Acces la internet folosind UserGate. Revizuirea serverului proxy UserGate - o soluție cuprinzătoare pentru furnizarea accesului partajat la Internet Configurarea usergate pentru a funcționa cu un browser
Organizarea accesului partajat la Internet pentru utilizatori retea locala- una dintre cele mai frecvente sarcini cu care trebuie să se confrunte administratorii de sistem. Cu toate acestea, încă ridică multe dificultăți și întrebări. De exemplu, cum să asigurați securitatea maximă și controlabilitatea completă?
Introducere
Astăzi vom analiza în detaliu cum să organizăm accesul partajat la Internet între angajații unei anumite companii ipotetice. Să presupunem că numărul lor va fi în intervalul 50-100 de persoane, iar toate serviciile obișnuite pentru astfel de sisteme de informații sunt implementate în rețeaua locală: un domeniu Windows, propriul lor server de e-mail, un server FTP.
Pentru a oferi acces partajat, vom folosi o soluție numită UserGate Proxy & Firewall. Are mai multe caracteristici. În primul rând, aceasta este o dezvoltare pur rusească, spre deosebire de multe produse localizate. În al doilea rând, are mai mult de zece ani de istorie. Dar cel mai important lucru este dezvoltarea constantă a produsului.
Primele versiuni ale acestei soluții erau servere proxy relativ simple, care puteau partaja doar o singură conexiune la Internet și să păstreze statistici privind utilizarea acesteia. Cel mai răspândit dintre ele este build 2.8, care se găsește încă în birourile mici. Cea mai recentă versiune, a șasea, nu mai este numită server proxy de către dezvoltatori înșiși. Potrivit acestora, aceasta este o soluție UTM cu drepturi depline care acoperă o gamă întreagă de sarcini legate de securitate și controlul acțiunilor utilizatorului. Să vedem dacă acest lucru este adevărat.
Implementarea UserGate Proxy și Firewall
În timpul instalării, sunt interesați doi pași (pașii rămași sunt standard pentru instalarea oricărui software). Prima dintre acestea este alegerea componentelor. Pe lângă fișierele de bază, ni se cere să instalăm încă patru componente de server - un VPN, două antivirusuri (Panda și Kaspersky Anti-Virus) și un browser cache.
Modulul server VPN este instalat după cum este necesar, adică atunci când compania intenționează să folosească acces la distanță pentru angajați sau să combine mai multe rețele de la distanță. Este logic să instalați antivirusuri numai dacă licențele corespunzătoare au fost achiziționate de la companie. Prezența lor vă va permite să scanați traficul de internet, să localizați și să blocați programele malware direct la gateway. Browserul cache vă va permite să vizualizați paginile web stocate în cache de serverul proxy.
Caracteristici suplimentare
Interzicerea site-urilor nedorite
Soluția acceptă tehnologia Entensys URL Filtering. În esență, este o bază de date bazată pe cloud, care conține peste 500 de milioane de site-uri web în diferite limbi, împărțite în peste 70 de categorii. Principala sa diferență este monitorizarea constantă, timp în care proiectele web sunt monitorizate în mod constant și când conținutul se modifică, acestea sunt transferate într-o altă categorie. Acest lucru vă permite să blocați toate site-urile nedorite cu un grad ridicat de acuratețe, pur și simplu selectând anumite categorii.
Utilizarea Entensys URL Filtering mărește securitatea muncii pe Internet și, de asemenea, ajută la creșterea eficienței angajaților (prin interzicerea rețelele sociale, site-uri de divertisment și alte lucruri). Cu toate acestea, utilizarea sa necesită un abonament plătit, care trebuie reînnoit în fiecare an.
În plus, distribuția include încă două componente. Prima este „Consola de administrator”. Acest cerere separată, destinat, după cum sugerează și numele, pentru gestionarea serverului UserGate Proxy & Firewall. Caracteristica sa principală este capacitatea de a se conecta de la distanță. Astfel, administratorii sau cei responsabili cu utilizarea Internetului nu au nevoie de acces direct la gateway-ul Internet.
A doua componentă suplimentară este statisticile web. În esență, este un server web care vă permite să afișați statistici detaliate despre utilizarea rețelei globale de către angajații companiei. Pe de o parte, aceasta este, fără îndoială, o componentă utilă și convenabilă. La urma urmei, vă permite să primiți date fără a instala software suplimentar, inclusiv prin Internet. Dar, pe de altă parte, ocupă resurse de sistem inutile ale gateway-ului de internet. Prin urmare, este mai bine să-l instalați numai atunci când este cu adevărat necesar.
A doua etapă la care ar trebui să acordați atenție în timpul instalării UserGate Proxy & Firewall este alegerea unei baze de date. În versiunile anterioare, UGPF putea funcționa numai cu fișiere MDB, ceea ce a afectat performanța generală a sistemului. Acum există o alegere între două SGBD - Firebird și MySQL. Mai mult decât atât, primul este inclus în kitul de distribuție, astfel încât atunci când îl selectați, nu sunt necesare manipulări suplimentare. Dacă doriți să utilizați MySQL, trebuie mai întâi să îl instalați și să îl configurați. După finalizarea instalării componentelor serverului, este necesară pregătirea stațiilor de lucru pentru administratori și alți angajați responsabili care pot gestiona accesul utilizatorilor. Este foarte ușor de făcut. Este suficient să instalați consola de administrare din aceeași distribuție pe computerele lor de lucru.
Caracteristici suplimentare
Server VPN încorporat
Versiunea 6.0 a introdus componenta server VPN. Cu ajutorul acestuia puteți organiza un securizat acces la distanță angajații companiei la rețeaua locală sau combină rețelele de la distanță ale filialelor individuale ale organizației într-un singur spațiu de informații. Acest server VPN are tot ce ai nevoie funcţionalitate pentru a crea tuneluri server-server și client-server și rutare între subrețele.
Configurare de bază
Toată configurația UserGate Proxy & Firewall se realizează folosind consola de management. În mod implicit, după instalare, este deja creată o conexiune la serverul local. Cu toate acestea, dacă îl utilizați de la distanță, va trebui să creați manual conexiunea prin specificarea adresei IP sau a numelui de gazdă a gateway-ului de internet, a portului de rețea (implicit 2345) și a parametrilor de autorizare.
După conectarea la server, trebuie mai întâi să configurați interfețele de rețea. Acest lucru se poate face în fila „Interfețe” din secțiunea „Server UserGate”. Placa de rețea care „se uită” în rețeaua locală este setată la tipul LAN, iar toate celelalte conexiuni sunt setate la WAN. Conexiunile „temporare”, cum ar fi PPPoE, VPN, sunt atribuite automat tipul PPP.
Dacă o companie are două sau mai multe conexiuni la rețeaua globală, una dintre ele fiind cea principală, iar restul fiind cele de rezervă, atunci backupul automat poate fi configurat. Acest lucru este destul de ușor de făcut. Este suficient să adăugați interfețele necesare la lista celor de rezervă, să specificați una sau mai multe resurse de control și timpul pentru verificarea acestora. Principiul de funcționare al acestui sistem este următorul. UserGate verifică automat disponibilitatea site-urilor de control la un interval specificat. De îndată ce nu mai răspunde, produsul trece în mod independent, fără intervenția administratorului, la canalul de rezervă. În același timp, se continuă verificarea disponibilității resurselor de control prin interfața principală. Și de îndată ce are succes, trecerea înapoi este efectuată automat. Singurul lucru la care trebuie să acordați atenție atunci când configurați este alegerea resurselor de control. Este mai bine să luați mai multe site-uri mari, a căror funcționare stabilă este practic garantată.
Caracteristici suplimentare
Controlul aplicațiilor de rețea
UserGate Proxy & Firewall implementează o caracteristică atât de interesantă precum controlul aplicațiilor de rețea. Scopul său este de a împiedica orice software neautorizat să acceseze Internetul. Ca parte a setărilor de control, sunt create reguli care permit sau blochează munca în rețea diverse programe (cu sau fără versiune). Acestea pot specifica adrese IP specifice și porturi de destinație, ceea ce vă permite să configurați în mod flexibil accesul la software, permițându-i să efectueze doar anumite acțiuni pe Internet.
Controlul aplicațiilor vă permite să dezvoltați o politică corporativă clară privind utilizarea programelor și să preveniți parțial răspândirea programelor malware.
După aceasta, puteți trece direct la configurarea serverelor proxy. În total, soluția luată în considerare implementează șapte dintre ele: pentru protocoalele HTTP (inclusiv HTTP-uri), FTP, SOCKS, POP3, SMTP, SIP și H323. Acesta este practic tot ceea ce ar putea avea nevoie angajații unei companii pentru a lucra pe Internet. În mod implicit, numai proxy-ul HTTP este activat, dacă este necesar, toate celelalte pot fi activate.
Serverele proxy din UserGate Proxy & Firewall pot funcționa în două moduri - normal și transparent. În primul caz vorbim despre un proxy tradițional. Serverul primește cereri de la utilizatori și le transmite către servere externe și transmite răspunsurile primite clienților. Aceasta este o soluție tradițională, dar are propriile inconveniente. În special, este necesar să configurați fiecare program care este utilizat pentru a funcționa pe Internet (browser de internet, client de e-mail, ICQ etc.) pe fiecare computer din rețeaua locală. Aceasta este, desigur, multă muncă. Mai mult, periodic, pe măsură ce software-ul nou este instalat, acesta se va repeta.
Atunci când alegeți modul transparent, se folosește un driver NAT special, care este inclus în pachetul de livrare al soluției în cauză. Ascultă pe porturile corespunzătoare (80 pentru HTTP, 21 pentru FTP și așa mai departe), detectează cererile care vin la ele și le transmite serverului proxy, de unde sunt trimise mai departe. Această soluție are mai mult succes în sensul că configurarea software-ului pe mașinile client nu mai este necesară. Singurul lucru care este necesar este să specificați adresa IP a gateway-ului de Internet ca gateway principal în conexiunea de rețea a tuturor stațiilor de lucru.
Următorul pas este configurarea redirecționării interogărilor DNS. Există două moduri de a face acest lucru. Cel mai simplu dintre ele este să activezi așa-numita redirecționare DNS. Când îl utilizați, cererile DNS care sosesc la poarta de internet de la clienți sunt redirecționate către serverele specificate (poate fi utilizate ca server DNS din parametri conexiune la rețea, precum și orice server DNS arbitrar).
A doua opțiune este de a crea o regulă NAT care va primi cereri pe portul 53 (standard pentru DNS) și le va transmite către rețeaua externă. Cu toate acestea, în acest caz, va trebui fie să înregistrați manual serverele DNS în setările de conexiune la rețea de pe toate computerele, fie să configurați trimiterea cererilor DNS prin poarta de internet de la serverul controlerului de domeniu.
Managementul utilizatorilor
După finalizarea configurării de bază, puteți trece la lucrul cu utilizatorii. Trebuie să începeți prin a crea grupuri în care conturile vor fi ulterior combinate. Pentru ce este asta? În primul rând, pentru integrarea ulterioară cu Active Directory. Și în al doilea rând, puteți atribui reguli grupurilor (vom vorbi despre ele mai târziu), controlând astfel accesul pentru un număr mare de utilizatori simultan.
Următorul pas este să adăugați utilizatori în sistem. Puteți face acest lucru în trei moduri diferite. Din motive evidente, nici măcar nu luăm în considerare prima dintre ele, crearea manuală a fiecărui cont. Această opțiune este potrivită numai pentru rețelele mici cu un număr mic de utilizatori. A doua metodă este scanarea rețelei corporative cu solicitări ARP, timp în care sistemul însuși determină lista de conturi posibile. Totuși, alegem a treia opțiune, care este cea mai optimă din punct de vedere al simplității și ușurinței în administrare – integrarea cu Active Directory. Se realizează pe baza unor grupuri create anterior. În primul rând, trebuie să completați parametrii generali de integrare: specificați domeniul, adresa controlerului său, numele de utilizator și parola cu drepturile de acces necesare la acesta, precum și intervalul de sincronizare. După aceasta, fiecărui grup creat în UserGate trebuie să i se atribuie unul sau mai multe grupuri din Active Directory. De fapt, configurarea se termină aici. După salvarea tuturor parametrilor, sincronizarea va fi efectuată automat.
Utilizatorii creați în timpul autorizării vor folosi în mod implicit autorizarea NTLM, adică autorizarea prin autentificare la domeniu. Aceasta este o opțiune foarte convenabilă, deoarece regulile și sistemul de contabilitate a traficului vor funcționa indiferent de computerul la care se află utilizatorul.
Cu toate acestea, pentru a utiliza această metodă de autorizare aveți nevoie de suplimentar software- client special. Acest program funcționează la nivel Winsock și transmite parametrii de autorizare a utilizatorului către poarta de internet. Distribuția sa este inclusă în pachetul UserGate Proxy & Firewall. Puteți instala rapid clientul pe toate stațiile de lucru utilizând politicile de grup Windows.
Apropo, autorizarea NTLM este departe de a fi singura metodă de autorizare a angajaților companiei să lucreze pe Internet. De exemplu, dacă o organizație practică legarea strictă a lucrătorilor de stațiile de lucru, atunci o adresă IP, o adresă MAC sau o combinație a ambelor pot fi utilizate pentru a identifica utilizatorii. Folosind aceleași metode, puteți organiza accesul la o rețea globală de diverse servere.
Controlul utilizatorului
Unul dintre avantajele semnificative ale UGPF este capabilitățile sale extinse de control al utilizatorului. Ele sunt implementate folosind un sistem de reguli de control al traficului. Principiul funcționării sale este foarte simplu. Administratorul (sau altă persoană responsabilă) creează un set de reguli, fiecare dintre acestea reprezentând una sau mai multe condiții de declanșare și acțiunea care este efectuată atunci când acestea apar. Aceste reguli sunt atribuite utilizatorilor individuali sau grupurilor întregi dintre aceștia și vă permit să controlați automat munca lor pe Internet. Există patru acțiuni posibile în total. Prima este închiderea conexiunii. Permite, de exemplu, să blochezi descărcarea anumitor fișiere, să previi vizitarea site-urilor nedorite etc. A doua acțiune este modificarea tarifului. Este utilizat în sistemul tarifar, care este integrat în produsul analizat (nu îl luăm în considerare, deoarece nu este deosebit de relevant pentru rețelele corporative). Următoarea acțiune vă permite să dezactivați contorizarea traficului primit în cadrul acestei conexiuni. În acest caz, informațiile transmise nu sunt luate în considerare la calcularea consumului zilnic, săptămânal și lunar. Și, în sfârșit, ultima acțiune este limitarea vitezei la valoarea specificată. Este foarte convenabil de utilizat pentru a preveni înfundarea canalului atunci când descărcați fișiere mari și rezolvați alte probleme similare.
Sunt mult mai multe condiții în regulile de control al traficului - vreo zece. Unele dintre ele sunt relativ simple, cum ar fi dimensiunea maximă a fișierului. Această regulă va fi declanșată atunci când utilizatorii încearcă să descarce un fișier mai mare decât dimensiunea specificată. Alte condiții sunt bazate pe timp. În special, printre ele putem remarca programul (declanșat de oră și zile ale săptămânii) și sărbătorile (declanșate în zilele specificate).
Cu toate acestea, cel mai mare interes sunt termenii și condițiile asociate site-urilor și conținutului. În special, ele pot fi folosite pentru a bloca sau a seta alte acțiuni asupra anumitor tipuri de conținut (de exemplu, video, audio, fișiere executabile, text, imagini etc.), proiecte web specifice sau întregii lor categorii (tehnologia Entensys URL Filtering este folosit pentru aceasta).
Este de remarcat faptul că o regulă poate conține mai multe condiții simultan. În acest caz, administratorul poate specifica în ce caz va fi executat - dacă toate condițiile sau oricare dintre ele sunt îndeplinite. Acest lucru vă permite să creați o politică foarte flexibilă pentru utilizarea Internetului de către angajații companiei, ținând cont număr mare tot felul de nuanțe.
Configurarea unui firewall
O parte integrantă a driverului UserGate NAT este firewall-ul, care poate fi folosit pentru a rezolva diverse sarcini legate de prelucrare trafic de rețea. Pentru configurare, se folosesc reguli speciale, care pot fi unul din trei tipuri: traducerea adresei de rețea, rutare și firewall. În sistem poate exista un număr arbitrar de reguli. În acest caz, ele se aplică în ordinea în care sunt enumerate în lista generală. Prin urmare, dacă traficul de intrare se potrivește cu mai multe reguli, acesta va fi procesat de cel care se află deasupra celorlalte.
Fiecare regulă este caracterizată de trei parametri principali. Prima este sursa de trafic. Aceasta poate fi una sau mai multe gazde specifice, interfața WAN sau LAN a gateway-ului de Internet. Al doilea parametru este scopul informațiilor. Interfața LAN sau WAN sau conexiunea dial-up pot fi specificate aici. Ultima caracteristică principală a unei reguli este unul sau mai multe servicii cărora li se aplică. În UserGate Proxy & Firewall, un serviciu este înțeles ca o pereche de o familie de protocoale (TCP, UDP, ICMP, protocol arbitrar) și un port de rețea (sau o gamă de porturi de rețea). Implicit, sistemul are deja un set impresionant de servicii preinstalate, de la cele comune (HTTP, HTTPs, DNS, ICQ) la unele specifice (WebMoney, RAdmin, diverse jocuri online etc.). Cu toate acestea, dacă este necesar, administratorul își poate crea propriile servicii, de exemplu, cele care descriu modul de lucru cu online banking.
Fiecare regulă are și o acțiune pe care o efectuează cu trafic care se potrivește condițiilor. Sunt doar două dintre ele: permite sau interzice. În primul caz, traficul circulă nestingherit pe traseul specificat, în timp ce în al doilea este blocat.
Regulile de traducere a adreselor de rețea folosesc tehnologia NAT. Cu ajutorul lor, puteți configura accesul la Internet pentru stațiile de lucru cu adrese locale. Pentru a face acest lucru, trebuie să creați o regulă, specificând interfața LAN ca sursă și interfața WAN ca destinație. Regulile de rutare se aplică dacă soluția în cauză va fi folosită ca router între două rețele locale (implementează această caracteristică). În acest caz, rutarea poate fi configurată pentru a transporta traficul bidirecțional și transparent.
Regulile de firewall sunt folosite pentru a procesa traficul care nu ajunge la serverul proxy, ci direct la gateway-ul de internet. Imediat după instalare, sistemul are o astfel de regulă care permite toate pachetele de rețea. În principiu, dacă gateway-ul Internet creat nu va fi folosit ca stație de lucru, atunci acțiunea regulii poate fi schimbată de la „Permite” la „Refuză”. În acest caz, orice activitate de rețea pe computer va fi blocată, cu excepția pachetelor NAT de tranzit transmise din rețeaua locală la Internet și înapoi.
Regulile firewall vă permit să publicați orice servicii locale în rețeaua globală: servere web, servere FTP, servere de e-mail etc. În același timp, utilizatorii de la distanță au posibilitatea de a se conecta la ei prin Internet. De exemplu, luați în considerare publicarea unui server FTP corporativ. Pentru a face acest lucru, administratorul trebuie să creeze o regulă în care să selecteze „Orice” ca sursă, să specifice interfața WAN dorită ca destinație și FTP ca serviciu. După aceasta, selectați acțiunea „Permite”, activați difuzarea traficului și în câmpul „Adresa de destinație” specificați adresa IP a serverului FTP local și portul său de rețea.
După această configurare, toate conexiunile la plăcile de rețea gateway de Internet prin portul 21 vor fi redirecționate automat către serverul FTP. Apropo, în timpul procesului de configurare, puteți selecta nu numai pe cel „nativ”, ci și orice alt serviciu (sau să creați al dvs.). În acest caz, utilizatorii externi vor trebui să contacteze un alt port decât 21. Această abordare este foarte convenabilă în cazurile în care sistem informatic există două sau mai multe servicii de același tip. De exemplu, puteți organiza accesul extern la portal corporativ prin portul HTTP standard 80 și acces la statisticile web UserGate prin portul 81.
Accesul extern la serverul de mail intern este configurat într-un mod similar.
Important trăsătură distinctivă firewall implementat - sistem de prevenire a intruziunilor. Funcționează complet automat, identificând încercările neautorizate pe baza semnăturilor și metodelor euristice și neutralizându-le prin blocarea fluxurilor de trafic nedorite sau resetarea conexiunilor periculoase.
Să rezumam
În această revizuire, am examinat în detaliu organizarea accesului partajat al angajaților companiei la Internet. ÎN conditii moderne Acesta nu este cel mai ușor proces, deoarece trebuie să țineți cont de un număr mare de nuanțe diferite. Mai mult, atât aspectele tehnice, cât și cele organizatorice sunt importante, în special controlul acțiunilor utilizatorilor.
După ce a conectat internetul la birou, fiecare șef vrea să știe pentru ce plătește. Mai ales dacă tariful nu este nelimitat, ci bazat pe trafic. Există mai multe modalități de a rezolva problemele de control al traficului și organizarea accesului la Internet la scară întreprindere. Voi vorbi despre implementarea serverului proxy UserGate pentru a obține statistici și a controla lățimea de bandă a canalului folosind experiența mea ca exemplu.
Voi spune imediat că am folosit serviciul UserGate (versiunea 4.2.0.3459), dar metodele de organizare a accesului și tehnologiile folosite sunt folosite și în alte servere proxy. Deci, pașii descriși aici sunt în general potriviți pentru alte soluții software (de exemplu, Kerio Winroute Firewall sau alte proxy), cu diferențe minore în detaliile de implementare a interfeței de configurare.
Voi descrie sarcina care mi-a fost atribuită: Există o rețea de 20 de mașini, există un modem ADSL în aceeași subrețea (alternativ 512/512 kbit/s). Este necesar să se limiteze viteza maximă pentru utilizatori și să țină evidența traficului. Sarcina este puțin complicată de faptul că accesul la setările modemului este închis de către furnizor (accesul este posibil doar prin terminal, dar parola este la furnizor). Pagina de statistici de pe site-ul furnizorului este indisponibilă (Nu întrebați de ce, există un singur răspuns - compania are o astfel de relație cu furnizorul).
Instalăm usergate și o activăm. Pentru a organiza accesul la rețea vom folosi NAT ( Traducere adrese de rețea- „traducere adrese de rețea”). Pentru ca tehnologia să funcționeze, este necesar să avem două plăci de rețea pe mașina unde vom instala serverul (serviciul) UserGate (Există posibilitatea ca NAT-ul să funcționeze pe o singură placă de rețea atribuindu-i două adrese IP în diferite subrețele).
Aşa, stadiu inițial setări - configurare driver NAT(driver de la UserGate, instalat în timpul instalării principale a serviciului). Ne sunt necesare două interfețe de rețea(citește plăcile de rețea) pe hardware-ul serverului ( Pentru mine aceasta nu a fost o problemă, pentru că... Am implementat UserGate pe o mașină virtuală. Și acolo puteți face „multe” plăci de rețea).
În mod ideal, să Modemul în sine este conectat la o singură placă de rețea, A la al doilea - întreaga rețea, de pe care vor accesa Internetul. În cazul meu, modemul este instalat în camere diferite cu serverul (mașină fizică), iar eu sunt prea leneș și nu am timp să mută echipamentul (și în viitorul apropiat, organizarea unei săli de servere). Am conectat ambele adaptoare de rețea la aceeași rețea (fizic), dar le-am configurat pentru subrețele diferite. Deoarece nu am reușit să schimb setările modemului (accesul a fost blocat de către furnizor), a trebuit să transfer toate computerele pe o altă subrețea (din fericire, acest lucru se face cu ușurință folosind DHCP).
Placa de retea conectata la modem ( Internet) configurat ca înainte (conform datelor de la furnizor).
- Numim adresa IP statica(în cazul meu este 192.168.0.5);
- Nu am schimbat masca de subrețea 255.255.255.0, dar poate fi configurată în așa fel încât să fie doar două dispozitive în subrețeaua serverului proxy și modemului;
- Gateway - adresa modemului 192.168.0.1
- Adresele serverelor DNS ale furnizorului ( principale și suplimentare necesare).
A doua placă de rețea, conectat la rețeaua internă ( intranet), configurați după cum urmează:
- Static Adresă IP, dar într-o subrețea diferită(Am 192.168.1.5);
- Masca conform setărilor tale de rețea (am 255.255.255.0);
- Poarta de acces noi nu indicam.
- În câmpul pentru adresa serverului DNS introduceți adresa serverului DNS al companiei(dacă există, dacă nu, lăsați-l necompletat).
Notă: trebuie să vă asigurați că utilizarea componentei NAT din UserGate este selectată în setările interfeței de rețea.
După configurarea interfețelor de rețea lansați serviciul UserGate în sine(nu uitați să îl configurați să funcționeze ca un serviciu care să se lanseze automat cu drepturi de sistem) și accesați consola de management(posibil local sau de la distanță). Hai sa mergem la " Regulile rețelei" și selectați " Expertul de configurare NAT", va trebui să indicați intranetul dvs. ( intranet) și internetul ( Internet) adaptoare. Intranet - un adaptor conectat la o rețea internă. Expertul va configura driverul NAT.
După care trebuie să înțelegeți regulile NAT, pentru care mergem la „Setări de rețea” - „NAT”. Fiecare regulă are mai multe câmpuri și un statut (activ și inactiv). Esența câmpurilor este simplă:
- Titlu - numele regulii, Recomand să oferi ceva semnificativ(nu este nevoie să scrieți adrese și porturi în acest câmp, aceste informații vor fi deja disponibile în lista de reguli);
- Interfața receptorului este a ta interfață intranet(în cazul meu 192.168.1.5);
- Interfața expeditorului este a ta interfață de internet(pe aceeași subrețea cu modemul, în cazul meu 192.168.0.5);
- Port- indicați din ce categorie aparține această regulă (de exemplu, pentru browser (HTTP) portul 80 și pentru primirea e-mailului, portul 110). Puteți specifica o gamă de porturi, dacă nu vrei să te încurci, dar nu este recomandat să faci asta pentru toată gama de porturi.
- Protocol - selectați una dintre opțiunile din meniul derulant: TCP(de obicei), UPD sau ICMP(de exemplu, pentru a opera comenzile ping sau tracert).
Inițial, lista de reguli conține deja cele mai utilizate reguli necesare pentru funcționarea e-mailului și a diferitelor tipuri de programe. Dar am completat lista standard cu propriile mele reguli: pentru rularea interogărilor DNS (fără a folosi opțiunea de redirecționare din UserGate), pentru rularea conexiunilor securizate SSL, pentru rularea unui client torrent, pentru rularea programului Radmin etc. Iată capturi de ecran ale listei mele de reguli. Lista este încă mică, dar se extinde în timp (odată cu apariția nevoii de a lucra la un nou port).
Următoarea etapă este configurarea utilizatorilor. In cazul meu am ales autorizare prin adresa IP și adresa MAC. Există opțiuni de autorizare numai după adresa IP și acreditările Active Directory. De asemenea, puteți utiliza autorizarea HTTP (de fiecare dată când utilizatorii introduc prima dată o parolă prin browser). Creăm utilizatori și grupuri de utilizatoriŞi atribuiți-le regulile NAT utilizate(Trebuie să dăm utilizatorului Internet în browser - activăm regula HTTP cu portul 80 pentru el, trebuie să îi dăm ICQ - regula ICQ cu apoi 5190).
În sfârșit, în etapa de implementare, am configurat utilizatorii să lucreze printr-un proxy. Pentru asta am folosit serviciul DHCP. Următoarele setări sunt transferate pe computerele client:
- Adresa IP este dinamică de la DHCP în intervalul subrețelei intranet (în cazul meu intervalul este 192.168.1.30 -192.168.1.200. Am configurat rezervarea adresei IP pentru mașinile necesare).
- Mască de subrețea (255.255.255.0)
- Gateway - adresa mașinii cu UserGate în rețeaua locală (adresă Intranet - 192.168.1.5)
- Servere DNS - ofer 3 adrese. Prima este adresa serverului DNS al întreprinderii, a doua și a treia sunt adresele DNS ale furnizorului. (DNS-ul companiei este configurat pentru a redirecționa către DNS-ul furnizorului, astfel încât în cazul unei „căderi” DNS-ului local, numele de internet vor fi rezolvate pe DNS-ul furnizorului).
Pe aceasta configurarea de bază finalizată. Stânga verificați funcționalitatea, pentru a face acest lucru pe computerul client de care aveți nevoie (prin primirea setărilor de la DHCP sau adăugându-le manual, în conformitate cu recomandările de mai sus) lansați browserul și deschideți orice pagină de pe Internet. Dacă ceva nu funcționează, verificați din nou situația:
- Sunt corecte setările adaptorului de rețea client? (Mașina cu serverul proxy face ping?)
- Este utilizatorul/calculatorul autorizat pe serverul proxy? (vezi metode de autorizare UserGate)
- Utilizatorul/grupul are reguli NAT activate care sunt necesare pentru funcționare? (pentru ca browserul să funcționeze, aveți nevoie de cel puțin reguli HTTP pentru protocolul TCP pe portul 80).
- Sunt depășite limitele de trafic pentru utilizator sau grup? (Nu l-am prezentat eu însumi).
Acum puteți monitoriza utilizatorii conectați și regulile NAT pe care le folosesc în elementul „Monitorizare” din consola de gestionare a serverului proxy.
Alte setări proxy sunt deja reglate, la cerințe specifice. Primul lucru pe care l-am făcut a fost să activez limitarea lățimii de bandă în proprietățile utilizatorului (mai târziu puteți implementa un sistem de reguli pentru a limita viteza) și să activez servicii suplimentare UserGate - un server proxy (HTTP pe portul 8080, SOCKS5 pe portul 1080). Activarea serviciilor proxy vă permite să utilizați memorarea în cache a cererilor. Dar este necesar să se efectueze o configurare suplimentară a clienților pentru a lucra cu serverul proxy.
Aveți întrebări? Vă sugerez să-i întrebați chiar aici.
________________________________________
După conectarea rețelei locale la Internet, este logic să configurați un sistem de contabilitate a traficului și programul Usergate ne va ajuta în acest sens. Usergate este un server proxy și vă permite să controlați accesul computerelor din rețeaua locală la Internet.
Dar mai întâi, să ne amintim cum am configurat anterior rețeaua în cursul video „Crearea și configurarea unei rețele locale între Windows 7 și WindowsXP” și cum am oferit tuturor computerelor acces la Internet printr-un singur canal de comunicare. Acesta poate fi reprezentat schematic sub următoarea formă: sunt patru calculatoare pe care le-am conectat într-o rețea peer-to-peer, am ales stația de lucru stația de lucru-4-7, cu sistemul de operare Windows 7, ca gateway, i.e. a conectat o placă de rețea suplimentară cu acces la Internet și a permis altor computere din rețea să acceseze Internetul prin această conexiune de rețea. Celelalte trei mașini sunt clienți de Internet și adresa IP a computerului care distribuie Internetul a fost indicată pe acestea ca gateway și DNS. Ei bine, acum să ne uităm la problema controlului accesului la Internet.
Instalarea UserGate nu este diferită de instalarea unui program obișnuit după instalare, sistemul solicită repornirea, așa că repornăm. După repornire, în primul rând, să încercăm să accesăm Internetul de pe computerul pe care este instalat UserGate - este posibil să îl accesăm, dar nu de pe alte computere, prin urmare, serverul Proxy a început să funcționeze și, implicit, interzice tuturor accesarea Internetului, deci trebuie să-l configurați.
Lansați consola de administrator ( Start\Programe\UserGate\Consola de administrare) și aici apare consola în sine și se deschide o filă Conexiuni. Dacă încercăm să deschidem oricare dintre filele din stânga, se afișează un mesaj (Consola de administrator UserGate nu este conectată la Serverul UserGate), așa că atunci când începem, se deschide fila Conexiuni pentru a ne putea conecta mai întâi la serverul UserGate.
Și astfel, în mod implicit, numele serverului este local; Utilizator – Administrator; Server – localhost, de ex. partea de server este localizată pe acest computer; Port – 2345.
Faceți dublu clic pe această intrare și conectați-vă la serviciul UserGate dacă conexiunea eșuează, verificați dacă serviciul rulează (; Ctrl+ Alt+ Esc\Servicii\UserGate)
Când vă conectați pentru prima dată, pornește Expert de configurareUserGate, faceți clic Nu, deoarece vom configura totul manual pentru a fi mai clar ce și unde să căutam. Și, în primul rând, accesați fila ServerUserGate\ Interfeţe, aici indicăm ce placă de rețea se conectează la Internet ( 192.168.137.2 - WAN), și care către rețeaua locală ( 192.168.0.4 - LAN).
Următorul Utilizatori și grupuri\Utilizatori, există un singur utilizator aici, aceasta este mașina în sine pe care rulează serverul UserGate și se numește Default, adică implicit. Să adăugăm toți utilizatorii care vor intra online, am trei dintre ei:
Stație de lucru-1-xp – 192.168.0.1
Work-station-2-xp – 192.168.0.2
Postul de lucru-3-7 – 192.168.0.3
Lăsăm implicit planul de grup și tarif, voi folosi tipul de autorizare prin adresa IP, deoarece le am înregistrat manual și rămân neschimbate.
Acum să configuram proxy-ul în sine, accesați Servicii\Setări proxy\HTTP, aici selectăm adresa IP pe care am specificat-o ca gateway pe mașinile client, am asta 192.168.0.4 , și pune, de asemenea, o căpușă Modul transparent Pentru a nu introduce manual adresa serverului proxy în browsere, în acest caz browserul va analiza ce gateway este specificat în setările de conexiune la rețea și va redirecționa cererile către acesta.
„Ghidul administratorului UserGate Proxy și Firewall v.6 Cuprins Introducere Despre program Cerințe de sistem Instalarea actualizării de înregistrare UserGate Proxy și Firewall...”
-- [ Pagina 1 ] --
UserGate Proxy și Firewall v.6
Ghidul Administratorului
Introducere
Despre program
Cerințe de sistem
Instalarea UserGate Proxy și Firewall
Înregistrare
Actualizați și ștergeți
Politica de licențiere UserGate Proxy și Firewall
Consola de administrare
Configurarea conexiunilor
Setarea unei parole de conectare
Autentificarea administratorului UserGate
Setarea unei parole pentru a accesa baza de date cu statistici UserGate
Setări generale NAT (Network Address Translation).
Setări generale
Configurarea interfețelor
Contorizarea traficului în UserGate
Suport pentru canal de rezervă
Utilizatori și grupuri
Sincronizare cu Active Directory
Pagina personală cu statistici utilizatori
Suport utilizator terminal
Configurarea serviciilor în UserGate
Configurare DHCP
Configurarea serviciilor proxy în UserGate
Suport pentru protocoale de telefonie IP (SIP, H323)
Suport mod SIP Registrar
Suport protocol H323
Proxy-uri de e-mail în UserGate
Folosind modul transparent
Proxy-uri în cascadă
Alocarea portului
Configurare cache
Scanare antivirus
Programator în UserGate
Setări DNS
Configurarea unui server VPN
Configurarea unui sistem de detectare a intruziunilor (IDS)
Configurarea alertelor
Firewall în UserGate
Cum funcționează un firewall
Înregistrarea evenimentelor ME
Reguli de traducere a adresei de rețea (NAT).
Lucrul cu mai mulți furnizori
Selectarea automată a interfeței de ieșire
www.usergate.ru
Publicarea resurselor de rețea
Configurarea regulilor de filtrare
Suport de rutare
Limită de viteză în UserGate
Controlul aplicației
Cache-ul browserului în UserGate
Gestionarea traficului în UserGate
Sistemul de reguli de control al traficului
Restricționarea accesului la resursele de internet
Filtrarea URL-ului Entensys
Stabilirea unei limite de consum de trafic
Limită de dimensiune a fișierului
Filtrarea după tipul de conținut
Sistem de facturare
Tarifare pentru acces la Internet
Evenimente periodice
Schimbarea dinamică a tarifelor
Administrarea de la distanță a UserGate
Configurarea unei conexiuni la distanță
Repornirea de la distanță a serverului UserGate
Verificarea disponibilității unei noi versiuni
Statistici web UserGate
Evaluarea eficacității regulilor de control al traficului
Evaluarea eficacității antivirusului
Statistici de utilizare SIP
Aplicație
Controlul integrității UserGate
Se verifică pornirea corectă
Ieșirea informațiilor de depanare
Obținerea de asistență tehnică
www.usergate.ru
Introducere Un server proxy este un set de programe care acționează ca intermediar (din engleză „proxy” - „intermediar”) între stațiile de lucru ale utilizatorului și alte servicii de rețea.
Soluția transmite toate cererile utilizatorilor pe Internet și, la primirea unui răspuns, îl trimite înapoi. Cu o funcție de cache, serverul proxy își amintește cererile stației de lucru către resurse externe, iar dacă cererea este repetată, returnează resursa din propria memorie, ceea ce reduce semnificativ timpul de solicitare.
În unele cazuri, o solicitare a clientului sau un răspuns de la server pot fi modificate sau blocate de un server proxy pentru a efectua anumite sarcini, de exemplu, pentru a preveni infectarea virușilor cu stațiile de lucru.
Despre program UserGate Proxy & Firewall este o soluție cuprinzătoare pentru conectarea utilizatorilor la Internet, oferind contabilitate completă a traficului, control al accesului și protecție încorporată a rețelei.
UserGate vă permite să taxați accesul utilizatorului la Internet, atât în funcție de trafic, cât și de timpul petrecut în rețea. Administratorul poate adăuga diferite planuri tarifare, schimba dinamic tarifele, automatiza retragerea/acumularea fondurilor și reglementează accesul la resursele de internet. Firewall-ul încorporat și modulul antivirus vă permit să protejați serverul UserGate și să scanați traficul care trece prin acesta pentru prezența codului rău intenționat. Puteți utiliza serverul și clientul VPN încorporat pentru a vă conecta în siguranță la rețeaua organizației dvs.
UserGate este format din mai multe părți: un server, o consolă de administrare (UserGateAdministrator) și mai multe module suplimentare. Serverul UserGate (process usergate.exe) este partea principală a serverului proxy, care implementează toate funcționalitățile acestuia.
Serverul UserGate oferă acces la Internet, contorizează traficul, păstrează statistici ale activității utilizatorilor în rețea și efectuează multe alte sarcini.
Consola de administrare UserGate este un program conceput pentru a gestiona serverul UserGate. Consola de administrare UserGate comunică cu partea de server printr-un protocol special securizat prin TCP/IP, care vă permite să efectuați administrarea serverului de la distanță.
UserGate include trei module suplimentare: „Web Statistics”, „Authorization Client” și modulul „Application Control”.
www.entensys.ru
Cerințe de sistem Se recomandă instalarea UserGate Server pe un computer cu sistemul de operare Windows XP/2003/7/8/2008/2008R2/2012 conectat la Internet printr-un modem sau orice altă conexiune. Cerințe hardware pentru server:
– – –
Instalarea UserGate Proxy & Firewall Procedura de instalare UserGate constă în rularea fișierului de instalare și selectarea opțiunilor asistentului de instalare. Când instalați soluția pentru prima dată, este suficient să lăsați opțiunile implicite. Odată ce instalarea este finalizată, va trebui să reporniți computerul.
Înregistrare Pentru a înregistra programul, trebuie să porniți serverul UserGate, să conectați consola de administrare la server și să selectați elementul de meniu „Ajutor” - „Înregistrare produs”. Când vă conectați la consola de administrare pentru prima dată, va apărea un dialog de înregistrare cu două opțiuni disponibile: solicitați o cheie demo și solicitați o cheie cu funcții complete. Solicitarea cheii se realizează online (protocol HTTPS), prin accesarea site-ului usergate.ru.
Când solicitați o cheie cu funcții complete, trebuie să introduceți un cod PIN special, care este emis la achiziționarea UserGate Proxy & Firewall sau de către serviciul de asistență pentru testare. În plus, în timpul înregistrării va trebui să introduceți un suplimentar Informații personale(nume de utilizator, adresa e-mail, țară, regiune). Datele personale sunt folosite exclusiv pentru a lega licența de utilizator și nu sunt distribuite în niciun fel. După primirea cheii complete sau demo, serverul UserGate va fi repornit automat.
www.usergate.ru
Important! În modul demonstrativ, serverul UserGate Proxy & Firewall va funcționa timp de 30 de zile. Când contactați Entensys, puteți solicita un PIN special pentru testarea avansată. De exemplu, puteți solicita o cheie demo pentru trei luni. Este imposibil să obțineți din nou o licență de probă fără a introduce un cod PIN special extins.
Important! Când UserGate Proxy & Firewall rulează, starea cheii de înregistrare este verificată periodic. Pentru ca UserGate să funcționeze corect, trebuie să permiteți accesul la Internet prin protocolul HTTPS. Acest lucru este necesar pentru verificarea online a stării cheii. Dacă verificarea cheii eșuează de trei ori, licența pentru serverul proxy va fi resetată și va apărea dialogul de înregistrare a programului. Programul implementează un contor pentru numărul maxim de activări, care este de 10 ori. După depășirea acestei limite, veți putea activa produsul cu cheia dvs. numai după ce contactați serviciul de asistență la: http://entensys.ru/support.
Actualizați și ștergeți Versiune nouă UserGate Proxy & Firewall v.6 poate fi instalat pe deasupra versiunilor anterioare ale celei de-a cincea familii. În acest caz, asistentul de instalare vă va solicita să salvați sau să suprascrieți fișierul de setări server config.cfg și fișierul de statistici log.mdb. Ambele fișiere se află în directorul în care este instalat UserGate (denumit în continuare „%UserGate%”). Serverul UserGate v.6 acceptă formatul de setări UserGate v.4.5, astfel încât atunci când porniți serverul pentru prima dată, setările vor fi convertite în nou format automat.
Compatibilitatea inversă a setărilor nu este acceptată.
Atenţie! Pentru fișierul de statistici, doar transferul soldurilor curente ale utilizatorilor nu vor fi transferate;
Modificările la baza de date au fost cauzate de probleme de performanță cu cea veche și de limitări ale dimensiunii acesteia. Noua bază de date Firebird nu are astfel de neajunsuri.
Serverul UserGate poate fi dezinstalat prin elementul corespunzător de meniu Start Programs sau prin Adăugare sau eliminare programe (Programe și caracteristici în Windows 7/2008/2012) din Panoul de control Windows. După eliminarea UserGate, unele fișiere vor rămâne în directorul de instalare a programului, cu excepția cazului în care a fost selectată opțiunea de a elimina toate.
Politica de licențiere UserGate Proxy & Firewall Serverul UserGate este proiectat pentru a oferi acces la Internet utilizatorilor rețelei locale. Numărul maxim de utilizatori care pot lucra simultan pe Internet prin UserGate este indicat de numărul de „sesiuni” și este determinat de cheia de înregistrare.
Cheia de înregistrare UserGate v.6 este unică și nu funcționează cu versiunile anterioare ale UserGate. În perioada demo, soluția funcționează timp de 30 de zile cu o limită de cinci sesiuni. Conceptul de „sesiune” nu trebuie confundat cu numărul de aplicații sau conexiuni Internet pe care le rulează un utilizator. Numărul de conexiuni de la un utilizator poate fi oricare, cu excepția cazului în care este limitat în mod specific.
www.usergate.ru
Modulele antivirus încorporate în UserGate (de la Kaspersky Lab, Panda Security și Avira), precum și modulul Entensys URL Filtering, sunt licențiate separat. În versiunea demo a UserGate, modulele încorporate pot funcționa timp de 30 de zile.
Modulul Entensys URL Filtering, conceput pentru a funcționa cu categorii de site-uri web, oferă posibilitatea de a lucra în modul demonstrativ pentru o perioadă de 30 de zile. La achiziționarea UserGate Proxy & Firewall cu un modul de filtrare, licența pentru Entensys URL Filtering este valabilă timp de un an. Odată ce perioada de abonament expiră, filtrarea resurselor prin modul se va opri.
www.usergate.ru
Consola de administrare Consola de administrare este o aplicație concepută pentru a gestiona un server UserGate local sau la distanță. Pentru a utiliza consola de administrare, trebuie să porniți serverul UserGate selectând Start UserGate server din meniul contextual al agentului UserGate (pictograma din bara de sistem, denumită în continuare
- „agent”). Puteți lansa consola de administrare prin meniul contextual al agentului sau prin elementul de meniu Start Programs dacă consola de administrare este instalată pe alt computer. Pentru a lucra cu setările, trebuie să conectați consola de administrare la server.
Schimbul de date între consola de administrare și serverul UserGate se realizează prin protocolul SSL. La inițializarea conexiunii (SSLHandshake), se realizează autentificarea unidirecțională, timp în care serverul UserGate își transferă certificatul, aflat în directorul %UserGate%\ssl, către consola de administrare. Nu este necesar un certificat sau o parolă de la consola de administrare pentru a vă conecta.
Configurarea conexiunilor Când porniți prima dată, consola de administrare se deschide pe pagina Conexiuni, care conține o singură conexiune la serverul localhost pentru utilizatorul Administrator. Parola de conectare nu a fost setată. Puteți conecta consola de administrare la server făcând dublu clic pe linia localhost-administrator sau făcând clic pe butonul Conectare de pe panoul de control. Puteți crea mai multe conexiuni în consola de administrare UserGate. Setările de conectare specifică următorii parametri:
Numele serverului este numele conexiunii;
Nume utilizator – autentificare pentru a vă conecta la server;
Adresa serverului – numele de domeniu sau adresa IP a serverului UserGate;
Port – portul TCP folosit pentru a se conecta la server (în mod implicit, este utilizat portul 2345);
Parola – parola pentru conectare;
Solicitați parola la conectare – această opțiune vă permite să afișați un dialog pentru introducerea numelui de utilizator și a parolei atunci când vă conectați la server;
Conectați-vă automat la acest server – consola de administrare se va conecta automat la acest server când este lansată.
Setările consolei de administrare sunt stocate în fișierul console.xml situat în directorul %UserGate%\Administrator\. Pe partea de server UserGate, numele de utilizator și hash md5 al parolei pentru conexiune sunt stocate în fișierul config.cfg, situat în directorul %UserGate_data, unde %UserGate_data% este folderul pentru Windows XP – (C:\Documents și Settings\All www.usergate.ru Users\Application Data\Entensys\UserGate6), pentru folderul Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Setarea unei parole pentru conexiune Puteți crea o login și parola pentru conectarea la serverul UserGate pe pagina Setări generale din secțiunea Setări administrator. În aceeași secțiune puteți specifica portul TCP pentru conectarea la server. Pentru ca noile setări să intre în vigoare, trebuie să reporniți serverul UserGate (elementul Reporniți serverul UserGate din meniul agent). După ce serverul este repornit, trebuie specificate noi setări în parametrii de conexiune din consola de administrare. În caz contrar, administratorul nu se va putea conecta la server.
Atenţie! Pentru a evita problemele cu funcționalitatea consolei de administrare UserGate, nu se recomandă modificarea acestor parametri!
Autentificarea administratorului UserGate Pentru a conecta cu succes consola de administrare la serverul UserGate, administratorul trebuie să parcurgă procedura de autentificare pe partea serverului.
Autentificarea administratorului se realizează după stabilirea unei conexiuni SSL între consola de administrare și serverul UserGate. Consola trimite login-ul și md5 hash-ul parolei de administrator către server. Serverul UserGate compară datele primite cu ceea ce este specificat în fișierul de setări config.cfg.
Autentificarea este considerată reușită dacă datele primite de la consola de administrare se potrivesc cu ceea ce este specificat în setările serverului. Dacă autentificarea eșuează, serverul UserGate întrerupe conexiunea SSL cu consola de administrare. Rezultatul procedurii de autentificare este înregistrat în fișierul usergate.log, aflat în directorul %UserGate_data%\logging\.
Setarea unei parole pentru accesarea bazei de date statistice UserGate Statistici utilizator - trafic, resurse vizitate etc.
sunt înregistrate de serverul UserGate într-o bază de date specială. Accesul la baza de date se realizează direct (pentru baza de date Firebird încorporată) sau prin driverul ODBC, care permite serverului UserGate să lucreze cu baze de date de aproape orice format (MSAccess, MSSQL, MySQL). Baza de date Firebird implicită este %UserGate_data%\usergate.fdb. Login și parola pentru a accesa baza de date – SYSDBA\masterkey. Puteți seta o parolă diferită prin elementul Setări generale Setări baze de date din consola de administrare.
Setări generale NAT (traducere adrese de rețea) Elementul Setări generale NAT vă permite să setați valoarea timeout pentru conexiunile NAT utilizând protocoalele TCP, UDP sau ICMP. Valoarea timeout determină durata de viață a unei conexiuni de utilizator prin NAT atunci când transmiterea datelor prin conexiune este finalizată. Opțiunea Ieșire jurnalele de depanare este destinată depanării și permite, dacă este necesar, activarea modului de înregistrare extinsă a mesajelor driverului NAT UserGate.
Detectorul de atac este o opțiune specială care vă permite să utilizați mecanismul intern de monitorizare și blocare a scannerului de porturi sau a încercărilor www.usergate.ru de a ocupa toate porturile de server. Acest modul funcționează în modul automat, evenimentele vor fi înregistrate în fișierul %UserGate_data%\logging\fw.log.
Atenţie! Setările acestui modul pot fi modificate prin fișierul de configurare config.cfg, secțiunea opțiuni.
Setări generale Block by browser line – listă de browsere ale User-Agent care pot fi blocate de serverul proxy. Aceste. Puteți, de exemplu, să interziceți accesul la Internet browserelor mai vechi, cum ar fi IE 6.0 sau Firefox 3.x.
www.usergate.ru Configurarea interfețelor Secțiunea Interfețe (Fig. 1) este cea principală din setările serverului UserGate, deoarece determină probleme precum corectitudinea numărării traficului, capacitatea de a crea reguli pentru un firewall, restricții privind lățimea canalului de Internet pentru trafic de un anumit tip și stabilirea relațiilor între rețele și ordinea în care pachetele sunt procesate de driverul NAT (Network Address Translation).
Figura 1. Configurarea interfețelor serverului Secțiunea Interfețe listează toate interfețele de rețea disponibile ale serverului pe care este instalat UserGate, inclusiv conexiunile Dial-Up (VPN, PPPoE).
Pentru fiecare adaptor de rețea, administratorul UserGate trebuie să specifice tipul acestuia. Deci, pentru un adaptor conectat la Internet, ar trebui să selectați tipul WAN, pentru un adaptor conectat la o rețea locală - tipul LAN.
Nu puteți modifica tipul de acces telefonic (VPN, PPPoE) al conexiunii. Pentru astfel de conexiuni, serverul UserGate va seta automat tipul la interfața PPP.
Puteți specifica numele de utilizator și parola pentru conexiunea Dial-Up (VPN) făcând dublu clic pe interfața corespunzătoare. Interfața situată în partea de sus a listei este conexiunea principală la Internet.
Contorizarea traficului în UserGate Traficul care trece prin serverul UserGate este înregistrat pe utilizatorul rețelei locale care este inițiatorul conexiunii sau pe serverul UserGate www.usergate.ru dacă inițiatorul conexiunii este serverul. Pentru traficul pe server, statisticile UserGate oferă un utilizator special - UserGate Server. Contul UserGate Server al utilizatorului înregistrează traficul de actualizare a bazelor de date antivirus pentru modulele încorporate Kaspersky Lab, Panda Security, Avira, precum și traficul de rezoluție de nume prin redirecționare DNS.
Traficul este luat în considerare în totalitate, împreună cu anteturile de servicii.
În plus, a fost adăugată posibilitatea de a lua în considerare anteturile Ethernet.
Dacă tipurile de adaptoare de rețea de server (LAN sau WAN) sunt specificate corect, traficul în direcția „rețea locală - server UserGate” (de exemplu, accesul la resursele de rețea partajate de pe server) nu este luat în considerare.
Important! Prezența programelor terțe - firewall-uri sau antivirusuri (cu funcție de scanare a traficului) - poate afecta în mod semnificativ corectitudinea numărării traficului în UserGate. Nu este recomandat să instalați programe de rețea terță parte pe un computer cu UserGate!
Suport canal de rezervă Pe pagina interfețe, puteți configura canalul de rezervă. Făcând clic pe butonul Setup Wizard, puteți selecta interfața care va fi folosită ca canal de rezervă. A doua pagină oferă o selecție de gazde care vor fi verificate de serverul proxy pentru conectivitate la Internet. La intervalul specificat, soluția va verifica disponibilitatea acestor gazde cu o solicitare ICMP Echo. Dacă se returnează un răspuns de la cel puțin o gazdă specificată, conexiunea este considerată activă. Dacă nu se primește niciun răspuns de la nicio gazdă, conexiunea va fi considerată inactivă, iar gateway-ul principal din sistem se va schimba în gateway-ul canalului de rezervă. Dacă regulile NAT au fost create specificând o interfață specială Masquerade ca interfață externă, atunci astfel de reguli vor fi recreate în conformitate cu tabelul de rutare curent. Regulile NAT create vor începe să funcționeze prin canalul de rezervă.
Figura 2. Expertul de configurare a canalului de rezervă www.
usergate.ru Ca o conexiune de rezervă, serverul UserGate poate folosi atât o conexiune Ethernet (canal dedicat, interfață WAN), cât și o conexiune Dial-Up (VPN, PPPoE) (interfață PPP). După trecerea la conexiunea de rezervă la Internet, serverul UserGate va verifica periodic disponibilitatea canalului principal. Dacă funcționalitatea acestuia este restabilită, programul va comuta utilizatorii la conexiunea principală la Internet.
www.usergate.ru
Utilizatori și grupuri Pentru a oferi acces la Internet, trebuie să creați utilizatori în UserGate. Pentru ușurință în administrare, utilizatorii pot fi grupați după locație sau nivel de acces. În mod logic, cel mai corect este gruparea utilizatorilor în grupuri în funcție de nivelurile de acces, deoarece în acest caz ușurează mult lucrul cu regulile de control al traficului. În mod implicit, UserGate are un singur grup - implicit.
Puteți crea un utilizator nou prin elementul Adăugați un utilizator nou sau făcând clic pe butonul Adăugare din panoul de control din pagina Utilizatori și grupuri. Există o altă modalitate de a adăuga utilizatori - scanarea rețelei cu solicitări ARP. Trebuie să faceți clic pe un spațiu gol din consola administratorului din pagina Utilizatori și să selectați Scanare rețea locală. Apoi, setați parametrii rețelei locale și așteptați rezultatele scanării. Ca rezultat, veți vedea o listă de utilizatori care pot fi adăugați la UserGate. Parametrii de utilizator obligatorii (Fig. 3) sunt numele, tipul de autorizare, parametrul de autorizare (adresă IP, autentificare și parolă etc.), grup și tarif. În mod implicit, toți utilizatorii aparțin grupului implicit. Numele de utilizator UserGate trebuie să fie unic. În plus, în proprietățile utilizatorului, puteți defini nivelul de acces al utilizatorului la statisticile web, puteți seta numărul de telefon intern pentru H323, puteți limita numărul de conexiuni pentru utilizator, puteți activa regulile NAT, regulile de control al traficului sau regulile pentru modulul de control al aplicației.
Figura 3. Profilul utilizatorului în UserGate Un utilizator în UserGate moștenește toate proprietățile grupului din care aparține, cu excepția tarifului, care poate fi suprascris.
Tariful specificat în proprietățile utilizatorului se va aplica taxării tuturor conexiunilor utilizatorului. Dacă accesul la Internet nu este taxat, puteți utiliza un tarif gol numit „implicit”.
www.usergate.ru
Sincronizare cu Active Directory Grupurile de utilizatori din UserGate pot fi sincronizate cu grupurile Active Directory. Pentru a utiliza sincronizarea cu Active Directory, o mașină cu UserGate Proxy și Firewall nu trebuie să facă parte dintr-un domeniu.
Configurarea sincronizării este un proces în doi pași. În prima etapă, pe pagina „Grupuri” a consolei de administrator UserGate (Fig. 4), trebuie să activați opțiunea Sincronizare cu AD și să specificați următorii parametri:
numele de domeniu adresa IP a controlerului de domeniu login și parola pentru accesarea Active Directory (autentificarea poate fi specificată în format UPN - User Principal Name) perioada de sincronizare (în secunde) În a doua etapă, trebuie să deschideți proprietățile grupului de utilizatori ( după așteptarea intervalului de sincronizare) în UserGate, activați opțiunea „sincronizare grupuri cu AD” și selectați unul sau mai multe grupuri din Active Directory.
În timpul sincronizării, grupurile UserGate vor conține utilizatori din Active Directory care aparțin grupurilor Active Directory selectate. Tipul de autorizare pentru utilizatorii importați va fi „HTTP Imported User State (NTLM)”.
(activat/dezactivat) este controlat de starea contului corespunzător din domeniul Active Directory.
www.usergate.ru Figura 4. Configurarea sincronizării cu Active Directory Important! Pentru sincronizare, trebuie să asigurați trecerea protocolului LDAP între serverul UserGate și controlerul de domeniu.
www.usergate.ru Pagina personală cu statistici utilizator Fiecărui utilizator din UserGate i se oferă posibilitatea de a vizualiza pagina cu statistici. Accesul la pagina de statistici personale poate fi obținut la http://192.168.0.1:8080/statistics.html, unde de exemplu 192.168.0.1 este adresa locală a mașinii cu UserGate, iar 8080 este portul pe care proxy-ul HTTP serverul rulează UserGate. Utilizatorul își poate vizualiza statisticile personale extinse conectându-se la adresa - http://192.168.0.1:8081.
Atenţie! În versiunea 6.x, a fost adăugată o interfață de ascultare 127.0.0.1:8080, care este necesară pentru ca statisticile web să funcționeze atunci când serverul proxy HTTP UserGate este dezactivat. În acest sens, portul 8080 de pe interfața 127.0.0.1 va fi întotdeauna ocupat de UserGate Proxy & Firewall în timp ce procesul usergate.exe rulează
După adresa IP După intervalul de adrese IP După adresa IP+MAC După adresa MAC Autorizarea utilizând HTTP (HTTP de bază, NTLM) Autorizarea prin autentificare și parolă (client de autorizare) Versiunea simplificată a autorizației prin Active Directory Pentru a utiliza ultimele trei metode de autorizare trebuie să fie instalat pe stația de lucru a utilizatorului aplicație specială- Client de autorizare UserGate. Pachetul MSI corespunzător (AuthClientInstall.msi) se află în directorul %UserGate%\tools și poate fi utilizat pentru instalare automată folosind Politica de grup în Active Directory.
Un șablon administrativ pentru instalarea unui client de autorizare folosind Politica de grup Active Directory, aflat și în directorul %UserGate%\tools. Site-ul web http://usergate.ru/support are instrucțiuni video pentru implementarea unui client de autorizare prin politica de grup.
Dacă serverul UserGate este instalat pe un computer care nu face parte dintr-un domeniu Active Directory, se recomandă utilizarea versiunii simplificate de autorizare prin Active Directory. În acest caz, serverul UserGate va compara autentificarea și numele de domeniu primite de la clientul de autorizare cu câmpurile corespunzătoare specificate în profilul utilizatorului, fără a contacta controlorul de domeniu.
Suport pentru utilizatorii terminalului Pentru a autoriza utilizatorii terminalului în serverul proxy UserGate, începând cu versiunea 6.5, o modul software, care se numește „Agent de autorizare terminal”. Pachetul de distribuție al programului Agent Terminal se află în folderul %UserGate%\tools și se numește TerminalServerAgent*.msi. Pentru sistemele pe 32 de biți trebuie să luați versiunea „TerminalServerAgent32.msi”, iar pentru sistemele pe 64 de biți, TerminalServerAgent64.msi”. Programul este un agent care, periodic, o dată la 90 de secunde, trimite informații de autorizare despre toți clienții terminal server către un server proxy și un driver care asigură înlocuirea portului pentru fiecare client terminal. Combinația de informații despre utilizator și porturile asociate permite serverului proxy să identifice cu precizie utilizatorii de terminal server și să le aplice diferite politici de control al traficului.
Când instalați agentul terminal, vi se va cere să specificați adresa IP a serverului proxy și numărul de utilizatori. Acest lucru este necesar pentru utilizarea optimă a porturilor TCP\UDP libere ale serverului terminal.
www.usergate.ru
După instalarea agentului de server terminal, acesta face o cerere către serverul proxy, iar dacă totul merge bine, pe server sunt creați trei utilizatori cu autorizarea „AD login-parola” și autentificarea „NT AUTHORIY\*”.
Dacă astfel de utilizatori apar în consola dvs., atunci agentul dvs. de terminal este gata de lucru.
Prima metodă (sincronizare cu domeniul Active Directory):
În consola administratorului, pe pagina de grupuri de utilizatori în proprietățile opțiunii „sincronizare cu AD”, trebuie să specificați parametrii corecti pentru autorizarea cu AD.
Apoi trebuie să creați grup nou utilizatori și în el indică ce grup de utilizatori din AD ar trebui sincronizat cu grupul curent din serverul proxy. Utilizatorii dvs. vor fi apoi adăugați la acest grup local de utilizatori UserGate Proxy. În acest moment, configurarea serverului proxy este aproape completă. După aceasta, trebuie să vă autentificați ca utilizator AD pe serverul terminal și acesta va fi autorizat automat pe serverul proxy, fără a fi necesar să introduceți o autentificare și o parolă. Utilizatorii de server terminal pot fi gestionați ca utilizatori obișnuiți de server proxy cu autorizare prin adresa IP. Aceste. pot fi folosite reguli diferite NAT și/sau reguli de control al traficului.
A doua metodă (importarea utilizatorilor dintr-un domeniu Active Directory):
Utilizați „import” de utilizatori din AD, acesta este configurat pe pagina utilizatorilor făcând clic pe butonul „import” corespunzător din interfața consolei administratorului UserGate.
Trebuie să importați utilizatori din AD într-un anumit grup local de pe serverul proxy. După aceasta, toți utilizatorii importați care solicită acces la Internet de la serverul terminal vor avea acces la Internet cu drepturile definite pe serverul proxy UserGate.
A treia metodă (folosind conturi locale de server terminal):
Această metodă este convenabilă pentru testarea funcționării agentului terminal sau pentru cazurile în care serverul terminal nu se află în domeniul Active Directory. În acest caz, trebuie să creați un utilizator nou cu tipul de autorizare Login domain-AD”, iar ca „adresă de domeniu” specificați numele computerului serverului terminal, iar ca logare - numele utilizatorului care se va autentifica pe serverul terminal Toți utilizatorii care vor fi creați pe serverul proxy vor avea acces la Internet de pe serverul terminal, cu drepturile definite pe serverul proxy UserGate.
Merită să înțelegeți că există câteva limitări ale agentului terminal:
Alte protocoale decât TCP\UDP nu pot fi transmise de la serverul terminal la Internet. De exemplu, nu va fi posibil să faceți PING de pe acest server oriunde pe Internet prin NAT.
www.usergate.ru Numărul maxim de utilizatori pe serverul terminal nu poate depăși 220 și nu vor fi alocate mai mult de 200 de porturi pentru protocoalele TCP\UDP pentru fiecare utilizator.
Când reporniți serverul proxy UserGate, agentul terminal nu va permite nimănui să acceseze Internetul până la prima sincronizare cu serverul proxy UserGate (până la 90 de secunde).
Autorizarea HTTP atunci când lucrați printr-un proxy transparent UserGate v.6 a adăugat capacitatea de autorizare HTTP pentru un server proxy care funcționează în mod transparent. Dacă browserul de pe stația de lucru a utilizatorului nu este configurat să utilizeze un server proxy și proxy-ul HTTP din UserGate este activat în modul transparent, atunci o solicitare din partea unui utilizator neautorizat va fi redirecționată către pagina de autorizare, unde trebuie să specificați un login și parolă.
Nu este nevoie să închideți această pagină după autorizare. Pagina de autentificare este actualizată periodic printr-un script special, menținând activă sesiunea utilizatorului. În acest mod, utilizatorul va avea acces la toate serviciile UserGate, inclusiv capacitatea de a lucra prin NAT. Pentru a încheia sesiunea de utilizator, trebuie să faceți clic pe Deconectare pe pagina de autorizare sau pur și simplu să închideți fila de autorizare. iar după 30-60 de secunde, autorizarea pe serverul proxy va dispărea.
permite trecerea pachetelor NetBIOSNameRequest (UDP:137) între serverul UserGate și controlerul de domeniu asigură trecerea pachetelor NetBIOSSessionRequest (TCP:139) între serverul UserGate și controlerul de domeniu înregistrează adresa și portul proxy-ului HTTP UserGate în browser pe computerul utilizatorului Important! Pentru a utiliza autorizarea NTLM, este posibil ca mașina cu UserGate instalat să nu fie membru al domeniului Active Directory.
Utilizarea clientului de autorizare Clientul de autorizare UserGate este o aplicație de rețea care rulează la nivel Winsock, care se conectează la serverul UserGate pe un anumit port UDP (portul 5456 este utilizat implicit) și transferă parametrii de autorizare a utilizatorului: tip de autorizare, autentificare, parolă, etc.
www.usergate.ru
La prima lansare, clientul de autorizare UserGate se uită la filiala HKCU\Software\Policies\Entensys\Authclient a registrului de sistem. Setările obținute prin politica de grup de domenii Active Directory pot fi găsite aici. Dacă setările din registrul de sistem nu sunt găsite, adresa serverului UserGate va trebui specificată manual în a treia filă din partea de sus a clientului de autorizare. După ce ați specificat adresa serverului, trebuie să faceți clic pe butonul Aplicați și să mergeți la a doua filă. Această pagină specifică parametrii de autorizare a utilizatorului. Setările clientului de autorizare sunt salvate în secțiunea HKCU\Software\Entensys\Authclient din registrul de sistem. Jurnalul de service al clientului de autorizare este salvat în folderul Documents and Settings\%USER%\Application data\UserGate Client.
În plus, la clientul de autorizare a fost adăugat un link către pagina cu statistici personale a utilizatorului. Schimba aspect autorizarea clientului se poate face prin editarea șablonului corespunzător sub forma unui fișier *.xml aflat în directorul în care este instalat clientul.
www.usergate.ru
Configurarea serviciilor în UserGate Configurarea DHCP Serviciul permite DHCP (Dynamic Host Configuration Protocol) să automatizeze procesul de emitere a setărilor de rețea către clienții din rețeaua locală. Într-o rețea cu un server DHCP, fiecărui dispozitiv de rețea i se poate atribui dinamic o adresă IP, o adresă de gateway, DNS, server WINS etc.
Puteți activa serverul DHCP prin secțiunea Adăugare interfață a serverului DHCP de servicii din consola de administrare UserGate sau făcând clic pe butonul Adăugare din panoul de control. În dialogul care apare, trebuie să selectați interfața de rețea pe care va rula serverul DHCP. În configurația minimă pentru un server DHCP, este suficient să setați următorii parametri: o serie de adrese IP (pool de adrese), din care serverul va emite adrese clienților din rețeaua locală; masca de rețea și timpul de închiriere.
Dimensiunea maximă a pool-ului în UserGate nu poate depăși 4000 de adrese. Dacă este necesar, puteți exclude una sau mai multe adrese IP din grupul de adrese selectat (butonul Excluderi). Puteți atribui o adresă IP permanentă unui anumit dispozitiv din rețea prin crearea legăturii corespunzătoare în secțiunea Rezervări. Constanța adresei IP la reînnoirea sau obținerea unui contract de închiriere este asigurată prin legarea (Reservare) la adresa MAC a dispozitivului de rețea. Pentru a crea o legătură, trebuie doar să specificați adresa IP a dispozitivului.
Adresa MAC va fi determinată automat făcând clic pe butonul corespunzător.
Figura 6. Configurarea serverului DHCP UserGate
Serverul DHCP din UserGate acceptă importarea setărilor serverului DHCP Windows. Setările Windows DHCP trebuie mai întâi salvate într-un fișier. Pentru a face acest lucru, pe serverul pe care este instalat Windows DHCP, porniți modul linie de comandă (Start Run, tastați cmd și apăsați Enter) și în fereastra care apare, rulați comanda: netsh dhcp server IP dump filename, unde IP este IP-ul adresa serverului dvs. DHCP. Import setări
www.usergate.ru
din fisier se face prin butonul corespunzator de pe prima pagina a DHCP Server Setup Wizard.
Adresele IP emise sunt afișate în jumătatea inferioară a ferestrei consolei de administrare (Fig. 8) împreună cu informații despre client (numele computerului, adresa MAC), ora de începere și de încheiere a contractului de închiriere. Selectând adresa IP emisă, puteți adăuga un utilizator la UserGate, puteți crea o legătură de adresă MAC sau puteți elibera o adresă IP.
Figura 7. Ștergerea adreselor emise
După ceva timp, adresa IP eliberată va fi plasată în grupul de adrese libere ale serverului DHCP. Operația de eliberare a unei adrese IP poate fi necesară dacă computerul care a solicitat anterior o adresă de la serverul DHCP UserGate nu mai este prezent în rețea sau și-a schimbat adresa MAC.
Serverul DHCP are capacitatea de a răspunde clienților atunci când aceștia solicită fișierul „wpad.dat”. Folosind această metodă de obținere a setărilor serverului proxy, trebuie să editați fișierul șablon, care se află în folderul „C:\program files\entensys\usergate6\wwwroot\wpad.dat”.
Mai mult informatii detaliate Această metodă de obținere a setărilor serverului proxy este descrisă în Wikipedia.
Configurarea serviciilor proxy în UserGate În serverul UserGate sunt integrate următoarele servere proxy: HTTP (cu suport pentru modul „FTP peste HTTP” și HTTPS - metoda Connect), FTP, SOCKS4, SOCKS5, POP3 și SMTP, SIP și H323. Setările pentru serverele proxy www.usergate.ru sunt disponibile în secțiunea Servicii Setări proxy din consola de administrare. Setările principale ale serverului proxy includ:
interfața (Fig. 9) și numărul portului pe care rulează proxy-ul.
Figura 8. Setări de bază pentru serverul proxy În mod implicit, UserGate include doar un proxy HTTP care ascultă pe portul TCP 8080 pe toate interfețele de rețea disponibile ale serverului.
Pentru a configura browserul client să funcționeze printr-un server proxy, pur și simplu specificați adresa proxy și portul în elementul de setări corespunzător. În Internet Explorer, setările proxy sunt specificate în meniul Instrumente Opțiuni Internet Setări LAN conexiune. Când lucrați prin intermediul unui proxy HTTP, nu trebuie să specificați gateway-ul și DNS-ul în proprietățile conexiunii la rețea TCP/IP de pe stația de lucru a utilizatorului, deoarece proxy-ul HTTP însuși va efectua rezoluția numelui.
Pentru fiecare server proxy, este disponibil un mod în cascadă către un server proxy de nivel superior.
Important! Portul specificat în setările serverului proxy este deschis automat în firewall-ul UserGate. Prin urmare, din punct de vedere al securității, se recomandă să specificați doar interfețele de rețea locală ale serverului în setările proxy.
Important! Mai multe detalii despre setările diferitelor browsere pentru serverul proxy sunt descrise într-un articol special din baza de cunoștințe Entensys.
Suport pentru protocoale de telefonie IP (SIP, H323) UserGate implementează funcția de proxy SIP cu monitorizarea proxy cu stare SIP Registrar. Proxy-ul SIP este activat în secțiunea Servicii Setări proxy și funcționează întotdeauna în modul transparent, ascultând porturile 5060 TCP și 5060 UDP. Când utilizați un proxy SIP activat
www.usergate.ru
Pagina Sesiuni a consolei de administrare afișează informații despre starea conexiunii active (înregistrare, apel, așteptare etc.), precum și informații despre numele utilizatorului (sau numărul acestuia), durata apelului și numărul de octeți trimiși/ primit. Aceste informații vor fi înregistrate și în baza de date cu statistici UserGate.
Pentru a utiliza proxy-ul SIP UserGate în proprietățile TCP/IP de pe stația de lucru a utilizatorului, trebuie să specificați adresa IP a serverului UserGate ca gateway implicit și, de asemenea, asigurați-vă că specificați adresa serverului DNS.
Vom ilustra configurarea părții client folosind exemplul softphone-ului SJPhone și al furnizorului Sipnet. Lansați SJPhone, selectați Opțiuni din meniul contextual și creați un profil nou. Introduceți numele profilului (Fig. 10), de exemplu, sipnet.ru. Specificați Apel prin SIP-Proxy ca tip de profil.
Figura 9. Crearea unui profil nou în SJPhone Caseta de dialog Opțiuni profil vă solicită să specificați adresa serverului proxy a furnizorului dumneavoastră VoIP.
La închiderea casetei de dialog, va trebui să introduceți date pentru autorizare pe serverul furnizorului dumneavoastră VoIP (nume de utilizator și parolă).
Figura 10. Setări profil SJPhone www.usergate.ru Atenție! Dacă, atunci când activați un proxy SIP, traficul dvs. vocal nu trece într-o direcție sau în alta, atunci trebuie fie să utilizați un server proxy STUN, fie să permiteți traficul prin NAT pe toate porturile (ORICE:FULL) pentru utilizatorii necesari. Când activați o regulă NAT pe toate porturile, serverul proxy SIP va trebui să fie dezactivat!
Suport pentru modul SIP Registrar Funcția SIP Registrar vă permite să utilizați UserGate ca un software PBX (Automatic Telephone Exchange) pentru o rețea locală.
Funcția SIP Registrar funcționează simultan cu funcția SIP proxy. Pentru a autoriza pe UserGate SIP Registrar, în setările SIP UAC (User Agent Client) trebuie să specificați:
Adresă UserGate ca adresă de server SIP Nume utilizator UserGate (fără spații) orice parolă Suport pentru protocolul H323 Suportul pentru protocolul H323 vă permite să utilizați serverul UserGate ca „gatekeeper” (H323 Gatekeeper). Setările proxy H323 specifică interfața pe care serverul va asculta cererile clientului, numărul portului, precum și adresa și portul gateway-ului H323. Pentru a autoriza pe UserGate Gatekeeper, utilizatorul trebuie să furnizeze un nume de utilizator (nume de utilizator în UserGate), o parolă (orice) și un număr de telefon specificat în profilul de utilizator în UserGate.
Important! Dacă UserGate GateKeeper primește un apel către un număr H323 care nu aparține niciunuia dintre utilizatorii autorizați UserGate, apelul va fi redirecționat către gateway-ul H323. Apelurile către gateway-ul H323 sunt efectuate în modul „CallModel: Direct”.
Proxy-uri de e-mail în UserGate Proxy-urile de e-mail din UserGate sunt proiectate să funcționeze cu protocoalele POP3 și SMTP și pentru scanarea antivirus a traficului de e-mail.
Când utilizați modul de operare transparent al proxy-ului POP3 și SMTP, setările clientului de e-mail de pe stația de lucru a utilizatorului nu diferă de setările corespunzătoare opțiunii cu acces direct la Internet.
Dacă proxy-ul POP3 UserGate este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului POP3 UserGate trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format:
adresa_e-mail@adresa_serverului_POP3. De exemplu, dacă utilizatorul are o cutie poștală [email protected], apoi ca Conectare activată
Proxy-ul POP3 UserGate din clientul de e-mail va trebui specificat:
[email protected]@pop.mail123.com. Acest format este necesar pentru ca serverul UserGate să poată determina adresa serverului POP3 la distanță.
www.usergate.ru
Dacă proxy-ul SMTP UserGate este utilizat în modul netransparent, atunci în setările proxy trebuie să specificați adresa IP și portul serverului SMTP pe care UserGate îl va folosi pentru a trimite scrisori. În acest caz, în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a serverului UserGate și portul corespunzător proxy-ului SMTP UserGate trebuie specificate ca adresa serverului SMTP. Dacă este necesară autorizarea pentru trimitere, atunci în setările clientului de e-mail trebuie să specificați login și parola corespunzătoare serverului SMTP, care este specificată în setările proxy SMTP din UserGate.
Utilizarea modului transparent Funcția mod transparent din setările serverului proxy este disponibilă dacă serverul UserGate este instalat împreună cu driverul NAT. În modul transparent, driverul NAT UserGate ascultă porturile standard pentru servicii: 80 TCP pentru HTTP, 21 TCP pentru FTP, 110 și 25 TCP pentru POP3 și SMTP pe interfețele de rețea ale computerului cu UserGate.
Dacă există solicitări, le transferă pe serverul proxy UserGate corespunzător. Când se utilizează modul transparent în aplicațiile de rețea, utilizatorii nu trebuie să specifice adresa și portul serverului proxy, ceea ce reduce semnificativ munca administratorului în ceea ce privește furnizarea de acces la rețeaua locală la Internet. Cu toate acestea, în setările de rețea ale stațiilor de lucru, serverul UserGate trebuie specificat ca gateway și trebuie specificată adresa serverului DNS.
Proxy-uri în cascadă Serverul UserGate poate funcționa cu conexiunea la Internet fie direct, fie prin servere proxy de nivel superior. Astfel de proxy-uri sunt grupate în UserGate sub Serviciile proxy-uri în cascadă. UserGate acceptă următoarele tipuri de proxy în cascadă: HTTP, HTTPS, Socks4, Socks5. Setările proxy în cascadă specifică parametrii standard: adresa și portul. Dacă proxy-ul din amonte acceptă autorizarea, puteți specifica datele de conectare și parola corespunzătoare în setări. Proxy-urile în cascadă create devin disponibile în setările serverului proxy din UserGate.
www.usergate.ru Figura 11 Proxy-uri părinte în maparea portului UserGate UserGate acceptă funcția de mapare a portului. Dacă există reguli de atribuire a portului, serverul UserGate redirecționează cererile utilizatorului care sosesc pe un anumit port al unei anumite interfețe de rețea a unui computer cu UserGate către o altă adresă și port specificate, de exemplu, către un alt computer din rețeaua locală.
Funcția Port Forwarding este disponibilă pentru protocoalele TCP și UDP.
Figura 12. Alocarea portului în UserGate Important! Dacă atribuirea portului este utilizată pentru a oferi acces de pe Internet la o resursă internă a companiei, ar trebui să selectați Utilizator specificat ca parametru de autorizare www.usergate.ru, altfel redirecționarea portului nu va funcționa.
Configurarea unui cache Unul dintre scopurile unui server proxy este de a stoca în cache resursele rețelei.
Memorarea în cache reduce încărcarea conexiunii dvs. la Internet și accelerează accesul la resursele frecvent vizitate. Serverul proxy UserGate memorează în cache traficul HTTP și FTP. Documentele stocate în cache sunt plasate în folderul local %UserGate_data%\Cache. Setările cache indică:
limita de dimensiune cache și timpul de stocare pentru documentele stocate în cache.
În plus, puteți activa stocarea în cache a paginilor dinamice și numărarea traficului din cache. Dacă opțiunea Citire trafic din cache este activată, nu numai traficul extern (Internet) va fi înregistrat pentru utilizator în UserGate, ci și traficul primit din memoria cache UserGate.
Atenţie! Pentru a vizualiza intrările curente din cache, trebuie să rulați un utilitar special pentru a vizualiza baza de date cache. Este lansat făcând clic dreapta pe pictograma „UserGate Agent” din bara de sistem și selectând „Open browser cache”.
Atenţie! Dacă ați activat memoria cache și încă nu aveți o singură resursă în „browserul cache”, atunci cel mai probabil trebuie să activați un server proxy transparent pentru protocolul HTTP, pe pagina „Servicii - Setări proxy”
Scanare antivirus În serverul UserGate sunt integrate trei module antivirus: antivirus Kaspersky Lab, Panda Security și Avira. Toate modulele antivirus sunt proiectate pentru a scana traficul de intrare prin serverele proxy de e-mail HTTP, FTP și UserGate, precum și traficul de ieșire prin proxy-uri SMTP.
Setările modulului antivirus sunt disponibile în secțiunea Servicii Antivirus a consolei de administrare (Fig. 14). Pentru fiecare antivirus, puteți specifica ce protocoale ar trebui să scaneze, să setați frecvența de actualizare a bazelor de date antivirus și, de asemenea, să specificați adrese URL care nu trebuie scanate (opțiune de filtru URL). În plus, în setări puteți specifica un grup de utilizatori al căror trafic nu trebuie să fie supus unei scanări antivirus.
www.usergate.ru
Figura 13. Module anti-virus în UserGate Înainte de a lansa modulele anti-virus, trebuie să începeți actualizarea bazelor de date anti-virus și să așteptați să se termine. În setările implicite, bazele de date antivirus Kaspersky sunt actualizate de pe site-ul web Kaspersky Lab, iar pentru antivirusul Panda sunt descărcate de pe serverele Entensys.
Serverul UserGate acceptă funcționarea simultană a trei module antivirus. În acest caz, Kaspersky Anti-Virus va scana mai întâi traficul.
Important! Când scanarea traficului antivirus este activată, serverul UserGate blochează descărcările de fișiere cu mai multe fire prin HTTP și FTP. Blocarea capacității de a descărca o parte a unui fișier prin HTTP poate duce la probleme cu serviciul Windows Update.
Programator în UserGate Serverul UserGate are un planificator de sarcini încorporat care poate fi utilizat pentru a efectua următoarele sarcini: inițializarea și întreruperea conexiunilor DialUp, trimiterea de statistici către utilizatorii UserGate, executarea unui program arbitrar, actualizarea bazelor de date antivirus, ștergerea bazei de date cu statistici , verificând dimensiunea bazei de date.
www.usergate.ru
Figura 14. Configurarea programatorului de sarcini Elementul Run program din planificatorul UserGate poate fi folosit și pentru a executa o secvență de comenzi (scripturi) din fișierele *.bat sau *.cmd.
Lucrări similare:
« PLAN DE ACȚIUNE 2014-2015 CONFERINȚA AUTORITĂȚILOR REGIONALE ȘI LOCALE PRIVIND PARTENERIATUL ESTICAL PLAN DE ACȚIUNE PLANUL DE ACȚIUNE A CONFERINȚEI REGIONALE ȘI LOCALE AUTORITĂȚI LOCALE PENTRU PARTENERIATUL ESTICAL (CORLEAP) PENTRU ANUL 2014 ȘI ÎNAINTE DE REUNIUNEA ANUALĂ DIN 2015 1. Conferința de introducere a regionale și autoritatile locale Autoritățile din Parteneriatul Estic (denumite în continuare „CORLEAP” sau „Conferință”) este un forum politic care este conceput pentru a facilita local și..."
« Director al Departamentului de Politică de Stat și Reglementare în Domeniul Geologiei și Utilizarea Subsolului al Ministerului Resurselor Naturale din Rusia A.V. Eagle aprobat pe 23 august 2013 APROBAT de directorul Departamentului de Politică de Stat și Reglementare în Domeniul Geologiei și Utilizarea Subsolului al Ministerului Resurselor Naturale din Rusia _ A.V. Orel "_" 2013 DE ACORD Director al Întreprinderii Unitare Federale de Stat "Geologorazvedka" V.V. Shimansky „_”_ 2013 CONCLUZIE a Consiliului științific și metodologic privind tehnologiile geologice și geofizice pentru căutarea și explorarea mineralelor solide...”
« COLONA EDITORULUI D DRAGI PRIETENI! Țineți în mână primul număr din acest an al New Forest Journal. Potrivit tradiției, tema sa principală a fost evenimentul care a avut loc la final anul trecut, expoziția-târg internațional „Pădurea Rusă”. Bineînțeles, am privit acest eveniment nu atât ca o ocazie de informare, ci ca pe o platformă pentru specialiștii forestieri pentru a dezvolta politici, strategii și tactici pentru dezvoltarea industriei. Din acest punct de vedere am încercat să acoperim activitatea seminarelor...”
« Programul examenului final de stat interdisciplinar se întocmește în conformitate cu prevederile: privind certificarea finală de stat a absolvenților. instituție de învățământ bugetar de stat federal de învățământ superior învăţământul profesional„Academia Rusă economie nationalaŞi serviciu public sub președinte Federația Rusă"din data de 24 ianuarie 2012, Moscova; privind formarea de master (master) în educația bugetară a statului federal..."
« Lista interpreților Nechaev V.D. Șef al Programului de Dezvoltare Strategică a Universității, rectorul Glazkov A.A. manager de program dezvoltare strategică Universitatea, Prorector pentru Știință, Inovare și Dezvoltare Strategică Sharaborova G.K. coordonator al lucrărilor la Programul de Dezvoltare Strategică Universitară, director al Centrului de Dezvoltare Strategică Curatori Proiect: Sokolov E.F. Prorector pentru Sprijin Administrativ și Economic Ognev A.S. prorector pentru știință,..."
« UDC 91:327 Lysenko A. V. Modelarea matematică ca metodă de studiu a fenomenului autonomismului în geografia politică Universitatea Națională Tauride numit după V.I Vernadsky, Simferopol e-mail: [email protected] Adnotare. Articolul examinează posibilitatea utilizării modelării matematice ca metodă de studiu a geografiei politice, dezvăluie conceptul de autonomism teritorial, precum și factorii genezei acestuia. Cuvinte cheie: modelare matematică,..."
„DREPTURI” din Murmansk APROBAT ACCEPTAT Director al filialei la o reuniune a departamentului de discipline juridice generale al instituției private de învățământ de învățământ profesional superior BIEPP din Murmansk în orașul Murmansk. Murmansk A.S. Protocolul Korobeinikov nr. 2_ din "_09_"_septembrie_ 2014 "_09_"_septembrie 2014 Complex educațional și metodologic al disciplinei Istoria doctrinelor politice și juridice Specialitatea..."
« FOND TRUST PENTRU PROGRAMUL DE ASISTENȚĂ ÎN RUSĂ EDUCAȚIONALĂ (CITEȘTE) CITEȘTE RAPORTUL ANUAL „Investirea în evaluarea calității educației, evaluarea rezultate ale reformelor și sistemelor de evaluare a performanțelor educaționale și a competențelor dobândite, banca va ajuta țările sale partenere să răspundă la întrebări cheie pentru modelarea politicilor de reformă a educației: ce avantaje are sistemul nostru? care sunt dezavantajele ei? Ce măsuri pentru eliminarea acestor neajunsuri au fost cele mai eficiente? ce sunt..."
« OKHUNOV ALISHER ORIPOVYCH [email protected] TITLUL PROGRAMA INFORMAȚII GENERALE INFORMAȚII DESPRE PROFESORI POLITICA DE DISCIPLINĂ „PROBLEME GENERALE PROGRAMUL FINAL REZULTATELE ÎNVĂȚĂRII CRITERII ȘI POSTREQUISIȚII CHIRURGIEI” CRITERII ȘI REGULI PENTRU EVALUAREA CUNOAȘTERILOR ȘI ABILITĂȚILOR ELEVILOR TIP DE CONTROL PROGRAMA „PROBLEME GENERALE ALE CHIRURGIEI” OKHUNOV ALISHER ORIPOVICH [email protected] INFORMAȚII GENERALE: TITLUL Numele universității: Academia Medicală Tașkent INFORMAȚII GENERALE Departamentul de Chirurgie Generală și Pediatrică Locația..."
« Comitetul pentru Relații Externe Implementarea politicii de stat a Federației Ruse față de compatrioții din străinătate la Sankt Petersburg VIII Forum din Sankt Petersburg al organizațiilor de tineret ale compatrioților ruși și mass-media străină în limba rusă „Rușii din străinătate” 7-13 iunie 2015 PROGRAM 7 IUNIE, DUMINICĂ Înregistrarea participanților la Forum în timpul zilei Hotel „Sf. Petersburg” Adresa: Pirogovskaya terasament, 5/2 Înregistrarea participanților, livrarea „Recrutare Participanți” ATENȚIE!...”
« Curriculum examenul suplimentar de admitere la programul de master pentru specialitatea 1-23 80 06 „Istoria relațiilor internaționale și a politicii externe”întocmit pe baza programelor standard „Istorie relaţiile internaţionale" și "Istorie politica externă Belarus”, precum și programe examen de stat la discipline speciale pentru specialitatea 1-23 01 01 „Relații internaționale”. Considerat și recomandat spre aprobare la o ședință a Departamentului de Relații Internaționale Protocolul nr. 10 din 7...”
« Săptămâna poate alege un proiect de rachetă super-grea Laborator ruso-chinez Sisteme de prindere spațială Următorii sateliți din seria Meteor nu vor primi sisteme radar Legătura lipsă cu satelitul științific rus Vernov nu a fost încă stabilită 19.02.2015 4 Resturi spațialeîn ianuarie a amenințat ISS de 60 de ori Anul trecut pe Pământ...”
« MINISTERUL EDUCAȚIEI ȘI ȘTIINȚEI AL FEDERĂȚIA RUSĂ Instituție de învățământ bugetar de stat federal de învățământ profesional superior"Universitatea de Stat Kemerovo" APROBAT de: Rector _ V. A. Volchek "" _ 2014 Principal program educaționalînvățământ superior Specialitatea 030701 Relații internaționale Focus (specializare) „Politică mondială” Calificare (diplomă) specialist în domeniul relațiilor internaționale Forma de studiu full-time Kemerovo 2014...”
« ISLAMUL ÎN URALUL MODERN Alexey Malashenko, Alexey Starostin APRILIE 2015 ISLAMUL ÎN URALUL MODERN Alexey Malashenko, Alexey Starostin Acest număr„Materiale de lucru” a fost pregătit de o organizație de cercetare non-guvernamentală non-profit - Centrul Carnegie din Moscova. Carnegie Endowment for International Peace și Carnegie Moscow Center ca organizație nu adoptă o poziție comună asupra problemelor socio-politice. Publicația reflectă părerile personale ale autorilor, care nu ar trebui...”
« „Principiul principal al Knauf este că totul trebuie să fie „mitdenken” (făcut după ce ne gândim împreună cu atenție și ținem cont de interesele celor pentru care lucrezi). Treptat concept cheie a prins rădăcini în Rusia.” Dintr-un interviu cu Yu.A Mikhailov. Director General KNAUF GIPS KOLPINO LLC Practici de management ale diviziei ruse a unei corporații internaționale: experiența KNAUF CIS* Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Rezumat Pe baza unei analize a experienței de dezvoltare a grupului KNAUF CIS în...”
« Anexă INFORMAȚII privind progresul implementării ordinului guvernatorului regiunii Omsk din 28 februarie 2013 nr. 25-r „Cu privire la măsurile de implementare a Decretului guvernatorului regiunii Omsk regiune din 16 ianuarie 2013 Nr. 3” conform Planului de acțiuni prioritare pentru 2013 - 2014 pentru implementarea strategiei regionale de acțiune în interesul copiilor din regiunea Omsk pentru 2013 - 2017 pentru 2013 Nr. Denumire Responsabil Informații privind implementarea subactivității executor I . Politica familială de economii pentru copii...”
« DEPARTAMENTUL DE EDUCAȚIE ȘI POLITICA TINERETULUI AL SECTORULUI AUTONOM KHANTY-MANSI - YUGRA Instituție de învățământ de stat de nivel profesional superior educația din Khanty-Mansiysk Okrug autonom– Ugra „Universitatea Pedagogică de Stat Surgut” Program de practică industrială BP.5. PRACTICA PEDAGOGICA Directia de formare 49.03.02 Educatie fizica pentru persoane cu probleme de sanatate (Educatie fizica adaptativa) Calificare (grada)..."
« Instituția de învățământ autonomă de stat de învățământ profesional superior „Universitatea de Management a Guvernului din Moscova a orașului Moscova” Departamentul Institutul de Învățământ Profesional Superior administratia publica si politica de personal APROBAT de Prorectorul pentru Academie si munca stiintifica A.A. Alexandrov „_”_ 20_ Program de lucru disciplina academica„Metode de acceptare decizii de management„pentru studenții direcției 38.03.02 „Management” pentru studii cu normă întreagă la Moscova...”
« Seria „Simple Finance” de Yu V. Brekhov CUM SE RECUNOAȘTE O PIRAMIDĂ FINANCIARĂ Volgograd 2011 UDC 336 BBK 65.261 B 87 Broșura din seria „Simple Finance” finalizatăîn conformitate cu acordul 7(2) din 19 septembrie 2011 al Instituției Federale de Învățământ de Învățământ Profesional Superior „Academia Serviciului Public din Volgograd” cu Comitetul pentru Politică Bugetară și Financiară și Trezorerie al Administrației Regiunii Volgograd, ca parte a implementarea regională pe termen lung programul țintă„Creșterea nivelului de alfabetizare financiară a populației și dezvoltarea financiară...”
Materialele de pe acest site sunt postate doar în scop informativ, toate drepturile aparțin autorilor lor.
Dacă nu sunteți de acord cu faptul că materialul dvs. este postat pe acest site, vă rugăm scrie-ne, îl vom șterge în 1-2 zile lucrătoare.
