UserGate Proxy & Firewall

Печать

UserGate Proxy & Firewall — это комплексное решение для организации общего доступа в Интернет из локальной сети, учета трафика и защиты корпоративной сети от внешних угроз. UserGate является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса.


Информационная безопасность

UserGate использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, такими, как вирусы, вредоносные программы и хакерские атаки.

Функции информационной безопасности включают:

Защита от вирусов

В целях качественной проверки трафика на предмет наличия вредоносного ПО, в UserGate включены два антивирусных модуля — Антивирус Касперского и Panda Antivirus. При этом обеспечивается двойная антивирусная проверка трафика по протоколам HTTP, FTP, SMTP и POP3.

Важно отметить, что вторым по величине источником распространения вирусов, помимо сетевых угроз, являются съемные носители информации. UserGate, при условии использования встроенных антивирусных модулей, устраняет угрозы, исходящие от основного источника вирусов — сетевого трафика. Это избавляет от необходимости приобретения дорогих серверных антивирусных решений. Тем не менее, для максимально полной защиты локальной сети рекомендуется использовать сторонний антивирус для проверки файловой системы на рабочих станциях.

Два «антивирусных» партнера Entensys

«Лаборатория Касперского» в числе первых начала технологическое сотрудничество с Entensys и предоставила свой «Антивирус Касперского» для включения в состав UserGate. Многолетний опыт «Лаборатории Касперского» гарантирует быстрое реагирование на появление новых угроз, а самая большая в мире «Вирусная энциклопедия» от Лаборатории Касперского содержит более 200,000 описаний вирусов, их типов, а также вирусную статистику и аналитику. Встроенный в ядро UserGate антивирусный модуль Касперского производит проверку всех передаваемых данных по различным протоколам и анализирует их на наличие вирусов и других вредоносных программ.

По многочисленным запросам пользователей, в 2007 году компания Entensys начала сотрудничество с еще одним антивирусным производителем — Panda Security. Модуль Panda Antivirus расширил возможности UserGate по обеспечению безопасности локальной сети, так как двойная антивирусная проверка трафика гарантирует защиту пользователей от угроз на максимально высоком уровне.

Межсетевой экран

Встроенный межсетевой экран обеспечивает дополнительную защиту от сетевых атак и других типов вторжений, блокируя трафик по определенным портам (TCP, UDP или любой другой IP-протокол). Порты, указанные в настройках прокси (HTTP, FTP, SOCKS, и другие), как и порты, указанные в функции «Назначение портов», будут включены в автоматически создаваемые правила межсетевого экрана.

Межсетевой экран UserGate также обрабатывает пакеты, не обработанные правилами NAT. Если пакет уже обработан драйвером NAT, он не будет обработан межсетевым экраном UserGate.

Назначение портов

Данная функция связывает любой порт локального интерфейса Ethernet с указанным портом удаленного хоста. Назначение портов, как правило, используется для специфических приложений, таких как банк-клиент, программы для удаленного администрирования, пиринговые сети и веб-сервера в случаях, когда необходимо перенаправить входящее соединение на TCP-порт локального компьютера.

Правила межсетевого экрана

UserGate легко позволяет создавать различные наборы правил для управления трафиком. Настроить межсетевой экран для доступа компьютеров локальной сети в Интернет можно в течение нескольких минут. Поскольку правила создаются и выполняются на сервере, изменение пользователями каких-либо настроек на клиентских машинах не угрожает безопасности сети.

Расширенный драйвер NAT

Функциональность драйвера NAT была кардинально переработана и расширена в новой версии UserGate. Новый драйвер NAT поддерживает маскарадинг и может работать в режиме маршрутизации, которая позволяет создавать несколько локальных подсетей и управлять передачей пакетов между ними.

Публикация сетевых ресурсов

При помощи UserGate можно обеспечить удаленный доступ к внутренним корпоративным ресурсам, таким, как веб-, FTP-, VPN- или почтовый сервер. В этом случае все запросы к компьютеру с внешним IP-адресом по определенному порту будут перенаправлены на внутренний сервер в соответствии с созданным правилом. При необходимости, такой доступ может быть ограничен предопределенным списком IP-адресов. Как правило, данную возможность используют не только для публикации ресурсов сервера, но и для работы некоторых приложений, таких, как банк-клиент, программы удаленного администрирования, пиринговые соединения, IP-телефония и многие другие, перенаправляя входящие соединения на TCP-порт локальной машины.

Поддержка VPN-соединений

VPN (Virtual Private Network) — «виртуальная частная сеть», или путь, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, FTP и почтовым серверам. Физическая сущность технологии VPN заключается в способности защитить трафик любых информационных интранет- и экстранет-систем, аудиовидеоконференций, систем электронной коммерции.

UserGate поддерживает передачу трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети. Кроме того, можно использовать публикацию сетевых ресурсов, чтобы сделать VPN-сервер локальной сети доступным удаленно.


Контроль и статистика

UserGate позволяет осуществлять полный контроль над использованием Интернет-трафика в компании и предоставляет администратору подробную статистику. На основе данных статистики руководство может определять политику доступа в Интернет в данной компании, которая затем реализуется с помощью гибкой системы правил управления трафиком в UserGate.

Контроль доступа в Интернет включает следующие функции:

Пользователи и группы

Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сер­вере UserGate. Используя правила управления трафиком, администратор может настроить различный уровень доступа к Интернет-ресурсам для разных пользователей, или указать общие правила для групп пользователей.

UserGate поддерживает следующие методы авторизации:

Поддержка Active Directory позволяет централизованно хранить всю информацию о пользователях, автоматически и своевременно обновляя все измененные данные в UserGate. Кроме того, UserGate поддерживает импорт учетных записей из Active Directory, избавляя администратора от необходимости добавлять их вручную.

URL-фильтрация трафика по категориям сайтов

Работа модуля фильтрации сайтов основана на технологии Entensys URL Filtering, которая также используется в GateWall DNS Filter. При этом используется категоризированная база, в которой содержится 500 млн. сайтов в 82 категориях. Администратор может запрещать доступ к отдельным сайтам, к категориям сайтов, либо к тем сайтам, адреса которых содержат заданные фрагменты слов. База специально адаптирована для использования русскоязычными пользователями и содержит до 10 миллионов русскоязычных сайтов.

Использование URL-фильтрации обеспечивает безопасность локальной сети за счет ограничения доступа к потенциально вредоносным сайтам. Из всех решений, доступных сегодня на рынке, только используемая Entensys база насчитывает более 500 миллионов URL-адресов, которая охватывает как наиболее популярные сайты, так и менее посещаемые ресурсы. База Entensys URL Filtering выделяется из массы альтернатив благодаря наличию в базе данных даже тех сайтов, уровень посещаемости которых очень низок. Такие сайты получили общее название “Long Tail”, из-за формы графика распределения посещаемости между веб-ресурсами.

Согласно статистическим данным, около 50% мировой посещаемости Интернет-ресурсов приходится на 20 миллионов сайтов, находящихся вверху списка посещаемости. Оставшиеся 50% посещаемости приходятся на группу сайтов объединенных термином Long Tail, которая в десятки раз превышает по количеству первую группу. Большинство решений по контентной фильтрации, представленных сегодня на рынке, в основном концентрируется на наиболее посещаемых сайтах (20 миллионов сайтов), упуская из виду тот факт, что таким образом охватывается лишь около 50% общего количества веб-запросов.

Как следствие, компании, использующие эти решения могут столкнуться с риском заражения локальной сети сетевыми вирусами и червями, поскольку угрозы такого характера одинаково представлены на всех ресурсах, а не только на наиболее посещамых.

При использовании Entensys URL Filtering высока вероятность того, что практически любой ресурс, который посещает пользователь гарантированно окажется в базе данных в одной из 82 категорий, а следовательно — доступ к такому ресурсу или категории можно будет ограничить.

Контроль приложений

UserGate содержит модуль контроля (фильтрации) активности приложений, запущенных на компьютерах в локальной сети. Для работы модуля на всех клиентских машинах необходимо установить бесплатный клиентский компонент. Последний будет связываться с сервером UserGate и блокировать Интернет-приложения (например, ICQ или MSN) на локальной машине на основе политик, определенных администратором.

Модуль контроля приложений в UserGate работает на основе правил, которые применяются к пользователю или группе пользователей. По умолчанию существует только одно правило, которое разрешает любому приложению пользователя соединяться по любому IP-адресу, используя любой протокол. После сбора предварительной статистики активности Интернет-приложений, администратор может дополнить правило по умолчанию новыми правилами для конкретных пользователей и групп.

Статистика работы сетевых приложений по пользователям доступна в разделе Контроль приложений на странице Статистика.

Ограничение трафика и скорости доступа

UserGate позволяет установить ограничение по скорости передачи данных, объему трафика и времени нахождения в Сети для пользователя или группы пользователей. Соответствующие правила создаются администратором в модулях «Правила управление трафиком» и «Управление шириной канала» программы.

Ограничение скорости

Установить ограничение скорости для конкретного пользователя можно либо напрямую в профиле этого пользователя, указав требуемое значение скорости, либо применив к пользователю правило, предварительно созданное в модуле «Правила управление трафиком». Кроме того, можно задать дополнительные параметры, которые будут определять, при каких условиях правило будет активным. Например, можно указать время суток или день недели, когда созданное правило должно работать.

Второй способ ограничения скорости реализован в модуле «Управление шириной канала» (Traffic Manager). Правила, созданные в этом модуле, используются для ограничения скорости для конкретного сетевого адаптера, протокола (TCP или UDP), IP-адреса источника или получателя, и порта. При наличии нескольких правил, обработка их будет осуществляться в зависимости от заданного приоритета.

Ограничение трафика

UserGate позволяет устанавливать ограничения по объему входящего или исходящего трафика за день, неделю и/или месяц. В случае перерасхода, доступ в Интернет либо автоматически закрывается, либо тарифный план пользователя изменяется при условии, что это было указано в настройках правила. Возможность указания протокола в качестве одного из условий делает управление трафиком еще более гибким. Например, пользователь может продолжать пользоваться почтой (протоколы POP3 и SMTP) даже тогда, когда лимит HTTP-трафика данного пользователя уже исчерпан.

Функции ограничения скорости и ограничения по объему трафика могут дополнять друг друга. Например, при исчерпании лимита на загрузку данных или уменьшении средств на балансе польователя до определенной величины, скорость скачивания будет автоматически снижаться

Ограничение по времени

В дополнение к ограничениям скорости и объема трафика администратор может устанавливать квоту на количество времени в день, неделю или месяц, которое пользователь может провести в сети Интернет. Кроме того, администратор может указать, в какое время суток и в какие дни недели пользователю будет разрешен доступ в Сеть.

Статистика посещения Internet и система отчетов

Для просмотра статистики в UserGate предусмотрено несколько различных способов. Один из них — это просмотр краткой информации о суммарном трафике пользователей и групп в разделе Мониторинг Консоли Администрирования UserGate. В этом же разделе можно активировать и деактивировать определенных пользователей или группы пользователей, а также пополнить их баланс в случае, если используется функция биллинга.

Модуль статистики UserGate

В разделе Мониторинг в Консоли Администрирования UserGate представлена лишь наиболее краткая информация о трафике. Более детальная статистика доступна в отдельном модуле Cтатистика UserGate, в котором предусмотрено создание различных типов отчетов.

Модуль статистики UserGate содержит фильтр, позволяющий выводить любые отчеты по заданным условиям. В числе условий могут быть временной интервал, пользователь или группа пользователей, категория сайтов, стоимость трафика, размер файлов, протокол и многие другие параметры в различных комбинациях. После того, как фильтр был применен, полученные результаты можно экспортировать в формате HTML, Excel или OpenOffice Calc.

UserGate также может регулярно рассылать каждому пользователю его персональную статистику.

Веб-статистика UserGate

Модуль веб-статистики UserGate позволяет просматривать статистику из любой точки мира через обычный браузер. При этом объем доступной для просмотра статистики определяется уровнем доступа пользователя — пользователь, директор или администратор. Пользователь может просматривать только собственную статистику. Директор может просматривать статистику любого пользователя UserGate. И, наконец, администратор может просматривать статистику всех пользователей UserGate, а также создавать шаблоны статистических отчетов. Уровень доступа каждого пользователя указывается в настройках консоли администрирования UserGate.

Для подключения к модулю веб-статистики пользователю необходимо указать в строке браузера IP-адрес компьютера, на котором запущен сервер UserGate, и номер порта. Появится страница приветствия с основной информацией об учетной записи пользователя. При нажатии на ссылку Веб-статистика отображается вся статистика пользователя, согласно его правам доступа.

Статистическая информация отображается не только в табличном виде, но и в графической форме — в виде графиков и диаграмм, что существенно облегчает восприятие отчетов и делает их более наглядными.

Биллинговая система

В основе биллинговой системы лежит понятие «тариф доступа в Интернет». Тарифы создаются в соответствующем разделе консоли администрирования. При создании нового тарифа администратор может задавать значения стоимости входящего и исходящего трафика в мегабайтах, или, если это временной тариф — стоимость часа работы в Интернет. После создания тарифа его необходимо применить к пользователю или группе пользователей. Новые тарифы автоматически отображаются в свойствах пользователя, где можно активировать или деактивировать любой из тарифов.

Существует возможность переключения тарифов в зависимости от определенных условий. Для этого необходимо создать соответствующее правило управления трафиком в консоли администрирования UserGate. Например, переключение тарифов можно осуществлять в зависимости от времени суток, дня недели или адреса сайта, либо при достижении пользователем установленных лимитов.

Наконец, администратор может пополнять счет пользователя в биллинговой системе, и создавать правила управления трафиком, которые используют баланс счета в качестве одного из параметров. Например, можно создать правило, при котором соединение с Интернет для данного пользователя блокируется, если сумма на счету станет ниже порогового значения.


Организация доступа в Интернет

Обеспечение доступа в Интернет и контроль трафика являются основной задачей приобретения и установки прокси-сервера в компании. С помощью UserGate можно организовать доступ пользователей локальной сети в сеть Интернет как через NAT, так и через HTTP-, FTP- и другие типы прокси-серверов. Гибкость и многообразие функций UserGate позволяют администратору сети настроить сервер таким образом, чтобы он отвечал самым серьезным требованиям безопасности и производительности.

Обеспечение доступа в Интернет

UserGate обеспечивает доступ в Интернет через один внешний IP-адрес для компьютеров в локальной сети. После установки, сервер UserGate автоматически определяет доступные сетевые интерфейсы, и перенаправляет трафик из локальной сети в Интернет и обратно, используя NAT (Network Address Translation) или прокси-сервер.

Одним из преимуществ UserGate является то, что отпадает необходимость в использовании аппаратного маршрутизатора. При этом, по своим возможностям и имеющимся функциям, UserGate, будучи программным маршрутизатором, не уступает относительного дорогим моделям аппаратных маршрутизаторов. В своей работе программа использует собственный драйвер NAT, а не драйвер NAT в Windows.

Прокси-серверы для различных протоколов

UserGate включает службы прокси для таких протоколов, как HTTP, FTP, SOCKS, POP3 и SMTP. Помимо указанных протоколов, в последние версии программы были добавлены прокси-серверы для протоколов SIP и H.323 и обеспечена поддержка IP-телефонии.

HTTP- и FTP- прокси

После установки UserGate, HTTP-прокси будет активным по умолчанию. Этот тип прокси-сервера является одним из наиболее часто используемых и работает с приложениями, которые используют протокол HTTP (например, веб-браузеры). HTTP-прокси в UserGate поддерживает «HTTP через FTP» и HTTPS, а также может работать в прозрачном и непрозрачном режимах.

Почтовые прокси

POP3-прокси сервер в составе UserGate дает пользователям локальной сети доступ к почтовым ящикам в Интернет по протоколу POP3. SMTP-прокси сервер перенаправляет почтовые запросы пользователей к соответствующему SMTP-серверу в Интернет. Как и HTTP-прокси, почтовые прокси серверы могут работать в прозрачном или непрозрачном режиме. Если UserGate приобретается со встроенным антивирусным модулем, то в настройках модуля можно включить антивирусную проверку почтового трафика.

Прозрачный режим

Прокси-серверы в UserGate могут работать в прозрачном режиме. Это означает, что отпадает необходимость настройки Интернет-приложения на стороне клиента на работу с прокси-сервером. Однако, в том случае, когда прокси-сервер работает в непрозрачном режиме, такая настройка потребуется.

Каскадные прокси

Сервер UserGate может работать с Интернет-подключением как напрямую, так и через вышестоящие (каскадные) прокси-серверы. Поддерживаются следующие типы каскадных прокси: HTTP, HTTPS, Socks4, Socks5. В настройках ка­скадного прокси указываются стандартные параметры: адрес и порт. Если вышестоящий прокси требует авторизации, в настройках можно указать соответствующий логин и пароль. Созданные каскадные прокси становятся доступными в консоли администрирования UserGate.

Работа с несколькими провайдерами

Количество провайдеров, с которыми может соединиться UserGate зависит от количества доступных WAN-интерфейсов. С помощью правил NAT администратор может подключать разные группы пользователей к разным провайдерам. Данная функция может понадобиться при необходимости разделения пользователей на группы, и обслуживания этих групп по разным тарифам доступа в Интернет.

Резервное соединение

В случае, если основное Интернет-подключение не работает, функция «Резервное соединение» позволяет автоматически переключать пользователей на другого провайдера. Администратор может указать, какое именно из имеющихся Интернет-подключений считать резервным. Для работы данной функции необходимо наличие как минимум двух WAN-интерфейсов, или одного WAN- и одного Dial-up интерфейса.

В настройках для функции резервного соединения можно указать один или несколько контрольных хостов (сайтов). В качестве контрольных рекомендуется использовать известные и часто посещаемые ресурсы, например поисковые машины, т.к. в этом случае вероятность неработоспособности самого сервера будет крайне низкой. UserGate регулярно проверяет контрольный хост на доступность, и если связь с ним отсутствует, производит переключение пользователей на резервный канал. После переключения, сервер UserGate будет периодически проверять доступность основного канала и если его работоспособность восстановится, произведет обратное переключение.

Управление шириной канала

Модуль «Управление шириной канала» (Traffic Manager) позволяет администратору с помощью правил определить приоритет обработки IP-пакетов, или ограничить скорость передачи данных согласно указанным условиям. Существует два типа правил: правила на адаптер и пользовательские правила. Правила на адаптер (или правила по умолчанию) предназначены для обработки сетевых пакетов, не подходящих под пользовательские правила или для обработки всех пакетов, если пользовательские правила отсутствуют. Пользовательские правила предназначены для обработки конкретного типа трафика и позволяют задать приоритет обработки пакетов, направление трафика, максимально допустимое значение скорости, протокол (TCP/UDP/ICMP) и другие параметры.

При указании приоритета обработки данных администратор выбирает между относительным и абсолютным приоритетом. Запросы с абсолютным приоритетом будут обрабатываться в первую очередь. При этом, если потребуется, пакеты с абсолютным приоритетом будут обрабатываться в порядке первой очереди вплоть до максимальной загрузки канала.

Кеширование

В UserGate кеширование доступно для HTTP и FTP трафика и является отключаемым. Настройки кеширования включают размер кеша и время жизни документа в кеше. Размер кеша может варьироваться от 10Мб до 50Гб, что является достаточным для обслуживания до нескольких тысяч и более запросов в день.

Трафик, который идет к пользователю из кеша, можно включить или исключить из подсчета статистики. Соответствующая опция доступна в настройках кеширования в консоли администрирования UserGate.

Поддержка IP-телефонии

UserGate поддерживает протоколы SIP и H.323, и работает в качестве прокси-сервера, позволяя абонентам IP-телефонии подключаться к VoIP-провайдерам через UserGate. Поддержка протокола H.323 позволяет UserGate работать в том числе и в качестве H.323 «привратника» (gatekeeper).

Для общения посредством IP-телефонии необходимо:

  1. Наличие микрофона и наушников или динамиков.
  2. Заведенный аккаунт на любом SIP-провайдере, например на www.sipnet.ru.

SIPNET – это сеть интернет-телефонии (IP-телефонии) нового поколения, в которой реализованы последние достижения в области инфокоммуникаций, обеспечивающие эффективный обмен голосовой и мультимедийной информацией.

Список SIP провайдеров


Администрирование сети

С помощью UserGate можно выполнять некоторые рутинные операции, что позволяет упростить сетевое администрирование. Например, встроенный DHCP-сервер автоматизирует процесс выдачи IP-адресов компьютерам и другим устройствам в локальной сети. Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Публикация ресурсов позволяет предоставить доступ к внутренним ресурсам компании, например к Web, FTP, VPN или к почтовому серверу. И, наконец, удаленное администрирование дает возможность удаленно подключаться по локальной сети или через Интернет с любого компьютера, на котором установлена Консоль Администрирования UserGate.

DHCP-сервер

Служба DHCP позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. DHCP-сервер можно запустить в настройках Консоли Администрирования UserGate, при этом указав, на каком из текущих сетевых интерфейсов он будет работать. Всякий раз, когда устройство подключается к сети или покидает ее, DHCP-сервер, соответственно, назначает новый или высвобождает ранее назначенный IP-адрес.

При настройке DHCP необходимо, как минимум, указать диапазон (пул) IP-адресов, маску сети и время аренды. DHCP-сервер будет выдавать новые адреса из пула IP-адресов, но администратор имеет возможность создать исключения или зарезервировать определенные IP-адреса. Кроме того, в настройках можно указать шлюз по умолчанию, DNS- и WINS-сервер и домен, а также включить автоматическую настройку прокси.

Если DHCP-сервер активен и производит выдачу IP-адресов, то соответствующие им MAC-адреса и время аренды отображаются в списке в нижней части Консоли Администрирования UserGate. При этом, администратор имеет возможность вручную высвободить любой из выданных DHCP-сервером IP-адресов.

Маршрутизация

Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Любая пара интерфейсов локальной сети может быть объединена правилом маршрутизации, которое можно создать в модуле «Межсетевой экран». Тип правила определяется автоматически при выборе интерфейсов источника и назначения.

Кроме того, можно выбрать протоколы и службы, разрешенные данным правилом (такие, как HTTP, FTP). Когда правило активно, авторизация пользователя для маршрутизации не требуется, а входящие и исходящие пакеты не будут включены в общую статистику.

Публикация ресурсов

С помощью межсетевого экрана в UserGate можно предоставить доступ к внутренним ресурсам компании, например, к Web, FTP, VPN или к почтовому серверу. Это делается путем создания правила в модуле «Межсетевой экран». При создании правила, и указании WAN-адаптера в качестве назначения, UserGate автоматически присваивает этому правилу тип “Трансляция”. В настройках правила указывается конкретный протокол или служба (HTTP, FTP, POP3 и т.д.), IP-адрес или диапазон источника и, наконец, IP-адрес и порт компьютера в локальной сети, на который будут перенаправляться запросы, удовлетворяющие указанным условиям.

Публикация ресурсов используется не только для доступа к Web, FTP, VPN или почтовому серверу, но и для работы некоторых Интернет-приложений, таких, как банк-клиент, пиринговые сети, IP-телефония и т.д. При помощи UserGate можно настроить внешний доступ к любому приложению в локальной сети.

Удаленное администрирование

К серверу UserGate можно подключаться по локальной сети или удаленно через Интернет из любой точки мира. Для этого достаточно установить на компьютер Консоль Администрирования UserGate, и указать в настройках соединения IP-адрес и порт сервера UserGate.

Возможность удаленного администрирования сервера UserGate особенно полезна в случае, когда необходимо администрировать несколько серверов UserGate в разных местах (например, нескольких Интернет-кафе). При этом, администрирование осуществляется из одной и той же консоли — все доступные сервера отображаются в списке «Соединения», и можно удаленно подключиться к любому из них.