Märge: Seda artiklit on muudetud, täiendatud asjakohaste andmete ja täiendavate linkidega.

UserGate'i puhverserver ja tulemüür on UTM (Unified Threat Management) klassi Interneti lüüs, mis võimaldab pakkuda ja kontrollida töötajate üldist juurdepääsu Interneti-ressurssidele, filtreerida pahatahtlikke, ohtlikke ja soovimatuid saite, kaitsta ettevõtte võrku väliste sissetungide ja rünnakute eest, luua virtuaalseid võrke ja korraldada. turvaline VPN-juurdepääs võrguressurssidele väljastpoolt, samuti ribalaiuse ja Interneti-rakenduste haldamine.

Toode on tõhus alternatiiv kallile tarkvarale ja riistvara ja on mõeldud kasutamiseks väikestes ja keskmise suurusega ettevõtetes, in avalikud institutsioonid, aga ka suured harustruktuuriga organisatsioonid.

Kõik Lisainformatsioon toote kohta, mille leiate.

Programmil on täiendavad tasulised moodulid:

• kaspersky viirusetõrje
• panda viirusetõrje
• Avira viirusetõrje
• Entensys URL-i filtreerimine

Iga moodul on litsentsitud üheks kalendriaastaks. Kõikide moodulite toimimist saab proovida proovivõtmes, mida saab pakkuda perioodiks 1 kuni 3 kuud piiramatule arvule kasutajatele.

Lisateavet litsentsimise reeglite kohta saate lugeda.

Kõigi Entensyse lahenduste ostmisega seotud küsimuste korral võtke ühendust: sal [e-postiga kaitstud] või helistage tasuta telefonil: 8-800-500-4032.

Nõuded süsteemile

Lüüsi korraldamiseks vajate arvutit või serverit, mis peab vastama järgmistele süsteeminõuetele:

• Protsessori sagedus: alates 1,2 GHz
• RAM-i suurus: alates 1024 Gb
• Kõvaketta maht: alates 80 GB
• Võrguadapterite arv: 2 või rohkem

Mida suurem on kasutajate arv (75 kasutaja suhtes), seda suurem peaks olema serveri jõudlus.

Soovitame oma toote installida "puhta" serveri operatsioonisüsteemiga arvutisse, soovitatav operatsioonisüsteem on Windows 2008/2012.
Me ei garanteeri UserGate'i puhverserveri ja tulemüüri korrektset toimimist ja/või kolmandate osapoolte teenuste ja me ei soovita seda jagada teenustega lüüsis, mis täidab järgmisi rolle:

• On domeenikontroller
• On virtuaalse masina hüperviisor
• On terminaliserver
• Toimib suure koormusega DBMS/DNS/HTTP serverina jne.
• Toimib SIP-serverina
• Teostab ärikriitilisi teenuseid või teenuseid
• Kõik ülaltoodud

UserGate'i puhverserver ja tulemüür võivad praegu konfliktida järgmist tüüpi tarkvaraga:

• Kõik ilma erandita kolmas osapool Tulemüür/tulemüüri lahendused
• BitDefenderi viirusetõrjetooted
• Viirusetõrjemoodulid, mis täidavad enamiku viirusetõrjetoodete tulemüüri või "Anti-Hacker" funktsiooni. Soovitatav on need moodulid keelata
• Viirusetõrjemoodulid, mis kontrollivad HTTP/SMTP/POP3-protokollide kaudu edastatud andmeid, mis võib puhverserveri kaudu aktiivsel töötamisel põhjustada viivitusi
• kolmas osapool tarkvaratooted, mis on võimelised kinni püüdma andmeid võrguadapteritelt - "kiirusmõõturid", "kujundajad" jne.
• Windows Serveri aktiivne roll "Marsruutimine ja kaugjuurdepääs" NAT/Interneti-ühenduse jagamise (ICS) režiimis

Tähelepanu! Installimise ajal on soovitatav IPv6 protokolli tugi lüüsis keelata, eeldusel, et IPv6 kasutavaid rakendusi ei kasutata. UserGate'i puhverserveri ja tulemüüri praegune juurutus ei toeta IPv6-protokolli ja sellest tulenevalt seda protokolli ei filtreerita. Seega saab hosti IPv6 protokolli kaudu väljastpoolt kätte ka siis, kui tulemüüri keelamisreeglid on aktiveeritud.

Kui see on õigesti konfigureeritud, ühildub UserGate Proxy&Firewall järgmiste teenustega:

Microsoft Windows Serveri rollid:

• DNS-server
• DHCP server
• Prindiserver
• Faili (SMB) server
• Rakenduste server
• WSUS server
• Veebiserver
• WINS-server
• VPN-server

Ja kolmanda osapoole toodetega:

• FTP/SFTP serverid
• Sõnumiserverid – IRC/XMPP

UserGate Proxy&Firewalli installimisel veenduge, et kolmanda osapoole tarkvara ei kasuta porti või porte, mida UserGate Proxy&Firewall saab kasutada. Vaikimisi kasutab UserGate järgmisi porte:

• 25 – SMTP puhverserver
• 80 - läbipaistev HTTP-puhverserver
• 110 – POP3 puhverserver
• 2345 – UserGate'i administraatorikonsool
• 5455 – UserGate VPN server
• 5456 – UserGate'i autoriseerimisklient
• 5458 – DNS-i edastamine
• 8080 – HTTP puhverserver
• 8081 – UserGate'i veebistatistika

Kõiki porte saab muuta UserGate'i administraatorikonsooli abil.

Programmi installimine ja tööks andmebaasi valimine

UserGate'i puhverserveri ja tulemüüri konfiguratsiooniviisard

NAT-reeglite seadistamise üksikasjalikumat kirjeldust kirjeldatakse selles artiklis:

UserGate'i agent

Pärast UserGate'i puhverserveri ja tulemüüri installimist Tingimata taaskäivitage lüüs. Pärast süsteemis autoriseerimist peaks Windowsi tegumiribal kella kõrval muutuma UserGate'i agendi ikoon roheliseks. Kui ikoon on hall, tähendab see, et installiprotsessi käigus tekkis tõrge ja UserGate Proxy&Firewall serveri teenus ei tööta, sel juhul vaadake Entensysi teadmistebaasi vastavat jaotist või tehniline abi Ettevõte Entensys.

Toodet konfigureeritakse UserGate Proxy&Firewall halduskonsooli kaudu, mida saab välja kutsuda kas UserGate agendi ikoonil topeltklõpsuga või Start menüüst kiirteel klõpsates.
Halduskonsooli käivitamisel tuleb esimene samm toote registreerimine.

Üldised seaded

Määrake administraatorikonsooli jaotises Üldsätted administraatori kasutaja parool. Tähtis!Ärge kasutage halduskonsoolile juurdepääsuks paroolina Unicode'i erimärke ega toote PIN-koodi.

UserGate'i puhverserveri ja tulemüüri tootel on rünnaku kaitsemehhanism, saate selle aktiveerida ka menüüs "Üldised seaded". Rünnakute kaitsemehhanism on aktiivne mehhanism, omamoodi "punane nupp", mis töötab kõigil liidestel. Soovitatav on seda funktsiooni kasutada DDoS-i rünnakute või arvutite massilise nakatumise korral pahavaraga (viirused/ussid/botnetirakendused) kohalikus võrgus. Rünnakute kaitsemehhanism võib blokeerida kasutajad, kes kasutavad failijagamiskliente – torrente, otseühendust, teatud tüüpi VoIP-kliente/servereid, mis vahetavad aktiivselt liiklust. Blokeeritud arvutite IP-aadresside hankimiseks avage fail ProgramData\Entensys\Usergate6\logging\fw.log või Dokumendid ja sätted\Kõik kasutajad\Rakenduse andmed\Entensys\Usergate6\logging\fw.log.

Tähelepanu! Allpool kirjeldatud parameetreid soovitatakse muuta ainult siis, kui kliente on palju / neile on kõrged nõuded ribalaius värav.

See jaotis sisaldab ka järgmisi sätteid: "Maksimaalne ühendus" - kõigi NAT-i ja UserGate'i puhverserveri ja tulemüüri kaudu ühenduste maksimaalne arv.

"Maksimaalne NAT-ühenduste arv" – maksimaalne ühenduste arv, mida UserGate'i puhverserver ja tulemüür võivad NAT-draiveri kaudu läbida.

Kui klientide arv ei ületa 200-300, siis ei tohiks seadistusi "Maksimaalne ühenduste arv" ja "Maksimaalne NAT-ühenduste arv" muuta. Nende parameetrite suurendamine võib kaasa tuua märkimisväärse koormuse lüüsiseadmetele ja seda soovitatakse ainult siis, kui sätted on optimeeritud suure hulga klientide jaoks.

Liidesed

Tähelepanu! Enne seda kontrollige kindlasti Windowsi võrguadapteri sätteid! Kohtvõrku (LAN) ühendatud liides ei tohi sisaldada lüüsi aadressi! DNS-servereid ei ole vaja LAN-adapteri sätetes määrata, IP-aadress tuleb määrata käsitsi, me ei soovita seda hankida DHCP-ga.

LAN-adapteri IP-aadress peab olema privaatne IP-aadress. on vastuvõetav kasutada IP-aadressi järgmistest vahemikest:

10.0.0.0 - 10.255.255.255 (10/8 eesliide) 172.16.0.0 - 172.31.255.255 (172.16/12 eesliide) 192.168.0.0 - 192.168.51

Privaatvõrguaadresside eraldamist kirjeldatakse artiklis RFC 1918 .

Teiste vahemike kasutamine kohaliku võrgu aadressidena põhjustab UserGate'i puhverserveri ja tulemüüri töös tõrkeid.

Internetti ühendatud liides (WAN) peab sisaldama IP-aadressi, võrgumaski, lüüsi aadressi ja DNS-serveri aadresse.
WAN-adapteri sätetes ei ole soovitatav kasutada rohkem kui kolme DNS-serverit, see võib põhjustada võrgutõrkeid. Esmalt kontrollige iga DNS-serveri tervist, kasutades konsooli cmd.exe käsku nslookup, näiteks:

nslookup usergate.ru 8.8.8.8

kus 8.8.8.8 on DNS-serveri aadress. Vastus peaks sisaldama taotletud serveri IP-aadressi. Kui vastust ei tule, siis DNS-server ei kehti või DNS-liiklus on blokeeritud.

Peate määratlema liideste tüübi. IP-aadressiga liides, mis on ühendatud sisevõrguga, peab olema LAN-tüüpi; Internetiga ühendatud liides - WAN.

Kui WAN-liideseid on mitu, peate valima põhilise WAN-liidese, mille kaudu kogu liiklus liigub, tehes sellel paremklõpsu ja valides "Määra põhiühenduseks". Kui kavatsete varukanalina kasutada mõnda muud WAN-liidest, soovitame kasutada "Seadistamisviisardit".

Tähelepanu! Varuühenduse seadistamisel on soovitatav määrata mitte DNS-i hostinimi, vaid IP-aadress, et UserGate Proxy&Firewall seda perioodiliselt küsitleks icmp(ping) päringute abil ja vastuse puudumisel lülitaks sisse varuühenduse. Veenduge, et Windowsi võrguvarundusadapteri sätetes olevad DNS-serverid oleksid terved.

Kasutajad ja rühmad

Selleks, et klientarvuti oleks lüüsis volitatud ja pääseks ligi UserGate'i puhverserveri ja tulemüüri ning NAT-teenustele, peate kasutajaid lisama. Selle protseduuri lihtsustamiseks kasutage skannimisfunktsiooni - "Kohaliku võrgu skannimine". UserGate'i puhverserver ja tulemüür skannib automaatselt kohalikku võrku ja esitab loendi hostidest, mida saab kasutajate loendisse lisada. Järgmisena saate luua rühmi ja kaasata neisse kasutajaid.

Kui teil on juurutatud domeenikontroller, saate seadistada rühmade sünkroonimise Active Directory rühmadega või importida kasutajaid Active Directoryst ilma pideva Active Directoryga sünkroonimiseta.

Loome grupi, mis sünkroonitakse AD grupiga või rühmadega, sisestame vajalikud andmed menüüsse "Sünkrooni AD-ga" ja taaskäivitame UserGate'i teenuse UserGate agendi abil. Pärast 300 sek. kasutajad imporditakse rühma automaatselt. Nende kasutajate autoriseerimismeetodiks määratakse AD.

Tulemüür

Õigete ja ohutu töö vaja lüüsi Tingimata konfigureerige tulemüür.

Soovitatav on järgmine tulemüüri tööalgoritm: keelake kogu liiklus ja lisage seejärel lubamisreeglid vajalikes suundades. Selleks tuleb #NONUSER# reegel seada režiimile "Keela" (see keelab lüüsis kogu kohaliku liikluse). Hoolikalt! Kui konfigureerite UserGate'i puhverserveri ja tulemüüri eemalt, katkeb ühendus serveriga. Seejärel peate looma lubamise reeglid.

Luues järgmiste parameetritega reeglid, lubame kogu kohaliku liikluse kõigis portides lüüsist kohalikku võrku ja kohalikust võrgust lüüsini:

Allikas - "LAN", sihtkoht - "Igasugune", teenused - ANY:FULL, tegevus - "Luba"
Allikas - "Igasugune", sihtkoht - "LAN", teenused - ANY:FULL, tegevus - "Luba"

Seejärel loome reegli, mis avab lüüsi Interneti-juurdepääsu:

Allikas - "WAN"; sihtkoht - "Igasugune"; teenused - ANY:FULL; tegevus - "Luba"

Kui peate lubama juurdepääsu sissetulevatele ühendustele kõigis lüüsi portides, näeb reegel välja järgmine:

Allikas - "Igasugune"; sihtkoht - "WAN"; teenused - ANY:FULL; tegevus - "Luba"

Ja kui teil on vaja lüüsi sissetulevate ühenduste vastuvõtmiseks, näiteks ainult RDP (TCP:3389) kaudu, ja seda saab väljastpoolt pingestada, peate looma järgmise reegli:

Allikas - "Igasugune"; sihtkoht - "WAN"; teenused - mis tahes ICMP, RDP; tegevus - "Luba"

Kõigil muudel juhtudel ei pea te turvakaalutlustel sissetulevate ühenduste jaoks reeglit looma.

Klientarvutitele Interneti-juurdepääsu võimaldamiseks peate looma võrguaadressi tõlkimise (NAT) reegli.

Allikas - "LAN"; sihtkoht - "WAN"; teenused - ANY:FULL; tegevus - "Luba"; Valige kasutajad või rühmad, kellele soovite juurdepääsu anda.

Tulemüüri reegleid on võimalik seadistada – lubada selgesõnaliselt keelatud ja vastupidi, keelata selgesõnaliselt lubatud, olenevalt sellest, kuidas reegli #NON_USER# seadistad ja milline poliitika sul ettevõttes on. Kõikidel reeglitel on prioriteet – reeglid töötavad ülalt alla järjekorras.

Vaadata saab erinevate seadete valikuid ja tulemüürireeglite näiteid.

Muud seaded

Lisaks saate jaotises Teenused - puhverserver lubada vajalikud puhverserverid - HTTP, FTP, SMTP, POP3, SOCKS. Valige soovitud liidesed, valiku "kuula kõigis liidestes" lubamine on ebaturvaline, kuna puhverserver on sel juhul saadaval nii LAN-liidestes kui ka välistes liidestes. "Läbipaistev" puhverserveri režiim suunab kogu liikluse valitud pordis puhverserveri porti, sel juhul pole vaja klientarvutites puhverserverit määrata. Puhverserver jääb kättesaadavaks ka puhverserveri enda sätetes määratud pordis.

Kui serveris on lubatud läbipaistev puhverserveri režiim (Teenused - Puhverserveri sätted), siis piisab, kui määrata klientmasina võrguseadetes peamiseks lüüsiks UserGate server. UserGate serveri saab määrata ka DNS-serverina, sel juhul peab see olema lubatud.

Kui läbipaistev režiim on serveris keelatud, peate brauseri ühenduse seadetes määrama UserGate'i serveri aadressi ja vastava puhverserveri pordi, mis on määratud jaotises Teenused - Puhverserveri sätted. Näete UserGate serveri seadistamise näidet sellisel juhul.

Kui teie võrgul on konfigureeritud DNS-server, saate selle määrata UserGate DNS-i edastamise sätetes ja UserGate WAN-adapteri sätetes. Sel juhul suunatakse kõik DNS-i päringud nii NAT-režiimis kui ka puhverserveri režiimis sellesse serverisse.

Interneti-juurdepääsu jagamine kohaliku võrgu kasutajate vahel on üks levinumaid ülesandeid, millega süsteemiadministraatorid peavad silmitsi seisma. Sellest hoolimata tekitab see endiselt palju raskusi ja küsimusi. Näiteks – kuidas tagada maksimaalne turvalisus ja täielik juhitavus?

Sissejuhatus

Täna vaatame lähemalt, kuidas korraldada interneti jagamist hüpoteetilise ettevõtte töötajatele. Oletame, et nende arv jääb vahemikku 50-100 inimest ja kohtvõrku on juurutatud kõik selliste infosüsteemide tavapärased teenused: Windowsi domeen, oma meiliserver, FTP-server.

Jagamiseks kasutame lahendust nimega UserGate Proxy & Firewall. Sellel on mitu funktsiooni. Esiteks on see erinevalt paljudest lokaliseeritud toodetest puhtalt Venemaa arendus. Teiseks on sellel rohkem kui kümneaastane ajalugu. Kuid kõige olulisem on toote pidev arendamine.

Selle lahenduse esimesed versioonid olid suhteliselt lihtsad puhverserverid, mis suutsid jagada ainult ühte Interneti-ühendust ja pidada statistikat selle kasutamise kohta. Kõige levinum nende seas oli build 2.8, mida väikestes kontorites siiani leidub. Arendajad ise ei nimeta viimast, kuuendat versiooni enam puhverserveriks. Nende sõnul on tegemist täisväärtusliku UTM-lahendusega, mis hõlmab tervet rida ülesandeid, mis on seotud kasutajate tegevuste turvalisuse ja kontrolliga. Vaatame, kas see on nii.

UserGate'i puhverserveri ja tulemüüri juurutamine

Installimise ajal pakuvad huvi kaks etappi (ülejäänud etapid on mis tahes tarkvara installimisel standardsed). Esimene on komponentide valik. Lisaks põhifailidele kutsutakse meid installima veel neli serverikomponenti – VPN, kaks viirusetõrjet (Panda ja Kaspersky Anti-Virus) ning vahemälubrauser.

VPN-serveri moodul paigaldatakse vastavalt vajadusele ehk siis, kui ettevõttel on plaanis kasutada töötajate kaugjuurdepääsu või ühendada mitu kaugvõrku. Viirusetõrjeid on mõttekas paigaldada vaid siis, kui ettevõttest on ostetud vastavad litsentsid. Nende olemasolu võimaldab skannida Interneti-liiklust, lokaliseerida ja blokeerida pahavara otse lüüsis. Vahemälubrauser võimaldab teil vaadata puhverserveri vahemällu salvestatud veebilehti.

Lisafunktsioonid

Keelake soovimatud saidid

Lahendus toetab Entensys URL-i filtreerimise tehnoloogiat. Tegelikult on see pilvepõhine andmebaas, mis sisaldab enam kui 500 miljonit saiti erinevates keeltes, mis on jagatud enam kui 70 kategooriasse. Selle peamiseks erinevuseks on pidev monitooring, mille käigus veebiprojekte pidevalt jälgitakse ja sisu muutumisel viiakse need üle teise kategooriasse. See võimaldab teil keelata kõik soovimatud saidid suure täpsusega, valides lihtsalt teatud kategooriad.

Entensys URL Filteringi kasutamine suurendab Internetis töötamise turvalisust ning tõstab ka töötajate efektiivsust (keelu tõttu sotsiaalsed võrgustikud, meelelahutussaidid jne). Selle kasutamiseks on aga vaja tasulist tellimust, mida tuleb igal aastal uuendada.

Lisaks sisaldab distributsioon veel kahte komponenti. Esimene neist on "Admin Console". See on eraldi rakendus, mis on loodud, nagu nimigi viitab, UserGate'i puhverserveri ja tulemüüri serveri haldamiseks. Selle peamine omadus on kaugühenduse võimalus. Seega ei vaja administraatorid või Interneti kasutamise eest vastutavad isikud otsest juurdepääsu Interneti-lüüsile.

Teine lisakomponent on veebistatistika. Sisuliselt on tegu veebiserveriga, mis võimaldab kuvada detailset kasutusstatistikat ülemaailmne võrk ettevõtte töötajad. Ühest küljest on see kahtlemata kasulik ja mugav komponent. Lõppude lõpuks võimaldab see andmeid vastu võtta ilma täiendavat tarkvara installimata, sealhulgas Interneti kaudu. Kuid teisest küljest võtab see Interneti-lüüsi täiendavaid süsteemiressursse. Seetõttu on parem paigaldada see ainult siis, kui see on tõesti vajalik.

Teine samm, millele peaksite UserGate Proxy & Firewalli installimisel tähelepanu pöörama, on andmebaasi valimine. Varasemates versioonides sai UGPF toimida ainult MDB-failidega, mis mõjutas süsteemi kui terviku jõudlust. Nüüd on valida kahe DBMS-i vahel – Firebird ja MySQL. Pealegi on esimene jaotuskomplektis, nii et selle valimisel pole vaja täiendavaid manipuleerimisi teha. Kui soovite kasutada MySQL-i, peate selle esmalt installima ja konfigureerima. Pärast serveri komponentide installimise lõpetamist on vaja ette valmistada administraatorite ja teiste vastutavate töötajate töökohad, kes saavad hallata kasutajate juurdepääsu. Seda on väga lihtne teha. Piisab administraatorikonsooli installimisest nende töötavatesse arvutitesse samast jaotuskomplektist.

Lisafunktsioonid

Sisseehitatud VPN-server

Versioon 6.0 tutvustas VPN-serveri komponenti. Tema abiga saate korraldada ettevõtte töötajate turvalise kaugjuurdepääsu kohtvõrku või ühendada organisatsiooni üksikute filiaalide kaugvõrgud ühtseks inforuumiks. Sellel VPN-serveril on kõik vajalikud funktsioonid serveri-serveri ja kliendi-serveri tunnelite loomiseks ning alamvõrkude vahelise marsruudi tegemiseks.

Põhiseade

Kogu UserGate'i puhverserveri ja tulemüüri konfigureerimine toimub halduskonsooli abil. Vaikimisi on sellel pärast installimist juba ühendus kohaliku serveriga. Kui aga kasutate seda eemalt, peate ühenduse looma käsitsi, määrates Interneti-lüüsi IP-aadressi või hostinime, võrgupordi (vaikimisi 2345) ja autoriseerimisparameetrid.

Pärast serveriga ühenduse loomist tuleb esimese asjana konfigureerida võrguliidesed. Seda saate teha jaotise "UserGate Server" vahekaardil "Liidesed". Kohalikku võrku "vaatava" võrgukaardi jaoks määrame tüübiks LAN ja kõigi muude ühenduste jaoks - WAN. "Ajutistele" ühendustele, nagu PPPoE, VPN, määratakse automaatselt PPP tüüp.

Kui ettevõttel on kaks või enam WAN-ühendust, millest üks on primaarne ja teised üleliigsed, saate seadistada automaatse koondamise. Selle tegemine on üsna lihtne. Piisab, kui lisada vajalikud liidesed reservliideste nimekirja, määrata üks või mitu juhtimisressurssi ja nende kontrollimise aeg. Selle süsteemi tööpõhimõte on järgmine. UserGate kontrollib automaatselt kontrollsaitide saadavust määratud intervalli järel. Niipea, kui nad enam ei reageeri, lülitub toode automaatselt, ilma administraatori sekkumiseta, varukanalile. Samal ajal jätkub põhiliideses juhtimisressursside saadavuse kontrollimine. Ja niipea kui see õnnestub, toimub tagasilülitamine automaatselt. Ainus asi, millele peate seadistamisel tähelepanu pöörama, on juhtimisressursside valik. Parem on võtta mitu suurt saiti, mille stabiilne töö on peaaegu tagatud.

Lisafunktsioonid

Võrgurakenduste juhtimine

UserGate Proxy & Firewall rakendab sellist huvitavat funktsiooni nagu võrgurakenduste juhtimine. Selle eesmärk on takistada volitamata tarkvara juurdepääsu Internetile. Juhtseadete osana luuakse reeglid, mis lubavad või blokeerivad erinevate programmide võrgutööd (versiooniga või ilma). Nad saavad määrata konkreetsed sihtkoha IP-aadressid ja pordid, mis võimaldab teil paindlikult konfigureerida juurdepääsu tarkvarale, võimaldades sellel Internetis teha ainult teatud toiminguid.

Rakenduste juhtimine võimaldab teil töötada välja selge ettevõtte poliitika programmide kasutamise kohta ja osaliselt tõkestada pahavara levikut.

Pärast seda saate jätkata otse puhverserverite seadistamisega. Kokku on vaadeldavas lahenduses juurutatud neist seitse: HTTP protokollidele (sh HTTPs), FTP, SOCKS, POP3, SMTP, SIP ja H323. See on peaaegu kõik, mida võib ettevõtte töötajate tööks Internetis vaja minna. Vaikimisi on lubatud ainult HTTP puhverserver, kõik teised saab vajadusel aktiveerida.

UserGate Proxy & Firewalli puhverserverid võivad töötada kahes režiimis - tavalises ja läbipaistvas. Esimesel juhul räägime traditsioonilisest puhverserverist. Server võtab vastu kasutajate päringuid ja edastab need välistele serveritele ning edastab saadud vastused klientidele. See on traditsiooniline lahendus, kuid sellel on oma puudused. Eelkõige on vaja konfigureerida iga programm, mida kasutatakse Internetis töötamiseks (Interneti-brauser, meiliklient, ICQ jne) igas kohtvõrgu arvutis. See on muidugi suur töö. Pealegi korratakse seda perioodiliselt uue tarkvara installimisel.

Läbipaistva režiimi valimisel kasutatakse spetsiaalset NAT-draiverit, mis sisaldub kõnealuse lahenduse tarnepaketis. See kuulab vastavaid porte (HTTP jaoks 80., FTP jaoks 21. jne), tuvastab nende kaudu sissetulevad päringud ja edastab need puhverserverisse, kust need edasi saadetakse. See lahendus on edukam selles mõttes, et enam pole vaja tarkvara seadistamist kliendi masinates. Ainus, mida nõutakse, on kõigi tööjaamade võrguühenduse peamiseks lüüsiks määrata Interneti-lüüsi IP-aadress.

Järgmine samm on DNS-päringu edastamise seadistamine. Seda saab teha kahel viisil. Lihtsaim neist on nn DNS-i edastamise lubamine. Selle kasutamisel suunatakse klientidelt Interneti-lüüsi saabuvad DNS-päringud määratud serveritesse (saab seadetest kasutada DNS-serverina võrguühendus või mis tahes suvalised DNS-serverid).

Teine võimalus on luua NAT-reegel, mis võtab päringuid vastu 53. (DNS-i standard) pordis ja edastab need välisvõrku. Kuid sellisel juhul peate kõigis arvutites DNS-serverid võrguühenduse seadetes käsitsi registreerima või konfigureerima DNS-päringute saatmise Interneti-lüüsi kaudu domeenikontrolleri serverist.

kasutajate haldamine

Pärast põhiseadistuse lõpetamist saate jätkata kasutajatega töötamist. Alustuseks peate looma rühmad, millesse kontod hiljem kombineeritakse. Milleks see mõeldud on? Esiteks, hilisemaks integreerimiseks Active Directoryga. Ja teiseks saate määrata rühmadele reegleid (neist räägime hiljem), kontrollides nii korraga suure hulga kasutajate juurdepääsu.

Järgmine samm on kasutajate lisamine süsteemi. Seda saab teha kolmel erineval viisil. Neist esimest, iga konto käsitsi loomist, me arusaadavatel põhjustel isegi ei kaalu. See valik sobib ainult väikeste võrkude jaoks, kus on vähe kasutajaid. Teine võimalus on skaneerimine ettevõtte võrk ARP päringud, mille käigus süsteem ise määrab võimalike kontode loendi. Valime aga kolmanda võimaluse, mis on lihtsuse ja halduse lihtsuse poolest kõige optimaalsem – integreerimine Active Directoryga. Seda tehakse varem loodud rühmade põhjal. Kõigepealt peate täitma üldised integratsiooniseaded: määrake domeen, selle kontrolleri aadress, kasutajanimi ja parool, kellel on sellele vajalikud juurdepääsuõigused, samuti sünkroonimisintervall. Pärast seda tuleb igale UserGate'is loodud grupile määrata Active Directoryst üks või mitu rühma. Tegelikult lõpeb seadistus siin. Pärast kõigi parameetrite salvestamist toimub sünkroonimine automaatselt.

Autoriseerimise käigus loodud kasutajad kasutavad vaikimisi NTLM-i autoriseerimist, st autoriseerimist domeeni sisselogimisega. See on väga mugav valik, kuna reeglid ja liiklusarvestussüsteem töötavad olenemata sellest, millises arvutis kasutaja parasjagu istub.

Tõsi, selle autoriseerimismeetodi kasutamiseks täiendav tarkvara- eriklient. See programm töötab Winsocki tasemel ja edastab kasutaja autoriseerimise parameetrid Interneti-lüüsile. Selle levitamiskomplekt sisaldub UserGate'i puhverserveri ja tulemüüri jaotuspaketis. Saate kliendi kiiresti installida kõikidesse tööjaamadesse, kasutades Windowsi rühmapoliitikaid.

Muide, NTLM-i autoriseerimine pole kaugeltki ainus viis ettevõtte töötajatele Internetis töötamiseks loa andmiseks. Näiteks kui organisatsioon kasutab töötajate tugevat sidumist tööjaamadega, saate kasutajate tuvastamiseks kasutada IP-aadressi, MAC-aadressi või mõlema kombinatsiooni. Samade meetodite abil saate korraldada juurdepääsu erinevate serverite ülemaailmsele võrgule.

Kasutaja kontroll

UGPF-i üheks oluliseks eeliseks on kasutaja kontrollimise lai valik. Neid rakendatakse liikluskorralduseeskirjade süsteemi abil. Selle tööpõhimõte on väga lihtne. Administraator (või muu vastutav isik) loob reeglistiku, millest igaüks esindab ühte või mitut käivitustingimust ja võetavat toimingut. Need reeglid on määratud üksikutele kasutajatele või nende tervetele rühmadele ja võimaldavad teil nende tööd Internetis automaatselt juhtida. Kokku on neli võimalikku toimingut. Esimene on ühenduse sulgemine. See võimaldab näiteks keelata teatud failide allalaadimise, takistada soovimatute saitide külastamist jne. Teine samm on tariifi muutmine. Seda kasutatakse arveldussüsteemis, mis on integreeritud vaadeldavasse tootesse (me ei pea seda arvesse, kuna see pole ettevõtete võrkude jaoks eriti asjakohane). Järgmine toiming võimaldab teil keelata selles ühenduses vastuvõetud liikluse loenduse. Sel juhul ei võeta edastatud infot päeva-, nädala- ja kuutarbimise summeerimisel arvesse. Ja lõpuks, viimane toiming on kiiruse piiramine määratud väärtuseni. Seda on väga mugav kasutada suurte failide allalaadimisel ja muude sarnaste probleemide lahendamisel kanali "ummistumise" vältimiseks.

Liikluskorralduseeskirjas on tingimusi palju rohkem – kümmekond. Mõned neist on suhteliselt lihtsad, näiteks faili maksimaalne suurus. See reegel käivitub, kui kasutajad proovivad üles laadida määratud suurusest suuremat faili. Muud tingimused on ajaga seotud. Eelkõige võib nende hulgas märkida ajakava (käivitub kellaaja ja nädalapäevade järgi) ja pühasid (käivitub kindlaksmääratud päevadel).

Kõige huvitavamad on aga saitide ja sisuga seotud tingimused. Eelkõige saab neid kasutada teatud tüüpi sisu (nt video, heli, käivitatavad failid, tekst, pildid jne), konkreetsete veebiprojektide või kogu nende kategooriate (selleks Entensysi URL) muude toimingute blokeerimiseks või seadistamiseks Kasutatakse filtreerimistehnoloogiat, vt külgriba).

On tähelepanuväärne, et üks reegel võib sisaldada korraga mitut tingimust. Samas saab administraator määrata, millisel juhul see täidetakse – kui kõik tingimused või mõni neist on täidetud. See võimaldab luua väga paindliku poliitika ettevõtte töötajate Interneti kasutamiseks, võttes arvesse suur hulk igasuguseid nüansse.

Tulemüüri konfiguratsioon

NAT UserGate draiveri lahutamatuks osaks on tulemüür, mille abil lahendatakse erinevaid võrguliikluse töötlemisega seotud ülesandeid. Konfigureerimiseks kasutatakse erireegleid, mis võivad olla kolme tüüpi: võrguaadressi tõlkimine, marsruutimine ja tulemüür. Süsteemis võib olla suvaline arv reegleid. Neid rakendatakse selles järjekorras, milles need on loetletud üldine nimekiri. Seega, kui sissetulev liiklus vastab mitmele reeglile, töötleb seda see, mis asub teistest kõrgemal.

Iga reeglit iseloomustavad kolm peamist parameetrit. Esimene on liikluse allikas. See võib olla üks või mitu konkreetset hosti, Interneti-lüüsi WAN- või LAN-liides. Teine parameeter on teabe eesmärk. Siin saab määrata LAN- või WAN-liidese või sissehelistamisühenduse. Reegli viimane põhiomadus on üks või mitu teenust, mille suhtes see kehtib. UserGate'i puhverserveri ja tulemüüri teenus on paar protokollide perekonnast (TCP, UDP, ICMP, suvaline protokoll) ja võrgupordist (või mitmest võrgupordist). Vaikimisi on süsteemil juba muljetavaldav komplekt eelinstallitud teenuseid, mis ulatuvad tavalistest (HTTP, HTTPs, DNS, ICQ) kuni konkreetseteni (WebMoney, RAdmin, erinevad võrgumängud jne). Vajadusel saab aga administraator luua ka oma teenuseid, näiteks kirjeldada tööd internetipangaga.

Samuti on igal reeglil toiming, mille see teostab tingimustele vastava liiklusega. Neid on ainult kaks: lubada või keelata. Esimesel juhul kulgeb liiklus määratud marsruudil vabalt ja teisel juhul on see blokeeritud.

Võrguaadresside tõlkereeglid kasutavad NAT-tehnoloogiat. Nende abiga saate konfigureerida Interneti-juurdepääsu kohalike aadressidega tööjaamadele. Selleks peate looma reegli, mis määrab allikaks LAN-liidese ja sihtkohaks WAN-liidese. Marsruutimise reegleid rakendatakse, kui kõnealust lahendust kasutatakse ruuterina kahe kohaliku võrgu vahel (see rakendab sellist võimalust). Sel juhul saab marsruutimise konfigureerida kahesuunalise läbipaistva liikluse jaoks.

Tulemüüri reegleid kasutatakse liikluse töötlemiseks, mis ei lähe puhverserverisse, vaid otse Interneti-lüüsi. Kohe pärast installimist on süsteemil üks selline reegel, mis lubab kõiki võrgupakette. Põhimõtteliselt, kui loodud Interneti-lüüsi ei kasutata tööjaamana, saab reegli toimingu muuta "Luba" asemel "Keela". Sel juhul blokeeritakse arvutis igasugune võrgutegevus, välja arvatud kohalikust võrgust Internetti edastatavad transiit-NAT-paketid ja vastupidi.

Tulemüürireeglid võimaldavad avaldada globaalses võrgus mis tahes kohalikke teenuseid: veebiservereid, FTP-servereid, meiliservereid jne. Samal ajal on kaugkasutajatel võimalus nendega Interneti kaudu ühendust luua. Näiteks kaaluge ettevõtte FTP-serveri avaldamist. Selleks peab administraator looma reegli, milles valib allikaks "Igasugune", määrab sihtkohaks soovitud WAN-liidese ja teenuseks FTP. Pärast seda valige toiming "Luba", lubage liikluse tõlkimine ja määrake väljale "Sihtkoha aadress" kohaliku FTP-serveri ja selle võrgupordi IP-aadress.

Pärast seda konfigureerimist suunatakse kõik pordis 21 oleva Interneti-lüüsi võrgukaartidele sissetulevad ühendused automaatselt ümber FTP-serverisse. Muide, seadistamise ajal saate valida mitte ainult "native", vaid ka mis tahes muu teenuse (või luua oma). Sel juhul peavad väliskasutajad ühendust võtma mitte 21. kuupäeval, vaid mõne muu pordi kaudu. See lähenemisviis on väga kasulik juhtudel, kui infosüsteem on kaks või enam sama tüüpi teenust. Näiteks saate korraldada välise juurdepääsu ettevõtte portaalile standardse HTTP-pordi 80 kaudu ja juurdepääsu UserGate'i veebistatistikale pordis 81.

Väline juurdepääs sisemisele meiliserverile on konfigureeritud samal viisil.

Rakendatud tulemüüri oluline eristav tunnus on sissetungimise vältimise süsteem. See töötab täielikult automaatselt, tuvastades volitamata katsed, mis põhinevad signatuuridel ja heuristilistel meetoditel, ning tasandades need, blokeerides soovimatud liiklusvood või katkestades ohtlikud ühendused.

Summeerida

Selles ülevaates uurisime piisavalt üksikasjalikult ettevõtte töötajate ühise Interneti-juurdepääsu korraldamist. IN kaasaegsed tingimused see pole kõige lihtsam protsess, sest peate arvestama paljude erinevate nüanssidega. Lisaks on olulised nii tehnilised kui ka organisatsioonilised aspektid, eriti kasutaja tegevuste kontroll.

"UserGate'i puhverserveri ja tulemüüri v.6 administraatori juhend Sisu Sissejuhatus Programmi kohta Süsteeminõuded UserGate'i puhverserveri ja tulemüüri registreerimise värskendamine..."

-- [ lehekülg 1 ] --

UserGate'i puhverserver ja tulemüür v.6

Administraatori juhend

Sissejuhatus

Programmi kohta

Nõuded süsteemile

UserGate'i puhverserveri ja tulemüüri installimine

Registreerimine

Uuendamine ja eemaldamine

UserGate'i puhverserveri ja tulemüüri litsentsipoliitika

Halduskonsool

Ühenduse seadistamine

Ühenduse parooli määramine

UserGate administraatori autentimine

KasutajaGate statistika andmebaasi juurdepääsuks parooli määramine

Üldised NAT-i (võrguaadressi tõlkimise) sätted

Üldised seaded

Liidese seadistamine

Liiklusloendus UserGate'is

Varukanali tugi

Kasutajad ja rühmad

Sünkroonimine Active Directoryga

Isiklik kasutajastatistika leht

Terminali kasutajatugi

Teenuste seadistamine UserGate'is

DHCP konfigureerimine

Puhverserveri teenuste seadistamine UserGate'is

IP-telefoniprotokollide tugi (SIP, H323)

SIP registripidaja režiimi tugi

H323 protokolli tugi

Meilipuhverserverid UserGate'is

Läbipaistva režiimi kasutamine

Kaskaadpuhverserverid

Sadama määramine

Vahemälu seaded

Viirusetõrje kontroll

Ajastaja UserGate'is

DNS-i seadistus

VPN-serveri seadistamine

Sissetungituvastussüsteemi (IDS) seadistamine

Märguannete seadistamine

Tulemüür UserGate'is

Kuidas tulemüür töötab

ME ürituse registreerimine

Võrguaadressi tõlkimise (NAT) reeglid

Töötamine mitme teenusepakkujaga

Automaatne väljamineva liidese valik

www.usergate.ru

Võrguressursside avaldamine

Filtreerimisreeglite seadistamine

Marsruutimise tugi

Kiirusepiirang UserGate'is

Rakenduse juhtimine

Vahemälu Explorer UserGate'is

Liiklusjuhtimine UserGate'is

Liiklusreeglite süsteem

Interneti-ressurssidele juurdepääsu piiramine

Entensys URL-i filtreerimine

Liiklustarbimise piirangu seadmine

Faili suuruse piirang

Filtreerimine sisutüübi järgi

Arveldussüsteem

Interneti-ühenduse arveldamine

Perioodilised sündmused

Dünaamiline tariifivahetus

Kaughaldus UserGate

Kaugühenduse seadistamine

UserGate serveri kaugtaaskäivitamine

Uue versiooni saadavuse kontrollimine

UserGate'i veebistatistika

Liikluskorralduseeskirja tõhususe hindamine

Viirusetõrje tõhususe hindamine

SIP-i kasutamise statistika

Rakendus

UserGate'i terviklikkuse kontroll

Käivitamise kontroll

Silumise teabe väljund

Tehnilise toe saamine

www.usergate.ru

Sissejuhatus Puhverserver on programmide kogum, mis toimib vahendajana (inglise keelest "proxy" - "vahendaja") kasutaja tööjaamade ja muude võrguteenuste vahel.

Lahendus edastab kõik kasutajate päringud Internetti ja saadab vastuse saanud tagasi. Vahemällu salvestamise funktsiooni olemasolul jätab puhverserver meelde välistele ressurssidele ligi pääsenud tööjaamad ning korduva päringu korral tagastab ressursi enda mälust, mis vähendab oluliselt päringu aega.

Mõnel juhul võib puhverserver kliendi päringut või serveri vastust teatud toimingute tegemiseks muuta või blokeerida, näiteks takistada viirustel tööjaamu nakatamast.

Teave UserGate'i puhverserveri ja tulemüüri kohta on terviklik lahendus kasutajate ühendamiseks Internetiga, pakkudes täielikku liiklusarvestust, juurdepääsu kontrolli ja sisseehitatud võrgukaitset.

UserGate võimaldab tasuda kasutajate juurdepääsu Internetile nii liikluse kui ka võrguaja järgi. Administraator saab lisada erinevaid tariifiplaane, dünaamiliselt tariife vahetada, automatiseerida raha väljavõtmist / kogumist ja reguleerida juurdepääsu Interneti-ressurssidele. Sisseehitatud tulemüür ja viirusetõrje moodul võimaldavad kaitsta UserGate serverit ja kontrollida seda läbivat liiklust pahatahtliku koodi suhtes. Saate oma organisatsiooni võrguga turvaliseks ühenduse loomiseks kasutada sisseehitatud VPN-serverit ja klienti.

UserGate koosneb mitmest osast: server, halduskonsool (UserGateAdministrator) ja mitmed lisamoodulid. UserGate server (usergate.exe protsess) on puhverserveri põhiosa, mis rakendab kõiki selle funktsioone.

UserGate server võimaldab juurdepääsu Internetile, teostab liikluse loendamist, säilitab statistikat kasutajate tegevuse kohta võrgus ja täidab palju muid toiminguid.

UserGate'i halduskonsool on programm, mis on loodud UserGate'i serveri haldamiseks. UserGate halduskonsool suhtleb serveriosaga spetsiaalse turvalise protokolli kaudu üle TCP/IP, mis võimaldab serveri kaughaldust.

UserGate sisaldab kolme lisamoodulit: "Veebistatistika", "Authorization Client" ja "Application Control" moodul.

www.entensys.ru

Süsteeminõuded UserGate Server on soovitatav installida Windows XP/2003/7/8/2008/2008R2/2012 operatsioonisüsteemiga arvutisse, mis on ühendatud Internetti modemi või muu ühenduse kaudu. Nõuded serveri riistvarale:

–  –  –

UserGate'i puhverserveri ja tulemüüri installimine UserGate'i installiprotseduur taandub installifaili käivitamisele ja installiviisardi valikute valimisele. Lahenduse esmakordsel installimisel piisab vaikevalikute jätmisest. Pärast installimise lõpetamist peate arvuti taaskäivitama.

Registreerimine Programmi registreerimiseks käivitage UserGate server, ühendage halduskonsool serveriga ja valige menüükäsk "Abi" - "Registreeri toode". Kui ühendate halduskonsooli esimest korda, kuvatakse registreerimisdialoog kahe võimaliku valikuga: demovõtme taotlus ja täisfunktsionaalse võtme taotlus. Võtmepäring sooritatakse veebis (HTTPS-protokoll), sisenedes veebisaidile usergate.ru.

Täisfunktsionaalse võtme taotlemisel tuleb sisestada spetsiaalne PIN-kood, mis väljastatakse ostmisel UserGate Proxy & Firewalli või tugiteenuse testimiseks. Lisaks peate registreerimisel sisestama täiendava isiklik informatsioon(kasutajanimi, aadress Meil, riik, piirkond). Isikuandmeid kasutatakse ainult litsentsi sidumiseks kasutajaga ja neid ei levitata mingil viisil. Pärast täis- või demovõtme saamist taaskäivitatakse UserGate'i server automaatselt.

www.usergate.ru

Tähtis! Demorežiimis töötab UserGate'i puhverserver ja tulemüür 30 päeva. Entensysega ühendust võttes saate täpsema testimise jaoks taotleda spetsiaalset PIN-koodi. Näiteks saate taotleda demovõtit kolmeks kuuks. Proovilitsentsi ei ole võimalik uuesti hankida ilma spetsiaalse laiendatud PIN-koodi sisestamata.

Tähtis! Kui UserGate'i puhverserver ja tulemüür töötab, kontrollitakse registreerimisvõtme olekut perioodiliselt. UserGate'i korrektseks tööks on vaja lubada HTTPS-protokolli kaudu juurdepääs Internetile. See on vajalik võtme oleku kontrollimiseks võrgus. Kui võtme kinnitamine kolm korda ebaõnnestub, lähtestatakse puhverserveri litsents ja kuvatakse programmi registreerimisdialoog. Programm rakendab maksimaalse aktiveerimiste arvu loenduri, mis on 10 korda. Pärast selle limiidi ületamist saate toote võtmega aktiveerida alles pärast tugiteenusega ühendust võtmist aadressil: http://entensys.ru/support.

Uuendamine ja desinstallimine UserGate Proxy & Firewall v.6 uue versiooni saab installida viienda perekonna eelmiste versioonide peale. Sel juhul pakub installiviisard serveri sätete faili config.cfg ja statistikafaili log.mdb salvestamist või ülekirjutamist. Mõlemad failid asuvad kataloogis, kuhu UserGate on installitud (edaspidi "%UserGate%"). Server UserGate v.6 toetab UserGate v.4,5 seadete vormingut, nii et serveri esmakordsel käivitamisel kantakse seaded üle uus formaat automaatselt.

Seadete tagasiühilduvust ei toetata.

Tähelepanu! Statistikafaili puhul toetatakse ainult kasutajate jooksvate saldode ülekandmist, liiklusstatistikat ennast ei edastata.

Andmebaasi muudatused põhjustasid vana andmebaasi jõudlusprobleemid ja selle suuruse piirangud. Uuel Firebirdi andmebaasil neid puudusi pole.

UserGate serveri desinstallimine toimub läbi vastava Start menüükäsu Programmid või Windowsi juhtpaneeli üksuse Add/Remove Programs (Programmid ja funktsioonid Windows 7/2008/2012 puhul) kaudu. Pärast UserGate'i desinstallimist jäävad mõned failid programmi installikataloogi, välja arvatud juhul, kui on määratud suvand Kustuta kõik.

UserGate'i puhverserveri ja tulemüüri litsentsipoliitika UserGate'i server on loodud LAN-i kasutajatele Interneti-juurdepääsu pakkumiseks. Maksimaalset kasutajate arvu, kes saavad samaaegselt Internetis UserGate'i kaudu töötada, näitab "seansside" arv ja see määratakse registreerimisvõtmega.

UserGate v.6 registreerimisvõti on unikaalne ega ühti UserGate'i eelmiste versioonidega. Demoperioodil töötab lahendus 30 päeva viie seansi limiidiga. Mõistet "seanss" ei tohiks segi ajada kasutaja käivitatavate Interneti-rakenduste või ühenduste arvuga. Ühe kasutaja ühenduste arv võib olla ükskõik milline, välja arvatud juhul, kui see on konkreetselt piiratud.

www.usergate.ru

UserGate'i sisseehitatud viirusetõrjemoodulid (Kaspersky Lab, Panda Security ja Avira), samuti Entensys URL-i filtreerimise moodul on litsentsitud eraldi. UserGate'i demoversioonis võivad sisseehitatud moodulid töötada 30 päeva.

Entensys URL-i filtreerimise moodul, mis on loodud töötama saidikategooriatega, võimaldab töötada demorežiimis 30 päeva jooksul. Ostes UserGate Proxy & Firewall koos filtreerimismooduliga, kehtib Entensys URL Filteringi litsents üks aasta. Kui tellimus aegub, peatub mooduli kaudu ressursside filtreerimine.

www.usergate.ru

Halduskonsool Halduskonsool on rakendus, mis on loodud kohaliku või kaugserveri UserGate haldamiseks. Halduskonsooli kasutamiseks tuleb käivitada UserGate server, valides UserGate agendi kontekstimenüüst käsu Start UserGate server (ikoon süsteemisalves, edaspidi

- "agent"). Halduskonsooli saate käivitada agendi kontekstimenüü kaudu või menüükäsuga Käivita programmid, kui halduskonsool on installitud teise arvutisse. Seadetega töötamiseks peate halduskonsooli serveriga ühendama.

Andmevahetus halduskonsooli ja UserGate serveri vahel toimub SSL-protokolli kasutades. Ühenduse initsialiseerimisel (SSLHandshake) teostatakse ühesuunaline autentimine, mille käigus UserGate server saadab oma sertifikaadi halduskonsooli, mis asub kataloogis %UserGate%\ssl. Ühenduse loomiseks pole halduskonsooli küljelt sertifikaati või parooli vaja.

Ühenduste konfigureerimine Esmakordsel käivitamisel avaneb halduskonsool lehele Ühendused, millel on administraatori kasutaja jaoks üks ühendus kohaliku hosti serveriga. Ühenduse parool pole määratud. Halduskonsooli saate serveriga ühendada, topeltklõpsates real localhost-administrator või klõpsates juhtpaneelil nuppu Ühenda. UserGate'i halduskonsoolis saate luua mitu ühendust. Ühenduse seaded hõlmavad järgmisi valikuid.

Serveri nimi on ühenduse nimi;

Kasutajanimi - logige sisse serveriga ühenduse loomiseks;

Serveri aadress – UserGate serveri domeeninimi või IP-aadress;

Port – serveriga ühenduse loomiseks kasutatav TCP-port (vaikimisi kasutatakse porti 2345);

Parool – ühenduse parool;

Küsi ühenduse loomisel parooli – see valik võimaldab serveriga ühenduse loomisel kuvada dialoogi kasutajanime ja parooli sisestamiseks;

Loo automaatselt ühendus selle serveriga – halduskonsool loob käivitamisel automaatselt ühenduse selle serveriga.

Halduskonsooli sätted salvestatakse faili console.xml, mis asub kataloogis %UserGate%\Administrator\. UserGate serveri poolel on kasutajanimi ja ühenduse parooli md5 räsi salvestatud faili config.cfg, mis asub kataloogis %UserGate_data, kus %UserGate_data% on Windows XP kaust – (C:\Documents and Settings\ Kõik www.usergate.ru Users\Application Data\Entensys\UserGate6), Windows 7/2008 kausta jaoks – (C:\Documents and Settings\All Users\Entensys\UserGate6) Ühenduse parooli määramine Saate luua sisselogimise ja parooli Ühendage UserGate'i serveriga jaotise Administraatori sätted lehel Üldsätted. Samas jaotises saate määrata TCP-pordi serveriga ühenduse loomiseks. Uute sätete jõustumiseks peate UserGate'i serveri taaskäivitama (agendimenüüs üksus Restart UserGate server). Peale serveri taaskäivitamist tuleb uued seadistused määrata ka halduskonsooli ühenduse seadetes. Vastasel juhul ei saa administraator serveriga ühendust luua.

Tähelepanu! UserGate halduskonsooli funktsionaalsusega seotud probleemide vältimiseks ei ole soovitatav neid seadeid muuta!

UserGate administraatori autentimine Halduskonsooli edukaks ühendamiseks UserGate serveriga peab administraator läbima serveripoolse autentimisprotseduuri.

Administraatori autentimine toimub pärast administraatorikonsooli SSL-ühenduse loomist UserGate'i serveriga. Konsool saadab serverisse sisselogimise ja administraatori parooli md5 räsi. UserGate server võrdleb saadud andmeid sellega, mis on määratud seadistuste failis config.cfg.

Autentimine loetakse õnnestunuks, kui halduskonsoolilt saadud andmed vastavad serveri seadetes määratule. Kui autentimine ebaõnnestub, katkestab UserGate'i server SSL-ühenduse halduskonsooliga. Autentimisprotseduuri tulemus logitakse faili usergate.log, mis asub kataloogis %UserGate_data%\logging\.

UserGate statistika andmebaasile juurdepääsu parooli määramine Kasutaja statistika - liiklus, külastatud ressursid jne.

salvestatakse UserGate serveri poolt spetsiaalsesse andmebaasi. Juurdepääs andmebaasile toimub otse (sisseehitatud Firebirdi andmebaasi jaoks) või ODBC draiveri kaudu, mis võimaldab UserGate'i serveril töötada peaaegu igas vormingus (MSAccess, MSSQL, MySQL) andmebaasidega. Vaikimisi kasutatakse Firebirdi andmebaasi – %UserGate_data%\usergate.fdb. Andmebaasi juurdepääsuks sisselogimine ja parool - SYSDBA\masterkey. Teistsuguse parooli saate määrata halduskonsooli üksuse Üldsätted Andmebaasi sätted kaudu.

NAT-i (võrguaadressi tõlkimine) üldsätted Üksus NAT-i üldsätted võimaldab määrata TCP-, UDP- või ICMP-protokolli kaudu NAT-ühenduste ajalõpu väärtuse. Ajalõpu väärtus määrab NAT-i kaudu kasutajaühenduse eluea, kui andmeedastus ühenduse kaudu on lõpule viidud. Valik Output silumislogid on mõeldud silumiseks ja võimaldab vajadusel lubada NAT UserGate draiveris sõnumite täpsema logimise režiimi.

Ründedetektor on spetsiaalne valik, mis võimaldab kasutada sisemist mehhanismi pordiskanneri jälgimiseks ja blokeerimiseks või www.usergate.ru katsed hõivata kõik serveri pordid. See moodul töötab automaatrežiimis, sündmused kirjutatakse faili %UserGate_data%\logging\fw.log.

Tähelepanu! Selle mooduli sätteid saab muuta konfiguratsioonifaili config.cfg jaotise valikud kaudu.

Üldsätted Blokeeri brauseri stringi järgi – kasutajaagendi brauserite loend, mida puhverserver saab blokeerida. Need. saate näiteks takistada vanadel brauseritel (nt IE 6.0 või Firefox 3.x) Internetti pääsemast.

www.usergate.ru Liideste seadistamine Jaotis Liidesed (joonis 1) on UserGate'i serveri sätetes peamine, kuna see määrab näiteks liikluse loendamise õigsuse, tulemüüri reeglite loomise võimaluse, laiuse piiramise. Interneti-kanal teatud tüüpi liikluse jaoks, mis loob võrkudevahelised suhted ja pakettide töötlemise järjekorra NAT (võrguaadressi tõlkimise) draiveri poolt.

Joonis 1. Serveri liideste konfigureerimine Jaotises Liidesed on loetletud kõik saadaolevad serveri võrguliidesed, kuhu UserGate on installitud, sealhulgas sissehelistamisühendused (VPN, PPPoE).

Iga võrguadapteri jaoks peab UserGate'i administraator määrama selle tüübi. Seega peaksite Internetiga ühendatud adapteri jaoks valima WAN-i tüübi, kohaliku võrguga ühendatud adapteri jaoks LAN-i tüübi.

Sissehelistusühenduse (VPN, PPPoE) tüüpi ei saa muuta. Selliste ühenduste jaoks määrab UserGate'i server automaatselt PPP-liidese tüübi.

Saate määrata sissehelistamisühenduse (VPN) kasutajanime ja parooli, topeltklõpsates vastaval liidesel. Loendi ülaosas olev liides on peamine Interneti-ühendus.

Liikluse loendamine UserGate'is UserGate'i serverit läbiv liiklus salvestatakse ühenduse algataja kohaliku võrgu kasutaja või serveri www.usergate.ru UserGate kaudu, kui server on ühenduse algataja. Serveriliikluse jaoks on UserGate statistikas spetsiaalne kasutaja - UserGate Server. UserGate Serveri kasutajakontole kantakse Kaspersky Labi, Panda Security, Avira sisseehitatud moodulite viirusetõrje andmebaaside uuendamise liiklus, samuti nimelahenduse liiklus DNS-edastuse kaudu.

Liiklus võetakse arvesse täies mahus, koos teenuse päistega.

Lisaks on lisatud võimalus arvestada Etherneti päiseid.

Kui serveri võrguadapterite tüübid (LAN või WAN) on õigesti määratud, ei võeta arvesse liiklust suunas "kohalik võrk – UserGate server" (näiteks juurdepääs serveri jagatud võrguressurssidele).

Tähtis! Kolmandate osapoolte programmide - tulemüüride või viirusetõrjeprogrammide (liikluse kontrollimise funktsiooniga) olemasolu võib märkimisväärselt mõjutada liikluse õiget arvutamist UserGate'is. UserGate'iga arvutisse ei ole soovitatav installida kolmanda osapoole võrguprogramme!

Varukanali tugi Liideste leht sisaldab varukanali sätteid. Häälestusviisardi nupul klõpsates saate valida liidese, mida kasutatakse varukanalina. Teine leht rakendab hostide valikut, mida puhverserver kontrollib Interneti-ühenduse jaoks. Määratud intervalli järel kontrollib lahendus nende hostide saadavust ICMP kajapäringuga. Kui vastus vähemalt ühelt antud hostilt naaseb, loetakse ühendus aktiivseks. Kui üheltki hostilt vastust ei saada, loetakse ühendus passiivseks ja süsteemi põhivärav muutub varukanali lüüsiks. Kui samal ajal loodi NAT-reeglid spetsiaalse maskeerimisliidesega, mis on määratud välise liidesena, siis luuakse sellised reeglid uuesti vastavalt kehtivale marsruutimistabelile. Loodud NAT-reeglid hakkavad tööle varukanali kaudu.

Joonis 2. Kanali varundusviisard www.

usergate.ru Varuühendusena saab UserGate server kasutada nii Etherneti ühendust (spetsiaalne kanal, WAN liides) kui ka sissehelistamisühendust (VPN, PPPoE) (PPP liides). Pärast Interneti-varuühendusele üleminekut kontrollib UserGate'i server perioodiliselt põhikanali saadavust. Kui selle jõudlus taastatakse, lülitab programm kasutajad põhilisele Interneti-ühendusele.

www.usergate.ru

Kasutajad ja rühmad Interneti-juurdepääsu võimaldamiseks peate UserGate'is kasutajad looma. Haldamise mugavuse huvides saab kasutajaid koondada rühmadesse territooriumi või juurdepääsutaseme järgi. Loogiliselt on kõige õigem ühendada kasutajad juurdepääsutasemete järgi rühmadesse, kuna sel juhul on liikluskorraldusreeglitega palju lihtsam töötada. Vaikimisi on UserGate'il ainult üks rühm - vaikimisi.

Uue kasutaja saate luua üksuse Lisa uus kasutaja kaudu või klõpsates lehe Kasutajad ja rühmad juhtpaneeli nuppu Lisa. Kasutajate lisamiseks on veel üks viis - võrgu skannimine ARP-päringutega. Peate klõpsama kasutajate lehel asuval administraatorikonsoolil tühjal kohal ja valima Skanni kohalikku võrku. Järgmisena määrake kohaliku võrgu parameetrid ja oodake skannimise tulemusi. Selle tulemusena näete kasutajate loendit, keda saab UserGate'i lisada. Kasutaja kohustuslikud parameetrid (joonis 3) on nimi, volituse tüüp, autoriseerimisparameeter (IP-aadress, sisselogimine ja parool jne), rühm ja tariif. Vaikimisi kuuluvad kõik kasutajad vaikerühma. UserGate'i kasutajanimi peab olema kordumatu. Lisaks saate kasutaja atribuutides määrata kasutaja juurdepääsu taseme veebistatistikale, määrata H323 sisemise telefoninumbri, piirata kasutaja ühenduste arvu, lubada NAT-i reegleid, liikluse juhtimise reegleid või rakenduse juhtimise reegleid. moodul.

Joonis 3. Kasutajaprofiil UserGate'is UserGate'i kasutaja pärib kõik selle grupi omadused, kuhu ta kuulub, välja arvatud tariif, mida saab tühistada.

Kasutaja omadustes määratud tariif rakendub kõigi kasutajaühenduste tariifiseerimisele. Kui Interneti-ühendus pole tasuline, saate kasutada tühja tariifi, mida nimetatakse vaikimisi.

www.usergate.ru

Sünkroonimine Active Directoryga UserGate'i kasutajagruppe saab sünkroonida Active Directory rühmadega. Active Directoryga sünkroonimise kasutamiseks ei pea UserGate'i puhverserveri ja tulemüüriga masin olema domeeni liige.

Sünkroonimine toimub kahes etapis. Esimeses etapis lubage UserGate administraatorikonsooli lehel "Grupid" (joonis 4) suvand Sünkroonimine AD-ga ja määrake järgmised parameetrid:

domeeninimi Domeenikontrolleri sisselogimise IP-aadress ja parool Active Directorysse sisenemiseks (kasutajanimi UPN-is – kasutaja põhinime vorming on lubatud) sünkroonimisperiood (sekundites) valik "sünkrooni rühmad AD-ga" ja valige Active Directoryst üks või mitu rühma .

Sünkroonimise ajal mahuvad valitud Active Directory rühmadesse kuuluvad Active Directory kasutajad UserGate'i rühmadesse. Imporditud kasutajate volituse tüüp on "HTTP imporditud kasutaja olek (NTLM)".

(lubatud/keelatud) juhib Active Directory domeeni vastava konto olek.

www.usergate.ru Joonis 4. Active Directoryga sünkroonimise seadistamine Tähtis! Sünkroonimiseks peate tagama LDAP-protokolli läbimise UserGate'i serveri ja domeenikontrolleri vahel.

www.usergate.ru Kasutaja isikliku statistika leht Igal UserGate'i kasutajal on võimalus vaadata statistikalehte. Isikliku statistika lehele pääseb juurde aadressilt http://192.168.0.1:8080/statistics.html, kus näiteks 192.168.0.1 on UserGate masina kohalik aadress ja 8080 port, millel HTTP puhverserver töötab. usergate. Kasutaja saab vaadata oma isiklikku laiendatud statistikat, logides sisse aadressil - http://192.168.0.1:8081.

Tähelepanu! Versioonis 6.x lisati kuulamisliides 127.0.0.1:8080, mis on vajalik veebistatistika toimimiseks, kui UserGate HTTP puhverserver on keelatud. Sellega seoses on liidese 127.0.0.1 port 8080 alati hõivatud UserGate'i puhverserveri ja tulemüüriga, kui protsess usergate.exe töötab

IP-aadressi järgi IP-vahemiku järgi IP+MAC-aadressi järgi MAC-aadressi järgi Autoriseerimine HTTP kaudu (HTTP-põhiline, NTLM) Autoriseerimine sisselogimise ja parooliga (Authorization Client) Autoriseerimise lihtsustatud versioon Active Directory kaudu. Viimase kolme autoriseerimismeetodi kasutamiseks tuleb kasutada spetsiaalset rakendus peab olema installitud kasutaja tööjaama – UserGate autoriseerimisklienti. Vastav MSI pakett (AuthClientInstall.msi) asub kataloogis %UserGate%\tools ja seda saab kasutada automaatseks rühmapoliitika installimiseks Active Directorysse.

Active Directory rühmapoliitikaga autoriseerimiskliendi installimise haldusmall asub samuti kataloogis %UserGate%\tools. Saidil http://usergate.ru/support on videojuhised autoriseerimiskliendi juurutamiseks rühmapoliitika kaudu.

Kui UserGate server on installitud arvutisse, mis ei kuulu Active Directory domeeni, on soovitatav kasutada Active Directory kaudu lihtsustatud autoriseerimisvalikut. Sel juhul võrdleb UserGate server autoriseerimiskliendilt saadud sisselogimist ja domeeninime vastavate kasutajaprofiilis määratud väljadega ilma domeenikontrolleriga ühendust võtmata.

Terminali kasutajate tugi Terminali kasutajate autoriseerimiseks UserGate puhverserveris lisati alates versioonist 6.5 spetsiaalne tarkvaramoodul nimega "Terminal Authorization Agent". Terminaliagendi programmi levikomplekt asub kaustas %UserGate%\tools ja selle nimi on TerminalServerAgent*.msi. 32-bitiste süsteemide jaoks peate kasutama versiooni "TerminalServerAgent32.msi" ja 64-bitiste süsteemide jaoks TerminalServerAgent64.msi. Programm on agent, mis saadab perioodiliselt iga 90 sekundi järel volitusteavet terminaliserveri kõigi klientide kohta puhverserverisse ja draiver, mis pakub iga terminali kliendi jaoks pordi võltsimist. Kasutajateabe ja kasutajaga seotud portide kombinatsioon võimaldab puhverserveril terminaliserveri kasutajaid täpselt tuvastada ja rakendada neile erinevaid liikluse juhtimise poliitikaid.

Terminaaliagendi installimisel palutakse teil määrata puhverserveri IP-aadress ja kasutajate arv. See on vajalik terminaliserveri vabade TCP\UDP-portide optimaalseks kasutamiseks.

www.usergate.ru

Peale terminaliserveri agendi installimist teeb päringu puhverserverile ja kui kõik läheb hästi, siis luuakse serverisse kolm kasutajat autoriseeringuga "AD login-password" ja sisselogimisega "NT AUTHORIY\*".

Kui teil on konsoolis selliseid kasutajaid, on teie terminaliagent tööks valmis.

Esimene viis (sünkroonimine Active Directory domeeniga):

Peate administraatorikonsoolis kasutajarühmade lehel valiku "AD-ga sünkroonimine" atribuutides määrama õiged parameetrid AD-ga autoriseerimiseks.

Siis peate looma uus grupp kasutajad ja selles määrake, milline AD kasutajarühm tuleb puhverserveri praeguse rühmaga sünkroonida. Seejärel lisatakse teie kasutajad sellesse kohalikku UserGate Proxy kasutajarühma. See viib puhverserveri seadistamise lõpule. Pärast seda peate end terminaliserverisse sisse logima AD kasutajana ja see autoriseeritakse automaatselt puhverserveris ilma sisselogimise ja parooli sisestamiseta. Terminaliserveri kasutajaid saab hallata tavaliste puhverserveri kasutajatena, kellel on IP-aadressi autoriseerimine. Need. nad saavad rakendada erinevaid NAT-reegleid ja/või liikluskorralduseeskirju.

Teine viis (kasutajate importimine Active Directory domeenist):

Kasutage kasutajate "importimist" AD-st, see konfigureeritakse kasutajatega lehel, klõpsates UserGate'i administraatorikonsooli liideses vastavat nuppu - "import".

Peate importima kasutajad AD-st puhverserveri kindlasse kohalikku rühma. Pärast seda saavad kõik imporditud kasutajad, kes taotlevad terminaliserverist juurdepääsu Internetile, juurdepääsu Internetile UserGate'i puhverserveris määratletud õigustega.

Kolmas viis (kasutades kohalikke terminaliserveri kontosid):

See meetod on mugav terminalagendi töö testimiseks või juhtudel, kui terminaliserver ei asu Active Directory domeenis. Sel juhul peate looma uue kasutaja autoriseerimistüübiga Login domain-AD" ja määrama "domeeniaadressiks" terminaliserveri arvuti nime ja selle kasutaja nime, kes terminali sisse logib. Kõik kasutajad, kes luuakse puhverserveris, pääsevad Internetti terminaliserverist UserGate'i puhverserveris määratletud õigustega.

Tuleb mõista, et terminalagendil on mõned piirangud:

Terminaliserverist Internetti ei saa edastada muid protokolle peale TCP\UDP. Näiteks ei saa sellest serverist PING-i käivitada kuskil Internetis NAT-i kaudu.

www.usergate.ru Maksimaalne kasutajate arv terminaliserveris ei tohi ületada 220, samas kui igale kasutajale ei eraldata rohkem kui 200 porti TCP\UDP protokollide jaoks.

UserGate'i puhverserveri taaskäivitamisel ei vabasta terminaliagent kedagi Internetti enne esimest sünkroonimist UserGate'i puhverserveriga (kuni 90 sekundit).

HTTP autoriseerimine läbipaistva puhverserveri kaudu töötades UserGate v.6 lisab HTTP autoriseerimise võimaluse läbipaistvas režiimis töötavale puhverserverile. Kui kasutaja tööjaama brauser ei ole konfigureeritud puhverserverit kasutama ja HTTP-puhverserver UserGate'is on läbipaistvas režiimis lubatud, suunatakse volitamata kasutaja päring ümber autoriseerimislehele, mis nõuab sisselogimise määramist. ja parool.

Pärast autoriseerimist ei pea seda lehte sulgema. Autoriseerimislehte värskendatakse perioodiliselt spetsiaalse skripti abil, mis hoiab kasutajaseansi aktiivsena. Selles režiimis on kasutajal juurdepääs kõigile UserGate'i teenustele, sealhulgas võimalus töötada NAT-i kaudu. Kasutajaseansi lõpetamiseks peate klõpsama autoriseerimislehel nuppu Logi välja või lihtsalt sulgema autoriseerimise vahekaardi. ja 30–60 sekundi pärast kaob puhverserveri autoriseerimine.

luba NetBIOSNameRequest (UDP:137) pakettidel liikuda UserGate'i serveri ja domeenikontrolleri vahel tagama NetBIOSSessionRequest (TCP:139) pakettide edastamise UserGate'i serveri ja domeenikontrolleri vahel määrake brauseris UserGate'i HTTP-puhverserveri aadress ja port kasutaja masin Tähtis! NTLM-i autoriseerimise kasutamiseks ei pruugi masin, kuhu on installitud UserGate, olla Active Directory domeeni liige.

Autoriseerimiskliendi kasutamine UserGate autoriseerimisklient on Winsocki tasemel töötav võrgurakendus, mis loob ühenduse UserGate serveriga kindlas UDP-pordis (vaikimisi kasutatakse porti 5456) ja edastab kasutaja autoriseerimisparameetreid: autoriseerimise tüüp, sisselogimine, parool jne. .

www.usergate.ru

Esmakordsel käivitamisel vaatab UserGate'i autoriseerimisklient süsteemiregistri haru HKCU\Software\Policies\Entensys\Authclient. Active Directory domeeni rühmapoliitika kaudu saadud sätted asuvad siin. Kui süsteemiregistri sätteid ei leita, tuleb UserGate'i serveri aadress käsitsi määrata autoriseerimiskliendis ülalt kolmandal vahekaardil. Pärast serveri aadressi määramist klõpsake nuppu Rakenda ja minge teisele vahekaardile. See leht määrab kasutaja autoriseerimise parameetrid. Autoriseerimiskliendi sätted salvestatakse süsteemiregistri võtmesse HKCU\Software\Entensys\Authclient. Autoriseerimise klienditeeninduse logi salvestatakse kausta Dokumendid ja sätted\%USER%\Application data\UserGate Client.

Lisaks on autoriseerimiskliendis lisatud link kasutaja isikliku statistika lehele. Muuda välimus autoriseerimisklient on võimalik redigeerides vastavat malli *.xml faili kujul, mis asub kataloogis, kuhu klient on installitud.

www.usergate.ru

Teenuste seadistamine UserGate'is DHCP konfigureerimine Teenus võimaldab DHCP-l (Dynamic Host Configuration Protocol) automatiseerida kohaliku võrgu klientidele võrgusätete väljastamise protsessi. DHCP-serveriga võrgus saab igale võrguseadmele dünaamiliselt määrata IP-aadressi, lüüsi aadressi, DNS-i, WINS-serveri jne.

DHCP-serveri saate lubada UserGate'i halduskonsooli jaotises Teenused DHCP-serveri lisamise liidese kaudu või klõpsates juhtpaneelil nuppu Lisa. Ilmuvas dialoogiaknas valige võrguliides, millel DHCP-server töötab. DHCP-serveri minimaalses konfiguratsioonis piisab järgmiste parameetrite määramisest: IP-aadressivahemik (aadressikogum), millest server väljastab aadresse kohtvõrgu klientidele; võrgumask ja rendiaeg.

UserGate'i maksimaalne kogumi suurus ei tohi ületada 4000 aadressi. Vajadusel saab valitud aadressikogust välja jätta ühe või mitu IP-aadressi (nupp Välistused). Saate määrata võrgus olevale konkreetsele seadmele püsiva IP-aadressi, luues jaotises Broneeringud vastava sidumise. IP-aadressi püsivus liisingu uuendamisel või saamisel tagatakse sidumisega (Reservation) võrguseadme MAC-aadressiga. Köitmise loomiseks peate lihtsalt määrama seadme IP-aadressi.

MAC-aadress määratakse automaatselt, klõpsates vastaval nupul.

Joonis 6. UserGate DHCP serveri konfigureerimine

UserGate'i DHCP-server toetab Windowsi DHCP-serveri sätete importimist. Windowsi DHCP sätted tuleb esmalt faili salvestada. Selleks käivitage serveris, kuhu on installitud Windows DHCP, käsurea režiim (Start Run, tippige cmd ja vajutage Enter) ja ilmuvas aknas käivitage käsk: netsh dhcp server IP dump failinimi, kus IP on Teie DHCP-serveri IP-aadress. Impordi seaded

www.usergate.ru

failist viiakse läbi vastava nupu kaudu DHCP-serveri konfiguratsiooniviisardi esimesel lehel.

Väljastatud IP-aadressid kuvatakse halduskonsooli akna alumises pooles (Joonis 8) koos teabega kliendi kohta (arvuti nimi, MAC-aadress), rendi algus- ja lõppajad. Valides väljastatud IP-aadressi, saate UserGate'i lisada kasutaja, luua MAC-aadressi järgi sidumise või vabastada IP-aadressi.

Joonis 7. Väljastatud aadresside kustutamine

Vabastatud IP-aadress paigutatakse mõne aja pärast DHCP-serveri tasuta aadresside kogumisse. IP-aadressi vabastamise toiming võib olla vajalik, kui varem UserGate DHCP serverilt aadressi küsinud arvutit enam võrgus ei ole või see on muutnud oma MAC-aadressi.

DHCP-server suudab vastata kliendi päringutele faili "wpad.dat" taotlemisel. Kasutades seda meetodit puhverserveri sätete hankimiseks, peate redigeerima mallifaili, mis asub kaustas "C:\program files\entensys\usergate6\wwwroot\wpad.dat".

Rohkem detailne info seda puhverserveri sätete hankimise meetodit kirjeldatakse Vikipeedias.

Puhverserveri teenuste seadistamine UserGate'is UserGate'i serverisse on integreeritud järgmised puhverserverid: HTTP (toega "FTP üle HTTP" ja HTTPS-režiim, - Ühendusmeetod), FTP, SOCKS4, SOCKS5, POP3 ja SMTP, SIP ja H323. Puhverserveri www.usergate.ru seaded on saadaval halduskonsooli jaotises Teenused Puhverserveri sätted. Peamised puhverserveri seaded hõlmavad järgmist:

liides (joonis 9) ja pordi number, millel puhverserver töötab.

Joonis 8. Puhverserveri põhisätted Vaikimisi sisaldab UserGate ainult HTTP-puhverserverit, mis kuulab kõigi serveri saadaolevate võrguliideste TCP-porti 8080.

Kliendi brauseri konfigureerimiseks puhverserveri kaudu töötama piisab puhverserveri aadressi ja pordi määramisest vastavas seadete üksuses. Internet Exploreris määratakse puhverserveri sätted menüüs Tööriistad Interneti-suvandid Ühenduse LAN-sätted. HTTP-puhverserveri kaudu töötades ei pea te kasutaja tööjaama TCP / IP-võrguühenduse atribuutides määrama lüüsi ja DNS-i, kuna HTTP-puhverserver ise lahendab nimed.

Iga puhverserveri jaoks on saadaval kaskaadrežiim ülesvoolu puhverserverisse.

Tähtis! Puhverserveri sätetes määratud port avatakse automaatselt UserGate tulemüüris. Seetõttu on turvalisuse seisukohast soovitatav puhverserveri sätetes määrata ainult serveri kohaliku võrgu liidesed.

Tähtis! Lisateavet puhverserveri erinevate brauserite sätete kohta leiate Entensysi teadmistebaasi spetsiaalsest artiklist.

IP-telefoniprotokollide tugi (SIP, H323) UserGate rakendab SIP-registri olekupõhise puhverserveri funktsiooni. SIP-puhverserver on lubatud jaotises Teenused Puhverserveri seaded ja töötab alati läbipaistvas režiimis, kuulates porte 5060 TCP ja 5060 UDP. Kui kasutate SIP-puhverserverit sees

www.usergate.ru

Halduskonsooli lehel Seansid kuvatakse teave aktiivse ühenduse oleku kohta (registreerimine, helisemine, ooteaeg jne), samuti teave kasutajanime (või numbri), kõne kestuse ja edastatud/vastuvõetud arvu kohta. baiti. See teave salvestatakse ka UserGate statistika andmebaasi.

UserGate SIP puhverserveri kasutamiseks kasutaja tööjaama TCP/IP atribuutides peate määrama UserGate serveri IP-aadressi vaikelüüsiks ja määrama kindlasti DNS-serveri aadressi.

Illustreerime kliendiosa konfiguratsiooni SJPhone'i tarkvara ja Sipneti pakkuja näitel. Käivitage SJPhone, valige kontekstimenüüst Valikud ja looge uus profiil. Sisestage profiili nimi (joonis 10), näiteks sipnet.ru. Määrake profiili tüübiks Helista SIP-puhverserveri kaudu.

Joonis 9. Uue profiili loomine rakenduses SJPhone Dialoogiboksis Profiili suvandid peate määrama oma VoIP-teenuse pakkuja puhverserveri aadressi.

Dialoogi sulgemisel peate sisestama andmed oma VoIP-teenuse pakkuja serverisse autoriseerimiseks (kasutajanimi ja parool).

Joonis 10. SJPhone www.usergate.ru profiili seaded Tähelepanu! Kui SIP-puhverserveri lubamisel ei liigu teie kõneliiklus ühes ega teises suunas, peate kasutama STUN-puhverserverit või laskma liiklust NAT-i kaudu kõigis portides (ANY:FULL) vajalike kasutajate jaoks. Kui lubate NAT-reegli kõigis portides, tuleb SIP-puhverserver keelata!

SIP-registri režiimi tugi SIP-registri funktsioon võimaldab kasutada UserGate'i tarkvara PBX-na (automaatne telefonivahetus) kohaliku võrgu jaoks.

SIP-i registripidaja funktsioon töötab samaaegselt SIP-puhverserveri funktsiooniga. UserGate SIP registripidajas SIP UAC (User Agent Client) sätetes autoriseerimiseks peate määrama:

UserGate aadress SIP-serveri aadressina UserGate kasutajanimi (ilma tühikuteta) mis tahes parool H323 protokolli tugi H323 protokolli tugi võimaldab kasutada UserGate serverit H323 Gatekeeperina. H323 puhverserveri sätted määravad liidese, millel server kuulab kliendi päringuid, pordi numbri ning H323 lüüsi aadressi ja pordi. UserGate Gatekeeperis autoriseerimiseks peab kasutaja määrama UserGate'i kasutajaprofiilis määratud sisselogimise (kasutajanimi UserGate'is), parooli (mis tahes) ja telefoninumbri.

Tähtis! Kui UserGate GateKeeper saab kõne H323 numbrile, mis ei kuulu ühelegi volitatud UserGate'i kasutajale, suunatakse kõne H323 lüüsile. Kõned H323 lüüsile tehakse CallModel: Direct režiimis.

UserGate'i meilipuhverserverid UserGate'i meilipuhverserverid on loodud töötama POP3- ja SMTP-protokollidega ning meililiikluse viirusetõrjeks.

Läbipaistva POP3-režiimi ja SMTP-puhverserveri kasutamisel on meilikliendi sätted kasutaja tööjaamas samad, mis vastavad otse Interneti-juurdepääsuga valikule.

Kui UserGate POP3 puhverserverit kasutatakse mitteläbipaistvas režiimis, siis kasutaja tööjaamas asuva meilikliendi seadistustes tuleb POP3 serveri aadressiks määrata UserGate arvuti IP-aadress ja UserGate POP3 puhverserverile vastav port. . Lisaks on kaug-POP3-serveris autoriseerimiseks sisselogimine määratud järgmises vormingus:

meiliaadress@POP3_serveri_aadress. Näiteks kui kasutajal on postkast [e-postiga kaitstud], seejärel sisselogimiseks

E-posti kliendis tuleb määrata UserGate POP3 puhverserver:

[e-postiga kaitstud]@pop.mail123.com. See vorming on vajalik selleks, et UserGate'i server saaks määrata kaug-POP3-serveri aadressi.

www.usergate.ru

Kui UserGate SMTP puhverserverit kasutatakse läbipaistmatus režiimis, siis tuleb puhverserveri sätetes määrata SMTP-serveri IP-aadress ja port, mida UserGate meilide saatmiseks kasutab. Sel juhul tuleb kasutaja tööjaamas asuva meilikliendi seadistustes SMTP serveri aadressiks määrata UserGate serveri IP aadress ja UserGate SMTP puhverserverile vastav port. Kui saatmiseks on vaja autoriseerimist, peate meilikliendi sätetes määrama kasutajanime ja parooli, mis vastab UserGate'i SMTP puhverserveri sätetes määratud SMTP-serverile.

Läbipaistva režiimi kasutamine Läbipaistva režiimi funktsioon puhverserveri sätetes on saadaval, kui UserGate'i server on installitud koos NAT-draiveriga. Läbipaistvas režiimis kuulab UserGate NAT-draiver teenuste jaoks standardseid porte: 80 TCP HTTP jaoks, 21 TCP FTP jaoks, 110 ja 25 TCP POP3 ja SMTP jaoks UserGate'i arvuti võrguliidestes.

Kui päringuid on, edastab see need vastavale UserGate puhverserverile. Võrgurakendustes läbipaistva režiimi kasutamisel ei pea kasutajad määrama puhverserveri aadressi ja porti, mis vähendab oluliselt administraatori tööd kohaliku võrgu Interneti-juurdepääsu võimaldamisel. Tööjaamade võrguseadetes tuleb aga lüüsiks määrata UserGate server ja DNS serveri aadress.

Kaskaadpuhverserverid UserGate'i server võib töötada Interneti-ühendusega nii otse kui ka kõrgemate puhverserverite kaudu. Sellised puhverserverid on rühmitatud UserGate'i jaotisesse Teenuste kaskaadpuhverserverid. UserGate toetab järgmist tüüpi kaskaadpuhverservereid: HTTP, HTTPS, Socks4, Socks5. Kaskaadpuhverserveri sätetes on määratud standardparameetrid: aadress ja port. Kui ülesvoolu puhverserver toetab autoriseerimist, saate seadetes määrata sobiva sisselogimise ja parooli. Loodud kaskaadpuhverserverid muutuvad kättesaadavaks UserGate'i puhverserveri sätetes.

www.usergate.ru Joonis 11 Vanempuhverserverid UserGate'i pordi määramisel UserGate toetab pordi kaardistamise funktsiooni. Kui portide määramiseks on reeglid, suunab UserGate server UserGate'iga arvuti määratud võrguliidese kindlasse porti saabuvad kasutajapäringud ümber teisele määratud aadressile ja pordile, näiteks mõnele teisele kohtvõrgu arvutile.

Port Forwarding funktsioon on saadaval TCP ja UDP protokollide jaoks.

Joonis 12. Portide määramine UserGate'is Tähtis! Kui Internetist ettevõttesisesele ressursile juurdepääsu võimaldamiseks kasutatakse pordi määramist, peate valima volituse parameetriks www.usergate.ru Määratud kasutaja, vastasel juhul pordi suunamine ei tööta.

Vahemälu seadistamine Üks puhverserveri eesmärke on võrguressursside vahemällu salvestamine.

Vahemällu salvestamine vähendab teie Interneti-ühenduse koormust ja kiirendab juurdepääsu sageli külastatavatele ressurssidele. UserGate'i puhverserver teostab HTTP- ja FTP-liikluse vahemällu salvestamist. Vahemällu salvestatud dokumendid paigutatakse kohalikku kausta %UserGate_data%\Cache. Vahemälu seaded on järgmised:

vahemälu suuruse limiit ja vahemällu salvestatud dokumendi säilitusaeg.

Lisaks saate lubada dünaamiliste lehtede vahemällu salvestamise ja liikluse loendamise vahemälust. Kui suvand Loe liiklust vahemälust on lubatud, ei salvestata UserGate'i kasutaja kohta mitte ainult välist (Interneti) liiklust, vaid ka UserGate'i vahemälust vastuvõetud liiklust.

Tähelepanu! Vahemälu praeguste kirjete nägemiseks peate vahemälu andmebaasi vaatamiseks käivitama spetsiaalse utiliidi. See käivitatakse, paremklõpsates süsteemisalves ikoonil "UserGate Agent" ja valides "Ava brauseri vahemälu".

Tähelepanu! Kui olete vahemälu lubanud ja teil pole ikka veel ressursse vahemälu brauseris, peate tõenäoliselt lubama HTTP-protokolli läbipaistva puhverserveri lehel "Teenused – puhverserveri sätted".

Viirusetõrjekontroll UserGate serverisse on integreeritud kolm viirusetõrjemoodulit: Kaspersky Lab Anti-Virus, Panda Security ja Avira. Kõik viirusetõrjemoodulid on mõeldud sissetuleva liikluse skannimiseks HTTP, FTP ja UserGate e-posti puhverserverite kaudu, samuti väljamineva liikluse läbi SMTP puhverserverite kaudu.

Viirusetõrjemooduli sätted on saadaval halduskonsooli jaotises Teenused Viirusetõrje (joonis 14). Iga viirusetõrje puhul saate määrata, milliseid protokolle see kontrollib, määrata viirusetõrje andmebaaside värskendamise sageduse ja määrata ka URL-id, mida ei pea kontrollima (URL-i filtri valik). Lisaks saate seadetes määrata kasutajate rühma, kelle liiklust ei pea viirusetõrjet kontrollima.

www.usergate.ru

Joonis 13. Viirusetõrjemoodulid UserGate'is Enne viirusetõrjemoodulite käivitamist alustage viirusetõrje andmebaaside värskendamist ja oodake, kuni see lõpeb. Vaikeseadetes uuendatakse Kaspersky viirusetõrje andmebaase Kaspersky Labi veebisaidilt ning Panda viirusetõrje puhul laaditakse need alla Entensysi serveritest.

UserGate server toetab kolme viirusetõrjemooduli samaaegset tööd. Sel juhul kontrollib liiklust esimesena Kaspersky Anti-Virus.

Tähtis! Kui viirusetõrje liikluskontroll on lubatud, blokeerib UserGate server mitme lõimega failide allalaadimise HTTP ja FTP kaudu. Faili osa HTTP kaudu allalaadimise võimaluse blokeerimine võib põhjustada probleeme Windows Update'i teenusega.

Ajastaja UserGate'is UserGate'i serveril on sisseehitatud ülesannete planeerija, mida saab kasutada järgmiste ülesannete täitmiseks: sissehelistamisühenduse lähtestamine ja lahtiühendamine, statistika saatmine UserGate'i kasutajatele, suvalise programmi käivitamine, viirusetõrje andmebaaside värskendamine, statistika kustutamine andmebaasi, kontrollides andmebaasi suurust.

www.usergate.ru

Joonis 14. Tegumiplaneerija seadistamine UserGate planeerija elementi Käivita programm saab kasutada ka *.bat- või *.cmd-failidest käskude (skriptide) jada täitmiseks.

Sarnased tööd:

„TEGEVUSKAVA 2014-2015 REGIONAALSE JA KOHALIKU OMAVALITSUSTE IDAPARTNERLUSE KONVERENTSI TEGEVUSKAVA IDA PARTNERLUSE PIIRKONDLIKU JA KOHALIKU OMAVALITSUSTE KONVERENTSI (CORLEAP) TEGEVUSKAVA AASTAKS 2014 JA KUNI AASTAARUANNE konverents Idapartnerluse ja idapartnerluse 2011. a. seal tekstis - " CORLEAP" või "konverents") on poliitiline foorum, mille eesmärk on edendada kohalike ja ... "

"Venemaa loodusvarade ministeeriumi geoloogia ja maapõue kasutamise valdkonna riikliku poliitika ja reguleerimise osakonna direktor A.V. Orel kinnitas 23. augustil 2013 KINNITUD osakonna direktor avalik kord ja Venemaa loodusvarade ministeeriumi geoloogia ja maapõue kasutamise valdkonna määrus _ A.V. Eagle "_" 2013 KOKKULEPPINUD Föderaalse osariigi ühtse ettevõtte geoloogilise uurimistöö direktor V.V. Shimansky "_"_ Tahkete mineraalide otsimise ja uurimise geoloogiliste ja geofüüsikaliste tehnoloogiate teadus- ja metoodikanõukogu 2013. aasta JÄRELDUS ... "

“TOIMETAJA VEERG D KALLID SÕBRAD! Hoidte käes Uue Metsaajakirja tänavust esimest numbrit. Traditsiooniliselt oli selle peateemaks möödunud aasta lõpus toimunud rahvusvaheline näitus-mess "Vene mets". Loomulikult ei pidanud me seda üritust niivõrd informatiivseks sündmuseks, kuivõrd platvormiks metsatööstuse spetsialistide poolt poliitika, strateegia ja tööstuse arendamise taktikate väljatöötamiseks. Just sellest vaatenurgast püüdsime katta seminaride tööd, ... "

"Riigi interdistsiplinaarse lõpueksami programm koostatakse vastavalt sätetele: föderaalse riigieelarvelise kõrgkooli lõpetajate lõpliku riikliku atesteerimise kohta. kutseharidus « Vene akadeemia Rahvamajandus Ja avalik teenistus presidendi alluvuses Venemaa Föderatsioon"kuupäev 24. jaanuar 2012, Moskva; magistriõppe (magistraadiõppe) kohta föderaalriigi eelarvehariduses ..."

"Esinejate nimekiri Nechaev V.D. Ülikooli strateegilise arenguprogrammi juht, rektor Glazkov A.A. ülikooli strateegilise arengu programmi töö juht, teaduse, innovatsiooni ja strateegilise arengu prorektor Šaraborova G.K. ülikooli strateegilise arengu programmi koordinaator, strateegilise arengu keskuse direktor Projekti kuraatorid: Sokolov E.F. Haldus- ja majandusabi prorektor Ognev A.S. teadusprorektor, ..."

«UDK 91:327 Lõssenko A. V. Matemaatiline modelleerimine kui meetod autonismi fenomeni uurimiseks poliitilises geograafias V. I. Vernadski nimeline Taurida Riiklik Ülikool, Simferopol e-post: [e-postiga kaitstud] Annotatsioon. Artiklis käsitletakse võimalust kasutada matemaatilist modelleerimist poliitilise geograafia uurimismeetodina, avatakse territoriaalse autonoomia mõiste, samuti selle tekketegurid. Märksõnad: matemaatika modelleerimine,..."

"ÕIGUSED" Murmanskis KINNITATUD VASTU VÕETUD Filiaali direktor üldõiguse osakonna koosolekul PEI VPO BIEPP Murmanskis distsipliinid PEI VPO BIEPP v.g. Murmansk A.S. Korobeinikovi protokoll nr 2_ kuupäevaga "_09_" _september_ 2014 "_09_" September 2014 Distsipliini õppe- ja metoodiline kompleks Poliitiliste ja juriidiliste doktriinide ajalugu Eriala ... "

VENEMAA HARIDUSE ARENGU ABIPROGRAMMI USALDIFOND (LUGEGE) LUGEGE AASTAARUANNE: "Investeerides hariduse kvaliteedi hindamisse, reformitulemuste hindamisse ning õpiedukuse ja oskuste hindamissüsteemidesse, aitab pank oma partnerriikidel vastata poliitikareformi võtmeküsimustele. haridus: millised on meie süsteemi eelised? mis on selle puudused? Millised meetmed nende puuduste kõrvaldamiseks olid kõige tõhusamad? mis on..."

"OKHUNOV ALISHER ORIPOVICH [e-postiga kaitstud] PEALKIRI ÕPPEKAVA ÜLDTEAVE INSTRUKTORITE KOHTA DISTSIPLIINI "ÜLDKÜSIMUSED PROGRAMMI ÕPPETULEMUSED OPERATSIOONIDE EELNÕUDED JA JÄRELNÕUDED" KRITEERIUMID JA KONTROLLIMISE REEGLID DISTSIPLIINI KOHTA. BUSS "KIIRURIA ÜLDKÜSIMUSED" ALISHER ORIPOVICH OKHUNOV [e-postiga kaitstud]ÜLDTEAVE: PEALKIRI Ülikooli nimi: Taškendi Meditsiiniakadeemia ÜLDTEAVE Üld- ja lastekirurgia osakond Asukoht...»

"Venemaa Föderatsiooni riikliku poliitika välismaiste kaasmaalaste suhtes Peterburi välissuhete komitee Peterburis VIII Vene kaasmaalaste noorteorganisatsioonide ja venekeelse välismeedia foorum Peterburis "Venemaa välismaal" 7. juuni -13, 2015 PROGRAMM 7. JUUNI, PÜHAPÄEV Osalejate saabumine Foorum päeva jooksul Hotell "St. Petersburg" Aadress: Pirogovskaja muldkeha, 5/2 Osalejate registreerimine, "Osaleja värbamise" väljastamine TÄHELEPANU!

„Eriala 1-23 80 06 „Rahvusvaheliste suhete ja välispoliitika ajalugu“ magistrikava täiendava sisseastumiseksami õppekava lähtub tüüpprogrammidest „Ajalugu“. rahvusvahelised suhted” ja “Valgevene välispoliitika ajalugu”, samuti riigieksami programmid aastal eridistsipliinid erialale 1-23 01 01 "Rahvusvahelised suhted". Kaaluti ja soovitati heakskiitmiseks rahvusvaheliste suhete osakonna koosolekul protokolli nr 10 7 ... "

« Vene-Hiina labor võib nädalaks valida üliraske raketiprojekti Vene-Hiina labor Kosmoselõa süsteemid Järgmised Meteori seeria satelliidid ei saa radarisüsteeme Puuduvat ühendust Vene teadussatelliidi Vernoviga pole veel loodud 02 /19/2015 4 Kosmoseprügi ohustas ISS-i eelmise aasta jaanuaris Maal 60 korda..."

"VENEMAA FÖDERATSIOONI HARIDUS- JA TEADUSMINISTEERIUM Föderaalne riigieelarveline kutsekõrgharidusasutus "Kemerovo Riiklik Ülikool" KINNITUD: Rektor _ V. A. Volchek "" _ 2014 Peamine haridusprogramm kõrgharidus Eriala 030701 Rahvusvaheliste suhete suund (spetsialiseerumine) "Maailmapoliitika" Kvalifikatsioon (kraad) spetsialist rahvusvaheliste suhete alal Õppevorm täiskoormusega Kemerovo 2014 ... "

„ISLAM KAASAEGSEL URAALIL Aleksei Malašenko, Aleksei Starostin APRILL 2015 ISLAM KAASAEGSEL URAALIL Aleksei Malašenko, Aleksei Starostin Selle Working Papersi numbri koostas Carnegie Moscow Center, mittetulunduslik valitsusväline teadusorganisatsioon. Carnegie Rahvusvahelise Rahu Sihtkapital ja Carnegie Moskva Keskus ei võta ühiskondlikes ja poliitilistes küsimustes ühist seisukohta. Väljaanne peegeldab autorite isiklikke seisukohti, kes ei peaks ... "

“Knaufi põhiprintsiip on, et kõik peab olema “mitdenken” (tee seda pärast hästi läbimõtlemist ja nende inimeste huve arvestades, kelle heaks töötad). Tasapisi seda võtmekontseptsioon juurdus Venemaal. Intervjuust Yu.A. Mihhailoviga tegevdirektor LLC "Knauf GIPS KOLPINO"Rahvusvahelise korporatsiooni Venemaa divisjoni juhtimispraktika: "Knauf CIS" kogemus * Gurkov Igor Borisovitš, Kossov Vladimir Viktorovitš Annotatsioon Põhineb aastal Knauf CIS kontserni arendamise kogemuse analüüsil. .."

"Lisa TEAVE Omski oblasti kuberneri 28. veebruari 2013 korralduse nr 25-r "Omski oblasti kuberneri 16. jaanuari 2013 dekreedi nr 3 rakendamise meetmete kohta" täitmise kohta vastavalt prioriteetsete tegevuste kavasse aastateks 2013-2014 Omski oblasti territooriumi laste huvides piirkondliku tegevusstrateegia rakendamiseks aastateks 2013 - 2017 2013. aastaks Nr Nimi Vastutaja Teave p / p meetmete rakendamise kohta täitja I. Lastekaitse perepoliitika ... "

"HANTI-MANSIISKI AUTONOOMSE PIIRKONNA HARIDUS- JA NOORTEPOLIITIKA OSAKOND - Hantõ-Mansiiski autonoomse ringkonna riiklik kõrgharidusasutus YUGRA - Yugra "Surguti Riikliku Pedagoogikaülikooli" programm tööstuspraktika BP.5. PEDAGOOGIA PRAKTIKA Koolituse suund 49.03.02 Puuetega inimeste kehakultuur (Adaptive Kehaline kultuur) Kvalifikatsioon (kraad) ... "

"Riiklik autonoomne kutsekõrgharidusasutus "Moskva valitsuse Moskva linna juhtimisülikool" kutsealase kõrghariduse instituudi osakond valitsuse kontrolli all ja personalipoliitika KINNITAN KINNITA õppeprorektori ja teaduslik töö A.A. Aleksandrov "_"_ 20_ Tööprogramm akadeemiline distsipliin"Vastuvõtumeetodid juhtimisotsused» suuna 38.03.02 "Juhtimine" üliõpilastele täiskoormusega õppeks Moskva ... "

Yu. V. Brekhovi “Lihtne finantssari” KUIDAS TUNNISTADA FINANTSPÜRAMIIDI Volgograd 2011 UDC 336 BBK 65.261 B 87 Service” koos eelarve- ja finantspoliitika komitee ning Volgogradi oblasti administratsiooni riigikassaga. pikaajalise regionaalse sihtprogrammi „Elanike finantskirjaoskuse taseme tõstmine ja finantsteadmiste arendamine ...“
Selle saidi materjalid postitatakse ülevaatamiseks, kõik õigused kuuluvad nende autoritele.
Kui te ei nõustu, et teie materjal sellele saidile postitatakse, kirjutage meile, me eemaldame selle 1-2 tööpäeva jooksul.

Internet ei ole tänapäeval mitte ainult suhtlusvahend või vaba aja veetmise viis, vaid ka töövahend. Teabe otsimine, oksjonitel osalemine, töö klientide ja partneritega nõuavad ettevõtte töötajate kohalolekut veebis. Enamikus arvutites, mida kasutatakse nii isiklikuks otstarbeks kui ka organisatsiooni huvides, on installitud Windowsi operatsioonisüsteemid. Loomulikult on need kõik varustatud mehhanismidega Interneti-juurdepääsu tagamiseks. Alates operatsioonisüsteemist Windows 98 Second Edition on Interneti-ühenduse jagamine (ICS) Windowsi operatsioonisüsteemidesse standardfunktsioonina sisse ehitatud, mis pakub grupijuurdepääsu kohtvõrgust Internetti. Hiljem tutvustas Windows 2000 Server marsruutimise ja kaugjuurdepääsu teenust (marsruutimine ja kaugjuurdepääs) ning juurutas NAT-protokolli toe.

Kuid ICS-il on oma puudused. Seega muudab see funktsioon võrguadapteri aadressi ja see võib põhjustada probleeme kohalikus võrgus. Seetõttu on eelistatav kasutada ICS-i ainult kodu- või väikekontorivõrkudes. See teenus ei paku kasutaja autoriseerimist, seega pole seda soovitav kasutada ettevõtte võrgus. Kui räägime rakendusest koduvõrgus, siis muutub siin vastuvõetamatuks ka kasutajanime autoriseerimise puudumine, kuna IP- ja MAC-aadresse on väga lihtne võltsida. Seetõttu, kuigi Windowsis on võimalus korraldada ühtne juurdepääs Internetile, on praktikas kas riistvara või tarkvara sõltumatud arendajad. Üks selline lahendus on programm UserGate.

Esimene kohtumine

Usergate'i puhverserver võimaldab pakkuda kohaliku võrgu kasutajatele juurdepääsu Internetile ja määratleda juurdepääsupoliitika, keelates juurdepääsu teatud ressurssidele, piirates liiklust või kasutajate võrgus veedetud aega. Lisaks võimaldab Usergate pidada eraldi liiklusregistreid nii kasutajate kui ka protokollide kaupa, mis lihtsustab oluliselt internetiühenduse kulude kontrolli. IN Hiljuti Interneti-teenuse pakkujate seas on tendents pakkuda piiramatut juurdepääsu Internetile oma kanalite kaudu. Sellise trendi taustal kerkib esiplaanile just juurdepääsu kontroll ja arvestus. Selleks piisab Usergate'i puhverserverist paindlik süsteem reeglid.

Usergate'i puhverserver koos NAT-i (Network Address Translation) toega töötab Windows 2000/2003/XP operatsioonisüsteemides, kus on installitud TCP/IP-protokoll. Ilma NAT-protokolli toetamiseta on Usergate võimeline töötama opsüsteemides Windows 95/98 ja Windows NT 4.0. Programm ise ei vaja töötamiseks eriressursse, peamiseks tingimuseks on piisava kettaruumi olemasolu vahemälu ja logifailide jaoks. Seetõttu on siiski soovitatav puhverserver paigaldada eraldi masinasse, andes sellele maksimaalselt ressursse.

Seadistamine

Mille jaoks on puhverserver? Iga veebibrauser (Netscape Navigator, Microsoft Internet Explorer, Opera) teab ju juba, kuidas dokumente vahemällu salvestada. Kuid pidage meeles, et esiteks ei eralda me nendel eesmärkidel märkimisväärsel hulgal kettaruumi. Ja teiseks on tõenäosus, et üks inimene samu lehti külastab, palju väiksem kui siis, kui seda teeksid kümned või sajad inimesed (ja paljudel organisatsioonidel on selline kasutajate arv). Seetõttu vähendab organisatsiooni jaoks ühtse vahemäluruumi loomine sissetulevat liiklust ja kiirendab nende dokumentide otsimist Internetist, mille mõni töötaja on juba vastu võtnud. UserGate puhverserverit saab hierarhiliselt ühendada väliste puhverserveritega (pakkujatega) ja sel juhul on võimalik kui mitte liiklust vähendada, siis vähemalt kiirendada andmete vastuvõtmist, aga ka vähendada kulusid (tavaliselt teenusepakkujalt puhverserveri kaudu tuleva liikluse hind on madalam).

Tulevikku vaadates ütlen, et vahemälu seadistamine toimub menüü jaotises "Teenused" (vt ekraani 1). Pärast vahemälu lülitamist režiimile "Lubatud" saate konfigureerida selle üksikuid funktsioone - POST-päringute vahemällu salvestamine, dünaamilised objektid, küpsised, FTP kaudu vastuvõetud sisu. Siin konfigureeritakse ka vahemälu jaoks eraldatud kettaruumi suurus ja vahemällu salvestatud dokumendi eluiga. Ja selleks, et vahemälu hakkaks tööle, peate puhverserveri režiimi konfigureerima ja lubama. Seadistused määravad, millised protokollid töötavad puhverserveri kaudu (HTTP, FTP, SOCKS), millisel võrguliidesel nad kuulavad ja kas toimub kaskaad (selleks vajalikud andmed sisestatakse teenuste seadete akna eraldi vahekaardile) .

Enne programmiga töötamist peate tegema muud seaded. Reeglina tehakse seda järgmises järjestuses:

1. Kasutajakontode loomine Usergate'is.
2. DNS ja NAT seadistamine süsteemis Usergate'iga. Selles etapis taandub konfiguratsioon peamiselt NAT-i konfigureerimisele viisardi abil.
3. Võrguühenduse seadistamine klientseadmetes, kus peate TCP / IP-võrguühenduse atribuutides määrama lüüsi ja DNS-i.
4. Interneti-juurdepääsu poliitika loomine.

Mugavuse huvides on programm jagatud mitmeks mooduliks. Serverimoodul töötab Internetiga ühendatud arvutis ja täidab põhiülesandeid. Kasutajavärava administreerimine toimub spetsiaalse Usergate Administrator mooduli abil. Tema abiga teostatakse kogu serveri seadistamine vastavalt vajalikele nõuetele. Usergate'i kliendiosa on realiseeritud kui Usergate Authentication Client, mis installitakse kasutaja arvutisse ja mille eesmärk on autoriseerida kasutajaid Usergate'i serveris, kui autoriseerimist kasutatakse muud kui IP või IP + MAC autoriseeringud.

Kontroll

Kasutajate ja rühmade haldamine viiakse eraldi sektsiooni. Rühmad on vajalikud kasutajate haldamise ning nende üldiste juurdepääsu- ja arveldusseadete hõlbustamiseks. Saate luua nii palju rühmi kui vaja. Tavaliselt luuakse rühmad vastavalt organisatsiooni struktuurile. Milliseid valikuid saab kasutajarühmale määrata? Igal rühmal on seotud tariif, mis arvestab juurdepääsukulusid. Vaikimisi kasutatakse vaiketariifi. See on tühi, seega ei võeta kõigi gruppi kuuluvate kasutajate ühenduste eest tasu, välja arvatud juhul, kui tariif on kasutajaprofiilis alistatud.

Programmil on eelmääratletud NAT-reeglite komplekt, mida ei saa muuta. Need on juurdepääsureeglid protokollidele Telten, POP3, SMTP, HTTP, ICQ jne. Grupi loomisel saate määrata, millised reeglid sellele rühmale ja sellesse kaasatud kasutajatele rakenduvad.

Automaatse kordusvalimise režiimi saab kasutada, kui Interneti-ühendus toimub modemi kaudu. Kui see režiim on sisse lülitatud, saab kasutaja Interneti-ühenduse luua, kui ühendus veel puudub – tema soovil loob modem ühenduse ja annab juurdepääsu. Kuid püsiliini või ADSL-i kaudu ühendamisel pole seda režiimi vaja.

Kasutajakontode lisamine on sama lihtne kui rühmade lisamine (vt joonis 2). Ja kui installitud Usergate'i puhverserveriga arvuti kuulub Active Directory (AD) domeeni, saab sealt kasutajakontosid importida ja seejärel rühmadesse jagada. Kuid nii käsitsi sisestamisel kui ka kontode importimisel AD-st tuleb seadistada kasutajaõigused ja juurdepääsureeglid. Nende hulka kuuluvad loa tüüp, tariifiplaan, saadaolevad NAT-reeglid (kui rühmareeglid ei vasta täielikult konkreetse kasutaja vajadustele).

Usergate'i puhverserver toetab mitut tüüpi autoriseerimist, sealhulgas kasutaja autoriseerimist Active Directory kaudu ja Windowsi sisselogimisakent, mis võimaldab integreerida Usergate'i olemasolevasse võrguinfrastruktuuri. Usergate kasutab oma NAT-draiverit, mis toetab autoriseerimist spetsiaalse mooduli - kliendi autoriseerimismooduli kaudu. Olenevalt valitud autoriseerimismeetodist tuleb kasutajaprofiili sätetes määrata kas selle IP-aadress (või aadresside vahemik) või nimi ja parool või ainult nimi. Siin saab määrata ka kasutaja e-posti aadressi, kuhu saadetakse aruanded interneti juurdepääsu kasutamise kohta.

Reeglid

Usergate'i reeglite süsteem on sätetes paindlikum, võrreldes kaugjuurdepääsupoliitika võimalustega (RRAS-i kaugjuurdepääsupoliitika). Reegleid saab kasutada teatud URL-idele juurdepääsu blokeerimiseks, teatud protokollide liikluse piiramiseks, ajalimiidi määramiseks, kasutaja allalaaditava faili maksimaalse suuruse piiramiseks ja palju muud (vt joonis 3). Tavalistel operatsioonisüsteemi tööriistadel pole nende probleemide lahendamiseks piisavalt funktsioone.

Reeglid luuakse abistaja abil. Need kehtivad nelja põhiobjekti kohta, mida süsteem jälgib – ühendus, liiklus, tariif ja kiirus. Ja igaühe jaoks saab teha ühe toimingu. Reeglite täitmine sõltub selle jaoks valitud sätetest ja piirangutest. Nende hulka kuuluvad kasutatud protokollid, kellaaeg nädalapäevade kaupa, millal see reegel hakkab kehtima. Lõpuks määratletakse kriteeriumid liikluse mahu (sissetulev ja väljaminev), võrguaja, kasutajakonto saldo, samuti päringu lähte-IP-aadresside loendi ja mõjutatud ressursside võrguaadresside jaoks. Võrguaadresside määramine võimaldab teil määrata ka failide tüübid, mida kasutajad ei saa alla laadida.

Paljud organisatsioonid ei luba kiirsuhtlusteenuseid. Kuidas sellist keeldu Usergate'i abil rakendada? Piisab, kui luua üks reegel, mis sulgeb ühenduse saidi *login.icq.com* taotlemisel, ja rakendada seda kõigile kasutajatele. Reeglite rakendamine võimaldab teil muuta päevase või öise juurdepääsu tariife piirkondlikele või jagatud ressurssidele (kui teenusepakkuja pakub selliseid erinevusi). Näiteks öö- ja päevatariifide vahel vahetamiseks peate looma kaks reeglit: üks lülitub aja jooksul päevalt öökursile, teine ​​lülitub tagasi. Mille jaoks tariifid täpsemalt on? See on sisseehitatud arveldussüsteemi aluseks. Praegu saab seda süsteemi kasutada ainult kulude vastavusse viimiseks ja prooviarvestuseks, kuid pärast arveldussüsteemi sertifitseerimist on süsteemiomanikel töökindel mehhanism oma klientidega töötamiseks.

Kasutajad

Nüüd pöörduge tagasi DNS-i ja NAT-i sätete juurde. DNS-i konfiguratsioon seisneb väliste DNS-serverite aadresside määramises, millele süsteem juurde pääseb. Samal ajal määrake kasutajaarvutites TCP / IP atribuutide ühenduse seadetes arvuti sisemise võrguliidese IP, mille lüüsiks on Usergate ja DNS. NAT-i kasutamisel veidi erinev konfiguratsioonipõhimõte. Sel juhul peate süsteemi lisama uue reegli, milles peate määratlema vastuvõtja IP (kohalik liides) ja saatja IP (väline liides), pordi - 53 ja UDP-protokolli. See reegel tuleb määrata kõigile kasutajatele. Ja nende arvutite ühenduse seadetes peaksite määrama teenusepakkuja DNS-serveri IP-aadressi kui DNS-i ja selle arvuti IP-aadressi, mille lüüsiks on Usergate.

Meilikliente saab konfigureerida nii pordi kaardistamise kui ka NAT-i kaudu. Kui organisatsioonil on lubatud kasutada kiirsuhtlusteenuseid, siis tuleb muuta nende ühenduse seadeid – määrata tulemüüri ja puhverserveri kasutamine, määrata Usergate’iga arvuti sisevõrguliidese IP-aadress ja valida HTTPS. või Sokkide protokoll. Kuid pidage meeles, et puhverserveri kaudu töötades ei ole Yahoo Messengeri kasutamisel töö vestlustubades ja videovestlus saadaval.

Toimingute statistika salvestatakse logisse, mis sisaldab teavet kõigi kasutajate ühenduse parameetrite kohta: ühenduse aeg, kestus, kulutatud vahendid, taotletud aadressid, vastuvõetud ja edastatud teabe hulk. Kasutajaühenduste teabe salvestamist statistikafaili ei saa tühistada. Statistika vaatamiseks on süsteemis spetsiaalne moodul, millele pääseb ligi nii administraatoriliidese kaudu kui ka eemalt. Andmeid saab filtreerida kasutaja, protokolli ja aja järgi ning salvestada edasiseks töötlemiseks välisesse Exceli faili.

Mis järgmiseks

Kui süsteemi esimesed versioonid olid mõeldud ainult puhverserveri vahemällu salvestamise mehhanismi rakendamiseks, siis viimastel versioonidel on infoturbe tagamiseks loodud uued komponendid. Täna saavad Usergate'i kasutajad kasutada Kaspersky sisseehitatud tulemüüri ja viirusetõrjemoodulit. Tulemüür võimaldab juhtida, avada ja blokeerida teatud porte, samuti avaldada ettevõtte veebiressursse Internetis. Sisseehitatud tulemüür töötleb pakette, mida ei töödelda NAT-reeglite tasemel. Kui paketti käsitles NAT-draiver, siis tulemüür seda enam ei käsitle. Puhverserveri jaoks tehtud pordisätted ja ka pordi kaardistamises määratud pordid paigutatakse automaatselt genereeritud tulemüürireeglitesse (automaatne tüüp). Automaatreeglid hõlmavad ka TCP-porti 2345, mida kasutajavärava administraatori moodul kasutab kasutajavärava taustaprogrammiga ühenduse loomiseks.

Rääkides väljavaadetest edasine areng toote puhul tasub mainida oma VPN-serveri loomist, mis võimaldab teil VPN-i operatsioonisüsteemist loobuda; rämpspostivastase funktsiooni toega meiliserveri juurutamine ja intelligentse tulemüüri arendamine rakenduste tasemel.

Mihhail Abramzon- Ettevõtte "Digt" turundusgrupi juht.

Pärast kohtvõrgu ühendamist Internetti on mõttekas seadistada liiklusarvestussüsteem ja programm Usergate aitab meid selles. Usergate on puhverserver ja võimaldab teil kontrollida arvutite juurdepääsu kohtvõrgust Internetti.

Kuid kõigepealt meenutagem, kuidas me varem videokursusel "Kohaliku võrgu loomine ja konfigureerimine Windows 7 ja WindowsXP vahel" võrku seadistasime ning kuidas võimaldasime kõikidele arvutitele juurdepääsu Internetile ühe sidekanali kaudu. Skemaatiliselt saab seda kujutada järgmiselt, on neli arvutit, mille oleme ühendanud peer-to-peer võrguks, lüüsiks oleme valinud tööjaama tööjaam-4-7, operatsioonisüsteemiga Windows 7, st. ühendas Interneti-juurdepääsuga täiendava võrgukaardi ja võimaldas teistel võrgus olevatel arvutitel selle võrguühenduse kaudu Internetti pääseda. Ülejäänud kolm masinat on Interneti-kliendid ja neil kui lüüsil ja DNS-il on Internetti levitava arvuti IP-aadress. Noh, nüüd käsitleme Interneti-juurdepääsu kontrollimise küsimust.

UserGate'i installimine ei erine tavalise programmi installimisest, pärast installimist palub süsteem taaskäivitada, taaskäivitada. Pärast taaskäivitamist proovime kõigepealt pääseda Internetti arvutist, kuhu UserGate on installitud - selgub, kuid mitte teistest arvutitest, seetõttu hakkas puhverserver tööle ja keelab vaikimisi kõigil Interneti-juurdepääsu. , seega peate selle konfigureerima.

Administraatorikonsooli käivitamine Start \ Programmid \UserGate\ Administraatorikonsool) ja siin on konsool ise ja vahekaart avaneb Ühendused. Kui proovime avada mõnda vasakpoolset vahekaarti, kuvatakse teade (UserGate'i administraatorikonsool ei ole UserGate'i serveriga ühendatud), nii et käivitamisel avame vahekaardi Ühendused, et saaksime kõigepealt UserGate'i serveriga ühenduse luua.

Ja seega on serveri vaikenimi kohalik; Kasutaja – Administraator; Server on localhost, st. serveriosa asub selles arvutis; Port - 2345.

Topeltklõpsake seda kirjet ja looge ühendus UserGate'i teenusega, kui ühenduse loomine ebaõnnestus, kontrollige, kas teenus töötab ( ctrl+ alt+ Esc\ teenused \UserGate)

Käivitub esimesel ühendusel SeadistusviisardUserGate, vajutage Ei, kuna konfigureerime kõik käsitsi, et oleks selgem, mida ja kust otsida. Ja kõigepealt minge vahekaardile ServerUserGate\ Liidesed, siin näitame, milline võrgukaart vaatab Internetti ( 192.168.137.2 - WAN) ja milline kohalikku võrku ( 192.168.0.4 - LAN).

Edasi Kasutajad ja rühmad \ Kasutajad, siin on ainult üks kasutaja, see on masin ise, millel UserGate server töötab ja seda nimetatakse Defaultiks, st. vaikimisi. Lisame kõik kasutajad, kellel on juurdepääs Internetile, mul on kolm neist:

Tööjaam-1-xp - 192.168.0.1

Tööjaam-2-xp - 192.168.0.2

Tööjaam-3-7 - 192.168.0.3

Jätame vaikimisi grupi ja tariifiplaani, volituse tüübi, kasutan seda IP-aadressi kaudu, kuna olen need käsitsi registreerinud, ja jäävad muutumatuks.

Nüüd konfigureerime puhverserveri ise, minge aadressile Teenused \ Puhverserveri seaded \http, siin valime IP-aadressi, mille määrasime kliendimasinate lüüsiks, mul on see 192.168.0.4 ja märkige ka ruut läbipaistev režiim, et mitte brauserites puhverserveri aadressi käsitsi sisestada, vaatab brauser sel juhul, milline lüüs on võrguühenduse seadetes määratud ja suunab päringud sellele.