Меню Рубрики

Установка usergate на server 2012

Web Application Proxy в Windows Server 2012 R2

Продолжаем знакомиться с новыми возможностями ОС Windows Server 2012 R2. Ранее мы рассказывали о корпоративном аналоге DropBox в Windows Server 2012 R2 под названием Work Folders. Сегодня речь пойдет о еще одном новшестве новой серверной платформы – функции Web Application Proxy. Web Application Proxy – это новая функция роли Remote Access в Windows 2012 R2, позволяющая публиковать HTTP/ HTTPS приложения, расположенные в периметре корпоративной сети на клиентских устройствах (в первую очередь подразумеваются мобильные устройства) за ее периметром. Благодаря возможности интеграции c AD FS (служба может выступать в качестве ADFS-прокси), возможно обеспечить аутентификацию внешних пользователей, пытающихся получить доступ к опубликованным приложениям.

Web Application Proxy предоставляет такие же возможности публикации приложений, как и Forefront Unified Access Gateway (UAG), однако данная служба также позволяет взаимодействовать с другими серверами и сервисами, обеспечивая тем самым более гибкую и рациональную конфигурацию.

Web Application Proxy по сути выполняет функцию обратного прокси сервера (HTTP reverse proxy), организуя ретрансляцию запросов клиентов из внешней сети на внутренний сервер, и является межсетевым экраном на прикладном уровне.

Сервер со службой Web Application Proxy получает внешний HTTP/HTTPS трафик и терминирует его, после чего от своего имени инициирует новое подключение ко внутреннему приложению (веб-серверу). Т.е. внешние пользователи прямого доступа к внутреннему приложению реально не получают. Любой другой трафик, получаемый Web Application Proxy, отклоняется (в том числе отклоняются HTTP/HTTPS запросы, которые могут быть использованы при DoS, SSL и 0-day атаках).

Требования к организации Web Application Proxy и ключевые особенности:

  • Систему можно развернуть на серверах с ОС Windows Server 2012 R2, включенных в домен Active Directory, с ролями AD FS и Web Application Proxy. Эти роли должны быть установлены на разных серверах.
  • Необходимо обновить схему Active Directory до Windows Server 2012 R2 (обновлять контроллеры домена до Windows Server 2012 R2 не нужно)
  • В качестве клиентских устройств поддерживаются устройства с ОС Windows, IOS (iPad и iPhone). Работы над клиентами для Android и Windows Phone пока еще не окончены
  • Аутентификация клиентов осуществляется службой Active Directory Federation Services (ADFS), которая также выполняет функции ADFS – проксирования.
  • Типовая схема размещения сервера с ролью Web Application Proxy представлена на рисунке. Данный сервер располагается в выделенной DMZ зоне и отделен от внешней (Интернет) и внутренней сети (Интранет) межсетевыми экранами. В этой конфигурации для работы Web Application Proxy требует наличия двух интерфейсов – внутреннего (Intranet) и внешнего (DMZ)

Установка роли ADFS в Windows Server 2012 R2

Для обеспечения дополнительной безопасности преаутентифкация внешних клиентов выполняется на сервере ADFS, в противном случае используется pass-through аутентификация на конечном сервере приложения (что менее секьюрно). Поэтому первый шаг при настройке Web Application Proxy – установка на отдельном сервере роли Active Directory Federation Services.

При установке ADFS нужно выбрать SSL сертификат, который будет использоваться для шифрования, а также DNS имена, которые будут использоваться клиентами при подключении (соответствующие записи в DNS зоне придется создать самостоятельно).

Затем нужно указать сервисную учетную запись для службы ADFS. Необходимо учесть, что имя ADFS должно быть указано в атрибут Service Principal Name аккаунта. Сделать это можно командой:

И, наконец, указать базу данных, в которой будет хранится информация: это может быть встроенная база на этом же сервере (W/>

Установка службы Web Application Proxy

Следующий этап, настройка самой службы Web Application Proxy. Напомним, что служба Web Application Proxy в Windows Server 2012 R2 является частью роли “Remote Access”. Установите службу Web Application Proxy и запустите мастер ее настройки.

На первом этапе мастер предложит Вам указать имя ADFS сервера и параметры учетной записи, имеющей доступ к данной службе.

Далее нужно указать сертификат (убедитесь, что в альтернативных именах сертификата содержится имя сервера ADFS).

Публикация приложения через Web Application Proxy

После того, как установлены роли ADFS и Web Application Proxy (которая работает еще и как ADFS Proxy), можно перейти непосредственно к публикации наружу конкретного приложения. Сделать это можно с помощью консоли Remote Access Management Console.

Запустите мастер публикации и укажите, хотите ли вы использовать для преаутентификации службу ADFS (это именно наш вариант).

Затем нужно задать имя публикуемого приложения, используемый сертификат, внешний URL (имеенно его для подключения будут использовать внешние пользователи) и внутрений URL-адрес сервера, на который будут пересылаться запросы.

Backend server URL: lync.winitpro.local:4443

Завершите работу мастера, и на этом публикация приложений окончена. Теперь, если попытаться с помощью браузера зайти на опубликованный внешний URL-адрес, то браузер сначала будет перенаправлен на службу аутентификации (ADFS Proxy), а после успешной аутентификации пользователь будет отправлен непосредственно на внутренний сайт (веб приложение).

Благодаря новой службе Web Application Proxy в Windows Server 2012 R2 возможно реализовать функционал обратного прокси сервера с целью публикации внутренних служб предприятия наружу без необходимости использования задействовать сторонние файерволы и продукты, в том числе такие, как Forefront и пр.

источник

Установка usergate на server 2012

Как наверное стало понятно по названию статьи — в этой заметке будет описан пример создания отказоустойчивого сервиса «UserGate Service» в отказоустойчивом кластере (Failover Cluster) организованном средствами MS Windows Server 2012.

Системные и другие требования к инфраструктуре:

— Для работы необходим рабочий и настроенный сервер Active Directory, для уменьшения проблем в работе — все машины участвующие в тесте, должны быть введены в домен.

— Для работы необходимо иметь две реальные или виртуальные машины для узлов кластера, работа проверялась на «Windows Server 2012 R2 Datacenter», можно использовать так же Windows Server 2012 R2 Standart и возможно какие-то другие, но процесс может отличаться.

— Для работы был введён ещё один сервер на Windows Server 2012 R2 Datacenter, который выступал в роли NAS-сервера. На этом сервере был один диск под систему, и три диска доступные через iscisi-Target под работу кластера.

— Для теста работы кластера — использовался прокси-сервер версии 6.5.3 с сайта usergate.ru и версия 6.0 GOST, новой редакции от ноября 2015 года.

1. Подготовка к работе

Для начала работы необходимо все машины ввести в домен.

Затем необходимо подготовить сетевое хранилище.

Как указывалось выше необходимо будет создать минимум три диска для того что бы всё работало в соответствии со схемой Microsoft.

У меня размеры дисков были выбраны как 10\10\2 gb. Первые два диска используются кластером для синхронизации всех настроек между нодами кластера, а так же для перевода общего диска с данными которые будет использовать прокси-сервер для своих нужд при работе в кластере, а диск размером в 2 gb, будет использоваться самим кластером «для кворума».

Читайте также:  Установка привода трамблера заз 1102

Сетевое хранилище почти полностью описано в данной статье, я опишу всё своими словами, т.к. точного описания как и что надо делать что бы всё завелось сразу нигде в интернете нет, по крайней мере при быстром поиске.

— вначале конфигурируем iSCSI-target-сервер, фактически NAS-сервер. Это роль сервера Windows Server 2012.

  • Add Roles and Features Wizard -> Server Roles -> File and Storage Services -> File and iSCSI Service
  • Select iSCSI Target Server and then click on Add Features
  • Restart the virtual machine to complete the feature installation.

— затем нужно запустить iSCSI-initiator на ваших нодах кластера.

  • Server Manager -> Tools -> Click on the iSCSI Initiator
  • Click on yes to start the iSCSI service and then click on OK on iSCSI Initiator property window
  • Зайти в iSCSI-инициатор и в строке «Traget» вбейте IP-адрес вашего iSCSI-trarget-сервера. Ничего не произойдёт, но это важный момент.

— Подключаем созданные диски к нашему scsi-Traget-серверу

Как именно это делается рассказано в этой статье, начиная с абзаца — «Provisioning iSCSI virtual disks using Server Manager».

Так надо будет сделать с тремя дисками, которые мы добавили выше.

2. Создание кластера.

После того как всё готово к созданию кластера, надо добавить роли — «Failover Cluster» на сервера нод кластера, проверить всё для создания кластера и создать его.

Для этого в меню установки ролей и компонентов системы надо сделать следующее:

On the Manage menu, click Add Roles and Features.

On the Before you begin page, click Next.

On the Select installation type page, click Role-based or feature-based installation, and then click Next.

On the Select destination server page, click the server where you want to install the feature, and then click Next.

On the Select server roles page, click Next.

On the Select features page, select the Failover Clustering check box.

To install the failover cluster management tools, click Add Features, and then click Next.

On the Confirm installation selections page, click Install.

Те же самые механизмы надо будет проделать и на второй ноде кластера.

После того как на ноды установлены роли узлов кластера, надо запустить мастер проверки кластера и создать сам кластер.

3. Настройка кластера и Generic Service — UserGate в Failover Cluster.

После всех успешных проверок и создания кластера, пришло время добавить нашу службу, которая будет работать в этом кластере и перебрасывать свои сервисы если один из узлов кластера выйдет из строя.

Скачиваем дистрибутив продукта Usergate Proxy-Server на ноды кластера и устанавливаем его на обе ноды кластера.

Входим в консоль администратора и видим что нам надо пройти активацию продукта. Пока закрываем консоль администратора и останавливаем сервис прокси-сервера.

Создаём в кластере — Generic Service — UserGate, как именно это делать описано тут.

Далее после создания Службы UserGate, для работы в кластере, необходимо примонтировать, второй свободный диск с i-scsi-Traget-сервера на наш созданный сервис. Как именно его примонтировать к сервису, надо прочитат тут, и примонтировать свободный диск к нашему сервису.

При этом на каждой из нод кластера появится папка — «C:\ClusterStorage\Volume1».

Так же можно примонтировать малый диск для кворума кластера. Т.е. итого для Generic Service — UserGate, будет использовано ТРИ диска с i-scsi-Target-сервера.

Теперь этот диск надо будет примонтировать как рабочую папку прокси-сервера — «C:\programdata\entensys\usergate6», предварительно надо будет остановить прокси-сервер и сохранить все файлы из этой папки в другое место, затем создать символическую ссылку для папки прокси-сервера на этот диск, как это корректно сделать описано в этой статье.

После этого скопировать обратно все файлы которые были в этой папке и они должны появиться на всех нодах кластера.

Затем нужно добавить в наш сервис в консоли управления кластером виртуальный IP-адрес, который будет мигрировать на новый узел кластера если что-то произойдёт с текущей нодой кластера.

Первый адрес вводится при создании сервиса, и он уже будет доступен обоим нодам кластера по умолчанию, например можно решить что это будет LAN-интерфейс. Тогда нам надо будет добавить второй расшаренный ресурс — «IP-адрес», в наш сервис, например это будет WAN-интерфейс.

Выглядеть собранный и настроенный кластер должен примерно так:

Если всё настроенно верно, то при выключении одной ноды, сервис будет перекинут на вторую ноду и обратно если например поднять упавшую ноду, и перенести руками роль сервиса на другую ноду кластера.

После этого можно настроить работу прокси-сервера как обычно, только учесть, что назначенные адреса теперь будут разделяться между нодами кластера, соответственно работа сервиса может быть прервана только на моменты миграции роли прокси-сервера с ноды на ноду, в моей тестовой среде это занимало не более чем 8-10 секунд.

источник

12.01.2014 — Usergate proxy & firewall 6.2.1. Конфигурирование и управление.

Доброго времени суток уважаемый посетитель. Позади 2013 год, для кого-то он был трудный, для кого-то легкий, но время бежит, а если учесть, что одна наносекунда это 10 −9 с. то оно просто летит. В данной статье расскажу Вам о новом продукте компании Entensys, партнерами которой мы являемся по трем направлениям UserGate Proxy & Firewall 6.2.1.

C точки зрения администрирования версии 6.2 от UserGate Proxy & Firewall 5.2F, внедрения которой мы успешно практикуем в нашей практике ИТ аусорсинга, практически нет. В качестве лабораторной среды будем использовать Hyper-V, а именно две виртуальные машины первого поколения, серверная часть на Windows Server 2008 R2 SP1, клиентская Windows 7 SP1. По каким-то неизвестным мне причинам UserGate версии 6 не устанавливается на Windows Server 2012 и Windows Server 2012 R2.

Итак, что же такое прокси сервер?

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Что такое UserGate Proxy & Firewall?

UserGate Proxy & Firewall – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты.

Из определения рассмотрим, какие решения предоставляет Entensys в своем продукте, как посчитывается трафик, чем разграничивается доступ, а также какие средства защиты предоставляет UserGate Proxy & Firewall.

UserGate состоит из нескольких частей: сервер, консоль администрирования и несколько дополнительных модулей. Сервер– это основная часть прокси-сервера, в которой реализованы все его функциональные возможности. Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.

Читайте также:  Установка midnight commander для ubuntu

Консоль администрирования UserGate — это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному защищенному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.

UserGate включает три дополнительных модуля: «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».

Установка серверной части UserGate очень проста, единственное отличие — это выбор базы данных в процессе установки. Доступ к базе осуществляется напрямую (для встроенной БД Firebird) или через ODBC-драйвер, что позволяет серверу UserGate работать с базами практически любого формата (MSAccess, MSSQL, MySQL). По умолчанию используется база Firebird. Если вы решили обновить UserGate с предыдущих версий, то вам придется распрощаться с базой статистики, потому что: Для файла статистики поддерживается только перенос текущих балансов пользователей, сама статистика по трафику не будет перенесена. Изменения базы данных были вызваны проблемами в производительности старой и лимитами на её размер. Новая база данных Firebird не обладает такими недостатками.

Запуск консоли администрирования.

Консоль установлена на серверной ВМ. При первом запуске консоль администрирования открывается на странице «Соединения», на которой присутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке localhost-administrator или нажав на кнопку подключиться на панели управления. В консоли администрирования UserGate можно создать несколько подключений.

В настройках подключений указываются следующие параметры:

  • Название сервера – это название подключения;
  • Имя пользователя – логин для подключения к серверу;
  • Адрес сервера – доменное имя или IP-адрес сервера UserGate;
  • Порт – TCP-порт, используемый для подключения к серверу (по умолчанию используется порт 2345);
  • Пароль – пароль для подключения;
  • Спрашивать пароль при подключении – опция позволяет отображать диалог ввода имени пользователя и пароля при подключении к серверу;
  • Автоматически подключаться к этому серверу – консоль администрирования при запуске будет подключаться к данному серверу автоматически.

При первом запуске сервера система предлагает мастера установки от которого мы отказываемся. Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории %UserGate%\Administrator.

Настройка соединений за NAT. Пункт «Общие настройки NAT» позволяет задать величину таймаута для соединений NAT по протоколам TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT, когда передача данных по соединению завершена. Оставим по умолчанию эту настройку.

Детектор атак – это специальная опция, позволяющая вам задействовать внутренний механизм отслеживания и блокировки сканера портов или попыток занятия всех портов сервера.

Заблокировать по строке браузера – список User-Agent’s браузеров, которые могут быть заблокированы прокси-сервером. Т.е. можно, например, запретить выходить в интернет старым браузерам таким как, IE 6.0 или Firefox 3.x.

Раздел Интерфейсы является главным в настройках сервера UserGate, поскольку определяет такие моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, ограничения ширины Интернет-канала для трафика определенного типа, установление отношений между сетями и порядок обработки пакетов драйвером NAT. Вкладка «Интерфейсы», выбираем нужный тип для интерфейсов. Так, для адаптера, подключенного к сети Интернет, следует выбрать тип WAN, для адаптера, подключенного к локальной сети – тип LAN. Доступ к интернету для ВМ расшарен, соответственно интерфейс с адресом 192.168.137.118 будет WAN-адаптер, выбираем нужный тип и жмем «Применить». После перезагружаем сервер.

Пользователи и группы

Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сервере UserGate. Программа поддерживает следующие методы авторизации пользователей:

  • По IP-адресу
  • По диапазону IP-адресов
  • По IP+MAC-адресу
  • По MAC-адресу
  • Авторизация средствами HTTP (HTTP-basic, NTLM)
  • Авторизация через логин и пароль (Клиент авторизации)
  • Упрощенный вариант авторизации через Active Directory

Для использования трех последних методов авторизации на рабочую станцию пользователя необходимо установить специальное приложение — клиент авторизации UserGate. Соответствующий MSI пакет (AuthClientInstall.msi) расположен в директории %UserGate%\tools и может быть использован для автоматической установки средствами групповой политики в Active Directory.

Для терминальных пользователей предоставлена возможность только «Авторизация средствами HTTP». Соответствующая опция включается в пункте Общие настройки в консоли администрирования.

Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку Добавить в панели управления на странице Пользователи и группы.

Существует ещё один способ добавления пользователей – сканирование сети ARP-запросами. Нужно щелкнуть на пустом месте в консоли администратора на странице пользователи и выбрать пункт сканировать локальную сеть. Далее задать параметры локальной сети и дождаться результатов сканирования. В итоге вы увидите список пользователей, которых можно добавить в UserGate. Ну что ж, проверим, жмем «Сканировать локальную сеть»

Стоит напомнить, что в UserGate присутствует приоритет аутентификации, сначала физическая потом логическая. Данный метод не является надежным, т.к. пользователь может сменить ip-адрес. Нам подойдет импорт учетных записей Active Directory, которые мы можем импортировать с легкостью, нажав кнопку «Импортировать», далее «Выбрать» и имя нашей учетной записи, «Ок», «Ок».

Выбираем «Группу», оставляем по умолчанию «default»

Жмем «Ок» и сохраняем изменения.

Наш пользователь добавлен без проблем. Так же существует возможность синхронизации групп AD на вкладке «Группы».

Настройка сервисов прокси в UserGate

В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх HTTP” и HTTPS, — метод Connect), FTP, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов доступны в разделе Сервисы → Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера относятся: интерфейс и номер порта, на котором работает прокси. Так, например, включим прозрачный HTTP прокси на нашем интерфейсе LAN. Перейдем «Настройки прокси», выберем HTTP.

Выберем наш интерфейс, оставим все по умолчанию и жмем «Ок»

Использование прозрачного режима

Функция «Прозрачный режим» в настройках прокси-серверов доступна, если сервер UserGate установлен вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сервисов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах компьютера с UserGate. При наличии запросов передает их на соответствующий прокси-сервер UserGate. При использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа локальной сети в Интернет. Однако, в сетевых настройках рабочих станций сервер UserGate должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.

Почтовые прокси в UserGate

Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антивирусной проверки почтового трафика. При использовании прозрачного режима работы POP3 и SMTP-прокси настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих варианту с прямым доступом в сеть Интернет.

Читайте также:  Установка двух клавишных выключателей

Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера. Например, если пользователь имеет почтовый ящик user@mail123.com, то в качестве Логина на POP3-прокси UserGate в почтовом клиенте нужно будет указать: user@mail123.com@pop.mail123.com. Такой формат необходим для того, чтобы сервер UserGate мог определить адрес удаленного POP3-сервера.

Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется указать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае в настройках почтового клиента на рабочей станции пользователя в качестве адреса SMTP-сервера требуется указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.

Ну что, звучит круто, проверим с помощью mail.ru.

Первым делом включим POP3 и SMTP прокси на нашем сервере. При включении POP3 укажем интерфейс LAN стандартный порт 110.

А так же убедимся в отсутствии галочки на «Прозрачный прокси» и жмем «Ок» и «Применить»

Далее включаем SMTP прокси, ставим галочку, выбираем LAN интерфейс и порт по умолчанию 25

Убираем галочку «Прозрачный режим» и пишем «Параметры удаленного сервера», в нашем случае smtp.mail.ru. А почему только один сервер указывается? А вот ответ: предполагается, что организация использует единственный smtp сервер, именно он и указывается в настройках SMTP прокси.

Далее нам нужно пробросить порты для POP3 и SMTP. Переходим в «Назначение портов» и жмем «Добавить».

Первое правило для POP3 должно выглядеть так.

Второе, как сказал бы Александр Невский «Вот так вот»

Не забываем про кнопочку «Применить» и переходим к настройке клиента. Как мы помним «Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на рабочей станции пользователя в качестве адреса POP3-сервера требуется указывать IP-адрес компьютера с UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном POP3-сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера». Действуем.

Сначала авторизуемся в клиенте авторизации, далее открываем Outlook обычный, в нашем примере я создал тестовый почтовый ящик tolik_vasserman@inbox.ru, и производим настройку, указывая наш ящик в формате понятном для UserGate tolik_vasserman@inbox.ru@pop.mail.ru, а также POP и SMTP серверы адрес нашего прокси.

Жмем «Проверка учетной записи…»

Жмем «Закрыть» и «Далее», а вот и почта толика.

Назначение портов

В UserGate реализована поддержка функции Перенаправление портов. При наличии правил назначения портов сервер UserGate перенаправляет пользовательские запросы, поступающие на определенный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт, например, на другой компьютер в локальной сети. Функция Перенаправление портов доступна для TCP- и UDP- протоколов.

Если назначение портов используется для предоставления доступа из сети Интернет к внутреннему ресурсу компании, в качестве параметра Авторизация следует выбрать Указанный пользователь, иначе перенаправление порта работать не будет. Не забываем включить «Удаленный рабочий стол».

Настройка кэша

Одним из назначений прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на подключение к сети Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate выполняет кэширование HTTP и FTP-трафика. Кэшированные документы помещаются в локальную папку %UserGate_data%\Cache. В настройках кэша указывается: предельный размер кэша и время хранения кэшированных документов.

Антивирусная проверка

В сервер UserGate интегрированы три антивирусных модуля: антивирус Kaspersky Lab, Panda Security и Avira. Все антивирусные модули предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-серверы UserGate, а также исходящего трафика через SMTP-прокси.

Настройки антивирусных модулей доступны в разделе Сервисы → Антивирусы консоли администрирования. Для каждого антивируса можно указать, какие протоколы он должен проверять, установить периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется (опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не требуется подвергать антивирусной проверке.

Перед включение антивируса нужно сначала обновить его базы.

После вышеперечисленных функций перейдем к часто используемым, это – «Управление трафиком» и «Контроль приложений».

Система правил управления трафиком

В сервере UserGate предусмотрена возможность управления доступом пользователей к сети Интернет посредством правил управления трафиком. Правила управления трафиком предназначены для запрета доступа к определенным сетевым ресурсам, для установки ограничений потребления трафика, для создания расписания работы пользователей в сети Интернет, а также для слежения за состоянием счета пользователей.

В нашем примере ограничим доступ пользователю, к любому ресурсу имеющий в своем запросе упоминания vk.com. Для этого переходим в «Управления трафиком – Правила»

Даем название правилу и действие «Закрыть соединение»

Нажимаем «Далее» и выбираем «Запрет сайта», жмем «Добавить» в поле «Список Url-адресов», ставим «Запретить»

После добавления сайта, переходим к следующему параметру, выбор группы или пользователя, правило можно задать как для пользователя, так и для группы, в нашем случает пользователь «User».

Контроль приложений

Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Контроль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользователя. Для этого на рабочие станции пользователей требуется установить специальное приложение App.FirewallService. Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI-пакет (AuthFwInstall.msi), расположенные в директории %Usergate%\tools.

Перейдем в модуль «Контроль приложений – Правила», и создадим запрещающее правило, например, на запрет запуска IE. Жмем добавить группу, даем ей название и уже группе задаем правило.

Выбираем нашу созданную группу правил, можем поставить галочку «Правило по умолчанию», в этом случае правила добавятся в группу «Default_Rules»

Применяем правило к пользователю в свойствах пользователя

Теперь устанавливаем Auth.Client и App.Firewall на клиентскую станцию, после установки IE должен заблокироваться созданными ранее правилами.

Как мы видим, правило сработало, теперь отключим правила для пользователя, чтобы посмотреть отработку правила для сайта vk.com. После отключения правила на сервере usergate, нужно подождать 10 минут (время синхронизации с сервером). Пробуем зайти по прямой ссылке

Пробуем через поисковую систему google.com

Как видим правила срабатывают без каких-либо проблем.

Итак, в данной статье рассмотрена лишь небольшая часть функций. Опущены возможные настройки межсетевого экрана, правил маршрутизации, NAT- правил. UserGate Proxy & Firewall предоставляет большой выбор решений, даже немного больше. Продукт показал себя очень хорошо, а самое главное прост в настройке. Мы и в дальнейшем будет использовать его в обслуживании ИТ инфраструктур клиентов для решения типовых задач!

источник

Добавить комментарий

Adblock
detector