Configurarea usergate pentru a lucra cu browserul. Configurarea Usergate - contabilizarea traficului de Internet în rețeaua locală
O zi buna, draga vizitatoare. Anul 2013 a trecut în urmă, pentru unii a fost greu, pentru alții a fost ușor, dar timpul zboară și dacă te gândești că o nanosecundă este 10 −9 Cu. apoi doar zboară. În acest articol vă voi povesti despre un nou produs de la Entensys, din care suntem parteneri în trei domenii UserGate Proxy & Firewall 6.2.1.
Din punctul de vedere al administrării versiunii 6.2 a UserGate Proxy & Firewall 5.2F, a cărei implementare o practicăm cu succes în practica noastră de outsourcing IT, este practic inexistentă. Vom folosi Hyper-V ca mediu de laborator, și anume două mașini virtuale de prima generație, o parte server pe Windows Server 2008 R2 SP1 și o parte client pe Windows 7 SP1. Dintr-un motiv necunoscut pentru mine, UserGate versiunea 6 nu se instalează pe Windows Server 2012 și Windows Server 2012 R2.
Deci, ce este un server proxy?
Server proxy(din proxy engleză - „reprezentant, autorizat”) - un serviciu (set de programe) în retele de calculatoare, permițând clienților să facă cereri indirecte către alte servicii de rețea. În primul rând, clientul se conectează la serverul proxy și solicită o resursă (de exemplu, e-mail) situată pe un alt server. Apoi serverul proxy fie se conectează la serverul specificat și obține resursa de la acesta, fie returnează resursa din propriul cache (în cazurile în care proxy-ul are propriul cache). În unele cazuri, cererea clientului sau răspunsul serverului poate fi modificată de serverul proxy în anumite scopuri. Un server proxy vă permite, de asemenea, să protejați computerul clientului de unele atacuri de rețea și ajută la menținerea anonimatului clientului.
Ceastfel deUserGate Proxy și Firewall?
UserGate Proxy și Firewall- Acest soluție cuprinzătoare pentru conectarea utilizatorilor la Internet, oferind contabilitate completă a traficului, controlul accesului și furnizarea de instrumente încorporate de protecție a rețelei.
Din definiție, să ne uităm la ce soluții oferă Entensys în produsul său, cum este calculat traficul, cum este limitat accesul și ce instrumente de protecție oferă UserGate Proxy & Firewall.
În ce constă?UserGate?
UserGate este format din mai multe părți: un server, o consolă de administrare și mai multe module suplimentare. Serverul este partea principală a serverului proxy, în care sunt implementate toate funcționalitățile acestuia. Serverul UserGate oferă acces la Internet, contorizează traficul, păstrează statistici ale activității utilizatorilor în rețea și efectuează multe alte sarcini.
Consola de administrare UserGate este un program conceput pentru a gestiona serverul UserGate. Consola de administrare UserGate comunică cu partea de server printr-un protocol special securizat prin TCP/IP, care vă permite să efectuați administrarea serverului de la distanță.
UserGate include trei module suplimentare: „Web Statistics”, „UserGate Authorization Client” și modulul „Application Control”.
Server
Instalarea serverului UserGate este foarte simplă, singura diferență este alegerea bazei de date în timpul procesului de instalare. Accesul la baza de date se realizează direct (pentru baza de date Firebird încorporată) sau printr-un driver ODBC, care permite serverului UserGate să lucreze cu baze de date de aproape orice format (MSAccess, MSSQL, MySQL). În mod implicit, este utilizată baza de date Firebird. Dacă decideți să actualizați UserGate din versiunile anterioare, atunci va trebui să vă luați la revedere de la baza de date de statistici, deoarece: Pentru fișierul de statistici este acceptat doar transferul soldurilor curente ale utilizatorilor; statisticile de trafic în sine nu vor fi transferate. Modificările aduse bazei de date au fost cauzate de probleme de performanță cu cea veche și de limitări ale dimensiunii acesteia. Noua bază de date Firebird nu are astfel de deficiențe.
.JPG)
Lansarea consolei de administrare.
Consola este instalată pe serverul VM. La prima lansare, consola de administrare se deschide la pagina Conexiuni, care conține o singură conexiune la serverul localhost pentru utilizatorul Administrator. Parola de conectare nu a fost setată. Puteți conecta consola de administrare la server făcând dublu clic pe linia localhost-administrator sau făcând clic pe butonul de conectare de pe panoul de control. Puteți crea mai multe conexiuni în consola de administrare UserGate.
Setările de conectare specifică următorii parametri:
- Numele serverului este numele conexiunii;
- Nume utilizator – autentificare pentru a vă conecta la server;
- Adresa serverului – numele de domeniu sau adresa IP a serverului UserGate;
- Port – port TCP folosit pentru a se conecta la server (în mod implicit, este utilizat portul 2345);
- Parola – parola pentru conectare;
- Solicitați parola la conectare – această opțiune vă permite să afișați un dialog pentru introducerea numelui de utilizator și a parolei atunci când vă conectați la server;
- Conectați-vă automat la acest server – consola de administrare se va conecta automat la acest server când este lansată.
Când porniți prima dată serverul, sistemul oferă un asistent de instalare, pe care îl refuzăm. Setările consolei de administrare sunt stocate în fișierul console.xml situat în directorul %UserGate%\Administrator.
Configurarea conexiunilor în spatele NAT. Paragraf „Setări generale NAT” vă permite să setați valoarea timeout pentru conexiunile NAT prin protocoale TCP, UDP sau ICMP. Valoarea timeout determină durata de viață a unei conexiuni de utilizator prin NAT atunci când transmiterea datelor prin conexiune este finalizată. Să lăsăm această setare ca implicită.
Detector de atac este o opțiune specială care vă permite să activați mecanismul intern pentru monitorizarea și blocarea scannerului de porturi sau încercările de a ocupa toate porturile de server.
Blocați după linia browserului– o listă de browsere ale User-Agent care pot fi blocate de serverul proxy. Acestea. Puteți, de exemplu, să împiedicați browserele mai vechi, cum ar fi IE 6.0 sau Firefox 3.x, să acceseze Internetul.
Interfețe
Secțiunea Interfețe este cea principală din setările serverului UserGate, deoarece determină probleme precum corectitudinea numărării traficului, capacitatea de a crea reguli pentru firewall, restricții privind lățimea canalului de Internet pentru trafic de un anumit tip, stabilirea relațiilor dintre rețele și ordinea în care pachetele sunt procesate de driverul NAT. Fila „Interfețe”, selectați tipul dorit pentru interfețe. Deci, pentru un adaptor conectat la Internet, ar trebui să selectați tipul WAN, pentru un adaptor conectat la retea locala– tip LAN. Accesul la internet pentru VM este partajat, respectiv, interfața cu adresa 192.168.137.118 va fi un adaptor WAN, selectați tipul dorit și faceți clic pe „Aplicare”. Apoi repornim serverul.
.JPG)
Utilizatori și grupuri
Accesul la Internet este oferit numai utilizatorilor care au finalizat cu succes autorizarea pe serverul UserGate. Programul suportă următoarele metode autorizare utilizator:
- După adresa IP
- După intervalul de adrese IP
- După adresa IP+MAC
- După adresa MAC
- Autorizare folosind HTTP (HTTP-de bază, NTLM)
- Autorizare prin autentificare și parolă (client de autorizare)
- Opțiune de autorizare simplificată prin Active Directory
Pentru a utiliza ultimele trei metode de autorizare, trebuie să instalați o aplicație specială pe stația de lucru a utilizatorului - clientul de autorizare UserGate. Pachetul MSI corespunzător (AuthClientInstall.msi) se află în directorul %UserGate%\tools și poate fi utilizat pentru instalarea automată folosind Politica de grup în Active Directory.
Pentru utilizatorii de terminale, este furnizată doar opțiunea „Autorizare prin HTTP”. Opțiunea corespunzătoare este activată în elementul Setări generale din consola de administrare.
Puteți crea un utilizator nou prin intermediul articolului Adăugați un utilizator nou sau făcând clic pe butonul Adăugaîn panoul de control de pe pagină Utilizatori și grupuri.
Există o altă modalitate de a adăuga utilizatori - scanarea rețelei cu solicitări ARP. Trebuie să faceți clic pe spațiu golîn consola de administrare de pe pagină utilizatoriiși selectați elementul scanează rețeaua locală. Apoi, setați parametrii rețelei locale și așteptați rezultatele scanării. Ca rezultat, veți vedea o listă de utilizatori care pot fi adăugați la UserGate. Ei bine, să verificăm, faceți clic pe „Scanați rețeaua locală”
Setați parametrii:
.JPG)
Lucrări!
.JPG)
Adăugarea unui utilizator
Merită să reamintim că UserGate are o prioritate de autentificare, mai întâi fizică și apoi logică. Aceasta metoda nu este de încredere, pentru că utilizatorul poate schimba adresa IP. Ceea ce ni se potrivește este importul conturilor Active Directory, pe care le putem importa cu ușurință făcând clic pe butonul „Import”, apoi „Selectare” și numele contului nostru, „Ok”, „Ok”.
.JPG)
Selectați „Grup”, lăsați „implicit” implicit
.JPG)
Faceți clic pe „Ok” și salvați modificările.
.JPG)
Utilizatorul nostru a fost adăugat fără probleme. De asemenea, este posibil să sincronizați grupuri AD în fila „Grupuri”.
Configurarea serviciilor proxy în UserGate
În serverul UserGate sunt integrate următoarele servere proxy: HTTP (cu suport pentru modul „FTP over HTTP” și HTTPS - metoda Connect), FTP, SOCKS4, SOCKS5, POP3 și SMTP, SIP și H323. Setările serverului proxy sunt disponibile în secțiunea Servicii → Setări proxy din consola de administrare. Setările principale ale serverului proxy includ: interfața și numărul portului pe care funcționează proxy-ul. Deci, de exemplu, să activăm un proxy HTTP transparent pe interfața noastră LAN. Să mergem la „Setări proxy” și să selectăm HTTP.
.JPG)
Să ne selectăm interfața, să lăsăm totul ca implicit și să facem clic pe „OK”
.JPG)
Folosind modul transparent
Funcția „Mod transparent” din setările serverului proxy este disponibilă dacă serverul UserGate este instalat împreună cu driverul NAT. În modul transparent, driverul NAT UserGate ascultă porturile standard pentru servicii: 80 TCP pentru HTTP, 21 TCP pentru FTP, 110 și 25 TCP pentru POP3 și SMTP pe interfețele de rețea ale computerului cu UserGate. Dacă există solicitări, le transferă pe serverul proxy UserGate corespunzător. Când se utilizează modul transparent în aplicațiile de rețea, utilizatorii nu trebuie să specifice adresa și portul serverului proxy, ceea ce reduce semnificativ munca administratorului în ceea ce privește furnizarea de acces la rețeaua locală la Internet. Cu toate acestea, în setările de rețea ale stațiilor de lucru, serverul UserGate trebuie specificat ca gateway și adresa serverului DNS trebuie specificată.
Proxy-uri de e-mail în UserGate
Serverele proxy de e-mail din UserGate sunt proiectate să funcționeze cu protocoalele POP3 și SMTP și pentru scanarea antivirus a traficului de e-mail. Când utilizați modul de operare transparent al proxy-ului POP3 și SMTP, setările clientului de e-mail de pe stația de lucru a utilizatorului nu diferă de setările corespunzătoare opțiunii cu acces direct la Internet.
Dacă proxy-ul UserGate POP3 este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului POP3 UserGate trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format: adresa_e-mail@adresa_server_POP3. De exemplu, dacă utilizatorul are o cutie poștală [email protected], apoi ca Login pentru proxy POP3 UserGate în clientul de e-mail, va trebui să specificați: [email protected]@pop.mail123.com. Acest format este necesar pentru ca serverul UserGate să poată determina adresa serverului POP3 la distanță.
Dacă proxy-ul SMTP UserGate este utilizat în modul netransparent, atunci în setările proxy trebuie să specificați adresa IP și portul serverului SMTP pe care UserGate îl va folosi pentru a trimite scrisori. În acest caz, în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a serverului UserGate și portul corespunzător proxy-ului SMTP UserGate trebuie specificate ca adresa serverului SMTP. Dacă este necesară autorizarea pentru trimitere, atunci în setările clientului de e-mail trebuie să specificați login și parola corespunzătoare serverului SMTP, care este specificată în setările proxy SMTP din UserGate.
Ei bine, asta sună bine, haideți să verificăm folosind mail.ru.
În primul rând, să activăm proxy-urile POP3 și SMTP pe serverul nostru. Când activăm POP3, vom specifica interfața LAN ca portul standard 110.
.JPG)
Și, de asemenea, asigurați-vă că nu există nicio bifă pentru „Proxy transparent” și faceți clic pe „Ok” și „Aplicați”
.JPG)
.JPG)
Debifați „Mod transparent” și scrieți „Setări server la distanță”, în cazul nostru smtp.mail.ru. De ce este indicat un singur server? Și iată răspunsul: se presupune că organizația folosește un singur server smtp, iar acest server este indicat în setările proxy SMTP.
.JPG)
Prima regulă pentru POP3 ar trebui să arate așa.
.JPG)
În al doilea rând, așa cum ar spune Alexander Nevsky "Ca aceasta"
.JPG)
Nu uitați de butonul „Aplicați” și treceți la configurarea clientului. După cum ne amintim, „Dacă proxy-ul UserGate POP3 este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului UserGate POP3 trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format: adresa_e-mail@adresa_server_POP3." Să acţionăm.
Mai întâi, conectați-vă la clientul de autorizare, apoi deschideți Outlook obișnuit; în exemplul nostru, am creat o cutie poștală de testare [email protected], și configurați-l prin specificarea căsuței noastre poștale într-un format ușor de înțeles pentru UserGate [email protected]@pop.mail.ru, precum și serverele POP și SMTP, adresa noastră proxy.
.JPG)
Faceți clic pe „Verificarea contului...”
.JPG)
.JPG)
Alocarea portului
UserGate acceptă funcția Port Forwarding. Dacă există reguli de atribuire a portului, serverul UserGate redirecționează cererile utilizatorului care sosesc pe un anumit port al unei anumite interfețe de rețea a unui computer cu UserGate către o altă adresă și port specificate, de exemplu, către un alt computer din rețeaua locală. Funcția Port Forwarding este disponibilă pentru protocoalele TCP și UDP.
.JPG)
Dacă atribuirea portului este utilizată pentru a oferi acces de pe Internet la o resursă internă a companiei, trebuie să selectați Utilizator specificat ca parametru Autorizare, altfel redirecționarea portului nu va funcționa. Nu uitați să activați Desktop la distanță.
Configurare cache
Unul dintre scopurile unui server proxy este de a stoca în cache resursele rețelei. Memorarea în cache reduce încărcarea conexiunii dvs. la Internet și accelerează accesul la resursele frecvent vizitate. Serverul proxy UserGate memorează în cache traficul HTTP și FTP. Documentele stocate în cache sunt plasate în folderul local %UserGate_data%\Cache. Setările cache indică dimensiunea maximă a memoriei cache și timpul de stocare pentru documentele stocate în cache.
.JPG)
Scanare antivirus
În serverul UserGate sunt integrate trei module antivirus: Kaspersky Lab antivirus, Panda Security și Avira. Toate modulele antivirus sunt proiectate pentru a scana traficul de intrare prin serverele proxy de e-mail HTTP, FTP și UserGate, precum și traficul de ieșire prin proxy-uri SMTP.
Setările modulului antivirus sunt disponibile în secțiunea Servicii → Antivirus a consolei de administrare. Pentru fiecare antivirus, puteți specifica ce protocoale ar trebui să scaneze, să setați frecvența de actualizare a bazelor de date antivirus și, de asemenea, să specificați adrese URL care nu trebuie scanate (opțiune de filtru URL). În plus, în setări puteți specifica un grup de utilizatori al căror trafic nu trebuie să fie supus unei scanări antivirus.
Înainte de a porni antivirusul, trebuie mai întâi să-i actualizați baza de date.
După funcțiile de mai sus, să trecem la cele utilizate frecvent, acestea sunt „Gestionarea traficului” și „Controlul aplicațiilor”.
Sistemul de reguli de control al traficului
Serverul UserGate oferă posibilitatea de a controla accesul utilizatorilor la Internet utilizând regulile de gestionare a traficului. Regulile de control al traficului sunt concepute pentru a interzice accesul la anumite resurse de rețea, pentru a stabili restricții privind consumul de trafic, pentru a crea un program pentru utilizatorii de pe Internet și, de asemenea, pentru a monitoriza starea conturilor de utilizator.
În exemplul nostru, vom restricționa accesul unui utilizator care are referințe la vk.com în cererea sa. Pentru a face acest lucru, accesați „Gestionarea traficului – Reguli”
Dați regulii un nume și acțiunii „Închideți conexiunea”
.JPG)
.JPG)
După adăugarea site-ului, treceți la următorul parametru, selectând un grup sau utilizator, regula poate fi setată atât pentru utilizator, cât și pentru grup, în cazul nostru utilizatorul „Utilizator”.
.JPG)
Controlul aplicației
Politica de control al accesului la Internet a primit o continuare logică sub forma modulului Application Firewall. Administratorul UserGate poate permite sau interzice accesul la Internet nu numai utilizatorilor, ci și aplicațiilor de rețea de pe stația de lucru a utilizatorului. Pentru a face acest lucru, trebuie să instalați o aplicație specială App.FirewallService pe stațiile de lucru ale utilizatorului. Instalarea pachetului este posibilă atât prin fișierul executabil, cât și prin pachetul MSI corespunzător (AuthFwInstall.msi), aflat în directorul %Usergate%\tools.
Să mergem la modulul „Controlul aplicației - Reguli” și să creăm o regulă de interzicere, de exemplu, pentru a interzice lansarea IE. Faceți clic pe adăugați un grup, dați-i un nume și setați o regulă pentru grup.
.JPG)
Selectăm grupul nostru de reguli creat, putem bifa caseta de selectare „Regulă implicită”, în acest caz regulile vor fi adăugate la grupul „Reguli implicite”
.JPG)
Aplicarea unei reguli unui utilizator în proprietățile utilizatorului
.JPG)
Acum instalăm Auth.Client și App.Firewall pe stația client; după instalare, IE ar trebui să fie blocat de regulile create mai devreme.
.JPG)
După cum putem vedea, regula a funcționat, acum să dezactivăm regulile pentru ca utilizatorul să vadă cum funcționează regula pentru site-ul vk.com. După dezactivarea regulii pe serverul usergate, trebuie să așteptați 10 minute (timp de sincronizare cu serverul). Să încercăm să accesăm linkul direct
.JPG)
Să încercăm motor de căutare google.com
.JPG)
După cum puteți vedea, regulile funcționează fără probleme.
Deci, acest articol acoperă doar o mică parte a funcțiilor. Setările posibile pentru firewall, regulile de rutare și regulile NAT sunt omise. UserGate Proxy & Firewall oferă o gamă largă de soluții, chiar și puțin mai multe. Produsul a funcționat foarte bine și, cel mai important, a fost ușor de configurat. Vom continua să-l folosim în deservirea infrastructurilor IT ale clienților pentru a rezolva problemele tipice!
Astăzi, conducerea tuturor companiilor probabil a apreciat deja oportunitățile pe care le oferă internetul pentru a face afaceri. Desigur, nu vorbim despre magazine online și e-commerce, care, orice s-ar spune, astăzi sunt mai multe instrumente de marketing decât într-un mod real creşterea cifrei de afaceri a mărfurilor sau serviciilor. Rețeaua globală este un mediu de informare excelent, o sursă aproape inepuizabilă de o mare varietate de date. În plus, oferă o comunicare rapidă și ieftină atât cu clienții, cât și cu partenerii companiei. Potențialul internetului pentru marketing nu poate fi redus. Astfel, rezultă că Rețeaua Globală, în general, poate fi considerată un instrument de business multifuncțional care poate crește eficiența angajaților companiei în îndeplinirea atribuțiilor lor.
Cu toate acestea, mai întâi trebuie să oferiți acestor angajați acces la Internet. Doar conectarea unui computer la rețeaua globală nu este o problemă astăzi. Există multe moduri în care se poate face acest lucru. Există, de asemenea, multe companii care oferă o soluție practică la această problemă. Dar este puțin probabil ca internetul pe un singur computer să poată aduce beneficii notabile companiei. Fiecare angajat ar trebui să aibă acces la internet de la locul de muncă. Și aici nu ne putem lipsi de un software special, așa-numitul server proxy. În principiu, capacitățile sistemelor de operare ale familiei Windows fac posibilă realizarea oricărei conexiuni la Internet comună. În acest caz, alte computere din rețeaua locală vor avea acces la el. Cu toate acestea, această decizie nu merită luată în considerare cel puțin în serios. Cert este că atunci când îl alegeți, va trebui să uitați de controlul asupra utilizării Rețelei Globale de către angajații companiei. Adică, oricine de la orice computer corporativ poate accesa Internetul și poate face tot ce dorește acolo. Și probabil că ceea ce amenință acest lucru nu trebuie explicat nimănui.
Astfel, singura modalitate acceptabilă pentru o companie de a organiza conexiunea tuturor calculatoarelor incluse în rețeaua locală corporativă este un server proxy. Astăzi există multe programe din această clasă pe piață. Dar vom vorbi doar despre o singură evoluție. Se numește UserGate și a fost creat de specialiștii eSafeLine. Principalele caracteristici ale acestui program sunt funcționalitatea sa largă și o interfață foarte convenabilă în limba rusă. În plus, este de remarcat faptul că este în continuă evoluție. Recent, a fost prezentată publicului o nouă, a patra versiune a acestui produs.
Deci, UserGate. Acest software constă din mai multe module separate. Primul dintre ele este serverul în sine. Trebuie instalat pe un computer conectat direct la Internet (Internet Gateway). Este serverul care oferă acces utilizatorilor la Rețeaua Globală, numără traficul utilizat, menține statisticile de funcționare etc. Al doilea modul este destinat administrării sistemului. Cu ajutorul acestuia, angajatul responsabil realizează toată configurația serverului proxy. Caracteristica principală UserGate în acest sens este că modulul de administrare nu trebuie să fie localizat pe gateway-ul de internet. Prin urmare, despre care vorbim despre gestionarea serverului proxy la distanță. Acest lucru este foarte bun, deoarece administratorul de sistem are posibilitatea de a gestiona accesul la Internet direct de la locul său de muncă.
În plus, UserGate include încă două module software separate. Primul dintre ele este necesar pentru vizualizarea comodă a statisticilor de utilizare a Internetului și crearea de rapoarte bazate pe acesta, iar al doilea este pentru autorizarea utilizatorilor în unele cazuri. Această abordare se potrivește bine cu interfața intuitivă și în limba rusă a tuturor modulelor. Toate împreună, acest lucru vă permite să configurați rapid și fără probleme accesul partajat la rețeaua globală în orice birou.
Dar să trecem la analizarea funcționalității serverului proxy UserGate. Trebuie să începem cu faptul că acest program implementează imediat două moduri diferite de a configura DNS (poate cea mai importantă sarcină la implementarea accesului public). Primul dintre ele este NAT (Network Address Translation). Oferă o contabilizare foarte precisă a traficului consumat și permite utilizatorilor să utilizeze orice protocoale permise de administrator. Cu toate acestea, este de remarcat faptul că unele aplicații de rețea nu vor funcționa corect în acest caz. A doua opțiune este redirecționarea DNS. Are limitări mai mari în comparație cu NAT, dar poate fi folosit pe computere cu familii de operare mai vechi (Windows 95, 98 și NT).
Permisiunile Internet sunt configurate folosind termenii „utilizator” și „grup de utilizatori”. Mai mult, interesant, în serverul proxy UserGate, utilizatorul nu este neapărat o persoană. Un computer își poate juca și rolul. Adică, în primul caz, accesul la Internet este permis anumitor angajați, iar în al doilea - tuturor persoanelor care stau la un computer. Desigur, sunt folosite diferite metode de autorizare a utilizatorului. Dacă vorbim despre computere, atunci acestea pot fi identificate după adresa lor IP, o combinație de adrese IP și MAC sau o serie de adrese IP. Pentru a autoriza angajații, pot fi folosite perechi speciale de autentificare/parolă, date din Active Directory, numele și parola care se potrivesc cu informațiile de autorizare Windows etc.. Pentru ușurința instalării, utilizatorii pot fi combinați în grupuri. Această abordare vă permite să gestionați accesul pentru toți angajații cu aceleași drepturi (în aceleași poziții) simultan, mai degrabă decât să configurați fiecare cont separat. 
Serverul proxy UserGate are și propriul sistem de facturare. Administratorul poate seta orice număr de tarife care descriu cât costă o unitate de trafic de intrare sau de ieșire sau timpul de conectare. Acest lucru vă permite să păstrați înregistrări exacte ale tuturor cheltuielilor de internet legate de utilizatori. Adică, conducerea companiei va ști întotdeauna cine a cheltuit cât. Apropo, tarifele pot fi făcute în funcție de ora actuală, ceea ce vă permite să reproduceți cu exactitate politica de preț a furnizorului.
Serverul proxy UserGate vă permite să implementați orice politică corporativă de acces la Internet, indiferent cât de complexă. În acest scop, se folosesc așa-numitele reguli. Cu ajutorul lor, administratorul poate stabili restricții pentru utilizatori cu privire la timpul de funcționare, la cantitatea de trafic trimis sau primit pe zi sau lună, la cantitatea de timp folosită pe zi sau lună etc. Dacă aceste limite sunt depășite, accesul la Rețeaua globală va fi blocată automat. În plus, folosind reguli, puteți impune restricții asupra vitezei de acces a utilizatorilor individuali sau a grupurilor întregi dintre aceștia.
Un alt exemplu de utilizare a regulilor este restricțiile privind accesul la anumite adrese IP sau intervalele acestora, la nume de domenii întregi sau adrese care conțin anumite șiruri etc. Adică, de fapt, vorbim despre filtrarea site-urilor, cu ajutorul cărora dvs. poate exclude vizitele angajaților proiectelor web nedorite. Dar, desigur, acestea nu sunt toate exemple de aplicare a regulilor. Cu ajutorul lor, puteți, de exemplu, să implementați tarife de comutare în funcție de ceea ce este încărcat acest moment site (necesar pentru a ține cont de traficul preferențial care există la unii furnizori), configurați tăierea bannere publicitareși așa mai departe.
Apropo, am spus deja că serverul proxy UserGate are un modul separat pentru lucrul cu statistici. Cu ajutorul acestuia, administratorul poate vizualiza oricând traficul consumat (total, pentru fiecare utilizator, pentru grupuri de utilizatori, pentru site-uri, pentru adrese IP server etc.). În plus, toate acestea se realizează foarte rapid folosind un sistem de filtrare convenabil. În plus, acest modul implementează un generator de rapoarte, cu ajutorul căruia administratorul poate pregăti orice rapoarte și le poate exporta în format MS Excel. 
O soluție foarte interesantă din partea dezvoltatorilor este integrarea unui modul antivirus în firewall, care controlează tot traficul de intrare și de ieșire. Mai mult, nu au reinventat roata, ci au integrat dezvoltarea Kaspersky Lab. Această soluție garantează, în primul rând, o protecție cu adevărat fiabilă împotriva tuturor programelor rău intenționate și, în al doilea rând, actualizarea regulată a bazelor de date de semnături. Un altul important din punct de vedere al securitatea informatiei O caracteristică este firewall-ul încorporat. Și așa a fost creat de dezvoltatorii UserGate în mod independent. Din păcate, este de remarcat faptul că firewall-ul integrat în serverul proxy este destul de diferit în ceea ce privește capacitățile sale de produsele de vârf în acest domeniu. Strict vorbind, vorbim despre un modul care pur și simplu blochează traficul care trece prin porturile și protocoalele specificate de administrator către și de la computere cu adrese IP specificate. Nu are un mod de invizibilitate sau alte funcții care sunt în general necesare pentru firewall-uri.
Din păcate, un articol nu poate include o analiză detaliată a tuturor funcțiilor serverului proxy UserGate. Prin urmare, să le enumerăm cel puțin pe cele mai interesante dintre ele, care nu sunt incluse în recenzia noastră. În primul rând, este stocarea în cache a fișierelor descărcate de pe Internet, ceea ce vă permite să economisiți cu adevărat bani pe serviciile furnizorului. În al doilea rând, este de remarcat funcția Port mapping, care vă permite să legați orice port selectat al uneia dintre interfețele Ethernet locale la portul dorit al gazdei la distanță (această funcție este necesară pentru funcționarea aplicațiilor de rețea: sisteme bancă-client , diverse jocuri etc.) . În plus, serverul proxy UserGate implementează caracteristici precum accesul la resurse interne ale companiei, un planificator de sarcini, conexiune la o cascadă de proxy, monitorizarea traficului și a adreselor IP ale utilizatorilor activi, autentificarea acestora, URL-urile vizitate în timp real și multe, multe altele alte.
Ei bine, acum este timpul să facem un bilanț. Noi, dragi cititori, am examinat în detaliu serverul proxy UserGate, cu ajutorul căruia puteți organiza accesul general la Internet în orice birou. Și am fost convinși că această dezvoltare combină simplitatea și ușurința de configurare și utilizare cu un set foarte extins de funcționalități. Toate acestea fac ultima versiune UserGate este un produs foarte atractiv.
Organizarea accesului partajat la Internet pentru utilizatorii rețelei locale este una dintre cele mai frecvente sarcini cu care trebuie să se confrunte administratorii de sistem. Cu toate acestea, încă ridică multe dificultăți și întrebări. De exemplu, cum să asigurați securitatea maximă și controlabilitatea completă?
Introducere
Astăzi vom analiza în detaliu cum să organizăm accesul partajat la Internet între angajații unei anumite companii ipotetice. Să presupunem că numărul lor va fi în intervalul 50-100 de persoane, iar toate serviciile obișnuite pentru astfel de sisteme informatice sunt implementate în rețeaua locală: domeniu Windows, server de e-mail propriu, server FTP.
Pentru a oferi acces partajat, vom folosi o soluție numită UserGate Proxy & Firewall. Are mai multe caracteristici. În primul rând, este curat Dezvoltarea Rusiei, spre deosebire de multe produse localizate. În al doilea rând, are mai mult de zece ani de istorie. Dar cel mai important lucru este dezvoltarea constantă a produsului.
Primele versiuni ale acestei soluții erau servere proxy relativ simple, care puteau partaja doar o singură conexiune la Internet și să păstreze statistici privind utilizarea acesteia. Cel mai răspândit dintre ele este build 2.8, care se găsește încă în birourile mici. Cea mai recentă versiune, a șasea, nu mai este numită server proxy de către dezvoltatori înșiși. Potrivit acestora, aceasta este o soluție UTM cu drepturi depline care acoperă o gamă întreagă de sarcini legate de securitate și controlul acțiunilor utilizatorului. Să vedem dacă acest lucru este adevărat.
Implementarea UserGate Proxy și Firewall
În timpul instalării, sunt interesați doi pași (pașii rămași sunt standard pentru instalarea oricărui software). Prima dintre acestea este alegerea componentelor. Pe lângă fișierele de bază, ni se cere să instalăm încă patru componente de server - un VPN, două antivirusuri (Panda și Kaspersky Anti-Virus) și un browser cache.
Modulul server VPN este instalat după cum este necesar, adică atunci când compania intenționează să folosească acces la distanță pentru angajați sau să combine mai multe rețele de la distanță. Este logic să instalați antivirusuri numai dacă licențele corespunzătoare au fost achiziționate de la companie. Prezența lor vă va permite să scanați traficul de internet, să localizați și să blocați programele malware direct la gateway. Browserul cache vă va permite să vizualizați paginile web stocate în cache de serverul proxy.
Funcții suplimentare
Interzicerea site-urilor nedorite
Soluția acceptă tehnologia Entensys URL Filtering. În esență, este o bază de date bazată pe cloud, care conține peste 500 de milioane de site-uri web în diferite limbi, împărțite în peste 70 de categorii. Principala sa diferență este monitorizarea constantă, timp în care proiectele web sunt monitorizate în mod constant și când conținutul se modifică, acestea sunt transferate într-o altă categorie. Acest lucru vă permite să blocați toate site-urile nedorite cu un grad ridicat de acuratețe, pur și simplu selectând anumite categorii.
Utilizarea Entensys URL Filtering mărește securitatea muncii pe Internet și, de asemenea, ajută la creșterea eficienței angajaților (prin interzicerea retele sociale, site-uri de divertisment și alte lucruri). Cu toate acestea, utilizarea sa necesită un abonament plătit, care trebuie reînnoit în fiecare an.
În plus, distribuția include încă două componente. Prima este „Consola de administrator”. Aceasta este o aplicație separată concepută, după cum sugerează și numele, pentru a gestiona serverul UserGate Proxy & Firewall. Caracteristica sa principală este capacitatea de a se conecta de la distanță. Astfel, administratorii sau cei responsabili cu utilizarea Internetului nu au nevoie de acces direct la gateway-ul de Internet.
A doua componentă suplimentară este statisticile web. În esență, este un server web care vă permite să afișați statistici detaliate despre utilizarea rețelei globale de către angajații companiei. Pe de o parte, aceasta este, fără îndoială, o componentă utilă și convenabilă. La urma urmei, vă permite să primiți date fără a instala software suplimentar, inclusiv prin Internet. Dar, pe de altă parte, ocupă resurse de sistem inutile ale gateway-ului de internet. Prin urmare, este mai bine să-l instalați numai atunci când este cu adevărat necesar.
A doua etapă la care ar trebui să acordați atenție în timpul instalării UserGate Proxy & Firewall este alegerea unei baze de date. În versiunile anterioare, UGPF putea funcționa numai cu fișiere MDB, ceea ce a afectat performanța generală a sistemului. Acum există o alegere între două SGBD - Firebird și MySQL. Mai mult decât atât, primul este inclus în kitul de distribuție, astfel încât atunci când îl selectați, nu sunt necesare manipulări suplimentare. Dacă doriți să utilizați MySQL, trebuie mai întâi să îl instalați și să îl configurați. După finalizarea instalării componentelor serverului, este necesară pregătirea stațiilor de lucru pentru administratori și alți angajați responsabili care pot gestiona accesul utilizatorilor. Este foarte ușor de făcut. Este suficient să instalați consola de administrare din aceeași distribuție pe computerele lor de lucru.
Funcții suplimentare
Server VPN încorporat
Versiunea 6.0 a introdus componenta server VPN. Cu ajutorul acestuia puteți organiza un securizat acces de la distanță angajații companiei la rețeaua locală sau combină rețelele de la distanță ale filialelor individuale ale organizației într-un singur spațiu de informații. Acest server VPN are tot ce ai nevoie funcţionalitate pentru a crea tuneluri server-server și client-server și rutare între subrețele.
Configurare de bază
Toată configurația UserGate Proxy & Firewall se realizează folosind consola de management. În mod implicit, după instalare, este deja creată o conexiune la serverul local. Cu toate acestea, dacă îl utilizați de la distanță, va trebui să creați manual conexiunea prin specificarea adresei IP sau a numelui de gazdă a gateway-ului de internet, a portului de rețea (implicit 2345) și a parametrilor de autorizare.
După conectarea la server, trebuie mai întâi să configurați interfețele de rețea. Acest lucru se poate face în fila „Interfețe” din secțiunea „Server UserGate”. Placa de rețea care „se uită” în rețeaua locală este setată la tipul LAN, iar toate celelalte conexiuni sunt setate la WAN. Conexiunile „temporare”, cum ar fi PPPoE, VPN, sunt atribuite automat tipul PPP.
Dacă o companie are două sau mai multe conexiuni la rețeaua globală, una dintre ele fiind cea principală, iar restul fiind cele de rezervă, atunci backupul automat poate fi configurat. Acest lucru este destul de ușor de făcut. Este suficient să adăugați interfețele necesare la lista celor de rezervă, să specificați una sau mai multe resurse de control și timpul pentru verificarea acestora. Principiul de funcționare al acestui sistem este următorul. UserGate verifică automat disponibilitatea site-urilor de control la un interval specificat. De îndată ce nu mai răspunde, produsul trece în mod independent, fără intervenția administratorului, la canalul de rezervă. În același timp, se continuă verificarea disponibilității resurselor de control prin interfața principală. Și de îndată ce are succes, trecerea înapoi este efectuată automat. Singurul lucru la care trebuie să acordați atenție atunci când configurați este alegerea resurselor de control. Este mai bine să luați mai multe site-uri mari, a căror funcționare stabilă este practic garantată.
Funcții suplimentare
Controlul aplicațiilor de rețea
UserGate Proxy & Firewall implementează o caracteristică atât de interesantă precum controlul aplicațiilor de rețea. Scopul său este de a împiedica orice software neautorizat să acceseze Internetul. Ca parte a setărilor de control, sunt create reguli care permit sau blochează munca în rețea diverse programe (cu sau fără versiune). Acestea pot specifica adrese IP specifice și porturi de destinație, ceea ce vă permite să configurați în mod flexibil accesul la software, permițându-i să efectueze doar anumite acțiuni pe Internet.
Controlul aplicațiilor vă permite să dezvoltați o politică corporativă clară privind utilizarea programelor și să preveniți parțial răspândirea programelor malware.
După aceasta, puteți trece direct la configurarea serverelor proxy. În total, soluția luată în considerare implementează șapte dintre ele: pentru protocoalele HTTP (inclusiv HTTP-uri), FTP, SOCKS, POP3, SMTP, SIP și H323. Acesta este practic tot ceea ce ar putea avea nevoie angajații unei companii pentru a lucra pe Internet. În mod implicit, numai proxy-ul HTTP este activat; toate celelalte pot fi activate dacă este necesar.
Serverele proxy din UserGate Proxy & Firewall pot funcționa în două moduri - normal și transparent. În primul caz vorbim despre un proxy tradițional. Serverul primește cereri de la utilizatori și le transmite către servere externe și transmite răspunsurile primite clienților. Aceasta este o soluție tradițională, dar are propriile inconveniente. În special, este necesar să configurați fiecare program care este utilizat pentru a funcționa pe Internet (browser de internet, client de e-mail, ICQ etc.) pe fiecare computer din rețeaua locală. Aceasta este, desigur, multă muncă. Mai mult, periodic, pe măsură ce software-ul nou este instalat, acesta se va repeta.
Atunci când alegeți modul transparent, se folosește un driver NAT special, care este inclus în pachetul de livrare al soluției în cauză. Ascultă pe porturile corespunzătoare (80 pentru HTTP, 21 pentru FTP și așa mai departe), detectează cererile care vin la ele și le transmite serverului proxy, de unde sunt trimise mai departe. Această soluție are mai mult succes în sensul că configurarea software-ului pe mașinile client nu mai este necesară. Singurul lucru care este necesar este să specificați adresa IP a gateway-ului de Internet ca gateway principal în conexiunea de rețea a tuturor stațiilor de lucru.
Următorul pas este configurarea redirecționării interogărilor DNS. Există două moduri de a face acest lucru. Cel mai simplu dintre ele este să activezi așa-numita redirecționare DNS. Când îl utilizați, solicitările DNS care sosesc la poarta de internet de la clienți sunt redirecționate către serverele specificate (puteți utiliza fie un server DNS din setările de conexiune la rețea, fie orice server DNS arbitrar).
A doua opțiune este de a crea o regulă NAT care va primi cereri pe portul 53 (standard pentru DNS) și le va transmite către rețeaua externă. Cu toate acestea, în acest caz, va trebui fie să înregistrați manual serverele DNS în setările de conexiune la rețea de pe toate computerele, fie să configurați trimiterea cererilor DNS prin poarta de internet de la serverul controlerului de domeniu.
managementul utilizatorilor
După finalizarea configurării de bază, puteți trece la lucrul cu utilizatorii. Trebuie să începeți prin a crea grupuri în care conturile vor fi ulterior combinate. Pentru ce este? În primul rând, pentru integrarea ulterioară cu Active Directory. Și în al doilea rând, puteți atribui reguli grupurilor (vom vorbi despre ele mai târziu), controlând astfel accesul pentru un număr mare de utilizatori simultan.
Următorul pas este să adăugați utilizatori în sistem. Puteți face acest lucru în trei moduri diferite. Din motive evidente, nici măcar nu luăm în considerare prima dintre ele, crearea manuală a fiecărui cont. Această opțiune este potrivită numai pentru rețelele mici cu un număr mic de utilizatori. A doua metodă este scanarea rețelei corporative cu solicitări ARP, timp în care sistemul însuși determină lista de conturi posibile. Totuși, alegem a treia opțiune, care este cea mai optimă din punct de vedere al simplității și ușurinței în administrare – integrarea cu Active Directory. Se realizează pe baza unor grupuri create anterior. Mai întâi trebuie să completați parametrii generali de integrare: specificați domeniul, adresa controlerului acestuia, numele de utilizator și parola cu drepturile de acces necesare la acesta, precum și intervalul de sincronizare. După aceasta, fiecărui grup creat în UserGate trebuie să i se atribuie unul sau mai multe grupuri din Active Directory. De fapt, configurarea se termină aici. După salvarea tuturor setărilor, sincronizarea va fi efectuată în mod automat.
Utilizatorii creați în timpul autorizării vor folosi în mod implicit autorizarea NTLM, adică autorizarea prin autentificare la domeniu. Aceasta este o opțiune foarte convenabilă, deoarece regulile și sistemul de contabilitate a traficului vor funcționa indiferent de computerul la care se află utilizatorul în prezent.
Cu toate acestea, pentru a utiliza această metodă de autorizare aveți nevoie de suplimentar software- client special. Acest program funcționează la nivel Winsock și transmite parametrii de autorizare a utilizatorului către poarta de internet. Distribuția sa este inclusă în pachetul UserGate Proxy & Firewall. Puteți instala rapid clientul pe toate stațiile de lucru utilizând politicile de grup Windows.
Apropo, autorizarea NTLM este departe de a fi singura metodă de autorizare a angajaților companiei să lucreze pe Internet. De exemplu, dacă o organizație practică legarea strictă a lucrătorilor de stațiile de lucru, atunci o adresă IP, o adresă MAC sau o combinație a ambelor pot fi utilizate pentru a identifica utilizatorii. Folosind aceleași metode, puteți organiza accesul la o rețea globală de diverse servere.
Controlul utilizatorului
Unul dintre avantajele semnificative ale UGPF este capabilitățile sale extinse de control al utilizatorului. Ele sunt implementate folosind un sistem de reguli de control al traficului. Principiul funcționării sale este foarte simplu. Administrator (sau altul persoana responsabila) creează un set de reguli, fiecare dintre acestea reprezentând una sau mai multe condiții de declanșare și acțiunea care trebuie efectuată. Aceste reguli sunt atribuite utilizatorilor individuali sau grupurilor întregi dintre aceștia și vă permit să controlați automat munca lor pe Internet. Există patru acțiuni posibile în total. Prima este închiderea conexiunii. Permite, de exemplu, să blochezi descărcarea anumitor fișiere, să previi vizitarea site-urilor nedorite etc. A doua acțiune este modificarea tarifului. Este utilizat în sistemul tarifar, care este integrat în produsul analizat (nu îl luăm în considerare, deoarece nu este deosebit de relevant pentru rețelele corporative). Următoarea acțiune vă permite să dezactivați contorizarea traficului primit în cadrul acestei conexiuni. În acest caz, informațiile transmise nu sunt luate în considerare la calcularea consumului zilnic, săptămânal și lunar. Și, în sfârșit, ultima acțiune este limitarea vitezei la valoarea specificată. Este foarte convenabil de utilizat pentru a preveni înfundarea canalului atunci când descărcați fișiere mari și rezolvați alte probleme similare.
Sunt mult mai multe condiții în regulile de control al traficului - vreo zece. Unele dintre ele sunt relativ simple, cum ar fi dimensiunea maximă a fișierului. Această regulă va fi declanșată atunci când utilizatorii încearcă să descarce un fișier mai mare decât dimensiunea specificată. Alte condiții sunt bazate pe timp. În special, printre ele putem remarca programul (declanșat de oră și zile ale săptămânii) și sărbătorile (declanșate în anumite zile).
Cu toate acestea, cel mai mare interes sunt termenii și condițiile asociate site-urilor și conținutului. În special, ele pot fi folosite pentru a bloca sau a seta alte acțiuni asupra anumitor tipuri de conținut (de exemplu, video, audio, fișiere executabile, text, imagini etc.), proiecte web specifice sau întregii lor categorii (tehnologia Entensys URL Filtering este folosit pentru aceasta).vezi bara laterală).
Este de remarcat faptul că o regulă poate conține mai multe condiții simultan. În acest caz, administratorul poate specifica în ce caz va fi executat - dacă toate condițiile sau oricare dintre ele sunt îndeplinite. Acest lucru vă permite să creați o politică foarte flexibilă pentru utilizarea Internetului de către angajații companiei, ținând cont de un număr mare de diferite nuanțe.
Configurarea unui firewall
O parte integrantă a driverului UserGate NAT este firewall-ul, care poate fi folosit pentru a rezolva diverse sarcini legate de procesarea traficului de rețea. Pentru configurare, se folosesc reguli speciale, care pot fi unul din trei tipuri: traducerea adresei de rețea, rutare și firewall. În sistem poate exista un număr arbitrar de reguli. În acest caz, acestea se aplică în ordinea în care sunt enumerate în lista generală. Prin urmare, dacă traficul de intrare se potrivește cu mai multe reguli, acesta va fi procesat de cel care se află deasupra celorlalte.
Fiecare regulă este caracterizată de trei parametri principali. Prima este sursa de trafic. Aceasta poate fi una sau mai multe gazde specifice, interfața WAN sau LAN a gateway-ului de Internet. Al doilea parametru este scopul informațiilor. Interfața LAN sau WAN sau conexiunea dial-up pot fi specificate aici. Ultima caracteristică principală a unei reguli este unul sau mai multe servicii cărora li se aplică. În UserGate Proxy & Firewall, un serviciu este înțeles ca o pereche de o familie de protocoale (TCP, UDP, ICMP, protocol arbitrar) și un port de rețea (sau o gamă de porturi de rețea). Implicit, sistemul are deja un set impresionant de servicii preinstalate, de la cele comune (HTTP, HTTPs, DNS, ICQ) la unele specifice (WebMoney, RAdmin, diverse jocuri online etc.). Cu toate acestea, dacă este necesar, administratorul își poate crea propriile servicii, de exemplu, cele care descriu modul de lucru cu online banking.
Fiecare regulă are și o acțiune pe care o efectuează cu trafic care se potrivește condițiilor. Sunt doar două dintre ele: permite sau interzice. În primul caz, traficul circulă nestingherit pe traseul specificat, în timp ce în al doilea este blocat.
Regulile de traducere a adreselor de rețea folosesc tehnologia NAT. Cu ajutorul lor, puteți configura accesul la Internet pentru stațiile de lucru cu adrese locale. Pentru a face acest lucru, trebuie să creați o regulă, specificând interfața LAN ca sursă și interfața WAN ca destinație. Regulile de rutare se aplică dacă soluția în cauză va fi folosită ca router între două rețele locale (implementează această caracteristică). În acest caz, rutarea poate fi configurată pentru a transporta traficul bidirecțional și transparent.
Regulile de firewall sunt folosite pentru a procesa traficul care nu ajunge la serverul proxy, ci direct la gateway-ul de internet. Imediat după instalare, sistemul are o astfel de regulă care permite toate pachetele de rețea. În principiu, dacă gateway-ul Internet creat nu va fi folosit ca stație de lucru, atunci acțiunea regulii poate fi schimbată din „Permite” în „Refuză”. În acest caz, orice activitate de rețea pe computer va fi blocată, cu excepția pachetelor NAT de tranzit transmise din rețeaua locală la Internet și înapoi.
Regulile firewall vă permit să publicați orice servicii locale în rețeaua globală: servere web, servere FTP, servere de e-mail etc. În același timp, utilizatorii de la distanță au posibilitatea de a se conecta la ei prin Internet. De exemplu, luați în considerare publicarea unui server FTP corporativ. Pentru a face acest lucru, administratorul trebuie să creeze o regulă în care să selecteze „Orice” ca sursă, să specifice interfața WAN dorită ca destinație și FTP ca serviciu. După aceasta, selectați acțiunea „Permite”, activați difuzarea traficului și în câmpul „Adresa de destinație” specificați adresa IP a serverului FTP local și portul său de rețea.
După această configurare, toate conexiunile la plăcile de rețea gateway de Internet prin portul 21 vor fi redirecționate automat către serverul FTP. Apropo, în timpul procesului de configurare, puteți selecta nu numai pe cel „nativ”, ci și orice alt serviciu (sau să creați propriul dvs.). În acest caz, utilizatorii externi vor trebui să contacteze un alt port decât 21. Această abordare este foarte convenabilă în cazurile în care Sistem informatic există două sau mai multe servicii de același tip. De exemplu, puteți organiza accesul extern la portal corporativ prin portul HTTP standard 80 și acces la statisticile web UserGate prin portul 81.
Accesul extern la serverul de mail intern este configurat într-un mod similar.
O caracteristică distinctivă importantă a paravanului de protecție implementat este sistemul de prevenire a intruziunilor. Funcționează într-un mod complet automat, identificând încercările neautorizate pe baza semnăturilor și metodelor euristice și neutralizându-le prin blocarea fluxurilor de trafic nedorite sau resetarea conexiunilor periculoase.
Să rezumam
În această revizuire, am examinat în detaliu organizarea accesului partajat al angajaților companiei la Internet. În condițiile moderne, acesta nu este cel mai ușor proces, deoarece trebuie luate în considerare un număr mare de nuanțe diferite. Mai mult, atât aspectele tehnice, cât și cele organizatorice sunt importante, în special controlul acțiunilor utilizatorilor.
„Ghidul Administratorului UserGate Proxy & Firewall v.6 Cuprins Introducere Despre program Cerințe de sistem Se instalează UserGate Proxy și Înregistrare firewall Se actualizează...”
-- [ Pagina 1 ] --
UserGate Proxy și Firewall v.6
Ghidul Administratorului
Introducere
Despre program
Cerințe de sistem
Instalarea UserGate Proxy și Firewall
Înregistrare
Actualizați și ștergeți
Politica de licențiere UserGate Proxy și Firewall
Consola de administrare
Configurarea conexiunilor
Setarea unei parole de conectare
Autentificarea administratorului UserGate
Setarea unei parole pentru a accesa baza de date cu statistici UserGate
Setări generale NAT (Network Address Translation).
Setari generale
Configurarea interfețelor
Contorizarea traficului în UserGate
Suport canal de rezervă
Utilizatori și grupuri
Sincronizare cu Active Directory
Pagina personală cu statistici utilizatori
Suport utilizator terminal
Configurarea serviciilor în UserGate
Configurare DHCP
Configurarea serviciilor proxy în UserGate
Suport pentru protocoale de telefonie IP (SIP, H323)
Suport mod SIP Registrar
Suport protocol H323
Proxy-uri de e-mail în UserGate
Folosind modul transparent
Proxy-uri în cascadă
Alocarea portului
Configurare cache
Scanare antivirus
Programator în UserGate
Setări DNS
Configurarea unui server VPN
Configurarea unui sistem de detectare a intruziunilor (IDS)
Configurarea alertelor
Firewall în UserGate
Cum funcționează un firewall
Înregistrarea evenimentelor ME
Reguli de traducere a adresei de rețea (NAT).
Lucrul cu mai mulți furnizori
Selectarea automată a interfeței de ieșire
www.usergate.ru
Publicarea resurselor de rețea
Configurarea regulilor de filtrare
Suport de rutare
Limită de viteză în UserGate
Controlul aplicației
Cache-ul browserului în UserGate
Gestionarea traficului în UserGate
Sistemul de reguli de control al traficului
Restricționarea accesului la resursele de internet
Filtrarea URL-ului Entensys
Stabilirea unei limite de consum de trafic
Limită de dimensiune a fișierului
Filtrarea după tipul de conținut
Sistem de facturare
Tarifare pentru acces la Internet
Evenimente periodice
Schimbarea dinamică a tarifelor
Administrarea de la distanță a UserGate
Configurarea unei conexiuni la distanță
Repornirea de la distanță a serverului UserGate
Verificarea disponibilității unei noi versiuni
Statistici web UserGate
Evaluarea eficacității regulilor de control al traficului
Evaluarea eficacității antivirusului
Statistici de utilizare SIP
Aplicație
Controlul integrității UserGate
Se verifică pornirea corectă
Ieșirea informațiilor de depanare
Obținerea de asistență tehnică
www.usergate.ru
Introducere Un server proxy este un set de programe care acționează ca intermediar (din engleză „proxy” - „intermediar”) între stațiile de lucru ale utilizatorului și alte servicii de rețea.
Soluția transmite toate solicitările utilizatorilor pe Internet și, la primirea unui răspuns, îl trimite înapoi. Cu o funcție de cache, serverul proxy își amintește cererile stației de lucru către resurse externe, iar dacă cererea este repetată, returnează resursa din propria memorie, ceea ce reduce semnificativ timpul de solicitare.
În unele cazuri, o solicitare a clientului sau un răspuns de la server pot fi modificate sau blocate de un server proxy pentru a efectua anumite sarcini, de exemplu, pentru a preveni infectarea virușilor cu stațiile de lucru.
Despre program UserGate Proxy & Firewall este o soluție cuprinzătoare pentru conectarea utilizatorilor la Internet, oferind contabilitate completă a traficului, control al accesului și protecție încorporată a rețelei.
UserGate vă permite să taxați accesul utilizatorului la Internet, atât în funcție de trafic, cât și de timpul petrecut în rețea. Administratorul poate adăuga diverse planuri tarifare, efectuează comutarea dinamică a tarifelor, automatizează retragerea/creditarea fondurilor și reglementează accesul la resursele de internet. Firewall-ul încorporat și modulul antivirus vă permit să protejați serverul UserGate și să scanați traficul care trece prin acesta pentru prezența codului rău intenționat. Puteți utiliza serverul și clientul VPN încorporat pentru a vă conecta în siguranță la rețeaua organizației dvs.
UserGate este format din mai multe părți: un server, o consolă de administrare (UserGateAdministrator) și mai multe module suplimentare. Serverul UserGate (process usergate.exe) este partea principală a serverului proxy, care implementează toate funcționalitățile acestuia.
Serverul UserGate oferă acces la Internet, contorizează traficul, păstrează statistici ale activității utilizatorilor în rețea și efectuează multe alte sarcini.
Consola de administrare UserGate este un program conceput pentru a gestiona serverul UserGate. Consola de administrare UserGate comunică cu partea de server printr-un protocol special securizat prin TCP/IP, care vă permite să efectuați administrarea serverului de la distanță.
UserGate include trei module suplimentare: „Web Statistics”, „Authorization Client” și modulul „Application Control”.
www.entensys.ru
Cerințe de sistem Se recomandă instalarea UserGate Server pe un computer cu sistem de operare Windows XP/2003/7/8/2008/2008R2/2012, conectat la Internet printr-un modem sau orice altă conexiune. Cerințe hardware pentru server:
– – –
Instalarea UserGate Proxy & Firewall Procedura de instalare UserGate constă în rularea fișierului de instalare și selectarea opțiunilor asistentului de instalare. Când instalați soluția pentru prima dată, este suficient să lăsați opțiunile implicite. Odată ce instalarea este finalizată, va trebui să reporniți computerul.
Înregistrare Pentru a înregistra programul, trebuie să porniți serverul UserGate, să conectați consola de administrare la server și să selectați elementul de meniu „Ajutor” - „Înregistrare produs”. Când vă conectați la consola de administrare pentru prima dată, va apărea un dialog de înregistrare cu două opțiuni disponibile: solicitați o cheie demo și solicitați o cheie cu funcții complete. Solicitarea cheii se realizează online (protocol HTTPS), prin accesarea site-ului usergate.ru.
Când solicitați o cheie cu funcționalitate completă, trebuie să introduceți un cod PIN special, care este emis la achiziționarea UserGate Proxy & Firewall sau de către serviciul de asistență pentru testare. În plus, în timpul înregistrării va trebui să introduceți un suplimentar Informații personale(nume de utilizator, adresa E-mail, țară, regiune). Datele personale sunt folosite exclusiv pentru a lega licența de utilizator și nu sunt distribuite în niciun fel. După primirea cheii complete sau demo, serverul UserGate va fi repornit automat.
www.usergate.ru
Important! În modul demonstrativ, serverul UserGate Proxy & Firewall va funcționa timp de 30 de zile. Când contactați Entensys, puteți solicita un PIN special pentru testarea avansată. De exemplu, puteți solicita o cheie demo pentru trei luni. Este imposibil să obțineți din nou o licență de probă fără a introduce un cod PIN extins special.
Important! Când UserGate Proxy & Firewall rulează, starea cheii de înregistrare este verificată periodic. Pentru ca UserGate să funcționeze corect, trebuie să permiteți accesul la Internet prin protocolul HTTPS. Acest lucru este necesar pentru verificarea online a stării cheii. Dacă verificarea cheii eșuează de trei ori, licența pentru serverul proxy va fi resetată și va apărea dialogul de înregistrare a programului. Programul implementează un numărător pentru numărul maxim de activări, care este de 10 ori. După depășirea acestei limite, veți putea activa produsul cu cheia dvs. numai după ce contactați serviciul de asistență la: http://entensys.ru/support.
Actualizați și ștergeți O noua versiune UserGate Proxy & Firewall v.6 poate fi instalat pe deasupra versiunilor anterioare ale celei de-a cincea familii. În acest caz, expertul de instalare vă va solicita să salvați sau să suprascrieți fișierul de setări server config.cfg și fișierul de statistici log.mdb. Ambele fișiere se află în directorul în care este instalat UserGate (denumit în continuare „%UserGate%”). Serverul UserGate v.6 acceptă formatul de setări UserGate v.4.5, așa că atunci când porniți serverul pentru prima dată, setările vor fi convertite în nou format automat.
Compatibilitatea inversă a setărilor nu este acceptată.
Atenţie! Pentru fișierul cu statistici, este acceptat doar transferul soldurilor curente ale utilizatorilor; statisticile de trafic în sine nu vor fi transferate.
Modificările aduse bazei de date au fost cauzate de probleme de performanță cu cea veche și de limitări ale dimensiunii acesteia. Noua bază de date Firebird nu are astfel de deficiențe.
Serverul UserGate poate fi dezinstalat prin elementul corespunzător de meniu Start Programs sau prin Adăugare sau eliminare programe (Programe și caracteristici în Windows 7/2008/2012) din Panoul de control Windows. După dezinstalarea UserGate, unele fișiere vor rămâne în directorul de instalare a programului, cu excepția cazului în care a fost selectată opțiunea de a elimina toate.
Politica de licențiere UserGate Proxy & Firewall Serverul UserGate este proiectat pentru a oferi acces la Internet utilizatorilor rețelei locale. Numărul maxim de utilizatori care pot lucra simultan pe Internet prin UserGate este indicat de numărul de „sesiuni” și este determinat de cheia de înregistrare.
Cheia de înregistrare UserGate v.6 este unică și nu se potrivește Versiuni anterioare UserGate. În perioada demo, soluția funcționează timp de 30 de zile cu o limită de cinci sesiuni. Conceptul de „sesiune” nu trebuie confundat cu numărul de aplicații sau conexiuni Internet pe care le rulează un utilizator. Numărul de conexiuni de la un utilizator poate fi oricare, cu excepția cazului în care este limitat în mod specific.
www.usergate.ru
Modulele antivirus încorporate în UserGate (de la Kaspersky Lab, Panda Security și Avira), precum și modulul Entensys URL Filtering, sunt licențiate separat. În versiunea demo a UserGate, modulele încorporate pot funcționa timp de 30 de zile.
Modulul Entensys URL Filtering, conceput pentru a funcționa cu categorii de site-uri web, oferă posibilitatea de a lucra în modul demonstrativ pentru o perioadă de 30 de zile. La achiziționarea UserGate Proxy & Firewall cu un modul de filtrare, licența pentru Entensys URL Filtering este valabilă timp de un an. Odată ce perioada de abonament expiră, filtrarea resurselor prin modul se va opri.
www.usergate.ru
Consola de administrare Consola de administrare este o aplicație concepută pentru a gestiona un server UserGate local sau la distanță. Pentru a utiliza consola de administrare, trebuie să porniți serverul UserGate selectând Start UserGate server din meniul contextual al agentului UserGate (pictograma din bara de sistem, denumită în continuare
- „agent”). Puteți lansa consola de administrare prin meniul contextual al agentului sau prin elementul de meniu Start Programs dacă consola de administrare este instalată pe alt computer. Pentru a lucra cu setările, trebuie să conectați consola de administrare la server.
Schimbul de date între consola de administrare și serverul UserGate se realizează prin protocolul SSL. La inițializarea conexiunii (SSLHandshake), se realizează autentificarea unidirecțională, timp în care serverul UserGate își transferă certificatul, aflat în directorul %UserGate%\ssl, către consola de administrare. Nu este necesar un certificat sau o parolă de la consola de administrare pentru a vă conecta.
Configurarea conexiunilor Când porniți prima dată, consola de administrare se deschide pe pagina Conexiuni, care conține o singură conexiune la serverul localhost pentru utilizatorul Administrator. Parola de conectare nu a fost setată. Puteți conecta consola de administrare la server făcând dublu clic pe linia localhost-administrator sau făcând clic pe butonul Conectare de pe panoul de control. Puteți crea mai multe conexiuni în consola de administrare UserGate. Setările de conectare specifică următorii parametri:
Numele serverului este numele conexiunii;
Nume utilizator – autentificare pentru a vă conecta la server;
Adresa serverului – numele de domeniu sau adresa IP a serverului UserGate;
Port – port TCP folosit pentru a se conecta la server (în mod implicit, este utilizat portul 2345);
Parola – parola pentru conectare;
Solicitați parola la conectare – această opțiune vă permite să afișați un dialog pentru introducerea numelui de utilizator și a parolei atunci când vă conectați la server;
Conectați-vă automat la acest server – consola de administrare se va conecta automat la acest server când este lansată.
Setările consolei de administrare sunt stocate în fișierul console.xml situat în directorul %UserGate%\Administrator\. Pe partea de server UserGate, numele de utilizator și hash md5 al parolei pentru conexiune sunt stocate în fișierul config.cfg, situat în directorul %UserGate_data, unde %UserGate_data% este folderul pentru Windows XP – (C:\Documents și Settings\All www.usergate.ru Users\Application Data\Entensys\UserGate6), pentru folderul Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Setarea unei parole pentru conexiune Puteți crea o login și parola pentru conectarea la serverul UserGate pe pagina Setări generale din secțiunea Setări administrator. În aceeași secțiune puteți specifica portul TCP pentru conectarea la server. Pentru ca noile setări să intre în vigoare, trebuie să reporniți serverul UserGate (elementul Reporniți serverul UserGate din meniul agent). După ce serverul este repornit, trebuie specificate noi setări în parametrii de conexiune din consola de administrare. În caz contrar, administratorul nu se va putea conecta la server.
Atenţie! Pentru a evita problemele cu funcționalitatea consolei de administrare UserGate, nu se recomandă modificarea acestor parametri!
Autentificarea administratorului UserGate Pentru a conecta cu succes consola de administrare la serverul UserGate, administratorul trebuie să parcurgă procedura de autentificare pe partea serverului.
Autentificarea administratorului se realizează după stabilirea unei conexiuni SSL între consola de administrare și serverul UserGate. Consola trimite login-ul și hash-ul md5 al parolei de administrator către server. Serverul UserGate compară datele primite cu ceea ce este specificat în fișierul de setări config.cfg.
Autentificarea este considerată reușită dacă datele primite de la consola de administrare se potrivesc cu ceea ce este specificat în setările serverului. Dacă autentificarea eșuează, serverul UserGate întrerupe conexiunea SSL cu consola de administrare. Rezultatul procedurii de autentificare este înregistrat în fișierul usergate.log, aflat în directorul %UserGate_data%\logging\.
Setarea unei parole pentru accesarea bazei de date statistice UserGate Statistici utilizator - trafic, resurse vizitate etc.
sunt înregistrate de serverul UserGate într-o bază de date specială. Accesul la baza de date se realizează direct (pentru baza de date Firebird încorporată) sau prin driverul ODBC, care permite serverului UserGate să lucreze cu baze de date de aproape orice format (MSAccess, MSSQL, MySQL). Baza de date Firebird implicită este %UserGate_data%\usergate.fdb. Login și parola pentru a accesa baza de date – SYSDBA\masterkey. Puteți seta o parolă diferită prin elementul Setări generale Setări baze de date din consola de administrare.
Setări generale NAT (traducere adrese de rețea) Elementul Setări generale NAT vă permite să setați valoarea timeout pentru conexiunile NAT utilizând protocoalele TCP, UDP sau ICMP. Valoarea timeout determină durata de viață a unei conexiuni de utilizator prin NAT atunci când transmiterea datelor prin conexiune este finalizată. Opțiunea Ieșire jurnalele de depanare este destinată depanării și permite, dacă este necesar, activarea modului de înregistrare extinsă a mesajelor driverului NAT UserGate.
Detectorul de atac este o opțiune specială care vă permite să utilizați mecanismul intern de monitorizare și blocare a scannerului de porturi sau a încercărilor www.usergate.ru de a ocupa toate porturile de server. Acest modul funcționează în modul automat, evenimentele vor fi înregistrate în fișierul %UserGate_data%\logging\fw.log.
Atenţie! Setările acestui modul pot fi modificate prin fișierul de configurare config.cfg, secțiunea opțiuni.
Setări generale Block by browser line – listă de browsere ale User-Agent care pot fi blocate de serverul proxy. Acestea. Puteți, de exemplu, să împiedicați browserele mai vechi, cum ar fi IE 6.0 sau Firefox 3.x, să acceseze Internetul.
www.usergate.ru Configurarea interfețelor Secțiunea Interfețe (Fig. 1) este cea principală în setările serverului UserGate, deoarece determină probleme precum corectitudinea numărării traficului, capacitatea de a crea reguli pentru firewall, restricții pe lățimea canalului de Internet pentru trafic de un anumit tip și stabilirea relațiilor între rețele și ordinea în care pachetele sunt procesate de driverul NAT (Network Address Translation).
Figura 1. Configurarea interfețelor serverului Secțiunea Interfețe listează toate interfețele de rețea disponibile ale serverului pe care este instalat UserGate, inclusiv conexiunile Dial-Up (VPN, PPPoE).
Pentru fiecare adaptor de rețea, administratorul UserGate trebuie să specifice tipul acestuia. Deci, pentru un adaptor conectat la Internet, ar trebui să selectați tipul WAN, pentru un adaptor conectat la o rețea locală - tipul LAN.
Nu puteți modifica tipul de acces telefonic (VPN, PPPoE) al conexiunii. Pentru astfel de conexiuni, serverul UserGate va seta automat tipul la interfața PPP.
Puteți specifica numele de utilizator și parola pentru conexiunea Dial-Up (VPN) făcând dublu clic pe interfața corespunzătoare. Interfața situată în partea de sus a listei este conexiunea principală la Internet.
Contorizarea traficului în UserGate Traficul care trece prin serverul UserGate este înregistrat pe utilizatorul rețelei locale care este inițiatorul conexiunii sau pe serverul UserGate www.usergate.ru dacă inițiatorul conexiunii este serverul. Pentru traficul pe server, statisticile UserGate oferă un utilizator special - UserGate Server. Contul UserGate Server al utilizatorului înregistrează traficul de actualizare a bazei de date antivirus pentru modulele încorporate Kaspersky Lab, Panda Security, Avira, precum și traficul de rezoluție de nume prin redirecționarea DNS.
Traficul este luat în considerare în totalitate, împreună cu anteturile de servicii.
În plus, a fost adăugată posibilitatea de a lua în considerare anteturile Ethernet.
Dacă tipurile de adaptoare de rețea de server (LAN sau WAN) sunt specificate corect, traficul în direcția „rețea locală - server UserGate” (de exemplu, accesul la resursele de rețea partajate de pe server) nu este luat în considerare.
Important! Prezența unor programe terțe - firewall-uri sau antivirus (cu funcție de scanare a traficului) - poate afecta în mod semnificativ corectitudinea numărării traficului în UserGate. Nu este recomandat să instalați pe un computer cu UserGate programe de rețea producători terți!
Suport canal de rezervă Pe pagina interfețe, puteți configura canalul de rezervă. Făcând clic pe butonul Setup Wizard, puteți selecta interfața care va fi folosită ca canal de rezervă. A doua pagină oferă o selecție de gazde care vor fi verificate de serverul proxy pentru conectivitate la Internet. La intervalul specificat, soluția va verifica disponibilitatea acestor gazde cu o solicitare ICMP Echo. Dacă se returnează un răspuns de la cel puțin o gazdă specificată, conexiunea este considerată activă. Dacă nu se primește niciun răspuns de la nicio gazdă, conexiunea va fi considerată inactivă, iar gateway-ul principal din sistem se va schimba în gateway-ul canalului de rezervă. Dacă regulile NAT au fost create specificând o interfață specială Masquerade ca interfață externă, atunci astfel de reguli vor fi recreate în conformitate cu tabelul de rutare curent. Regulile NAT create vor începe să funcționeze prin canalul de rezervă.
Figura 2. Asistentul de configurare a canalului de rezervă www.
usergate.ru Ca o conexiune de rezervă, serverul UserGate poate folosi atât o conexiune Ethernet (canal dedicat, interfață WAN), cât și o conexiune Dial-Up (VPN, PPPoE) (interfață PPP). După trecerea la conexiunea de rezervă la Internet, serverul UserGate va verifica periodic disponibilitatea canalului principal. Dacă funcționalitatea acestuia este restabilită, programul va comuta utilizatorii la conexiunea principală la Internet.
www.usergate.ru
Utilizatori și grupuri Pentru a oferi acces la Internet, trebuie să creați utilizatori în UserGate. Pentru ușurință în administrare, utilizatorii pot fi grupați după locație sau nivel de acces. În mod logic, cel mai corect este gruparea utilizatorilor în grupuri în funcție de nivelurile de acces, deoarece în acest caz ușurează mult lucrul cu regulile de control al traficului. În mod implicit, UserGate are un singur grup - implicit.
Puteți crea un utilizator nou prin elementul Adăugați un utilizator nou sau făcând clic pe butonul Adăugare din panoul de control din pagina Utilizatori și grupuri. Există o altă modalitate de a adăuga utilizatori - scanarea rețelei cu solicitări ARP. Trebuie să faceți clic pe un spațiu gol din consola administratorului din pagina Utilizatori și să selectați Scanare rețea locală. Apoi, setați parametrii rețelei locale și așteptați rezultatele scanării. Ca rezultat, veți vedea o listă de utilizatori care pot fi adăugați la UserGate. Parametrii de utilizator obligatorii (Fig. 3) sunt numele, tipul de autorizare, parametrul de autorizare (adresă IP, autentificare și parolă etc.), grup și tarif. În mod implicit, toți utilizatorii aparțin grupului implicit. Numele de utilizator din UserGate trebuie să fie unic. În plus, în proprietățile utilizatorului, puteți defini nivelul de acces al utilizatorului la statisticile web, puteți seta numărul de telefon intern pentru H323, puteți limita numărul de conexiuni pentru utilizator, puteți activa regulile NAT, regulile de control al traficului sau regulile pentru modulul de control al aplicației.
Figura 3. Profil utilizator în UserGate Un utilizator în UserGate moștenește toate proprietățile grupului din care aparține, cu excepția tarifului, care poate fi suprascris.
Tariful specificat în proprietățile utilizatorului se va aplica taxării tuturor conexiunilor utilizatorului. Dacă accesul la Internet nu este taxat, puteți utiliza un tarif gol numit „implicit”.
www.usergate.ru
Sincronizare cu Active Directory Grupurile de utilizatori din UserGate pot fi sincronizate cu grupurile Active Directory. Pentru a utiliza sincronizarea cu Active Directory, o mașină cu UserGate Proxy și Firewall nu trebuie să facă parte dintr-un domeniu.
Configurarea sincronizării este un proces în doi pași. În prima etapă, pe pagina „Grupuri” a consolei de administrator UserGate (Fig. 4), trebuie să activați opțiunea Sincronizare cu AD și să specificați următorii parametri:
numele de domeniu adresa IP a controlerului de domeniu login și parola pentru accesarea Active Directory (autentificarea poate fi specificată în format UPN - User Principal Name) perioada de sincronizare (în secunde) În a doua etapă, trebuie să deschideți proprietățile grupului de utilizatori ( după așteptarea intervalului de sincronizare) în UserGate, activați opțiunea „sincronizare grupuri cu AD” și selectați unul sau mai multe grupuri din Active Directory.
În timpul sincronizării, grupurile UserGate vor conține utilizatori din Active Directory care aparțin grupurilor Active Directory selectate. Tipul de autorizare pentru utilizatorii importați va fi „HTTP Imported User State (NTLM)”.
(activat/dezactivat) este controlat de starea contului corespunzător din domeniul Active Directory.
www.usergate.ru Figura 4. Configurarea sincronizării cu Active Directory Important! Pentru sincronizare, trebuie să asigurați trecerea protocolului LDAP între serverul UserGate și controlerul de domeniu.
www.usergate.ru Pagina personală cu statistici utilizator Fiecărui utilizator din UserGate i se oferă posibilitatea de a vizualiza pagina cu statistici. Accesul la pagina de statistici personale poate fi obținut la http://192.168.0.1:8080/statistics.html, unde de exemplu 192.168.0.1 este adresa locală a mașinii cu UserGate, iar 8080 este portul pe care proxy-ul HTTP serverul rulează UserGate. Utilizatorul își poate vizualiza statisticile personale extinse conectându-se la adresa - http://192.168.0.1:8081.
Atenţie! În versiunea 6.x, a fost adăugată o interfață de ascultare 127.0.0.1:8080, care este necesară pentru ca statisticile web să funcționeze atunci când serverul proxy HTTP UserGate este dezactivat. În acest sens, portul 8080 de pe interfața 127.0.0.1 va fi întotdeauna ocupat de UserGate Proxy & Firewall în timp ce procesul usergate.exe rulează
După adresa IP După intervalul de adrese IP După adresa IP+MAC După adresa MAC Autorizarea utilizând HTTP (HTTP de bază, NTLM) Autorizarea prin autentificare și parolă (client de autorizare) Versiunea simplificată a autorizației prin Active Directory Pentru a utiliza ultimele trei metode de autorizare O specială aplicația trebuie instalată pe stația de lucru a utilizatorului - clientul de autorizare UserGate. Pachetul MSI corespunzător (AuthClientInstall.msi) se află în directorul %UserGate%\tools și poate fi utilizat pentru instalarea automată folosind Politica de grup în Active Directory.
Un șablon administrativ pentru instalarea unui client de autorizare folosind Politica de grup Active Directory, aflat și în directorul %UserGate%\tools. Site-ul web http://usergate.ru/support are instrucțiuni video despre cum să implementați un client de autorizare prin politica de grup.
Dacă serverul UserGate este instalat pe un computer care nu face parte dintr-un domeniu Active Directory, se recomandă utilizarea versiunii simplificate de autorizare prin Active Directory. În acest caz, serverul UserGate va compara autentificarea și numele de domeniu primite de la clientul de autorizare cu câmpurile corespunzătoare specificate în profilul utilizatorului, fără a contacta controlorul de domeniu.
Suport pentru utilizatorii terminalului Pentru a autoriza utilizatorii terminalului în serverul proxy UserGate, începând cu versiunea 6.5, a fost adăugat un modul software special numit „Terminal Authorization Agent”. Pachetul de distribuție al programului Agent Terminal se află în folderul %UserGate%\tools și se numește TerminalServerAgent*.msi. Pentru sistemele pe 32 de biți trebuie să luați versiunea „TerminalServerAgent32.msi”, iar pentru sistemele pe 64 de biți, TerminalServerAgent64.msi”. Programul este un agent care, periodic, o dată la 90 de secunde, trimite informații de autorizare despre toți clienții terminal server către un server proxy și un driver care asigură înlocuirea portului pentru fiecare client terminal. Combinația de informații despre utilizator și porturile asociate permite serverului proxy să identifice cu precizie utilizatorii de terminal server și să le aplice diferite politici de control al traficului.
Când instalați agentul terminal, vi se va cere să specificați adresa IP a serverului proxy și numărul de utilizatori. Acest lucru este necesar pentru utilizarea optimă a porturilor TCP\UDP libere ale serverului terminal.
www.usergate.ru
După instalarea agentului de server terminal, acesta face o cerere către serverul proxy, iar dacă totul merge bine, pe server sunt creați trei utilizatori cu autorizarea „AD login-parola” și autentificarea „NT AUTHORIY\*”.
Dacă astfel de utilizatori apar în consola dvs., atunci agentul dvs. de terminal este gata de lucru.
Prima metodă (sincronizare cu domeniul Active Directory):
În consola administratorului, pe pagina de grupuri de utilizatori din proprietățile opțiunii „sincronizare cu AD”, trebuie să specificați parametrii corecti pentru autorizarea cu AD.
Apoi trebuie să creați grup nou utilizatori și în el indică ce grup de utilizatori din AD ar trebui sincronizat cu grupul curent din serverul proxy. Utilizatorii dvs. vor fi apoi adăugați la acest grup local de utilizatori UserGate Proxy. În acest moment, configurarea serverului proxy este aproape completă. După aceasta, trebuie să vă autentificați ca utilizator AD pe serverul terminal și acesta va fi autorizat automat pe serverul proxy, fără a fi necesar să introduceți o autentificare și o parolă. Utilizatorii de server terminal pot fi gestionați ca utilizatori obișnuiți de server proxy cu autorizare prin adresa IP. Acestea. pot aplica diferite reguli NAT și/sau reguli de control al traficului.
A doua metodă (importarea utilizatorilor dintr-un domeniu Active Directory):
Utilizați „import” de utilizatori din AD, acesta este configurat pe pagina utilizatorilor făcând clic pe butonul „import” corespunzător din interfața consolei administratorului UserGate.
Trebuie să importați utilizatori din AD într-un anumit grup local de pe serverul proxy. După aceasta, toți utilizatorii importați care solicită acces la Internet de la serverul terminal vor avea acces la Internet cu drepturile definite pe serverul proxy UserGate.
A treia metodă (folosind conturi locale de server terminal):
Această metodă este convenabilă pentru testarea funcționării agentului terminal sau pentru cazurile în care serverul terminal nu este localizat în domeniul Active Directory. În acest caz, trebuie să creați un utilizator nou cu tipul de autorizare Login domain-AD”, iar ca „adresă de domeniu” specificați numele computerului serverului terminal, iar ca logare - numele utilizatorului care se va autentifica pe serverul terminal.Toți utilizatorii care vor fi creați pe serverul proxy vor avea acces la Internet de pe serverul terminal, cu drepturile definite pe serverul proxy UserGate.
Merită să înțelegeți că există câteva limitări ale agentului terminal:
Alte protocoale decât TCP\UDP nu pot fi transmise de la serverul terminal la Internet. De exemplu, nu va fi posibil să faceți PING de pe acest server oriunde pe Internet prin NAT.
www.usergate.ru Numărul maxim de utilizatori pe serverul terminal nu poate depăși 220 și nu vor fi alocate mai mult de 200 de porturi pentru protocoalele TCP\UDP pentru fiecare utilizator.
Când reporniți serverul proxy UserGate, agentul terminal nu va permite nimănui să acceseze Internetul până la prima sincronizare cu serverul proxy UserGate (până la 90 de secunde).
Autorizarea HTTP atunci când lucrați printr-un proxy transparent UserGate v.6 a adăugat capacitatea de autorizare HTTP pentru un server proxy care funcționează în mod transparent. Dacă browserul de pe stația de lucru a utilizatorului nu este configurat să utilizeze un server proxy și proxy-ul HTTP din UserGate este activat în modul transparent, atunci o solicitare din partea unui utilizator neautorizat va fi redirecționată către pagina de autorizare, unde trebuie să specificați un login și parola.
Nu este nevoie să închideți această pagină după autorizare. Pagina de autentificare este actualizată periodic printr-un script special, menținând activă sesiunea utilizatorului. În acest mod, utilizatorul va avea acces la toate serviciile UserGate, inclusiv capacitatea de a lucra prin NAT. Pentru a încheia sesiunea de utilizator, trebuie să faceți clic pe Deconectare pe pagina de autorizare sau pur și simplu să închideți fila de autorizare. iar după 30-60 de secunde, autorizarea pe serverul proxy va dispărea.
permite trecerea pachetelor NetBIOSNameRequest (UDP:137) între serverul UserGate și controlerul de domeniu asigură trecerea pachetelor NetBIOSSessionRequest (TCP:139) între serverul UserGate și controlerul de domeniu înregistrează adresa și portul proxy-ului HTTP UserGate în browser pe computerul utilizatorului Important! Pentru a utiliza autorizarea NTLM, este posibil ca mașina cu UserGate instalat să nu fie membru al domeniului Active Directory.
Utilizarea clientului de autorizare Clientul de autorizare UserGate este o aplicație de rețea care rulează la nivel Winsock, care se conectează la serverul UserGate pe un anumit port UDP (portul 5456 este utilizat implicit) și transferă parametrii de autorizare a utilizatorului: tip de autorizare, autentificare, parolă, etc.
www.usergate.ru
La prima lansare, clientul de autorizare UserGate se uită la filiala HKCU\Software\Policies\Entensys\Authclient a registrului de sistem. Setările obținute prin politica de grup de domenii Active Directory pot fi găsite aici. Dacă setările din registrul de sistem nu sunt găsite, adresa serverului UserGate va trebui specificată manual în a treia filă din partea de sus a clientului de autorizare. După ce ați specificat adresa serverului, trebuie să faceți clic pe butonul Aplicați și să mergeți la a doua filă. Această pagină specifică parametrii de autorizare a utilizatorului. Setările clientului de autorizare sunt salvate în secțiunea HKCU\Software\Entensys\Authclient din registrul de sistem. Jurnalul de service al clientului de autorizare este salvat în folderul Documents and Settings\%USER%\Application data\UserGate Client.
În plus, la clientul de autorizare a fost adăugat un link către pagina cu statistici personale a utilizatorului. Schimbare aspect autorizarea clientului se poate face prin editarea șablonului corespunzător sub forma unui fișier *.xml aflat în directorul în care este instalat clientul.
www.usergate.ru
Configurarea serviciilor în UserGate Configurarea DHCP Serviciul permite DHCP (Dynamic Host Configuration Protocol) să automatizeze procesul de emitere a setărilor de rețea către clienții din rețeaua locală. Într-o rețea cu un server DHCP, fiecărui dispozitiv de rețea i se poate atribui dinamic o adresă IP, o adresă de gateway, DNS, server WINS etc.
Puteți activa serverul DHCP prin secțiunea Adăugare interfață a serverului DHCP de servicii din consola de administrare UserGate sau făcând clic pe butonul Adăugare din panoul de control. În dialogul care apare, trebuie să selectați interfața de rețea pe care va rula serverul DHCP. În configurația minimă pentru un server DHCP, este suficient să setați următorii parametri: o gamă de adrese IP (pool de adrese), din care serverul va emite adrese clienților din rețeaua locală; masca de rețea și timpul de închiriere.
Dimensiunea maximă a pool-ului în UserGate nu poate depăși 4000 de adrese. Dacă este necesar, puteți exclude una sau mai multe adrese IP din grupul de adrese selectat (butonul Excluderi). Puteți atribui o adresă IP permanentă unui anumit dispozitiv din rețea prin crearea legăturii corespunzătoare în secțiunea Rezervări. Constanța adresei IP la reînnoirea sau obținerea unui contract de închiriere este asigurată prin legarea (Reservare) la adresa MAC a dispozitivului de rețea. Pentru a crea o legătură, trebuie doar să specificați adresa IP a dispozitivului.
Adresa MAC va fi determinată automat făcând clic pe butonul corespunzător.
Figura 6. Configurarea serverului DHCP UserGate
Serverul DHCP din UserGate acceptă importarea setărilor serverului DHCP Windows. Setările Windows DHCP trebuie mai întâi salvate într-un fișier. Pentru a face acest lucru, pe serverul pe care este instalat Windows DHCP, porniți modul linie de comandă (Start Run, tastați cmd și apăsați Enter) și în fereastra care apare, rulați comanda: netsh dhcp server IP dump filename, unde IP este IP-ul adresa serverului dvs. DHCP. Import setări
www.usergate.ru
din fișier se face prin butonul corespunzător de pe prima pagină a asistentului de configurare a serverului DHCP.
Adresele IP emise sunt afișate în jumătatea inferioară a ferestrei consolei de administrare (Fig. 8) împreună cu informații despre client (numele computerului, adresa MAC), ora de începere și de încheiere a contractului de închiriere. Selectând adresa IP emisă, puteți adăuga un utilizator la UserGate, puteți crea o legătură de adresă MAC sau puteți elibera o adresă IP.
Figura 7. Ștergerea adreselor emise
După ceva timp, adresa IP eliberată va fi plasată în grupul de adrese libere ale serverului DHCP. Operația de eliberare a unei adrese IP poate fi necesară dacă computerul care a solicitat anterior o adresă de la serverul DHCP UserGate nu mai este prezent în rețea sau și-a schimbat adresa MAC.
Serverul DHCP are capacitatea de a răspunde clienților atunci când aceștia solicită fișierul „wpad.dat”. Folosind această metodă de obținere a setărilor serverului proxy, trebuie să editați fișierul șablon, care se află în folderul „C:\program files\entensys\usergate6\wwwroot\wpad.dat”.
Informații mai detaliate despre această metodă de obținere a setărilor serverului proxy sunt descrise în Wikipedia.
Configurarea serviciilor proxy în UserGate În serverul UserGate sunt integrate următoarele servere proxy: HTTP (cu suport pentru modul „FTP peste HTTP” și HTTPS - metoda Connect), FTP, SOCKS4, SOCKS5, POP3 și SMTP, SIP și H323. Setările pentru serverele proxy www.usergate.ru sunt disponibile în secțiunea Servicii Setări proxy din consola de administrare. Setările principale ale serverului proxy includ:
interfața (Fig. 9) și numărul portului pe care funcționează proxy-ul.
Figura 8. Setări de bază pentru serverul proxy În mod implicit, UserGate include doar un proxy HTTP care ascultă pe portul TCP 8080 pe toate interfețele de rețea disponibile ale serverului.
Pentru a configura browserul client să funcționeze printr-un server proxy, pur și simplu specificați adresa proxy și portul în elementul de setări corespunzător. În Internet Explorer, setările proxy sunt specificate în meniul Instrumente Opțiuni Internet Setări LAN conexiune. Când lucrați prin intermediul unui proxy HTTP, nu trebuie să specificați gateway-ul și DNS-ul în proprietățile conexiunii la rețea TCP/IP de pe stația de lucru a utilizatorului, deoarece proxy-ul HTTP însuși va efectua rezoluția numelui.
Pentru fiecare server proxy, este disponibil un mod în cascadă către un server proxy de nivel superior.
Important! Portul specificat în setările serverului proxy este deschis automat în firewall-ul UserGate. Prin urmare, din punct de vedere al securității, se recomandă să specificați doar interfețele de rețea locală ale serverului în setările proxy.
Important! Mai multe detalii despre setările diferitelor browsere pentru serverul proxy sunt descrise într-un articol special din baza de cunoștințe Entensys.
Suport pentru protocoale de telefonie IP (SIP, H323) UserGate implementează funcția de proxy SIP cu monitorizarea proxy cu stare SIP Registrar. Proxy-ul SIP este activat în secțiunea Servicii Setări proxy și funcționează întotdeauna în modul transparent, ascultând porturile 5060 TCP și 5060 UDP. Când utilizați un proxy SIP activat
www.usergate.ru
Pagina Sesiuni a consolei de administrare afișează informații despre starea conexiunii active (înregistrare, apel, așteptare etc.), precum și informații despre numele utilizatorului (sau numărul acestuia), durata apelului și numărul de octeți trimiși/ primit. Aceste informații vor fi înregistrate și în baza de date cu statistici UserGate.
Pentru a utiliza proxy-ul SIP UserGate în proprietățile TCP/IP de pe stația de lucru a utilizatorului, trebuie să specificați adresa IP a serverului UserGate ca gateway implicit și, de asemenea, asigurați-vă că specificați adresa serverului DNS.
Vom ilustra configurarea părții client folosind exemplul softphone-ului SJPhone și al furnizorului Sipnet. Lansați SJPhone, selectați Opțiuni din meniul contextual și creați un profil nou. Introduceți numele profilului (Fig. 10), de exemplu, sipnet.ru. Specificați Apel prin SIP-Proxy ca tip de profil.
Figura 9. Crearea unui profil nou în SJPhone Caseta de dialog Opțiuni profil vă solicită să specificați adresa serverului proxy a furnizorului dumneavoastră VoIP.
La închiderea casetei de dialog, va trebui să introduceți date pentru autorizare pe serverul furnizorului dumneavoastră VoIP (nume de utilizator și parolă).
Figura 10. Setări profil SJPhone www.usergate.ru Atenție! Dacă, atunci când activați un proxy SIP, traficul dvs. vocal nu trece într-o direcție sau în alta, atunci trebuie fie să utilizați un server proxy STUN, fie să permiteți traficul prin NAT pe toate porturile (ORICE:FULL) pentru utilizatorii necesari. Când activați o regulă NAT pe toate porturile, serverul proxy SIP va trebui să fie dezactivat!
Suport pentru modul SIP Registrar Funcția SIP Registrar vă permite să utilizați UserGate ca un software PBX (Automatic Telephone Exchange) pentru o rețea locală.
Funcția SIP Registrar funcționează simultan cu funcția SIP proxy. Pentru a autoriza pe UserGate SIP Registrar, în setările SIP UAC (User Agent Client) trebuie să specificați:
Adresă UserGate ca adresă de server SIP Nume utilizator UserGate (fără spații) orice parolă Suport pentru protocolul H323 Suportul pentru protocolul H323 vă permite să utilizați serverul UserGate ca „gatekeeper” (H323 Gatekeeper). Setările proxy H323 specifică interfața pe care serverul va asculta solicitările clientului, numărul portului, precum și adresa și portul gateway-ului H323. Pentru a autoriza pe UserGate Gatekeeper, utilizatorul trebuie să furnizeze un nume de utilizator (nume de utilizator în UserGate), o parolă (orice) și un număr de telefon specificat în profilul de utilizator în UserGate.
Important! Dacă UserGate GateKeeper primește un apel către un număr H323 care nu aparține niciunuia dintre utilizatorii autorizați UserGate, apelul va fi redirecționat către gateway-ul H323. Apelurile către gateway-ul H323 sunt efectuate în modul „CallModel: Direct”.
Proxy-uri de e-mail în UserGate Proxy-urile de e-mail din UserGate sunt proiectate să funcționeze cu protocoalele POP3 și SMTP și pentru scanarea antivirus a traficului de e-mail.
Când utilizați modul de operare transparent al proxy-ului POP3 și SMTP, setările clientului de e-mail de pe stația de lucru a utilizatorului nu diferă de setările corespunzătoare opțiunii cu acces direct la Internet.
Dacă proxy-ul UserGate POP3 este utilizat în modul opac, atunci în setările clientului de e-mail de pe stația de lucru a utilizatorului, adresa IP a computerului cu UserGate și portul corespunzător proxy-ului POP3 UserGate trebuie specificate ca adresa serverului POP3. În plus, autentificarea pentru autorizare pe serverul POP3 la distanță este specificată în următorul format:
adresa_e-mail@adresa_serverului_POP3. De exemplu, dacă utilizatorul are o cutie poștală [email protected], apoi ca Conectare activată
Proxy-ul POP3 UserGate din clientul de e-mail va trebui specificat:
[email protected]@pop.mail123.com. Acest format este necesar pentru ca serverul UserGate să poată determina adresa serverului POP3 la distanță.
www.usergate.ru
Dacă proxy-ul SMTP UserGate este utilizat în modul netransparent, atunci în setările proxy trebuie să specificați adresa IP și portul serverului SMTP pe care UserGate îl va folosi pentru a trimite scrisori. În acest caz, în setările clientului de e-mail de pe stația de lucru a utilizatorului, trebuie să specificați adresa IP a serverului UserGate și portul corespunzător proxy-ului SMTP UserGate ca adresa serverului SMTP. Dacă este necesară autorizarea pentru trimitere, atunci în setările clientului de e-mail trebuie să specificați login și parola corespunzătoare serverului SMTP, care este specificată în setările proxy SMTP din UserGate.
Utilizarea modului transparent Funcția mod transparent din setările serverului proxy este disponibilă dacă serverul UserGate este instalat împreună cu driverul NAT. În modul transparent, driverul NAT UserGate ascultă porturile standard pentru servicii: 80 TCP pentru HTTP, 21 TCP pentru FTP, 110 și 25 TCP pentru POP3 și SMTP pe interfețele de rețea ale computerului cu UserGate.
Dacă există solicitări, le transferă pe serverul proxy UserGate corespunzător. Când se utilizează modul transparent în aplicațiile de rețea, utilizatorii nu trebuie să specifice adresa și portul serverului proxy, ceea ce reduce semnificativ munca administratorului în ceea ce privește furnizarea de acces la rețeaua locală la Internet. Cu toate acestea, în setările de rețea ale stațiilor de lucru, serverul UserGate trebuie specificat ca gateway și adresa serverului DNS trebuie specificată.
Proxy-uri în cascadă Serverul UserGate poate funcționa cu conexiunea la Internet fie direct, fie prin servere proxy de nivel superior. Astfel de proxy-uri sunt grupate în UserGate sub Serviciile proxy-uri în cascadă. UserGate acceptă următoarele tipuri de proxy în cascadă: HTTP, HTTPS, Socks4, Socks5. Setările proxy în cascadă specifică parametrii standard: adresa și portul. Dacă proxy-ul din amonte acceptă autorizarea, puteți specifica datele de conectare și parola corespunzătoare în setări. Proxy-urile în cascadă create devin disponibile în setările serverului proxy din UserGate.
www.usergate.ru Figura 11 Proxy-uri părinte în maparea portului UserGate UserGate acceptă funcția de mapare a portului. Dacă există reguli de atribuire a portului, serverul UserGate redirecționează cererile utilizatorului care sosesc pe un anumit port al unei anumite interfețe de rețea a unui computer cu UserGate către o altă adresă și port specificate, de exemplu, către un alt computer din rețeaua locală.
Funcția Port Forwarding este disponibilă pentru protocoalele TCP și UDP.
Figura 12. Alocarea portului în UserGate Important! Dacă atribuirea portului este utilizată pentru a oferi acces de pe Internet la o resursă internă a companiei, ar trebui să selectați Utilizator specificat ca parametru de autorizare www.usergate.ru, altfel redirecționarea portului nu va funcționa.
Configurarea unui cache Unul dintre scopurile unui server proxy este de a stoca în cache resursele rețelei.
Memorarea în cache reduce încărcarea conexiunii dvs. la Internet și accelerează accesul la resursele frecvent vizitate. Serverul proxy UserGate memorează în cache traficul HTTP și FTP. Documentele stocate în cache sunt plasate în folderul local %UserGate_data%\Cache. Setările cache indică:
limita de dimensiune a memoriei cache și timpul de stocare pentru documentele stocate în cache.
În plus, puteți activa stocarea în cache a paginilor dinamice și numărarea traficului din cache. Dacă opțiunea Citire trafic din cache este activată, nu numai traficul extern (Internet) va fi înregistrat pentru utilizator în UserGate, ci și traficul primit din memoria cache UserGate.
Atenţie! Pentru a vizualiza intrările curente din cache, trebuie să rulați un utilitar special pentru a vizualiza baza de date cache. Este lansat făcând clic dreapta pe pictograma „UserGate Agent” din bara de sistem și selectând „Open browser cache”.
Atenţie! Dacă ați activat memoria cache și încă nu aveți o singură resursă în „browserul cache”, atunci cel mai probabil trebuie să activați un server proxy transparent pentru protocolul HTTP, pe pagina „Servicii - Setări proxy”
Scanare antivirus În serverul UserGate sunt integrate trei module antivirus: Kaspersky Lab antivirus, Panda Security și Avira. Toate modulele antivirus sunt proiectate pentru a scana traficul de intrare prin serverele proxy de e-mail HTTP, FTP și UserGate, precum și traficul de ieșire prin proxy-uri SMTP.
Setările modulului antivirus sunt disponibile în secțiunea Services Anti-virus a consolei de administrare (Fig. 14). Pentru fiecare antivirus, puteți specifica ce protocoale ar trebui să scaneze, să setați frecvența de actualizare a bazelor de date antivirus și, de asemenea, să specificați adrese URL care nu trebuie scanate (opțiune de filtru URL). În plus, în setări puteți specifica un grup de utilizatori al căror trafic nu trebuie să fie supus unei scanări antivirus.
www.usergate.ru
Figura 13. Module anti-virus în UserGate Înainte de a lansa modulele anti-virus, trebuie să începeți actualizarea bazelor de date anti-virus și să așteptați să se termine. În setările implicite, bazele de date antivirus Kaspersky sunt actualizate de pe site-ul web Kaspersky Lab, iar pentru antivirusul Panda sunt descărcate de pe serverele Entensys.
Serverul UserGate acceptă funcționarea simultană a trei module antivirus. În acest caz, Kaspersky Anti-Virus va scana mai întâi traficul.
Important! Când scanarea traficului antivirus este activată, serverul UserGate blochează descărcările de fișiere cu mai multe fire prin HTTP și FTP. Blocarea capacității de a descărca o parte a unui fișier prin HTTP poate duce la probleme cu serviciul Windows Update.
Programator în UserGate Serverul UserGate are un planificator de sarcini încorporat care poate fi utilizat pentru a efectua următoarele sarcini: inițializarea și întreruperea conexiunilor DialUp, trimiterea de statistici către utilizatorii UserGate, executarea unui program arbitrar, actualizarea bazelor de date antivirus, ștergerea bazei de date cu statistici , verificând dimensiunea bazei de date.
www.usergate.ru
Figura 14. Configurarea programatorului de sarcini Elementul Run program din planificatorul UserGate poate fi folosit și pentru a executa o secvență de comenzi (scripturi) din fișierele *.bat sau *.cmd.
Lucrări similare:
« PLAN DE ACȚIUNE 2014-2015 CONFERINȚA AUTORITĂȚILOR REGIONALE ȘI LOCALE PRIVIND PARTENERIATUL ESTICAL PLAN DE ACȚIUNE PLANUL DE ACȚIUNE A CONFERINȚEI REGIONALE ȘI LOCALE AUTORITĂȚILE LOCALE PARTENERIATULUI DE EST (CORLEAP) PENTRU ANUL 2014 ȘI ÎNAINTE DE REUNIUNEA ANUALĂ DIN 2015 1. Introducere Conferința Autorităților Regionale și Locale privind Parteneriatul Estic (CORLEAP sau Conferința) este un forum de politici care are ca scop facilitarea localului și... .”
« Director al Departamentului de Politică de Stat și Reglementare în Domeniul Geologiei și Utilizarea Subsolului al Ministerului Resurselor Naturale din Rusia A.V. Eagle aprobat pe 23 august 2013 APROBAT de directorul Departamentului de Politică de Stat și Reglementare în Domeniul Geologiei și Utilizarea Subsolului al Ministerului Resurselor Naturale din Rusia _ A.V. Orel "_" 2013 DE ACORD Director al Întreprinderii Unitare Federale de Stat "Geologorazvedka" V.V. Shimansky „_”_ 2013 CONCLUZIE a Consiliului științific și metodologic privind tehnologiile geologice și geofizice pentru căutarea și explorarea mineralelor solide...”
« COLONA EDITORULUI D DRAGI PRIETENI! Țineți în mână primul număr din acest an al New Forest Journal. Potrivit tradiției, tema sa principală a fost evenimentul care a avut loc la final anul trecut expoziție-târg internațional„Pădurea rusească”. Bineînțeles, am privit acest eveniment nu atât ca un prilej de informare, ci ca pe o platformă pentru specialiștii forestieri pentru a dezvolta politici, strategii și tactici pentru dezvoltarea industriei. Din acest punct de vedere am încercat să acoperim activitatea seminarelor...”
« Programul examenului final de stat interdisciplinar se întocmește în conformitate cu prevederile: privind certificarea finală de stat a absolvenților. Instituția de învățământ bugetar de stat federal de învățământ profesional superior „Academia Rusă de Economie Națională și Administrație Publică sub președinte” Federația Rusă"din data de 24 ianuarie 2012, Moscova; privind formarea de master (master) în educația bugetară a statului federal..."
« Lista interpreților Nechaev V.D. Șef al Programului de Dezvoltare Strategică a Universității, rectorul Glazkov A.A. manager de program dezvoltare strategică Universitatea, Prorector pentru Știință, Inovare și Dezvoltare Strategică Sharaborova G.K. coordonator al lucrărilor Programului de Dezvoltare Strategică Universitară, director al Centrului de Dezvoltare Strategică Curatori Proiect: Sokolov E.F. Prorector pentru Sprijin Administrativ și Economic Ognev A.S. prorector pentru știință,..."
« UDC 91:327 Lysenko A. V. Modelarea matematică ca metodă de studiu a fenomenului autonomismului în geografia politică Universitatea Națională Tauride numit după V.I. Vernadsky, Simferopol e-mail: [email protected] Adnotare. Articolul examinează posibilitatea utilizării modelării matematice ca metodă de studiu a geografiei politice, dezvăluie conceptul de autonomism teritorial, precum și factorii genezei acestuia. Cuvinte cheie: modelare matematică,...”
„DREPTURI” din Murmansk APROBAT ACCEPTAT Director al filialei la o reuniune a departamentului de discipline juridice generale al instituției private de învățământ de învățământ profesional superior BIEPP din Murmansk în orașul Murmansk. Murmansk A.S. Protocolul Korobeinikov nr. 2_ din „_09_”_septembrie_ 2014 „_09_” septembrie 2014 Complex educațional și metodologic al disciplinei Istoria doctrinelor politice și juridice Specialitatea...”
« FOND TRUST PENTRU PROGRAMUL DE ASISTENȚĂ ÎN RUSĂ EDUCAȚIONALĂ (CITEȘTE) CITEȘTE RAPORTUL ANUAL „Investirea în evaluarea calității educației, evaluarea rezultate ale reformelor și sistemelor de evaluare a performanțelor educaționale și a competențelor dobândite, banca va ajuta țările sale partenere să răspundă la întrebări cheie pentru modelarea politicilor de reformă a educației: ce avantaje are sistemul nostru? care sunt dezavantajele ei? Ce măsuri pentru eliminarea acestor neajunsuri au fost cele mai eficiente? ce sunt..."
« OKHUNOV ALISHER ORIPOVYCH [email protected] TITLUL PROGRAMA INFORMAȚII GENERALE INFORMAȚII DESPRE PROFESORI POLITICA DE DISCIPLINĂ „PROGRAMUL DE PROBLEME GENERALE FINALĂ” REZULTATELE ÎNVĂȚĂRII CRITERII ȘI POSTREQUISIȚII CHIRURGIEI” CRITERII ȘI REGULI PENTRU EVALUAREA CUNOAȘTENȚILOR ȘI ABILITĂȚILOR ELEVILOR TIP DE CONTROL PROGRAMA „PROBLEME GENERALE ALE CHIRURGIEI” OKHUNOV ALISHER ORIPOVICH [email protected] INFORMAȚII GENERALE: TITLUL Numele universității: Academia Medicală Tașkent INFORMAȚII GENERALE Departamentul de Chirurgie Generală și Pediatrică Locația..."
« Comitetul pentru Relații Externe Implementarea politicii de stat a Federației Ruse față de compatrioții din străinătate la Sankt Petersburg VIII Forum de la Sankt Petersburg al organizațiilor de tineret ale compatrioților ruși și mass-media străină în limba rusă „Rușii din străinătate” 7-13 iunie 2015 PROGRAM 7 IUNIE, DUMINICĂ Înregistrarea participanților la Forum în timpul zilei Hotel „Sankt Petersburg” Adresa: Pirogovskaya terasament, 5/2 Înregistrarea participanților, livrarea „Recrutare Participanți” ATENȚIE!...”
« Curriculum examenul suplimentar de admitere la programul de master pentru specialitatea 1-23 80 06 „Istoria relațiilor internaționale și a politicii externe”întocmit pe baza programelor standard „Istorie relatii Internationale„ și „Istoria politicii externe a Belarus”, precum și programe de examen de stat la discipline speciale pentru specialitatea 1-23 01 01 „Relații internaționale”. Considerat și recomandat spre aprobare la o ședință a Departamentului de Relații Internaționale Protocolul nr. 10 din 7...”
« Săptămâna poate alege un proiect de rachetă super-grea Laborator ruso-chinez Sisteme de prindere spațială Următorii sateliți din seria Meteor nu vor primi sisteme radar Legătura lipsă cu satelitul științific rus Vernov nu a fost încă stabilită 19.02.2015 4 Resturile spațiale au amenințat ISS de 60 de ori în ianuarie Anul trecut pe Pământ...”
« MINISTERUL EDUCAȚIEI ȘI ȘTIINȚEI AL FEDERĂȚIA RUSĂ Instituție de învățământ bugetar de stat federal de învățământ profesional superior„Universitatea de Stat Kemerovo” APROBAT de: Rector _ V. A. Volchek „” _ 2014 Programul educațional principal educatie inalta Specialitatea 030701 Relații internaționale Focus (specializare) „Politică mondială” Calificare (grad) specialist în domeniul relațiilor internaționale Forma de studiu cu normă întreagă Kemerovo 2014...”
« ISLAMUL ÎN URALUL MODERN Alexey Malashenko, Alexey Starostin APRILIE 2015 ISLAMUL ÎN URALUL MODERN Alexey Malashenko, Alexey Starostin Acest număr„Materiale de lucru” a fost pregătit de o organizație de cercetare non-guvernamentală non-profit - Centrul Carnegie din Moscova. Carnegie Endowment for International Peace și Carnegie Moscow Center, ca organizație, nu adoptă o poziție comună asupra problemelor socio-politice. Publicația reflectă părerile personale ale autorilor, care nu ar trebui...”
« „Principiul principal al Knauf este că totul trebuie să fie „mitdenken” (făcut după ce ne gândim împreună cu atenție și ținem cont de interesele celor pentru care lucrezi). Treptat concept cheie a prins rădăcini în Rusia.” Dintr-un interviu cu Yu.A. Mikhailov, Director general KNAUF GIPS KOLPINO LLC Practici de management ale diviziei ruse a unei corporații internaționale: experiența KNAUF CIS* Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Rezumat Pe baza unei analize a experienței de dezvoltare a grupului KNAUF CIS în...”
« Anexă INFORMAȚII privind progresul implementării ordinului guvernatorului regiunii Omsk din 28 februarie 2013 nr. 25-r „Cu privire la măsurile de implementare a Decretului guvernatorului Omsk regiune din 16 ianuarie 2013 nr. 3” conform Planului de acțiuni prioritare pentru 2013 - 2014 pentru implementarea strategiei regionale de acțiune în interesul copiilor din regiunea Omsk pentru 2013 - 2017 pentru 2013 Nr. Denumire responsabil Informații privind implementarea sub-activității executor I . Politica familială de economii pentru copii...”
« DEPARTAMENTUL DE EDUCAȚIE ȘI POLITICA TINERETULUI AL SECTORULUI AUTONOM KHANTY-MANSI - YUGRA Instituție de învățământ de stat de nivel profesional superior educația din Khanty-Mansiysk Okrug autonom– Programul Ugra „Universitatea Pedagogică de Stat Surgut”. practica industriala BP.5. PRACTICA PEDAGOGICA Directia de formare 49.03.02 Educatie fizica pentru persoane cu probleme de sanatate (Adaptive Cultură fizică) Calificare (grad)..."
« Instituția de învățământ autonomă de stat de învățământ profesional superior „Universitatea de Management a Guvernului din Moscova a orașului Moscova” Departamentul Institutul de Învățământ Profesional Superior controlat de guvern si politica de personal APROBAT de Prorectorul pentru Academie si munca stiintifica A.A. Alexandrov „_”_ 20_ Program de lucru disciplina academica„Metode de acceptare decizii de management„pentru studenții direcției 38.03.02 „Management” pentru studii cu normă întreagă la Moscova...”
« Seria „Simple Finance” de Yu. V. Brekhov CUM SE RECUNOAȘTE O PIRAMIDĂ FINANCIARĂ Volgograd 2011 UDC 336 BBK 65.261 B 87 Broșura din seria „Simple Finance” finalizatăîn conformitate cu acordul 7(2) din 19 septembrie 2011 al Instituției Federale de Învățământ de Învățământ Profesional Superior „Academia Serviciului Public din Volgograd” cu Comitetul pentru Politică Bugetară și Financiară și Trezorerie al Administrației Regiunii Volgograd, ca parte a implementarea regională pe termen lung programul țintă„Creșterea nivelului de alfabetizare financiară a populației și dezvoltarea financiară...”
Materialele de pe acest site sunt postate doar în scop informativ, toate drepturile aparțin autorilor lor.
Dacă nu sunteți de acord cu faptul că materialul dvs. este postat pe acest site, vă rugăm scrie-ne, îl vom șterge în 1-2 zile lucrătoare.
