Обзор UserGate - прокси-сервера для организации подключения локальной сети к интернету


Для домовых сетей и сетей малых и средних предприятий очень важно иметь средства контроля за выходом пользователей в Интернет. Управление доступом можно решать с помощью разных инструментов, но одним из лучших на сегодня является UserGate от компании Entensys, который давно известен как продукт, решающий многие проблемы системных администраторов при раздаче прав пользователям на доступ в Интернет. В новой версии расширены возможности по обеспечению безопасности выхода в Сеть для пользователей таких сетей за счет добавления файрвола и антивирусных модулей.

Наше издание уже знакомило читателей как с самим UserGate, так и с его создателями. Поэтому мы лишь только слегка коснемся основных свойств программы, а поговорим в основном о новшествах в версии 4.2.

UserGate – прокси-сервер, выполняющий функции контроля и распределения прав при организации выхода в Интернет пользователей локальных сетей через один внешний IP-адрес. Этот прокси-сервер имеет гибкое управление ограничениями по каждому пользователю в отдельности или группе в целом, удобные средства мониторинга всех процессов в сети, встроенную биллинговую систему и ряд дополнительных сервисов для администратора сети. Учитывая то, что в реальном использовании находятся прокси-серверы UserGate разных версий, компания-разработчик одновременно осуществляет поддержку нескольких версий программы.

Интерфейс программы
Интерфейс программы

Администрирование пользователей

Администрирование пользователей - основная функция программы. С помощью несложных правил администратор сети может гибко управлять подключением пользователей к локальной сети и Интернету. Ограничения можно вводить для групп и отдельных пользователей по времени, протоколам, определенным ресурсам, скорости доступа в Сеть.

Администрирование осуществляется либо через драйвер NAT (Network Address Translation – внутренняя технология учета трафика), либо через прокси-сервер. Администрирование через NAT обладает большей производительностью. Переадресация портов обеспечивает нормальную работу приложений, требующих трафика на конкретный IP-адрес.

Задаем правила для пользователя
Задаем правила для пользователя

Биллинговая система

Биллинговая система - это подсчет расходов на Интернет и управление подключениями к разным провайдерам. Создание тарифной сетки подключений и правил использования этих тарифов позволит автоматически переходить с одного выгодного тарифа на другой.

Основное назначение биллинговой системы - управление доступом пользователей в зависимости от выделенной им квоты. Благодаря этому инструменту можно осуществлять допуск пользователя в соответствии с внесенным им финансовым вкладом (для домовых сетей) либо с разрешенной начальством квотой. Благодаря учету трафика конкретного пользователя и с учетом использования наиболее выгодного тарифа в конкретный промежуток времени можно максимально эффективно использовать даже небольшие финансовые ресурсы.

Пополняем счет пользователя
Пополняем счет пользователя

Встроенный файрвол

Файрвол UserGate обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Возможности в создании правил во встроенном файрволе UserGate для непроходящих через NAT пакетов довольно просты. Действие можно либо разрешить, либо запретить - не более. Есть возможность организовать доступ к определенным ресурсам компьютера из Интернета, обеспечив, таким образом, публикацию веб-серверов.

"Прозрачный прокси"

Суть "прозрачного прокси" в том, что при его включении происходит пересылка клиентских запросов, перехваченных драйвером NAT, на порт HTTP-прокси UserGate. В результате этого отпадает необходимость в настройках браузеров пользователей локальной сети. Без этой функции приходилось указывать адрес и порт прокси в LAN для каждого из компьютеров, кому разрешен выход в Сеть. Либо приходилось отказываться от возможности контроля за посещаемыми сайтами. "Прозрачный прокси" – это следующий шаг после реализации "прозрачного FTP" в третьей версии программы.

VPN

Особенность VPN-сетей в том, что они используют общедоступные линии связи при обеспечении достаточно высокого уровня безопасности в обмене информацией. Поэтому естественно, что такие сети будут развиваться дальше и учет трафика в них становится реальной потребностью. Возможность подсчета трафика для защищенных, туннелированных соединений важна для достаточно большой группы задач. Это – аудио- и видеоконференции, линии "клиент - банк", сети магазинов электронного контента, комьюнити-сети, территориально разнесенные сети предприятий и так далее. Управление VPN-трафиком – одна из ключевых возможностей в новой версии.

Антивирусы

Модуль антивирусов
Модуль антивирусов

Встроенные в UserGate антивирусы работают ограниченно: проверяют только трафик и не имеют возможности проверить локальные файлы даже на сервере, где установлен сам UserGate. Однако для большинства организаций использование, если так можно выразиться, "полных" антивирусов не оправданно. Если в конторе стоят тонкие клиенты или на рабочих станциях нет никаких устройств для внешних носителей (Floppy, CD-ROM, картридеров и прочих), то появление вирусной заразы возможно только через Интернет. В этом случае проверка трафика обеспечивает полную защиту всей сети от угроз заражения. А организация может существенно сэкономить на антивирусной защите.

В качестве встроенных антивирусов используются "Антивирус Касперского" и Panda или оба вместе. С проверкой текущего трафика они справляются без проблем, не особо перегружая сервер. В качестве конкретного примера приведем следующий факт. Сервер: двухъядерный Zeon 3 Ггц, по 1 Мб кеша на ядро, 3 Гб оперативной памяти. Нагрузку на сервер создавал сам UserGate (при включенных антивирусах, полная проверка по всем видам трафика) и 50-60 активных пользователей, которые через прокси грузили сервер. Нагрузка составляла 20-60% в зависимости от количества запросов. Если такая нагрузка администратору может показаться большой, то можно отключить тот или иной движок или ограничить проверку по видам трафика.

При обнаружении вирусов в почте UserGate выдает сообщения о том, что один или несколько прикрепленных файлов содержали вирус и были удалены UserGate. При обнаружении вируса в HTTP-трафике страница не отображается и выводится сообщение, что на ней был обнаружен вирус.

Как известно, ни один антивирус не может гарантировать 100%-ной защиты от вирусов, поэтому двойная защита предпочтительнее. Кроме того, не надо забывать про скорость реакции антивирусных компаний на появление новых вирусов. И хотя обе компании - и "Лаборатория Касперского", и Panda Software - известны своей оперативностью, тем не менее вероятность того, что кто-то из них не успеет отреагировать вовремя, теоретически имеется.

Страница управления антивирусными движками
Страница управления антивирусными движками

Дополнительным плюсом антивирусной защиты можно назвать неограниченную по времени возможность обновления антивирусных баз с сайтов антивирусных лабораторий Касперского и Panda, а также гибкие возможности настроек порядка проверки трафика движками. Любой из движков можно отключить полностью либо от проверки того или иного вида трафика. Более того, администратор может задать последовательность проверки трафика одного движка за другим. Управление антивирусами крайне простое, интуитивно понятное, все делается с помощью мыши.

И антивирус, и файрвол в UserGate легко отключаются, и это позволяет без проблем применять другие, сторонние средства защиты. А поскольку антивирусы прокси-сервера используются только для проверки трафика, то они не конфликтуют с установленными на локальные компьютеры антивирусными программами.

Резюме

Встроенные антивирусы вместе с файрволом позволяют говорить о движении программы в направлении к классу Internet Security. Однако новый UserGate - это программа не совсем такого класса. Прежде всего потому, что предназначена не для частного использования, а для контроля за работой сети. И потому, что антивирусные движки не имеют возможности проверки локальных файлов, а проверяют только трафик. И, наконец, собственный файрвол, как уже говорилось, шлюзовый, а не персональный. Так что класс этого продукта точно указать невозможно, ему просто нет аналогов. Ближайшие конкуренты не имеют хотя бы равного уровня защиты от угроз извне.





Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.