Internet-yhteys yrityksen verkosta: järjestelmänvalvojan vinkkejä. Luodaan käyttäjä, jolla on normaalit oikeudet. Luodaan verkkoyhteys


Kivshenko Aleksei, 1880

Tämä artikkeli sisältää yleiskatsauksen viisi vaihtoehtoja palvelujen saatavuuden järjestämisen ongelman ratkaisemiseksi yritysverkosto internetistä. Katsaus sisältää analyysin turvallisuuden ja toteutettavuuden vaihtoehdoista, mikä auttaa sekä aloittelevia että kokeneempia asiantuntijoita ymmärtämään asian ydintä, päivittämään ja systematisoimaan tietämystään. Artikkelin materiaaleja voidaan käyttää perustelemaan suunnittelupäätöksesi.

Kun harkitset vaihtoehtoja, otetaan esimerkkinä verkko, jossa haluat julkaista:

  1. Yrityksen sähköpostipalvelin (Web-mail).
  2. Enterprise terminaalipalvelin (RDP).
  3. Extranet-palvelu vastapuolille (Web-API).

Vaihtoehto 1: Tasainen verkko

Tässä vaihtoehdossa kaikki yritysverkon solmut sisältyvät yhteen kaikille yhteiseen verkkoon ("Sisäinen verkko"), jonka sisällä niiden välistä viestintää ei ole rajoitettu. Verkko on yhdistetty Internetiin reunareitittimen/palomuurin (jäljempänä ns IFW).

Isännät käyttävät Internetiä NAT:n kautta ja palveluihin pääsyn Internetistä porttiohjauksen kautta.

Vaihtoehdon plussat:

  1. Toimivuuden vähimmäisvaatimukset IFW(voidaan tehdä melkein millä tahansa reitittimellä, jopa kotireitittimellä).
  2. Vähimmäistietovaatimukset vaihtoehdon toteuttavalle asiantuntijalle.
Vaihtoehdon haitat:
  1. Minimi turvallisuustaso. Hakkeroinnin sattuessa, jossa tunkeilija saa yhden Internetissä julkaistun palvelimen hallintaansa, kaikki muut yritysverkon solmut ja viestintäkanavat ovat hänen käytettävissään myöhempiä hyökkäyksiä varten.
Analogia tosielämään
Tällaista verkostoa voidaan verrata yritykseen, jossa henkilökunta ja asiakkaat ovat yhdessä yhteisessä huoneessa (avoin tila)


hrmaximum.ru

Vaihtoehto 2. DMZ

Aiemmin mainitun haitan poistamiseksi Internetistä saatavilla olevat verkkosolmut sijoitetaan erityisesti määrättyyn segmenttiin - demilitarisoituun vyöhykkeeseen (DMZ). DMZ on järjestetty palomuurien avulla, jotka erottavat sen Internetistä ( IFW) ja sisäisestä verkosta ( DFW).


Tässä tapauksessa palomuurin suodatussäännöt näyttävät tältä:
  1. Sisäverkosta voit muodostaa yhteydet DMZ:hen ja WAN-verkkoon (Wide Area Network).
  2. DMZ:stä voit aloittaa yhteydet WAN-verkkoon.
  3. WAN-verkosta voit aloittaa yhteydet DMZ:hen.
  4. WAN- ja DMZ-yhteyksien muodostaminen sisäiseen verkkoon on kielletty.


Vaihtoehdon edut:
  1. Lisää verkkoturvallisuutta hakkerointia vastaan yksittäisiä palveluita. Vaikka yksi palvelimista olisi hakkeroitu, tunkeilija ei pääse käsiksi sisäisessä verkossa oleviin resursseihin (esim. verkkotulostimet, videovalvontajärjestelmät jne.).
Vaihtoehdon haitat:
  1. Palvelinten siirtäminen DMZ:lle ei sinänsä lisää niiden turvallisuutta.
  2. Lisäpalomuuri tarvitaan erottamaan DMZ sisäisestä verkosta.
Analogia tosielämään
Tämä verkkoarkkitehtuurin versio on samanlainen kuin yrityksen työ- ja asiakasalueiden organisointi, jossa asiakkaat voivat olla vain asiakasalueella ja henkilökunta sekä asiakas- että työalueilla. DMZ-segmentti on täsmälleen asiakasalueen analogi.


autobam.ru

Vaihtoehto 3. Palvelujen jakaminen Front-Endiin ja Back-Endiin

Kuten aiemmin todettiin, palvelimen sijoittaminen DMZ-alueelle ei millään tavalla paranna itse palvelun turvallisuutta. Yksi vaihtoehdoista tilanteen korjaamiseksi on jakaa palvelun toiminnallisuus kahteen osaan: Front-End ja Back-End. Lisäksi jokainen osa sijaitsee erillisellä palvelimella, jonka väliin se on järjestetty verkottumista. Front-End-palvelimet, jotka toteuttavat vuorovaikutuksen toiminnallisuuden Internetissä sijaitsevien asiakkaiden kanssa, sijoitetaan DMZ:hen ja Back-End-palvelimet, jotka toteuttavat loput toiminnot, jätetään sisäiseen verkkoon. Niiden välistä vuorovaikutusta varten DFW luoda sääntöjä, jotka mahdollistavat yhteyksien aloittamisen Front-Endistä taustapäähän.

Esimerkkinä kannattaa harkita yritystä Postipalvelu, joka palvelee asiakkaita sekä verkosta että Internetistä. Sisäasiakkaat käyttävät POP3/SMTP:tä ja Internetistä tulevat asiakkaat työskentelevät web-rajapinnan kautta. Yleensä käyttöönottovaiheessa yritykset valitsevat yksinkertaisimman tavan ottaa palvelu käyttöön ja sijoittavat kaikki sen komponentit yhdelle palvelimelle. Sitten, koska on varmistettava tietoturva, palvelun toiminnallisuus on jaettu osiin ja asiakkaiden Internetistä palvelemisesta vastaava osa (Front-End) siirretään erilliselle palvelimelle, joka on verkon kautta vuorovaikutuksessa loput toiminnot toteuttavan palvelimen kanssa (Takaisin -Loppu). Tässä tapauksessa Front-End sijoitetaan DMZ:hen ja taustaosa pysyy sisäisessä segmentissä. Kommunikointiin Front-Endin ja Back-Endin välillä DFW luo sääntö, joka sallii yhteyksien aloittamisen käyttöliittymästä taustapäähän.

Vaihtoehdon edut:

  1. SISÄÄN yleinen tapaus suojattua palvelua vastaan ​​suunnatut hyökkäykset voivat "kompastua" Front-Endin yli, mikä neutraloi tai vähentää merkittävästi mahdollisia vahinkoja. Esimerkiksi palveluun kohdistetut hyökkäykset, kuten TCP SYN Flood tai hidas http-luku, johtavat siihen, että Front-End-palvelin ei välttämättä ole käytettävissä, kun taas Back-End jatkaa toimintaansa normaalisti ja palvelee käyttäjiä.
  2. Yleensä taustapalvelimella ei ehkä ole pääsyä Internetiin, joka jos se on hakkeroitu (esimerkiksi paikallisesti toimivan vahingoittava koodi) tekee siitä vaikeaa kaukosäädin ne Internetistä.
  3. Front-End sopii hyvin sovellustason palomuurin (esimerkiksi verkkosovellusten palomuuri) tai tunkeutumisenestojärjestelmän (IPS, esimerkiksi snort) isännöimiseen.
Vaihtoehdon haitat:
  1. Kommunikointiin Front-Endin ja Back-Endin välillä DFW luodaan sääntö, joka sallii yhteyden muodostamisen DMZ:stä sisäiseen verkkoon, mikä luo käyttöön liittyviä uhkia. tästä säännöstä muista DMZ:n solmuista (esimerkiksi toteuttamalla IP-huijaushyökkäyksiä, ARP-myrkytyksiä jne.)
  2. Kaikkia palveluita ei voi jakaa Front-Endiin ja Back-Endiin.
  3. Yrityksen tulee ottaa käyttöön liiketoimintaprosessit palomuurin sääntöjen päivittämiseksi.
  4. Yrityksen on otettava käyttöön mekanismeja suojautuakseen hyökkäyksiltä tunkeilijoilta, jotka ovat päässeet DMZ:n palvelimelle.
Huomautuksia
  1. Todellisessa elämässä, vaikka palvelimia ei jaeta Front-Endiin ja Back-Endiin, DMZ:n palvelimien on usein käytettävä sisäisessä verkossa olevia palvelimia, joten nämä haitat tämä vaihtoehto pätee myös edelliseen harkittuun vaihtoehtoon.
  2. Jos otamme huomioon verkkokäyttöliittymän kautta toimivien sovellusten suojauksen, niin vaikka palvelin ei tuekaan toimintojen erottamista Front-Endiin ja Back-Endiin, http:n käyttö on käänteinen. välityspalvelin(esimerkiksi nginx) käyttöliittymänä minimoi palvelunestohyökkäyksiin liittyvät riskit. Esimerkiksi SYN-tulvahyökkäykset voivat tehdä http-käänteisen välityspalvelimen poissa käytöstä, kun Back-End jatkaa toimintaansa.
Analogia tosielämään
Tämä vaihtoehto on olennaisesti samanlainen kuin työn organisointi, jossa assistentteja - sihteereitä - käytetään erittäin kuormitetuille työntekijöille. Sitten Back-End on kiireisen työntekijän analogi ja Front-End on sihteerin analogi.


mln.kz

Vaihtoehto 4: Suojattu DMZ

DMZ on osa verkkoa, johon pääsee Internetistä, ja sen seurauksena se on alttiina suurimmalle isäntäkompromissille. DMZ:n suunnittelun ja siinä käytettyjen lähestymistapojen tulisi tarjota maksimaalinen selviytymiskyky olosuhteissa, joissa tunkeilija on saanut hallintaansa yhden DMZ:n solmuista. Mahdollisina hyökkäyksinä harkitse hyökkäyksiä, joille lähes kaikki ovat alttiita Tietojärjestelmä, toimii oletusasetuksilla:

Suojaus DHCP-hyökkäyksiä vastaan

Huolimatta siitä, että DHCP on tarkoitettu automatisoimaan työasemien IP-osoitteiden määrittäminen, joissakin yrityksissä on tapauksia, joissa palvelimien IP-osoitteet myönnetään DHCP:n kautta, mutta tämä on melko huono käytäntö. Siksi on suositeltavaa poistaa DHCP kokonaan käytöstä DMZ:n Rogue DHCP Server -palvelinta ja DHCP-nälkää vastaan ​​suojautumiseksi.

Suojaus MAC-tulvahyökkäyksiä vastaan

Suojautuaksesi MAC-tulvaa vastaan ​​määritä kytkimien portit rajoittamaan enimmäisintensiteettiä lähetysliikennettä(koska nämä hyökkäykset synnyttävät yleensä lähetysliikennettä). Hyökkäykset, joihin liittyy tiettyjen (yksilähetysten) verkko-osoitteiden käyttöä, estetään MAC-suodatuksella, josta keskustelimme aiemmin.

Suojaus UDP-tulvahyökkäyksiä vastaan

Puolustus alkaen tämän tyyppistä Hyökkäykset suoritetaan samalla tavalla kuin suojaus MAC-tulvaa vastaan, paitsi että suodatus suoritetaan IP-tasolla (L3).

Suojaus TCP SYN -tulvahyökkäyksiä vastaan

Suojautuaksesi tältä hyökkäykseltä seuraavat vaihtoehdot ovat mahdollisia:
  1. Suojaus verkkosolmussa TCP SYN Cookie -tekniikalla.
  2. Palomuuritason suojaus (edellyttää DMZ:n aliverkkoa) rajoittamalla TCP SYN -pyyntöjä sisältävän liikenteen intensiteettiä.

Suojaus verkkopalveluihin ja verkkosovelluksiin kohdistuvia hyökkäyksiä vastaan

Tälle ongelmalle ei ole universaalia ratkaisua, mutta vakiintunut käytäntö on toteuttaa ohjelmiston haavoittuvuuksien hallintaprosesseja (esim. tunnistaminen, korjaustiedostojen asennus jne.) sekä tunkeutumisen havainnointi- ja estojärjestelmien (IDS/IPS) käyttö.

Suojaus todennuksen ohitushyökkäyksiä vastaan

Mitä tulee edelliseen tapaukseen universaali ratkaisu sellaista ongelmaa ei ole.
Yleensä siinä tapauksessa suuri numero epäonnistuneita yrityksiä valtuutustilit estetään todennustietojen (esimerkiksi salasanan) arvaamisen välttämiseksi. Mutta tämä lähestymistapa on melko kiistanalainen, ja tässä on syy.
Ensinnäkin tunkeilija voi suorittaa todennustietojen valinnan intensiteetillä, joka ei johda tilien estämiseen (on tapauksia, joissa salasana valittiin useiden kuukausien aikana useiden kymmenien minuuttien yritysten välillä).
Toiseksi, Tämä ominaisuus voidaan käyttää palvelunestohyökkäyksiin, joissa hyökkääjä tekee tarkoituksella suuri määrä valtuutusyritykset tilien estämiseksi.
Suurin osa tehokas vaihtoehto hyökkäyksistä tästä luokasta käyttää IDS/IPS-järjestelmiä, jotka estävät salasanan arvausyritykset havaitessaan tili, ja lähde, josta tämä valinta tulee (esimerkiksi estä rikkojan IP-osoite).

Lopullinen luettelo suojatoimenpiteistä tälle vaihtoehdolle:

  1. DMZ on jaettu IP-aliverkkoihin, joissa jokaiselle solmulle on oma aliverkko.
  2. Järjestelmänvalvojat määrittävät IP-osoitteet manuaalisesti. DHCP:tä ei käytetä.
  3. Verkkoliitännöissä, joihin DMZ-solmut on kytketty, aktivoituvat MAC- ja IP-suodatus, yleislähetysliikenteen ja TCP SYN -pyyntöjä sisältävän liikenteen intensiteetin rajoitukset.
  4. Automaattinen porttityyppien neuvottelu on estetty kytkimissä ja alkuperäisen VLANin käyttö on kielletty.
  5. TCP SYN -eväste on määritetty DMZ-solmuihin ja sisäisiin verkkopalvelimiin, joihin nämä solmut muodostavat yhteyden.
  6. Ohjelmiston haavoittuvuuksien hallinta on toteutettu DMZ-solmuille (ja mielellään muulle verkolle).
  7. IDS/IPS-tunkeutumisen havaitsemis- ja estojärjestelmiä ollaan toteuttamassa DMZ-segmentissä.
Vaihtoehdon edut:
  1. Korkea turvallisuusaste.
Vaihtoehdon haitat:
  1. Lisääntyneet vaatimukset toiminnallisuus laitteet.
  2. Toteutuksen ja tuen työvoimakustannukset.
Analogia tosielämään
Jos verrasimme aiemmin DMZ:tä sohvilla ja ottomaaneilla varustettuun asiakastilaan, turvallinen DMZ on enemmän kuin panssaroitu kassakone.


valmax.com.ua

Vaihtoehto 5. Takakytkentä

Arvosteltu aiempi versio suojatoimenpiteet perustuivat siihen, että verkossa oli laite (kytkin/reititin/palomuuri), joka pystyi toteuttamaan ne. Mutta käytännössä esimerkiksi virtuaalista infrastruktuuria käytettäessä (virtuaalikytkimillä on usein hyvin rajalliset mahdollisuudet), vastaava laite ei ehkä ole.

Näissä olosuhteissa monet aiemmin käsitellyistä hyökkäyksistä tulevat rikkojan saataville, joista vaarallisimmat ovat:

  • hyökkäykset, joiden avulla voit siepata ja muokata liikennettä (ARP-myrkytys, CAM-taulukon ylivuoto + TCP-istunnon kaappaus jne.);
  • hyökkäykset, jotka liittyvät sisäisten verkkopalvelimien haavoittuvuuksien hyödyntämiseen, joihin yhteydet voidaan aloittaa DMZ:stä (mikä on mahdollista ohittamalla suodatussääntöjä DFW IP- ja MAC-huijauksen vuoksi).
Seuraava tärkeä ominaisuus, jota emme ole aiemmin tarkastelleet, mutta joka ei lakkaa olemasta vähemmän tärkeä, on se, että käyttäjien automatisoidut työasemat (AWS) voivat olla myös lähde (esimerkiksi viruksilla tai troijalaisilla). haitalliset vaikutukset palvelimelle.

Näin ollen edessämme on tehtävä suojata sisäisen verkon palvelimia tunkeilijan hyökkäyksiltä sekä DMZ:stä että sisäisestä verkosta (työaseman saastuminen troijalaisella voidaan tulkita Intruderin toimiksi sisäisestä verkosta ).

Alla ehdotetun lähestymistavan tarkoituksena on vähentää niiden kanavien määrää, joiden kautta tunkeilija voi hyökätä palvelimiin, ja tällaisia ​​kanavia on ainakin kaksi. Ensimmäinen on sääntö DFW, joka mahdollistaa pääsyn sisäiseen verkkopalvelimeen DMZ:stä (vaikka IP-osoitteet rajoittaisivatkin), ja toinen on palvelimen avoin verkkoportti, johon odotetaan yhteyspyyntöjä.

kiinni määritettyjä kanavia se on mahdollista, jos sisäinen verkkopalvelin itse rakentaa yhteydet DMZ:n palvelimeen ja tekee tämän salaussuojauksella verkkoprotokollat. Silloin niitä ei tule avoin portti, ei sääntöjä DFW.

Mutta ongelmana on, että tavalliset palvelinpalvelut eivät osaa toimia tällä tavalla ja tämän lähestymistavan toteuttamiseksi on tarpeen käyttää verkkotunnelointia, joka on toteutettu esim. käyttämällä SSH:ta tai VPN, ja tunneleissa sallivat yhteydet DMZ:n palvelimelta sisäiseen verkkopalvelimeen.

Yleinen kaava Tämän vaihtoehdon toiminta näyttää tältä:

  1. SSH/VPN-palvelin on asennettu palvelimelle DMZ:ssä ja SSH/VPN-asiakas on asennettu palvelimelle sisäisessä verkossa.
  2. Sisäinen verkkopalvelin aloittaa verkkotunnelin rakentamisen DMZ:n palvelimelle. Tunneli on rakennettu asiakkaan ja palvelimen molemminpuolisella autentikaatiolla.
  3. Palvelin DMZ:stä rakennetun tunnelin sisällä muodostaa yhteyden sisäisen verkon palvelimeen, jonka kautta suojatut tiedot siirretään.
  4. Paikallinen palomuuri on määritetty sisäiseen verkkopalvelimeen suodattamaan tunnelin läpi kulkevaa liikennettä.

Tämän vaihtoehdon käyttäminen käytännössä on osoittanut, että verkkotunneleita on kätevä rakentaa OpenVPN:n avulla, koska sillä on seuraavat tärkeät ominaisuudet:

  • Cross-platform. Voit järjestää viestintää palvelimilla, joissa on eri käyttöjärjestelmät.
  • Mahdollisuus rakentaa tunneleita asiakkaan ja palvelimen molemminpuolisella autentikaatiolla.
  • Mahdollisuus käyttää sertifioitua kryptografiaa.
Ensi silmäyksellä voi näyttää siltä tämä kaava on tarpeettoman monimutkainen ja että koska vielä pitää asentaa paikallinen palomuuri sisäiseen verkkopalvelimeen, on helpompi saada palvelin DMZ:stä tavalliseen tapaan muodostamaan yhteys sisäiseen verkkopalvelimeen, mutta tehdä se salatun yhteyden kautta. Itse asiassa tämä vaihtoehto ratkaisee monia ongelmia, mutta se ei pysty tarjoamaan tärkeintä - suojaa sisäisen verkkopalvelimen haavoittuvuuksia vastaan, jotka suoritetaan ohittamalla palomuuri IP- ja MAC-huijauksen avulla.

Vaihtoehdon edut:

  1. Suojatun sisäisen verkkopalvelimen hyökkäysvektorien määrän arkkitehtoninen vähentäminen.
  2. Turvallisuuden varmistaminen ilman verkkoliikenteen suodatusta.
  3. Suojaa verkon kautta lähetetyt tiedot luvattomalta katselusta ja muuttamiselta.
  4. Mahdollisuus lisätä valikoivasti palvelujen turvallisuustasoa.
  5. Kyky toteuttaa kaksipiirinen suojausjärjestelmä, jossa ensimmäinen piiri on järjestetty palomuurin avulla ja toinen on järjestetty tämän vaihtoehdon perusteella.
Vaihtoehdon haitat:
  1. Tämän suojausvaihtoehdon käyttöönotto ja ylläpito vaatii lisätyövoimakustannuksia.
  2. Yhteensopimaton kanssa verkkojärjestelmät tunkeutumisen havaitseminen ja esto (IDS/IPS).
  3. Palvelinten ylimääräinen laskentakuormitus.
Analogia tosielämään
Tämän vaihtoehdon päätarkoitus on se, että luotettu henkilö muodostaa yhteyden epäluotettavaan henkilöön, mikä on samanlainen tilanne kuin silloin, kun pankit itse soittavat lainaa myöntäessään takaisin mahdolliselle lainanottajalle tarkistaakseen tiedot.
  • yritysten verkot
    • Lisää tageja

    Ylläpitäjä jakaa Internet-resursseja yrityksen työntekijöille ja luo luetteloita kielletyistä tai sallituista verkkotunnuksista, IP-osoitteista jne. Samalla hän voi asettaa rajoituksia liikenteen ajalle tai määrälle. Ylikulutuksen sattuessa Internet-yhteys suljetaan automaattisesti.

    Huomio: Ylläpitäjä voi aina toimittaa johdolle raportin kunkin työntekijän verkon käytöstä.

    • Joustava sääntöjärjestelmä Internetin käytön hallintaan:
      • rajoitukset toiminta-ajalle, lähetetyn/vastaanotetun liikenteen määrälle (liikennelaskenta) päivässä ja/tai viikossa ja/tai kuukaudessa, käytetyn ajan määrä päivässä ja/tai viikossa ja/tai kuukaudessa;
      • suodattimet, jotka ohjaavat käyttäjien pääsyä ei-toivottuihin resursseihin (seksuaaliset, pelisivustot);
      • kehitetty järjestelmä liikennerajoituksia Ja pääsynopeus jokaiselle käyttäjälle. Jos liikennettä on liikaa, Internet-yhteys suljetaan automaattisesti;
      • luettelot kielletyistä tai sallituista verkkotunnuksista, IP-osoitteista, URL-merkkijonon osista, joihin pääsyn ylläpitäjä on kieltänyt/sallinut;
      • kyky asettaa sallittuja ja kiellettyjä IP-osoitteita;
      • tuntiaikataulu käyttäjän työstä Internetissä;
      • suodattimet, joiden avulla voit määrittää erittäin tehokkaan "bannerinleikkauksen".
    • Tilastojen laskeminen ja katselu käyttäjien toiminta eri parametrien (päivät, sivustot) mukaan mielivaltaisen ajanjakson aikana. Kuluvan kuukauden Internet-tilastojen katselu käyttäjien työstä HTTP:n kautta on mahdollista vain käyttäjille, jotka ovat mukana paikallinen verkko.
    • Sisäänrakennettu laskutusjärjestelmä laskee automaattisesti käyttäjän Internetissä työskentelyn kustannukset hinnan, ajan ja/tai liikennemäärän perusteella. Voit asettaa tariffit kullekin käyttäjälle erikseen tai käyttäjäryhmälle. On mahdollista vaihtaa hintoja vuorokaudenajan, viikonpäivän tai sivuston osoitteen mukaan.

    Toimiston tietoturva

    • VPN-tuki Virtuaalinen yksityinen Verkko on yksittäisten koneiden tai paikallisten verkkojen yhdistelmä verkossa, jonka turvallisuuden takaa tiedon salaus- ja käyttäjätunnistusmekanismi.
    • Sisäänrakennettu palomuuri estää luvattoman pääsyn palvelintietoihin ja paikallisverkkoon estämällä yhteydet kautta tietyt portit ja protokollat. Palomuuritoiminto ohjaa pääsyä tarvittaviin portteihin esimerkiksi yrityksen web-palvelimen julkaisemiseksi Internetissä.
    • Kaspersky Antivirus ja Panda integroitu välityspalvelimeen UserGate, toimivat suodattimina: sieppaavat kautta lähetetyn tiedon HTTP-protokollat ja FTP. POP3- ja SMTP-postiprotokollien tuki on otettu käyttöön Ylempi taso. Tämän avulla voit käyttää sisäänrakennettua virustorjuntaa sähköpostiliikenteen tarkistamiseen. Jos kirje sisältää viruksen sisältävän liitetiedoston, välityspalvelin UserGate poistaa liitteen ja ilmoittaa tästä käyttäjälle muuttamalla kirjeen tekstiä. Kaikki tartunnan saaneita tai epäilyttäviä tiedostoja kirjaimet on sijoitettu erityinen kansio hakemistossa UserGate.
      Järjestelmänvalvoja UserGate voi valita, käytetäänkö yhtä virustorjuntamoduulia vai molempia samanaikaisesti. Jälkimmäisessä tapauksessa voit määrittää järjestyksen, jossa kukin liikennetyyppi tarkistetaan. Esimerkiksi HTTP-liikenteen tarkistaa ensin Kaspersky Labin virustorjunta ja sitten Panda Softwaren moduuli.
    • Sähköpostiprotokollan tuki
      POP3 – ja SMTP – välityspalvelimet sisään UserGate voi toimia NAT-ohjaimen kanssa tai ilman. Kun työskentelet ilman kuljettajaa, tili sisään sähköpostiohjelma käyttäjän puolella on määritetty erityisellä tavalla. Ohjainta käytettäessä (välityspalvelintoiminta läpinäkyvässä tilassa) sähköpostiasetukset käyttäjän puolella suoritetaan samalla tavalla kuin suoralla Internet-yhteydellä. Tuleva tuki POP3:lle ja SMTP-protokollat ylimmällä tasolla sitä käytetään roskapostin estomoduulin luomiseen.

    Hallinta UserGate-välityspalvelimen avulla

    • Verkkosäännöt
      Välityspalvelimella UserGate NAT (Network Address Translation) -teknologian tuki on otettu käyttöön. verkko-osoite) ja porttikartoitus (portin määritys). NAT-tekniikkaa käytetään läpinäkyvien välityspalvelinten luomiseen, ja se tukee muita protokollia kuin HTTP tai FTP.
      Läpinäkyvän välityspalvelimen avulla käyttäjät voivat työskennellä ilman erityisiä asetuksia, ja järjestelmänvalvojat vapautetaan tarpeesta määrittää käyttäjien selaimia manuaalisesti.
    • Lisämoduuli Usergate Cache Explorer suunniteltu välimuistin sisällön katseluun. Työskentely tämän toiminnon kanssa on yksinkertaista: sinun tarvitsee vain määrittää ug_cache.lst-tiedoston sijainti välimuistikansiosta käynnistäessäsi sen. Kun olet lukenut tämän tiedoston sisällön Usergate Cache Explorer näyttää luettelon välimuistissa olevista resursseista. Cache Explorer -ohjauspaneelissa on useita painikkeita, joiden avulla voit suodattaa välimuistin sisältöä koon, laajennuksen jne. mukaan. Suodatetut tiedot voidaan tallentaa kiintolevyn kansioon tarkempaa tutkimista varten.
    • Portin määritystoiminto(Porttikartoitus) mahdollistaa minkä tahansa paikallisen IP-rajapinnan valitun portin sitomisen haluttuun porttiin etäisäntä. Porttimäärityksiä käytetään pankki-asiakassovellusten, pelien ja muiden ohjelmien toiminnan järjestämiseen, jotka edellyttävät pakettien välittämistä tiettyyn IP-osoitteeseen. Jos tarvitset pääsyn Internetistä tiettyyn verkkoresurssi, tämä voidaan saavuttaa myös käyttämällä portin määritystoimintoa.
    • Liikenteen hallinta: hallitse verkkoliikennettäsi ja ota huomioon se
      "Traffic Management" -toiminto on suunniteltu luomaan sääntöjä, jotka ohjaavat paikallisen verkon käyttäjien pääsyä Internetiin, luomaan ja muuttamaan käytettyjä tariffeja. UserGate.
      Huomio: välityspalvelimeen sisäänrakennettu NAT-ohjain UserGate, tarjoaa tarkimman Internet-liikenteen kirjanpidon.
      Välityspalvelimella UserGate on mahdollisuus erota erilaisia ​​tyyppejä liikennettä, esimerkiksi paikallista ja ulkomaista Internet-liikennettä. Myös liikennettä ja IP-osoitteita valvotaan aktiivisia käyttäjiä, heidän kirjautumisensa, vierailtuja URL-osoitteita reaaliajassa.
    • Etähallinta mahdollistaa järjestelmänvalvojan liikkuvan, koska välityspalvelinta on nyt mahdollista hallita UserGate etänä.
    • Automaattinen ja manuaalinen postitus käyttäjät saavat tietoja liikenteestään sähköpostitse, mukaan lukien SMTP-valtuutettujen palvelimien kautta.
    • Yhteys kohteeseen kaskadivälityspalvelin lupamahdollisuudella.
    • Joustava raporttigeneraattori mahdollisuus viedä MS Exceliin ja HTML:ään.
    • Useita tapoja valtuuttaa käyttäjiä: kaikkien protokollien mukaisesti; IP-osoitteen mukaan, IP+MAC:n, IP+MAC:n mukaan (tilaus); käyttäjätunnuksella ja salasanalla; Windowsin valtuutuksen ja Active Directoryn avulla.
    • Käyttäjien tuonti Active Directorysta- Nyt sinun ei tarvitse luoda manuaalisesti useita satoja käyttäjiä, ohjelma tekee kaiken puolestasi.
    • Tehtävien ajoitus voit suorittaa jonkin ennalta määritetyistä toiminnoista tiettyyn aikaan: lähettää tilastoja, käynnistää ohjelman, muodostaa tai katkaista puhelinverkkoyhteyden, päivittää virustorjuntatietokantoja.
    • UserGate tukee seuraavaa protokollat:
      • HTTP (välimuistit);
      • FTP (välimuistit);
      • Sukat4, Sukat5;
      • POP3;
      • SMTP;
      • Mikä tahansa UDP/TCP-protokolla NAT-osoitteen (Network Address Translation) ja porttimäärityksen kautta.

    Rahan säästäminen Internetin käytössä

    Sisäänrakennettujen suodattimien käyttö UserGate estää mainosten lataamisen Internetistä ja estää pääsyn ei-toivottuihin resursseihin.

    Huomio: Järjestelmänvalvoja voi estää tiedostojen lataamisen tietty laajennus, esimerkiksi jpeg, mp3.

    Ohjelma voi myös muistaa (välimuistiin tallentaa) kaikki vieraillut sivut ja kuvat, vapauttaen kanavan hyödyllisten tietojen lataamiseen. Kaikki tämä vähentää merkittävästi paitsi liikennettä myös linjalla vietettyä aikaa.

    Välityspalvelin UserGate: verkkoliikenteen kirjanpito!

    Kouluportaali tukee Internet-yhteyksien hallintaa.

    Hallinta suoritetaan integroimalla Squid-välityspalvelimeen.

    Voit muuttaa käyttöoikeuksia siirtymällä valikkoon: Palvelu → Internet-yhteys....

    Tämä toimenpide on vain koulun hallinnon edustajien käytettävissä.

    Jos haluat käyttää Internetiä, valitse vain valintaruutu käyttäjänimen (oppilas, opettaja) tai koko luokan vieressä. Jos haluat peruuttaa käyttöoikeuden, sinun on poistettava valintaruudun valinta. Muutokset otetaan käyttöön "Tallenna"-painikkeen painamisen jälkeen.

    Jotta paikallisverkossa oleva kone voi käyttää Internetiä portaalissa määritettyjen lupien ohjaamana, se on määritettävä käyttämään välityspalvelinta.

    Välityspalvelimen osoite on koulusi palvelimen osoite paikallisessa verkossa, johon kouluportaali on asennettu. Välityspalvelimen portti - 3128 .

    Kun käyttäjä käyttää Internetiä välityspalvelimen kautta, häneltä vaaditaan sisäänkirjautuminen ja salasana Koulun portaali.

    Jotta vältytään välityspalvelimen ohittamisesta Internetiin luotettavasti, kannattaa tarkistaa, ettei koulun palvelin tarjoa Internet-reititystä kiinnostuneille koneille ja ettei koneilla ole pääsyä kytkimen, modeemin, reitittimen, Wi-Fi:n ja muut varusteet oppilaitos, johon henkilökunnalla ja opiskelijoilla on online-yhteys.

    Sisällön suodatusjärjestelmät (SCF)

    Sekä SCF:n puuttuminen että integrointi useiden palveluntarjoajien kanssa ovat tuettuja.

    SCF-asetus sijaitsee Internet-käytön hallintasivun vasemmassa sarakkeessa.

    Jotkut SCF:t vaativat rekisteröinnin hallitakseen kiellettyjen resurssien luetteloita (esim. sosiaalinen media, säädytöntä materiaalia, tiivistelmäkokoelmia jne.). Tällaisia ​​asetuksia muutetaan SCF-sivuston verkkoliittymissä, ei portaalissa. SCF:tä palveleva organisaatio tarjoaa käyttäjätukea suodatuksen laatukysymyksissä. Portaali sallii vain ottaa käyttöön tai poistaa käytöstä pyyntöjen lähettämisen SCF DNS -palvelimille koulun välityspalvelimelta, etkä mitään muuta.

    SCF, kuten Internet-yhteys, koskee vain koneita, jotka on määritetty tiukasti koulun välityspalvelimen kautta.

    Tärkeä! SCF:n toiminta päälle kytkemisen jälkeen on tarkistettava odotustesi mukaisesti, koska portaali ei voi tarkistaa tätä automaattisesti puolestasi. Valmistajat voivat muuttaa SCF:n tarjoamisen ehtoja milloin tahansa. Kannattaa tilata uutisia käyttämästäsi palvelusta.

    Mitä tehdä, jos portaali näyttää viestin "Toiminto pois käytöstä" tai jokin ei toimi.

    Tämän artikkelin osan tarkistukset ja toimet koskevat vain Ubuntu Server 10.04 LTS:ää:

    Kaikki toiminnot on suoritettava pääkäyttäjänä.

    1. Onko kalmari asennettu?

    Dpkg -s kalmari3 | grep -i versio

    Jos ei, asenna:

    Apt-get install squid3

    2. Ovatko nämä parametrit portaalin asetustiedostossa?

    Auth = perus htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

    Jos ei, lisää ja suorita

    Ptappa nopeasti

    3. Onko Squid käynnissä? Kuunteletko porttia 3128?

    Tutkimus:

    Netstat -ntlp | grep 3128

    Vastauksen pitäisi olla jotain tämän kaltaista (1234 on esimerkki, sinulla voi olla eri prosessinumero):

    Tcp 0 0 0.0.0.0:3128 0.0.0.0:* KUULU 1234/(kalmari)

    Kuinka aloittaa Squid:

    /etc/init.d/squid3 aloitus

    * Käynnistetään Squid HTTP Proxy 3.0 squid3

    4. Aseta Squid automaattiseen käynnistykseen:

    Update-rc.d squid3 Ota käyttöön

    5. Luo, jos ei, ja aseta käyttöoikeudet palvelutiedostoihin, jotka vastaavat portaalin hallinnoinnista:

    Kosketa /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

    6. Squid-määritystiedosto ei ole valmis integroitavaksi, se on korjattava.

    Varmista ensin, että siinä EI ole portaaliintegraatiota (useita korjauksia ei hyväksytä):

    Grep "School Portal Internet Control" /etc/squid3/squid.conf

    Jos yllä oleva komentorivi tulostetaan, tämä vaihe tulee ohittaa.

    Jos asetustiedostoa on kuitenkin muutettu siten, että rivi on siellä, mutta integrointi ei toimi, ota alkuperäinen tiedosto määritykset Squidistä ja suorita tämä vaihe sille.

    Joten jos riviä EI ole:

    6.1. Integraation estävien sääntöjen poistaminen ja virhesivujen muuttaminen venäläisiksi versioiksi:

    Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf

    6.2. Integrointifragmentin lisääminen:

    Echo " # ============================= # Kouluportaalin Internet Control # Poistaminen käytöstä korvaa /etc/squid3/squid.conf tiedostolla /etc/squid3/squid.conf-original # ======================================== ==== auth_param perusohjelma /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid-välityspalvelin-välimuistin verkkopalvelin auth_param basic credentialsttl 2 tuntia auth_param_auth_param basic cased/ www/sp_users_allowed" http_access salli sp_users_allowed http_access kieltää kaikki " > > /etc/squid3/squid.conf

    Jos tällainen lohko esiintyy useammin kuin kerran squid.conf-tiedostossa, poista kaksoiskappaleet, vaikka kaikki toimisi. Toistamalla aina, kun pääsylista päivitetään portaalista, Squid ripottelee lokiinsa varoituksia sääntöjen uudelleenmäärityksestä.

    6.3. Muutosten tekemisen jälkeen Squid on käynnistettävä uudelleen.

    /etc/init.d/squid3 käynnistyy uudelleen

    7. Käytä seuraavaksi kouluportaalin verkkokäyttöliittymää Internet-yhteyksien jakamiseen. Sinun pitäisi nähdä muutos sallittujen portaalin käyttäjien kirjautumisten luettelossa /var/www/sp_users_allowed-tiedostossa, kun olet napsauttanut "Käytä"-painiketta portaalin verkkoliittymässä.

    Squid-käyttölokit (/var/log/squid3) sisältävät portaalin käyttäjien kirjautumistiedot. Voit käyttää mitä tahansa loki-analysaattoreita, jotka ovat yhteensopivia Squid-lokimuodon kanssa. Integrointi portaaliin ei riko lokien oletusmuotoa, ero on portaalin sisäänkirjautumisten läsnäolo paikassa, jossa olisi viiva ilman käyttäjän valtuutusta.

    8. Tarkista, onko palomuuri koulun palvelimella ja asiakaskoneet. Puhtaalla Ubuntu-palvelimella palomuuri sallii oletusarvoisesti kaikki yhteydet, jos olet millään tavalla häirinnyt sen määritystä, varmista, että yhteydet koulun paikallisverkosta palvelimen porttiin 3128 ja lähtevät yhteydet palvelimelta ovat sallittuja.

    Pavlov Sergey järjestelmäinsinööri Softmartissa

    Tämä artikkeli esittelee eniten suosittuja menetelmiä toimistoyhteydet pieni organisaatio Internetiin. Artikkelissa ei käsitellä palveluntarjoajan valintaan liittyviä kysymyksiä eikä verkkoon yhdistämisen loppulaitteiden valintaan liittyviä kysymyksiä. Oletamme, että palveluntarjoaja tarjoaa organisaatiolle seuraavat:

    1. Verkkoliitäntä Ethernet RJ45 - vakiona verkkolaitteet paikallisissa verkoissa
    2. IP-osoite - yksi tai useampi, pysyvä tai dynaaminen
    3. Yhdyskäytävän IP-osoite ja DNS

    Otetaan myös pieni kuva organisaatiosta, jolle tämä artikkeli on tarkoitettu:

    1. Verkossa olevien tietokoneiden lukumäärä - jopa 30;
    2. On yksi verkossa tiedosto palvelin tai palvelin yritysjärjestelmä hallinta;
    3. verkkopalvelin ja organisaation sähköpostipalvelin sijaitsee palveluntarjoajan luona, ei yrityksen paikallisessa verkossa;
    4. Työntekijät käyttävät Internet-kanavaa ensisijaisesti sähköpostin käsittelyyn ja web-sivujen katseluun;
    5. Organisaation tietokoneet ja palvelimet on suojattava luvattomalta käytöltä Internetin kautta.

    Mahdolliset, mutta harvoin esiintyvät olosuhteet voidaan myös mainita:

    1. Työntekijöiden suojattu yhteys organisaation verkkoon etänä - kotoa tai toisesta toimistosta;
    2. Turvallinen yhteys maantieteellisesti sijaitsevat pienet toimistot;
    3. Verkkopalvelinsijoittelut, sähköpostipalvelin, mikä tahansa palvelin sisäinen järjestelmä hallinta organisaation verkostossa tarjouksen kanssa vapaa pääsy työntekijöiltä tai asiakkailta Internetin kautta;

    Tällä lähestymistavalla henkilökohtainen tietokone tai palvelin on varattu järjestämään pääsy Internetiin. Palvelin tai PC on varustettu lisälaitteilla verkkokortti. Toinen niistä muodostaa yhteyden palveluntarjoajan verkkoon, toinen verkkokytkin järjestöt.
    On suositeltavaa käyttää NAT-palvelua yhdyskäytävässä - IP-osoitteiden verkkokäännös.

    Tämän ratkaisun edut:

    1. Käyttömahdollisuus laajin lista ohjelmisto erilaisten ongelmien ratkaisemiseen, esim.
    suojata palvelinta ja verkkoa Internetin hyökkäyksiltä;
    varten virustorjunta palvelin, liikenne tai Sähköposti;
    suojaamaan roskapostilta;
    liikenteen laskemiseen;
    hallita organisaation työntekijöiden pääsyä Internetiin;
    2. Yksi IP-osoite palveluntarjoajalta riittää.
    3. Paikallisverkon riittävä suojaustaso ulkoisista vaikutuksista NAT-palvelun avulla.
    4. Palomuurin edullinen hinta, koska henkilökohtaisten tietokoneiden ratkaisut ovat sallittuja.
    5. Vain yhdyskäytävätietokone näkyy Internetistä, ja hakkerit voivat hyökätä vain tähän tietokoneeseen. Paikallinen verkko, mukaan lukien palvelimet ja työasemat, ei ole periaatteessa heidän käytettävissään. Siten, jos yhdyskäytävä epäonnistuu, organisaation paikallinen verkko jatkaa toimintaansa.

    Vikoja

    1. Jos yhdyskäytävätietokonetta käytetään myös tavallisena työasema joku työntekijä esimerkiksi kustannussäästöjen perusteella, niin se on mahdollista vakavia ongelmia turvallisuudella. Yhdyskäytävällä työskentelevä käyttäjä voi toiminnallaan heikentää palvelimen turvallisuutta. Lisäksi yhdyskäytävän suorituskyvyssä voi olla ongelmia, koska käyttäjä kuluttaa osan tietokoneen tehosta;
    2. Yhdyskäytävän käyttäminen organisaation tiedostopalvelimena ei ole suositeltavaa, koska palvelin on saavutettavissa Internetistä. Tarvitaan tehokas palomuuri (ei henkilökohtainen) ja erittäin pätevän asiantuntijan työ yhdyskäytävän suojauksen määrittämiseksi. Tämä on kuitenkin hyvin yleinen kokoonpano pienissä organisaatioissa;
    3. Vaatii lisäoston ohjelmisto. NAT-palvelu ei ole osa käyttöjärjestelmää Windows-järjestelmät, paitsi Microsoft Windows XP (NAT toteutettu, mutta tietyin rajoituksin). Palomuurien hinta vaihtelee kymmenistä dollareista useisiin tuhansiin. Ainakin se vaaditaan erikoisohjelma tarjota Internet-yhteys kaikille paikallisverkon käyttäjille. (ohjelmaa kutsutaan välityspalvelimeksi).
    4. Pakollinen lisälaite- LAN-kortti.

    Tämän ratkaisun käyttöönoton arvioidut kustannukset:

    Henkilökohtainen tietokone - yhdyskäytävä

    $40 0

    Välityspalvelin

    UserGate 3.0 (10 istuntoa)

    $ 129

    Palomuuri

    Kaspersky AntiHacker

    $39

    Lisäverkkokortti

    D-Link DFE-530TX

    $10

    Räätälöintipalvelut

    Softmart

    $70

    Kaikki yhteensä

    $648

    Tällä lähestymistavalla Internetiin pääsyn järjestäminen edellyttää lisämäärän IP-osoitteiden hankkimista palveluntarjoajalta jokaiselle henkilökohtainen tietokone organisaation paikallisessa verkossa. Tämä ratkaisu tarjoaa luultavasti eniten nopea yhteys organisaation työntekijät Internetiin. Tätä ratkaisua käytetään kuitenkin harvoin, kun yrityksessä on enemmän kuin kaksi tietokonetta kahdesta syystä:
    1. Palveluntarjoaja on erittäin haluton jakamaan IP-osoitteita ja suosittelee, että vaihdat mihin tahansa muuhun järjestelmään tietokoneiden yhdistämiseksi Internetiin.
    2. Tämä päätös mahdollisesti vähiten turvallisin tietojesi suojaamisen kannalta luvattomalta käytöltä ja verkon hyökkäyksiltä.

    Edut:

    1. helppo asennus tietokoneita.
    2. ei tarvitse ostaa ylimääräinen tietokone- Portti.
    3. ei tarvitse ostaa lisäohjelmistoa - välityspalvelin.

    Vikoja:

    1. Jokaiseen tietokoneeseen on asennettava kattava turvajärjestelmä.
    2. Riippuu palveluntarjoajan kyvystä tarjota useita IP-osoitteita
    3. Ei tilastoja kanavan käytöstä

    Tämän ratkaisun julkaisun hinta:

    Jokaiselle verkossa olevalle tietokoneelle:

    Palomuuri

    Kaspersky AntiHacker

    $39

    asetukset

    Softmart

    $10

    Kaikki yhteensä

    $49

    Pääsyn järjestäminen D-LINK-laitteiden avulla

    D-Link tarjoaa laajan valikoiman laitteita pienten organisaatioiden turvalliseen yhdistämiseen Internetiin. Kaikki ratkaisut voidaan jakaa kahteen suureen luokkaan:
    1. DI-sarjan reitittimet
    2. DFL-sarjan palomuurit

    DI-perheen laitteet on suunniteltu erityisesti pienten toimistojen tarkoituksiin ja tehtäviin. Niissä on kaikki tarvittavat toiminnot enemmän kuin kohtuulliseen hintaan. Mallista riippuen laitteet voivat olla varustettu:
    palomuuri,
    piste Wi-Fi-yhteys,
    sisäänrakennettu välityspalvelin,
    verkkoportti tulostinliitännät,
    sisäänrakennettu ADSL-modeemi
    VPN-moduuli

    Kaikki laitteet tukevat:
    1. DHCP (IP-osoitteiden dynaaminen toiminto verkossa oleville tietokoneille)
    2. NAT (IP-osoitteiden dynaaminen kääntäminen sisäisestä verkosta Internetin IP-osoitteisiin)
    3. Toiminto virtuaalinen palvelin tarvitaan pääsyn järjestämiseen paikallinen palvelin internetistä
    4. Secure Zone -toiminto, jota tarvitaan useiden paikallisten resurssien pääsyn järjestämiseen Internetistä

    Edut



    3. Alhainen hinta luokkaasi varten.
    4. Suojaus hyökkäyksiä vastaan ​​NAT:lla, + mahdollisuus syöttää sääntöjä verkkotunnusten, osoitteiden jne. kieltämiseksi.


    7. Mahdollisuus luoda suojattuja yhteyksiä Internetiin (VPN) viestintää varten muiden toimistojen kanssa.
    8. Mahdollisuus järjestää pääsy paikallisverkon sisäisiin resursseihin.
    9. Mahdollisuus tukea mobiilikäyttäjiä (Wi-Fi).
    10. Mahdollisuus liittää verkkotulostin.

    Vikoja:


    2. Samanaikaisesti työskentelevien työntekijöiden lukumäärälle on asetettu laitteistorajoituksia. DI-laite pystyy käsittelemään jopa 2000 samanaikaista yhteyttä ilman havaittavaa suorituskyvyn heikkenemistä.
    3. Laite on herkkä sisältä tuleville hyökkäyksille, esim. verkkovirukset. Tällaisilla hyökkäyksillä laitteen kuormitus kasvaa jyrkästi.
    4. Itse laite on huonosti suojattu standardista verkkohyökkäykset. Tässä tapauksessa nämä organisaatiot ja tietokoneet eivät yleensä kärsi.
    5. Tilastot työntekijöiden kanavan käytöstä eivät ole riittävän yksityiskohtaisia.

    Ratkaisun arvioitu hinta

    D-Link DI-604

    D-Link

    asetukset

    Softmart

    Kaikki yhteensä

    DFL-perheen laitteet ovat jo korkean suorituskyvyn palomuureja, jotka on varustettu kaikilla ajateltavilla ja uusilla ratkaisuilla paikallisen verkon ja organisaation resurssien suojaamiseen tunkeutumiselta. Riippuen tietty malli Laite voidaan varustaa esimerkiksi:
    tunkeutumisen havainnointijärjestelmä IDS
    havaitsemisjärjestelmät tyypillisiä hyökkäyksiä ja niiden heijastukset
    kaistanleveyden hallintajärjestelmä
    kuorman tasausjärjestelmä
    VPN

    Sinun on valittava malli verkossa olevien tietokoneiden määrän ja suojausvaatimusten perusteella. On parasta ottaa yhteyttä D-Link Solutions Consultant -konsulttiin saadaksesi apua.

    Edut:

    1. Laitteistoratkaisut ovat erittäin luotettavia, kompakteja ja vaatimattomia.
    2. Itse laitteet ovat hyvin suojattuja Internetin hyökkäyksiltä ja suojaavat hyvin organisaation paikallisverkon kehän.
    3. Suojaus verkkohyökkäyksiä vastaan, mukaan lukien: SYN, ICMP, UDP Flood, WinNuke, porttiskannaus, huijaus, osoitehuijaus, palvelunesto jne.
    4. Kun järjestelmä on määritetty, se ei vaadi lisäsäätöä.
    5. Ei ole erillistä tietokonetta - yhdyskäytävää.
    6. Helppo asennus ja asetus.
    7. Alhainen hinta luokassaan.
    8. Mahdollisuus luoda suojattuja yhteyksiä Internetiin (VPN) yhteydenpitoa varten muiden toimistojen kanssa.
    9. Mahdollisuus järjestää pääsy paikallisverkon sisäisiin resursseihin.

    Vikoja:

    1. Asennuksen saa suorittaa pätevä teknikko.
    2. Tilastot työntekijöiden kanavan käytöstä eivät ole riittävän yksityiskohtaisia.

    Ratkaisun arvioitu hinta

    D-Link DFL-100

    D-Link

    $200

    asetukset

    Softmart

    Kaikki yhteensä

    $230

    Johtopäätös

    Kaikesta valinnanvarasta huolimatta se näyttää meiltä eniten optimaalinen ratkaisu pienelle organisaatiolle on edelleen olemassa ratkaisu, joka perustuu johonkin DI-perheen D-Link-laitemalleista. Laitteet ovat yksinkertaisia, kompakteja, edullisia ja varsin toimivia. Ainoa asia, josta DI-ratkaisuja voidaan moittia, on välityspalvelinten joidenkin ominaisuuksien puute, esimerkiksi tilastot työntekijöiden ladattujen tietojen määrästä. Loppujen lopuksi palveluntarjoajat käyttävät yleensä näitä tietoja laskuttamaan kanavan käytöstä. Jos tämä toiminto on elintärkeä organisaatiollesi, sinun kannattaa lisäksi harkita välityspalvelimen ostamista, esimerkiksi UserGate eSafeLine-sivustolta. Älä vain unohda, että välityspalvelin vaatii lisätietokoneen ostamisen.

    Lisää tästä aiheesta:

    Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
    Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
    Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä