Проектирование вычислительной системы предприятия

Мы распределяем Интернет-ресурсы  для сотрудников компании, создавая списки запрещенных или разрешенных  доменных имён, IP-адресов и т.д. При этом можем ставить ограничения по времени, или количеству трафика. В случае перерасхода, доступ в сеть Интернет автоматически закрывается.

А так же мы всегда можем  предоставить руководству отчет  об использовании сети каждым из сотрудников.

При использовании прокси - сервера UserGate есть гибкая система правил для управления доступом в Интернет:

• ограничения по времени работы, по количеству отправленного/принятого трафика (учет трафика) за день и/или неделю и/или месяц, по количеству используемого времени за день и/или неделю и/или месяц;
• фильтры, контролирующие доступ пользователей к нежелательным ресурсам (сайты сексуальной, игровой направленности);
• развитая система ограничений трафика и скорости доступа для каждого пользователя. В случае перерасхода трафика, доступ в Интернет автоматически закрывается;
• списки запрещенных или разрешенных доменных имён, IP-адресов, частей строки URL, доступ на которые запрещается/разрешается администратором;
• возможность указания диапазонов, предназначенных для пользователей IP-адресов;
• почасовое расписание работы пользователя в Интернет;
• фильтры, позволяющие настроить высокоэффективную «баннерорезку».
• Подсчет и просмотр статистики работы пользователей по различным параметрам (дням, сайтам) за произвольный интервал времени. Просмотр Интернет - статистики работы пользователей в текущем месяце через HTTP, возможен только для пользователей, находящихся в локальной сети.
• Встроенная биллинговая система автоматически производит расчёт стоимости работы пользователя в сети Интернет исходя из цены, времени и/или объёма трафика. Вы можете устанавливать тарифы для каждого пользователя отдельно либо для группы пользователей. Существует возможность переключения тарифов в зависимости от времени суток, дня недели, адреса сайта.

Сетевые правила в прокси - сервере UserGate реализована поддержка технологии NAT (Network Address Translation, Трансляция сетевого адреса) и Port mapping (назначение портов).Технология NAT используется для создания прозрачных прокси, и поддерживает протоколы, отличные от HTTP или FTP.

Прозрачный прокси позволяет пользователям  работать, не настраиваясь на прокси - сервер, а администраторы освобождаются  от необходимости вручную настраивать браузеры пользователей.

Дополнительный модуль Usergate Cache Explorer предназначен для просмотра содержимого Cache памяти.Работать с этой функцией просто: достаточно лишь при запуске указать местоположение файла *.lst из папки cache.После прочтения содержимого этого файла Usergate Cache Explorer покажет список кэшированных ресурсов. На панели управления Cache Explorer расположено несколько кнопок, позволяющих отфильтровать содержимое Cache по размеру, расширению и т.п.Отфильтрованные данные можно сохранить в какую-нибудь папку на жестком диске для дальнейшего внимательного изучения.

Функция назначение портов (Port mapping) позволяет привязать любой выбранный порт одного из локальных Ethernet - интерфейсов к нужному порту удалённого хоста. Назначение портов используется для организации работы приложений «банк-клиент», игр и других программ, для работы которых необходима переадресация пакетов на определенный IP-адрес. Если необходим доступ из сети Интернет к определенному сетевому ресурсу, это тоже можно обеспечить с помощью функции назначения портов.

Управление трафиком: контроль и  учет трафика вашей сети 
Функция “Управление трафиком” предназначена для создания правил, контролирующих доступ пользователей локальной сети в сеть Интернет, для создания и изменения тарифов, используемых UserGate.

Драйвер NAT, встроенный в прокси - сервер UserGate, обеспечивает максимально точный учет Интернет - трафика. В прокси - сервере UserGate существует возможность разделения различных видов трафиков, например, местного и зарубежного Интернет - трафиков. А также осуществляется мониторинг трафика, IP-адресов активных пользователей, их логинов, посещенных URL - адресов в режиме реального времени.

Удаленное администрирование позволяет системному администратору быть мобильным, потому что теперь стало возможным администрировать прокси - сервер UserGate удаленно.

Автоматическая и ручная рассылка пользователям информации об их трафике по e-mail, в том числе через серверы с SMTP-авторизацией.

Подключение к каскадному прокси с возможностью авторизации.

Гибкий генератор отчетов с возможностью экспорта в MS Excel.

Различные способы авторизации  пользователей: по всем протоколам; по IP-адресу, по IP+MAC, IP+MAC (абонемент); по имени и паролю пользователя; с помощью авторизации Windows и Active Directory.

Импорт пользователей из Active Directory - теперь Вам не придется вручную заводить несколько сотен пользователей, за Вас всё сделает программа.

Планировщик заданий позволяет в указанное время выполнить одно из предопределенных действий: разослать статистику, запустить программу, установить или разорвать dial-up соединение, обновить антивирусные базы.

Информационная безопасность ЛВС  прокси - сервера UserGate

Следующие возможности UserGate обеспечивают безопасность выхода в internet:

• Поддержка VPN Virtual Private Network - это объединение отдельных машин или локальных сетей в сети, безопасность которых обеспечивается механизмом шифрации данных и аутентификации пользователей.
• Встроенный межсетевой экран (firewall) предотвращает несанкционированный доступ к данным сервера и локальной сети, запрещая соединения по определенным портам и протоколам. Функциональность брандмауэра контролирует доступ к необходимым портам, например, для публикации веб - сервера компании в сети Интернет.
• Антивирус Касперского и Panda, интегрированные в прокси - сервер UserGate, исполняют роль фильтров: перехватывая данные, передаваемые по протоколам HTTP и FTP. Поддержка почтовых протоколов POP3 и SMTP реализована на верхнем уровне. Это позволяет использовать встроенный антивирус для проверки почтового трафика. Если письмо содержит вложенный файл с вирусом, прокси - сервер UserGate удалит вложение и сообщит об этом пользователю, изменив текст письма. Все зараженные или подозрительные файлы из писем помещаются в специальную папку в директории UserGate.
• Администратор UserGate может сам выбирать, использовать один антивирусный модуль или оба одновременно. В последнем случае, можно указать очередность проверки каждого типа трафика. Например, HTTP-трафик сначала будет проверяться антивирусом от «Лаборатории Касперского», а затем модулем от Panda Software
• Поддержка почтовых протоколов POP3 – и SMTP – прокси в UserGate могут работать как с драйвером NAT, так и без него. При работе без драйвера учетная запись в почтовом клиенте на стороне пользователя настраивается особым образом. При работе с использованием драйвера, настройка почты на стороне пользователя выполняется также как при прямом доступе в Интернет. В дальнейшем поддержка POP3 и SMTP протоколов на верхнем уровне будет использована для создания модуля антиспам.

Экономия средств на использование  сети Интернет

При помощи встроенных фильтров UserGate блокирует загрузку рекламы из сети Интернет и запрещает доступ к нежелательным ресурсам.

Внимание: Администратор  может запретить скачивать файлы определенного расширения, например jpeg, mp3.

Также, программа, может  запоминать (кэшировать) все посещённые страницы и рисунки, освобождая канал  для загрузки полезной информации. Всё это в значительной степени сокращает не только трафик, но и время, проведенное на линии.

Мастер установки UserGate

Мы устанавливаем UserGate впервые и для инсталляции программы запускаем программу установки UserGate5.

Внимательно читаем лицензионное соглашение, нажмаем "Согласен" для  продолжения установки.

Выбираем компоненты установки  необходимых компонентов и программа производит автоматическую установку прокси - сервера UserGate окне не тарифицируемых интерфейсов (интерфейсов для локальной сети).Выбираем интерфейс нужный для подсчета трафика самого сервера.

Управление программой UserGate

Запускаем программу UserGate, из вниз спадающего меню выбираем пункт: пользователи и группы, затем пользователи и добавить.

В появившемся окне заполняем пункты имя пользователя, IP адрес и другие, а также выбираем правила рис.7.6, заполнив все поля нажимаем кнопку «ok»

Итак мы создали пользователя «Иванов», рис.7.8 указали ip адрес его рабочей станции задали ему ограничения по скорости скачивания информации.

Настройки пользователя

Теперь настраиваем клиентскую часть. Открываем Internet Explorer, выбираем сервис, затем свойства обозревателя, подключения, настройка локальной сети. И вносим адрес прокси - сервера и порт.

Проверяем доступ пользователя к интернету: в командной строке Internet Explorer прописываем  адрес http://yandex.ru.

Страница открывается значит все  настройки введены верно.

Статистика UserGate

Пользовательская статистика UserGate записывается в файл log.mdb, расположенный в директории UserGate.Файл содержит информацию о параметрах соединений всех пользователей - время соединения, длительность, затраченные средства, запрошенные адреса, количество полученной и переданной информации, какие сайты посещал пользователь показан общий учёт трафика сети по хостам, дате, месяцам, по группам.

Технология NAT UserGate

Технология NAT (Network Address Translation, Трансляция сетевого адреса) предназначена для коллективного выхода в сеть Интернет. При этом производительность соединения через NAT существенно выше, чем через proxy.NAT является отключаемой функцией. В прокси-сервере UserGate используется собственный драйвер NAT.

NAT (Network Address Translation преобразование сетевых адресов) представляет собой стандарт IETF (Internet Engineering Task Force рабочая группа разработки технологий интернета), с помощью которого несколько компьютеров частной сети (с частными адресами из таких диапазонов, как 10.0.x.x, 192.168.x.x, 172.x.x.x) могут совместно пользоваться одним адресом IPv4, обеспечивающим выход в глобальную сеть. Основная причина растущей популярности NAT связана со все более обостряющимся дефицитом адресов протокола IPv4.Средство общего доступа к подключению интернета в операционных системах Windows XP и Windows Me, а также многие шлюзы интернета активно используют NAT, особенно для подключения к широкополосным сетям, например, через DSL или кабельные модемы.

NAT дает немедленное, но временное  решение проблемы дефицита адресов  IPv4, которая рано или поздно  отпадет сама собой с появлением  протокола IPv6.Сейчас эта проблема особенно актуальна в Азии и некоторых других регионах; вскоре она заявит о себе и в Северной Америке. Поэтому понятен интерес к использованию IPv6 в качестве более долговременного решения проблемы дефицита адресов.

NAT не только позволяет сократить  число необходимых адресов IPv4, но и образует дополнительную защиту частной сети, поскольку с точки зрения любого узла, находящегося вне сети, связь с ней осуществляется лишь через один, совместно используемый IP-адрес.

Общие принципы работы UserGate NAT: клиентам сети, находящимся с внутренней стороны устройства NAT, назначаются частные IP-адреса; обычно это делается через службу DHCP (Dynamic Host Configuration Protocol протокол динамической настройки узлов) или путем статической настройки, выполняемой администратором. В ходе сеанса связи с узлом, находящимся снаружи этой частной сети, обычно происходит следующее.

На стороне клиента: приложение, собирающееся установить связь с  сервером, открывает сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Эти параметры идентифицируют обе конечные точки, между которыми будет происходить сеанс связи. Когда приложение передает данные через сокет, частный IP-адрес клиента (IP-адрес источника) и клиентский порт (порт источника) вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера (IP-адрес назначения удаленный узел) и порт сервера.Поскольку пункт назначения пакета находится вне частной сети, клиент направляет его в основной шлюз. В данном сценарии роль основного шлюза играет устройство NAT.

Исходящий пакет в устройстве NAT: устройство NAT перехватывает исходящий  пакет и производит сопоставление  порта, используя IP-адрес назначения (адрес сервера), порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Устройство NAT ведет таблицу сопоставлений  портов и сохраняет созданное  сопоставление в этой таблице. Внешние IP-адрес и порт - это общие IP-адрес и порт, которые будут использоваться в текущем сеансе передачи данных вместо внутренних IP-адреса и порта клиента. Затем устройство NAT транслирует пакет, преобразуя в пакете поля источника: частные, внутренние IP-адрес и порт клиента заменяются общими, внешними IP-адресом и портом устройства NAT. Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

На стороне сервера, получив  пакет, сервер полагает, что имеет  дело с каким-то одним компьютером, IP-адрес которого допускает глобальную маршрутизацию. Сервер будет направлять ответные пакеты на внешние IP-адрес и порт устройства NAT, указывая в полях источника свои собственные IP-адрес и порт.

Входящий пакет в устройстве NAT принимает эти пакеты от сервера  и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, удаленным портом и сетевым протоколом, указанным в сопоставлении портов, NAT выполнит обратное преобразование. NAT заменяет внешний IP-адрес и внешний порт в полях назначения пакета на частный IP-адрес и внутренний порт клиента.

Затем NAT отправляет пакет клиенту  по внутренней сети. Однако если NAT не находит подходящего сопоставления портов, входящий пакет отвергается и соединение разрывается.

Благодаря устройству NAT клиент получает возможность передавать данные в  глобальной среде интернета, используя  лишь частный IP-адрес; ни от приложения, ни от клиента не требуется никаких дополнительных усилий. Приложению не приходится обращаться к каким-либо специальным API-интерфейсам, а клиенту не нужно выполнять дополнительную настройку. В данном случае механизм NAT оказывается прозрачным по отношению к клиенту и к серверному приложению все работает просто и четко.

4.6 Обеспечение дополнительной  безопасности ЛВС

Любой компьютер, тем более подключенный к Интернету, имеет угрозу заражения  вирусами. В том случае, если этот компьютер подключен к ЛВС предприятия, то это несет наибольшую угрозу, потому как действия вирусов бывают разными. Самое наихудшее что могут причинить вирусы — это потеря всей информации, находящейся на жестком диске.

Для того чтобы предотвратить заражение  вирусами, необходимо на каждую рабочую станцию, в том числе и сервер, установить антивирусное программное обеспечение.

На данный момент наиболее известными и престижными считаются следующие  программные продукты: Антивирус  Касперского, Doctor Web и ESET NOD32.Я считаю, что на бесплатные программные продукты данного типа не стоит ориентироваться ввиду того что зачастую в них не проводится своевременного обновления антивирусных баз, эффективность при поиске вирусов оставляет желать лучшего, а также нет технической поддержки, которая может понадобиться в исключительных ситуациях.

В операционной системе Windows XP Professional, как известно, присутствует брандмауэр, но на его работу также не стоит полагаться, потому как он не обеспечивает должной защиты компьютера от внешних угроз.В настоящее время некоторые антивирусные программы выросли до таких масштабов, что содержат в себе не только средства антивирусной защиты, но и свой брандмауэр (firewall).Примером тому может быть Антивирус Касперского 6-ой и 7-ой версий. Таким образом, данный программный продукт, при его грамотной настройке, обеспечит нам дополнительную безопасность ЛВС как от вирусов, так и от внешних вторжений.