UserGate Proxy & Firewall 5.3

UserGate Proxy & Firewall — это комплексное решение для организации общего доступа в Интернет из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз. UserGate является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса.

Информационная безопасность

UserGate использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, такими, как вирусы, вредоносные программы и хакерские атаки. Функции информационной безопасности включают:

Защита от вирусов

Важность защиты локальной сети от различных сетевых угроз, в частности вирусов, Интернет-червей или троянов нельзя недооценивать, так как простой недосмотр может иметь непоправимые последствия для любого бизнеса. Вопрос «Какое антивирусное приложение выбрать?» — наиболее часто задаваемый на форумах, посвященных безопасности в Интернет. Компания Entensys сотрудничает с двумя мировыми лидерами в области разработки антивирусного ПО — Лабораторией Касперского и Panda Security — с целью предоставить своим пользователям выбор антивирусного решения для использования в составе UserGate.

Пользователи могут по желанию использовать тот или иной антивирусный модуль, либо активировать оба модуля для максимальной защиты. При этом можно комбинировать антивирусную защиту UserGate с защитой файловой системы на локальных машинах с помощью третьего антивирусного решения.

Межсетевой экран

Межсетевой экран (брандмауэр) в UserGate позволяет защитить локальную сеть от несанкционированного доступа извне, одновременно предоставляя возможность открыть доступ к внутренним ресурсам, таким как почтовый, веб- или VPN-сервер в локальной сети.

Расширенный драйвер NAT

Функциональность драйвера NAT была кардинально переработана и расширена в новой версии UserGate. Новый драйвер NAT поддерживает маскарадинг и может работать в режиме маршрутизации, которая позволяет создавать несколько локальных подсетей и управлять передачей пакетов между ними.

При помощи UserGate можно обеспечить удаленный доступ к внутренним корпоративным ресурсам, таким, как веб-, FTP-, VPN- или почтовый сервер. В этом случае все запросы к компьютеру с внешним IP-адресом по определенному порту будут перенаправлены на внутренний сервер в соответствии с созданным правилом. При необходимости, такой доступ может быть ограничен предопределенным списком IP-адресов. Как правило, данную возможность используют не только для публикации ресурсов сервера, но и для работы некоторых приложений, таких, как банк-клиент, программы удаленного администрирования, пиринговые соединения, IP-телефония и многие другие, перенаправляя входящие соединения на TCP-порт локальной машины.

Поддержка VPN-соединений

VPN (Virtual Private Network) — «виртуальная частная сеть», или путь, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, FTP и почтовым серверам. Физическая сущность технологии VPN заключается в способности защитить трафик любых информационных интранет- и экстранет-систем, аудиовидеоконференций, систем электронной коммерции.

UserGate поддерживает передачу трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети. Кроме того, можно использовать публикацию сетевых ресурсов, чтобы сделать VPN-сервер локальной сети доступным удаленно.

в начало…

Контроль и статистика

UserGate позволяет осуществлять полный контроль над использованием Интернет-трафика в компании и предоставляет администратору подробную статистику. На основе данных статистики руководство может определять политику доступа в Интернет в данной компании, которая затем реализуется с помощью гибкой системы правил управления трафиком в UserGate. Контроль доступа в Интернет включает следующие функции:

Пользователи и группы

В основе работы UserGate лежит понятие «пользователь», которое определяется как компьютер или группа компьютеров, объединенных общим признаком. В качестве такого признака может выступать IP- или MAC-адрес, пара «логин/пароль», учетная запись в Active Directory или учетная запись Windows. Ко всем пользователям применяются правила распределения трафика, а также ведется статистика и учет посещения Интернет-ресурсов.

Чтобы упростить управление трафиком, администратор может объединить пользователей в группы с помощью функции «Добавить в группу». Другой способ группировки пользователей состоит в использовании одного из нескольких методов авторизации — например, пары «логин/пароль». Администратор может выбрать любой способ, либо оба способа вместе для эффективного управления множеством пользователей, компьютеров или подсетей.

URL-фильтрация трафика по категориям сайтов

Нецелевое использование Интернета на рабочем месте является серьезной проблемой для работодателя и оказывает отрицательное влияние на производительность труда сотрудников, безопасность локальной сети, и сохранность конфиденциальных данных. Чтобы избежать потенциальных угроз такого использования, неотъемлемой частью системы безопасности корпоративной сети должны стать механизмы фильтрации посещаемых веб-ресурсов.

Работа модуля фильтрации сайтов основана на технологии Entensys URL Filtering, которая также используется в GateWall DNS Filter. При этом используется категотризированная база, в которой содержится 470 млн. сайтов в 82 категориях. Администратор может запрещать доступ к отдельным сайтам, к категориям сайтов, либо к тем сайтам, адреса которых содержат заданные фрагменты слов. База специально адаптирована для использования русскоязычными пользователями и содержит до 10 миллионов русскоязычных сайтов.

Контроль приложений

Количество приложений, которые так или иначе используют Интернет-соединение для своей работы неуклонно увеличивается с каждым годом. Согласно недавним исследованиям, приложения для мгновенного обмена сообщениями (интернет-пейджеры) используются в более чем 80% организаций, и эта цифра постоянно растет. Возникает необходимость контроля за деятельностью таких приложений с целью оградить локальную сеть от внешних угроз.

Контроль (фильтрация) приложений – это технология, позволяющая ограничивать или блокировать трафик конкретных Интернет-приложений. Данная технология имеет двойное назначение: во-первых, она дает возможность администратору блокировать работу определенных Интернет-приложений (например, ICQ или MSN), а во-вторых — защищает локальную сеть от вредоносного ПО, которое может проникать в локальную сеть через такие приложения.

Ограничение трафика и скорости доступа

UserGate предоставляет администратору широкие возможности по контролю скорости передачи данных между локальной сетью и Интернетом. Установить ограничения по скорости можно в модулях «Управление трафиком» и «Управление шириной канала». Первый модуль предназначен для настройки ограничений скорости по отдельным пользователям и группам, тогда как второй позволяет устанавливать ограничения скорости для конкретного сетевого адаптера, протокола (TCP или UDP), IP-адреса источника или получателя и порта.

Помимо скорости, UserGate позволяет также ограничивать объем трафика и время пребывания в сети для пользователей и групп. При этом, в распоряжении администратора находится широкий набор функций, позволяющий ему создавать правила, которые будут удовлетворять любым заданным требованиям. Например, можно создать правило, которое становится активным при выполнении определенных условий, таких как наступление указанного времени суток или использование определенного протокола.

Статистика посещения Internet и система отчетов

UserGate предоставляет администратору полную статистику об использовании Интернет в компании по отдельным пользователям и группам. Подробная статистика является основой для принятия решений руководством о необходимости ограничения доступа к тем или иным ресурсам, или блокирования работы некоторых Интернет-приложений.

Веб-статистика UserGate

Модуль веб-статистики UserGate позволяет просматривать статистику из любой точки мира через обычный браузер. При этом объем доступной для просмотра статистики определяется уровнем доступа пользователя — пользователь, директор или администратор. Пользователь может просматривать только собственную статистику. Директор может просматривать статистику любого пользователя UserGate. И, наконец, администратор может просматривать статистику всех пользователей UserGate, а также создавать шаблоны статистических отчетов. Уровень доступа каждого пользователя указывается в настройках консоли администрирования UserGate.

Статистическая информация отображается не только в табличном виде, но и в графической форме — в виде графиков и диаграмм, что существенно облегчает восприятие отчетов и делает их более наглядными.

Биллинговая система

В основе биллинговой системы лежит понятие «тариф доступа в Интернет». Тарифы создаются в соответствующем разделе консоли администрирования. При создании нового тарифа администратор может задавать значения стоимости входящего и исходящего трафика в мегабайтах, или, если это временной тариф — стоимость часа работы в Интернет. После создания тарифа его необходимо применить к пользователю или группе пользователей. Новые тарифы автоматически отображаются в свойствах пользователя, где можно активировать или деактивировать любой из тарифов.

Существует возможность переключения тарифов в зависимости от определенных условий. Для этого необходимо создать соответствующее правило управления трафиком в консоли администрирования UserGate. Например, переключение тарифов можно осуществлять в зависимости от времени суток, дня недели или адреса сайта, либо при достижении пользователем установленных лимитов.

Наконец, администратор может пополнять счет пользователя в биллинговой системе, и создавать правила управления трафиком, которые используют баланс счета в качестве одного из параметров. Например, можно создать правило, при котором соединение с Интернет для данного пользователя блокируется, если сумма на счету станет ниже порогового значения.

в начало…

Организация доступа в Интернет

Обеспечение доступа в Интернет и контроль трафика являются основной задачей приобретения и установки прокси-сервера в компании. С помощью UserGate можно организовать доступ пользователей локальной сети в сеть Интернет как через NAT, так и через HTTP-, FTP- и другие типы прокси-серверов. Гибкость и многообразие функций UserGate позволяют администратору сети настроить сервер таким образом, чтобы он отвечал самым серьезным требованиям безопасности и производительности.

Обеспечение доступа в Интернет

UserGate позволяет организовать доступ в Интернет компьютеров в вашей локальной сети, используя любой тип Интернет-подключения, такой как DSL, ISDN, кабельное подключение, коммутируемый доступ или WiFi. UserGate служит промежуточным звеном между Интернет и локальной сетью, и имеет как внешний IP-адрес для работы в Интернет, так и один или несколько локальных IP-адресов для работы с компьютерами в локальной сети.

Поскольку при использовании UserGate весь Интернет-трафик проходит только через сервер UserGate, такие задачи как управление трафиком, просмотр статистики закачек и защита локальной сети от внешних угроз осуществляются централизованно.

Прокси-серверы для различных протоколов

UserGate может служить прокси-сервером (от англ. «посредник, промежуточное звено») между локальной сетью и Интернет. Функция прокси доступна таких протоколов, как HTTP (c поддержкой HTTPs и «FTP через HTTP»), FTP, SOCKS, POP3, SMTP, SIP, и H.323. При этом, поддерживается функция «прозрачный прокси» при использовании которой нет необходимости в ручной настройке браузеров пользователей. Кроме того, вы можете указать конкретный сетевой интерфейс, на котором будет работать прокси-сервер.

Использование HTTP-прокси может служить различным целям, таким как ускорение ответов на запросы пользователей (кеширование), и связанная с этим экономия трафика. Целью может быть также необходимость фильтрации Интернет-трафика и запрещение доступа к некоторым ресурсам.

Работа с несколькими провайдерами

Количество провайдеров, с которыми может соединиться UserGate зависит от количества доступных WAN-интерфейсов. С помощью правил NAT администратор может подключать разные группы пользователей к разным провайдерам. Данная функция может понадобиться при необходимости разделения пользователей на группы, и обслуживания этих групп по разным тарифам доступа в Интернет.

В случае, если основное Интернет-подключение не работает, функция «Резервное соединение» позволяет автоматически переключать пользователей на другого провайдера. Администратор может указать, какое именно из имеющихся Интернет-подключений считать резервным. Для работы данной функции необходимо наличие как минимум двух WAN-интерфейсов, или одного WAN- и одного Dial-up интерфейса.

В настройках для функции резервного соединения можно указать один или несколько контрольных хостов (сайтов). В качестве контрольных рекомендуется использовать известные и часто посещаемые ресурсы, например поисковые машины, т.к. в этом случае вероятность неработоспособности самого сервера будет крайне низкой. UserGate регулярно проверяет контрольный хост на доступность, и если связь с ним отсутствует, производит переключение пользователей на резервный канал. После переключения, сервер UserGate будет периодически проверять доступность основного канала и если его работоспособность восстановится, произведет обратное переключение.

Управление шириной канала

Модуль «Управление шириной канала» (Traffic Manager) позволяет администратору с помощью правил определить приоритет обработки IP-пакетов, или ограничить скорость передачи данных согласно указанным условиям. Существует два типа правил: правила на адаптер и пользовательские правила. Правила на адаптер (или правила по умолчанию) предназначены для обработки сетевых пакетов, не подходящих под пользовательские правила или для обработки всех пакетов, если пользовательские правила отсутствуют. Пользовательские правила предназначены для обработки конкретного типа трафика и позволяют задать приоритет обработки пакетов, направление трафика, максимально допустимое значение скорости, протокол (TCP/UDP/ICMP) и другие параметры.

При указании приоритета обработки данных администратор выбирает между относительным и абсолютным приоритетом. Запросы с абсолютным приоритетом будут обрабатываться в первую очередь. При этом, если потребуется, пакеты с абсолютным приоритетом будут обрабатываться в порядке первой очереди вплоть до максимальной загрузки канала.

Кеширование

В UserGate кеширование доступно для HTTP и FTP трафика и является отключаемым. Настройки кеширования включают размер кеша и время жизни документа в кеше. Размер кеша может варьироваться от 10Мб до 50Гб, что является достаточным для обслуживания до нескольких тысяч и более запросов в день.

Трафик, который идет к пользователю из кеша, можно включить или исключить из подсчета статистики. Соответствующая опция доступна в настройках кеширования в консоли администрирования UserGate.

Поддержка IP-телефонии

Поддержка протоколов SIP и H.323 позволяет использовать прокси-сервер UserGate в качестве VoIP-шлюза как для программных, так и для аппаратных IP-телефонов. При использовании SIP прокси-сервера в мониторинге UserGate будет отображена вся информация о текущем состоянии соединения (регистрация, звонок, ожидание и др.), а также имя пользователя, телефонный номер звонящего, время разговора и количество переданных и полученных байт. Эта же информация будет записана и в базу статистики UserGate.

в начало…

Администрирование сети

С помощью UserGate можно выполнять некоторые рутинные операции позволяет упростить сетевое администрирование. Например, встроенный DHCP-сервер автоматизирует процесс выдачи IP-адресов компьютерам и другим устройствам в локальной сети. Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Публикация ресурсов позволяет предоставить доступ к внутренним ресурсам компании, например к Web, FTP, VPN или к почтовому серверу. И, наконец, удаленное администрирование дает возможность удаленно подключаться по локальной сети или через Интернет с любого компьютера, на котором установлена Консоль Администрирования UserGate.

DHCP-сервер

Служба DHCP позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. DHCP-сервер можно запустить в настройках Консоли Администрирования UserGate, при этом указав, на каком из текущих сетевых интерфейсов он будет работать. Всякий раз, когда устройство подключается к сети или покидает ее, DHCP-сервер, соответственно, назначает новый или высвобождает ранее назначенный IP-адрес.

При настройке DHCP необходимо, как минимум, указать диапазон (пул) IP-адресов, маску сети и время аренды. DHCP-сервер будет выдавать новые адреса из пула IP-адресов, но администратор имеет возможность создать исключения или зарезервировать определенные IP-адреса. Кроме того, в настройках можно указать шлюз по умолчанию, DNS- и WINS-сервер и домен, а также включить автоматическую настройку прокси.

Если DHCP-сервер активен и производит выдачу IP-адресов, то соответствующие им MAC-адреса и время аренды отображаются в списке в нижней части Консоли Администрирования UserGate. При этом, администратор имеет возможность вручную высвободить любой из выданных DHCP-сервером IP-адресов.

Маршрутизация

Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Любая пара интерфейсов локальной сети может быть объединена правилом маршрутизации, которое можно создать в модуле «Межсетевой экран». Тип правила определяется автоматически при выборе интерфейсов источника и назначения.

Кроме того, можно выбрать протоколы и службы, разрешенные данным правилом (такие, как HTTP, FTP). Когда правило активно, авторизация пользователя для маршрутизации не требуется, а входящие и исходящие пакеты не будут включены в общую статистику.

Публикация ресурсов

С помощью межсетевого экрана в UserGate можно предоставить доступ к внутренним ресурсам компании, например, к Web, FTP, VPN или к почтовому серверу. Это делается путем создания правила в модуле «Межсетевой экран». При создании правила, и указании WAN-адаптера в качестве назначения, UserGate автоматически присваивает этому правилу тип «Трансляция». В настройках правила указывается конкретный протокол или служба (HTTP, FTP, POP3 и т.д.), IP-адрес или диапазон источника и, наконец, IP-адрес и порт компьютера в локальной сети, на который будут перенаправляться запросы, удовлетворяющие указанным условиям.

Публикация ресурсов используется не только для доступа к Web, FTP, VPN или почтовому серверу, но и для работы некоторых Интернет-приложений, таких, как банк-клиент, пиринговые сети, IP-телефония и т.д. При помощи UserGate можно настроить внешний доступ к любому приложению в локальной сети.

Удаленное администрирование

К серверу UserGate можно подключаться по локальной сети или удаленно через Интернет из любой точки мира. Для этого достаточно установить на компьютер Консоль Администрирования UserGate, и указать в настройках соединения IP-адрес и порт сервера UserGate.

Возможность удаленного администрирования сервера UserGate особенно полезна в случае, когда необходимо администрировать несколько серверов UserGate в разных местах (например, нескольких Интернет-кафе). При этом, администрирование осуществляется из одной и той же консоли — все доступные сервера отображаются в списке «Соединения», и можно удаленно подключиться к любому из них.

в начало…

Скриншоты: Консоль администратора