Vakioratkaisuja Internet-yhteyden järjestämiseen pienille organisaatioille. Suojaus MAC-tulvahyökkäyksiä vastaan. Käyttöönotto ja työskentely SQUIDin kanssa

Internet-käytön etähallinta (lapsilukko)

Tässä oppaassa kuvataan käyttöjärjestelmiä käyttävien tietokoneiden asennusprosessi Windows-perhe XP, 7 tai Linux (Ubuntu) varten kaukosäädin pääsy Internet-sivustoille.

Käsikirja ei kuvaile yksityiskohtaisesti, kuinka Rejector-palvelun kanssa työskennellään, josta keskustellaan alla, sen avulla voit vain määrittää tietokoneesi siten, että sen ominaisuudet hyödynnetään täysimääräisesti.

Kaikki käytetyt työkalut ovat ilmaisia ​​tai avoimen lähdekoodin ohjelmia.

Johdanto

Internet on erinomainen työkalu opiskeluun, rentoutumiseen tai ystävien kanssa kommunikointiin. Mutta verkon lisäksi hyödyllistä tietoa, siellä on myös jotain ei-toivottua lapsellesi. Lisäksi useiden tuntien Internetissä surffaaminen voi häiritä sinua muista tärkeistä toiminnoista, kuten kotitehtävistä, urheilusta, nukkumisesta tai seurustelusta ikätovereiden kanssa. Siksi on välttämätöntä seurata lapsen verkkotoimintaa.

On olemassa monia erilaisia ​​menetelmiä valvontaa, mutta ne eivät aina ole tehokkaita. Taivuttelu ja opettavaiset keskustelut voivat toimia hyvin lyhyen aikaa, koska Internetissä oleminen voi valloittaa lapsen niin paljon, että hän unohtaa kaiken suostuttelun. Ja kiellot voivat vaikuttaa kielteisesti hyödyllisten taitojen kehittymiseen Internetissä etsimiseen ja oppimiseen.

Tällaisissa tapauksissa erikoisohjelmat verkkoon pääsyn rajoittamiseksi ja hallitsemiseksi auttavat sinua. Niiden avulla voit suojata lastasi negatiivisia vaikutuksia Internet, mutta samalla tarjoavat toimintavapauden. Yksi tällainen työkalu on Rejector Internet Access Control System.

Rejector on keskitetty projekti, jolla valvotaan pääsyä Internetiin. Sen avulla voit suojata lapsia ja nuoria vaarallisilta tiedoilta. Pohjimmiltaan Rejector on DNS-palvelin, jolla on mahdollisuus ohjata sitä etänä.

Kuinka se toimii?

Rekisteröidyt, lisäät IP-osoitteesi, määrität pääsyasetukset. Voit käyttää palvelua ilman rekisteröitymistä, mutta silloin et voi käyttää kaikkia sen ominaisuuksia.

Tietokoneesi on määritetty niin, että kaikki DNS-pyynnöt lähetetään Rejector DNS -palvelimille 95.154.128.32 ja 176.9.118.232.

Jokainen pyyntö tarkistetaan asetuksiesi perusteella, kuten estetyt luokat tai sivustot, sallitut tai estetyt sivustot, kirjanmerkkiluettelot tai huijaussivustot, ja jos pyyntö estetään, pyyntö ohjataan estosivulle.

Voit muokata tätä sivua haluamallasi tavalla.

Sallitut pyynnöt, jotka läpäisevät tarkistuksen, menevät yleiseen pyyntövälimuistiin nopeaa toimitusta varten kaikille asiakkaille.

Lisää Yksityiskohtainen kuvaus Löydät Rejector-tuotteen viralliselta verkkosivustolta rejector.ru

Ohjeet järjestelmän käyttöönottoon

1. Luo käyttäjä, jolla on normaalit oikeudet

Tyypillisesti käyttöjärjestelmää asennettaessa luodaan käyttäjä, jolla on järjestelmänvalvojan oikeudet. Tällainen käyttäjä voi tuottaa kaiken mahdollisia toimia, jonka käyttöjärjestelmä tarjoaa, kunnes itse järjestelmä poistetaan.

Sulkeaksemme pois kaiken meidän lisätoimia Ohjaamamme käyttäjän puolelta luomme käyttäjän, jolla on rajoitetut oikeudet, ja Järjestelmänvalvojalle käytämme salasanaa.

Windowsissa tämä tehdään Ohjauspaneelin kautta. V Linuxin luominen käyttäjä on käytettävissä järjestelmäasetusten kautta.

2. Määritä verkkoyhteys

Rejector on palvelu, joka on pohjimmiltaan DNS-palvelin. Jotta voit työskennellä sen kanssa, sinun on ensin määritettävä verkkoyhteys niin, että DNS-kyselyt lähetetään Rejector DNS -palvelimille 95.154.128.32 ja 176.9.118.232.

Tämä tehdään eri tavalla Windowsissa ja Linuxissa.

Windows XP

Windows Vista

Tarkemmat ohjeet löytyvät osoitteesta

Windows 7

Tarkemmat ohjeet löytyvät osoitteesta

Useimmissa käyttöjärjestelmissä Linux-perhe käytetään verkon määrittämiseen Verkko-ohjelma Manager. Jos haluat vaihtaa DNS-palvelimen, toimi seuraavasti:

Paina yhteysilmaisimen RMB-näppäintä ja sisään kontekstivalikko, valitse kohde Vaihda yhteys

Jos käytät DHCP-palvelinta muodostaessasi yhteyden Internetiin, IPv4-parametreja muutetaan Asetusmenetelmä päällä Automaattinen (DHCP, vain osoite)

Kentällä DNS-palvelimet kirjoita kaksi osoitetta erotettuina pilkuilla 95.154.128.32, 176.9.118.232

Yhteyden muodostaminen Kaikkien käyttäjien käytettävissä Ja Automaattisesti yhdistetty

3. Rekisteröidy Rejector-verkkosivustolla

Periaatteessa tästä voisi aloittaa. Mutta nyt, kun yksi vaikeuksista on takanamme, teemme tämän helposti ja yksinkertaisesti. Seuraa linkkiä ja täytä yksinkertainen ilmoittautumislomake.

4. Lisää hallittu verkko

Palveluun rekisteröitymällä voimme luoda tarvittavan määrän verkkoja tai, mikä on periaatteessa sama asia - asiakkaita, joita hallitsemme. Verkot (asiakkaat) tunnistetaan palvelussa niiden IP-osoitteen perusteella. Siksi, jotta voit hallita tietokoneen Internet-käyttöä, sinun on tiedettävä sen IP-osoite. Toistaiseksi luodaan verkko Ohjauspaneelin kautta Rejector-verkkosivustolla osoitteessa.

Täytä Lisää verkko -lomake. Verkon nimi - Tässä voit ilmoittaa lapsesi nimen, jos hänellä on oma tietokone ja haluat hallita sitä. Tila- todennäköisesti sinulla on Dynaaminen IP-osoite(harvinaiset palveluntarjoajat tarjoavat asiakkailleen staattisen osoitteen ilmaiseksi), joten valitsemme tämän kytkimen. Verkon tunnus- voit kirjoittaa latinaksi ensimmäiseen kenttään määrittämäsi nimen.

5. IP-osoitteen lähettäminen

Jotta palvelu toimisi, sen on jatkuvasti ”tietävä” asiakkaan IP-osoite, joka voi vaihdella yhteydestä toiseen (dynaaminen IP-osoite). Tämä on tämän oppaan tärkein ongelma.

Palvelukehittäjät itse tarjoavat Rejector Agent -ohjelman, joka lähettää asiakkaan IP-osoitteen palvelimelle. Tämä ohjelma ei kuitenkaan voi toimia itsenäisesti. Siksi hyödynnämme toista tarjottua mahdollisuutta. Nimittäin päivitys HTTP-pyynnöllä (kuvaus linkissä).

Tarvitsemme Curl-ohjelman päivittääksemme asiakastiedot HTTP-pyynnön kautta taustalla. Tämä ohjelma pystyy lähettämään HTTP-lähetyksiä Internetiin komentorivin kautta. Asetamme tämän ohjelman parametrit komentosarjassa; Windowsille tämä on bash-tiedosto Linuxille - sh.

Curl on vapaasti saatavilla ja sillä on Windows-versio, joten käytämme sitä molemmissa ympäristöissä. varten Windows uusin Ohjelmaversion voi ladata linkistä. Asentaaksesi pura syntyneen arkiston sisältö C:\WINDOWS\SYSTEM32-kansioon (tämä helpottaa ohjelman käynnistämistä). Linux-käyttöjärjestelmässä se on todennäköisesti jo asennettu.

6. Komentosarja IP-osoitteen säännölliseen päivittämiseen

Sivusto tarjoaa seuraavan HTTP-pyynnön http://käyttäjänimi: [sähköposti suojattu]/ni...,
joka päivittää IP-osoitteen arvon. Korvaamme sen curl-ohjelman parametrina.

Osoitteen päivityspyyntö tulee lähettää tietokoneelta, jota haluamme hallita. Koska tekstipääte käsittelee komentoja erityisellä tavalla, pyyntötekstiä jouduttiin hieman muuttamaan. Alla on skriptiteksti Windowsille ja Linuxille.

Windowsille

:silmukka
kihara "http:// login%%40mail-server.com:Salasana@updates.rejector.ru/nic/update?hostname= net-nimi"
# Tee 300 sekunnin viive
ping -n 300 127.0.0.1 > NUL
kaiku 111
meni silmukkaan

Missä login%%40mail-server.com on sinun Postilaatikko, jota käytettiin rekisteröitymiseen Rejectorissa (@-merkki korvattiin %%40); salasana - salasana; net-nimi on verkon nimi Rejector-palvelussa. Aseta komentosarjan teksti tavalliseen tekstitiedostoon, vaihda pääte .bat ja saat suoritettavan skriptin.

Linuxille

#! /usr/bin/sh
vaikka totta; tee curl -u [sähköposti suojattu]:password "http://updates.rejector.ru/nic/update?hostname=... uni 300; valmis;

Kaikki tässä on samanlainen kuin Windows-merkintä. Kirjoita tämä teksti tekstitiedostoon, jonka tunniste on sh.

Molemmat skriptit sisältävät Rejector-tilin salasanan avoin lomake, joten on välttämätöntä piilottaa niiden sisältö katselulta tavallinen käyttäjä. Tämä toteutetaan eri tavalla Linuxissa ja Windowsissa

Tämän luoman tiedoston katselun ja muokkaamisen estämiseksi on tarpeen muuttaa tiedoston omistaja ja ryhmä rootiksi ja estää kaikilta paitsi omistajalta pääsy tiedostoon. Jos sinulla on komentorivitaidot, sinun on käytettävä komentoa CD komentosarjatiedoston sisältävään hakemistoon ja suorita komento chown root:root skcrypt.sh Ja chmod 700 script.sh.,Jos haluat tehdä saman graafisessa kuoressa, sinun on ensin suoritettava Tiedostonhallinta järjestelmänvalvojan oikeuksilla, etsi komentosarjatiedosto ja muuta Oikeudet, kontekstivalikon avulla.

Menemättä siihen, kuinka voit muuttaa tiedostojen käyttöoikeuksia kuten Linuxissa, käytin seuraava ratkaisu. Muutetaan omamme suoritettava tiedosto EXE-tiedostoon piilottaaksesi sen sisällön. Tätä tarkoitusta varten käytämme ilmaista ohjelmaa Bat To Exe -muunnin. Suosittelen lataamaan sen venäläistetty versio linkistä tai ohjelman viralliselta verkkosivustolta. Ohjelma ei vaadi toiminnassa mitään selityksiä. Syötteeseen laitamme bat-tiedostomme, ulostuloon saamme exe-tiedoston.

7. Aseta se käynnistymään automaattisesti

Viimeinen askel on vielä otettava. Tehdään se automaattinen käynnistys ohjelmat sekä järjestelmän käynnistys. Tämä tehdään eri tavalla Linuxissa ja Windowsissa.

Kirjaudumme sisään järjestelmänvalvojana ja siirrämme suoritettavan file.exe-tiedoston PogramFiles-kansioon. Löydämme kansion käyttäjän kotihakemistosta Päävalikko, sen sisällä Ohjelmat, Autorun johon asetamme ohjelmamme pikakuvakkeen (tämä voidaan tehdä vetämällä itse ohjelmaa pitäen samalla Shift-näppäintä painettuna). Valmis.

Aseta suoritettava tiedosto kansioon /usr/bin. Muokataan tiedostoa paikallisten järjestelmäsovellusten käynnistämistä varten /etc/rc.local, lisäämällä siihen rivin ennen poistu 0.

/usr/bin/script.sh

Missä script.sh- tiedostomme nimi.

Tämä päättää järjestelmän asennuksen. Voit siirtyä Rejector-palveluun ja määrittää verkon toimintatilan.

Kaikki lisää Yritysten on nykyään välttämätöntä yhdistää tietokoneverkkonsa Internetiin. Internet-palveluntarjoaja (ISP) on yleensä vastuussa pääsykanavan toiminnasta, mutta myös Järjestelmänvalvoja Pienenkin yrityksen tietokoneverkon on ratkaistava useita organisatorisia ja teknologisia ongelmia. Tässä artikkelissa emme harkitse postipalvelut, IP-puhelut ja virtuaaliset yksityisverkot (VPN), mutta rajoitamme pääsyn Web- ja ftp-palveluihin, jotka perustuvat FreeBSD-käyttöjärjestelmään ja SQUID-välityspalvelimeen. yritysverkosto, joka kattaa jopa 100 työpaikkaa.

Kaksi tapaa

On olemassa kaksi päätapaa tarjota yritysverkon käyttäjille pääsy Web- ja FTP-palveluihin: reitityksen (broadcast) tai välityspalvelimen kautta.

Ensimmäisessä tapauksessa (kuva 1) pääsy annetaan sen tietokoneen IP-osoitteen perusteella, jolla työntekijä työskentelee. Tällainen järjestelmä voidaan täysin toteuttaa perustuen ohjelmistoratkaisu- FreeBSD-käyttöjärjestelmän yhdyskäytävä ja IPFW-palomuuri. Lisäksi on olemassa monimutkaisia ​​erikoistuneita laitteisto- ja ohjelmistoyhdyskäytäviä. Päätetyöasemille pääsyn järjestäminen IP-osoitteiden mukaan on teknisesti mahdotonta, koska ne kaikki käyttävät samaa päätepalvelimen IP-osoitetta.

Käyttäjien työasemien yhdistämiseksi Internet-kanavaan käytetään yhdyskäytävää x86-palvelimen muodossa, johon on asennettu FreeBSD-käyttöjärjestelmä, NATD-ohjelmaa (joka tarjoaa sisäisten IP-osoitteiden käännöksen palvelimen todelliseksi IP-osoitteeksi ja takaisin), IPFW. , aktivoitu reititys ja kaksi verkkoliitäntää: yksi niistä "katsoo" kohti paikallisverkkoa, toinen on kytketty palveluntarjoajaan. Jokaisella asiakaskone Verkkokortin TCP/IP-protokollan ominaisuuksissa sinun on rekisteröitävä yhdyskäytävän IP-osoite.

Toisessa tapauksessa käyttäjä valtuutetaan käyttämällä työntekijälle osoitettua pääsynimeä (kirjautumistunnusta) ja salasanaa. Tämä vaihtoehto voidaan toteuttaa erityisesti SQUID-välityspalvelimen ja ncsa_auth-todennusjärjestelmän avulla. Tarkastellaan tyypillistä mallia (kuva 2), jossa SQUID on asennettu verkkoyhdyskäytävään: palvelin "katsoo" yhdellä rajapinnalla paikallisverkkoon ja toinen on kytketty Internet-kanavaan. Tällä asetuksella SQUID ei vaadi NATD:tä tai reititystä toimiakseen Internetissä (HTTP:n, FTP:n ja DNS:n kautta) paikallisverkon koneissa, koska SQUID lähettää kaikki pyynnöt Internet-resursseihin "itsestään" - IP-osoitteella. ulkoinen käyttöliittymä yhdyskäytävä. Asiakastietokoneiden DNS-palvelu voidaan poistaa käytöstä, koska SQUID itse käyttää DNS:ää.

Riisi. 2. Internet-yhteys välityspalvelimen kautta.

Tyypillisesti yritysverkko käyttää sähköpostia ja tarvitsee edelleen reitityksen ja NATD:n yhdyskäytävässä toimiakseen, mutta HTTP:n yli kulkevaan Webmailiin riittää SQUID-välityspalvelin.

SQUID välittää Internetistä "ladattuja" tietoja käyttäjälle ja tallentaa ne välimuistiinsa. Kun pyyntö toistetaan, nämä tiedot haetaan välimuistista (jos Web-sivu tietysti sallii välimuistin), mikä on paljon nopeampaa eikä vie pääsykanavaa. Tehokkaamman käytön lisäksi kaistanleveys kanavalla on myös säästöä liikenteen määrässä (tekijän mukaan keskimäärin kuukaudessa 13%). Välimuistin tiedot voivat päivittyä itse välityspalvelimen asetuksista riippuen. Kun napsautat selaimen ohjauspaneelin "Päivitä"-painiketta, välityspalvelin pakottaa tiedot Web-palvelimelta, vaikka se olisi sen välimuistissa ja se ei olisi vanhentunut (ja samalla päivittää ne välimuistiin ). Mutta jotkin Web-sivustojen sivut on erityisesti merkitty ei-välimuistiin, esimerkiksi merkityksellisyyden lisäämiseksi.

Itse pääsyn lisäksi järjestelmänvalvojan on ratkaistava myös pääsyn valtuuttamiseen, Internetin liikenteen ja käyttöajan laskentaan sekä yrityksen lähiverkon turvallisuuden varmistamiseen liittyvät ongelmat. On myös tarpeen määrittää säännöt Internet-kanavien kaistanleveyden jakamisesta verkon käyttäjien kesken ja Internet-resurssien käyttöä koskevat säännöt; Sinun on ehkä asetettava muita rajoituksia käyttäjille.

Kaikilla näillä toimenpiteillä on omat ominaisuutensa valitusta pääsytyypistä riippuen (IP-osoitteen tai välityspalvelimen kautta).

Todennus

Tietokoneen IP-osoitetta käyttävä todennus ei tarjoa salasanasuojausta Internet-yhteyteen. Käyttäjät, jotka tietävät pääsyn salasanat työympäristö Muiden yrityskoneiden käyttöjärjestelmät voivat toimia erilaisia ​​tietokoneita. Siksi, jos useat työntekijät käyttävät yhtä tietokonetta Internet-työskentelyyn, heidän liikennettä on mahdotonta erottaa kirjanpidossa.

On mahdollisuus huijata IP-osoite; Totta, on myös vastatoimivaihtoehto - staattinen ARP pöytä(Osoite Päätöslauselmapöytäkirja- protokolla IP-osoitteiden muuntamiseksi MAC-osoitteiksi/verkkokorttien laitteisto-osoitteiksi) yhdyskäytävässä, johon rekisteröidään IP-osoitteen ja työaseman verkkokortin MAC-osoitteen välinen vastaavuus. Yleensä IP-todennuksella ei ole riittävää joustavuutta ja luotettavuutta, ja se mahdollistaa vain liikenteen kokonaismäärän laskemisen.

Välityspalvelimen tapauksessa yritysverkon käyttäjille, jotka ovat saaneet Internet-käyttöluvan (HTTP, FTP, ICQ), määritetään tunnistepari: sisäänkirjautuminen ja salasana. Tämä malli mahdollistaa myös eri käyttäjien pääsyn Internetiin yhdeltä tietokoneelta (pääasia on, että välityspalvelimen parametrit on määritetty asiakasohjelmissa). Liikennetallenne säilytetään jokaisesta käyttäjästä (kirjautumisesta) erikseen. Todennuksen tarjoaa SQUID-välityspalvelin, joka käyttää FreeBSD-käyttöjärjestelmää, ja ncsa_auth-ohjelmistoalijärjestelmä tallentaa salasanat salatussa MD5-muodossa. SQUID voi käyttää erilaisia ​​ulkoisia todennusmekanismeja.

Internetissä välityspalvelimen kautta työskentelyä tulee tukea asiakasohjelmiston: sen asetuksissa määritetään välityspalvelimen DNS- tai IP-osoite sekä sen TCP-portti. Kaikki nykyaikaiset selaimet ja ICQ-asiakas tukevat välityspalvelimen kautta työskentelyä ja sen todennusta. Todennus voi tapahtua joka kerta, kun muodostat yhteyden (käyttäjätunnusta ja salasanaa pyydetään) tai pysyvää (ei vaadi käyttäjänimen ja salasanan syöttämistä, mutta käyttäjätunnus välityspalvelimen todennusluettelosta ja salasana määritetään asiakasohjelman asetuksissa). Todennus tapahtuu kerran ja on voimassa, kunnes asiakasohjelma suljetaan. Kun käyttäjä lopettaa Internetin selaamisen, käyttäjä yksinkertaisesti sulkee selaimen ja lopettaa siten sallitun istunnon.

Liikennekirjanpito

Työasemien IP-osoitteiden liikenteen laskenta tapahtuu käyttämällä FreeBSD OS -ytimeen sisäänrakennettua ohjelmistopalomuuria IPFW:tä. Jotta käyttäjäliikenne voidaan ottaa luotettavasti huomioon tämän käyttöoikeusjärjestelmän avulla, työntekijöiden tulee käyttää Internetiä vain heille määrätyiltä työasemilta, mikä luonnollisesti rajoittaa heidän työn joustavuutta ja liikkuvuutta.

Tästä huolimatta tällä lähestymistavalla on myös etunsa - tarkempi kirjanpito liikenteen kokonaismäärästä IP-protokollan yli. Tämä menettely toteutetaan asettamalla kaksi IPFW-palomuurin COUNT-sääntöä:

Count ip mistä tahansa sisään kautta de0 count ip mistä tahansa mihin tahansa ulos kautta de0

Ensimmäinen sääntö ottaa huomioon tulevan virtauksen, toinen - lähtevän virtauksen. Tässä de0 on yhdyskäytävän ulkoinen verkkoliitäntä, jolla on todellinen IP-osoite Internetissä. Samaan aikaan tällä mallilla on mahdotonta kirjata käyttäjien vierailemien resurssien nimiä sekä ladattujen tiedostojen nimiä ja kokoja.

Välityspalvelinta käytettäessä liikenne tallennetaan HTTP-protokollalla, ja tällaisen tiedon määrä on pienempi kuin IP-liikenteen määrä. Mutta käyttäjän todentaessaan SQUID tallentaa kaikki pyyntöjen tiedot (sivustojen DNS-osoitteet, pyynnön vastaanottoaika, ladattujen tiedostojen määrä, lähde - SQUID-välimuisti tai Internet) jokaisen käyttäjän lokiin riippumatta käyttäjän IP-osoitteesta. asiakaskoneeseen.

Internet-yhteyden suojaus

Fyysisen Internet-kanavan yhdistäminen suoraan yritysverkkoon merkitsee yrityksesi työpaikkojen siirtämistä ruuhkaiselle alueelle. Paikallisessa verkossa kiertävä tieto on pääsääntöisesti kriittistä yrityksen toiminnalle ja haitallinen vaikutus virukset (esim. sähköposti), hyökkäys ulkopuolelta tai tietovuoto sisältä voivat häiritä sen toiminnan kokonaan.

Virusten haitallisia vaikutuksia tuskin voi aliarvioida, mutta ratkaisu tähän ongelmaan riippuu 90 % käyttäjien tietoisuudesta - käynnistääkö joku sähköpostiin liitetyn viruksen. Virushyökkäykset voidaan estää ja heijastua virustorjuntaohjelmat sähköpostipalvelimilla (Dr.Web, McAfee, Kaspersky Anti-Virus Business Optimal jne.) ja käyttäjien tietokoneilla ( Norton Antivirus, vastaavat Kaspersky Labin tuotteet jne.). Tärkeintä on virustentorjuntatietokantojen oikea-aikainen päivitys.

Ulkoiset hyökkäykset estetään sen mukaan, miten yhteys on järjestetty pätevä asennus yhdyskäytävä, välityspalvelimen käyttäminen yhdyskäytävässä ilman NAT:ta ja reititystä sekä välityspalvelimen, sähköpostin ja Web-palvelimen siirtäminen "demilitarisoidulle vyöhykkeelle" (DMZ, Internetistä saatavilla oleva yritysverkon aliverkko).

Yritystietojen vuodot ovat pääasiassa organisatorisia ja niitä on eniten monimutkainen ongelma yrityksen tietoturvapalvelua varten. Olla olemassa teknisiä ratkaisuja, minimoimalla tämän mahdollisuuden: erityisesti sulkemalla kaikki TCP/UDP-portit yhdyskäytävärajapinnassa, joka "katsoi" paikalliseen verkkoon (vain välityspalvelimen portti jää). Reititys ja osoitemuunnos (NAT) Internetin ja yritysverkon sisäisten ("harmaiden") IP-osoitteiden välillä on poistettava käytöstä.

Lueteltuja toimenpiteitä käytetään, kun välityspalvelin on asennettu yhdyskäytävään, mutta järjestelmää, jossa on välityspalvelin, joka sijaitsee DMZ:ssä, pidetään turvallisempana.

Täydellisimmän suojan tarjoaa paikallisen yritysverkon ja Internetin fyysinen erottaminen. Tässä tapauksessa yritys järjestää Internetissä työskentelyä varten tietokoneverkon, jota ei ole yhdistetty paikalliseen verkkoon tiedonsiirtokanavilla. Sähköpostilla lähetettävät tiedot siirretään osoitteeseen irrotettava tietoväline(esim. CD-levyt), jotka turvallisuuspalvelu tarkistaa ja salataan esimerkiksi PGP:llä - ilmainen ohjelma salaus sähköpostiviestejä ja tiedostot.

Kanavakapasiteetin jakelu

IP-käyttöjärjestelmässä kanavan kaistanleveyden jakaminen käyttäjien kesken voidaan toteuttaa FreeBSD OS:n IPFW-palomuurin Pipesillä, ja SQUID-välityspalvelimen tapauksessa sen delay_pools-mekanismia voidaan käyttää.

Palvelin määrittää käyttäjän pyytämän tiedoston koon, ja jos tämä koko ei ylitä asetettua arvoa, tiedosto ladataan suurimmalla mahdollisella nopeudella. Jos tiedosto on suurempi, se siirretään tietyllä rajoitetulla nopeudella. Tämä mekanismi ei koske kaikkia käyttäjiä, vaan vain niitä, jotka on lueteltu ACL-luetteloissa (Access Control List - nimetty objektiryhmä, johon erilaisia ​​rajoituksia), jonka avulla voit määrittää erittäin joustavasti eri käyttäjäryhmien työn prioriteetit.

Samalla, jos sisään Tämä hetki Vain yksi käyttäjä on käynnissä, häneen sovelletaan edelleen nopeusrajoituksia suuria tiedostoja ladattaessa. IPFW, toisin kuin SQUID:n delay_pools, mahdollistaa dynaamisen kanavajaon toteuttamisen.

Pääsy resursseihin ja muut rajoitukset

IP-mallissa rajoitukset ovat mahdollisia vain palvelimen IP-osoitteille ja TCP/UDP-porteille. Tämä on hankalaa, koska nykyään HTTP v1.1 -protokollaan perustuva Apache-verkkopalvelimen Virtual Hosts -mekanismi on yleinen, kun yksi Web-palvelin yhdellä IP-osoitteella palvelee useita sivustoja, joilla on eri DNS-nimiä.

SQUID päinvastoin tarjoaa erittäin joustavia mekanismeja käyttäjien Internet-resurssien hallintaan ACL-luetteloiden avulla. Tämä voi olla esimerkiksi pääsy tietty aika, viikonpäivä, kuukausi; lupa/kopiointikielto tietyntyyppiset tiedostot, resurssin, jonka nimi sisältää tietyn avainsanan, käyttöoikeus/estäminen.

IPFW-yhdyskäytävän määrittäminen

Yhdyskäytävän rooli on tietokone, jossa on kaksi verkkoliitäntää (toinen on yhteydessä Internetiin ja jolla on todellinen IP-osoite, ja toinen "katsoi" yritysverkkoa ja tunnistetaan sen aliverkon IP-osoitteesta), jossa FreeBSD-käyttöjärjestelmä on asennettu (http://www.freebsd.org). FreeBSD on helppo asentaa, luotettava, ilmainen ja sisältää melkein kaiken mitä tarvitset verkkopalvelin yrityksen mittakaavassa.

FreeBSD-käyttöjärjestelmän asennusprosessi, verkkoliitäntöjen konfigurointi, IPFW:n, NATD:n käynnistäminen ja konfigurointi, reititys - yleensä kaikki, mitä tarvitaan Internet-yhdyskäytävän määrittämiseen (sekä IP:n kautta että SQUID-välityspalvelimen avulla, paitsi itse SQUIDin määrittäminen) on kuvattu yksityiskohtaisesti M. Ebenin ja B. Tymanin kirjassa "FreeBSD. User Encyclopedia" (Kiova: Diasoft, 2003).

Sinun on määritettävä IPFW-ohjelmisto molemmissa Internet-yhteyden järjestämisvaihtoehdoissa. IPFW suodattaa ja laskee IP-paketit kaikissa verkkoliitännöissä. Ohjelma käsittelee myös paketteja lisää korkeat tasot: UDP, TCP ja ICMP. Lisäksi IPFW osallistuu NATD:n työhön. Kun määrität ipfw-sääntöjä, kirjoittaja suosittelee trafshow-apuohjelman käyttöä verkkoon tulevien ja verkkoon tulevien puheluiden ohjaamiseen kaikilla liitännöillä, jotka osoittavat ulkoisten koneiden, protokollien ja porttien IP-osoitteet reaaliajassa. Tiimi

Trafshow -i fxp0 -n

asettaa pakettien näyttämisen fxp0-rajapinnassa porttinumeroineen ja komennon kanssa

Ipfw - luettelo

näyttää ipfw-säännöt, pakettien määrän ja liikenteen määrän (tavuina), joka on kulunut sen jälkeen, kun palvelin käynnistettiin tai sääntölaskurit viimeksi nollattiin.

Käyttöönotto ja työskentely SQUIDin kanssa

SQUID-välimuistipalvelin (http://www.squid-cache.org) Unix-alustalla on ilmainen ohjelmisto, jossa avoin lähdekoodi. Se on helppo määrittää, hyvin dokumentoitu, laajalti levitetty ja helposti integroitavissa FreeBSD-käyttöjärjestelmän kanssa. SQUID antaa sinun järjestää erilaisia ​​todennustyyppejä, kun käytät Internetiä, rajoittaa pääsyä minkä tahansa parametrin (verkkotunnuksen, avainsana osoitteessa, protokollassa jne.) ACL-luetteloiden perusteella.

Kun käytät SQUID:ia yhdyskäytävässä, on välttämätöntä estää paikallisten koneiden pääsy ulkoisiin osoitteisiin (ja päinvastoin) ja sallia pääsy paikallisverkosta vain välityspalvelinporttiin paikallisessa rajapinnassa. NAT ja reititys yhdyskäytävässä, jos niitä ei tarvita SMTP:tä tai muita palveluita varten, tulee myös poistaa käytöstä.

SQUIDin ja sen valtuutusjärjestelmän asennuksen, määrityksen ja käynnistämisen jälkeen järjestelmänvalvoja voi vain lisätä ja poistaa käyttäjiä. Riittää, kun luodaan käyttäjätiedot vain SQUIDissa, koska se ei kuulu välityspalvelimen käyttöjärjestelmäympäristöön, eikä näin ollen tarvitse luoda käyttöjärjestelmän käyttäjän tunnistetietoja. Kun squid.conf-tiedostoon on tehty muutoksia tai käyttäjiä on lisätty/poistettu, SQUID:n tulee lukea kokoonpanonsa uudelleen sulkematta olemassa olevia käyttäjäistuntoja komennolla

Squid -k määritä uudelleen.

Kun luot SQUID-käyttäjää käyttämällä ncsa_authia, sinun on määritettävä käyttäjän kirjautuminen ja salasana kahdessa asetustiedostossa; esimerkissämme se näyttää tältä:

/usr/local/etc/squid_users /usr/local/etc/passwd

Käyttäjätunnus (sisäänkirjautuminen) lisätään yksinkertaisesti ensimmäiseen tiedostoon uudella rivillä käyttämällä tekstieditori. Toinen tiedosto tallentaa käyttäjien salasanat (MD5:ssä), ja voit lisätä tilin tähän tiedostoon vain Apache-verkkopalvelimen mukana tulevalla htpasswd-apuohjelmalla.

SQUID-välimuistin sisältöä on tarkkailtava ja se ajoittain tyhjennettävä, jotta vältytään tiedostojärjestelmän ylivuodosta käyttämällä squid -Z -komentoa.

Asiakasasetuksissa selaimen ominaisuuksissa ja ICQ asiakkaat Sinun on määritettävä välityspalvelimen IP-osoite ja portti. Esimerkissämme tämä on IP:192.168.1.8 ja portti 3128 (tätä porttia käytetään oletuksena). Jos ICQ-ohjelma on määritetty toimimaan välityspalvelimen kautta, se käyttää ICQ-palvelimien 443. eikä 5190. TCP-porttia, mikä on myös otettava huomioon palomuureja määritettäessä. SQUID:ia käytettäessä on tarpeen estää paikallisten koneiden pääsy Internet-palvelimien TCP-porttiin 80. Voit yleensä sallia pääsyn vain välityspalvelimen porttiin ja sulkea sen kaikilta muilta, paitsi postia, jotta "edenneet" käyttäjät eivät mene Internetiin ohittaen SQUID:n.

Voit oppia SQUIDin asettamisen monimutkaisuudesta verkkosivustolta http://www.bog.pp.ru/work/squid.html.

Liikenneanalyysi

Tähän tarkoitukseen käytetään ilmaista avoimen lähdekoodin analysaattoriohjelmaa SARG (). Sen työn tuloksena ovat HTML-sivut, jotka näyttävät kaikenlaista tilastotietoa käyttäjien työstä Internetissä. Koko lokijakso analysoidaan, joten on kätevämpää tehdä tarvittavat viipaleet kuun lopussa ja sitten tyhjentää SQUID-loki access.log-komennolla.

Useimmiten kysyttyjä leikkauksia on kahden tyyppisiä. Ensinnäkin Internetistä ladatun tiedon määrän jakautuminen käyttäjien mukaan, yleensä lajiteltuna määrän alenevassa järjestyksessä (kuva 3). Se tarjoaa myös määrällistä tietoa välimuistin tehokkuudesta. Tämän poikkileikkauksen avulla voit analysoida Internetin työn määrää kokonaisuutena ja luokitella käyttäjät heidän Internetissä tekemänsä toiminnan mukaan.

Toinen suosittu osio näyttää ladatun tietty käyttäjä sivustojen tiedot (kuva 4), myös lajiteltuna tietomäärien laskevaan järjestykseen. Tämän osion avulla voit analysoida käyttäjää Internetissä ja selvittää, vastaavatko useimmin pyydetyt sivustot työntekijän työtehtäviä.

johtopäätöksiä

Pohdimme kahta vaihtoehtoa pysyvän yhteyden järjestämiseksi yrityksen verkkoon Internetiin.

Vaihtoehdolla "perustuu IPFW-sääntöjä käyttävien käyttäjien tietokoneiden IP-osoitteisiin" on seuraavat haitat. Ensinnäkin on mahdotonta tarkistaa käyttäjän työn asianmukaisuutta Internetissä, koska IPFW laskee vain kunkin tietylle koneelle määrätyn säännön kokonaisliikenteen, eikä seuraa vierailtuja sivustoja. Toiseksi on mahdotonta valtuuttaa tällä hetkellä Internetissä työskentelevää käyttäjää. Tämä on erityisen tärkeää, jos useat käyttäjät jakavat laitteen. Lopuksi käyttäjä voi huijata IP-osoitetta.

Lisäksi päätepalvelinta käytettäessä on mahdotonta ottaa huomioon eri käyttäjien liikennettä, koska he kaikki työskentelevät samasta päätepalvelimen IP-osoitteesta.

Luetellut haitat heijastavat yksinkertaisesti IP-osoitteiden ja IPFW-kirjanpitojärjestelmän liikenteen kirjanpidon ja hallinnan rajoituksia. IPFW ei ole tarkoitettu suoraan käyttäjäkoneiden liikenteen mittaamiseen, se on työkalu kanavaliikenteen laskentaan.

Täydellisen ja täydellisen ratkaisun ongelmaan tarjoaa järjestelmä, joka käyttää yhdyskäytävää, jossa on FreeBSD-käyttöjärjestelmä, määritetty IPFW-palomuuri ja siihen asennettu SQUID-välityspalvelin, jossa ncsa_auth-todennus on käytössä. Välimuistipalvelimen käyttäminen yritysverkossa säästää jopa 10 % kuukausittaisesta liikenteestä ja nopeuttaa huomattavasti toistuvasti vierailevien resurssien lataamista.

Kaikki tässä ratkaisussa käytetyt ohjelmistot ovat ilmaisia. Sen tuen kustannukset ovat minimaaliset, ja kuten käytäntö osoittaa, FreeBSD+SQUID-järjestelmä on melko luotettava.

SQUID-järjestelmä konfiguroinnin joustavuuden ja liitäntärajapintojen saatavuuden ansiosta ulkoiset moduulit skaalautuu hyvin. SQUID:n luontainen virhe HTTP-liikenteen laskemisessa IP-osoitteeseen verrattuna ei ole olennainen; paljon tärkeämpää on, että käyttäjien Internetissä tapahtuvan työn luotettava määrällinen ja laadullinen seuranta on mahdollista järjestää käyttämällä HTTP-protokollat, HTTPS ja FTP ja erottele käyttöoikeudet ja prioriteetit.

Välityspalvelin pystyy toimimaan melko vähätehoisella koneella, esim Celeron prosessori 1 GHz:n taajuus, 128 Mt muistia ja 20 Gt:n kiintolevy (tämä kokoonpano on tällä hetkellä käynnissä yrityksessämme ja palvelee 30 käyttäjää), ja IP-yhdyskäytävän roolin (FreeBSD, IPFW, NATD) voivat hoitaa Pentium-pohjainen 166 MHz:n tietokone, jossa on 128 Mt muistia.

Pavlov Sergey järjestelmäinsinööri Softmartissa

Tässä artikkelissa esitellään suosituimmat tavat yhdistää pienen organisaation toimisto Internetiin. Artikkelissa ei käsitellä palveluntarjoajan valintaan liittyviä kysymyksiä eikä verkkoon yhdistämisen lopullisen laitteen valintaa. Oletamme, että palveluntarjoaja tarjoaa organisaatiolle seuraavat:

1. Verkkoliitäntä Ethernet RJ45 - vakiona verkkolaitteet paikallisissa verkoissa
2. IP-osoite - yksi tai useampi, pysyvä tai dynaaminen
3. Yhdyskäytävän IP-osoite ja DNS

Otetaan myös pieni kuva organisaatiosta, jolle tämä artikkeli on tarkoitettu:

1. Verkossa olevien tietokoneiden lukumäärä - jopa 30;
2. On yksi verkossa tiedosto palvelin tai palvelin yritysjärjestelmä hallinta;
3. Organisaation verkkopalvelinta ja sähköpostipalvelinta isännöi palveluntarjoaja, eivät yrityksen lähiverkossa.
4. Työntekijät käyttävät Internet-kanavaa ensisijaisesti sähköpostin käsittelyyn ja web-sivujen katseluun;
5. Organisaation tietokoneet ja palvelimet on suojattava luvattomalta käytöltä Internetin kautta.

Mahdolliset, mutta harvoin esiintyvät olosuhteet voidaan myös mainita:

1. Työntekijöiden suojattu yhteys organisaation verkkoon etänä - kotoa tai toisesta toimistosta;
2. Maantieteellisesti sijaitsevien pienten toimistojen turvallinen yhteys;
3. Verkkopalvelinsijoittelut, sähköpostipalvelin, mikä tahansa palvelin sisäinen järjestelmä hallinta organisaation verkostossa tarjouksen kanssa vapaa pääsy työntekijöiltä tai asiakkailta Internetin kautta;

Tällä lähestymistavalla henkilökohtainen tietokone tai palvelin on varattu järjestämään pääsy Internetiin. Palvelin tai PC on varustettu ylimääräisellä verkkokortilla. Toinen niistä muodostaa yhteyden palveluntarjoajan verkkoon, toinen organisaation verkkokytkimeen.
On suositeltavaa käyttää NAT-palvelua yhdyskäytävässä - IP-osoitteiden verkkokäännös.

Tämän ratkaisun edut:

1. Käyttömahdollisuus laajin lista ohjelmisto erilaisten ongelmien ratkaisemiseen, esim.
suojata palvelinta ja verkkoa Internetin hyökkäyksiltä;
palvelimen, liikenteen tai virustentorjuntaan Sähköposti;
suojaamaan roskapostilta;
liikenteen laskemiseen;
hallita organisaation työntekijöiden pääsyä Internetiin;
2. Yksi IP-osoite palveluntarjoajalta riittää.
3. NAT-palvelun avulla saadaan aikaan riittävä paikallisverkon suojaustaso ulkoisilta vaikutuksilta.
4. Palomuurin edullinen hinta, koska henkilökohtaisten tietokoneiden ratkaisut ovat sallittuja.
5. Vain yhdyskäytävätietokone näkyy Internetistä, ja hakkerit voivat hyökätä vain tähän tietokoneeseen. Paikallinen verkko, mukaan lukien palvelimet ja työasemat, ei ole periaatteessa heidän käytettävissään. Siten, jos yhdyskäytävä epäonnistuu, organisaation paikallinen verkko jatkaa toimintaansa.

Vikoja

1. Jos yhdyskäytävätietokonetta käytetään myös tavallisena työpiste joku työntekijä esimerkiksi kustannussäästöjen perusteella, niin se on mahdollista vakavia ongelmia turvallisuudella. Yhdyskäytävällä työskentelevä käyttäjä voi toiminnallaan heikentää palvelimen turvallisuutta. Lisäksi yhdyskäytävän suorituskyvyssä voi olla ongelmia, koska käyttäjä kuluttaa osan tietokoneen tehosta;
2. Yhdyskäytävän käyttäminen organisaation tiedostopalvelimena ei ole suositeltavaa, koska palvelin on saavutettavissa Internetistä. Tarvitaan tehokas palomuuri (ei henkilökohtainen) ja erittäin pätevän asiantuntijan työ yhdyskäytävän suojauksen määrittämiseksi. Tämä on kuitenkin hyvin yleinen kokoonpano pienissä organisaatioissa;
3. Vaatii lisäoston ohjelmisto. NAT-palvelu ei sisälly Windows-käyttöjärjestelmiin paitsi Microsoft Windows XP (NAT toteutettu, mutta tietyin rajoituksin). Palomuurien hinta vaihtelee kymmenistä dollareista useisiin tuhansiin. Ainakin se vaaditaan erikoisohjelma tarjota Internet-yhteys kaikille paikallisverkon käyttäjille. (ohjelmaa kutsutaan välityspalvelimeksi).
4. Tarvitaan lisälaite - verkkokortti.

Tämän ratkaisun käyttöönoton arvioidut kustannukset:

Tällä lähestymistavalla Internetiin pääsyn järjestäminen edellyttää lisämäärän IP-osoitteiden hankkimista palveluntarjoajalta jokaiselle henkilökohtainen tietokone organisaation paikallisessa verkossa. Tämä ratkaisu tarjoaa luultavasti eniten nopea yhteys organisaation työntekijät Internetiin. Tätä ratkaisua käytetään kuitenkin harvoin, kun yrityksessä on enemmän kuin kaksi tietokonetta kahdesta syystä:
1. Palveluntarjoaja on erittäin haluton jakamaan IP-osoitteita ja suosittelee, että vaihdat mihin tahansa muuhun järjestelmään tietokoneiden yhdistämiseksi Internetiin.
2. Tämä päätös mahdollisesti vähiten turvallisin tietojesi suojaamisen kannalta luvattomalta käytöltä ja verkon hyökkäyksiltä.

Edut:

1. helppo asennus tietokoneita.
2. ei tarvitse ostaa ylimääräistä tietokonetta - yhdyskäytävä.
3. ei tarvitse ostaa lisäohjelmistoa - välityspalvelin.

Vikoja:

1. Jokaiseen tietokoneeseen on asennettava kattava turvajärjestelmä.
2. Riippuu palveluntarjoajan kyvystä tarjota useita IP-osoitteita
3. Ei tilastoja kanavan käytöstä

Tämän ratkaisun julkaisun hinta:

Jokaiselle verkossa olevalle tietokoneelle:

Pääsyn järjestäminen D-LINK-laitteiden avulla

D-Link tarjoaa laajan valikoiman laitteita turvalliseen liitettävyyteen pienet organisaatiot Internetiin. Kaikki ratkaisut voidaan jakaa kahteen suureen luokkaan:
1. DI-sarjan reitittimet
2. DFL-sarjan palomuurit

DI-perheen laitteet on suunniteltu erityisesti pienten toimistojen tarkoituksiin ja tehtäviin. Niissä on kaikki tarvittavat toiminnot enemmän kuin kohtuulliseen hintaan. Mallista riippuen laitteet voivat olla varustettu:
palomuuri,
Wi-Fi-tukipiste,
sisäänrakennettu välityspalvelin,
verkkoportti tulostinliitännät,
sisäänrakennettu ADSL-modeemi
VPN-moduuli

Kaikki laitteet tukevat:
1. DHCP (IP-osoitteiden dynaaminen toiminto verkossa oleville tietokoneille)
2. NAT (IP-osoitteiden dynaaminen kääntäminen sisäisestä verkosta Internetin IP-osoitteisiin)
3. Toiminto virtuaalinen palvelin välttämätön pääsyn järjestämiseen paikallinen palvelin internetistä
4. Secure Zone -toiminto, jota tarvitaan useiden paikallisten resurssien pääsyn järjestämiseen Internetistä

Edut

3. Alhainen hinta luokkaasi varten.
4. Suojaus hyökkäyksiä vastaan ​​NAT:lla, + mahdollisuus syöttää sääntöjä verkkotunnusten, osoitteiden jne. kieltämiseksi.


7. Mahdollisuus luoda suojattuja yhteyksiä Internetiin (VPN) viestintää varten muiden toimistojen kanssa.
8. Mahdollisuus järjestää pääsy paikallisverkon sisäisiin resursseihin.
9. Mahdollisuus tukea mobiilikäyttäjiä (Wi-Fi).
10. Mahdollisuus liittää verkkotulostin.

Vikoja:

2. Samanaikaisesti työskentelevien työntekijöiden lukumäärälle on asetettu laitteistorajoituksia. DI-laite pystyy käsittelemään jopa 2000 samanaikaista yhteyttä ilman havaittavaa suorituskyvyn heikkenemistä.
3. Laite on herkkä sisältä tuleville hyökkäyksille, esim. verkkovirukset. Tällaisilla hyökkäyksillä laitteen kuormitus kasvaa jyrkästi.
4. Itse laite on huonosti suojattu tyypillisiltä verkkohyökkäyksiltä. Tässä tapauksessa nämä organisaatiot ja tietokoneet eivät yleensä kärsi.
5. Tilastot työntekijöiden kanavan käytöstä eivät ole riittävän yksityiskohtaisia.

Ratkaisun arvioitu hinta

DFL-perheen laitteet ovat jo korkean suorituskyvyn palomuureja, jotka on varustettu kaikilla ajateltavilla ja uusilla ratkaisuilla paikallisen verkon ja organisaation resurssien suojaamiseen tunkeutumiselta. Tietystä mallista riippuen laite voi olla varustettu esimerkiksi:
tunnistusjärjestelmä IDS-tunkeutumiset
havaitsemisjärjestelmät tyypillisiä hyökkäyksiä ja niiden heijastukset
kaistanleveyden hallintajärjestelmä
kuormituksen tasausjärjestelmä
VPN

Sinun on valittava malli verkossa olevien tietokoneiden määrän ja suojausvaatimusten perusteella. On parasta ottaa yhteyttä D-Link Solutions Consultant -konsulttiin saadaksesi apua.

Edut:

1. Laitteistoratkaisut ovat erittäin luotettavia, kompakteja ja vaatimattomia.
2. Itse laitteet ovat hyvin suojattuja Internetin hyökkäyksiltä ja suojaavat hyvin organisaation paikallisverkon kehän.
3. Suojaus verkkohyökkäyksiä vastaan, mukaan lukien: SYN, ICMP, UDP Flood, WinNuke, porttiskannaus, huijaus, osoitehuijaus, palvelunesto jne.
4. Kun järjestelmä on määritetty, se ei vaadi lisäsäätöjä.
5. Erillistä yhdyskäytävätietokonetta ei ole.
6. Helppo asennus ja konfigurointi.
7. Alhainen hinta luokassaan.
8. Mahdollisuus luoda suojattuja yhteyksiä Internetiin (VPN) yhteydenpitoa varten muiden toimistojen kanssa.
9. Mahdollisuus järjestää pääsy paikallisverkon sisäisiin resursseihin.

Vikoja:

1. Asennuksen saa suorittaa pätevä teknikko.
2. Tilastot työntekijöiden kanavan käytöstä eivät ole riittävän yksityiskohtaisia.

Ratkaisun arvioitu hinta

Johtopäätös

Kaikesta valinnanvarasta huolimatta se näyttää meiltä eniten optimaalinen ratkaisu pienelle organisaatiolle on edelleen olemassa johonkin malliin perustuva ratkaisu D-Link-laitteet DI perhe. Laitteet ovat yksinkertaisia, kompakteja, edullisia ja varsin toimivia. Ainoa asia, josta DI-ratkaisuja voidaan moittia, on välityspalvelinten joidenkin ominaisuuksien puute, esimerkiksi tilastot työntekijöiden ladattujen tietojen määrästä. Loppujen lopuksi palveluntarjoajat käyttävät yleensä näitä tietoja laskuttamaan kanavan käytöstä. Jos tämä toiminto on elintärkeä organisaatiollesi, sinun kannattaa lisäksi harkita välityspalvelimen ostamista, esimerkiksi UserGate eSafeLine-sivustolta. Älä vain unohda, että välityspalvelin vaatii lisätietokoneen ostamisen.

Liikennelaskennan lisäksi ICS mahdollistaa pääsyn Internetiin rajoittamisen ja mahdollistaa myös tiedonsiirron nopeuden täydellisen hallinnan. Tämä on yksi tehokkaimmista järjestelmistä, jonka avulla voit hallita yritysverkon käyttäjien pääsyä Internetiin.

Täysi hallinta yritysverkon tehokkaaseen käyttöön

Internetin rajoitus on yksi kiireellisistä tehtävistä yritysverkkoa luotaessa ja ylläpidettäessä. Ei ole mikään salaisuus, että usein toimistotyöntekijät eivät käytä Internetiä työongelmien ratkaisemiseen. Tämän seurauksena työn tuottavuus laskee merkittävästi, mikä tarkoittaa, että liiketoiminnan tehokkuus kärsii.

ICS:llä on laajat ominaisuudet, mukaan lukien pääsyn rajoittaminen, ja sen avulla voit myös asettaa rajoituksia Internet-liikenteelle IP-osoitteen tai verkon valittujen URL-osoitteiden mukaan. Kaikki rajoitukset voivat koskea eri käyttäjäluokkia ja -ryhmiä. Tämä varmistaa yritysverkon tehokkaan käytön, mikä parantaa tuottavuutta ja alentaa myös palveluntarjoajan palvelujen kustannuksia.

Yrityksesi verkon Internetin nopeutta on mahdollista hallita helposti Proxy-palvelimen ja palomuurin avulla. Tämä antaa luottamusta siihen, että kaikki työntekijät käyttävät World Wide Webiä vain työongelmien ratkaisemiseen. Tämän seurauksena toimiston tehokkuus kasvaa merkittävästi ja voitot kasvavat.

Internetin käytön hallinta ICS:n avulla

ICS:n käytön ansiosta tarjotaan kätevä käyttäjien pääsy Internetiin yritysverkossa, joka voidaan toteuttaa useilla tavoilla. Voit rajoittaa Internet-liikennettä käyttämällä joustavat asetukset. Seuraavat toiminnot tarjotaan:

• jos estoa rikotaan, lähetetään tietty viesti tai käyttäjä ohjataan tietylle sivustolle;
• on mahdollista asettaa väliaikainen Internet-käytön rajoitus;
• liikenteen ja vierailtujen resurssien hallinta sisällönsuodatuksella - pääsy tietyn luokan resursseihin on estetty.

Lisäksi ohjelman avulla voit määrittää erilaisia ​​valtuutusmenetelmiä. Siten Internetiin pääsyn rajoittaminen ja hallitseminen voidaan suorittaa seuraavilla menetelmillä:

• kirjautumistunnuksesi ja henkilökohtaisen salasanasi syöttäminen;
• pääsy Internetiin kirjautuessasi sisään henkilökohtaisella tilillä ("ActiveDirectory");
• lupa tietylle IP:lle;
• erikoisagenttiohjelman käyttö.

Käyttäjien hallintaominaisuudet

Yritysten paikallisverkon käyttäjät on mahdollista yhdistää ryhmiin riippuen ominaisuuksista, kuten organisaatiorakenteesta, työtehtävistä jne. Tämä lisää merkittävästi kulunvalvonnan tehokkuutta paikallisissa verkoissa. Jokaiselle näistä ryhmistä voidaan määrittää erillinen järjestelmänvalvoja. Internetin käytön hallintaan voi kuulua pääsyn estäminen tai rajoittaminen erikseen mille tahansa olemassa olevalle ryhmälle ja mahdollisuus asettaa yksityiskohtaisia ​​sääntöjä.

Internet-yhteys voidaan tarjota myös muille yrityksille, joilla on mahdollisuus asettaa tiettyjä rajoituksia. Tässä tapauksessa jokaiselle näistä yrityksistä voidaan luoda erillinen ryhmä salasanalla, joka annetaan sen ylläpitäjälle. Tätä voidaan kutsua virtuaalisen ICS:n siirroksi kolmannen osapuolen käyttöön.

Työskentely etätoimistojen kanssa

Ostamalla ICS:n saat valmiin VPN-palvelimen, joka tarjoaa yhteyden yrityksen etätoimistoihin salatun tunnelin avulla, jolla on mahdollisuus hallita Internetin nopeutta jokaiselle niistä. Viestintä on yhtä tehokasta kuin jos etätoimistot olisivat fyysisesti yhteydessä yrityksen yleiseen yritysverkkoon.

ICS:n ostaminen

Voit ostaa ICS:n verkkosivuillamme olevalla tilauslomakkeella.

Yrityksemme toimii aktiivisesti tekninen tuki asiakkaita kaikissa ohjelman käyttöön liittyvissä asioissa. Ostamalla ylimääräisen päivityslisenssin (Premium), asetat kaikki ICS:n asennukseen, määrittämiseen ja ylläpitoon liittyvät huolet asiantuntijoidemme käsiin – ihanteellinen vaihtoehto niille, jotka haluavat ostaa ja unohtaa, samalla kun saat maksimaalisen hyödyn ICS:n käytöstä. . Jos tarvitset neuvoja, ota yhteyttä myyntiosastoon.

Ylläpitäjä jakaa Internet-resursseja yrityksen työntekijöille ja luo luetteloita kielletyistä tai sallituista verkkotunnuksista, IP-osoitteista jne. Samalla hän voi asettaa rajoituksia liikenteen ajalle tai määrälle. Ylikulutuksen sattuessa Internet-yhteys suljetaan automaattisesti.

Huomio: Ylläpitäjä voi aina toimittaa johdolle raportin kunkin työntekijän verkon käytöstä.

• Joustava sääntöjärjestelmä Internetin käytön hallintaan:
  • rajoitukset toiminta-ajalle, lähetetyn/vastaanotetun liikenteen määrälle (liikennelaskenta) päivässä ja/tai viikossa ja/tai kuukaudessa, käytetyn ajan määrä päivässä ja/tai viikossa ja/tai kuukaudessa;
  • suodattimet, jotka ohjaavat käyttäjien pääsyä ei-toivottuihin resursseihin (seksuaaliset, pelisivustot);
  • kehitetty järjestelmä liikennerajoituksia Ja pääsynopeus jokaiselle käyttäjälle. Jos liikennettä on liikaa, Internet-yhteys suljetaan automaattisesti;
  • luettelot kielletyistä tai sallituista verkkotunnuksista, IP-osoitteista ja osista URL-merkkijonot, jonka pääsyn järjestelmänvalvoja on estänyt/sallinut;
  • kyky asettaa sallittuja ja kiellettyjä IP-osoitteita;
  • tuntiaikataulu käyttäjän työstä Internetissä;
  • suodattimet, joiden avulla voit määrittää erittäin tehokkaan "bannerinleikkauksen".
• Tilastojen laskeminen ja katselu käyttäjien toiminta eri parametrien (päivät, sivustot) mukaan mielivaltaisen ajanjakson aikana. Kuluvan kuukauden Internet-tilastojen katselu käyttäjien toiminnasta HTTP:n kautta on mahdollista vain paikallisverkon käyttäjille.
• Sisäänrakennettu laskutusjärjestelmä laskee automaattisesti käyttäjän Internetissä työskentelyn kustannukset hinnan, ajan ja/tai liikennemäärän perusteella. Voit asettaa tariffit kullekin käyttäjälle erikseen tai käyttäjäryhmälle. On mahdollista vaihtaa hintoja vuorokaudenajan, viikonpäivän tai sivuston osoitteen mukaan.

Toimiston tietoturva

• VPN-tuki Virtuaalinen yksityinen Verkko on yksittäisten koneiden tai paikallisten verkkojen yhdistelmä verkossa, jonka turvallisuuden takaa tiedon salaus- ja käyttäjätunnistusmekanismi.
• Sisäänrakennettu palomuuri estää luvattoman pääsyn palvelintietoihin ja paikallisverkkoon estämällä yhteydet tietyissä porteissa ja protokollissa. Palomuuritoiminto ohjaa pääsyä tarvittaviin portteihin esimerkiksi yrityksen web-palvelimen julkaisemiseksi Internetissä.
• Kaspersky Antivirus ja Panda integroitu välityspalvelimeen UserGate, toimivat suodattimina: sieppaavat HTTP- ja FTP-protokollien kautta lähetettyjä tietoja. POP3- ja SMTP-postiprotokollien tuki on otettu käyttöön Ylempi taso. Tämän avulla voit käyttää sisäänrakennettua virustorjuntaa sähköpostiliikenteen tarkistamiseen. Jos kirje sisältää viruksen sisältävän liitetiedoston, välityspalvelin UserGate poistaa liitteen ja ilmoittaa tästä käyttäjälle muuttamalla kirjeen tekstiä. Kaikki tartunnan saaneita tai epäilyttäviä tiedostoja kirjaimet on sijoitettu erityinen kansio hakemistossa UserGate.
  Järjestelmänvalvoja UserGate voi valita, käytetäänkö yhtä virustorjuntamoduulia vai molempia samanaikaisesti. Jälkimmäisessä tapauksessa voit määrittää järjestyksen, jossa kukin liikennetyyppi tarkistetaan. Esimerkiksi HTTP-liikenteen tarkistaa ensin Kaspersky Labin virustorjunta ja sitten Panda Softwaren moduuli.
• Sähköpostiprotokollan tuki
  POP3 – ja SMTP – välityspalvelimet sisään UserGate voi toimia NAT-ohjaimen kanssa tai ilman. Kun työskentelet ilman ohjainta, käyttäjäpuolen sähköpostiohjelman tili määritetään erityisellä tavalla. Ohjainta käytettäessä (välityspalvelintoiminta läpinäkyvässä tilassa) sähköpostiasetukset käyttäjän puolella suoritetaan samalla tavalla kuin suorassa Internet-yhteydessä. Tuleva tuki POP3:lle ja SMTP-protokollat ylimmällä tasolla sitä käytetään roskapostin estomoduulin luomiseen.

Hallinta UserGate-välityspalvelimen avulla

• Verkkosäännöt
  Välityspalvelimella UserGate NAT (Network Address Translation) ja porttikartoitusteknologian tuki on otettu käyttöön. NAT-tekniikkaa käytetään läpinäkyvien välityspalvelinten luomiseen, ja se tukee muita protokollia kuin HTTP tai FTP.
  Läpinäkyvän välityspalvelimen avulla käyttäjät voivat työskennellä ilman erityisiä asetuksia, ja järjestelmänvalvojat vapautetaan tarpeesta määrittää käyttäjien selaimia manuaalisesti.
• Lisämoduuli Usergate Cache Explorer suunniteltu välimuistin sisällön katseluun. Työskentely tämän toiminnon kanssa on yksinkertaista: sinun tarvitsee vain määrittää ug_cache.lst-tiedoston sijainti välimuistikansiosta sitä käynnistettäessä. Kun olet lukenut tämän tiedoston sisällön Usergate Cache Explorer näyttää luettelon välimuistissa olevista resursseista. Cache Explorer -ohjauspaneelissa on useita painikkeita, joiden avulla voit suodattaa välimuistin sisältöä koon, laajennuksen jne. mukaan. Suodatetut tiedot voidaan tallentaa kiintolevylläsi olevaan kansioon tarkempaa tutkimista varten.
• Portin määritystoiminto(Porttikartoitus) mahdollistaa minkä tahansa paikallisen IP-rajapinnan valitun portin sitomisen haluttuun porttiin etäisäntä. Porttimäärityksiä käytetään pankki-asiakassovellusten, pelien ja muiden ohjelmien toiminnan järjestämiseen, jotka edellyttävät pakettien välittämistä tiettyyn IP-osoitteeseen. Jos tarvitset pääsyn Internetistä tiettyyn verkkoresurssi, tämä voidaan saavuttaa myös käyttämällä portin määritystoimintoa.
• Liikenteen hallinta: hallitse verkkoliikennettäsi ja ota huomioon se
  "Traffic Management" -toiminto on suunniteltu luomaan sääntöjä, jotka ohjaavat paikallisen verkon käyttäjien pääsyä Internetiin, luomaan ja muuttamaan käytettyjä tariffeja. UserGate.
  Huomio: välityspalvelimeen sisäänrakennettu NAT-ohjain UserGate, tarjoaa tarkimman Internet-liikenteen kirjanpidon.
  Välityspalvelimella UserGate on mahdollista erottaa eri liikennetyypit, esimerkiksi paikallinen ja ulkomainen Internet-liikenne. Myös liikennettä ja IP-osoitteita valvotaan aktiivisia käyttäjiä, heidän kirjautumisensa, vierailtuja URL-osoitteita reaaliajassa.
• Etähallinta mahdollistaa järjestelmänvalvojan liikkuvan, koska välityspalvelinta on nyt mahdollista hallita UserGate etänä.
• Automaattinen ja manuaalinen postitus käyttäjät saavat tietoja liikenteestään sähköpostitse, mukaan lukien SMTP-valtuutettujen palvelimien kautta.
• Yhteys kohteeseen kaskadivälityspalvelin lupamahdollisuudella.
• Joustava raporttigeneraattori mahdollisuus viedä MS Exceliin ja HTML:ään.
• Useita tapoja valtuuttaa käyttäjiä: kaikkien protokollien mukaisesti; IP-osoitteen mukaan, IP+MAC:n, IP+MAC:n mukaan (tilaus); käyttäjätunnuksella ja salasanalla; käyttämällä Windowsin todennusta ja Active Directorya.
• Käyttäjien tuonti Active Directorysta- Nyt sinun ei tarvitse luoda manuaalisesti useita satoja käyttäjiä, ohjelma tekee kaiken puolestasi.
• Tehtävien ajoitus voit suorittaa jonkin ennalta määritetyistä toiminnoista tiettyyn aikaan: lähettää tilastoja, käynnistää ohjelman, muodostaa tai katkaista puhelinverkkoyhteyden, päivittää virustorjuntatietokantoja.
• UserGate tukee seuraavaa protokollat:
  • HTTP (välimuistit);
  • FTP (välimuistit);
  • Sukat4, Sukat5;
  • POP3;
  • SMTP;
  • Mikä tahansa UDP/TCP-protokolla NAT-osoitteen (Network Address Translation) ja porttimäärityksen kautta.

Rahan säästäminen Internetin käytössä

Sisäänrakennettujen suodattimien käyttö UserGate estää mainosten lataamisen Internetistä ja estää pääsyn ei-toivottuihin resursseihin.

Huomio: Järjestelmänvalvoja voi kieltää tietyn laajennuksen tiedostojen lataamisen, esimerkiksi jpeg, mp3.

Ohjelma voi myös muistaa (välimuistiin tallentaa) kaikki vieraillut sivut ja kuvat, vapauttaen kanavan hyödyllisten tietojen lataamiseen. Kaikki tämä vähentää merkittävästi paitsi liikennettä myös linjalla vietettyä aikaa.

Välityspalvelin UserGate: verkkoliikenteen kirjanpito!