Межсетевой экран usergate. Обзор прокси-сервера UserGate - комплексного решения для предоставления общего доступа в интернет. Развертывание UserGate Proxy & Firewall

UserGate Proxy & Firewall - это комплексное решение для организации общего доступа в Интернет из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз. UserGate является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса.

Информационная безопасность

UserGate использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, такими, как вирусы, вредоносные программы и хакерские атаки.

Функции информационной безопасности включают:

• Защита от вирусов
• Межсетевой экран
• Расширенный драйвер NAT
• Поддержка VPN-соединений

Защита от вирусов

В целях качественной проверки трафика на предмет наличия вредоносного ПО, в UserGate включены два антивирусных модуля - Антивирус Касперского и Panda Antivirus. При этом обеспечивается двойная антивирусная проверка трафика по протоколам HTTP, FTP, SMTP и POP3.

Важно отметить, что вторым по величине источником распространения вирусов, помимо сетевых угроз, являются съемные носители информации. UserGate, при условии использования встроенных антивирусных модулей, устраняет угрозы, исходящие от основного источника вирусов - сетевого трафика. Это избавляет от необходимости приобретения дорогих серверных антивирусных решений. Тем не менее, для максимально полной защиты локальной сети рекомендуется использовать сторонний антивирус для проверки файловой системы на рабочих станциях.

Два «антивирусных» партнера Entensys

Администрирование сети

С помощью UserGate можно выполнять некоторые рутинные операции, что позволяет упростить сетевое администрирование. Например, встроенный DHCP-сервер автоматизирует процесс выдачи IP-адресов компьютерам и другим устройствам в локальной сети. Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Публикация ресурсов позволяет предоставить доступ к внутренним ресурсам компании, например к Web, FTP, VPN или к почтовому серверу. И, наконец, удаленное администрирование дает возможность удаленно подключаться по локальной сети или через Интернет с любого компьютера, на котором установлена Консоль Администрирования UserGate.

• DHCP-сервер
• Маршрутизация
• Публикация ресурсов
• Удаленное администрирование

DHCP-сервер

Служба DHCP позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. DHCP-сервер можно запустить в настройках Консоли Администрирования UserGate, при этом указав, на каком из текущих сетевых интерфейсов он будет работать. Всякий раз, когда устройство подключается к сети или покидает ее, DHCP-сервер, соответственно, назначает новый или высвобождает ранее назначенный IP-адрес.

При настройке DHCP необходимо, как минимум, указать диапазон (пул) IP-адресов, маску сети и время аренды. DHCP-сервер будет выдавать новые адреса из пула IP-адресов, но администратор имеет возможность создать исключения или зарезервировать определенные IP-адреса. Кроме того, в настройках можно указать шлюз по умолчанию, DNS- и WINS-сервер и домен, а также включить автоматическую настройку прокси.

Если DHCP-сервер активен и производит выдачу IP-адресов, то соответствующие им MAC-адреса и время аренды отображаются в списке в нижней части Консоли Администрирования UserGate. При этом, администратор имеет возможность вручную высвободить любой из выданных DHCP-сервером IP-адресов.

Маршрутизация

Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Любая пара интерфейсов локальной сети может быть объединена правилом маршрутизации, которое можно создать в модуле «Межсетевой экран». Тип правила определяется автоматически при выборе интерфейсов источника и назначения.

Кроме того, можно выбрать протоколы и службы, разрешенные данным правилом (такие, как HTTP, FTP). Когда правило активно, авторизация пользователя для маршрутизации не требуется, а входящие и исходящие пакеты не будут включены в общую статистику.

Публикация ресурсов

С помощью межсетевого экрана в UserGate можно предоставить доступ к внутренним ресурсам компании, например, к Web, FTP, VPN или к почтовому серверу. Это делается путем создания правила в модуле «Межсетевой экран». При создании правила, и указании WAN-адаптера в качестве назначения, UserGate автоматически присваивает этому правилу тип “Трансляция”. В настройках правила указывается конкретный протокол или служба (HTTP, FTP, POP3 и т.д.), IP-адрес или диапазон источника и, наконец, IP-адрес и порт компьютера в локальной сети, на который будут перенаправляться запросы, удовлетворяющие указанным условиям.

Публикация ресурсов используется не только для доступа к Web, FTP, VPN или почтовому серверу, но и для работы некоторых Интернет-приложений, таких, как банк-клиент, пиринговые сети, IP-телефония и т.д. При помощи UserGate можно настроить внешний доступ к любому приложению в локальной сети.

Удаленное администрирование

К серверу UserGate можно подключаться по локальной сети или удаленно через Интернет из любой точки мира. Для этого достаточно установить на компьютер Консоль Администрирования UserGate, и указать в настройках соединения IP-адрес и порт сервера UserGate.

Возможность удаленного администрирования сервера UserGate особенно полезна в случае, когда необходимо администрировать несколько серверов UserGate в разных местах (например, нескольких Интернет-кафе). При этом, администрирование осуществляется из одной и той же консоли - все доступные сервера отображаются в списке «Соединения», и можно удаленно подключиться к любому из них.

В настоящее время ни одна компания в своей работе не может обойтись без сети Интернет. Глобальная сеть активно используется в бизнес-процессах для решения широкого спектра информационных, коммуникационных и маркетинговых задач. Но, при этом, она одновременно является и потенциальной угрозой для информационной безопасности. Почтовый и веб-трафик часто используется злоумышленниками для распространения о вредоносных программ, фишинговых сообщений и.т.п.

Другой потенциальной опасностью Интернета является его нецелевое использование сотрудниками в рабочее время. Работники компании, вместо выполнения своих служебных обязанностей, могут проводить время, общаясь в социальных сетях, просматривать всевозможные развлекательные сайты, загружать фильмы, музыку, нелицензионное программное обеспечение и пр. Это увеличивает прямые и косвенные затраты компании, уменьшает производительность труда офисных сотрудников, является прямой угрозой информационной безопасности (при посещении некоторых категорий нежелательных сайтов риск инфицирования компьютера заметно возрастает).

Поэтому, в современных условиях, задачу подключения корпоративной сети к сети Интернет необходимо решать с учетом всех требований к безопасности и контроля действий сотрудников. Продукт UserGate Proxy & Firewall обеспечивает решение перечисленных задач. Впервые он появился на рынке около 10 лет назад и представлял собой достаточно простой, но надежный и удобный в использовании прокси-сервер. Именно этим он и заслужил свою популярность в России и странах ближнего зарубежья.

В настоящее время разработчики продолжают совершенствовать своё детище, и заметно расширили функциональное наполнение продукта с учётом реалий в области защиты информации. Достаточно регулярно выходят не только мажорные (примерно раз в 2-3 года), но и минорные (по 2-4 между мажорными) версии UserGate Proxy & Firewall, в каждой из которых возможности прокси-сервера расширяются. На сегодняшний день он является комплексным продуктом, с помощью которого можно решить весь спектр задач, связанных с совместным использованием сети Интернет.

Состав UserGate Proxy & Firewall

Основой решения UserGate Proxy & Firewall является сервер UserGate. Он инсталлируется непосредственно на корпоративный интернет-шлюз и реализует совместное использование глобальной сети, ведение статистики, подсчет трафика и т.п.

Администрирование системы доступа осуществляется с помощью консоли управления. Это отдельное приложение, которое соединяется с сервером по специальному протоколу поверх TCP/IP (используется протокол собственной разработки, передача защищена по технологии Open SSL с длиной ключа 1024 бита), что позволяет использовать его не только локально, но и удаленно. Таким образом, системный администратор имеет возможность управлять UserGate Proxy & Firewall непосредственно со своего рабочего места, не нуждаясь в физическом доступе к интернет-шлюзу.

Помимо этого в UserGate Proxy & Firewall реализован целый ряд дополнительных модулей для решения различных специфических задач.

• Статистика UserGate . Отдельное приложение, которое инсталлируется на компьютер ответственных сотрудников, и позволяет им просматривать статистику использования Интернета.
• Веб-статистика . Модуль для просмотра статистики удалено через веб-браузер. При необходимости доступ к нему может осуществляться не только из локальной сети, но и из сети Интернет.
• Обозреватель кэша . Отдельное приложение для просмотра содержимого кэша, сохраненного UserGate Proxy & Firewall.
• Клиент авторизации UserGate . Отдельное приложение, которое устанавливается на компьютерах конечных пользователей, и обеспечивает возможность применения "расширенных" методов авторизации – с использованием Active Directory, Windows-логина и пр.
• Контроль приложений . Отдельное приложение, устанавливающееся на рабочие станции. Оно позволяет ограничить перечень программ, которым разрешен доступ в Интернет.

Системные требования

Системные требования, предъявляемые прокси-сервером к компьютеру, описаны в таблице.

	Минимальные требования	Рекомендуемая конфигурация
Процессор	1 ГГц	1-2 ГГц в зависимости от числа пользователей
Оперативная память	512 Мбайт	512 Мбайт – 1 Гбайт в зависимости от числа пользователей
Операционная система	Windows 2000/XP/2003/2008/7/2008 R2 (поддерживаются 32- и 64-битные ОС)
Подключение к Интернету	Тип и пропускная способность определяются в каждом конкретном случае, исходя из потребностей

Возможности UserGate Proxy & Firewall

Продукт UserGate Proxy & Firewall обладает широким спектром возможностей по обеспечению совместной работы в сети Интернет, защите корпоративной информационной системы от внешних угроз, контроля использования глобальной сети пользователями.

Организация совместной работы в Интернете

UserGate Proxy & Firewall позволяет организовать совместную работу в Интернете большого количества пользователей. Для этого в нем реализован ряд прокси-серверов (для протоколов HTTP, FTP, POP3, SMTP, SOCKS4, SOCKS5, SIP и H323), собственный NAT-драйвер, система DNS-форвардинга.

Прозрачный режим прокси-серверов

Прокси-сервера в UserGate Proxy & Firewall могут работать в прозрачном режиме. В этом случае не требуется дополнительная настройка программного обеспечения на стороне клиента. Для его реализации используется технология NAT.

Поддержка нескольких провайдеров

Рассматриваемая программа может работать с несколькими сетевыми интерфейсами, подключенными к разным провайдерам. Это позволяет реализовать такие возможности, как перенаправление трафика от разных групп пользователей на различные интернет-каналы, а также резервирование доступа к Интернету.

Traffic Manager

В UserGate Proxy & Firewall реализован модуль Traffic Manager, предназначенный для гибкого управления шириной интернет-канала. С его помощью можно указать приоритет различных видов трафика, ограничить скорость передачи данных по определенным протоколам и т.д.

Кэширование

В рассматриваемой программе реализована система кэширования. Она сохраняет загружаемые пользователями файлы на жестком диске интернет-шлюза и, при последующих обращениях к ним, не скачивает их повторно с удаленного сервера. Это позволяет уменьшить загрузку интернет-канала и потребление трафика вцелом.

Поддержка IP-телефонии

Интересной особенностью UserGate Proxy & Firewall является поддержка IP-телефонии. Помимо прокси-серверов протоколов SIP и H323, в ней реализованы такие функции, как SIP Registrar (фактически, сервера IP-телефонии) и H323 GateKeeper.

В UserGate Proxy & Firewall реализовано восемь способов авторизации пользователей. Например, по IP-адресу, по MAC сетевой карты, а также и посредством Active Directory, задаваемых администратором логинов и паролей, учетных записей Windows.

Ограничение трафика и скорости доступа

Рассматриваемый прокси-сервер позволяет устанавливать правила, ограничивающие использование сети Интернет. В частности, можно определить суточный, недельный или месячный лимит потребленного трафика, максимальную скорость передачи данных, разрешенные к использованию протоколы и пр. Правила могут привязываться как к отдельным пользователям, так и к целым их группам.

Биллинговая система

В UserGate Proxy & Firewall реализована собственная биллинговая система, которая может использоваться для подсчета затрат на использование Интернета. Тарифы могут задаваться как временные, так и по потребленному трафику. При этом доступна возможность гибкой их настройки и автоматического переключения с одного на другой в зависимости от времени суток или категории просматриваемого сайта.

Контроль приложений

UserGate Proxy & Firewall позволяет ограничить перечень приложений, которым разрешен доступ в Интернет. Это позволяет решить задачу единообразия использования программного обеспечения в локальной сети. Кроме того, данный модуль может служить средством дополнительной защиты от вредоносных программ. Даже если они будут на компьютере в активном состоянии, интернет-канал для них будет недоступен.

Рассматриваемый прокси-сервер позволяет ограничить доступ к нежелательным сайтам по категориям. Для этого используется "облачная" технология Entensys URL Filtering. В ее основе лежит специальная база данных сайтов, разделенная на 82 категории. Именно по ним и можно ограничивать доступ. База данных содержит более 500 миллионов веб-проектов, постоянно дополняется и редактируется разработчиками. Стоит отметить, что использование фильтрации по категориям требует приобретения дополнительной лицензии.

Контроль приложений

В UserGate Proxy & Firewall реализована система фильтрации трафика на основе приложений, которые его генерируют. Это позволяет разрешить выход в Интернет одного ПО и блокировать сетевую активность другого. Стоит отметить высокую гибкость правил фильтрации. С их помощью можно разрешить приложениям работу лишь по определенному протоколу, передачу сетевых пакетов только на указанный IP-адрес или диапазон IP-адресов и пр. Для реализации такого вида фильтрации требуется установка на рабочие станции специальной программы "Контроль приложений", входящей в комплект поставки продукта.

Статистика и отчеты

Рассматриваемый прокси-сервер ведет подробнейшую статистику использования сети Интернет всеми пользователями. Работа с ней осуществляется с помощью специального приложения или через веб-интерфейс. При этом реализована система разделения прав доступа, которая позволяет ответственным сотрудниками просматривать полную информацию, а остальным пользователям – только свою статистику. В процессе работы можно применять такие инструменты, как фильтрация по различным условиям, генерация табличных и графических отчетов, импорт данных в формат HTML и программы Microsoft Excel и OpenOffice.org Calc.

Встроенный DHCP-сервер

В UserGate Proxy & Firewall реализован собственный DHCP-сервер, который может раздавать клиентам IP-адреса из указанного администратором пула. Данный инструмент не нужен, если в информационной системе предприятия поднят домен. Однако он может упростить администрирование компьютеров в небольших одноранговых сетях.

Встроенный маршрутизатор

Другим инструментом для администратора является встроенный маршрутизатор. Он позволяет объединить две или несколько локальных сетей, обеспечив прозрачную двустороннюю связь между ними. При этом, можно указать протоколы и службы, которым будет разрешено использование сетевых соединений.

Антивирусная защита

С помощью UserGate Proxy & Firewall может быть организована проверка всего проходящего через прокси-сервер трафика на наличие вредоносных программ. Для этого используются интегрированные модули, разработанные компаниями "Лаборатория Касперского" и Panda Security. Причем проверка трафика может осуществляться либо одним из указанных антивирусных модулей, либо последовательно. Стоит отметить, что использование антивирусных требует приобретения дополнительных лицензий от соответствующих производителей.

Межсетевой экран

В рассматриваемом прокси-сервере реализован полноценный межсетевой экран, который позволяет блокировать нежелательный сетевой трафик и способствует защите от внешних вторжений. При этом, он весьма прост в настройке. При включении или отключении сервисов и правил назначения портов соответствующие порты будут автоматически открываться или закрываться.

Поддержка VPN

UserGate Proxy & Firewall поддерживает работу с протоколами PPTP и L2TP, которые применяются для связи с VPN-серверами. Это позволяет легко обеспечить безопасные удаленные подключения к информационным ресурсам предприятия или его филиалов.

Развертывание UserGate Proxy & Firewall и работа с ним

Процедуру развертывания прокси-сервера UserGate Proxy & Firewall можно условно разделить на несколько этапов.

1. Установка программы.
2. Базовая настройка прокси-сервера.
3. Создание правил, реализующих корпоративную политику использования Интернета.
4. Внесение пользователей.

Этап 1. Установка программы

Процедура установки UserGate Proxy & Firewall очень проста и не требует от исполнителя каких-то особых знаний и навыков. В первую очередь загружаем дистрибутив с официального сайта разработчика , запускаем его и выбираем язык работы инсталлятора. В открывшемся приветственном окне нажимаем на кнопку "Далее".

Рисунок 1. Приветственное окно инсталлятора UserGate Proxy & Firewall

На следующем шаге читаем лицензионное соглашение, принимаем его и снова нажимаем на "Далее".

Рисунок 2. Лицензионное соглашение UserGate Proxy & Firewall

Третий этап заключается в выборе устанавливаемых компонентов. Если осуществляется установка программы на интернет-шлюз, то необходимо включить пункт "Базовые файлы UserGate Proxy & Firewall 5" и выбрать в нем необходимые подпункты. Так, например, если у вас нет лицензии на модули антивирусной проверки или вы не собираетесь использовать веб-статистику, то и устанавливать соответствующие модули нет необходимости. Отдельно можно выбирать консоль управления и компонент "Статистика UserGate". Это может потребоваться при установке продукта на компьютер администратора или ответственного сотрудника для удаленного управления прокси-сервером и просмотра отчетности.

Здесь же при необходимости можно изменить папку, в которую будет установлен продукт (по умолчанию используется папка C:\Program Files\Entensys\UserGate 5\).

Рисунок 3. Выбор компонентов установки UserGate Proxy & Firewall

После этого отображается заключительное окно инсталлятора, в котором для запуска процесса необходимо нажать на кнопку "Установить".

Рисунок 4. Заключительное окно инсталлятора UserGate Proxy & Firewall

Время выполнения процедуры установки зависит от доступных системных ресурсов.

Рисунок 5. Установка UserGate Proxy & Firewall

Для завершения установки требуется перезагрузка компьютера.

Этап 2. Базовая настройка прокси-сервера

Вся работа по администрированию прокси-сервера осуществляется с помощью консоли управления. Ее можно осуществлять как непосредственно с интернет-шлюза, так и удаленно с рабочего места администратора. Если консоль установлена вместе с сервером на одном компьютере, то соединение создается автоматически. В противном случае необходимо настроить подключение вручную – указать доменное имя или IP-адрес сервера, порт (по умолчанию 2345), логин и пароль.

Рисунок 6. Настройка подключения к серверу UserGate Proxy & Firewall

После первого подключения к серверу необходимо настроить интерфейсы. Сделать это можно на одноименной вкладке консоли управления. UserGate Proxy & Firewall автоматически определяет все доступные сетевые интерфейсы и отображает их в списке. Выберите среди них те, которые "смотрят" в локальную сеть и измените их тип на LAN. Все внешние интерфейсы должны иметь тип WAN. Помимо сетевых интерфейсов в списке перечислены такие подключения, как PPoE, VPN и пр. Они сразу имеют тип PPP, изменить который нельзя.

Рисунок 7. Настройка сетевых интерфейсов UserGate Proxy & Firewall

При необходимости можно организовать систему резервирования интернет-канала. Она позволяет автоматически переключаться на другой интерфейса при недоступности основного. Для ее использования необходимо наличие двух или более подключений к Интернету. Для настройки резервирования удобнее всего использовать специальный мастер. На первом его этапе укажите основное и резервные соединения.

Рисунок 8. Указание основного и резервных соединений в UserGate Proxy & Firewall

На втором этапе введите адреса серверов, недоступность которых будет означать "падение" канала. Обратите внимание, что лучше всего использовать популярные сервисы, причем не один, а несколько. Это позволяет избежать переключение на резервный канал из-за внутренних проблем сервера, магистральной аварии и других подобных причин. Дополнительно можно ввести интервал проверки и таймаут команды Ping.

Рисунок 9. Список серверов для проверки работоспособности подключения в UserGate Proxy & Firewall

Все настройки резервирования интернет-канала отображаются на странице "Интерфейсы" консоли управления. Здесь же можно изменять их вручную, не обращаясь к мастеру настройки.

Рисунок 10. Свойства резервирования интернет-канала в UserGate Proxy & Firewall

Далее необходимо настроить прокси-сервера. Для этого откройте в консоли управления раздел "Сервисы" и выберите в нем вкладку "Настройка прокси". При этом в правой части окна будет отображен список всех доступных прокси-серверов. Включите нужные сервисы и выключите все остальные.

Рисунок 11. Список прокси-серверов в UserGate Proxy & Firewall

В случае необходимости можно изменить параметры работы любого прокси-сервера. Осуществляется это в специальном окне, вызываемым двойным нажатием на нужном пункте. В нем нужно указать сетевые интерфейсы, которые будет прослушивать прокси-сервер. В большинстве случаев необходимо выбрать все подключения к локальной сети. В свойствах можно не указывать интерфейсы, но в этом случае UserGate Proxy & Firewall будет прослушивать их все, в том числе и внешние. Здесь же можно изменить и порт, на котором работает прокси-сервер.

Дополнительно в данном окне можно перевести прокси-сервер в так называемый прозрачный режим работы. Суть его заключается в следующем. При включении "прозрачности" драйвер NAT прослушивает соответствующие порты (80 TCP для HTTP, 110 TCP для POP3 и т.д.) интернет-шлюза, обнаруживает поступающие по ним запросы и пересылает их прокси-серверу. В результате этого работа, по сути, ведется через "прокси", однако администраторам уже не нужно настраивать приложения на рабочих станциях. Все они будут работать как при прямом подключении к Интернету. Правда, при использовании прозрачного режима работы необходимо перенастроить свойства сетевого подключения рабочих станций (указать IP-адрес интернет-шлюза в качестве шлюза и ввести DNS-сервер).

Рисунок 12. Свойства прокси-сервера в UserGate Proxy & Firewall

Далее необходимо обеспечить прохождение через прокси-сервер DNS-запросов. Проще всего это можно сделать с помощью DNS-форвардинга. При использовании данной технологии запросы, поступающие на 53 порт интернет-шлюза (прослушиваются только LAN-интерфейсы) перенаправляются на DNS-сервер провайдера. Для ее включения перейдите на вкладку "Настройка DNS" в разделе "Сервисы". В открывшемся окне включите DNS-форвардинг и укажите адрес DNS-сервера. По умолчанию он будет браться автоматически из настройки сетевой карты WAN-интерфейса. Однако, при необходимости, можно задать собственный список DNS-серверов.

Рисунок 13. Настройка DNS в UserGate Proxy & Firewall

Дополнительно можно настроить такие возможности продукта, как общее управление полосой пропускания, перенаправление портов, контроль приложений и пр. Однако подробно разбирать их мы уже не будем: UserGate Proxy & Firewall слишком функционален для описания его полной настройки в рамках одного обзора. Кроме того, данный продукт сопровождается достаточно подробной справочной системой.

Этап 3. Создание правил, реализующих корпоративную политику использования Интернета

Важной особенностью UserGate Proxy & Firewall является система управления трафиком, которая позволяет предотвращать нецелевое использование корпоративных ресурсов сети Интернет сотрудниками организации, усилить защищенность информационной системы и решить ряд других подобных задач. Она основана на правилах, в которых описывается поведение системы в тех или иных случаях. Основная работа с ними осуществляется на одноименной вкладке раздела "Управление трафиком". Здесь их можно создавать, удалять и редактировать. Правил может быть произвольное количество. При этом не обязательно все они должны быть задействованы. Правила присваиваются группам или пользователям и работают только для них.

Рисунок 14. Список правил управления трафиком в UserGate Proxy & Firewall

Каждое правило представляет собой одно или несколько условий, объединенных логическими операциями И или ИЛИ. При их выполнении срабатывает заданное действие. Окно свойств правила состоит из пяти вкладок. На первой задаются основные параметры: имя, тип логики, а также объект и выполняемое с ним действие. Здесь доступны такие варианты, как закрыть соединение, отключить подсчет трафика, включить ограничение на скорость и пр.

Рисунок 15. Основные параметры правила управления трафиком в UserGate Proxy & Firewall

На второй вкладке указываются протоколы, для которых будет работать правило. По умолчанию они активированы все. Однако администратор может часть из них отключить.

Рисунок 16. Настройка протоколов в правиле управления трафиком в UserGate Proxy & Firewall

Следующая вкладка позволяет задать расписание, т.е. указать время действия правила.

Рисунок 17. Настройка расписания действия правила управления трафиком в UserGate Proxy & Firewall

Четвертая вкладка предназначена для ввода ограничений на суточное, недельное или месячное потребление трафика. Правило будет срабатывать при достижении пользователем определенного лимита. Помимо этого, на данной вкладке можно устанавливать ограничения на размер загружаемых файлов.

Рисунок 18. Настройка ограничений на потребление в правиле управления трафиком в UserGate Proxy & Firewall

Последняя, пятая вкладка позволяет осуществлять настройку фильтрации веб-контента. На ней можно задать условия четырех разных типов: по IP-адресу (или диапазону IP-адресов), по адресу сайта (в том числе и по фрагменту адреса), по типу контента (по целым категориям - аудио, видео, картинки, текстовые документы и пр. или по отдельным расширениям - *.avi, *.mp3, *.flv и т.д.), а также по категории. Стоит отметить, что тип фильтруемого контента можно задавать.

Рисунок 19. Настройка условий фильтрации веб-контента в правиле управления трафиком в UserGate Proxy & Firewall

Описанные выше условия могут комбинироваться в любых сочетаниях, что позволяет создавать очень гибкие правила, описывающие практически любую корпоративную политику использования Интернета.

Этап 4. Внесение пользователей

В UserGate Proxy & Firewall реализовано два способа внесения пользователей: вручную и путем интеграции с Active Directory. Понятно, что первый из них предназначен только для малых компаний, в которых используется простая одноранговая сеть. Если же в организации развернут домен, то гораздо проще и эффективнее использовать интеграцию с Active Directory.

Если выбран второй вариант внесения пользователей, то сначала необходимо настроить параметры синхронизации. Сделать это можно на вкладке "Группы" раздела "Пользователи и группы". Для ввода параметров нажмите на кнопку "Настройка синхронизации с AD" и введите в открывшемся окне наименование домена, адрес контроллера, логин и пароль администратора, а также частоту обновления данных.

Рисунок 20. Настройка синхронизации UserGate Proxy & Firewall с Active Directory

Работа с учетными записями начинается с ввода групп пользователей, для каждой из которых можно указывать введенные ранее правила. При этом они будут распространяться сразу же на все учетные записи, что упрощает управление.

Рисунок 21. Список групп в UserGate Proxy & Firewall

После завершения работы с группами можно приступить к настройке списка пользователей. При ручном способе каждую учетную запись придется вводить самостоятельно, задавая все ее свойства, включая метод авторизации. При синхронизации список учетных записей заполняется и поддерживается в актуальном состоянии автоматически. При необходимости в аккаунты пользователей можно внести изменения, например, установить другой метод авторизации (по умолчанию используется NTLM-авторизация).

Рисунок 22. Список учетных записей в UserGate Proxy & Firewall

Здесь необходимо сделать небольшое отступление. Для использования некоторых методов авторизации (логин и пароль, введенные в UserGate Proxy & Firewall, Windows-логин, авторизация через Active Directory.) на рабочие станции необходимо установить специальную программу – клиент авторизации UserGate. Его инсталляционный пакет (AuthClientInstall.msi) находится в подпапке Tools каталога установки продукта. Он может быть установлен как вручную, так и с помощью групповых политик Active Directory.

На этом процедуру первоначальной настройки UserGate Proxy & Firewall можно считать законченной. Наш прокси-сервер полностью готов к работе. В будущем администратор может в любой момент подключиться к нему удаленно и изменить заданные ранее параметры.

UserGate Proxy & Firewall относится к приложениям, которые не нуждаются в постоянном внимании со стороны администратора. Подключение к сети Интернет, переключение на резервный канал и обратно, контроль использования глобальной сети сотрудниками компании и другие действия выполняются автоматически. Так что, фактически, вся дальнейшая работа сводится к изучению статистики и, иногда, изменению некоторых параметров работы.

Для работы с собираемой системой информацией может использоваться специальное приложение – "Статистика UserGate". С его помощью администратор или ответственный сотрудник может просматривать полные данные, фильтруя их по дате, адресу назначения, пользователю, протоколу, категории веб-сайтов и другим параметрам, а также экспортировать их в разных форматах.

Рисунок 24. Просмотр статистики с помощью специального приложения

Есть и другой вариант просмотра собираемой информации – веб-статистика. С ее помощью можно изучать данные с помощью браузера. Интересно, что делать это могут не только администраторы, но и простые пользователи. При этом, им будет доступна только их личная статистика.

Рисунок 25. Просмотр статистики с помощью браузера

Выводы

В завершение подведём небольшой итог. Подробное рассмотрение возможностей UserGate Proxy & Firewall показало, что на сегодняшний день данный продукт является одним из наиболее функциональных прокси-серверов, присутствующих на российском рынке. С его помощью можно решить практически любую задачу, связанную с организацией совместного доступа к сети Интернет.

Важной особенностью рассмотренного продукта является возможность реализации корпоративной политики использования глобальной сети. Запрет доступа к потенциально опасным сайтам, блокировка загрузки контента определенного типа и некоторые другие возможности увеличивают степень защищенности информационной системы.

Немаловажным фактором является наличие в UserGate Proxy & Firewall инструментов безопасности, которые позволяют быстро и просто организовать защиту периметра локальной сети от внешних угроз: антивируса и брандмауэра. Конечно же, их использование не отменяет необходимость защиты рабочих станций. Тем не менее, двухступенчатая "оборона", в ходе которой сетевой трафик проверяется последовательно (сначала на уровне интернет-шлюза, а потом на уровне компьютеров пользователей) обычно оказывается заметно эффективнее.

Основные недостатки UserGate Proxy & Firewall носят не технический, а скорее "экономический" характер. Речь идет о необходимости ежегодного продления лицензий на использование антивирусных модулей, а также системы фильтрации сайтов на основе категорий. В принципе, прокси-сервер может работать и без них, тем более, лицензия на сам UserGate Proxy & Firewall бессрочная. Однако, данные функции позволяют заметно увеличить безопасность информационной системы, и, поэтому, их использование все-таки желательно.

Подключив интернет в офисе, каждый начальник хочет знать за что он платит. Особенно, если тариф не безлимитный, а по трафику. Есть несколько путей решения проблем контроля трафика и организации доступа к сети интернет в масштабах предприятия. Я раскажу о внедрении прокси сервера UserGate для получения статистики и контроля пропускной способности канала на примере своего опыта.

Сразу скажу, что я использовал сервис UserGate (версия 4.2.0.3459), но методы организации доступа и технологии при этом применяемые используются и в других прокси серверах. Так что описанные сдесь шаги в целом подойдут и для других программных решений (например Kerio Winroute Firewall, или другие proxy), с небольшими отличиями в деталях реализации интерфейса настройки.

Опишу поставленную передо мной задачу: Есть сеть из 20 машин, есть ADSL модем в этой же подсети (алним 512/512 кбит/с). Требуется ограничить максимальную скорость пользователям и вести учет траффика. Задача немного усложнена тем, что доступ к настройкам модема закрыт провайдером (возможен доступ только через терминал, но пароль у провайдера). Странича статистики на сайте провайдера недоступна (Не спрашивайте почему, ответ один — такие отношения с провайдером у предприятия).

Ставим юзергейт и активируем его. Для организации доступа в сеть будем использовать NAT (Network Address Translation - «преобразование сетевых адресов»). Для работы технологии необходимо наличие двух сетевых карт на машине, где будем ставить сервер (сервис) UserGate (Есть вероятность, что можно заставить работать NAT на одной сетевой карте, назначив ей два IP адерса в разных подсетях).

И так, начальный этап насройки — конфигурация драйвера NAT (драйвер от UserGate, ставится во время основной инсталляции сервиса). Нам необходимо два сетевых интерфейса (читай сетвых карт) на аппаратуре сервера (для меня это не было пробелмой, т.к. я разворачивал UserGate на виртульаной машине . А там можно сделать «много» сетевых карт ).

В идеале, к одной сетевой карте подключается сам модем , а ко второй — вся сеть , из которой будут получать доступ к интернету. В моем случае модем установлен в разных помещениях с сервером (физической машиной), а переносить оборудование мне лень и некогда (да и в недалеком будущем маячит организация помещения серверной). Оба сетевых адаптера я подключил в одну сеть (физически), но настроил на разные подсети. Так как поменять настройки модема я не всилах (закрыт доступ провайдером) пришлось перевести все компьютеры в другую подсеть (благо средствами DHCP это делается элементарно).

Сетевую карту, подключенную к модему (интернет ) настраиваем как и прежде было (согласно данных от провайдера).

• Назначаем статический IP адрес (в моем случае это 192.168.0.5);
• Маску подсети 255.255.255.0 — я не менял, но можно настроить таким образом, что в подсети прокси сервера и модема будут только два устройства;
• Шлюз — адрес модема 192.168.0.1
• Адреса DNS-серверов провайдера (основной и дополнительный обязательно ).

Вторую сетевую карту , подкюченную к внутренней сети (интранет ), настраиваем следующим образом:

• Статический IP адрес, но в другой подсети (у меня 192.168.1.5);
• Маску согласно ваших сетевых настроек (у меня 255.255.255.0);
• Шлюз не указываем .
• В поле адреса DNS сервера вводим адрес DNS-сервера предприятия (если есть, если нету — оставляем пустым).

Примечание: необходимо убедиться, что в настройках сетевых интерфесов отмечено использование компонента NAT от UserGate.

После настройки сетевых интерфейсов запускаем сам сервис UserGate (не забудьте настроить его работу как сервис, для автоматического запуска с правами системы) и заходим в консоль управления (можно локально, а можно и удаленно). Заходим в «Сетевые правила» и выбираем «Мастер настройки NAT «, необходимо будет указать свои интранет (intranet ) и интернет (internet ) адаптеры. Интранет — адаптер подключенный во внутреннюю сеть. Мастер произведет конфигурацию драйвера NAT.

После этого необходимо разобраться с правилами NAT , для чего переходим в «Сетевые настройки» — «NAT». Каждое правило имеет несколько полей и статус (активно и не активно). Суть полей проста:

• Название — имя правила, рекомендую дать что-то осмысленное (писать в это поле адреса и порты не нужно, эта информация и так будет доступна в перечне правил);
• Интерфейс приемника — ваш интранет интерфейс (в моем случае 192.168.1.5);
• Интерфейс отправителя — ваш интернет интерфейс (в одной подсети с модемом, в моем случае 192.168.0.5);
• Порт — указываете к какому потру относится данное правило (например для браузера (HTTP) порт 80, а для получения почты 110 порт ). Можно указать диапазон портов , если не хотите возится, но это не рекомендуется делать на весь диапазон портов.
• Протокол — выбираете из выпадающего меню один из вариантов: TCP (обычно), UPD или ICMP (например для работы команд ping или tracert).

Изначально в списке правил уже присутствуют самые используемые правила, необходимые для работы почты и различного рода программ. Но я дополнил стандартный список своими правилами: для рабты DNS запросов (не ипользуя опцию форвардинга в UserGate), для работы защищенных соединений SSL, для работы torrent клиента, для работы программы Radmin и прочее. Вот скриншоты мого списка правил. Список пока маловат — но со временем расширяется (с появлением необходимости работы по новому порту).

Следующий этап — настройка пользователей. Я в своем случае выбрал авторизацию по IP адресу и MAC адресу . Есть варианты авторизации только по IP адерсу и по учетным данным Active Directory. Так же можно использовать HTTP авторизацию (каждый раз ползователи сначала вводят пароль через браузер). Создаем пользователей и гуппы пользователей и назначаем им используемые правила NAT (Надо дать юзеру итернет в браузер — включаем для него правило HTTP с портом 80, надо дать ICQ — правило аськи с потом 5190).

Последнее на этапе внедрения я настроил ползователй на работу через прокси. Для этого я использовал DHCP сервис. На клиентские машины передавются следующие настройки:

• IP адрес — динамический от DHCP в диапазоне подсети интранета (в моем случае диапазон 192.168.1.30 -192.168.1.200. Для нужных машин настроил резервацию IP адреса).
• Маска подсети (255.255.255.0)
• Шлюз — адрес машины с UserGate в локальной сети (Интранет адрес — 192.168.1.5)
• DNS сервера — я предаю 3 адреса. Первый — адрес DNS-сервера предприятия, второй и третий — адсреса ДНС провайдера. (На DNS предприятия натроен форвардинг на ДНС провайдера, так в случае «падения» местного ДНС — интернет имена будут резолвится на ДНСах провайдера).

На этом базовая настройка закончена . Осталось проверить работоспособность , для этого на клиенской машине надо (получив настройки от DHCP или вприсав их вручную, в соотвтетствии с рекомендациями выше) запустить браузер и открыть любую страничку в сети . Если что-то не работает проверить еще раз ситуацию:

• Настройки сетвеого адаптера клиента корректны? (машина с покси сервером пингуется?)
• Авторизовался ли ползователь/компьютер на прокси сервере? (см. метоты авторизации UserGate)
• Включены ли у ползователя/группы правила NAT необходимые для работы? (для работы браузера надо хотя бы HTTP правлило для протокола TCP на 80 порту).
• Лимиты трафика для пользователя или группы не истекли? (я у себя не вводил этого).

Теперь можно наблюдать подключившихся пользователей и используемые ими правила NAT в пункте «Мониторинг» консоли управления прокси-сервером.

Дальнейшая настройка прокси — это уже тюнинг , к конкретным требованиям. Первое что я сделал — это включил огранчение пропускной способности в свойсвтах пользователей (позднее можно внедрить систему правил для ограничения скорости) и включил дополнительные сервисы UserGate — прокси сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Включение прокси-сервисов позволяет исползовать кеширование запросов. Но необходимо проводить дополнительную настройку клиентов на работу с проксисервером.

Осталить вопросы? Предлагаю задать их прямо тут.

________________________________________

Примечание: Данная статья была отредактирована, дополнена актуальными данными и дополнительными ссылками.

UserGate Proxy & Firewall представляет собой интернет-шлюз класса UTM (Unified Threat Management), позволяющий обеспечивать и контролировать общий доступ сотрудников к интернет-ресурсам, фильтровать вредоносные, опасные и нежелательные сайты, защищать сеть компании от внешних вторжений и атак, создавать виртуальные сети и организовывать безопасный VPN-доступ к ресурсам сети извне, а также управлять шириной канала и интернет-приложениями.

Продукт является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса, в государственных учреждениях, а также крупных организациях с филиальной структурой.

Всю дополнительную информацию о продукте вы сможете найти .

В программе имеются дополнительные платные модули:

• Kaspersky Antivirus
• Panda Antivirus
• Avira Antivirus
• Entensys URL Filtering

Лицензия на каждый из модулей предоставляется на один календарный год. Опробовать работу всех модулей можно в триальном ключе, который может быть предоставлен на срок от 1 до 3 месяцев на неограниченное число пользователей.

Подробно про правила лицензирования можно прочитать .

По всем вопросам, связанным с покупкой решений Entensys, обращайтесь по адресу: [email protected] или по телефону бесплатной линии: 8-800-500-4032.

Системные требования

Для организации шлюза необходим компьютер или сервер, который должен удовлетворять следующим системным требованиям:

• Частота CPU: от 1,2 ГГц
• Объём RAM: от 1024 Gb
• Объём HDD: от 80 Гб
• Количество сетевых адаптеров: 2 и более

Чем больше число пользователей (относительно 75 пользователей), тем больше характеристики сервера должны быть.

Мы рекомендуем устанавливать наш продукт на компьютер с "чистой" серверной операционной системой, рекомендуемой операционной системой является Windows 2008/2012.
Мы не гарантируем корректной работы UserGate Proxy&Firewall и/или совместной работы сторонних служб и не рекомендуем его совместное использование с сервисами на шлюзе, который выполняет следующие роли:

• Является контроллером домена
• Является гипервизором виртуальных машин
• Является сервером терминалов
• Выполняет роль высоконагруженного сервера СУБД/DNS/HTTP и пр.
• Выполняет роль SIP сервера
• Выполняет критичные для бизнес-процессов сервисы или службы
• Всё вышеперечисленное

UserGate Proxy&Firewall на данный момент может конфликтовать со следующими типами программного обеспечения:

• Все без исключения сторонние Брандмауэр/Firewall решения
• Антивирусные продукты компании BitDefender
• Антивирусные модули выполняющие функцию Firewall или "Антихакер", большинства антивирусных продуктов. Рекомендуется отключить эти модули
• Антивирусные модули обеспечивающие проверку данных передаваемых по протоколам HTTP/SMTP/POP3, это может вызвать задержку при активной работе через прокси
• Сторонние программные продукты, которые способны перехватывать данные сетевых адаптеров - "измерители скорости", "шейперы" и т.п.
• Активная роль Windows Server "Маршрутизация и удалённый доступ" в режиме NAT/Internet Connection Sharing (ICS)

Внимание! При установке рекомендуется отключить поддержку протокола IPv6 на шлюзе, при условии что не используются приложения которые используют IPv6. В текущей реализации UserGate Proxy&Firewall нет поддержки протокола IPv6, и соответственно фильтрация этого протокола не осуществляется. Таким образом, хост может быть доступен извне по протоколу IPv6 даже при активированных запрещающих правилах файрволла.

При корректной настройке, UserGate Proxy&Firewall совместим со следующими сервисами и службами:

Роли Microsoft Windows Server:

• DNS сервер
• DHCP сервер
• Print сервер
• Файловый(SMB) сервер
• Сервер приложений
• WSUS сервер
• WEB сервер
• WINS сервер
• VPN сервер

И со сторонними продуктами:

• FTP/SFTP серверы
• Серверы обмена сообщениями - IRC/XMPP

При установке UserGate Proxy&Firewall убедитесь, что стороннее ПО не использует порт или порты, которые может использовать UserGate Proxy&Firewall. По умолчанию UserGate использует следующие порты:

• 25 - SMTP-прокси
• 80 - прозрачный HTTP-прокси
• 110 - POP3-прокси
• 2345 - консоль администратора UserGate
• 5455 - VPN-сервер UserGate
• 5456 - клиент авторизации UserGate
• 5458 - DNS-форвардинг
• 8080 - HTTP-прокси
• 8081 - веб-статистика UserGate

Все порты можно менять с помощью консоли администратора UserGate.

Установка программы и выбор база данных для работы

Мастер настройки UserGate Proxy & Firewall

Более детальное описание настройки правил NAT описано в этой статье:

Агент UserGate

После установки UserGate Proxy&Firewall обязательно произведите перезагрузку шлюза. После авторизации в системе, в панели задач Windows рядом с часами иконка UserGate агент должна стать зелёной. Если иконка серая, то значит в процессе установки произошла ошибка и служба сервера UserGate Proxy&Firewall не запущена, в этом случае обратитесь к соответствующему разделу базы знаний Entensys, либо к технической поддержке компании Entensys.

Конфигурирование продукта осуществляется посредством консоли администрирования UserGate Proxy&Firewall, которую можно вызвать как двойным щелчком по иконке агента UserGate, так и по ярлыку из меню "Пуск".
При запуске консоли администрирования первым шагом является регистрация продукта.

Общие настройки

В разделе "Общие настройки" консоли администратора задайте пароль пользователя Administrator. Важно! Не используйте юникод-специсмволы или ПИН-код продукта в качестве пароля для доступа к консоли администрирования.

В продукте UserGate Proxy&Firewall есть механизм защиты от атак , активировать его можно также в меню "Общие настройки". Механизм защиты от атак является активным механизмом, своего рода "красная кнопка", который работает на всех интерфейсах. Рекомендуется использовать эту функцию в случае DDoS атак либо массового заражения вредоносным ПО (вирусы/черви/ботнет-приложения) компьютеров внутри локальной сети. Механизм защиты от атак может блокировать пользователей, использующих файлобменные клиенты - торренты, direct connect, некоторые типы VoIP клиентов/серверов, осуществляющих активный обмен трафиком. Чтобы получить ip адреса заблокированных компьютеров, откройте файл ProgramData\Entensys\Usergate6\logging\fw.log или Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log .

Внимание! Параметры, описанные ниже, рекомендуется менять только при большом количестве клиентов/высоких требованиях к пропускной способности шлюза.

В этом разделе также имеются следующие настройки: "Максимальное число соединений" - максимальное количество всех соединений через NAT и через прокси UserGate Proxy&Firewall.

"Максимальное число NAT соединений" - максимальное количество соединений, которое UserGate Proxy&Firewall может пропускать через драйвер NAT.

Если количество клиентов не более 200-300, то настройки "Максимальное число соединений" и "Максимальное число NAT соединений" менять не рекомендуется. Увеличение этих параметров может привести к существенной нагрузке на оборудование шлюза и рекомендуется только в случае оптимизации настроек при большом количестве клиентов.

Интерфейсы

Внимание! Перед этим обязательно проверьте настройки сетевых адаптеров в Windows! Интерфейс подключенный к локальной сети (LAN) не должен содержать адреса шлюза! DNS-серверы в настройках LAN-адаптера указывать не обязательно, IP-адрес должен быть назначен вручную, не рекомендуем его получать с помощью DHCP.

IP-адрес LAN-адаптера должен иметь частный IP-адрес. допустимо использовать IP-адрес из следующих диапазонов:

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Распределение адресов частных сетей описаны в RFC 1918 .

Использование других диапазонов в качестве адресов для локальной сети приведёт к ошибкам в работе UserGate Proxy&Firewall.

Интерфейс, подключенный к сети Интернет (WAN), должен содержать IP-адрес, маску сети, адрес шлюза, адреса DNS-серверов.
Не рекомендуется использование более трёх DNS-серверов в настройках WAN-адаптера, это может привести к ошибкам в работе сети. Предварительно проверьте работоспособность каждого DNS сервера с помощью команды nslookup в консоли cmd.exe, пример:

nslookup usergate.ru 8.8.8.8

где 8.8.8.8 - адрес DNS-сервера. Ответ должен содержать IP-адрес запрошенного сервера. Если ответа нет, то DNS-сервер не валиден, либо DNS-трафик блокируется.

Необходимо определить тип интерфейсов. Интерфейс с IP-адресом, который подключен к внутренней сети, должен иметь тип LAN; интерфейс, который подключен к сети Интернет - WAN.

Если WAN-интерфейсов несколько, то необходимо выбрать основной WAN-интерфейс, через который будет ходить весь трафик, кликнув правой кнопкой мыши по нему и выбрав "Установить основным соединением". Если планируется использование другого WAN-интерфейса в качестве резервного канала, рекомендуем воспользоваться "Мастером настройки" .

Внимание! При настройке резервного подключения рекомендуется задать не DNS-имя хоста, а IP-адрес для того, чтобы UserGate Proxy&Firewall переодически опрашивал его с помощью icmp(ping) запросов и при отсутствии ответа включал резервное подключение. Убедитесь, что DNS-серверы в настройках сетевого резервного адаптера в Windows работоспособны.

Пользователи и группы

Для того, чтобы клиентский компьютер мог авторизоваться на шлюзе и получать доступ к службам UserGate Proxy&Firewall и NAT, необходимо добавить пользователей. Для упрощения выполнения этой процедуры, воспользуйтесь функцией сканирования - "Сканировать локальную сеть". UserGate Proxy&Firewall самостоятельно просканирует локальную сеть и предоставит список хостов, которые можно добавить в список пользователей. Далее, можно создать группы и включить в них пользователей.

Если у Вас развёрнут контроллер домена, то Вы можете настроить синхронизацию групп с группами в Active Directory, либо произвести импорт пользователей из Active Directory, без постоянной синхронизации с Active Directory.

Создаем группу, которая будет синхронизована с группой или группами из AD, вводим необходимые данные в меню "Синхронизация с AD", перезапускаем службу UserGate с помощью агента UserGate. Через 300 сек. пользователи автоматически импортируются в группу. У этих пользователей будет выставлен способ авторизации - AD.

Межсетевой экран

Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран.

Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим "Запретить" (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate Proxy&Firewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила.

Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами:

Источник - "LAN", назначение - "Любой", сервисы - ANY:FULL, действие - "Разрешить"
Источник - "Любой", назначение - "LAN", сервисы - ANY:FULL, действие - "Разрешить"

Затем создаём правило, которое откроет доступ в Интернет для шлюза:

Источник - "WAN"; назначение - "Любой"; сервисы - ANY:FULL; действие - "Разрешить"

Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так:

Источник - "Любой"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"

И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило:

Источник - "Любой"; назначение - "WAN"; сервисы - Any ICMP, RDP; действие - "Разрешить"

Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно.

Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT).

Источник - "LAN"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"; выбираете пользователей или группы, которым необходимо предоставить доступ.

Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз.

Варианты различных настроек и примеры правил межсетевого экрана можно посмотреть .

Прочие настройки

Далее, в разделе сервисы - прокси можете включить необходимые прокси-серверы - HTTP, FTP, SMTP, POP3, SOCKS. Выберите нужные интерфейсы, включение опции "прослушивать на всех интерфейсах" быть небезопасной, т.к. прокси в таком случае будет доступен как на LAN интерфейсах так и на внешних интерфейсах. Режим "прозрачного" прокси, маршрутизирует весь трафик по выбранному порту на порт прокси, в таком случае на клиентских компьютерах, указывать прокси не нужно. Прокси остаётся также доступным и по порту, указанному в настройках самого прокси-сервера.

Если на сервере включен прозрачный режим прокси (Сервисы - Настройка прокси), то достаточно указать в настройках сети на клиентской машине сервер UserGate в качестве основного шлюза. В качестве DNS-сервера также можно указать сервер UserGate, в этом случае должен быть включен .

Если на сервере прозрачный режим отключен, то нужно прописать адрес сервера UserGate и соответствующий порт прокси, указанный в Сервисы - Настройка прокси, в настройках подключения браузера. Пример настройки сервера UserGate для такого случая можно посмотреть .

Если в вашей сети имеется сконфигурированный DNS сервер, то можете указать его в настройках DNS форвардинга UserGate и настройках WAN адаптера UserGate. В таком случае и в режиме NAT и в режиме прокси все DNS запросы будут направлены на этот сервер.

Сегодня руководство, наверное, уже всех компаний оценило по достоинству те возможности, которые предоставляет Интернет для ведения бизнеса. Речь идет, конечно же, не об интернет-магазинах и электронной торговле, которые, как ни крути, сегодня являются больше маркетинговыми инструментами, нежели реальным способом увеличения оборота товаров или услуг. Глобальная сеть является отличной информационной средой, практически неисчерпаемым источником самых разнообразных данных. Кроме того, она обеспечивает быструю и дешевую связь как с клиентами, так и с партнерами фирмы. Нельзя сбрасывать со счетов и возможности Интернета для маркетинга. Таким образом, получается, что Глобальную сеть, в общем-то, можно считать многофункциональным бизнес-инструментом, который может повысить эффективность выполнения сотрудниками компании своих обязанностей.

Впрочем, для начала необходимо предоставить этим сотрудникам доступ к Интернету. Просто подключить один компьютер к Глобальной сети сегодня не проблема. Существует много способов, как это можно сделать. Также найдется немало компаний, предлагающих практическое решение данной задачи. Вот только вряд ли Интернет на одном компьютере сможет принести фирме заметную пользу. Доступ к Сети должен быть у каждого сотрудника с его рабочего места. И здесь нам не обойтись без специального программного обеспечения, так называемого прокси-сервера. В принципе возможности операционных систем семейства Windows позволяют сделать любое соединение с Интернетом общим. В этом случае доступ к нему получат другие компьютеры из локальной сети. Впрочем, это решение вряд ли стоит рассматривать хоть сколько-нибудь серьезно. Дело в том, что при его выборе придется забыть о контроле над использованием Глобальной сети сотрудниками компании. То есть любой человек с любого корпоративного компьютера может выйти в Интернет и делать там все что угодно. А чем это грозит, наверное, никому объяснять не нужно.

Таким образом, единственный приемлемый для компании способ организации подключения всех компьютеров, входящих в корпоративную локальную сеть, - это прокси-сервер. Сегодня на рынке присутствует немало программ этого класса. Но мы будем говорить только об одной разработке. Она называется UserGate, а создали ее специалисты компании eSafeLine. Главными особенностями этой программы являются широкие функциональные возможности и очень удобный русскоязычный интерфейс. Кроме того, стоит отметить, что она постоянно развивается. Недавно на суд общественности была представлена новая, уже четвертая версия этого продукта.

Итак, UserGate. Этот программный продукт состоит из нескольких отдельных модулей. Первый из них - непосредственно сам сервер. Он должен быть установлен на компьютере, напрямую подключенном к Интернету (интернет-шлюзу). Именно сервер реализует доступ пользователей в Глобальную сеть, осуществляет подсчет использованного трафика, ведет статистику работы и т. п. Второй модуль предназначен для администрирования системы. С его помощью ответственный сотрудник осуществляет всю настройку прокси-сервера. Главной особенностью UserGate в этом плане является то, что модуль администрирования не обязательно должен быть размещен на интернет-шлюзе. Таким образом, речь идет об удаленном управлении прокси-сервером. Это очень хорошо, поскольку системный администратор получает возможность управлять доступом в Интернет непосредственно со своего рабочего места.

Помимо этого в состав UserGate входят еще два отдельных программных модуля. Первый из них нужен для удобного просмотра статистики использования Интернета и построения отчетов на ее основе, а второй - для авторизации пользователей в некоторых случаях. Такой подход прекрасно сочетается с русскоязычным и интуитивно понятным интерфейсом всех модулей. Все вместе это позволяет быстро и без каких-либо проблем настроить общий доступ к Глобальной сети в любом офисе.

Но давайте все-таки перейдем к разбору функциональных возможностей прокси-сервера UserGate. Начать нужно с того, что в этой программе реализовано сразу же два разных способа настройки DNS (самая, пожалуй, важная задача при реализации общего доступа). Первый из них - NAT (Network Address Translation - преобразование сетевых адресов). Он обеспечивает очень точный учет потребленного трафика и позволяет пользователям применять любые разрешенные администратором протоколы. Правда, стоит отметить, что некоторые сетевые приложения в этом случае будут работать некорректно. Второй вариант - DNS-форвардинг. Он имеет большие ограничения по сравнению с NAT, но зато может использоваться на компьютерах с устаревшими операционными семействами (Windows 95, 98 и NT).

Разрешения на работу в Интернете настраиваются с помощью понятий "пользователь" и "группа пользователей". Причем, что интересно, в прокси-сервере UserGate пользователь - это не обязательно человек. Его роль может выполнять и компьютер. То есть в первом случае доступ в Интернет разрешается определенным сотрудникам, а во втором - всем людям, севшим за какой-то ПК. Естественно, при этом используются разные способы авторизации пользователей. Если речь идет о компьютерах, то их можно определять по IP-адресу, связке IP- и MAC-адресов, диапазону IP-адресов. Для авторизации же сотрудников могут использоваться специальные пары логин/пароль, данные из Active Directory, имя и пароль, совпадающие с авторизационной информацией Windows, и т. д. Пользователей для удобства настройки можно объединять в группы. Такой подход позволяет управлять доступом сразу же всех сотрудников с одинаковыми правами (находящихся на одинаковых должностях), а не настраивать каждую учетную запись по отдельности.

Есть в прокси-сервере UserGate и собственная биллинговая система. Администратор может задавать любое количество тарифов, описывающих, сколько стоит одна единица входящего или исходящего трафика или времени подключения. Это позволяет вести точный учет всех расходов на Интернет с привязкой к пользователям. То есть руководство компании всегда будет знать, кто сколько потратил. Кстати, тарифы можно сделать зависимыми от текущего времени, что позволяет в точности воспроизвести ценовую политику провайдера.

Прокси-сервер UserGate позволяет реализовывать любую, сколь угодно сложную политику корпоративного доступа к Интернету. Для этого используются так называемые правила. С их помощью администратор может задать ограничения для пользователей по времени работы, по количеству отправленного или принятого трафика за день или месяц, по количеству используемого времени за день или месяц и т. д. В случае превышения этих лимитов доступ к Глобальной сети будет автоматически перекрываться. Кроме того, с помощью правил можно ввести ограничения на скорость доступа отдельных пользователей или целых их групп.

Другим примером использования правил являются ограничения на доступ к тем или иным IP-адресам или их диапазонам, к целым доменным именам или адресам, содержащим определенные строки, и т. д. То есть фактически речь идет о фильтрации сайтов, с помощью которой можно исключить посещение сотрудниками нежелательных веб-проектов. Но, естественно, это далеко не все примеры применения правил. С их помощью можно, например, реализовать переключение тарифов в зависимости от загружаемого в данный момент сайта (необходимо для учета льготного трафика, существующего у некоторых провайдеров), настроить вырезание рекламных баннеров и т. п.

Кстати, мы уже говорили, что у прокси-сервера UserGate есть отдельный модуль для работы со статистикой. С его помощью администратор может в любой момент просмотреть потребленный трафик (общий, по каждому из пользователей, по группам пользователей, по сайтам, по IP-адресам серверов и т. п.). Причем все это делается очень быстро с помощью удобной системы фильтров. Кроме того, в данном модуле реализован генератор отчетов, с помощью которого администратор может составлять любую отчетность и экспортировать ее в формат MS Excel.

Очень интересным решением разработчиков является встраивание в файрвол антивирусного модуля, который контролирует весь входящий и исходящий трафик. Причем они не стали изобретать велосипед, а интегрировали разработку "Лаборатории Касперского". Такое решение гарантирует, во-первых, действительно надежную защиту от всех зловредных программ, а во-вторых, регулярное обновление баз данных сигнатур. Другой важной в плане информационной безопасности возможностью является встроенный файрвол. И вот он-то был создан разработчиками UserGate самостоятельно. К сожалению, стоит отметить, что интегрированный в прокси-сервер файрвол довольно серьезно отличается по своим возможностям от ведущих продуктов в этой области. Собственно говоря, речь идет о модуле, осуществляющем простую блокировку трафика, идущего по указанным администратором портам и протоколам к компьютерам с заданными IP-адресами и от них. В нем нет ни режима невидимости, ни некоторых других, в общем-то, обязательных для файрволов функций.

К сожалению, одна статья не может включить подробный разбор всех функций прокси-сервера UserGate. Поэтому давайте хотя бы просто перечислим наиболее интересные из них, не вошедшие в наш обзор. Во-первых, это кеширование загруженных из Интернета файлов, что позволяет реально экономить деньги на услугах провайдера. Во-вторых, стоит отметить функцию Port mapping, которая позволяет привязать любой выбранный порт одного из локальных Ethernet-интерфейсов к нужному порту удаленного хоста (эта функция необходима для работы сетевых приложений: системы типа банк - клиент, различные игры и т. п.). Помимо этого в прокси-сервере UserGate реализованы такие возможности, как доступ к внутренним корпоративным ресурсам, планировщик заданий, подключение к каскаду прокси, мониторинг трафика и IP-адресов активных пользователей, их логинов, посещенных URL-адресов в режиме реального времени и многое, многое другое.

Ну а теперь пришла пора подвести итоги. Мы с вами, уважаемые читатели, довольно подробно разобрали прокси-сервер UserGate, с помощью которого можно организовать общий доступ к Интернету в любом офисе. И убедились в том, что данная разработка сочетает в себе простоту и удобство настройки и использования с весьма обширным набором функциональных возможностей. Все это делает последнюю версию UserGate весьма привлекательным продуктом.