Tere päevast, kallis külastaja. Aasta 2013 on seljataga, mõne jaoks oli raske, teisele kerge, aga aeg lendab ja kui arvestada, et üks nanosekund on 10 −9 Koos. siis see lihtsalt lendab. Selles artiklis räägin teile Entensysi uuest tootest, mille partnerid oleme kolmes valdkonnas UserGate Proxy & Firewall 6.2.1.

UserGate Proxy & Firewall 5.2F ​​versiooni 6.2 administreerimise seisukohalt, mille juurutamist oma IT allhanke praktikas edukalt praktiseerime, praktiliselt ei eksisteeri. Kasutame Hyper-V-d laborikeskkonnana, nimelt kahte esimese põlvkonna virtuaalmasinat, serveriosa Windows Server 2008 R2 SP1-s ja kliendiosa Windows 7 hoolduspaketis SP1. Mingil mulle teadmata põhjusel ei installeerita UserGate'i versioon 6 Windows Server 2012 ja Windows Server 2012 R2 peale.

Niisiis, mis on puhverserver?

Puhverserver(inglise puhverserverist - "esindaja, volitatud") - teenus (programmide komplekt). arvutivõrgud, mis võimaldab klientidel teha kaudseid päringuid teistele võrguteenustele. Esiteks loob klient ühenduse puhverserveriga ja taotleb ressurssi (näiteks e-posti), mis asub teises serveris. Seejärel loob puhverserver ühenduse määratud serveriga ja hangib sealt ressursi või tagastab ressursi oma vahemälust (juhul, kui puhverserveril on oma vahemälu). Mõnel juhul võib puhverserver kliendi päringut või serveri vastust teatud eesmärkidel muuta. Puhverserver võimaldab ka kaitsta kliendi arvutit mõningate võrgurünnakute eest ja aitab säilitada kliendi anonüümsust.

MidasellineUserGate'i puhverserver ja tulemüür?

UserGate'i puhverserver ja tulemüür- See terviklik lahendus kasutajate ühendamiseks Internetiga, täieliku liiklusarvestuse, juurdepääsukontrolli ja sisseehitatud võrgukaitse tööriistade pakkumiseks.

Definitsioonist vaatame, milliseid lahendusi Entensys oma tootes pakub, kuidas liiklust arvutatakse, kuidas ligipääs on piiratud ja milliseid kaitsevahendeid UserGate Proxy & Firewall pakub.

Millest see koosneb?UserGate?

UserGate koosneb mitmest osast: server, halduskonsool ja mitmed lisamoodulid. Server on puhverserveri põhiosa, milles on rakendatud kõik selle funktsioonid. UserGate server võimaldab juurdepääsu Internetile, loendab liiklust, peab statistikat kasutajate tegevuse kohta võrgus ja täidab palju muid toiminguid.

UserGate'i halduskonsool on programm, mis on loodud UserGate'i serveri haldamiseks. UserGate halduskonsool suhtleb serveriosaga spetsiaalse turvalise protokolli kaudu üle TCP/IP, mis võimaldab teostada serveri kaughaldust.

UserGate sisaldab kolme lisamoodulit: "Veebistatistika", "UserGate'i autoriseerimisklient" ja "Rakendusjuhtimise" moodul.

Server

UserGate serveripoolse installimine on väga lihtne, ainsaks erinevuseks on andmebaasi valik installiprotsessi käigus. Juurdepääs andmebaasile toimub otse (sisseehitatud Firebirdi andmebaasi jaoks) või ODBC draiveri kaudu, mis võimaldab UserGate'i serveril töötada peaaegu igas vormingus (MSAccess, MSSQL, MySQL) andmebaasidega. Vaikimisi kasutatakse Firebirdi andmebaasi. Kui otsustate UserGate'i varasematest versioonidest uuendada, siis peate statistika andmebaasiga hüvasti jätma, sest: Statistikafaili jaoks on toetatud ainult kasutajate hetkejääkide ülekandmine, liiklusstatistikat ennast ei edastata. Andmebaasi muudatused põhjustasid vana andmebaasi jõudlusprobleemid ja selle suuruse piirangud. Uuel Firebirdi andmebaasil selliseid puudujääke pole.

Halduskonsooli käivitamine.

Konsool on installitud serveri VM-i. Esmakordsel käivitamisel avaneb halduskonsool lehele Ühendused, mis sisaldab administraatori kasutaja jaoks ühte ühendust kohaliku hosti serveriga. Ühenduse parool pole määratud. Halduskonsooli saate serveriga ühendada, topeltklõpsates real localhost-administrator või klõpsates juhtpaneelil ühenduse nuppu. UserGate'i halduskonsoolis saate luua mitu ühendust.

Ühenduse seaded määravad järgmised parameetrid:

• Serveri nimi on ühenduse nimi;
• Kasutajanimi – serveriga ühenduse loomiseks logi sisse;
• Serveri aadress – UserGate serveri domeeninimi või IP-aadress;
• Port – serveriga ühenduse loomiseks kasutatav TCP-port (vaikimisi kasutatakse porti 2345);
• Parool – ühenduse parool;
• Küsi ühenduse loomisel parooli – see valik võimaldab serveriga ühenduse loomisel kuvada dialoogi kasutajanime ja parooli sisestamiseks;
• Loo automaatselt ühendus selle serveriga – halduskonsool loob käivitamisel selle serveriga automaatselt ühenduse.

Serveri esmakordsel käivitamisel pakub süsteem installiviisardi, millest me keeldume. Halduskonsooli sätted salvestatakse faili console.xml, mis asub kataloogis %UserGate%\Administrator.

NAT-i taga ühenduste seadistamine. Lõik "NAT-i üldised sätted" võimaldab määrata TCP-, UDP- või ICMP-protokolli kaudu NAT-ühenduste ajalõpu väärtuse. Ajalõpu väärtus määrab NAT-i kaudu kasutajaühenduse eluea, kui andmeedastus ühenduse kaudu on lõpule viidud. Jätame selle sätte vaikeseadeks.

Rünnaku detektor on spetsiaalne valik, mis võimaldab lubada sisemise mehhanismi jälgida ja blokeerida pordiskannerit või katseid hõivata kõiki serveri porte.

Blokeeri brauseri rea järgi– kasutajaagendi brauserite loend, mille puhverserver saab blokeerida. Need. Saate näiteks takistada vanemate brauserite (nt IE 6.0 või Firefox 3.x) Interneti-juurdepääsu.

Liidesed

Jaotis Liidesed on UserGate'i serveri sätetes peamine, kuna see määrab sellised probleemid nagu liikluse loendamise õigsus, tulemüüri reeglite loomise võimalus, Interneti-kanali laiuse piirangud teatud tüüpi liikluse jaoks, võrkude vaheliste suhete loomine ja pakettide töötlemise järjekord NAT-draiveri poolt. Vahekaardil "Liidesed" valige liideste jaoks soovitud tüüp. Seega peaksite Internetiga ühendatud adapteri jaoks valima ühendatud adapteri jaoks WAN-i tüübi kohalik võrk- LAN tüüp. VM-i Interneti-juurdepääs on jagatud, vastavalt aadressiga 192.168.137.118 liides on WAN-adapter, valige soovitud tüüp ja klõpsake nuppu "Rakenda". Seejärel taaskäivitame serveri.

Kasutajad ja rühmad

Juurdepääs Internetile on saadaval ainult kasutajatele, kes on UserGate'i serveris autoriseerimise edukalt lõpetanud. Programm toetab järgmisi kasutaja autoriseerimismeetodeid:

• IP-aadressi järgi
• IP-aadressi vahemiku järgi
• IP+MAC-aadressi järgi
• MAC-aadressi järgi
• Autoriseerimine HTTP-ga (HTTP-basic, NTLM)
• Autoriseerimine sisselogimise ja parooliga (Authorization Client)
• Lihtsustatud autoriseerimisvalik Active Directory kaudu

Viimase kolme autoriseerimismeetodi kasutamiseks peate installima kasutaja tööjaama spetsiaalse rakenduse - UserGate'i autoriseerimiskliendi. Vastav MSI pakett (AuthClientInstall.msi) asub kataloogis %UserGate%\tools ja seda saab kasutada automaatseks installimiseks, kasutades Active Directory rühmapoliitikat.

Terminali kasutajatele pakutakse ainult valikut „Autoriseerimine HTTP kaudu”. Vastav valik on lubatud halduskonsooli jaotises Üldsätted.

Üksuse kaudu saate luua uue kasutaja Lisa uus kasutaja või klõpsates nuppu Lisama lehe juhtpaneelil Kasutajad ja rühmad.

Kasutajate lisamiseks on veel üks viis - võrgu skannimine ARP-päringutega. Peate lehe administraatorikonsoolis klõpsama tühjal alal kasutajad ja valige üksus skannida kohalikku võrku. Järgmisena määrake kohaliku võrgu parameetrid ja oodake skannimise tulemusi. Selle tulemusena näete kasutajate loendit, keda saab UserGate'i lisada. Noh, kontrollime, klõpsake nuppu "Skanni kohalikku võrku"

Määrake parameetrid:

Töötab!

Kasutaja lisamine

Tasub meenutada, et UserGate'il on autentimisprioriteet, esmalt füüsiline ja seejärel loogiline. See meetod ei ole usaldusväärne, kuna... kasutaja saab muuta IP-aadressi. Meile sobib Active Directory kontode import, mida saame lihtsalt importida, klõpsates nuppu “Import”, seejärel “Select” ja oma konto nime “Ok”, “Ok”.

Valige "Rühm", jätke vaikeväärtuseks "vaikeseade"

Klõpsake "OK" ja salvestage muudatused.

Meie kasutaja lisati probleemideta. Samuti on võimalik AD gruppe sünkroonida vahekaardil "Grupid".

Puhverserveri teenuste seadistamine UserGate'is

UserGate serverisse on integreeritud järgmised puhverserverid: HTTP (toega "FTP üle HTTP" ja HTTPS režiim - Ühendusmeetod), FTP, SOCKS4, SOCKS5, POP3 ja SMTP, SIP ja H323. Puhverserveri sätted on saadaval halduskonsooli jaotises Teenused → Puhverserveri sätted. Puhverserveri põhiseaded hõlmavad järgmist: liides ja pordi number, millel puhverserver töötab. Näiteks lubame oma LAN-liideses läbipaistva HTTP-puhverserveri. Läheme jaotisse "Puhverserveri sätted" ja valige HTTP.

Valime oma liidese, jätame kõik vaikeseadeks ja klõpsake "OK"

Läbipaistva režiimi kasutamine

Puhverserveri sätete funktsioon "Läbipaistev režiim" on saadaval, kui UserGate'i server on installitud koos NAT-draiveriga. Läbipaistvas režiimis kuulab NAT UserGate'i draiver teenuste jaoks standardseid porte: 80 TCP HTTP jaoks, 21 TCP FTP jaoks, 110 ja 25 TCP POP3 ja SMTP jaoks UserGate'iga arvuti võrguliidestes. Kui päringuid on, edastab see need vastavasse UserGate'i puhverserverisse. Võrgurakendustes läbipaistva režiimi kasutamisel ei pea kasutajad määrama puhverserveri aadressi ja porti, mis vähendab oluliselt administraatori tööd kohaliku võrgu Interneti-juurdepääsu võimaldamisel. Siiski sisse võrgusätted tööjaamades tuleb lüüsiks määrata UserGate server ja määrata DNS-serveri aadress.

Meili puhverserverid UserGate'is

UserGate'i meilipuhverserverid on loodud töötama POP3- ja SMTP-protokollidega ning meililiikluse viirusetõrjeks. POP3 ja SMTP puhverserveri läbipaistva töörežiimi kasutamisel ei erine kasutaja tööjaama meilikliendi seaded otse Interneti-juurdepääsuga valikule vastavatest sätetest.

Kui UserGate POP3 puhverserverit kasutatakse läbipaistmatus režiimis, siis kasutaja tööjaamas asuva meilikliendi seadistustes tuleb POP3 serveri aadressiks määrata UserGate'iga arvuti IP aadress ja UserGate POP3 puhverserverile vastav port. Lisaks on kaug-POP3-serveris autoriseerimiseks sisselogimine määratud järgmises vormingus: e-posti_aadress@POP3_serveri_aadress. Näiteks kui kasutajal on postkast [e-postiga kaitstud], siis peate meilikliendi UserGate POP3 puhverserveri sisselogimiseks määrama: use [e-postiga kaitstud]@pop.mail123.com. See vorming on vajalik selleks, et UserGate'i server saaks määrata kaug-POP3-serveri aadressi.

Kui UserGate SMTP puhverserverit kasutatakse läbipaistmatus režiimis, siis tuleb puhverserveri sätetes määrata SMTP-serveri IP-aadress ja port, mida UserGate kirjade saatmiseks kasutab. Sel juhul tuleb kasutaja tööjaamas asuva meilikliendi seadistustes SMTP serveri aadressiks määrata UserGate serveri IP aadress ja UserGate SMTP puhverserverile vastav port. Kui saatmiseks on vaja autoriseerimist, siis tuleb meilikliendi sätetes määrata SMTP-serverile vastav sisselogimine ja parool, mis on määratud UserGate'i SMTP puhverserveri sätetes.

Noh, see kõlab lahedalt, kontrollime seda saidi mail.ru abil.

Kõigepealt lubame oma serveris POP3 ja SMTP puhverserverid. POP3 lubamisel määrame LAN-liidese standardseks pordiks 110.

Samuti veenduge, et "Läbipaistev puhverserver" poleks linnuke ja klõpsake "OK" ja "Rakenda".

Tühjendage ruut "Läbipaistev režiim" ja kirjutage "Kaugserveri seaded", meie puhul smtp.mail.ru. Miks on näidatud ainult üks server? Ja siin on vastus: eeldatakse, et organisatsioon kasutab ühte smtp-serverit ja just see server on märgitud SMTP-puhverserveri seadetes.

POP3 esimene reegel peaks välja nägema selline.

Teiseks, nagu ütleks Aleksander Nevski "Nagu nii"

Ärge unustage nuppu "Rakenda" ja liikuge edasi kliendi seadistamise juurde. Nagu mäletame, “Kui UserGate POP3 puhverserverit kasutatakse läbipaistmatus režiimis, siis tuleb kasutaja tööjaama meilikliendi seadistustes määrata UserGate’iga arvuti IP-aadress ja UserGate POP3 puhverserverile vastav port POP3 serveri aadress. Lisaks on kaug-POP3-serveris autoriseerimiseks sisselogimine määratud järgmises vormingus: e-posti_aadress@POP3_serveri_aadress." Hakkame tegutsema.

Kõigepealt logige sisse autoriseerimiskliendisse, seejärel avage tavaline Outlook; meie näites lõin testpostkasti [e-postiga kaitstud], ja konfigureerige see, määrates meie postkasti UserGate'i jaoks arusaadavas vormingus [e-postiga kaitstud]@pop.mail.ru, samuti POP- ja SMTP-serverid, meie puhverserveri aadress.

Klõpsake "Konto kinnitamine..."

Sadama määramine

UserGate toetab pordi edastamise funktsiooni. Kui on olemas pordi määramise reeglid, suunab UserGate server UserGate'iga arvuti antud võrguliidese kindlasse porti saabuvad kasutajapäringud ümber teisele määratud aadressile ja pordile, näiteks mõnele teisele kohtvõrgu arvutile. Port Forwarding funktsioon on saadaval TCP ja UDP protokollide jaoks.

Kui pordi määramist kasutatakse Internetist ettevõttesisesele ressursile juurdepääsu võimaldamiseks, peate valima parameetriks Autoriseerimine Määratud kasutaja, vastasel juhul pordi suunamine ei tööta. Ärge unustage kaugtöölauda lubada.

Vahemälu seadistamine

Puhverserveri üks eesmärke on võrguressursside vahemällu salvestamine. Vahemällu salvestamine vähendab teie Interneti-ühenduse koormust ja kiirendab juurdepääsu sageli külastatavatele ressurssidele. UserGate'i puhverserver salvestab HTTP- ja FTP-liikluse vahemällu. Vahemällu salvestatud dokumendid paigutatakse kohalikku kausta %UserGate_data%\Cache. Vahemälu sätted näitavad vahemälu maksimaalset suurust ja vahemällu salvestatud dokumentide salvestusaega.

Viirusetõrje skannimine

UserGate serverisse on integreeritud kolm viirusetõrjemoodulit: Kaspersky Labi viirusetõrje, Panda Security ja Avira. Kõik viirusetõrjemoodulid on mõeldud sissetuleva liikluse skannimiseks HTTP, FTP ja UserGate e-posti puhverserverite kaudu ning väljamineva liikluse läbi SMTP puhverserverite kaudu.

Viirusetõrjemooduli seaded on saadaval halduskonsooli jaotises Teenused → Viirusetõrje. Iga viirusetõrje puhul saate määrata, milliseid protokolle see kontrollib, määrata viirusetõrje andmebaaside värskendamise sageduse ja määrata ka URL-id, mida ei ole vaja kontrollida (URL-i filtri valik). Lisaks saate seadetes määrata kasutajate rühma, kelle liiklust ei pea viirusetõrjet kontrollima.

Enne viirusetõrje sisselülitamist peate esmalt värskendama selle andmebaasi.

Pärast ülaltoodud funktsioone liigume edasi sageli kasutatavate funktsioonide juurde, need on "Traffic Management" ja "Application Control".

Liiklusjärelevalve reeglite süsteem

UserGate'i server võimaldab liiklushaldusreeglite abil juhtida kasutajate juurdepääsu Internetile. Liikluskontrolli reeglid on mõeldud teatud võrguressurssidele juurdepääsu keelamiseks, liikluse tarbimise piirangute seadmiseks, Interneti-kasutajate ajakava koostamiseks ja ka kasutajakontode oleku jälgimiseks.

Meie näites piirame juurdepääsu kasutajale, kelle taotluses on viited saidile vk.com. Selleks minge jaotisse "Liikluskorraldus – reeglid"

Andke reeglile nimi ja toiming "Sule ühendus"

Peale saidi lisamist liikuge järgmise parameetri juurde, valides grupi või kasutaja, saab reegli seada nii kasutajale kui ka grupile, meie puhul kasutajale “Kasutaja”.

Rakenduse juhtimine

Interneti-juurdepääsu kontrolli poliitika sai loogilise jätku rakenduse tulemüüri mooduli näol. UserGate'i administraator saab lubada või keelata juurdepääsu Internetile mitte ainult kasutajatele, vaid ka kasutaja tööjaama võrgurakendustele. Selleks tuleb kasutajate tööjaamadesse installida spetsiaalne rakendus App.FirewallService. Paketi installimine on võimalik nii käivitatava faili kui ka vastava MSI paketi (AuthFwInstall.msi) kaudu, mis asub kataloogis %Usergate%\tools.

Läheme moodulisse "Rakenduse juhtimine – reeglid" ja loome keelava reegli, näiteks IE käivitamise keelamiseks. Klõpsake nuppu Lisa rühm, andke sellele nimi ja määrake rühmale reegel.

Valime oma loodud reegligrupi, saame märkida linnukese "Vaikereeglid", sel juhul lisatakse reeglid gruppi "Vaikereeglid"

Reegli rakendamine kasutajale kasutaja atribuutides

Nüüd installime klientjaama Auth.Client ja App.Firewall, pärast installimist peaks IE olema blokeeritud varem loodud reeglitega.

Nagu näeme, reegel töötas, keelame nüüd reeglid, et kasutaja saaks näha, kuidas reegel saidi vk.com jaoks töötab. Pärast reegli keelamist kasutajavärava serveris peate ootama 10 minutit (serveriga sünkroonimise aeg). Proovime pääseda otselingile

Proovime läbi otsingumootori google.com

Nagu näete, töötavad reeglid probleemideta.

Niisiis, see artikkel hõlmab vaid väikest osa funktsioonidest. Tulemüüri, marsruutimisreeglite ja NAT-reeglite võimalikud sätted jäetakse välja. UserGate Proxy & Firewall pakub laias valikus lahendusi, isegi veidi rohkem. Toode toimis väga hästi ja mis kõige tähtsam, seda oli lihtne seadistada. Jätkame selle kasutamist klientide IT-taristute teenindamiseks tüüpiliste probleemide lahendamiseks!

Internet ei ole tänapäeval mitte ainult suhtlusvahend või vaba aja veetmise viis, vaid ka töövahend. Info otsimine, hangetel osalemine, töö klientide ja partneritega nõuavad ettevõtte töötajate olemasolu Internetis. Enamik arvutitest, mida kasutatakse nii isiklikel kui ka organisatsioonilistel eesmärkidel, kasutavad Windowsi operatsioonisüsteeme. Loomulikult on need kõik varustatud mehhanismidega Interneti-juurdepääsu tagamiseks. Alates operatsioonisüsteemist Windows 98 Second Edition on Windowsi operatsioonisüsteemidesse standardkomponendina sisse ehitatud Interneti-ühenduse jagamine (ICS), mis pakub grupijuurdepääsu kohtvõrgust Internetti. Hiljem tutvustas Windows 2000 Server marsruutimise ja kaugjuurdepääsu teenust ning lisas NAT-protokolli toe.

Kuid ICS-il on oma puudused. Seega muudab see funktsioon võrguadapteri aadressi ja see võib põhjustada probleeme kohalikus võrgus. Seetõttu kasutatakse ICS-i eelistatavalt ainult kodu- või väikekontorivõrkudes. See teenus ei anna kasutajale autoriseerimist, mistõttu ei ole soovitatav seda kasutada ettevõtte võrgus. Kui räägime koduvõrgus rakendusest, siis ka siin muutub vastuvõetamatuks kasutajanime autoriseerimise puudumine, kuna IP- ja MAC-aadresse on väga lihtne võltsida. Seetõttu, kuigi Windowsis on võimalik korraldada ühtne juurdepääs Internetile, on praktikas selle ülesande elluviimiseks kas riistvara või tarkvara sõltumatud arendajad. Üks selline lahendus on programm UserGate.

Esimene kohtumine

Usergate'i puhverserver võimaldab pakkuda kohaliku võrgu kasutajatele juurdepääsu Internetile ja määratleda juurdepääsupoliitikad, keelates juurdepääsu teatud ressurssidele, piirates liiklust või kasutajate võrgus töötamise aega. Lisaks võimaldab Usergate pidada eraldi liiklusregistreid nii kasutajate kui ka protokollide kaupa, mis hõlbustab oluliselt internetiühenduse kulude kontrolli. IN Hiljuti Interneti-pakkujate seas on tendents pakkuda oma kanalite kaudu piiramatut juurdepääsu Internetile. Selle trendi taustal on esiplaanil juurdepääsukontroll ja raamatupidamine. Selleks piisab Usergate'i puhverserverist paindlik süsteem reeglid

Usergate'i puhverserver koos NAT-i (võrguaadressi tõlkimise) toega töötab Windows 2000/2003/XP operatsioonisüsteemides, kus on installitud TCP/IP-protokoll. Ilma NAT-protokolli toeta saab Usergate töötada opsüsteemides Windows 95/98 ja Windows NT 4.0. Programm ise ei vaja töötamiseks eriressursse, peamine tingimus on piisava kettaruumi olemasolu vahemälu ja logifailide jaoks. Seetõttu on siiski soovitatav puhverserver paigaldada eraldi masinasse, andes sellele maksimaalselt ressursse.

Seaded

Mille jaoks on puhverserver? Iga veebibrauser (Netscape Navigator, Microsoft Internet Explorer, Opera) suudab ju juba dokumente vahemällu salvestada. Kuid pidage meeles, et esiteks ei eralda me nendel eesmärkidel märkimisväärsel hulgal kettaruumi. Ja teiseks, tõenäosus, et üks inimene samu lehti külastab, on palju väiksem kui siis, kui seda teeksid kümned või sajad inimesed (ja paljudel organisatsioonidel on nii palju kasutajaid). Seetõttu vähendab organisatsiooni jaoks ühtse vahemäluruumi loomine sissetulevat liiklust ja kiirendab ühe töötaja poolt juba vastu võetud dokumentide otsimist Internetist. UserGate'i puhverserverit saab hierarhias ühendada väliste puhverserveritega (pakkujatega) ja sel juhul on võimalik kui mitte liiklust vähendada, siis vähemalt kiirendada andmete vastuvõtmist, aga ka vähendada kulusid. (tavaliselt on teenusepakkujalt puhverserveri kaudu tuleva liikluse hind madalam).

Tulevikku vaadates ütlen, et vahemälu on konfigureeritud menüü jaotises "Teenused" (vt ekraani 1). Pärast vahemälu lülitamist režiimi "Lubatud" saate konfigureerida selle üksikud funktsioonid - POST-päringute, dünaamiliste objektide, küpsiste, FTP kaudu vastuvõetud sisu vahemällu salvestamine. Siin saate konfigureerida vahemälu jaoks eraldatud kettaruumi suurust ja vahemällu salvestatud dokumendi eluiga. Ja selleks, et vahemälu töötaks, peate puhverserveri režiimi konfigureerima ja lubama. Seadistused määravad, millised protokollid puhverserveri kaudu töötavad (HTTP, FTP, SOCKS), millisel võrguliidesel neid kuulatakse ja kas toimub kaskaad (selleks vajalikud andmed sisestatakse teenuse eraldi vahekaardile). seadete aken).

Enne programmiga töötamist peate tegema muud seaded. Reeglina tehakse seda järgmises järjestuses:

1. Kasutajakontode loomine Usergate'is.
2. DNS ja NAT seadistamine süsteemis Usergate'iga. Selles etapis taandub konfiguratsioon peamiselt NAT-i konfigureerimisele viisardi abil.
3. Võrguühenduse seadistamine klientmasinatel, kus on vaja TCP/IP võrguühenduse atribuutides registreerida lüüs ja DNS.
4. Interneti-juurdepääsu poliitika loomine.

Kasutamise hõlbustamiseks on programm jagatud mitmeks mooduliks. Serverimoodul töötab Internetiga ühendatud arvutis ja täidab põhiülesandeid. Kasutajavärava administreerimine toimub spetsiaalse mooduli Usergate Administrator abil. Tema abiga teostatakse kogu serveri seadistamine vastavalt vajalikele nõuetele. Usergate'i kliendiosa on realiseeritud Usergate Authentication Client'i kujul, mis on installitud kasutaja arvutisse ja mis on mõeldud kasutajate autoriseerimiseks Usergate'i serveris, kui kasutatakse muud autoriseerimist peale IP või IP + MAC autoriseerimise.

Kontroll

Kasutajate ja rühmade haldamine on paigutatud eraldi sektsiooni. Rühmad on vajalikud kasutajate haldamise ning nende üldiste juurdepääsu- ja arveldusseadete hõlbustamiseks. Saate luua nii palju rühmi kui vaja. Tavaliselt luuakse rühmad vastavalt organisatsiooni struktuurile. Milliseid parameetreid saab kasutajarühmale määrata? Iga grupp on seotud tariifiga, mille puhul võetakse arvesse juurdepääsukulusid. Vaikimisi kasutatakse vaiketariifi. See on tühi, seega ei võeta kõigi gruppi kuuluvate kasutajate ühenduste eest tasu, välja arvatud juhul, kui tariif on kasutajaprofiilis tühistatud.

Programmil on eelmääratletud NAT-reeglite komplekt, mida ei saa muuta. Need on ligipääsureeglid protokollidele Telten, POP3, SMTP, HTTP, ICQ jne. Grupi seadistamisel saab määrata, millised reeglid sellele grupile ja sellesse kaasatud kasutajatele rakenduvad.

Automaatvalimisrežiimi saab kasutada siis, kui Interneti-ühendus toimub modemi kaudu. Kui see režiim on sisse lülitatud, saab kasutaja Interneti-ühenduse algatada, kui ühendust veel pole – tema soovil loob modem ühenduse ja annab juurdepääsu. Kuid püsiliini või ADSL-i kaudu ühenduse loomisel pole seda režiimi vaja.

Kasutajakontode lisamine pole keerulisem kui rühmade lisamine (vt joonis 2). Ja kui arvuti, kuhu on installitud Usergate'i puhverserver, on osa Active Directory (AD) domeenist, saab kasutajakontosid sealt importida ja seejärel rühmadesse kategoriseerida. Kuid nii käsitsi sisestades kui ka AD-st kontosid importides tuleb seadistada kasutajaõigused ja juurdepääsureeglid. Nende hulka kuuluvad loa tüüp, tariifiplaan, saadaolevad NAT-reeglid (kui rühmareeglid ei rahulda täielikult konkreetse kasutaja vajadusi).

Usergate'i puhverserver toetab mitut tüüpi autoriseerimist, sealhulgas kasutaja autoriseerimist Active Directory kaudu ja Windowsi sisselogimisakent, mis võimaldab integreerida Usergate'i olemasolevasse võrguinfrastruktuuri. Usergate kasutab oma NAT-draiverit, mis toetab autoriseerimist spetsiaalse mooduli - kliendi autoriseerimismooduli kaudu. Olenevalt valitud autoriseerimismeetodist tuleb kasutajaprofiili sätetes määrata kas tema IP-aadress (või aadresside vahemik) või nimi ja parool või lihtsalt nimi. Siin saab määrata ka kasutaja meiliaadressi, kuhu saadetakse aruanded tema interneti kasutamise kohta.

Reeglid

Usergate'i reeglite süsteem on sätetes paindlikum, võrreldes kaugjuurdepääsupoliitika võimalustega (RRAS-i kaugjuurdepääsupoliitika). Reeglite abil saate blokeerida juurdepääsu teatud URL-idele, piirata liiklust teatud protokollide abil, määrata ajalimiiti, piirata kasutaja allalaaditava faili maksimaalset suurust ja palju muud (vt joonis 3). Tavalistel operatsioonisüsteemi tööriistadel pole nende probleemide lahendamiseks piisavalt funktsioone.

Reeglid luuakse assistendi abil. Need kehtivad nelja põhiobjekti kohta, mida süsteem jälgib – ühendus, liiklus, tariif ja kiirus. Lisaks saab igaühe jaoks teha ühe toimingu. Reeglite täitmine sõltub selle jaoks valitud sätetest ja piirangutest. Nende hulka kuuluvad kasutatud protokollid, kellaajad nädalapäevade kaupa, millal see reegel kehtib. Lõpuks määratakse kriteeriumid liikluse mahu (sissetulev ja väljaminev), võrgus veedetud aja, kasutaja konto rahajäägi, samuti päringu allika IP-aadresside ja võrguaadresside loendi jaoks. ressursid, mille suhtes tuleb meetmeid võtta. Võrguaadresside konfigureerimine võimaldab teil määrata ka failide tüübid, mida kasutajad ei saa alla laadida.

Paljud organisatsioonid ei luba kiirsuhtlusteenuseid kasutada. Kuidas sellist keeldu Usergate'i abil rakendada? Piisab, kui luua üks reegel, mis sulgeb ühenduse saidi *login.icq.com* taotlemisel, ja rakendada seda kõigile kasutajatele. Reeglite rakendamine võimaldab teil muuta päevase või öise juurdepääsu tariife, piirkondlikele või jagatud ressurssidele (kui teenusepakkuja pakub selliseid erinevusi). Näiteks öö- ja päevatariifide vahetamiseks on vaja luua kaks reeglit, millest üks teostab ajalise ülemineku päevatariifilt öötariifile, teine ​​lülitub tagasi. Tegelikult, miks on tariife vaja? See on sisseehitatud arveldussüsteemi aluseks. Praegu saab seda süsteemi kasutada ainult vastavusse viimiseks ja proovikulude arvutamiseks, kuid kui arveldussüsteem on sertifitseeritud, on süsteemiomanikel usaldusväärne mehhanism oma klientidega töötamiseks.

Kasutajad

Nüüd pöördume tagasi DNS-i ja NAT-i sätete juurde. DNS-i seadistamine hõlmab nende väliste DNS-serverite aadresside määramist, millele süsteem juurde pääseb. Sel juhul tuleb kasutajaarvutites TCP/IP atribuutide ühendusseadetes lüüsiks ja DNS-iks määrata Usergate'iga arvuti sisevõrguliidese IP. NAT-i kasutamisel veidi erinev konfiguratsioonipõhimõte. Sel juhul peate süsteemi lisama uue reegli, mis nõuab vastuvõtja IP (kohalik liides) ja saatja IP (väline liides), pordi - 53 ja UDP-protokolli määratlemist. See reegel tuleb määrata kõigile kasutajatele. Ja nende arvutite ühenduse seadetes peaksite määrama teenusepakkuja DNS-serveri IP-aadressi kui DNS-i ja selle arvuti IP-aadressi, mille lüüsiks on Usergate.

Meilikliente saab konfigureerida nii pordi kaardistamise kui ka NAT-i kaudu. Kui teie organisatsioon lubab kasutada kiirsuhtlusteenuseid, siis tuleb muuta nende ühenduse seadeid – määrata tulemüüri ja puhverserveri kasutamine, määrata Usergate’iga arvuti sisevõrguliidese IP-aadress ja valida HTTPS. või Sokkide protokoll. Kuid peate meeles pidama, et puhverserveri kaudu töötades ei saa te Yahoo Messengeri kasutamisel töötada vestlusruumides ja videovestluses.

Toimingute statistika salvestatakse logisse, mis sisaldab teavet kõigi kasutajate ühenduse parameetrite kohta: ühenduse aeg, kestus, kulutatud vahendid, taotletud aadressid, vastuvõetud ja edastatud teabe hulk. Kasutajaühenduste teabe salvestamist statistikafaili ei saa tühistada. Statistika vaatamiseks süsteemis on spetsiaalne moodul, millele pääseb ligi nii administraatoriliidese kaudu kui ka eemalt. Andmeid saab filtreerida kasutajate, protokollide ja aja järgi ning salvestada edasiseks töötlemiseks välisesse Exceli faili.

Mis järgmiseks

Kui süsteemi esimesed versioonid olid mõeldud ainult puhverserveri vahemällu salvestamise mehhanismi juurutamiseks, siis viimastel versioonidel on infoturbe tagamiseks loodud uued komponendid. Täna saavad Usergate'i kasutajad kasutada Kaspersky sisseehitatud tulemüüri ja viirusetõrjemoodulit. Tulemüür võimaldab juhtida, avada ja blokeerida teatud porte, samuti avaldada ettevõtte veebiressursse Internetis. Sisseehitatud tulemüür töötleb pakette, mida ei töödelda NAT-reeglite tasemel. Kui NAT-draiver on paketi töödelnud, tulemüür seda enam ei töötle. Puhverserveri jaoks tehtud pordisätted ja ka pordi kaardistamises määratud pordid paigutatakse automaatselt genereeritud tulemüürireeglitesse (automaatne tüüp). Automaatreeglid hõlmavad ka TCP-porti 2345, mida moodul Usergate Administrator kasutab kasutajavärava taustaprogrammiga ühenduse loomiseks.

Rääkides toote edasise arendamise väljavaadetest, tasub mainida oma VPN-serveri loomist, mis võimaldab teil VPN-i operatsioonisüsteemist loobuda; rämpspostivastase toega meiliserveri juurutamine ja intelligentse tulemüüri arendamine rakenduste tasemel.

Mihhail Abramzon- Digti turundusgrupi juht.

Kohaliku võrgu kasutajate jaoks jagatud Interneti-juurdepääsu korraldamine on üks levinumaid ülesandeid, millega süsteemiadministraatorid peavad silmitsi seisma. Sellest hoolimata tekitab see endiselt palju raskusi ja küsimusi. Näiteks kuidas tagada maksimaalne turvalisus ja täielik juhitavus?

Sissejuhatus

Täna vaatleme üksikasjalikult, kuidas korraldada teatud hüpoteetilise ettevõtte töötajate jagatud juurdepääs Internetile. Oletame, et nende arv jääb vahemikku 50–100 inimest ja kohtvõrku on juurutatud kõik selliste infosüsteemide tavapärased teenused: Windowsi domeen, oma meiliserver, FTP-server.

Jagatud juurdepääsu pakkumiseks kasutame lahendust nimega UserGate Proxy & Firewall. Sellel on mitu funktsiooni. Esiteks on see erinevalt paljudest lokaliseeritud toodetest puhtalt Venemaa arendus. Teiseks on sellel rohkem kui kümneaastane ajalugu. Kuid kõige olulisem on toote pidev arendamine.

Selle lahenduse esimesed versioonid olid suhteliselt lihtsad puhverserverid, mis suutsid jagada ainult ühte Interneti-ühendust ja pidada statistikat selle kasutamise kohta. Nende hulgas on kõige levinum build 2.8, mida võib endiselt leida väikestes kontorites. Viimast, kuuendat versiooni arendajad ise enam puhverserveriks ei nimeta. Nende sõnul on tegemist täisväärtusliku UTM-lahendusega, mis hõlmab tervet rida ülesandeid, mis on seotud kasutajate tegevuste turvalisuse ja kontrolliga. Vaatame, kas see vastab tõele.

UserGate'i puhverserveri ja tulemüüri juurutamine

Installimise ajal pakuvad huvi kaks sammu (ülejäänud etapid on mis tahes tarkvara installimisel standardsed). Esimene neist on komponentide valik. Lisaks põhifailidele palume installida veel neli serverikomponenti - VPN, kaks viirusetõrjet (Panda ja Kaspersky Anti-Virus) ja vahemälubrauser.

VPN-serveri moodul paigaldatakse vastavalt vajadusele ehk siis, kui ettevõttel on plaanis kasutada töötajate kaugjuurdepääsu või ühendada mitu kaugvõrku. Viirusetõrjeid on mõttekas paigaldada vaid siis, kui ettevõttest on ostetud vastavad litsentsid. Nende olemasolu võimaldab teil skannida Interneti-liiklust, lokaliseerida ja blokeerida pahavara otse lüüsis. Vahemälu brauser võimaldab teil vaadata puhverserveri vahemällu salvestatud veebilehti.

Lisafunktsioonid

Soovimatute saitide keelamine

Lahendus toetab Entensys URL-i filtreerimise tehnoloogiat. Põhimõtteliselt on see pilvepõhine andmebaas, mis sisaldab enam kui 500 miljonit erinevates keeltes veebisaiti, mis on jagatud enam kui 70 kategooriasse. Selle peamiseks erinevuseks on pidev monitooring, mille käigus veebiprojekte pidevalt jälgitakse ja sisu muutudes viiakse need üle teise kategooriasse. See võimaldab teil blokeerida kõik soovimatud saidid suure täpsusega, valides lihtsalt teatud kategooriad.

Entensys URL Filteringi kasutamine suurendab Internetis töötamise turvalisust ning aitab tõsta ka töötajate efektiivsust (keelab sotsiaalsed võrgustikud, meelelahutussaidid ja muud asjad). Selle kasutamiseks on aga vaja tasulist tellimust, mida tuleb igal aastal uuendada.

Lisaks sisaldab distributsioon veel kahte komponenti. Esimene neist on "administraatorikonsool". See on eraldi rakendus, mis on loodud, nagu nimigi ütleb, UserGate'i puhverserveri ja tulemüüri serveri haldamiseks. Selle peamine omadus on kaugühenduse võimalus. Seega ei vaja administraatorid või Interneti kasutamise eest vastutavad isikud otsest juurdepääsu Interneti-lüüsile.

Teine lisakomponent on veebistatistika. Põhimõtteliselt on see veebiserver, mis võimaldab kuvada üksikasjalikku kasutusstatistikat ülemaailmne võrk ettevõtte töötajad. Ühest küljest on see kahtlemata kasulik ja mugav komponent. Lõppude lõpuks võimaldab see andmeid vastu võtta ilma täiendavat tarkvara installimata, sealhulgas Interneti kaudu. Kuid teisest küljest võtab see Interneti-lüüsi tarbetuid süsteemiressursse. Seetõttu on parem paigaldada see ainult siis, kui see on tõesti vajalik.

Teine etapp, millele peaksite UserGate Proxy & Firewalli installimisel tähelepanu pöörama, on andmebaasi valimine. Varasemates versioonides sai UGPF toimida ainult MDB-failidega, mis mõjutas süsteemi üldist jõudlust. Nüüd on valida kahe DBMS-i vahel – Firebird ja MySQL. Pealegi on esimene jaotuskomplektis, nii et selle valimisel pole täiendavaid manipuleerimisi vaja. Kui soovite kasutada MySQL-i, peate selle esmalt installima ja konfigureerima. Pärast serverikomponentide installimise lõpetamist on vaja ette valmistada tööjaamad administraatoritele ja teistele vastutavatele töötajatele, kes saavad hallata kasutajate juurdepääsu. Seda on väga lihtne teha. Piisab administraatorikonsooli installimisest nende tööarvutitesse samast distributsioonist.

Lisafunktsioonid

Sisseehitatud VPN-server

Versioon 6.0 tutvustas VPN-serveri komponenti. Selle abiga saate korraldada ettevõtte töötajate turvalise kaugjuurdepääsu kohtvõrku või ühendada organisatsiooni üksikute filiaalide kaugvõrgud ühtseks inforuumiks. Sellel VPN-serveril on kõik vajalikud funktsioonid serveritevaheliste ja klientidevaheliste tunnelite ja alamvõrkude vahelise marsruutimise loomiseks.

Põhiseade

Kogu UserGate'i puhverserveri ja tulemüüri konfigureerimine toimub halduskonsooli abil. Vaikimisi luuakse pärast installimist juba ühendus kohaliku serveriga. Kui aga kasutate seda kaugjuhtimisega, peate ühenduse looma käsitsi, määrates Interneti-lüüsi IP-aadressi või hostinime, võrgupordi (vaikimisi 2345) ja autoriseerimisparameetrid.

Pärast serveriga ühenduse loomist peate esmalt konfigureerima võrguliidesed. Seda saab teha jaotise "UserGate Server" vahekaardil "Liidesed". Võrgukaart, mis “vaatab” kohalikku võrku, on seatud LAN-tüübile ja kõik muud ühendused on seatud WAN-i. "Ajutistele" ühendustele, nagu PPPoE, VPN, määratakse automaatselt PPP tüüp.

Kui ettevõttel on globaalse võrguga kaks või enam ühendust, millest üks on peamine ja ülejäänud varundus, saab seadistada automaatse varundamise. Seda on üsna lihtne teha. Piisab, kui lisada vajalikud liidesed reservliideste nimekirja, määrata üks või mitu juhtimisressurssi ja nende kontrollimise aeg. Selle süsteemi tööpõhimõte on järgmine. UserGate kontrollib automaatselt kontrollsaitide saadavust kindla intervalli järel. Niipea kui nad lõpetavad reageerimise, lülitub toode iseseisvalt, ilma administraatori sekkumiseta varukanalile. Samal ajal jätkub juhtimisressursside saadavuse kontrollimine põhiliidese kaudu. Ja niipea, kui see õnnestub, toimub tagasilülitamine automaatselt. Ainus asi, millele peate seadistamisel tähelepanu pöörama, on juhtimisressursside valik. Parem on võtta mitu suurt saiti, mille stabiilne töö on praktiliselt tagatud.

Lisafunktsioonid

Võrgurakenduste juhtimine

UserGate Proxy & Firewall rakendab sellist huvitavat funktsiooni nagu võrgurakenduste juhtimine. Selle eesmärk on vältida volitamata tarkvara juurdepääsu Internetti. Juhtseadete osana luuakse reeglid, mis lubavad või blokeerivad erinevate programmide võrgutööd (versiooniga või ilma). Nad saavad määrata konkreetsed IP-aadressid ja sihtpordid, mis võimaldab teil paindlikult konfigureerida juurdepääsu tarkvarale, võimaldades sellel Internetis teha ainult teatud toiminguid.

Rakenduste juhtimine võimaldab teil töötada välja selge ettevõtte poliitika programmide kasutamisel ja osaliselt tõkestada pahavara levikut.

Pärast seda saate jätkata otse puhverserverite seadistamisega. Kokku rakendab vaadeldav lahendus neist seitset: HTTP (sh HTTPs), FTP, SOCKS, POP3, SMTP, SIP ja H323 protokollide jaoks. See on praktiliselt kõik, mida ettevõtte töötajatel võib internetis töötamiseks vaja minna. Vaikimisi on lubatud ainult HTTP-puhverserver, kõik teised saab vajadusel aktiveerida.

UserGate Proxy & Firewalli puhverserverid võivad töötada kahes režiimis - tavalises ja läbipaistvas. Esimesel juhul räägime traditsioonilisest puhverserverist. Server võtab vastu kasutajate päringuid ja edastab need välistele serveritele ning edastab saadud vastused klientidele. See on traditsiooniline lahendus, kuid sellel on oma ebamugavused. Eelkõige on vaja konfigureerida iga programm, mida kasutatakse Internetis töötamiseks (Interneti-brauser, e-posti klient, ICQ jne) igas kohaliku võrgu arvutis. See on muidugi palju tööd. Lisaks kordub see perioodiliselt uue tarkvara installimisel.

Läbipaistva režiimi valimisel kasutatakse spetsiaalset NAT-draiverit, mis sisaldub kõnealuse lahenduse tarnepaketis. See kuulab vastavaid porte (80 HTTP jaoks, 21 FTP jaoks jne), tuvastab neile saabuvad päringud ja edastab need puhverserverisse, kust need edasi saadetakse. See lahendus on edukam selles mõttes, et tarkvara seadistamine kliendi masinates pole enam vajalik. Ainus, mida nõutakse, on kõigi tööjaamade võrguühenduse peamiseks lüüsiks määrata Interneti-lüüsi IP-aadress.

Järgmine samm on DNS-päringu edastamise konfigureerimine. Selleks on kaks võimalust. Lihtsaim neist on nn DNS-i edastamise lubamine. Selle kasutamisel suunatakse klientidelt Interneti-lüüsi saabuvad DNS-päringud määratud serveritesse (saate kasutada kas DNS-serverit võrguühenduse seadetest või suvalisi DNS-servereid).

Teine võimalus on luua NAT-reegel, mis võtab päringud vastu pordis 53 (DNS-i standard) ja edastab need välisvõrku. Kuid sel juhul peate DNS-serverid käsitsi registreerima kõigi arvutite võrguühenduse sätetes või konfigureerima DNS-päringute saatmise Interneti-lüüsi kaudu domeenikontrolleri serverist.

kasutajate haldamine

Pärast põhiseadistuse lõpetamist saate edasi liikuda kasutajatega töötamise juurde. Alustuseks peate looma rühmad, millesse kontod hiljem kombineeritakse. Milleks see mõeldud on? Esiteks, hilisemaks integreerimiseks Active Directoryga. Ja teiseks saate määrata rühmadele reegleid (neist räägime hiljem), kontrollides nii korraga suure hulga kasutajate juurdepääsu.

Järgmine samm on kasutajate lisamine süsteemi. Saate seda teha kolmel erineval viisil. Arusaadavatel põhjustel me isegi ei arvesta neist esimest, iga konto käsitsi loomist. See valik sobib ainult väikeste võrkude jaoks, kus on vähe kasutajaid. Teine meetod on ettevõtte võrgu skannimine ARP-päringutega, mille käigus süsteem ise määrab võimalike kontode loendi. Valime aga kolmanda võimaluse, mis on lihtsuse ja halduse lihtsuse poolest kõige optimaalsem – integreerimine Active Directoryga. Seda tehakse eelnevalt loodud rühmade põhjal. Kõigepealt peate täitma üldised integratsiooniparameetrid: määrake domeen, selle kontrolleri aadress, kasutaja sisselogimine ja parool koos vajalike juurdepääsuõigustega, samuti sünkroonimisintervall. Pärast seda tuleb igale UserGate'is loodud rühmale määrata Active Directoryst üks või mitu rühma. Tegelikult lõpeb seadistus sellega. Pärast kõigi parameetrite salvestamist toimub sünkroonimine automaatselt.

Autoriseerimise käigus loodud kasutajad kasutavad vaikimisi NTLM-i autoriseerimist, st autoriseerimist domeeni sisselogimisega. See on väga mugav võimalus, kuna reeglid ja liiklusarvestussüsteem töötavad olenemata sellest, millise arvuti taga kasutaja parasjagu istub.

Selle autoriseerimismeetodi kasutamiseks vajate aga lisa tarkvara- eriklient. See programm töötab Winsocki tasemel ja edastab kasutaja autoriseerimise parameetrid Interneti-lüüsile. Selle levitamine sisaldub UserGate'i puhverserveri ja tulemüüri paketis. Saate kliendi kiiresti installida kõikidesse tööjaamadesse, kasutades Windowsi rühmapoliitikaid.

Muide, NTLM-i autoriseerimine pole kaugeltki ainus viis ettevõtte töötajatele Internetis töötamiseks luba anda. Näiteks kui organisatsioon järgib töötajate ranget sidumist tööjaamadega, saab kasutajate tuvastamiseks kasutada IP-aadressi, MAC-aadressi või mõlema kombinatsiooni. Samade meetodite abil saate korraldada juurdepääsu erinevate serverite ülemaailmsele võrgule.

Kasutaja kontroll

UGPF-i üks olulisi eeliseid on selle laialdased kasutajakontrolli võimalused. Neid rakendatakse liikluskorralduseeskirjade süsteemi abil. Selle tööpõhimõte on väga lihtne. Administraator (või muu vastutav isik) loob reeglistiku, millest igaüks esindab ühte või mitut käivitustingimust ja toimingut, mis nende ilmnemisel tehakse. Need reeglid on määratud üksikutele kasutajatele või tervetele nende rühmadele ja võimaldavad teil nende tööd Internetis automaatselt juhtida. Kokku viidi ellu neli võimalikud toimingud. Esimene on ühenduse sulgemine. See võimaldab näiteks blokeerida teatud failide allalaadimist, takistada soovimatute saitide külastamist jne. Teine tegevus on tariifi muutmine. Seda kasutatakse tariifisüsteemis, mis on integreeritud vaadeldavasse tootesse (me ei arvesta seda, sest ettevõtete võrgud see pole eriti asjakohane). Järgmine toiming võimaldab teil keelata selle ühenduse kaudu vastuvõetud liikluse loendamise. Sel juhul ei võeta edastatud teavet päevase, nädalase ja igakuise tarbimise arvutamisel arvesse. Ja lõpuks, viimane toiming on kiiruse piiramine määratud väärtuseni. Seda on väga mugav kasutada kanalite ummistumise vältimiseks suurte failide allalaadimisel ja muude sarnaste probleemide lahendamisel.

Tingimusi on liikluskorralduseeskirjas palju rohkem - kümmekond. Mõned neist on suhteliselt lihtsad, näiteks faili maksimaalne suurus. See reegel käivitub, kui kasutajad proovivad alla laadida määratud suurusest suuremat faili. Muud tingimused on ajapõhised. Eelkõige võime nende hulgas märkida ajakava (käivitatakse kellaaja ja nädalapäevade järgi) ja pühad (käivitatakse määratud päevadel).

Suurimat huvi pakuvad aga saitide ja sisuga seotud tingimused. Eelkõige saab neid kasutada teatud tüüpi sisu (nt video, heli, käivitatavad failid, tekst, pildid jne), konkreetsete veebiprojektide või kogu nende kategooriate (nt Entensys URL Filtering tehnoloogia) blokeerimiseks või muude toimingute määramiseks. kasutatakse selleks). vt kasti).

On tähelepanuväärne, et üks reegel võib sisaldada korraga mitut tingimust. Sel juhul saab administraator määrata, millisel juhul see täidetakse – kui kõik tingimused või mõni neist on täidetud. See võimaldab luua väga paindliku poliitika ettevõtte töötajate Interneti kasutamiseks, võttes arvesse suurt hulka erinevaid nüansse.

Tulemüüri seadistamine

UserGate NAT draiveri lahutamatu osa on tulemüür, mis aitab lahendada erinevaid võrguliikluse töötlemisega seotud probleeme. Konfigureerimiseks kasutatakse erireegleid, mida võib olla kolme tüüpi: võrguaadressi tõlkimine, marsruutimine ja tulemüür. Süsteemis võib olla suvaline arv reegleid. Sel juhul rakendatakse neid järjekorras, milles need on loetletud üldine nimekiri. Seega, kui sissetulev liiklus vastab mitmele reeglile, töötleb seda see, mis asub teistest kõrgemal.

Iga reeglit iseloomustavad kolm peamist parameetrit. Esimene on liikluse allikas. See võib olla üks või mitu konkreetset hosti, Interneti-lüüsi WAN- või LAN-liides. Teine parameeter on teabe eesmärk. Siin saab määrata LAN- või WAN-liidese või sissehelistamisühenduse. Reegli viimane põhiomadus on üks või mitu teenust, millele see kehtib. UserGate'i puhverserveris ja tulemüüris mõistetakse teenust kui protokolliperekonna (TCP, UDP, ICMP, suvaline protokoll) ja võrgupordi (või võrguportide vahemiku) paari. Vaikimisi on süsteemil juba muljetavaldav komplekt eelinstallitud teenuseid, mis ulatuvad tavalistest (HTTP, HTTPs, DNS, ICQ) kuni konkreetseteni (WebMoney, RAdmin, erinevad võrgumängud jne). Vajadusel saab aga administraator luua oma teenused, näiteks need, mis kirjeldavad internetipangaga töötamist.

Igal reeglil on ka toiming, mille see teostab tingimustele vastava liiklusega. Neid on ainult kaks: lubada või keelata. Esimesel juhul kulgeb liiklus määratud marsruudil takistamatult, teisel juhul aga blokeeritakse.

Võrguaadresside tõlkereeglid kasutavad NAT-tehnoloogiat. Nende abiga saate konfigureerida Interneti-juurdepääsu kohalike aadressidega tööjaamadele. Selleks peate looma reegli, määrates allikaks LAN-liidese ja sihtkohaks WAN-liidese. Marsruutimise reegleid rakendatakse, kui kõnealust lahendust kasutatakse ruuterina kahe kohaliku võrgu vahel (see rakendab seda funktsiooni). Sel juhul saab marsruutimise konfigureerida nii, et see edastaks liiklust kahesuunaliselt ja läbipaistvalt.

Tulemüüri reegleid kasutatakse liikluse töötlemiseks, mis ei lähe puhverserverisse, vaid otse Interneti-lüüsi. Kohe pärast installimist on süsteemil üks selline reegel, mis lubab kõiki võrgupakette. Põhimõtteliselt, kui loodavat Interneti-lüüsi tööjaamana ei kasutata, saab reegli toimingu muuta „Luba” asemel „Keela”. Sel juhul blokeeritakse igasugune võrgutegevus arvutis, välja arvatud kohalikust võrgust Internetti ja tagasi edastatavad transiit-NAT-paketid.

Tulemüürireeglid võimaldavad teil avaldada globaalses võrgus mis tahes kohalikke teenuseid: veebiservereid, FTP-servereid, meiliservereid jne. Samal ajal on kaugkasutajatel võimalus nendega Interneti kaudu ühendust luua. Näiteks kaaluge ettevõtte FTP-serveri avaldamist. Selleks peab administraator looma reegli, milles vali allikaks “Any”, määrama sihtkohaks soovitud WAN-liidese ja teenuseks FTP. Pärast seda valige toiming "Luba", lubage liiklusedastus ja määrake väljale "Sihtkoha aadress" kohaliku FTP-serveri ja selle võrgupordi IP-aadress.

Pärast seda konfigureerimist suunatakse kõik ühendused Interneti-lüüsi võrgukaartidega pordi 21 kaudu automaatselt ümber FTP-serverisse. Muide, häälestusprotsessi ajal saate valida mitte ainult "natiivse", vaid ka mis tahes muu teenuse (või luua oma). Sel juhul peavad väliskasutajad võtma ühendust muu pordiga kui 21. See lähenemine on väga mugav juhtudel, kui infosüsteem on kaks või enam sama tüüpi teenust. Näiteks saate korraldada välise juurdepääsu ettevõtte portaal standardse HTTP-pordi 80 kaudu ja juurdepääsu UserGate'i veebistatistikale pordi 81 kaudu.

Väline juurdepääs sisemisele meiliserverile on konfigureeritud sarnaselt.

Rakendatud tulemüüri oluline eristav tunnus on sissetungimise vältimise süsteem. See töötab täisautomaatses režiimis, tuvastades allkirjade ja heuristiliste meetodite põhjal volitamata katsed ning neutraliseerides need soovimatud liiklusvood blokeerides või ohtlikud ühendused lähtestades.

Võtame selle kokku

Selles ülevaates uurisime üksikasjalikult ettevõtte töötajate jagatud Interneti-juurdepääsu korraldamist. IN kaasaegsed tingimused See pole kõige lihtsam protsess, kuna peate arvestama paljude erinevate nüanssidega. Lisaks on olulised nii tehnilised kui ka organisatsioonilised aspektid, eriti kasutaja tegevuste kontroll.

Pärast kohtvõrgu ühendamist internetti on mõttekas seadistada liiklusarvestussüsteem ja selles aitab meid programm Usergate. Usergate on puhverserver ja võimaldab teil kontrollida arvutite juurdepääsu kohtvõrgust Internetti.

Kuid kõigepealt meenutagem, kuidas me varem videokursusel “Kohaliku võrgu loomine ja seadistamine Windows 7 ja WindowsXP vahel” võrku seadistasime ning kuidas võimaldasime kõikidele arvutitele ühe sidekanali kaudu juurdepääsu Internetile. Skemaatiliselt saab seda kujutada järgmisel kujul: on neli arvutit, mille ühendasime peer-to-peer võrku, lüüsiks valisime tööjaama tööjaam-4-7, operatsioonisüsteemiga Windows 7, s.t. ühendas Interneti-juurdepääsuga täiendava võrgukaardi ja võimaldas teistel võrgus olevatel arvutitel selle võrguühenduse kaudu Internetti pääseda. Ülejäänud kolm masinat on Interneti-kliendid ja neile märgiti lüüsi ja DNS-ina Internetti levitava arvuti IP-aadress. Vaatame nüüd Interneti-juurdepääsu kontrollimise küsimust.

UserGate'i installimine ei erine tavalise programmi installimisest; pärast installimist palub süsteem taaskäivitada, nii et me taaskäivitame. Pärast taaskäivitamist proovime kõigepealt pääseda Internetti arvutist, kuhu UserGate on installitud - sellele on võimalik juurde pääseda, kuid mitte teistest arvutitest, seetõttu on puhverserver tööle hakanud ja vaikimisi keelab kõigil Interneti-juurdepääsu, nii et peate selle konfigureerima.

Käivitage administraatorikonsool ( Start\Programmid\UserGate\Admin Console) ja siin kuvatakse konsool ise ja avaneb vahekaart Ühendused. Kui proovime avada mõnda vahekaarti vasakult, kuvatakse teade (UserGate administraatori konsool ei ole UserGate Serveriga ühendatud), nii et käivitamisel avaneb vahekaart Ühendused, et saaksime kõigepealt ühenduse luua UserGate serveriga.

Ja seega on serveri nimi vaikimisi kohalik; Kasutaja – Administraator; Server – localhost, st. serveriosa asub selles arvutis; Port – 2345.

Topeltklõpsake seda kirjet ja looge ühendus UserGate'i teenusega; kui ühendus ebaõnnestub, kontrollige, kas teenus töötab ( Ctrl+ Alt+ Esc\Teenused\UserGate)

Kui ühendate esimest korda, käivitub see SeadistusviisardUserGate, klõpsake Ei, kuna konfigureerime kõik käsitsi, et oleks selgem, mida ja kust otsida. Ja kõigepealt minge vahekaardile ServerUserGate\ Liidesed, siin näitame, milline võrgukaart loob Interneti-ühenduse ( 192.168.137.2 - WAN) ja milline kohalikku võrku ( 192.168.0.4 - LAN).

Edasi Kasutajad ja rühmad\Kasutajad, siin on ainult üks kasutaja, see on masin ise, millel UserGate server töötab ja seda nimetatakse Defaultiks, st. vaikimisi. Lisame kõik kasutajad, kes lähevad võrku, mul on neid kolm:

Tööjaam-1-xp – 192.168.0.1

Tööjaam-2-xp – 192.168.0.2

Tööjaam-3-7 – 192.168.0.3

Jätame vaikimisi grupi- ja tariifiplaani, kasutan IP-aadressi kaudu autoriseerimistüüpi, kuna olen need käsitsi registreerinud ja jäävad muutumatuks.

Nüüd konfigureerime puhverserveri ise, minge aadressile Teenused\Puhverserveri seaded\HTTP, siin valime IP-aadressi, mille määrasime kliendimasinate lüüsiks, mul on see 192.168.0.4 , ja pane ka linnuke Läbipaistev režiim Selleks, et brauserites puhverserveri aadressi käsitsi ei sisestataks, vaatab brauser sel juhul üle, milline lüüs on võrguühenduse seadetes määratud ja suunab päringud sellele.

Märge: Seda artiklit on muudetud ja värskendatud praeguste andmete ja täiendavate linkidega.

UserGate'i puhverserver ja tulemüür on UTM (Unified Threat Management) klassi Interneti lüüs, mis võimaldab teil pakkuda ja kontrollida üldine juurdepääs töötajaid Interneti-ressurssidele, filtreerida pahatahtlikke, ohtlikke ja soovimatuid saite, kaitsta ettevõtte võrku väliste sissetungide ja rünnakute eest, luua virtuaalseid võrke ja korraldada turvaline VPN-juurdepääs võrguressurssidele väljastpoolt, samuti hallata kanali laiust ja Interneti-rakendusi.

Toode on tõhus alternatiiv kallile tarkvarale ja riistvara ja on mõeldud kasutamiseks väikestes ja keskmise suurusega ettevõtetes, in valitsusasutused, aga ka suured harustruktuuriga organisatsioonid.

Kogu lisateabe toote kohta leiate.

Programmil on täiendavad tasulised moodulid:

• Kaspersky viirusetõrje
• Panda viirusetõrje
• Avira viirusetõrje
• Entensys URL-i filtreerimine

Iga mooduli litsents antakse üheks kalendriaastaks. Kõigi moodulite toimimist saate testida proovivõtmes, mida saab pakkuda 1-3 kuuks piiramatule arvule kasutajatele.

Litsentsireeglite kohta saate üksikasjalikult lugeda.

Kõigi Entensyse lahenduste ostmisega seotud küsimuste korral võtke ühendust: sal [e-postiga kaitstud] või helistades tasuta numbril 8-800-500-4032.

Nõuded süsteemile

Lüüsi korraldamiseks vajate arvutit või serverit, mis peab vastama järgmistele süsteeminõuetele:

• Protsessori sagedus: alates 1,2 GHz
• RAM-i maht: alates 1024 Gb
• Kõvaketta maht: alates 80 GB
• Võrguadapterite arv: 2 või rohkem

Mida suurem on kasutajate arv (75 kasutaja suhtes), seda suuremad peaksid olema serveri omadused.

Soovitame oma toote installida "puhta" serveri operatsioonisüsteemiga arvutisse; soovitatav operatsioonisüsteem on Windows 2008/2012.
Me ei garanteeri UserGate'i puhverserveri ja tulemüüri korrektset toimimist ja/või koostööd kolmandate osapoolte teenuste ja Me ei soovita seda koos kasutada teenustega lüüsis, mis täidab järgmisi rolle:

• On domeenikontroller
• On virtuaalse masina hüperviisor
• On terminaliserver
• Toimib suure koormusega DBMS/DNS/HTTP serverina jne.
• Toimib SIP-serverina
• Teostab ärikriitilisi teenuseid või teenuseid
• Kõik ülaltoodud

UserGate'i puhverserver ja tulemüür võivad praegu konfliktida järgmist tüüpi tarkvaraga:

• Kõik ilma erandita kolmas osapool Tulemüür/tulemüüri lahendused
• BitDefenderi viirusetõrjetooted
• Viirusetõrjemoodulid, mis täidavad enamiku viirusetõrjetoodete tulemüüri või häkkeritõrje funktsiooni. Soovitatav on need moodulid keelata
• Viirusetõrjemoodulid, mis skannivad HTTP/SMTP/POP3 protokollide kaudu edastatavaid andmeid; see võib puhverserveri kaudu aktiivsel töötamisel põhjustada viivitusi
• Kolmas osapool tarkvaratooted, mis on võimelised pealt püüdma andmeid võrguadapteritelt - "kiirusmõõturid", "kujundajad" jne.
• Aktiivne Windows Serveri roll "Marsruutimine ja kaugjuurdepääs" NAT/Interneti-ühenduse jagamise (ICS) režiimis

Tähelepanu! Installimise ajal on soovitatav IPv6 protokolli tugi lüüsis keelata, eeldusel, et IPv6 kasutavaid rakendusi ei kasutata. UserGate Proxy&Firewall praegune juurutus ei toeta IPv6 protokolli ja sellest tulenevalt selle protokolli filtreerimist ei teostata. Seega saab hostile IPv6 protokolli kaudu väljast ligi pääseda isegi siis, kui tulemüüri keelavad reeglid on aktiveeritud.

Kui see on õigesti konfigureeritud, ühildub UserGate Proxy&Firewall järgmiste teenustega:

Microsoft Windows Serveri rollid:

• DNS-server
• DHCP server
• Prindiserver
• Faili (SMB) server
• Rakenduste server
• WSUS server
• Veebiserver
• WINS-server
• VPN-server

Ja kolmanda osapoole toodetega:

• FTP/SFTP serverid
• Sõnumiserverid – IRC/XMPP

UserGate Proxy&Firewalli installimisel veenduge, et kolmanda osapoole tarkvara ei kasuta porti või porte, mida UserGate Proxy&Firewall saab kasutada. Vaikimisi kasutab UserGate järgmisi porte:

• 25 – SMTP puhverserver
• 80 - läbipaistev HTTP-puhverserver
• 110 – POP3 puhverserver
• 2345 – UserGate administraatorikonsool
• 5455 – UserGate VPN server
• 5456 – UserGate'i autoriseerimisklient
• 5458 – DNS-i edastamine
• 8080 – HTTP puhverserver
• 8081 – UserGate'i veebistatistika

Kõiki porte saab muuta UserGate administraatorikonsooli abil.

Programmi installimine ja töötamiseks kasutatava andmebaasi valimine

UserGate'i puhverserveri ja tulemüüri häälestusviisard

NAT-reeglite seadistamise üksikasjalikumat kirjeldust kirjeldatakse selles artiklis:

UserGate Agent

Pärast UserGate'i puhverserveri ja tulemüüri installimist Tingimata taaskäivitage lüüs. Pärast süsteemis autoriseerimist peaks Windowsi tegumiribal kella kõrval asuv UserGate agendi ikoon muutuma roheliseks. Kui ikoon on hall, tähendab see, et installiprotsessi käigus tekkis tõrge ja UserGate Proxy&Firewall serveri teenus ei tööta, sel juhul vaadake Entensysi teadmistebaasi vastavat jaotist või tehniline abi Ettevõte Entensys.

Toode konfigureeritakse läbi UserGate Proxy&Firewall halduskonsooli, mida saab kutsuda kas topeltklõpsuga UserGate agendi ikoonil või Start-menüü otseteel.
Halduskonsooli käivitamisel on esimene samm oma toote registreerimine.

Üldised seaded

Määrake administraatorikonsooli jaotises Üldsätted administraatori kasutaja parool. Tähtis!Ärge kasutage halduskonsoolile juurdepääsuks paroolina Unicode'i erimärke ega toote PIN-koodi.

UserGate'i puhverserveri ja tulemüüri tootel on rünnaku kaitsemehhanism, saate selle aktiveerida ka menüüs "Üldised seaded". Rünnakute kaitsemehhanism on aktiivne mehhanism, omamoodi "punane nupp", mis töötab kõigil liidestel. Seda funktsiooni on soovitatav kasutada DDoS-i rünnakute või kohaliku võrgu arvutite massilise nakatumise korral pahavaraga (viirused/ussid/botnetirakendused). Rünnakute kaitsemehhanism võib blokeerida kasutajad, kes kasutavad failijagamiskliente – torrente, otseühendust, teatud tüüpi VoIP-kliente/servereid, mis vahetavad aktiivselt liiklust. Blokeeritud arvutite IP-aadresside hankimiseks avage fail ProgramData\Entensys\Usergate6\logging\fw.log või Dokumendid ja sätted\Kõik kasutajad\Rakenduse andmed\Entensys\Usergate6\logging\fw.log.

Tähelepanu! Soovitatav on muuta allpool kirjeldatud parameetreid ainult siis, kui suured hulgad klientidele / kõrged nõuded ribalaius värav.

See jaotis sisaldab ka järgmisi sätteid: "Maksimaalne ühenduste arv" – kõigi NAT-i ja UserGate'i puhverserveri ja tulemüüri puhverserveri kaudu loodud ühenduste maksimaalne arv.

"Maksimaalne NAT-ühenduste arv" – maksimaalne ühenduste arv, mida UserGate'i puhverserver ja tulemüür võivad NAT-draiveri kaudu läbida.

Kui klientide arv ei ületa 200-300, siis ei ole soovitatav muuta seadeid "Maksimaalne ühenduste arv" ja "Maksimaalne arv NAT-ühendusi". Nende parameetrite suurendamine võib kaasa tuua märkimisväärse koormuse lüüsi riistvarale ja seda soovitatakse ainult suure hulga klientide jaoks sätete optimeerimisel.

Liidesed

Tähelepanu! Enne seda kontrollige kindlasti Windowsi võrguadapteri sätteid! Kohaliku võrguga (LAN) ühendatud liides ei tohi sisaldada lüüsi aadressi! DNS-servereid ei ole vaja LAN-adapteri sätetes määrata, IP-aadress tuleb määrata käsitsi, me ei soovita seda hankida DHCP-ga.

LAN-adapteri IP-aadressil peab olema privaatne IP-aadress. Vastuvõetav on kasutada IP-aadressi järgmistest vahemikest:

10.0.0.0 - 10.255.255.255 (10/8 eesliide) 172.16.0.0 - 172.31.255.255 (172.16/12 eesliide) 192.168.0.0 - 192.168.51

Privaatvõrguaadresside levitamist kirjeldatakse artiklis RFC 1918 .

Teiste vahemike kasutamine kohaliku võrgu aadressidena põhjustab UserGate'i puhverserveri ja tulemüüri töös tõrkeid.

Internetti ühendatud liides (WAN) peab sisaldama IP-aadressi, võrgumaski, lüüsi aadressi ja DNS-serveri aadresse.
WAN-adapteri sätetes ei ole soovitatav kasutada rohkem kui kolme DNS-serverit, see võib põhjustada tõrkeid võrgu töös. Esmalt kontrollige iga DNS-serveri funktsionaalsust, kasutades konsooli cmd.exe käsku nslookup, näiteks:

nslookup usergate.ru 8.8.8.8

kus 8.8.8.8 on DNS-serveri aadress. Vastus peab sisaldama taotletud serveri IP-aadressi. Kui vastust ei tule, siis DNS-server ei kehti või DNS-liiklus on blokeeritud.

On vaja kindlaks määrata liideste tüüp. IP-aadressiga liides, mis on ühendatud sisevõrguga, peab olema LAN-tüüpi; Internetiga ühendatud liides - WAN.

Kui WAN-liideseid on mitu, peate valima peamise WAN-liidese, mille kaudu kogu liiklus liigub, paremklõpsates sellel ja valides "Määra esmaseks ühenduseks". Kui kavatsete varukanalina kasutada mõnda muud WAN-liidest, soovitame kasutada "Seadistamisviisardit".

Tähelepanu! Varuühenduse seadistamisel on soovitatav määrata mitte DNS-i hostinimi, vaid IP-aadress, et UserGate Proxy&Firewall seda perioodiliselt küsitleks icmp (ping) päringute abil ja vastuse puudumisel lülitaks sisse varuühenduse. Veenduge, et Windowsi võrguvarundusadapteri sätetes olevad DNS-serverid töötavad.

Kasutajad ja rühmad

Selleks, et klientarvuti saaks lüüsi sisse logida ja pääseks ligi UserGate Proxy&Firewall ja NAT teenustele, on vaja kasutajaid lisada. Selle protseduuri lihtsustamiseks kasutage skannimisfunktsiooni - "Kohaliku võrgu skannimine". UserGate'i puhverserver ja tulemüür skannivad iseseisvalt kohalikku võrku ja pakuvad hostide loendit, mida saab kasutajate loendisse lisada. Järgmisena saate luua rühmi ja kaasata neisse kasutajaid.

Kui olete juurutanud domeenikontrolleri, saate konfigureerida rühmade sünkroonimise Active Directory rühmadega või importida kasutajaid Active Directoryst ilma pideva Active Directoryga sünkroonimiseta.

Loome grupi, mis sünkroonitakse AD grupi või rühmadega, sisestame vajalikud andmed menüüsse "Sünkroonimine AD-ga" ja taaskäivitame UserGate'i teenuse UserGate agendi abil. Pärast 300 sek. kasutajad imporditakse rühma automaatselt. Nende kasutajate autentimismeetodiks määratakse AD.

Tulemüür

Õigete ja ohutu töö värav on vajalik Tingimata konfigureerige tulemüür.

Soovitatav on järgmine tulemüüri tööalgoritm: blokeerige kogu liiklus ja lisage seejärel lubamisreeglid vajalikes suundades. Selleks tuleb reegel #NONUSER# seada režiimile "Keela" (see keelab lüüsis kogu kohaliku liikluse). Hoolikalt! Kui konfigureerite UserGate'i puhverserveri ja tulemüüri eemalt, katkestatakse teie ühendus serveriga. Seejärel peate looma lubamisreeglid.

Luues järgmiste parameetritega reeglid, lubame kogu kohaliku liikluse kõigis portides lüüsist kohalikku võrku ja kohalikust võrgust lüüsini:

Allikas - "LAN", sihtkoht - "Igasugune", teenused - ANY:FULL, tegevus - "Luba"
Allikas - "Igasugune", sihtkoht - "LAN", teenused - ANY:FULL, tegevus - "Luba"

Seejärel loome reegli, mis avab lüüsi Interneti-juurdepääsu:

Allikas - "WAN"; sihtkoht - "Igasugune"; teenused - ANY:FULL; tegevus - "Luba"

Kui peate lubama juurdepääsu sissetulevatele ühendustele kõigis lüüsi portides, näeb reegel välja järgmine:

Allikas - "Igasugune"; sihtkoht - "WAN"; teenused - ANY:FULL; tegevus - "Luba"

Ja kui teil on vaja lüüsi sissetulevate ühenduste vastuvõtmiseks, näiteks ainult RDP (TCP:3389) kaudu, ja seda saab väljastpoolt pingestada, peate looma järgmise reegli:

Allikas - "Igasugune"; sihtkoht - "WAN"; teenused - mis tahes ICMP, RDP; tegevus - "Luba"

Kõigil muudel juhtudel ei ole turvakaalutlustel sissetulevate ühenduste jaoks reegli loomine vajalik.

Klientarvutitele Interneti-juurdepääsu võimaldamiseks peate looma võrguaadressi tõlkimise (NAT) reegli.

Allikas - "LAN"; sihtkoht - "WAN"; teenused - ANY:FULL; tegevus - "Luba"; valige kasutajad või rühmad, kellele soovite juurdepääsu anda.

Tulemüüri reegleid on võimalik seadistada – lubada selgelt keelatud ja vastupidi, keelata selgelt lubatud, olenevalt sellest, kuidas seadistad #NON_USER# reeglit ja milline on sinu ettevõtte poliitika. Kõik reeglid on prioriteetsed – reeglid töötavad ülalt alla järjekorras.

Vaadata saab erinevate seadete valikuid ja tulemüürireeglite näiteid.

Muud seaded

Järgmisena saate jaotises Teenused - Puhverserverid lubada vajalikud puhverserverid - HTTP, FTP, SMTP, POP3, SOCKS. Valige vajalikud liidesed; suvandi „Kuula kõigis liidestes” lubamine ei pruugi olla ohutu, kuna puhverserver on sel juhul saadaval nii LAN-liidestes kui ka välistes liidestes. "Läbipaistev" puhverserveri režiim suunab kogu liikluse valitud pordis puhverserveri porti; sel juhul pole vaja klientarvutites puhverserverit määrata. Puhverserver jääb kättesaadavaks ka puhverserveri enda sätetes määratud pordis.

Kui serveris on lubatud läbipaistev puhverserveri režiim (Teenused - Puhverserveri sätted), siis piisab, kui määrata klientmasina võrguseadetes peamiseks lüüsiks UserGate'i server. DNS-serverina saate määrata ka UserGate'i serveri; sel juhul peab see olema lubatud.

Kui läbipaistev režiim on serveris keelatud, peate brauseri ühenduse seadetes sisestama UserGate serveri aadressi ja vastava puhverserveri pordi, mis on määratud jaotises Teenused - Puhverserveri sätted. Näete näidet UserGate serveri seadistamisest sellisel juhul.

Kui teie võrgul on konfigureeritud DNS-server, saate selle määrata UserGate DNS-i edastamise sätetes ja UserGate WAN-adapteri sätetes. Sel juhul suunatakse kõik DNS-i päringud nii NAT-režiimis kui ka puhverserveri režiimis sellesse serverisse.