserGate-Server herstellt und Benutzerautorisierungsparameter überträgt: Autorisierungstyp, Login, Passwort, usw.

www.usergate.ru

Beim ersten Start prüft der UserGate-Autorisierungsclient den Zweig HKCU\Software\Policies\Entensys\Authclient der Systemregistrierung. Einstellungen, die über die Active Directory-Domänengruppenrichtlinie abgerufen werden, können sich hier befinden. Wenn die Einstellungen in der Systemregistrierung nicht gefunden werden, muss die UserGate-Serveradresse manuell auf der dritten Registerkarte von oben im Autorisierungsclient angegeben werden. Nachdem Sie die Serveradresse angegeben haben, müssen Sie auf die Schaltfläche „Übernehmen“ klicken und zur zweiten Registerkarte wechseln. Auf dieser Seite werden Benutzerautorisierungsparameter angegeben. Die Einstellungen des Autorisierungsclients werden im Abschnitt HKCU\Software\Entensys\Authclient der Systemregistrierung gespeichert. Das Autorisierungs-Client-Dienstprotokoll wird im Ordner „Dokumente und Einstellungen\%USER%\Anwendungsdaten\UserGate Client“ gespeichert.

Darüber hinaus wurde dem Autorisierungsclient ein Link zur persönlichen Statistikseite des Benutzers hinzugefügt. Ändern Aussehen Die Autorisierung des Clients kann durch Bearbeiten der entsprechenden Vorlage in Form einer *.xml-Datei erfolgen, die sich in dem Verzeichnis befindet, in dem der Client installiert ist.

www.usergate.ru

Dienste in UserGate konfigurieren DHCP konfigurieren Der Dienst ermöglicht DHCP (Dynamic Host Configuration Protocol), den Prozess der Ausgabe von Netzwerkeinstellungen an Clients im lokalen Netzwerk zu automatisieren. In einem Netzwerk mit einem DHCP-Server kann jedem Netzwerkgerät dynamisch eine IP-Adresse, Gateway-Adresse, DNS, WINS-Server usw. zugewiesen werden.

Sie können den DHCP-Server über den Abschnitt „Dienste DHCP-Server Schnittstelle hinzufügen“ in der UserGate-Verwaltungskonsole oder durch Klicken auf die Schaltfläche „Hinzufügen“ in der Systemsteuerung aktivieren. Im erscheinenden Dialog müssen Sie die Netzwerkschnittstelle auswählen, auf der der DHCP-Server laufen soll. In der Minimalkonfiguration eines DHCP-Servers reicht es aus, folgende Parameter festzulegen: einen Bereich von IP-Adressen (Adresspool), aus dem der Server Adressen an Clients im lokalen Netzwerk vergibt; Netzwerkmaske und Mietzeit.

Die maximale Poolgröße in UserGate darf 4000 Adressen nicht überschreiten. Bei Bedarf können Sie eine oder mehrere IP-Adressen aus dem ausgewählten Adresspool ausschließen (Schaltfläche „Ausschlüsse“). Sie können einem bestimmten Gerät im Netzwerk eine dauerhafte IP-Adresse zuweisen, indem Sie im Abschnitt „Reservierungen“ die entsprechende Bindung erstellen. Durch die Bindung (Reservierung) an die MAC-Adresse des Netzwerkgeräts wird die Konstanz der IP-Adresse bei der Verlängerung oder dem Erhalt einer Miete sichergestellt. Um eine Bindung zu erstellen, geben Sie einfach die IP-Adresse des Geräts an.

Durch Klicken auf den entsprechenden Button wird die MAC-Adresse automatisch ermittelt.

Abbildung 6. Konfigurieren des UserGate DHCP-Servers

Der DHCP-Server in UserGate unterstützt den Import von Windows-DHCP-Servereinstellungen. Die Windows-DHCP-Einstellungen müssen zunächst in einer Datei gespeichert werden. Starten Sie dazu auf dem Server, auf dem Windows DHCP installiert ist, den Befehlszeilenmodus (Starten Sie Ausführen, geben Sie cmd ein und drücken Sie die Eingabetaste) und führen Sie im angezeigten Fenster den Befehl aus: netsh dhcp server IP dump filename, wobei IP die IP ist Adresse Ihres DHCP-Servers. Importeinstellungen

www.usergate.ru

aus der Datei erfolgt über die entsprechende Schaltfläche auf der ersten Seite des DHCP-Server-Setup-Assistenten.

In der unteren Hälfte des Fensters der Administrationskonsole (Abb. 8) werden die vergebenen IP-Adressen zusammen mit Informationen zum Client (Computername, MAC-Adresse) sowie Start- und Endzeitpunkt der Lease angezeigt. Durch Auswahl der ausgegebenen IP-Adresse können Sie einen Benutzer zu UserGate hinzufügen, eine MAC-Adressbindung erstellen oder eine IP-Adresse freigeben.

Abbildung 7. Vergebene Adressen löschen

Nach einiger Zeit wird die freigegebene IP-Adresse in den Pool der freien Adressen des DHCP-Servers aufgenommen. Die Freigabe einer IP-Adresse kann erforderlich sein, wenn der Computer, der zuvor eine Adresse vom UserGate-DHCP-Server angefordert hat, nicht mehr im Netzwerk vorhanden ist oder seine MAC-Adresse geändert hat.

Der DHCP-Server kann auf Clients reagieren, wenn diese die Datei „wpad.dat“ anfordern. Wenn Sie diese Methode zum Abrufen von Proxyservereinstellungen verwenden, müssen Sie die Vorlagendatei bearbeiten, die sich im Ordner „C:\Programme\entensys\usergate6\wwwroot\wpad.dat“ befindet.

Mehr genaue Information Diese Methode zum Abrufen von Proxy-Server-Einstellungen wird in Wikipedia beschrieben.

Proxy-Dienste in UserGate einrichten Folgende Proxy-Server sind in den UserGate-Server integriert: HTTP (mit Unterstützung für den „FTP over HTTP“- und HTTPS-Modus – Connect-Methode), FTP, SOCKS4, SOCKS5, POP3 und SMTP, SIP und H323. Einstellungen für www.usergate.ru-Proxyserver sind im Abschnitt „Dienste“ unter „Proxy-Einstellungen“ in der Verwaltungskonsole verfügbar. Zu den wichtigsten Proxyserver-Einstellungen gehören:

Schnittstelle (Abb. 9) und Portnummer, auf der der Proxy arbeitet.

Abbildung 8. Grundlegende Proxy-Server-Einstellungen Standardmäßig enthält UserGate nur einen HTTP-Proxy, der den TCP-Port 8080 auf allen verfügbaren Netzwerkschnittstellen des Servers überwacht.

Um den Client-Browser so zu konfigurieren, dass er über einen Proxy-Server funktioniert, geben Sie einfach die Proxy-Adresse und den Port im entsprechenden Einstellungselement an. Im Internet Explorer werden Proxy-Einstellungen im Menü „Extras“ Internetoptionen Verbindung LAN-Einstellungen angegeben. Wenn Sie über einen HTTP-Proxy arbeiten, müssen Sie in den TCP/IP-Netzwerkverbindungseigenschaften auf dem Arbeitsplatzrechner des Benutzers kein Gateway und DNS angeben, da der HTTP-Proxy selbst die Namensauflösung durchführt.

Für jeden Proxyserver steht ein Kaskadierungsmodus zu einem übergeordneten Proxyserver zur Verfügung.

Wichtig! Der in den Proxy-Server-Einstellungen angegebene Port wird automatisch in der UserGate-Firewall geöffnet. Aus Sicherheitsgründen wird daher empfohlen, in den Proxy-Einstellungen nur lokale Netzwerkschnittstellen des Servers anzugeben.

Wichtig! Weitere Details zu den Einstellungen verschiedener Browser für den Proxyserver werden in einem speziellen Artikel in der Entensys-Wissensdatenbank beschrieben.

Unterstützung für IP-Telefonieprotokolle (SIP, H323) UserGate implementiert die SIP-Proxy-Funktion mit Stateful Proxy Monitoring SIP Registrar. Der SIP-Proxy ist im Abschnitt „Dienste“ unter „Proxy-Einstellungen“ aktiviert und arbeitet immer im transparenten Modus und überwacht die Ports 5060 TCP und 5060 UDP. Bei Verwendung eines SIP-Proxys

www.usergate.ru

Auf der Seite „Sitzungen“ der Verwaltungskonsole werden Informationen zum Status der aktiven Verbindung (Registrierung, Anruf, Warten usw.) sowie Informationen zum Benutzernamen (oder seiner Nummer), zur Anrufdauer und zur Anzahl der gesendeten Bytes angezeigt. erhalten. Diese Informationen werden auch in der UserGate-Statistikdatenbank erfasst.

Um den UserGate SIP-Proxy in den TCP/IP-Eigenschaften auf der Arbeitsstation des Benutzers zu verwenden, müssen Sie die IP-Adresse des UserGate-Servers als Standard-Gateway angeben und außerdem unbedingt die DNS-Serveradresse angeben.

Wir veranschaulichen die Einrichtung des Client-Teils am Beispiel des SJPhone-Softphones und des Sipnet-Providers. Starten Sie SJPhone, wählen Sie Optionen aus dem Kontextmenü und erstellen Sie ein neues Profil. Geben Sie den Profilnamen ein (Abb. 10), zum Beispiel sipnet.ru. Geben Sie als Profiltyp Anruf über SIP-Proxy an.

Abbildung 9. Erstellen eines neuen Profils in SJPhone Im Dialogfeld „Profiloptionen“ müssen Sie die Proxyserveradresse Ihres VoIP-Anbieters angeben.

Beim Schließen des Dialogs müssen Sie Daten zur Autorisierung auf dem Server Ihres VoIP-Anbieters eingeben (Benutzername und Passwort).

Abbildung 10. SJPhone-Profileinstellungen www.usergate.ru Achtung! Wenn Ihr Sprachverkehr bei der Aktivierung eines SIP-Proxys nicht in die eine oder andere Richtung weitergeleitet wird, müssen Sie entweder einen STUN-Proxyserver verwenden oder den Datenverkehr über NAT auf allen Ports (ANY:FULL) für die erforderlichen Benutzer zulassen. Wenn Sie eine NAT-Regel auf allen Ports aktivieren, muss der SIP-Proxyserver deaktiviert werden!

Unterstützung für den SIP-Registrar-Modus Mit der SIP-Registrar-Funktion können Sie UserGate als Software-PBX (Automatic Telephone Exchange) für ein lokales Netzwerk verwenden.

Die SIP-Registrar-Funktion arbeitet gleichzeitig mit der SIP-Proxy-Funktion. Um sich beim UserGate SIP Registrar zu autorisieren, müssen Sie in den SIP UAC (User Agent Client)-Einstellungen Folgendes angeben:

UserGate-Adresse als SIP-Serveradresse UserGate-Benutzername (ohne Leerzeichen) beliebiges Passwort Unterstützung des H323-Protokolls Durch die Unterstützung des H323-Protokolls können Sie den UserGate-Server als „Gatekeeper“ (H323 Gatekeeper) verwenden. Die H323-Proxy-Einstellungen geben die Schnittstelle an, an der der Server auf Client-Anfragen lauscht, die Portnummer sowie die Adresse und den Port des H323-Gateways. Um sich bei UserGate Gatekeeper zu autorisieren, muss der Benutzer ein Login (Benutzername in UserGate), ein Passwort (beliebig) und eine Telefonnummer angeben, die im Benutzerprofil in UserGate angegeben sind.

Wichtig! Wenn UserGate GateKeeper einen Anruf an eine H323-Nummer erhält, die keinem der autorisierten UserGate-Benutzer gehört, wird der Anruf an das H323-Gateway umgeleitet. Anrufe an das H323-Gateway erfolgen im Modus „CallModel: Direct“.

Mail-Proxys in UserGate Mail-Proxys in UserGate sind für die Arbeit mit den POP3- und SMTP-Protokollen und für die Virenprüfung des E-Mail-Verkehrs konzipiert.

Bei Verwendung des transparenten Betriebsmodus von POP3 und SMTP-Proxy unterscheiden sich die Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers nicht von den Einstellungen, die der Option mit direktem Zugriff auf das Internet entsprechen.

Wenn der UserGate POP3-Proxy im undurchsichtigen Modus verwendet wird, muss in den Einstellungen des Mail-Clients auf dem Arbeitsplatz des Benutzers die IP-Adresse des Computers mit UserGate und der dem UserGate POP3-Proxy entsprechende Port als POP3-Serveradresse angegeben werden. Darüber hinaus wird der Login zur Autorisierung auf dem Remote-POP3-Server im folgenden Format angegeben:

email_address@POP3_server_address. Wenn der Benutzer beispielsweise über ein Postfach verfügt [email protected], dann als Anmelden an

Der UserGate POP3-Proxy im E-Mail-Client muss angegeben werden:

[email protected]@pop.mail123.com. Dieses Format ist notwendig, damit der UserGate-Server die Adresse des Remote-POP3-Servers ermitteln kann.

www.usergate.ru

Wenn der UserGate SMTP-Proxy im nicht transparenten Modus verwendet wird, müssen Sie in den Proxy-Einstellungen die IP-Adresse und den Port des SMTP-Servers angeben, den UserGate zum Versenden von Briefen verwendet. In diesem Fall müssen Sie in den Einstellungen des Mail-Clients auf dem Arbeitsplatzrechner des Benutzers als SMTP-Serveradresse die IP-Adresse des UserGate-Servers und den Port angeben, der dem UserGate-SMTP-Proxy entspricht. Wenn für den Versand eine Autorisierung erforderlich ist, müssen Sie in den Mail-Client-Einstellungen den Benutzernamen und das Passwort angeben, die dem SMTP-Server entsprechen, der in den SMTP-Proxy-Einstellungen in UserGate angegeben ist.

Verwendung des Transparentmodus Die Funktion „Transparentmodus“ in den Proxyservereinstellungen ist verfügbar, wenn der UserGate-Server zusammen mit dem NAT-Treiber installiert ist. Im transparenten Modus lauscht der NAT-UserGate-Treiber auf Standardports für Dienste: 80 TCP für HTTP, 21 TCP für FTP, 110 und 25 TCP für POP3 und SMTP auf den Netzwerkschnittstellen des Computers mit UserGate.

Wenn Anfragen vorliegen, werden diese an den entsprechenden UserGate-Proxyserver weitergeleitet. Bei Verwendung des transparenten Modus in Netzwerkanwendungen müssen Benutzer die Adresse und den Port des Proxyservers nicht angeben, was die Arbeit des Administrators bei der Bereitstellung des lokalen Netzwerkzugriffs auf das Internet erheblich reduziert. In den Netzwerkeinstellungen von Workstations muss jedoch der UserGate-Server als Gateway angegeben und die DNS-Serveradresse angegeben werden.

Kaskadierende Proxys Der UserGate-Server kann entweder direkt oder über übergeordnete Proxy-Server mit der Internetverbindung arbeiten. Solche Proxys sind in UserGate unter Services Cascading Proxys gruppiert. UserGate unterstützt die folgenden Arten von Kaskaden-Proxys: HTTP, HTTPS, Socks4, Socks5. Die Kaskaden-Proxy-Einstellungen legen Standardparameter fest: Adresse und Port. Wenn der Upstream-Proxy die Autorisierung unterstützt, können Sie in den Einstellungen den entsprechenden Login und das entsprechende Passwort festlegen. Die erstellten Kaskaden-Proxys werden in den Proxy-Server-Einstellungen in UserGate verfügbar.

www.usergate.ru Abbildung 11 Übergeordnete Proxys im UserGate-Port-Mapping UserGate unterstützt die Port-Mapping-Funktion. Wenn Portzuweisungsregeln vorhanden sind, leitet der UserGate-Server Benutzeranfragen, die an einem bestimmten Port einer bestimmten Netzwerkschnittstelle eines Computers mit UserGate eingehen, an eine andere angegebene Adresse und einen anderen Port um, beispielsweise an einen anderen Computer im lokalen Netzwerk.

Die Port-Forwarding-Funktion ist für die Protokolle TCP und UDP verfügbar.

Abbildung 12. Portzuweisung in UserGate Wichtig! Wenn die Portzuweisung verwendet wird, um den Zugriff aus dem Internet auf eine interne Unternehmensressource zu ermöglichen, sollten Sie als Autorisierungsparameter www.usergate.ru die Option „Angegebener Benutzer“ auswählen, da sonst die Portweiterleitung nicht funktioniert.

Konfigurieren eines Caches Einer der Zwecke eines Proxyservers besteht darin, Netzwerkressourcen zwischenzuspeichern.

Caching reduziert die Belastung Ihrer Internetverbindung und beschleunigt den Zugriff auf häufig besuchte Ressourcen. Der UserGate-Proxyserver speichert HTTP- und FTP-Verkehr zwischen. Zwischengespeicherte Dokumente werden im lokalen Ordner %UserGate_data%\Cache abgelegt. Die Cache-Einstellungen zeigen Folgendes an:

Cache-Größenbegrenzung und Speicherzeit für zwischengespeicherte Dokumente.

Darüber hinaus können Sie das Caching dynamischer Seiten und das Zählen des Traffics aus dem Cache aktivieren. Wenn die Option „Verkehr aus Cache lesen“ aktiviert ist, wird für den Benutzer nicht nur externer (Internet-)Verkehr in UserGate aufgezeichnet, sondern auch der vom UserGate-Cache empfangene Verkehr.

Aufmerksamkeit! Um die aktuellen Einträge im Cache anzuzeigen, müssen Sie ein spezielles Dienstprogramm ausführen, um die Cache-Datenbank anzuzeigen. Es wird gestartet, indem Sie mit der rechten Maustaste auf das „UserGate Agent“-Symbol in der Taskleiste klicken und „Browser-Cache öffnen“ auswählen.

Aufmerksamkeit! Wenn Sie den Cache aktiviert haben und immer noch keine einzige Ressource im „Cache-Browser“ vorhanden ist, müssen Sie höchstwahrscheinlich auf der Seite „Dienste – Proxy-Einstellungen“ einen transparenten Proxyserver für das HTTP-Protokoll aktivieren

Antiviren-Scanning Drei Antiviren-Module sind in den UserGate-Server integriert: Kaspersky Lab Antivirus, Panda Security und Avira. Alle Antivirenmodule sind darauf ausgelegt, eingehenden Datenverkehr über HTTP-, FTP- und UserGate-Mail-Proxy-Server sowie ausgehenden Datenverkehr über SMTP-Proxys zu scannen.

Die Einstellungen des Antiviren-Moduls sind im Abschnitt „Dienste-Antivirus“ der Administrationskonsole verfügbar (Abb. 14). Für jedes Antivirenprogramm können Sie angeben, welche Protokolle gescannt werden sollen, die Häufigkeit der Aktualisierung der Antiviren-Datenbanken festlegen und auch URLs angeben, die nicht gescannt werden müssen (Option „URL-Filter“). Darüber hinaus können Sie in den Einstellungen eine Gruppe von Benutzern angeben, deren Datenverkehr keiner Virenprüfung unterzogen werden muss.

www.usergate.ru

Abbildung 13. Antivirenmodule in UserGate Bevor Sie Antivirenmodule starten, müssen Sie mit der Aktualisierung der Antivirendatenbanken beginnen und warten, bis der Vorgang abgeschlossen ist. In den Standardeinstellungen werden die Kaspersky-Antiviren-Datenbanken von der Kaspersky-Lab-Website aktualisiert, und für Panda-Antivirus werden sie von Entensys-Servern heruntergeladen.

Der UserGate-Server unterstützt den gleichzeitigen Betrieb von drei Antivirenmodulen. In diesem Fall scannt Kaspersky Anti-Virus zunächst den Datenverkehr.

Wichtig! Wenn die Antiviren-Verkehrsprüfung aktiviert ist, blockiert der UserGate-Server Multithread-Dateidownloads über HTTP und FTP. Das Blockieren der Möglichkeit, einen Teil einer Datei über HTTP herunterzuladen, kann zu Problemen mit dem Windows Update-Dienst führen.

Scheduler in UserGate Der UserGate-Server verfügt über einen integrierten Taskplaner, mit dem die folgenden Aufgaben ausgeführt werden können: Initialisieren und Unterbrechen von DFÜ-Verbindungen, Senden von Statistiken an UserGate-Benutzer, Ausführen eines beliebigen Programms, Aktualisieren von Antiviren-Datenbanken, Löschen der Statistikdatenbank , Überprüfung der Datenbankgröße.

www.usergate.ru

Abbildung 14. Einrichten des Taskplaners Das Element „Programm ausführen“ im UserGate-Planer kann auch verwendet werden, um eine Folge von Befehlen (Skripts) aus *.bat- oder *.cmd-Dateien auszuführen.

Ähnliche Werke:

„AKTIONSPLAN 2014-2015“ KONFERENZ DER REGIONALEN UND LOKALEN BEHÖRDEN ZUM AKTIONSPLAN DER ÖSTLICHEN PARTNERSCHAFT KONFERENZ DER REGIONALEN UND LOKALEN BEHÖRDEN ZUR ÖSTLICHEN PARTNERSCHAFT (CORLEAP) AKTIONSPLAN FÜR 2014 UND VOR DER JAHRESVERSAMMLUNG UM 2 015 1. Einführungskonferenz der regionalen und lokalen Behörden zur Östlichen Partnerschaft (im Folgenden im Text – „CORLEAP“ oder „Konferenz“) ist ein politisches Forum, das lokale und …“ ermöglichen soll.

„Direktor der Abteilung für staatliche Politik und Regulierung im Bereich Geologie und Untergrundnutzung des russischen Ministeriums für natürliche Ressourcen A.V. Orel genehmigt am 23. August 2013. GENEHMIGT durch den Direktor der Abteilung öffentliche Ordnung und Regulierung im Bereich Geologie und Untergrundnutzung des Ministeriums für natürliche Ressourcen Russlands _ A.V. Orel „_“ 2013 VEREINBART Direktor des föderalen staatlichen Einheitsunternehmens „Geologorazvedka“ V.V. Shimansky „_“_ 2013 SCHLUSSFOLGERUNG des Wissenschaftlichen und Methodischen Rates für geologische und geophysikalische Technologien zur Suche und Erforschung fester Mineralien ...“

„Spalte des Herausgebers D LIEBE FREUNDE! Sie halten die erste Ausgabe des New Forest Journal in diesem Jahr in Ihren Händen. Traditionell war das Hauptthema die internationale Ausstellungsmesse „Russischer Wald“, die Ende letzten Jahres stattfand. Natürlich betrachteten wir diese Veranstaltung nicht so sehr als Informationsveranstaltung, sondern als Plattform für Forstfachleute, um Richtlinien, Strategien und Taktiken für die Entwicklung der Branche zu entwickeln. Unter diesem Gesichtspunkt haben wir versucht, die Arbeit der Seminare abzudecken …“

„Das Programm der staatlichen interdisziplinären Abschlussprüfung wird gemäß den Bestimmungen zusammengestellt: über die staatliche Abschlusszeugnisse der Absolventen der Lader Hochschule Berufsausbildung « Russische Akademie nationale Wirtschaft Und Zivildienst unter dem Präsidenten Russische Föderation„vom 24. Januar 2012, Moskau; über die Masterausbildung (Master-Abschluss) in der bundesstaatlichen Haushaltsbildung...“

„Liste der Interpreten Nechaev V.D. Leiter des strategischen Entwicklungsprogramms der Universität, Rektor Glazkov A.A. Leiterin der Arbeit am strategischen Entwicklungsprogramm der Universität, Vizerektorin für Wissenschaft, Innovation und strategische Entwicklung Sharaborova G.K. Koordinator der Arbeit am University Strategic Development Program, Direktor des Center for Strategic Development Project Kuratoren: Sokolov E.F. Vizerektor für administrative und wirtschaftliche Unterstützung Ognev A.S. Vizerektor für Wissenschaft,..."

„UDC 91:327 Lysenko A. V. Mathematische Modellierung als Methode zur Untersuchung des Phänomens des Autonomismus in der politischen Geographie Tauride National University benannt nach V. I. Vernadsky, Simferopol E-Mail: [email protected] Anmerkung. Der Artikel untersucht die Möglichkeit, mathematische Modellierung als Methode zur Untersuchung der politischen Geographie einzusetzen, enthüllt das Konzept des territorialen Autonomismus sowie die Faktoren seiner Entstehung. Stichworte: Mathe-Modellierung,..."

„RECHTE“ in Murmansk GENEHMIGT AKZEPTIERT Direktor der Zweigstelle bei einer Sitzung der Abteilung für allgemeine Rechtsdisziplinen der privaten Bildungseinrichtung für höhere Berufsbildung BIEPP in Murmansk in der Stadt Murmansk. Murmansk A.S. Korobeinikov-Protokoll Nr. 2_ vom „_09_“_September_ 2014 „_09_“ September 2014 Pädagogischer und methodischer Komplex der Disziplin Geschichte der politischen und rechtlichen Doktrinen Spezialgebiet...“

RUSSISCHE BILDUNGSHILFE HILFE (LESEN) TREUHANDFONDS JAHRESBERICHT LESEN Durch Investitionen in Bildungsqualitätsbewertung, Reformbewertung sowie Leistungs- und Kompetenzbewertungssysteme wird die Bank ihren Partnerländern bei der Beantwortung wichtiger Fragen zur Gestaltung der Reformpolitik helfen. im Bildungswesen: Welche Vorteile bringt das? unser System haben? Was sind seine Nachteile? Welche Maßnahmen zur Beseitigung dieser Mängel waren am effektivsten? was sind..."

„OKHUNOV ALISHER ORIPOVICH [email protected] TITEL LEHRLEHRPLAN ALLGEMEINE INFORMATIONEN INFORMATIONEN ÜBER LEHRER DISZIPLINPOLITIK „ALLGEMEINE FRAGEN DES PROGRAMMS ENDGÜLTIGE ERGEBNISSE DES LERNENS VORAUSSETZUNGEN UND POSTREQUISITEN DER CHIRURGIE“ KRITERIEN UND REGELN FÜR DIE BEWERTUNG DER WISSEN UND FÄHIGKEITEN DER LEHRER LEHRPLAN „ALLGEMEINE FRAGEN DER CHIRURGIE“ OKHUNOV ALISHER ORIPOVICH [email protected] ALLGEMEINE INFORMATIONEN: TITEL Name der Universität: Tashkent Medical Academy ALLGEMEINE INFORMATIONEN Abteilung für allgemeine und pädiatrische Chirurgie Standort ...“

„Komitee für Außenbeziehungen Umsetzung der Staatspolitik der Russischen Föderation gegenüber Landsleuten im Ausland in St. Petersburg. VIII. St. Petersburger Forum der Jugendorganisationen russischer Landsleute und ausländischer russischsprachiger Medien „Russisch im Ausland“ 7.-13. Juni 2015 PROGRAMM JUNI 7, SONNTAG Ankunft der Teilnehmer Forum tagsüber Hotel „St. Petersburg“ Adresse: Pirogovskaya-Ufer, 5/2 Registrierung der Teilnehmer, Ausgabe des „Teilnehmerpakets“ ACHTUNG!..."

„Der Lehrplan der zusätzlichen Aufnahmeprüfung zum Masterstudiengang für die Fachrichtung 1-23 80 06 „Geschichte der internationalen Beziehungen und Außenpolitik“ ist auf der Grundlage der Standardstudiengänge „Geschichte“ zusammengestellt internationale Beziehungen" und "Geschichte der Außenpolitik Weißrusslands" sowie Staatsexamensprogramme in Spezialdisziplinen für Fachgebiet 1-23 01 01 „Internationale Beziehungen“. Überlegt und zur Genehmigung empfohlen bei einer Sitzung des Protokolls Nr. 10 der Abteilung für internationale Beziehungen vom 7 …“

« Woche kann ein superschweres Raketenprojekt auswählen Russisch-chinesisches Labor Space Tether-Systeme Die folgenden Satelliten der Meteor-Serie werden keine Radarsysteme erhalten Die fehlende Verbindung mit dem russischen Wissenschaftssatelliten Vernov wurde noch nicht hergestellt 19.02.2015 4 Weltraum Trümmer bedrohten im Januar letzten Jahres 60 Mal die ISS auf der Erde. ..“

„MINISTERIUM FÜR BILDUNG UND WISSENSCHAFT DER RUSSISCHEN FÖDERATION“ Föderale staatliche Bildungseinrichtung für höhere Berufsbildung „Kemerowo State University“ GENEHMIGT VON: Rektor _ V. A. Volchek „“ _ 2014 Hauptbildungsprogramm höhere Bildung Spezialität 030701 Internationale Beziehungen Schwerpunkt (Spezialisierung) „Weltpolitik“ Qualifikation (Abschluss) Spezialist im Bereich Internationale Beziehungen Studienform Vollzeit Kemerovo 2014...“

„ISLAM IM MODERNEN URAL Alexey Malashenko, Alexey Starostin APRIL 2015 ISLAM IM MODERNEN URAL Alexey Malashenko, Alexey Starostin Diese Ausgabe von „Working Materials“ wurde von einer gemeinnützigen nichtstaatlichen Forschungsorganisation – dem Carnegie Moscow Center – erstellt. Das Carnegie Endowment for International Peace und das Carnegie Moscow Center als Organisation vertreten in gesellschaftspolitischen Fragen keine gemeinsame Position. Die Veröffentlichung spiegelt die persönlichen Ansichten der Autoren wider, die nicht ..."

„Der Hauptgrundsatz von Knauf ist, dass alles „mitdenken“ muss (nach sorgfältiger gemeinsamer Überlegung und unter Berücksichtigung der Interessen derjenigen, für die man arbeitet). Allmählich es Schlüsselkonzept hat in Russland Wurzeln geschlagen.“ Aus einem Interview mit Yu.A. Mikhailov, Generaldirektor KNAUF GIPS KOLPINO LLC Managementpraktiken der russischen Abteilung eines internationalen Konzerns: die Erfahrungen von KNAUF CIS* Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Zusammenfassung Basierend auf einer Analyse der Erfahrungen der Entwicklung der KNAUF CIS-Gruppe in...“

„Anhang INFORMATIONEN über den Fortschritt der Umsetzung der Verordnung des Gouverneurs der Region Omsk vom 28. Februar 2013 Nr. 25-r „Über Maßnahmen zur Umsetzung der Verordnung des Gouverneurs der Region Omsk vom 16. Januar 2013 Nr. 3.“ ” gemäß dem Plan der vorrangigen Aktionen für 2013 - 2014 zur Umsetzung der regionalen Aktionsstrategie im Interesse der Kinder in der Region Omsk für 2013 - 2017 für 2013 Nr. Name Verantwortliche Informationen zur Umsetzung der Unterveranstaltung Darsteller I . Familienpolitik des Kindersparens...“

„ABTEILUNG FÜR BILDUNG UND JUGENDPOLITIK DES AUTONOMEN KREISES Chanty-Mansijk – JUGRA Staatliche Bildungseinrichtung für höhere Berufsbildung des Autonomen Kreises Chanty-Mansijsk – Jugra Programm „Staatliche Pädagogische Universität Surgut“. industrielle Praxis BP.5. PÄDAGOGISCHE PRAXIS Ausbildungsrichtung 49.03.02 Sportunterricht für Personen mit gesundheitlichen Problemen (Adaptiv Sportunterricht) Qualifikation (Abschluss)..."

„Staatliche Autonome Bildungseinrichtung für höhere Berufsbildung „Moskauer Stadtuniversität für Management der Moskauer Regierung“ Abteilung des Instituts für höhere Berufsbildung staatlich kontrolliert und Personalpolitik GENEHMIGT vom Vizerektor für Akademische und wissenschaftliche Arbeit A.A. Alexandrov „_“_ 20_ Arbeitsprogramm akademische Disziplin„Methoden der Akzeptanz Managemententscheidungen„für Studierende der Richtung 38.03.02 „Management“ für ein Vollzeitstudium in Moskau…“

„Serie „Simple Finance“ von Yu. V. Brekhov SO ERKENNEN SIE DIE FINANZPYRAMIDE Wolgograd 2011 UDC 336 BBK 65.261 B 87 Die Broschüre aus der Serie „Simple Finance“ wurde gemäß Vereinbarung 7(2) vom 19. September 2011 erstellt der föderalen staatlichen Bildungseinrichtung für höhere Berufsbildung „Wolgograder Akademie für Staatsdienst“ mit dem Ausschuss für Haushalts- und Finanzpolitik und dem Finanzministerium der Verwaltung des Wolgograder Gebiets im Rahmen der Umsetzung des langfristigen regionalen Zielprogramms „Erhöhung der Niveau der Finanzkompetenz der Bevölkerung und sich entwickelnde finanzielle ...“
Die Materialien auf dieser Website werden nur zu Informationszwecken veröffentlicht, alle Rechte liegen bei ihren Autoren.
Wenn Sie nicht damit einverstanden sind, dass Ihr Material auf dieser Website veröffentlicht wird, schreiben Sie uns bitte. Wir werden es innerhalb von 1-2 Werktagen entfernen.

Das Internet ist heute nicht nur ein Kommunikations- oder Freizeitmittel, sondern auch ein Arbeitsmittel. Die Suche nach Informationen, die Teilnahme an Ausschreibungen, die Zusammenarbeit mit Kunden und Partnern erfordern die Präsenz von Unternehmensmitarbeitern im Internet. Auf den meisten Computern, die sowohl für persönliche als auch für organisatorische Zwecke verwendet werden, ist das Betriebssystem Windows ausgeführt. Selbstverständlich sind sie alle mit Mechanismen zur Bereitstellung des Internetzugangs ausgestattet. Ab Windows 98 Second Edition wurde Internet Connection Sharing (ICS) als Standardkomponente in Windows-Betriebssysteme integriert, die Gruppenzugriff von einem lokalen Netzwerk auf das Internet ermöglicht. Später führte Windows 2000 Server den Routing- und RAS-Dienst ein und fügte Unterstützung für das NAT-Protokoll hinzu.

Aber ICS hat seine Nachteile. Diese Funktion ändert also die Adresse des Netzwerkadapters, was zu Problemen im lokalen Netzwerk führen kann. Daher wird ICS vorzugsweise nur in Heim- oder kleinen Büronetzwerken verwendet. Dieser Dienst stellt keine Benutzerautorisierung bereit, daher ist die Verwendung in einem Unternehmensnetzwerk nicht zu empfehlen. Wenn es um die Anwendung im Heimnetzwerk geht, ist auch hier die fehlende Autorisierung per Benutzername inakzeptabel, da IP- und MAC-Adressen sehr leicht zu fälschen sind. Obwohl es in Windows möglich ist, einen einheitlichen Zugriff auf das Internet zu organisieren, kann diese Aufgabe in der Praxis entweder mit Hardware oder Hardware implementiert werden Software unabhängige Entwickler. Eine solche Lösung ist das UserGate-Programm.

Erstes Treffen

Mit dem Usergate-Proxyserver können Sie lokalen Netzwerkbenutzern Zugriff auf das Internet gewähren und Zugriffsrichtlinien definieren, indem Sie den Zugriff auf bestimmte Ressourcen verweigern, den Datenverkehr begrenzen oder die Zeit, die Benutzer im Netzwerk verbringen. Darüber hinaus ermöglicht Usergate die Führung getrennter Verkehrsaufzeichnungen sowohl nach Benutzer als auch nach Protokoll, was die Kontrolle der Internetverbindungskosten erheblich erleichtert. IN In letzter Zeit Unter Internetanbietern besteht die Tendenz, über ihre Kanäle unbegrenzten Zugang zum Internet bereitzustellen. Vor dem Hintergrund dieses Trends rücken Zutrittskontrolle und Abrechnung in den Vordergrund. Dafür reicht der Usergate-Proxyserver aus flexibles System Regeln

Der Usergate-Proxyserver mit NAT-Unterstützung (Network Address Translation) läuft auf Windows 2000/2003/XP-Betriebssystemen mit installiertem TCP/IP-Protokoll. Ohne NAT-Protokollunterstützung ist Usergate unter Windows 95/98 und Windows NT 4.0 lauffähig. Für den Betrieb des Programms selbst sind keine besonderen Ressourcen erforderlich; die Hauptvoraussetzung ist die Verfügbarkeit von ausreichend Speicherplatz für Cache- und Protokolldateien. Daher wird weiterhin empfohlen, einen Proxyserver auf einem separaten Computer zu installieren, um ihm maximale Ressourcen zu bieten.

Einstellungen

Wozu dient ein Proxyserver? Schließlich kann jeder Webbrowser (Netscape Navigator, Microsoft Internet Explorer, Opera) bereits Dokumente zwischenspeichern. Denken Sie jedoch daran, dass wir für diese Zwecke erstens keinen nennenswerten Speicherplatz zuweisen. Und zweitens ist die Wahrscheinlichkeit, dass eine Person dieselben Seiten besucht, viel geringer, als wenn dies Dutzende oder Hunderte von Personen täten (und viele Organisationen haben eine solche Anzahl von Benutzern). Daher wird die Schaffung eines einzigen Cache-Speicherplatzes für eine Organisation den eingehenden Datenverkehr reduzieren und die Suche im Internet nach Dokumenten beschleunigen, die bereits bei einem der Mitarbeiter eingegangen sind. Der UserGate-Proxyserver kann in einer Hierarchie mit externen Proxyservern (Anbietern) verbunden werden. In diesem Fall ist es möglich, den Datenverkehr zwar nicht zu reduzieren, aber zumindest den Datenempfang zu beschleunigen und die Kosten zu senken (normalerweise sind die Kosten für den Datenverkehr von einem Anbieter über einen Proxyserver niedriger).

Mit Blick auf die Zukunft möchte ich sagen, dass der Cache im Menübereich „Dienste“ konfiguriert wird (siehe Bildschirm 1). Nachdem Sie den Cache in den Modus „Aktiviert“ geschaltet haben, können Sie seine einzelnen Funktionen konfigurieren – Caching von POST-Anfragen, dynamischen Objekten, Cookies, über FTP empfangenen Inhalten. Hier können Sie die Größe des für den Cache zugewiesenen Speicherplatzes und die Lebensdauer des zwischengespeicherten Dokuments konfigurieren. Und damit der Cache funktioniert, müssen Sie den Proxy-Modus konfigurieren und aktivieren. Die Einstellungen bestimmen, welche Protokolle über den Proxyserver funktionieren (HTTP, FTP, SOCKS), auf welcher Netzwerkschnittstelle sie abgehört werden und ob eine Kaskadierung durchgeführt wird (die hierfür erforderlichen Daten werden auf einem separaten Reiter des Dienstes eingegeben). Einstellungsfenster).

Bevor Sie mit dem Programm arbeiten, müssen Sie noch weitere Einstellungen vornehmen. Dies erfolgt in der Regel in folgender Reihenfolge:

1. Benutzerkonten in Usergate erstellen.
2. Einrichten von DNS und NAT auf einem System mit Usergate. In dieser Phase beschränkt sich die Konfiguration hauptsächlich auf die Konfiguration von NAT mithilfe des Assistenten.
3. Einrichten einer Netzwerkverbindung auf Client-Rechnern, wobei das Gateway und DNS in den Eigenschaften der TCP/IP-Netzwerkverbindung registriert werden müssen.
4. Erstellen einer Internet-Zugriffsrichtlinie.

Zur Vereinfachung der Bedienung ist das Programm in mehrere Module unterteilt. Das Servermodul läuft auf einem mit dem Internet verbundenen Computer und führt grundlegende Aufgaben aus. Die Usergate-Verwaltung erfolgt über ein spezielles Modul Usergate Administrator. Mit seiner Hilfe wird die gesamte Serverkonfiguration gemäß den erforderlichen Anforderungen durchgeführt. Der Client-Teil von Usergate ist in Form des Usergate Authentication Client implementiert, der auf dem Computer des Benutzers installiert wird und zur Autorisierung von Benutzern auf dem Usergate-Server dient, wenn andere Autorisierungen als IP- oder IP + MAC-Autorisierungen verwendet werden.

Kontrolle

Die Benutzer- und Gruppenverwaltung ist in einem separaten Abschnitt untergebracht. Gruppen sind erforderlich, um die Verwaltung von Benutzern und deren allgemeinen Zugriffs- und Abrechnungseinstellungen zu erleichtern. Sie können beliebig viele Gruppen erstellen. Typischerweise werden Gruppen entsprechend der Struktur der Organisation erstellt. Welche Parameter können einer Benutzergruppe zugewiesen werden? Jeder Gruppe ist ein Tarif zugeordnet, bei dem die Zugangskosten berücksichtigt werden. Standardmäßig wird der Standardtarif verwendet. Es ist leer, sodass Verbindungen aller in der Gruppe enthaltenen Benutzer nicht berechnet werden, es sei denn, der Tarif wird im Benutzerprofil überschrieben.

Das Programm verfügt über eine Reihe vordefinierter NAT-Regeln, die nicht geändert werden können. Hierbei handelt es sich um Zugriffsregeln für die Protokolle Telten, POP3, SMTP, HTTP, ICQ usw. Beim Einrichten einer Gruppe können Sie festlegen, welche Regeln auf diese Gruppe und die darin enthaltenen Benutzer angewendet werden.

Der automatische Wählmodus kann verwendet werden, wenn die Verbindung zum Internet über ein Modem erfolgt. Wenn dieser Modus aktiviert ist, kann der Benutzer eine Verbindung zum Internet initialisieren, wenn noch keine Verbindung besteht – auf seine Anfrage hin stellt das Modem eine Verbindung her und stellt den Zugriff bereit. Bei einer Verbindung über eine Standleitung oder ADSL ist dieser Modus jedoch nicht erforderlich.

Das Hinzufügen von Benutzerkonten ist nicht schwieriger als das Hinzufügen von Gruppen (siehe Abbildung 2). Und wenn der Computer, auf dem der Usergate-Proxyserver installiert ist, Teil einer Active Directory (AD)-Domäne ist, können Benutzerkonten von dort importiert und dann in Gruppen kategorisiert werden. Aber sowohl bei der manuellen Eingabe als auch beim Import von Konten aus AD müssen Sie Benutzerrechte und Zugriffsregeln konfigurieren. Dazu gehören die Berechtigungsart, Tarifplan, verfügbare NAT-Regeln (wenn Gruppenregeln die Anforderungen eines bestimmten Benutzers nicht vollständig erfüllen).

Der Usergate-Proxyserver unterstützt mehrere Arten der Autorisierung, einschließlich der Benutzerautorisierung über Active Directory und das Windows-Anmeldefenster, wodurch Usergate in eine bestehende Netzwerkinfrastruktur integriert werden kann. Usergate verwendet einen eigenen NAT-Treiber, der die Autorisierung über ein spezielles Modul unterstützt – das Client-Autorisierungsmodul. Abhängig von der gewählten Autorisierungsmethode müssen Sie in den Einstellungen des Benutzerprofils entweder seine IP-Adresse (oder seinen Adressbereich) oder einen Namen und ein Passwort oder nur einen Namen angeben. Hier kann auch die E-Mail-Adresse des Nutzers angegeben werden, an die Berichte über die Nutzung des Internetzugangs gesendet werden.

Regeln

Das Usergate-Regelsystem bietet im Vergleich zu den Remote Access Policy-Funktionen (Remote Access Policy in RRAS) flexiblere Einstellungen. Mithilfe von Regeln können Sie den Zugriff auf bestimmte URLs blockieren, den Datenverkehr über bestimmte Protokolle begrenzen, ein Zeitlimit festlegen, die maximale Dateigröße begrenzen, die ein Benutzer herunterladen kann, und vieles mehr (siehe Abbildung 3). Standard-Betriebssystemtools verfügen nicht über ausreichende Funktionalität, um diese Probleme zu lösen.

Regeln werden mit dem Assistenten erstellt. Sie gelten für vier Hauptobjekte, die das System überwacht: Verbindung, Verkehr, Tarif und Geschwindigkeit. Darüber hinaus kann für jeden von ihnen eine Aktion ausgeführt werden. Die Ausführung von Regeln hängt von den dafür gewählten Einstellungen und Einschränkungen ab. Dazu gehören die verwendeten Protokolle und die Zeiten pro Wochentag, zu denen diese Regel in Kraft treten wird. Abschließend werden Kriterien für das Verkehrsaufkommen (eingehend und ausgehend), die im Netzwerk verbrachte Zeit, den Kontostand des Benutzers sowie eine Liste der IP-Adressen der Quelle der Anfrage und der Netzwerkadressen des Benutzers festgelegt Ressourcen, die einer Aktion unterliegen. Durch die Konfiguration von Netzwerkadressen können Sie auch die Dateitypen bestimmen, die Benutzer nicht herunterladen können.

Viele Organisationen gestatten die Nutzung von Instant-Messaging-Diensten nicht. Wie kann ein solches Verbot mit Usergate umgesetzt werden? Es reicht aus, eine Regel zu erstellen, die die Verbindung schließt, wenn die Site *login.icq.com* angefordert wird, und diese auf alle Benutzer anzuwenden. Durch die Anwendung der Regeln können Sie die Tarife für den Zugang zu regionalen oder gemeinsamen Ressourcen tagsüber oder nachts ändern (sofern solche Unterschiede vom Anbieter bereitgestellt werden). Um beispielsweise zwischen Nacht- und Tagtarifen zu wechseln, müssen zwei Regeln erstellt werden: Eine führt die zeitliche Umstellung vom Tag- auf den Nachttarif durch, die zweite schaltet zurück. Warum braucht es eigentlich Zölle? Dies ist die Grundlage des integrierten Abrechnungssystems. Derzeit kann dieses System nur zum Abgleich und zur Probekostenberechnung verwendet werden, aber sobald das Abrechnungssystem zertifiziert ist, verfügen Systembesitzer über einen zuverlässigen Mechanismus für die Zusammenarbeit mit ihren Kunden.

Benutzer

Kommen wir nun zurück zu den DNS- und NAT-Einstellungen. Beim Einrichten von DNS müssen die Adressen externer DNS-Server angegeben werden, auf die das System zugreifen soll. In diesem Fall ist es auf Benutzerrechnern erforderlich, in den Verbindungseinstellungen für die TCP/IP-Eigenschaften als Gateway und DNS die IP der internen Netzwerkschnittstelle des Rechners mit Usergate anzugeben. Ein etwas anderes Konfigurationsprinzip bei der Verwendung von NAT. In diesem Fall müssen Sie dem System eine neue Regel hinzufügen, die die Definition der Empfänger-IP (lokale Schnittstelle) und der Absender-IP (externe Schnittstelle), des Ports 53 und des UDP-Protokolls erfordert. Diese Regel muss allen Benutzern zugewiesen werden. Und in den Verbindungseinstellungen auf ihren Computern sollten Sie als DNS die IP-Adresse des DNS-Servers des Anbieters und als Gateway die IP-Adresse des Computers mit Usergate angeben.

Die Konfiguration von E-Mail-Clients kann sowohl über Port-Mapping als auch über NAT erfolgen. Wenn Ihre Organisation die Nutzung von Instant-Messaging-Diensten zulässt, müssen die Verbindungseinstellungen dafür geändert werden – Sie müssen die Verwendung einer Firewall und eines Proxys angeben, die IP-Adresse der internen Netzwerkschnittstelle des Computers mit Usergate festlegen und HTTPS auswählen oder Socks-Protokoll. Sie müssen jedoch bedenken, dass Sie bei der Arbeit über einen Proxyserver nicht in Chatrooms und Video-Chats arbeiten können, wenn Sie Yahoo Messenger verwenden.

Betriebsstatistiken werden in einem Protokoll aufgezeichnet, das Informationen über die Verbindungsparameter aller Benutzer enthält: Verbindungszeit, Dauer, ausgegebene Mittel, angeforderte Adressen, Menge der empfangenen und übertragenen Informationen. Sie können die Aufzeichnung von Informationen über Benutzerverbindungen in der Statistikdatei nicht abbrechen. Um Statistiken im System anzuzeigen, gibt es ein spezielles Modul, auf das sowohl über die Administratoroberfläche als auch aus der Ferne zugegriffen werden kann. Daten können nach Benutzern, Protokollen und Zeit gefiltert und zur weiteren Verarbeitung in einer externen Excel-Datei gespeichert werden.

Was weiter

Während die ersten Versionen des Systems nur dazu gedacht waren, den Caching-Mechanismus des Proxyservers zu implementieren, verfügen die neuesten Versionen über neue Komponenten, die die Informationssicherheit gewährleisten sollen. Heute können Usergate-Benutzer das integrierte Firewall- und Antivirenmodul von Kaspersky nutzen. Mit der Firewall können Sie bestimmte Ports kontrollieren, öffnen und blockieren sowie Unternehmens-Webressourcen im Internet veröffentlichen. Die integrierte Firewall verarbeitet Pakete, die nicht auf der Ebene der NAT-Regeln verarbeitet werden. Sobald das Paket vom NAT-Treiber verarbeitet wurde, wird es nicht mehr von der Firewall verarbeitet. Die für den Proxy vorgenommenen Porteinstellungen sowie die im Port Mapping angegebenen Ports werden in automatisch generierten Firewall-Regeln (Autotyp) abgelegt. Zu den Auto-Regeln gehört auch der TCP-Port 2345, der vom Usergate-Administratormodul zur Verbindung mit dem Usergate-Backend verwendet wird.

Über Perspektiven sprechen weitere Entwicklung Produkt, es ist erwähnenswert, einen eigenen VPN-Server zu erstellen, der es Ihnen ermöglicht, auf VPN vom Betriebssystem zu verzichten; Implementierung eines Mailservers mit Anti-Spam-Unterstützung und Entwicklung einer intelligenten Firewall auf Anwendungsebene.

Michail Abramzon- Leiter der Marketinggruppe bei Digt.

Nach der Verbindung des lokalen Netzwerks mit dem Internet ist es sinnvoll, ein Verkehrsabrechnungssystem einzurichten und das Usergate-Programm hilft uns dabei. Usergate ist ein Proxyserver und ermöglicht die Steuerung des Zugriffs von Computern aus dem lokalen Netzwerk auf das Internet.

Aber erinnern wir uns zunächst daran, wie wir zuvor im Videokurs „Erstellen und Einrichten eines lokalen Netzwerks zwischen Windows 7 und WindowsXP“ das Netzwerk eingerichtet und allen Computern über einen Kommunikationskanal Zugang zum Internet ermöglicht haben. Es lässt sich schematisch in folgender Form darstellen: Es gibt vier Computer, die wir zu einem Peer-to-Peer-Netzwerk verbunden haben, wir haben die Workstation-4-7-Workstation mit dem Betriebssystem Windows 7 als Gateway gewählt, d.h. schloss eine zusätzliche Netzwerkkarte mit Internetzugang an und erlaubte anderen Computern im Netzwerk, über diese Netzwerkverbindung auf das Internet zuzugreifen. Die restlichen drei Maschinen sind Internet-Clients und auf ihnen wurde die IP-Adresse des Computers, der das Internet verteilt, als Gateway und DNS angegeben. Schauen wir uns nun die Frage der Kontrolle des Zugangs zum Internet an.

Die Installation von UserGate unterscheidet sich nicht von der Installation eines normalen Programms; nach der Installation fordert das System zum Neustart auf, also starten wir neu. Versuchen wir nach dem Neustart zunächst, von dem Computer, auf dem UserGate installiert ist, auf das Internet zuzugreifen. Der Zugriff ist möglich, jedoch nicht von anderen Computern aus. Daher hat der Proxyserver seine Arbeit aufgenommen und verbietet standardmäßig allen dies Zugriff auf das Internet, daher müssen Sie es konfigurieren.

Starten Sie die Administratorkonsole ( Start\Programme\UserGate\Admin-Konsole) und hier erscheint die Konsole selbst und eine Registerkarte öffnet sich Verbindungen. Wenn wir versuchen, eine der Registerkarten von links zu öffnen, wird eine Meldung angezeigt (die UserGate-Administratorkonsole ist nicht mit dem UserGate-Server verbunden). Wenn wir also starten, wird die Registerkarte „Verbindungen“ geöffnet, sodass wir zunächst eine Verbindung zum UserGate-Server herstellen können.

Daher ist der Servername standardmäßig lokal; Benutzer – Administrator; Server – localhost, d.h. der Serverteil befindet sich auf diesem Computer; Hafen – 2345.

Doppelklicken Sie auf diesen Eintrag und stellen Sie eine Verbindung zum UserGate-Dienst her. Wenn die Verbindung fehlschlägt, prüfen Sie, ob der Dienst ausgeführt wird ( Strg+ Alt+ Esc\Dienstleistungen\UserGate)

Beim ersten Verbinden startet es Setup-AssistentUserGate, klicken Nein, da wir alles manuell konfigurieren werden, um klarer zu machen, was und wo gesucht werden muss. Und gehen Sie zunächst zur Registerkarte ServerUserGate\ Schnittstellen, hier geben wir an, welche Netzwerkkarte eine Verbindung zum Internet herstellt ( 192.168.137.2 - WAN), und welches zum lokalen Netzwerk ( 192.168.0.4 - LAN).

Weiter Benutzer und Gruppen\Benutzer, hier gibt es nur einen Benutzer, das ist die Maschine selbst, auf der der UserGate-Server läuft und sie heißt Default, d.h. Default. Fügen wir alle Benutzer hinzu, die online gehen werden. Ich habe drei davon:

Arbeitsplatz-1-xp – 192.168.0.1

Arbeitsplatz-2-xp – 192.168.0.2

Arbeitsplatz-3-7 – 192.168.0.3

Wir belassen den Gruppen- und Tarifplan als Standard, ich werde die Autorisierungsart über IP-Adresse verwenden, da ich diese manuell registrieren lasse und unverändert bleibe.

Lassen Sie uns nun den Proxy selbst konfigurieren. Gehen Sie zu Dienste\Proxy-Einstellungen\HTTP, hier wählen wir die IP-Adresse aus, die wir als Gateway auf Client-Rechnern angegeben haben, ich habe diese 192.168.0.4 , und auch ein Häkchen setzen Transparenter Modus Um die Proxy-Server-Adresse nicht manuell in Browsern einzugeben, prüft der Browser in diesem Fall, welches Gateway in den Netzwerkverbindungseinstellungen angegeben ist, und leitet Anfragen dorthin um.