Usergate прокси для windows

Для пользователей, работающих на операционной системе Windows, существует возможность предоставить доступ в интернет через явно указанный прокси-сервер программам, которые не поддерживают работу через прокси-сервер. Иногда также возникает необходимость предоставить таким программам доступ в интернет в случае, когда UserGate не является шлюзом в интернет по умолчанию для пользовательских компьютеров. Для подобных случаев можно использовать прокси-агент. Прокси-агент пересылает все TCP-запросы, идущие не на локальные адреса, на UserGate, который выступает для них прокси-сервером.

Важно! Прокси-агент не авторизует пользователя на UserGate, таким образом, если необходима авторизация, то потребуется настроить один из способов авторизации пользователей, например, установить агент авторизации для Windows.

Установить прокси-агент возможно вручную либо с использованием политик Active Directory.

Если устанавливаете не политикой, то для настройки агента необходимо создать текстовый файл utmagent.cfg в директории in C:\Documents and Settings\All Users\Application Data\Entensys\UTMAgent\. В файле конфигурации следует указать:

ServerName=10.255.1.1

ServerHttpPort=8090

LocalNetwork=192.168.1.0/24; 192.168.0.0/24; 192.168.30.0/24;

ServerName и ServerHttpPort — IP-адрес и порт прокси-сервера на UserGate, по умолчанию это порт 8090.
LocalNetwork — список сетей, которые не нужно направлять в прокси. Сеть интерфейсов машины не направляется в прокси по умолчанию.

После создания или изменения файла конфигурации необходимо перезапустить сервис прокси-агента.

Если вы устанавливаете через GPO, прокси-агент поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft

Все необходимые параметры для корректной работы прокси-агента задаются при настройке групповой политики. При установке параметры вносятся в реестр пользовательского компьютера и имеют приоритет перед файлом .cfg. При удалении агента политикой значения реестра не удаляются, сохраняясь в ветке реестра:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Entensys\UTMAgent

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 10 июля 2013;
проверки требуют 32 правки.

UserGate Proxy & Firewall — Интернет шлюз класса UTM для семейств операционной системы Microsoft Windows. Основные функции программы — предоставление доступа в Интернет, защита локальной сети и внутренних сервисов, управление доступом пользователей к ресурсам внешних сетей, ведение статистики.

Возможности продукта[править | править вики-текст]

Продукт включает в себя следующие функции:

• Гибкий Firewall с возможностью создания разных наборов правил для различных ситуаций, поддержка маршрутизации
• Производительный NAT поддерживающий ethernet, dialup (ppp, vpn) подключения, маскарадинг
• Функция использования резервных каналов, с возможностью дозвона для dialup подключений, watchdog
• VPN сервер с возможностью объединения нескольких сетей
• Гибкие механизмы авторизации — IP, MAC, HTTP, Active Directory, собственный клиент авторизации
• Создание тарифов (биллинг-планов)
• Гибкое создание наборов правил управления трафиком (размер файлов, лимиты, календарь, ip-адреса, интернет-категории, типы файлов)
• Защита от атак
• Application Firewall, создание политик доступа для приложений на клиентских ПК, централизованное управление политиками
• DHCP сервер
• HTTP Proxy, с возможностью использования в прозрачном режиме, использование каскадных прокси, кеш.
• FTP Proxy (опционально)
• Socks Proxy, с возможностью использования каскадных прокси
• POP3 Proxy, с возможностью использования в прозрачном режиме, использование каскадных прокси
• SMTP Proxy, с возможностью использования в прозрачном режиме, задание собственного smtp сервера
• SIP Proxy
• H323 Proxy
• Механизм «Назначение портов» — программный редирект TCP/UDP сокета, с возможностью ведения статистики
• Антивирусная защита трафика передаваемого через прокси, с возможностью выбора — Kaspersky, Panda, Avira
• DNS Forwarding
• Поддержка технологий QoS, VLAN на уровне драйвера
• Встроенный планировщик
• Веб-статистика
• URL фильтрация — по спискам заданным пользователем, сервисом Entensys URL Filtering
• Фильтрация по спискам от Министерства Юстиции

Продукт позволяет быстро развернуть интернет-шлюз как на базе обычного ПК, так и на серверах любых конфигураций, виртуальных машинах, управлять доступом пользователей и собирать статистику по использованию ресурсов сети, противостоять внешним угрозам и атакам. Возможности фильтрации и управления трафиком позволяют оптимизировать использование ресурсов сети интернет, дополнять административные механизмы управления регулируя использование рабочего времени сотрудников, тем самым комплексно снижая расходы предприятия. Механизм удалённого управления позволяет централизованно управлять шлюзами UserGate Proxy&Firewall, получать доступ к статистике. Простота и доступность интерфейса позволяет быстро начать работу с продуктом, пользователям ранее не знакомым с продуктом, и обладающим начальными знаниями технологий.

Особенности программы[править | править вики-текст]

• Многоязычный интерфейс
• Трёхядерный антивирус на движках Kaspersky, Panda, Avira.
• Фильтрация ресурсов по категориям Entensys URL Filtering
• Управление шириной канала для различных пользователей и сервисов
• Поддержка IP-телефонии
• Контроль интернет-приложений
• Поддержка VPN
• Биллинговая система
• Сертифицирован ФСТЭК

Версии[править | править вики-текст]

• АйТи Консалтинг UserGate 2.02 (сентябрь 2002) – первая версия программы.
• АйТи Консалтинг UserGate 2.8 (май 2003) – самая удачная версия программы. Обладает сравнительно малым функционалом, но по сей день популярна среди пользователей из-за высокой стабильности работы и простоты конфигурации, даже по сравнению с последними версиями.
• АйТи Консалтинг UserGate 3.0 (март 2005) – добавлено антивирусное сканирование на движке Kaspersky. Версия не завоевала популярности пользователей из-за неудачной реализации драйвера NAT.
• eSafeLine UserGate Proxy Server 4.0 (декабрь 2005) – появился встроенный межсетевой экран и система биллинга. Заявлена поддержка продукта UserGate Mail Server.
• Entensys UserGate Proxy & Firewall 5.0 (ноябрь 2008) – вместе с ребрендингом имени производителя было изменено полное название продукта. В функционал добавлена система категоризация сайтов, модуль контроля активности веб-приложений и поддержка протоколов SIP и H.323. Используется новый драйвер NAT.
• Entensys UserGate Proxy & Firewall 5.1 (апрель 2009) – реализованы поддержка Unicode, фильтрация HTTP-трафика по полю Content-type, поддержка MySQL.
• Entensys UserGate Proxy & Firewall 5.2 (август 2009) – ключевыми дополнениями стали пошаговый мастер быстрой настройки UserGate и SSL-соединение консоли администрирования с сервером.
• Entensys UserGate Proxy & Firewall 5.3 (июнь 2010) — реализована поддержка Windows Integrated Authentication и синхронизация с Active Directory, внедрение последней версии ядра Антивируса Касперского.
• Entensys UserGate Proxy & Firewall 5.4 (май 2012) — реализована поддержка кириллических доменов. Проведена работа над улучшением работоспособности и отказоустойчивости продукта.
• Entensys UserGate Proxy & Firewall 6.0 (ноябрь 2012) — обновлены биллинговая система, технология фильтрации сайтов; реализован VPN-сервер с возможностью создания и поддержки соединений; добавлена система защиты от вторжения, переработан старый функционал.
• Entensys UserGate Proxy & Firewall 6.3 (апрель 2014) — повышена производительность Network Address Translation (NAT), улучшена работа VPN и добавлены новые возможности в консоли администратора.
• Entensys UserGate Proxy & Firewall 6.4 (ноябрь 2014)- с новым модулем Системы Обнаружения Вторжений
• Entensys Usergate Proxy & Firewall 6.5 (март 2015) — добавлен агент авторизации пользователей на терминальных серверах, улучшена работа VPN, добавлена возможность назначать статистические IP-адреса и VPN-интерфейсы.

Сертификат ФСТЭК[править | править вики-текст]

UserGate Proxy & Firewall 6.0 VPN GOST получил в мае 2014 года сертификат ФСТЭК. Продукт удовлетворяет следующим требованиям:

• «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» — по ОУД2;
• «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» — по 3 классу защищенности;
• «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» — по 4 уровню контроля;
• «Требования к системам обнаружения вторжений» – по 4 классу защиты.

Сертификат на сайте разработчика

Ссылки[править | править вики-текст]

• Официальный сайт программы
• Описание функциональных возможностей UserGate Proxy & Firewall
• Загрузка дистрибутива UserGate Proxy & Firewall
• База знаний по UserGate Proxy & Firewall
• Тема по UserGate Proxy & Firewall на форуме Ru-Board

Пресса[править | править вики-текст]

• Базовая настройка UserGate Proxy & Firewall (рус.). Softkey (2015). Проверено 24 декабря 2015.
• Вышел UserGate Proxy & Firewall с новым модулем системы обнаружения вторжений (рус.). CNews (2014). Проверено 24 декабря 2014.
• Новая версия Entensys UserGate Proxy & Firewall (рус.). CRN (2013). Проверено 24 декабря 2013.
• Entensys оснастила UserGate Proxy & Firewall полноценным VPN-сервером и системой IDPS (рус.). CNews (1 ноября 2012 года). Проверено 12 ноября 2012. Архивировано из первоисточника 20 ноября 2012.
• Entensys выпустила бета-версию UserGate Proxy & Firewall 6.0 (рус.). CNews (9 октября 2012 года). Проверено 12 октября 2012. Архивировано из первоисточника 19 октября 2012.
• Министерство нефти и газа Казахстана внедрило UserGate Proxy & FireWall (рус.). PCWeek (13 декабря 2011 года). Проверено 25 декабря 2011. Архивировано из первоисточника 14 мая 2012.
• Обзор UserGate Proxy & Firewall (рус.). AntiMalware (6 июля 2011 года). Проверено 6 июля 2011. Архивировано из первоисточника 19 октября 2012.
• UserGate Proxy & Firewall от Entensys используется в 25 тыс. компаний (рус.). CNews (18 мая 2011 года). Проверено 28 мая 2011. Архивировано из первоисточника 14 мая 2012.

Сегодня руководство, наверное, уже всех компаний оценило по достоинству те возможности, которые предоставляет Интернет для ведения бизнеса. Речь идет, конечно же, не об интернет-магазинах и электронной торговле, которые, как ни крути, сегодня являются больше маркетинговыми инструментами, нежели реальным способом увеличения оборота товаров или услуг. Глобальная сеть является отличной информационной средой, практически неисчерпаемым источником самых разнообразных данных. Кроме того, она обеспечивает быструю и дешевую связь как с клиентами, так и с партнерами фирмы. Нельзя сбрасывать со счетов и возможности Интернета для маркетинга. Таким образом, получается, что Глобальную сеть, в общем-то, можно считать многофункциональным бизнес-инструментом, который может повысить эффективность выполнения сотрудниками компании своих обязанностей.

Впрочем, для начала необходимо предоставить этим сотрудникам доступ к Интернету. Просто подключить один компьютер к Глобальной сети сегодня не проблема. Существует много способов, как это можно сделать. Также найдется немало компаний, предлагающих практическое решение данной задачи. Вот только вряд ли Интернет на одном компьютере сможет принести фирме заметную пользу. Доступ к Сети должен быть у каждого сотрудника с его рабочего места. И здесь нам не обойтись без специального программного обеспечения, так называемого прокси-сервера. В принципе возможности операционных систем семейства Windows позволяют сделать любое соединение с Интернетом общим. В этом случае доступ к нему получат другие компьютеры из локальной сети. Впрочем, это решение вряд ли стоит рассматривать хоть сколько-нибудь серьезно. Дело в том, что при его выборе придется забыть о контроле над использованием Глобальной сети сотрудниками компании. То есть любой человек с любого корпоративного компьютера может выйти в Интернет и делать там все что угодно. А чем это грозит, наверное, никому объяснять не нужно.

Таким образом, единственный приемлемый для компании способ организации подключения всех компьютеров, входящих в корпоративную локальную сеть, — это прокси-сервер. Сегодня на рынке присутствует немало программ этого класса. Но мы будем говорить только об одной разработке. Она называется UserGate, а создали ее специалисты компании eSafeLine. Главными особенностями этой программы являются широкие функциональные возможности и очень удобный русскоязычный интерфейс. Кроме того, стоит отметить, что она постоянно развивается. Недавно на суд общественности была представлена новая, уже четвертая версия этого продукта.

Итак, UserGate. Этот программный продукт состоит из нескольких отдельных модулей. Первый из них — непосредственно сам сервер. Он должен быть установлен на компьютере, напрямую подключенном к Интернету (интернет-шлюзу). Именно сервер реализует доступ пользователей в Глобальную сеть, осуществляет подсчет использованного трафика, ведет статистику работы и т. п. Второй модуль предназначен для администрирования системы. С его помощью ответственный сотрудник осуществляет всю настройку прокси-сервера. Главной особенностью UserGate в этом плане является то, что модуль администрирования не обязательно должен быть размещен на интернет-шлюзе. Таким образом, речь идет об удаленном управлении прокси-сервером. Это очень хорошо, поскольку системный администратор получает возможность управлять доступом в Интернет непосредственно со своего рабочего места.

Картинка с сайта: www.ixbt.com

Правила NAT в модуле администрирования

Помимо этого в состав UserGate входят еще два отдельных программных модуля. Первый из них нужен для удобного просмотра статистики использования Интернета и построения отчетов на ее основе, а второй — для авторизации пользователей в некоторых случаях. Такой подход прекрасно сочетается с русскоязычным и интуитивно понятным интерфейсом всех модулей. Все вместе это позволяет быстро и без каких-либо проблем настроить общий доступ к Глобальной сети в любом офисе.

Но давайте все-таки перейдем к разбору функциональных возможностей прокси-сервера UserGate. Начать нужно с того, что в этой программе реализовано сразу же два разных способа настройки DNS (самая, пожалуй, важная задача при реализации общего доступа). Первый из них — NAT (Network Address Translation — преобразование сетевых адресов). Он обеспечивает очень точный учет потребленного трафика и позволяет пользователям применять любые разрешенные администратором протоколы. Правда, стоит отметить, что некоторые сетевые приложения в этом случае будут работать некорректно. Второй вариант — DNS-форвардинг. Он имеет большие ограничения по сравнению с NAT, но зато может использоваться на компьютерах с устаревшими операционными семействами (Windows 95, 98 и NT).

Разрешения на работу в Интернете настраиваются с помощью понятий «пользователь» и «группа пользователей». Причем, что интересно, в прокси-сервере UserGate пользователь — это не обязательно человек. Его роль может выполнять и компьютер. То есть в первом случае доступ в Интернет разрешается определенным сотрудникам, а во втором — всем людям, севшим за какой-то ПК. Естественно, при этом используются разные способы авторизации пользователей. Если речь идет о компьютерах, то их можно определять по IP-адресу, связке IP- и MAC-адресов, диапазону IP-адресов. Для авторизации же сотрудников могут использоваться специальные пары логин/пароль, данные из Active Directory, имя и пароль, совпадающие с авторизационной информацией Windows, и т. д. Пользователей для удобства настройки можно объединять в группы. Такой подход позволяет управлять доступом сразу же всех сотрудников с одинаковыми правами (находящихся на одинаковых должностях), а не настраивать каждую учетную запись по отдельности.

Картинка с сайта: www.ixbt.com

Список пользователей в модуле администрирования

Есть в прокси-сервере UserGate и собственная биллинговая система. Администратор может задавать любое количество тарифов, описывающих, сколько стоит одна единица входящего или исходящего трафика или времени подключения. Это позволяет вести точный учет всех расходов на Интернет с привязкой к пользователям. То есть руководство компании всегда будет знать, кто сколько потратил. Кстати, тарифы можно сделать зависимыми от текущего времени, что позволяет в точности воспроизвести ценовую политику провайдера.

Прокси-сервер UserGate позволяет реализовывать любую, сколь угодно сложную политику корпоративного доступа к Интернету. Для этого используются так называемые правила. С их помощью администратор может задать ограничения для пользователей по времени работы, по количеству отправленного или принятого трафика за день или месяц, по количеству используемого времени за день или месяц и т. д. В случае превышения этих лимитов доступ к Глобальной сети будет автоматически перекрываться. Кроме того, с помощью правил можно ввести ограничения на скорость доступа отдельных пользователей или целых их групп.

Другим примером использования правил являются ограничения на доступ к тем или иным IP-адресам или их диапазонам, к целым доменным именам или адресам, содержащим определенные строки, и т. д. То есть фактически речь идет о фильтрации сайтов, с помощью которой можно исключить посещение сотрудниками нежелательных веб-проектов. Но, естественно, это далеко не все примеры применения правил. С их помощью можно, например, реализовать переключение тарифов в зависимости от загружаемого в данный момент сайта (необходимо для учета льготного трафика, существующего у некоторых провайдеров), настроить вырезание рекламных баннеров и т. п.

Кстати, мы уже говорили, что у прокси-сервера UserGate есть отдельный модуль для работы со статистикой. С его помощью администратор может в любой момент просмотреть потребленный трафик (общий, по каждому из пользователей, по группам пользователей, по сайтам, по IP-адресам серверов и т. п.). Причем все это делается очень быстро с помощью удобной системы фильтров. Кроме того, в данном модуле реализован генератор отчетов, с помощью которого администратор может составлять любую отчетность и экспортировать ее в формат MS Excel.

Картинка с сайта: www.ixbt.com

Настройка пользователя

Очень интересным решением разработчиков является встраивание в файрвол антивирусного модуля, который контролирует весь входящий и исходящий трафик. Причем они не стали изобретать велосипед, а интегрировали разработку «Лаборатории Касперского». Такое решение гарантирует, во-первых, действительно надежную защиту от всех зловредных программ, а во-вторых, регулярное обновление баз данных сигнатур. Другой важной в плане информационной безопасности возможностью является встроенный файрвол. И вот он-то был создан разработчиками UserGate самостоятельно. К сожалению, стоит отметить, что интегрированный в прокси-сервер файрвол довольно серьезно отличается по своим возможностям от ведущих продуктов в этой области. Собственно говоря, речь идет о модуле, осуществляющем простую блокировку трафика, идущего по указанным администратором портам и протоколам к компьютерам с заданными IP-адресами и от них. В нем нет ни режима невидимости, ни некоторых других, в общем-то, обязательных для файрволов функций.

К сожалению, одна статья не может включить подробный разбор всех функций прокси-сервера UserGate. Поэтому давайте хотя бы просто перечислим наиболее интересные из них, не вошедшие в наш обзор. Во-первых, это кеширование загруженных из Интернета файлов, что позволяет реально экономить деньги на услугах провайдера. Во-вторых, стоит отметить функцию Port mapping, которая позволяет привязать любой выбранный порт одного из локальных Ethernet-интерфейсов к нужному порту удаленного хоста (эта функция необходима для работы сетевых приложений: системы типа банк — клиент, различные игры и т. п.). Помимо этого в прокси-сервере UserGate реализованы такие возможности, как доступ к внутренним корпоративным ресурсам, планировщик заданий, подключение к каскаду прокси, мониторинг трафика и IP-адресов активных пользователей, их логинов, посещенных URL-адресов в режиме реального времени и многое, многое другое.

12.01.2014 — Usergate proxy & firewall 6.2.1. Конфигурирование и управление.

В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям, UserGate Proxy & Firewall 6.2.1.

Доброго времени суток уважаемый посетитель. Позади 2013 год, для кого-то он был трудный, для кого-то легкий, но время бежит, а если учесть, что одна наносекунда это 10⁻⁹ с. то оно просто летит. В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям UserGate Proxy & Firewall 6.2.1.

C точки зрения администрирования версии 6.2 от UserGate Proxy & Firewall 5.2F, внедрения которой мы успешно практикуем в нашей практике ИТ аусорсинга, практически нет. В качестве лабораторной среды будем использовать Hyper-V, а именно две виртуальные машины первого поколения, серверная часть на Windows Server 2008 R2 SP1, клиентская Windows 7 SP1. По каким-то неизвестным мне причинам UserGate версии 6 не устанавливается на Windows Server 2012 и Windows Server 2012 R2.

Итак, что же такое прокси сервер?

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

 Что такое UserGate Proxy & Firewall?

UserGate Proxy & Firewall – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты.

Из определения рассмотрим, какие решения предоставляет Entensys в своем продукте, как посчитывается трафик, чем разграничивается доступ, а также какие средства защиты предоставляет UserGate Proxy & Firewall.

 Из чего состоит UserGate?

UserGate состоит из нескольких частей: сервер, консоль администрирования и несколько дополнительных модулей. Сервер– это основная часть прокси-сервера, в которой реализованы все его функциональные возможности. Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.

Консоль администрирования UserGate — это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному защищенному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.

UserGate включает три дополнительных модуля: «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».

 Сервер

Установка серверной части UserGate очень проста, единственное отличие — это выбор базы данных в процессе установки. Доступ к базе осуществляется напрямую (для встроенной БД Firebird) или через ODBC-драйвер, что позволяет серверу UserGate работать с базами практически любого формата (MSAccess, MSSQL, MySQL). По умолчанию используется база Firebird. Если вы решили обновить UserGate с предыдущих версий, то вам придется распрощаться с базой статистики, потому что: Для файла статистики поддерживается только перенос текущих балансов пользователей, сама статистика по трафику не будет перенесена. Изменения базы данных были вызваны проблемами в производительности старой и лимитами на её размер. Новая база данных Firebird не обладает такими недостатками.

Картинка с сайта: it.oneweb.pro

Запуск консоли администрирования.

Консоль установлена на серверной ВМ. При первом запуске консоль администрирования открывается на странице «Соединения», на которой присутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке localhost-administrator или нажав на кнопку подключиться на панели управления. В консоли администрирования UserGate можно создать несколько подключений.

В настройках подключений указываются следующие параметры:

• Название сервера – это название подключения;
• Имя пользователя – логин для подключения к серверу;
• Адрес сервера – доменное имя или IP-адрес сервера UserGate;
• Порт – TCP-порт, используемый для подключения к серверу (по умолчанию используется порт 2345);
• Пароль – пароль для подключения;
• Спрашивать пароль при подключении – опция позволяет отображать диалог ввода имени пользователя и пароля при подключении к серверу;
• Автоматически подключаться к этому серверу – консоль администрирования при запуске будет подключаться к данному серверу автоматически.

При первом запуске сервера система предлагает мастера установки от которого мы отказываемся. Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории %UserGate%\Administrator.

Настройка соединений за NAT. Пункт «Общие настройки NAT» позволяет задать величину таймаута для соединений NAT по протоколам TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT, когда передача данных по соединению завершена. Оставим по умолчанию эту настройку.

Детектор атак – это специальная опция, позволяющая вам задействовать внутренний механизм отслеживания и блокировки сканера портов или попыток занятия всех портов сервера.

Заблокировать по строке браузера – список User-Agent’s браузеров, которые могут быть заблокированы прокси-сервером. Т.е. можно, например, запретить выходить в интернет старым браузерам таким как, IE 6.0 или Firefox 3.x.

Интерфейсы

Раздел Интерфейсы является главным в настройках сервера UserGate, поскольку определяет такие моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, ограничения ширины Интернет-канала для трафика определенного типа, установление отношений между сетями и порядок обработки пакетов драйвером NAT. Вкладка «Интерфейсы», выбираем нужный тип для интерфейсов. Так, для адаптера, подключенного к сети Интернет, следует выбрать тип WAN, для адаптера, подключенного к локальной сети – тип LAN. Доступ к интернету для ВМ расшарен, соответственно интерфейс с адресом 192.168.137.118 будет WAN-адаптер, выбираем нужный тип и жмем «Применить». После перезагружаем сервер.

Картинка с сайта: it.oneweb.pro

Пользователи и группы

Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сервере UserGate. Программа поддерживает следующие методы авторизации пользователей:

•  По IP-адресу
•  По диапазону IP-адресов
•  По IP+MAC-адресу
•  По MAC-адресу
•  Авторизация средствами HTTP (HTTP-basic, NTLM)
•  Авторизация через логин и пароль (Клиент авторизации)
•  Упрощенный вариант авторизации через Active Directory

Для использования трех последних методов авторизации на рабочую станцию пользователя необходимо установить специальное приложение — клиент авторизации UserGate. Соответствующий MSI пакет (AuthClientInstall.msi) расположен в директории %UserGate%\tools и может быть использован для автоматической установки средствами групповой политики в Active Directory.

Для терминальных пользователей предоставлена возможность только «Авторизация средствами HTTP». Соответствующая опция включается в пункте Общие настройки в консоли администрирования.

Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку Добавить в панели управления на странице Пользователи и группы.

Существует ещё один способ добавления пользователей – сканирование сети ARP-запросами. Нужно щелкнуть на пустом месте в консоли администратора на странице пользователи и выбрать пункт сканировать локальную сеть. Далее задать параметры локальной сети и дождаться результатов сканирования. В итоге вы увидите список пользователей, которых можно добавить в UserGate. Ну что ж, проверим, жмем «Сканировать локальную сеть»

Задаем параметры: 

Картинка с сайта: it.oneweb.pro

Работает!

Добавляем пользователя

Картинка с сайта: it.oneweb.pro

Стоит напомнить, что в UserGate присутствует приоритет аутентификации, сначала физическая потом логическая. Данный метод не является надежным, т.к. пользователь может сменить ip-адрес. Нам подойдет импорт учетных записей Active Directory, которые мы можем импортировать с легкостью, нажав кнопку «Импортировать», далее «Выбрать» и имя нашей учетной записи, «Ок», «Ок».

Картинка с сайта: it.oneweb.pro

Выбираем «Группу», оставляем по умолчанию «default»

Жмем «Ок» и сохраняем изменения.

Картинка с сайта: it.oneweb.pro

Наш пользователь добавлен без проблем. Так же существует возможность синхронизации групп AD на вкладке «Группы».

Настройка сервисов прокси в UserGate

В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх HTTP” и HTTPS, — метод Connect), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов доступны в разделе Сервисы → Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера относятся: интерфейс и номер порта, на котором работает прокси. Так, например, включим прозрачный HTTP прокси на нашем интерфейсе LAN. Перейдем «Настройки прокси», выберем HTTP.

Картинка с сайта: it.oneweb.pro

Выберем наш интерфейс, оставим все по умолчанию и жмем «Ок»

Использование прозрачного режима

Функция «Прозрачный режим» в настройках прокси-серверов доступна, если сервер UserGate установлен вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сервисов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах компьютера с UserGate. При наличии запросов передает их на соответствующий прокси-сервер UserGate. При использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа локальной сети в Интернет. Однако, в сетевых настройках рабочих станций сервер UserGate должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.

 Почтовые прокси в UserGate

Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антивирусной проверки почтового трафика. При использовании прозрачного режима работы POP3 и SMTP-прокси настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих варианту с прямым доступом в сеть Интернет.

Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера. Например, если пользователь имеет почтовый ящик user@mail123.com, то в качестве Логина на POP3-прокси UserGate в почтовом клиенте нужно будет указать: user@mail123.com@pop.mail123.com. Такой формат необходим для того, чтобы сервер UserGate мог определить адрес удаленного POP3-сервера.

Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется указать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае в настройках почтового клиента на рабочей станции пользователя в качестве адреса SMTP-сервера требуется указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.

Ну что, звучит круто, проверим с помощью mail.ru.

Первым делом включим POP3 и SMTP прокси на нашем сервере. При включении POP3 укажем интерфейс LAN стандартный порт 110.

А так же убедимся в отсутствии галочки на «Прозрачный прокси» и жмем «Ок» и «Применить»

Далее включаем SMTP прокси, ставим галочку, выбираем LAN интерфейс и порт по умолчанию 25

Убираем галочку «Прозрачный режим» и пишем «Параметры удаленного сервера», в нашем случае smtp.mail.ru. А почему только один сервер указывается? А вот ответ: предполагается, что организация использует единственный smtp сервер, именно он и указывается в настройках SMTP прокси.

Жмем «ОК» и «Применить»

Далее нам нужно пробросить порты для POP3 и SMTP. Переходим в «Назначение портов» и жмем «Добавить».

Первое правило для POP3 должно выглядеть так.

Второе, как сказал бы Александр Невский «Вот так вот»

Не забываем про кнопочку «Применить» и переходим к настройке клиента. Как мы помним «Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера». Действуем.

Сначала авторизуемся в клиенте авторизации, далее открываем Outlook обычный, в нашем примере я создал тестовый почтовый ящик tolik_vasserman@inbox.ru, и производим настройку, указывая наш ящик в формате понятном для UserGate tolik_vasserman@inbox.ru@pop.mail.ru, а также POP и SMTP серверы адрес нашего прокси.

Картинка с сайта: it.oneweb.pro

Жмем «Проверка учетной записи…»

Картинка с сайта: it.oneweb.pro

Жмем «Закрыть» и «Далее», а вот и почта толика.

Картинка с сайта: it.oneweb.pro

Назначение портов

В UserGate реализована поддержка функции Перенаправление портов. При наличии правил назначения портов сервер UserGate перенаправляет пользовательские запросы, поступающие на определенный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт, например, на другой компьютер в локальной сети. Функция Перенаправление портов доступна для TCP- и UDP- протоколов.

Картинка с сайта: it.oneweb.pro

Если назначение портов используется для предоставления доступа из сети Интернет к внутреннему ресурсу компании, в качестве параметра Авторизация следует выбрать Указанный пользователь, иначе перенаправление порта работать не будет. Не забываем включить «Удаленный рабочий стол».

Настройка кэша

Одним из назначений прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на подключение к сети Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate выполняет кэширование HTTP и FTP-трафика. Кэшированные документы помещаются в локальную папку %UserGate_data%\Cache. В настройках кэша указывается: предельный размер кэша и время хранения кэшированных документов.

Картинка с сайта: it.oneweb.pro

Антивирусная проверка

В сервер UserGate интегрированы три антивирусных модуля: антивирус Kaspersky Lab, Panda Security и Avira. Все антивирусные модули предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-серверы UserGate, а также исходящего трафика через SMTP-прокси.

Настройки антивирусных модулей доступны в разделе Сервисы → Антивирусы консоли администрирования. Для каждого антивируса можно указать, какие протоколы он должен проверять, установить периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется (опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не требуется подвергать антивирусной проверке.

Перед включение антивируса нужно сначала обновить его базы.

После вышеперечисленных функций перейдем к часто используемым, это – «Управление трафиком» и «Контроль приложений».

 Система правил управления трафиком

В сервере UserGate предусмотрена возможность управления доступом пользователей к сети Интернет посредством правил управления трафиком. Правила управления трафиком предназначены для запрета доступа к определенным сетевым ресурсам, для установки ограничений потребления трафика, для создания расписания работы пользователей в сети Интернет, а также для слежения за состоянием счета пользователей.

В нашем примере ограничим доступ пользователю, к любому ресурсу имеющий в своем запросе упоминания vk.com. Для этого переходим в «Управления трафиком – Правила»

Даем название правилу и действие «Закрыть соединение»

Картинка с сайта: it.oneweb.pro

Нажимаем «Далее» и выбираем «Запрет сайта», жмем «Добавить» в поле «Список Url-адресов», ставим «Запретить»

Картинка с сайта: it.oneweb.pro

После добавления сайта, переходим к следующему параметру, выбор группы или пользователя, правило можно задать как для пользователя, так и для группы, в нашем случает пользователь «User».

Картинка с сайта: it.oneweb.pro

Контроль приложений

Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Контроль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользователя. Для этого на рабочие станции пользователей требуется установить специальное приложение App.FirewallService. Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI-пакет (AuthFwInstall.msi), расположенные в директории %Usergate%\tools.

Перейдем в модуль «Контроль приложений – Правила», и создадим запрещающее правило, например, на запрет запуска IE. Жмем добавить группу, даем ей название и уже группе задаем правило.

Выбираем нашу созданную группу правил, можем поставить галочку «Правило по умолчанию», в этом случае правила добавятся в группу «Default_Rules»

Применяем правило к пользователю в свойствах пользователя

Теперь устанавливаем Auth.Client и App.Firewall на клиентскую станцию, после установки IE должен заблокироваться созданными ранее правилами.

Как мы видим, правило сработало, теперь отключим правила для пользователя, чтобы посмотреть отработку правила для сайта vk.com. После отключения правила на сервере usergate, нужно подождать 10 минут (время синхронизации с сервером). Пробуем зайти по прямой ссылке

Картинка с сайта: it.oneweb.pro

Пробуем через поисковую систему google.com

Картинка с сайта: it.oneweb.pro

Как видим правила срабатывают без каких-либо проблем.

Итак, в данной статье рассмотрена лишь небольшая часть функций. Опущены возможные настройки межсетевого экрана, правил маршрутизации, NAT- правил. UserGate Proxy & Firewall предоставляет большой выбор решений, даже немного больше. Продукт показал себя очень хорошо, а самое главное прост в настройке. Мы и в дальнейшем будет использовать его в обслуживании ИТ инфраструктур клиентов для решения типовых задач!

Мир Вам!