4 Проксі-сервери Віндовс
Матеріал з Wiki TNEU
Версія від 21:39, 25 червня 2013; Dolunyuk (Обговорення • внесок)
Зміст |
Налаштування
- Проксі-сервер - служба в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережевих послуг. Спершу клієнт підключається до проксі-сервера та виконує запит на будь-який ресурс, розташований на іншому сервері. Потім проксі-сервер або підключається до зазначеного сервером ресурсу та отримує його, або повертає ресурс з власної кеш-пам'яті, так званого кешу (у випадку, якщо проксі має кеш-пам'ять). У деяких випадках запит клієнта або відповідь сервера може бути змінена проксі в певних цілях. Крім того, проксі-сервер дозволяє клієнтському комп'ютеру забезпечувати захист від деяких мережевих атак, а також зберігати анонімність клієнта. Переважна більшість комп'ютерів, як особистих, так і корпоративних, використовує Microsoft Windows, які включають в собі доступ в Інтернет вже більше десяти років. ОС Windows може організовувати спільний доступ до Інтернету, але при цьому безпека не є високого рівня. Тому, щоб забезпечити необхідну безпеку, апаратні та програмні засоби захисту купляються в інших компаніях. Одним з найбільш важливих є UserGate Proxy Server. UserGate Proxy Server забезпечує локальним користувачам мережі безпечний доступ в інтернет, визначаючи політику такого доступу, забороняючи зокрема інтернет-ресурси, а також обмежує трафік та час роботи користувача в Інтернеті. Крім того, UserGate може зберігати різні розрахунки трафіку користувачів, а також протоколи, що значно спрощує інтернет-трафік та контроль над витратами. Останнім часом, серед інтернет-провайдерів (ISP) спостерігається тенденція до необмеженого трафіка, і з цією метою, UserGate Proxy Server надає дуже гнучку систему правил. UserGate Proxy Server з підтримкою NAT працює на Windows 2000/2003/XP з Інтернет (з використанням стандартного протоколу TCP/IP). UserGate може працювати і на Windows 98 і Windows NT 4.0, але без підтримки NAT. UserGate не вимагає ніяких спеціальних ресурсів для його роботи, він просто потребує відносно невеликий об'єм пам'яті на жорсткому диску для кешу і файлів журналів. UserGate також може бути встановлений на виділеному комп'ютері, щоб максимально використовувати ресурси вашої мережі. Проксі-сервери вашого веб-браузера (Internet Explorer, Firefox, Safari, Netscape, Opera або Mozilla, які названі найпопулярнішими) мають здатність кешувати документи. Тим не менш, значне місце на диску не зарезервоване для цих цілей, якщо підключення до Інтернету поділяється на ввесь офіс. Причина цього в тому, що ймовірність відвідування цих веб-сторінок однією людиною набагато менша, ніж ймовірність відвідування цих же веб-сторінок десятками або сотнями людей. Створення спільного кешу для компанії може істотно знизити пропускну здатність мережі. UserGate Proxy Server може також встановити зв'язок із зовнішніми проксі-серверами (вашого провайдера), щоб збільшити швидкість отримання даних і зменшити ваші інтернет- рахунки (вартість трафіку для постачальника, як правило, менше, коли використовується проксі-сервер). Програма конфігурації налаштування параметрів кешу створюється на сторінці «Послуги». Ви можете встановити його окремі варіанти, які включають в себе кешування POST запитів, динамічних об'єктів і FTP-контенту. Ви можете також встановити розмір дискового простору для кеша і час життя кешованих документів. Перед початком роботи з програмою потрібно виконати й інші налаштування. Як правило, це робиться в наступній послідовності:
- Створення користувачів програми.
- Налаштування DNS і NAT на сервері UserGate. На цьому етапі ви можете налаштувати NAT за допомогою майстра.
- Задати параметри різних протоколів (HTTP, FTP, SOCKS) та інтерфейс інтранету. Всі вони можуть бути встановлені за допомогою команд «настройки, послуги».
- Налаштування мережевого підключення на кожному клієнтському комп'ютері, у тому числі шлюз і DNS в TCP / IP з властивостями мережевого підключення, які повинні бути встановлені.
- Створення політики доступу в Інтернет.
- Щоб зробити програму більш зручною, вона розділена на декілька модулів.
- Серверний модуль запускається на комп'ютері з доступом в Інтернет. Цей модуль контролює виконання всіх завдань. UserGate адміністрація здійснюється за допомогою спеціального модуля: UserGate Administrator, який обробляє всі налаштування сервера. UserGate Authentication Client представляє собою клієнтський додаток, який встановлений на комп'ютері кожного користувача. Цей модуль контролює і управляє авторизацією користувача на сервері UserGate, якщо ви обираєте дозвіл, який не залежить від IP або IP + MAC.
Управління
- Безпека та дозволи UserGate Proxy Server блокує несанкціонований доступ. Кожному користувачу може бути дозволено автоматично присвоїти IP-адресу або правильно поєднати IP і апаратні (MAC) адреси. Кожному користувачу можуть бути призначені певні дозволи. Для того, щоб легко додавати користувачів і швидко призначати однакові дозволи для групи однорідних користувачів існує окрема сторінка, яка призначена для управління користувачами і групами. Групи дозволяють легко керувати користувачами, яким потрібні загальні установки, у тому числі доступ до мережі і тарифи. Ви можете створити стільки груп, скільки вам потрібно. Групи, як правило, створені на основі структури компанії та ієрархії. Кожній групі може бути присвоєний власний курс, який використовується для управління витратами доступу в Інтернет. За замовчуванням ставка може бути встановлена або залишена порожньою, і в цьому випадку з'єднання всіх користувачів в групі не виплачуються. В іншому випадку ставка встановлена у власних інтересах користувача. Є цілий ряд правил, які за замовчуванням NAT представлені в програмі. Ці правила доступу через Telnet, POP3, SMTP, HTTP, ICQ та інші протоколи. При установці властивостей групи можна визначити, які правила будуть застосовуватися до групи та її користувачів. Режим автодозвону може використовуватися в тому випадку, коли підключення до Інтернет відбувається через модем. У цьому випадку модем встановлює зв'язок тільки тоді, коли це потрібно. Виклик з'єднання по запиту також може бути використаний з ADSL, якщо для того, щоб підключитися до інтернет-провайдера необхідно набрати номер з'єднання VPN. Якщо комп'ютер з встановленим проксі-сервером UserGate входить в домен Active Directory, то облікові записи користувачів можуть бути імпортовані, а потім розділитися на групи, які потребують аналогічних прав доступу: тип авторизації, швидкість, NAT правила. UserGate Proxy Server підтримує декілька типів авторизації, включаючи авторизацію через Active Directory і Windows Login, що дозволяє інтегрувати UserGate в існуючу інфраструктуру мережі. UserGate використовує власний модуль аутентифікації клієнта для деяких типів авторизації. Залежно від типу авторизації в настройках профілю користувачу необхідно вказати або його IP-адресу (або діапазон адрес), або призначити логін (ім'я користувача і пароль), або призначити тільки ім'я користувача. Також тут може бути вказана електронна пошта користувача, на яку будуть надсилатися звіти про використання користувачем доступу в Інтернет.
Правила
- Система правил Usergate являється більш гнучкою в налаштуванні в порівнянні з можливостями Remote Access Policy (політика віддаленого доступу в RRAS). При використанні цих правил можна заблокувати доступ до певних URL-адрес, обмежити трафік по певних протоколах, встановлювати обмеження за часом, встановити максимальний розмір файлу, який користувач може завантажити і т. д. ОС Windows не забезпечує функціональність, необхідну для виконання цих завдань. Правила можуть бути створені за допомогою майстра. Вони поширюються на чотири основні об’єкти – з’єднання, трафік, тариф і швидкість. При чому для кожного з них може бути виконана одна дія. Для прикладу, закрити з'єднання, призначити тариф чи швидкість, і т.д. Визначаються критерії по об’єму трафіка, часу роботи в мережі, залишку коштів на рахунку користувача, а також список ІР-адрес, на які поширюються дії. Установки мережевих адрес також дозволяють вказати типи файлів, які користувачі не зможуть завантажувати.
Користувачі
- Тепер повернемося до налаштувань DNS і NAT. Налаштування DNS полягає у вказівці адрес зовнішніх DNS-серверів, до яких звертатиметься система. При цьому на комп'ютерах користувачів необхідно в налаштуваннях з'єднання для властивостей TCP / IP в якості шлюзу і DNS вказати IP внутрішнього мережевого інтерфейсу комп'ютера з Usergate. Дещо інший принцип налаштування при використанні NAT. У цьому випадку в системі потрібно додати нове правило, в якому потрібно визначити IP приймача (локальний інтерфейс) і IP відправника (зовнішній інтерфейс), порт - 53 і протокол UDP. Це правило необхідно призначити всім користувачам. А в налаштуваннях з'єднання на їх комп'ютерах як DNS слід вказати IP-адресу сервера DNS провайдера, в якості шлюзу - IP-адреса комп'ютера з Usergate.
- Налаштування поштових клієнтів може бути виконана як через Port mapping, так і через NAT. Якщо в організації дозволено використовувати служби миттєвих повідомлень, то для них має бути змінене налаштування підключення - необхідно вказати застосування брандмауера і проксі, задати IP-адресу внутрішнього мережевого інтерфейсу комп'ютера з Usergate і вибрати протокол HTTPS або Socks. Але треба мати на увазі, що при роботі через проксі-сервер буде недоступна робота в Chat rooms і Video Chat, якщо використовується Yahoo Messenger.
- Статистика роботи записується в журнал, що містить інформацію про параметри з'єднань всіх користувачів: час з'єднання, тривалість, витрачені кошти, запитані адреси, кількість отриманої і переданої інформації. Скасувати запис інформації про користувацькі з'єднання в файл статистики не можна. Для перегляду статистики в системі існує спеціальний модуль, доступ до якого можливий як через інтерфейс адміністратора, так і віддалено. Дані можуть бути відфільтровані по користувачах, протоколах і по часу, а також можуть бути збережені в зовнішньому файлі у форматі Excel для подальшої обробки.
Що далі
- Якщо перші версії системи були призначені лише для реалізації механізму кешування проксі-сервера, то в останніх версіях з'явилися нові компоненти, призначені для забезпечення інформаційної безпеки. Сьогодні користувачі Usergate можуть задіяти вбудований модуль брандмауера і антивіруса Касперського. Брандмауер дозволяє контролювати, відкривати і блокувати певні порти, а також публікувати Web-ресурси компанії в Internet. Вбудований брандмауер обробляє пакети, які не пройшли обробку на рівні правил NAT. Якщо пакет був оброблений драйвером NAT, він вже не обробляється брандмауером. Налаштування портів, виконані для proxy, а також порти, зазначені в Port Mapping, поміщаються в автоматично згенеровані правила брандмауера (тип auto). У правила auto також поміщається порт 2345 TCP, використовуваний модулем Usergate Administrator для підключення до серверної частини Usergate.
- Говорячи про перспективи подальшого розвитку продукту, варто згадати створення власного сервера VPN, що дозволить відмовитися від VPN зі складу операційної системи; впровадження поштового сервера з підтримкою функції антиспаму і розробку інтелектуального брандмауера на рівні додатків.