Märge:Seda artiklit on muudetud, ajakohastatud koos asjakohaste andmete ja täiendavate linkidega.

Kasutajavärava puhverserver ja tulemüür on klassi UTM (Unified Threat Management) Interneti-lüüs, mis võimaldab teil pakkuda ja kontrollida töötajate üldist juurdepääsu Interneti-ressurssidele, filtreerida pahatahtlikke, ohtlikke ja soovimatuid saite, kaitsta ettevõtte võrku väliste sissetungide ja rünnakute eest, luua virtuaalseid võrke ja korraldada turvalist VPN- juurdepääs võrguressurssidele väljastpoolt, samuti ribalaiuse ja Interneti-rakenduste juhtimine.

Toode on tõhus alternatiiv kallile tarkvarale ja riistvarale ning on mõeldud kasutamiseks väikestes ja keskmise suurusega ettevõtetes, valitsusasutustes ja harustruktuuriga suurtes organisatsioonides.

Kogu toote kohta leiate lisateavet.

Programmil on täiendavad tasulised moodulid:

• Kaspersky Antivirus
• Panda viirusetõrje
• Avira Antivirus
• Entensys URL-i filtreerimine

Iga mooduli litsents on üks kalendriaasta. Kõigi moodulite tööd saate testida proovivõtmes, mida saab piiramatu arvu kasutajate jaoks pakkuda perioodiks 1 kuni 3 kuud.

Lisateavet litsentsimisreeglite kohta saate lugeda.

Kõigi Entensysi lahenduste ostmisega seotud küsimuste korral pöörduge palun: [e-posti aadress on kaitstud] või helistades tasuta telefonil: 8-800-500-4032.

Nõuded süsteemile

Lüüsi korraldamiseks vajate arvutit või serverit, mis peab vastama järgmistele süsteeminõuetele:

• Protsessori sagedus: alates 1,2 GHz
• RAM-i suurus: alates 1024 Gb
• HDD maht: alates 80 GB
• Võrguadapterite arv: 2 või enam

Mida suurem on kasutajate arv (75 kasutaja suhtes), seda rohkem peaksid olema serveri omadused.

Soovitame installida meie toode arvutisse, kus on "puhas" serveri opsüsteem, soovitatav operatsioonisüsteem on Windows 2008/2012.
Me ei taga UserGate Proxy ja tulemüüri korrektset toimimist ja / või kolmandate osapoolte teenuste ja ära soovita seda jagada koos lüüsi teenustega, mis täidab järgmisi rolle:

• On domeenikontroller
• Kas virtuaalse masina hüperviisor
• On terminaliserver
• Toimib koormatud DBMS / DNS / HTTP serverina jne.
• Toimib SIP-serverina
• Täidab äriprotsesside jaoks kriitilise tähtsusega teenuseid või teenuseid
• Kõik ülaltoodud

UserGate Proxy ja tulemüür võivad praegu olla vastuolus järgmist tüüpi tarkvaraga:

• Kõik ilma eranditeta kolmas osapool Tulemüür / tulemüürilahendused
• BitDefender viirusetõrjetooted
• Viirusetõrje moodulid, mis täidavad enamiku viirusetõrjetoodete tulemüüri või "Antihackeri" funktsiooni. Soovitatav on need moodulid keelata
• Viirusetõrje moodulid, mis skannivad HTTP / SMTP / POP3 protokollide kaudu edastatud andmeid, see võib puhverserveri kaudu aktiivse töö ajal viibida
• Kolmandate osapoolte tarkvaratooted, mis on võimelised pealtkuulama andmeid võrguadapteritest - "kiirusemõõtjad", "vormijad" jne.
• Windows Serveri "marsruutimine ja kaugjuurdepääs" aktiivne roll NAT / Interneti-ühenduse jagamise (ICS) režiimis

Tähelepanu!Installimise ajal on soovitatav lüüsi IPv6 tugi keelata, kui IPv6-d ei kasutata. UserGate Proxy ja tulemüüri praegune juurutamine ei toeta IPv6 protokolli ja seetõttu ei filtreerita seda protokolli. Seega pääseb hostile IPv6 kaudu väljastpoolt juurde ka siis, kui tulemüüri keelamise reeglid on lubatud.

Õige konfigureerimise korral ühildub UserGate Proxy ja tulemüür järgmiste teenuste ja teenustega:

Microsoft Windows Serveri rollid:

• DNS-server
• DHCP-server
• Prindiserver
• Failiserver (SMB)
• Rakenduste server
• WSUS-server
• Veebiserver
• WINS-server
• VPN-server

Ja kolmandate osapoolte toodetega:

• FTP / SFTP serverid
• Sõnumiserverid - IRC / XMPP

UserGate Proxy ja tulemüüri installimisel veenduge, et kolmanda osapoole tarkvara ei kasuta porti või porte, mida UserGate Proxy ja tulemüür saavad kasutada. Vaikimisi kasutab UserGate järgmisi porte:

• 25 - SMTP puhverserver
• 80 - läbipaistev HTTP puhverserver
• 110 - POP3 puhverserver
• 2345 - UserGate'i administraatori konsool
• 5455 - UserGate VPN-server
• 5456 - UserGate'i autoriseerimisklient
• 5458 - DNS-i edastamine
• 8080 - HTTP puhverserver
• 8081 - UserGate'i veebistatistika

Kõiki sadamaid saab muuta UserGate'i administraatori konsooli abil.

Programmi installimine ja töö jaoks andmebaasi valimine

UserGate'i puhverserveri ja tulemüüri konfigureerimise viisard

NAT-i reeglite seadistamise üksikasjalikumat kirjeldust kirjeldatakse selles artiklis:

Kasutajavärava agent

Pärast installimist UserGate Proxy ja tulemüür tingimata taaskäivitage värav. Pärast süsteemi sisselogimist peaks UserGate'i agendi ikoon muutuma Windowsi tegumiribal kella kõrval roheliseks. Kui ikoon on hall, siis ilmnes installiprotsessi ajal tõrge ja UserGate Proxy & Firewall serveriteenus pole veel käivitatud, sel juhul vaadake Entensysi teadmistebaasi vastavat jaotist või Entensysi tehnilist tuge.

Toode konfigureeritakse UserGate Proxy ja tulemüüri halduskonsooli kaudu, millele saab tugineda kas topeltklõpsuga UserGate agendi ikoonil või klõpsates otsetee menüüs "Start".
Halduskonsooli käivitamisel on esimene samm toote registreerimine.

Üldised seaded

Seadke administraatori konsooli jaotises Üldised sätted administraatori kasutaja parool. Tähtis! Ärge kasutage halduskonsooli juurde pääsemiseks paroolina unicode-eripakkumist ega toote PIN-koode.

Toote UserGate puhverserver ja tulemüür sisaldab rünnaku kaitsemehhanism, saate selle aktiveerida ka menüüs "Üldseaded". Rünnaku kaitsemehhanism on aktiivne mehhanism, omamoodi "punane nupp", mis töötab kõigil liidestel. Seda funktsiooni on soovitatav kasutada kohaliku võrgu arvutite DDoS-rünnakute või massiinfektsioonide korral pahavaraga (viirused / ussid / botnetirakendused). Rünnaku kaitsemehhanism võib blokeerida kasutajad, kes kasutavad failijagamiskliente - torrente, otseühendust, mõnda tüüpi VoIP-kliente / servereid, mis aktiivselt vahetavad liiklust. Blokeeritud arvutite IP-aadresside saamiseks avage fail ProgramData \\ Entensys \\ Usergate6 \\ logging \\ fw.log või Dokumendid ja seaded \\ Kõik kasutajad \\ Rakenduse andmed \\ Entensys \\ Usergate6 \\ logimine \\ fw.log.

Tähelepanu!Allpool kirjeldatud parameetreid on soovitatav muuta ainult siis, kui lüüsi ribalaiusele on palju kliente / kõrged nõuded.

See jaotis sisaldab ka järgmisi sätteid: "Maksimaalne ühenduste arv" - kõigi ühenduste maksimaalne arv NAT-i ning UserGate Proxy ja tulemüüri kaudu.

"NAT-ühenduste maksimaalne arv" - maksimaalne ühenduste arv, mida UserGate Proxy ja tulemüür saavad NAT-draiverist läbi viia.

Kui klientide arv ei ületa 200-300, siis ei ole soovitatav sätteid "Ühenduste maksimaalne arv" ja "NAT-ühenduste maksimaalne arv" muuta. Nende parameetrite suurendamine võib põhjustada lüüsi seadmete märkimisväärset koormust ja seda soovitatakse ainult siis, kui seaded on optimeeritud suure hulga klientide jaoks.

Liidesed

Tähelepanu! Enne seda kontrollige kindlasti Windowsi võrguadapterite sätteid! Kohaliku võrguga (LAN) ühendatud liides ei tohi sisaldada lüüsi aadressi! LAN-adapteri sätetes pole vaja DNS-servereid täpsustada, IP-aadress tuleb määrata käsitsi, me ei soovita seda hankida DHCP abil.

LAN-adapteri IP-aadressil peab olema privaatne IP-aadress. on lubatud kasutada IP-aadressi järgmistest vahemikest:

10.0.0.0 - 10.255.255.255 (10/8 eesliide) 172.16.0.0 - 172.31.255.255 (172.16 / 12 eesliide) 192.168.0.0 - 192.168.255.255 (192.168 / 16 eesliide)

Privaatsete võrguaadresside jaotust on kirjeldatud punktis RFC 1918 .

Muude vahemike kasutamine kohaliku võrgu aadressidena tekitab vigu UserGate Proksi ja tulemüüri töös.

Interneti-ühendusega (WAN) liides peab sisaldama IP-aadressi, võrgumaski, lüüsi aadressi, DNS-serveri aadresse.
WAN-adapteri sätetes pole soovitatav kasutada rohkem kui kolme DNS-serverit, see võib põhjustada võrguvigu. Eelnevalt kontrollige iga DNS-serveri olekut, kasutades näiteks cms.exe -konsoolis asuvat käsku nslookup:

nslookup usergate.ru 8.8.8.8

kus 8.8.8.8 on DNS-serveri aadress. Vastus peab sisaldama soovitud serveri IP-aadressi. Kui vastust pole, siis pole DNS-server kehtiv või DNS-liiklus on blokeeritud.

On vaja määratleda liideste tüüp. Liides sisevõrguga ühendatud IP-aadressiga peab olema LAN-tüüpi; Interneti-ühendusega liides - WAN.

Kui WAN-liideseid on mitu, peate valima peamise WAN-liidese, mille kaudu kogu liiklus läheb, paremklõpsates sellel ja valides "Määra põhiliseks ühenduseks". Kui kavatsete varukanalina kasutada mõnda muud WAN-liidest, soovitame kasutada seadistusviisardit.

Tähelepanu! Varuühenduse konfigureerimisel on soovitatav seada mitte DNS-i hostinimi, vaid IP-aadress, nii et UserGate Proxy ja tulemüür küsivad seda perioodiliselt icmp (ping) taotluste abil ja kui vastust pole, lubab varundusühendus. Veenduge, et Windowsi NIC-sätetes olevad DNS-serverid töötaksid.

Kasutajad ja rühmad

Selleks, et klientarvuti saaks lüüsil autoriseerida ja pääseda juurde UserGate'i puhverserveri ja tulemüüri ning NAT-i teenustele, peate kasutajad lisama. Selle protseduuri lihtsustamiseks kasutage skannimisfunktsiooni - "Skaneeri LAN". Kasutajavärava puhverserver ja tulemüür skaneerib kohalikku võrku iseseisvalt ja pakub masinate loendi, mida saab kasutajate loendisse lisada. Järgmisena saate luua rühmi ja kaasata neisse kasutajaid.

Kui teil on juurutatud domeenikontroller, saate konfigureerida rühmade sünkroonimist Active Directory gruppidega või importida kasutajaid Active Directoryst ilma Active Directoryga pidevat sünkroonimata.

Looge grupp, mis sünkroonitakse grupi või rühmadega AD-st, sisestage vajalikud andmed menüüsse "Sünkrooni AD-ga", taaskäivitage teenus UserGate, kasutades agenti UserGate. 300 sekundi pärast kasutajad imporditakse automaatselt rühma. Nendel kasutajatel on autoriseerimisviis - AD.

Tulemüür

Lüüsi korrektseks ja ohutuks kasutamiseks peate seda tegema tingimata tulemüüri konfigureerimine.

Soovitatav on järgmine tulemüüri algoritm: keelake kogu liiklus ja lisage seejärel lubavate reeglite saamine vajalikesse suundadesse. Selleks tuleb # NONUSER # reegel lülitada režiimile "Keeldu" (see keelab lüüsi kogu kohaliku liikluse). Ettevaatust! Kui konfigureerite UserGate Proxy ja tulemüüri eemalt, toimub ühenduse katkestamine serveriga. Siis peate looma lubamisreeglid.

Lubame kogu kohaliku liikluse kõigis sadamates alates lüüsi kohalikku võrku ja kohalikust võrgust kuni lüüsi, luues järgmiste parameetritega reegleid:

Allikas - "LAN", sihtkoht - "suvaline", teenused - MISTE: TÄIELIK, toiming - "Luba"
Allikas - "suvaline", sihtkoht - "LAN", teenused - MISTE: TÄIELIK, toiming - "Luba"

Siis loome reegli, mis avab lüüsi Interneti-ühenduse:

Allikas - "WAN"; sihtkoht - "suvaline"; teenused - MIDAGI: TÄIS; tegevus - "Luba"

Kui peate lubama kõigis sadamates sissetulevatele ühendustele juurdepääsu lüüsile, näeb reegel välja järgmine:

Allikas - "suvaline"; sihtkoht - "WAN"; teenused - MIDAGI: TÄIS; tegevus - "Luba"

Ja kui teil on vaja väravat sissetulevate ühenduste vastuvõtmiseks, näiteks ainult RDP kaudu (TCP: 3389), ja seda saab väljastpoolt kinnitada, peate looma järgmise reegli:

Allikas - "suvaline"; sihtkoht - "WAN"; teenused - mis tahes ICMP, RDP; tegevus - "Luba"

Kõigil muudel juhtudel ei pea te turvalisuse huvides sissetulevate ühenduste jaoks reeglit looma.

Kliendiarvutitele Interneti-juurdepääsu tagamiseks peate looma võrguaadresside tõlkimise (NAT) reegli.

Allikas - "LAN"; sihtkoht - "WAN"; teenused - MIDAGI: TÄIS; tegevus - "Luba"; valige kasutajad või rühmad, kellele soovite juurdepääsu anda.

Tulemüürireegleid on võimalik konfigureerida - lubada seda, mis on selgesõnaliselt keelatud, ja vastupidi, keelata seda, mis on selgesõnaliselt lubatud, sõltuvalt sellest, kuidas te reeglit # NON_USER # konfigureerite ja mis on teie ettevõtte poliitika. Kõigil reeglitel on prioriteet - reeglid töötavad ülalt alla.

Vaadata saab erinevate sätete valikuid ja tulemüürireeglite näiteid.

Muud seaded

Lisaks jaotises teenused - puhverserver saate lubada vajalikud puhverserverid - HTTP, FTP, SMTP, POP3, SOCKS. Valige vajalikud liidesed, kuna valiku „Kuulake kõiki liideseid” lubamine on ebaturvaline. puhverserver on sel juhul saadaval nii kohtvõrgu liidestes kui ka välistes liidestes. "Läbipaistev" puhverserveri režiim suunab kogu valitud pordi liikluse puhverserveri pordi juurde, sel juhul ei pea te puhverserverit kliendi arvutites määrama. Puhverserver on saadaval ka puhverserveri sätetes määratud pordis.

Kui serveris on sisse lülitatud läbipaistev puhverserveri režiim (Teenused - puhverserveri sätted), siis piisab, kui määratleda UserGate-server peamiseks lüüsiks kliendimasina võrgusätetes. Kasutajavärava serveri saab määratleda ka kui DNS-serverit, sel juhul peab see olema lubatud.

Kui läbipaistev režiim on serveris keelatud, peate registreerima UserGate'i serveri aadressi ja vastava puhverserveri pordi, mis on täpsustatud brauseri ühenduse seadetes jaotises Teenused - puhverserveri sätted. Sellisel juhul saab vaadata UserGate'i serveri konfigureerimise näidet.

Kui teie võrgus on konfigureeritud DNS-server, saate selle määratleda UserGate DNS-i edasisuunamise sätetes ja UserGate WAN-i adapteri sätetes. Sel juhul suunatakse kõik DNS-päringud nii serverisse kui ka NAT- ja puhverserveri režiimis.

Kohaliku võrgu kasutajate juurdepääsu jagamine Internetile on üks levinumaid ülesandeid, millega süsteemiadministraatorid kokku puutuvad. Sellest hoolimata tekitab see endiselt palju raskusi ja küsimusi. Näiteks kuidas tagada maksimaalne ohutus ja täielik kontrollitavus?

Sissejuhatus

Täna vaatame lähemalt, kuidas korraldada jagatud Interneti-ühendust teatud hüpoteetilise ettevõtte töötajatele. Oletame, et nende arv jääb vahemikku 50–100 inimest ja kohalikus võrgus kasutatakse kõiki selliste infosüsteemide jaoks tavalisi teenuseid: Windowsi domeen, oma e-posti server ja FTP server.

Jagamiseks kasutame lahendust nimega UserGate Proxy & Firewall. Sellel on mitmeid funktsioone. Esiteks on see erinevalt paljudest lokaliseeritud toodetest puhtalt vene areng. Teiseks on sellel enam kui kümme aastat ajalugu. Kuid kõige tähtsam on pidev tootearendus.

Selle lahenduse esimesed versioonid olid suhteliselt lihtsad puhverserverid, mis suutsid pakkuda ainult sama Interneti-ühendust ja hoida statistika selle kasutamise kohta. Kõige levinum neist oli ehitada 2,8, mida võib endiselt leida väikestes kontorites. Viimast, kuuendat versiooni ei kutsu arendajad ise enam puhverserveriks. Nende sõnul on see täielik UTM-lahendus, mis hõlmab tervet hulka turvalisuse ja kasutajakontrolliga seotud ülesandeid. Vaatame, kas see nii on.

UserGate'i puhverserveri ja tulemüüri juurutamine

Installimise ajal pakuvad huvi kaks etappi (ülejäänud sammud on tarkvara installimisel standardsed). Esimene on komponentide valik. Lisaks põhifailidele pakutakse meile installida veel neli serverikomponenti - VPN, kaks viirusetõrjet (Panda ja Kaspersky Anti-Virus) ja vahemälu brauser.

VPN-serveri moodul paigaldatakse nõudmisel, see tähendab siis, kui ettevõte kavatseb kasutada töötajate kaugjuurdepääsu või ühendada mitu kaugvõrku. Viirusetõrjeprogrammide installimine on mõistlik ainult siis, kui ettevõte on sobilikud litsentsid ostnud. Nende olemasolu võimaldab teil skaneerida Interneti-liiklust, lokaliseerida ja blokeerida pahavara otse lüüsis. Vahemälu brauser pakub puhverserveri vahemällu salvestatud veebilehti.

Lisafunktsioonid

Soovimatute saitide keelamine

Lahendus toetab Entensys URL-i filtreerimise tehnoloogiat. Põhimõtteliselt on see pilvepõhine andmebaas, mis sisaldab üle 500 miljoni saidi erinevates keeltes, jagatuna üle 70 kategooria. Selle peamine erinevus on pidev jälgimine, mille käigus jälgitakse pidevalt veebiprojekte ja kui sisu muutub, viiakse see teise kategooriasse. See võimaldab teil keelata kõik soovimatud saidid suure täpsusega, valides lihtsalt teatud kategooriad.

Entensysi URL-i filtreerimise kasutamine suurendab Interneti turvalisust ja parandab ka töötajate efektiivsust (keelustades sotsiaalsed võrgustikud, meelelahutussaitid jt). Selle kasutamiseks on vaja aga tasulist tellimust, mida tuleb igal aastal pikendada.

Lisaks sisaldab jaotus veel kahte komponenti. Esimene neist on administraatori konsool. See on eraldi rakendus, mis, nagu nimigi viitab, on mõeldud UserGate puhverserveri ja tulemüüriserveri haldamiseks. Selle peamine omadus on võimalus kaugühendusega luua. Seega ei vaja administraatorid ega Interneti kasutamise eest vastutavad isikud otsest juurdepääsu Interneti-lüüsile.

Teine lisakomponent on veebistatistika. Tegelikult on see veebiserver, mis võimaldab teil kuvada üksikasjalikku statistikat ettevõtte töötajate poolt globaalse võrgu kasutamise kohta. Ühelt poolt on see kahtlemata kasulik ja mugav komponent. Lõppude lõpuks võimaldab see teil andmeid vastu võtta ilma täiendavat tarkvara installimata, sealhulgas Interneti kaudu. Kuid teisest küljest võtab see Interneti-lüüsi täiendavaid süsteemiressursse. Seetõttu on parem installida see ainult siis, kui seda tõesti vaja on.

Teine etapp, millele peaksite UserGate Proxy ja tulemüüri installimisel tähelepanu pöörama, on andmebaasi valimine. Varasemates versioonides võis UGPF toimida ainult MDB-failidega, mis mõjutasid süsteemi üldist jõudlust. Nüüd on valida kahe DBMS-i - Firebird ja MySQL - vahel. Pealegi on esimene jaotuskomplektis, nii et selle valimisel pole vaja täiendavaid manipulatsioone. Kui soovite kasutada MySQL-i, peate selle kõigepealt installima ja konfigureerima. Pärast serverikomponentide installimise lõpuleviimist on vaja ette valmistada administraatoritele ja teistele vastutavatele töötajatele, kes saavad kasutaja juurdepääsu kontrollida, tööjaamad. Seda on väga lihtne teha. Piisab, kui installida halduskonsool samast jaotuskomplektist nende tööarvutitesse.

Lisafunktsioonid

Sisseehitatud VPN-server

Versioon 6.0 tutvustab VPN-serveri komponenti. Seda saab kasutada ettevõtte töötajate turvalise kaugjuurdepääsu korraldamiseks kohalikule võrgule või organisatsiooni üksikute harude kaugvõrkude ühendamiseks ühtseks inforuumiks. Sellel VPN-serveril on kõik vajalikud funktsioonid server-server ja kliendi-serveri tunnelite loomiseks ja alamvõrkude vahel marsruutimiseks.

Põhiseadistused

Kasutajavälise puhverserveri ja tulemüüri kogu konfigureerimine toimub halduskonsooli abil. Vaikimisi on pärast installimist selles juba loodud ühendus kohaliku serveriga. Kui kasutate seda siiski eemalt, tuleb ühendus luua käsitsi, määrates Interneti-lüüsi IP-aadressi või hostinime, võrgupordi (vaikimisi 2345) ja autoriseerimisparameetrid.

Pärast serveriga ühenduse loomist tuleb kõigepealt konfigureerida võrguliidesed. Seda saab teha jaotise "UserGate Server" vahekaardil "Liidesed". Seadsime LAN-tüüpi võrgukaardiks, mis "otsib" kohalikku võrku, ja WAN-i kõigi muude ühenduste jaoks. Ajutistele ühendustele, näiteks PPPoE, VPN, omistatakse PPP tüüp automaatselt.

Kui teie ettevõttel on kaks või enam WAN-ühendust, millest üks on primaarne ja ülejäänud on varukoopia, siis saate seadistada automaatse varundamise. Seda on üsna lihtne teha. Piisab, kui lisada reserveeritud loendisse vajalikud liidesed, täpsustada üks või mitu juhtimisressurssi ja nende kontrollimise aeg. Selle süsteemi põhimõte on järgmine. UserGate kontrollib automaatselt kontroll-saitide saadavust kindla intervalliga. Niipea kui nad reageerimise lõpetavad, lülitub toode automaatselt ilma administraatori sekkumiseta varukanalile. Samal ajal jätkub juhtimisressursside saadavuse kontrollimine põhiliideses. Ja niipea, kui see õnnestub, tehakse tagasilülitus automaatselt. Ainus, mida konfigureerimisel tasub otsida, on juhtimisressursside valik. Parem on võtta mitu suurt saiti, mille stabiilne toimimine on peaaegu tagatud.

Lisafunktsioonid

Võrgurakenduste juhtimine

UserGate Proxy ja tulemüür rakendavad sellist huvitavat funktsiooni nagu võrgurakenduste juhtimine. Selle eesmärk on takistada loata tarkvara juurdepääsu Internetile. Juhtimisseadete osana luuakse reeglid, mis lubavad või blokeerivad erinevate programmide võrgutoiminguid (versiooniga või ilma). Nad saavad määratleda konkreetsed IP-aadressid ja sihtkoha pordid, mis võimaldab teil tarkvara juurdepääsu paindlikult konfigureerida, võimaldades sellel Internetis teha ainult teatud toiminguid.

Rakenduste juhtimine võimaldab teil välja töötada selge ettevõtte programmide kasutamise poliitika, et pahavara levikut osaliselt takistada.

Pärast seda võite minna otse puhverserverite seadistamisele. Kokku on vaatlusaluses lahenduses rakendatud neist seitse: HTTP-protokollide (sealhulgas HTTP-de) jaoks FTP, SOCKS, POP3, SMTP, SIP ja H323. See on praktiliselt kõik, mida võib vaja minna ettevõtte töötajate tööks Internetis. Vaikimisi on lubatud ainult HTTP puhverserver, vajadusel saab aktiveerida ka kõik teised.

Proksi ja tulemüüri puhverserverid saavad töötada kahes režiimis - tavalises ja läbipaistvas režiimis. Esimesel juhul räägime traditsioonilisest puhverserverist. Server võtab kasutajatelt vastu päringuid ja edastab need välistele serveritele ning saadab saadud vastused klientidele. See on traditsiooniline lahendus, kuid sellel on oma puudused. Eelkõige on vaja konfigureerida iga programm, mida kasutatakse Internetis töötamiseks (Interneti-brauser, meiliklient, ICQ jne) igas kohtvõrgu arvutis. See on muidugi palju tööd. Lisaks korratakse seda aeg-ajalt, kuna uus tarkvara on installitud.

Läbipaistva režiimi valimisel kasutatakse spetsiaalset NAT-draiverit, mis sisaldub vaadeldava lahenduse pakendis. See kuulab sobivates pordides (80 - HTTP, 21 - FTP ja nii edasi), tuvastab sissetulevad taotlused ja edastab need puhverserverile, kust neid edasi saadetakse. See lahendus on edukam selles mõttes, et kliendiseadmete tarkvara konfigureerimist pole enam vaja. Ainus, mida on vaja teha, on vaikelüüsiks kõigi tööjaamade võrguühenduses Interneti-lüüsi IP-aadressi määramine.

Järgmine samm on DNS-i edastamise konfigureerimine. Seda saab teha kahel viisil. Neist lihtsaim on nn DNS-edastuse lubamine. Selle kasutamisel suunatakse klientidelt Interneti-lüüsi saabuvad DNS-i taotlused määratud serveritesse (võite kasutada kas võrguühenduse parameetrite DNS-serverit või suvalisi DNS-servereid).

Teine võimalus on luua NAT-i reegel, mis võtab vastu pordi 53 (DNS-i standard) taotlused ja edastab need välisesse võrku. Kuid sel juhul peate DNS-serverid käsitsi registreerima kõigi arvutite võrguühenduse seadetes või konfigureerima DNS-päringute saatmise Interneti-lüüsi kaudu domeenikontrolleri serverist.

kasutajahaldus

Pärast põhiseadistuse lõpuleviimist saate jätkata koostööd kasutajatega. Alustuseks peate looma rühmad, millesse kontod hiljem ühendatakse. Milleks see mõeldud on? Esiteks, järgnevaks integreerimiseks Active Directoryga. Ja teiseks, gruppidele saab määrata reegleid (räägime neist hiljem), kontrollides sellega juurdepääsu suurele hulgale kasutajatele korraga.

Järgmine samm on kasutajate lisamine süsteemi. Seda saab teha kolmel erineval viisil. Neist esimene, iga konto käsitsi loomine, mida me ilmselgetel põhjustel isegi ei arvesta. See valik sobib ainult väikeste võrkude jaoks, kus on vähe kasutajaid. Teine meetod on ettevõtte võrgu skannimine ARP-päringutega, mille käigus süsteem ise määrab võimalike kontode loendi. Valime aga kolmanda võimaluse, mis on lihtsuse ja haldamise lihtsuse seisukohast kõige optimaalsem - integratsioon Active Directoryga. Seda teostatakse varem loodud rühmade põhjal. Esiteks peate täitma üldised integratsiooniparameetrid: määrake domeen, selle kontrolleri aadress, kasutaja kasutajanimi ja parool koos vajalike juurdepääsuõigustega sellele, samuti sünkroonimisintervall. Pärast seda tuleks igale UserGate'is loodud rühmale määrata Active Directoryst üks või mitu rühma. Rangelt öeldes lõpeb seadistamine sellega. Pärast kõigi sätete salvestamist toimub sünkroonimine automaatselt.

Vaikimisi kasutavad autoriseerimise ajal loodud kasutajad NTLM-i volitust, see tähendab domeeni sisselogimisega autoriseerimist. See on väga mugav võimalus, kuna reeglid ja liikluse arvestussüsteem töötavad sõltumata sellest, millises arvutis kasutaja praegu istub.

Selle autoriseerimismeetodi kasutamiseks on vaja siiski täiendavat tarkvara - spetsiaalset klienti. See programm töötab Winsocki tasemel ja saadab kasutaja autoriseerimise parameetrid Interneti-lüüsi. Selle levitamiskomplekt sisaldub UserGate puhverserveri ja tulemüüri paketis. Windowsi grupipoliitika abil saate kliendi kiiresti kõigisse tööjaamadesse installida.

Muide, NTLM-i volitamine pole kaugeltki ainus viis, kuidas ettevõtte töötajatele lubatakse Internetis töötada. Näiteks kui organisatsioon rakendab töötajate ranget sidumist tööjaamadega, saate kasutajate tuvastamiseks kasutada IP-aadressi, MAC-aadressi või mõlema kombinatsiooni. Sama meetodeid kasutades saate korraldada juurdepääsu erinevate serverite globaalsele võrgule.

Kasutaja kontroll

Üks UGPF-i olulisi eeliseid on selle ulatuslikud kasutajakontrolli võimalused. Neid rakendatakse liikluse juhtimise reeglite süsteemi abil. Selle toimimise põhimõte on väga lihtne. Administraator (või muu vastutav isik) loob reeglite kogumi, millest igaüks tähistab ühte või mitut käivitustingimust ja võetavat toimingut. Need reeglid on määratud üksikutele kasutajatele või nende tervetele rühmadele ja võimaldavad neil oma tööd Internetis automaatselt juhtida. Rakendatud on neli võimalikku toimingut. Esimene on ühenduse sulgemine. See võimaldab näiteks blokeerida teatud failide allalaadimise, vältida soovimatute saitide külastamist ja palju muud. Teine samm on tariifi muutmine. Seda kasutatakse arveldussüsteemis, mis on integreeritud kõnealusesse tootesse (me ei arvesta seda, kuna see pole ettevõtte võrkude jaoks eriti asjakohane). Järgmine samm võimaldab teil keelata selle ühenduse kaudu vastuvõetud liikluse loendamise. Sellisel juhul ei arvestata edastatud teavet päevase, nädalase ja kuu tarbimise arvutamisel. Ja lõpuks, viimane toiming on kiiruse piiramine määratud väärtusega. Seda on väga mugav kasutada kanalite ummistumise vältimiseks suurte failide ja muude sarnaste toimingute allalaadimisel.

Liikluse juhtimise reeglites on palju rohkem tingimusi - umbes kümme. Mõned neist on suhteliselt lihtsad, näiteks maksimaalne failisuurus. See reegel rakendub, kui kasutajad proovivad üles laadida määratud suurusest suuremat faili. Muud tingimused on tähtajalised. Eelkõige võib nende hulgas märkida ajakava (käivitatakse kellaaja ja nädalapäevade järgi) ja pühade (käivitatakse kindlaksmääratud päevadel) järgi.

Kõige huvitavamad on aga saitide ja sisuga seotud terminid. Eriti saab neid kasutada teatud tüüpi sisu (näiteks video, heli, käivitatavate failide, teksti, piltide jms), konkreetsete veebiprojektide või nende kõigi kategooriate blokeerimiseks või muude toimingute seadmiseks (selleks kasutatakse Entensys URL-i filtreerimistehnoloogiat, vaata külgriba).

On tähelepanuväärne, et üks reegel võib sisaldada mitut tingimust korraga. Sel juhul saab administraator näidata, millisel juhul see täidetakse - kui kõik tingimused on täidetud, või mõni neist. See võimaldab teil luua väga paindliku poliitika ettevõtte töötajate Interneti kasutamiseks, võttes arvesse suurt hulka erinevaid nüansse.

Tulemüüri konfiguratsioon

UserGate NAT draiveri lahutamatu osa on tulemüür, mille abil lahendatakse mitmesugused võrguliikluse töötlemisega seotud ülesanded. Seadistamiseks kasutatakse spetsiaalseid reegleid, mis võivad olla ühte tüüpi kolmest: võrguaadresside tõlkimine, marsruutimine ja tulemüür. Süsteemis võib olla suvaline arv reegleid. Sel juhul kohaldatakse neid järjekorras, milles nad on loetletud üldnimekiri... Seega, kui saabuv liiklus vastab mitmele reeglile, töötleb seda see, mis asub teiste kohal.

Igat reeglit iseloomustavad kolm peamist parameetrit. Esimene neist on liikluse allikas. See võib olla üks või mitu konkreetset Interneti-lüüsi hosti, WAN- või LAN-liides. Teine parameeter on teabe eesmärk. Siin saab määrata LAN- või WAN-liidese või sissehelistamisühenduse. Reegli viimane peamine omadus on üks või mitu teenust, mille suhtes see kehtib. Teenus UserGate puhverserveris ja tulemüüris tähendab paari protokolliperekonnast (TCP, UDP, ICMP, suvaline protokoll) ja võrguporti (või mitmesuguseid võrgupordiid). Vaikimisi on süsteemil juba muljetavaldav eelinstalleeritud teenuste komplekt, ulatudes tavalistest (HTTP, HTTP, DNS, ICQ) kuni konkreetseteni (WebMoney, RAdmin, erinevad võrgumängud jne). Kuid vajadusel saab administraator luua oma teenuseid, kirjeldades näiteks tööd veebipangas.

Samuti on igal reeglil toiming, mida ta täidab tingimustele vastava liikluse korral. Neid on ainult kaks: lubada või keelata. Esimesel juhul voolab liiklus kindlaksmääratud marsruudil vabalt ja teisel juhul see blokeeritakse.

Võrguaadresside tõlkimise reeglid kasutavad NAT-tehnoloogiat. Nende abiga saate konfigureerida Interneti-juurdepääsu kohalike aadressidega tööjaamadele. Selleks looge reegel, milles täpsustatakse LAN-liides allikana ja WAN-liides allikana. Marsruutimisreegleid rakendatakse juhul, kui kõnealust lahendust kasutatakse ruuterina kahe kohaliku võrgu vahel (see rakendab seda funktsiooni). Sel juhul saab marsruutimise konfigureerida kahesuunaliseks läbipaistvaks liikluseks.

Tulemüürireegleid kasutatakse liikluse töötlemiseks, mis ei lähe puhverserverisse, vaid otse Interneti-lüüsi. Vahetult pärast installimist on süsteemis üks selline reegel, mis lubab kõiki võrgupakette. Põhimõtteliselt, kui loodud Interneti-lüüsi ei kasutata tööjaamana, saab reegli toimingu muuta olekusse Luba ja keelata. Sel juhul blokeeritakse arvutis igasugune võrgutegevus, välja arvatud NAT-transiitpaketid, mis edastatakse kohalikust võrgust Internetti ja vastupidi.

Tulemüürireeglid lubavad globaalses võrgus avaldada mis tahes kohalikke teenuseid: veebiserverid, FTP-serverid, meiliserverid ja nii edasi. Samal ajal on kaugkasutajatel võimalus nendega Interneti-ühenduse kaudu luua ühendus. Kaaluge näiteks ettevõtte FTP-serveri avaldamist. Selleks peab administraator looma reegli, milles vali allikaks suvaline suvaline, määrake sihtkohaks soovitud WAN-liides ja teenusena FTP. Pärast seda valige toiming "Luba", lubage liikluse levitamine ja sisestage väljale "Sihtkoha aadress" kohaliku FTP-serveri ja selle võrgupordi IP-aadress.

Pärast seda konfigureerimist suunatakse kõik ühendused, mis tulevad pordi 21 kaudu Interneti-lüüsi võrgukaartidele, automaatselt FTP-serverisse. Muide, häälestusprotsessi ajal saate valida mitte ainult "native", vaid ka mis tahes muu teenuse (või luua oma). Sellisel juhul peavad välised kasutajad ühendust võtma mitte 21., vaid mõne teise pordiga. See lähenemisviis on väga mugav juhtudel, kui infosüsteem on kahte või enamat sama tüüpi teenust. Näiteks saate korraldada välise juurdepääsu ettevõtteportaalile tavalise HTTP-pordi 80 kaudu ja juurdepääsu UserGate'i veebistatistikale pordi 81 kaudu.

Väline juurdepääs sisemisele e-posti serverile on konfigureeritud samal viisil.

Rakendatud tulemüüri oluline eristav omadus on sissetungimise ennetamise süsteem. See töötab täielikult automaatselt, tuvastades allkirjade ja heuristiliste meetodite alusel katseid volitamata mõjutada ja tasandada neid soovimatute liiklusvoogude blokeerimise või ohtlike ühenduste katkestamise kaudu.

Summeerida

Selles ülevaates uurisime üksikasjalikumalt ettevõtte töötajate ühise Interneti-juurdepääsu korraldamist. Kaasaegsetes tingimustes pole see kõige lihtsam protsess, kuna tuleb arvestada paljude erinevate nüanssidega. Lisaks on olulised nii tehnilised kui ka korralduslikud aspektid, eriti kontroll kasutaja toimingute üle.

"UserGate Proxy ja tulemüüri v.6 administraatori juhend Sisukord Sissejuhatus programmi kohta Süsteeminõuded UserGate Proxy ja tulemüüri registreerimise installimine värskendatakse ..."

- [leht 1] -

Kasutajavärava puhverserver ja tulemüür v.6

Administraatori juhend

Sissejuhatus

Programmi kohta

Nõuded süsteemile

UserGate'i puhverserveri ja tulemüüri installimine

registreeru sisse

Uuendamine ja kustutamine

UserGate'i puhverserveri ja tulemüüri litsentsimispoliitika

Halduskonsool

Ühenduste seadistamine

Ühenduse jaoks parooli määramine

Kasutajavärava administraatori autentimine

UserGate'i statistika andmebaasile juurdepääsu jaoks parooli määramine

NAT (Network Address Translation) üldised sätted

Üldised seaded

Liideste seadistamine

Liikluse arvestamine UserGate'is

Varukanali tugi

Kasutajad ja rühmad

Sünkroonimine Active Directoryga

Isikliku kasutaja statistika leht

Terminali kasutajatugi

Teenuste seadistamine UserGate'is

DHCP konfiguratsioon

Puhverserveriteenuste konfigureerimine rakenduses UserGate

IP-telefoniprotokollide tugi (SIP, H323)

SIP registripidaja režiimi tugi

H323 protokolli tugi

UserGate'i e-posti puhverserverid

Läbipaistva režiimi kasutamine

Kaskaadne puhverserver

Pordi määramine

Vahemälu seadistamine

Viirusevastane skannimine

Ajasti UserGate'is

DNS-i seadistamine

VPN-serveri seadistamine

Sissetungimise tuvastamise süsteemi (IDS) seadistamine

Märguannete seadistamine

Kasutajavärava tulemüür

Kuidas tulemüür töötab?

ME ürituste registreerimine

Võrguaadresside tõlkimise (NAT) reeglid

Töö mitme pakkujaga

Väljuva liidese automaatne valimine

www.usergate.com

Võrguressursside avaldamine

Filtreerimisreeglite seadistamine

Marsruudi tugi

Hinna piiramine UserGate'is

Rakenduse juhtimine

Brauseri vahemälu rakenduses UserGate

Liikluse juhtimine UserGate'is

Liikluskorralduseeskirjade süsteem

Interneti ressurssidele juurdepääsu piiramine

Entensys URL-i filtreerimine

Liikluse tarbimise limiidi seadmine

Faili suuruse piirang

Filtreerimine sisutüübi järgi

Arveldussüsteem

Interneti-ühenduse tariif

Perioodilised sündmused

Dünaamiline tariifide vahetamine

UserGate'i kaughaldus

Kaugühenduse seadistamine

UserGate'i serveri kaugkäivitus

Uue versiooni saadavuse kontrollimine

Kasutajavärava veebistatistika

Liikluskorralduseeskirjade tõhususe hindamine

Viirusetõrje toimivuse hindamine

SIP kasutamise statistika

rakendus

Kasutajavärava terviklikkuse kontroll

Käivituse õigesti kontrollimine

Silumine väljund

Tehnilise toe saamine

www.usergate.com

Sissejuhatus Puhverserver on programmikomplekt, mis toimib vahendajana (inglise keeles "puhverserver" - "vahendaja") kasutaja tööjaamade ja muude võrguteenuste vahel.

Lahendus saadab kõik kasutaja taotlused Internetti ja pärast vastuse saamist saadab selle tagasi. Vahemälufunktsiooni olemasolu korral jätab puhverserver tööjaamade väliste ressursside kõned meelde ja kui päringut korratakse, tagastab ressurss oma mälust, mis vähendab taotlemise aega märkimisväärselt.

Mõnel juhul saab puhverserver muuta või blokeerida kliendi päringu või serveri vastuse teatud toimingute tegemiseks, näiteks tööjaamade viirusinfektsiooni vältimiseks.

Teave UserGate'i puhverserveri ja tulemüüri kohta on terviklik lahendus kasutajate Interneti-ühenduse loomiseks, pakkudes täielikku liikluse arvestust, juurdepääsu kontrolli ja sisseehitatud tulemüüre.

UserGate võimaldab teil hinnata kasutaja juurdepääsu Internetile nii liikluse kui ka võrgus töötamise aja järgi. Administraator saab lisada erinevaid tariifiplaane, dünaamiliselt tariife vahetada, automatiseerida raha väljavõtmist / kogumist ja reguleerida juurdepääsu Interneti-ressurssidele. Sisseehitatud tulemüür ja viirusetõrje moodul kaitsevad UserGate'i serverit ja kontrollivad seda läbivat liiklust pahatahtliku koodi olemasolu eest. Organisatsiooni võrguga turvaliseks ühendamiseks võite kasutada sisseehitatud VPN-serverit ja klienti.

UserGate koosneb mitmest osast: serverist, halduskonsoolist (UserGateAdministrator) ja mitmest lisamoodulist. UserGate server (usergate.exe protsess) on puhverserveri põhiosa, mis rakendab kõiki selle funktsioone.

UserGate Server pakub juurdepääsu Internetile, arvutab liiklust, peab kasutajate võrgutegevuse statistikat ja täidab paljusid muid ülesandeid.

UserGate'i halduskonsool on programm, mis on loodud UserGate'i serveri haldamiseks. UserGate'i halduskonsool suhtleb serveripoolega spetsiaalse turvalise protokolli kaudu TCP / IP kaudu, mis võimaldab serveri serverihaldust.

UserGate sisaldab kolme lisamoodulit: veebistatistika, autoriseerimisklient ja rakendusekontrolli moodul.

www.entensys.ru

Süsteeminõuded KasutajaGate Server on soovitatav installida arvutisse, kus töötab Windows XP / 2003/7/8/2008 / 2008R2 / 2012, Interneti-ühenduse kaudu modemi või muu ühenduse kaudu. Nõuded serveri riistvarale:

- & nbsp– & nbsp–

UserGate Proxy ja tulemüüri installimine UserGate'i installiprotseduur on piiratud installifaili käivitamise ja installiviisardi suvandite valimisega. Lahenduse esmakordsel installimisel piisab, kui jätta vaikesuvandid. Pärast installimise lõppu peate arvuti taaskäivitama.

Registreerimine Programmi registreerimiseks peate käivitama UserGate'i serveri, ühendama halduskonsooli serveriga ja valima menüükäsu "Abi" - "Registreeri toode". Kui ühendate halduskonsooli esimest korda, ilmub registreerimisdialoog, kus on kaks saadaolevat valikut: demonstratsioonvõtme ja täisfunktsionaalse võtme taotlus. Võtmepäring täidetakse veebis (HTTPS-protokoll), sisenedes veebisaidile usergate.ru.

Täisfunktsionaalse võtme taotlemisel peate sisestama spetsiaalse PIN-koodi, mis väljastatakse UserGate Proxy ja tulemüüri ostmisel või testimise toetamiseks. Lisaks peate registreerimise ajal sisestama täiendava isikliku teabe (kasutajanimi, e-posti aadress, riik, piirkond). Isikuandmeid kasutatakse ainult litsentsi kasutajaga linkimiseks ja neid ei levitata mingil viisil. Pärast täieliku või demovõtme saamist taaskäivitub UserGate'i server automaatselt.

www.usergate.com

Tähtis! Demorežiimis töötab UserGate puhverserver ja tulemüüriserver 30 päeva. Entensysiga ühendust võttes võite laiendatud testimiseks küsida konkreetset PIN-koodi. Näiteks võite taotleda demovõtit kolmeks kuuks. Proovilitsentsi uuesti hankimine ilma spetsiaalset laiendatud PIN-koodi sisestamata on võimatu.

Tähtis! Kui UserGate Proxy ja tulemüür töötab, kontrollitakse perioodiliselt registreerimisvõtme olekut. Kasutajavärava korrektseks töötamiseks peate lubama juurdepääsu Internetile HTTPS-protokolli kaudu. See on vajalik võtme oleku veebis kontrollimiseks. Võtme kolme ebaõnnestunud kontrollimise korral lähtestatakse puhverserveri litsents ja ilmub programmi registreerimise dialoog. Programm rakendab loenduri maksimaalsest aktiveerimiste arvust, mis on 10 korda. Pärast selle limiidi ületamist saate toote oma võtmega aktiveerida alles pärast tugiteenuse poole pöördumist aadressil http://entensys.ru/support.

UserGate Proxy & Firewall v.6 uue versiooni värskendamine ja desinstallimine saab installida viienda tootepere eelmiste versioonide kohale. Sel juhul pakub installiviisard serveri sätete faili config.cfg ja statistikafaili log.mdb salvestamist või ülekirjutamist. Mõlemad failid asuvad kataloogis, kuhu UserGate on installitud (edaspidi - „% UserGate%”). UserGate v.6 server toetab UserGate v.4.5 seadete vormingut, seetõttu viiakse serveri esmakordsel käivitamisel seaded üle uus formaat automaatselt.

Seadete tagasiulatuvat ühilduvust ei toetata.

Tähelepanu! Statistikafaili puhul toetatakse ainult praeguste kasutajajääkide ülekandmist, liiklusstatistikat ise ei edastata.

Andmebaasi muudatused olid tingitud vana andmebaasi toimivuse ja selle suuruse piirangute probleemidest. Uuel andmebaasis Firebird selliseid puudusi pole.

Kasutajavärava serverit saab desinstallida vastava menüükäsu Start Programs kaudu või Windowsi juhtpaneeli üksuse Add or Remove Programs kaudu (Programmid ja funktsioonid Windows 7/2008/2012). Kui UserGate on desinstalleeritud, jäävad mõned failid programmi installikataloogi, kui kõik pole eemaldatud.

UserGate'i puhverserveri ja tulemüüri litsentsimispoliitika UserGate Server on mõeldud Interneti-juurdepääsu pakkumiseks kohaliku võrgu kasutajatele. Kasutajate maksimaalset arvu, kes saavad samaaegselt Internetti pääseda UserGate'i kaudu, tähistatakse “seansside” arvuga ja see määratakse registreerimisvõtmega.

Registreerimisvõti UserGate v.6 on ainulaadne ega kattu UserGate'i varasemate versioonidega. Demoperioodil töötab lahendus 30 päeva, maksimaalselt viis seanssi. Seanssi ei tohiks segi ajada kasutaja käivitatavate Interneti-rakenduste või ühenduste arvuga. Ühe kasutaja ühenduste arv võib olla ükskõik, kui see pole konkreetselt piiratud.

www.usergate.com

UserGate'i sisseehitatud viirusetõrjemoodulid (ettevõtetelt Kaspersky Lab, Panda Security ja Avira) ning Entensys URL-i filtreerimismoodul litsentsitakse eraldi. UserGate'i demoversioonis võivad sisseehitatud moodulid töötada 30 päeva.

Entensys URL-i filtreerimise moodul, mis on loodud töötama saitide kategooriatega, annab võimaluse töötada demorežiimis 30 päeva jooksul. Kui ostate UserGate Proxy ja tulemüüri koos filtreerimismooduliga, kehtib Entensys URL-i filtreerimise litsents üks aasta. Pärast tellimuse lõppemist peatub moodulite ressursside filtreerimine.

www.usergate.com

Administreerimiskonsool Administratsioonikonsool on rakendus, mis on loodud kohaliku või serveri UserGate serveri haldamiseks. Administreerimiskonsooli kasutamiseks peate käivitama UserGate'i serveri, valides UserGate agenti kontekstimenüüst üksuse Start UserGate Server (ikoon süsteemisalves, edaspidi

- "agent"). Administreerimiskonsooli saate käivitada agendi kontekstimenüü kaudu või menüükäsu Start Programmid kaudu, kui halduskonsool on installitud mõnda teise arvutisse. Seadetega töötamiseks peate administreerimiskonsooli serveriga ühendama.

Andmevahetus halduskonsooli ja UserGate'i serveri vahel toimub SSL-protokolli abil. Ühenduse (SSLHandshake) initsialiseerimisel teostatakse ühesuunaline autentimine, mille jooksul UserGate'i server edastab oma sertifikaadi halduskonsooli, mis asub kataloogis% UserGate% \\ ssl. Ühenduse loomiseks pole vaja halduskonsooli sertifikaati või parooli.

Ühenduste konfigureerimine Kui halduskonsooli esmakordselt käivitate, avaneb see ühenduste lehel, kus administraatori kasutaja jaoks on ainult üks ühendus kohaliku serveri serveriga. Ühenduse parool pole määratud. Administreerimiskonsooli saate serveriga ühendada, topeltklõpsuga localhost-Administrator real või klõpsates juhtpaneeli nuppu Connect. UserGate'i halduskonsoolis saab luua mitu ühendust. Ühendusseadetes täpsustatakse järgmised parameetrid:

Serveri nimi on ühenduse nimi;

Kasutajanimi - sisselogimine serveriga ühenduse loomiseks;

Serveri aadress - UserGate'i serveri domeeninimi või IP-aadress;

Port - serveriga ühenduse loomiseks kasutatav TCP-port (vaikimisi kasutatakse porti 2345);

Parool - ühenduse parool;

Küsi ühenduse loomisel parooli - see valik lubab serveriga ühenduse loomisel kuvada kasutajanime ja parooli sisestamise dialoogi;

Ühenduse loomine selle serveriga automaatselt - halduskonsool loob käivitamisel selle serveriga automaatselt ühenduse.

Administratsioonikonsooli sätted salvestatakse failis console.xml, mis asub kataloogis% UserGate% \\ Administrator \\. Kasutajavärava serveripoolel on ühenduse parooli kasutajanimi ja md5-räsi salvestatud failis config.cfg, mis asub kataloogis% UserGate_data, kus% UserGate_data% on Windows XP kaust - (C: \\ Documents and Settings \\ All www.usergate.ru Kasutajad \\ Rakenduse andmed \\ Entensys \\ UserGate6), Windows 7/2008 jaoks kaust - (C: \\ Dokumendid ja sätted \\ Kõik kasutajad \\ Entensys \\ UserGate6) Ühenduse parooli määramine UserGate'i serveriga ühenduse loomiseks saate sisselogimise ja parooli luua lehel Üldised sätted. Lisateavet leiate jaotisest Administraatori sätted. Samas jaotises saate määrata TCP-porti serveriga ühenduse loomiseks. Uute sätete jõustumiseks peate taaskäivitama UserGate'i serveri (agentmenüü üksus Restart UserGate Serveri taaskäivitamine). Pärast serveri taaskäivitamist tuleb halduskonsooli ühenduse parameetrites täpsustada ka uued sätted. Vastasel juhul ei saa administraator serveriga ühendust.

Tähelepanu! UserGate'i halduskonsooli töötavusega seotud probleemide vältimiseks pole soovitatav neid parameetreid muuta!

UserGate'i administraatori autentimine Administratsioonikonsooli edukaks ühendamiseks UserGate'i serveriga peab administraator läbima serveripoolse autentimisprotseduuri.

Administraatori autentimine toimub pärast SSL-ühenduse loomist halduskonsooli ja UserGate-serveri vahel. Konsool saadab serverile administraatori parooli sisselogimise ja md5 räsi. UserGate Server võrdleb vastuvõetud andmeid konfiguratsioonifaili config.cfg täpsustatud andmetega.

Autentimist peetakse õnnestunuks, kui halduskonsoolilt saadud andmed vastavad serveri sätetes täpsustatule. Kui autentimine ebaõnnestub, katkestab UserGate'i server halduskonsooliga SSL-ühenduse. Autentimisprotseduuri tulemus registreeritakse failis usergate.log, mis asub kataloogis% UserGate_data% \\ logging \\.

Kasutaja statistika andmebaasi juurde pääsemiseks parooli määramine Kasutaja statistika - liiklus, külastatud ressursid jne.

salvestatakse UserGate'i serveris spetsiaalsesse andmebaasi. Juurdepääs andmebaasile toimub otse (sisseehitatud Firebird andmebaasi jaoks) või ODBC draiveri kaudu, mis võimaldab UserGate serveril töötada peaaegu igas vormingus andmebaasidega (MSAccess, MSSQL, MySQL). Vaikimisi kasutatakse andmebaasi Firebird -% UserGate_data% \\ usergate.fdb. Kasutajanimi ja parool andmebaasile juurdepääsu saamiseks - SYSDBA \\ masterkey. Teise parooli saate määrata halduskonsooli üksuse Üldised sätted kaudu Andmebaasi sätted.

NAT-i üldised sätted (võrguaadresside tõlkimine) Üksus NAT-sätete sätted võimaldavad teil TCP-, UDP- või ICMP-protokollide abil NAT-ühenduste ajalõpu väärtuse seada. Ajalõpu väärtus määrab NAT-i kaudu kasutajaühenduse eluea, kui andmeedastus ühenduse kaudu on lõpule viidud. Valik Silumislogi väljastamine on mõeldud silumiseks ja lubab vajaduse korral lubada UserGate NAT draiverist pärinevate teadete pikema logimise režiimi.

Rünnaku tuvastamine on eriline suvand, mis võimaldab teil kasutada pordiskanneri jälgimiseks ja blokeerimiseks sisemist mehhanismi või veebisaidi www.usergate.com katsed haarata kõik serveri pordid. See moodul töötab automaatrežiimis, sündmused kirjutatakse faili% UserGate_data% \\ logging \\ fw.log.

Tähelepanu! Selle mooduli sätteid saab muuta konfiguratsioonifaili config.cfg kaudu, jaotises Valikud.

Üldseaded Blokeeri brauserirea järgi - loend kasutajaagendi brauseritest, mida puhverserver saab blokeerida. Need. saate näiteks takistada vanade brauserite võrgus liikumist, näiteks IE 6.0 või Firefox 3.x.

www.usergate.ru Liideste konfigureerimine Jaotis Liidesed (joonis 1) on UserGate'i serveri sätetes peamine, kuna see määrab kindlaks sellised punktid nagu õige liikluse arv, võime luua tulemüürile reegleid, piirata Interneti-kanali ribalaiust teatud tüüpi liikluse jaoks, luua suhteid võrkude vahel ja kuidas NAT (Network Address Translation) draiver töötleb pakette.

Joonis 1. Serveriliideste konfigureerimine Jaotises Liidesed loetletakse kõik serveri saadaolevad võrguliidesed, kuhu UserGate on installitud, sealhulgas sissehelistamise (VPN, PPPoE) ühendused.

Iga võrguadapteri jaoks peab UserGate'i administraator määrama selle tüübi. Nii et Internetti ühendatud adapteri jaoks peaksite valima WAN-tüübi, kohaliku võrguga ühendatud adapteri jaoks - LAN-tüüpi.

Dial-Up (VPN, PPPoE) ühenduse tüüpi ei saa muuta. Selliste ühenduste jaoks seab UserGate Server automaatselt PPP-liidese tüübi.

Dial-Up (VPN) ühenduse kasutajanime ja parooli saate määrata, topeltklõpsates vastaval liidesel. Loendi ülaosas olev liides on peamine Interneti-ühendus.

Liikluse arvestamine UserGate'is Kasutajavärava serverit läbiva liikluse registreerib ühenduse loomist alustav kohaliku võrgu kasutaja või UserGate serveris www.usergate.ru, kui server loob ühenduse. Serveriliikluse jaoks on spetsiaalne kasutaja loodud UserGate'i statistikas - UserGate Server. Kaspersky Labi, Panda Security, Avira sisseehitatud moodulite viirusetõrje andmebaaside värskendamise liiklus ja nime edastamise liiklus DNS-i edastamise kaudu registreeritakse kasutaja kontol.

Kogu liiklus loetakse koos teenuse päistega.

Lisas veel võimaluse arvestada Etherneti päiseid.

Kui serveri võrguadapterite tüübid (LAN või WAN) on õigesti määratletud, ei arvestata liiklust suunas "kohalik võrk - UserGate server" (näiteks juurdepääs serveri jagatud võrguressurssidele).

Tähtis! Kolmandate osapoolte programmide - tulemüüride või viirusetõrjeprogrammide (koos liikluse skaneerimise funktsiooniga) olemasolu võib märkimisväärselt mõjutada liikluse loenduse õigsust UserGate'is. Kolmanda osapoole võrguprogramme pole soovitatav arvutisse installida, kasutades rakendust UserGate!

Varukanali tugi Liidese leht sisaldab varukanali konfiguratsiooni. Häälestusviisardi nupul klõpsates saate valida liidese, mida kasutatakse varukanalina. Teisel lehel rakendatakse hostid, mida puhverserver kontrollib Interneti-ühenduse olemasolu üle. Määratud intervalliga kontrollib lahendus nende hostide saadavust ICMP Echo-päringuga. Kui vähemalt ühe määratletud masina vastus naaseb, loetakse ühendus aktiivseks. Kui ühelt hostilt ei saada vastust, loetakse ühendus passiivseks ja süsteemi peamine lüüs vahetub varukanali lüüsiks. Kui samal ajal loodi NAT-i reeglid välise liidesega spetsiaalse maskeraadiliidesega, siis luuakse sellised reeglid uuesti vastavalt kehtivale marsruutimistabelile. Loodud NAT-i reeglid hakkavad töötama varukanali kaudu.

Joonis 2. Varundaja www konfigureerimise viisard.

usergate.ru Varuühendusena saab UserGate'i server kasutada kas Etherneti ühendust (spetsiaalne kanal, WAN-liides) või sissehelistamise (VPN, PPPoE) ühendust (PPP-liides). Pärast varundatud Interneti-ühendusele lülitumist kontrollib UserGate'i server perioodiliselt põhikanali saadavust. Kui selle funktsionaalsus taastatakse, lülitab programm kasutajad üle peamise Interneti-ühenduse.

www.usergate.com

Kasutajad ja rühmad Interneti-juurdepääsu tagamiseks peate kasutajad looma rakenduses UserGate. Haldamise hõlbustamiseks saab kasutajad grupeerida rühmadesse vastavalt geograafilisele asukohale või juurdepääsu tasemele. Loogiliselt võttes on kõige õigem jagada kasutajad rühmadesse pääsutasemete järgi, kuna sel juhul on liikluse juhtimise reeglitega palju lihtsam töötada. Vaikimisi on UserGate'is ainult üks rühm - vaikimisi.

Uue kasutaja saate luua üksuse Uue kasutaja lisamine kaudu või klõpsates lehe Kasutajad ja rühmad juhtpaneelil nuppu Lisa. Kasutajate lisamiseks on veel üks viis - võrgu skannimine ARP-taotlustega. Peate klõpsama kasutajate lehe administraatori konsoolil tühjal kohal ja valima üksuse skannimise kohaliku võrgu. Järgmisena määrake kohaliku võrgu parameetrid ja oodake skannimistulemusi. Selle tulemusel näete kasutajate loendit, keda saab lisada rakendusse UserGate. Kasutaja kohustuslikud parameetrid (joonis 3) on nimi, autoriseerimise tüüp, autoriseerimisparameeter (IP-aadress, sisselogimise ja salasõna jne), rühm ja tariif. Vaikimisi kuuluvad kõik kasutajad vaikegruppi. Kasutajavärava kasutajanimi peab olema kordumatu. Lisaks saate kasutaja atribuutides määratleda kasutaja juurdepääsu taseme veebistatistikale, seada H323-le sisemise telefoninumbri, piirata kasutaja ühenduste arvu, lubada NAT-i reegleid, liikluse juhtimise reegleid või rakenduse juhtimismooduli reegleid.

Joonis 3. UserGate'i kasutajaprofiil UserGate'is olev kasutaja pärib selle rühma kõik atribuudid, kuhu ta kuulub, välja arvatud tariif, mida saab üle vaadata.

Kasutaja atribuutides määratud tariif rakendub kõigi kasutajaühenduste tariifidele. Kui Interneti-ühendust ei võeta, saate kasutada tühja tariifi, mida nimetatakse vaikimisi.

www.usergate.com

Sünkroonimist Active Directory UserGate kasutajagruppidega saab sünkroonida Active Directory gruppidega. Active Directoryga sünkroonimise kasutamiseks ei pea UserGate Proxy ja tulemüüriga masin olema domeeni liige.

Sünkroonimine konfigureeritakse kahes etapis. Esimeses etapis lubage UserGate'i administraatori konsooli lehel "Rühmad" (joonis 4) suvand Synchronise with AD ja määrake järgmised parameetrid:

domeeninime IP-aadress domeenikontrolleri sisselogimiseks ja parool Active Directory-le juurdepääsu saamiseks (lubatud on sisselogimist täpsustada UPN-vormingus - kasutaja põhinimi) sünkroonimisperiood (sekundites) Teises etapis avage kasutajarühmas kasutajarühma atribuudid (pärast sünkroonimisintervalli ootamist), lubage valik "sünkroonige rühmad AD-ga" ja valige Active Directoryst üks või mitu rühma.

Sünkroonimise ajal paigutatakse valitud kataloogi gruppidesse kuuluvad Active Directory kasutajad UserGate'i gruppidesse. Tüüpi "HTTP imporditud kasutaja olek (NTLM)" kasutatakse imporditud kasutajate autoriseerimistüübina.

(lubatud / keelatud) kontrollib Active Directory domeenis oleva konto olek.

www.entensys.com Joonis 4. Active Directoryga sünkroonimise seadistamine Tähtis! Sünkroonimiseks peate tagama, et LDAP-protokoll läbib UserGate-serveri ja domeenikontrolleri.

www.usergate.ru Isiklik kasutajastatistika leht Igale UserGate'i kasutajale antakse võimalus statistikalehte vaadata. Isikliku statistika lehele pääseb juurde aadressil http://192.168.0.1:8080/statistics.html, kus näiteks 192.168.0.1 on UserGate'iga masina kohalik aadress ja 8080 on port, kus HTTP puhverserver töötab Kasutajavärav. Kasutaja saab vaadata oma isiklikku laiendatud statistikat, logides sisse aadressile - http://192.168.0.1:8081.

Tähelepanu! Versioonis 6.x lisati kuulamisliides 127.0.0.1:8080, mis on vajalik veebistatistika toimimiseks, kui UserGate HTTP puhverserver on keelatud. Sellega seoses on liidese 127.0.0.1 pordi 8080 hõivatud UserGate'i puhverserveri ja tulemüüri ajal, kui protsess usergate.exe töötab

IP-aadressi järgi IP-aadresside vahemiku järgi IP + MAC-aadressi järgi MAC-aadressi järgi Autoriseerimine HTTP kaudu (HTTP-basic, NTLM) Autoriseerimine sisselogimise ja parooli kaudu (Authorization Client) Lihtsustatud autoriseerimisvõimalus Active Directory kaudu Viimase kolme autoriseerimismeetodi kasutamiseks kasutaja tööjaama tuleb installida spetsiaalne rakendus - UserGate autoriseerimisklient. Vastav MSI pakett (AuthClientInstall.msi) asub kataloogis% UserGate% \\ tools ja seda saab kasutada automaatseks installimiseks Active Directory grupipoliitika tööriistade abil.

Administratiivmall autoriseerimiskliendi installimiseks Active Directory rühmapoliitika abil asub ka kataloogis% UserGate% \\ tools. Saidil http://usergate.com/support on olemas videoõpetus autoriseerimiskliendi juurutamiseks rühmapoliitika kaudu.

Kui UserGate Server on installitud arvutisse, mis ei kuulu Active Directory'i domeeni, on soovitatav kasutada lihtsustatud autoriseerimisvõimalust Active Directory kaudu. Sel juhul võrdleb UserGate'i server autoriseerimiskliendilt saadud sisselogimist ja domeeninime kasutajaprofiilis määratud vastavate väljadega, ilma domeenikontrolleriga ühendust võtmata.

Tugi terminalikasutajatele Terminali kasutajate volitamiseks puhverserveris UserGate alates versioonist 6.5 on lisatud spetsiaalne tarkvara moodul nimega "Terminali autoriseerimisagent". Programmi Terminal Agent turustuskomplekt asub kaustas% UserGate% \\ tools ja kannab nime TerminalServerAgent * .msi. 32-bitiste süsteemide jaoks peate võtma versiooni "TerminalServerAgent32.msi" ja 64-bitiste süsteemide jaoks TerminalServerAgent64.msi ". Programm on agent, mis saadab korrapäraselt iga 90 sekundi järel puhverserverile kõigi terminalserveri klientide autoriseerimisteabe ja draiveri, mis pakub iga terminalikliendi jaoks pordi petmist. Kasutajateabe ja sellega seotud portide kombinatsioon võimaldab puhverserveril täpselt tuvastada terminaliserveri kasutajad ja rakendada neile erinevaid liikluse juhtimise põhimõtteid.

Terminaliagendi installimisel palutakse teil näidata puhverserveri IP-aadress ja kasutajate arv. See on vajalik terminaliserveri vabade TCP / UDP-portide optimaalseks kasutamiseks.

www.usergate.com

Pärast terminaliserveri agendi installimist esitab see puhverserverile päringu ja kui kõik läheb hästi, luuakse serverisse kolm kasutajat autoriseerimise "login-password AD" ja sisselogimisega "NT AUTHORIY \\ *" abil.

Kui sellised kasutajad ilmuvad konsooli, on teie terminali agent valmis töötama.

Esimene meetod (sünkroonimine Active Directory domeeniga):

Administraatori konsoolil valiku "sünkroonige AD-ga" atribuutide kasutajarühmade lehel peate määrama AD-ga autoriseerimiseks õiged parameetrid.

Seejärel peate looma uue kasutajarühma ja määrama, millist AD-i kasutajarühma tuleks puhverserveri aktiivse grupiga sünkroonida. Siis lisatakse teie kasutajad sellesse kohalikku UserGate Proxy kasutajarühma. See viib puhverserveri seadistuse lõpule. Pärast seda peate AD-kasutaja all sisse logima terminaliserverisse ja see volitatakse puhverserveris automaatselt ilma kasutajanime ja parooli nõudmata. Terminaliserveri kasutajaid saab hallata tavaliste puhverserverikasutajatena, kellel on IP-aadressi volitus. Need. nad saavad kohaldada erinevaid NAT-i reegleid ja / või liikluse juhtimise reegleid.

Teine viis (kasutajate importimine Active Directory domeenist):

Kasutage kasutajate "importimist" AD-st, see on kasutajatega konfigureeritud lehel, klõpsates vastavat nuppu "import", UserGate'i administraatori konsooli liideses.

Peate importima kasutajad AD-st puhverserveri konkreetsesse kohalikku rühma. Pärast seda saavad kõik imporditud kasutajad, kes taotlevad terminaliserverilt Interneti-ühendust, Interneti-juurdepääsu õigustega, mis on määratletud puhverserveris UserGate.

Kolmas viis (kasutades kohalikke terminaliserveri kontosid):

See meetod on mugav terminaliagendi töö testimiseks või juhtudel, kui terminaliserver ei asu Active Directory domeenis. Sel juhul peate looma uue kasutaja sisselogimisdomeeni-AD autoriseerimistüübiga "ja täpsustama terminaliserveri arvuti nime" domeeniaadress "ning kasutaja nime, kes logib sisselogimisena sisse terminaliserverisse. puhverserveris saavad nad terminaliserverist juurdepääsu Internetile, kasutades UserGate puhverserveris määratletud õigusi.

Tuleks mõista, et terminaalagendil on mõned piirangud:

Terminaliserverist Internetti ei saa edastada muid protokolle peale TCP \\ UDP. Näiteks pole PAT-i selle serveri kaudu võimalik NAT-i kaudu kusagil Internetis käivitada.

www.usergate.ru Maksimaalne kasutajate arv terminaliserveris ei tohi ületada 220, samas kui igale kasutajale ei eraldata rohkem kui 200 porti TCP / UDP protokollide jaoks.

UserGate puhverserveri taaskäivitamisel ei lase terminali agent kedagi Internetti enne esimest sünkroonimist UserGate puhverserveriga (kuni 90 sekundit).

HTTP-volitus läbipaistva puhverserveri UserGate v.6 kaudu töötades lisab võime lubada HTTP-d läbipaistvas režiimis töötava puhverserveri jaoks. Kui kasutaja tööjaama brauser pole puhverserveri kasutamiseks konfigureeritud ja HTTP-puhverserver on UserGate'is läbipaistvas režiimis lubatud, suunatakse volitamata kasutaja taotlus autoriseerimislehele, kus on vaja kasutajanime ja parooli.

Pärast autoriseerimist ei pea te seda lehte sulgema. Autoriseerimislehte värskendatakse perioodiliselt spetsiaalse skripti kaudu, hoides kasutaja seansi aktiivsena. Selles režiimis on kasutajal juurdepääs kõigile UserGate'i teenustele, sealhulgas võime töötada NAT-i kaudu. Kasutajaseansi lõpetamiseks peate autoriseerimislehel klõpsama Logi välja või lihtsalt sulgema volituste vahekaardi. ja 30–60 sekundi pärast kaob volitus puhverserveris.

lubada NetBIOSNameRequest (UDP: 137) pakettide läbimine UserGate'i serveri ja domeenikontrolleri vahel. NetBIOSSessionRequest (TCP: 139) pakettide läbimine UserGate'i serveri ja domeenikontrolleri vahel registreerib UserGate HTTP puhverserveri aadressi ja pordi brauseris kasutaja masinas Tähtis! NTLM-i volituse kasutamiseks ei pea UserGate'i installitud masin kuuluma Active Directory-i domeeni.

Autoriseerimiskliendi kasutamine UserGate autoriseerimisklient on Winsocki tasemel töötav võrgurakendus, mis loob ühenduse konkreetsel UDP-pordil UserGate'i serveriga (vaikimisi kasutatakse porti 5456) ja edastab kasutaja autoriseerimisparameetrid: autoriseerimise tüüp, sisselogimine, parool jne.

www.usergate.com

Esimesel käivitamisel vaatab UserGate'i autoriseerimisklient süsteemiregistri haru HKCU \\ Software \\ Policies \\ Entensys \\ Authclient. Active Directory domeenirühma poliitika kaudu saadud sätted asuvad siin. Kui seadeid süsteemiregistris ei leita, tuleb UserGate'i serveri aadress käsitsi määrata volituskliendi kolmandal ülemisel vahekaardil. Pärast serveri aadressi täpsustamist klõpsake nuppu Rakenda ja minge teisele vahelehele. Sellel lehel on täpsustatud kasutaja autoriseerimisparameetrid. Autoriseerimiskliendi sätted salvestatakse HKCU \\ Software \\ Entensys \\ Authclient registrivõtmesse. Autentimiskliendi teenuse logi salvestatakse kausta Dokumendid ja Seaded \\% USER% \\ Rakenduse andmed \\ UserGate Client.

Lisaks on autoriseerimiskliendile lisatud link kasutaja isikliku statistika lehele. Autentimiskliendi välimust saate muuta, redigeerides vastavat malli * .xml-faili kujul, mis asub kataloogis, kuhu klient on installitud.

www.usergate.com

Teenuste konfigureerimine rakenduses UserGate DHCP konfigureerimine See teenus võimaldab DHCP-l (Dynamic Host Configuration Protocol) automatiseerida kohtvõrgu klientidele võrgusätete väljastamise protsessi. DHCP-serveriga võrgus saab igale võrguseadmele dünaamiliselt määrata IP-aadressi, lüüsi aadressi, DNS-i, WINS-serverit jne.

DHCP-serveri saate lubada teenuse DHCP serveri liidese jaotise kaudu UserGate'i halduskonsoolis või klõpsates juhtpaneelil nuppu Lisa. Ilmuvas dialoogis valige võrguliides, milles DHCP-server töötab. DHCP-serveri minimaalse konfiguratsiooni korral piisab järgmiste parameetrite seadistamisest: IP-aadresside vahemik (aadressivaram), millest alates server väljastab aadressid kohaliku võrgu klientidele; võrgumask ja rendiaeg.

UserGate'i maksimaalne kogumi suurus ei tohi ületada 4000 aadressi. Vajadusel saab valitud aadresside kogumist (nupp Välistamised) ühe või mitu IP-aadressi välja jätta. Võite kindlale võrgus olevale seadmele püsiva IP-aadressi määrata, luues jaotises Reservatsioonid vastava köite. IP-aadressi püsivus rendilepingu pikendamisel või saamisel tagatakse sidumisega (reserveerimine) võrguseadme MAC-aadressiga. Sidumise loomiseks peate lihtsalt määrama seadme IP-aadressi.

MAC-aadress määratakse automaatselt, klõpsates vastavat nuppu.

Joonis 6. DHCP-serveri UserGate konfigureerimine

UserGate DHCP-server toetab Windowsi DHCP-serveri sätete importimist. Windowsi DHCP eelsätted tuleb faili salvestada. Selleks käivitage serveris, kuhu Windows DHCP on installitud, käsuridarežiim (Start Run, tippige cmd ja vajutage sisestusklahvi) ja käivitage kuvatavas aknas käsk: netsh dhcp server IP dump file_name, kus IP on teie DHCP-serveri IP-aadress. Seadete importimine

www.usergate.com

failist DHCP-serveri konfigureerimise viisardi esimesel lehel oleva vastava nupu kaudu.

Väljastatud IP-aadressid kuvatakse halduskonsooli akna alumises osas (joonis 8) koos kliendi andmetega (arvuti nimi, MAC-aadress) ning rendi alguse ja lõpuajaga. Pärast väljaantud IP-aadressi eraldamist saate kasutaja lisada UserGate'i, luua MAC-aadressi abil köite või vabastada IP-aadressi.

Joonis 7. Väljastatud aadresside kustutamine

Mõne aja pärast paigutatakse vabastatud IP-aadress DHCP-serveri vabade aadresside kogumisse. IP-aadressi vabastamise toiming võib osutuda vajalikuks juhul, kui arvutit, mis on varem taotlenud UserGate DHCP-serverilt aadressi, pole enam võrgus või ta on muutnud oma MAC-aadressi.

DHCP-serveril on võimalus faili "wpad.dat" taotlemisel reageerida kliendi päringutele. Seda puhverserveri sätete hankimise meetodit kasutades peate redigeerima mallifaili, mis asub kaustas "C: \\ programmifailid \\ entensys \\ usergate6 \\ wwwroot \\ wpad.dat".

Veel detailne info Seda puhverserveri sätete hankimise meetodit on kirjeldatud Vikipeedias.

Puhverserveriteenuste konfigureerimine UserGate-is Järgmised puhverserverid on integreeritud UserGate-i serverisse: HTTP (FTP toega HTTP ja HTTPS kaudu, - Ühendamismeetod), FTP, SOCKS4, SOCKS5, POP3 ja SMTP, SIP ja H323. Puhverserverite sätted saidil www.usergate.com on saadaval halduskonsooli jaotises Teenused puhverserveri sätted. Puhverserveri peamised seaded on:

liides (joonis 9) ja pordi number, millel puhverserver töötab.

Joonis 8. Puhverserveri põhiseaded Vaikimisi on UserGate'is lubatud ainult HTTP puhverserver, kuulates TCP-pordi 8080 serveri kõigil saadaolevatel võrguliidestel.

Kliendi brauseri konfigureerimiseks puhverserveri kaudu töötamiseks piisab, kui täpsustada puhverserveri aadress ja port vastavas sätete üksuses. Internet Exploreris täpsustatakse puhverserveri sätted menüü Tööriistad Interneti-suvandid Ühenduse LAN-i sätted. HTTP-puhverserveri kaudu töötades ei pea kasutaja tööjaamas asuva võrguühenduse TCP / IP-atribuutides lüüsi ja DNS-i määrama, kuna nime lahendamise teostab HTTP puhverserver ise.

Iga puhverserveri jaoks on saadaval kaskaadrežiim ülesvoolu puhverserverile.

Tähtis! Puhverserveri seadetes määratud port avatakse automaatselt UserGate'i tulemüüris. Seetõttu on turvalisuse seisukohast soovitatav puhverserveri sätetes määratleda ainult serveri kohaliku võrgu liidesed.

Tähtis! Puhverserveri jaoks erinevate brauserite konfigureerimise kohta lisateabe saamiseks lugege Entensysi teadmistebaasi spetsiaalset artiklit.

IP-telefoniprotokollide tugi (SIP, H323) UserGate juurutab SIP-puhverserveri funktsiooni koos riikliku puhverserveri SIP-registripidajaga. SIP-puhverserver on lubatud jaotises Teenused puhverserveri sätted ja töötab alati läbipaistvas režiimis, kuulates TCP-porte 5060 ja UDP 5060. SIP puhverserveri kasutamisel sisselülitamisel

www.usergate.com

halduskonsooli lehel Sessioonid kuvatakse teave aktiivse ühenduse oleku kohta (registreerimine, kõne, ootamine jne), samuti teave kasutajanime (või tema numbri), kõne kestuse ja edastatud / vastuvõetud baitide arvu kohta. See teave kirjutatakse ka UserGate'i statistika andmebaasi.

UserGate SIP-puhverserveri kasutamiseks tuleb kasutaja tööjaama TCP / IP-atribuutides määratleda vaikelüüsina UserGate'i serveri IP-aadress ja samuti DNS-serveri aadress.

Illustreerime kliendi osa konfiguratsiooni, kasutades SJPhone'i nutitelefoni ja Sipneti pakkujat. Käivitage SJPhone, valige kontekstimenüüst Suvandid ja looge uus profiil. Sisestage profiili nimi (joonis 10), näiteks sipnet.ru. Valige profiili tüübiks Kõne läbi SIP-puhverserveri.

Joonis 9. Uue profiili loomine SJPhone'is Dialoogis Profiili valikud peate määrama oma VoIP-teenuse pakkuja puhverserveri aadressi.

Dialoogi sulgemisel peate sisestama VoIP-teenuse pakkuja serverisse autoriseerimiseks vajalikud andmed (kasutajanimi ja parool).

Joonis 10. SJPhone profiili seaded www.usergate.ru Tähelepanu! Kui SIP-puhverserveri lubamisel ei liigu teie häälliiklus ühes või teises suunas, peate kasutama STUN-puhverserverit või laskma NAT-i kaudu kõigil pordi liiklusel (ANY: FULL) vajalike kasutajate jaoks. Kui lubate NAT-reeglid kõigis sadamates, tuleb SIP-puhverserver keelata!

SIP-registripidaja režiimi tugi SIP-registripidaja funktsioon võimaldab teil kasutada rakendust UserGate kohaliku võrgu tarkvara PBX-na (automaatne telefonijaam).

SIP registripidaja funktsioon töötab samaaegselt SIP puhverserveri funktsiooniga. SIP UAC (User Agent Client) seadetes UserGate SIP registripidaja autoriseerimiseks peate määrama:

userGate'i aadress SIP-serveri aadressina UserGate'i kasutajanimi (tühikuteta) mis tahes parool H323 protokolli tugi H323 protokolli tugi võimaldab UserGate'i serverit kasutada väravavalvurina (H323 Gatekeeper). H323 puhverserveri sätted määravad liidese, mille kaudu server kliendi päringuid kuulab, pordi numbri, samuti H323 lüüsi aadressi ja pordi. UserGate Gatekeeperil autoriseerimiseks peab kasutaja määrama sisselogimise (kasutajanimi UserGate'is), parooli (suvalise) ja telefoninumbri, mis on määratud kasutaja profiilil UserGate'is.

Tähtis! Kui UserGate GateKeeper saab kõne H323 numbrile, mis ei kuulu ühelegi volitatud UserGate'i kasutajale, suunatakse kõne H323 lüüsi. Kõned H323 lüüsi tehakse režiimis “CallModel: Direct”.

Post puhverserverid rakenduses UserGate Kasutaja puhverserverid on loodud töötama koos POP3 ja SMTP protokollidega ning skannima meililiiklust viiruste suhtes.

POP3 ja SMTP puhverserveri läbipaistva režiimi kasutamisel ei erine e-posti kliendi konfiguratsioon kasutaja tööjaamas sätetest, mis vastavad otsese Interneti-juurdepääsuga suvandile.

Kui UserGate POP3 puhverserverit kasutatakse mitteläbipaistvas režiimis, siis tuleb kasutaja tööjaama postikliendi seadetes POP3 serveri aadressiks määrata UserGate arvuti IP-aadress ja UserGate POP3 puhverserverile vastav port. Lisaks on POP3-serveri autoriseerimise sisselogimine määratletud järgmises vormingus:

e-posti aadress @ POP3_serveri_aadress. Näiteks kui kasutajal on postkast [e-posti aadress on kaitstud], siis sisselogimise sisselogimisel

Kasutajavärava POP3 puhverserver tuleb meilikliendis täpsustada:

[e-posti aadress on kaitstud]@ pop.mail123.com. See vorming on vajalik UserGate'i serveri jaoks, et määrata POP3 serveri aadress.

www.usergate.com

Kui UserGate SMTP puhverserverit kasutatakse läbipaistmatus režiimis, peate puhverserveri seadetes määrama selle SMTP serveri IP-aadressi ja pordi, mida UserGate kasutab sõnumite saatmiseks. Sel juhul tuleb kasutaja tööjaama e-posti kliendi sätetes SMTP-serveri aadressina määratleda UserGate'i serveri IP-aadress ja port, mis vastab UserGate'i SMTP-puhverserverile. Kui saatmiseks on vaja autoriseerimist, peate e-posti kliendi seadetes määrama sisselogimise ja parooli, mis vastavad SMTP-serverile, mis on määratud SMTP puhverserveri seadetes UserGate'is.

Läbipaistva režiimi kasutamine Läbipaistva režiimi funktsioon puhverserveri sätetes on saadaval, kui UserGate-server on installitud koos NAT-draiveriga. Läbipaistvas režiimis kuulab UserGate NAT-i draiver teenuse Standardpordid: TCP 80 HTTP, TCP 21 FTP jaoks, TCP 110 ja 25 POP3 ja SMTP jaoks UserGate arvuti võrguliidestes.

Taotluste olemasolul edastab ta need vastavale puhverserverile UserGate. Läbipaistva režiimi kasutamisel võrgurakendustes ei pea kasutajad puhverserveri aadressi ja porti täpsustama, mis vähendab märkimisväärselt administraatori tööd, pakkudes kohalikule võrgule juurdepääsu Internetile. Siiski sisse võrgusätted Tööjaamade jaoks tuleb UserGate'i server määratleda lüüsina ja täpsustada DNS-serveri aadress.

Kaskaadipuhverserverid UserGate Server saavad töötada Interneti-ühendusega nii otse kui ka ülesvoolu puhverserverite kaudu. Sellised puhverserverid on rühmitatud UserGate'is teenuste kaskaadi puhverserverite alla. UserGate toetab järgmist tüüpi kaskaadipuhverserve: HTTP, HTTPS, Socks4, Socks5. Kaskaadipuhverserveri sätetes täpsustatakse standardparameetrid: aadress ja port. Kui eelnev puhverserver toetab autoriseerimist, saate seadetes määrata sobiva kasutajanime ja parooli. Loodud järkjärgulised puhverserverid muutuvad kasutatavaks puhverserveri seadetes UserGate'is.

www.usergate.ru Joonis 11 Vanempuhvrid rakenduses UserGate Porti kaardistamine UserGate toetab pordi kaardistamise funktsiooni. Kui on olemas pordi määramise reeglid, suunab UserGate'i server kasutajapäringud, mis tulevad konkreetses UserGate'i arvuti võrguliidese pordis, teisele määratud aadressile ja pordile, näiteks mõnda teise kohtvõrgu arvutisse.

Pordi edastamine on saadaval TCP ja UDP protokollide jaoks.

Joonis 12. Porti määramine UserGate'is Tähtis! Kui pordi määramist kasutatakse Interneti-sisest juurdepääsu ettevõtte sisesele ressursile, valige parameetriks www.usergate.com Authorization Parameeter määratud kasutaja, vastasel juhul pordi edastamine ei tööta.

Vahemälu seadistamine Puhverserveri üks eesmärke on võrgu ressursside vahemällu salvestamine.

Puhverdamine vähendab Interneti-ühenduse koormust ja kiirendab juurdepääsu sageli külastatavatele ressurssidele. UserGate puhverserver vahemällu salvestab HTTP ja FTP liikluse. Puhverdatud dokumendid paigutatakse kohalikku kausta% UserGate_data% \\ Cache. Vahemälu sätted näitavad:

vahemälu suuruse piirang ja vahemällu salvestatud dokumentide säilitamise aeg.

Lisaks saate lubada dünaamiliste lehtede vahemällu salvestamise ja vahemälust liikluse arvestamise. Kui suvand Loe liiklus vahemälust on lubatud, salvestatakse kasutajavärava jaoks mitte ainult väline (Interneti) liiklus, vaid ka UserGate'i vahemälust saadud liiklus.

Tähelepanu! Vahemälu praeguste kirjete kuvamiseks peate vahemälu andmebaasi kuvamiseks käivitama spetsiaalse utiliidi. Selle käivitamiseks paremklõpsake süsteemisalves ikooni "UserGate Agent" ja valige "Ava brauseri vahemälu".

Tähelepanu! Kui olete vahemälu lubanud ja teil pole endiselt brauseri vahemälus ressursse, peate tõenäoliselt lubama HTTP-protokolli jaoks läbipaistva puhverserveri lehel "Teenused - puhverserveri sätted"

Viirusetõrje skaneerimine UserGate'i serverisse on integreeritud kolm viirusetõrje moodulit: Kaspersky Labi viirusetõrje, Panda Security ja Avira. Kõik viirusetõrje moodulid on mõeldud sissetuleva liikluse skaneerimiseks UserGate'i HTTP, FTP ja e-posti puhverserverite kaudu, samuti väljuva liikluse kontrollimiseks SMTP puhverserveri kaudu.

Viirusetõrje moodulite sätted on saadaval halduskonsooli jaotises Teenused viirusetõrjeks (joonis 14). Iga viirusetõrje korral saate täpsustada, milliseid protokolle see peaks kontrollima, määrake viirusetõrje andmebaaside värskendamise sagedus ja määrake URL-id, mida pole vaja skannida (URL-i filtri suvand). Lisaks saate seadetes määratleda kasutajate rühma, kelle liiklust pole vaja viiruste osas skannida.

www.usergate.com

Joonis 13. Viirusetõrje moodulid rakenduses UserGate Enne viirusetõrje moodulite käivitamist peate alustama viirusetõrje andmebaaside värskendamist ja ootama, kuni see on lõpule jõudnud. Vaikimisi seadetes värskendatakse Kaspersky Labi veebisaidilt Kaspersky viirusetõrje andmebaase ja Panda viirusetõrje jaoks laaditakse need alla Entensys serveritest.

UserGate Server toetab kolme viirusetõrje mooduli samaaegset toimimist. Sel juhul kontrollib liiklust esimesena Kaspersky Anti-Virus.

Tähtis! Kui viirusetõrje liikluse kontrollimine on lubatud, blokeerib UserGate server mitme keermega failide üleslaadimise HTTP ja FTP kaudu. Faili osa allalaadimise HTTP kaudu blokeerimine võib põhjustada probleeme Windowsi värskendusteenusega.

Planeerija rakenduses UserGate UserGate serveril on sisseehitatud toiminguajasti, mida saab kasutada järgmiste ülesannete täitmiseks: DialUp ühenduse käivitamine ja lõpetamine, UserGate kasutajatele statistika saatmine, suvalise programmi käivitamine, viirusetõrje andmebaaside värskendamine, statistika andmebaasi tühjendamine, andmebaasi suuruse kontrollimine.

www.usergate.com

Joonis 14. Toiminguajasti konfigureerimine Programmi Run käivitamist rakenduses UserGate saab kasutada ka käskude jadade (skriptide) täitmiseks failidest * .bat või * .cmd.

Sarnased teosed:

TEGEVUSKAVA 2014-2015 PIIRKONDLIKE JA KOHALIKE AMETIASUTUSTE KONVERENTS IDAOSASE PARTNERLUSE TEGEVUSKAVAS REGIOONILISTE JA KOHALIKE AMETIASUTUSTE KONVERENTSI IDA-PARTNERLUSES (CORLEAP) KASUTATAVAD 2014. JA AASTA 2015 tekstis - "CORLEAP" või "Konverents" on poliitiline foorum, mille eesmärk on edendada kohalikke ja ... "

“Venemaa loodusvarade ministeeriumi riikliku poliitika ja regulatsiooni osakonna direktor geoloogia ja aluspinnase kasutamise alal A.V. Oryol kinnitati 23. augustil 2013, KINNITATUD Venemaa loodusvarade ministeeriumi geoloogia ja aluspinnase kasutamise riikliku poliitika ja regulatsiooni osakonna direktoriks _ A.V. Oryol "_" 2013 KOKKU LEPPINUD FGUNPP "Geologorazvedka" direktor V.V. Shimansky "_" _ Tahke maavarade uurimiseks ja uurimiseks vajalike geoloogiliste ja geofüüsikaliste tehnoloogiate teadusliku ja metodoloogilise nõukogu 2013. aasta kokkuvõte ... "

“TOIMETAJA VEERG D Kallid sõbrad! Hoiate käes käes tänavuse "Uue metsa ajakirja" esimest numbrit. Traditsiooniliselt oli selle peateemaks eelmise aasta lõpus toimunud rahvusvaheline näitus-laat "Vene mets". Muidugi pidasime seda sündmust mitte niivõrd teavitusürituseks, vaid metsandusspetsialistide poolt tööstuse arendamiseks mõeldud poliitika, strateegia ja taktika väljatöötamise platvormiks. Just sellest vaatepunktist püüdsime seminaride tööd katta ... "

"Interdistsiplinaarse riikliku lõpueksami programm koostatakse vastavalt sätetele: föderaalse riigieelarvelise rakenduskõrgkooli lõpetanute lõpliku riikliku tunnistuse saamiseks" Venemaa rahvamajanduse akadeemia ja avalik teenistus Vene Föderatsiooni presidendi all "kuupäevaga 24. jaanuar 2012, Moskva; magistriõppe (kohtunike) koolituse kohta föderaalvalitsuse eelarveõppes ..."

«Esitajate nimekiri Nechaev V.D. Ülikooli strateegilise arengu programmi juht, rektor A. A. Glazkov Ülikooli strateegilise arengu programmi juht, teaduse, innovatsiooni ja strateegilise arengu prorektor Sharaborova G.K. ülikooli strateegilise arengu programmi töö koordinaator, strateegilise arengu keskuse direktor projektide kuraatorid: Sokolov E.F. Haldus- ja majandusliku abi prorektor Ognev A.S. Teadusprorektor, ... "

«UDC 91: 327 Lysenko A. V. Matemaatiline modelleerimine kui meetod poliitilise geograafia autonoomia nähtuse uurimiseks. V. I. Vernadsky järgi nimetatud Taurida Riiklik Ülikool, Simferopol e-post: [e-posti aadress on kaitstud] Märkused. Artiklis käsitletakse matemaatilise modelleerimise kasutamist poliitilise geograafia uurimise meetodina, tuuakse välja territoriaalse autonoomia mõiste ja selle tekke tegurid. Märksõnad: matemaatiline modelleerimine, ... "

Murmanski "ÕIGUSED" HEAKSKIIDETUD filiaali direktoriks Murmanski linna üldise juriidilise osakonna CHOU VPO BIEPP koosolekul distsipliinide CHOU VPO BIEPP v. Murmansk A.S. Korobeinikovi protokolli nr 2_ "_09_" _ september 2014 "_09_" september 2014 distsipliini haridus-metoodiline kompleks Poliitiliste ja juriidiliste doktriinide ajalugu Eriala ... "

„VENE HARIDUSARENGU PROGRAMMI USALDUSVÄÄRSUS (LUGEGE) LUGEGE AASTAARUANNE„ Investeerides hariduse kvaliteedi hindamisse, reformide hindamisse ning akadeemiliste saavutuste ja oskuste hindamise süsteemidesse, aitab pank oma partnerriikidel vastata reformipoliitika kujundamise põhiküsimustele hariduses: millised on meie süsteemi eelised? mis on selle miinused? Millised olid nende puuduste kõige tõhusamad abinõud? mis on ... "

"OKHUNOVI ALISHER ORIPOVICH [e-posti aadress on kaitstud] JAOTIS SÜÜBILINE ÜLDTEAVE ÕPETAJATE KOHTA DISAINIPOLIITIKA "ÜLDKÜSIMUSTE PROGRAMM ÕPPEAINE ÕPIVÄLJAVAATED JA EELDUSED POSTREKVISITEERIKA KIRURGIA" KRITEERIUMID JA TEADMISTE OSKUSED ÕPPISÕPETAMISEL ÕPPISÕPETAMISEL ÕPPETEENISED " [e-posti aadress on kaitstud] ÜLDINE TEAVE: Pealkiri Ülikooli nimi: Taškendi Meditsiiniakadeemia ÜLDTEAVE Üld- ja lastekirurgia osakond Asukoht ... "

"Välissuhete komitee Peterburi Peterburis Venemaa Föderatsiooni riigipoliitika rakendamine seoses kaasmaalastega välismaal VIII Peterburi vene rahvuskaaslaste noorteorganisatsioonide foorum ja välismaa venekeelne meedia" Vene välismaal "7.-13. Juuni 2015 PROGRAMM 7. juuni, pühapäev Osalejate saabumine Foorum päeva jooksul Hotell “Peterburi” Aadress: Pirogovskaja muldkeha, 5/2 Osalejate registreerimine, “Osaleja komplekti” väljastamine TÄHELEPANU! ... "

"Eriala 1-23 80 06" Rahvusvaheliste suhete ajalugu ja välispoliitika "magistrantide täiendava sisseastumiseksami õppekava põhineb näidisprogrammidel" rahvusvahelised suhted"Ja" Valgevene välispoliitika ajalugu ", samuti erialade 1-23 01 01" Rahvusvahelised suhted "riigieksami programmid erialadel. Arvatakse ja soovitatakse kinnitamiseks rahvusvaheliste suhete osakonna 7. protokolli nr 10 koosolekul ... "

“Nädal võib valida ülikerge raketiprojekti Vene-Hiina laboratooriumi kosmosesideme süsteemid. Meteooriseeria järgmised satelliidid radarisüsteeme vastu ei võta. .. "

"VENEMAA FÖDERATSIOONI HARIDUS- JA TEADUSMINISTEERIUM Kemerovo Riikliku Ülikooli föderaalse riigieelarvelise rakenduskõrghariduse õppeasutus" HEAKSKIIDETUD: rektor _ V. A. Volchek "" _ 2014 peamine haridusprogramm kõrgharidus Eriala 030701 Rahvusvahelised suhted Orienteerumine (spetsialiseerumine) "Maailmapoliitika" Rahvusvaheliste suhete kvalifikatsiooni (kraad) spetsialist täisajaga täisajaga õppevorm Kemerovo 2014 ... "

„ISLAM Moodsas URALIS Aleksey Malašenko, Aleksey Starostin APRILL 2015 ISLAM MODERNI URALIS Aleksey Malašenko, Aleksey Starostin Selle töödokumentide numbri koostas mittetulunduslik valitsusväline uurimisorganisatsioon - Moskva Carnegie keskus. Carnegie rahvusvahelise rahu sihtkapital ja Carnegie Moskva keskus kui organisatsioon ei jaga ühist seisukohta avaliku poliitika küsimustes. Väljaanne kajastab autorite isiklikke seisukohti, mida ei tohiks ... "

„Knaufi põhiprintsiip on see, et kõike tuleks“ leevendada ”(teha, kui olete eelnevalt koos hästi läbi mõelnud ja võtnud arvesse nende huvisid, kelle heaks te töötate). Tasapisi võtmekontseptsioon juurdus Venemaal ”. Intervjuust YA. Mihhailoviga, KNAUF GIPS KOLPINO LLC peadirektoriga Rahvusvahelise korporatsiooni Venemaa jagunemise juhtimispraktikad: KNAUF CISi kogemus * Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Annotatsioon KNAUF CIS grupi arenduskogemuse analüüsi põhjal c. .. "

"Lisa TEAVE Omski piirkonna kuberneri 28. veebruari 2013. aasta korralduse nr 25-r" Omski piirkonna kuberneri 16. jaanuari 2013. aasta määruse nr 3 rakendamiseks võetavate meetmete kohta vastavalt 2013. – 2014. Aasta prioriteetsete meetmete kavale piirkondliku tegevusstrateegia rakendamiseks "kohta laste huvides Omski piirkonna territooriumil 2013 - 2017 aastaks 2013 № Nimi Vastutav teave ürituse esitaja p / p täitmise kohta I. Perekonna päästmise poliitika laste päästmiseks ... "

"HANTIA-MANSIYSKI AUTONOOMSE RAJONI HARIDUS- JA NOOREPOLIITIKA OSAKOND - UGRA Hantõ-Mansiiski autonoomse oblasti riiklik rakenduskõrgkool - Ugra" Surguti Riiklik Pedagoogikaülikool "Tööstuspraktika programm BP.5. PEDAGOGILINE PRAKTIKA Koolituse suund 49.03.02 Puuetega inimeste füüsiline kultuur tervisega (adaptiivne kehakultuur) Kvalifikatsioon (kraad) ... "

"Riiklik autonoomne rakenduskõrgkool" Moskva linnavalitsuse juhtimisülikool "Moskva linna rakenduskõrgkool" Avaliku halduse ja personalipoliitika osakond TUNNUSTATUD akadeemilise ja teadusliku töö prorektor А.А. Aleksandrov "_" _ 20_ Tööprogramm akadeemiline distsipliin "Võtmise meetodid juhtimisotsused"Suuna 38.03.02" Juhtimine "üliõpilastele täiskoormusega hariduse saamiseks Moskvas ..."

Y. V. Brekhova seeria „Lihtne finantseerimine” KUIDAS FINANTSPÜRAMIID TUNNUSTADA Volgograd 2011 UDC 336 BBK 65.261 B 87 Sarja „Lihtne finantseerimine” brošüür tehti vastavalt 19. septembri 2011. aasta lepingu 7 lõikele 2, Volgogradi Riiklik Akadeemia teenused "koos eelarve- ja finantspoliitika komiteega ning Volgogradi piirkonna administratsiooni riigikassaga osana pikaajalise piirkondliku sihtprogrammi" Elanikkonna finantskirjaoskuse taseme tõstmine ja rahandusarengu arendamine "rakendamise osana
Selle saidi materjalid postitatakse ülevaatamiseks, kõik õigused kuuluvad nende autoritele.
Kui te ei nõustu sellega, et teie materjal sellele saidile postitatakse, kirjutage meile, kustutame selle 1-2 tööpäeva jooksul.

Tänapäeval pole Internet mitte ainult suhtlus- või vaba aja veetmise viis, vaid ka töövahend. Teabe otsimiseks, pakkumistes osalemiseks, klientide ja partneritega töötamiseks on vaja ettevõtte töötajate olemasolu veebis. Enamikul nii isiklikuks kui ka ettevõtteks kasutatavatest arvutitest on Windowsi opsüsteemid. Loomulikult on nad kõik varustatud Interneti-ühenduse võimaldamise mehhanismidega. Alustades Windows 98 Second Editioniga, on Windowsi opsüsteemidel standardfunktsioonina sisseehitatud Interneti-ühenduse jagamine (ICS), mis pakub rühmale juurdepääsu kohalikust võrgust Internetti. Hiljem tutvustati Windows 2000 Serveris marsruutimis- ja kaugjuurdepääsuteenust (marsruutimine ja kaugjuurdepääs) ning NAT-i tuge.

Kuid ICS-il on oma puudused. Niisiis muudab see funktsioon võrguadapteri aadressi ja see võib põhjustada probleeme kohalikus võrgus. Seetõttu on ICS eelistatav kasutada ainult kodu- või kontorivõrkudes. See teenus ei anna kasutaja autoriseerimist, seega on ebasoovitav seda kasutada ettevõtte võrgus. Kui me räägime rakendusest koduvõrgus, siis ka siin muutub kasutajanime volituse puudumine vastuvõetamatuks, kuna IP- ja MAC-aadresse on väga lihtne võltsida. Seetõttu, kuigi Windowsis on võimalus korraldada ühtne juurdepääs Internetile, kasutatakse praktikas kas riistvara või tarkvara tarkvara sõltumatud arendajad. Üks sellistest lahendustest on programm UserGate.

Esimene kohtumine

Puhverserver Usergate võimaldab teil pakkuda kohaliku võrgu kasutajatele juurdepääsu Internetile ja määratleda juurdepääsupoliitika, keelates juurdepääsu teatud ressurssidele, piirates liiklust või aega, mille kasutajad saavad võrgus töötada. Lisaks võimaldab Usergate pidada eraldi liiklusearvestust nii kasutaja kui ka protokolli järgi, mis hõlbustab oluliselt Interneti-ühenduse kulude kontrolli. Viimasel ajal on Interneti-teenuse pakkujate seas olnud trend pakkuda piiramatut juurdepääsu Internetile oma kanalite kaudu. Sellise suundumuse taustal tuleb esiplaanile just juurdepääsu kontroll ja raamatupidamine. Selleks on Usergate puhverserveril piisavalt paindlik süsteem reeglid.

NAT (Network Address Translation) toega kasutajapuhverserver töötab Windows 2000/2003 / XP opsüsteemides, kus on installitud TCP / IP protokoll. Ilma NAT-protokolli toeta saab Usergate töötada opsüsteemides Windows 95/98 ja Windows NT 4.0. Programm ise ei vaja käivitamiseks spetsiaalseid ressursse, peamine tingimus on see, et vahemälu ja logifailide jaoks on piisavalt kettaruumi. Seetõttu on endiselt soovitatav puhverserver installida eraldi masinasse, andes sellele maksimaalse ressursi.

Seadistan

Mille jaoks puhverserver on? Lõppude lõpuks teab iga veebibrauser (Netscape Navigator, Microsoft Internet Explorer, Opera) juba dokumentide vahemällu salvestamist. Kuid pidage meeles, et esiteks ei eralda me nendel eesmärkidel märkimisväärses koguses kettaruumi. Ja teiseks: ühe inimese poolt samade lehtede külastamise tõenäosus on palju väiksem kui siis, kui seda tegid kümned või sajad inimesed (ja see kasutajate arv on saadaval paljudes organisatsioonides). Seetõttu vähendab organisatsiooni jaoks ühe vahemäluruumi loomine sissetulevat liiklust ja kiirendab Internetis dokumentide otsimist, mille mõni töötaja on juba vastu võtnud. UserGate puhverserverit saab hierarhiliselt siduda väliste puhverserveritega (pakkujatega) ja sel juhul on võimalik, kui mitte liiklust vähendada, siis vähemalt kiirendada andmete otsimist ja ühtlasi ka kulusid vähendada (tavaliselt on puhverserveri kaudu pakkujalt saadava liikluse hind madalam) ).

Vaadates tulevikku, ütlen, et vahemälu konfigureerimine toimub menüü jaotises "Teenused" (vt joonis 1). Pärast vahemälu lülitamist režiimi "Lubatud" saate konfigureerida selle individuaalseid funktsioone - POST-päringute, dünaamiliste objektide, küpsiste, FTP kaudu saadud sisu vahemällu salvestamine. Siin saate konfigureerida ka vahemälu jaoks eraldatud kettaruumi suuruse ja vahemällu salvestatud dokumendi eluea. Ja selleks, et vahemälu hakkaks tööle, peate puhverserveri režiimi konfigureerima ja lubama. Seadistused määravad, millised protokollid puhverserveri kaudu töötavad (HTTP, FTP, SOCKS), millises võrguliideses neid kuulatakse ja kas toimitakse kaskaadide vormistamine (selleks vajalikud andmed sisestatakse teenuse seadete aknas eraldi vahekaardile).

Enne programmiga töötamist peate tegema muud sätted. Reeglina tehakse seda järgmises järjestuses:

1. Kasutajakontode loomine Usergate'is.
2. DNS-i ja NAT-i seadistamine süsteemis Usergate abil. Selles etapis taandub konfiguratsioon peamiselt NAT-i seadistamisele viisardi abil.
3. Võrguühenduse seadistamine kliendi masinatel, kus on vaja lüüsi ja DNS registreerida võrguühenduse TCP / IP atribuutides.
4. Interneti-juurdepääsu poliitika loomine.

Mugavuse huvides on programm jagatud mitmeks mooduliks. Serverimoodul töötab Interneti-ühendusega arvutis ja pakub põhitoiminguid. Kasutajavärava administreerimine toimub spetsiaalse mooduli Kasutajaväli administraator abil. Tema abiga tehakse kõik serveri sätted vastavalt vajalikele nõuetele. Kasutajavärava kliendi osa realiseeritakse kui Kasutajavärava autentimisklient, mis on installitud kasutaja arvutisse ja mille eesmärk on autoriseerida Kasutajavärava serveris olevaid kasutajaid, kui kasutatakse muud volitust kui IP või IP + MAC volitused.

Kontroll

Kasutajate ja rühmade haldamine on viidud eraldi sektsiooni. Gruppe on vaja kasutajate ning nende üldise juurdepääsu ja arveldussätete haldamise hõlbustamiseks. Saate luua nii palju rühmi kui vaja. Rühmad luuakse tavaliselt vastavalt organisatsiooni struktuurile. Milliseid parameetreid saab kasutajarühmale määrata? Iga grupiga on seotud tariif, mille korral võetakse arvesse juurdepääsukulusid. Vaikimisi kasutatakse vaiketariifi. See on tühi, seega ei võeta kõigi gruppi kuuluvate kasutajate ühendusi, kui tariifi pole kasutajaprofiilis üle tähtsustatud.

Programmil on etteantud NAT-i reeglite komplekt, mida ei saa muuta. Need on Telteni, POP3, SMTP, HTTP, ICQ jt juurdepääsureeglid. Rühma konfigureerimisel saate täpsustada, milliseid reegleid rakendatakse selle grupi ja sellesse kuuluvate kasutajate jaoks.

Automaatse valimise režiimi saab kasutada siis, kui Interneti-ühendus toimub modemi kaudu. Kui see režiim on lubatud, saab kasutaja Interneti-ühenduse algatada, kui ühendust veel pole - tema palvel loob modem ühenduse ja pakub juurdepääsu. Kuid ühenduse loomiseks spetsiaalse liini või ADSL-i kaudu pole seda režiimi vaja.

Kasutajakontode lisamine on sama lihtne kui rühmade lisamine (vt joonis 2). Ja kui puhverserveriga Usergate on kaasatud Active Directory (AD) domeen, saab kasutajakontod sealt importida ja seejärel kategooriasse liigitada. Kuid nii käsitsi sisestamisel kui ka kontode importimisel AD-st peate konfigureerima kasutajaõigused ja juurdepääsureeglid. Nende hulka kuulub loa liik, tariifiplaan, saadaolevad NAT-i reeglid (kui rühmareeglid ei vasta täielikult konkreetse kasutaja vajadustele).

Usergate puhverserver toetab mitut tüüpi autoriseerimist, sealhulgas kasutaja autoriseerimine Active Directory ja Windowsi sisselogimisakna kaudu, mis võimaldab integreerida Usergate olemasolevasse võrguinfrastruktuuri. Kasutajavärav kasutab oma NAT-draiverit, mis toetab autoriseerimist spetsiaalse mooduli - kliendi autoriseerimismooduli - kaudu. Sõltuvalt valitud autoriseerimisviisist peate kasutaja profiili sätetes määrama kas tema IP-aadressi (või aadressivahemiku) või nime ja parooli või lihtsalt nime. Siin saab täpsustada ka kasutaja e-posti aadressi, kuhu saadetakse aruanded tema Interneti-ühenduse kasutamise kohta.

reeglid

Usergate'i reeglisüsteem on sätetes paindlikum kui kaugpöörduseeskirjade (RRAS Remote Access Policy) võimalused. Reegleid saab kasutada konkreetsetele URL-idele juurdepääsu blokeerimiseks, teatud protokollide liikluse piiramiseks, ajapiirangu seadmiseks, kasutaja maksimaalse failisuuruse piiramiseks ja palju muud (vt joonis 3). Standardsetel opsüsteemi tööriistadel pole nende probleemide lahendamiseks piisavalt funktsionaalsust.

Reeglid luuakse abilise abiga. Need kehtivad süsteemi jälgitava nelja peamise objekti kohta - ühendus, liiklus, tariif ja kiirus. Lisaks saab igaühe jaoks teha ühe toimingu. Reeglite täitmine sõltub nende jaoks valitud sätetest ja piirangutest. Nende hulka kuuluvad kasutatud protokollid, kellaaeg nädalapäevadel, millal see reegel jõustub. Lõpuks määravad kriteeriumid liikluse mahu (sissetuleva ja väljamineva), võrgu aja, kasutajakonto saldo, samuti päringuallika IP-aadresside ja ressursside võrguaadresside loendi, mille suhtes toimingut rakendatakse. Võrguaadresside konfigureerimine võimaldab teil määratleda ka failitüübid, mida kasutajad ei saa üles laadida.

Paljud organisatsioonid ei luba kiirsõnumiteenuste kasutamist. Kuidas sellist keeldu Usergate'i abil rakendada? Saidi * login.icq.com * taotlemisel piisab ühe reegli loomisest, mis ühenduse loob. Reeglite rakendamine võimaldab teil muuta päeval või öösel juurdepääsu tariife piirkondlikele või ühistele ressurssidele (kui pakkuja pakub selliseid erinevusi). Näiteks öiste ja päevaste tariifide vahetamiseks peate looma kaks reeglit: üks lülitub ajaliselt päevast öösse tariifidele ja teine \u200b\u200btagasi. Mis on tariifid? See on sisseehitatud arveldussüsteemi alus. Praegu saab seda süsteemi kasutada ainult kulude lepitamiseks ja proovide arvutamiseks, kuid pärast arveldussüsteemi sertifitseerimist saavad süsteemi omanikud usaldusväärse mehhanismi oma klientidega töötamiseks.

Kasutajad

Lähme tagasi DNS-i ja NAT-i sätete juurde. DNS-i konfigureerimine seisneb väliste DNS-serverite aadresside täpsustamises, millele süsteem adresseerib. Sel juhul määrake kasutajate arvutites TCP / IP atribuutide ühendusseadetes arvuti sisemise võrguliidese IP koos lüüsiga ja DNS. NAT-i kasutamisel pisut erinev konfiguratsiooniprintsiip. Sel juhul peate süsteemis lisama uue reegli, milles peate määratlema vastuvõtja IP (kohaliku liidese) ja saatja IP (väline liides), pordi 53 ja UDP protokolli. See reegel tuleb määrata kõigile kasutajatele. Ja määrake oma arvutite ühendusseadetes pakkuja DNS-serveri IP-aadress DNS-na ja arvuti IP-aadress koos väravaga Usergate.

Postiklientide seadistamine toimub nii pordi kaardistamise kui ka NAT-i kaudu. Kui organisatsioon lubab kasutada kiirsõnumiteenuseid, siis tuleb nende jaoks ühenduse seadeid muuta - peate määrama tulemüüri ja puhverserveri kasutamise, määrama Usergate'i abil arvuti sisemise võrguliidese IP-aadressi ja valima protokolli HTTPS või Sokid. Kuid pidage meeles, et puhverserveri kaudu töötades ei saa te Yahoo Messengeri kasutamisel töötada vestlusruumides ega videovestluses.

Toimimisstatistika registreeritakse logisse, mis sisaldab teavet kõigi kasutajate ühenduse parameetrite kohta: ühenduse aeg, kestus, kulutatud raha, taotletud aadressid, vastuvõetud ja edastatud teabe hulk. Statistikafaili kasutajaühenduste teabe kirjutamist ei saa tagasi võtta. Statistika vaatamiseks on süsteemis spetsiaalne moodul, millele pääseb juurde nii administraatori liidese kaudu kui ka eemalt. Andmeid saab filtreerida kasutaja, protokolli ja aja järgi ning edasiseks töötlemiseks saab need salvestada Exceli vormingus välisesse faili.

Mis järgmiseks

Kui süsteemi esimesed versioonid olid ette nähtud ainult puhverserveri vahemälumehhanismi rakendamiseks, on uusimatel versioonidel uued komponendid, mis on loodud infoturbe tagamiseks. Täna saavad Usergate'i kasutajad kasutada sisseehitatud Kaspersky tulemüüri ja viirusetõrje moodulit. Tulemüür võimaldab teil konkreetseid sadamaid juhtida, avada ja blokeerida ning oma ettevõtte veebiressursse Internetis avaldada. Sisseehitatud tulemüür töötleb pakette, mida NAT-i reeglid ei töötle. Kui paketti töötles NAT-draiver, siis tulemüür seda enam ei töötle. Puhverserveri jaoks seatud pordiseaded ja pordi kaardistamisel täpsustatud pordid paigutatakse automaatselt genereeritud tulemüürireeglitesse (tüüp auto). Automaatne reegel paigutab ka TCP-porti 2345, mida Usergate'i administraator kasutab ühenduse loomiseks Usergate'i taustaprogrammiga.

Rääkides toote edasise arendamise väljavaadetest, tasub mainida oma VPN-serveri loomist, mis võimaldab teil VPN-i opsüsteemist loobuda; rämpspostitõrje serveri juurutamine ja intelligentse tulemüüri arendamine rakenduste tasemel.

Mihhail Abramzon - ettevõtte Digt turundusgrupi juht.

Pärast kohaliku võrgu ühendamist Internetti on mõttekas seadistada liikluse arvestussüsteem ja programm Usergate aitab meid selles. Kasutajavärav on puhverserver, mis võimaldab teil kontrollida arvutite juurdepääsu kohtvõrgust Internetti.

Kuid kõigepealt tuletagem meelde, kuidas me eelnevalt videokursusel "Windows 7 ja WindowsXP vahelise kohaliku võrgu loomine ja konfigureerimine" võrku konfigureerisime ja kuidas pakkusime juurdepääsu kõigile arvutitele ühe suhtluskanali kaudu Internetti. Seda saab skemaatiliselt esitada järgmisel kujul, seal on neli arvutit, mille ühendasime peer-to-peer-võrku, valisime lüüsiks tööjaama-4-7 tööjaama koos Windows 7 operatsioonisüsteemiga, s.o. ühendas Interneti-juurdepääsuga täiendava võrgukaardi ja võimaldas teistel võrgu arvutitel selle võrguühenduse kaudu Internetile juurde pääseda. Ülejäänud kolm masinat on Interneti-kliendid ja neil määrasid lüüsi ja DNS-ina Interneti levitava arvuti IP-aadressi. Noh, nüüd käsitleme Interneti-juurdepääsu kontrolli küsimust.

UserGate'i installimine ei erine tavalise programmi installimisest; pärast installimist palub süsteem teil taaskäivitada, me teeme taaskäivituse. Pärast taaskäivitust proovime kõigepealt pääseda juurde Internetile, arvutist, kuhu UserGate on installitud - see töötab välja, kuid teistest arvutitest see ei toimi, seetõttu hakkas puhverserver tööle ja keelab vaikimisi kõigil Interneti-ühenduse, seega peate selle konfigureerima.

Käivitame administraatori konsooli ( Start \\ Programmid \\Kasutajavärav \\ Administraatori konsool) ja siis ilmub konsool ise ja vahekaart avaneb Ühendused... Kui proovime mõnda vasakul asuvat vahekaarti avada, kuvatakse teade (UserGate'i administraatori konsool pole ühendatud UserGate serveriga), nii et kui me alustame, avaneb vahekaart Connections, et saaksime kõigepealt ühenduse luua UserGate serveriga.

Ja nii, vaikimisi on serveri nimi lokaalne; Kasutaja - administraator; Server on localhost, s.t. serveriosa asub selles arvutis; Sadam - 2345.

Topeltklõpsake sellel sisestusel ja ühendus UserGate-iga luuakse. Kui ühendus nurjus, kontrollige, kas teenus töötab ( Ctrl+ Alt+ Esc \\ Teenused \\Kasutajavärav)

Esmakordsel ühendamisel käivitub see HäälestusviisardKasutajavärav, klõpsake nuppu Mitte, kuna me konfigureerime kõik käsitsi, nii et oleks selgem, mida ja kust otsida. Ja kõigepealt minge vahekaardile ServerKasutajavärav \\ Liidesed, näitame siin, milline võrgukaart vaatab Internetti ( 192.168.137.2 - WAN) ja milline neist võrku ( 192.168.0.4 - LAN).

Edasi Kasutajad ja rühmad \\ Kasutajad, siin on ainult üks kasutaja, see on masin ise, kus UserGate server töötab ja selle nimi on Default, s.t. vaikimisi. Lisame kõik kasutajad, kes võrku lähevad, mul on neid kolm:

Töökoht-1-xp - 192.168.0.1

Töökoht-2-xp - 192.168.0.2

Töökoht-3-7 - 192.168.0.3

Jätame vaikimisi rühma ja tariifiplaani, autoriseerimise tüübi, kasutan IP-aadressi kaudu, kuna need on minu jaoks käsitsi registreeritud ja jäävad samaks.

Nüüd konfigureerime puhverserveri ise, minge aadressile Teenused \\ puhverserveri seaded \\HTTP, siin valime IP-aadressi, mille määrasime kliendi masinate lüüsiks, see on mul olemas 192.168.0.4 , ja pange ka linnuke Läbipaistev režiim, et mitte brauserites puhverserveri aadressi käsitsi registreerida, uurib brauser sel juhul, milline lüüs on võrguühenduse seadetes täpsustatud, ja suunab taotlused sellele ümber.