-- [ Страница 1 ] --
UserGate Proxy & Firewall v.6
Руководство администратора
Введение
О программе
Системные требования
Установка UserGate Proxy & Firewall
Регистрация
Обновление и удаление
Политика лицензирования UserGate Proxy & Firewall
Консоль администрирования
Настройка соединений
Установка пароля на подключение
Аутентификация администратора UserGate
Установка пароля на доступ к базе статистики UserGate
Общие настройки NAT (Network Address Translation)
Общие настройки
Настройка интерфейсов
Подсчет трафика в UserGate
Поддержка резервного канала
Пользователи и группы
Синхронизация с Active Directory
Персональная страница статистики пользователя
Поддержка терминальных пользователей
Настройка сервисов в UserGate
Настройка DHCP
Настройка сервисов прокси в UserGate
Поддержка протоколов IP-телефонии (SIP, H323)
Поддержка режима SIP Registrar
Поддержка протокола H323
Почтовые прокси в UserGate
Использование прозрачного режима
Каскадные прокси
Назначение портов
Настройка кэша
Антивирусная проверка
Планировщик в UserGate
Настройка DNS
Настройка VPN-сервера
Настройка системы обнаружения вторжений (СОВ)
Настройка оповещений
Межсетевой экран в UserGate
Принцип работы межсетевого экрана
Регистрация событий МЭ
Правила трансляции сетевого адреса (NAT)
Работа с несколькими провайдерами
Автоматический выбор исходящего интерфейса
www.usergate.ru
Публикация сетевых ресурсов
Настройка правил фильтрации
Поддержка маршрутизации
Ограничение скорости в UserGate
Контроль приложений
Обозреватель кэш в UserGate
Управление трафиком в UserGate
Система правил управления трафиком
Ограничение доступа к Интернет-ресурсам
Entensys URL Filtering
Установка лимита потребления трафика
Ограничение размера файла
Фильтрация по Content-type
Биллинговая система
Тарификация доступа в Интернет
Периодические события
Динамическое переключение тарифов
Удаленное администрирование UserGate
Настройка удаленного подключения
Удаленный перезапуск сервера UserGate
Проверка доступности новой версии
Веб-статистика UserGate
Оценка эффективности работы правил управления трафиком
Оценка эффективности работы антивируса
Статистика использования SIP
Приложение
Контроль целостности UserGate
Проверка правильности запуска
Вывод отладочной информации
Получение технической поддержки
www.usergate.ru
Введение Прокси-сервер – это комплекс программ, выполняющий роль посредника (от английского «proxy» - «посредник») между рабочими станциями пользователей и другими сетевыми службами.
Решение передает все обращения пользователя в Интернет и, получив ответ, отправляет его обратно. При наличии функции кэширования прокси-сервер запоминает обращения рабочих станций к внешним ресурсам, и в случае повторения запроса, возвращает ресурс из собственной памяти, что существенно снижает время запроса.
В некоторых случаях запрос клиента или ответ сервера может быть модифицирован или блокирован прокси-сервером для выполнения определенных задач, например, для предотвращения заражения рабочих станций вирусами.
О программе UserGate Proxy & Firewall – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты.
UserGate позволяет тарифицировать доступ пользователей к сети Интернет, как по трафику, так и по времени работы в сети. Администратор может добавлять различные тарифные планы, осуществлять динамическое переключение тарифов, автоматизировать снятие/начисление средств и регулировать доступ к ресурсам Интернет. Встроенный межсетевой экран и антивирусный модуль позволяют защищать сервер UserGate и проверять проходящий через него трафик на наличие вредоносного кода. Для безопасного подключения к сети организации можно использовать встроенный VPN-сервер и клиент.
UserGate состоит из нескольких частей: сервер, консоль администрирования (UserGateAdministrator) и несколько дополнительных модулей. Сервер UserGate (процесс usergate.exe) – это основная часть прокси-сервера, в которой реализованы все его функциональные возможности.
Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.
Консоль администрирования UserGate - это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному защищенному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.
UserGate включает три дополнительных модуля: «Веб-статистика», «Клиент авторизации и модуль «Контроль приложений».
www.entensys.ru
Системные требования Сервер UserGate рекомендуется устанавливать на компьютер с операционной системой Windows XP/2003/7/8/2008/2008R2/2012, подключенный к сети Интернет через модемное или любое другое соединение. Требования к аппаратному обеспечению сервера:
– – –
Установка UserGate Proxy & Firewall Процедура установки UserGate сводится к запуску установочного файла и выбору опций мастера установки. При первой установке решения достаточно оставить опции по умолчанию. После завершения установки потребуется перезагрузить компьютер.
Регистрация Для регистрации программы необходимо запустить сервер UserGate, подключить консоль администрирования к серверу и выбрать пункт меню «Помощь» – «Зарегистрировать продукт». При первом подключении консоли администрирования появится диалог для регистрации с двумя доступными опциями: запрос демонстрационного ключа и запрос полнофункционального ключа. Запрос ключа выполняется online (протокол HTTPS), через обращение к сайту usergate.ru.
При запросе полнофункционального ключа требуется ввести специальный ПИН-код, который выдается при покупке UserGate Proxy & Firewall или службой поддержки для тестирования. Кроме того, при регистрации потребуется ввести дополнительную персональную информацию (имя пользователя, адрес электронной почты, страна, регион). Личные данные используются исключительно для привязки лицензии к пользователю и никоим образом не распространяется. После получения полного или демонстрационного ключа сервер UserGate будет автоматически перезапущен.
www.usergate.ru
Важно! В демонстрационном режиме сервер UserGate Proxy & Firewall будет работать 30 дней. При обращении в компанию Entensys можно запросить специальный ПИН-код для расширенного тестирования. Например, можно запросить демонстрационный ключ на три месяца. Повторное получение триальной лицензии без ввода специального расширенного ПИН-кода невозможно.
Важно! При работе UserGate Proxy & Firewall периодически выполняется проверка статуса регистрационного ключа. Для корректной работы UserGate необходимо разрешить доступ в сеть Интернет по протоколу HTTPS. Это требуется для online-проверки статуса ключа. При трехкратной неуспешной проверке ключа лицензия на прокси-сервер сбросится и появится диалог регистрации программы. В программе реализован счетчик максимального количества активаций, которое составляет 10 раз. После превышения этого лимита, вы сможете активировать продукт вашим ключом только после обращения в службу поддержки по адресу: http://entensys.ru/support.
Обновление и удаление Новая версия UserGate Proxy & Firewall v.6 может быть установлена поверх предыдущих версий пятого семейства. В этом случае мастер установки предложит сохранить или перезаписать файл настроек сервера config.cfg и файл статистики log.mdb. Оба файла расположены в директории, в которую установлен UserGate (в дальнейшем – “%UserGate%”). Сервер UserGate v.6 поддерживает формат настроек UserGate v.4,5, поэтому при первом запуске сервера настройки будут переведены в новый формат автоматически.
Обратная совместимость настроек не поддерживается.
Внимание! Для файла статистики поддерживается только перенос текущих балансов пользователей, сама статистика по трафику не будет перенесена.
Изменения базы данных были вызваны проблемами в производительности старой и лимитами на её размер. Новая база данных Firebird не обладает такими недостатками.
Удаление сервера UserGate выполняется через соответствующий пункт меню Пуск Программы или через пункт Установка и удаление программ (Программы и компоненты в Windows 7/2008/2012) в панели управления Windows. После удаления UserGate в директории установки программы останутся некоторые файлы, если не была установлена опция удалить все.
Политика лицензирования UserGate Proxy & Firewall Сервер UserGate предназначен для предоставления доступа в сеть Интернет пользователям локальной сети. Максимальное количество пользователей, которые могут одновременно работать в сети Интернет через UserGate, обозначается количеством «сессий» и определяется регистрационным ключом.
Регистрационный ключ UserGate v.6 уникален и не подходит к предыдущим версиям UserGate. В демонстрационном периоде решение работает в течение 30 дней с ограничением в пять сессий. Понятие «сессия» не следует путать с количеством интернет-приложений или подключений, которые запускает пользователь. Количество подключений от одного пользователя может быть любым, если оно специально не ограничивается.
www.usergate.ru
Встроенные в UserGate антивирусные модули (от Kaspersky Lab, Panda Security и Avira), а также модуль Entensys URL Filtering, лицензируются отдельно. В демонстрационной версии UserGate встроенные модули могут работать 30 дней.
Модуль Entensys URL Filtering, предназначенный для работы с категориями сайтов, предоставляет возможность работы в демонстрационном режиме сроком на 30 дней. При приобретении UserGate Proxy & Firewall c модулем фильтрации срок действия лицензии на Entensys URL Filtering составляет один год. По истечении срока подписки фильтрация ресурсов посредством модуля прекратится.
www.usergate.ru
Консоль администрирования Консоль администрирования представляет собой приложение, предназначенное для управления локальным или удаленным сервером UserGate. Для использования консоли администрирования необходимо запустить сервер UserGate, выбрав пункт Запустить сервер UserGate в контекстном меню UserGate-агента (иконка в системном трее, в дальнейшем
– «агент»). Запустить консоль администрирования можно через контекстное меню агента или через пункт меню Пуск Программы, если консоль администрирования установлена на другой компьютер. Для работы с настройками необходимо подключить консоль администрирования к серверу.
Обмен данными между консолью администрирования и сервером UserGate, выполняется по протоколу SSL. При инициализации подключения (SSLHandshake) выполняется односторонняя аутентификация, в ходе которой сервер UserGate передает консоли администрирования свой сертификат, расположенный в директории %UserGate%\ssl. Сертификат или пароль со стороны консоли администрирования для подключения не требуется.
Настройка соединений При первом запуске консоль администрирования открывается на странице Соединения, на которой присутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке localhost-administrator или нажав на кнопку Подключиться на панели управления. В консоли администрирования UserGate можно создать несколько подключений. В настройках подключений указываются следующие параметры:
Название сервера – это название подключения;
Имя пользователя – логин для подключения к серверу;
Адрес сервера – доменное имя или IP-адрес сервера UserGate;
Порт – TCP-порт, используемый для подключения к серверу (по умолчанию используется порт 2345);
Пароль – пароль для подключения;
Спрашивать пароль при подключении – опция позволяет отображать диалог ввода имени пользователя и пароля при подключении к серверу;
Автоматически подключаться к этому серверу – консоль администрирования при запуске будет подключаться к данному серверу автоматически.
Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории %UserGate%\Administrator\. На стороне сервера UserGate имя пользователя и md5 хэш пароля для подключения хранятся в файле config.cfg, расположенном в директории %UserGate_data, где, %UserGate_data% – папка для Windows XP – (C:\Documents and Settings\All www.usergate.ru Users\Application Data\Entensys\UserGate6), для Windows 7/2008 папка – (C:\Documents and Settings\All Users\Entensys\UserGate6) Установка пароля на подключение Создать логин и пароль для подключения к серверу UserGate можно на странице Общие настройки в разделе Настройки администратора. В этом же разделе можно указать TCP-порт для подключения к серверу. Для вступления новых настроек в силу необходимо перезапустить сервер UserGate (пункт Перезапустить сервер UserGate в меню агента). После перезапуска сервера новые настройки требуется указать и в параметрах соединения в консоли администрирования. В противном случае администратор не сможет подключиться к серверу.
Внимание! С целью избежания проблем с работоспособностью консоли администрирования UserGate менять эти параметры не рекомендуется!
Аутентификация администратора UserGate Для успешного подключения консоли администрирования к серверу UserGate, администратор должен пройти процедуру аутентификации на стороне сервера.
Аутентификации администратора выполняется после установления SSLподключения консоли администрирования к серверу UserGate. Консоль передает серверу логин и md5 хеш пароля администратора. Сервер UserGate сравнивает полученные данные с тем, что указано в файле настроек config.cfg.
Аутентификация считается успешной, если данные, полученные от консоли администрирования, совпадают с тем, что указано в настройках сервера. При неудачной аутентификации сервер UserGate разрывает SSL-подключение с консолью администрирования. Результат процедуры аутентификации регистрируется в файле usergate.log, расположенном в директории %UserGate_data%\logging\.
Установка пароля на доступ к базе статистики UserGate Пользовательская статистика – трафик, посещенные ресурсы, и т.п.
записываются сервером UserGate в специальную базу данных. Доступ к базе осуществляется напрямую (для встроенной БД Firebird) или через ODBCдрайвер, что позволяет серверу UserGate работать с базами практически любого формата (MSAccess, MSSQL, MySQL). По умолчанию используется база Firebird – %UserGate_data%\usergate.fdb. Логин и пароль на доступ к базе данных – SYSDBA\masterkey. Установить другой пароль можно через пункт Общие настройки Настройки базы данных консоли администрирования.
Общие настройки NAT (Network Address Translation) Пункт Общие настройки NAT позволяет задать величину таймаута для соединений NAT по протоколам TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT, когда передача данных по соединению завершена. Опция Вывод отладочных логов предназначена для отладки и позволяет, при необходимости, включить режим расширенного логирования сообщений драйвера NAT UserGate.
Детектор атак – это специальная опция, позволяющая вам задействовать внутренний механизм отслеживания и блокировки сканера портов или попыток www.usergate.ru занятия всех портов сервера. Этот модуль работает в автоматическом режиме, события будут записаны в файл %UserGate_data%\logging\fw.log.
Внимание! Настройки этого модуля можно изменить через файл конфигурации config.cfg, раздел options.
Общие настройки Заблокировать по строке браузера – список User-Agent’s браузеров, которые могут быть заблокированы прокси-сервером. Т.е. можно, например, запретить выходить в интернет старым браузерам таким как, IE 6.0 или Firefox 3.x.
www.usergate.ru Настройка интерфейсов Раздел Интерфейсы (рис. 1) является главным в настройках сервера UserGate, поскольку определяет такие моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, ограничения ширины Интернет-канала для трафика определенного типа, установление отношений между сетями и порядок обработки пакетов драйвером NAT (Network Address Translation).
Рисунок 1. Настройка интерфейсов сервера В разделе Интерфейсы перечислены все доступные сетевые интерфейсы сервера, на который установлен UserGate, включая Dial-Up (VPN, PPPoE) подключения.
Для каждого сетевого адаптера администратор UserGate должен указать его тип. Так, для адаптера, подключенного к сети Интернет, следует выбрать тип WAN, для адаптера, подключенного к локальной сети – тип LAN.
Изменить тип Dial-Up (VPN, PPPoE) подключения нельзя. Для таких подключений сервер UserGate автоматически установит тип PPP-интерфейс.
Указать имя пользователя и пароль для Dial-Up (VPN) подключения можно дважды щелкнув на соответствующем интерфейсе. Интерфейс, расположенный вверху списка, является основным подключением Интернет.
Подсчет трафика в UserGate Трафик, проходящий через сервер UserGate, записывается на пользователя локальной сети, который является инициатором соединения, или на сервер www.usergate.ru UserGate, если инициатором соединения является сервер. Для трафика сервера в статистике UserGate предусмотрен специальный пользователь - Сервер UserGate. На счет пользователя Сервер UserGate записывается трафик обновления антивирусных баз для встроенных модулей Kaspersky Lab, Panda Security, Avira, а также трафик разрешения имен через DNS-форвардинг.
Трафик учитывается полностью, вместе со служебными заголовками.
Дополнительно добавлена возможность учета Ethernet-заголовков.
При правильном задании типов сетевых адаптеров сервера (LAN или WAN), трафик в направлении «локальная сеть - сервер UserGate» (например, обращения к общим сетевым ресурсам на сервере) не учитывается.
Важно! Наличие сторонних программ – межсетевые экраны или антивирусы (с функцией проверки трафика) – может существенно повлиять на правильность подсчета трафика в UserGate. На компьютер с UserGate не рекомендуется устанавливать сетевые программы сторонних производителей!
Поддержка резервного канала На странице интерфейсов находится настройка резервного канала. Кликнув на кнопку Мастер настройки, вы сможете выбрать интерфейс, который будет задействован в качестве резервного канала. На второй странице реализован выбор хостов, которые будут проверяться прокси-сервером на наличие связи с интернетом. С указанным интервалом решение будет проверять доступность этих хостов ICMP-запросом Echo-request. Если ответ хотя бы от одного заданного хоста вернется, соединение считается активным. Если ни от одного хоста не придёт ответа, то соединение будет считаться неактивным, и основной шлюз в системе поменяется на шлюз резервного канала. Если при этом были созданы правила NAT с указанием специального интерфейса Masquerade в качестве внешнего интерфейса, то такие правила будут пересозданы в соответствии текущей таблицей маршрутизации. Созданные NAT-правила начнут работать через резервный канал.
Рисунок 2. Мастер настройки резервного канала www.
usergate.ru В качестве резервного подключения сервер UserGate может использовать как Ethernet-подключение (выделенный канал, WAN-интерфейс), так и Dial-Up (VPN, PPPoE) подключение (PPP-интерфейс). После переключения на резервное подключение Интернет, сервер UserGate будет периодически проверять доступность основного канала. Если его работоспособность восстановится, программа произведет переключение пользователей на основное подключение к Интернет.
www.usergate.ru
Пользователи и группы Для предоставления доступа в сеть Интернет необходимо создать пользователей в UserGate. Для удобства администрирования пользователей можно объединять в группы по территориальному признаку или по уровню доступа. Логически наиболее правильным является объединение пользователей в группы по уровням доступа, поскольку в этом случае существенно облегчается работа с правилами управления трафиком. По умолчанию в UserGate присутствует единственная группа - default.
Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку Добавить в панели управления на странице Пользователи и группы. Существует ещё один способ добавления пользователей – сканирование сети ARP-запросами. Нужно щелкнуть на пустом месте в консоли администратора на странице пользователи и выбрать пункт сканировать локальную сеть. Далее задать параметры локальной сети и дождаться результатов сканирования. В итоге вы увидите список пользователей, которых можно добавить в UserGate. Обязательными параметрами пользователя (рис. 3) являются имя, тип авторизации, параметр авторизации (IP-адрес, логин и пароль и т.п.), группа и тариф. По умолчанию все пользователи принадлежат к группе default. Имя пользователя в UserGate должно быть уникальным. Дополнительно в свойствах пользователя можно определить уровень доступа пользователя к веб-статистике, задать номер внутреннего телефона для H323, ограничить количество соединений для пользователя, включить правила NAT, правила управления трафиком или правила для модуля «Контроль приложений».
Рисунок 3. Профиль пользователя в UserGate Пользователь в UserGate наследует все свойства группы, к которой принадлежит, кроме тарифа, который можно переопределить.
Указанный в свойствах пользователя тариф будет относиться к тарификации всех соединений пользователя. Если доступ в сеть Интернет не тарифицируется, можно использовать пустой тариф, который называется “default”.
www.usergate.ru
Синхронизация с Active Directory Группы пользователей в UserGate можно синхронизировать с группами Active Directory. Для использования синхронизации с Active Directory машина с UserGate Proxy & Firewall не обязательно должна входить в домен.
Настройка синхронизации выполняется в два этапа. На первом этапе, на странице «Группы» консоли администратора UserGate (рис. 4) нужно включить опцию Синхронизация с AD и указать следующие параметры:
название домена IP-адрес контроллера домена логин и пароль для доступа к Active Directory (допускается указание логина в формате UPN – User Principal Name) период синхронизации (в секундах) На втором этапе нужно открыть свойства группы пользователей (выждав интервал синхронизации) в UserGate, включить опцию «синхронизация групп с AD» и выбрать одну или несколько групп из Active Directory.
При синхронизации в группы UserGate поместятся пользователи из Active Directory, принадлежащие выбранным группам Active Directory. В качестве типа авторизации для импортированных пользователей будет использоваться тип “HTTP Состояние импортированного пользователя (NTLM)”.
(включен/выключен) управляется состоянием соответствующего аккаунта в домене Active Directory.
www.usergate.ru Рисунок 4. Настройка синхронизации с Active Directory Важно! Для синхронизации нужно обеспечить прохождение протокола LDAP между сервером UserGate и контроллером домена.
www.usergate.ru Персональная страница статистики пользователя Каждому пользователю в UserGate предоставлена возможность просмотра страницы статистики. Доступ к персональной странице статистики может быть получен по адресу http://192.168.0.1:8080/statistics.html, где для примера 192.168.0.1 – локальный адрес машины с UserGate, а 8080 – порт, на котором работает HTTP-прокси-сервер UserGate. Пользователь может посмотреть свою личную расширенную статистику, войдя по адресу - http://192.168.0.1:8081.
Внимание! В версии 6.х был добавлен слушающий интерфейс 127.0.0.1:8080, который нужен для работы веб-статистики при отключенном HTTP-проксисервере UserGate. В связи с этим порт 8080 на интерфейсе 127.0.0.1 всегда будет занят UserGate Proxy & Firewall, пока будет запущен процесс usergate.exe
По IP-адресу По диапазону IP-адресов По IP+MAC-адресу По MAC-адресу Авторизация средствами HTTP (HTTP-basic, NTLM) Авторизация через логин и пароль (Клиент авторизации) Упрощенный вариант авторизации через Active Directory Для использования трех последних методов авторизации на рабочую станцию пользователя необходимо установить специальное приложение - клиент авторизации UserGate. Соответствующий MSI пакет (AuthClientInstall.msi) расположен в директории %UserGate%\tools и может быть использован для автоматической установки средствами групповой политики в Active Directory.
Административный шаблон для установки клиента авторизации средствами групповой политики Active Directory, также расположен в директории %UserGate%\tools. На сайте http://usergate.ru/support есть видео-инструкция по развертыванию клиента авторизации через групповую политику.
Если сервер UserGate установлен на компьютер, не входящий в домен Active Directory, рекомендуется использовать упрощенный вариант авторизации через Active Directory. В этом случае сервер UserGate будет сравнивать логин и имя домена, полученные от клиента авторизации, с соответствующими полями, указанными в профиле пользователя, не обращаясь к контроллеру домена.
Поддержка терминальных пользователей Для авторизации терминальных пользователей в прокси-сервере UserGate, начиная с версии 6.5 был добавлен специальный программный модуль, который называется «Терминальный Агент Авторизации». Дистрибутив программы Терминального агента находится в папке %UserGate%\tools и называется – TerminalServerAgent*.msi. Для 32-хбитных систем надо брать версию «TerminalServerAgent32.msi», а для 64-битных TerminalServerAgent64.msi». Программа представляет собой агента, который периодически, раз в 90 секунд отсылает авторизационную информацию о всех клиентах терминального сервера на прокси-сервер, и драйвер, который обеспечивает подмену портов для каждого терминального клиента. Сочетание информации о пользователе и сопоставленных ему портов, позволяют проксисерверу точно определять пользователей терминального сервера и применять к ним различные политики управления трафиком.
При установке терминального агента, вас попросят указать IP-адрес проксисервера, и количество пользователей. Это необходимо для оптимального использования свободных TCP\UDP портов терминального сервера.
www.usergate.ru
После установки агента терминального сервера, он делает запрос на проксисервер, и если всё проходит успешно, на сервере создаются три пользователя с авторизацией "логин-пароль AD", и с логином "NT AUTHORIY\*".
Если такие пользователи у вас появятся в консоли - значит ваш терминальный агент готов к работе.
Первый способ (синхронизация с доменом Active Directory):
В консоли администратора, на странице групп пользователей в свойствах опции «синхронизации с AD», надо указать корректные параметры для авторизации с AD.
Затем надо создать новую группу пользователей, и в ней указать какую группу пользователей в AD надо синхронизировать с текущей группой в Прокси-сервере. Затем ваши пользователи добавятся в эту локальную группу пользователей UserGate Proxy. На этом настройка проксисервера - практически закончена. После этого надо зайти под пользователем AD на терминальный сервер, и он автоматически будет авторизован на проксисервере, не требуя ввода логина и пароля. Пользователями терминального сервера можно будет управлять как обычными пользователями прокси-сервера с авторизацией по IP-адресу. Т.е. им можно будет применять разные правила NAT и\или правила управления трафиком.
Второй способ (импорт пользователей из домена Active Directory):
Использовать «импорт» пользователей из AD, он настраивается на странице с пользователями, путём нажатия на соответствующую кнопку - «импорт», в интерфейсе консоли администратора UserGate.
Необходимо импортировать пользователей из AD в определенную локальную группу на прокси-сервере. После этого у всех импортированных пользователей, которые будут запрашивать выход в интернет с терминального сервера, появится доступ в интернет с правами, определенными на прокси-сервере UserGate.
Третий способ (использование локальных учетных записей терминального сервера):
Данный способ удобен для тестирования работы терминального агента или для случаев, когда терминальный сервер не находится в домене Active Directory. В таком случае необходимо завести нового пользователя с типом авторизации Логин домен-AD", и в виде "адреса домена" указать имя компьютера терминального сервера, а в качестве логина - имя пользователя, который будет входить на терминальный сервер. Все пользователи, которые будут заведены на прокси-сервере, получат доступ в интернет с терминального сервера, с правами, определенными на прокси-сервере UserGate.
Стоит понимать, что есть некоторые ограничения терминального агента:
Протоколы отличные от TCP\UDP не могут быть пропущены с терминального сервера в интернет. Например, нельзя будет запустить PING с этого сервера куда-либо в интернет через NAT.
www.usergate.ru Максимальное число пользователей на терминальном сервере не может превышать 220, при этом на каждого пользователя будет выделено не больше чем по 200 портов для протоколов TCP\UDP.
При перезапуске прокси-сервера UserGate, терминальный агент не будет выпускать никого в интернет до первой синхронизации с прокси-сервером UserGate (до 90 секунд).
HTTP-авторизация при работе через прозрачный прокси В UserGate v.6 добавлена возможность HTTP-авторизации для прокси-сервера, работающего в прозрачном режиме. Если браузер на рабочей станции пользователя не настроен на использование прокси-сервера, а HTTP-прокси в UserGate включен в прозрачном режиме, то запрос от неавторизованного пользователя будет перенаправлен на страницу авторизации, на которой требуется указать логин и пароль.
После авторизации данную страницу закрывать не нужно. Страница авторизации периодически обновляется, через специальный скрипт, сохраняя пользовательскую сессию активной. В таком режиме пользователю будут доступны все сервисы UserGate, включая возможность работы через NAT. Для завершения пользовательского сеанса требуется нажать Logout на странице авторизации или просто закрыть вкладку с авторизацией. и через 30-60 секунд авторизация на прокси-сервере пропадет.
разрешить прохождение NetBIOSNameRequest (UDP:137) пакетов между сервером UserGate и контроллером домена обеспечить прохождение пакетов NetBIOSSessionRequest (TCP:139) между сервером UserGate и контроллером домена прописать адрес и порт HTTP-прокси UserGate в браузере на машине пользователя Важно! Для использования NTLM-авторизации машина с установленным UserGate может и не являться членом домена Active Directory.
Использование клиента авторизации Клиент авторизации UserGate представляет собой сетевое приложение, работающее на уровне Winsock, которое подключается к серверу UserGate на определенный UDP-порт (по умолчанию используется порт 5456) и передает параметры авторизации пользователя: тип авторизации, логин, пароль и т.п.
www.usergate.ru
При первом запуске клиент авторизации UserGate просматривает ветку HKCU\Software\Policies\Entensys\Authclient системного реестра. Здесь могут быть расположены настройки, полученные через групповую политику домена Active Directory. Если настройки в системном реестре не обнаружены, адрес сервера UserGate придется указать вручную на третьей сверху закладке в клиенте авторизации. После указания адреса сервера нужно нажать кнопку Применить и перейти ко второй закладке. На этой странице указываются параметры авторизации пользователя. Настройки клиента авторизации сохраняются в разделе HKCU\Software\Entensys\Authclient системного реестра. Служебный лог клиента авторизации сохраняется в папке Documents and Settings\%USER%\Application data\UserGate Client.
Дополнительно в клиенте авторизации добавлена ссылка на персональную страницу статистики пользователя. Изменить внешний вид клиента авторизации можно через редактирование соответствующего шаблона в виде *.xml файла, расположенного в директории, в которую установлен клиент.
www.usergate.ru
Настройка сервисов в UserGate Настройка DHCP Служба позволяет DHCP (Dynamic Host Configuration Protocol) автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динамически назначать IP-адрес, адрес шлюза, DNS, WINS-сервера и т.п.
Включить DHCP-сервер можно через раздел Сервисы DHCP-сервер Добавить интерфейс в консоли администрирования UserGate или нажатием на кнопку Добавить в панели управления. В появившемся диалоге необходимо выбрать сетевой интерфейс, на котором будет работать DHCP-сервер. В минимальной конфигурации для DHCP-сервера достаточно задать следующие параметры: диапазон IP-адресов (пул адресов), из которого сервер будет выдавать адреса клиентам в локальной сети; маску сети и время аренды.
Максимальный размер пула в UserGate не может превышать 4000 адресов. При необходимости из выбранного пула адресов можно исключить (кнопка Исключения) один или несколько IP-адресов. За определенным устройством в сети можно закрепить постоянныйIP-адрес, создав соответствующую привязку в разделе Резервации. Постоянство IP-адреса при продлении или получении аренды обеспечивается за счет привязки (Резервации) к MAC-адресу сетевого устройства. Для создания привязки достаточно указать IP-адрес устройства.
MAC-адрес будет определен автоматически посредством нажатия на соответствующую кнопку.
Рисунок 6. Настройка DHCP-сервера UserGate
Сервер DHCP в UserGate поддерживает импорт настроек DHCP-сервера Windows. Предварительно настройки Windows DHCP необходимо сохранить в файл. Для этого на сервере, где установлен Windows DHCP, запустите режим командной строки (Пуск Выполнить, введите cmd и нажмите Enter) и в появившемся окне выполните команду: netsh dhcp server IP dumpимя_файла, где IP – IP-адрес вашего DHCP-сервера. Импорт настроек
www.usergate.ru
из файла осуществляется через соответствующую кнопку на первой странице мастера настройки DHCP-сервера.
Выданные IP-адреса отображаются в нижней половине окна консоли администрирования (рис. 8) вместе с информацией о клиенте (название компьютера, MAC-адрес), временем начала и конца аренды. Выделив выданный IP-адрес, можно добавить пользователя в UserGate, создать привязку по MAC-адресу или освободить IP-адрес.
Рисунок 7. Удаление выданных адресов
Освобожденный IP-адрес через некоторое время будет помещен в пул свободных адресов DHCP-сервера. Операция освобождения IP-адреса может понадобиться, если компьютер, ранее запросивший адрес у DHCP-сервера UserGate, более не присутствует в сети или сменил MAC-адрес.
В DHCP-сервере реализована возможность отвечать на запросы клиентов при запросе файла «wpad.dat». Через использование этого метода получения настроек прокси-сервера необходимо править файл шаблон, который находится в папке «C:\program files\entensys\usergate6\wwwroot\wpad.dat».
Более подробная информация о таком методе получения настроек проксисервера описана в Википедии.
Настройка сервисов прокси в UserGate В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх HTTP” и HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов www.usergate.ru доступны в разделе Сервисы Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера относятся:
интерфейс (рис. 9) и номер порта, на котором работает прокси.
Рисунок 8. Базовые настройки прокси-сервера По умолчанию в UserGate включен только HTTP-прокси, прослушивающий порт 8080 TCP на всех доступных сетевых интерфейсах сервера.
Для настройки браузера клиента на работу через прокси-сервер достаточно указать адрес и порт прокси в соответствующем пункте настроек. В Internet Explorer настройки прокси указываются в меню Сервис Свойства обозревателя Подключение Настройка LAN. При работе через HTTPпрокси в свойствах TCP/IP сетевого подключения на рабочей станции пользователя не требуется указывать шлюз и DNS, поскольку разрешение имен будет выполнять сам HTTP-прокси.
Для каждого прокси-сервера доступен режим каскадного включения на вышестоящий прокси-сервер.
Важно! Порт, указанный в настройках прокси-сервера, автоматически открывается в межсетевом экране UserGate. Поэтому, с точки зрения безопасности, в настройках прокси рекомендуется указывать только локальные сетевые интерфейсы сервера.
Важно! Подробнее о настройках различных браузеров на прокси-сервер, описано в специальной статье базы знаний Entensys.
Поддержка протоколов IP-телефонии (SIP, H323) В UserGate реализована функция SIP-прокси с контролем состояния соединений (stateful proxy) SIP Registrar. SIP-прокси включается в разделе Сервисы Настройка прокси и всегда работает в прозрачном режиме, прослушивая порты 5060 TCP и 5060 UDP. При использовании SIP-прокси на
www.usergate.ru
странице Сессии консоли администрирования отображается информация о состоянии активного соединения (регистрация, звонок, ожидание, и т.п.), а также информация об имени пользователя (или его номер), длительность звонка и количество переданных/полученных байт. Эта информация будет записана и в базу статистики UserGate.
Для использования SIP-прокси UserGate в свойствах TCP/IP на рабочей станции пользователя требуется указать IP-адрес сервера UserGate в качестве шлюза по умолчанию, а также обязательно указать адрес DNS-сервера.
Настройку клиентской части проиллюстрируем на примере программного телефона SJPhone и провайдера Sipnet. Запустите SJPhone, выберите в контекстном меню пункт Options и создайте новый профиль. Введите название профиля (рис. 10), например, sipnet.ru. В качестве типа профиля укажите Call through SIP-Proxy.
Рисунок 9. Создание нового профиля в SJPhone В диалоговом окне Profile Options требуется указать адрес прокси-сервера вашего VoIP-провайдера.
При закрытии диалога потребуется ввести данные для авторизации на сервере вашего VoIP-провайдера (имя пользователя и пароль).
Рисунок 10. Настройки профиля SJPhone www.usergate.ru Внимание! Если при включении SIP-прокси у вас голосовой трафик не проходит в одну или другую сторону, то вам необходимо либо использовать STUN-прокси-сервер, либо пускать трафик через NAT по всем портам (ANY:FULL) для нужных пользователей. При включении правила NAT по всем портам SIP-прокси-сервер необходимо будет отключить!
Поддержка режима SIP Registrar Функция SIP Registrar позволяет использовать UserGate в качестве программной АТС (Автоматической Телефонной Станции) для локальной сети.
Функция SIP Registrar работает одновременно с функцией SIP-прокси. Для авторизации на UserGate SIP Registrar в настройках SIP UAC (User Agent Client) требуется указать:
адрес UserGate в качестве адреса SIP сервера имя пользователя в UserGate (без пробелов) любой пароль Поддержка протокола H323 Поддержка протокола H323 позволяет использовать сервер UserGate в качестве «привратника» (H323 Gatekeeper). В настройках H323-прокси указывается интерфейс, на котором сервер будет прослушивать клиентские запросы, номер порта, а также адрес и порт H323-шлюза. Для авторизации на UserGate Gatekeeper пользователю требуется указать логин (имя пользователя в UserGate), пароль (любой) и номер телефона, указанный в профиле пользователя в UserGate.
Важно! Если на UserGate GateKeeper поступает звонок на номер H323, не принадлежащий ни одному из авторизованных пользователей UserGate, звонок будет перенаправлен на H323 gateway. Звонки на H323 gateway выполняются в режиме «CallModel: Direct».
Почтовые прокси в UserGate Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антивирусной проверки почтового трафика.
При использовании прозрачного режима работы POP3 и SMTP-прокси настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих варианту с прямым доступом в сеть Интернет.
Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате:
адрес_электронной_почты@адрес_POP3_сервера. Например, если пользователь имеет почтовый ящик [email protected], то в качестве Логина на
POP3-прокси UserGate в почтовом клиенте нужно будет указать:
[email protected]@pop.mail123.com. Такой формат необходим для того, чтобы сервер UserGate мог определить адрес удаленного POP3-сервера.
www.usergate.ru
Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется указать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае в настройках почтового клиента на рабочей станции пользователя в качестве адреса SMTPсервера требуется указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.
Использование прозрачного режима Функция Прозрачный режим в настройках прокси-серверов доступна, если сервер UserGate установлен вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сервисов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах компьютера с UserGate.
При наличии запросов передает их на соответствующий прокси-сервер UserGate. При использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа локальной сети в Интернет. Однако, в сетевых настройках рабочих станций сервер UserGate должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.
Каскадные прокси Сервер UserGate может работать с подключением Интернет как напрямую, так и через вышестоящие прокси-серверы. Такие прокси группируются в UserGate в пункте Сервисы Каскадные прокси. UserGate поддерживает следующие типы каскадных прокси: HTTP, HTTPS, Socks4, Socks5. В настройках каскадного прокси указываются стандартные параметры: адрес и порт. Если вышестоящий прокси поддерживает авторизацию, в настройках можно указать соответствующий логин и пароль. Созданные каскадные прокси становятся доступными в настройках прокси-серверов в UserGate.
www.usergate.ru Рисунок 11 Родительские прокси в UserGate Назначение портов В UserGate реализована поддержка функции Перенаправление портов (Port mapping). При наличии правил назначения портов сервер UserGate перенаправляет пользовательские запросы, поступающие на определенный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт, например, на другой компьютер в локальной сети.
Функция Перенаправление портов доступна для TCP- и UDP- протоколов.
Рисунок 12. Назначение портов в UserGate Важно! Если назначение портов используется для предоставления доступа из сети Интернет к внутреннему ресурсу компании, в качестве параметра www.usergate.ru Авторизация следует выбрать Указанный пользователь, иначе перенаправление порта работать не будет.
Настройка кэша Одним из назначений прокси-сервера является кэширование сетевых ресурсов.
Кэширование снижает нагрузку на подключение к сети Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate выполняет кэширование HTTP и FTP-трафика. Кэшированные документы помещаются в локальную папку %UserGate_data%\Cache. В настройках кэша указывается:
предельный размер кэша и время хранения кэшированных документов.
Дополнительно можно включить кэширование динамических страниц и подсчет трафика из кэша. Если включена опция Считать трафик из кэша, на пользователя в UserGate будет записываться не только внешний (Интернет) трафик, но также и трафик, полученный из кэша UserGate.
Внимание! Что бы посмотреть текущие записи в кэш, необходимо запустить специальную утилиту для просмотра базы данных кэш. Она запускается через нажатие правой кнопки мыши на иконке «UserGate агент», в системном трее и выборе пункта «Открыть обозреватель кэш».
Внимание! Если вы включили кэш, а в «обозревателе кэш» у вас по-прежнему нет ни одного ресурса, то вам скорей всего необходимо включить прозрачный прокси-сервер для протокола HTTP, на странице «Сервисы – Настройка прокси
Антивирусная проверка В сервер UserGate интегрированы три антивирусных модуля: антивирус Kaspersky Lab, Panda Security и Avira. Все антивирусные модули предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-серверы UserGate, а также исходящего трафика через SMTP-прокси.
Настройки антивирусных модулей доступны в разделе Сервисы Антивирусы консоли администрирования (рис. 14). Для каждого антивируса можно указать, какие протоколы он должен проверять, установить периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется (опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не требуется подвергать антивирусной проверке.
www.usergate.ru
Рисунок 13. Антивирусные модули в UserGate Перед запуском антивирусных модулей необходимо запустить обновление антивирусных баз и дождаться его завершения. В настройках по умолчанию базы антивируса Касперского обновляются с сайта Kaspersky Lab, а для антивируса Panda скачиваются с серверов Entensys.
Сервер UserGate поддерживает одновременную работу трех антивирусных модулей. В этом случае первым будет проверять трафик Антивирус Касперского.
Важно! При включении антивирусной проверки трафика сервер UserGate блокирует многопоточные загрузки файлов через HTTP и FTP. Блокирование возможности закачки части файла по HTTP может привести к проблемам в работе службы Windows Update.
Планировщик в UserGate В сервер UserGate встроен планировщик заданий, который может быть использован для выполнения следующих задач: инициализация и разрыв DialUp соединения, рассылка статистики пользователям UserGate, выполнение произвольной программы, обновление антивирусных баз, очистка базы статистики, проверка размера базы данных.
www.usergate.ru
Рисунок 14. Настройка планировщика заданий Пункт Выполнить программу в планировщике UserGate может быть использован и для выполнения последовательности команд (скриптов) из *.bat или *.cmd файлов.
Похожие работы:
«ПЛАН ДЕЙСТВИЙ 2014-2015 гг. КОНФЕРЕНЦИЯ РЕГИОНАЛЬНЫХ И МЕСТНЫХ ОРГАНОВ ВЛАСТИ ПО ВОСТОЧНОМУ ПАРТНЕРСТВУ ПЛАН ДЕЙСТВИЙ ПЛАН ДЕЙСТВИЙ КОНФЕРЕНЦИИ РЕГИОНАЛЬНЫХ И МЕСТНЫХ ОРГАНОВ ВЛАСТИ ПО ВОСТОЧНОМУ ПАРТНЕРСТВУ (CORLEAP) НА 2014 ГОД И ДО ПРОВЕДЕНИЯ ЕЖЕГОДНОЙ ВСТРЕЧИ В 2015 ГОДУ 1. Введение Конференция региональных и местных органов власти по Восточному партнерству (далее по тексту - «CORLEAP» или «Конференция») является политическим форумом, который призван содействовать проведению на местном и...»
«Директор Департамента государственной политики и регулирования в области геологии и недропользования Минприроды России А.В. Орёл утвердил 23 августа 2013 г УТВЕРЖДАЮ Директор Департамента государственной политики и регулирования в области геологии и недропользования Минприроды России _ А.В. Орёл «_» 2013 г СОГЛАСОВАНО Директор ФГУНПП «Геологоразведка» В.В. Шиманский «_»_ 2013 г. ЗАКЛЮЧЕНИЕ Научно-методического Совета по геолого-геофизическим технологиям поисков и разведки твердых полезных...»
«КОЛОНКА РЕДАКТОРА Д ДОРОГИЕ ДРУЗЬЯ! Вы держите в руках первый в этом году номер «Нового лесного журнала». По традиции его главной темой стала прошедшая в конце минувшего года международная выставка-ярмарка «Российский лес». Конечно, мы рассматривали это мероприятие не столько в качестве информационного повода, сколько как площадку для разработки специалистами лесного комплекса политики, стратегии и тактики развития отрасли. Именно с этой точки зрения мы старались освещать работу семинаров,...»
«Программа государственного итогового междисциплинарного экзамена составлена в соответствии с положениями:об итоговой государственной аттестации выпускников федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации» от 24 января 2012 года, г. Москва;о магистерской подготовке (магистратуре) в федеральном государственном бюджетном образовательном...»
«Список исполнителей Нечаев В.Д. руководитель Программы стратегического развития Университета, ректор Глазков А.А. руководитель работ по Программе стратегического развития Университета, проректор по науке, инновациям и стратегическому развитию Шараборова Г.К. координатор работ по Программе стратегического развития Университета, директор Центра стратегического развития Кураторы проектов: Соколов Е.Ф. проректор по административно-хозяйственному обеспечению Огнев А.С. проректор по науке,...»
«УДК 91:327 Лысенко А. В. Математическое моделирование как метод исследования феномена автономизма в политической географии Таврический национальный университет имени В. И. Вернадского, г. Симферополь е-mail: [email protected] Аннотация. В статье рассматривается возможность использования математического моделирования как метода исследования политической географии, раскрывается понятие территориального автономизма, а также факторы его генезиса. Ключевые слова: математическое моделирование,...»
« ПРАВА» в г. Мурманске УТВЕРЖДЕНО ПРИНЯТО Директор Филиала на заседании кафедры общеправовых ЧОУ ВПО БИЭПП в г. Мурманске дисциплин ЧОУ ВПО БИЭПП в.г. Мурманске А.С. Коробейников протокол № 2_ от «_09_»_сентября_ 2014 года «_09_»сентября 2014 года Учебнометодический комплекс дисциплины История политических и правовых учений Специальность...»
«ТраСТОвый фОнд рОССийСкОй прОграммы пОмОщи развиТию в ОблаСТи ОбразОвания (READ) READ ГОДОВОЙ ОТЧЕТ ЗА “инвестируя в оценку качества образования, оценку результатов реформ и системы оценивания учебных достижений и приобретенных навыков, банк поможет своим странам-партнерам ответить на ключевые вопросы для формирования политики реформ в образовании: какими достоинствами обладает наша система? каковы ее недостатки? какие меры по устранению этих недостатков оказались наиболее эффективными? каковы...»
«ОХУНОВ АЛИШЕР ОРИПОВИЧ [email protected] ТИТУЛ СИЛЛАБУС ОБЩИЕ СВЕДЕНИЯ СВЕДЕНИЯ О ПРЕПОДАВАТЕЛЯХ ПОЛИТИКА ДИСЦИПЛИНЫ «ОБЩИЕ ВОПРОСЫ ПРОГРАММА КОНЕЧНЫЕ РЕЗУЛЬТАТЫ ОБУЧЕНИЯ ПРЕРЕКВИЗИТЫ И ПОСТРЕКВИЗИТЫ ХИРУРГИИ» КРИТЕРИИ И ПРАВИЛА ОЦЕНКИ ЗНАНИЙ И НАВЫКОВ ОБУЧАЮЩИХСЯ ВИД КОНТРОЛЯ СИЛЛАБУС «ОБЩИЕ ВОПРОСЫ ХИРУРГИИ» ОХУНОВ АЛИШЕР ОРИПОВИЧ [email protected] ОБЩИЕ СВЕДЕНИЯ: ТИТУЛ Наименование вуза: Ташкентская Медицинская Академия ОБЩИЕ СВЕДЕНИЯ Кафедра общей и детской хирургии Место нахождение...»
«Комитет по внешним связям Реализация в Санкт-Петербурге Санкт-Петербурга государственной политики Российской Федерации в отношении соотечественников за рубежом VIII Петербургский Форум молодежных организаций российских соотечественников и зарубежных русскоязычных СМИ «Русское зарубежье» 7-13 июня 2015 года ПРОГРАММА 7 ИЮНЯ, ВОСКРЕСЕНЬЕ Заезд участников Форума в течение дня Отель “Санкт-Петербург” Адрес: Пироговская набережная, 5/2 Регистрация участников, выдача «Набора участника» ВНИМАНИЕ!...»
«Учебная программа дополнительного вступительного экзамена в магистратуру для специальности 1-23 80 06 «История международных отношений и внешней политики» составлена на основе типовых программ «История международных отношений» и «История внешней политики Беларуси», а также программы государственного экзамена по специальным дисциплинам для специальности 1-23 01 01 «Международные отношения». Рассмотрена и рекомендована к утверждению на заседании кафедры международных отношений Протокол №10 от 7...»
« неделе может выбрать проект сверхтяжелой ракеты Российско-китайская лаборатория Космические тросовые системы Следующие спутники серии Метеор не получат радиолокационных комплексов Пропавшую связь с российским научным спутником Вернов пока не наладили 19.02.2015 4 Космический мусор в январе 60 раз угрожал МКС В прошлом году на Землю...»
«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Кемеровский государственный университет»УТВЕРЖДАЮ: Ректор _ В. А. Волчек «» _ 2014 г. Основная образовательная программа высшего образования Специальность 030701 Международные отношения Направленность (специализация) «Мировая политика» Квалификация (степень) специалист в области международных отношений Форма обучения очная Кемерово 2014...»
«ИСЛАМ НА СОВРЕМЕННОМ УРАЛЕ Алексей Малашенко, Алексей Старостин АПРЕЛЬ 2015 ИСЛАМ НА СОВРЕМЕННОМ УРАЛЕ Алексей Малашенко, Алексей Старостин Данный выпуск «Рабочих материалов» подготовлен некоммерческой неправительственной исследовательской организацией - Московским Центром Карнеги. Фонд Карнеги за Международный Мир и Московский Центр Карнеги как организация не выступают с общей позицией по общественнополитическим вопросам. В публикации отражены личные взгляды авторов, которые не должны...»
««Главный принцип Knauf состоит в том, что все надо “mitdenken” (делать, предварительно хорошо подумав сообща и с учетом интересов тех, на кого работаешь). Постепенно это ключевое понятие привилось в России». Из интервью с Ю.А.Михайловым, Генеральным директором ООО «КНАУФ ГИПС КОЛПИНО»Управленческие практики российского подразделения международной корпорации: опыт «КНАУФ СНГ»* Гурков Игорь Борисович, Коссов Владимир Викторович Аннотация На основе анализа опыта развития группы «КНАУФ СНГ» в...»
«Приложение ИНФОРМАЦИЯ о ходе исполнения распоряжения Губернатора Омской области от 28 февраля 2013 года № 25-р «О мерах по реализации Указа Губернатора Омской области от 16 января 2013 года № 3» по Плану первоочередных мероприятий на 2013 – 2014 годы по реализации региональной стратегии действий в интересах детей на территории Омской области на 2013 – 2017 годы за 2013 год № Наименование Ответственный Информация об исполнении п/п мероприятия исполнитель I. Семейная политика детствосбережения...»
«ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И МОЛОДЕЖНОЙ ПОЛИТИКИ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА – ЮГРЫ Государственное образовательное учреждение Высшего профессионального образования Ханты-Мансийского автономного округа – Югры «Сургутский государственный педагогический университет» Программа производственной практики БП.5. ПЕДАГОГИЧЕСКАЯ ПРАКТИКА Направление подготовки 49.03.02 Физическая культура для лиц с отклонениями в состоянии здоровья (Адаптивная физическая культура) Квалификация (степень)...»
«Государственное автономное образовательное учреждение высшего профессионального образования «Московский городской университет управления Правительства Москвы» Институт высшего профессионального образования Кафедра государственного управления и кадровой политики УТВЕРЖДАЮ Проректор по учебной и научной работе А.А. Александров «_»_ 20_ г. Рабочая программа учебной дисциплины «Методы принятия управленческих решений» для студентов направления 38.03.02 «Менеджмент» для очной формы обучения Москва...»
«Серия «Простые финансы» Ю. В. Брехова КАК РАСПОЗНАТЬ ФИНАНСОВУЮ ПИРАМИДУ Волгоград 2011 УДК 336 ББК 65.261 Б 87 Брошюра из серии «Простые финансы» выполнена в соответствии с договором 7(2) от 19 сентября 2011 года ФГОУ ВПО «Волгоградская академия государственной службы» с Комитетом бюджетно-финансовой политики и казначейства Администрации Волгоградской области в рамках выполнения долгосрочной областной целевой программы «Повышение уровня финансовой грамотности населения и развитие финансового...»
Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам , мы в течении 1-2 рабочих дней удалим его.
И сегодня мы поговорим о настройке элементарного прокси-сервера. Наверняка многие из вас слышали такое понятие как прокси, но особо не вникали в его определение. Если говорить простым языком, то прокси-сервер представляет собой промежуточное звено между компьютерами в сети и интернетом. Это означает, что если в сетке внедрён такой сервер, то доступ в инет осуществляется не напрямую через роутер, а предварительно обрабатывается станцией-посредником.
Зачем же нужен прокси-сервер в локальной сети? Какие преимущества мы получим после его установки? Первым важным свойством является возможность кэширования и длительного хранения информации с веб-сайтов на сервере. Это позволяет значительно снизить загрузку интернет-канала. Особенно это актуально в тех организациях, где доступ к глобальной сети до сих пор осуществляется по технологии ADSL. Так, например если во время проведения практического занятия студенты ищут однотипную информацию с конкретных сайтов, то после полной загрузки информации с ресурса на одной станции, скорость его загрузки на остальных значительно возрастает.
|
|
Также с внедрением прокси-сервера системный администратор получает в свои руки эффективный инструмент, позволяющий контролировать доступ пользователей ко всем веб-сайтам. То есть если вы наблюдаете, что некий человечек тратит своё рабочее время на игру в танчики или на просмотр сериалов вы можете прикрыть ему доступ к данным прелестям жизни. А можете издеваться, постепенно понижая скорость соединения…или блокируя лишь определённые возможности, например, загрузку картинок после обеда. В общем, тут есть, где развернуться. Именно контроль сисадмина над прокси-сервером делает его друзей ещё добрее, а недругов злее.
В данном материале мы подробненько рассмотрим установку и настройку прокси UserGate 2.8. Данная версия программы вышла аж в мае 2003 года. У меня тогда и компьютера то своего не было. Тем не менее, именно данный релиз юзергейта и по сей день считается самым удачным за счёт стабильности работы и простоты настройки. Функционала конечно маловато, к тому же присутствует ограничение по количеству одновременно работающих пользователей. Их число не должно превышать отметку в 300 человек. Лично меня данный барьер не сильно печалит. Ибо если вы администрируете сетку с 300 машинами, то уж точно не будете пользоваться подобным софтом. УГ 2.8 это удел небольших офисных и домашних сетей.
Что ж думаю пора завязывать с разглагольствованиями. Скачиваем UserGate с торрентов или по данной ссылке , выбираем компьютер в качестве вашего будущего прокси-сервера и незамедлительно приступаем к установке.
Шаг 1. По установке это приложение одно из самых лёгких. Складывается впечатление, что устанавливаем не прокси-сервер, а в носу ковыряемся. Запускаем файлик Setup.exe и в первом окне принимаем соглашение. Кликаем «Далее».
Шаг 2. Выбираем место для установки. Я, пожалуй, оставлю по умолчанию. Жмём «Начать» и дожидаемся окончания процесса установки.
Шаг 3. Вуаля. Установка завершена. Не забываем поставить галочку «Запустить установленное приложение» и смело тычем на «ОК».
Шаг 4. Проклятье! Программа 2003 года оказывается не бесплатная. Нужна лицензия. Ну, ничего. В архиве, который мы загрузили, есть лекарство. Открываем папку «Crack», а в ней находим единственный файлик Serial.txt. Копируем из него номер лицензии и серийный номер. Всего две строчки. Трудно ошибиться.
Шаг 5. В правом нижнем углу на панельке со значками уведомления делаем двойной клик по синей иконке юзергейта и удостоверяемся в корректной установке и активации программы.
Шаг 1. Первым делом нужно удостовериться в том, что на наш сервер обладает статическим IP адресом. Для этого переходим в «Пуск - Панель управления - Центр управления сетями и общим доступом - Изменение параметров адаптера» и кликаем правой кнопкой мыши по сетевой карте, через которую осуществляется доступ в локальную сеть. В открывшемся списке выбираем пункт «Свойства - Протокол Интернета 4 версии» и смотрим, чтобы был указан фиксированный IP адрес. Именно его мы будем задавать в качестве прокси-посредника на всех клиентских станциях.
Шаг 2. Возвращаемся к нашей программе. Во вкладке «Настройка» ищем протокол «HTTP» и указав порт (можно оставить по умолчанию) вкупе с возможностью работы по FTP разрешаем его применение. Данная настройка разрешает пользователям просматривать в браузере веб-страницы. В качестве порта вовсе не обязательно использовать стандартные варианты 8080 или 3128. Можете придумать, что то своё. Это значительно повысит уровень безопасности сети, главное выбирайте число в диапазоне от 1025 до 65535 и будет вам счастье.
Шаг 3. Следующим действием желательно включить кэширование. Как мы уже говорили ранее, это позволит значительно увеличить загрузку одних и тех же ресурсов на клиентских станциях. Чем больше время хранения и размер кэша – тем значительнее нагрузка на оперативную память прокси-сервера. Однако внешне скорость загрузки страниц в браузере будет выше, нежели без использования кэша. Я всегда настраиваю время хранения на 72 часа (эквивалентно двум дням) и размер кэша устанавливаю 2 гигабайта.
Шаг 4. Настало время перейти к созданию групп пользователей. Для этого в одноимённом пункте меню выбираем группу пользователей «Default» и жмём «Изменить».
Переименовываем дефолтную группу и кликаем на кнопку «Добавить».
Настало время создать пользователей. Я обычно в поле «Имя» вписываю полное сетевое имя компьютера, которое можно посмотреть в свойствах системы на клиентской машине. Это удобно если сеть небольшая, а мы с вами определились, что для серьёзной сети данная прога не подойдёт. Выбираем тип авторизации «По IP-адресу» и в качестве логина прописываем IP-шник клиента. Где его смотреть мы уже рассматривали ранее. В маленьких сетях олдовые админы по старинке прописывают IP вручную на всех тачках и не меняют их практически никогда.
class="eliadunit">
Шаг 5. Теперь разберёмся с самым интересным. А именно ограничением пользователей. Даже в небольшой сети предпочтительнее работать с группами, нежели с отдельными пользователями. Поэтому выбираем нашу созданную группу и переходим на вкладку «Расписание работы». В ней мы можем выбрать дни и часы в которые доступ к сети Интернет для нашей группы будет открыт.
Листаем вправо и на вкладке «Ограничения» указываем скорость доступа к Интернету для группы пользователей. Кликаем «Задать ограничения для пользователей группы» и лишь затем на кнопку «Применить». Таким образом, мы ограничили скорость доступа для каждого пользователя из группы «Компьютерный класс» до 300 кб/с. Это конечно не много, но для проведения практических занятий вполне достаточно.
Шаг 6. На этом базовую настройку следовало бы завершить, но хотелось бы ещё рассказать о параметре «Фильтр». В данной вкладке вы можете ограничить доступ пользователей к определённым сайтам. Для этого достаточно добавить ссылку на сайт в список. Однако замечу, что данная настройка работает не совсем корректно. Ибо многие современные сайты уже перешли с протокола HTTP на более безопасный HTTPS. А прокси-сервер 2003 года не может справиться с подобным зверем. Поэтому качественной контент-фильтрации именно от этой версии требовать не стоит.
Шаг 7. И последний штрих – это сохранение всех наших настроек в отдельном файле (на всякий пожарный) и защита прокси-сервера от вмешательства чужих рук. Всё это можно сделать в пункте «Дополнительно». Вводим пароль, затем подтверждаем его. Жмём применить. И только теперь кликаем на кнопку сохранить конфигурацию. Указываем место сохранения. Всё. Теперь если, что то слетит. Или вы решите поэкспериментировать с настройками. Наготове будет их резервная копия.
Шаг 1. Настройку прокси-сервера мы закончили. Переходим к клиентской станции. Первым делом нужно убедиться в том, что на ней задан IP адрес прописанный на нашем сервере. Если помните, во время настройки мы указали, что клиент с именем Station01 имеет адрес 192.168.0.3. Давайте же удостоверимся в этом.
Шаг 2. Далее нужно прописать в системе адрес прокси-сервера и его порт. Для этого переходим по следующему пути «Пуск - Панель управления - Свойства обозревателя (XP) или браузера (7) – Подключения – Настройка сети» и включив параметр использования прокси-сервера задаём его адрес и порт для HTTP соединения. Жмём «ОК» в этом и предыдущем окне.
Шаг 3. Отлично. Мы уже на финишной прямой. Открываем браузер и если вы всё настроили верно, то должна открыться домашняя страничка.
Тут же хочу пояснить ещё один момент. Можно настроить компьютер таким образом, чтобы через прокси работал только один браузер, а не все сразу. Для этого необходимо перейти во вкладку «Инструменты – Настройки – Дополнительно – Сеть - Настроить» и выбрав ручную настройку прописать всё тот же IP адрес и порт сервера.
Что ж давайте проверим работу фильтров.. Сейчас попробуем зайти на один из них. Как и положено, ресурс заблокирован.
А что же происходит на сервере? Работа кипит. Во вкладке с пользователями мы может отследить, сколько мегабайтов было загружено и передано нашими подопечными за день, месяц и даже год!
Вкладочка «Соединения» позволяет отследить, какой ресурс клиент посещает в данный момент. Одноклассники? Вконтакте? Или всё же занят рабочими делами.
Если вдруг наш пользователь успел закрыть любопытный сайт-не беда. Вы всегда сможете поглядеть в историю на вкладке «Монитор».
Думаю пора закругляться. Напоследок хочется сказать, что тема для данного материала была избрана неспроста. В моём родном городе юзверьгейт версии 2.8 функционирует на большинстве предприятий с плохо развитой сетевой инфраструктурой. Быть может на сегодняшний день обстановка изменилась в лучшую сторону, но в середине 2013 года, именно тогда я бегал по всему городу обслуживая информационно-правовую систему «Гарант», всё было именно так. Гейт просто захватил сети коммерческих и некоммерческих предприятий разных мастей. И если учесть, что годом позже грянул финансовый кризис, не думаю, что кто то из них раскошелился на путёвую проксю.
Несмотря на недостатки в виде отсутствия HTTPs, кривой фильтр, невозможность интуитивно-понятной настройки торрентов и т.д.. UserGate 2.8 ещё долго будет вспоминаться всеми админами, как самая стабильная и неприхотливая версия прокси-сервера в истории. Новые версии программы могут похвастаться возможностью авторизации доменных пользователей, Firewall’ом, NAT’ом, качественной контент фильтрацией и другими плюшками. Однако за всё это удовольствие приходится платить. И платить немало (54 600 рублей за 100 машин). Любителям халявы, такой расклад не по душе.
Такс думаю, что настало время прощаться. Друзья я хочу напомнить, что если материал был вам полезен, то лайкните его. А если вы впервые на нашем сайте, то подписывайтесь. Ведь регулярные структурированные выпуски в сфере информационных технологий на бесплатной основе редкость в рунете. Кстати для халявщиков вскоре сделаю выпуск о ещё одном прокси-сервере SmallProxy. Этот малыш, несмотря на свою бесплатность ничуть не хуже юзергейта и отлично зарекомендовал себя. Так что подписываемся и ждём. До встречи через неделю. Всем пока!
class="eliadunit"> В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям, UserGate Proxy & Firewall 6.2.1.Доброго времени суток уважаемый посетитель. Позади 2013 год, для кого-то он был трудный, для кого-то легкий, но время бежит, а если учесть, что одна наносекунда это 10 −9 с. то оно просто летит. В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям UserGate Proxy & Firewall 6.2.1.
C точки зрения администрирования версии 6.2 от UserGate Proxy & Firewall 5.2F, внедрения которой мы успешно практикуем в нашей практике ИТ аусорсинга , практически нет. В качестве лабораторной среды будем использовать Hyper-V, а именно две виртуальные машины первого поколения, серверная часть на Windows Server 2008 R2 SP1, клиентская Windows 7 SP1. По каким-то неизвестным мне причинам UserGate версии 6 не устанавливается на Windows Server 2012 и Windows Server 2012 R2.
Итак, что же такое прокси сервер?
Прокси-сервер (от англ. proxy - «представитель, уполномоченный») - служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.
Что такое UserGate Proxy & Firewall?
UserGate Proxy & Firewall – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты.
Из определения рассмотрим, какие решения предоставляет Entensys в своем продукте, как посчитывается трафик, чем разграничивается доступ, а также какие средства защиты предоставляет UserGate Proxy & Firewall.
Из чего состоит UserGate?
UserGate состоит из нескольких частей: сервер, консоль администрирования и несколько дополнительных модулей. Сервер– это основная часть прокси-сервера, в которой реализованы все его функциональные возможности. Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.
Консоль администрирования UserGate - это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному защищенному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.
UserGate включает три дополнительных модуля: «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».
Сервер
Установка серверной части UserGate очень проста, единственное отличие - это выбор базы данных в процессе установки. Доступ к базе осуществляется напрямую (для встроенной БД Firebird) или через ODBC-драйвер, что позволяет серверу UserGate работать с базами практически любого формата (MSAccess, MSSQL, MySQL). По умолчанию используется база Firebird. Если вы решили обновить UserGate с предыдущих версий, то вам придется распрощаться с базой статистики, потому что: Для файла статистики поддерживается только перенос текущих балансов пользователей, сама статистика по трафику не будет перенесена. Изменения базы данных были вызваны проблемами в производительности старой и лимитами на её размер. Новая база данных Firebird не обладает такими недостатками.
.JPG)
Запуск консоли администрирования.
Консоль установлена на серверной ВМ. При первом запуске консоль администрирования открывается на странице «Соединения», на которой присутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке localhost-administrator или нажав на кнопку подключиться на панели управления. В консоли администрирования UserGate можно создать несколько подключений.
В настройках подключений указываются следующие параметры:
При первом запуске сервера система предлагает мастера установки от которого мы отказываемся. Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории %UserGate%\Administrator.
Настройка соединений за NAT. Пункт «Общие настройки NAT» позволяет задать величину таймаута для соединений NAT по протоколам TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT, когда передача данных по соединению завершена. Оставим по умолчанию эту настройку.
Детектор атак – это специальная опция, позволяющая вам задействовать внутренний механизм отслеживания и блокировки сканера портов или попыток занятия всех портов сервера.
Заблокировать по строке браузера – список User-Agent’s браузеров, которые могут быть заблокированы прокси-сервером. Т.е. можно, например, запретить выходить в интернет старым браузерам таким как, IE 6.0 или Firefox 3.x.
Интерфейсы
Раздел Интерфейсы является главным в настройках сервера UserGate, поскольку определяет такие моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, ограничения ширины Интернет-канала для трафика определенного типа, установление отношений между сетями и порядок обработки пакетов драйвером NAT. Вкладка «Интерфейсы», выбираем нужный тип для интерфейсов. Так, для адаптера, подключенного к сети Интернет, следует выбрать тип WAN, для адаптера, подключенного к локальной сети – тип LAN. Доступ к интернету для ВМ расшарен, соответственно интерфейс с адресом 192.168.137.118 будет WAN-адаптер, выбираем нужный тип и жмем «Применить». После перезагружаем сервер.
.JPG)
Пользователи и группы
Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сервере UserGate. Программа поддерживает следующие методы авторизации пользователей:
Для использования трех последних методов авторизации на рабочую станцию пользователя необходимо установить специальное приложение - клиент авторизации UserGate. Соответствующий MSI пакет (AuthClientInstall.msi) расположен в директории %UserGate%\tools и может быть использован для автоматической установки средствами групповой политики в Active Directory.
Для терминальных пользователей предоставлена возможность только «Авторизация средствами HTTP». Соответствующая опция включается в пункте Общие настройки в консоли администрирования.
Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку Добавить в панели управления на странице Пользователи и группы .
Существует ещё один способ добавления пользователей – сканирование сети ARP-запросами. Нужно щелкнуть на пустом месте в консоли администратора на странице пользователи и выбрать пункт сканировать локальную сеть . Далее задать параметры локальной сети и дождаться результатов сканирования. В итоге вы увидите список пользователей, которых можно добавить в UserGate. Ну что ж, проверим, жмем «Сканировать локальную сеть»
Задаем параметры:
.JPG)
Работает!
.JPG)
Добавляем пользователя
Стоит напомнить, что в UserGate присутствует приоритет аутентификации, сначала физическая потом логическая. Данный метод не является надежным, т.к. пользователь может сменить ip-адрес. Нам подойдет импорт учетных записей Active Directory, которые мы можем импортировать с легкостью, нажав кнопку «Импортировать», далее «Выбрать» и имя нашей учетной записи, «Ок», «Ок».
.JPG)
Выбираем «Группу», оставляем по умолчанию «default»
.JPG)
Жмем «Ок» и сохраняем изменения.
.JPG)
Наш пользователь добавлен без проблем. Так же существует возможность синхронизации групп AD на вкладке «Группы».
Настройка сервисов прокси в UserGate
В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх HTTP” и HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов доступны в разделе Сервисы → Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера относятся: интерфейс и номер порта, на котором работает прокси. Так, например, включим прозрачный HTTP прокси на нашем интерфейсе LAN. Перейдем «Настройки прокси», выберем HTTP.
.JPG)
Выберем наш интерфейс, оставим все по умолчанию и жмем «Ок»
.JPG)
Использование прозрачного режима
Функция «Прозрачный режим» в настройках прокси-серверов доступна, если сервер UserGate установлен вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сервисов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах компьютера с UserGate. При наличии запросов передает их на соответствующий прокси-сервер UserGate. При использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа локальной сети в Интернет. Однако, в сетевых настройках рабочих станций сервер UserGate должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.
Почтовые прокси в UserGate
Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антивирусной проверки почтового трафика. При использовании прозрачного режима работы POP3 и SMTP-прокси настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих варианту с прямым доступом в сеть Интернет.
Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера. Например, если пользователь имеет почтовый ящик [email protected], то в качестве Логина на POP3-прокси UserGate в почтовом клиенте нужно будет указать: [email protected]@pop.mail123.com. Такой формат необходим для того, чтобы сервер UserGate мог определить адрес удаленного POP3-сервера.
Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется указать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае в настройках почтового клиента на рабочей станции пользователя в качестве адреса SMTP-сервера требуется указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.
Ну что, звучит круто, проверим с помощью mail.ru.
Первым делом включим POP3 и SMTP прокси на нашем сервере. При включении POP3 укажем интерфейс LAN стандартный порт 110.
.JPG)
А так же убедимся в отсутствии галочки на «Прозрачный прокси» и жмем «Ок» и «Применить»
.JPG)
.JPG)
Убираем галочку «Прозрачный режим» и пишем «Параметры удаленного сервера», в нашем случае smtp.mail.ru. А почему только один сервер указывается? А вот ответ: предполагается, что организация использует единственный smtp сервер, именно он и указывается в настройках SMTP прокси.
.JPG)
Первое правило для POP3 должно выглядеть так.
.JPG)
Второе, как сказал бы Александр Невский «Вот так вот»
.JPG)
Не забываем про кнопочку «Применить» и переходим к настройке клиента. Как мы помним «Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера». Действуем.
Сначала авторизуемся в клиенте авторизации, далее открываем Outlook обычный, в нашем примере я создал тестовый почтовый ящик [email protected] , и производим настройку, указывая наш ящик в формате понятном для UserGate [email protected]@pop.mail.ru, а также POP и SMTP серверы адрес нашего прокси.
.JPG)
Жмем «Проверка учетной записи…»
.JPG)
.JPG)
Назначение портов
В UserGate реализована поддержка функции Перенаправление портов. При наличии правил назначения портов сервер UserGate перенаправляет пользовательские запросы, поступающие на определенный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт, например, на другой компьютер в локальной сети. Функция Перенаправление портов доступна для TCP- и UDP- протоколов.
.JPG)
Если назначение портов используется для предоставления доступа из сети Интернет к внутреннему ресурсу компании, в качестве параметра Авторизация следует выбрать Указанный пользователь, иначе перенаправление порта работать не будет. Не забываем включить «Удаленный рабочий стол».
Настройка кэша
Одним из назначений прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на подключение к сети Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate выполняет кэширование HTTP и FTP-трафика. Кэшированные документы помещаются в локальную папку %UserGate_data%\Cache. В настройках кэша указывается: предельный размер кэша и время хранения кэшированных документов.
.JPG)
Антивирусная проверка
В сервер UserGate интегрированы три антивирусных модуля: антивирус Kaspersky Lab, Panda Security и Avira. Все антивирусные модули предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-серверы UserGate, а также исходящего трафика через SMTP-прокси.
Настройки антивирусных модулей доступны в разделе Сервисы → Антивирусы консоли администрирования. Для каждого антивируса можно указать, какие протоколы он должен проверять, установить периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется (опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не требуется подвергать антивирусной проверке.
Перед включение антивируса нужно сначала обновить его базы.
После вышеперечисленных функций перейдем к часто используемым, это – «Управление трафиком» и «Контроль приложений».
Система правил управления трафиком
В сервере UserGate предусмотрена возможность управления доступом пользователей к сети Интернет посредством правил управления трафиком. Правила управления трафиком предназначены для запрета доступа к определенным сетевым ресурсам, для установки ограничений потребления трафика, для создания расписания работы пользователей в сети Интернет, а также для слежения за состоянием счета пользователей.
В нашем примере ограничим доступ пользователю, к любому ресурсу имеющий в своем запросе упоминания vk.com. Для этого переходим в «Управления трафиком – Правила»
Даем название правилу и действие «Закрыть соединение»
.JPG)
.JPG)
После добавления сайта, переходим к следующему параметру, выбор группы или пользователя, правило можно задать как для пользователя, так и для группы, в нашем случает пользователь «User».
.JPG)
Контроль приложений
Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Контроль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользователя. Для этого на рабочие станции пользователей требуется установить специальное приложение App.FirewallService. Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI-пакет (AuthFwInstall.msi), расположенные в директории %Usergate%\tools.
Перейдем в модуль «Контроль приложений – Правила», и создадим запрещающее правило, например, на запрет запуска IE. Жмем добавить группу, даем ей название и уже группе задаем правило.
.JPG)
Выбираем нашу созданную группу правил, можем поставить галочку «Правило по умолчанию», в этом случае правила добавятся в группу «Default_Rules»
.JPG)
Применяем правило к пользователю в свойствах пользователя
.JPG)
Теперь устанавливаем Auth.Client и App.Firewall на клиентскую станцию, после установки IE должен заблокироваться созданными ранее правилами.
.JPG)
Как мы видим, правило сработало, теперь отключим правила для пользователя, чтобы посмотреть отработку правила для сайта vk.com. После отключения правила на сервере usergate, нужно подождать 10 минут (время синхронизации с сервером). Пробуем зайти по прямой ссылке
.JPG)
Пробуем через поисковую систему google.com
.JPG)
Как видим правила срабатывают без каких-либо проблем.
Итак, в данной статье рассмотрена лишь небольшая часть функций. Опущены возможные настройки межсетевого экрана, правил маршрутизации, NAT- правил. UserGate Proxy & Firewall предоставляет большой выбор решений, даже немного больше. Продукт показал себя очень хорошо, а самое главное прост в настройке. Мы и в дальнейшем будет использовать его в обслуживании ИТ инфраструктур клиентов для решения типовых задач!
После того, как подключили локальную сеть к интернет, имеет смысл настроить систему учета трафика и в этом нам поможет программа Usergate. Usergate является прокси-сервером и позволяет контролировать доступ компьютеров из локальной сети, в сеть интернет.
Но, для начала давайте вспомним, как мы ранее настроили сеть в видеокурсе «Создание и настройка локальной сети между Windows 7 и WindowsXP», и как предоставили доступ всем компьютеры к сети интернет через один канал связи. Схематично можно представить в следующем виде, есть четыре компьютера, которые мы объединили в одноранговую сеть, выбрали рабочую станцию work-station-4-7, с операционной системой Windows 7, в качестве шлюза, т.е. подключили дополнительную сетевую карту, с доступом в сеть интернет и разрешили другим компьютерам в сети, выходить в Интернет через данное сетевое подключение. Остальные три машины являются клиентами интернета и на них, в качестве шлюза и DNS, указали IP адрес компьютера раздающего интернет. Ну чтож, теперь давайте разберемся с вопросом контроля доступа к сети Интернет.
Установка UserGate не отличается от установки обычной программы, после установки система просит перезагрузиться, перезагружаемся. После перезагрузки, первым делом давайте попробуем выйти в интернет, с компьютера на котором установлен UserGate - выйти получается, а с других компьютеров нет, следовательно, Proxy сервер начал работать и по умолчанию запрещает всем выход в Интернет, по этому требуется его настроить.
Запускаем консоль администратора (Пуск \ Программы \ UserGate \ Консоль администратора ) и тут у нас появляется сама консоль и открывается вкладка Соединения . Если мы попробуем открыть какую-либо из вкладок с лева, по выдается сообщение (UserGate Консоль администратора не подключена к UserGate Серверу), по этому при запуске у нас открывается вкладка Соединения, чтобы мы могли сначала подключиться к серверу UserGate.
И так, по умолчанию Имя сервера – local; Пользователь – Administrator; Сервер – localhost, т.е. серверная часть расположена на данном компьютере; Порт – 2345.
Дважды щелкаем на данную запись и выполняется подключение к службе UserGate, если подключиться не удалось, проверьте, запущена ли служба (Ctrl + Alt + Esc \ Службы \ UserGate )
При первом подключении запускается Мастер настройки UserGate , жмем Нет , так как будем все настраивать вручную, чтобы было более понятно, что и где искать. И первым делом переходим во вкладку Сервер UserGate \ Интерфейсы , здесь указываем, какая сетевая карта смотрит в интернет (192.168.137.2 - WAN ), а какая в локальную сеть (192.168.0.4 - LAN ).
Далее Пользователи и группы \ Пользователи , здесь есть один единственный пользователь, это сама машина на которой запущен сервер UserGate и называется он Default, т.е. по умолчанию. Добавим всех пользователей, которые будут выходить в интернет, у меня их три:
Work-station-1-xp – 192.168.0.1
Work-station-2-xp – 192.168.0.2
Work-station-3-7 – 192.168.0.3
Группу и тарифный план оставляем по умолчанию, тип авторизации, я буду использовать через IP-адрес, так как у меня они прописаны вручную, и остаются неизменными.
Теперь настроим сам прокси, заходим в Сервисы \ Настройка прокси \ HTTP , здесь выбираем IP адрес, который мы указали в качестве шлюза на клиентских машинах, у меня это 192.168.0.4 , а также ставим галочку Прозрачный режим , чтобы не прописывать вручную в браузерах адрес прокси сервера, в данном случае браузер будет смотреть какой шлюз указан в настройках сетевого подключения и будет перенаправлять запросы на него.
С предварительной настройкой статических IP-адресов.
В этой части статьи, мы создаём классический локальный прокси-сервер для доступа в сеть Интернет компьютера подключённого к локальной сети (интернет-шлюз в локальной сети), за тем исключением, что наша сеть и компьютеры раздающие интернет виртуальные. Инструкция является универсальной и будет полезна тем, кто хочет присвоить адаптерам для любой локальной сети статические IP-адреса и\или настроить интернет-шлюз в локальной сети для раздачи интернета по средствам прокси-сервера.
Вначале мы должны назначить нашим адаптерам статические IP-адреса.
Начнём с настройки компьютера, который будет подключаться к виртуальной ОС с прокси-сервером. Если у Вас Windows 7 - Windows 10, заходим через:
Перед нами открылось окно «Сетевые подключения» со списком всех адаптеров, включая наши виртуальные. Выбираем адаптер, в нашем случае это VMware Network Adapter VMnet с нужным порядковым номером, кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «свойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и жмём кнопку Свойства. На открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».
Теперь, для того чтобы ввести новый IP-адрес, смотрим адрес подсети для данного адаптера из «Редактор виртуальной сети…» VMware Worstation (или переходим к значку нашего адаптера и в открывающему правой кнопкой меню выбираем пункт «Состояние», далее Сведения и смотрим значение строки “Адрес IPv4”). Перед глазами у нас что-то типа 192.168.65.хх. В вашем подобном адресе мы меняем цифры после последней точки на 1. Было 192.168.65.хх, вместо хх стало 2. Вводим его в поле «IP-адрес». Это также адрес нашего компьютера, который мы должны будем ввести в UserGate, поэтому записываем его где-нибудь как IP пользователя этого адаптера. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0» нажимаем OK. Настройка данного компьютера окончена, мы записали или запомнили где посмотреть этот адрес.
Теперь переходим к настройке сетевого адаптера виртуального компьютера, который будет раздавать интернет.
В Windows XP нажимаем Пуск - Панель управления – Сетевые подключения.
Перед нами открылось окно «Сетевые подключения». Выбираем адаптер «подключение по локальной сети», кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «Cвойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP)» и жмём кнопку Свойства. Далее, аналогично Windows 7, на открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».
Вспоминаем, как смотреть IP-адрес сети из предыдущего пункта и при вводе в поле «IP-адрес» меняем цифры после последней точки на «2» или любую другую цифру отличную от тех, что мы указали на других компьютерах этой подсети. Итак, было что-то типа 192.168.65.хх, теперь вместо.хх стало.2. Этот адрес является адресом нашего прокси-сервера, нам останется только указать к нему порт в UserGate. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0», нажимаем кнопку [ОК].
На этом настройка операционных систем закончена, у нас есть полноценная локальная сеть, которую можно донастроить под стандартные цели мастерами Windows, однако для создания прокси-сервера нам понадобятся дополнительные действия, представленные далее.
Когда у нас есть виртуальное локальное соединение, мы можем приступить к настройке программы прокси-сервера.
Перетаскиваем папку с программой UserGate 2.8 на рабочий стол виртуальной машины.
Устанавливаем через setup.exe и запускаем программу. В верхнем меню программы выбираем «Настройки», далее в левом меню дважды кликаем на вкладку «пользователи», появится подстрока «Default» (группа подключаемых пользователей по умолчанию), нажимаем на нее и в появившемся интерфейсе «Редактируем группу “Default”», нажимаем кнопку [Добавить].
В открывшемся окне в области «Авторизация» выбираем радиокнопку «ПО IP-адресу» и в поле «Логин (IP)» вводим IP-адрес указанный нами в адаптере компьютера, который будет подключаться через прокси сервер (т.е. IP того компьютера, что не с UserGate). После ввода адреса типа 192.168.16.1, нажимаем на зелёный значок сетевой платы справа от поля «Пароль (MAC)», сгенерируется числовое значение. Жмём [Применить].
Если вы используете 3G или Dial-UP модем
, заключительным этапом настройки программы User Gate является настройка автодозвона в пункте бокового меню «Автодозвон».
В интерфейсе вкладки ставим галочку напротив «Разрешить автодозвон». Во всплывающем списке выбираем название соединения уже подключённого и настроенного модема. Если список пуст, то вам надо обеспечить автозапуск вашего соединения при помощи утилиты провайдера. В поле «Имя» и «Пароль», вводим значения, которые можно посмотреть на сайте оператора. Далее ставим галочку напротив «Проверять необходимость DialUp соединения», указываем задержку перед повторным соединением равную нулю, а время разрыва после простоя не менее 300 секунд. (чтобы соединение завершалось только после завершения парсинга, а не при кратковременных паузах и сбоях).
В заключение закрываем окно программы (она останется в трее) и удерживая ярлык программы переносим его в папку «Автозагрузка» через ПУСК – Все программы, чтобы программа стартовала вместе с системой.
Повторяем эти действия для каждого виртуального прокси-сервера.
На этом настройка нашего локального прокси-сервера для парсинга окончена! Теперь, зная адрес нашего прокси (указанный нами IP-адрес в настройках адаптера виртуального компьютера с UserGate) и адрес его порта: 8080 (для HTTP) мы можем ввести эти значения в любой программе, где можно указать прокси-сервер и наслаждаться дополнительным потоком!
Если планируется активно использовать прокси-сервер несколько дней подряд или ресурсы компьютера сильно ограничены, имеет смысл отключать логирование в UserGate, для этого на вкладке «Монитор» нажимаем значок с красным крестиком. К сожалению, отключить эту функцию сразу и навсегда нельзя.
Для Key Collector необходимо также выполнить дополнительные действия, подключив основное соединение через прокси-сервер UserGate, т.к. по сложным причинам KC может начать работать в два потока с основного соединения, что приводит к увеличению запросов к ПС по одному потоку и появлению капчей. Это же поведение замечено в иных ситуациях, поэтому данный прием будет не лишним в любом случае. Дополнительным преимуществом является то, что мы получаем контроль над трафиком через монитор UserGate. Процесс установки схож с тем, что уже было описано выше: устанавливаем UserGate на основной системе, сразу добавляем в автозагрузку, свободно создаем пользователя и указываем ему в поле «логин (IP)» «127.0.0.1» (так называемый, «локальный хост»). Выбираем пункт «HTTP» в боковом меню и указываем в текстовом поле «порты клиентов» - 8081
, те же данные указываем в KC, аналогично тому, как указываем для других прокси-серверов.
В завершении в настройках KC отключаем опцию «использовать основной IP» во всех видах парсинга.
FAQ: решение проблем :
