Entensys UserGate Proxy & Firewall 6.X

Защита от вирусов

1. В целях качественной проверки трафика на предмет наличия вредоносного ПО, в UserGate включены два антивирусных модуля — Антивирус Касперского и Panda Antivirus. При этом обеспечивается двойная антивирусная проверка трафика по протоколам HTTP, FTP, SMTP и POP3.
2. Важно отметить, что вторым по величине источником распространения вирусов, помимо сетевых угроз, являются съемные носители информации. UserGate, при условии использования встроенных антивирусных модулей, устраняет угрозы, исходящие от основного источника вирусов — сетевого трафика. Это избавляет от необходимости приобретения дорогих серверных антивирусных решений. Тем не менее, для максимально полной защиты локальной сети рекомендуется использовать сторонний антивирус для проверки файловой системы на рабочих станциях.

Два «антивирусных» партнера Entensys:

• «Лаборатория Касперского» в числе первых начала технологическое сотрудничество с Entensys и предоставила свой «Антивирус Касперского» для включения в состав UserGate. Многолетний опыт «Лаборатории Касперского» гарантирует быстрое реагирование на появление новых угроз, а самая большая в мире «Вирусная энциклопедия» от Лаборатории Касперского содержит более 200,000 описаний вирусов, их типов, а также вирусную статистику и аналитику. Встроенный в ядро UserGate антивирусный модуль Касперского производит проверку всех передаваемых данных по различным протоколам и анализирует их на наличие вирусов и других вредоносных программ.
• По многочисленным запросам пользователей, в 2007 году компания Entensys начала сотрудничество с еще одним антивирусным производителем — Panda Security. Модуль Panda Antivirus расширил возможности UserGate по обеспечению безопасности локальной сети, так как двойная антивирусная проверка трафика гарантирует защиту пользователей от угроз на максимально высоком уровне.

Межсетевой экран

1. Встроенный межсетевой экран обеспечивает дополнительную защиту от сетевых атак и других типов вторжений, блокируя трафик по определенным портам (TCP, UDP или любой другой IP-протокол). Порты, указанные в настройках прокси (HTTP, FTP, SOCKS, и другие), как и порты, указанные в функции «Назначение портов», будут включены в автоматически создаваемые правила межсетевого экрана.
2. Межсетевой экран UserGate также обрабатывает пакеты, не обработанные правилами NAT. Если пакет уже обработан драйвером NAT, он не будет обработан межсетевым экраном UserGate.

Назначение портов:

• Данная функция связывает любой порт локального интерфейса Ethernet с указанным портом удаленного хоста. Назначение портов, как правило, используется для специфических приложений, таких как банк-клиент, программы для удаленного администрирования, пиринговые сети и веб-сервера в случаях, когда необходимо перенаправить входящее соединение на TCP-порт локального компьютера.

Правила межсетевого экрана:

• UserGate легко позволяет создавать различные наборы правил для управления трафиком. Настроить межсетевой экран для доступа компьютеров локальной сети в Интернет можно в течение нескольких минут. Поскольку правила создаются и выполняются на сервере, изменение пользователями каких-либо настроек на клиентских машинах не угрожает безопасности сети.

URL-фильтрация по категориям:

• Работа модуля фильтрации сайтов основана на технологии Entensys URL Filtering, которая также используется в GateWall DNS Filter. При этом используется категоризированная база, в которой содержится 500 млн. сайтов в 82 категориях. Администратор может запрещать доступ к отдельным сайтам, к категориям сайтов, либо к тем сайтам, адреса которых содержат заданные фрагменты слов. База специально адаптирована для использования русскоязычными пользователями и содержит до 10 миллионов русскоязычных сайтов.
• Использование URL-фильтрации обеспечивает безопасность локальной сети за счет ограничения доступа к потенциально вредоносным сайтам. Из всех решений, доступных сегодня на рынке, только используемая Entensys база насчитывает более 500 миллионов URL-адресов, которая охватывает как наиболее популярные сайты, так и менее посещаемые ресурсы. База Entensys URL Filtering выделяется из массы альтернатив благодаря наличию в базе данных даже тех сайтов, уровень посещаемости которых очень низок. Такие сайты получили общее название “Long Tail”, из-за формы графика распределения посещаемости между веб-ресурсами.
• Согласно статистическим данным, около 50% мировой посещаемости Интернет-ресурсов приходится на 20 миллионов сайтов, находящихся вверху списка посещаемости. Оставшиеся 50% посещаемости приходятся на группу сайтов объединенных термином Long Tail, которая в десятки раз превышает по количеству первую группу. Большинство решений по контентной фильтрации, представленных сегодня на рынке, в основном концентрируется на наиболее посещаемых сайтах (20 миллионов сайтов), упуская из виду тот факт, что таким образом охватывается лишь около 50% общего количества веб-запросов.
• Как следствие, компании, использующие эти решения могут столкнуться с риском заражения локальной сети сетевыми вирусами и червями, поскольку угрозы такого характера одинаково представлены на всех ресурсах, а не только на наиболее посещамых.
• При использовании Entensys URL Filtering высока вероятность того, что практически любой ресурс, который посещает пользователь гарантированно окажется в базе данных в одной из 82 категорий, а следовательно — доступ к такому ресурсу или категории можно будет ограничить.

Контроль приложений

1. UserGate содержит модуль контроля (фильтрации) активности приложений, запущенных на компьютерах в локальной сети. Для работы модуля на всех клиентских машинах необходимо установить бесплатный клиентский компонент. Последний будет связываться с сервером UserGate и блокировать Интернет-приложения (например, ICQ или MSN) на локальной машине на основе политик, определенных администратором.
2. Модуль контроля приложений в UserGate работает на основе правил, которые применяются к пользователю или группе пользователей. По умолчанию существует только одно правило, которое разрешает любому приложению пользователя соединяться по любому IP-адресу, используя любой протокол. После сбора предварительной статистики активности Интернет-приложений, администратор может дополнить правило по умолчанию новыми правилами для конкретных пользователей и групп.
3. Статистика работы сетевых приложений по пользователям доступна в разделе Контроль приложений на странице Статистика.

Информационная безопасность

UserGate использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, такими, как вирусы, вредоносные программы и хакерские атаки.

Функции информационной безопасности включают:

• Защита от вирусов;
• Межсетевой экран;
• Расширенный драйвер NAT;
• Полноценный VPN-сервер;
• Система предотвращения вторжений.

Информационная безопасность

1. UserGate обеспечивает комплексную защиту локальной сети, благодаря наличию двух встроенных антивирусных модулей от ведущих разработчиков антивирусных программ — Лаборатории Касперского и Panda Security. Антивирусные модули производят сканирование всех типов сетевого трафика, включая почтовый, HTTP и FTP -трафик. В дополнение к антивирусной проверке в UserGate встроен межсетевой экран, обеспечивающий надежную защиту сети от внешних атак посредством системы предотвращения вторжений (IDPS). В решении реализован полноценный VPN-сервер с возможностью создания туннеля «сервер-сервер», маршрутизацией между подсетями и поддержкой текущих VPN-соединений.

Защита от вирусов:

• Важность защиты локальной сети от различных сетевых угроз, в частности вирусов, Интернет-червей или троянов нельзя недооценивать, так как простой недосмотр может иметь непоправимые последствия для любого бизнеса. Вопрос «Какое антивирусное приложение выбрать?» — наиболее часто задаваемый на форумах, посвященных безопасности в Интернет. Компания Entensys сотрудничает с двумя мировыми лидерами в области разработки антивирусного ПО — Лабораторией Касперского и Panda Security — с целью предоставить своим пользователям выбор антивирусного решения для использования в составе UserGate.
• Пользователи могут по желанию использовать тот или иной антивирусный модуль, либо активировать оба модуля для максимальной защиты. При этом можно комбинировать антивирусную защиту UserGate с защитой файловой системы на локальных машинах с помощью третьего антивирусного решения.

Расширенный драйвер NAT:

• UserGate содержит расширенный вариант драйвера NAT. Функция маршрутизации теперь позволяет администратору создавать локальные подсети и настраивать обмен пакетов между ними. Наличие поддержки протоколов IP-телефонии и публикация ресурсов позволяют использовать современные способы коммуникации и совместной работы.
• Функциональность драйвера NAT была кардинально переработана и расширена в новой версии UserGate. Новый драйвер NAT поддерживает маскарадинг и может работать в режиме маршрутизации, которая позволяет создавать несколько локальных подсетей и управлять передачей пакетов между ними.

Публикация сетевых ресурсов:

• При помощи UserGate можно обеспечить удаленный доступ к внутренним корпоративным ресурсам, таким, как веб-, FTP-, VPN- или почтовый сервер. В этом случае все запросы к компьютеру с внешним IP-адресом по определенному порту будут перенаправлены на внутренний сервер в соответствии с созданным правилом. При необходимости, такой доступ может быть ограничен предопределенным списком IP-адресов. Как правило, данную возможность используют не только для публикации ресурсов сервера, но и для работы некоторых приложений, таких, как банк-клиент, программы удаленного администрирования, пиринговые соединения, IP-телефония и многие другие, перенаправляя входящие соединения на TCP-порт локальной машины.

Система предотвращения вторжений (IDPS):

• IDPS (Intrusion Detection and Prevention Systems) – система контроля сети на предмет наличия вредоносной активности. Основными функции IDPS являются обнаружение опасной деятельности, внесение информации о ней в лог, предотвращение угрозы и предоставление отчета.
• Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак. Информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. IDPS применяет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника.
• IDPS отслеживает активность в реальном времени и быстро реализует действия по предотвращению атак. Возможные меры - блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору.

Полноценный VPN-сервер:

• VPN (Virtual Private Network) — «виртуальная частная сеть», или путь, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Интернета к серверам баз данных, FTP и почтовым серверам. Физическая сущность технологии VPN заключается в способности защитить трафик любых информационных интранет- и экстранет-систем, аудиовидеоконференций, систем электронной коммерции.
• Реализован полноценный VPN-сервер с возможностью создания туннеля "сервер-сервер", маршрутизацией между подсетями и поддержкой текущих VPN-соединений.

Настройка VPN-сервера сводится к заданию нескольких параметров:

• Интерфейс, на котором VPN-сервер будет принимать входящие соединения;
• IP-адрес VPN-сервера;
• диапазон IP-адресов виртуальной сети, который можно раздавать VPN-клиентам;
• Изначально IP-адрес VPN-сервера воспринимается программой UserGate как обычный локальный (LAN) интерфейс, соответственно, этот интерфейс можно использовать либо для правил маршрутизации между локальной сетью и сетью VPN, либо для создания правил NAT между VPN-сетью и сетью Интернет.

Биллинговая система

В основе биллинговой системы лежит понятие «тариф доступа в Интернет»:

• Тарифы создаются в соответствующем разделе консоли администрирования. При создании нового тарифа администратор может задавать значения стоимости входящего и исходящего трафика в мегабайтах, или, если это временной тариф — стоимость часа работы в Интернет. После создания тарифа его необходимо применить к пользователю или группе пользователей. Новые тарифы автоматически отображаются в свойствах пользователя, где можно активировать или деактивировать любой из тарифов.

Существует возможность переключения тарифов в зависимости от определенных условий:

• Для этого необходимо создать соответствующее правило управления трафиком в консоли администрирования UserGate. Например, переключение тарифов можно осуществлять в зависимости от времени суток, дня недели или адреса сайта, либо при достижении пользователем установленных лимитов.
• Наконец, администратор может пополнять счет пользователя в биллинговой системе, и создавать правила управления трафиком, которые используют баланс счета в качестве одного из параметров. Например, можно создать правило, при котором соединение с Интернет для данного пользователя блокируется, если сумма на счету станет ниже порогового значения.

Контроль и статистика

1. С помощью UserGate можно контролировать доступ в Интернет отдельных сотрудников компании и их групп. Встроенный модуль Entensys URL Filtering 2.0 позволяет блокировать доступ к нежелательным ресурсам, как в отдельности, так и по категориям сайтов. UserGate также позволяет контролировать приложения, установленные на клиентских машинах, разрешая или запрещая тому или иному приложению выход в Интернет. Подробные статистические отчеты доступны как напрямую из программы, так и удаленно посредством веб-браузера.
2. UserGate позволяет осуществлять полный контроль над использованием Интернет-трафика в компании и предоставляет администратору подробную статистику. На основе данных статистики руководство может определять политику доступа в Интернет в данной компании, которая затем реализуется с помощью гибкой системы правил управления трафиком в UserGate.

Контроль доступа в Интернет включает следующие функции:

• Пользователи и группы;
• URL-фильтрация трафика;
• Контроль приложений;
• Скорость и квотирование;
• Контроль трафика и гибкая система отчетов;
• Модуль веб-статистики;
• Биллинговая система.

Пользователи и группы:

• В основе работы UserGate лежит понятие «пользователь», которое определяется как компьютер или группа компьютеров, объединенных общим признаком. В качестве такого признака может выступать IP- или MAC-адрес, пара “логин/пароль”, учетная запись в Active Directory или учетная запись Windows. Ко всем пользователям применяются правила распределения трафика, а также ведется статистика и учет посещения Интернет-ресурсов.
• Чтобы упростить управление трафиком, администратор может объединить пользователей в группы с помощью функции «Добавить в группу». Другой способ группировки пользователей состоит в использовании одного из нескольких методов авторизации - например, пары «логин/пароль». Администратор может выбрать любой способ, либо оба способа вместе для эффективного управления множеством пользователей, компьютеров или подсетей.

Контроль доступа в Интернет:

• Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сер­вере UserGate. Используя правила управления трафиком, администратор может настроить различный уровень доступа к Интернет-ресурсам для разных пользователей, или указать общие правила для групп пользователей.

UserGate поддерживает следующие методы авторизации:

• По IP-адресу или по диапазону IP-адресов;
• По MAC-адресу;
• По комбинации IP- и MAC-адреса;
• Авторизация средствами HTTP (HTTP-авторизация);
• Авторизация по логину и паролю;

Авторизация через Active Directory:

• Поддержка Active Directory позволяет централизованно хранить всю информацию о пользователях, автоматически и своевременно обновляя все измененные данные в UserGate. Кроме того, UserGate поддерживает импорт учетных записей из Active Directory, избавляя администратора от необходимости добавлять их вручную.

URL-фильтрация трафика по категориям сайтов:

• Нецелевое использование Интернета на рабочем месте является серьезной проблемой для работодателя и оказывает отрицательное влияние на производительность труда сотрудников, безопасность локальной сети, и сохранность конфиденциальных данных. Чтобы избежать потенциальных угроз такого использования, неотъемлемой частью системы безопасности корпоративной сети должны стать механизмы фильтрации посещаемых веб-ресурсов.
• Работа модуля фильтрации сайтов основана на технологии Entensys URL Filtering 2.0, которая также используется в GateWall DNS Filter. В работе модуль использует базу, в которой содержится 500 млн. сайтов в 70+ категорий. Администратор может запрещать доступ к отдельным сайтам, к категориям сайтов, либо к тем сайтам, адреса которых содержат заданные фрагменты слов. База специально адаптирована для использования русскоязычными пользователями и содержит до 10 миллионов русскоязычных сайтов.

Контроль приложений:

• Количество приложений, которые так или иначе используют Интернет-соединение для своей работы неуклонно увеличивается с каждым годом. Согласно недавним исследованиям, приложения для мгновенного обмена сообщениями (интернет-пейджеры) используются в более чем 80% организаций, и эта цифра постоянно растет. Возникает необходимость контроля за деятельностью таких приложений с целью оградить локальную сеть от внешних угроз.
• Контроль (фильтрация) приложений – это технология, позволяющая ограничивать или блокировать трафик конкретных Интернет-приложений. Данная технология имеет двойное назначение: во-первых, она дает возможность администратору блокировать работу определенных Интернет-приложений (например, ICQ или MSN), а во-вторых — защищает локальную сеть от вредоносного ПО, которое может проникать в локальную сеть через такие приложения.

Ограничение трафика и скорости доступа:

• UserGate предоставляет администратору широкие возможности по контролю скорости передачи данных между локальной сетью и Интернетом. Установить ограничения по скорости можно в модулях «Управление трафиком» и «Управление шириной канала». Первый модуль предназначен для настройки ограничений скорости по отдельным пользователям и группам, тогда как второй позволяет устанавливать ограничения скорости для конкретного сетевого адаптера, протокола (TCP или UDP), IP-адреса источника или получателя и порта.
• Помимо скорости, UserGate позволяет также ограничивать объем трафика и время пребывания в сети для пользователей и групп. При этом, в распоряжении администратора находится широкий набор функций, позволяющий ему создавать правила, которые будут удовлетворять любым заданным требованиям. Например, можно создать правило, которое становится активным при выполнении определенных условий, таких как наступление указанного времени суток или использование определенного протокола.
• UserGate позволяет установить ограничение по скорости передачи данных, объему трафика и времени нахождения в Сети для пользователя или группы пользователей. Соответствующие правила создаются администратором в модулях «Правила управление трафиком» и «Управление шириной канала» программы.
• Установить ограничение скорости для конкретного пользователя можно либо напрямую в профиле этого пользователя, указав требуемое значение скорости, либо применив к пользователю правило, предварительно созданное в модуле «Правила управление трафиком». Кроме того, можно задать дополнительные параметры, которые будут определять, при каких условиях правило будет активным. Например, можно указать время суток или день недели, когда созданное правило должно работать.
• Второй способ ограничения скорости реализован в модуле «Управление шириной канала» (Traffic Manager). Правила, созданные в этом модуле, используются для ограничения скорости для конкретного сетевого адаптера, протокола (TCP или UDP), IP-адреса источника или получателя, и порта. При наличии нескольких правил, обработка их будет осуществляться в зависимости от заданного приоритета.
• UserGate позволяет устанавливать ограничения по объему входящего или исходящего трафика за день, неделю и/или месяц. В случае перерасхода, доступ в Интернет либо автоматически закрывается, либо тарифный план пользователя изменяется при условии, что это было указано в настройках правила. Возможность указания протокола в качестве одного из условий делает управление трафиком еще более гибким. Например, пользователь может продолжать пользоваться почтой (протоколы POP3 и SMTP) даже тогда, когда лимит HTTP-трафика данного пользователя уже исчерпан.
• Функции ограничения скорости и ограничения по объему трафика могут дополнять друг друга. Например, при исчерпании лимита на загрузку данных или уменьшении средств на балансе польователя до определенной величины, скорость скачивания будет автоматически снижаться

Ограничение по времени:

• В дополнение к ограничениям скорости и объема трафика администратор может устанавливать квоту на количество времени в день, неделю или месяц, которое пользователь может провести в сети Интернет. Кроме того, администратор может указать, в какое время суток и в какие дни недели пользователю будет разрешен доступ в Сеть.
• Статистика посещения Internet и система отчетов
• UserGate предоставляет администратору полную статистику об использовании Интернет в компании по отдельным пользователям и группам. Подробная статистика является основой для принятия решений руководством о необходимости ограничения доступа к тем или иным ресурсам, или блокирования работы некоторых Интернет-приложений.

Статистика посещения Internet и система отчетов:

• Для просмотра статистики в UserGate предусмотрено несколько различных способов. Один из них — это просмотр краткой информации о суммарном трафике пользователей и групп в разделе Мониторинг Консоли Администрирования UserGate. В этом же разделе можно активировать и деактивировать определенных пользователей или группы пользователей, а также пополнить их баланс в случае, если используется функция биллинга.

Модуль статистики UserGate:

• В разделе Мониторинг в Консоли Администрирования UserGate представлена лишь наиболее краткая информация о трафике. Более детальная статистика доступна в отдельном модуле Cтатистика UserGate, в котором предусмотрено создание различных типов отчетов.
• Модуль статистики UserGate содержит фильтр, позволяющий выводить любые отчеты по заданным условиям. В числе условий могут быть временной интервал, пользователь или группа пользователей, категория сайтов, стоимость трафика, размер файлов, протокол и многие другие параметры в различных комбинациях. После того, как фильтр был применен, полученные результаты можно экспортировать в формате HTML, Excel или OpenOffice Calc.
• UserGate также может регулярно рассылать каждому пользователю его персональную статистику.

Веб-статистика UserGate:

• Доступ к статистике UserGate можно получить через Интернет из любой точки мира, используя обычный браузер. Информация отображается не только в табличном виде, но и в виде диаграмм и графиков, что существенно облегчает восприятие отчетов. Объем доступной статистической информации зависит от уровня доступа пользователя.
• Модуль веб-статистики UserGate позволяет просматривать статистику из любой точки мира через обычный браузер. При этом объем доступной для просмотра статистики определяется уровнем доступа пользователя — пользователь, директор или администратор. Пользователь может просматривать только собственную статистику. Директор может просматривать статистику любого пользователя UserGate. И, наконец, администратор может просматривать статистику всех пользователей UserGate, а также создавать шаблоны статистических отчетов. Уровень доступа каждого пользователя указывается в настройках консоли администрирования UserGate.
• Для подключения к модулю веб-статистики пользователю необходимо указать в строке браузера IP-адрес компьютера, на котором запущен сервер UserGate, и номер порта. Появится страница приветствия с основной информацией об учетной записи пользователя. При нажатии на ссылку Веб-статистика отображается вся статистика пользователя, согласно его правам доступа.
• Статистическая информация отображается не только в табличном виде, но и в графической форме — в виде графиков и диаграмм, что существенно облегчает восприятие отчетов и делает их более наглядными.

Биллинговая система:

• Встроенная в UserGate биллинговая система автоматически производит расчёт стоимости работы пользователя в сети Интернет исходя из заданной цены, времени и/или объёма трафика. Можно устанавливать тарифы как для отдельного пользователя, так и для группы пользователей. Существует возможность переключения тарифов в зависимости от времени суток, дня недели или адреса сайта.
• Учтены пожелания и удовлетворены потребности большинства пользователей: абонентская плата, предоплаченный трафик, ограничение скорости в зависимости от тарифа, дополнительные платные сервисы и многое другое. Можно назначить аккаунту роль "Оператор биллинга", позволяющую управлять балансами пользователей и смотреть статистику с помощью консоли администрирования.
• В основе биллинговой системы лежит понятие «тариф доступа в Интернет». Тарифы создаются в соответствующем разделе консоли администрирования. При создании нового тарифа администратор может задавать значения стоимости входящего и исходящего трафика в мегабайтах, или, если это временной тариф — стоимость часа работы в Интернет. После создания тарифа его необходимо применить к пользователю или группе пользователей. Новые тарифы автоматически отображаются в свойствах пользователя, где можно активировать или деактивировать любой из тарифов.
• Существует возможность переключения тарифов в зависимости от определенных условий. Для этого необходимо создать соответствующее правило управления трафиком в консоли администрирования UserGate. Например, переключение тарифов можно осуществлять в зависимости от времени суток, дня недели или адреса сайта, либо при достижении пользователем установленных лимитов.
• Наконец, администратор может пополнять счет пользователя в биллинговой системе, и создавать правила управления трафиком, которые используют баланс счета в качестве одного из параметров. Например, можно создать правило, при котором соединение с Интернет для данного пользователя блокируется, если сумма на счету станет ниже порогового значения.

Организация доступа в Интернет:

• С помощью UserGate можете организовать доступ в Интернет для сотрудников вашей компании через NAT или прокси-сервер, одновременно работать через несколько Интернет-провайдеров, а также оптимизировать потребление Интернет-трафика с тем, чтобы избежать нагрузки на сеть и снизить расходы на трафик. Поддержка протоколов IP-телефонии позволяет воспользоваться преимуществами VoIP-решений, чтобы на их основе создать современную коммуникационную инфраструктуру компании.

Доступ в Интернет

Обеспечение доступа в Интернет и контроль трафика являются основной задачей приобретения и установки прокси-сервера в компании. С помощью UserGate можно организовать доступ пользователей локальной сети в сеть Интернет как через NAT, так и через HTTP-, FTP- и другие типы прокси-серверов. Гибкость и многообразие функций UserGate позволяют администратору сети настроить сервер таким образом, чтобы он отвечал самым серьезным требованиям безопасности и производительности.

Обеспечение доступа в Интернет:

• Прокси-серверы для различных протоколов;
• Работа с несколькими провайдерами;
• Управление шириной канала;
• Кеширование;
• Поддержка IP-телефонии.

 

UserGate позволяет организовать доступ в Интернет компьютеров в вашей локальной сети, используя любой тип Интернет-подключения, такой как DSL, ISDN, кабельное подключение, коммутируемый доступ или WiFi. UserGate служит промежуточным звеном между Интернет и локальной сетью, и имеет как внешний IP-адрес для работы в Интернет, так и один или несколько локальных IP-адресов для работы с компьютерами в локальной сети.

Поскольку при использовании UserGate весь Интернет-трафик проходит только через сервер UserGate, такие задачи как управление трафиком, просмотр статистики закачек и защита локальной сети от внешних угроз осуществляются централизованно.

UserGate обеспечивает доступ в Интернет через один внешний IP-адрес для компьютеров в локальной сети. После установки, сервер UserGate автоматически определяет доступные сетевые интерфейсы, и перенаправляет трафик из локальной сети в Интернет и обратно, используя NAT (Network Address Translation) или прокси-сервер.

Одним из преимуществ UserGate является то, что отпадает необходимость в использовании аппаратного маршрутизатора. При этом, по своим возможностям и имеющимся функциям, UserGate, будучи программным маршрутизатором, не уступает относительного дорогим моделям аппаратных маршрутизаторов. В своей работе программа использует собственный драйвер NAT, поддерживающий работу с фрагментированными пакетами, VLAN и приоритезацию QoS; а не драйвер NAT в Windows.

Прокси-серверы для различных протоколов

UserGate может служить прокси-сервером (от англ. «посредник, промежуточное звено») между локальной сетью и Интернет. Функция прокси доступна таких протоколов, как HTTP (c поддержкой HTTPs и «FTP через HTTP»), FTP, SOCKS, POP3, SMTP, SIP, и H.323. При этом, поддерживается функция «прозрачный прокси» при использовании которой нет необходимости в ручной настройке браузеров пользователей. Кроме того, вы можете указать конкретный сетевой интерфейс, на котором будет работать прокси-сервер.

Использование HTTP-прокси может служить различным целям, таким как ускорение ответов на запросы пользователей (кеширование), и связанная с этим экономия трафика. Целью может быть также необходимость фильтрации Интернет-трафика и запрещение доступа к некоторым ресурсам.

UserGate включает службы прокси для таких протоколов, как HTTP, FTP, SOCKS, POP3 и SMTP. Помимо указанных протоколов, в последние версии программы были добавлены прокси-серверы для протоколов SIP и H.323 и обеспечена поддержка IP-телефонии.

HTTP- и FTP- прокси:

• После установки UserGate, HTTP-прокси будет активным по умолчанию. Этот тип прокси-сервера является одним из наиболее часто используемых и работает с приложениями, которые используют протокол HTTP (например, веб-браузеры). HTTP-прокси в UserGate поддерживает «HTTP через FTP» и HTTPS, а также может работать в прозрачном и непрозрачном режимах.

Почтовые прокси:

• POP3-прокси сервер в составе UserGate дает пользователям локальной сети доступ к почтовым ящикам в Интернет по протоколу POP3. SMTP-прокси сервер перенаправляет почтовые запросы пользователей к соответствующему SMTP-серверу в Интернет. Как и HTTP-прокси, почтовые прокси серверы могут работать в прозрачном или непрозрачном режиме. Если UserGate приобретается со встроенным антивирусным модулем, то в настройках модуля можно включить антивирусную проверку почтового трафика.

Прозрачный режим:

• Прокси-серверы в UserGate могут работать в прозрачном режиме. Это означает, что отпадает необходимость настройки Интернет-приложения на стороне клиента на работу с прокси-сервером. Однако, в том случае, когда прокси-сервер работает в непрозрачном режиме, такая настройка потребуется.

Кеширование:

• В UserGate кеширование доступно для HTTP и FTP трафика и является отключаемым. Настройки кеширования включают размер кеша и время жизни документа в кеше. Размер кеша может варьироваться от 10Мб до 50Гб, что является достаточным для обслуживания до нескольких тысяч и более запросов в день.
• Трафик, который идет к пользователю из кеша, можно включить или исключить из подсчета статистики. Соответствующая опция доступна в настройках кеширования в консоли администрирования UserGate.

Поддержка IP-телефонии:

• Поддержка протоколов SIP и H.323 позволяет использовать прокси-сервер UserGate в качестве VoIP-шлюза как для программных, так и для аппаратных IP-телефонов. При использовании SIP прокси-сервера в мониторинге UserGate будет отображена вся информация о текущем состоянии соединения (регистрация, звонок, ожидание и др.), а также имя пользователя, телефонный номер звонящего, время разговора и количество переданных и полученных байт. Эта же информация будет записана и в базу статистики UserGate.
• UserGate поддерживает протоколы SIP и H.323, и работает в качестве прокси-сервера, позволяя абонентам IP-телефонии подключаться к VoIP-провайдерам через UserGate. Поддержка протокола H.323 позволяет UserGate работать в том числе и в качестве H.323 «привратника» (gatekeeper).

Для общения посредством IP-телефонии необходимо:

• Наличие микрофона и наушников или динамиков.
• Заведенный аккаунт на любом SIP-провайдере.
• SIPNET – это сеть интернет-телефонии (IP-телефонии) нового поколения, в которой реализованы последние достижения в области инфокоммуникаций, обеспечивающие эффективный обмен голосовой и мультимедийной информацией.Администрирование сети
• UserGate включает в себя DHCP-сервер для динамического назначения IP-адресов в локальной сети и функцию публикации ресурсов, которая дает возможность получить доступ извне к ресурсам компании внутри локальной сети. Функция маршрутизации позволяет передавать данные между двумя локальными подсетями. И наконец, сервер UserGate можно администрировать удаленно, подключаясь к нему из любой точки мира.

Сетевое администрирование:

• С помощью UserGate можно выполнять некоторые рутинные операции, что позволяет упростить сетевое администрирование. Например, встроенный DHCP-сервер автоматизирует процесс выдачи IP-адресов компьютерам и другим устройствам в локальной сети. Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Публикация ресурсов позволяет предоставить доступ к внутренним ресурсам компании, например к Web, FTP, VPN или к почтовому серверу. И, наконец, удаленное администрирование дает возможность удаленно подключаться по локальной сети или через Интернет с любого компьютера, на котором установлена Консоль Администрирования UserGate.

DHCP-сервер:

• Служба DHCP позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. DHCP-сервер можно запустить в настройках Консоли Администрирования UserGate, при этом указав, на каком из текущих сетевых интерфейсов он будет работать. Всякий раз, когда устройство подключается к сети или покидает ее, DHCP-сервер, соответственно, назначает новый или высвобождает ранее назначенный IP-адрес.
• При настройке DHCP необходимо, как минимум, указать диапазон (пул) IP-адресов, маску сети и время аренды. DHCP-сервер будет выдавать новые адреса из пула IP-адресов, но администратор имеет возможность создать исключения или зарезервировать определенные IP-адреса. Кроме того, в настройках можно указать шлюз по умолчанию, DNS- и WINS-сервер и домен, а также включить автоматическую настройку прокси.
• Если DHCP-сервер активен и производит выдачу IP-адресов, то соответствующие им MAC-адреса и время аренды отображаются в списке в нижней части Консоли Администрирования UserGate. При этом, администратор имеет возможность вручную высвободить любой из выданных DHCP-сервером IP-адресов.

Маршрутизация:

• Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями.

Каскадные прокси:

• Сервер UserGate может работать с Интернет-подключением как напрямую, так и через вышестоящие (каскадные) прокси-серверы. Поддерживаются следующие типы каскадных прокси: HTTP, HTTPS, Socks4, Socks5. В настройках ка­скадного прокси указываются стандартные параметры: адрес и порт. Если вышестоящий прокси требует авторизации, в настройках можно указать соответствующий логин и пароль. Созданные каскадные прокси становятся доступными в консоли администрирования UserGate.

Работа с несколькими провайдерами:

• В UserGate поддерживается одновременная работа с несколькими Интернет-провайдерами. Данная функция позволяет предоставить доступ в Интернет разным пользователям через разные провайдеры, а также автоматически переключать пользователей на резервное соединение в случае, если соединение с основным Интернет-провайдером не работает.
• Количество провайдеров, с которыми может соединиться UserGate зависит от количества доступных WAN-интерфейсов. С помощью правил NAT администратор может подключать разные группы пользователей к разным провайдерам. Данная функция может понадобиться при необходимости разделения пользователей на группы, и обслуживания этих групп по разным тарифам доступа в Интернет.

Резервное соединение:

• В случае, если основное Интернет-подключение не работает, функция «Резервное соединение» позволяет автоматически переключать пользователей на другого провайдера. Администратор может указать, какое именно из имеющихся Интернет-подключений считать резервным. Для работы данной функции необходимо наличие как минимум двух WAN-интерфейсов, или одного WAN- и одного Dial-up интерфейса.
• В настройках для функции резервного соединения можно указать один или несколько контрольных хостов (сайтов). В качестве контрольных рекомендуется использовать известные и часто посещаемые ресурсы, например поисковые машины, т.к. в этом случае вероятность неработоспособности самого сервера будет крайне низкой. UserGate регулярно проверяет контрольный хост на доступность, и если связь с ним отсутствует, производит переключение пользователей на резервный канал. После переключения, сервер UserGate будет периодически проверять доступность основного канала и если его работоспособность восстановится, произведет обратное переключение.

Управление шириной канала:

• С ростом числа Интернет-приложений, и, следовательно, объема трафика возникает необходимость оптимизировать потребление трафика. Управление шириной канала в UserGate является функцией, призванной решить эту задачу.
• Модуль «Управление шириной канала» (Traffic Manager) позволяет администратору с помощью правил определить приоритет обработки IP-пакетов, или ограничить скорость передачи данных согласно указанным условиям. Существует два типа правил: правила на адаптер и пользовательские правила. Правила на адаптер (или правила по умолчанию) предназначены для обработки сетевых пакетов, не подходящих под пользовательские правила или для обработки всех пакетов, если пользовательские правила отсутствуют. Пользовательские правила предназначены для обработки конкретного типа трафика и позволяют задать приоритет обработки пакетов, направление трафика, максимально допустимое значение скорости, протокол (TCP/UDP/ICMP) и другие параметры.

Технология Entensys URL Filtering 2.0

1. Entensys URL Filtering основана на использовании одной из самых больших баз сайтов (500 млн.), покрывающей все виды ресурсов, включая сайты с сомнительным содержанием, практически на всех языках. База содержит также интернет-ресурсы с вредоносными программами, сайты экстремистского, националистического содержания и т.д.
2. В Entensys URL Filtering 2.0 отдельно выделены группы интернет-ресурсов, относящихся к информационной безопасности, родительскому контролю и сайтам, наиболее часто посещаемым сотрудниками во время нецелевого использования рабочего времени.
3. Технология Entensys URL Filtering 2.0 сравнима по принципу работы с «облачными» антивирусом и антиспамом, внедренных в продукты Entensys. Интернет-ресурсы, угрожающие безопасности компьютера, обнаруживаются еще до того, как тысячи рабочих станций пострадают от их воздействия.
4. Также стоит отметить проактивный подход к определению категории сайта. Большинство средств фильтрации при появлении нового интернет-ресурса относят его к определенной группе и больше не возвращаются к нему. Подобные недостатки систем используются злоумышленниками: контент сайта может быть кардинально изменен, а фильтр будет относить его к старой категории. Entensys URL Filtering 2.0 использует базу ресурсов, поддерживаемую в самом актуальном состоянии посредством постоянного мониторинга сайтов.
5. Особенностью обновленной технологии также является более высокий уровень быстродействия.

Маршрутизация:

• Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между локальными сетями. Любая пара интерфейсов локальной сети может быть объединена правилом маршрутизации, которое можно создать в модуле «Межсетевой экран». Тип правила определяется автоматически при выборе интерфейсов источника и назначения.
• Кроме того, можно выбрать протоколы и службы, разрешенные данным правилом (такие, как HTTP, FTP). Когда правило активно, авторизация пользователя для маршрутизации не требуется, а входящие и исходящие пакеты не будут включены в общую статистику.

Публикация ресурсов:

• Часто возникает необходимость предоставления доступа к внутренним ресурсам компании извне. Как правило, к таким ресурсам относятся Web-, FTP-, VPN- или почтовый сервер. Для того, чтобы предоставить такой доступ с помощью UserGate необходимо создать правило перенаправления запросов на компьютер в локальной сети, на котором запущена соответствующая служба.
• С помощью межсетевого экрана в UserGate можно предоставить доступ к внутренним ресурсам компании, например, к Web, FTP, VPN или к почтовому серверу. Это делается путем создания правила в модуле «Межсетевой экран». При создании правила, и указании WAN-адаптера в качестве назначения, UserGate автоматически присваивает этому правилу тип “Трансляция”. В настройках правила указывается конкретный протокол или служба (HTTP, FTP, POP3 и т.д.), IP-адрес или диапазон источника и, наконец, IP-адрес и порт компьютера в локальной сети, на который будут перенаправляться запросы, удовлетворяющие указанным условиям.
• Публикация ресурсов используется не только для доступа к Web, FTP, VPN или почтовому серверу, но и для работы некоторых Интернет-приложений, таких, как банк-клиент, пиринговые сети, IP-телефония и т.д. При помощи UserGate можно настроить внешний доступ к любому приложению в локальной сети.

Удаленное администрирование:

• К серверу UserGate можно подключаться по локальной сети или удаленно через Интернет из любой точки мира. Для этого достаточно установить на компьютер Консоль Администрирования UserGate, и указать в настройках соединения IP-адрес и порт сервера UserGate.
• Возможность удаленного администрирования сервера UserGate особенно полезна в случае, когда необходимо администрировать несколько серверов UserGate в разных местах (например, нескольких Интернет-кафе). При этом, администрирование осуществляется из одной и той же консоли — все доступные сервера отображаются в списке «Соединения», и можно удаленно подключиться к любому из них.

UserGate Proxy & Firewall 6.0

Новое в версии:

• Полноценный VPN-сервер: поддержка и инициация соединений;
• Высокоэффективная СУБД Firebird;
• Cовременная биллинговая система;
• Работа с VLAN и фрагментированными пакетами;
• Cистема предотвращения вторжений (IDPS);
• Поддержка соединений keep-alive;
• Тотальный контроль трафика и платежей пользователей;
• Высокое качество интернет-телефонии;
• Поддержка диапазона портов и множества сервисов при публикации ресурсов;
• Система уведомлений о критических событиях;
• Упрощенные типы авторизации пользователей;
• Обновленная технология контент-фильтрации Entensys URL Filtering 2.0.

Системные требования:

• Pentium II 400МГц, 64 МБ RAM, 100 МБ свободного пространства на жестком диске;
• Windows 2000/2003/XP/2008 (с NAT) или Windows 95/NT/98/2000/2003/XP/2008 (без NAT);
• Установленный TCP/IP протокол.