hjem Selvutvikling Konfigurerer usergate til å fungere med nettleseren. Sette opp Usergate - regnskap for Internett-trafikk i det lokale nettverket

Konfigurerer usergate til å fungere med nettleseren. Sette opp Usergate - regnskap for Internett-trafikk i det lokale nettverket

I denne artikkelen vil jeg fortelle deg om det nye produktet til Entensys, hvis partnere vi er på tre områder, UserGate Proxy & Firewall 6.2.1.

God dag kjære besøkende. Bak 2013, for noen var det vanskelig, for noen var det lett, men tiden løper, og gitt at ett nanosekund er 10 −9 med. så bare flyr den. I denne artikkelen vil jeg fortelle deg om et nytt produkt fra Entensys, hvis partnere vi er innen tre områder UserGate Proxy & Firewall 6.2.1.

Fra administrasjonssynspunktet av versjon 6.2 fra UserGate Proxy & Firewall 5.2F, er implementeringen som vi med suksess praktiserer i vår praksis med IT-outsourcing praktisk talt ikke-eksisterende. Vi vil bruke Hyper-V som et laboratoriemiljø, nemlig to førstegenerasjons virtuelle maskiner, en serverdel på Windows Server 2008 R2 SP1, og en klient Windows 7 SP1. Av en eller annen grunn ukjent for meg, er ikke UserGate versjon 6 installert på Windows Server 2012 og Windows Server 2012 R2.

Så hva er en proxy-server?

Proxy-server(fra den engelske proxy - "representant, autorisert") - en tjeneste (et sett med programmer) i datanettverk A som lar klienter komme med indirekte forespørsler til andre nettverkstjenester. Først kobler klienten seg til proxy-serveren og ber om en ressurs (for eksempel e-post) som ligger på en annen server. Proxyserveren kobler seg deretter enten til den angitte serveren og henter ressursen fra den, eller returnerer ressursen fra sin egen cache (i tilfeller hvor proxyen har sin egen cache). I noen tilfeller kan en klientforespørsel eller serversvar endres av en proxy-server for visse formål. I tillegg lar proxy-serveren deg beskytte klientens datamaskin mot noen nettverksangrep og bidrar til å opprettholde anonymiteten til klienten.

HvaslikUserGate Proxy og brannmur?

UserGate Proxy og brannmur er en omfattende løsning for å koble brukere til Internett, som gir fullverdig trafikkregnskap, tilgangskontroll og innebygde nettverksbeskyttelsesverktøy.

Fra definisjonen, la oss se på hvilke løsninger Entensys tilbyr i sitt produkt, hvordan trafikk beregnes, hvordan tilgang begrenses, og hvilke beskyttelsesverktøy UserGate Proxy & Firewall gir.

Hva består den avbrukergate?

UserGate består av flere deler: server, administrasjonskonsoll og flere tilleggsmoduler. Serveren er hoveddelen av proxy-serveren, som implementerer all funksjonalitet. UserGate-serveren gir tilgang til Internett, utfører trafikktelling, vedlikeholder statistikk over brukeraktivitet på nettverket og utfører mange andre oppgaver.

UserGate Administration Console er et program utviklet for å administrere UserGate-serveren. UserGate-administrasjonskonsollen kommuniserer med serverdelen via en spesiell sikker protokoll over TCP/IP, som tillater ekstern serveradministrasjon.

UserGate inkluderer tre tilleggsmoduler: "Web Statistics", "UserGate Authorization Client" og "Application Control"-modulen.

Server

Det er veldig enkelt å installere UserGate-backend, den eneste forskjellen er valget av database under installasjonsprosessen. Du får tilgang til databasen direkte (for den innebygde Firebird-databasen) eller via en ODBC-driver, som lar UserGate-serveren jobbe med databaser av nesten alle formater (MSAccess, MSSQL, MySQL). Som standard brukes Firebird-databasen. Hvis du bestemmer deg for å oppgradere UserGate fra tidligere versjoner, må du si farvel til statistikkdatabasen, fordi: For statistikkfilen støttes kun overføring av gjeldende brukersaldo, selve trafikkstatistikken vil ikke bli overført. Databaseendringene var forårsaket av ytelsesproblemer med den gamle og begrensninger på størrelsen. Den nye Firebird-databasen har ikke disse ulempene.

Starter administrasjonskonsollen.

Konsollen er installert på server-VM. Ved første oppstart åpnes administrasjonskonsollen til siden Tilkoblinger, som har en enkelt tilkobling til den lokale vertsserveren for administratorbrukeren. Tilkoblingspassordet er ikke angitt. Du kan koble administrasjonskonsollen til serveren ved å dobbeltklikke på localhost-administrator-linjen eller ved å klikke på koble til-knappen på kontrollpanelet. Du kan opprette flere tilkoblinger i UserGate-administrasjonskonsollen.

Tilkoblingsinnstillinger inkluderer følgende alternativer:

Servernavnet er navnet på tilkoblingen;
Brukernavn - logg inn for å koble til serveren;
Serveradresse – domenenavn eller IP-adresse til UserGate-serveren;
Port – TCP-port som brukes til å koble til serveren (port 2345 brukes som standard);
Passord – passord for tilkobling;
Be om passord når du kobler til – dette alternativet lar deg vise en dialogboks for å angi brukernavn og passord når du kobler til serveren;
Koble automatisk til denne serveren – administrasjonskonsollen vil automatisk koble til denne serveren ved oppstart.

Når du først starter serveren, tilbyr systemet en installasjonsveiviser, som vi nekter. Innstillinger for administrasjonskonsoll lagres i console.xml-filen som ligger i katalogen %UserGate%\Administrator.

Konfigurere tilkoblinger bak NAT. Avsnitt "Generelle NAT-innstillinger" lar deg angi tidsavbruddsverdien for NAT-tilkoblinger over TCP, UDP eller ICMP. Tidsavbruddsverdien bestemmer levetiden til en brukertilkobling gjennom NAT når dataoverføring over tilkoblingen er fullført. La oss la denne innstillingen være standard.

Angrepsdetektor er et spesielt alternativ som lar deg bruke den interne mekanismen til å overvåke og blokkere portskanneren eller forsøke å gripe alle porter på serveren.

Blokker etter nettleserlinje- en liste over User-Agents nettlesere som kan blokkeres av en proxy-server. De. du kan for eksempel forhindre at gamle nettlesere som IE 6.0 eller Firefox 3.x får tilgang til Internett.

Grensesnitt

Grensesnittsdelen er den viktigste i UserGate-serverinnstillingene, siden den bestemmer ting som riktigheten av trafikktelling, muligheten til å lage regler for en brannmur, begrense bredden på Internett-kanalen for visse typer trafikk, etablere relasjoner mellom nettverk, og rekkefølgen som pakker behandles i av NAT-driveren. Grensesnitt-fanen, velg ønsket type for grensesnitt. Så, for en adapter koblet til Internett, bør du velge WAN-typen, for en adapter koblet til et lokalt nettverk, velg LAN-typen. Tilgang til Internett for VM er delt, henholdsvis grensesnittet med adressen 192.168.137.118 vil være en WAN-adapter, velg ønsket type og klikk "Bruk". Etter at vi har startet serveren på nytt.

Brukere og grupper

Tilgang til Internett gis kun til brukere som har bestått autorisasjon på UserGate-serveren. Programmet støtter følgende metoder brukerautorisasjoner:

Etter IP-adresse
Etter rekkevidde av IP-adresser
Etter IP+MAC-adresse
Etter MAC-adresse
Autorisasjon ved hjelp av HTTP (HTTP-basic, NTLM)
Autorisasjon via pålogging og passord (autorisasjonsklient)
Forenklet versjon av autorisasjon gjennom Active Directory

For å bruke de tre siste autorisasjonsmetodene, må en spesiell applikasjon installeres på brukerens arbeidsstasjon - UserGate-autorisasjonsklienten. Den korresponderende MSI-pakken (AuthClientInstall.msi) ligger i %UserGate%\tools-katalogen og kan brukes for automatisk gruppepolicyinstallasjon i Active Directory.

For terminalbrukere er kun alternativet "Autorisasjon ved hjelp av HTTP" tilgjengelig. Det tilsvarende alternativet er aktivert i elementet Generelle innstillinger i administrasjonskonsollen.

Du kan opprette en ny bruker gjennom elementet Legg til ny bruker eller ved å klikke på knappen Legge til i kontrollpanelet på siden Brukere og grupper.

Det er en annen måte å legge til brukere på - skanne nettverket med ARP-forespørsler. Du må klikke videre tomt sted i administrasjonskonsollen på siden brukere og velg element skanne lokalt nettverk. Angi deretter de lokale nettverksinnstillingene og vent på skanneresultatene. Som et resultat vil du se en liste over brukere som kan legges til UserGate. Vel, la oss sjekke, klikk "Skann lokalt nettverk"

Angi parametere:

Virker!

Legger til en bruker

Det er verdt å minne om at UserGate har autentiseringsprioritet, først fysisk og deretter logisk. Denne metoden er ikke pålitelig, fordi bruker kan endre ip-adresse. Vi vil klare å importere Active Directory-kontoer, som vi enkelt kan importere ved å klikke på Importer-knappen, deretter Velg, og kontonavnet vårt, Ok, Ok.

Velg "Gruppe", la standard "standard"

Klikk "OK" og lagre endringene.

Vår bruker ble lagt til uten problemer. Det er også mulig å synkronisere AD-grupper på fanen "Grupper".

Sette opp proxy-tjenester i UserGate

Følgende proxyer er integrert i UserGate-serveren: HTTP (med støtte for "FTP over HTTP" og HTTPS, - Connect-metoden), FTP, SOCKS4, SOCKS5, POP3 og SMTP, SIP og H323. Innstillinger for proxy-server er tilgjengelige i delen Tjenester → Proxy-innstillinger i administrasjonskonsollen. De viktigste proxy-serverinnstillingene inkluderer: grensesnitt og portnummer som proxyen fungerer på. Så la oss for eksempel aktivere en gjennomsiktig HTTP-proxy på LAN-grensesnittet vårt. La oss gå til "Proxy-innstillinger", velg HTTP.

Velg grensesnittet vårt, la alt stå som standard og klikk "OK"

Bruker gjennomsiktig modus

"Transparent Mode"-funksjonen i proxy-serverinnstillingene er tilgjengelig hvis UserGate-serveren er installert sammen med NAT-driveren. I transparent modus lytter UserGate NAT-driveren på standardporter for tjenester: 80 TCP for HTTP, 21 TCP for FTP, 110 og 25 TCP for POP3 og SMTP på nettverksgrensesnittene til UserGate-datamaskinen. Hvis det er forespørsler, sender den dem til den tilsvarende UserGate proxy-serveren. Når du bruker gjennomsiktig modus i nettverksapplikasjoner, trenger ikke brukere å spesifisere adressen og porten til proxy-serveren, noe som betydelig reduserer administratorens arbeid når det gjelder å gi lokal nettverkstilgang til Internett. Men i nettverksinnstillingene til arbeidsstasjonene må UserGate-serveren angis som en gateway, og adressen til DNS-serveren må spesifiseres.

Mail proxyer i UserGate

E-postproxy-servere i UserGate er designet for å fungere med POP3- og SMTP-protokoller og for antivirusskanning av e-posttrafikk. Når du bruker den gjennomsiktige modusen til POP3 og SMTP-proxy, skiller ikke e-postklientinnstillingen på brukerens arbeidsstasjon seg fra innstillingene som tilsvarer alternativet med direkte tilgang til Internett.

Hvis UserGate POP3-proxyen brukes i ugjennomsiktig modus, må IP-adressen til UserGate-datamaskinen og porten som tilsvarer UserGate POP3-proxyen spesifiseres som POP3-serveradressen i innstillingene til e-postklienten på brukerens arbeidsstasjon. . I tillegg er påloggingen for autorisasjon på en ekstern POP3-server spesifisert i følgende format: e-postadresse@POP3_server_adresse. For eksempel hvis brukeren har en postkasse [e-postbeskyttet], så som pålogging på UserGate POP3-proxy i e-postklienten, må du spesifisere: [e-postbeskyttet]@pop.mail123.com. Dette formatet er nødvendig slik at UserGate-serveren kan bestemme adressen til den eksterne POP3-serveren.

Hvis UserGate SMTP-proxyen brukes i ugjennomsiktig modus, må du i proxy-innstillingene spesifisere IP-adressen og porten til SMTP-serveren som UserGate vil bruke til å sende e-post. I dette tilfellet, i innstillingene til e-postklienten på brukerens arbeidsstasjon, må IP-adressen til UserGate-serveren og porten som tilsvarer UserGate SMTP-proxyen angis som SMTP-serveradressen. Hvis autorisasjon kreves for sending, må du i e-postklientinnstillingene spesifisere påloggingsinformasjonen og passordet som tilsvarer SMTP-serveren som er angitt i SMTP-proxyinnstillingene i UserGate.

Vel, det høres kult ut, la oss sjekke det med mail.ru.

Først av alt, la oss aktivere POP3- og SMTP-proxyer på serveren vår. Når du aktiverer POP3, spesifiser LAN-grensesnittet, standard port 110.

Og sørg også for at det ikke er noen hake på "Transparent proxy" og klikk "OK" og "Bruk"

Fjern merket for "Transparent modus" og skriv "Eksterne serverinnstillinger", i vårt tilfelle smtp.mail.ru. Og hvorfor bare én server er spesifisert? Og her er svaret: det antas at organisasjonen bruker en enkelt smtp-server, det er han som er angitt i SMTP-proxy-innstillingene.

Den første regelen for POP3 skal se slik ut.

For det andre, som Alexander Nevsky ville sagt "Det er det"

Ikke glem "Bruk"-knappen og fortsett til klientinnstillingene. Som vi husker, "Hvis UserGate POP3-proxyen brukes i ugjennomsiktig modus, må IP-adressen til datamaskinen med UserGate og porten som tilsvarer UserGate POP3-proxyen i innstillingene til e-postklienten på brukerens arbeidsstasjon være spesifisert som POP3-serveradressen. I tillegg er påloggingen for autorisasjon på en ekstern POP3-server spesifisert i følgende format: email_address@POP3_server_address". Vi handler.

Først autoriserer vi i autorisasjonsklienten, åpner deretter Outlook som vanlig, i vårt eksempel opprettet jeg en testpostboks [e-postbeskyttet], og foreta innstillinger, som indikerer postkassen vår i et format som er forståelig for UserGate [e-postbeskyttet]@pop.mail.ru, samt POP- og SMTP-servere, adressen til vår proxy.

Klikk "Kontobekreftelse..."

Havnetildeling

UserGate støtter portvideresendingsfunksjonen. Hvis det er regler for tildeling av porter, omdirigerer UserGate-serveren brukerforespørsler som kommer til en spesifikk port på et spesifisert nettverksgrensesnitt på en datamaskin med UserGate til en annen spesifisert adresse og port, for eksempel til en annen datamaskin på det lokale nettverket. Port Forwarding-funksjonen er tilgjengelig for TCP- og UDP-protokoller.

Hvis portkartlegging brukes til å gi Internett-tilgang til en intern bedriftsressurs, må du velge Spesifisert bruker som autorisasjonsalternativ, ellers vil ikke portvideresending fungere. Ikke glem å aktivere Remote Desktop.

Bufferinnstillinger

Et av formålene med en proxy-server er å bufre nettverksressurser. Bufring reduserer belastningen på Internett-tilkoblingen din og gir raskere tilgang til ofte besøkte ressurser. UserGate-proxyserveren utfører HTTP- og FTP-trafikkbufring. Bufrede dokumenter plasseres i den lokale mappen %UserGate_data%\Cache. Bufferinnstillingene spesifiserer: hurtigbufferstørrelsesgrensen og lagringstiden for hurtigbufrede dokumenter.

Antivirus sjekk

Tre antivirusmoduler er integrert i UserGate-serveren: Kaspersky Lab antivirus, Panda Security og Avira. Alle antivirusmoduler er designet for å skanne innkommende trafikk gjennom HTTP-, FTP- og UserGate-postproxyer, samt utgående trafikk gjennom SMTP-proxyer.

Antivirusmodulinnstillinger er tilgjengelige i Tjenester → Antivirus-delen av administrasjonskonsollen. For hvert antivirus kan du spesifisere hvilke protokoller det skal sjekke, angi frekvensen for oppdatering av antivirusdatabaser, og også spesifisere nettadresser som ikke må sjekkes (alternativ for URL-filter). I tillegg kan du i innstillingene spesifisere en gruppe brukere hvis trafikk ikke trenger å bli utsatt for antivirusskanning.

Før du slår på antiviruset, må du først oppdatere databasene.

Etter funksjonene ovenfor, la oss gå videre til de ofte brukte, disse er "Trafikkstyring" og "Application Control".

Trafikkregler system

UserGate-serveren gir muligheten til å kontrollere brukertilgang til Internett ved å bruke trafikkkontrollregler. Trafikkkontrollregler er utformet for å forby tilgang til visse nettverksressurser, for å sette grenser for trafikkforbruk, for å lage en tidsplan for brukere å jobbe på Internett og for å overvåke tilstanden til en brukerkonto.

I vårt eksempel vil vi begrense tilgangen til en bruker som har vk.com i forespørselen til en hvilken som helst ressurs. For å gjøre dette, gå til "Trafikkstyring - Regler"

Vi gir navnet på regelen og handlingen "Lukk tilkobling"

Etter å ha lagt til nettstedet, gå til neste parameter, velg en gruppe eller bruker, regelen kan settes for både brukeren og gruppen, i vårt tilfelle brukeren "Bruker".

Applikasjonskontroll

Politikken for tilgangskontroll for Internett fikk en logisk fortsettelse i form av Application Control-modulen (Application Firewall). UserGate-administratoren kan tillate eller nekte tilgang til Internett, ikke bare for brukere, men også for nettverksapplikasjoner på brukerens arbeidsstasjon. For å gjøre dette må du installere en spesiell App.FirewallService-applikasjon på brukerarbeidsstasjoner. Pakken kan installeres både gjennom den kjørbare filen og gjennom den tilsvarende MSI-pakken (AuthFwInstall.msi) som ligger i katalogen %Usergate%\tools.

La oss gå til modulen "Application Control - Rules" og lage en forbudsregel, for eksempel for å forby lansering av IE. Klikk på legg til en gruppe, gi den et navn og angi regelen for gruppen.

Vi velger vår opprettede regelgruppe, vi kan merke av for "Standardregel", i dette tilfellet vil reglene bli lagt til "Standard_regler"-gruppen

Bruk regel på bruker i brukeregenskaper

Nå installerer vi Auth.Client og App.Firewall på klientstasjonen, etter installasjonen skal IE være blokkert av reglene opprettet tidligere.

Som vi kan se, fungerte regelen, la oss nå deaktivere reglene for brukeren for å se hvordan regelen for vk.com-siden fungerer. Etter å ha deaktivert regelen på brukergateserveren, må du vente 10 minutter (synkroniseringstid med serveren). Prøver å få tilgang til direktelenken

Prøver gjennom søkemotor google.com

Som du ser fungerer reglene uten problemer.

Så i denne artikkelen vurderes bare en liten del av funksjonene. Mulige brannmurinnstillinger, rutingsregler, NAT-regler er utelatt. UserGate Proxy & Firewall tilbyr et bredt spekter av løsninger, enda litt mer. Produktet viste seg å være veldig bra, og viktigst av alt, det er enkelt å sette opp. Vi vil fortsette å bruke det i vedlikehold av kundens IT-infrastruktur for å løse typiske problemer!

I dag har ledelsen, sannsynligvis, av alle selskaper allerede satt pris på mulighetene Internett gir for å gjøre forretninger. Dette handler selvsagt ikke om nettbutikker og e-handel, som uansett hva man kan si i dag er mer markedsføringsverktøy enn ekte måteøkning i omsetningen av varer eller tjenester. Det globale nettverket er et utmerket informasjonsmiljø, en nesten uuttømmelig kilde til en lang rekke data. I tillegg gir det rask og billig kommunikasjon med både kunder og partnere i firmaet. Du kan ikke avslå mulighetene til Internett for markedsføring. Dermed viser det seg at Global Network generelt sett kan betraktes som et multifunksjonelt forretningsverktøy som kan øke effektiviteten til selskapets ansatte i å utføre sine plikter.

Men først må du gi disse ansatte tilgang til Internett. Bare å koble én datamaskin til det globale nettverket er ikke et problem i dag. Det er mange måter dette kan gjøres på. Det er også mange selskaper som tilbyr en praktisk løsning på dette problemet. Men det er usannsynlig at Internett på én datamaskin vil kunne gi betydelige fordeler for selskapet. Tilgang til nettverket bør være tilgjengelig for hver ansatt fra hans arbeidsplass. Og her kan vi ikke klare oss uten spesiell programvare, den såkalte proxy-serveren. I prinsippet gjør egenskapene til operativsystemene til Windows-familien det mulig å gjøre enhver Internett-tilkobling offentlig. I dette tilfellet vil andre datamaskiner fra det lokale nettverket få tilgang til det. Denne avgjørelsen er imidlertid neppe verdt å vurdere i det minste litt seriøst. Faktum er at når du velger det, må du glemme kontrollen over bruken av det globale nettverket av selskapets ansatte. Det vil si at enhver person fra enhver bedriftsdatamaskin kan få tilgang til Internett og gjøre hva de vil der. Og hva det truer, er det sannsynligvis ingen som trenger å forklare.

Dermed er den eneste akseptable måten for selskapet å organisere tilkoblingen til alle datamaskiner som er inkludert i bedriftens lokale nettverk en proxy-server. I dag er det mange programmer av denne klassen på markedet. Men vi skal bare snakke om én utvikling. Den heter UserGate, og den ble laget av eSafeLine-spesialister. Hovedfunksjonene til dette programmet er bred funksjonalitet og et veldig praktisk russisk-språklig grensesnitt. I tillegg er det verdt å merke seg at det er i stadig utvikling. Nylig ble en ny, fjerde versjon av dette produktet presentert for publikum.

Så UserGate. Dette programvare består av flere separate moduler. Den første er selve serveren. Den må installeres på en datamaskin som er direkte koblet til Internett (Internett-gateway). Det er serveren som implementerer brukertilgang til det globale nettverket, beregner brukt trafikk, fører statistikk over arbeid osv. Den andre modulen er laget for å administrere systemet. Med dens hjelp utfører den ansvarlige ansatte alle proxy-serverinnstillingene. Hovedtrekket til UserGate i denne forbindelse er at administrasjonsmodulen ikke må plasseres på Internett-gatewayen. Og dermed, vi snakker om ekstern proxy-administrasjon. Dette er veldig bra, siden systemadministratoren får muligheten til å administrere internettilgang direkte fra sin arbeidsplass.

I tillegg inkluderer UserGate ytterligere to separate programvaremoduler. Den første av dem er nødvendig for praktisk visning av Internett-bruksstatistikk og generering av rapporter basert på den, og den andre er for brukerautorisasjon i noen tilfeller. Denne tilnærmingen er perfekt kombinert med det russiskspråklige og intuitive grensesnittet til alle moduler. Sammen lar dette deg raskt og uten problemer sette opp en delt tilgang til det globale nettverket på ethvert kontor.

Men la oss fortsatt gå videre til analysen av funksjonaliteten til UserGate proxy-serveren. Du må begynne med det faktum at dette programmet umiddelbart implementerer to forskjellige måter å konfigurere DNS på (kanskje den viktigste oppgaven når du implementerer offentlig tilgang). Den første er NAT (Network Address Translation). Det gir svært nøyaktig regnskap over forbrukt trafikk og lar brukere bruke alle protokoller som er tillatt av administratoren. Riktignok er det verdt å merke seg at noen nettverksapplikasjoner i dette tilfellet ikke vil fungere riktig. Det andre alternativet er DNS-videresending. Den har flere begrensninger enn NAT, men den kan brukes på datamaskiner med utdaterte driftsfamilier (Windows 95, 98 og NT).

Tillatelser til å jobbe på Internett er konfigurert ved hjelp av konseptene "bruker" og "brukergruppe". Og interessant nok, i UserGate proxy-serveren er ikke brukeren nødvendigvis en person. En datamaskin kan også spille sin rolle. Det vil si at i det første tilfellet er tilgang til Internett tillatt for visse ansatte, og i det andre - til alle personer som har satt seg ned ved en slags PC. Naturligvis brukes forskjellige metoder for brukerautorisasjon i dette tilfellet. Hvis vi snakker om datamaskiner, kan de identifiseres med IP-adresse, en haug med IP- og MAC-adresser, en rekke IP-adresser. For autorisasjon av ansatte kan det benyttes spesielle innloggings-/passordpar, data fra Active Directory, navn og passord som samsvarer med Windows autorisasjonsinformasjon etc. Brukere kan kombineres i grupper for enkel konfigurering. Denne tilnærmingen lar deg administrere tilgang umiddelbart for alle ansatte med samme rettigheter (plassert i samme posisjoner), og ikke konfigurere hver regnskap hver for seg.

UserGate proxy-serveren har også sitt eget faktureringssystem. Administratoren kan sette et hvilket som helst antall tariffer som beskriver hvor mye en enhet innkommende eller utgående trafikk eller tilkoblingstid koster. Dette lar deg føre en nøyaktig oversikt over alle Internett-utgifter med referanse til brukere. Det vil si at selskapets ledelse alltid vil vite hvem som brukte hvor mye. Forresten, tariffer kan gjøres avhengig av gjeldende tidspunkt, noe som lar deg gjengi prispolitikken til leverandøren nøyaktig.

UserGate proxy-serveren lar deg implementere hvilken som helst, uansett hvor komplisert, bedriftens Internett-tilgangspolicy. Til dette brukes såkalte regler. Med deres hjelp kan administratoren sette grenser for brukere etter arbeidstid, etter mengden trafikk som sendes eller mottas per dag eller måned, etter hvor mye tid som brukes per dag eller måned osv. Hvis disse grensene overskrides, får tilgang til Globalt nettverk vil automatisk bli blokkert. I tillegg kan du ved å bruke regler pålegge begrensninger på tilgangshastigheten til individuelle brukere eller hele gruppene deres.

Et annet eksempel på bruk av regler er begrensninger på tilgang til visse IP-adresser eller deres områder, til hele domenenavn eller adresser som inneholder visse strenger osv. Det vil si at vi faktisk snakker om filtreringssider, som kan brukes til å ekskludere besøker ansatte i uønskede nettprosjekter. Men dette er selvsagt langt fra alle eksempler på reglenes anvendelse. Med deres hjelp kan du for eksempel implementere tariffbytte avhengig av dette øyeblikket nettsted (påkrevd for å ta hensyn til foretrukket trafikk som finnes hos noen leverandører), konfigurer kutting reklamebannere etc.

Vi har forresten allerede sagt at UserGate proxy-serveren har en egen modul for arbeid med statistikk. Ved å bruke den kan administratoren se den forbrukte trafikken når som helst (totalt for hver bruker, for brukergrupper, for nettsteder, for server-IP-adresser, etc.). Og alt dette gjøres veldig raskt ved hjelp av et praktisk filtersystem. I tillegg implementerer denne modulen en rapportgenerator, som administratoren kan lage en hvilken som helst rapport med og eksportere den til MS Excel.

En veldig interessant løsning for utviklere er å bygge inn en antivirusmodul i brannmuren, som kontrollerer all innkommende og utgående trafikk. Dessuten oppfant de ikke hjulet på nytt, men integrerte utviklingen av Kaspersky Lab. Denne løsningen garanterer for det første virkelig pålitelig beskyttelse mot alle skadelige programmer, og for det andre regelmessig oppdatering av signaturdatabaser. En annen viktig når det gjelder informasjonssikkerhet en mulighet er den innebygde brannmuren. Og her ble den laget av UserGate-utviklere på egen hånd. Dessverre er det verdt å merke seg at brannmuren integrert i proxy-serveren er ganske forskjellig i sine evner fra de ledende produktene på dette området. Strengt tatt snakker vi om en modul som ganske enkelt blokkerer trafikk som går gjennom portene og protokollene spesifisert av administratoren til og fra datamaskiner med spesifiserte IP-adresser. Den har ikke en stealth-modus, eller noen andre, generelt sett, funksjoner som er obligatoriske for brannmurer.

Dessverre kan ikke én artikkel inneholde en detaljert oversikt over alle funksjonene til UserGate-proxyserveren. Derfor, la oss i det minste bare liste opp de mest interessante av dem som ikke var inkludert i vår anmeldelse. For det første er dette caching av filer lastet ned fra Internett, som lar deg virkelig spare penger på leverandørtjenester. For det andre er det verdt å merke seg portkartleggingsfunksjonen, som lar deg binde hvilken som helst valgt port på et av de lokale Ethernet-grensesnittene til ønsket port til en ekstern vert (denne funksjonen er nødvendig for drift av nettverksapplikasjoner: bank-klientsystemer , ulike spill osv.). I tillegg implementerer UserGate proxy-serveren funksjoner som tilgang til interne bedriftsressurser, oppgaveplanlegger, tilkobling til en proxy-kaskade, overvåking av trafikk og IP-adresser til aktive brukere, deres pålogginger, besøkte URL-er i sanntid og mye, mye mer. annen.

Vel, nå er det på tide å gjøre status. Vi, kjære lesere, har analysert UserGate proxy-serveren i noen detalj, som du kan organisere generell tilgang til Internett med på ethvert kontor. Og vi var overbevist om at denne utviklingen kombinerer enkelhet og enkel oppsett og bruk med et svært omfattende sett med funksjonalitet. Alt dette gjør siste versjon UserGate er et veldig attraktivt produkt.

Å dele Internett-tilgang mellom brukere av lokale nettverk er en av de vanligste oppgavene som systemadministratorer må møte. Likevel reiser det fortsatt mange vanskeligheter og spørsmål. For eksempel – hvordan sikre maksimal sikkerhet og full håndterbarhet?

Introduksjon

I dag skal vi se nærmere på hvordan du organiserer internettdeling for ansatte i et hypotetisk selskap. La oss anta at antallet deres vil være i området 50-100 personer, og alle de vanlige tjenestene for slike informasjonssystemer er distribuert i det lokale nettverket: Windows-domene, egen e-postserver, FTP-server.

For å gi deling vil vi bruke en løsning som heter UserGate Proxy & Firewall. Den har flere funksjoner. For det første er det rent. russisk utvikling, i motsetning til mange lokaliserte produkter. For det andre har den mer enn ti års historie. Men det viktigste er den konstante utviklingen av produktet.

De første versjonene av denne løsningen var relativt enkle proxy-servere som bare kunne dele en enkelt Internett-tilkobling og føre statistikk over bruken. Den mest utbredte blant dem var build 2.8, som fortsatt finnes på små kontorer. Utviklerne selv kaller ikke lenger den siste, sjette versjonen, en proxy-server. Ifølge dem er dette en fullverdig UTM-løsning som dekker en hel rekke oppgaver knyttet til sikkerhet og kontroll av brukerhandlinger. La oss se om det er tilfelle.

Distribuere UserGate Proxy & Firewall

Under installasjonen er to stadier av interesse (de resterende trinnene er standard for installasjon av programvare). Den første er valg av komponenter. I tillegg til de grunnleggende filene, er vi invitert til å installere ytterligere fire serverkomponenter - en VPN, to antivirus (Panda og Kaspersky Anti-Virus) og en cache-nettleser.

VPN-servermodulen installeres etter behov, det vil si når bedriften planlegger å bruke fjerntilgang for ansatte eller å kombinere flere eksterne nettverk. Det er fornuftig å installere antivirus bare hvis de riktige lisensene er kjøpt fra selskapet. Deres tilstedeværelse vil tillate skanning av Internett-trafikk, lokalisering og blokkering av skadelig programvare direkte på gatewayen. Cache Browser lar deg se nettsider som er bufret av proxy-serveren.

Ekstra funksjoner

Forbud mot uønskede nettsteder

Løsningen støtter Entensys URL-filtreringsteknologi. Faktisk er det en skybasert database som inneholder mer enn 500 millioner nettsteder på forskjellige språk, delt inn i mer enn 70 kategorier. Hovedforskjellen er konstant overvåking, hvor nettprosjekter overvåkes konstant, og når innholdet endres, overføres de til en annen kategori. Dette lar deg forby alle uønskede nettsteder med høy grad av nøyaktighet, ganske enkelt ved å velge visse kategorier.

Bruken av Entensys URL-filtrering øker sikkerheten ved å jobbe på Internett, og forbedrer også effektiviteten til ansatte (ved å forby sosiale nettverk, underholdningssider, etc.). Bruken krever imidlertid et betalt abonnement, som må fornyes hvert år.

I tillegg inkluderer distribusjonen ytterligere to komponenter. Den første er "Admin Console". Dette er en egen applikasjon designet, som navnet tilsier, for å administrere UserGate Proxy & Firewall-serveren. Hovedfunksjonen er muligheten til å koble til eksternt. Dermed trenger ikke administratorer eller personer som er ansvarlige for bruk av Internett direkte tilgang til Internett-gatewayen.

Den andre tilleggskomponenten er nettstatistikk. Faktisk er det en nettserver som lar deg vise detaljert statistikk over bruken av det globale nettverket til selskapets ansatte. På den ene siden er det uten tvil en nyttig og praktisk komponent. Tross alt lar den deg motta data uten å installere ekstra programvare, inkludert via Internett. Men på den annen side tar det opp ekstra systemressurser til Internett-gatewayen. Derfor er det bedre å installere det bare når det virkelig er nødvendig.

Det andre trinnet du bør være oppmerksom på under installasjonen av UserGate Proxy & Firewall er valg av en database. I tidligere versjoner kunne UGPF bare fungere med MDB-filer, noe som påvirket ytelsen til systemet som helhet. Nå er det et valg mellom to DBMS - Firebird og MySQL. Dessuten er den første inkludert i distribusjonssettet, så når du velger det, er det ikke nødvendig med ytterligere manipulasjoner. Hvis du ønsker å bruke MySQL, må du først installere og konfigurere det. Etter at installasjonen av serverkomponenter er fullført, er det nødvendig å forberede arbeidsplassene til administratorer og andre ansvarlige ansatte som kan administrere brukertilgang. Det er veldig enkelt å gjøre dette. Det er nok å installere administrasjonskonsollen på deres fungerende datamaskiner fra samme distribusjonssett.

Ekstra funksjoner

Innebygd VPN-server

Versjon 6.0 introduserte VPN-serverkomponenten. Den kan brukes til å organisere sikker fjerntilgang bedriftens ansatte til et lokalt nettverk eller å kombinere eksterne nettverk individuelle grener av organisasjonen i ett enkelt informasjonsrom. Denne VPN-serveren har alt nødvendig funksjonalitetå lage server-server og klient-server tunneler og ruting mellom subnett.

Grunnleggende oppsett

All konfigurasjon av UserGate Proxy & Firewall utføres ved hjelp av administrasjonskonsollen. Som standard, etter installasjon, har den allerede en tilkobling til den lokale serveren. Men hvis du bruker den eksternt, må du opprette tilkoblingen manuelt ved å spesifisere IP-adressen eller vertsnavnet for Internett-gatewayen, nettverksporten (2345 som standard) og autorisasjonsparametere.

Etter å ha koblet til serveren, er den første tingen å gjøre å konfigurere nettverksgrensesnittene. Du kan gjøre dette på "Grensesnitt"-fanen i delen "UserGate Server". For nettverkskortet som "ser" inn i lokalnettet setter vi typen til LAN, og til alle andre tilkoblinger - WAN. "Midlertidige" tilkoblinger, som PPPoE, VPN, blir automatisk tildelt PPP-typen.

Hvis et selskap har to eller flere WAN-tilkoblinger, hvorav den ene er primær og de andre er redundante, kan du sette opp automatisk redundans. Å gjøre dette er ganske enkelt. Det er nok å legge til de nødvendige grensesnittene til listen over reserver, spesifisere en eller flere kontrollressurser og tidspunktet for deres kontroll. Prinsippet for drift av dette systemet er som følger. UserGate sjekker automatisk tilgjengeligheten til kontrollsteder med det angitte intervallet. Så snart de slutter å svare, bytter produktet automatisk, uten administratorinnblanding, til backup-kanalen. Samtidig fortsetter kontrollen av tilgjengeligheten til kontrollressurser på hovedgrensesnittet. Og så snart det er vellykket, blir tilbakekoblingen automatisk utført. Det eneste du trenger å være oppmerksom på når du setter opp, er valg av kontrollressurser. Det er bedre å ta flere store nettsteder, hvis stabil drift er nesten garantert.

Ekstra funksjoner

Nettverksapplikasjonskontroll

UserGate Proxy & Firewall implementerer en så interessant funksjon som kontroll over nettverksapplikasjoner. Formålet er å forhindre uautorisert programvare fra å få tilgang til Internett. Som en del av kontrolloppsettet opprettes regler som tillater eller blokkerer nettverksarbeid ulike programmer (med eller uten versjon). De kan spesifisere spesifikke destinasjons-IP-adresser og porter, som lar deg fleksibelt konfigurere programvaretilgang, slik at den bare kan utføre visse handlinger på Internett.

Applikasjonskontroll lar deg utvikle en klar bedriftspolicy for bruk av programmer, og delvis forhindre spredning av skadelig programvare.

Etter det kan du fortsette direkte til å sette opp proxy-servere. Totalt er syv av dem implementert i løsningen som vurderes: for HTTP-protokollene (inkludert HTTP-er), FTP, SOCKS, POP3, SMTP, SIP og H323. Dette er nesten alt som kan være nødvendig for arbeidet til bedriftsansatte på Internett. Som standard er bare HTTP-proxyen aktivert, alle andre kan aktiveres om nødvendig.

Proxy-servere i UserGate Proxy & Firewall kan operere i to moduser - normal og transparent. I det første tilfellet snakker vi om en tradisjonell proxy. Serveren mottar forespørsler fra brukere og videresender dem til eksterne servere, og sender de mottatte svarene til klienter. Dette er en tradisjonell løsning, men den har sine ulemper. Spesielt er det nødvendig å konfigurere hvert program som brukes til å fungere på Internett (nettleser, e-postklient, ICQ, etc.) på hver datamaskin i det lokale nettverket. Dette er selvfølgelig en stor jobb. Dessuten, med jevne mellomrom, etter hvert som ny programvare installeres, vil det bli gjentatt.

Når du velger en transparent modus, brukes en spesiell NAT-driver, som er inkludert i leveringspakken til den aktuelle løsningen. Den lytter på de riktige portene (80. for HTTP, 21. for FTP, og så videre), oppdager innkommende forespørsler på dem og sender dem til proxy-serveren, hvorfra de sendes videre. Denne løsningen er mer vellykket i den forstand at programvarekonfigurasjon på klientmaskiner ikke lenger er nødvendig. Det eneste som kreves er å angi IP-adressen til Internett-gatewayen som hovedgateway i nettverkstilkoblingen til alle arbeidsstasjoner.

Det neste trinnet er å sette opp videresending av DNS-spørringer. Dette kan gjøres på to måter. Den enkleste av dem er å aktivere såkalt DNS-videresending. Når du bruker den, blir DNS-forespørsler som kommer til Internett-gatewayen fra klienter omdirigert til de spesifiserte serverne (du kan bruke enten en DNS-server fra neeller en hvilken som helst vilkårlig DNS-server).

Det andre alternativet er å lage en NAT-regel som vil motta forespørsler på den 53. (standard for DNS) porten og videresende dem til det eksterne nettverket. Men i dette tilfellet må du enten registrere DNS-servere manuelt på alle datamaskiner ine, eller konfigurere sending av DNS-spørringer gjennom Internett-gatewayen fra domenekontrollerserveren.

brukeradministrasjon

Etter å ha fullført det grunnleggende oppsettet, kan du fortsette å jobbe med brukere. Du må starte med å opprette grupper som kontoer senere skal kombineres til. Hva er den til? Først for påfølgende integrasjon med Active Directory. Og for det andre kan du tilordne regler til grupper (vi snakker om dem senere), og dermed kontrollere tilgangen for et stort antall brukere samtidig.

Det neste trinnet er å legge til brukere i systemet. Dette kan gjøres på tre forskjellige måter. Den første av dem, den manuelle opprettelsen av hver konto, vurderer vi ikke engang av åpenbare grunner. Dette alternativet er kun egnet for små nettverk med et lite antall brukere. Den andre måten er å skanne bedriftsnettverket med ARP-forespørsler, der systemet selv bestemmer listen over mulige kontoer. Vi velger imidlertid det tredje alternativet, som er det mest optimale når det gjelder enkelhet og enkel administrasjon – integrasjon med Active Directory. Det utføres på grunnlag av tidligere opprettede grupper. Først må du fylle ut de generelle integrasjonsinnstillingene: spesifiser domenet, adressen til kontrolleren, brukernavnet og passordet til brukeren med nødvendige tilgangsrettigheter til det, samt synkroniseringsintervallet. Etter det må hver gruppe opprettet i UserGate tildeles en eller flere grupper fra Active Directory. Faktisk slutter oppsettet her. Etter å ha lagret alle innstillingene, vil synkronisering utføres i automatisk modus.

Brukere opprettet under autorisasjon vil som standard bruke NTLM-autorisasjon, det vil si autorisasjon ved domenepålogging. Dette er et veldig praktisk alternativ, siden reglene og trafikkregnskapssystemet vil fungere uavhengig av hvilken datamaskin brukeren for øyeblikket sitter på.

Riktignok, for å bruke denne autorisasjonsmetoden, en ekstra programvare- spesiell klient. Dette programmet fungerer på Winsock-nivå og sender brukerautorisasjonsparametere til Internett-gatewayen. Distribusjonssettet er inkludert i distribusjonspakken UserGate Proxy & Firewall. Du kan raskt installere klienten på alle arbeidsstasjoner ved å bruke Windows gruppepolicyer.

For øvrig er NTLM-autorisasjon langt fra den eneste metoden for å autorisere bedriftsansatte til å jobbe på Internett. For eksempel, hvis en organisasjon praktiserer en hard binding av arbeidere til arbeidsstasjoner, kan du bruke en IP-adresse, en MAC-adresse eller en kombinasjon av begge for å identifisere brukere. Ved å bruke de samme metodene kan du organisere tilgang til det globale nettverket til forskjellige servere.

Brukerkontroll

En av de betydelige fordelene med UGPF er det brede utvalget for brukerkontroll. De implementeres ved hjelp av et system med trafikkkontrollregler. Prinsippet for arbeidet er veldig enkelt. Administrator (eller annen ansvarlig person) oppretter et sett med regler, som hver representerer én eller flere utløserbetingelser og en handling som skal utføres. Disse reglene er tildelt individuelle brukere eller hele gruppene deres, og lar deg automatisk kontrollere arbeidet deres på Internett. Det er fire mulige handlinger totalt. Den første er å lukke forbindelsen. Den tillater for eksempel å forby nedlasting av visse filer, forhindre besøk på uønskede nettsteder og så videre. Det andre trinnet er å endre tariffen. Det brukes i faktureringssystemet, som er integrert i det aktuelle produktet (vi vurderer det ikke, siden det ikke er spesielt relevant for bedriftsnettverk). Den neste handlingen lar deg deaktivere tellingen av trafikk mottatt innenfor denne forbindelsen. I dette tilfellet tas ikke den overførte informasjonen i betraktning når det daglige, ukentlige og månedlige forbruket summeres. Og til slutt, den siste handlingen er å begrense hastigheten til den angitte verdien. Det er veldig praktisk å bruke det for å forhindre "tilstopping" av kanalen når du laster ned store filer og løser andre lignende problemer.

Det er mye flere forhold i trafikkkontrollreglene - rundt ti. Noen av disse er relativt enkle, for eksempel maksimal filstørrelse. Denne regelen utløses når brukere prøver å laste opp en fil som er større enn den angitte størrelsen. Andre forhold er bundet til tid. Spesielt blant dem kan man merke seg tidsplanen (utløses etter tid og ukedager) og helligdager (utløses på angitte dager).

Det mest interessante er imidlertid forholdene knyttet til nettsteder og innhold. Spesielt kan de brukes til å blokkere eller angi andre handlinger på visse typer innhold (for eksempel video, lyd, kjørbare filer, tekst, bilder osv.), spesifikke nettprosjekter eller hele deres kategorier (for dette, Entensys URL Filtreringsteknologi brukes, se sidefelt).

Det er verdt å merke seg at én regel kan inneholde flere forhold samtidig. Samtidig kan administratoren spesifisere i hvilket tilfelle den skal utføres - hvis alle betingelser eller en av dem er oppfylt. Dette lar deg lage en veldig fleksibel policy for bruk av Internett av bedriftsansatte, med hensyn til et stort antall ulike nyanser.

Brannmurkonfigurasjon

En integrert del av NAT UserGate-driveren er en brannmur, den løser ulike oppgaver knyttet til behandling av nettverkstrafikk. For konfigurasjon brukes spesielle regler, som kan være en av tre typer: nettverksadresseoversettelse, ruting og brannmur. Det kan være en rekke regler i systemet. De brukes i den rekkefølgen de er oppført i den generelle listen. Derfor, hvis innkommende trafikk samsvarer med flere regler, vil den bli behandlet av den som er plassert over de andre.

Hver regel er preget av tre hovedparametere. Den første er trafikkkilden. Dette kan være en eller flere spesifikke verter, WAN- eller LAN-grensesnittet til Internett-gatewayen. Den andre parameteren er formålet med informasjonen. LAN- eller WAN-grensesnittet eller oppringt tilkobling kan spesifiseres her. Det siste hovedkjennetegnet ved en regel er en eller flere tjenester den gjelder for. En tjeneste i UserGate Proxy & Firewall er et par fra en familie av protokoller (TCP, UDP, ICMP, vilkårlig protokoll) og en nettverksport (eller en rekke nettverksporter). Som standard har systemet allerede et imponerende sett med forhåndsinstallerte tjenester, alt fra vanlige (HTTP, HTTPs, DNS, ICQ) til spesifikke (WebMoney, RAdmin, forskjellige nettspill, og så videre). Men om nødvendig kan administrator også lage sine egne tjenester, for eksempel beskrive arbeid med nettbank.

Hver regel har også en handling som den utfører med trafikken som samsvarer med betingelsene. Det er bare to av dem: tillat eller forby. I det første tilfellet passerer trafikken fritt langs den angitte ruten, og i det andre tilfellet er den blokkert.

Regler for oversettelse av nettverksadresser bruker NAT-teknologi. Med deres hjelp kan du konfigurere Internett-tilgang for arbeidsstasjoner med lokale adresser. For å gjøre dette må du lage en regel som spesifiserer LAN-grensesnittet som kilde og WAN-grensesnittet som destinasjon. Rutingsregler brukes dersom den aktuelle løsningen skal brukes som ruter mellom to lokale nettverk (den implementerer en slik mulighet). I dette tilfellet kan ruting konfigureres for toveis transparent trafikk.

Brannmurregler brukes til å behandle trafikk som ikke går til proxy-serveren, men direkte til Internett-gatewayen. Umiddelbart etter installasjonen har systemet en slik regel som tillater alle nettverkspakker. I prinsippet, hvis den opprettede Internett-gatewayen ikke vil bli brukt som en arbeidsstasjon, kan handlingen til regelen endres fra "Tillat" til "Avslå". I dette tilfellet vil all nettverksaktivitet bli blokkert på datamaskinen, bortsett fra transitt NAT-pakker som overføres fra det lokale nettverket til Internett og omvendt.

Brannmurregler lar deg publisere alle lokale tjenester på det globale nettverket: webservere, FTP-servere, e-postservere og så videre. Samtidig har eksterne brukere mulighet til å koble seg til dem via Internett. Som et eksempel kan du vurdere å publisere en bedrifts FTP-server. For å gjøre dette, må administratoren opprette en regel der man velger "Alle" som kilde, spesifiserer ønsket WAN-grensesnitt som destinasjon og FTP som tjeneste. Velg deretter handlingen "Tillat", aktiver trafikkoversettelse, og spesifiser IP-adressen til den lokale FTP-serveren og nettverksporten i feltet "Destinasjonsadresse".

Etter denne konfigurasjonen vil alle innkommende tilkoblinger til nettverkskortene til Internett-gatewayen på port 21 automatisk omdirigeres til FTP-serveren. Forresten, under oppsettsprosessen kan du velge ikke bare den "innfødte", men også en hvilken som helst annen tjeneste (eller lage din egen). I dette tilfellet må eksterne brukere kontakte ikke den 21., men på en annen port. Denne tilnærmingen er svært nyttig i tilfeller der informasjon System det er to eller flere tjenester av samme type. For eksempel kan du organisere tilgang fra utsiden til bedriftsportal på standard HTTP-port 80, og tilgang til UserGate-nettstatistikk - på port 81.

Ekstern tilgang til den interne e-postserveren konfigureres på samme måte.

Et viktig kjennetegn ved den implementerte brannmuren er et inntrengningsforebyggende system. Den fungerer helt automatisk, oppdager uautoriserte forsøk basert på signaturer og heuristiske metoder og utjevner dem ved å blokkere uønskede trafikkstrømmer eller droppe farlige forbindelser.

Oppsummering

I denne gjennomgangen undersøkte vi i tilstrekkelig detalj organiseringen av felles tilgang for bedriftsansatte til Internett. I moderne forhold er dette ikke den enkleste prosessen, siden du må ta hensyn til et stort antall forskjellige nyanser. Dessuten er både tekniske og organisatoriske aspekter viktige, spesielt kontroll av brukerhandlinger.

"UserGate Proxy & Firewall v.6 Administrator's Guide Innhold Introduksjon Om programmet Systemkrav Installerer UserGate Proxy & Firewall-registrering Oppdaterer..."

-- [ Side 1 ] --

UserGate Proxy & Firewall v.6

Administrasjonsveiledning

Introduksjon

Om programmet

Systemkrav

Installere UserGate Proxy & Firewall

Registrering

Oppdatering og fjerning

UserGate Proxy & Firewall Lisenspolicy

Administrasjonskonsoll

Tilkoblingsoppsett

Angi et tilkoblingspassord

UserGate-administratorautentisering

Sette et passord for tilgang til UserGate-statistikkdatabasen

Generelle NAT-innstillinger (Network Address Translation).

Generelle innstillinger

Oppsett av grensesnitt

Trafikktelling i UserGate

Backup-kanalstøtte

Brukere og grupper

Synkronisering med Active Directory

Personlig brukerstatistikkside

Terminal brukerstøtte

Sette opp tjenester i UserGate

Konfigurerer DHCP

Sette opp proxy-tjenester i UserGate

Støtte for IP-telefoniprotokoller (SIP, H323)

Støtte for SIP-registratormodus

H323-protokollstøtte

Mail proxyer i UserGate

Bruker gjennomsiktig modus

Kaskadende proxyer

Havnetildeling

Bufferinnstillinger

Antivirus sjekk

Planlegger i UserGate

DNS-oppsett

Sette opp en VPN-server

Sette opp et inntrengningsdeteksjonssystem (IDS)

Stille inn varsler

Brannmur i UserGate

Hvordan en brannmur fungerer

ME-arrangementregistrering

Regler for nettverksadresseoversettelse (NAT).

Jobber med flere leverandører

Automatisk utgående grensesnittvalg

www.usergate.ru

Publisering av nettverksressurser

Sette opp filtreringsregler

Rutingstøtte

Fartsgrense i UserGate

Applikasjonskontroll

Cache Explorer i UserGate

Trafikkstyring i UserGate

Trafikkregler system

Begrensning av tilgang til Internett-ressurser

Entensys URL-filtrering

Sette en grense for trafikkforbruk

Filstørrelsesgrense

Filtrering etter innholdstype

Faktureringssystem

Internett-tilgang fakturering

Periodiske hendelser

Dynamisk tariffbytte

Fjernadministrasjon UserGate

Sette opp en ekstern tilkobling

Ekstern omstart av UserGate-serveren

Sjekker tilgjengeligheten til en ny versjon

UserGate nettstatistikk

Evaluering av effektiviteten til trafikkkontrollreglene

Evaluering av effektiviteten til antiviruset

SIP-bruksstatistikk

blindtarm

UserGate Integritetskontroll

Oppstartssjekk

Feilsøke informasjonsutgang

Få teknisk støtte

www.usergate.ru

Introduksjon En proxy-server er et sett med programmer som fungerer som mellomledd (fra engelsk "proxy" - "mellomledd") mellom brukerarbeidsstasjoner og andre nettverkstjenester.

Løsningen overfører alle brukerforespørsler til Internett og sender den tilbake etter å ha mottatt svar. Hvis hurtigbufferfunksjonen er tilgjengelig, husker proxy-serveren arbeidsstasjoner som har tilgang til eksterne ressurser, og i tilfelle en gjentatt forespørsel returnerer den ressursen fra sitt eget minne, noe som reduserer forespørselstiden betydelig.

I noen tilfeller kan en klientforespørsel eller serversvar endres eller blokkeres av en proxy-server for å utføre visse oppgaver, for eksempel å forhindre virus fra å infisere arbeidsstasjoner.

Om UserGate Proxy & Firewall er en omfattende løsning for å koble brukere til Internett, som gir full trafikkregnskap, tilgangskontroll og innebygd nettverksbeskyttelse.

UserGate lar deg belaste brukernes tilgang til Internett, både etter trafikk og nettverkstid. Administratoren kan legge til ulike tariffplaner, utfør dynamisk bytte av tariffer, automatiser uttak / opptjening av midler og reguler tilgang til Internett-ressurser. Den innebygde brannmuren og antivirusmodulen lar deg beskytte UserGate-serveren og sjekke trafikken som går gjennom den for skadelig kode. Du kan bruke den innebygde VPN-serveren og klienten for å koble til organisasjonens nettverk på en sikker måte.

UserGate består av flere deler: server, administrasjonskonsoll (UserGateAdministrator) og flere tilleggsmoduler. UserGate-serveren (usergate.exe-prosessen) er hoveddelen av proxy-serveren, som implementerer all funksjonaliteten.

UserGate-serveren gir tilgang til Internett, utfører trafikktelling, vedlikeholder statistikk over brukeraktivitet på nettverket og utfører mange andre oppgaver.

UserGate inkluderer tre tilleggsmoduler: "Web Statistics", "Authorization Client" og "Application Control"-modulen.

www.entensys.ru

Systemkrav UserGate Server anbefales å installeres på en datamaskin med operativsystem Windows XP/2003/7/8/2008/2008R2/2012 koblet til Internett via oppringt eller annen tilkobling. Servermaskinvarekrav:

– – –

Installere UserGate Proxy & Firewall Installasjonsprosedyren for UserGate handler om å starte installasjonsfilen og velge alternativene for installasjonsveiviseren. Når du installerer løsningen for første gang, er det nok å forlate standardalternativene. Etter at installasjonen er fullført, må du starte datamaskinen på nytt.

Registrering For å registrere programmet må du starte UserGate-serveren, koble administrasjonskonsollen til serveren og velge menypunktet "Hjelp" - "Registrer produkt". Når du kobler til administrasjonskonsollen for første gang, vises en registreringsdialog med to tilgjengelige alternativer: en forespørsel om en demonøkkel og en forespørsel om en fullfunksjonsnøkkel. Nøkkelforespørselen utføres online (HTTPS-protokoll), ved å gå til nettstedet usergate.ru.

Når du ber om en nøkkel med alle funksjoner, må du angi en spesiell PIN-kode, som utstedes ved kjøp av UserGate Proxy & Firewall eller av støttetjenesten for testing. I tillegg, når du registrerer deg, må du legge inn en ekstra personlig informasjon(brukernavn, adresse E-post, land, region). Personopplysninger brukes utelukkende for å binde lisensen til brukeren og distribueres ikke på noen måte. Etter å ha mottatt den fullstendige nøkkelen eller demonøkkelen, vil UserGate-serveren automatisk startes på nytt.

www.usergate.ru

Viktig! I demomodus vil UserGate Proxy & Firewall-serveren fungere i 30 dager. Når du kontakter Entensys, kan du be om en spesiell PIN-kode for avansert testing. Du kan for eksempel be om en demonøkkel i tre måneder. Det er ikke mulig å få en prøvelisens på nytt uten å taste inn en spesiell utvidet PIN-kode.

Viktig! Når UserGate Proxy & Firewall kjører, kontrolleres statusen til registreringsnøkkelen med jevne mellomrom. For korrekt drift av UserGate er det nødvendig å tillate tilgang til Internett via HTTPS-protokollen. Dette er nødvendig for å sjekke statusen til nøkkelen online. Hvis nøkkelverifiseringen mislykkes tre ganger, vil lisensen for proxy-serveren bli tilbakestilt og dialogboksen for programregistrering vises. Programmet implementerer en teller for maksimalt antall aktiveringer, som er 10 ganger. Etter å ha overskredet denne grensen, vil du kun kunne aktivere produktet med nøkkelen din etter å ha kontaktet støttetjenesten på: http://entensys.ru/support.

Oppgradere og avinstallere Den nye versjonen av UserGate Proxy & Firewall v.6 kan installeres over tidligere versjoner av den femte familien. I dette tilfellet vil installasjonsveiviseren tilby å lagre eller overskrive config.cfg-serverinnstillingsfilen og log.mdb-statistikkfilen. Begge filene er plassert i katalogen der UserGate er installert (heretter referert til som "%UserGate%"). UserGate v.6-serveren støtter UserGate v.4,5-innstillingsformatet, så når serveren først startes, vil innstillingene automatisk overføres til det nye formatet.

Bakoverkompatibilitet av innstillinger støttes ikke.

Merk følgende! For statistikkfilen støttes kun overføring av gjeldende brukersaldo, selve trafikkstatistikken vil ikke bli overført.

Databaseendringene var forårsaket av ytelsesproblemer med den gamle og begrensninger på størrelsen. Den nye Firebird-databasen har ikke disse ulempene.

Avinstallering av UserGate-serveren gjøres via det tilsvarende Start-menyelementet Programmer eller gjennom punktet Legg til/fjern programmer (Programmer og funksjoner i Windows 7/2008/2012) i Windows Kontrollpanel. Etter avinstallering av UserGate, vil noen filer forbli i installasjonsmappen til programmet, med mindre alternativet for slett alt er satt.

UserGate Proxy & Firewall Lisenspolicy UserGate-serveren er designet for å gi Internett-tilgang til LAN-brukere. Maksimalt antall brukere som samtidig kan jobbe på Internett gjennom UserGate indikeres med antall "sesjoner" og bestemmes av registreringsnøkkelen.

UserGate v.6 registreringsnøkkelen er unik og stemmer ikke overens tidligere versjoner brukergate. I demoperioden fungerer løsningen i 30 dager med en grense på fem økter. Begrepet "økt" bør ikke forveksles med antall Internett-applikasjoner eller tilkoblinger som en bruker starter. Antall tilkoblinger fra én bruker kan være hva som helst, med mindre det er spesifikt begrenset.

www.usergate.ru

Antivirusmodulene innebygd i UserGate (fra Kaspersky Lab, Panda Security og Avira), samt Entensys URL-filtreringsmodul, er lisensiert separat. I demoversjonen av UserGate kan innebygde moduler fungere i 30 dager.

Entensys URL-filtreringsmodul, designet for å fungere med nettstedskategorier, gir muligheten til å jobbe i demomodus i en periode på 30 dager. Ved kjøp av UserGate Proxy & Firewall med en filtreringsmodul, er Entensys URL-filtreringslisens gyldig i ett år. Når abonnementet utløper, stopper ressursfiltreringen gjennom modulen.

www.usergate.ru

Administrasjonskonsoll Administrasjonskonsollen er en applikasjon designet for å administrere en lokal eller ekstern UserGate-server. For å bruke administrasjonskonsollen må du starte UserGate-serveren ved å velge Start UserGate-server-elementet i kontekstmenyen til UserGate-agenten (ikonet i systemstatusfeltet, heretter

- "middel"). Du kan starte administrasjonskonsollen via agentens kontekstmeny eller gjennom menyelementet Start programmer hvis administrasjonskonsollen er installert på en annen datamaskin. For å jobbe med innstillinger må du koble administrasjonskonsollen til serveren.

Datautveksling mellom administrasjonskonsollen og UserGate-serveren utføres ved hjelp av SSL-protokollen. Når tilkoblingen er initialisert (SSLHandshake), utføres enveisautentisering, hvor UserGate-serveren sender sitt sertifikat til administrasjonskonsollen, som ligger i %UserGate%\ssl-katalogen. Et sertifikat eller passord fra siden av administrasjonskonsollen er ikke nødvendig for tilkobling.

Konfigurere tilkoblinger Ved første oppstart åpnes administrasjonskonsollen til siden Tilkoblinger, som har en enkelt tilkobling til den lokale vertsserveren for administratorbrukeren. Tilkoblingspassordet er ikke angitt. Du kan koble administrasjonskonsollen til serveren ved å dobbeltklikke på den lokale vertsadministratorlinjen eller ved å klikke på Koble til-knappen på kontrollpanelet. Du kan opprette flere tilkoblinger i UserGate-administrasjonskonsollen. Tilkoblingsinnstillinger inkluderer følgende alternativer:

Servernavnet er navnet på tilkoblingen;

Brukernavn - logg inn for å koble til serveren;

Serveradresse – domenenavn eller IP-adresse til UserGate-serveren;

Port – TCP-port som brukes til å koble til serveren (port 2345 brukes som standard);

Passord – passord for tilkobling;

Be om passord når du kobler til – dette alternativet lar deg vise en dialogboks for å angi brukernavn og passord når du kobler til serveren;

Koble automatisk til denne serveren – administrasjonskonsollen vil automatisk koble til denne serveren ved oppstart.

Admilagres i console.xml-filen som ligger i katalogen %UserGate%\Administrator\. På UserGate-serversiden lagres brukernavnet og md5-passord-hashen for tilkobling i config.cfg-filen som ligger i %UserGate_data-katalogen, der %UserGate_data% er mappen for Windows XP - (C:\Documents and Settings\All www. .usergate.ru Users\Application Data\Entensys\UserGate6), for mappen Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Angi et tilkoblingspassord Du kan opprette en pålogging og et passord for å koble til UserGate-serveren på siden Generelle innstillinger i delen Admin Settings. I samme seksjon kan du spesifisere TCP-porten for tilkobling til serveren. For at de nye innstillingene skal tre i kraft, må du starte UserGate-serveren på nytt (elementet Restart UserGate-server i agentmenyen). Etter omstart av serveren må de nye innstillingene også spesifiseres i tilkoblingsinnstillingene i administrasjonskonsollen. Ellers vil ikke administratoren kunne koble til serveren.

Merk følgende! For å unngå problemer med funksjonaliteten til UserGate-administrasjonskonsollen, anbefales det ikke å endre disse innstillingene!

Autentisering av UserGate-administratoren For å kunne koble administrasjonskonsollen til UserGate-serveren, må administratoren bestå autentiseringsprosedyren på serversiden.

Administratorautentisering utføres etter at en SSL-tilkobling av administrasjonskonsollen til UserGate-serveren er etablert. Konsollen sender innloggingen og md5-hashen til administratorpassordet til serveren. UserGate-serveren sammenligner de mottatte dataene med det som er spesifisert i config.cfg-innstillingsfilen.

Autentisering anses som vellykket hvis dataene mottatt fra administrasjonskonsollen samsvarer med det som er spesifisert i serverinnstillingene. Hvis autentiseringen mislykkes, avslutter UserGate-serveren SSL-forbindelsen med administrasjonskonsollen. Resultatet av autentiseringsprosedyren logges i usergate.log-filen som ligger i katalogen %UserGate_data%\logging\.

Sette et passord for tilgang til UserGate-statistikkdatabasen Brukerstatistikk - trafikk, besøkte ressurser osv.

er registrert av UserGate-serveren i en spesiell database. Tilgang til databasen utføres direkte (for den innebygde Firebird-databasen) eller gjennom ODBC-driveren, som lar UserGate-serveren jobbe med databaser av nesten alle formater (MSAccess, MSSQL, MySQL). Som standard brukes Firebird-databasen - %UserGate_data%\usergate.fdb. Logg inn og passord for å få tilgang til databasen - SYSDBA\masterkey. Du kan angi et annet passord gjennom elementet Generelle innstillinger Databaseinnstillinger i administrasjonskonsollen.

NAT (Network Address Translation) Generelle innstillinger Elementet NAT General Settings lar deg angi tidsavbruddsverdien for NAT-tilkoblinger via TCP-, UDP- eller ICMP-protokoller. Tidsavbruddsverdien bestemmer levetiden til en brukertilkobling gjennom NAT når dataoverføring over tilkoblingen er fullført. Alternativet Output debug logs er beregnet på feilsøking og lar, om nødvendig, aktivere modusen for avansert logging av meldinger i NAT UserGate-driveren.

Angrepsdetektoren er et spesielt alternativ som lar deg bruke den interne mekanismen til å overvåke og blokkere portskanneren eller www.usergate.ru forsøker å gripe alle portene på serveren. Denne modulen fungerer i automatisk modus, hendelser vil bli skrevet til %UserGate_data%\logging\fw.log-filen.

Merk følgende! Innstillingene til denne modulen kan endres gjennom konfigurasjonsfilen config.cfg, seksjonsalternativer.

Generelle innstillinger Blokker etter nettleserstreng - en liste over User-Agents nettlesere som kan blokkeres av proxy-serveren. De. du kan for eksempel forhindre at gamle nettlesere som IE 6.0 eller Firefox 3.x får tilgang til Internett.

www.usergate.ru Konfigurering av grensesnitt Grensesnittsdelen (fig. 1) er den viktigste i UserGate-serverinnstillingene, siden den bestemmer ting som riktigheten av trafikktelling, muligheten til å lage regler for en brannmur, begrense bredden på Internett-kanalen for en viss type trafikk, etablere relasjoner mellom nettverk og rekkefølgen som pakker behandles i av NAT-driveren (Network Address Translation).

Figur 1. Konfigurere servergrensesnitt Grensesnittsdelen viser alle tilgjengelige nettverksgrensesnitt til serveren som UserGate er installert på, inkludert oppringte tilkoblinger (VPN, PPPoE).

For hvert nettverkskort må UserGate-administratoren spesifisere typen. Så, for en adapter koblet til Internett, bør du velge WAN-typen, for en adapter koblet til et lokalt nettverk, velg LAN-typen.

Du kan ikke endre type oppringt (VPN, PPPoE) tilkobling. For slike tilkoblinger vil UserGate-serveren automatisk angi PPP-grensesnitttypen.

Du kan spesifisere brukernavn og passord for oppringt (VPN)-tilkobling ved å dobbeltklikke på det tilsvarende grensesnittet. Grensesnittet øverst på listen er hovedforbindelsen til Internett.

Trafikktelling i UserGate Trafikk som går gjennom UserGate-serveren registreres på den lokale nettverksbrukeren som er initiativtakeren til tilkoblingen, eller på www.usergate.ru UserGate-serveren hvis serveren er tilkoblingsinitiatoren. En spesiell bruker er gitt for servertrafikk i UserGate-statistikk - UserGate Server. UserGate Server-brukerens konto krediteres med trafikken for oppdatering av antivirusdatabaser for de innebygde modulene til Kaspersky Lab, Panda Security, Avira, samt navneoppløsningstrafikk via DNS-videresending.

Det tas hensyn til trafikk i sin helhet, sammen med serviceoverskrifter.

I tillegg er muligheten til å ta hensyn til Ethernet-hoder lagt til.

Hvis typene servernettverksadaptere (LAN eller WAN) er riktig innstilt, tas det ikke hensyn til trafikk i retningen "lokalt nettverk - UserGate-server" (for eksempel tilgang til delte nettverksressurser på serveren).

Viktig! Tilstedeværelsen av tredjepartsprogrammer - brannmurer eller antivirus (med funksjonen for å sjekke trafikk) - kan påvirke riktig beregning av trafikk i UserGate betydelig. Det anbefales ikke å installere på en datamaskin med UserGate nettverksprogrammer tredjeparts produsenter!

Støtte for sikkerhetskopikanal Grensesnittsiden inneholder innstillingen for sikkerhetskopikanal. Ved å klikke på Setup Wizard-knappen kan du velge grensesnittet som skal brukes som en sikkerhetskopikanal. Den andre siden implementerer et utvalg verter som vil bli sjekket av en proxy-server for Internett-tilkobling. Ved det angitte intervallet vil løsningen sjekke tilgjengeligheten til disse vertene med en ICMP Echo-forespørsel. Hvis et svar fra minst én gitt vert returnerer, anses tilkoblingen som aktiv. Hvis det ikke mottas svar fra noen vert, vil tilkoblingen anses som inaktiv, og hovedgatewayen i systemet vil endres til gatewayen til backupkanalen. Hvis NAT-regler samtidig ble opprettet med et spesielt Masquerade-grensesnitt spesifisert som et eksternt grensesnitt, vil slike regler gjenskapes i samsvar med gjeldende rutingtabell. De opprettede NAT-reglene vil begynne å fungere gjennom sikkerhetskopikanalen.

Figur 2. Veiviser for konfigurasjon av sikkerhetskopikanal www.

usergate.ru Som en backup-tilkobling kan UserGate-serveren bruke både en Ethernet-tilkobling (dedikert kanal, WAN-grensesnitt) og en oppringt (VPN, PPPoE)-tilkobling (PPP-grensesnitt). Etter å ha byttet til backup Internett-tilkobling, vil UserGate-serveren periodisk sjekke tilgjengeligheten til hovedkanalen. Hvis ytelsen gjenopprettes, vil programmet bytte brukere til hovedforbindelsen til Internett.

www.usergate.ru

Brukere og grupper For å gi tilgang til Internett må du opprette brukere i UserGate. For enkelhets skyld kan brukere kombineres i grupper etter territorium eller etter tilgangsnivå. Logisk sett er det mest riktig å kombinere brukere i grupper etter tilgangsnivåer, siden det i dette tilfellet er mye lettere å jobbe med trafikkkontrollregler. Som standard har UserGate bare én gruppe - standard.

Du kan opprette en ny bruker gjennom elementet Legg til ny bruker eller ved å klikke på Legg til-knappen i kontrollpanelet på siden Brukere og grupper. Det er en annen måte å legge til brukere på - skanne nettverket med ARP-forespørsler. Du må klikke på en tom plass i administrasjonskonsollen på brukersiden og velge Skann det lokale nettverket. Angi deretter de lokale nettverksinnstillingene og vent på skanneresultatene. Som et resultat vil du se en liste over brukere som kan legges til UserGate. Obligatoriske brukerparametere (fig. 3) er navn, autorisasjonstype, autorisasjonsparameter (IP-adresse, pålogging og passord osv.), gruppe og tariff. Som standard tilhører alle brukere standardgruppen. Brukernavnet i UserGate må være unikt. I tillegg kan du i brukeregenskapene definere nivået for brukertilgang til nettstatistikk, angi det interne telefonnummeret for H323, begrense antall tilkoblinger for brukeren, aktivere NAT-regler, trafikkkontrollregler eller regler for applikasjonskontrollen modul.

Figur 3. Brukerprofil i UserGate En bruker i UserGate arver alle egenskapene til gruppen han tilhører, bortsett fra tariffen som kan overstyres.

Tariffen spesifisert i brukerens egenskaper vil gjelde for tarifferingen av alle brukerforbindelser. Hvis Internett-tilgang ikke belastes, kan du bruke en tom tariff kalt "standard".

www.usergate.ru

Synkronisering med Active Directory-brukergrupper i UserGate kan synkroniseres med Active Directory-grupper. For å bruke synkronisering med Active Directory, trenger ikke en maskin med UserGate Proxy & Firewall å være medlem av et domene.

Å sette opp synkronisering er en to-trinns prosess. På det første trinnet, på "Grupper"-siden i UserGate-administratorkonsollen (fig. 4), aktiver Synkronisering med AD-alternativet og spesifiser følgende parametere:

domenenavn IP-adressen til domenekontrollerens pålogging og passord for tilgang til Active Directory (brukernavn i UPN – User Principal Name-format er tillatt) synkroniseringsperiode (i sekunder) alternativet "synkroniser grupper med AD" og velg en eller flere grupper fra Active Directory .

Under synkronisering vil brukere fra Active Directory som tilhører de valgte Active Directory-gruppene passe inn i UserGate-grupper. Autorisasjonstypen for importerte brukere vil være "HTTP Imported User State (NTLM)".

(aktivert/deaktivert) kontrolleres av tilstanden til den tilsvarende kontoen i Active Directory-domenet.

www.usergate.ru Figur 4. Sette opp synkronisering med Active Directory Viktig! For synkronisering må du sørge for at LDAP-protokollen passerer mellom UserGate-serveren og domenekontrolleren.

www.usergate.ru Personlig brukerstatistikkside Hver bruker i UserGate har mulighet til å se statistikksiden. Den personlige statistikksiden kan nås på http://192.168.0.1:8080/statistics.html, der for eksempel 192.168.0.1 er den lokale adressen til UserGate-maskinen og 8080 er porten som HTTP-proxyserveren kjører usergate på . Brukeren kan se sin personlige utvidede statistikk ved å logge inn på - http://192.168.0.1:8081.

Merk følgende! I versjon 6.x ble lyttegrensesnittet 127.0.0.1:8080 lagt til, som er nødvendig for at nettstatistikk skal fungere når UserGate HTTP proxy-serveren er deaktivert. I denne forbindelse vil port 8080 på grensesnitt 127.0.0.1 alltid være okkupert av UserGate Proxy & Firewall mens usergate.exe-prosessen kjører

Etter IP-adresse Etter IP-adresseområde Etter IP+MAC-adresse Etter MAC-adresse Autorisasjon via HTTP (HTTP-basic, NTLM) Autorisasjon via pålogging og passord (Authorization Client) Forenklet versjon av autorisasjon via Active Directory For å bruke de tre siste autorisasjonsmetodene a spesiell applikasjon må installeres på brukerens arbeidsstasjon - UserGate-autorisasjonsklienten. Den korresponderende MSI-pakken (AuthClientInstall.msi) ligger i %UserGate%\tools-katalogen og kan brukes for automatisk gruppepolicyinstallasjon i Active Directory.

Den administrative malen for å installere autorisasjonsklienten ved hjelp av Active Directory Group Policy er også plassert i %UserGate%\tools-katalogen. På nettstedet http://usergate.ru/support er det en videoinstruksjon for distribusjon av autorisasjonsklienten gjennom gruppepolicy.

Hvis UserGate-serveren er installert på en datamaskin som ikke er inkludert i Active Directory-domenet, anbefales det å bruke et forenklet autorisasjonsalternativ gjennom Active Directory. I dette tilfellet vil UserGate-serveren sammenligne påloggingen og domenenavnet mottatt fra autorisasjonsklienten med de tilsvarende feltene spesifisert i brukerprofilen uten å kontakte domenekontrolleren.

Støtte for terminalbrukere For å autorisere terminalbrukere i UserGate proxy-serveren, fra og med versjon 6.5, ble en spesiell programvaremodul kalt "Terminal Authorization Agent" lagt til. Distribusjonssettet til Terminal Agent-programmet ligger i mappen %UserGate%\tools og heter TerminalServerAgent*.msi. For 32-biters systemer må du ta versjonen "TerminalServerAgent32.msi", og for 64-biters systemer TerminalServerAgent64.msi. Programmet er en agent som med jevne mellomrom, hvert 90. sekund, sender autorisasjonsinformasjon om alle klientene til terminalserveren til proxy-serveren, og en driver som gir portspoofing for hver terminalklient. Kombinasjonen av brukerinformasjon og tilknyttede porter gjør at proxy-serveren kan identifisere terminalserverbrukere nøyaktig og bruke ulike trafikkkontrollpolicyer på dem.

Når du installerer en terminalagent, vil du bli bedt om å spesifisere IP-adressen til proxy-serveren og antall brukere. Dette er nødvendig for optimal bruk av ledige TCP\UDP-porter på terminalserveren.

www.usergate.ru

Etter å ha installert terminalserveragenten, sender den en forespørsel til proxy-serveren, og hvis alt går bra, opprettes tre brukere på serveren med autorisasjonen "AD login-password" og "NT AUTHORIY\*"-påloggingen.

Hvis du har slike brukere i konsollen, er terminalagenten klar til å jobbe.

Den første måten (synkronisering med Active Directory-domenet):

I administratorkonsollen, på siden med brukergrupper i egenskapene til alternativet "synkronisering med AD", må du spesifisere de riktige parameterne for autorisasjon med AD.

Deretter må du opprette en ny brukergruppe, og spesifisere i den hvilken brukergruppe i AD som skal synkroniseres med gjeldende gruppe i Proxy Server. Brukerne dine vil da bli lagt til denne lokale UserGate Proxy-brukergruppen. Dette fullfører proxy-serveroppsettet. Deretter må du logge inn som AD-bruker på terminalserveren, og den vil automatisk bli autorisert på proxy-serveren uten at du trenger å angi innlogging og passord. Terminalserverbrukere kan administreres som vanlige proxyserverbrukere med autorisasjon etter IP-adresse. De. de kan bruke forskjellige NAT-regler og/eller trafikkkontrollregler.

Den andre måten (importere brukere fra et Active Directory-domene):

Bruk "import" av brukere fra AD, den konfigureres på siden med brukere ved å klikke på den aktuelle knappen - "import", i grensesnittet til UserGate-administratorkonsollen.

Du må importere brukere fra AD til en bestemt lokal gruppe på proxy-serveren. Etter det vil alle importerte brukere som vil be om tilgang til Internett fra terminalserveren, ha tilgang til Internett med rettighetene definert på UserGate proxy-serveren.

Den tredje måten (ved å bruke lokale terminalserverkontoer):

Denne metoden er praktisk for å teste driften av en terminalagent eller for tilfeller der terminalserveren ikke er plassert i et Active Directory-domene. I dette tilfellet må du opprette en ny bruker med autorisasjonstypen Login domain-AD", og angi navnet på terminalserverdatamaskinen som "domeneadresse", og navnet på brukeren som skal logge på terminalen server som pålogging Alle brukere som skal opprettes på proxy-serveren vil få tilgang til Internett fra terminalserveren, med rettighetene definert på UserGate proxy-serveren.

Det skal forstås at det er noen begrensninger for terminalagenten:

Andre protokoller enn TCP\UDP kan ikke overføres fra terminalserveren til Internett. For eksempel vil det ikke være mulig å starte PING fra denne serveren hvor som helst på Internett gjennom NAT.

www.usergate.ru Maksimalt antall brukere på en terminalserver kan ikke overstige 220, mens hver bruker ikke vil bli tildelt mer enn 200 porter for TCP\UDP-protokoller.

Når du starter UserGate proxy-serveren på nytt, vil ikke terminalagenten slippe noen til Internett før den første synkroniseringen med UserGate proxy-serveren (opptil 90 sekunder).

HTTP-autorisasjon når du arbeider gjennom en transparent proxy UserGate v.6 legger til muligheten for HTTP-autorisasjon for en proxy-server som opererer i transparent modus. Hvis nettleseren på brukerens arbeidsstasjon ikke er konfigurert til å bruke en proxy-server, og HTTP-proxyen i UserGate er aktivert i transparent modus, vil forespørselen fra en uautorisert bruker bli omdirigert til autorisasjonssiden, som krever at du spesifiserer en pålogging og passord.

Etter autorisasjon trenger ikke denne siden stenges. Autorisasjonssiden oppdateres med jevne mellomrom gjennom et spesielt skript, som holder brukerøkten aktiv. I denne modusen vil brukeren ha tilgang til alle UserGate-tjenester, inkludert muligheten til å jobbe gjennom NAT. For å avslutte brukerøkten, må du klikke Logg ut på autorisasjonssiden eller bare lukke autorisasjonsfanen. og etter 30-60 sekunder forsvinner autorisasjonen på proxy-serveren.

la NetBIOSNameRequest (UDP:137)-pakker passere mellom UserGate-serveren og domenekontrolleren sikre at NetBIOSSessionRequest (TCP:139)-pakker passerer mellom UserGate-serveren og domenekontrolleren setter adressen og porten til UserGate HTTP-proxyen i nettleseren på brukerens maskin Viktig! For å bruke NTLM-autorisasjon kan det hende at en maskin med UserGate installert ikke er medlem av et Active Directory-domene.

Bruk av autorisasjonsklienten UserGate-autorisasjonsklienten er en nettverksapplikasjon som kjører på Winsock-nivå som kobles til UserGate-serveren på en spesifikk UDP-port (port 5456 brukes som standard) og overfører brukerautorisasjonsparametere: autorisasjonstype, pålogging, passord, osv. .

www.usergate.ru

Når den først ble lansert, ser UserGate-autorisasjonsklienten i HKCU\Software\Policies\Entensys\Authclient-grenen til systemregisteret. Innstillingene som er oppnådd gjennom gruppepolicyen til Active Directory-domenet, kan finnes her. Hvis innstillingene i systemregisteret ikke blir funnet, må adressen til UserGate-serveren spesifiseres manuelt på den tredje fanen fra toppen i autorisasjonsklienten. Etter å ha spesifisert serveradressen, klikk på Bruk-knappen og gå til den andre fanen. Denne siden spesifiserer brukerautorisasjonsparametere. Innstillinger for autorisasjonsklient lagres i HKCU\Software\Entensys\Authclient-nøkkelen i systemregisteret. Alagres i mappen Documents and Settings\%USER%\Application data\UserGate Client.

I tillegg er det lagt til en lenke til brukerens personlige statistikkside i autorisasjonsklienten. Endring utseende autorisasjonsklient er mulig ved å redigere den tilsvarende malen i form av *.xml-filen som ligger i katalogen der klienten er installert.

www.usergate.ru

Konfigurere tjenester i UserGate Konfigurere DHCP Tjenesten lar DHCP (Dynamic Host Configuration Protocol) automatisere prosessen med å utstede nettverksinnstillinger til klienter i det lokale nettverket. I et nettverk med en DHCP-server kan hver nettverksenhet dynamisk tildeles en IP-adresse, gateway-adresse, DNS, WINS-server og så videre.

Du kan aktivere DHCP-serveren gjennom Tjenester-delen DHCP-server Legg til grensesnitt i UserGate-administrasjonskonsollen eller ved å klikke på Legg til-knappen i kontrollpanelet. I dialogboksen som vises, velg nettverksgrensesnittet som DHCP-serveren skal kjøre på. I minimumskonfigurasjonen for DHCP-serveren er det nok å angi følgende parametere: IP-adresseområde (adressepool), hvorfra serveren vil utstede adresser til klienter på det lokale nettverket; nettmaske og leietid.

Maksimal bassengstørrelse i UserGate kan ikke overstige 4000 adresser. Om nødvendig kan én eller flere IP-adresser ekskluderes fra den valgte adressepoolen (Ekskluderingsknapp). Du kan tilordne en permanent IP-adresse til en bestemt enhet på nettverket ved å opprette en passende binding i reservasjonsdelen. Konstantiteten til IP-adressen ved fornyelse eller innhenting av en leieavtale sikres ved binding (reservasjon) til MAC-adressen til nettverksenheten. For å opprette en binding trenger du bare å spesifisere IP-adressen til enheten.

MAC-adressen bestemmes automatisk ved å klikke på den aktuelle knappen.

Figur 6. Konfigurere UserGate DHCP-serveren

DHCP-serveren i UserGate støtter import av Windows DHCP-serverinnstillinger. Windows DHCP-innstillingene må først lagres i en fil. For å gjøre dette, på serveren der Windows DHCP er installert, start kommandolinjemodusen (Start Kjør, skriv inn cmd og trykk Enter) og i vinduet som vises, kjør kommandoen: netsh dhcp server IP dump filnavn, der IP er IP-adressen til DHCP-serveren din. Importer innstillinger

www.usergate.ru

fra filen utføres via den tilsvarende knappen på den første siden i DHCP-serverkonfigurasjonsveiviseren.

De utstedte IP-adressene vises i den nedre halvdelen av administrasjonskonsollvinduet (Figur 8) sammen med informasjon om klienten (datamaskinnavn, MAC-adresse), start- og slutttider for leieavtalen. Ved å velge den utstedte IP-adressen kan du legge til en bruker i UserGate, opprette en binding etter MAC-adresse eller frigi en IP-adresse.

Figur 7. Sletting av utstedte adresser

Den frigitte IP-adressen vil bli plassert i utvalget av ledige adresser til DHCP-serveren etter en stund. En operasjon for frigivelse av IP-adresse kan være nødvendig hvis datamaskinen som tidligere ba om en adresse fra UserGate DHCP-serveren ikke lenger er tilstede på nettverket eller har endret MAC-adressen.

DHCP-serveren har muligheten til å svare på klientforespørsler når den ber om "wpad.dat"-filen. Ved å bruke denne metoden for å få proxy-serverinnstillinger, må du redigere malfilen, som ligger i mappen "C:\program files\entensys\usergate6\wwwroot\wpad.dat".

Mer informasjon om denne metoden for å få proxy-innstillinger er beskrevet i Wikipedia.

Konfigurere proxy-tjenester i UserGate Følgende proxy-servere er integrert i UserGate-serveren: HTTP (med støtte for "FTP over HTTP" og HTTPS-modus, - Connect-metoden), FTP, SOCKS4, SOCKS5, POP3 og SMTP, SIP og H323. www.usergate.ru proxy-serverinnstillingene er tilgjengelige i Tjenester-delen Proxy-innstillinger i administrasjonskonsollen. De viktigste proxy-serverinnstillingene inkluderer:

grensesnitt (fig. 9) og portnummeret som proxyen kjører på.

Figur 8. Grunnleggende proxy-serverinnstillinger Som standard inkluderer UserGate kun en HTTP-proxy som lytter på TCP-port 8080 på alle tilgjengelige nettverksgrensesnitt på serveren.

For å konfigurere klientens nettleser til å fungere gjennom en proxy-server, er det nok å spesifisere proxy-adressen og porten i det tilsvarende innstillingselementet. I Internet Explorer er proxy-innstillinger spesifisert i Verktøy-menyen Alternativer for Internett Tilkobling LAN-innstillinger. Når du arbeider gjennom en HTTP-proxy, trenger du ikke spesifisere gateway og DNS i TCP/IP-nettverkstilkoblingsegenskapene på brukerens arbeidsstasjon, siden HTTP-proxyen selv vil løse navnene.

For hver proxy-server er en kaskademodus til en oppstrøms proxy-server tilgjengelig.

Viktig! Porten spesifisert i proxy-serverinnstillingene åpnes automatisk i UserGate-brannmuren. Derfor, fra et sikkerhetssynspunkt, anbefales det å spesifisere kun serverens lokale nettverksgrensesnitt i proxy-innstillingene.

Viktig! For mer informasjon om innstillingene til ulike nettlesere for en proxy-server, se en spesiell artikkel i Entensys kunnskapsbase.

Støtte for IP-telefoniprotokoller (SIP, H323) UserGate implementerer SIP Registrar stateful proxy-funksjonen. SIP-proxyen er aktivert i Tjenester-delen Proxy-innstillinger og fungerer alltid i transparent modus, og lytter på portene 5060 TCP og 5060 UDP. Når du bruker en SIP-proxy på

www.usergate.ru

Øktsiden på administrasjonskonsollen viser informasjon om tilstanden til den aktive tilkoblingen (registrering, anrop, venter osv.), samt informasjon om brukernavn (eller nummer), samtalevarighet og antall sendte/mottatte bytes. Denne informasjonen vil også bli registrert i UserGate-statistikkdatabasen.

For å bruke UserGate SIP-proxy i TCP/IP-egenskapene på brukerens arbeidsstasjon, må du spesifisere IP-adressen til UserGate-serveren som standard gateway, og sørg for å spesifisere adressen til DNS-serveren.

La oss illustrere konfigurasjonen av klientdelen ved å bruke SJPhone softphone og Sipnet-leverandøren som et eksempel. Start SJPhone, velg Alternativer fra hurtigmenyen og opprett en ny profil. Skriv inn navnet på profilen (fig. 10), for eksempel sipnet.ru. Sett profiltypen til Ring via SIP-proxy.

Figur 9. Opprette en ny profil i SJPhone I dialogboksen Profilalternativer må du spesifisere proxy-serveradressen til din VoIP-leverandør.

Når du lukker dialogen, må du legge inn data for autorisasjon på serveren til din VoIP-leverandør (brukernavn og passord).

Figur 10. SJPhone www.usergate.ru profilinnstillinger OBS! Hvis, når du aktiverer SIP-proxyen, din stemmetrafikk ikke passerer i den ene eller den andre retningen, må du enten bruke en STUN-proxyserver eller la trafikk gjennom NAT på alle porter (ANY:FULL) for de nødvendige brukerne. Hvis du aktiverer NAT-regelen på alle porter, må SIP-proxyserveren deaktiveres!

Støtte for SIP Registrar-modus SIP Registrar-funksjonen gjør det mulig å bruke UserGate som en programvare PBX (Automatic Telephone Exchange) for et lokalt nettverk.

SIP Registrar-funksjonen fungerer samtidig med SIP Proxy-funksjonen. For å autorisere på UserGate SIP Registrar i SIP UAC (User Agent Client)-innstillingene, må du spesifisere:

UserGate-adresse som SIP-serveradresse UserGate-brukernavn (uten mellomrom) ethvert passord H323-protokollstøtte H323-protokollstøtte tillater bruk av UserGate-server som H323 Gatekeeper. H323 proxy-innstillingene spesifiserer grensesnittet som serveren vil lytte etter klientforespørsler på, portnummeret og adressen og porten til H323-gatewayen. For å autorisere på UserGate Gatekeeper, må brukeren spesifisere pålogging (brukernavn i UserGate), passord (hvilket som helst) og telefonnummer spesifisert i brukerprofilen i UserGate.

Viktig! Hvis UserGate GateKeeper mottar et anrop til et H323-nummer som ikke tilhører noen av de autoriserte UserGate-brukerne, vil anropet bli omdirigert til H323-gatewayen. Anrop til H323-gateway gjøres i CallModel: Direct-modus.

Mail proxyer i UserGate Mail proxyer i UserGate er utviklet for å fungere med POP3- og SMTP-protokoller og for antivirusskanning av posttrafikk.

Når du bruker den gjennomsiktige modusen til POP3 og SMTP-proxy, skiller ikke e-postklientinnstillingen på brukerens arbeidsstasjon seg fra innstillingene som tilsvarer alternativet med direkte tilgang til Internett.

email_address@POP3_server_address. For eksempel hvis brukeren har en postkasse [e-postbeskyttet], deretter som en pålogging

UserGate POP3-proxyen i e-postklienten må spesifiseres:

[e-postbeskyttet]@pop.mail123.com. Dette formatet er nødvendig slik at UserGate-serveren kan bestemme adressen til den eksterne POP3-serveren.

www.usergate.ru

Bruke gjennomsiktig modus Gjennomsiktig modus-funksjonen i proxy-serverinnstillingene er tilgjengelig hvis UserGate-serveren er installert sammen med NAT-driveren. I transparent modus lytter UserGate NAT-driveren på standardporter for tjenester: 80 TCP for HTTP, 21 TCP for FTP, 110 og 25 TCP for POP3 og SMTP på nettverksgrensesnittene til UserGate-datamaskinen.

Hvis det er forespørsler, sender den dem til den tilsvarende UserGate proxy-serveren. Når du bruker gjennomsiktig modus i nettverksapplikasjoner, trenger ikke brukere å spesifisere adressen og porten til proxy-serveren, noe som betydelig reduserer administratorens arbeid når det gjelder å gi lokal nettverkstilgang til Internett. Men i nettverksinnstillingene til arbeidsstasjonene må UserGate-serveren angis som en gateway, og adressen til DNS-serveren må spesifiseres.

Kaskadende proxyer UserGate-serveren kan arbeide med Internett-tilkoblingen både direkte og gjennom overlegne proxy-servere. Slike proxyer er gruppert i UserGate under Services Cascading proxyer. UserGate støtter følgende typer overlappende proxyer: HTTP, HTTPS, Socks4, Socks5. I innstillingene til den kaskadende proxyen er standardparametrene spesifisert: adresse og port. Hvis oppstrøms proxy støtter autorisasjon, kan du spesifisere riktig pålogging og passord i innstillingene. De opprettede overlappende proxyene blir tilgjengelige i proxy-serverinnstillingene i UserGate.

www.usergate.ru Figur 11 Overordnede proxyer i UserGate-porttilordning UserGate støtter portkartleggingsfunksjonen. Hvis det er regler for tildeling av porter, omdirigerer UserGate-serveren brukerforespørsler som kommer til en spesifikk port på et spesifisert nettverksgrensesnitt på en datamaskin med UserGate til en annen spesifisert adresse og port, for eksempel til en annen datamaskin på det lokale nettverket.

Port Forwarding-funksjonen er tilgjengelig for TCP- og UDP-protokoller.

Figur 12. Porttilordning i UserGate Viktig! Hvis porttilordning brukes til å gi tilgang fra Internett til en intern bedriftsressurs, må du velge Spesifisert bruker som autorisasjonsparameter www.usergate.ru, ellers vil ikke portvideresending fungere.

Konfigurere hurtigbufferen En av formålene med en proxy-server er å bufre nettverksressurser.

Bufring reduserer belastningen på Internett-tilkoblingen din og gir raskere tilgang til ofte besøkte ressurser. UserGate-proxyserveren utfører HTTP- og FTP-trafikkbufring. Bufrede dokumenter plasseres i den lokale mappen %UserGate_data%\Cache. Bufferinnstillingene er:

grense for hurtigbufferstørrelse og oppbevaringstid for bufret dokument.

I tillegg kan du aktivere hurtigbufring av dynamiske sider og telle trafikk fra hurtigbufferen. Hvis alternativet Les trafikk fra cache er aktivert, vil ikke bare ekstern (internett) trafikk bli registrert per bruker i UserGate, men også trafikk mottatt fra UserGate cache.

Merk følgende! For å se gjeldende oppføringer i cachen, må du kjøre et spesielt verktøy for å se cachedatabasen. Den startes ved å høyreklikke på "UserGate Agent"-ikonet i systemstatusfeltet og velge "Åpne nettleserbuffer".

Merk følgende! Hvis du har aktivert hurtigbufferen, og du fortsatt ikke har noen ressurser i "cache-nettleseren", må du sannsynligvis aktivere en gjennomsiktig proxy-server for HTTP-protokollen på siden "Tjenester - Proxyinnstillinger"

Antivirusskanning Tre antivirusmoduler er integrert i UserGate-serveren: Kaspersky Lab Anti-Virus, Panda Security og Avira. Alle antivirusmoduler er designet for å skanne innkommende trafikk gjennom HTTP-, FTP- og UserGate-postproxyer, samt utgående trafikk gjennom SMTP-proxyer.

Antivirusmodulinnstillingene er tilgjengelige i Tjenester Antivirus-delen av administrasjonskonsollen (fig. 14). For hvert antivirus kan du spesifisere hvilke protokoller det skal sjekke, angi frekvensen for oppdatering av antivirusdatabaser, og også spesifisere nettadresser som ikke må sjekkes (alternativ for URL-filter). I tillegg kan du i innstillingene spesifisere en gruppe brukere hvis trafikk ikke trenger å bli utsatt for antivirusskanning.

www.usergate.ru

Figur 13. Antivirusmoduler i UserGate Før du starter antivirusmodulene, start oppdateringen av antivirusdatabasene og vent til den er fullført. I standardinnstillingene oppdateres Kasperskys antivirusdatabaser fra nettstedet til Kaspersky Lab, og for Panda-antivirus blir de lastet ned fra Entensys-servere.

UserGate-serveren støtter samtidig drift av tre antivirusmoduler. I dette tilfellet vil Kaspersky Anti-Virus være den første som skanner trafikken.

Viktig! Når skanning av antivirustrafikk er aktivert, blokkerer UserGate-serveren multi-trådede filnedlastinger via HTTP og FTP. Blokkering av muligheten til å laste ned deler av en fil over HTTP kan føre til problemer med Windows Update-tjenesten.

Planlegger i UserGate UserGate-serveren har en innebygd oppgaveplanlegger som kan brukes til å utføre følgende oppgaver: initialisere og koble fra en DialUp-tilkobling, sende statistikk til UserGate-brukere, kjøre et vilkårlig program, oppdatere antivirusdatabaser, slette statistikken database, sjekke databasestørrelsen.

www.usergate.ru

Figur 14. Sette opp oppgaveplanleggeren Kjør-programelementet i UserGate-planleggeren kan også brukes til å utføre en sekvens av kommandoer (skript) fra *.bat- eller *.cmd-filer.

Lignende verk:

« HANDLINGSPLAN 2014-2015 KONFERANSE AV REGIONALE OG LOKALE MYNDIGHETER OM HANDLINGSPLAN FOR ØST PARTNERSKAP HANDLINGSPLAN FOR KONFERANSE AV REGIONAL OG LOKALE MYNDIGHETER OM DET ØSTLIGE PARTNERSKAPET (CORLEAP) FOR 2014 OG FRAM TIL ÅRSMØTE I 2015 1. Introduksjon designet for å fremme lokale og...”

« Direktør for avdelingen for statlig politikk og regulering innen geologi og bruk av undergrunnen til departementet for naturressurser i Russland A.V. Eagle godkjent 23. august 2013 GODKJENT Direktør for avdelingen for statspolitikk og regulering innen geologi og undergrunnsbruk ved departementet for naturressurser i Russland _ A.V. Eagle "_" 2013 AVTALT Direktør for Federal State Unitary Enterprise Geological Exploration V.V. Shimansky "_"_ 2013 KONKLUSJON fra det vitenskapelige og metodologiske rådet om geologiske og geofysiske teknologier for prospektering og utforskning av faste mineraler ... "

« REDAKTØRS KOLONNE KJÆRE VENNER! Du holder i hendene den første utgaven av New Forest Journal i år. Tradisjonen tro var hovedtemaet det siste i fjor internasjonal utstillingsmesse"Russisk skog". Selvfølgelig betraktet vi denne begivenheten ikke så mye som en informasjonsbegivenhet, men som en plattform for utvikling av politikk, strategi og taktikk for utvikling av industrien av spesialistene i skogkomplekset. Det er fra dette synspunktet vi prøvde å dekke arbeidet med seminarene, ... "

« Programmet for den statlige avsluttende tverrfaglige eksamen er satt sammen i samsvar med bestemmelsene: om den endelige statlige sertifiseringen av nyutdannede Federal State Budgetary Education Institute of Higher Professional Education "Russian Academy of National Economy and Public Administration under presidenten Den russiske føderasjonen"datert 24. januar 2012, Moskva; på masteropplæring (magistrati) i den føderale statens budsjettutdanning ... "

« Liste over utøvere Nechaev V.D. Leder for det strategiske utviklingsprogrammet ved universitetet, rektor Glazkov A.A. programleder strategisk utvikling Universitetet, viserektor for vitenskap, innovasjon og strategisk utvikling Sharaborova G.K. koordinator for universitetets strategiske utviklingsprogram, direktør for Senter for strategisk utvikling Prosjektkuratorer: Sokolov E.F. Viserektor for administrativ og økonomisk støtte Ognev A.S. viserektor for vitenskap, ... "

« UDC 91:327 Lysenko A. V. Matematisk modellering som en metode for å studere fenomenet autonomisme i politisk geografi Taurida National University oppkalt etter V. I. Vernadsky, Simferopol e-post: [e-postbeskyttet] Merknad. Artikkelen diskuterer muligheten for å bruke matematisk modellering som en metode for å studere politisk geografi, avslører begrepet territoriell autonomi, så vel som faktorene for dets tilblivelse. Nøkkelord: matematisk modellering,...»

"RETTIGHETER" i Murmansk GODKJENT AKSEPTERT Direktør for filialen på møte i Institutt for generell rett PEI VPO BIEPP i Murmansk disipliner PEI VPO BIEPP v.g. Murmansk A.S. Korobeinikov-protokoll nr. 2_ datert "_09_" _September_ 2014 "_09_" September 2014 Utdannings- og metodologisk kompleks av disiplinen Historie om politiske og juridiske doktriner Spesialitet ... "

« TILLITSFOND FOR DET RUSSISKE PROGRAMMET FOR UTVIKLING I UTDANNING (LES) LES ÅRSRAPPORT FOR resultater av reformer og et system for vurdering av utdanningsprestasjoner og tilegnet ferdigheter, vil banken hjelpe partnerlandene med å svare på nøkkelspørsmål for utforming av utdanningsreformpolitikk: hvilke fordeler har systemet vårt? hva er dens mangler? Hvilke tiltak for å eliminere disse manglene var de mest effektive? hva er..."

« OKHUNOV ALISHER ORIPOVICH [e-postbeskyttet] TITTEL pensum GENERELL INFORMASJON INFORMASJON OM INSTRUKTØRER DISKIPINPOLITIK "GENERELT PROGRAM FINALE LÆRINGSRESULTAT FORHANDLINGSFORRETNINGER OG ETTERKRAV TIL KIRURGI" KRITERIER OG REGLER FOR VURDERING AV ELEVENES KUNNSKAP OG FERDIGHETER TYPE KONTROLLPENSUM "GENERELLE SPØRSMÅL OM KIRURGI" ALISHER ORIOVVICH [e-postbeskyttet] GENERELL INFORMASJON: TITTEL Navn på universitetet: Tashkent Medical Academy GENERELL INFORMASJON Institutt for generell og pediatrisk kirurgi Sted...»

« Foreign Relations Committee Implementering i St. Petersburg i St. Petersburg av den russiske føderasjonens statspolitikk i forhold til landsmenn i utlandet VIII St. Petersburg Forum for ungdomsorganisasjoner av russiske landsmenn og utenlandske russiskspråklige medier "Russian Abroad" 7.-13. juni 2015 PROGRAM 7. JUNI, SØNDAG Ankomst av Forum-deltakerne i løpet av dagen Hotel "St. Petersburg" Adresse: Pirogovskaya-vollen , 5/2 Registrering av deltakere, utstedelse "Rekruttering av deltakeren" OBS!... "

« Læreplan for tilleggsopptaksprøven til masterprogrammet for spesialiteten 1-23 80 06 "Historie om internasjonale relasjoner og utenrikspolitikk" kompilert på grunnlag av standardprogrammer "Historie internasjonale relasjoner” og “Historien om utenrikspolitikken til Hviterussland”, samt programmene til statseksamenen i spesielle disipliner for spesialiteten 1-23 01 01 “Internasjonale relasjoner”. Vurdert og anbefalt for godkjenning på et møte i Department of International Relations Protocol nr. 10 av 7 ... "

« Det russisk-kinesiske laboratoriet kan velge et supertungt rakettprosjekt i en uke. Space Tether-systemer Følgende satellitter i Meteor-serien vil ikke motta radarkomplekser Den manglende forbindelsen med den russiske vitenskapelige satellitten Vernov er ennå ikke etablert 19.02.2015

« UDDANNELSES- OG VITENSKAPSMINISTERIET I DEN RUSSISKE FØDERASJONEN Federal State Budgetary Educational Institution of Higher Professional Education"Kemerovo State University" GODKJENT: Rektor _ V. A. Volchek "" _ 2014 Hovedutdanningsprogram høyere utdanning Spesialitet 030701 Internasjonale relasjoner Orientering (spesialisering) "Verdenspolitikk" Kvalifikasjon (grad) spesialist innen internasjonale relasjoner Studieform på heltid Kemerovo 2014 ... "

« ISLAM I DE MODERNE URALER Alexey Malashenko, Alexey Starostin APRIL 2015 ISLAM I DE MODERNE URALER Alexey Malashenko, Alexey Starostin Denne utgaven Arbeidspapirene ble utarbeidet av en non-profit, ikke-statlig forskningsorganisasjon, Carnegie Moscow Center. Carnegie Endowment for International Peace og Carnegie Moscow Center som organisasjon tar ikke et felles standpunkt i sosiale og politiske spørsmål. Publikasjonen gjenspeiler de personlige synspunktene til forfatterne, som ikke bør ... "

« "Hovedprinsippet til Knauf er at alt skal være "mittdenken" (gjør det etter å ha tenkt godt sammen og tatt hensyn til interessene til de du jobber for). Gradvis det nøkkelkonsept slo rot i Russland. Fra et intervju med Yu.A. Mikhailov, administrerende direktør LLC "Knauf GIPS KOLPINO"Ledelsespraksis for den russiske avdelingen av det internasjonale selskapet: opplevelsen av "Knauf CIS" * Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Annotering Basert på analysen av erfaringen fra utviklingen av Knauf CIS-gruppen i . .. "

« Vedlegg INFORMASJON om fremdriften i utførelsen av ordre fra guvernøren i Omsk-regionen datert 28. februar 2013 nr. 25-r “Om tiltak for å implementere dekret fra guvernøren i Omsk-regionen region datert 16. januar 2013 nr. 3 "i henhold til Plan for prioriterte handlinger for 2013-2014 for gjennomføring av den regionale handlingsstrategien for barn i Omsk-regionen for 2013-2017 for 2013 Familiepolitikk for barnevern ...»

« UDDANNINGSDEPARTEMENTET OG UNGDOMSPOLITIKKEN I KHANTY-MANSIYSK AUTONOMUSE REGION - YUGRA State Educational Institution of the Higher Professional dannelsen av Khanty-Mansiysk autonom region– Ugra “Surgut State Pedagogical University”-program industriell praksis BP.5. PEDAGOGISK PRAKSIS Treningsretning 49.03.02 Fysisk kultur for personer med nedsatt funksjonsevne (Adaptiv fysisk kultur) Kvalifikasjon (grad) ... "

« Statens autonome utdanningsinstitusjon for høyere profesjonsutdanning "Moscow City University of Management of the Government of Moscow" Institutt for høyere profesjonsutdanning regjeringskontrollert og personalpolitikk JEG GODKJENNER prorektor for akademisk og vitenskapelig arbeid A.A. Alexandrov "_"_ 20_ Arbeidsprogram disiplin "Metoder for aksept ledelsesbeslutninger» for studenter i retningen 38.03.02 "Management" for fulltidsutdanning Moskva ... "

« Serien «Simple Finance» av Yu. V. Brekhova HVORDAN GJENNER DU DEN FINANSIELLE PYRAMIDEN Volgograd 2011 UDC 336 BBK 65.261 B 87 Brosjyre fra serien «Simple Finance» fullført i samsvar med avtale 7(2) datert 19. september 2011, den føderale statlige utdanningsinstitusjonen for høyere profesjonsutdanning "Volgograd Academy of Public Administration" med Komiteen for budsjett- og finanspolitikk og finanspolitikken og statskassen til administrasjonen av Volgograd-regionen som en del av gjennomføringen av en langsiktig regional målprogram"Forbedre nivået av finansiell kompetanse hos befolkningen og utviklingen av økonomisk ..."
Materialet på dette nettstedet er lagt ut for gjennomgang, alle rettigheter tilhører deres forfattere.
Hvis du ikke godtar at materialet ditt er lagt ut på denne siden, vennligst skriv til oss Vi fjerner den innen 1-2 virkedager.