Главная Новости

Настройка Usergate - учет интернет трафика в локальной сети. Обзор прокси-сервера UserGate - комплексного решения для предоставления общего доступа в интернет Система правил управления трафиком

16.08.2023

С предварительной настройкой статических IP-адресов.

В этой части статьи, мы создаём классический локальный прокси-сервер для доступа в сеть Интернет компьютера подключённого к локальной сети (интернет-шлюз в локальной сети), за тем исключением, что наша сеть и компьютеры раздающие интернет виртуальные. Инструкция является универсальной и будет полезна тем, кто хочет присвоить адаптерам для любой локальной сети статические IP-адреса и\или настроить интернет-шлюз в локальной сети для раздачи интернета по средствам прокси-сервера.

Вначале мы должны назначить нашим адаптерам статические IP-адреса.

Начнём с настройки компьютера, который будет подключаться к виртуальной ОС с прокси-сервером. Если у Вас Windows 7 - Windows 10, заходим через:

Перед нами открылось окно «Сетевые подключения» со списком всех адаптеров, включая наши виртуальные. Выбираем адаптер, в нашем случае это VMware Network Adapter VMnet с нужным порядковым номером, кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «свойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и жмём кнопку Свойства. На открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Теперь, для того чтобы ввести новый IP-адрес, смотрим адрес подсети для данного адаптера из «Редактор виртуальной сети…» VMware Worstation (или переходим к значку нашего адаптера и в открывающему правой кнопкой меню выбираем пункт «Состояние», далее Сведения и смотрим значение строки “Адрес IPv4”). Перед глазами у нас что-то типа 192.168.65.хх. В вашем подобном адресе мы меняем цифры после последней точки на 1. Было 192.168.65.хх, вместо хх стало 2. Вводим его в поле «IP-адрес». Это также адрес нашего компьютера, который мы должны будем ввести в UserGate, поэтому записываем его где-нибудь как IP пользователя этого адаптера. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0» нажимаем OK. Настройка данного компьютера окончена, мы записали или запомнили где посмотреть этот адрес.

Теперь переходим к настройке сетевого адаптера виртуального компьютера, который будет раздавать интернет.

В Windows XP нажимаем Пуск - Панель управления – Сетевые подключения.

Перед нами открылось окно «Сетевые подключения». Выбираем адаптер «подключение по локальной сети», кликаем правой кнопкой и выбираем в контекстном меню пункт Свойства. Перед нами открылось окно «Cвойства» нашего адаптера, выделяем пункт «Протокол Интернета версии 4 (TCP)» и жмём кнопку Свойства. Далее, аналогично Windows 7, на открывшейся дополнительной вкладке переключаем радиокнопку на пункт «Использовать следующий IP-адрес».

Вспоминаем, как смотреть IP-адрес сети из предыдущего пункта и при вводе в поле «IP-адрес» меняем цифры после последней точки на «2» или любую другую цифру отличную от тех, что мы указали на других компьютерах этой подсети. Итак, было что-то типа 192.168.65.хх, теперь вместо.хх стало.2. Этот адрес является адресом нашего прокси-сервера, нам останется только указать к нему порт в UserGate. Теперь кликаем по полю «Маска подсети:» и оно автоматически (или вами) заполнится значением «255.255.255.0», нажимаем кнопку [ОК].

На этом настройка операционных систем закончена, у нас есть полноценная локальная сеть, которую можно донастроить под стандартные цели мастерами Windows, однако для создания прокси-сервера нам понадобятся дополнительные действия, представленные далее.

Настройка UserGate 2.8

Когда у нас есть виртуальное локальное соединение, мы можем приступить к настройке программы прокси-сервера.

Перетаскиваем папку с программой UserGate 2.8 на рабочий стол виртуальной машины.

Устанавливаем через setup.exe и запускаем программу. В верхнем меню программы выбираем «Настройки», далее в левом меню дважды кликаем на вкладку «пользователи», появится подстрока «Default» (группа подключаемых пользователей по умолчанию), нажимаем на нее и в появившемся интерфейсе «Редактируем группу “Default”», нажимаем кнопку [Добавить].

В открывшемся окне в области «Авторизация» выбираем радиокнопку «ПО IP-адресу» и в поле «Логин (IP)» вводим IP-адрес указанный нами в адаптере компьютера, который будет подключаться через прокси сервер (т.е. IP того компьютера, что не с UserGate). После ввода адреса типа 192.168.16.1, нажимаем на зелёный значок сетевой платы справа от поля «Пароль (MAC)», сгенерируется числовое значение. Жмём [Применить].

Если вы используете 3G или Dial-UP модем , заключительным этапом настройки программы User Gate является настройка автодозвона в пункте бокового меню «Автодозвон».
В интерфейсе вкладки ставим галочку напротив «Разрешить автодозвон». Во всплывающем списке выбираем название соединения уже подключённого и настроенного модема. Если список пуст, то вам надо обеспечить автозапуск вашего соединения при помощи утилиты провайдера. В поле «Имя» и «Пароль», вводим значения, которые можно посмотреть на сайте оператора. Далее ставим галочку напротив «Проверять необходимость DialUp соединения», указываем задержку перед повторным соединением равную нулю, а время разрыва после простоя не менее 300 секунд. (чтобы соединение завершалось только после завершения парсинга, а не при кратковременных паузах и сбоях).

В заключение закрываем окно программы (она останется в трее) и удерживая ярлык программы переносим его в папку «Автозагрузка» через ПУСК – Все программы, чтобы программа стартовала вместе с системой.

Повторяем эти действия для каждого виртуального прокси-сервера.

На этом настройка нашего локального прокси-сервера для парсинга окончена! Теперь, зная адрес нашего прокси (указанный нами IP-адрес в настройках адаптера виртуального компьютера с UserGate) и адрес его порта: 8080 (для HTTP) мы можем ввести эти значения в любой программе, где можно указать прокси-сервер и наслаждаться дополнительным потоком!

Если планируется активно использовать прокси-сервер несколько дней подряд или ресурсы компьютера сильно ограничены, имеет смысл отключать логирование в UserGate, для этого на вкладке «Монитор» нажимаем значок с красным крестиком. К сожалению, отключить эту функцию сразу и навсегда нельзя.

Для Key Collector необходимо также выполнить дополнительные действия, подключив основное соединение через прокси-сервер UserGate, т.к. по сложным причинам KC может начать работать в два потока с основного соединения, что приводит к увеличению запросов к ПС по одному потоку и появлению капчей. Это же поведение замечено в иных ситуациях, поэтому данный прием будет не лишним в любом случае. Дополнительным преимуществом является то, что мы получаем контроль над трафиком через монитор UserGate. Процесс установки схож с тем, что уже было описано выше: устанавливаем UserGate на основной системе, сразу добавляем в автозагрузку, свободно создаем пользователя и указываем ему в поле «логин (IP)» «127.0.0.1» (так называемый, «локальный хост»). Выбираем пункт «HTTP» в боковом меню и указываем в текстовом поле «порты клиентов» - 8081 , те же данные указываем в KC, аналогично тому, как указываем для других прокси-серверов.
В завершении в настройках KC отключаем опцию «использовать основной IP» во всех видах парсинга.

FAQ: решение проблем :

    Если прокси-сервер не заработает:
  • Прежде всего, важно понимать, что перед началом парсинга нужно дождаться инициализации нашей относительно медленной виртуальной машины, а также утилит обеспечивающих связь и их подключения к сети Интернет, иначе наш прокси может быть исключен из списка активных прокси серверов как нерабочий (в Key Collector).
  • Проверьте Интернет-соединение на виртуальной машине зайдя на любой сайт через Internet Explorer. При необходимости, включите Интернет-соединение в ручную, проверьте данные автодозвона. Если страницы открываются, зайдите на целевую страницу, чтобы убедиться в отсутствии бана по IP-адресу.
  • Если интернет отсутствует, проверьте локальную сеть сделав ping . Для этого, в поле «найти» (или «Выполнить» для Windows XP) введите «cmd» и в открывшемся окне терминала введите команду «ping 192.168.xx.xx», где 192.168.xx.xx это IP-адрес адаптера на том, другом компьютере. Если пакеты получены с обоих "компьютеров", значит настройки адаптеров верны и проблема в другом (например, нет соединения с сетью Интернет).
  • Проверьте правильность введённых в парсерах данные прокси-сервера, убедитесь что выбран тип прокси HTTP, а если указан SOCKS5 поменяйте его на HTTP или включите в User Gate поддержку SOCKS5, указав порт, который будет указан в UserGate на вкладке SOCKS5.
  • При использовании SIM-прокси убедитесь, что на виртуальной машине открыта (или в трее) его утилита, т.к. она держит порт модема открытым и позволяет работать автодозвону. В любом случае, включите модем через утилиту и проверьте нет ли проблем с автодозвоном и есть ли вообще доступ в Интернет в самой виртуальной машине.

После того, как подключили локальную сеть к интернет, имеет смысл настроить систему учета трафика и в этом нам поможет программа Usergate. Usergate является прокси-сервером и позволяет контролировать доступ компьютеров из локальной сети, в сеть интернет.

Но, для начала давайте вспомним, как мы ранее настроили сеть в видеокурсе «Создание и настройка локальной сети между Windows 7 и WindowsXP», и как предоставили доступ всем компьютеры к сети интернет через один канал связи. Схематично можно представить в следующем виде, есть четыре компьютера, которые мы объединили в одноранговую сеть, выбрали рабочую станцию work-station-4-7, с операционной системой Windows 7, в качестве шлюза, т.е. подключили дополнительную сетевую карту, с доступом в сеть интернет и разрешили другим компьютерам в сети, выходить в Интернет через данное сетевое подключение. Остальные три машины являются клиентами интернета и на них, в качестве шлюза и DNS, указали IP адрес компьютера раздающего интернет. Ну чтож, теперь давайте разберемся с вопросом контроля доступа к сети Интернет.

Установка UserGate не отличается от установки обычной программы, после установки система просит перезагрузиться, перезагружаемся. После перезагрузки, первым делом давайте попробуем выйти в интернет, с компьютера на котором установлен UserGate - выйти получается, а с других компьютеров нет, следовательно, Proxy сервер начал работать и по умолчанию запрещает всем выход в Интернет, по этому требуется его настроить.

Запускаем консоль администратора (Пуск \ Программы \ UserGate \ Консоль администратора ) и тут у нас появляется сама консоль и открывается вкладка Соединения . Если мы попробуем открыть какую-либо из вкладок с лева, по выдается сообщение (UserGate Консоль администратора не подключена к UserGate Серверу), по этому при запуске у нас открывается вкладка Соединения, чтобы мы могли сначала подключиться к серверу UserGate.

И так, по умолчанию Имя сервера – local; Пользователь – Administrator; Сервер – localhost, т.е. серверная часть расположена на данном компьютере; Порт – 2345.

Дважды щелкаем на данную запись и выполняется подключение к службе UserGate, если подключиться не удалось, проверьте, запущена ли служба (Ctrl + Alt + Esc \ Службы \ UserGate )

При первом подключении запускается Мастер настройки UserGate , жмем Нет , так как будем все настраивать вручную, чтобы было более понятно, что и где искать. И первым делом переходим во вкладку Сервер UserGate \ Интерфейсы , здесь указываем, какая сетевая карта смотрит в интернет (192.168.137.2 - WAN ), а какая в локальную сеть (192.168.0.4 - LAN ).

Далее Пользователи и группы \ Пользователи , здесь есть один единственный пользователь, это сама машина на которой запущен сервер UserGate и называется он Default, т.е. по умолчанию. Добавим всех пользователей, которые будут выходить в интернет, у меня их три:

Work-station-1-xp – 192.168.0.1

Work-station-2-xp – 192.168.0.2

Work-station-3-7 – 192.168.0.3

Группу и тарифный план оставляем по умолчанию, тип авторизации, я буду использовать через IP-адрес, так как у меня они прописаны вручную, и остаются неизменными.

Теперь настроим сам прокси, заходим в Сервисы \ Настройка прокси \ HTTP , здесь выбираем IP адрес, который мы указали в качестве шлюза на клиентских машинах, у меня это 192.168.0.4 , а также ставим галочку Прозрачный режим , чтобы не прописывать вручную в браузерах адрес прокси сервера, в данном случае браузер будет смотреть какой шлюз указан в настройках сетевого подключения и будет перенаправлять запросы на него.

Подключив интернет в офисе, каждый начальник хочет знать за что он платит. Особенно, если тариф не безлимитный, а по трафику. Есть несколько путей решения проблем контроля трафика и организации доступа к сети интернет в масштабах предприятия. Я раскажу о внедрении прокси сервера UserGate для получения статистики и контроля пропускной способности канала на примере своего опыта.

Сразу скажу, что я использовал сервис UserGate (версия 4.2.0.3459), но методы организации доступа и технологии при этом применяемые используются и в других прокси серверах. Так что описанные сдесь шаги в целом подойдут и для других программных решений (например Kerio Winroute Firewall, или другие proxy), с небольшими отличиями в деталях реализации интерфейса настройки.

Опишу поставленную передо мной задачу: Есть сеть из 20 машин, есть ADSL модем в этой же подсети (алним 512/512 кбит/с). Требуется ограничить максимальную скорость пользователям и вести учет траффика. Задача немного усложнена тем, что доступ к настройкам модема закрыт провайдером (возможен доступ только через терминал, но пароль у провайдера). Странича статистики на сайте провайдера недоступна (Не спрашивайте почему, ответ один — такие отношения с провайдером у предприятия).

Ставим юзергейт и активируем его. Для организации доступа в сеть будем использовать NAT (Network Address Translation - «преобразование сетевых адресов»). Для работы технологии необходимо наличие двух сетевых карт на машине, где будем ставить сервер (сервис) UserGate (Есть вероятность, что можно заставить работать NAT на одной сетевой карте, назначив ей два IP адерса в разных подсетях).

И так, начальный этап насройки — конфигурация драйвера NAT (драйвер от UserGate, ставится во время основной инсталляции сервиса). Нам необходимо два сетевых интерфейса (читай сетвых карт) на аппаратуре сервера (для меня это не было пробелмой, т.к. я разворачивал UserGate на виртульаной машине . А там можно сделать «много» сетевых карт ).

В идеале, к одной сетевой карте подключается сам модем , а ко второй — вся сеть , из которой будут получать доступ к интернету. В моем случае модем установлен в разных помещениях с сервером (физической машиной), а переносить оборудование мне лень и некогда (да и в недалеком будущем маячит организация помещения серверной). Оба сетевых адаптера я подключил в одну сеть (физически), но настроил на разные подсети. Так как поменять настройки модема я не всилах (закрыт доступ провайдером) пришлось перевести все компьютеры в другую подсеть (благо средствами DHCP это делается элементарно).

Сетевую карту, подключенную к модему (интернет ) настраиваем как и прежде было (согласно данных от провайдера).

  • Назначаем статический IP адрес (в моем случае это 192.168.0.5);
  • Маску подсети 255.255.255.0 — я не менял, но можно настроить таким образом, что в подсети прокси сервера и модема будут только два устройства;
  • Шлюз — адрес модема 192.168.0.1
  • Адреса DNS-серверов провайдера (основной и дополнительный обязательно ).

Вторую сетевую карту , подкюченную к внутренней сети (интранет ), настраиваем следующим образом:

  • Статический IP адрес, но в другой подсети (у меня 192.168.1.5);
  • Маску согласно ваших сетевых настроек (у меня 255.255.255.0);
  • Шлюз не указываем .
  • В поле адреса DNS сервера вводим адрес DNS-сервера предприятия (если есть, если нету — оставляем пустым).

Примечание: необходимо убедиться, что в настройках сетевых интерфесов отмечено использование компонента NAT от UserGate.

После настройки сетевых интерфейсов запускаем сам сервис UserGate (не забудьте настроить его работу как сервис, для автоматического запуска с правами системы) и заходим в консоль управления (можно локально, а можно и удаленно). Заходим в «Сетевые правила» и выбираем «Мастер настройки NAT «, необходимо будет указать свои интранет (intranet ) и интернет (internet ) адаптеры. Интранет — адаптер подключенный во внутреннюю сеть. Мастер произведет конфигурацию драйвера NAT.

После этого необходимо разобраться с правилами NAT , для чего переходим в «Сетевые настройки» — «NAT». Каждое правило имеет несколько полей и статус (активно и не активно). Суть полей проста:

  • Название — имя правила, рекомендую дать что-то осмысленное (писать в это поле адреса и порты не нужно, эта информация и так будет доступна в перечне правил);
  • Интерфейс приемника — ваш интранет интерфейс (в моем случае 192.168.1.5);
  • Интерфейс отправителя — ваш интернет интерфейс (в одной подсети с модемом, в моем случае 192.168.0.5);
  • Порт — указываете к какому потру относится данное правило (например для браузера (HTTP) порт 80, а для получения почты 110 порт ). Можно указать диапазон портов , если не хотите возится, но это не рекомендуется делать на весь диапазон портов.
  • Протокол — выбираете из выпадающего меню один из вариантов: TCP (обычно), UPD или ICMP (например для работы команд ping или tracert).

Изначально в списке правил уже присутствуют самые используемые правила, необходимые для работы почты и различного рода программ. Но я дополнил стандартный список своими правилами: для рабты DNS запросов (не ипользуя опцию форвардинга в UserGate), для работы защищенных соединений SSL, для работы torrent клиента, для работы программы Radmin и прочее. Вот скриншоты мого списка правил. Список пока маловат — но со временем расширяется (с появлением необходимости работы по новому порту).

Следующий этап — настройка пользователей. Я в своем случае выбрал авторизацию по IP адресу и MAC адресу . Есть варианты авторизации только по IP адерсу и по учетным данным Active Directory. Так же можно использовать HTTP авторизацию (каждый раз ползователи сначала вводят пароль через браузер). Создаем пользователей и гуппы пользователей и назначаем им используемые правила NAT (Надо дать юзеру итернет в браузер — включаем для него правило HTTP с портом 80, надо дать ICQ — правило аськи с потом 5190).

Последнее на этапе внедрения я настроил ползователй на работу через прокси. Для этого я использовал DHCP сервис. На клиентские машины передавются следующие настройки:

  • IP адрес — динамический от DHCP в диапазоне подсети интранета (в моем случае диапазон 192.168.1.30 -192.168.1.200. Для нужных машин настроил резервацию IP адреса).
  • Маска подсети (255.255.255.0)
  • Шлюз — адрес машины с UserGate в локальной сети (Интранет адрес — 192.168.1.5)
  • DNS сервера — я предаю 3 адреса. Первый — адрес DNS-сервера предприятия, второй и третий — адсреса ДНС провайдера. (На DNS предприятия натроен форвардинг на ДНС провайдера, так в случае «падения» местного ДНС — интернет имена будут резолвится на ДНСах провайдера).

На этом базовая настройка закончена . Осталось проверить работоспособность , для этого на клиенской машине надо (получив настройки от DHCP или вприсав их вручную, в соотвтетствии с рекомендациями выше) запустить браузер и открыть любую страничку в сети . Если что-то не работает проверить еще раз ситуацию:

  • Настройки сетвеого адаптера клиента корректны? (машина с покси сервером пингуется?)
  • Авторизовался ли ползователь/компьютер на прокси сервере? (см. метоты авторизации UserGate)
  • Включены ли у ползователя/группы правила NAT необходимые для работы? (для работы браузера надо хотя бы HTTP правлило для протокола TCP на 80 порту).
  • Лимиты трафика для пользователя или группы не истекли? (я у себя не вводил этого).

Теперь можно наблюдать подключившихся пользователей и используемые ими правила NAT в пункте «Мониторинг» консоли управления прокси-сервером.

Дальнейшая настройка прокси — это уже тюнинг , к конкретным требованиям. Первое что я сделал — это включил огранчение пропускной способности в свойсвтах пользователей (позднее можно внедрить систему правил для ограничения скорости) и включил дополнительные сервисы UserGate — прокси сервера (HTTP на порту 8080, SOCKS5 на порту 1080). Включение прокси-сервисов позволяет исползовать кеширование запросов. Но необходимо проводить дополнительную настройку клиентов на работу с проксисервером.

Осталить вопросы? Предлагаю задать их прямо тут.

________________________________________

Примечание: Данная статья была отредактирована, дополнена актуальными данными и дополнительными ссылками.

UserGate Proxy & Firewall представляет собой интернет-шлюз класса UTM (Unified Threat Management), позволяющий обеспечивать и контролировать общий доступ сотрудников к интернет-ресурсам, фильтровать вредоносные, опасные и нежелательные сайты, защищать сеть компании от внешних вторжений и атак, создавать виртуальные сети и организовывать безопасный VPN-доступ к ресурсам сети извне, а также управлять шириной канала и интернет-приложениями.

Продукт является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса, в государственных учреждениях, а также крупных организациях с филиальной структурой.

Всю дополнительную информацию о продукте вы сможете найти .

В программе имеются дополнительные платные модули:

  • Kaspersky Antivirus
  • Panda Antivirus
  • Avira Antivirus
  • Entensys URL Filtering

Лицензия на каждый из модулей предоставляется на один календарный год. Опробовать работу всех модулей можно в триальном ключе, который может быть предоставлен на срок от 1 до 3 месяцев на неограниченное число пользователей.

Подробно про правила лицензирования можно прочитать .

По всем вопросам, связанным с покупкой решений Entensys, обращайтесь по адресу: [email protected] или по телефону бесплатной линии: 8-800-500-4032.

Системные требования

Для организации шлюза необходим компьютер или сервер, который должен удовлетворять следующим системным требованиям:

  • Частота CPU: от 1,2 ГГц
  • Объём RAM: от 1024 Gb
  • Объём HDD: от 80 Гб
  • Количество сетевых адаптеров: 2 и более

Чем больше число пользователей (относительно 75 пользователей), тем больше характеристики сервера должны быть.

Мы рекомендуем устанавливать наш продукт на компьютер с "чистой" серверной операционной системой, рекомендуемой операционной системой является Windows 2008/2012.
Мы не гарантируем корректной работы UserGate Proxy&Firewall и/или совместной работы сторонних служб и не рекомендуем его совместное использование с сервисами на шлюзе, который выполняет следующие роли:

  • Является контроллером домена
  • Является гипервизором виртуальных машин
  • Является сервером терминалов
  • Выполняет роль высоконагруженного сервера СУБД/DNS/HTTP и пр.
  • Выполняет роль SIP сервера
  • Выполняет критичные для бизнес-процессов сервисы или службы
  • Всё вышеперечисленное

UserGate Proxy&Firewall на данный момент может конфликтовать со следующими типами программного обеспечения:

  • Все без исключения сторонние Брандмауэр/Firewall решения
  • Антивирусные продукты компании BitDefender
  • Антивирусные модули выполняющие функцию Firewall или "Антихакер", большинства антивирусных продуктов. Рекомендуется отключить эти модули
  • Антивирусные модули обеспечивающие проверку данных передаваемых по протоколам HTTP/SMTP/POP3, это может вызвать задержку при активной работе через прокси
  • Сторонние программные продукты, которые способны перехватывать данные сетевых адаптеров - "измерители скорости", "шейперы" и т.п.
  • Активная роль Windows Server "Маршрутизация и удалённый доступ" в режиме NAT/Internet Connection Sharing (ICS)

Внимание! При установке рекомендуется отключить поддержку протокола IPv6 на шлюзе, при условии что не используются приложения которые используют IPv6. В текущей реализации UserGate Proxy&Firewall нет поддержки протокола IPv6, и соответственно фильтрация этого протокола не осуществляется. Таким образом, хост может быть доступен извне по протоколу IPv6 даже при активированных запрещающих правилах файрволла.

При корректной настройке, UserGate Proxy&Firewall совместим со следующими сервисами и службами:

Роли Microsoft Windows Server:

  • DNS сервер
  • DHCP сервер
  • Print сервер
  • Файловый(SMB) сервер
  • Сервер приложений
  • WSUS сервер
  • WEB сервер
  • WINS сервер
  • VPN сервер

И со сторонними продуктами:

  • FTP/SFTP серверы
  • Серверы обмена сообщениями - IRC/XMPP

При установке UserGate Proxy&Firewall убедитесь, что стороннее ПО не использует порт или порты, которые может использовать UserGate Proxy&Firewall. По умолчанию UserGate использует следующие порты:

  • 25 - SMTP-прокси
  • 80 - прозрачный HTTP-прокси
  • 110 - POP3-прокси
  • 2345 - консоль администратора UserGate
  • 5455 - VPN-сервер UserGate
  • 5456 - клиент авторизации UserGate
  • 5458 - DNS-форвардинг
  • 8080 - HTTP-прокси
  • 8081 - веб-статистика UserGate

Все порты можно менять с помощью консоли администратора UserGate.

Установка программы и выбор база данных для работы

Мастер настройки UserGate Proxy & Firewall

Более детальное описание настройки правил NAT описано в этой статье:

Агент UserGate

После установки UserGate Proxy&Firewall обязательно произведите перезагрузку шлюза. После авторизации в системе, в панели задач Windows рядом с часами иконка UserGate агент должна стать зелёной. Если иконка серая, то значит в процессе установки произошла ошибка и служба сервера UserGate Proxy&Firewall не запущена, в этом случае обратитесь к соответствующему разделу базы знаний Entensys, либо к технической поддержке компании Entensys.

Конфигурирование продукта осуществляется посредством консоли администрирования UserGate Proxy&Firewall, которую можно вызвать как двойным щелчком по иконке агента UserGate, так и по ярлыку из меню "Пуск".
При запуске консоли администрирования первым шагом является регистрация продукта.

Общие настройки

В разделе "Общие настройки" консоли администратора задайте пароль пользователя Administrator. Важно! Не используйте юникод-специсмволы или ПИН-код продукта в качестве пароля для доступа к консоли администрирования.

В продукте UserGate Proxy&Firewall есть механизм защиты от атак , активировать его можно также в меню "Общие настройки". Механизм защиты от атак является активным механизмом, своего рода "красная кнопка", который работает на всех интерфейсах. Рекомендуется использовать эту функцию в случае DDoS атак либо массового заражения вредоносным ПО (вирусы/черви/ботнет-приложения) компьютеров внутри локальной сети. Механизм защиты от атак может блокировать пользователей, использующих файлобменные клиенты - торренты, direct connect, некоторые типы VoIP клиентов/серверов, осуществляющих активный обмен трафиком. Чтобы получить ip адреса заблокированных компьютеров, откройте файл ProgramData\Entensys\Usergate6\logging\fw.log или Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log .

Внимание! Параметры, описанные ниже, рекомендуется менять только при большом количестве клиентов/высоких требованиях к пропускной способности шлюза.

В этом разделе также имеются следующие настройки: "Максимальное число соединений" - максимальное количество всех соединений через NAT и через прокси UserGate Proxy&Firewall.

"Максимальное число NAT соединений" - максимальное количество соединений, которое UserGate Proxy&Firewall может пропускать через драйвер NAT.

Если количество клиентов не более 200-300, то настройки "Максимальное число соединений" и "Максимальное число NAT соединений" менять не рекомендуется. Увеличение этих параметров может привести к существенной нагрузке на оборудование шлюза и рекомендуется только в случае оптимизации настроек при большом количестве клиентов.

Интерфейсы

Внимание! Перед этим обязательно проверьте настройки сетевых адаптеров в Windows! Интерфейс подключенный к локальной сети (LAN) не должен содержать адреса шлюза! DNS-серверы в настройках LAN-адаптера указывать не обязательно, IP-адрес должен быть назначен вручную, не рекомендуем его получать с помощью DHCP.

IP-адрес LAN-адаптера должен иметь частный IP-адрес. допустимо использовать IP-адрес из следующих диапазонов:

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Распределение адресов частных сетей описаны в RFC 1918 .

Использование других диапазонов в качестве адресов для локальной сети приведёт к ошибкам в работе UserGate Proxy&Firewall.

Интерфейс, подключенный к сети Интернет (WAN), должен содержать IP-адрес, маску сети, адрес шлюза, адреса DNS-серверов.
Не рекомендуется использование более трёх DNS-серверов в настройках WAN-адаптера, это может привести к ошибкам в работе сети. Предварительно проверьте работоспособность каждого DNS сервера с помощью команды nslookup в консоли cmd.exe, пример:

nslookup usergate.ru 8.8.8.8

где 8.8.8.8 - адрес DNS-сервера. Ответ должен содержать IP-адрес запрошенного сервера. Если ответа нет, то DNS-сервер не валиден, либо DNS-трафик блокируется.

Необходимо определить тип интерфейсов. Интерфейс с IP-адресом, который подключен к внутренней сети, должен иметь тип LAN; интерфейс, который подключен к сети Интернет - WAN.

Если WAN-интерфейсов несколько, то необходимо выбрать основной WAN-интерфейс, через который будет ходить весь трафик, кликнув правой кнопкой мыши по нему и выбрав "Установить основным соединением". Если планируется использование другого WAN-интерфейса в качестве резервного канала, рекомендуем воспользоваться "Мастером настройки" .

Внимание! При настройке резервного подключения рекомендуется задать не DNS-имя хоста, а IP-адрес для того, чтобы UserGate Proxy&Firewall переодически опрашивал его с помощью icmp(ping) запросов и при отсутствии ответа включал резервное подключение. Убедитесь, что DNS-серверы в настройках сетевого резервного адаптера в Windows работоспособны.

Пользователи и группы

Для того, чтобы клиентский компьютер мог авторизоваться на шлюзе и получать доступ к службам UserGate Proxy&Firewall и NAT, необходимо добавить пользователей. Для упрощения выполнения этой процедуры, воспользуйтесь функцией сканирования - "Сканировать локальную сеть". UserGate Proxy&Firewall самостоятельно просканирует локальную сеть и предоставит список хостов, которые можно добавить в список пользователей. Далее, можно создать группы и включить в них пользователей.

Если у Вас развёрнут контроллер домена, то Вы можете настроить синхронизацию групп с группами в Active Directory, либо произвести импорт пользователей из Active Directory, без постоянной синхронизации с Active Directory.

Создаем группу, которая будет синхронизована с группой или группами из AD, вводим необходимые данные в меню "Синхронизация с AD", перезапускаем службу UserGate с помощью агента UserGate. Через 300 сек. пользователи автоматически импортируются в группу. У этих пользователей будет выставлен способ авторизации - AD.

Межсетевой экран

Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран.

Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим "Запретить" (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate Proxy&Firewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила.

Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами:

Источник - "LAN", назначение - "Любой", сервисы - ANY:FULL, действие - "Разрешить"
Источник - "Любой", назначение - "LAN", сервисы - ANY:FULL, действие - "Разрешить"

Затем создаём правило, которое откроет доступ в Интернет для шлюза:

Источник - "WAN"; назначение - "Любой"; сервисы - ANY:FULL; действие - "Разрешить"

Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так:

Источник - "Любой"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"

И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило:

Источник - "Любой"; назначение - "WAN"; сервисы - Any ICMP, RDP; действие - "Разрешить"

Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно.

Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT).

Источник - "LAN"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"; выбираете пользователей или группы, которым необходимо предоставить доступ.

Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз.

Варианты различных настроек и примеры правил межсетевого экрана можно посмотреть .

Прочие настройки

Далее, в разделе сервисы - прокси можете включить необходимые прокси-серверы - HTTP, FTP, SMTP, POP3, SOCKS. Выберите нужные интерфейсы, включение опции "прослушивать на всех интерфейсах" быть небезопасной, т.к. прокси в таком случае будет доступен как на LAN интерфейсах так и на внешних интерфейсах. Режим "прозрачного" прокси, маршрутизирует весь трафик по выбранному порту на порт прокси, в таком случае на клиентских компьютерах, указывать прокси не нужно. Прокси остаётся также доступным и по порту, указанному в настройках самого прокси-сервера.

Если на сервере включен прозрачный режим прокси (Сервисы - Настройка прокси), то достаточно указать в настройках сети на клиентской машине сервер UserGate в качестве основного шлюза. В качестве DNS-сервера также можно указать сервер UserGate, в этом случае должен быть включен .

Если на сервере прозрачный режим отключен, то нужно прописать адрес сервера UserGate и соответствующий порт прокси, указанный в Сервисы - Настройка прокси, в настройках подключения браузера. Пример настройки сервера UserGate для такого случая можно посмотреть .

Если в вашей сети имеется сконфигурированный DNS сервер, то можете указать его в настройках DNS форвардинга UserGate и настройках WAN адаптера UserGate. В таком случае и в режиме NAT и в режиме прокси все DNS запросы будут направлены на этот сервер.

В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям, UserGate Proxy & Firewall 6.2.1.

Доброго времени суток уважаемый посетитель. Позади 2013 год, для кого-то он был трудный, для кого-то легкий, но время бежит, а если учесть, что одна наносекунда это 10 −9 с. то оно просто летит. В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям UserGate Proxy & Firewall 6.2.1.

C точки зрения администрирования версии 6.2 от UserGate Proxy & Firewall 5.2F, внедрения которой мы успешно практикуем в нашей практике ИТ аусорсинга , практически нет. В качестве лабораторной среды будем использовать Hyper-V, а именно две виртуальные машины первого поколения, серверная часть на Windows Server 2008 R2 SP1, клиентская Windows 7 SP1. По каким-то неизвестным мне причинам UserGate версии 6 не устанавливается на Windows Server 2012 и Windows Server 2012 R2.

Итак, что же такое прокси сервер?

Прокси-сервер (от англ. proxy - «представитель, уполномоченный») - служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Что такое UserGate Proxy & Firewall?

UserGate Proxy & Firewall – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты.

Из определения рассмотрим, какие решения предоставляет Entensys в своем продукте, как посчитывается трафик, чем разграничивается доступ, а также какие средства защиты предоставляет UserGate Proxy & Firewall.

Из чего состоит UserGate?

UserGate состоит из нескольких частей: сервер, консоль администрирования и несколько дополнительных модулей. Сервер– это основная часть прокси-сервера, в которой реализованы все его функциональные возможности. Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.

Консоль администрирования UserGate - это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному защищенному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.

UserGate включает три дополнительных модуля: «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».

Сервер

Установка серверной части UserGate очень проста, единственное отличие - это выбор базы данных в процессе установки. Доступ к базе осуществляется напрямую (для встроенной БД Firebird) или через ODBC-драйвер, что позволяет серверу UserGate работать с базами практически любого формата (MSAccess, MSSQL, MySQL). По умолчанию используется база Firebird. Если вы решили обновить UserGate с предыдущих версий, то вам придется распрощаться с базой статистики, потому что: Для файла статистики поддерживается только перенос текущих балансов пользователей, сама статистика по трафику не будет перенесена. Изменения базы данных были вызваны проблемами в производительности старой и лимитами на её размер. Новая база данных Firebird не обладает такими недостатками.

Запуск консоли администрирования.

Консоль установлена на серверной ВМ. При первом запуске консоль администрирования открывается на странице «Соединения», на которой присутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке localhost-administrator или нажав на кнопку подключиться на панели управления. В консоли администрирования UserGate можно создать несколько подключений.

В настройках подключений указываются следующие параметры:

  • Название сервера – это название подключения;
  • Имя пользователя – логин для подключения к серверу;
  • Адрес сервера – доменное имя или IP-адрес сервера UserGate;
  • Порт – TCP-порт, используемый для подключения к серверу (по умолчанию используется порт 2345);
  • Пароль – пароль для подключения;
  • Спрашивать пароль при подключении – опция позволяет отображать диалог ввода имени пользователя и пароля при подключении к серверу;
  • Автоматически подключаться к этому серверу – консоль администрирования при запуске будет подключаться к данному серверу автоматически.

При первом запуске сервера система предлагает мастера установки от которого мы отказываемся. Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории %UserGate%\Administrator.

Настройка соединений за NAT. Пункт «Общие настройки NAT» позволяет задать величину таймаута для соединений NAT по протоколам TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT, когда передача данных по соединению завершена. Оставим по умолчанию эту настройку.

Детектор атак – это специальная опция, позволяющая вам задействовать внутренний механизм отслеживания и блокировки сканера портов или попыток занятия всех портов сервера.

Заблокировать по строке браузера – список User-Agent’s браузеров, которые могут быть заблокированы прокси-сервером. Т.е. можно, например, запретить выходить в интернет старым браузерам таким как, IE 6.0 или Firefox 3.x.

Интерфейсы

Раздел Интерфейсы является главным в настройках сервера UserGate, поскольку определяет такие моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, ограничения ширины Интернет-канала для трафика определенного типа, установление отношений между сетями и порядок обработки пакетов драйвером NAT. Вкладка «Интерфейсы», выбираем нужный тип для интерфейсов. Так, для адаптера, подключенного к сети Интернет, следует выбрать тип WAN, для адаптера, подключенного к локальной сети – тип LAN. Доступ к интернету для ВМ расшарен, соответственно интерфейс с адресом 192.168.137.118 будет WAN-адаптер, выбираем нужный тип и жмем «Применить». После перезагружаем сервер.

Пользователи и группы

Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сервере UserGate. Программа поддерживает следующие методы авторизации пользователей:

  • По IP-адресу
  • По диапазону IP-адресов
  • По IP+MAC-адресу
  • По MAC-адресу
  • Авторизация средствами HTTP (HTTP-basic, NTLM)
  • Авторизация через логин и пароль (Клиент авторизации)
  • Упрощенный вариант авторизации через Active Directory

Для использования трех последних методов авторизации на рабочую станцию пользователя необходимо установить специальное приложение - клиент авторизации UserGate. Соответствующий MSI пакет (AuthClientInstall.msi) расположен в директории %UserGate%\tools и может быть использован для автоматической установки средствами групповой политики в Active Directory.

Для терминальных пользователей предоставлена возможность только «Авторизация средствами HTTP». Соответствующая опция включается в пункте Общие настройки в консоли администрирования.

Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку Добавить в панели управления на странице Пользователи и группы .

Существует ещё один способ добавления пользователей – сканирование сети ARP-запросами. Нужно щелкнуть на пустом месте в консоли администратора на странице пользователи и выбрать пункт сканировать локальную сеть . Далее задать параметры локальной сети и дождаться результатов сканирования. В итоге вы увидите список пользователей, которых можно добавить в UserGate. Ну что ж, проверим, жмем «Сканировать локальную сеть»

Задаем параметры:

Работает!

Добавляем пользователя

Стоит напомнить, что в UserGate присутствует приоритет аутентификации, сначала физическая потом логическая. Данный метод не является надежным, т.к. пользователь может сменить ip-адрес. Нам подойдет импорт учетных записей Active Directory, которые мы можем импортировать с легкостью, нажав кнопку «Импортировать», далее «Выбрать» и имя нашей учетной записи, «Ок», «Ок».

Выбираем «Группу», оставляем по умолчанию «default»

Жмем «Ок» и сохраняем изменения.

Наш пользователь добавлен без проблем. Так же существует возможность синхронизации групп AD на вкладке «Группы».

Настройка сервисов прокси в UserGate

В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх HTTP” и HTTPS, - метод Connect), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов доступны в разделе Сервисы → Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера относятся: интерфейс и номер порта, на котором работает прокси. Так, например, включим прозрачный HTTP прокси на нашем интерфейсе LAN. Перейдем «Настройки прокси», выберем HTTP.

Выберем наш интерфейс, оставим все по умолчанию и жмем «Ок»

Использование прозрачного режима

Функция «Прозрачный режим» в настройках прокси-серверов доступна, если сервер UserGate установлен вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сервисов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах компьютера с UserGate. При наличии запросов передает их на соответствующий прокси-сервер UserGate. При использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа локальной сети в Интернет. Однако, в сетевых настройках рабочих станций сервер UserGate должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.

Почтовые прокси в UserGate

Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антивирусной проверки почтового трафика. При использовании прозрачного режима работы POP3 и SMTP-прокси настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих варианту с прямым доступом в сеть Интернет.

Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера. Например, если пользователь имеет почтовый ящик [email protected], то в качестве Логина на POP3-прокси UserGate в почтовом клиенте нужно будет указать: [email protected]@pop.mail123.com. Такой формат необходим для того, чтобы сервер UserGate мог определить адрес удаленного POP3-сервера.

Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется указать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае в настройках почтового клиента на рабочей станции пользователя в качестве адреса SMTP-сервера требуется указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.

Ну что, звучит круто, проверим с помощью mail.ru.

Первым делом включим POP3 и SMTP прокси на нашем сервере. При включении POP3 укажем интерфейс LAN стандартный порт 110.

А так же убедимся в отсутствии галочки на «Прозрачный прокси» и жмем «Ок» и «Применить»

Убираем галочку «Прозрачный режим» и пишем «Параметры удаленного сервера», в нашем случае smtp.mail.ru. А почему только один сервер указывается? А вот ответ: предполагается, что организация использует единственный smtp сервер, именно он и указывается в настройках SMTP прокси.

Первое правило для POP3 должно выглядеть так.

Второе, как сказал бы Александр Невский «Вот так вот»

Не забываем про кнопочку «Применить» и переходим к настройке клиента. Как мы помним «Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера». Действуем.

Сначала авторизуемся в клиенте авторизации, далее открываем Outlook обычный, в нашем примере я создал тестовый почтовый ящик [email protected] , и производим настройку, указывая наш ящик в формате понятном для UserGate [email protected]@pop.mail.ru, а также POP и SMTP серверы адрес нашего прокси.

Жмем «Проверка учетной записи…»

Назначение портов

В UserGate реализована поддержка функции Перенаправление портов. При наличии правил назначения портов сервер UserGate перенаправляет пользовательские запросы, поступающие на определенный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт, например, на другой компьютер в локальной сети. Функция Перенаправление портов доступна для TCP- и UDP- протоколов.

Если назначение портов используется для предоставления доступа из сети Интернет к внутреннему ресурсу компании, в качестве параметра Авторизация следует выбрать Указанный пользователь, иначе перенаправление порта работать не будет. Не забываем включить «Удаленный рабочий стол».

Настройка кэша

Одним из назначений прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на подключение к сети Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate выполняет кэширование HTTP и FTP-трафика. Кэшированные документы помещаются в локальную папку %UserGate_data%\Cache. В настройках кэша указывается: предельный размер кэша и время хранения кэшированных документов.

Антивирусная проверка

В сервер UserGate интегрированы три антивирусных модуля: антивирус Kaspersky Lab, Panda Security и Avira. Все антивирусные модули предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-серверы UserGate, а также исходящего трафика через SMTP-прокси.

Настройки антивирусных модулей доступны в разделе Сервисы → Антивирусы консоли администрирования. Для каждого антивируса можно указать, какие протоколы он должен проверять, установить периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется (опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не требуется подвергать антивирусной проверке.

Перед включение антивируса нужно сначала обновить его базы.

После вышеперечисленных функций перейдем к часто используемым, это – «Управление трафиком» и «Контроль приложений».

Система правил управления трафиком

В сервере UserGate предусмотрена возможность управления доступом пользователей к сети Интернет посредством правил управления трафиком. Правила управления трафиком предназначены для запрета доступа к определенным сетевым ресурсам, для установки ограничений потребления трафика, для создания расписания работы пользователей в сети Интернет, а также для слежения за состоянием счета пользователей.

В нашем примере ограничим доступ пользователю, к любому ресурсу имеющий в своем запросе упоминания vk.com. Для этого переходим в «Управления трафиком – Правила»

Даем название правилу и действие «Закрыть соединение»

После добавления сайта, переходим к следующему параметру, выбор группы или пользователя, правило можно задать как для пользователя, так и для группы, в нашем случает пользователь «User».

Контроль приложений

Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Контроль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользователя. Для этого на рабочие станции пользователей требуется установить специальное приложение App.FirewallService. Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI-пакет (AuthFwInstall.msi), расположенные в директории %Usergate%\tools.

Перейдем в модуль «Контроль приложений – Правила», и создадим запрещающее правило, например, на запрет запуска IE. Жмем добавить группу, даем ей название и уже группе задаем правило.

Выбираем нашу созданную группу правил, можем поставить галочку «Правило по умолчанию», в этом случае правила добавятся в группу «Default_Rules»

Применяем правило к пользователю в свойствах пользователя

Теперь устанавливаем Auth.Client и App.Firewall на клиентскую станцию, после установки IE должен заблокироваться созданными ранее правилами.

Как мы видим, правило сработало, теперь отключим правила для пользователя, чтобы посмотреть отработку правила для сайта vk.com. После отключения правила на сервере usergate, нужно подождать 10 минут (время синхронизации с сервером). Пробуем зайти по прямой ссылке

Пробуем через поисковую систему google.com

Как видим правила срабатывают без каких-либо проблем.

Итак, в данной статье рассмотрена лишь небольшая часть функций. Опущены возможные настройки межсетевого экрана, правил маршрутизации, NAT- правил. UserGate Proxy & Firewall предоставляет большой выбор решений, даже немного больше. Продукт показал себя очень хорошо, а самое главное прост в настройке. Мы и в дальнейшем будет использовать его в обслуживании ИТ инфраструктур клиентов для решения типовых задач!