Bilješka: Ovaj članak je uređen, dopunjen relevantnim podacima i dodatnim poveznicama.

UserGate proxy i vatrozid je internetski pristupnik klase UTM (Unified Threat Management) koji vam omogućuje pružanje i kontrolu općeg pristupa zaposlenika internetskim resursima, filtriranje zlonamjernih, opasnih i neželjenih stranica, zaštitu mreže tvrtke od vanjskih upada i napada, stvaranje virtualnih mreža i organiziranje siguran VPN pristup mrežnim resursima izvana, kao i upravljanje propusnošću i internetskim aplikacijama.

Proizvod je učinkovita alternativa skupom softveru i hardver a namijenjen je za korištenje u malim i srednjim poduzećima, u javne institucije, kao i velike organizacije s granskom strukturom.

svi Dodatne informacije o proizvodu možete pronaći.

Program ima dodatne plaćene module:

• kaspersky antivirus
• panda antivirus
• Avira Antivirus
• Entensys URL filtriranje

Svaki modul je licenciran na jednu kalendarsku godinu. Rad svih modula možete isprobati u probnom ključu koji se može osigurati na razdoblje od 1 do 3 mjeseca za neograničeni broj korisnika.

Možete pročitati više o pravilima licenciranja.

Za sva pitanja vezana uz kupnju Entensys rješenja obratite se na: sal [e-mail zaštićen] ili nazovite besplatni telefon: 8-800-500-4032.

Zahtjevi sustava

Da biste organizirali gateway, potrebno vam je računalo ili poslužitelj koji mora ispunjavati sljedeće sistemske zahtjeve:

• CPU frekvencija: od 1,2 GHz
• Veličina RAM-a: od 1024 Gb
• Kapacitet HDD-a: od 80 GB
• Broj mrežnih adaptera: 2 ili više

Što je veći broj korisnika (u odnosu na 75 korisnika), to bi performanse poslužitelja trebale biti veće.

Preporučamo instalaciju našeg proizvoda na računalo s "čistim" poslužiteljskim operativnim sustavom, preporučeni operativni sustav je Windows 2008/2012.
Ne jamčimo ispravan rad UserGate Proxy&Firewalla i/ili zajednički rad usluga trećih strana i ne preporučujemo dijeljenje s uslugama na pristupniku, koji obavlja sljedeće uloge:

• Je kontroler domene
• Je hipervizor virtualnog stroja
• Je terminalski poslužitelj
• Djeluje kao visoko opterećen DBMS/DNS/HTTP poslužitelj, itd.
• Djeluje kao SIP poslužitelj
• Obavlja poslovno ključne usluge ili usluge
• Sve od navedenog

UserGate Proxy&Firewall trenutno može biti u sukobu sa sljedećim vrstama softvera:

• Sve bez iznimke Treća strana Vatrozid/rješenja za vatrozid
• BitDefenderovi antivirusni proizvodi
• Antivirusni moduli koji obavljaju funkciju Vatrozida ili "Anti-Hakera" većine antivirusnih proizvoda. Preporuča se onemogućiti ove module
• Antivirusni moduli koji provjeravaju podatke koji se prenose putem HTTP/SMTP/POP3 protokola, to može uzrokovati kašnjenje kada aktivno rade preko proxyja
• Treća strana softverski proizvodi, koji su sposobni presresti podatke s mrežnih adaptera - "mjerači brzine", "oblikovači" itd.
• Aktivna uloga Windows Servera "Usmjeravanje i udaljeni pristup" u načinu NAT/dijeljenja internetske veze (ICS)

Pažnja! Tijekom instalacije preporuča se onemogućiti podršku IPv6 protokola na pristupniku, pod uvjetom da se ne koriste aplikacije koje koriste IPv6. Trenutna implementacija UserGate Proxy&Firewall ne podržava IPv6 protokol i, sukladno tome, ovaj protokol nije filtriran. Stoga se do glavnog računala može doći izvana preko IPv6 protokola čak i ako su aktivirana pravila zabrane vatrozida.

Kada je ispravno konfiguriran, UserGate Proxy&Firewall je kompatibilan sa sljedećim uslugama:

Uloge Microsoft Windows Servera:

• DNS poslužitelj
• DHCP poslužitelj
• Ispisni poslužitelj
• Datotečni (SMB) poslužitelj
• Poslužitelj aplikacija
• WSUS poslužitelj
• WEB poslužitelj
• WINS poslužitelj
• VPN poslužitelj

I s proizvodima trećih strana:

• FTP/SFTP poslužitelji
• Poslužitelji za razmjenu poruka - IRC/XMPP

Kada instalirate UserGate Proxy&Firewall, provjerite da softver treće strane ne koristi port ili portove koje UserGate Proxy&Firewall može koristiti. Prema zadanim postavkama, UserGate koristi sljedeće priključke:

• 25 - SMTP proxy
• 80 - transparentni HTTP proxy
• 110 - POP3 proxy
• 2345 - Administratorska konzola UserGate
• 5455 - UserGate VPN poslužitelj
• 5456 - UserGate autorizacijski klijent
• 5458 - DNS prosljeđivanje
• 8080 - HTTP proxy
• 8081 - UserGate web statistika

Svi se priključci mogu promijeniti pomoću administratorske konzole UserGate.

Instalacija programa i odabir baze podataka za rad

Čarobnjak za konfiguraciju proxyja i vatrozida UserGate

Detaljniji opis postavljanja NAT pravila opisan je u ovom članku:

UserGate agent

Nakon instaliranja UserGate Proxy&Firewall Obavezno ponovno pokrenite pristupnik. Nakon autorizacije u sustavu, na Windows programskoj traci pored sata, ikona UserGate agenta trebala bi pozelenjeti. Ako je ikona siva, to znači da je došlo do pogreške tijekom procesa instalacije i usluga poslužitelja UserGate Proxy&Firewall nije pokrenuta, u tom slučaju pogledajte odgovarajući odjeljak Entensys baze znanja ili na tehnička podrška Tvrtka Entensys.

Proizvod se konfigurira putem administratorske konzole UserGate Proxy&Firewall, koja se može pozvati dvostrukim klikom na ikonu UserGate agenta ili klikom na prečac iz izbornika Start.
Kada pokrenete administratorsku konzolu, prvi korak je registracija proizvoda.

Opće postavke

U odjeljku Opće postavke na Administratorskoj konzoli postavite lozinku za korisnika Administrator. Važno! Nemojte koristiti Unicode posebne znakove ili PIN proizvoda kao lozinku za pristup administratorskoj konzoli.

Proizvod UserGate Proxy&Firewall ima zaštitni mehanizam od napada, također ga možete aktivirati u izborniku "Opće postavke". Mehanizam zaštite od napada je aktivni mehanizam, svojevrsni "crveni gumb" koji radi na svim sučeljima. Preporuča se koristiti ovu funkciju u slučaju DDoS napada ili masovne infekcije računala malware-om (virusi/crvi/botnet aplikacije) unutar lokalne mreže. Mehanizam zaštite od napada može blokirati korisnike koji koriste klijente za dijeljenje datoteka - torrente, izravnu vezu, neke vrste VoIP klijenata/poslužitelja koji aktivno razmjenjuju promet. Da biste dobili IP adrese blokiranih računala, otvorite datoteku ProgramData\Entensys\Usergate6\logging\fw.log ili Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log.

Pažnja! Dolje opisane parametre preporuča se mijenjati samo ako postoji veliki broj klijenata / visoki zahtjevi propusnost pristupnik.

Ovaj odjeljak također sadrži sljedeće postavke: "Max connections" - najveći broj svih veza kroz NAT i kroz UserGate Proxy&Firewall.

"Maksimalni broj NAT veza" - najveći broj veza koje UserGate Proxy&Firewall može proći kroz NAT upravljački program.

Ako broj klijenata nije veći od 200-300, tada se postavke "Maksimalni broj veza" i "Maksimalni broj NAT veza" ne bi trebale mijenjati. Povećanje ovih parametara može dovesti do značajnog opterećenja opreme pristupnika i preporučuje se samo ako su postavke optimizirane za veliki broj klijenata.

sučelja

Pažnja! Prije nego što to učinite, svakako provjerite postavke mrežnog adaptera u sustavu Windows! Sučelje spojeno na lokalnu mrežu (LAN) ne smije sadržavati adresu pristupnika! Nije potrebno navesti DNS poslužitelje u postavkama LAN adaptera, IP adresa se mora dodijeliti ručno, ne preporučujemo dobivanje pomoću DHCP-a.

IP adresa LAN adaptera mora biti privatna IP adresa. prihvatljivo je koristiti IP adresu iz sljedećih raspona:

10.0.0.0 - 10.255.255.255 (prefiks 10/8) 172.16.0.0 - 172.31.255.255 (prefiks 172.16/12) 192.168.0.0 - 192.168.255.255 (prefiks 192.168/16)

Dodjela privatnih mrežnih adresa opisana je u RFC 1918 .

Korištenje drugih raspona kao adresa za lokalnu mrežu dovest će do pogrešaka u radu UserGate proxyja i vatrozida.

Sučelje spojeno na Internet (WAN) mora sadržavati IP adresu, mrežnu masku, adresu pristupnika i adrese DNS poslužitelja.
Ne preporučuje se korištenje više od tri DNS poslužitelja u postavkama WAN adaptera, to može dovesti do mrežnih pogrešaka. Prvo provjerite ispravnost svakog DNS poslužitelja pomoću naredbe nslookup u konzoli cmd.exe, primjer:

nslookup usergate.ru 8.8.8.8

gdje je 8.8.8.8 adresa DNS poslužitelja. Odgovor bi trebao sadržavati IP adresu traženog poslužitelja. Ako nema odgovora, tada DNS poslužitelj nije valjan ili je DNS promet blokiran.

Morate definirati vrstu sučelja. Sučelje s IP adresom koje je spojeno na internu mrežu mora biti tipa LAN; sučelje koje je spojeno na Internet – WAN.

Ako postoji više WAN sučelja, tada je potrebno odabrati glavno WAN sučelje kroz koje će ići sav promet tako da na njega kliknete desnom tipkom miša i odaberete "Postavi kao glavnu vezu". Ako planirate koristiti drugo WAN sučelje kao rezervni kanal, preporučujemo korištenje "Čarobnjaka za postavljanje".

Pažnja! Kada konfigurirate pričuvnu vezu, preporuča se da navedete ne ime DNS hosta, već IP adresu tako da je UserGate Proxy&Firewall povremeno provjerava pomoću icmp(ping) zahtjeva i uključuje rezervnu vezu ako nema odgovora. Provjerite jesu li DNS poslužitelji u postavkama Network Backup Adaptera u sustavu Windows ispravni.

Korisnici i grupe

Kako bi klijentsko računalo bilo autorizirano na pristupniku i pristupilo uslugama UserGate Proxy&Firewall i NAT, morate dodati korisnike. Kako biste pojednostavili ovaj postupak, koristite funkciju skeniranja - "Skeniraj lokalnu mrežu". UserGate Proxy&Firewall će automatski skenirati lokalnu mrežu i dati popis hostova koji se mogu dodati na popis korisnika. Zatim možete stvoriti grupe i uključiti korisnike u njih.

Ako imate instaliran kontroler domene, tada možete postaviti sinkronizaciju grupa s grupama u Active Directoryju ili uvesti korisnike iz Active Directoryja, bez stalne sinkronizacije s Active Directoryjem.

Kreiramo grupu koja će se sinkronizirati s grupom ili grupama iz AD-a, unosimo potrebne podatke u izbornik "Sinkroniziraj s AD-om" i ponovno pokrećemo uslugu UserGate pomoću UserGate agenta. Nakon 300 sek. korisnici se automatski uvoze u grupu. Ovi će korisnici imati metodu autorizacije postavljenu na AD.

Vatrozid

Za ispravan i siguran rad potreban pristupnik Obavezno konfigurirajte vatrozid.

Preporuča se sljedeći algoritam rada vatrozida: zabranite sav promet, a zatim dodajte dopuštajuća pravila u potrebnim smjerovima. Da biste to učinili, pravilo #NONUSER# mora biti postavljeno na način rada "Odbij" (ovo će zabraniti sav lokalni promet na pristupniku). Pažljivo! Ako daljinski konfigurirate UserGate Proxy&Firewall, uslijedit će prekid veze s poslužiteljem. Zatim morate stvoriti dopuštena pravila.

Dopuštamo sav lokalni promet, na svim portovima od gatewaya do lokalne mreže i od lokalne mreže do gatewaya, kreiranjem pravila sa sljedećim parametrima:

Izvor - "LAN", odredište - "Bilo koji", usluge - ANY:FULL, akcija - "Dopusti"
Izvor - "Bilo koji", odredište - "LAN", usluge - ANY:FULL, akcija - "Dopusti"

Zatim kreiramo pravilo koje će otvoriti pristup Internetu za gateway:

Izvor - "WAN"; odredište - "Bilo koje"; usluge - ANY:FULL; akcija - "Dopusti"

Ako trebate dopustiti pristup dolaznim vezama na svim priključcima do gatewaya, tada će pravilo izgledati ovako:

Izvor - "Bilo koji"; odredište - "WAN"; usluge - ANY:FULL; akcija - "Dopusti"

A ako vam je potrebno da pristupnik prihvaća dolazne veze, na primjer, samo putem RDP-a (TCP:3389), a može se pingati izvana, tada morate stvoriti sljedeće pravilo:

Izvor - "Bilo koji"; odredište - "WAN"; usluge - Bilo koji ICMP, RDP; akcija - "Dopusti"

U svim drugim slučajevima, iz sigurnosnih razloga, ne morate stvoriti pravilo za dolazne veze.

Da biste klijentskim računalima omogućili pristup Internetu, morate stvoriti pravilo prijevoda mrežne adrese (NAT).

Izvor - "LAN"; odredište - "WAN"; usluge - ANY:FULL; akcija - "Dopusti"; Odaberite korisnike ili grupe kojima želite dodijeliti pristup.

Moguće je konfigurirati firewall pravila - da dopusti ono što je izričito zabranjeno i obrnuto, da zabrani ono što je izričito dopušteno, ovisno o tome kako konfigurirate #NON_USER# pravilo i kakvu politiku imate u tvrtki. Sva pravila imaju prioritet - pravila rade odozgo prema dolje.

Mogu se pogledati opcije za razne postavke i primjeri pravila vatrozida.

Ostale postavke

Nadalje, u odjeljku usluge - proxy, možete omogućiti potrebne proxy poslužitelje - HTTP, FTP, SMTP, POP3, SOCKS. Odaberite željena sučelja, omogućavanje opcije "slušaj na svim sučeljima" bit će nesigurno jer proxy će u ovom slučaju biti dostupan i na LAN sučeljima i na vanjskim sučeljima. "Transparentni" proxy način usmjerava sav promet na odabranom portu na proxy port, u kojem slučaju nije potrebno navesti proxy na klijentskim računalima. Proxy također ostaje dostupan na portu navedenom u postavkama samog proxy poslužitelja.

Ako je na poslužitelju omogućen transparentni proxy način (Usluge - Proxy postavke), tada je dovoljno navesti UserGate poslužitelj kao glavni pristupnik u postavkama mreže na klijentskom računalu. Poslužitelj UserGate također možete odrediti kao DNS poslužitelj, u ovom slučaju mora biti omogućen.

Ako je transparentni način rada onemogućen na poslužitelju, trebate navesti adresu poslužitelja UserGate i odgovarajući proxy port naveden u Services - Proxy postavke u postavkama veze preglednika. Možete vidjeti primjer postavljanja UserGate poslužitelja za takav slučaj.

Ako vaša mreža ima konfiguriran DNS poslužitelj, možete ga navesti u postavkama UserGate DNS prosljeđivanja i postavkama UserGate WAN adaptera. U ovom slučaju, iu NAT načinu rada iu proxy načinu rada, svi DNS upiti bit će usmjereni na ovaj poslužitelj.

Dijeljenje pristupa Internetu među korisnicima lokalne mreže jedan je od najčešćih zadataka s kojima se moraju suočiti administratori sustava. Ipak, još uvijek izaziva mnoge poteškoće i pitanja. Na primjer - kako osigurati maksimalnu sigurnost i potpunu upravljivost?

Uvod

Danas ćemo pobliže pogledati kako organizirati dijeljenje interneta za zaposlenike hipotetske tvrtke. Pretpostavimo da će njihov broj biti u rasponu od 50-100 ljudi, au lokalnoj mreži su raspoređeni svi uobičajeni servisi za takve informacijske sustave: Windows domena, vlastiti mail poslužitelj, FTP poslužitelj.

Kako bismo omogućili dijeljenje, koristit ćemo rješenje pod nazivom UserGate Proxy & Firewall. Ima nekoliko značajki. Prvo, ovo je čisto ruski razvoj, za razliku od mnogih lokaliziranih proizvoda. Drugo, ima više od deset godina povijesti. Ali najvažnije je konstantan razvoj proizvoda.

Prve verzije ovog rješenja bile su relativno jednostavne proxy poslužitelje koji su mogli dijeliti samo jednu internetsku vezu i voditi statistiku njezine upotrebe. Najrasprostranjeniji među njima bio je build 2.8, koji se još uvijek može naći u malim uredima. Sami programeri najnoviju, šestu verziju više ne nazivaju proxy poslužiteljem. Prema njihovim riječima, radi se o potpunom UTM rješenju koje pokriva čitav niz zadataka vezanih uz sigurnost i kontrolu radnji korisnika. Da vidimo je li tako.

Uvođenje UserGate proxyja i vatrozida

Tijekom instalacije zanimljive su dvije faze (preostali koraci su standardni za instalaciju bilo kojeg softvera). Prvi je izbor komponenti. Uz osnovne datoteke, pozvani smo da instaliramo još četiri poslužiteljske komponente - VPN, dva antivirusa (Panda i Kaspersky Anti-Virus) i cache preglednik.

Modul VPN poslužitelja instalira se prema potrebi, odnosno kada tvrtka planira koristiti udaljeni pristup za zaposlenike ili kombinirati više udaljenih mreža. Antiviruse ima smisla instalirati samo ako su od tvrtke kupljene odgovarajuće licence. Njihova prisutnost omogućit će skeniranje internetskog prometa, lokalizaciju i blokiranje zlonamjernog softvera izravno na pristupniku. Cache Browser omogućit će vam pregled web stranica koje je predmemorirao proxy poslužitelj.

Dodatne funkcije

Zabrana neželjenih stranica

Rješenje podržava tehnologiju Entensys URL Filtering. Zapravo, to je baza podataka temeljena na oblaku koja sadrži više od 500 milijuna stranica na različitim jezicima, podijeljenih u više od 70 kategorija. Njegova glavna razlika je stalni nadzor, tijekom kojeg se web projekti stalno prate i kada se sadržaj promijeni, prebacuju se u drugu kategoriju. To vam omogućuje da zabranite sve neželjene stranice s visokim stupnjem točnosti, jednostavnim odabirom određenih kategorija.

Korištenje Entensys URL Filteringa povećava sigurnost rada na Internetu, a također poboljšava učinkovitost zaposlenika (zbog zabrane društvene mreže, stranice za zabavu itd.). Međutim, njegovo korištenje zahtijeva plaćenu pretplatu koja se mora obnavljati svake godine.

Osim toga, distribucija uključuje još dvije komponente. Prva je "Administratorska konzola". Ovo je zasebna aplikacija dizajnirana, kao što naziv implicira, za upravljanje UserGate Proxy & Firewall poslužiteljem. Njegova glavna značajka je mogućnost povezivanja na daljinu. Stoga administratori ili osobe odgovorne za korištenje interneta ne trebaju izravan pristup internetskom pristupniku.

Druga dodatna komponenta je web statistika. U biti, to je web poslužitelj koji vam omogućuje prikaz detaljne statistike korištenja globalna mreža zaposlenici tvrtke. S jedne strane, to je, bez sumnje, korisna i praktična komponenta. Uostalom, omogućuje vam primanje podataka bez instaliranja dodatnog softvera, uključujući i putem Interneta. No, s druge strane, zauzima dodatne sistemske resurse internetskog pristupnika. Stoga ga je bolje instalirati samo kada je stvarno potreban.

Drugi korak na koji biste trebali obratiti pozornost tijekom instalacije UserGate Proxy & Firewall je odabir baze podataka. U prethodnim verzijama UGPF je mogao funkcionirati samo s MDB datotekama, što je utjecalo na performanse sustava u cjelini. Sada postoji izbor između dva DBMS-a - Firebird i MySQL. Štoviše, prvi je uključen u distribucijski komplet, tako da pri odabiru nisu potrebne dodatne manipulacije. Ako želite koristiti MySQL, prvo ga morate instalirati i konfigurirati. Nakon završene instalacije komponenti poslužitelja potrebno je pripremiti radna mjesta administratora i ostalih odgovornih djelatnika koji mogu upravljati korisničkim pristupom. To je vrlo jednostavno učiniti. Dovoljno je instalirati administratorsku konzolu na svoja radna računala iz iste distribucije.

Dodatne funkcije

Ugrađeni VPN poslužitelj

Verzija 6.0 uvela je komponentu VPN poslužitelja. Uz njegovu pomoć možete organizirati siguran udaljeni pristup zaposlenika tvrtke lokalnoj mreži ili kombinirati udaljene mreže pojedinih podružnica organizacije u jedinstveni informacijski prostor. Ovaj VPN poslužitelj ima svu potrebnu funkcionalnost za stvaranje tunela poslužitelj-poslužitelj i klijent-poslužitelj te usmjeravanje između podmreža.

Osnovno postavljanje

Sva konfiguracija UserGate proxyja i vatrozida provodi se pomoću upravljačke konzole. Prema zadanim postavkama, nakon instalacije, već ima vezu s lokalnim poslužiteljem. Međutim, ako ga koristite na daljinu, morat ćete ručno stvoriti vezu određivanjem IP adrese internetskog pristupnika ili naziva glavnog računala, mrežnog priključka (2345 prema zadanim postavkama) i parametara autorizacije.

Nakon povezivanja s poslužiteljem, prva stvar koju treba učiniti je konfigurirati mrežna sučelja. To možete učiniti na kartici "Sučelja" u odjeljku "UserGate poslužitelj". Mrežnoj kartici koja "gleda" u lokalnu mrežu postavljamo tip LAN, a svim ostalim vezama - WAN. "Privremenim" vezama, kao što su PPPoE, VPN, automatski se dodjeljuje vrsta PPP.

Ako tvrtka ima dvije ili više WAN veza, od kojih je jedna primarna, a ostale su redundantne, tada možete postaviti automatsku redundanciju. To je vrlo jednostavno. Dovoljno je dodati potrebna sučelja na listu rezervnih, odrediti jedan ili više kontrolnih resursa i vrijeme njihove provjere. Princip rada ovog sustava je sljedeći. UserGate automatski provjerava dostupnost kontrolnih stranica u navedenom intervalu. Čim prestanu odgovarati, proizvod se automatski, bez intervencije administratora, prebacuje na pričuvni kanal. Istodobno se nastavlja provjera dostupnosti kontrolnih resursa na glavnom sučelju. I čim je uspješan, automatski se izvodi povratak. Jedina stvar na koju trebate obratiti pozornost prilikom postavljanja je izbor kontrolnih resursa. Bolje je uzeti nekoliko velikih mjesta, čiji je stabilan rad gotovo zajamčen.

Dodatne funkcije

Kontrola mrežnih aplikacija

UserGate Proxy & Firewall implementira tako zanimljivu značajku kao što je kontrola mrežnih aplikacija. Njegova je svrha spriječiti neovlašteni softver da pristupi Internetu. U sklopu postavki kontrole kreiraju se pravila koja dopuštaju ili blokiraju mrežni rad raznih programa (sa ili bez verzije). Oni mogu odrediti određene odredišne ​​IP adrese i priključke, što vam omogućuje fleksibilnu konfiguraciju pristupa softveru, dopuštajući mu da izvodi samo određene radnje na Internetu.

Kontrola aplikacija omogućuje vam da razvijete jasnu korporativnu politiku o korištenju programa i djelomično spriječite širenje zlonamjernog softvera.

Nakon toga možete nastaviti izravno s postavljanjem proxy poslužitelja. Ukupno ih je sedam implementirano u razmatrano rješenje: za HTTP protokole (uključujući HTTPs), FTP, SOCKS, POP3, SMTP, SIP i H323. Ovo je gotovo sve što može biti potrebno za rad zaposlenika tvrtke na Internetu. Prema zadanim postavkama omogućen je samo HTTP proxy, svi ostali se mogu aktivirati ako je potrebno.

Proxy poslužitelji u UserGate Proxy & Firewall mogu raditi u dva načina - normalnom i transparentnom. U prvom slučaju govorimo o tradicionalnom proxyju. Poslužitelj prima zahtjeve korisnika i prosljeđuje ih vanjskim poslužiteljima, a primljene odgovore prosljeđuje klijentima. Ovo je tradicionalno rješenje, ali ima svoje nedostatke. Posebno je potrebno konfigurirati svaki program koji se koristi za rad na Internetu (Internet preglednik, mail klijent, ICQ itd.) na svakom računalu u lokalnoj mreži. Ovo je, naravno, veliki posao. Štoviše, povremeno, kako se novi softver instalira, on će se ponavljati.

Prilikom odabira transparentnog načina rada koristi se poseban NAT upravljački program koji je uključen u paket isporuke dotičnog rješenja. Sluša odgovarajuće portove (80. za HTTP, 21. za FTP i tako dalje), detektira dolazne zahtjeve na njima i prosljeđuje ih proxy poslužitelju, odakle se šalju dalje. Ovo je rješenje uspješnije u smislu da konfiguracija softvera na klijentskim računalima više nije potrebna. Jedino što je potrebno je navesti IP adresu internetskog pristupnika kao glavnog pristupnika u mrežnoj vezi svih radnih stanica.

Sljedeći korak je postavljanje prosljeđivanja DNS upita. To se može učiniti na dva načina. Najjednostavniji od njih je omogućiti tzv. DNS prosljeđivanje. Kada ga koristite, DNS zahtjevi koji dolaze na internetski pristupnik od klijenata preusmjeravaju se na navedene poslužitelje (može se koristiti kao DNS poslužitelj iz postavki Mrežna veza, ili bilo koje proizvoljne DNS poslužitelje).

Druga opcija je kreiranje NAT pravila koje će primati zahtjeve na 53. (standardni za DNS) port i prosljeđivati ​​ih vanjskoj mreži. Međutim, u ovom slučaju morat ćete ili ručno registrirati DNS poslužitelje na svim računalima u postavkama mrežne veze ili konfigurirati slanje DNS upita putem internetskog pristupnika s poslužitelja kontrolera domene.

upravljanje korisnicima

Nakon dovršetka osnovnog podešavanja možete nastaviti s radom s korisnicima. Morate započeti stvaranjem grupa u koje će se računi naknadno spajati. Čemu služi? Prvo, za naknadnu integraciju s Active Directoryjem. I drugo, možete dodijeliti pravila grupama (o njima ćemo kasnije), čime kontrolirate pristup za veliki broj korisnika odjednom.

Sljedeći korak je dodavanje korisnika u sustav. To se može učiniti na tri različita načina. Prvi od njih, ručno kreiranje svakog računa, niti ne uzimamo u obzir iz očitih razloga. Ova je opcija prikladna samo za male mreže s malim brojem korisnika. Drugi način je skeniranje korporativna mreža ARP zahtjevi, tijekom kojih sustav sam utvrđuje popis mogućih računa. Ipak, mi biramo treću opciju, koja je najoptimalnija u smislu jednostavnosti i lakoće administracije - integracija s Active Directoryjem. Izvodi se na temelju prethodno kreiranih grupa. Prvo morate ispuniti opće postavke integracije: navesti domenu, adresu njezinog kontrolera, korisničko ime i lozinku korisnika s potrebnim pravima pristupa, kao i interval sinkronizacije. Nakon toga, svakoj grupi stvorenoj u UserGateu mora se dodijeliti jedna ili više grupa iz Active Directoryja. Zapravo, postavljanje završava ovdje. Nakon spremanja svih parametara sinkronizacija će se izvršiti automatski.

Korisnici kreirani tijekom autorizacije standardno će koristiti NTLM autorizaciju, odnosno autorizaciju prijavom na domenu. Ovo je vrlo zgodna opcija, budući da će pravila i sustav obračuna prometa funkcionirati bez obzira na kojem računalu korisnik trenutno sjedi.

Istina, za korištenje ove metode autorizacije, dodatni softver- poseban klijent. Ovaj program radi na razini Winsocka i prosljeđuje parametre autorizacije korisnika internetskom pristupniku. Njegov distribucijski komplet uključen je u distribucijski paket UserGate Proxy & Firewall. Možete brzo instalirati klijenta na svim radnim stanicama koristeći pravila grupe Windows.

Usput, autorizacija NTLM-a nije jedina metoda autorizacije zaposlenika tvrtke za rad na Internetu. Na primjer, ako organizacija prakticira čvrsto vezanje radnika na radne stanice, tada možete koristiti IP adresu, MAC adresu ili kombinaciju obje za identifikaciju korisnika. Koristeći iste metode, možete organizirati pristup globalnoj mreži različitih poslužitelja.

Korisnička kontrola

Jedna od značajnih prednosti UGPF-a je široki opseg kontrole korisnika. Provode se pomoću sustava pravila kontrole prometa. Princip njegovog rada je vrlo jednostavan. Administrator (ili druga odgovorna osoba) stvara skup pravila, od kojih svako predstavlja jedan ili više uvjeta okidača i radnju koju treba poduzeti. Ta se pravila dodjeljuju pojedinačnim korisnicima ili njihovim cijelim grupama i omogućuju automatsku kontrolu njihovog rada na internetu. Ukupno su četiri moguće akcije. Prvi je zatvoriti vezu. Omogućuje, na primjer, zabranu preuzimanja određenih datoteka, sprječavanje posjeta neželjenim stranicama i tako dalje. Drugi korak je promjena tarife. Koristi se u sustavu naplate koji je integriran u proizvod koji se razmatra (ne uzimamo ga u obzir jer nije posebno relevantan za korporativne mreže). Sljedeća radnja omogućuje vam da onemogućite brojanje prometa primljenog unutar ove veze. U tom se slučaju preneseni podaci ne uzimaju u obzir pri zbrajanju dnevne, tjedne i mjesečne potrošnje. I na kraju, zadnja radnja je ograničavanje brzine na navedenu vrijednost. Vrlo je prikladno koristiti ga za sprječavanje "začepljenja" kanala prilikom preuzimanja velikih datoteka i rješavanja drugih sličnih problema.

Puno je više uvjeta u prometnim pravilima - desetak. Neki od njih su relativno jednostavni, kao što je maksimalna veličina datoteke. Ovo pravilo će se pokrenuti kada korisnici pokušaju prenijeti datoteku veću od navedene veličine. Ostali uvjeti vezani su za vrijeme. Konkretno, među njima se može primijetiti raspored (pokreće se prema vremenu i danima u tjednu) i praznici (pokreću se određenim danima).

Ipak, najzanimljiviji su uvjeti vezani uz stranice i sadržaj. Konkretno, mogu se koristiti za blokiranje ili postavljanje drugih radnji na određene vrste sadržaja (na primjer, video, audio, izvršne datoteke, tekst, slike itd.), određene web projekte ili njihove cijele kategorije (za ovo, Entensys URL Koristi se tehnologija filtriranja, vidi bočnu traku).

Važno je napomenuti da jedno pravilo može sadržavati nekoliko uvjeta odjednom. Istodobno, administrator može odrediti u kojem slučaju će se izvršiti - ako su ispunjeni svi uvjeti ili neki od njih. To vam omogućuje stvaranje vrlo fleksibilne politike za korištenje interneta od strane zaposlenika tvrtke, uzimajući u obzir veliki broj svakakvih nijansi.

Konfiguracija vatrozida

Sastavni dio upravljačkog programa NAT UserGate je vatrozid, uz njegovu pomoć rješavaju se različiti zadaci vezani uz obradu mrežnog prometa. Za konfiguraciju se koriste posebna pravila koja mogu biti jedna od tri vrste: prijevod mrežne adrese, usmjeravanje i vatrozid. U sustavu može postojati bilo koji broj pravila. Primjenjuju se redom kojim su navedeni opći popis. Stoga, ako dolazni promet odgovara nekoliko pravila, obradit će ga ono koje se nalazi iznad ostalih.

Svako pravilo karakteriziraju tri glavna parametra. Prvi je izvor prometa. To može biti jedan ili više specifičnih hostova, WAN ili LAN sučelje internetskog pristupnika. Drugi parametar je svrha informacija. Ovdje se može odrediti LAN ili WAN sučelje ili dial-up veza. Posljednja glavna karakteristika pravila je jedna ili više usluga na koje se ono odnosi. Usluga u UserGate Proxy & Firewall je par iz obitelji protokola (TCP, UDP, ICMP, proizvoljni protokol) i mrežni priključak (ili niz mrežnih priključaka). Prema zadanim postavkama, sustav već ima impresivan skup unaprijed instaliranih usluga, u rasponu od uobičajenih (HTTP, HTTPs, DNS, ICQ) do specifičnih (WebMoney, RAdmin, razne online igrice i tako dalje). Međutim, ako je potrebno, administrator može kreirati i vlastite usluge, na primjer, opisujući rad s internetskom bankom.

Također, svako pravilo ima radnju koju izvodi s prometom koji odgovara uvjetima. Postoje samo dva od njih: dopustiti ili zabraniti. U prvom slučaju promet se odvija nesmetano navedenom trasom, au drugom slučaju je blokiran.

Pravila prevođenja mrežnih adresa koriste NAT tehnologiju. Uz njihovu pomoć možete konfigurirati pristup Internetu za radne stanice s lokalnim adresama. Da biste to učinili, morate stvoriti pravilo koje navodi LAN sučelje kao izvor i WAN sučelje kao odredište. Pravila usmjeravanja primjenjuju se ako će se predmetno rješenje koristiti kao usmjerivač između dvije lokalne mreže (implementira takvu mogućnost). U ovom slučaju, usmjeravanje se može konfigurirati za dvosmjerni transparentni promet.

Pravila vatrozida koriste se za obradu prometa koji ne ide na proxy poslužitelj, već izravno na internetski pristupnik. Odmah nakon instalacije sustav ima jedno takvo pravilo koje dopušta sve mrežne pakete. U načelu, ako se stvoreni internetski pristupnik neće koristiti kao radna stanica, tada se radnja pravila može promijeniti iz "Dopusti" u "Odbij". U tom će slučaju sve mrežne aktivnosti biti blokirane na računalu, osim tranzitnih NAT paketa koji se prenose s lokalne mreže na Internet i obrnuto.

Pravila vatrozida omogućuju vam objavljivanje bilo kojih lokalnih usluga na globalnoj mreži: web poslužitelja, FTP poslužitelja, poslužitelja e-pošte itd. Istodobno, udaljeni korisnici imaju priliku povezati se s njima putem Interneta. Kao primjer, razmotrite objavljivanje korporativnog FTP poslužitelja. Da bi to učinio, administrator mora stvoriti pravilo u kojem kao izvor odabire "Bilo koje", odredi željeno WAN sučelje kao odredište i FTP kao uslugu. Nakon toga odaberite akciju "Dopusti", omogućite prevođenje prometa i u polju "Adresa odredišta" navedite IP adresu lokalnog FTP poslužitelja i njegov mrežni priključak.

Nakon ove konfiguracije, sve dolazne veze na mrežne kartice internetskog pristupnika na portu 21 bit će automatski preusmjerene na FTP poslužitelj. Usput, tijekom postupka postavljanja možete odabrati ne samo "nativni", već i bilo koju drugu uslugu (ili stvoriti vlastitu). U ovom slučaju, vanjski korisnici morat će kontaktirati ne 21., već na drugom priključku. Ovaj pristup je vrlo koristan u slučajevima kada informacijski sistem postoje dvije ili više usluga iste vrste. Na primjer, možete organizirati vanjski pristup korporativnom portalu na standardnom HTTP priključku 80 i pristup UserGate web statistici na priključku 81.

Vanjski pristup internom poslužitelju e-pošte konfiguriran je na isti način.

Važna značajka razlikovanja implementiranog vatrozida je sustav za sprječavanje upada. Radi potpuno automatski, otkriva neovlaštene pokušaje na temelju potpisa i heurističkih metoda i izravnava ih blokiranjem neželjenih tokova prometa ili prekidanjem opasnih veza.

Sumirati

U ovom smo pregledu dovoljno detaljno ispitali organizaciju zajedničkog pristupa zaposlenika tvrtke Internetu. U modernim uvjetima ovo nije najlakši proces, jer morate uzeti u obzir veliki broj različitih nijansi. Štoviše, važni su i tehnički i organizacijski aspekti, posebice kontrola radnji korisnika.

"UserGate Proxy & Firewall v.6 Administratorski vodič Sadržaj Uvod O programu Sistemski zahtjevi Instalacija UserGate Proxy & Firewall Registracija Ažuriranje..."

-- [ Stranica 1 ] --

UserGate proxy i vatrozid v.6

Administratorski vodič

Uvod

O programu

Zahtjevi sustava

Instaliranje UserGate proxyja i vatrozida

Registracija

Ažuriranje i uklanjanje

UserGate Proxy & Pravila licenciranja vatrozida

Administrativna konzola

Postavljanje veze

Postavljanje lozinke za povezivanje

Administratorska provjera autentičnosti UserGate-a

Postavljanje lozinke za pristup statističkoj bazi podataka UserGate

Opće postavke NAT-a (prijevod mrežne adrese).

Opće postavke

Postavljanje sučelja

Brojenje prometa u UserGateu

Podrška za rezervni kanal

Korisnici i grupe

Sinkronizacija s Active Directoryjem

Stranica osobne statistike korisnika

Podrška korisnicima terminala

Postavljanje usluga u UserGateu

Konfiguriranje DHCP-a

Postavljanje proxy usluga u UserGateu

Podrška za protokole IP telefonije (SIP, H323)

Podrška za način SIP Registrar

Podrška za H323 protokol

Proxyji za poštu u UserGateu

Korištenje transparentnog načina rada

Kaskadni proxyji

Dodjela luka

Postavke predmemorije

Antivirusna provjera

Planer u UserGateu

DNS postavke

Postavljanje VPN poslužitelja

Postavljanje sustava za otkrivanje upada (IDS)

Postavljanje upozorenja

Vatrozid u UserGateu

Kako vatrozid radi

ME registracija događaja

Pravila prijevoda mrežne adrese (NAT).

Rad s više pružatelja usluga

Automatski odabir odlaznog sučelja

www.usergate.ru

Objavljivanje mrežnih resursa

Postavljanje pravila filtriranja

Podrška za usmjeravanje

Ograničenje brzine u UserGateu

Kontrola aplikacije

Cache Explorer u UserGateu

Upravljanje prometom u UserGateu

Sustav prometnih pravila

Ograničavanje pristupa internetskim resursima

Entensys URL filtriranje

Postavljanje ograničenja potrošnje prometa

Ograničenje veličine datoteke

Filtriranje prema vrsti sadržaja

Sustav naplate

Naplata pristupa internetu

Periodični događaji

Dinamičko prebacivanje tarifa

Udaljena administracija UserGate

Postavljanje daljinske veze

Daljinsko ponovno pokretanje UserGate poslužitelja

Provjera dostupnosti nove verzije

UserGate web statistika

Procjena učinkovitosti pravila kontrole prometa

Procjena učinkovitosti antivirusa

Statistika korištenja SIP-a

Primjena

Kontrola integriteta UserGate

Provjera pokretanja

Izlaz informacija o otklanjanju pogrešaka

Dobivanje tehničke podrške

www.usergate.ru

Uvod Proxy poslužitelj je skup programa koji djeluje kao posrednik (od engleskog "proxy" - "posrednik") između korisničkih radnih stanica i drugih mrežnih usluga.

Rješenje prenosi sve korisničke zahtjeve na Internet i, nakon što dobije odgovor, šalje ga natrag. Ako je dostupna funkcija predmemoriranja, proxy poslužitelj pamti pristupe radnih stanica vanjskim resursima, a ako se zahtjev ponavlja, vraća resurs iz vlastite memorije, što znatno skraćuje vrijeme zahtjeva.

U nekim slučajevima zahtjev klijenta ili odgovor poslužitelja može modificirati ili blokirati proxy poslužitelj radi obavljanja određenih zadataka, poput sprječavanja virusa da zaraze radne stanice.

O UserGate Proxy & Firewall je sveobuhvatno rješenje za povezivanje korisnika na Internet, pružajući potpuno obračunavanje prometa, kontrolu pristupa i ugrađenu zaštitu mreže.

UserGate vam omogućuje naplatu pristupa internetu korisnika, kako prema prometu tako i prema mrežnom vremenu. Administrator može dodati različite tarifne planove, dinamički mijenjati tarife, automatizirati povlačenje / prikupljanje sredstava i regulirati pristup internetskim resursima. Ugrađeni vatrozid i antivirusni modul omogućuju zaštitu UserGate poslužitelja i provjeru prometa koji prolazi kroz njega za zlonamjerni kod. Možete koristiti ugrađeni VPN poslužitelj i klijent za sigurno povezivanje s mrežom vaše organizacije.

UserGate se sastoji od nekoliko dijelova: poslužitelja, administracijske konzole (UserGateAdministrator) i nekoliko dodatnih modula. Poslužitelj UserGate (proces usergate.exe) glavni je dio proxy poslužitelja koji implementira sve njegove funkcije.

Poslužitelj UserGate omogućuje pristup Internetu, vrši brojanje prometa, održava statistiku aktivnosti korisnika na mreži i obavlja mnoge druge zadatke.

UserGate Administrativna konzola je program dizajniran za upravljanje UserGate poslužiteljem. Administrativna konzola UserGate komunicira sa serverskim dijelom putem posebnog sigurnog protokola preko TCP/IP-a, što omogućuje udaljenu administraciju poslužitelja.

UserGate uključuje tri dodatna modula: "Web Statistics", "Authorization Client" i "Application Control" modul.

www.entensys.ru

Sistemski zahtjevi UserGate Server preporučuje se instalirati na računalo s Windows XP/2003/7/8/2008/2008R2/2012 operativnim sustavom povezano na Internet putem modema ili bilo koje druge veze. Hardverski zahtjevi poslužitelja:

–  –  –

Instalacija UserGate proxyja i vatrozida Postupak instalacije UserGate-a svodi se na pokretanje instalacijske datoteke i odabir opcija instalacijskog čarobnjaka. Prilikom prve instalacije rješenja dovoljno je ostaviti zadane opcije. Nakon dovršetka instalacije morat ćete ponovno pokrenuti računalo.

Registracija Kako biste registrirali program, pokrenite UserGate poslužitelj, povežite administratorsku konzolu s poslužiteljem i odaberite stavku izbornika "Pomoć" - "Registracija proizvoda". Kada prvi put povežete administratorsku konzolu, pojavit će se dijaloški okvir za registraciju s dvije dostupne opcije: zahtjev za demo ključ i zahtjev za ključ sa svim značajkama. Zahtjev za ključem obavlja se online (HTTPS protokol), pristupom web stranici usergate.ru.

Kada tražite ključ s punim značajkama, morate unijeti poseban PIN kod, koji se izdaje nakon kupnje od strane UserGate Proxy & Firewall ili od strane službe podrške za testiranje. Osim toga, prilikom registracije morat ćete unijeti dodatni osobne informacije(korisničko ime, adresa E-mail, država, regija). Osobni podaci koriste se isključivo za vezanje licence za korisnika i ne distribuiraju se ni na koji način. Nakon primitka punog ili demo ključa, UserGate poslužitelj će se automatski ponovno pokrenuti.

www.usergate.ru

Važno! U demo modu, UserGate Proxy & Firewall poslužitelj će raditi 30 dana. Kada kontaktirate Entensys, možete zatražiti poseban PIN kod za napredno testiranje. Na primjer, možete zatražiti demo ključ na tri mjeseca. Nije moguće ponovno dobiti probnu licencu bez unosa posebnog proširenog PIN koda.

Važno! Kada je UserGate Proxy & Firewall pokrenut, status registracijskog ključa se povremeno provjerava. Za ispravan rad UserGate-a potrebno je omogućiti pristup Internetu putem HTTPS protokola. Ovo je potrebno za provjeru statusa ključa na mreži. Ako provjera ključa ne uspije tri puta, licenca za proxy poslužitelj bit će poništena i pojavit će se dijaloški okvir za registraciju programa. Program implementira brojač za maksimalan broj aktivacija, a to je 10 puta. Nakon prekoračenja ovog ograničenja, moći ćete aktivirati proizvod svojim ključem tek nakon što kontaktirate službu za podršku na: http://entensys.ru/support.

Nadogradnja i deinstalacija Nova verzija UserGate Proxy & Firewall v.6 može se instalirati preko prethodnih verzija pete obitelji. U tom će slučaju čarobnjak za instalaciju ponuditi spremanje ili brisanje datoteke postavki poslužitelja config.cfg i datoteke statistike log.mdb. Obje datoteke nalaze se u direktoriju u kojem je instaliran UserGate (u daljnjem tekstu “%UserGate%”). Poslužitelj UserGate v.6 podržava format postavki UserGate v.4,5, tako da kada se poslužitelj prvi put pokrene, postavke će se prenijeti na novi format automatski.

Nije podržana obrnuta kompatibilnost postavki.

Pažnja! Za datoteku statistike podržan je samo prijenos trenutnih stanja korisnika, sama statistika prometa neće biti prenesena.

Promjene baze podataka uzrokovane su problemima s performansama stare i ograničenjima njezine veličine. Nova Firebird baza podataka nema te nedostatke.

Deinstaliranje UserGate poslužitelja vrši se kroz odgovarajuću stavku izbornika Start Programi ili kroz stavku Add/Remove Programs (Programi i značajke u sustavu Windows 7/2008/2012) na upravljačkoj ploči sustava Windows. Nakon deinstalacije UserGate-a, neke će datoteke ostati u instalacijskom direktoriju programa, osim ako nije postavljena opcija brisanja svega.

Politika licenciranja proxyja i vatrozida UserGate Poslužitelj UserGate dizajniran je za pružanje pristupa Internetu korisnicima LAN-a. Maksimalni broj korisnika koji mogu istovremeno raditi na Internetu putem UserGate-a označen je brojem "sesija" i određen registracijskim ključem.

Registracijski ključ UserGate v.6 jedinstven je i ne odgovara prethodnim verzijama UserGatea. U demo razdoblju rješenje radi 30 dana uz ograničenje od pet sesija. Koncept "sesije" ne treba brkati s brojem internetskih aplikacija ili veza koje korisnik pokreće. Broj veza od jednog korisnika može biti bilo koji, osim ako nije posebno ograničen.

www.usergate.ru

Antivirusni moduli ugrađeni u UserGate (od Kaspersky Lab, Panda Security i Avira), kao i Entensys URL Filtering modul, licencirani su zasebno. U demo verziji UserGate-a, ugrađeni moduli mogu raditi 30 dana.

Modul Entensys URL Filtering, dizajniran za rad s kategorijama web stranica, pruža mogućnost rada u demo načinu rada u trajanju od 30 dana. Pri kupnji UserGate Proxy & Firewall s modulom za filtriranje, Entensys URL Filtering licenca vrijedi godinu dana. Kada pretplata istekne, filtriranje resursa kroz modul će prestati.

www.usergate.ru

Administrativna konzola Administrativna konzola je aplikacija dizajnirana za upravljanje lokalnim ili udaljenim UserGate poslužiteljem. Za korištenje administracijske konzole morate pokrenuti UserGate poslužitelj odabirom stavke Pokreni UserGate poslužitelj u kontekstnom izborniku UserGate agenta (ikona u programskoj traci, u nastavku

- "agent"). Administracijsku konzolu možete pokrenuti putem kontekstnog izbornika agenta ili preko stavke izbornika Start Programs ako je administracijska konzola instalirana na drugom računalu. Za rad s postavkama potrebno je povezati administratorsku konzolu s poslužiteljem.

Razmjena podataka između administracijske konzole i UserGate poslužitelja odvija se pomoću SSL protokola. Kada se veza inicijalizira (SSLHandshake), provodi se jednosmjerna provjera autentičnosti, tijekom koje UserGate poslužitelj šalje svoj certifikat u administratorsku konzolu, koja se nalazi u %UserGate%\ssl direktoriju. Za povezivanje nije potreban certifikat ili lozinka sa strane administracijske konzole.

Konfiguriranje veza Prilikom prvog pokretanja, administracijska konzola se otvara na stranici Veze, koja ima jednu vezu s poslužiteljem lokalnog hosta za korisnika Administrator. Lozinka za povezivanje nije postavljena. Administracijsku konzolu možete povezati s poslužiteljem dvostrukim klikom na liniju localhost-administrator ili klikom na gumb Connect na upravljačkoj ploči. Možete stvoriti više veza u administratorskoj konzoli UserGate. Postavke veze uključuju sljedeće opcije:

Ime poslužitelja je ime veze;

Korisničko ime - prijava za spajanje na poslužitelj;

Adresa poslužitelja – naziv domene ili IP adresa poslužitelja UserGate;

Port – TCP port koji se koristi za povezivanje s poslužiteljem (port 2345 se koristi prema zadanim postavkama);

Lozinka – lozinka za povezivanje;

Traži lozinku pri povezivanju – ova opcija omogućuje prikaz dijaloškog okvira za unos korisničkog imena i zaporke prilikom povezivanja na poslužitelj;

Automatski se poveži s ovim poslužiteljem – administracijska konzola će se automatski povezati s ovim poslužiteljem pri pokretanju.

Postavke administratorske konzole pohranjene su u datoteci console.xml koja se nalazi u direktoriju %UserGate%\Administrator\. Na strani poslužitelja UserGate, korisničko ime i md5 hash lozinke za povezivanje pohranjeni su u datoteci config.cfg koja se nalazi u direktoriju %UserGate_data, gdje je %UserGate_data% mapa za Windows XP - (C:\Documents and Settings\ Svi www.usergate.ru korisnici\Application Data\Entensys\UserGate6), za mapu Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Postavljanje lozinke za povezivanje Možete stvoriti prijavu i lozinku za povežite se s UserGate poslužiteljem na stranici Opće postavke u odjeljku Administratorske postavke. U istom odjeljku možete odrediti TCP port za povezivanje s poslužiteljem. Da bi nove postavke stupile na snagu, morate ponovno pokrenuti UserGate poslužitelj (stavka Ponovno pokreni UserGate poslužitelj u izborniku agenta). Nakon ponovnog pokretanja poslužitelja, nove postavke također moraju biti navedene u postavkama veze u administratorskoj konzoli. U protivnom se administrator neće moći spojiti na poslužitelj.

Pažnja! Kako biste izbjegli probleme s funkcionalnošću administratorske konzole UserGate, ne preporučuje se mijenjanje ovih postavki!

Autentifikacija UserGate administratora Za uspješno povezivanje administratorske konzole s UserGate poslužiteljem, administrator mora proći proceduru autentifikacije na strani poslužitelja.

Administratorska provjera autentičnosti provodi se nakon što se uspostavi SSL veza administracijske konzole s UserGate poslužiteljem. Konzola šalje login i md5 hash administratorske lozinke na poslužitelj. Poslužitelj UserGate uspoređuje primljene podatke s onim što je navedeno u datoteci postavki config.cfg.

Provjera autentičnosti se smatra uspješnom ako podaci primljeni od administracijske konzole odgovaraju onome što je navedeno u postavkama poslužitelja. Ako provjera autentičnosti ne uspije, UserGate poslužitelj prekida SSL vezu s administratorskom konzolom. Rezultat postupka provjere autentičnosti bilježi se u datoteku usergate.log koja se nalazi u direktoriju %UserGate_data%\logging\.

Postavljanje lozinke za pristup statističkoj bazi podataka UserGate Statistika korisnika - promet, posjećeni resursi itd.

bilježi UserGate poslužitelj u posebnu bazu podataka. Pristup bazi podataka vrši se izravno (za ugrađenu bazu podataka Firebird) ili putem ODBC upravljačkog programa, što omogućuje poslužitelju UserGate rad s bazama podataka gotovo bilo kojeg formata (MSAccess, MSSQL, MySQL). Prema zadanim postavkama koristi se Firebird baza podataka - %UserGate_data%\usergate.fdb. Prijava i lozinka za pristup bazi - SYSDBA\masterkey. Možete postaviti drugu lozinku putem stavke Opće postavke Postavke baze podataka na konzoli za upravljanje.

NAT (Network Address Translation) Opće postavke Stavka NAT Opće postavke omogućuje vam postavljanje vrijednosti vremenskog ograničenja za NAT veze putem TCP, UDP ili ICMP protokola. Vrijednost vremenskog ograničenja određuje životni vijek korisničke veze putem NAT-a kada je prijenos podataka preko veze završen. Opcija Output debug logs namijenjena je ispravljanju pogrešaka i omogućuje, ako je potrebno, uključivanje načina naprednog zapisivanja poruka u upravljačkom programu NAT UserGate.

Detektor napada je posebna opcija koja vam omogućuje korištenje unutarnjeg mehanizma za praćenje i blokiranje skenera portova ili pokušaja www.usergate.ru da zauzme sve portove poslužitelja. Ovaj modul radi u automatskom načinu rada, događaji će biti zapisani u datoteku %UserGate_data%\logging\fw.log.

Pažnja! Postavke ovog modula mogu se promijeniti kroz konfiguracijsku datoteku config.cfg, odjeljak opcije.

Opće postavke Blokiraj nizom preglednika - popis preglednika User-Agenta koje može blokirati proxy poslužitelj. Oni. možete, na primjer, spriječiti stare preglednike kao što su IE 6.0 ili Firefox 3.x da pristupe internetu.

www.usergate.ru Konfiguriranje sučelja Odjeljak Sučelja (Slika 1) glavni je u postavkama poslužitelja UserGate, budući da određuje stvari kao što su ispravnost brojanja prometa, mogućnost stvaranja pravila za vatrozid, ograničavanje širine internetski kanal za određenu vrstu prometa, uspostavljanje odnosa između mreža i redoslijed kojim se paketi obrađuju od strane NAT (Network Address Translation) upravljačkog programa.

Slika 1. Konfiguriranje sučelja poslužitelja Odjeljak Sučelja navodi sva dostupna mrežna sučelja poslužitelja na kojem je instaliran UserGate, uključujući Dial-Up (VPN, PPPoE) veze.

Za svaki mrežni adapter, UserGate administrator mora navesti njegovu vrstu. Dakle, za adapter spojen na Internet trebate odabrati vrstu WAN, za adapter spojen na lokalnu mrežu odaberite vrstu LAN.

Ne možete promijeniti vrstu Dial-Up (VPN, PPPoE) veze. Za takve veze, UserGate poslužitelj će automatski postaviti vrstu PPP sučelja.

Možete odrediti korisničko ime i lozinku za dial-up (VPN) vezu dvostrukim klikom na odgovarajuće sučelje. Sučelje na vrhu popisa je glavna internetska veza.

Brojenje prometa u UserGate-u Promet koji prolazi kroz UserGate poslužitelj bilježi se na korisniku lokalne mreže koji je inicijator veze ili na www.usergate.ru UserGate poslužitelju ako je poslužitelj inicijator veze. Za promet poslužitelja u UserGate statistici postoji poseban korisnik - UserGate Server. Korisničkom računu UserGate Servera pripisuje se promet za ažuriranje antivirusnih baza za ugrađene module Kaspersky Lab, Panda Security, Avira, kao i promet razlučivanja imena putem DNS prosljeđivanja.

Promet se uzima u obzir u cijelosti, zajedno sa zaglavljima usluga.

Dodatno, dodana je mogućnost uzimanja u obzir Ethernet zaglavlja.

Ako su vrste mrežnih adaptera poslužitelja (LAN ili WAN) ispravno navedene, promet u smjeru "lokalna mreža - UserGate poslužitelj" (na primjer, pristup zajedničkim mrežnim resursima na poslužitelju) se ne uzima u obzir.

Važno! Prisutnost programa trećih strana - vatrozida ili antivirusa (s funkcijom provjere prometa) - može značajno utjecati na točan izračun prometa u UserGateu. Ne preporučuje se instaliranje mrežnih programa trećih strana na računalo s UserGate!

Podrška za pričuvni kanal Stranica sučelja sadrži postavku rezervnog kanala. Klikom na gumb Čarobnjak za postavljanje možete odabrati sučelje koje će se koristiti kao rezervni kanal. Druga stranica implementira odabir hostova koji će biti provjereni od strane proxy poslužitelja za internetsku vezu. U navedenom intervalu, rješenje će provjeriti dostupnost ovih hostova pomoću ICMP echo-zahtjeva. Ako se vrati odgovor od barem jednog danog hosta, veza se smatra aktivnom. Ako se ne dobije odgovor ni od jednog glavnog računala, tada će se veza smatrati neaktivnom, a glavni pristupnik u sustavu promijenit će se u pristupnik rezervnog kanala. Ako su u isto vrijeme stvorena NAT pravila s posebnim Masquerade sučeljem navedenim kao vanjsko sučelje, tada će se takva pravila ponovno izraditi u skladu s trenutnom tablicom usmjeravanja. Stvorena NAT pravila počet će raditi putem rezervnog kanala.

Slika 2. Čarobnjak za konfiguraciju rezervnog kanala www.

usergate.ru Kao rezervnu vezu, UserGate poslužitelj može koristiti i Ethernet vezu (namjenski kanal, WAN sučelje) i Dial-Up (VPN, PPPoE) vezu (PPP sučelje). Nakon prebacivanja na pričuvnu internetsku vezu, UserGate poslužitelj će povremeno provjeravati dostupnost glavnog kanala. Ako se njegova izvedba vrati, program će prebaciti korisnike na glavnu internetsku vezu.

www.usergate.ru

Korisnici i grupe Da biste omogućili pristup Internetu, morate kreirati korisnike u UserGateu. Radi praktičnosti administracije, korisnici se mogu kombinirati u grupe prema teritoriju ili prema razini pristupa. Logično, najispravnije je kombinirati korisnike u grupe prema razinama pristupa, jer je u ovom slučaju puno lakše raditi s pravilima kontrole prometa. Standardno, UserGate ima samo jednu grupu - zadanu.

Možete stvoriti novog korisnika putem stavke Dodaj novog korisnika ili klikom na gumb Dodaj na upravljačkoj ploči na stranici Korisnici i grupe. Postoji još jedan način dodavanja korisnika - skeniranje mreže ARP zahtjevima. Potrebno je kliknuti na prazno mjesto u administratorskoj konzoli na korisničkoj stranici i odabrati Skeniraj lokalnu mrežu. Zatim postavite parametre lokalne mreže i pričekajte rezultate skeniranja. Kao rezultat toga, vidjet ćete popis korisnika koji se mogu dodati u UserGate. Obavezni korisnički parametri (slika 3) su ime, tip autorizacije, autorizacijski parametar (IP adresa, prijava i lozinka, itd.), grupa i tarifa. Prema zadanim postavkama, svi korisnici pripadaju zadanoj grupi. Korisničko ime u UserGateu mora biti jedinstveno. Dodatno, u korisničkim svojstvima možete definirati razinu korisničkog pristupa web statistici, postaviti interni telefonski broj za H323, ograničiti broj veza za korisnika, omogućiti NAT pravila, pravila za kontrolu prometa ili pravila za kontrolu aplikacija modul.

Slika 3. Korisnički profil u UserGateu Korisnik u UserGateu nasljeđuje sva svojstva grupe kojoj pripada, osim tarife koja se može nadjačati.

Za tarifiranje svih korisničkih priključaka primjenjivat će se tarifa navedena u korisničkim svojstvima. Ako se pristup Internetu ne naplaćuje, možete koristiti praznu tarifu pod nazivom “default”.

www.usergate.ru

Sinkronizacija s Active Directory Grupe korisnika u UserGateu mogu se sinkronizirati s grupama Active Directory. Za korištenje sinkronizacije s Active Directoryjem, stroj s UserGate proxyjem i vatrozidom ne mora biti član domene.

Sinkronizacija se postavlja u dva koraka. U prvoj fazi, na stranici "Grupe" administratorske konzole UserGate (slika 4), omogućite opciju Sinkronizacija s AD-om i odredite sljedeće parametre:

naziv domene IP adresa kontrolera domene prijava i lozinka za pristup Active Directory (dopušteno je korisničko ime u UPN – User Principal Name formatu) period sinkronizacije (u sekundama) opcija "sinkroniziraj grupe s AD" i odaberite jednu ili više grupa iz Active Directoryja .

Tijekom sinkronizacije, korisnici iz Active Directoryja koji pripadaju odabranim Active Directory grupama će stati u UserGate grupe. Vrsta autorizacije za uvezene korisnike bit će "HTTP Imported User State (NTLM)".

(omogućeno/onemogućeno) kontrolira se stanjem odgovarajućeg računa u domeni Active Directory.

www.usergate.ru Slika 4. Postavljanje sinkronizacije s Active Directory Važno! Za sinkronizaciju morate osigurati prolaz LDAP protokola između UserGate poslužitelja i kontrolera domene.

www.usergate.ru Stranica s osobnim statistikama korisnika Svaki korisnik u UserGateu ima priliku vidjeti stranicu sa statistikama. Stranici s osobnim statistikama može se pristupiti na http://192.168.0.1:8080/statistics.html, gdje je na primjer 192.168.0.1 lokalna adresa UserGate stroja, a 8080 je port na kojem HTTP proxy poslužitelj pokreće usergate . Korisnik može vidjeti svoju osobnu proširenu statistiku prijavom na - http://192.168.0.1:8081.

Pažnja! U verziji 6.x dodano je slušajuće sučelje 127.0.0.1:8080, koje je potrebno za rad web statistike kada je UserGate HTTP proxy poslužitelj onemogućen. U tom smislu, priključak 8080 na sučelju 127.0.0.1 uvijek će biti zauzet od strane UserGate proxyja i vatrozida dok je pokrenut proces usergate.exe

Po IP adresi Po rasponu IP adresa Po IP+MAC adresi Po MAC adresi Autorizacija putem HTTP-a (HTTP-basic, NTLM) Autorizacija putem prijave i lozinke (Autorizacijski klijent) Pojednostavljena verzija autorizacije putem Active Directory-a Za korištenje posljednje tri metode autorizacije a na radnoj stanici korisnika mora biti instalirana posebna aplikacija - autorizacijski klijent UserGate. Odgovarajući MSI paket (AuthClientInstall.msi) nalazi se u direktoriju %UserGate%\tools i može se koristiti za automatsku instalaciju pravila grupe u Active Directory.

Administrativni predložak za instalaciju autorizacijskog klijenta pomoću Active Directory Group Policy također se nalazi u direktoriju %UserGate%\tools. Na web mjestu http://usergate.ru/support nalazi se videouputa za implementaciju autorizacijskog klijenta putem pravila grupe.

Ako je UserGate poslužitelj instaliran na računalu koje nije uključeno u domenu Active Directory, preporučuje se korištenje pojednostavljene opcije autorizacije kroz Active Directory. U ovom slučaju, UserGate poslužitelj će usporediti prijavu i naziv domene primljen od autorizacijskog klijenta s odgovarajućim poljima navedenim u korisničkom profilu bez kontaktiranja kontrolera domene.

Podrška za korisnike terminala Za autorizaciju korisnika terminala u UserGate proxy poslužitelju, počevši od verzije 6.5, dodan je poseban softverski modul pod nazivom "Agent za autorizaciju terminala". Distribucijski komplet programa Terminal Agent nalazi se u mapi %UserGate%\tools i zove se TerminalServerAgent*.msi. Za 32-bitne sustave trebate uzeti verziju “TerminalServerAgent32.msi”, a za 64-bitne sustave TerminalServerAgent64.msi”. Program je agent koji povremeno, jednom svakih 90 sekundi, proxy poslužitelju šalje informacije o autorizaciji svih klijenata terminalskog poslužitelja, te upravljački program koji osigurava port spoofing za svakog terminalskog klijenta. Kombinacija korisničkih informacija i priključaka povezanih s korisnikom omogućuje proxy poslužitelju da točno identificira korisnike terminalskog poslužitelja i primijeni različite politike kontrole prometa na njih.

Prilikom instaliranja terminal agenta, od vas će se tražiti da navedete IP adresu proxy poslužitelja i broj korisnika. Ovo je neophodno za optimalno korištenje slobodnih TCP\UDP portova terminalskog poslužitelja.

www.usergate.ru

Nakon instaliranja agenta terminalnog poslužitelja, on šalje zahtjev proxy poslužitelju, i ako sve bude u redu, na poslužitelju se kreiraju tri korisnika s autorizacijom "AD login-password" i prijavom "NT AUTHORIY\*".

Ako imate takve korisnike u konzoli, onda je vaš terminalski agent spreman za rad.

Prvi način (sinkronizacija s Active Directory domenom):

U administratorskoj konzoli na stranici korisničkih grupa u svojstvima opcije "sinkronizacija s AD-om" morate navesti točne parametre za autorizaciju s AD-om.

Zatim trebate stvarati nova grupa korisnika, te u njemu navesti koju korisničku grupu u AD-u treba sinkronizirati s trenutnom grupom u Proxy poslužitelju. Vaši će korisnici tada biti dodani u ovu lokalnu UserGate proxy korisničku grupu. Ovo dovršava postavljanje proxy poslužitelja. Nakon toga se trebate prijaviti kao AD korisnik na terminalski poslužitelj i on će se automatski autorizirati na proxy poslužitelju bez potrebe za unosom logina i lozinke. Korisnicima terminalskog poslužitelja može se upravljati kao normalnim korisnicima proxy poslužitelja s autorizacijom putem IP adrese. Oni. mogu primijeniti različita NAT pravila i/ili pravila kontrole prometa.

Drugi način (uvoz korisnika s Active Directory domene):

Koristite "uvoz" korisnika iz AD-a, konfigurira se na stranici s korisnicima klikom na odgovarajući gumb - "uvoz", u sučelju UserGate administratorske konzole.

Morate uvesti korisnike iz AD-a u određenu lokalnu grupu na proxy poslužitelju. Nakon toga, svi uvezeni korisnici koji će zatražiti pristup internetu s terminalskog poslužitelja imat će pristup internetu s pravima definiranim na UserGate proxy poslužitelju.

Treći način (koristeći lokalne račune poslužitelja terminala):

Ova je metoda prikladna za testiranje rada terminalskog agenta ili za slučajeve kada se terminalski poslužitelj ne nalazi u domeni Active Directory. U tom slučaju potrebno je kreirati novog korisnika s tipom autorizacije Prijava domena-AD", te kao "adresu domene" navesti naziv računala terminal poslužitelja, te ime korisnika koji će se prijaviti na terminal Svi korisnici koji će biti kreirani na proxy poslužitelju pristupit će internetu s terminalskog poslužitelja, s pravima definiranim na UserGate proxy poslužitelju.

Treba imati na umu da postoje neka ograničenja terminalnog agenta:

Protokoli koji nisu TCP\UDP ne mogu se proslijediti s terminalskog poslužitelja na Internet. Na primjer, neće biti moguće pokrenuti PING s ovog poslužitelja bilo gdje na internetu putem NAT-a.

www.usergate.ru Maksimalan broj korisnika na terminalskom poslužitelju ne može premašiti 220, dok će svakom korisniku biti dodijeljeno najviše 200 portova za TCP\UDP protokole.

Prilikom ponovnog pokretanja UserGate proxy poslužitelja, terminalni agent neće nikoga pustiti na Internet do prve sinkronizacije s UserGate proxy poslužiteljem (do 90 sekundi).

HTTP autorizacija pri radu preko transparentnog proxyja UserGate v.6 dodaje mogućnost HTTP autorizacije za proxy poslužitelj koji radi u transparentnom načinu rada. Ako preglednik na korisnikovoj radnoj stanici nije konfiguriran za korištenje proxy poslužitelja, a HTTP proxy u UserGateu je omogućen u transparentnom načinu rada, tada će zahtjev neovlaštenog korisnika biti preusmjeren na stranicu za autorizaciju, koja zahtijeva da navedete prijavu i lozinku.

Nakon autorizacije ovu stranicu nije potrebno zatvarati. Autorizacijska stranica se povremeno ažurira putem posebne skripte, održavajući korisničku sesiju aktivnom. U ovom načinu, korisnik će imati pristup svim UserGate uslugama, uključujući mogućnost rada kroz NAT. Za završetak korisničke sesije potrebno je kliknuti Odjava na stranici za autorizaciju ili jednostavno zatvoriti karticu za autorizaciju. i nakon 30-60 sekundi autorizacija na proxy poslužitelju će nestati.

dopustiti prolazak paketa NetBIOSNameRequest (UDP:137) između poslužitelja UserGate i kontrolera domene osigurati prolazak paketa NetBIOSSessionRequest (TCP:139) između poslužitelja UserGate i kontrolera domene postaviti adresu i port UserGate HTTP proxyja u pregledniku na korisnikov stroj Važno! Za korištenje NTLM autorizacije, stroj s instaliranim UserGateom ne smije biti član domene Active Directory.

Korištenje autorizacijskog klijenta UserGate autorizacijski klijent je mrežna aplikacija koja radi na Winsock razini koja se povezuje s UserGate poslužiteljem na određenom UDP portu (port 5456 se koristi prema zadanim postavkama) i prosljeđuje autorizacijske parametre korisnika: vrstu autorizacije, prijavu, lozinku itd. .

www.usergate.ru

Kada se prvi put pokrene, UserGate autorizacijski klijent traži u HKCU\Software\Policies\Entensys\Authclient granu registra sustava. Ovdje se nalaze postavke dobivene kroz grupnu politiku domene Active Directory. Ako postavke u registru sustava nisu pronađene, adresu UserGate poslužitelja morat ćete ručno navesti na trećoj kartici od vrha u autorizacijskom klijentu. Nakon što navedete adresu poslužitelja, kliknite gumb Primijeni i idite na drugu karticu. Ova stranica navodi parametre autorizacije korisnika. Postavke klijenta autorizacije pohranjene su u ključu HKCU\Software\Entensys\Authclient u registru sustava. Dnevnik usluge klijenta autorizacije pohranjen je u mapi Documents and Settings\%USER%\Application data\UserGate Client.

Dodatno, u autorizacijskom klijentu dodana je poveznica na stranicu osobne statistike korisnika. Promijeniti izgled autorizacija klijenta moguća je editiranjem odgovarajućeg predloška u obliku *.xml datoteke koja se nalazi u direktoriju gdje je klijent instaliran.

www.usergate.ru

Konfiguriranje usluga u UserGate Konfiguriranje DHCP-a Usluga omogućuje DHCP-u (Dynamic Host Configuration Protocol) automatizaciju procesa izdavanja mrežnih postavki klijentima u lokalnoj mreži. U mreži s DHCP poslužiteljem, svakom mrežnom uređaju može se dinamički dodijeliti IP adresa, adresa pristupnika, DNS, WINS poslužitelj i tako dalje.

Možete omogućiti DHCP poslužitelj kroz odjeljak Services DHCP server Add sučelje u UserGate administratorskoj konzoli ili klikom na gumb Add na upravljačkoj ploči. U dijaloškom okviru koji se pojavi odaberite mrežno sučelje na kojem će DHCP poslužitelj raditi. U minimalnoj konfiguraciji za DHCP poslužitelj dovoljno je postaviti sljedeće parametre: raspon IP adresa (address pool), s kojeg će poslužitelj izdavati adrese klijentima na lokalnoj mreži; netmask i vrijeme zakupa.

Maksimalna veličina bazena u UserGateu ne može premašiti 4000 adresa. Ako je potrebno, jedna ili više IP adresa može se isključiti iz odabranog skupa adresa (gumb Izuzeci). Trajnu IP adresu možete dodijeliti određenom uređaju na mreži stvaranjem odgovarajućeg povezivanja u odjeljku Rezervacije. Konstantnost IP adrese prilikom obnove ili dobivanja najma osigurava se vezanjem (Rezervacija) za MAC adresu mrežnog uređaja. Da biste stvorili vezanje, trebate samo navesti IP adresu uređaja.

MAC adresa će se automatski odrediti klikom na odgovarajući gumb.

Slika 6. Konfiguriranje UserGate DHCP poslužitelja

DHCP poslužitelj u UserGateu podržava uvoz postavki Windows DHCP poslužitelja. Windows DHCP postavke prvo se moraju spremiti u datoteku. Da biste to učinili, na poslužitelju na kojem je instaliran Windows DHCP pokrenite način naredbenog retka (Start Run, upišite cmd i pritisnite Enter) i u prozoru koji se pojavi pokrenite naredbu: netsh dhcp server IP dump filename, gdje je IP IP adresa vašeg DHCP poslužitelja. Postavke uvoza

www.usergate.ru

iz datoteke izvodi se putem odgovarajućeg gumba na prvoj stranici čarobnjaka za konfiguraciju DHCP poslužitelja.

Dodijeljene IP adrese prikazuju se u donjoj polovici prozora administracijske konzole (Slika 8) zajedno s podacima o klijentu (ime računala, MAC adresa), vrijeme početka i završetka najma. Odabirom izdane IP adrese, možete dodati korisnika u UserGate, stvoriti vezanje prema MAC adresi ili otpustiti IP adresu.

Slika 7. Brisanje izdanih adresa

Oslobođena IP adresa bit će smještena u skup slobodnih adresa DHCP poslužitelja nakon nekog vremena. Operacija oslobađanja IP adrese može biti potrebna ako računalo koje je prethodno tražilo adresu od UserGate DHCP poslužitelja više nije prisutno na mreži ili je promijenilo svoju MAC adresu.

DHCP poslužitelj ima mogućnost odgovoriti na zahtjeve klijenta kada zahtijeva datoteku "wpad.dat". Koristeći ovu metodu za dobivanje postavki proxy poslužitelja, trebate urediti datoteku predloška koja se nalazi u mapi "C:\program files\entensys\usergate6\wwwroot\wpad.dat".

Više detaljne informacije ovaj način dobivanja postavki proxy poslužitelja opisan je u Wikipediji.

Konfiguriranje proxy usluga u UserGate-u Sljedeći proxy poslužitelji integrirani su u UserGate poslužitelj: HTTP (s podrškom za “FTP preko HTTP” i HTTPS način rada, - način povezivanja), FTP, SOCKS4, SOCKS5, POP3 i SMTP, SIP i H323. Postavke proxy poslužitelja www.usergate.ru dostupne su u odjeljku Usluge Proxy postavke u administracijskoj konzoli. Glavne postavke proxy poslužitelja uključuju:

sučelje (Slika 9) i broj porta na kojem se proxy izvodi.

Slika 8. Osnovne postavke proxy poslužitelja Prema zadanim postavkama, UserGate uključuje samo HTTP proxy koji sluša TCP port 8080 na svim dostupnim mrežnim sučeljima poslužitelja.

Da biste konfigurirali klijentov preglednik za rad preko proxy poslužitelja, dovoljno je navesti adresu i port proxyja u odgovarajućoj stavci postavki. U Internet Exploreru, proxy postavke navedene su u izborniku Alati Internetske mogućnosti Veza Postavke LAN-a. Kada radite preko HTTP proxyja, ne morate navesti gateway i DNS u svojstvima TCP/IP mrežne veze na radnoj stanici korisnika, budući da će HTTP proxy sam razriješiti imena.

Za svaki proxy poslužitelj dostupan je kaskadni način rada prema uzvodnom proxy poslužitelju.

Važno! Port naveden u postavkama proxy poslužitelja automatski se otvara u vatrozidu UserGate. Stoga se sa sigurnosne točke gledišta preporuča u postavkama proxyja navesti samo sučelja lokalne mreže poslužitelja.

Važno! Za više informacija o postavkama raznih preglednika za proxy poslužitelj pogledajte poseban članak u Entensys bazi znanja.

Podrška za protokole IP telefonije (SIP, H323) UserGate implementira SIP Registrar status proxy funkciju. SIP proxy je omogućen u odjeljku Usluge Proxy postavke i uvijek radi u transparentnom načinu rada, osluškujući portove 5060 TCP i 5060 UDP. Kada koristite uključen SIP proxy

www.usergate.ru

Stranica Sesije administratorske konzole prikazuje podatke o stanju aktivne veze (registracija, zvonjenje, čekanje itd.), kao i informacije o korisničkom imenu (ili broju), trajanju poziva i broju poslanih/primljenih bajtova. Ove informacije također će biti zabilježene u bazi podataka statistike UserGate.

Da biste koristili UserGate SIP proxy u TCP/IP svojstvima na radnoj stanici korisnika, morate navesti IP adresu UserGate poslužitelja kao zadanog pristupnika i obavezno navesti adresu DNS poslužitelja.

Ilustrirajmo konfiguraciju klijentskog dijela koristeći SJPhone softphone i Sipnet providera kao primjer. Pokrenite SJPhone, odaberite Opcije iz kontekstnog izbornika i kreirajte novi profil. Unesite naziv profila (slika 10), na primjer, sipnet.ru. Postavite vrstu profila na Poziv putem SIP-proxyja.

Slika 9. Stvaranje novog profila u SJPhone U dijaloškom okviru Profile Options trebate navesti adresu proxy poslužitelja vašeg VoIP pružatelja usluga.

Kada zatvorite dijalog, potrebno je unijeti podatke za autorizaciju na poslužitelju vašeg VoIP pružatelja usluga (korisničko ime i lozinku).

Slika 10. Postavke SJPhone www.usergate.ru profila Pažnja! Ako, kada omogućite SIP proxy, vaš glasovni promet ne prolazi u jednom ili drugom smjeru, tada morate ili koristiti STUN proxy poslužitelj ili pustiti promet kroz NAT na svim portovima (ANY:FULL) za potrebne korisnike. Ako omogućite NAT pravilo na svim portovima, SIP proxy poslužitelj će morati biti onemogućen!

Podrška za način rada SIP Registrar Funkcija SIP Registrar omogućuje korištenje UserGate-a kao softverske PBX (automatske telefonske centrale) za lokalnu mrežu.

Funkcija SIP Registrar radi istovremeno s funkcijom SIP Proxy. Za autorizaciju na UserGate SIP Registrar u SIP UAC (User Agent Client) postavkama morate navesti:

UserGate adresa kao adresa SIP poslužitelja UserGate korisničko ime (bez razmaka) bilo koja lozinka Podrška H323 protokola Podrška H323 protokola dopušta korištenje UserGate poslužitelja kao H323 Gatekeeper-a. Postavke H323 proxyja određuju sučelje na kojem će poslužitelj slušati zahtjeve klijenta, broj porta te adresu i port H323 pristupnika. Za autorizaciju na UserGate Gatekeeperu, korisnik mora navesti prijavu (korisničko ime u UserGateu), lozinku (bilo koju) i telefonski broj naveden u korisničkom profilu u UserGateu.

Važno! Ako UserGate GateKeeper primi poziv na H323 broj koji ne pripada niti jednom od ovlaštenih UserGate korisnika, poziv će biti preusmjeren na H323 gateway. Pozivi prema pristupniku H323 obavljaju se u načinu CallModel: Direct.

Proxyji za poštu u UserGateu Proxyji za poštu u UserGateu dizajnirani su za rad s POP3 i SMTP protokolima i za antivirusno skeniranje prometa pošte.

Pri korištenju transparentnog POP3 načina i SMTP proxyja, postavka klijenta e-pošte na radnoj stanici korisnika ista je kao postavke koje odgovaraju opciji s izravnim pristupom Internetu.

Ako se UserGate POP3 proxy koristi u netransparentnom načinu rada, tada u postavkama klijenta e-pošte na radnoj stanici korisnika, IP adresa UserGate računala i port koji odgovara UserGate POP3 proxyju moraju biti navedeni kao adresa POP3 poslužitelja. . Osim toga, prijava za autorizaciju na udaljenom POP3 poslužitelju navedena je u sljedećem formatu:

email_adresa@POP3_adresa_poslužitelja. Na primjer, ako korisnik ima poštanski sandučić [e-mail zaštićen], zatim kao prijava na

Morat ćete navesti UserGate POP3 proxy u klijentu e-pošte:

[e-mail zaštićen]@pop.mail123.com. Ovaj format je potreban kako bi UserGate poslužitelj mogao odrediti adresu udaljenog POP3 poslužitelja.

www.usergate.ru

Ako se UserGate SMTP proxy koristi u netransparentnom načinu rada, tada u postavkama proxyja trebate navesti IP adresu i port SMTP poslužitelja koji će UserGate koristiti za slanje e-pošte. U tom slučaju, u postavkama klijenta e-pošte na radnoj stanici korisnika, IP adresa UserGate poslužitelja i port koji odgovara UserGate SMTP proxyju moraju biti navedeni kao adresa SMTP poslužitelja. Ako je za slanje potrebna autorizacija, tada u postavkama klijenta e-pošte trebate navesti prijavu i lozinku koja odgovara SMTP poslužitelju navedenom u postavkama SMTP proxyja u UserGateu.

Korištenje transparentnog načina rada Funkcija Transparentni način rada u postavkama proxy poslužitelja dostupna je ako je UserGate poslužitelj instaliran zajedno s NAT drajverom. U transparentnom načinu rada, upravljački program UserGate NAT sluša standardne portove za usluge: 80 TCP za HTTP, 21 TCP za FTP, 110 i 25 TCP za POP3 i SMTP na mrežnim sučeljima UserGate računala.

Ako ima zahtjeva, prosljeđuje ih odgovarajućem UserGate proxy poslužitelju. Prilikom korištenja transparentnog načina rada u mrežnim aplikacijama, korisnici ne moraju navesti adresu i port proxy poslužitelja, što značajno smanjuje rad administratora u smislu pružanja lokalne mreže pristupa Internetu. Međutim, u mrežnim postavkama radnih stanica, UserGate poslužitelj mora biti naveden kao pristupnik i mora biti navedena adresa DNS poslužitelja.

Kaskadni proxy poslužitelj UserGate može raditi s internetskom vezom i izravno i preko nadređenih proxy poslužitelja. Takvi proxyji su grupirani u UserGateu pod Services Cascading proxyji. UserGate podržava sljedeće vrste kaskadnih proxy poslužitelja: HTTP, HTTPS, Socks4, Socks5. U postavkama kaskadnog proxyja navedeni su standardni parametri: adresa i port. Ako uzlazni proxy podržava autorizaciju, u postavkama možete odrediti odgovarajuću prijavu i lozinku. Stvoreni kaskadni proxyji postaju dostupni u postavkama proxy poslužitelja u UserGateu.

www.usergate.ru Slika 11 Nadređeni proxyji u UserGateu Dodjeljivanje porta UserGate podržava funkciju mapiranja porta. Ako postoje pravila za dodjelu priključaka, UserGate poslužitelj preusmjerava korisničke zahtjeve koji stižu na određeni priključak određenog mrežnog sučelja računala s UserGateom na drugu određenu adresu i priključak, na primjer, na drugo računalo u lokalnoj mreži.

Značajka Port Forwarding dostupna je za TCP i UDP protokole.

Slika 12. Dodjela portova u UserGateu Važno! Ako se dodjela priključka koristi za pružanje pristupa s Interneta internom resursu tvrtke, morate odabrati Navedeni korisnik kao parametar autorizacije www.usergate.ru, inače prosljeđivanje priključka neće raditi.

Konfiguriranje predmemorije Jedna od svrha proxy poslužitelja je predmemorija mrežnih resursa.

Predmemoriranje smanjuje opterećenje vaše internetske veze i ubrzava pristup često posjećivanim resursima. UserGate proxy poslužitelj izvodi HTTP i FTP keširanje prometa. Predmemorirani dokumenti smješteni su u lokalnu mapu %UserGate_data%\Cache. Postavke predmemorije su:

ograničenje veličine predmemorije i vrijeme zadržavanja predmemoriranog dokumenta.

Dodatno, možete omogućiti predmemoriranje dinamičkih stranica i brojanje prometa iz predmemorije. Ako je omogućena opcija Read traffic from cache, ne samo vanjski (internetski) promet će se bilježiti po korisniku u UserGateu, već i promet primljen iz UserGate cachea.

Pažnja! Da biste vidjeli trenutne unose u predmemoriju, trebate pokrenuti poseban uslužni program za pregled baze podataka predmemorije. Pokreće se desnim klikom na ikonu "UserGate Agent" u paleti sustava i odabirom "Open Browser Cache".

Pažnja! Ako ste omogućili predmemoriju, a još uvijek nemate nikakvih resursa u "pregledniku predmemorije", tada najvjerojatnije trebate omogućiti transparentni proxy poslužitelj za HTTP protokol, na stranici "Usluge - Postavke proxyja".

Antivirusno skeniranje U UserGate poslužitelj integrirana su tri antivirusna modula: Kaspersky Lab Anti-Virus, Panda Security i Avira. Svi antivirusni moduli dizajnirani su za skeniranje dolaznog prometa putem HTTP, FTP i UserGate proxyja za poštu, kao i odlaznog prometa putem SMTP proxyja.

Postavke antivirusnog modula dostupne su u odjeljku Antivirusne usluge administratorske konzole (Slika 14). Za svaki antivirusni program možete odrediti koje protokole treba provjeravati, postaviti učestalost ažuriranja antivirusnih baza podataka i također odrediti URL-ove koje nije potrebno provjeravati (opcija URL filtera). Dodatno, u postavkama možete odrediti grupu korisnika čiji promet ne mora biti podvrgnut antivirusnom skeniranju.

www.usergate.ru

Slika 13. Antivirusni moduli u UserGate-u Prije pokretanja antivirusnih modula počnite ažurirati antivirusne baze podataka i pričekajte da završi. U zadanim postavkama, Kaspersky antivirusne baze ažuriraju se s web stranice Kaspersky Lab, a za Panda antivirus se preuzimaju s Entensys poslužitelja.

Poslužitelj UserGate podržava istovremeni rad tri antivirusna modula. U ovom slučaju, Kaspersky Anti-Virus će prvi skenirati promet.

Važno! Kada je omogućeno antivirusno skeniranje prometa, UserGate poslužitelj blokira višenitno preuzimanje datoteka putem HTTP-a i FTP-a. Blokiranje mogućnosti preuzimanja dijela datoteke putem HTTP-a može dovesti do problema s uslugom Windows Update.

Planer u UserGateu UserGate poslužitelj ima ugrađeni planer zadataka koji se može koristiti za izvođenje sljedećih zadataka: inicijaliziranje i odspajanje DialUp veze, slanje statistike UserGate korisnicima, izvršavanje proizvoljnog programa, ažuriranje antivirusnih baza podataka, brisanje statistike baza podataka, provjera veličine baze podataka.

www.usergate.ru

Slika 14. Postavljanje planera zadataka Stavka Run programa u UserGate planeru također se može koristiti za izvršavanje niza naredbi (skripti) iz *.bat ili *.cmd datoteka.

Slični radovi:

“AKCIJSKI PLAN 2014.-2015 KONFERENCIJA ISTOČNOG PARTNERSTVA REGIONALNE I LOKALNE SAMOUPRAVE AKCIJSKI PLAN ISTOČNOG PARTNERSTVA KONFERENCIJE REGIONALNE I LOKALNE SAMOUPRAVE (CORLEAP) AKCIJSKI PLAN ZA 2014. I DO GODIŠNJEG SASTANKA U 2015. GODINI 1. Uvod Konferencija regionalnih i lokalnih vlasti Istočnog partnerstva (dalje u tekstu tekst -" CORLEAP" ili "Konferencija") je politički forum koji je osmišljen za promicanje ponašanja lokalnih i ... "

„Ravnatelj Odjela za državnu politiku i regulaciju u području geologije i korištenja podzemlja Ministarstva prirodnih resursa Rusije A.V. Orel odobreno 23. kolovoza 2013. ODOBRENO Direktor Odjela javne politike i propis u području geologije i korištenja podzemlja Ministarstva prirodnih resursa Rusije _ A.V. Eagle "_" 2013 DOGOVORENO Direktor Saveznog državnog jedinstvenog poduzeća Geološka istraživanja V.V. Shimansky "_"_ 2013. ZAKLJUČAK Znanstvenog i metodološkog vijeća o geološkim i geofizičkim tehnologijama traženja i istraživanja čvrstih minerala ... "

“UREDNIČKA KOLUMNA D DRAGI PRIJATELJI! U rukama držite prvi ovogodišnji broj časopisa New Forest Journal. Tradicionalno, njegova glavna tema bila je međunarodna izložba-sajam "Ruska šuma" održana krajem prošle godine. Naravno, ovaj događaj smatrali smo ne toliko informativnom prigodom, već platformom za razvoj politike, strategije i taktike za razvoj industrije od strane stručnjaka šumarske industrije. Upravo s tog gledišta pokušali smo pokriti rad seminara, ..."

„Program državnog završnog interdisciplinarnog ispita izrađuje se u skladu s odredbama: o završnoj državnoj svjedodžbi diplomanata savezne državne proračunske obrazovne ustanove visokog obrazovanja. strukovno obrazovanje « Ruska akademija Nacionalna ekonomija I javna služba pod predsjednikom Ruska Federacija"od 24. siječnja 2012., Moskva; o magisteriju (magistraciji) u saveznom državnom proračunu za obrazovanje ... "

“Popis izvođača Nechaev V.D. Voditelj programa strateškog razvoja Sveučilišta, rektor Glazkov A.A. voditeljica rada na Strateškom razvojnom programu Sveučilišta, prorektorica za znanost, inovacije i strateški razvoj Sharaborova G.K. koordinator Programa strateškog razvoja Sveučilišta, ravnatelj Centra za strateški razvoj Kustosi projekta: Sokolov E.F. Prorektor za administrativnu i ekonomsku podršku Ognev A.S. prorektor za znanost, ..."

«UDK 91:327 Lysenko A. V. Matematičko modeliranje kao metoda za proučavanje fenomena autonomizma u političkoj geografiji Taurida National University named after V. I. Vernadsky, Simferopol e-mail: [e-mail zaštićen] Anotacija. U članku se raspravlja o mogućnosti korištenja matematičkog modeliranja kao metode proučavanja političke geografije, otkriva se pojam teritorijalne autonomije, kao i čimbenici njezine geneze. Ključne riječi: matematičko modeliranje,..."

"PRAVA" u Murmansku ODOBRENO PRIHVAĆENO Direktor Podružnice na sastanku Katedre za opće pravo PEI VPO BIEPP u Murmansku discipline PEI VPO BIEPP v.g. Murmansk A.S. Korobeinikov Protokol br. 2_ od "_09_" _rujna_ 2014. "_09_" rujna 2014. Obrazovni i metodološki kompleks discipline Povijest političkih i pravnih doktrina Specijalnost ... "

“POVJERENIČKI FOND PROGRAMA POMOĆI RUSKOM OBRAZOVANJU (PROČITAJTE) PROČITAJTE GODIŠNJE IZVJEŠĆE ZA “Ulaganjem u procjenu kvalitete obrazovanja, procjenu ishoda reforme i sustave za procjenu postignuća u učenju i vještina, banka će pomoći svojim partnerskim zemljama da odgovore na ključna pitanja za reformu politike u obrazovanje: koje su prednosti našeg sustava? koji su njegovi nedostaci? Koje su mjere za otklanjanje tih nedostataka bile najučinkovitije? Što su..."

"OKHUNOV ALISHER ORIPOVICH [e-mail zaštićen] NAZIV NASTAVNOG PROGRAMA OPĆE INFORMACIJE INFORMACIJE O INSTRUKTORIMA POLITIKA DISCIPLINE "OPĆA PITANJA PROGRAMSKI ISHODI UČENJA PREDUVJETI I POSTRAUVJETI KIRURGIJE" KRITERIJI I PRAVILA ZA OCJENJIVANJE ZNANJA I VJEŠTINA STUDENATA U SUSTAVU ID KONTROLE LLABUS "OPĆA PITANJA KIRURGIJE" ALISHER ORIPOVICH OKHUNOV [e-mail zaštićen] OPĆI PODACI: NAZIV Naziv sveučilišta: Tashkent Medical Academy OPĆI PODACI Odjel za opću i dječju kirurgiju Lokacija...»

„Odbor za vanjske odnose Provedba u Sankt Peterburgu Sankt Peterburga državne politike Ruske Federacije u odnosu na sunarodnjake u inozemstvu VIII Peterburški forum omladinskih organizacija ruskih sunarodnjaka i stranih medija na ruskom jeziku „Rusko inozemstvo“ 7. lipnja -13, 2015. PROGRAM 7. LIPNJA, NEDJELJA Dolazak sudionika Forum tijekom dana Hotel "St. Petersburg" Adresa: Pirogovskaya nasip, 5/2 Registracija sudionika, izdavanje "Zapošljavanje sudionika" PAŽNJA!

„Nastavni plan i program dodatnog prijamnog ispita za magistarski studij za specijalnost 1-23 80 06 „Povijest međunarodnih odnosa i vanjske politike“ temelji se na standardnim programima „Povijest Međunarodni odnosi” i “Povijest vanjske politike Bjelorusije”, kao i programe državnog ispita u posebne discipline za specijalnost 1-23 01 01 "Međunarodni odnosi". Razmatran i predložen za odobrenje na sastanku Odjela za međunarodne odnose Protokol br. 10 od 7 ... "

« Rusko-kineski laboratorij bi mogao odabrati projekt superteške rakete za tjedan dana Rusko-kineski laboratorij Svemirski sustavi veza Sljedeći sateliti serije Meteor neće primiti radarske sustave Veza koja nedostaje s ruskim znanstvenim satelitom Vernov još nije uspostavljena 02 /19/2015 4 Svemirski otpad zaprijetio ISS-u 60 puta u siječnju Prošle godine na Zemlji..."

"MINISTARSTVO OBRAZOVANJA I ZNANOSTI RUSKE FEDERACIJE Savezna državna proračunska obrazovna ustanova visokog stručnog obrazovanja "Državno sveučilište Kemerovo" ODOBRENO: Rektor _ V. A. Volchek "" _ 2014. Glavni obrazovni program više obrazovanje Specijalnost 030701 Međunarodni odnosi Orijentacija (specijalizacija) "Svjetska politika" Kvalifikacija (diploma) specijalista u području međunarodnih odnosa Oblik studija s punim radnim vremenom Kemerovo 2014 ... "

“ISLAM NA SUVREMENOM URALU Alexei Malashenko, Alexei Starostin TRAVANJ 2015. ISLAM NA MODERNOM URALU Alexei Malashenko, Alexei Starostin Ovo izdanje Radnih materijala pripremio je Carnegie Moscow Center, neprofitna, nevladina istraživačka organizacija. Carnegie Endowment for International Peace i Carnegie Moscow Center kao organizacija nemaju zajednički stav o društvenim i političkim pitanjima. Publikacija odražava osobne stavove autora, koji ne bi trebali ... "

““Glavno načelo Knaufa je da sve bude “mitdenken” (činite to nakon što dobro razmislite i vodite računa o interesima onih za koje radite). Postupno ga ključni koncept zaživio u Rusiji. Iz intervjua s Yu.A.Mikhailovim, direktor tvrtke LLC "Knauf GIPS KOLPINO"Prakse upravljanja ruske divizije međunarodne korporacije: iskustvo "Knauf CIS" * Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Napomena Na temelju analize iskustva razvoja Knauf CIS grupe u . .. "

"Dodatak INFORMACIJE o provedbi Naredbe guvernera Omske regije od 28. veljače 2013. br. 25-r "O mjerama za provedbu Dekreta guvernera Omske regije od 16. siječnja 2013. br. 3" prema Planu prioritetnih radnji za 2013.-2014. za provedbu regionalne akcijske strategije u interesu djece na području Omske regije za 2013. - 2017. za 2013. Br. Ime Odgovorni Podaci o provedbi p / p mjera izvršitelj I. Obiteljska politika zaštite djece ... "

"ODJEL ZA OBRAZOVANJE I POLITIKU ZA MLADE AUTONOMNE REGIJE KHANTY-MANSIYSKY - YUGRA Državna obrazovna ustanova visokog stručnog obrazovanja Autonomnog okruga Khanty-Mansiysk - Yugra "Surgut State Pedagogical University" Program industrijska praksa BP.5. PEDAGOŠKA PRAKSA Smjer izobrazbe 49.03.02 Tjelesna kultura osoba s invaliditetom (Adaptivni Tjelesna kultura) Kvalifikacija (diploma) ... "

"Državna autonomna obrazovna ustanova visokog stručnog obrazovanja "Moskovsko gradsko sveučilište za menadžment vlade Moskve" Institut za visoko stručno obrazovanje Odjel kontrolira vlada i kadrovsku politiku DAJEM DOBRO prorektoru za nastavnu i znanstveni rad A.A. Aleksandrov "_"_ 20_ Program rada akademska disciplina„Metode prihvaćanja upravljačke odluke» za studente smjera 38.03.02 "Menadžment" za redovno obrazovanje Moskva ... "

“Jednostavna financijska serija” Yu. V. Brekhova KAKO PREPOZNATI FINANCIJSKU PIRAMIDU Volgograd 2011. UDC 336 BBK 65.261 B 87 Service” s Odborom za proračun i financijsku politiku i Riznicom uprave Volgogradske regije kao dio provedbe dugoročnog regionalnog ciljnog programa „Poboljšanje razine financijske pismenosti stanovništva i razvoj financijske ...“
Materijali ove stranice objavljeni su za pregled, sva prava pripadaju njihovim autorima.
Ako se ne slažete da se vaš materijal objavi na ovoj stranici, pišite nam, mi ćemo ga ukloniti u roku od 1-2 radna dana.

Internet danas nije samo sredstvo komunikacije ili način provođenja slobodnog vremena, već i radni alat. Traženje informacija, sudjelovanje na aukcijama, rad s klijentima i partnerima zahtijevaju prisutnost zaposlenika tvrtke na webu. Većina računala koja se koriste u osobne svrhe i za potrebe organizacije imaju instalirane operativne sustave Windows. Naravno, svi su opremljeni mehanizmima za omogućavanje pristupa Internetu. Počevši od drugog izdanja sustava Windows 98, dijeljenje internetske veze (ICS) ugrađeno je u operativne sustave Windows kao standardna značajka, koja omogućuje grupni pristup s lokalne mreže na Internet. Kasnije je Windows 2000 Server predstavio Routing and Remote Access Service (usmjeravanje i daljinski pristup) i implementirao podršku za NAT protokol.

Ali ICS ima svojih nedostataka. Dakle, ova funkcija mijenja adresu mrežnog adaptera, a to može uzrokovati probleme na lokalnoj mreži. Stoga je poželjno koristiti ICS samo u kućnim ili malim uredskim mrežama. Ova usluga ne omogućuje autorizaciju korisnika, stoga je nepoželjno koristiti je na korporativnoj mreži. Ako govorimo o aplikaciji u kućnoj mreži, i ovdje postaje neprihvatljiv nedostatak autorizacije korisničkim imenom, budući da je IP i MAC adrese vrlo lako lažirati. Stoga, iako u sustavu Windows postoji mogućnost organiziranja jedinstvenog pristupa Internetu, u praksi, ili hardverski ili softver neovisni programeri. Jedno od takvih rješenja je program UserGate.

Prvi sastanak

Usergate proxy poslužitelj vam omogućuje da korisnicima lokalne mreže omogućite pristup internetu i definirate politiku pristupa, zabranjujući pristup određenim resursima, ograničavajući promet ili vrijeme koje korisnici provode na mreži. Osim toga, Usergate omogućuje vođenje odvojene evidencije prometa po korisniku i po protokolu, što uvelike pojednostavljuje kontrolu troškova internetske veze. U U zadnje vrijeme postoji tendencija među ISP-ovima da pruže neograničeni pristup Internetu preko svojih vlastitih kanala. U pozadini takvog trenda u prvi plan dolazi kontrola i obračun pristupa. Da biste to učinili, Usergate proxy poslužitelj ima dovoljno fleksibilan sustav pravila.

Usergate proxy poslužitelj s podrškom za NAT (Network Address Translation) radi na operativnim sustavima Windows 2000/2003/XP s instaliranim TCP/IP protokolom. Bez podrške za NAT protokol, Usergate može raditi na Windows 95/98 i Windows NT 4.0. Sam program ne zahtijeva posebne resurse za rad, glavni uvjet je dostupnost dovoljnog prostora na disku za predmemoriju i datoteke dnevnika. Stoga se još uvijek preporučuje instalirati proxy poslužitelj na zasebno računalo, dajući mu maksimalne resurse.

Postavka

Čemu služi proxy poslužitelj? Uostalom, bilo koji web preglednik (Netscape Navigator, Microsoft Internet Explorer, Opera) već zna kako spremati dokumente u predmemoriju. Ali zapamtite da, kao prvo, ne dodjeljujemo značajne količine prostora na disku za te svrhe. I drugo, vjerojatnost da će iste stranice posjetiti jedna osoba mnogo je manja nego da to čine deseci ili stotine ljudi (a mnoge organizacije imaju toliki broj korisnika). Stoga će stvaranje jedinstvenog predmemorijskog prostora za organizaciju smanjiti dolazni promet i ubrzati traženje dokumenata na internetu koje je već primio bilo koji od zaposlenika. UserGate proxy poslužitelj može se hijerarhijski povezati s vanjskim proxy poslužiteljima (pružateljima) i u tom će slučaju biti moguće, ako ne smanjiti promet, onda barem ubrzati primanje podataka, kao i smanjiti troškove (obično trošak prometa od pružatelja preko proxy poslužitelja je niži).

Gledajući unaprijed, reći ću da se postavka predmemorije izvodi u odjeljku izbornika "Usluge" (pogledajte ekran 1). Nakon prebacivanja predmemorije u način rada "Omogućeno", možete konfigurirati njezine pojedinačne funkcije - predmemoriranje POST zahtjeva, dinamičkih objekata, kolačića, sadržaja primljenog putem FTP-a. Ovdje se također konfigurira veličina diskovnog prostora dodijeljenog za predmemoriju i vijek trajanja predmemoriranog dokumenta. A da bi predmemorija počela raditi, morate konfigurirati i omogućiti proxy način rada. Postavke određuju koji će protokoli raditi preko proxy poslužitelja (HTTP, FTP, SOCKS), na kojem mrežnom sučelju će slušati i hoće li se izvoditi kaskadno (podaci potrebni za to unose se na zasebnoj kartici prozora postavki usluga) .

Prije nego što počnete raditi s programom, morate napraviti druge postavke. U pravilu se to radi u sljedećem redoslijedu:

1. Stvaranje korisničkih računa u Usergateu.
2. Postavljanje DNS-a i NAT-a na sustavu s Usergateom. U ovoj fazi konfiguracija se uglavnom svodi na konfiguraciju NAT-a pomoću čarobnjaka.
3. Postavljanje mrežne veze na klijentskim strojevima, gdje trebate navesti gateway i DNS u svojstvima TCP/IP mrežne veze.
4. Izrada politike pristupa internetu.

Radi praktičnosti, program je podijeljen u nekoliko modula. Serverski modul radi na računalu spojenom na Internet i obavlja osnovne zadatke. Administracija Usergatea provodi se pomoću posebnog modula Usergate Administrator. Uz njegovu pomoć, cijela konfiguracija poslužitelja se izvodi u skladu s potrebnim zahtjevima. Klijentski dio Usergatea implementiran je kao Usergate Authentication Client koji se instalira na računalo korisnika i služi za autorizaciju korisnika na Usergate poslužitelju ako se koristi autorizacija koja nije IP ili IP + MAC autorizacija.

Kontrolirati

Upravljanje korisnicima i grupama premješteno je u poseban odjeljak. Grupe su potrebne kako bi se olakšalo upravljanje korisnicima i njihovim općim postavkama pristupa i naplate. Možete stvoriti onoliko grupa koliko vam je potrebno. Obično se grupe stvaraju prema strukturi organizacije. Koje se opcije mogu dodijeliti grupi korisnika? Svaka grupa ima pridruženu stopu koja će uzeti u obzir troškove pristupa. Standardno se koristi zadana tarifa. Prazna je, tako da se veze svih korisnika koji su uključeni u grupu ne naplaćuju osim ako je tarifa nadjačana u korisničkom profilu.

Program ima skup unaprijed definiranih NAT pravila koja se ne mogu mijenjati. To su pravila pristupa za protokole Telten, POP3, SMTP, HTTP, ICQ itd. Prilikom postavljanja grupe možete odrediti koja će se pravila primjenjivati ​​na tu grupu i korisnike koji su u njoj uključeni.

Način automatskog ponovnog biranja može se koristiti kada je veza s internetom putem modema. Kada je ovaj način rada uključen, korisnik može inicirati vezu na Internet kada još nema veze - na njegov zahtjev modem uspostavlja vezu i omogućava pristup. Ali kada ste povezani putem iznajmljene linije ili ADSL-a, ovaj način nije potreban.

Dodavanje korisničkih računa jednako je jednostavno kao i dodavanje grupa (pogledajte sliku 2). A ako je računalo s instaliranim Usergate proxy poslužiteljem uključeno u Active Directory (AD) domenu, korisnički računi se mogu uvesti odande i potom podijeliti u grupe. Ali i kod ručnog unosa i kod uvoza računa iz AD-a, morate konfigurirati korisnička prava i pravila pristupa. To uključuje vrstu autorizacije, tarifni plan, dostupna NAT pravila (ako grupna pravila ne zadovoljavaju u potpunosti potrebe pojedinog korisnika).

Usergate proxy poslužitelj podržava nekoliko vrsta autorizacije, uključujući autorizaciju korisnika kroz Active Directory i prozor za prijavu u Windows, koji vam omogućuje integraciju Usergatea u vašu postojeću mrežnu infrastrukturu. Usergate koristi vlastiti NAT drajver koji podržava autorizaciju putem posebnog modula - klijent autorizacijski modul. Ovisno o odabranom načinu autorizacije, u postavkama korisničkog profila morate navesti ili njegovu IP adresu (ili niz adresa), ili njegovo ime i lozinku, ili samo njegovo ime. Ovdje se može navesti i e-mail adresa korisnika na koju će se slati izvješća o korištenju pristupa internetu.

Pravila

Sustav pravila Usergate je fleksibilniji u postavkama u usporedbi s mogućnostima Remote Access Policy (pravila udaljenog pristupa u RRAS-u). Pravila se mogu koristiti za blokiranje pristupa određenim URL-ovima, ograničavanje prometa za određene protokole, postavljanje vremenskog ograničenja, ograničavanje maksimalne veličine datoteke koju korisnik može preuzeti i još mnogo toga (vidi sliku 3). Standardni alati operativnog sustava nemaju dovoljno funkcionalnosti za rješavanje ovih problema.

Pravila se stvaraju pomoću pomoćnika. Primjenjuju se na četiri glavna objekta koje prati sustav - vezu, promet, tarifu i brzinu. I za svaku od njih može se izvesti jedna radnja. Izvršenje pravila ovisi o postavkama i ograničenjima koja su za njega odabrana. To uključuje korištene protokole, vrijeme po danu u tjednu kada će ovo pravilo biti na snazi. Na kraju su definirani kriteriji za količinu prometa (dolaznog i odlaznog), mrežno vrijeme, stanje na korisničkom računu, kao i popis izvornih IP adresa zahtjeva i mrežnih adresa resursa koji su zahvaćeni. Postavljanje mrežnih adresa također vam omogućuje da definirate vrste datoteka koje korisnici neće moći preuzeti.

Mnoge organizacije ne dopuštaju usluge razmjene izravnih poruka. Kako provesti takvu zabranu koristeći Usergate? Dovoljno je kreirati jedno pravilo koje zatvara vezu kada se traži stranica *login.icq.com* i primijeniti ga na sve korisnike. Primjena pravila omogućuje vam promjenu tarifa za pristup tijekom dana ili noći, regionalnim ili zajedničkim resursima (ako takve razlike pruža davatelj). Na primjer, da biste se prebacivali između noćnih i dnevnih cijena, morat ćete stvoriti dva pravila, jedno će se na vrijeme prebaciti s dnevne na noćnu stopu, a drugo će se vratiti natrag. Čemu točno služe tarife? Ovo je osnova ugrađenog sustava naplate. Trenutno se ovaj sustav može koristiti samo za usklađivanje i probni obračun troškova, ali nakon certificiranja sustava naplate vlasnici sustava će imati pouzdan mehanizam za rad sa svojim korisnicima.

Korisnici

Sada se vratimo na DNS i NAT postavke. DNS konfiguracija se sastoji u određivanju adresa vanjskih DNS poslužitelja kojima će sustav pristupati. Istodobno, na korisničkim računalima, u postavkama veze za TCP/IP svojstva, navedite IP internog mrežnog sučelja računala s Usergateom kao pristupnikom i DNS-om. Malo drugačiji princip konfiguracije pri korištenju NAT-a. U tom slučaju potrebno je dodati novo pravilo u sustav, u kojem je potrebno definirati IP primatelja (lokalno sučelje) i IP pošiljatelja (vanjsko sučelje), port - 53 i UDP protokol. Ovo pravilo mora biti dodijeljeno svim korisnicima. A u postavkama veze na njihovim računalima trebali biste navesti IP adresu DNS poslužitelja pružatelja usluga kao DNS, a IP adresu računala s Usergateom kao gateway.

Klijenti e-pošte mogu se konfigurirati i kroz mapiranje porta i kroz NAT. Ako je organizaciji dopušteno korištenje usluga razmjene izravnih poruka, tada se moraju promijeniti postavke veze za njih - morate navesti upotrebu vatrozida i proxyja, postaviti IP adresu internog mrežnog sučelja računala s Usergateom i odabrati HTTPS ili Socks protokol. Ali imajte na umu da kada radite preko proxy poslužitelja, rad u Chat sobama i Video Chat neće biti dostupni ako se koristi Yahoo Messenger.

Statistika rada se bilježi u dnevniku koji sadrži informacije o parametrima veze svih korisnika: vrijeme veze, trajanje, utrošena sredstva, tražene adrese, količina primljenih i prenesenih informacija. Ne možete poništiti snimanje informacija o korisničkim vezama u datoteci statistike. Za pregled statistike postoji poseban modul u sustavu, kojem se može pristupiti i putem administratorskog sučelja i daljinski. Podaci se mogu filtrirati prema korisniku, protokolu i vremenu te se mogu spremiti u vanjsku Excel datoteku za daljnju obradu.

Što je sljedeće

Ako su prve verzije sustava bile dizajnirane samo za implementaciju mehanizma predmemoriranja proxy poslužitelja, onda najnovije verzije imaju nove komponente dizajnirane za osiguranje informacijske sigurnosti. Danas korisnici Usergatea mogu koristiti ugrađeni vatrozid i antivirusni modul Kasperskyja. Vatrozid vam omogućuje kontrolu, otvaranje i blokiranje određenih priključaka, kao i objavljivanje web resursa tvrtke na Internetu. Ugrađeni vatrozid obrađuje pakete koji nisu obrađeni na razini NAT pravila. Ako je paketom upravljao NAT upravljački program, njime više ne upravlja vatrozid. Postavke porta napravljene za proxy, kao i portovi navedeni u Port Mappingu, smješteni su u automatski generirana pravila vatrozida (automatski tip). Automatska pravila također uključuju TCP port 2345, koji se koristi od strane Usergate Administrator modula za povezivanje na Usergate backend.

Govoreći o izgledima daljnji razvoj proizvoda, vrijedi spomenuti stvaranje vlastitog VPN poslužitelja, koji će vam omogućiti da napustite VPN iz operativnog sustava; implementacija mail servera s podrškom za anti-spam funkciju i razvoj inteligentnog vatrozida na aplikacijskom sloju.

Mihail Abramzon- Voditelj marketinške grupe tvrtke "Digt".

Nakon povezivanja lokalne mreže s internetom ima smisla postaviti sustav obračuna prometa, au tome će nam pomoći program Usergate. Usergate je proxy poslužitelj i omogućuje kontrolu pristupa računala s lokalne mreže na Internet.

No, prvo se prisjetimo kako smo prethodno postavili mrežu u videotečaju "Stvaranje i konfiguriranje lokalne mreže između Windows 7 i Windows XP", te kako smo svim računalima omogućili pristup Internetu putem jednog komunikacijskog kanala. Shematski se to može prikazati na sljedeći način, postoje četiri računala koja smo spojili u peer-to-peer mrežu, odabrali smo radnu stanicu work-station-4-7, s Windows 7 operativnim sustavom, kao gateway, tj. spojio dodatnu mrežnu karticu s pristupom Internetu i omogućio drugim računalima na mreži pristup Internetu preko ove mrežne veze. Preostala tri stroja su internet klijenti i oni kao gateway i DNS imaju IP adresu računala koje distribuira internet. Pa, pozabavimo se sada pitanjem kontrole pristupa Internetu.

Instaliranje UserGate-a ne razlikuje se od instaliranja običnog programa, nakon instalacije sustav traži ponovno pokretanje, ponovno pokretanje. Nakon ponovnog pokretanja, prije svega, pokušajmo pristupiti Internetu, s računala na kojem je instaliran UserGate - ispada, ali ne s drugih računala, stoga je Proxy poslužitelj počeo raditi i prema zadanim postavkama zabranjuje svima pristup Internetu , pa ga trebate konfigurirati.

Pokretanje administratorske konzole Start \ Programi \UserGate\ Administratorska konzola) i ovdje imamo samu konzolu i otvara se kartica Veze. Ako pokušamo otvoriti bilo koju karticu s lijeve strane, prikazuje se poruka (UserGate Admin Console nije spojena na UserGate Server), pa pri pokretanju otvaramo karticu Connections kako bismo se prvo mogli spojiti na UserGate poslužitelj.

I tako, zadani naziv poslužitelja je lokalni; Korisnik – Administrator; Poslužitelj je lokalni host, tj. poslužiteljski dio nalazi se na ovom računalu; Luka - 2345.

Dvaput kliknite na ovaj unos i spojite se na uslugu UserGate, ako veza nije uspjela, provjerite radi li usluga ( ctrl+ alt+ Esc\ Usluge \UserGate)

Pokreće se pri prvom povezivanju Čarobnjak za instaliranjeUserGate, pritisnite Ne, budući da ćemo sve konfigurirati ručno kako bi bilo jasnije što i gdje tražiti. I prije svega, idite na karticu poslužiteljUserGate\ Sučelja, ovdje označavamo koja mrežna kartica gleda na Internet ( 192.168.137.2 - WAN), a koji na lokalnu mrežu ( 192.168.0.4 - LAN).

Unaprijediti Korisnici i grupe \ Korisnici, ovdje postoji samo jedan korisnik, ovo je sama mašina na kojoj radi UserGate server i zove se Default, tj. zadano. Dodajmo sve korisnike koji će pristupiti internetu, imam ih tri:

Radna stanica-1-xp - 192.168.0.1

Radna stanica-2-xp - 192.168.0.2

Radna stanica-3-7 - 192.168.0.3

Grupu i tarifni plan ostavljamo prema zadanim postavkama, vrstu autorizacije, koristit ću je putem IP adrese, budući da sam ih ručno registrirao, i ostaju nepromijenjeni.

Sada konfigurirajmo sam proxy, idite na Usluge \ Postavke proxyja \http, ovdje odabiremo IP adresu koju smo naveli kao pristupnik na klijentskim strojevima, imam ovo 192.168.0.4 i također potvrdite okvir transparentan način rada, kako ne biste ručno unosili adresu proxy poslužitelja u preglednike, u ovom slučaju preglednik će pogledati koji je pristupnik naveden u postavkama mrežne veze i preusmjerit će zahtjeve na njega.