|
|
(4 проміжні версії 2 користувачів не показані) |
Рядок 1: |
Рядок 1: |
− | :==== Налаштування ====
| + | Для Windows систем найбільш поширеними проксі-серверами є: |
− | :Проксі-сервер - служба в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережевих послуг. Спершу клієнт підключається до проксі-сервера та виконує запит на будь-який ресурс, розташований на іншому сервері. Потім проксі-сервер або підключається до зазначеного сервером ресурсу та отримує його, або повертає ресурс з власної кеш-пам'яті, так званого кешу (у випадку, якщо проксі має кеш-пам'ять). У деяких випадках запит клієнта або відповідь сервера може бути змінена проксі в певних цілях. Крім того, проксі-сервер дозволяє клієнтському комп'ютеру забезпечувати захист від деяких мережевих атак, а також зберігати анонімність клієнта. Переважна більшість комп'ютерів, як особистих, так і корпоративних, використовує Microsoft Windows, які включають в собі доступ в Інтернет вже більше десяти років. ОС Windows може організовувати спільний доступ до Інтернету, але при цьому безпека не є високого рівня. Тому, щоб забезпечити необхідну безпеку, апаратні та програмні засоби захисту купляються в інших компаніях. Одним з найбільш важливих є UserGate Proxy Server. UserGate Proxy Server забезпечує локальним користувачам мережі безпечний доступ в інтернет, визначаючи політику такого доступу, забороняючи зокрема інтернет-ресурси, а також обмежує трафік та час роботи користувача в Інтернеті. Крім того, UserGate може зберігати різні розрахунки трафіку користувачів, а також протоколи, що значно спрощує інтернет-трафік та контроль над витратами. Останнім часом, серед інтернет-провайдерів (ISP) спостерігається тенденція до необмеженого трафіка, і з цією метою, UserGate Proxy Server надає дуже гнучку систему правил. UserGate Proxy Server з підтримкою NAT працює на Windows 2000/2003/XP з Інтернет (з використанням стандартного протоколу TCP/IP). UserGate може працювати і на Windows 98 і Windows NT 4.0, але без підтримки NAT. UserGate не вимагає ніяких спеціальних ресурсів для його роботи, він просто потребує відносно невеликий об'єм пам'яті на жорсткому диску для кешу і файлів журналів. UserGate також може бути встановлений на виділеному комп'ютері, щоб максимально використовувати ресурси вашої мережі. Проксі-сервери вашого веб-браузера (Internet Explorer, Firefox, Safari, Netscape, Opera або Mozilla, які названі найпопулярнішими) мають здатність кешувати документи. Тим не менш, значне місце на диску не зарезервоване для цих цілей, якщо підключення до Інтернету поділяється на ввесь офіс. Причина цього в тому, що ймовірність відвідування цих веб-сторінок однією людиною набагато менша, ніж ймовірність відвідування цих же веб-сторінок десятками або сотнями людей. Створення спільного кешу для компанії може істотно знизити пропускну здатність мережі. UserGate Proxy Server може також встановити зв'язок із зовнішніми проксі-серверами (вашого провайдера), щоб збільшити швидкість отримання даних і зменшити ваші інтернет- рахунки (вартість трафіку для постачальника, як правило, менше, коли використовується проксі-сервер). Програма конфігурації налаштування параметрів кешу створюється на сторінці «Послуги». Ви можете встановити його окремі варіанти, які включають в себе кешування POST запитів, динамічних об'єктів і FTP-контенту. Ви можете також встановити розмір дискового простору для кеша і час життя кешованих документів. Перед початком роботи з програмою потрібно виконати й інші налаштування. Як правило, це робиться в наступній послідовності:
| + | #UserGate; |
− | # Створення користувачів програми. | + | #Kerio Control; |
− | # Налаштування DNS і NAT на сервері UserGate. На цьому етапі ви можете налаштувати NAT за допомогою майстра. | + | #CCProxy; |
− | # Задати параметри різних протоколів (HTTP, FTP, SOCKS) та інтерфейс інтранету. Всі вони можуть бути встановлені за допомогою команд «настройки, послуги». | + | #Microsoft Forefront; |
− | # Налаштування мережевого підключення на кожному клієнтському комп'ютері, у тому числі шлюз і DNS в TCP / IP з властивостями мережевого підключення, які повинні бути встановлені. | + | #Microsoft ISA Server; |
− | # Створення політики доступу в Інтернет. | + | #WinGate; |
− | :Щоб зробити програму більш зручною, вона розділена на декілька модулів.
| + | #Eserv; |
− | :Серверний модуль запускається на комп'ютері з доступом в Інтернет. Цей модуль контролює виконання всіх завдань. UserGate адміністрація здійснюється за допомогою спеціального модуля: UserGate Administrator, який обробляє всі налаштування сервера. UserGate Authentication Client представляє собою клієнтський додаток, який встановлений на комп'ютері кожного користувача. Цей модуль контролює і управляє авторизацією користувача на сервері UserGate, якщо ви обираєте дозвіл, який не залежить від IP або IP + MAC.
| + | #Cool-proxy; |
| + | #HandyCache; |
| + | та інші. |
| | | |
− | :==== Управління ====
| + | ==UserGate Proxy & Firewall== |
− | :Безпека та дозволи UserGate Proxy Server блокує несанкціонований доступ. Кожному користувачу може бути дозволено автоматично присвоїти IP-адресу або правильно поєднати IP і апаратні (MAC) адреси. Кожному користувачу можуть бути призначені певні дозволи. Для того, щоб легко додавати користувачів і швидко призначати однакові дозволи для групи однорідних користувачів існує окрема сторінка, яка призначена для управління користувачами і групами. Групи дозволяють легко керувати користувачами, яким потрібні загальні установки, у тому числі доступ до мережі і тарифи. Ви можете створити стільки груп, скільки вам потрібно. Групи, як правило, створені на основі структури компанії та ієрархії. Кожній групі може бути присвоєний власний курс, який використовується для управління витратами доступу в Інтернет. За замовчуванням ставка може бути встановлена або залишена порожньою, і в цьому випадку з'єднання всіх користувачів в групі не виплачуються. В іншому випадку ставка встановлена у власних інтересах користувача. Є цілий ряд правил, які за замовчуванням NAT представлені в програмі. Ці правила доступу через Telnet, POP3, SMTP, HTTP, ICQ та інші протоколи. При установці властивостей групи можна визначити, які правила будуть застосовуватися до групи та її користувачів. Режим автодозвону може використовуватися в тому випадку, коли підключення до Інтернет відбувається через модем. У цьому випадку модем встановлює зв'язок тільки тоді, коли це потрібно. Виклик з'єднання по запиту також може бути використаний з ADSL, якщо для того, щоб підключитися до інтернет-провайдера необхідно набрати номер з'єднання VPN. Якщо комп'ютер з встановленим проксі-сервером UserGate входить в домен Active Directory, то облікові записи користувачів можуть бути імпортовані, а потім розділитися на групи, які потребують аналогічних прав доступу: тип авторизації, швидкість, NAT правила. UserGate Proxy Server підтримує декілька типів авторизації, включаючи авторизацію через Active Directory і Windows Login, що дозволяє інтегрувати UserGate в існуючу інфраструктуру мережі. UserGate використовує власний модуль аутентифікації клієнта для деяких типів авторизації. Залежно від типу авторизації в настройках профілю користувачу необхідно вказати або його IP-адресу (або діапазон адрес), або призначити логін (ім'я користувача і пароль), або призначити тільки ім'я користувача. Також тут може бути вказана електронна пошта користувача, на яку будуть надсилатися звіти про використання користувачем доступу в Інтернет.
| + | Інтернет шлюз класу UTM для сімейств операційної системи Microsoft Windows. Основні функції програми - надання доступу в Інтернет, захист локальної мережі і внутрішніх сервісів, управління доступом користувачів до ресурсів зовнішніх мереж, ведення статистики. |
− | | + | ==Kerio Control== |
− | :==== Правила ====
| + | Це програмний міжмережевий екран, розроблений компаніями Kerio Technologies і Tiny Software. Основними функціями програми є: організація безпечного користувача доступу в Інтернет, надійна мережева захист ЛВС, економія трафіку і робочого часу співробітників за рахунок обмеження нецільового доступу до різних категорій веб-контенту. |
− | :Система правил Usergate являється більш гнучкою в налаштуванні в порівнянні з можливостями Remote Access Policy (політика віддаленого доступу в RRAS). При використанні цих правил можна заблокувати доступ до певних URL-адрес, обмежити трафік по певних протоколах, встановлювати обмеження за часом, встановити максимальний розмір файлу, який користувач може завантажити і т. д. ОС Windows не забезпечує функціональність, необхідну для виконання цих завдань. Правила можуть бути створені за допомогою майстра. Вони поширюються на чотири основні об’єкти – з’єднання, трафік, тариф і швидкість. При чому для кожного з них може бути виконана одна дія. Для прикладу, закрити з'єднання, призначити тариф чи швидкість, і т.д. Визначаються критерії по об’єму трафіка, часу роботи в мережі, залишку коштів на рахунку користувача, а також список ІР-адрес, на які поширюються дії. Установки мережевих адрес також дозволяють вказати типи файлів, які користувачі не зможуть завантажувати.
| + | ==СCProxy== |
− | | + | Дуже швидкий, легкий і досить функціональний проксі-сервер. Якщо потрібно оперативно підняти проксі, то CCProxy - це саме те, що треба. Підтримка всіх необхідних протоколів (HTTP, HTTPS, FTP, Gopher, SOCKS4 / 5, Telnet і т.д.), переадресація портів, кеш, квоти по швидкості, контент-фільтри, а також кілька методів авторизації. Основні можливості CCProxy: |
− | :==== Користувачі ====
| + | *підтримка HTTP, FTP, Gopher, SOCKS4 / 5, Telnet, Secure (HTTPS), News (NNTP), RTSP; |
− | :Тепер повернемося до налаштувань DNS і NAT. Налаштування DNS полягає у вказівці адрес зовнішніх DNS-серверів, до яких звертатиметься система. При цьому на комп'ютерах користувачів необхідно в налаштуваннях з'єднання для властивостей TCP / IP в якості шлюзу і DNS вказати IP внутрішнього мережевого інтерфейсу комп'ютера з Usergate. Дещо інший принцип налаштування при використанні NAT. У цьому випадку в системі потрібно додати нове правило, в якому потрібно визначити IP приймача (локальний інтерфейс) і IP відправника (зовнішній інтерфейс), порт - 53 і протокол UDP. Це правило необхідно призначити всім користувачам. А в налаштуваннях з'єднання на їх комп'ютерах як DNS слід вказати IP-адресу сервера DNS провайдера, в якості шлюзу - IP-адреса комп'ютера з Usergate.
| + | *розмежування прав користувачів |
− | :Налаштування поштових клієнтів може бути виконана як через Port mapping, так і через NAT. Якщо в організації дозволено використовувати служби миттєвих повідомлень, то для них має бути змінене налаштування підключення - необхідно вказати застосування брандмауера і проксі, задати IP-адресу внутрішнього мережевого інтерфейсу комп'ютера з Usergate і вибрати протокол HTTPS або Socks. Але треба мати на увазі, що при роботі через проксі-сервер буде недоступна робота в Chat rooms і Video Chat, якщо використовується Yahoo Messenger.
| + | *веб фільтр |
− | :Статистика роботи записується в журнал, що містить інформацію про параметри з'єднань всіх користувачів: час з'єднання, тривалість, витрачені кошти, запитані адреси, кількість отриманої і переданої інформації. Скасувати запис інформації про користувацькі з'єднання в файл статистики не можна. Для перегляду статистики в системі існує спеціальний модуль, доступ до якого можливий як через інтерфейс адміністратора, так і віддалено. Дані можуть бути відфільтровані по користувачах, протоколах і по часу, а також можуть бути збережені в зовнішньому файлі у форматі Excel для подальшої обробки.
| + | *контроль за трафіком |
− | | + | *вбудований кеш |
− | :==== Що далі ====
| + | *дозвіл діапазону Web/IP/MAC/IP |
− | :Якщо перші версії системи були призначені лише для реалізації механізму кешування проксі-сервера, то в останніх версіях з'явилися нові компоненти, призначені для забезпечення інформаційної безпеки. Сьогодні користувачі Usergate можуть задіяти вбудований модуль брандмауера і антивіруса Касперського. Брандмауер дозволяє контролювати, відкривати і блокувати певні порти, а також публікувати Web-ресурси компанії в Internet. Вбудований брандмауер обробляє пакети, які не пройшли обробку на рівні правил NAT. Якщо пакет був оброблений драйвером NAT, він вже не обробляється брандмауером. Налаштування портів, виконані для proxy, а також порти, зазначені в Port Mapping, поміщаються в автоматично згенеровані правила брандмауера (тип auto). У правила auto також поміщається порт 2345 TCP, використовуваний модулем Usergate Administrator для підключення до серверної частини Usergate.
| + | *повноваження каскадування |
− | :Говорячи про перспективи подальшого розвитку продукту, варто згадати створення власного сервера VPN, що дозволить відмовитися від VPN зі складу операційної системи; впровадження поштового сервера з підтримкою функції антиспаму і розробку інтелектуального брандмауера на рівні додатків.
| + | *автоматичне з'єднання і розрив зв'язку за розкладом. |
| + | ==Microsoft Forefront== |
| + | Це комплексне сімейство продуктів, що підвищує захищеність і керованість системи безпеки мережевої інфраструктури. Продукти Microsoft Forefront для безпеки легко інтегруються один з одним і існуючою ІТ-інфраструктурою організації. Крім того, їх можна доповнювати рішеннями сторонніх виробників, що дозволяє створювати закінчені рішення, що забезпечують багаторівневий захист. |
| + | ==Microsoft Forefront Threat Management Gateway (Forefront TMG)== |
| + | Раніше відомий як Microsoft Internet Security і Acceleration Сервер (ISA Server) - проксі-сервер для захисту мережі від атак ззовні, а також контролю інтернет-трафіку, що описується Microsoft як «(Forefront TMG) дозволяє співробітникам компанії безпечно і ефективно користуватися ресурсами Інтернету, не турбуючись про шкідливі програми і інші загрози ». |
| + | Дозволяє організувати захист локальної мережі від втручань з мережі Інтернет і безпечно публікувати різні види серверів, дає можливість розподіляти доступ користувачів локальної мережі до ресурсів Інтернет. Оснащений засобами для аналізу відвідуваних ресурсів, обліку трафіку, а також захисту проти атак з мережі Інтернет. Має різні види аутентифікації і авторизації, в тому числі підтримує аутентифікацію Active Directory. Підтримує як робочі групи, так і домени Windows NT. Має безліч плагінів для відстеження вихідного та вхідного трафіку. |
| + | ==Wingate== |
| + | Один з найбільш популярних проксі-серверів, що дозволяє декільком користувачам локальної мережі отримати доступ в Інтернет. До позитивних сторін Wingate відносяться його стабільність і простота установки, налаштування і використання. Підтримка всіх новітніх протоколів і можливостей робить його правильним вибором для користувачів будь-якого розміру. |
| + | ==eServ== |
| + | Це інтегрований пакет для організації інтернет-або інтранет-інфраструктури на підприємстві. Включає поштовий і веб-сервер, ряд веб-додатків («Проекти», Вікі, веб-форуми, блоги, календарі, документообіг, система управління взаємовідносинами з клієнтами, хостинг додатків), файлові сервера (FTP, TFTP, WebDAV), а також проксі-сервер Eproxy з підтримкою протоколів HTTP, HTTPS, FTP з кешуванням, SOCKS 4 і 5, POP3 та ін. Підтримка WPAD дозволяє автоматично налаштувати всі браузери організації без ручного конфігурування. |
| + | ==CoolProxy== |
| + | Пропріетарний проксі-сервер для Microsoft Windows, призначений для організації доступу до ресурсів інтернет з локальної мережі через модемне або мережеве з'єднання. Здійснює кешування відвідуваних у online веб-сторінок на диску з можливістю перегляду відвіданих сторінок в режимі offline. |
| + | ==HandyCache== |
| + | Це локальний кешуючий проксі-сервер для операційної системи Windows. Основна функція програми - економія вхідного трафіку і прискорення завантаження веб-сторінок, а також блокування реклами. Працює з будь-якими браузерами та програмами, завантажувати інформацію по протоколу HTTP. У версії 1.0 RC2 (1.0.0.103 unstable) додана робота з FTP (без можливості використання зовнішнього проксі). HandyCache - пропріетарна програма з закритим кодом. Розповсюджується безкоштовно для некомерційного використання. Для комерційного потрібно буде купити ліцензії. У зв'язку з наявністю декількох обмежень у безкоштовній версії HandyCache відноситься до класу умовно безкоштовного ПЗ. |
та інші.
Інтернет шлюз класу UTM для сімейств операційної системи Microsoft Windows. Основні функції програми - надання доступу в Інтернет, захист локальної мережі і внутрішніх сервісів, управління доступом користувачів до ресурсів зовнішніх мереж, ведення статистики.
Це програмний міжмережевий екран, розроблений компаніями Kerio Technologies і Tiny Software. Основними функціями програми є: організація безпечного користувача доступу в Інтернет, надійна мережева захист ЛВС, економія трафіку і робочого часу співробітників за рахунок обмеження нецільового доступу до різних категорій веб-контенту.
Дуже швидкий, легкий і досить функціональний проксі-сервер. Якщо потрібно оперативно підняти проксі, то CCProxy - це саме те, що треба. Підтримка всіх необхідних протоколів (HTTP, HTTPS, FTP, Gopher, SOCKS4 / 5, Telnet і т.д.), переадресація портів, кеш, квоти по швидкості, контент-фільтри, а також кілька методів авторизації. Основні можливості CCProxy:
Це комплексне сімейство продуктів, що підвищує захищеність і керованість системи безпеки мережевої інфраструктури. Продукти Microsoft Forefront для безпеки легко інтегруються один з одним і існуючою ІТ-інфраструктурою організації. Крім того, їх можна доповнювати рішеннями сторонніх виробників, що дозволяє створювати закінчені рішення, що забезпечують багаторівневий захист.
Раніше відомий як Microsoft Internet Security і Acceleration Сервер (ISA Server) - проксі-сервер для захисту мережі від атак ззовні, а також контролю інтернет-трафіку, що описується Microsoft як «(Forefront TMG) дозволяє співробітникам компанії безпечно і ефективно користуватися ресурсами Інтернету, не турбуючись про шкідливі програми і інші загрози ».
Дозволяє організувати захист локальної мережі від втручань з мережі Інтернет і безпечно публікувати різні види серверів, дає можливість розподіляти доступ користувачів локальної мережі до ресурсів Інтернет. Оснащений засобами для аналізу відвідуваних ресурсів, обліку трафіку, а також захисту проти атак з мережі Інтернет. Має різні види аутентифікації і авторизації, в тому числі підтримує аутентифікацію Active Directory. Підтримує як робочі групи, так і домени Windows NT. Має безліч плагінів для відстеження вихідного та вхідного трафіку.
Один з найбільш популярних проксі-серверів, що дозволяє декільком користувачам локальної мережі отримати доступ в Інтернет. До позитивних сторін Wingate відносяться його стабільність і простота установки, налаштування і використання. Підтримка всіх новітніх протоколів і можливостей робить його правильним вибором для користувачів будь-якого розміру.
Це інтегрований пакет для організації інтернет-або інтранет-інфраструктури на підприємстві. Включає поштовий і веб-сервер, ряд веб-додатків («Проекти», Вікі, веб-форуми, блоги, календарі, документообіг, система управління взаємовідносинами з клієнтами, хостинг додатків), файлові сервера (FTP, TFTP, WebDAV), а також проксі-сервер Eproxy з підтримкою протоколів HTTP, HTTPS, FTP з кешуванням, SOCKS 4 і 5, POP3 та ін. Підтримка WPAD дозволяє автоматично налаштувати всі браузери організації без ручного конфігурування.
Пропріетарний проксі-сервер для Microsoft Windows, призначений для організації доступу до ресурсів інтернет з локальної мережі через модемне або мережеве з'єднання. Здійснює кешування відвідуваних у online веб-сторінок на диску з можливістю перегляду відвіданих сторінок в режимі offline.
Це локальний кешуючий проксі-сервер для операційної системи Windows. Основна функція програми - економія вхідного трафіку і прискорення завантаження веб-сторінок, а також блокування реклами. Працює з будь-якими браузерами та програмами, завантажувати інформацію по протоколу HTTP. У версії 1.0 RC2 (1.0.0.103 unstable) додана робота з FTP (без можливості використання зовнішнього проксі). HandyCache - пропріетарна програма з закритим кодом. Розповсюджується безкоштовно для некомерційного використання. Для комерційного потрібно буде купити ліцензії. У зв'язку з наявністю декількох обмежень у безкоштовній версії HandyCache відноситься до класу умовно безкоштовного ПЗ.