نظرة عامة على خادم وكيل UserGate - حل شامل لتوفير مشاركة الوصول إلى الإنترنت. الوصول إلى الإنترنت باستخدام بروتوكول UserGate Usergate IP الثابت في الشبكة المحلية

بعد توصيل الشبكة المحلية بالإنترنت ، من المنطقي إعداد نظام محاسبة حركة المرور ، وسيساعدنا برنامج Usergate في ذلك. Usergate هو خادم وكيل ويسمح لك بالتحكم في وصول أجهزة الكمبيوتر من الشبكة المحلية إلى الإنترنت.

ولكن ، أولاً ، لنتذكر كيف قمنا سابقًا بإعداد الشبكة في دورة الفيديو "إنشاء وتكوين شبكة محلية بين Windows 7 و WindowsXP" ، وكيف قمنا بتوفير الوصول إلى جميع أجهزة الكمبيوتر للإنترنت من خلال قناة اتصال واحدة. من الناحية التخطيطية ، يمكن تمثيلها على النحو التالي ، هناك أربعة أجهزة كمبيوتر قمنا بدمجها في شبكة نظير إلى نظير ، وقد اخترنا محطة عمل محطة العمل 4-7 ، مع نظام التشغيل Windows 7 ، كبوابة ، أي. توصيل بطاقة شبكة إضافية بإمكانية الوصول إلى الإنترنت والسماح لأجهزة الكمبيوتر الأخرى الموجودة على الشبكة بالوصول إلى الإنترنت من خلال اتصال الشبكة هذا. الأجهزة الثلاثة المتبقية هي عملاء الإنترنت ولديهم ، كبوابة و DNS ، عنوان IP للكمبيوتر الذي يوزع الإنترنت. حسنًا ، لنتعامل الآن مع مسألة التحكم في الوصول إلى الإنترنت.

لا يختلف تثبيت برنامج UserGate عن تثبيت برنامج عادي ، بعد التثبيت يطلب النظام إعادة التشغيل ، إعادة التشغيل. بعد إعادة التشغيل ، أولاً وقبل كل شيء ، دعنا نحاول الوصول إلى الإنترنت ، من الكمبيوتر الذي تم تثبيت برنامج UserGate عليه - اتضح ، ولكن ليس من أجهزة الكمبيوتر الأخرى ، لذلك ، بدأ الخادم الوكيل في العمل وبشكل افتراضي يمنع الجميع من الوصول إلى الإنترنت ، لذلك تحتاج إلى تكوينه.

بدء تشغيل وحدة تحكم المشرف ابدأ \ البرامج \برنامج UserGate\ وحدة تحكم المشرف) وهنا لدينا وحدة التحكم نفسها ويتم فتح علامة التبويب روابط. إذا حاولنا فتح أي من علامات التبويب الموجودة على اليسار ، يتم عرض رسالة (UserGate Admin Console غير متصل بخادم UserGate) ، لذلك عند بدء التشغيل نفتح علامة التبويب Connections حتى نتمكن أولاً من الاتصال بخادم UserGate.

وهكذا ، فإن اسم الخادم الافتراضي محلي ؛ المستخدم - المسؤول ؛ الخادم هو المضيف المحلي ، أي يقع جزء الخادم على هذا الكمبيوتر ؛ المنفذ - 2345.

انقر نقرًا مزدوجًا فوق هذا الإدخال واتصل بخدمة UserGate ، إذا فشل الاتصال ، تحقق مما إذا كانت الخدمة قيد التشغيل ( كنترول+ بديل+ خروج\ خدمات \برنامج UserGate)

يبدأ عند أول اتصال معالج الاعدادبرنامج UserGate، يضعط لا، حيث سنقوم بتكوين كل شيء يدويًا بحيث يكون أكثر وضوحًا عن ماذا وأين تبحث. وقبل كل شيء ، انتقل إلى علامة التبويب الخادمبرنامج UserGate\ واجهات، نشير هنا إلى بطاقة الشبكة التي تنظر إلى الإنترنت ( 192.168.137.2 - شبكه عالميه) ، وأي واحد على الشبكة المحلية ( 192.168.0.4 - LAN).

إضافي المستخدمون والمجموعات \ المستخدمون، يوجد مستخدم واحد فقط هنا ، هذا هو الجهاز نفسه الذي يعمل عليه خادم UserGate ويسمى افتراضي ، أي تقصير. دعنا نضيف جميع المستخدمين الذين سيصلون إلى الإنترنت ، لدي ثلاثة منهم:

محطة العمل -1 xp - 192.168.0.1

محطة العمل -2 xp - 192.168.0.2

محطة العمل -3-7 - 192.168.0.3

نترك المجموعة وخطة التعريفة افتراضيًا ، نوع التفويض ، سأستخدمه من خلال عنوان IP ، نظرًا لأنني مسجلة يدويًا ، وتبقى دون تغيير.

لنقم الآن بتهيئة الوكيل نفسه ، انتقل إلى الخدمات \ إعدادات الوكيل \http، هنا نختار عنوان IP الذي حددناه كبوابة على أجهزة العميل ، لدي هذا 192.168.0.4 وكذلك تحديد المربع الوضع الشفاف، حتى لا تدخل عنوان الخادم الوكيل يدويًا في المتصفحات ، في هذه الحالة سيبحث المتصفح في البوابة المحددة في إعدادات اتصال الشبكة وسيعيد توجيه الطلبات إليها.

مع عناوين IP ثابتة تم تكوينها مسبقًا.

في هذا الجزء من المقالة ، نقوم بإنشاء خادم وكيل محلي كلاسيكي للوصول إلى الإنترنت لجهاز كمبيوتر متصل بالشبكة المحلية (بوابة الإنترنت في الشبكة المحلية) ، باستثناء أن شبكتنا وأجهزة الكمبيوتر التي توزع الإنترنت افتراضية. التعليمات عالمية وستكون مفيدة لأولئك الذين يرغبون في تعيين عناوين IP ثابتة لمحولات أي شبكة محلية و / أو تكوين بوابة إنترنت على الشبكة المحلية لتوزيع الإنترنت باستخدام خادم وكيل.

أولاً ، يجب علينا تعيين عناوين IP ثابتة لمحولاتنا.

لنبدأ بإعداد جهاز كمبيوتر يتصل بنظام تشغيل افتراضي باستخدام خادم وكيل. إذا كان لديك Windows 7 - Windows 10 ، فانتقل إلى:

تم فتح نافذة "اتصالات الشبكة" أمامنا مع قائمة بجميع المحولات ، بما في ذلك المحولات الافتراضية الخاصة بنا. نختار المحول ، في حالتنا هو VMware Network Adapter VMnet بالرقم التسلسلي المطلوب ، انقر بزر الماوس الأيمن وحدد خصائص من قائمة السياق. أمامنا ، تم فتح نافذة "الخصائص" الخاصة بالمحول الخاص بنا ، حدد العنصر "Internet Protocol Version 4 (TCP / IPv4)" وانقر فوق الزر "خصائص". في علامة التبويب الإضافية التي تفتح ، بدّل زر الاختيار إلى عنصر "استخدام عنوان IP التالي".

الآن ، لإدخال عنوان IP جديد ، ننظر إلى عنوان الشبكة الفرعية لهذا المحول من "Virtual Network Editor ..." VMware Worstation (أو انتقل إلى رمز المحول الخاص بنا وحدد عنصر "الحالة" في انقر بزر الماوس الأيمن فوق القائمة التي تفتح ، ثم "تفاصيل" وانظر إلى سطر القيمة "عنوان IPv4"). أمام أعيننا شيء مثل 192.168.65.xx. في عنوانك المشابه ، قمنا بتغيير الأرقام بعد النقطة الأخيرة إلى 1. كانت 192.168.65.xx ، بدلاً من xx أصبحت 2. أدخلها في حقل "عنوان IP". هذا أيضًا عنوان جهاز الكمبيوتر الخاص بنا ، والذي سيتعين علينا إدخاله في UserGate ، لذلك نكتبه في مكان ما كعنوان IP لمستخدم هذا المحول. الآن انقر فوق الحقل "قناع الشبكة الفرعية:" وسيتم ملؤه تلقائيًا (أو بواسطتك) بالقيمة "255.255.255.0" انقر فوق موافق. انتهى إعداد هذا الكمبيوتر ، فكتبنا أو تذكرنا أين ننظر إلى هذا العنوان.

الآن دعنا ننتقل إلى تكوين محول الشبكة للكمبيوتر الظاهري الذي سيوزع الإنترنت.

في نظام التشغيل Windows XP ، انقر فوق ابدأ - لوحة التحكم - اتصالات الشبكة.

تفتح نافذة "اتصالات الشبكة" أمامنا. حدد محول "Local Area Connection" ، وانقر بزر الماوس الأيمن وحدد خصائص من قائمة السياق. أمامنا ، تم فتح نافذة "الخصائص" الخاصة بالمحول ، حدد العنصر "Internet Protocol version 4 (TCP)" وانقر فوق الزر Properties. علاوة على ذلك ، على غرار Windows 7 ، في علامة التبويب الإضافية التي تفتح ، قم بتبديل زر الاختيار إلى عنصر "استخدام عنوان IP التالي".

نتذكر كيف ننظر إلى عنوان IP الخاص بالشبكة من الفقرة السابقة وعند الدخول في حقل "عنوان IP" ، قم بتغيير الأرقام بعد النقطة الأخيرة إلى "2" أو أي رقم آخر يختلف عن تلك التي أشرنا إليها في الآخر أجهزة الكمبيوتر على هذه الشبكة الفرعية. لذلك ، كان هناك شيء مثل 192.168.65.xx ، والآن بدلاً من .xx أصبح .2. هذا العنوان هو عنوان الخادم الوكيل الخاص بنا ، نحتاج فقط إلى تحديد المنفذ إليه في برنامج UserGate. الآن انقر فوق الحقل "قناع الشبكة الفرعية:" وسيتم ملؤه تلقائيًا (أو بواسطتك) بالقيمة "255.255.255.0" ، انقر فوق الزر [موافق].

هذا يكمل تكوين أنظمة التشغيل ، لدينا شبكة محلية كاملة يمكن تهيئتها للأغراض القياسية باستخدام معالجات Windows ، ومع ذلك ، لإنشاء خادم وكيل ، نحتاج إلى خطوات إضافية مقدمة أدناه.

تكوين برنامج UserGate 2.8

بمجرد أن يكون لدينا اتصال محلي افتراضي ، يمكننا البدء في إعداد برنامج الخادم الوكيل.

اسحب المجلد الذي يحتوي على برنامج UserGate 2.8 إلى سطح مكتب الجهاز الظاهري.

قم بالتثبيت عبر setup.exe وتشغيل البرنامج. في القائمة العلوية للبرنامج ، حدد "الإعدادات" ، ثم في القائمة اليسرى ، انقر نقرًا مزدوجًا فوق علامة التبويب "المستخدمون" ، ستظهر السلسلة الفرعية "افتراضي" (مجموعة المستخدمين المتصلين بشكل افتراضي) ، وانقر عليها ثم في الواجهة التي تظهر "تحرير المجموعة" الافتراضية "، انقر فوق الزر [إضافة].

في النافذة التي تفتح ، في منطقة "التفويض" ، حدد زر الاختيار "حسب عنوان IP" وفي حقل "تسجيل الدخول (IP)" ، أدخل عنوان IP المحدد من قبلنا في محول الكمبيوتر الذي سيتصل من خلاله الخادم الوكيل (أي عنوان IP لهذا الكمبيوتر الذي ليس مع برنامج UserGate). بعد إدخال العنوان مثل 192.168.16.1 ، انقر فوق رمز بطاقة الشبكة الخضراء على يمين حقل "كلمة المرور (MAC)" ، سيتم إنشاء قيمة عددية. انقر فوق [تطبيق].

إذا كنت تستخدم مودم 3G أو الطلب الهاتفي، الخطوة الأخيرة في تكوين برنامج User Gate هي إعداد إعادة الطلب التلقائي في عنصر القائمة الجانبية "إعادة الطلب التلقائي".
في واجهة علامة التبويب ، حدد المربع بجوار "السماح بإعادة الطلب التلقائي". في القائمة المنبثقة ، حدد اسم اتصال المودم المتصل والمكوّن بالفعل. إذا كانت القائمة فارغة ، فأنت بحاجة إلى بدء اتصالك تلقائيًا باستخدام الأداة المساعدة للموفر. في حقلي "الاسم" و "كلمة المرور" ، أدخل القيم التي يمكن عرضها على موقع الويب الخاص بالمشغل. بعد ذلك ، حدد المربع بجوار "تحقق مما إذا كان اتصال الطلب الهاتفي ضروريًا" ، وحدد التأخير قبل إعادة الاتصال يساوي الصفر ، ووقت الفاصل بعد وقت الخمول 300 ثانية على الأقل. (بحيث يتم إنهاء الاتصال فقط بعد اكتمال التحليل ، وليس أثناء فترات التوقف والفشل القصيرة).

في الختام ، أغلق نافذة البرنامج (ستبقى في الدرج) واضغط مع الاستمرار على اختصار البرنامج ، وانقله إلى مجلد بدء التشغيل عبر START - كافة البرامج حتى يبدأ البرنامج بالنظام.

نكرر هذه الخطوات لكل خادم وكيل افتراضي.

هذا يكمل تكوين خادم الوكيل المحلي الخاص بنا للتحليل! الآن ، بمعرفة عنوان وكيلنا (عنوان IP الذي حددناه في إعدادات محول الكمبيوتر الظاهري مع UserGate) وعنوان المنفذ الخاص به: 8080 (لـ HTTP) ، يمكننا إدخال هذه القيم في أي برنامج حيث يمكنك تحديد خادم وكيل واستمتع بتيار إضافي!

إذا كنت تخطط لاستخدام الخادم الوكيل بنشاط لعدة أيام متتالية أو كانت موارد جهاز الكمبيوتر الخاص بك محدودة للغاية ، فمن المنطقي تعطيل تسجيل الدخول إلى برنامج UserGate ، وللقيام بذلك ، في علامة التبويب "الشاشة" ، انقر فوق الرمز ذي علامة الصليب الأحمر . للأسف ، لا يمكن تعطيل هذه الميزة على الفور وبشكل دائم.

بالنسبة لـ Key Collector ، تحتاج أيضًا إلى تنفيذ خطوات إضافية عن طريق توصيل الاتصال الرئيسي من خلال خادم وكيل UserGate ، لأن لأسباب معقدة ، يمكن أن يبدأ KC العمل في دفقين من الاتصال الرئيسي ، مما يؤدي إلى زيادة الطلبات إلى PS في دفق واحد وظهور حروف التحقق. وقد لوحظ نفس السلوك في مواقف أخرى ، لذلك لن تكون هذه التقنية غير ضرورية بأي حال من الأحوال. فائدة إضافية هي أننا نحصل على التحكم في حركة المرور من خلال مراقب بوابة برنامج UserGate. تشبه عملية التثبيت ما سبق وصفه أعلاه: تثبيت UserGate على النظام الرئيسي ، وإضافته على الفور لبدء التشغيل ، وإنشاء مستخدم بحرية وتحديد "127.0.0.1" في حقل "تسجيل الدخول (IP)" (لذلك- يسمى "المضيف المحلي"). حدد عنصر "HTTP" في القائمة الجانبية وحدد "منافذ العميل" في حقل النص - 8081 ، نحدد نفس البيانات في KC ، بنفس الطريقة التي نحددها للخوادم الوكيلة الأخرى.
أخيرًا ، في إعدادات KC ، قم بتعطيل خيار "استخدام عنوان IP الرئيسي" في جميع أنواع التحليل.

التعليمات: استكشاف الأخطاء وإصلاحها:

إذا كان الخادم الوكيل لا يعمل:
• بادئ ذي بدء ، من المهم أن نفهم أنه قبل بدء التحليل ، يجب أن تنتظر تهيئة جهازنا الافتراضي البطيء نسبيًا ، وكذلك المرافق التي توفر الاتصال واتصالها بالإنترنت ، وإلا فقد يتم استبعاد وكيلنا من قائمة الخوادم الوكيلة النشطة التي لا تعمل (في Key Collector).
• تحقق من اتصال الإنترنت على الجهاز الظاهري بالانتقال إلى أي موقع عبر Internet Explorer. إذا لزم الأمر ، قم بتشغيل اتصال الإنترنت يدويًا ، وتحقق من بيانات إعادة الطلب التلقائي. إذا تم فتح الصفحات ، فانتقل إلى الصفحة المقصودة للتأكد من عدم وجود حظر لعنوان IP.
• إذا لم يكن هناك إنترنت ، فتحقق من الشبكة المحلية عن طريق القيام بذلك بينغ. للقيام بذلك ، في الحقل "بحث" (أو "تشغيل" لنظام التشغيل Windows XP) ، أدخل "cmd" وفي النافذة الطرفية التي تفتح ، أدخل الأمر "ping 192.168.xx.xx" ، حيث 192.168.xx.xx هو عنوان IP للمحول على وحدة التخزين ، كمبيوتر آخر. إذا تم استلام الحزم من كلا "جهازي الكمبيوتر" ، فإن إعدادات المحول صحيحة وتختلف المشكلة (على سبيل المثال ، لا يوجد اتصال بالإنترنت).
• تحقق من صحة بيانات الخادم الوكيل التي تم إدخالها في المحللون ، وتأكد من تحديد نوع وكيل HTTP ، وإذا تم تحديد SOCKS5 ، فقم بتغييره إلى HTTP أو قم بتمكين دعم SOCKS5 في بوابة المستخدم عن طريق تحديد المنفذ الذي سيتم تحديده في UserGate في علامة التبويب SOCKS5.
• عند استخدام وكيل SIM ، تأكد من أن فائدته مفتوحة (أو في الدرج) على الجهاز الظاهري ، لأن يحافظ على منفذ المودم مفتوحًا ويسمح بإعادة الاتصال التلقائي للعمل. في أي حال ، قم بتشغيل المودم من خلال الأداة المساعدة وتحقق مما إذا كانت هناك أي مشاكل في الطلب التلقائي وما إذا كان هناك اتصال بالإنترنت على الإطلاق في الجهاز الظاهري نفسه.

تعد مشاركة الوصول إلى الإنترنت بين مستخدمي الشبكة المحلية واحدة من أكثر المهام شيوعًا التي يتعين على مسؤولي النظام مواجهتها. ومع ذلك ، فإنه لا يزال يثير العديد من الصعوبات والأسئلة. على سبيل المثال - كيف نضمن أقصى درجات الأمان وإمكانية الإدارة الكاملة؟

مقدمة

سنلقي اليوم نظرة فاحصة على كيفية تنظيم مشاركة الإنترنت لموظفي شركة افتراضية. لنفترض أن عددهم سيكون في حدود 50-100 شخص ، ويتم نشر جميع الخدمات المعتادة لأنظمة المعلومات هذه في الشبكة المحلية: مجال Windows ، خادم البريد الخاص ، خادم FTP.

لتوفير المشاركة ، سنستخدم حلاً يسمى UserGate Proxy & Firewall. لديها العديد من الميزات. أولاً ، هذا تطور روسي بحت ، على عكس العديد من المنتجات المحلية. ثانيًا ، لها أكثر من عشر سنوات من التاريخ. لكن الشيء الأكثر أهمية هو التطوير المستمر للمنتج.

كانت الإصدارات الأولى من هذا الحل عبارة عن خوادم وسيطة بسيطة نسبيًا يمكنها فقط مشاركة اتصال إنترنت واحد والاحتفاظ بإحصائيات حول استخدامها. الأكثر انتشارًا من بينها كان الإصدار 2.8 ، والذي لا يزال من الممكن العثور عليه في المكاتب الصغيرة. لم يعد المطورون أنفسهم يطلقون على أحدث إصدار سادس خادم وكيل. وفقًا لهم ، يعد هذا حل UTM متكامل يغطي مجموعة كاملة من المهام المتعلقة بالأمان والتحكم في إجراءات المستخدم. دعونا نرى ما إذا كان هذا هو الحال.

نشر وكيل UserGate وجدار الحماية

أثناء التثبيت ، هناك مرحلتان مهمتان (الخطوات المتبقية قياسية لتثبيت أي برنامج). الأول هو اختيار المكونات. بالإضافة إلى الملفات الأساسية ، نحن مدعوون لتثبيت أربعة مكونات أخرى للخادم - VPN ، واثنان من برامج مكافحة الفيروسات (Panda و Kaspersky Anti-Virus) ، ومتصفح ذاكرة التخزين المؤقت.

يتم تثبيت وحدة خادم VPN حسب الحاجة ، أي عندما تخطط الشركة لاستخدام الوصول عن بعد للموظفين أو للجمع بين عدة شبكات بعيدة. من المنطقي تثبيت برامج مكافحة الفيروسات فقط إذا تم شراء التراخيص المناسبة من الشركة. سيسمح وجودهم بفحص حركة المرور على الإنترنت ، وتوطين البرامج الضارة وحظرها مباشرة على البوابة. سيسمح لك Cache Browser بعرض صفحات الويب المخزنة مؤقتًا بواسطة الخادم الوكيل.

وظائف اضافيه

حظر المواقع غير المرغوب فيها

يدعم الحل تقنية ترشيح عناوين URL الخاصة بـ Entensys. في الواقع ، إنها قاعدة بيانات سحابية تحتوي على أكثر من 500 مليون موقع بلغات مختلفة ، مقسمة إلى أكثر من 70 فئة. يتمثل الاختلاف الرئيسي في المراقبة المستمرة ، حيث تتم مراقبة مشاريع الويب باستمرار ، وعندما يتغير المحتوى ، يتم نقلها إلى فئة أخرى. يتيح لك ذلك حظر جميع المواقع غير المرغوب فيها بدرجة عالية من الدقة ، وذلك ببساطة عن طريق تحديد فئات معينة.

يزيد استخدام تصفية عناوين URL الخاصة بـ Entensys من أمان العمل على الإنترنت ، كما يعمل على تحسين كفاءة الموظفين (عن طريق حظر الشبكات الاجتماعية ، والمواقع الترفيهية ، وما إلى ذلك). ومع ذلك ، يتطلب استخدامه اشتراكًا مدفوعًا يجب تجديده كل عام.

بالإضافة إلى ذلك ، يتضمن التوزيع عنصرين آخرين. الأول هو "وحدة تحكم المشرف". هذا تطبيق منفصل مصمم ، كما يوحي الاسم ، لإدارة خادم UserGate Proxy & Firewall. ميزته الرئيسية هي القدرة على الاتصال عن بعد. وبالتالي ، لا يحتاج المسؤولون أو الأشخاص المسؤولون عن استخدام الإنترنت إلى الوصول المباشر إلى بوابة الإنترنت.

المكون الإضافي الثاني هو إحصائيات الويب. في الواقع ، هو خادم ويب يسمح لك بعرض إحصائيات مفصلة حول استخدام الشبكة العالمية من قبل موظفي الشركة. من ناحية ، هو ، بلا شك ، مكون مفيد ومريح. بعد كل شيء ، يسمح لك بتلقي البيانات دون تثبيت برامج إضافية ، بما في ذلك عبر الإنترنت. ولكن من ناحية أخرى ، فإنها تستهلك موارد نظام إضافية لبوابة الإنترنت. لذلك ، من الأفضل تثبيته فقط عند الحاجة إليه حقًا.

الخطوة الثانية التي يجب الانتباه إليها أثناء تثبيت UserGate Proxy & Firewall هي اختيار قاعدة البيانات. في الإصدارات السابقة ، كان UGPF يعمل فقط مع ملفات MDB ، مما أثر على أداء النظام ككل. الآن هناك خيار بين اثنين من DBMS - Firebird و MySQL. علاوة على ذلك ، يتم تضمين الأول في مجموعة التوزيع ، لذلك عند اختياره ، لا يلزم إجراء عمليات تلاعب إضافية. إذا كنت ترغب في استخدام MySQL ، فيجب عليك أولاً تثبيته وتكوينه. بعد اكتمال تثبيت مكونات الخادم ، من الضروري إعداد أماكن عمل المسؤولين وغيرهم من الموظفين المسؤولين الذين يمكنهم إدارة وصول المستخدم. من السهل جدا القيام بذلك. يكفي تثبيت وحدة التحكم الإدارية على أجهزة الكمبيوتر العاملة الخاصة بهم من نفس مجموعة التوزيع.

وظائف اضافيه

خادم VPN مدمج

قدم الإصدار 6.0 مكون خادم VPN. بمساعدتها ، يمكنك تنظيم الوصول الآمن عن بُعد لموظفي الشركة إلى الشبكة المحلية أو دمج الشبكات البعيدة للفروع الفردية للمؤسسة في مساحة معلومات واحدة. يحتوي خادم VPN هذا على جميع الوظائف اللازمة لإنشاء أنفاق من خادم إلى خادم ومن عميل إلى خادم وللتوجيه بين الشبكات الفرعية.

الإعداد الأساسي

يتم تنفيذ جميع إعدادات UserGate Proxy & Firewall باستخدام وحدة تحكم الإدارة. بشكل افتراضي ، بعد التثبيت ، يكون لديه بالفعل اتصال بالخادم المحلي. ومع ذلك ، إذا كنت تستخدمه عن بُعد ، فسيتعين عليك إنشاء الاتصال يدويًا عن طريق تحديد عنوان IP لبوابة الإنترنت أو اسم المضيف ، ومنفذ الشبكة (2345 افتراضيًا) ومعلمات التفويض.

بعد الاتصال بالخادم ، فإن أول شيء يجب فعله هو تكوين واجهات الشبكة. يمكنك القيام بذلك في علامة التبويب "واجهات" في قسم "خادم UserGate". بالنسبة لبطاقة الشبكة التي "تبحث" في الشبكة المحلية ، قمنا بتعيين النوع على LAN ، وجميع الاتصالات الأخرى - WAN. يتم تلقائيًا تعيين نوع PPP للاتصالات "المؤقتة" ، مثل PPPoE و VPN.

إذا كان لدى الشركة اتصالان أو أكثر من اتصالات WAN ، أحدهما أساسي والآخر زائدة عن الحاجة ، فيمكنك إعداد التكرار التلقائي. للقيام بذلك بسيط للغاية. يكفي إضافة الواجهات الضرورية إلى قائمة الواجهات المحجوزة ، وتحديد واحد أو أكثر من موارد التحكم ووقت فحصهم. مبدأ تشغيل هذا النظام على النحو التالي. يتحقق برنامج UserGate تلقائيًا من توفر مواقع التحكم في الفاصل الزمني المحدد. بمجرد توقفهم عن الاستجابة ، يتحول المنتج تلقائيًا ، دون تدخل المسؤول ، إلى القناة الاحتياطية. في الوقت نفسه ، يستمر التحقق من توفر موارد التحكم على الواجهة الرئيسية. وبمجرد نجاحه ، يتم إجراء التبديل إلى الخلف تلقائيًا. الشيء الوحيد الذي يجب الانتباه إليه عند الإعداد هو اختيار موارد التحكم. من الأفضل أن تأخذ عدة مواقع كبيرة ، يكاد يكون التشغيل المستقر لها مضمونًا.

وظائف اضافيه

التحكم في تطبيق الشبكة

ينفذ UserGate Proxy & Firewall ميزة مثيرة للاهتمام مثل التحكم في تطبيقات الشبكة. والغرض منه هو منع أي برنامج غير مصرح به من الوصول إلى الإنترنت. كجزء من إعدادات التحكم ، يتم إنشاء القواعد التي تسمح أو تمنع تشغيل الشبكة لبرامج مختلفة (مع أو بدون إصدار). يمكنهم تحديد عناوين IP ومنافذ وجهة معينة ، مما يسمح لك بتكوين الوصول إلى البرنامج بمرونة ، مما يسمح له بتنفيذ إجراءات معينة فقط على الإنترنت.

يسمح لك التحكم في التطبيق بوضع سياسة واضحة للشركة بشأن استخدام البرامج ، ويمنع انتشار البرامج الضارة جزئيًا.

بعد ذلك ، يمكنك المتابعة مباشرة لإعداد خوادم بروكسي. في المجموع ، تم تنفيذ سبعة منها في الحل قيد النظر: لبروتوكولات HTTP (بما في ذلك HTTPs) و FTP و SOCKS و POP3 و SMTP و SIP و H323. هذا تقريبًا كل ما قد يحتاجه عمل موظفي الشركة على الإنترنت. افتراضيًا ، يتم تمكين وكيل HTTP فقط ، ويمكن تنشيط جميع الآخرين إذا لزم الأمر.

يمكن أن تعمل الخوادم الوكيلة في UserGate Proxy & Firewall في وضعين - عادي وشفاف. في الحالة الأولى ، نتحدث عن الوكيل التقليدي. يتلقى الخادم الطلبات من المستخدمين ويعيد توجيهها إلى خوادم خارجية ، ويمرر الاستجابات المستلمة إلى العملاء. هذا حل تقليدي ، لكن له عيوبه. على وجه الخصوص ، من الضروري تكوين كل برنامج يتم استخدامه للعمل على الإنترنت (مستعرض الإنترنت ، عميل البريد ، ICQ ، إلخ) على كل كمبيوتر في الشبكة المحلية. هذه ، بالطبع ، مهمة كبيرة. علاوة على ذلك ، بشكل دوري ، عند تثبيت برنامج جديد ، سيتم تكراره.

عند اختيار الوضع الشفاف ، يتم استخدام برنامج تشغيل NAT خاص ، والذي يتم تضمينه في حزمة تسليم الحل المعني. يستمع إلى المنافذ المناسبة (80 لـ HTTP ، و 21 لـ FTP ، وما إلى ذلك) ، ويكشف الطلبات الواردة عليها ويمررها إلى الخادم الوكيل ، حيث يتم إرسالها أكثر من ذلك. يعتبر هذا الحل أكثر نجاحًا بمعنى أنه لم تعد هناك حاجة إلى تكوين البرامج على الأجهزة العميلة. الشيء الوحيد المطلوب هو تحديد عنوان IP لبوابة الإنترنت كبوابة رئيسية في اتصال الشبكة لجميع محطات العمل.

الخطوة التالية هي إعداد إعادة توجيه استعلام DNS. ويمكن أن يتم ذلك بطريقتين. أبسطها هو تمكين ما يسمى بإعادة توجيه DNS. عند استخدامه ، يتم إعادة توجيه طلبات DNS الواردة إلى بوابة الإنترنت من العملاء إلى الخوادم المحددة (يمكنك استخدام خادم DNS من إعدادات اتصال الشبكة أو أي خوادم DNS عشوائية).

الخيار الثاني هو إنشاء قاعدة NAT التي ستتلقى الطلبات على المنفذ 53rd (القياسي لـ DNS) وإعادة توجيهها إلى الشبكة الخارجية. ومع ذلك ، في هذه الحالة ، سيتعين عليك إما تسجيل خوادم DNS يدويًا على جميع أجهزة الكمبيوتر في إعدادات اتصال الشبكة ، أو تكوين إرسال استعلامات DNS من خلال بوابة الإنترنت من خادم وحدة التحكم بالمجال.

إدارةالمستخدم

بعد الانتهاء من الإعداد الأساسي ، يمكنك متابعة العمل مع المستخدمين. يجب أن تبدأ بإنشاء مجموعات سيتم دمج الحسابات فيها لاحقًا. لما هذا؟ أولاً ، للتكامل اللاحق مع Active Directory. وثانيًا ، يمكنك تعيين قواعد للمجموعات (سنتحدث عنها لاحقًا) ، وبالتالي التحكم في الوصول لعدد كبير من المستخدمين مرة واحدة.

الخطوة التالية هي إضافة مستخدمين إلى النظام. يمكن القيام بذلك بثلاث طرق مختلفة. أولها ، الإنشاء اليدوي لكل حساب ، حتى أننا لا نفكر فيه لأسباب واضحة. هذا الخيار مناسب فقط للشبكات الصغيرة مع عدد قليل من المستخدمين. الطريقة الثانية هي فحص شبكة الشركة بطلبات ARP ، والتي خلالها يحدد النظام نفسه قائمة الحسابات المحتملة. ومع ذلك ، نختار الخيار الثالث ، وهو الخيار الأمثل من حيث البساطة وسهولة الإدارة - التكامل مع Active Directory. يتم تنفيذه على أساس المجموعات التي تم إنشاؤها مسبقًا. تحتاج أولاً إلى ملء إعدادات التكامل العامة: تحديد المجال وعنوان وحدة التحكم الخاصة به واسم المستخدم وكلمة المرور الخاصة بالمستخدم مع حقوق الوصول اللازمة إليه ، فضلاً عن الفاصل الزمني للمزامنة. بعد ذلك ، يجب تعيين مجموعة واحدة أو أكثر من Active Directory لكل مجموعة تم إنشاؤها في برنامج UserGate. في الواقع ، ينتهي الإعداد هنا. بعد حفظ جميع المعلمات ، سيتم إجراء المزامنة تلقائيًا.

سيستخدم المستخدمون الذين تم إنشاؤهم أثناء التفويض بشكل افتراضي تفويض NTLM ، أي التفويض عن طريق تسجيل الدخول إلى المجال. يعد هذا خيارًا مناسبًا للغاية ، نظرًا لأن القواعد ونظام محاسبة المرور سيعملان بغض النظر عن الكمبيوتر الذي يجلس عليه المستخدم حاليًا.

صحيح ، لاستخدام طريقة التفويض هذه ، يلزم وجود برامج إضافية - عميل خاص. يعمل هذا البرنامج على مستوى Winsock ويمرر معلمات ترخيص المستخدم إلى بوابة الإنترنت. يتم تضمين مجموعة التوزيع الخاصة به في حزمة توزيع UserGate Proxy & Firewall. يمكنك تثبيت العميل بسرعة على جميع محطات العمل باستخدام سياسات مجموعة Windows.

بالمناسبة ، يعتبر ترخيص NTLM بعيدًا عن الطريقة الوحيدة لتفويض موظفي الشركة للعمل على الإنترنت. على سبيل المثال ، إذا كانت إحدى المؤسسات تمارس ارتباطًا صارمًا بالعمال بمحطات العمل ، فيمكنك استخدام عنوان IP أو عنوان MAC أو كليهما لتحديد المستخدمين. باستخدام نفس الأساليب ، يمكنك تنظيم الوصول إلى الشبكة العالمية للخوادم المختلفة.

تحكم المستخدم

واحدة من المزايا الهامة لـ UGPF هي النطاق الواسع لتحكم المستخدم. يتم تنفيذها باستخدام نظام قواعد مراقبة حركة المرور. مبدأ عملها بسيط للغاية. يقوم المسؤول (أو أي شخص مسؤول آخر) بإنشاء مجموعة من القواعد ، يمثل كل منها واحدًا أو أكثر من شروط التشغيل والإجراء الواجب اتخاذه. يتم تعيين هذه القواعد للمستخدمين الفرديين أو لمجموعاتهم بالكامل وتسمح لك بالتحكم التلقائي في عملهم على الإنترنت. هناك أربعة إجراءات ممكنة في المجموع. الأول هو إغلاق الاتصال. فهو يسمح ، على سبيل المثال ، بحظر تنزيل ملفات معينة ، ومنع زيارة المواقع غير المرغوب فيها ، وما إلى ذلك. الخطوة الثانية هي تغيير التعريفة. يتم استخدامه في نظام الفوترة ، الذي يتم دمجه في المنتج قيد الدراسة (لا نعتبره ، نظرًا لأنه غير مناسب بشكل خاص لشبكات الشركات). يسمح لك الإجراء التالي بتعطيل عدد حركة المرور المتلقاة ضمن هذا الاتصال. في هذه الحالة ، لا تؤخذ المعلومات المرسلة في الاعتبار عند تلخيص الاستهلاك اليومي والأسبوعي والشهري. وأخيرًا ، يتمثل الإجراء الأخير في تقييد السرعة بالقيمة المحددة. من الملائم جدًا استخدامه لمنع "انسداد" القناة عند تنزيل ملفات كبيرة وحل مشكلات أخرى مماثلة.

هناك شروط أكثر بكثير في قواعد التحكم في حركة المرور - حوالي عشرة. بعضها بسيط نسبيًا ، مثل الحجم الأقصى للملف. سيتم تشغيل هذه القاعدة عندما يحاول المستخدمون تحميل ملف أكبر من الحجم المحدد. الشروط الأخرى مرتبطة بالوقت. على وجه الخصوص ، يمكن للمرء أن يلاحظ الجدول الزمني (الذي يتم تشغيله حسب الوقت وأيام الأسبوع) والعطلات (التي يتم تشغيلها في أيام محددة).

ومع ذلك ، فإن الأكثر إثارة للاهتمام هي الشروط المرتبطة بالمواقع والمحتوى. على وجه الخصوص ، يمكن استخدامها لحظر أو تعيين إجراءات أخرى على أنواع معينة من المحتوى (على سبيل المثال ، الفيديو والصوت والملفات القابلة للتنفيذ والنصوص والصور وما إلى ذلك) ، أو مشاريع الويب المحددة أو فئاتها بالكامل (لهذا ، عنوان URL لـ Entensys يتم استخدام تقنية التصفية ، انظر الشريط الجانبي).

من الجدير بالذكر أن قاعدة واحدة يمكن أن تحتوي على عدة شروط في وقت واحد. في نفس الوقت ، يمكن للمسؤول أن يحدد في هذه الحالة سيتم تنفيذه - إذا تم استيفاء جميع الشروط أو أي واحد منها. يتيح لك ذلك إنشاء سياسة مرنة للغاية لاستخدام الإنترنت من قبل موظفي الشركة ، مع مراعاة عدد كبير من الفروق الدقيقة المختلفة.

تكوين جدار الحماية

يعد جدار الحماية جزءًا لا يتجزأ من برنامج تشغيل NAT UserGate ، حيث يتم حل المهام المختلفة المتعلقة بمعالجة حركة مرور الشبكة. للتكوين ، يتم استخدام قواعد خاصة ، والتي يمكن أن تكون واحدة من ثلاثة أنواع: ترجمة عنوان الشبكة ، والتوجيه ، وجدار الحماية. يمكن أن يكون هناك أي عدد من القواعد في النظام. يتم تطبيقها بالترتيب الذي تم إدراجه في القائمة العامة. لذلك ، إذا تطابقت حركة المرور الواردة مع عدة قواعد ، فستتم معالجتها بواسطة القاعدة الموجودة فوق القواعد الأخرى.

تتميز كل قاعدة بثلاث معلمات رئيسية. الأول هو مصدر حركة المرور. يمكن أن يكون هذا مضيفًا واحدًا أو أكثر ، واجهة WAN أو LAN لبوابة الإنترنت. المعلمة الثانية هي الغرض من المعلومات. يمكن هنا تحديد واجهة LAN أو WAN أو اتصال الطلب الهاتفي. السمة الرئيسية الأخيرة للقاعدة هي واحدة أو أكثر من الخدمات التي تنطبق عليها. الخدمة في UserGate Proxy & Firewall عبارة عن زوج من عائلة بروتوكولات (TCP و UDP و ICMP وبروتوكول عشوائي) ومنفذ شبكة (أو مجموعة من منافذ الشبكة). بشكل افتراضي ، يحتوي النظام بالفعل على مجموعة رائعة من الخدمات المثبتة مسبقًا ، بدءًا من الخدمات الشائعة (HTTP و HTTPs و DNS و ICQ) إلى خدمات محددة (WebMoney و RAdmin والعديد من الألعاب عبر الإنترنت وما إلى ذلك). ومع ذلك ، إذا لزم الأمر ، يمكن للمسؤول أيضًا إنشاء خدماته الخاصة ، على سبيل المثال ، وصف العمل مع أحد البنوك عبر الإنترنت.

أيضًا ، لكل قاعدة إجراء يتم تنفيذه مع حركة المرور المطابقة للشروط. لا يوجد سوى اثنين منهم: السماح أو المنع. في الحالة الأولى ، تمر حركة المرور بحرية على طول المسار المحدد ، وفي الحالة الثانية ، يتم حظرها.

تستخدم قواعد ترجمة عنوان الشبكة تقنية NAT. بمساعدتهم ، يمكنك تكوين الوصول إلى الإنترنت لمحطات العمل ذات العناوين المحلية. للقيام بذلك ، تحتاج إلى إنشاء قاعدة تحدد واجهة LAN كمصدر وواجهة WAN كوجهة. يتم تطبيق قواعد التوجيه في حالة استخدام الحل المعني كموجه بين شبكتين محليتين (ينفذ مثل هذا الاحتمال). في هذه الحالة ، يمكن تكوين التوجيه لحركة مرور شفافة ثنائية الاتجاه.

تُستخدم قواعد جدار الحماية لمعالجة حركة المرور التي لا تنتقل إلى الخادم الوكيل ، ولكن تنتقل مباشرةً إلى بوابة الإنترنت. بعد التثبيت مباشرة ، يوجد لدى النظام قاعدة واحدة تسمح لجميع حزم الشبكة. من حيث المبدأ ، إذا لم يتم استخدام بوابة الإنترنت التي تم إنشاؤها كمحطة عمل ، فيمكن تغيير إجراء القاعدة من "السماح" إلى "الرفض". في هذه الحالة ، سيتم حظر أي نشاط للشبكة على الكمبيوتر ، باستثناء عبور حزم NAT المرسلة من الشبكة المحلية إلى الإنترنت والعكس صحيح.

تسمح لك قواعد جدار الحماية بنشر أي خدمات محلية على الشبكة العالمية: خوادم الويب وخوادم FTP وخوادم البريد وما إلى ذلك. في الوقت نفسه ، يتمتع المستخدمون عن بُعد بفرصة الاتصال بهم عبر الإنترنت. كمثال ، ضع في اعتبارك نشر خادم FTP للشركة. للقيام بذلك ، يجب على المسؤول إنشاء قاعدة يتم فيها تحديد "أي" كمصدر ، وتحديد واجهة WAN المرغوبة كوجهة ، و FTP كخدمة. بعد ذلك ، حدد الإجراء "Allow" ، وقم بتمكين ترجمة حركة المرور ، وفي حقل "Destination Address" ، حدد عنوان IP لخادم FTP المحلي ومنفذ الشبكة الخاص به.

بعد هذا التكوين ، ستتم إعادة توجيه جميع الاتصالات الواردة إلى بطاقات الشبكة الخاصة ببوابة الإنترنت على المنفذ 21 تلقائيًا إلى خادم FTP. بالمناسبة ، أثناء عملية الإعداد ، يمكنك اختيار ليس فقط "الخدمة الأصلية" ، ولكن أيضًا أي خدمة أخرى (أو إنشاء الخدمة الخاصة بك). في هذه الحالة ، سيتعين على المستخدمين الخارجيين الاتصال ليس في اليوم الحادي والعشرين ، ولكن على منفذ مختلف. هذا النهج مناسب للغاية عندما يكون هناك خدمتان أو أكثر من نفس النوع في نظام المعلومات. على سبيل المثال ، يمكنك تنظيم الوصول الخارجي إلى بوابة الشركة على منفذ HTTP القياسي 80 ، والوصول إلى إحصائيات الويب UserGate على المنفذ 81.

يتم تكوين الوصول الخارجي إلى خادم البريد الداخلي بنفس الطريقة.

من السمات المميزة الهامة لجدار الحماية المطبق نظام منع التطفل. إنه يعمل تلقائيًا بالكامل ، ويكتشف المحاولات غير المصرح بها بناءً على التوقيعات والأساليب الاستدلالية وتسويتها عن طريق منع تدفقات حركة المرور غير المرغوب فيها أو إسقاط الاتصالات الخطرة.

تلخيص لما سبق

في هذه المراجعة ، درسنا بالتفصيل الكافي تنظيم الوصول المشترك لموظفي الشركة إلى الإنترنت. في الظروف الحديثة ، هذه ليست أسهل عملية ، حيث يجب أن تأخذ في الاعتبار عددًا كبيرًا من الفروق الدقيقة المختلفة. علاوة على ذلك ، تعتبر الجوانب الفنية والتنظيمية مهمة ، لا سيما التحكم في إجراءات المستخدم.