مرورگر برای کار با usergate یک رمز عبور درخواست می کند. دسترسی به اینترنت با استفاده از UserGate. استقرار پروکسی و فایروال UserGate

در این مقاله در مورد محصول جدیدی از Entensys به شما خواهم گفت که ما در سه زمینه آن شریک هستیم، UserGate Proxy & Firewall 6.2.1.

روز بخیر بازدید کننده عزیز سال 2013 پشت سر ماست، برای برخی دشوار بود، برای برخی دیگر آسان بود، اما زمان می گذرد، و اگر در نظر بگیرید که یک نانوثانیه 10 است. −9 با. سپس فقط پرواز می کند. در این مقاله در مورد محصول جدیدی از Entensys به شما خواهم گفت که ما در سه زمینه UserGate Proxy & Firewall 6.2.1 شریک هستیم.

از نقطه نظر مدیریت نسخه 6.2 UserGate Proxy & Firewall 5.2F، که اجرای آن را با موفقیت در عمل برون سپاری فناوری اطلاعات خود تمرین می کنیم، عملاً وجود ندارد. ما از Hyper-V به عنوان یک محیط آزمایشگاهی استفاده خواهیم کرد، یعنی دو ماشین مجازی نسل اول، یک بخش سرور در Windows Server 2008 R2 SP1 و یک بخش مشتری در Windows 7 SP1. به دلایلی که برای من ناشناخته است، یوزر گیت نسخه 6 روی ویندوز سرور 2012 و ویندوز سرور 2012 R2 نصب نمی شود.

بنابراین، سرور پروکسی چیست؟

سرور پروکسی(از پروکسی انگلیسی - "نماینده، مجاز") - یک سرویس (مجموعه برنامه ها) در شبکه های کامپیوتر، به مشتریان اجازه می دهد تا درخواست های غیرمستقیم برای سایر خدمات شبکه داشته باشند. ابتدا، کلاینت به سرور پروکسی متصل می شود و یک منبع (مثلاً ایمیل) را که در سرور دیگری قرار دارد درخواست می کند. سپس سرور پروکسی یا به سرور مشخص شده متصل می شود و منبع را از آن دریافت می کند و یا منبع را از کش خودش برمی گرداند (در مواردی که پروکسی کش خود را دارد). در برخی موارد، درخواست مشتری یا پاسخ سرور ممکن است توسط سرور پروکسی برای اهداف خاصی اصلاح شود. یک سرور پروکسی همچنین به شما امکان می دهد از رایانه مشتری در برابر برخی حملات شبکه محافظت کنید و به حفظ ناشناس بودن مشتری کمک می کند.

چیچنینیوزر گیت پروکسی و فایروال؟

پروکسی یوزر گیت و فایروال- این راه حل جامعبرای اتصال کاربران به اینترنت، ارائه حسابداری کامل ترافیک، کنترل دسترسی و ارائه ابزارهای داخلی محافظت از شبکه.

از تعریف، بیایید ببینیم Entensys چه راه حل هایی در محصول خود ارائه می دهد، چگونه ترافیک محاسبه می شود، چگونه دسترسی محدود است و چه ابزارهای حفاظتی UserGate Proxy & Firewall ارائه می دهد.

از چه چیزی تشکیل شده است؟یوزر گیت؟

UserGate از چندین بخش تشکیل شده است: یک سرور، یک کنسول مدیریت و چندین ماژول اضافی. سرور بخش اصلی پروکسی سرور است که تمام عملکردهای آن در آن پیاده سازی شده است. سرور UserGate دسترسی به اینترنت را فراهم می کند، ترافیک را شمارش می کند، آمار فعالیت کاربران را در شبکه نگه می دارد و بسیاری از وظایف دیگر را انجام می دهد.

UserGate Administration Console برنامه ای است که برای مدیریت سرور UserGate طراحی شده است. کنسول مدیریت UserGate از طریق یک پروتکل امن خاص از طریق TCP/IP با بخش سرور ارتباط برقرار می کند که به شما امکان می دهد مدیریت سرور از راه دور را انجام دهید.

UserGate شامل سه ماژول اضافی است: "آمار وب"، "کاربر مجوز کاربر گیت" و ماژول "کنترل برنامه".

سرور

نصب سمت سرور UserGate بسیار ساده است، تنها تفاوت در انتخاب پایگاه داده در طول مراحل نصب است. دسترسی به پایگاه داده مستقیماً (برای پایگاه داده داخلی Firebird) یا از طریق یک درایور ODBC انجام می شود که به سرور UserGate امکان می دهد تقریباً با پایگاه های داده با هر فرمتی (MSAccess، MSSQL، MySQL) کار کند. به طور پیش فرض از پایگاه داده Firebird استفاده می شود. اگر تصمیم دارید یوزر گیت را از نسخه های قبلی به روز کنید، باید با پایگاه آمار خداحافظی کنید، زیرا: برای فایل آمار، فقط انتقال موجودی کاربران فعلی پشتیبانی می شود؛ خود آمار ترافیک منتقل نمی شود. تغییرات در پایگاه داده به دلیل مشکلات عملکرد با پایگاه داده قدیمی و محدودیت در اندازه آن ایجاد شده است. پایگاه داده جدید Firebird چنین کاستی هایی ندارد.

راه اندازی کنسول مدیریت

کنسول روی سرور VM نصب شده است. هنگامی که برای اولین بار راه اندازی شد، کنسول مدیریت به صفحه اتصالات باز می شود که شامل یک اتصال واحد به سرور لوکال هاست برای کاربر Administrator است. رمز اتصال تنظیم نشده است. می‌توانید با دوبار کلیک کردن روی خط localhost-administrator یا با کلیک کردن روی دکمه اتصال در کنترل پنل، کنسول مدیریت را به سرور متصل کنید. می توانید چندین اتصال را در کنسول مدیریت UserGate ایجاد کنید.

تنظیمات اتصال پارامترهای زیر را مشخص می کند:

  • نام سرور نام اتصال است.
  • نام کاربری – برای اتصال به سرور وارد شوید.
  • آدرس سرور – نام دامنه یا آدرس IP سرور UserGate.
  • پورت - پورت TCP که برای اتصال به سرور استفاده می شود (به طور پیش فرض از پورت 2345 استفاده می شود).
  • رمز عبور - رمز عبور برای اتصال؛
  • درخواست رمز عبور هنگام اتصال - این گزینه به شما امکان می دهد هنگام اتصال به سرور، یک دیالوگ برای وارد کردن نام کاربری و رمز عبور خود را نمایش دهید.
  • اتصال خودکار به این سرور - کنسول مدیریت پس از راه اندازی به طور خودکار به این سرور متصل می شود.

هنگامی که برای اولین بار سرور را راه اندازی می کنید، سیستم یک جادوگر نصب ارائه می دهد که ما آن را رد می کنیم. تنظیمات کنسول مدیریت در فایل console.xml واقع در پوشه %UserGate%\Administrator ذخیره می‌شوند.

راه اندازی اتصالات پشت NAT پاراگراف "تنظیمات عمومی NAT"به شما این امکان را می دهد تا از طریق پروتکل های TCP، UDP یا ICMP، مقدار زمان برای اتصالات NAT را تنظیم کنید. زمانی که انتقال داده از طریق اتصال کامل می شود، مقدار وقفه، طول عمر اتصال کاربر از طریق NAT را تعیین می کند. اجازه دهید این تنظیم را به عنوان پیش فرض بگذاریم.

آشکارساز حملهیک گزینه ویژه است که به شما امکان می دهد مکانیسم داخلی را برای نظارت و مسدود کردن اسکنر پورت یا تلاش برای اشغال تمام پورت های سرور فعال کنید.

مسدود کردن با خط مرورگر- لیستی از مرورگرهای User-Agent که می توانند توسط سرور پروکسی مسدود شوند. آن ها برای مثال می توانید از دسترسی مرورگرهای قدیمی مانند IE 6.0 یا Firefox 3.x به اینترنت جلوگیری کنید.

رابط ها

بخش Interfaces اصلی ترین قسمت تنظیمات سرور UserGate است ، زیرا مواردی مانند صحت شمارش ترافیک ، توانایی ایجاد قوانین برای فایروال ، محدودیت در عرض کانال اینترنت برای ترافیک یک نوع خاص را تعیین می کند. ایجاد روابط بین شبکه ها و ترتیب پردازش بسته ها توسط درایور NAT. تب "Interfaces"، نوع مورد نظر را برای رابط ها انتخاب کنید. بنابراین، برای یک آداپتور متصل به اینترنت، باید نوع WAN را برای آداپتور متصل به اینترنت انتخاب کنید شبکه محلی– نوع LAN دسترسی به اینترنت برای VM مشترک است، به ترتیب، رابط با آدرس 192.168.137.118 یک آداپتور WAN خواهد بود، نوع مورد نظر را انتخاب کنید و روی "اعمال" کلیک کنید. سپس سرور را راه اندازی مجدد می کنیم.

کاربران و گروه ها

دسترسی به اینترنت فقط برای کاربرانی ارائه می شود که مجوز را با موفقیت در سرور UserGate تکمیل کرده اند. این برنامه از روش های مجوز کاربر زیر پشتیبانی می کند:

  • با آدرس IP
  • بر اساس محدوده آدرس IP
  • با آدرس IP + MAC
  • با آدرس MAC
  • مجوز با استفاده از HTTP (HTTP-basic، NTLM)
  • مجوز از طریق لاگین و رمز عبور (Authorization Client)
  • گزینه مجوز ساده شده از طریق Active Directory

برای استفاده از سه روش آخر مجوز، باید یک برنامه ویژه را در ایستگاه کاری کاربر نصب کنید - مشتری مجوز UserGate. بسته MSI مربوطه (AuthClientInstall.msi) در دایرکتوری %UserGate%\tools قرار دارد و می تواند برای نصب خودکار با استفاده از Group Policy در Active Directory استفاده شود.

برای کاربران ترمینال، فقط گزینه “Authorization via HTTP” ارائه شده است. گزینه مربوطه در مورد تنظیمات عمومی در کنسول مدیریت فعال است.

شما می توانید یک کاربر جدید از طریق آیتم ایجاد کنید یک کاربر جدید اضافه کنیدیا با زدن دکمه اضافه کردندر کنترل پنل صفحه کاربران و گروه ها.

راه دیگری برای اضافه کردن کاربران وجود دارد - اسکن شبکه با درخواست های ARP. شما باید روی یک فضای خالی در کنسول مدیریت صفحه کلیک کنید کاربرانو مورد را انتخاب کنید شبکه محلی را اسکن کنید. در مرحله بعد، پارامترهای شبکه محلی را تنظیم کنید و منتظر نتایج اسکن باشید. در نتیجه لیستی از کاربرانی که می توانند به UserGate اضافه شوند را مشاهده خواهید کرد. خوب، بیایید بررسی کنیم، روی "اسکن شبکه محلی" کلیک کنید

پارامترها را تنظیم کنید:

آثار!

افزودن کاربر

شایان ذکر است که UserGate دارای اولویت احراز هویت است، ابتدا فیزیکی و سپس منطقی. این روش قابل اعتماد نیست، زیرا ... کاربر می تواند آدرس IP را تغییر دهد. آنچه برای ما مناسب است، وارد کردن حساب‌های Active Directory است که می‌توانیم آن‌ها را به راحتی با کلیک کردن روی دکمه «Import»، سپس «Select» و نام حساب خود، «Ok»، «Ok» وارد کنیم.

«گروه» را انتخاب کنید، «پیش‌فرض» پیش‌فرض را بگذارید

روی "OK" کلیک کنید و تغییرات را ذخیره کنید.

کاربر ما بدون هیچ مشکلی اضافه شد. همچنین امکان همگام سازی گروه های AD در برگه "گروه ها" وجود دارد.

راه اندازی سرویس های پروکسی در UserGate

سرورهای پراکسی زیر در سرور UserGate ادغام شده اند: HTTP (با پشتیبانی از "FTP over HTTP" و حالت HTTPS - روش اتصال)، FTP، SOCKS4، SOCKS5، POP3 و SMTP، SIP و H323. تنظیمات سرور پراکسی در بخش Services → Proxy settings در کنسول مدیریت موجود است. تنظیمات اصلی سرور پراکسی عبارتند از: رابط و شماره پورتی که پروکسی بر روی آن کار می کند. بنابراین، برای مثال، بیایید یک پراکسی HTTP شفاف را در رابط LAN خود فعال کنیم. بیایید به «تنظیمات پروکسی» برویم و HTTP را انتخاب کنیم.

بیایید رابط کاربری خود را انتخاب کنیم، همه چیز را به عنوان پیش فرض بگذارید و روی "OK" کلیک کنید

استفاده از حالت شفاف

اگر سرور UserGate همراه با درایور NAT نصب شده باشد، عملکرد "Transparent Mode" در تنظیمات سرور پراکسی در دسترس است. در حالت شفاف، درایور NAT UserGate به پورت های استاندارد برای خدمات گوش می دهد: 80 TCP برای HTTP، 21 TCP برای FTP، 110 و 25 TCP برای POP3 و SMTP در رابط های شبکه کامپیوتر با UserGate. در صورت وجود درخواست، آنها را به سرور پروکسی UserGate مناسب منتقل می کند. هنگام استفاده از حالت شفاف در برنامه های شبکه، کاربران نیازی به تعیین آدرس و پورت سرور پراکسی ندارند که این امر کار مدیر را به میزان قابل توجهی در زمینه دسترسی به شبکه محلی به اینترنت کاهش می دهد. با این حال، در تنظیمات شبکهایستگاه های کاری، سرور UserGate باید به عنوان یک دروازه و آدرس سرور DNS باید مشخص شود.

پراکسی های ایمیل در UserGate

سرورهای پراکسی ایمیل در UserGate برای کار با پروتکل های POP3 و SMTP و برای اسکن آنتی ویروس ترافیک ایمیل طراحی شده اند. هنگام استفاده از حالت عملکرد شفاف POP3 و پراکسی SMTP، تنظیمات سرویس گیرنده نامه در ایستگاه کاری کاربر با تنظیمات مربوط به گزینه با دسترسی مستقیم به اینترنت متفاوت نیست.

اگر از پراکسی UserGate POP3 در حالت مات استفاده می شود، در تنظیمات سرویس گیرنده ایمیل در ایستگاه کاری کاربر، آدرس IP رایانه دارای UserGate و پورت مربوط به پراکسی UserGate POP3 باید به عنوان آدرس سرور POP3 مشخص شود. علاوه بر این، ورود برای مجوز در سرور POP3 راه دور در قالب زیر مشخص شده است: email_address@POP3_server_address. به عنوان مثال، اگر کاربر یک صندوق پستی داشته باشد [ایمیل محافظت شده]، سپس به عنوان Login برای پراکسی UserGate POP3 در سرویس گیرنده ایمیل، باید مشخص کنید: [ایمیل محافظت شده]@pop.mail123.com. این قالب ضروری است تا سرور UserGate بتواند آدرس سرور POP3 راه دور را تعیین کند.

اگر پروکسی UserGate SMTP در حالت غیر شفاف استفاده می شود، در تنظیمات پروکسی باید آدرس IP و پورت سرور SMTP را که UserGate برای ارسال نامه استفاده می کند، مشخص کنید. در این حالت، در تنظیمات سرویس گیرنده ایمیل در ایستگاه کاری کاربر، آدرس IP سرور UserGate و پورت مربوط به پراکسی UserGate SMTP باید به عنوان آدرس سرور SMTP مشخص شود. اگر برای ارسال مجوز لازم است، در تنظیمات سرویس گیرنده ایمیل باید ورود و رمز عبور مربوط به سرور SMTP را که در تنظیمات پروکسی SMTP در UserGate مشخص شده است، مشخص کنید.

خوب، به نظر جالب می رسد، بیایید آن را با استفاده از mail.ru بررسی کنیم.

اول از همه، اجازه دهید پروکسی های POP3 و SMTP را در سرور خود فعال کنیم. هنگام فعال کردن POP3، رابط LAN را به عنوان پورت استاندارد 110 مشخص می کنیم.

و همچنین مطمئن شوید که هیچ علامتی برای «پراکسی شفاف» وجود ندارد و روی «تأیید» و «اعمال» کلیک کنید.

علامت "حالت شفاف" را بردارید و "تنظیمات سرور از راه دور" را بنویسید، در مورد ما smtp.mail.ru. چرا فقط یک سرور نشان داده شده است؟ و پاسخ اینجاست: فرض بر این است که سازمان از یک سرور smtp استفاده می کند و این سرور است که در تنظیمات پراکسی SMTP نشان داده شده است.

قانون اول برای POP3 باید به این شکل باشد.

دوم، همانطور که الکساندر نوسکی می گوید "مثل این"

دکمه "اعمال" را فراموش نکنید و به راه اندازی مشتری بروید. همانطور که به یاد داریم، "اگر پروکسی UserGate POP3 در حالت مات استفاده می شود، در تنظیمات سرویس گیرنده ایمیل در ایستگاه کاری کاربر، آدرس IP رایانه دارای UserGate و پورت مربوط به پراکسی UserGate POP3 باید به صورت مشخص شود. آدرس سرور POP3 علاوه بر این، ورود برای مجوز در سرور POP3 راه دور در قالب زیر مشخص شده است: email_address@POP3_server_address." بیایید اقدام کنیم.

ابتدا وارد برنامه نویس مجوز شوید، سپس Outlook معمولی را باز کنید؛ در مثال ما، یک صندوق پستی آزمایشی ایجاد کردم. [ایمیل محافظت شده]و آن را با مشخص کردن صندوق پستی ما در قالبی قابل فهم برای UserGate پیکربندی کنید [ایمیل محافظت شده]@pop.mail.ru، و همچنین سرورهای POP و SMTP، آدرس پروکسی ما.

روی «تأیید حساب...» کلیک کنید

واگذاری بندر

UserGate از عملکرد Port Forwarding پشتیبانی می کند. اگر قوانین انتساب پورت وجود داشته باشد، سرور UserGate درخواست‌های کاربر را که در یک پورت خاص از یک رابط شبکه معین از یک رایانه با UserGate وارد می‌شود، به آدرس و پورت مشخص دیگری، برای مثال، به رایانه دیگری در شبکه محلی هدایت می‌کند. تابع Port Forwarding برای پروتکل های TCP و UDP در دسترس است.

اگر از تخصیص پورت برای دسترسی از اینترنت به یک منبع داخلی شرکت استفاده می شود، باید Specified user را به عنوان پارامتر Authorization انتخاب کنید، در غیر این صورت ارسال پورت کار نخواهد کرد. فراموش نکنید که Remote Desktop را فعال کنید.

راه اندازی کش

یکی از اهداف یک سرور پراکسی، کش کردن منابع شبکه است. ذخیره سازی بار روی اتصال اینترنت شما را کاهش می دهد و دسترسی به منابعی را که اغلب بازدید می کنید سرعت می بخشد. سرور پروکسی UserGate ترافیک HTTP و FTP را ذخیره می کند. اسناد ذخیره شده در حافظه پنهان در پوشه محلی %UserGate_data%\Cache قرار می گیرند. تنظیمات کش حداکثر اندازه حافظه پنهان و زمان ذخیره سازی اسناد ذخیره شده را نشان می دهد.

اسکن آنتی ویروس

سه ماژول آنتی ویروس در سرور UserGate ادغام شده است: آنتی ویروس Kaspersky Lab، Panda Security و Avira. همه ماژول های آنتی ویروس برای اسکن ترافیک ورودی از طریق سرورهای پروکسی ایمیل HTTP، FTP و UserGate و همچنین ترافیک خروجی از طریق پراکسی های SMTP طراحی شده اند.

تنظیمات ماژول آنتی ویروس در بخش Services → Anti-virus کنسول مدیریت موجود است. برای هر آنتی ویروس، می توانید تعیین کنید که کدام پروتکل ها را اسکن کند، فرکانس به روز رسانی پایگاه های داده آنتی ویروس را تنظیم کنید و همچنین URL هایی را که نیازی به اسکن ندارند (گزینه URL Filter) مشخص کنید. علاوه بر این، در تنظیمات می توانید گروهی از کاربران را مشخص کنید که ترافیک آنها نیازی به اسکن آنتی ویروس ندارد.

قبل از روشن کردن آنتی ویروس، ابتدا باید پایگاه داده آن را به روز کنید.

پس از توابع بالا، اجازه دهید به مواردی که اغلب استفاده می شوند، برویم، اینها "مدیریت ترافیک" و "کنترل برنامه".

سیستم قوانین کنترل ترافیک

سرور UserGate امکان کنترل دسترسی کاربران به اینترنت را با استفاده از قوانین مدیریت ترافیک فراهم می کند. قوانین کنترل ترافیک برای منع دسترسی به منابع شبکه خاص، تعیین محدودیت در مصرف ترافیک، ایجاد برنامه زمانی برای کاربران در اینترنت و همچنین نظارت بر وضعیت حساب های کاربری طراحی شده است.

در مثال ما، دسترسی کاربری را که در درخواست خود به vk.com ارجاع دارد، محدود می کنیم. برای انجام این کار، به "مدیریت ترافیک - قوانین" بروید

به قانون یک نام و عمل "Close Connection" بدهید

پس از افزودن سایت، به پارامتر بعدی بروید، یک گروه یا کاربر را انتخاب کنید، این قانون را می توان هم برای کاربر و هم برای گروه، در مورد ما کاربر "کاربر" تنظیم کرد.

کنترل برنامه

خط مشی کنترل دسترسی به اینترنت یک ادامه منطقی در قالب ماژول Application Firewall دریافت کرد. مدیر UserGate می تواند دسترسی به اینترنت را نه تنها برای کاربران، بلکه برای برنامه های شبکه در ایستگاه کاری کاربر نیز مجاز یا رد کند. برای انجام این کار، باید یک اپلیکیشن خاص App.FirewallService را روی ایستگاه های کاری کاربر نصب کنید. نصب بسته هم از طریق فایل اجرایی و هم از طریق بسته MSI مربوطه (AuthFwInstall.msi) که در دایرکتوری %Usergate%\tools قرار دارد امکان پذیر است.

بیایید به ماژول "Application Control - Rules" برویم و یک قانون ممنوعیت ایجاد کنیم، به عنوان مثال، راه اندازی IE را ممنوع کنید. روی افزودن گروه کلیک کنید، نامی به آن بدهید و یک قانون برای گروه تعیین کنید.

ما گروه قانون ایجاد شده خود را انتخاب می کنیم، می توانیم چک باکس "قوانین پیش فرض" را علامت بزنید، در این صورت قوانین به گروه "قوانین_پیش فرض" اضافه می شوند.

اعمال یک قانون برای یک کاربر در ویژگی های کاربر

اکنون Auth.Client و App.Firewall را روی ایستگاه مشتری نصب می کنیم؛ پس از نصب، IE باید با قوانینی که قبلا ایجاد شده است مسدود شود.

همانطور که می بینیم، قانون کار می کرد، حالا بیایید قوانین را برای کاربر غیرفعال کنیم تا ببینیم این قانون برای سایت vk.com چگونه کار می کند. پس از غیرفعال کردن قانون در سرور کاربر گیت، باید 10 دقیقه صبر کنید (زمان همگام سازی با سرور). بیایید سعی کنیم به لینک مستقیم دسترسی پیدا کنیم

ما از طریق موتور جستجوی google.com امتحان می کنیم

همانطور که می بینید، قوانین بدون هیچ مشکلی کار می کنند.

بنابراین، این مقاله تنها بخش کوچکی از توابع را پوشش می دهد. تنظیمات ممکن برای فایروال، قوانین مسیریابی و قوانین NAT حذف شده اند. UserGate Proxy & Firewall طیف گسترده ای از راه حل ها را ارائه می دهد، حتی کمی بیشتر. این محصول عملکرد بسیار خوبی داشت و از همه مهمتر راه اندازی آسان بود. ما به استفاده از آن در خدمات رسانی به زیرساخت های IT مشتریان برای حل مشکلات معمولی ادامه خواهیم داد!

امروزه اینترنت نه تنها وسیله ارتباطی یا راهی برای گذراندن اوقات فراغت است، بلکه یک ابزار کار نیز می باشد. جستجوی اطلاعات، شرکت در مناقصات، همکاری با مشتریان و شرکا نیازمند حضور کارکنان شرکت در اینترنت است. اکثر کامپیوترهایی که برای اهداف شخصی و سازمانی استفاده می شوند، سیستم عامل ویندوز را اجرا می کنند. طبیعتاً همه آنها به مکانیسم هایی برای دسترسی به اینترنت مجهز هستند. با شروع نسخه دوم ویندوز 98، اشتراک اتصال اینترنت (ICS) به عنوان یک مؤلفه استاندارد در سیستم عامل های ویندوز تعبیه شده است که دسترسی گروهی را از یک شبکه محلی به اینترنت فراهم می کند. بعداً ویندوز 2000 سرور سرویس مسیریابی و دسترسی از راه دور را معرفی کرد و از پروتکل NAT پشتیبانی کرد.

اما ICS معایبی دارد. بنابراین، این تابع آدرس آداپتور شبکه را تغییر می دهد و این می تواند باعث ایجاد مشکل در شبکه محلی شود. بنابراین ICS ترجیحاً فقط در شبکه های خانگی یا اداری کوچک استفاده می شود. این سرویس مجوز کاربر را ارائه نمی دهد، بنابراین استفاده از آن در یک شبکه شرکتی توصیه نمی شود. اگر در مورد برنامه در یک شبکه خانگی صحبت کنیم، در اینجا نیز عدم مجوز توسط نام کاربری غیرقابل قبول می شود، زیرا آدرس های IP و MAC بسیار آسان است. بنابراین، اگرچه در ویندوز امکان سازماندهی دسترسی یکپارچه به اینترنت وجود دارد، اما در عمل، برای اجرای این کار، چه سخت افزاری و چه نرم افزارتوسعه دهندگان مستقل یکی از این راه حل ها برنامه UserGate است.

اولین ملاقات

سرور پروکسی Usergate به شما امکان می دهد دسترسی کاربران شبکه محلی را به اینترنت فراهم کنید و سیاست های دسترسی را تعریف کنید، دسترسی به منابع خاصی را ممنوع کنید، ترافیک را محدود کنید یا زمان کار کاربران در شبکه را محدود کنید. علاوه بر این، Usergate امکان نگهداری سوابق ترافیک جداگانه را هم توسط کاربر و هم توسط پروتکل فراهم می کند که کنترل هزینه های اتصال به اینترنت را تا حد زیادی تسهیل می کند. که در اخیرادر میان ارائه دهندگان اینترنت تمایلی وجود دارد که دسترسی نامحدود به اینترنت را از طریق کانال های خود فراهم کنند. در پس زمینه این روند، این کنترل دسترسی و حسابداری است که در کانون توجه قرار می گیرد. برای این کار، سرور پروکسی Usergate به اندازه کافی در اختیار دارد سیستم انعطاف پذیرقوانین

سرور پروکسی Usergate با پشتیبانی از NAT (ترجمه آدرس شبکه) روی سیستم عامل های Windows 2000/2003/XP با پروتکل TCP/IP نصب شده اجرا می شود. بدون پشتیبانی از پروتکل NAT، Usergate می تواند در ویندوز 95/98 و ویندوز NT 4.0 اجرا شود. خود برنامه برای کار کردن به منابع خاصی نیاز ندارد، شرط اصلی در دسترس بودن فضای دیسک کافی برای کش و فایل های گزارش است. بنابراین، همچنان توصیه می شود که یک سرور پروکسی را روی یک دستگاه جداگانه نصب کنید و حداکثر منابع را در اختیار آن قرار دهید.

تنظیمات

پروکسی سرور برای چیست؟ پس از همه، هر مرورگر وب (Netscape Navigator، Microsoft Internet Explorer، Opera) می تواند اسناد را کش کند. اما به یاد داشته باشید که اولاً، ما مقدار قابل توجهی از فضای دیسک را برای این اهداف اختصاص نمی دهیم. و ثانیاً، احتمال بازدید یک نفر از صفحات مشابه بسیار کمتر از زمانی است که ده ها یا صدها نفر این کار را انجام دهند (و بسیاری از سازمان ها چنین تعداد کاربر دارند). بنابراین، ایجاد یک فضای کش واحد برای یک سازمان، ترافیک ورودی را کاهش می دهد و جستجو در اینترنت برای اسنادی که قبلاً توسط یکی از کارمندان دریافت شده است را سرعت می بخشد. سرور پروکسی UserGate می تواند به صورت سلسله مراتبی با سرورهای پراکسی خارجی (ارائه دهندگان) متصل شود و در این صورت اگر نه کاهش ترافیک، حداقل تسریع در دریافت داده ها و همچنین کاهش هزینه امکان پذیر خواهد بود. (معمولا هزینه ترافیک از یک ارائه دهنده از طریق یک سرور پروکسی کمتر است).

صفحه 1: راه اندازی حافظه پنهان

با نگاهی به آینده، می گویم که کش در بخش منوی "سرویس ها" پیکربندی شده است (صفحه 1 را ببینید). پس از تغییر حافظه پنهان به حالت "فعال"، می توانید عملکردهای جداگانه آن را پیکربندی کنید - ذخیره درخواست های POST، اشیاء پویا، کوکی ها، محتوای دریافت شده از طریق FTP. در اینجا می توانید اندازه فضای دیسک اختصاص داده شده برای کش و طول عمر سند ذخیره شده را پیکربندی کنید. و برای اینکه کش شروع به کار کند، باید حالت پروکسی را پیکربندی و فعال کنید. تنظیمات تعیین می کند که کدام پروتکل ها از طریق سرور پراکسی (HTTP، FTP، SOCKS) کار می کنند، در کدام رابط شبکه به آنها گوش داده می شود و آیا آبشار انجام می شود (داده های لازم برای این کار در یک برگه جداگانه سرویس وارد می شود. پنجره تنظیمات).

قبل از شروع کار با برنامه، باید تنظیمات دیگری را انجام دهید. به عنوان یک قاعده، این کار به ترتیب زیر انجام می شود:

  1. ایجاد حساب کاربری در یوزر گیت
  2. راه اندازی DNS و NAT روی یک سیستم با Usergate. در این مرحله، پیکربندی عمدتاً به پیکربندی NAT با استفاده از جادوگر خلاصه می شود.
  3. راه اندازی یک اتصال شبکه در ماشین های کلاینت، جایی که لازم است دروازه و DNS در ویژگی های اتصال شبکه TCP/IP ثبت شود.
  4. ایجاد خط مشی دسترسی به اینترنت

برای سهولت استفاده، برنامه به چندین ماژول تقسیم شده است. ماژول سرور بر روی یک کامپیوتر متصل به اینترنت اجرا می شود و وظایف اساسی را انجام می دهد. مدیریت Usergate با استفاده از یک ماژول ویژه Usergate Administrator انجام می شود. با کمک آن، تمام تنظیمات سرور مطابق با الزامات لازم انجام می شود. بخش کلاینت Usergate به شکل Usergate Authentication Client پیاده‌سازی می‌شود که بر روی رایانه کاربر نصب می‌شود و در صورت استفاده از مجوزی غیر از مجوز IP یا IP + MAC، برای مجوز دادن به کاربران در سرور Usergate خدمت می‌کند.

کنترل

مدیریت کاربر و گروه در قسمتی جداگانه قرار داده شده است. گروه‌ها برای تسهیل مدیریت کاربران و دسترسی عمومی و تنظیمات صورت‌حساب آن‌ها ضروری هستند. می توانید به تعداد مورد نیاز گروه ایجاد کنید. به طور معمول، گروه ها با توجه به ساختار سازمان ایجاد می شوند. چه پارامترهایی را می توان به یک گروه کاربری اختصاص داد؟ هر گروه با تعرفه ای همراه است که در آن هزینه های دسترسی در نظر گرفته می شود. تعرفه پیش فرض به طور پیش فرض استفاده می شود. خالی است، بنابراین اتصالات همه کاربرانی که در گروه قرار دارند هزینه ای دریافت نمی کنند مگر اینکه تعرفه در نمایه کاربر لغو شود.

این برنامه دارای مجموعه ای از قوانین NAT از پیش تعریف شده است که قابل تغییر نیستند. اینها قوانین دسترسی برای پروتکل‌های Telten، POP3، SMTP، HTTP، ICQ و غیره هستند. هنگام راه‌اندازی یک گروه، می‌توانید مشخص کنید که کدام قوانین برای این گروه و کاربرانی که در آن قرار دارند اعمال شوند.

حالت شماره گیری خودکار زمانی که اتصال به اینترنت از طریق مودم باشد قابل استفاده است. هنگامی که این حالت فعال است، کاربر می تواند اتصال به اینترنت را در زمانی که هنوز اتصالی وجود ندارد راه اندازی کند - به درخواست او، مودم اتصال برقرار می کند و دسترسی را فراهم می کند. اما هنگام اتصال از طریق خط اجاره ای یا ADSL نیازی به این حالت نیست.

افزودن حساب های کاربری دشوارتر از افزودن گروه ها نیست (شکل 2 را ببینید). و اگر رایانه با سرور پراکسی Usergate نصب شده بخشی از یک دامنه Active Directory (AD) باشد، حساب‌های کاربری را می‌توان از آنجا وارد کرد و سپس به گروه‌ها دسته‌بندی کرد. اما هم هنگام وارد کردن دستی و هم هنگام وارد کردن حساب ها از AD، باید حقوق کاربر و قوانین دسترسی را پیکربندی کنید. اینها شامل نوع مجوز، طرح تعرفه، قوانین NAT موجود (اگر قوانین گروه به طور کامل نیازهای یک کاربر خاص را برآورده نمی کند).

سرور پروکسی Usergate از چندین نوع مجوز پشتیبانی می کند، از جمله مجوز کاربر از طریق Active Directory و پنجره ورود به ویندوز، که به کاربر گیت اجازه می دهد تا در زیرساخت شبکه موجود یکپارچه شود. Usergate از درایور NAT خود استفاده می کند که از مجوز از طریق یک ماژول خاص - ماژول مجوز مشتری - پشتیبانی می کند. بسته به روش مجوز انتخابی، در تنظیمات نمایه کاربر باید آدرس IP (یا محدوده آدرس‌ها) یا نام و رمز عبور یا فقط یک نام را مشخص کنید. آدرس ایمیل کاربر را نیز می توان در اینجا مشخص کرد که گزارش های مربوط به استفاده آنها از دسترسی به اینترنت به آن ارسال می شود.

قوانین

سیستم قوانین Usergate در مقایسه با قابلیت های Remote Access Policy (سیاست دسترسی از راه دور در RRAS) در تنظیمات انعطاف پذیرتر است. با استفاده از قوانین، می توانید دسترسی به URL های خاص را مسدود کنید، ترافیک را با استفاده از پروتکل های خاص محدود کنید، یک محدودیت زمانی تعیین کنید، حداکثر اندازه فایلی را که کاربر می تواند دانلود کند محدود کنید، و بسیاری موارد دیگر (شکل 3 را ببینید). ابزارهای استاندارد سیستم عامل عملکرد کافی برای حل این مشکلات را ندارند.

قوانین با استفاده از دستیار ایجاد می شوند. آنها برای چهار شی اصلی که توسط سیستم نظارت می شوند - اتصال، ترافیک، تعرفه و سرعت اعمال می شوند. علاوه بر این، برای هر یک از آنها یک عمل قابل انجام است. اجرای قوانین بستگی به تنظیمات و محدودیت هایی دارد که برای آن انتخاب شده است. اینها شامل پروتکل‌های مورد استفاده، زمان‌های روز هفته است که این قانون اجرا می‌شود. در نهایت، معیارهایی برای حجم ترافیک (ورودی و خروجی)، زمان صرف شده در شبکه، موجودی وجوه موجود در حساب کاربر و همچنین لیستی از آدرس‌های IP منبع درخواست و آدرس‌های شبکه منابعی که در معرض اقدام هستند. پیکربندی آدرس‌های شبکه همچنین به شما امکان می‌دهد تا انواع فایل‌هایی را که کاربران قادر به دانلود آن‌ها نخواهند بود، تعیین کنید.

بسیاری از سازمان ها اجازه استفاده از خدمات پیام رسانی فوری را نمی دهند. چگونه با استفاده از Usergate چنین ممنوعیتی را اجرا کنیم؟ کافی است یک قانون ایجاد کنید که هنگام درخواست سایت *login.icq.com* اتصال را ببندد و آن را برای همه کاربران اعمال کنید. اعمال قوانین به شما امکان می دهد تعرفه های دسترسی در طول روز یا شب را به منابع منطقه ای یا مشترک تغییر دهید (در صورتی که چنین تفاوت هایی توسط ارائه دهنده ارائه شده باشد). به عنوان مثال، برای جابه‌جایی بین تعرفه‌های شبانه و روز، لازم است دو قانون ایجاد کنید، یکی از تعرفه‌های روز به شب تغییر زمانی انجام می‌دهد، دومی به عقب برمی‌گردد. در واقع چرا تعرفه ها ضروری است؟ این اساس سیستم صورتحساب داخلی است. در حال حاضر، این سیستم فقط برای تطبیق و هزینه‌یابی آزمایشی قابل استفاده است، اما پس از تایید سیستم صورت‌حساب، صاحبان سیستم مکانیزم قابل اعتمادی برای کار با مشتریان خود خواهند داشت.

کاربران

حالا بیایید به تنظیمات DNS و NAT برگردیم. راه اندازی DNS شامل تعیین آدرس سرورهای DNS خارجی است که سیستم به آنها دسترسی خواهد داشت. در این مورد، در رایانه های کاربر، لازم است IP رابط شبکه داخلی رایانه با Usergate در تنظیمات اتصال برای خصوصیات TCP/IP به عنوان دروازه و DNS مشخص شود. یک اصل پیکربندی کمی متفاوت هنگام استفاده از NAT. در این مورد، باید یک قانون جدید به سیستم اضافه کنید که نیاز به تعریف IP گیرنده (رابط محلی) و IP فرستنده (رابط خارجی)، پورت - 53 و پروتکل UDP دارد. این قانون باید به همه کاربران اختصاص داده شود. و در تنظیمات اتصال در رایانه آنها باید آدرس IP سرور DNS ارائه دهنده را به عنوان DNS و آدرس IP رایانه با Usergate را به عنوان دروازه تعیین کنید.

پیکربندی کلاینت های ایمیل را می توان هم از طریق Port mapping و هم از طریق NAT انجام داد. اگر سازمان شما اجازه استفاده از خدمات پیام رسانی فوری را می دهد، باید تنظیمات اتصال برای آنها تغییر کند - باید استفاده از فایروال و پروکسی را مشخص کنید، آدرس IP رابط شبکه داخلی رایانه را با Usergate تنظیم کنید و HTTPS را انتخاب کنید. یا پروتکل Socks. اما باید در نظر داشته باشید که هنگام کار از طریق یک سرور پراکسی، اگر از یاهو مسنجر استفاده می کنید، نمی توانید در اتاق های چت و چت تصویری کار کنید.

آمار عملیات در یک لاگ حاوی اطلاعات مربوط به پارامترهای اتصال همه کاربران ثبت می شود: زمان اتصال، مدت زمان، وجوه صرف شده، آدرس های درخواستی، میزان اطلاعات دریافتی و ارسال شده. شما نمی توانید ضبط اطلاعات مربوط به اتصالات کاربر را در فایل آمار لغو کنید. برای مشاهده آمار در سیستم، ماژول خاصی وجود دارد که هم از طریق رابط مدیر و هم از راه دور قابل دسترسی است. داده ها را می توان توسط کاربران، پروتکل ها و زمان فیلتر کرد و برای پردازش بیشتر در یک فایل اکسل خارجی ذخیره کرد.

بعدش چی

در حالی که اولین نسخه های سیستم فقط برای پیاده سازی مکانیسم کش سرور پروکسی در نظر گرفته شده بود، آخرین نسخه ها دارای اجزای جدیدی هستند که برای تضمین امنیت اطلاعات طراحی شده اند. امروزه کاربران یوزر گیت می توانند از فایروال داخلی و ماژول آنتی ویروس کسپرسکی استفاده کنند. فایروال به شما امکان می دهد پورت های خاصی را کنترل، باز و مسدود کنید و همچنین منابع وب شرکت را در اینترنت منتشر کنید. فایروال داخلی بسته هایی را پردازش می کند که در سطح قوانین NAT پردازش نمی شوند. هنگامی که بسته توسط درایور NAT پردازش شد، دیگر توسط فایروال پردازش نمی شود. تنظیمات پورت ساخته شده برای پراکسی، و همچنین پورت های مشخص شده در Port Mapping، در قوانین فایروال تولید شده به طور خودکار (نوع خودکار) قرار می گیرند. قوانین خودکار همچنین شامل پورت TCP 2345 است که توسط ماژول Usergate Administrator برای اتصال به باطن Usergate استفاده می شود.

با صحبت در مورد چشم انداز توسعه بیشتر محصول، لازم به ذکر است که ایجاد سرور VPN اختصاصی شماست که به شما امکان می دهد VPN را از سیستم عامل کنار بگذارید. اجرای یک سرور ایمیل با پشتیبانی ضد هرزنامه و توسعه فایروال هوشمند در سطح برنامه.

میخائیل آبرامزون- رئیس گروه بازاریابی در Digt.

سازماندهی دسترسی مشترک به اینترنت برای کاربران شبکه محلی یکی از رایج ترین وظایفی است که مدیران سیستم باید با آن روبرو شوند. با این حال، هنوز هم مشکلات و سوالات زیادی را ایجاد می کند. به عنوان مثال، چگونه می توان از حداکثر امنیت و کنترل کامل اطمینان حاصل کرد؟

معرفی

امروز به طور مفصل به نحوه سازماندهی دسترسی مشترک به اینترنت در بین کارکنان یک شرکت فرضی خاص خواهیم پرداخت. بیایید فرض کنیم که تعداد آنها در محدوده 50-100 نفر خواهد بود و تمام خدمات معمول برای چنین سیستم های اطلاعاتی در شبکه محلی مستقر می شوند: دامنه ویندوز، سرور پست الکترونیکی، سرور FTP.

برای ارائه دسترسی مشترک، از راه حلی به نام UserGate Proxy & Firewall استفاده می کنیم. چندین ویژگی دارد. اولا، این یک توسعه کاملاً روسی است، بر خلاف بسیاری از محصولات محلی. ثانیا بیش از ده سال سابقه دارد. اما مهمترین چیز توسعه مداوم محصول است.

اولین نسخه‌های این راه‌حل، سرورهای پروکسی نسبتاً ساده‌ای بودند که فقط می‌توانستند یک اتصال اینترنتی را به اشتراک بگذارند و آمار استفاده از آن را حفظ کنند. گسترده ترین در میان آنها بیلد 2.8 است که هنوز هم در دفاتر کوچک یافت می شود. آخرین نسخه ششم دیگر توسط خود توسعه دهندگان سرور پروکسی نامیده نمی شود. به گفته آنها، این یک راه حل کامل UTM است که طیف وسیعی از وظایف مربوط به امنیت و کنترل اقدامات کاربر را پوشش می دهد. ببینیم آیا این درست است یا خیر.

استقرار پروکسی و فایروال UserGate

در حین نصب، دو مرحله مورد توجه است (مراحل باقیمانده برای نصب هر نرم افزاری استاندارد هستند). اولین مورد از اینها انتخاب اجزا است. علاوه بر فایل‌های اصلی، از ما خواسته می‌شود که چهار جزء سرور دیگر را نصب کنیم - یک VPN، دو آنتی ویروس (پاندا و آنتی ویروس کسپرسکی) و یک مرورگر کش.

ماژول سرور VPN در صورت نیاز نصب می شود، یعنی زمانی که شرکت قصد دارد از دسترسی از راه دور برای کارمندان استفاده کند یا چندین شبکه راه دور را ترکیب کند. نصب آنتی ویروس تنها در صورتی منطقی است که مجوزهای مناسب از شرکت خریداری شده باشد. حضور آنها به شما این امکان را می دهد که ترافیک اینترنت را اسکن کنید، بدافزارها را مستقیماً در دروازه بومی سازی و مسدود کنید. مرورگر کش به شما این امکان را می دهد که صفحات وب را که توسط سرور پروکسی ذخیره شده اند مشاهده کنید.

توابع اضافی

ممنوع کردن سایت های ناخواسته

این راه حل از فناوری Entensys URL Filtering پشتیبانی می کند. در اصل، این یک پایگاه داده مبتنی بر ابر است که شامل بیش از 500 میلیون وب سایت به زبان های مختلف است که به بیش از 70 دسته تقسیم می شود. تفاوت اصلی آن در مانیتورینگ دائمی است که در طی آن پروژه های وب دائماً نظارت می شوند و با تغییر محتوا به دسته دیگری منتقل می شوند. این به شما این امکان را می‌دهد تا با انتخاب دسته‌های خاص، تمام سایت‌های ناخواسته را با دقت بالایی مسدود کنید.

استفاده از Entensys URL Filtering امنیت کار در اینترنت را افزایش می دهد و همچنین به افزایش کارایی کارمندان کمک می کند (با ممنوعیت شبکه های اجتماعی، سایت های سرگرمی و موارد دیگر). با این حال، استفاده از آن نیاز به اشتراک پولی دارد که باید هر سال تمدید شود.

علاوه بر این، توزیع شامل دو جزء دیگر است. اولین مورد "کنسول مدیر" است. این یک برنامه جداگانه است که همانطور که از نامش پیداست برای مدیریت سرور پروکسی و فایروال UserGate طراحی شده است. ویژگی اصلی آن امکان اتصال از راه دور است. بنابراین، مدیران یا کسانی که مسئول استفاده از اینترنت هستند نیازی به دسترسی مستقیم به دروازه اینترنت ندارند.

دومین جزء اضافی، آمار وب است. در اصل، این یک وب سرور است که به شما امکان نمایش آمار دقیق استفاده را می دهد شبکه جهانیکارکنان شرکت از یک طرف، این، بدون شک، یک جزء مفید و راحت است. از این گذشته ، به شما امکان می دهد بدون نصب نرم افزار اضافی ، از جمله از طریق اینترنت ، داده ها را دریافت کنید. اما از سوی دیگر، منابع سیستم غیر ضروری دروازه اینترنت را اشغال می کند. بنابراین، بهتر است آن را تنها زمانی نصب کنید که واقعاً به آن نیاز است.

مرحله دومی که در هنگام نصب UserGate Proxy & Firewall باید به آن توجه کنید انتخاب پایگاه داده است. در نسخه‌های قبلی، UGPF فقط می‌توانست با فایل‌های MDB کار کند، که بر عملکرد کلی سیستم تأثیر گذاشت. اکنون یک انتخاب بین دو DBMS وجود دارد - Firebird و MySQL. علاوه بر این، اولین مورد در کیت توزیع گنجانده شده است، بنابراین هنگام انتخاب آن، نیازی به دستکاری اضافی نیست. اگر می خواهید از MySQL استفاده کنید، ابتدا باید آن را نصب و پیکربندی کنید. پس از اتمام نصب اجزای سرور، لازم است ایستگاه های کاری برای مدیران و سایر کارکنان مسئول که می توانند دسترسی کاربر را مدیریت کنند، آماده شود. انجام آن بسیار آسان است. کافی است کنسول مدیریت را از همان توزیع روی رایانه های کاری خود نصب کنید.

توابع اضافی

سرور داخلی VPN

نسخه 6.0 مؤلفه سرور VPN را معرفی کرد. با کمک آن می توانید دسترسی از راه دور ایمن را برای کارکنان شرکت به شبکه محلی سازماندهی کنید یا شبکه های راه دور شاخه های فردی سازمان را در یک فضای اطلاعاتی واحد ترکیب کنید. این سرور VPN تمام قابلیت های لازم برای ایجاد تونل های سرور به سرور و مشتری به سرور و مسیریابی بین زیرشبکه ها را دارد.


راه اندازی اولیه

تمام پیکربندی UserGate Proxy & Firewall با استفاده از کنسول مدیریت انجام می شود. به طور پیش فرض، پس از نصب، یک اتصال به سرور محلی قبلا ایجاد شده است. با این حال، اگر از راه دور از آن استفاده می کنید، باید با تعیین آدرس IP یا نام میزبان دروازه اینترنت، پورت شبکه (پیش فرض 2345) و پارامترهای مجوز، اتصال را به صورت دستی ایجاد کنید.

پس از اتصال به سرور، ابتدا باید رابط های شبکه را پیکربندی کنید. این را می توان در تب "Interfaces" در بخش "UserGate Server" انجام داد. کارت شبکه ای که به شبکه محلی "نگاه می کند" روی نوع LAN تنظیم می شود و همه اتصالات دیگر روی WAN تنظیم می شوند. اتصالات "موقت"، مانند PPPoE، VPN، به طور خودکار نوع PPP اختصاص داده می شوند.

اگر یک شرکت دو یا چند اتصال به شبکه جهانی داشته باشد که یکی از آنها اصلی و بقیه پشتیبان باشد، می توان پشتیبان گیری خودکار را پیکربندی کرد. انجام این کار بسیار آسان است. کافی است رابط های لازم را به لیست موارد ذخیره اضافه کنید، یک یا چند منبع کنترلی و زمان بررسی آنها را مشخص کنید. اصل عملکرد این سیستم به شرح زیر است. UserGate به طور خودکار در دسترس بودن سایت های کنترل را در یک بازه زمانی مشخص بررسی می کند. به محض توقف پاسخ، محصول به طور مستقل، بدون دخالت مدیر، به کانال پشتیبان تغییر می کند. در همان زمان، بررسی در دسترس بودن منابع کنترل از طریق رابط اصلی ادامه دارد. و به محض موفقیت آمیز بودن، سوئیچ بک به صورت خودکار انجام می شود. تنها چیزی که باید در هنگام راه اندازی به آن توجه کنید انتخاب منابع کنترلی است. بهتر است چندین سایت بزرگ را بگیرید که عملکرد پایدار آنها عملا تضمین شده است.

توابع اضافی

کنترل برنامه های شبکه

UserGate Proxy & Firewall چنین ویژگی جالبی مانند کنترل برنامه های شبکه را پیاده سازی می کند. هدف آن جلوگیری از دسترسی هر گونه نرم افزار غیرمجاز به اینترنت است. به عنوان بخشی از تنظیمات کنترل، قوانینی ایجاد می شود که عملکرد شبکه برنامه های مختلف (با یا بدون ملاحظات نسخه) را مجاز یا مسدود می کند. آنها می توانند آدرس های IP خاص و پورت های مقصد را مشخص کنند، که به شما امکان می دهد دسترسی نرم افزار را به طور انعطاف پذیر پیکربندی کنید و به آن اجازه می دهد فقط اقدامات خاصی را در اینترنت انجام دهد.

کنترل برنامه به شما این امکان را می دهد که یک خط مشی سازمانی واضح در مورد استفاده از برنامه ها ایجاد کنید و تا حدی از گسترش بدافزارها جلوگیری کنید.

پس از این، می توانید مستقیماً به راه اندازی سرورهای پروکسی بروید. در مجموع، راه حل مورد بررسی هفت مورد از آنها را پیاده سازی می کند: برای پروتکل های HTTP (شامل HTTP)، FTP، SOCKS، POP3، SMTP، SIP و H323. این عملاً همه چیزهایی است که کارمندان یک شرکت ممکن است برای کار در اینترنت به آن نیاز داشته باشند. به‌طور پیش‌فرض، فقط پروکسی HTTP فعال است؛ در صورت لزوم، بقیه پروکسی‌ها را می‌توان فعال کرد.


سرورهای پروکسی در UserGate Proxy & Firewall می توانند در دو حالت عادی و شفاف کار کنند. در مورد اول ما در مورد یک پروکسی سنتی صحبت می کنیم. سرور درخواست های کاربران را دریافت کرده و به سرورهای خارجی ارسال می کند و پاسخ های دریافتی را به مشتریان ارسال می کند. این یک راه حل سنتی است، اما ناراحتی های خاص خود را دارد. به طور خاص، لازم است هر برنامه ای که برای کار در اینترنت استفاده می شود (مرورگر اینترنت، سرویس گیرنده ایمیل، ICQ و غیره) روی هر رایانه در شبکه محلی پیکربندی شود. این البته کار زیادی است. علاوه بر این، به صورت دوره ای، با نصب نرم افزار جدید، تکرار می شود.

هنگام انتخاب حالت شفاف، از یک درایور NAT ویژه استفاده می شود که در بسته تحویل راه حل مورد نظر موجود است. به پورت‌های مناسب گوش می‌دهد (۸۰ برای HTTP، ۲۱ برای FTP و غیره)، درخواست‌هایی را که به آن‌ها می‌آیند را تشخیص می‌دهد و آن‌ها را به سرور پراکسی ارسال می‌کند، از آنجا که بیشتر ارسال می‌شوند. این راه حل از این نظر موفق تر است که پیکربندی نرم افزار در ماشین های مشتری دیگر ضروری نیست. تنها چیزی که لازم است این است که آدرس IP دروازه اینترنت را به عنوان دروازه اصلی در اتصال شبکه تمام ایستگاه های کاری مشخص کنید.

مرحله بعدی پیکربندی ارسال پرس و جو DNS است. دو راه برای انجام این کار وجود دارد. ساده ترین آنها فعال کردن به اصطلاح DNS Forwarding است. هنگام استفاده از آن، درخواست‌های DNS که از کلاینت‌ها به دروازه اینترنت می‌رسند به سرورهای مشخص شده هدایت می‌شوند (شما می‌توانید از یک سرور DNS از تنظیمات اتصال شبکه یا هر سرور DNS دلخواه استفاده کنید).


گزینه دوم ایجاد یک قانون NAT است که درخواست ها را در پورت 53 (استاندارد DNS) دریافت کرده و آنها را به شبکه خارجی ارسال می کند. با این حال، در این حالت، یا باید سرورهای DNS را به صورت دستی در تنظیمات اتصال شبکه در همه رایانه‌ها ثبت کنید یا ارسال درخواست‌های DNS را از طریق دروازه اینترنت از سرور کنترل‌کننده دامنه پیکربندی کنید.

مدیریت کاربر

پس از تکمیل تنظیمات اولیه، می توانید به کار با کاربران بروید. شما باید با ایجاد گروه‌هایی شروع کنید که حساب‌ها متعاقباً در آنها ترکیب می‌شوند. این برای چیست؟ اولاً برای ادغام بعدی با Active Directory. و ثانیا، می توانید قوانینی را به گروه ها اختصاص دهید (در ادامه در مورد آنها صحبت خواهیم کرد)، بنابراین دسترسی تعداد زیادی از کاربران را به طور همزمان کنترل کنید.

مرحله بعدی اضافه کردن کاربران به سیستم است. شما می توانید این کار را به سه روش مختلف انجام دهید. به دلایل واضح، ما حتی اولین آنها را ایجاد دستی هر حساب در نظر نمی گیریم. این گزینه فقط برای شبکه های کوچک با تعداد کم کاربر مناسب است. روش دوم اسکن شبکه شرکتی با درخواست های ARP است که طی آن سیستم خود لیست حساب های ممکن را تعیین می کند. با این حال، گزینه سوم را انتخاب می کنیم که از نظر سادگی و سهولت مدیریت بهینه ترین است - ادغام با Active Directory. این بر اساس گروه های قبلا ایجاد شده انجام می شود. ابتدا باید پارامترهای یکپارچه سازی کلی را پر کنید: دامنه، آدرس کنترل کننده آن، ورود کاربر و رمز عبور با حقوق دسترسی لازم به آن و همچنین فاصله همگام سازی را مشخص کنید. پس از این، به هر گروه ایجاد شده در UserGate باید یک یا چند گروه از Active Directory اختصاص داده شود. در واقع، راه اندازی در آنجا به پایان می رسد. پس از ذخیره تمام پارامترها، همگام سازی به صورت خودکار انجام می شود.

کاربرانی که در طول مجوز ایجاد می شوند به طور پیش فرض از مجوز NTLM استفاده می کنند، یعنی مجوز ورود به دامنه. این یک گزینه بسیار راحت است، زیرا قوانین و سیستم حسابداری ترافیک بدون توجه به اینکه کاربر در حال حاضر روی چه رایانه ای نشسته است، کار می کند.

با این حال، برای استفاده از این روش مجوز نیاز به موارد اضافی دارید نرم افزار- مشتری ویژه این برنامه در سطح Winsock کار می کند و پارامترهای مجوز کاربر را به دروازه اینترنت منتقل می کند. توزیع آن در بسته UserGate Proxy & Firewall گنجانده شده است. با استفاده از خط مشی های گروه ویندوز می توانید به سرعت کلاینت را در تمام ایستگاه های کاری نصب کنید.

به هر حال، مجوز NTLM به دور از تنها روش اجازه دادن به کارمندان شرکت برای کار در اینترنت است. به عنوان مثال، اگر سازمانی سختگیرانه کارکنان را به ایستگاه های کاری متصل کند، می توان از آدرس IP، آدرس MAC یا ترکیبی از هر دو برای شناسایی کاربران استفاده کرد. با استفاده از روش های مشابه، می توانید دسترسی به یک شبکه جهانی از سرورهای مختلف را سازماندهی کنید.

کنترل کاربر

یکی از مزایای قابل توجه UGPF قابلیت کنترل کاربر گسترده آن است. آنها با استفاده از یک سیستم قوانین کنترل ترافیک اجرا می شوند. اصل عملکرد آن بسیار ساده است. مدیر (یا شخص مسئول دیگر) مجموعه‌ای از قوانین را ایجاد می‌کند که هر یک نشان‌دهنده یک یا چند شرایط ماشه و عملی است که هنگام وقوع آنها انجام می‌شود. این قوانین به تک تک کاربران یا گروه‌های کاملی از آن‌ها اختصاص داده می‌شود و به شما امکان می‌دهد به طور خودکار کار آنها را در اینترنت کنترل کنید. در مجموع چهار مورد اجرا شد اقدامات ممکن. اولین مورد این است که اتصال را ببندید. به عنوان مثال، این اجازه می دهد تا دانلود فایل های خاص را مسدود کند، از بازدید از سایت های ناخواسته و غیره جلوگیری کند. اقدام دوم تغییر تعرفه است. در سیستم تعرفه استفاده می شود که در محصول مورد نظر ادغام شده است (ما آن را در نظر نمی گیریم، زیرا برای شبکه های شرکتیبه خصوص مرتبط نیست). عمل زیر به شما امکان می دهد شمارش ترافیک دریافتی در این اتصال را غیرفعال کنید. در این حالت هنگام محاسبه مصرف روزانه، هفتگی و ماهانه اطلاعات ارسالی در نظر گرفته نمی شود. و در نهایت آخرین اقدام محدود کردن سرعت به مقدار مشخص شده است. استفاده از آن برای جلوگیری از مسدود شدن کانال هنگام دانلود فایل های حجیم و حل مشکلات مشابه بسیار راحت است.

شرایط بسیار بیشتری در قوانین کنترل ترافیک وجود دارد - حدود ده. برخی از آنها نسبتا ساده هستند، مانند حداکثر اندازه فایل. این قانون زمانی فعال می شود که کاربران سعی کنند فایلی بزرگتر از اندازه مشخص شده دانلود کنند. سایر شرایط بر اساس زمان است. به طور خاص، در میان آنها می توان به برنامه (با زمان و روزهای هفته) و تعطیلات (در روزهای مشخص شده راه اندازی شده) اشاره کرد.

با این حال، بیشترین علاقه، شرایط و ضوابط مرتبط با سایت ها و محتوا است. به طور خاص، می توان از آنها برای مسدود کردن یا تنظیم اقدامات دیگر بر روی انواع خاصی از محتوا (به عنوان مثال، ویدئو، صدا، فایل های اجرایی، متن، تصاویر و غیره)، پروژه های وب خاص یا کل دسته های آنها استفاده کرد (فناوری Entensys URL Filtering است. برای این مورد استفاده می شود).

قابل توجه است که یک قانون می تواند چندین شرط را در آن واحد داشته باشد. در این صورت، مدیر می تواند مشخص کند که در چه صورت اجرا می شود - اگر همه شرایط یا هر یک از آنها برآورده شود. این به شما امکان می دهد با در نظر گرفتن تعداد زیادی تفاوت های ظریف، یک خط مشی بسیار انعطاف پذیر برای استفاده از اینترنت توسط کارمندان شرکت ایجاد کنید.

راه اندازی فایروال

بخش جدایی ناپذیر درایور UserGate NAT یک فایروال است که به حل مشکلات مختلف مربوط به پردازش ترافیک شبکه کمک می کند. برای پیکربندی، قوانین خاصی استفاده می شود که می تواند یکی از سه نوع باشد: ترجمه آدرس شبکه، مسیریابی و فایروال. ممکن است تعداد دلخواه قوانین در سیستم وجود داشته باشد. در این مورد، آنها به ترتیبی که در فهرست قرار گرفته اند اعمال می شوند لیست کلی. بنابراین، اگر ترافیک ورودی با چندین قانون مطابقت داشته باشد، توسط یکی که بالاتر از سایرین قرار دارد پردازش می شود.

هر قانون با سه پارامتر اصلی مشخص می شود. اولین مورد منبع ترافیک است. این می تواند یک یا چند میزبان خاص، رابط WAN یا LAN دروازه اینترنت باشد. پارامتر دوم هدف اطلاعات است. رابط LAN یا WAN یا اتصال شماره گیری را می توان در اینجا مشخص کرد. آخرین ویژگی اصلی یک قانون، یک یا چند سرویس است که در آن اعمال می شود. در UserGate Proxy & Firewall، یک سرویس به عنوان یک جفت خانواده پروتکل (TCP، UDP، ICMP، پروتکل دلخواه) و یک پورت شبکه (یا محدوده پورت های شبکه) درک می شود. به‌طور پیش‌فرض، سیستم دارای مجموعه‌ای از خدمات از پیش نصب‌شده است که از سرویس‌های رایج (HTTP، HTTP، DNS، ICQ) تا خدمات خاص (WebMoney، RAdmin، بازی‌های آنلاین مختلف و غیره) را شامل می‌شود. با این حال، در صورت لزوم، مدیر می تواند خدمات خود را ایجاد کند، به عنوان مثال، خدماتی که نحوه کار با بانکداری آنلاین را توضیح می دهد.


هر قانون همچنین دارای یک عمل است که با ترافیک مطابق با شرایط انجام می دهد. تنها دو مورد از آنها وجود دارد: مجاز یا ممنوع. در حالت اول، ترافیک در مسیر مشخص شده بدون مانع جریان دارد، در حالی که در حالت دوم مسدود است.

قوانین ترجمه آدرس شبکه از فناوری NAT استفاده می کنند. با کمک آنها می توانید دسترسی به اینترنت را برای ایستگاه های کاری با آدرس های محلی پیکربندی کنید. برای انجام این کار، باید یک قانون ایجاد کنید و رابط LAN را به عنوان مبدا و رابط WAN را به عنوان مقصد مشخص کنید. قوانین مسیریابی در صورتی اعمال می شود که راه حل مورد نظر به عنوان روتر بین دو شبکه محلی استفاده شود (این ویژگی را پیاده سازی می کند). در این مورد، مسیریابی را می توان برای حمل ترافیک به صورت دو طرفه و شفاف پیکربندی کرد.

قوانین فایروال برای پردازش ترافیکی استفاده می شود که به سرور پروکسی نمی رود، بلکه مستقیماً به دروازه اینترنت می رود. بلافاصله پس از نصب، سیستم یک قانون دارد که به همه بسته های شبکه اجازه می دهد. در اصل، اگر دروازه اینترنتی در حال ایجاد به عنوان یک ایستگاه کاری استفاده نشود، می توان عمل قانون را از "Allow" به "Deny" تغییر داد. در این صورت، هر گونه فعالیت شبکه در رایانه مسدود می شود، به جز بسته های انتقال NAT که از شبکه محلی به اینترنت و برگشت ارسال می شوند.

قوانین فایروال به شما امکان می دهد هر سرویس محلی را در شبکه جهانی منتشر کنید: سرورهای وب، سرورهای FTP، سرورهای پست الکترونیکی و غیره. در عین حال، کاربران از راه دور این فرصت را دارند که از طریق اینترنت به آنها متصل شوند. به عنوان مثال، انتشار یک سرور FTP شرکتی را در نظر بگیرید. برای انجام این کار، مدیر باید یک قانون ایجاد کند که در آن "Any" را به عنوان منبع انتخاب کنید، رابط WAN مورد نظر را به عنوان مقصد و FTP را به عنوان سرویس مشخص کنید. پس از این، عمل "Allow" را انتخاب کنید، پخش ترافیک را فعال کنید و در قسمت "آدرس مقصد" آدرس IP سرور FTP محلی و پورت شبکه آن را مشخص کنید.

پس از این پیکربندی، تمامی اتصالات به کارت های شبکه دروازه اینترنت از طریق پورت 21 به طور خودکار به سرور FTP هدایت می شوند. به هر حال، در طول فرآیند راه اندازی، می توانید نه تنها "بومی"، بلکه هر سرویس دیگری را انتخاب کنید (یا خدمات خود را ایجاد کنید). در این حالت، کاربران خارجی باید با پورت دیگری غیر از 21 تماس بگیرند. این رویکرد در مواردی بسیار راحت است سیستم اطلاعاتدو یا چند سرویس از یک نوع وجود دارد. به عنوان مثال، شما می توانید دسترسی خارجی را سازماندهی کنید پورتال شرکتیاز طریق پورت استاندارد HTTP 80 و دسترسی به آمار وب UserGate از طریق پورت 81.

دسترسی خارجی به سرور ایمیل داخلی به روشی مشابه پیکربندی شده است.

یک ویژگی متمایز مهم فایروال پیاده سازی شده سیستم جلوگیری از نفوذ است. در حالت کاملاً خودکار کار می‌کند و تلاش‌های غیرمجاز را بر اساس امضاها و روش‌های اکتشافی شناسایی می‌کند و با مسدود کردن جریان‌های ترافیکی ناخواسته یا تنظیم مجدد اتصالات خطرناک، آنها را خنثی می‌کند.

بیایید آن را جمع بندی کنیم

در این بررسی، سازماندهی دسترسی مشترک کارکنان شرکت به اینترنت را با جزئیات بررسی کردیم. که در شرایط مدرناین ساده ترین فرآیند نیست، زیرا باید تعداد زیادی از تفاوت های ظریف را در نظر بگیرید. علاوه بر این، هر دو جنبه فنی و سازمانی، به ویژه کنترل اقدامات کاربر مهم هستند.

پس از اتصال شبکه محلی به اینترنت، راه اندازی سیستم حسابداری ترافیک منطقی است و برنامه Usergate به ما در این امر کمک می کند. Usergate یک سرور پروکسی است و به شما امکان می دهد دسترسی رایانه ها را از شبکه محلی به اینترنت کنترل کنید.

اما ابتدا بیایید به یاد بیاوریم که چگونه قبلاً در دوره ویدیویی "ایجاد و راه اندازی یک شبکه محلی بین ویندوز 7 و ویندوز XP" شبکه را راه اندازی کردیم و چگونه دسترسی همه رایانه ها را از طریق یک کانال ارتباطی به اینترنت فراهم کردیم. می توان آن را به صورت شماتیک به شکل زیر نشان داد: چهار رایانه وجود دارد که ما آنها را به یک شبکه همتا به همتا متصل کردیم، ایستگاه کاری-4-7 را با سیستم عامل ویندوز 7 به عنوان دروازه انتخاب کردیم. یک کارت شبکه اضافی را با دسترسی به اینترنت وصل کرد و به سایر رایانه های موجود در شبکه اجازه داد از طریق این اتصال شبکه به اینترنت دسترسی داشته باشند. سه ماشین باقیمانده مشتری اینترنت هستند و آدرس IP کامپیوتر توزیع کننده اینترنت روی آنها به عنوان دروازه و DNS نشان داده شده است. خب حالا به بحث کنترل دسترسی به اینترنت می پردازیم.

نصب UserGate هیچ تفاوتی با نصب یک برنامه معمولی ندارد؛ پس از نصب، سیستم درخواست راه اندازی مجدد می کند، بنابراین ما راه اندازی مجدد می کنیم. پس از راه اندازی مجدد، اول از همه، بیایید سعی کنیم از رایانه ای که UserGate روی آن نصب شده است به اینترنت دسترسی پیدا کنیم - دسترسی به آن امکان پذیر است، اما نه از رایانه های دیگر، بنابراین، سرور پروکسی شروع به کار کرده است و به طور پیش فرض همه را از دسترسی منع می کند. دسترسی به اینترنت، بنابراین باید آن را پیکربندی کنید.

کنسول مدیر را اجرا کنید ( شروع\برنامه ها\یوزر گیت\ Admin Console) و در اینجا خود کنسول ظاهر می شود و یک تب باز می شود اتصالات. اگر بخواهیم هر یک از تب ها را از سمت چپ باز کنیم، پیغامی نمایش داده می شود (کنسول مدیر گیت به سرور یوزر گیت متصل نیست) بنابراین وقتی شروع می کنیم، تب Connections باز می شود تا ابتدا بتوانیم به سرور یوزر گیت متصل شویم.

و بنابراین، به طور پیش فرض نام سرور محلی است. کاربر – مدیر؛ سرور - میزبان محلی، یعنی. قسمت سرور در این رایانه قرار دارد. بندر – 2345.

روی این ورودی دوبار کلیک کنید و به سرویس UserGate متصل شوید؛ اگر اتصال ناموفق بود، بررسی کنید که آیا سرویس در حال اجرا است ( Ctrl+ جایگزین+ خروج\خدمات\یوزر گیت)

وقتی برای اولین بار وصل می شوید شروع می شود Setup Wizardیوزر گیت، کلیک خیر، از آنجایی که ما همه چیز را به صورت دستی پیکربندی می کنیم تا مشخص شود که چه چیزی و کجا باید جستجو شود. و اول از همه، به تب بروید سروریوزر گیت\ واسط ها، در اینجا نشان می دهیم که کدام کارت شبکه به اینترنت متصل است ( 192.168.137.2 - WAN، و کدام یک به شبکه محلی ( 192.168.0.4 - LAN).

به علاوه کاربران و گروه ها\کاربران، اینجا فقط یک کاربر وجود دارد، این خود ماشینی است که سرور UserGate روی آن اجرا می شود و به آن Default می گویند. پیش فرض بیایید همه کاربرانی که آنلاین خواهند شد را اضافه کنیم، من سه تا از آنها را دارم:

Work-Station-1-xp – 192.168.0.1

Work-Station-2-xp – 192.168.0.2

Work-Station-3-7 – 192.168.0.3

ما گروه و طرح تعرفه را به عنوان پیش فرض رها می کنیم، من از نوع مجوز از طریق آدرس IP استفاده خواهم کرد، زیرا آنها را به صورت دستی ثبت کرده ام و بدون تغییر باقی می مانند.

حالا بیایید خود پراکسی را پیکربندی کنیم، به خدمات\تنظیمات پروکسی\HTTP، در اینجا آدرس IP را که به عنوان دروازه در ماشین های مشتری مشخص کرده ایم انتخاب می کنیم، من این را دارم 192.168.0.4 ، و همچنین یک تیک قرار دهید حالت شفافبرای اینکه آدرس سرور پراکسی را به صورت دستی در مرورگرها وارد نکنید، در این حالت مرورگر نگاه می کند که کدام دروازه در تنظیمات اتصال شبکه مشخص شده است و درخواست ها را به آن هدایت می کند.

توجه داشته باشید:این مقاله با داده های فعلی و پیوندهای اضافی ویرایش و به روز شده است.

پروکسی یوزر گیت و فایروالیک دروازه اینترنتی کلاس UTM (Unified Threat Management) است که به شما امکان می دهد تا آن را تهیه و کنترل کنید دسترسی عمومیکارکنان به منابع اینترنتی، فیلتر کردن سایت‌های مخرب، خطرناک و ناخواسته، محافظت از شبکه شرکت در برابر نفوذ و حملات خارجی، ایجاد شبکه‌های مجازی و سازماندهی دسترسی امن VPN به منابع شبکه از خارج، و همچنین مدیریت عرض کانال و برنامه‌های اینترنتی.

محصول جایگزین موثری برای نرم افزارهای گران قیمت و سخت افزارو برای استفاده در مشاغل کوچک و متوسط ​​در نظر گرفته شده است نهادهای دولتیو همچنین سازمان های بزرگ با ساختار شعبه ای.

شما می توانید تمام اطلاعات اضافی در مورد محصول را بیابید.

این برنامه دارای ماژول های پولی اضافی است:

  • آنتی ویروس کسپرسکی
  • آنتی ویروس پاندا
  • آنتی ویروس آویرا
  • Entensys URL Filtering

مجوز برای هر ماژول برای یک سال تقویمی ارائه می شود. شما می توانید عملکرد همه ماژول ها را در یک کلید آزمایشی تست کنید که برای مدت زمان 1 تا 3 ماه برای تعداد نامحدودی کاربر قابل ارائه است.

می توانید جزئیات قوانین صدور مجوز را بخوانید.

برای تمام سوالات مربوط به خرید راه حل های Entensys، لطفا با: sal [ایمیل محافظت شده]یا از طریق تماس با خط رایگان: 8-800-500-4032.

سیستم مورد نیاز

برای سازماندهی یک دروازه، به یک کامپیوتر یا سرور نیاز دارید که باید شرایط سیستم زیر را داشته باشد:

  • فرکانس پردازنده: از 1.2 گیگاهرتز
  • ظرفیت رم: از 1024 گیگابایت
  • ظرفیت هارد: از 80 گیگابایت
  • تعداد آداپتورهای شبکه: 2 یا بیشتر

هرچه تعداد کاربران بیشتر باشد (نسبت به 75 کاربر)، ویژگی های سرور باید بیشتر باشد.

توصیه می کنیم محصول خود را بر روی رایانه ای با سیستم عامل سرور "تمیز" نصب کنید؛ سیستم عامل توصیه شده ویندوز 2008/2012 است.
ما عملکرد صحیح پروکسی و فایروال UserGate و/یا همکاری خدمات شخص ثالث و ما استفاده از آن را با هم توصیه نمی کنیمبا خدمات در دروازه، که نقش های زیر را انجام می دهد:

  • است کنترل کننده دامنه
  • یک هایپروایزر ماشین مجازی است
  • است سرور ترمینال
  • به عنوان یک سرور DBMS/DNS/HTTP پر بار و غیره عمل می کند.
  • به عنوان یک سرور SIP عمل می کند
  • خدمات یا خدمات مهم تجاری را انجام می دهد
  • همه موارد بالا

UserGate Proxy&Firewall ممکن است در حال حاضر با انواع نرم افزارهای زیر در تضاد باشد:

  • همه بدون استثنا شخص ثالثراه حل های فایروال/فایروال
  • محصولات آنتی ویروس بیت دیفندر
  • ماژول های آنتی ویروس که عملکرد فایروال یا ضد هکر اکثر محصولات ضد ویروس را انجام می دهند. توصیه می شود این ماژول ها را غیرفعال کنید
  • ماژول‌های آنتی ویروس که داده‌های ارسال شده از طریق پروتکل‌های HTTP/SMTP/POP3 را اسکن می‌کنند؛ این ممکن است باعث تأخیر در هنگام کار فعال از طریق یک پروکسی شود.
  • شخص ثالث محصولات نرم افزاری، که قادر به رهگیری داده ها از آداپتورهای شبکه - "سرعت سنج" ، "شکل دهنده ها" و غیره هستند.
  • نقش فعال ویندوز سرور "مسیریابی و دسترسی از راه دور" در حالت NAT/Internet Connection Sharing (ICS)

توجه!در حین نصب، توصیه می شود پشتیبانی از پروتکل IPv6 را در دروازه غیرفعال کنید، مشروط بر اینکه برنامه هایی که از IPv6 استفاده می کنند استفاده نشوند. اجرای فعلی UserGate Proxy&Firewall از پروتکل IPv6 پشتیبانی نمی کند و بر این اساس فیلترینگ این پروتکل انجام نمی شود. بنابراین، میزبان می‌تواند از خارج از طریق پروتکل IPv6 حتی با فعال کردن قوانین فایروال منع کننده قابل دسترسی باشد.

هنگامی که به درستی پیکربندی شود، UserGate Proxy&Firewall با خدمات زیر سازگار است:

نقش های مایکروسافت ویندوز سرور:

  • سرور DNS
  • سرور DHCP
  • سرور چاپ
  • سرور فایل (SMB).
  • سرور برنامه های کاربردی
  • سرور WSUS
  • وب سرور
  • سرور WINS
  • سرور VPN

و با محصولات شخص ثالث:

  • سرورهای FTP/SFTP
  • سرورهای پیام رسانی - IRC/XMPP

هنگام نصب UserGate Proxy&Firewall، مطمئن شوید که نرم افزار شخص ثالث از پورت یا پورت هایی که UserGate Proxy&Firewall می تواند استفاده کند استفاده نمی کند. به طور پیش فرض، UserGate از پورت های زیر استفاده می کند:

  • 25 - پروکسی SMTP
  • 80 - پروکسی HTTP شفاف
  • 110 - پروکسی POP3
  • 2345 - کنسول مدیر UserGate
  • 5455 - سرور VPN UserGate
  • 5456 - مشتری مجوز UserGate
  • 5458 - ارسال DNS
  • 8080 - پروکسی HTTP
  • 8081 - آمار وب UserGate

همه پورت ها را می توان با استفاده از کنسول مدیر UserGate تغییر داد.

نصب برنامه و انتخاب دیتابیس برای کار

جادوگر راه اندازی پروکسی یوزر گیت و فایروال

شرح مفصل تری از تنظیم قوانین NAT در این مقاله توضیح داده شده است:

عامل یوزر گیت

پس از نصب UserGate Proxy & Firewall لزوماراه اندازی مجدد دروازه پس از مجوز در سیستم، نماد UserGate در نوار وظیفه ویندوز در کنار ساعت باید سبز شود. اگر آیکون خاکستری است، به این معنی است که در مراحل نصب خطایی رخ داده است و سرویس سرور UserGate Proxy&Firewall اجرا نمی شود، در این مورد به بخش مربوطه از پایگاه دانش Entensys مراجعه کنید یا به پشتیبانی فنیشرکت Entensys.

این محصول از طریق کنسول مدیریت پروکسی و فایروال UserGate پیکربندی می‌شود، که می‌توان آن را با دوبار کلیک کردن روی نماد عامل UserGate یا روی میانبر از منوی Start فراخوانی کرد.
هنگامی که کنسول مدیریت را راه اندازی می کنید، اولین قدم ثبت محصول خود است.

تنظیمات عمومی

در قسمت تنظیمات عمومی کنسول Administrator، رمز عبور را برای کاربر Administrator تنظیم کنید. مهم!از کاراکترهای خاص یونیکد یا پین محصول به عنوان رمز عبور برای دسترسی به کنسول مدیریت استفاده نکنید.

محصول UserGate Proxy&Firewall دارای مکانیسم حفاظت از حمله، همچنین می توانید آن را در منوی "تنظیمات عمومی" فعال کنید. مکانیسم حفاظت از حمله یک مکانیسم فعال است، نوعی "دکمه قرمز" که روی همه رابط ها کار می کند. توصیه می‌شود در صورت حملات DDoS یا آلودگی انبوه رایانه‌های درون شبکه محلی با بدافزار (ویروس‌ها/کرم‌ها/برنامه‌های بات‌نت) از این عملکرد استفاده کنید. مکانیسم حفاظت از حمله می‌تواند کاربرانی را که از کلاینت‌های اشتراک‌گذاری فایل استفاده می‌کنند مسدود کند - تورنت‌ها، اتصال مستقیم، برخی از انواع سرویس‌گیرنده/سرورهای VoIP که به طور فعال ترافیک را مبادله می‌کنند. برای دریافت آدرس IP رایانه های مسدود شده، فایل را باز کنید ProgramData\Entensys\Usergate6\logging\fw.logیا اسناد و تنظیمات\همه کاربران\داده های برنامه\Entensys\Usergate6\logging\fw.log.

توجه!توصیه می شود پارامترهای شرح داده شده در زیر را تنها زمانی تغییر دهید مقادیر زیادمشتریان/نیازهای بالا برای پهنای بانددروازه

این بخش همچنین شامل تنظیمات زیر است: "حداکثر تعداد اتصالات" - حداکثر تعداد اتصالات از طریق NAT و از طریق پروکسی UserGate Proxy&Firewall.

"حداکثر تعداد اتصالات NAT" - حداکثر تعداد اتصالاتی که UserGate Proxy&Firewall می تواند از طریق درایور NAT عبور کند.

اگر تعداد مشتریان بیش از 200-300 نباشد، توصیه نمی شود تنظیمات "حداکثر تعداد اتصالات" و "حداکثر تعداد اتصالات NAT" را تغییر دهید. افزایش این پارامترها می تواند منجر به بار قابل توجهی بر روی سخت افزار دروازه شود و تنها زمانی توصیه می شود که تنظیمات برای تعداد زیادی از مشتریان بهینه شود.

رابط ها

توجه!قبل از انجام این کار، حتما تنظیمات آداپتور شبکه خود را در ویندوز بررسی کنید! رابط متصل به شبکه محلی (LAN) نباید حاوی آدرس دروازه باشد! نیازی به تعیین سرورهای DNS در تنظیمات آداپتور LAN نیست، آدرس IP باید به صورت دستی اختصاص داده شود؛ ما دریافت آن را با استفاده از DHCP توصیه نمی کنیم.

آدرس IP آداپتور LAN باید یک آدرس IP خصوصی داشته باشد. استفاده از آدرس IP از محدوده های زیر قابل قبول است:

10.0.0.0 - 10.255.255.255 (پیش شماره 10/8) 172.16.0.0 - 172.31.255.255 (پیش شماره 172.16/12) 192.168.0.0 - 192.16.165) (192.16.0.0)

توزیع آدرس های شبکه خصوصی در شرح داده شده است RFC 1918 .

استفاده از محدوده های دیگر به عنوان آدرس برای شبکه محلی منجر به خطا در عملکرد UserGate Proxy & Firewall می شود.

رابط متصل به اینترنت (WAN) باید حاوی آدرس IP، ماسک شبکه، آدرس دروازه و آدرس های سرور DNS باشد.
استفاده از بیش از سه سرور DNS در تنظیمات آداپتور WAN توصیه نمی شود، این می تواند منجر به خطا در عملکرد شبکه شود. ابتدا عملکرد هر سرور DNS را با استفاده از دستور nslookup در کنسول cmd.exe بررسی کنید، به عنوان مثال:

nslookup usergate.ru 8.8.8.8

که در آن 8.8.8.8 آدرس سرور DNS است. پاسخ باید حاوی آدرس IP سرور درخواستی باشد. اگر پاسخی وجود نداشته باشد، سرور DNS معتبر نیست یا ترافیک DNS مسدود شده است.

تعیین نوع رابط ها ضروری است. رابط با یک آدرس IP که به شبکه داخلی متصل است باید از نوع LAN باشد. رابطی که به اینترنت متصل است - WAN.

اگر چندین رابط WAN وجود دارد، باید رابط اصلی WAN را انتخاب کنید که تمام ترافیک از طریق آن با کلیک راست روی آن و انتخاب «تنظیم به عنوان اتصال اصلی» جریان یابد. اگر قصد دارید از رابط WAN دیگری به عنوان کانال پشتیبان استفاده کنید، توصیه می کنیم از "Setup Wizard" استفاده کنید.

توجه!هنگام تنظیم یک اتصال پشتیبان، توصیه می شود نام میزبان DNS را تعیین نکنید، بلکه آدرس IP را مشخص کنید تا UserGate Proxy&Firewall به صورت دوره ای آن را با استفاده از درخواست های icmp (پینگ) نظرسنجی کند و در صورت عدم پاسخگویی، اتصال پشتیبان را روشن کند. مطمئن شوید که سرورهای DNS در تنظیمات آداپتور پشتیبان شبکه در ویندوز کار می کنند.

کاربران و گروه ها

برای اینکه کامپیوتر کلاینت به گیت‌وی وارد شود و به سرویس‌های UserGate Proxy&Firewall و NAT دسترسی پیدا کند، لازم است کاربران اضافه شوند. برای ساده کردن این روش، از عملکرد اسکن - "اسکن شبکه محلی" استفاده کنید. UserGate Proxy&Firewall به طور مستقل شبکه محلی را اسکن می کند و لیستی از میزبان ها را ارائه می دهد که می توانند به لیست کاربران اضافه شوند. در مرحله بعد، می توانید گروه هایی ایجاد کنید و کاربران را در آنها بگنجانید.

اگر یک کنترل کننده دامنه مستقر کرده اید، می توانید همگام سازی گروه ها با گروه های موجود در اکتیو دایرکتوری را پیکربندی کنید، یا کاربران را از اکتیو دایرکتوری وارد کنید، بدون همگام سازی ثابت با اکتیو دایرکتوری.

ما گروهی ایجاد می کنیم که با گروه یا گروه های AD همگام می شود، داده های لازم را در منوی "Synchronization with AD" وارد می کنیم و با استفاده از عامل UserGate سرویس UserGate را مجددا راه اندازی می کنیم. بعد از 300 ثانیه کاربران به طور خودکار به گروه وارد می شوند. روش احراز هویت این کاربران روی AD تنظیم می شود.

دیواره آتش

برای صحیح و کار ایمندروازه مورد نیاز لزومافایروال را پیکربندی کنید

الگوریتم عملیات دیوار آتش زیر توصیه می شود: تمام ترافیک را مسدود کنید و سپس قوانین مجاز را در جهت های لازم اضافه کنید. برای انجام این کار، قانون #NONUSER# باید روی حالت "Deny" تنظیم شود (این کار تمام ترافیک محلی در دروازه را ممنوع می کند). با دقت!اگر UserGate Proxy & Firewall را از راه دور پیکربندی کنید، ارتباط شما با سرور قطع خواهد شد. سپس باید قوانین مجاز ایجاد کنید.

ما با ایجاد قوانینی با پارامترهای زیر به تمام ترافیک محلی، در همه پورت ها از دروازه به شبکه محلی و از شبکه محلی به دروازه اجازه می دهیم:

منبع - "LAN"، مقصد - "Any"، خدمات - ANY:FULL، اقدام - "Allow"
منبع - "Any"، مقصد - "LAN"، خدمات - ANY:FULL، اقدام - "Allow"

سپس یک قانون ایجاد می کنیم که دسترسی به اینترنت را برای دروازه باز می کند:

منبع - "WAN"؛ مقصد - "هر"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"

اگر نیاز به اجازه دسترسی برای اتصالات ورودی در همه پورت ها به دروازه دارید، قانون به این صورت خواهد بود:

منبع - "هر"؛ مقصد - "WAN"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"

و اگر برای پذیرش اتصالات ورودی، به عنوان مثال، فقط از طریق RDP (TCP:3389) به دروازه نیاز دارید، و می توان آن را از بیرون پینگ کرد، باید قانون زیر را ایجاد کنید:

منبع - "هر"؛ مقصد - "WAN"؛ خدمات - هر ICMP، RDP؛ اقدام - "اجازه دادن"

در سایر موارد، به دلایل امنیتی، ایجاد یک قانون برای اتصالات ورودی ضروری نیست.

برای اینکه کامپیوترهای مشتری به اینترنت دسترسی داشته باشند، باید یک قانون ترجمه آدرس شبکه (NAT) ایجاد کنید.

منبع - "LAN"؛ مقصد - "WAN"؛ خدمات - ANY:FULL; اقدام - "اجازه دادن"؛ کاربران یا گروه هایی را که می خواهید به آنها اجازه دسترسی بدهید، انتخاب کنید.

این امکان وجود دارد که قوانین فایروال را پیکربندی کنید - برای اجازه دادن به آنچه به وضوح ممنوع است و برعکس، برای ممنوع کردن آنچه به وضوح مجاز است، بسته به نحوه پیکربندی قانون #NON_USER# و سیاست شرکت شما. همه قوانین دارای اولویت هستند - قوانین به ترتیب از بالا به پایین کار می کنند.

گزینه های تنظیمات مختلف و نمونه هایی از قوانین فایروال را می توان مشاهده کرد.

تنظیمات دیگر

در مرحله بعد، در بخش Services - Proxy، می توانید سرورهای پروکسی لازم - HTTP، FTP، SMTP، POP3، SOCKS را فعال کنید. رابط های مورد نیاز را انتخاب کنید؛ فعال کردن گزینه “Listen on all interfaces” ممکن است ایمن نباشد، زیرا پروکسی در این مورد هم در رابط های LAN و هم در رابط های خارجی در دسترس خواهد بود. حالت پروکسی "شفاف" تمام ترافیک پورت انتخاب شده را به پورت پراکسی هدایت می کند؛ در این حالت، نیازی به تعیین پراکسی در رایانه های مشتری نیست. پروکسی همچنین در پورت مشخص شده در تنظیمات خود سرور پراکسی در دسترس باقی می ماند.

اگر حالت پروکسی شفاف روی سرور فعال باشد (سرویس ها - تنظیمات پروکسی)، کافی است سرور UserGate را به عنوان دروازه اصلی در تنظیمات شبکه در دستگاه مشتری مشخص کنید. همچنین می توانید سرور UserGate را به عنوان سرور DNS تعیین کنید؛ در این صورت باید فعال باشد.

اگر حالت شفاف بر روی سرور غیرفعال است، باید آدرس سرور UserGate و پورت پروکسی مربوطه را که در Services - تنظیمات پروکسی در تنظیمات اتصال مرورگر مشخص شده است، وارد کنید. می توانید نمونه ای از راه اندازی سرور یوزر گیت برای چنین موردی را مشاهده کنید.

اگر شبکه شما دارای یک سرور DNS پیکربندی شده است، می توانید آن را در تنظیمات انتقال DNS UserGate و تنظیمات آداپتور WAN UserGate مشخص کنید. در این حالت، هم در حالت NAT و هم در حالت پروکسی، تمامی درخواست های DNS به این سرور هدایت می شوند.