Şəbəkə istifadəçilərinin autentifikasiyasını müzakirə etməzdən əvvəl şəbəkəyə girişə nəzarət qaydalarını hazırlamaq lazımdır. Şəbəkələr artıq monolit qurumlar deyil. Əksər hallarda bir var xarici nöqtə giriş - ISP vasitəsilə İnternetə qoşulma ( İnternet Xidmət Provayderi- İnternet provayderi). Şəbəkəyə girişə nəzarət qaydaları şəbəkəyə giriş nöqtələrində hansı təhlükəsizliyin quraşdırılması lazım olduğunu müəyyən edəcək.

Şlüzlər

Şlüzlər olan nöqtələrdir şəbəkə trafiki təşkilatın şəbəkəsindən başqa şəbəkəyə ötürüləcək. Şlüz nöqtələri üçün girişə nəzarət qaydaları körpünün quraşdırıldığı şəbəkənin xarakterini nəzərə almalıdır.

• Daxil olan və gedən telefon zəngləri üçün girişə nəzarət qaydaları (Dial-in və Dial-out). Doğrulama tələblərini əhatə edir. Telefon şəbəkəsinə giriş nöqtəsini gizlətmək olduqca çətindir. Buna görə də, bu giriş üçün nəzarətləri müəyyən etmək vacibdir. Giriş qaydaları ilə bağlı bir çox mülahizələr var, məsələn, yalnız gedən siqnalları idarə etmək üçün modemlərin yaradılması ( yalnız xaricə) dial-out çıxışı üçün. Müvafiq nəzarət vasitələrinin istifadəsini nəzərdə tutan qayda bəndini yazmaq lazımdır.

  Hamısı telefon çıxışışəbəkəyə daxil olmaq güclü autentifikasiya nəzarətlərindən istifadə etməklə qorunmalıdır. Modemlər ya dial-in və ya dial-out girişi üçün konfiqurasiya edilməlidir, lakin heç vaxt hər ikisi deyil. Şəbəkə administratoru modem sistemlərinə zəmanətli giriş üçün prosedurları təmin etməlidir. İstifadəçilər müvafiq sanksiyalar olmadan modemləri şəbəkənin digər nöqtələrində quraşdırmamalıdırlar.

• Digər xarici əlaqələr. Mümkün müxtəlif əlaqələr təşkilatdan kənar şəbəkəyə. Qaydalar müştərilərin virtual vasitəsilə şəbəkəyə birbaşa çıxışını şərtləndirə bilər şəxsi şəbəkə VPN(Virtual Şəxsi Şəbəkə) və ekstranetlər kimi tanınan təşkilat şəbəkəsinin genişləndirilməsi vasitəsilə.
• İnternet bağlantısı. İnsanların sahib olmaq istədikləri üçün digər əlaqələrdən fərqlidir açıq girişİnternetdə, giriş icazəsi isə təşkilatın xidmətləri tərəfindən təmin edilir. Bu əlaqələri tənzimləyən qaydalar 6-cı Fəsildə, İnternet Təhlükəsizliyi Qaydalarında müzakirə olunur.

Hər hansı qaydalarda olduğu kimi, girişə nəzarət qaydalarını dəyişdirmək üçün sorğuların olacağını gözləməlisiniz. Qaydalara düzəliş edilməsinin səbəblərindən asılı olmayaraq, qaydalara baxış mexanizmi vasitəsilə qaydalara istisnalar etmək mümkün olmalıdır. Əgər siyasətin tələb etdiyi kimi təhlükəsizlik idarəetmə komitəsi yaradılıbsa (bax. Fəsil 3, Təhlükəsizlik Məsuliyyətləri), informasiya təhlükəsizliyi"), onda siz komitədən qaydalara yenidən baxılmasını tələb edə bilərsiniz.

Şirkət şəbəkəsində quraşdırma üçün təklif olunan və bu qaydalarla müəyyən edilmiş qayda və ya prosedurları poza bilən hər hansı şlüz təhlükəsizlik idarəetmə komitəsinin əvvəlcədən razılığı olmadan quraşdırılmamalıdır.

Virtual özəl şəbəkələr və ekstranetlər

Təşkilatda şəbəkələrin sayının artması bizi uzaq ofisləri, müştəriləri birləşdirmək və xidmət tərəfdaşları və ya potensial kontragentlər üçün girişi asanlaşdırmaq üçün yeni seçimlər axtarmağa məcbur edir. Bu artım iki növə səbəb oldu xarici əlaqələr: virtual özəl şəbəkələr ( VPN- Virtual Şəxsi Şəbəkə) və ekstranetlər. VPN-lər quraşdırmanın ucuz yoludur informasiya kommunikasiyası müxtəlif ərazilərdə yerləşən təşkilatın iki və ya daha çox bölmələri arasında. Təşkilatlar bütün şöbələri İnternetə qoşaraq və bir-biri ilə əlaqə saxlayan hər iki şöbədə məlumatı şifrələyən və deşifrə edən qurğular quraşdıraraq VPN yaradır. İstifadəçilər üçün VPN vasitəsilə işləmək elə görünəcək ki, sanki hər iki şöbə eyni ərazidə yerləşir və vahid şəbəkədə işləyir.

Köməkçi sistemlərin səlahiyyətlərinin yoxlanılması

Davam etməzdən əvvəl, şlüzlərin və ya dəstəkləyici sistemlərin hər birinin təşkilatın şəbəkəsinə giriş nöqtəsi olduğunu xatırlamaq vacibdir. İstənilən giriş nöqtəsində şəbəkəyə daxil olan və çıxan məlumat axınının səlahiyyəti hansısa şəkildə yoxlanılmalıdır. Nəzərə alınmalı olan məsələlərdən biri də icazə tələbidir xarici əlaqələr köməkçi şəbəkə sistemlərinə. Bu, daim şəbəkəyə qoşulan köməkçi sistemlər üçün problem ola bilər. Bu cür dəstək sistemləri üçün onların şəbəkədə mövcudluğuna necə icazə veriləcəyini müəyyən etmək lazımdır. Əslində, hətta müvəqqəti əlaqələrşəbəkəyə, məsələn, daxil olan modem əlaqələri üçün ciddi autentifikasiya tələbləri ola bilər.

Doğrulama tələbləri qaydanın bu bölməsində təsvir edilməməlidir - onlar növbəti "Giriş Təhlükəsizliyi" bölməsində müzakirə olunur. Burada yalnız autentifikasiya tələblərinə ehtiyacı qeyd edə bilərik. Autentifikasiya standartları ilə bağlı qaydalar növbəti bölmədə müzakirə olunacaq. Bununla belə, autentifikasiya məsələsinin ikinci dərəcəli sistemlər üçün həll olunmasını təmin etmək üçün firewall qaydaları bəndinə aşağıdakılar əlavə edilə bilər.

Şlüzlərin işləməsi üçün tələb olunan proqramlar şəbəkə tərəfindən autentifikasiya edilməlidir. Tətbiqin özünü təsdiqləmək mümkün deyilsə, o zaman autentifikasiya qaydaları aşağıda təsvir edilmişdir bu sənəd, şlüzlər vasitəsilə birləşdirilən köməkçi sistemlərə tətbiq edilməlidir.

Pavlov Sergey Softmart-da sistem mühəndisi

Bu məqalə ən çox təqdim edir məşhur üsullar kiçik bir təşkilatın ofisinin İnternetə qoşulması. Məqalədə provayderin seçilməsi və şəbəkəyə qoşulmaq üçün son avadanlıqların seçilməsi məsələlərinə toxunulmur. Güman edirik ki, provayder təşkilata aşağıdakıları təmin edir:

1. Şəbəkə interfeysi Ethernet RJ45 standartdır şəbəkə avadanlığı yerli şəbəkələrdə
2. IP ünvanı - bir və ya daha çox, daimi və ya dinamik
3. Gateway IP ünvanı və DNS

Bu məqalənin nəzərdə tutulduğu təşkilatın kiçik bir portretini də verək:

1. Şəbəkədəki kompüterlərin sayı - 30-a qədər;
2. Bir onlayn var fayl serveri və ya server korporativ sistem idarəetmə;
3. Veb server və təşkilatın poçt serveri provayder tərəfindən yerləşdirilir, orada deyil yerli şəbəkə müəssisələr;
4. İnternet kanalı işçilər tərəfindən ilk növbədə elektron poçtla işləmək və Veb səhifələrə baxmaq üçün istifadə olunacaq;
5. Təşkilatın kompüterləri və serverləri İnternet vasitəsilə icazəsiz girişdən qorunmalıdır;

Mümkün, lakin nadir hallarda rast gəlinən şərtləri də qeyd etmək olar:

1. İşçilərin təşkilatın şəbəkəsinə uzaqdan - evdən və ya başqa ofisdən təhlükəsiz qoşulması;
2. Təhlükəsiz əlaqə kiçik ofislər coğrafi cəhətdən səpələnmiş;
3. Veb serverin, poçt serverinin və ya hər hansı serverin yeri daxili sistem işçilərin və ya müştərilərin İnternet vasitəsilə onlara pulsuz çıxışı ilə təşkilatın şəbəkəsi daxilində idarəetmə;

Bu yanaşma ilə İnternetə çıxışı təşkil etmək üçün fərdi kompüter və ya server ayrılır. Server və ya PC əlavə ilə təchiz edilmişdir şəbəkə kartı. Onlardan biri provayderin şəbəkəsinə, digəri isə şəbəkəyə qoşulur şəbəkə keçidi təşkilatlar.
Şluzda NAT xidmətini işə salmaq məsləhətdir - IP ünvanlarının şəbəkə tərcüməsi.

Bu həllin üstünlükləri:

1. Müxtəlif problemləri həll etmək üçün geniş proqram təminatından istifadə etmək bacarığı, məsələn:
serveri və şəbəkəni internetdən gələn hücumlardan qorumaq;
üçün antivirus qorunması server, trafik və ya E-poçt;
spamdan qorumaq;
trafikin hesablanması üçün;
təşkilatın əməkdaşlarının internetə çıxışını idarə etmək;
2. Provayderdən bir IP ünvanı kifayətdir.
3. NAT xidmətindən istifadə etməklə lokal şəbəkənin xarici təsirlərdən kifayət qədər mühafizəsi təmin edilir.
4. Aşağı qiymət firewall, çünki fərdi kompüterlər üçün həllərə icazə verilir.
5. İnternetdən yalnız şlüz kompüteri görünür və hakerlər yalnız bu kompüterə hücum edə bilərlər. Yerli şəbəkə, o cümlədən serverlər və iş stansiyaları, prinsipcə onlar üçün əlçatan deyil. Beləliklə, şlüz uğursuz olarsa, təşkilatın yerli şəbəkəsi işləməyə davam edir.

Qüsurlar

1. Şlüz kompüteri də müntəzəm olaraq istifadə olunarsa iş stansiyası işçilərdən biri, məsələn, xərc qənaətinə əsaslanaraq, o zaman mümkündür ciddi problemlər təhlükəsizlik ilə. Şlüzdə işləyən istifadəçi öz hərəkətləri ilə serverin təhlükəsizliyini zəiflədə bilər. Bundan əlavə, şlüzün işləməsi ilə bağlı problemlər ola bilər, çünki istifadəçi kompüterin gücünün bir hissəsini alacaq;
2. Serverin İnternetdən əlçatanlığına görə şluzdan təşkilatın fayl serveri kimi istifadə edilməsi tövsiyə edilmir. Güclü bir firewall (şəxsi deyil) və şlüzdə təhlükəsizliyi konfiqurasiya etmək üçün çox ixtisaslı mütəxəssisin işi tələb olunur. Bununla belə, bu kiçik təşkilatlarda çox yayılmış bir konfiqurasiyadır;
3. Əlavə alış tələb edir proqram təminatı. NAT xidməti əməliyyat sisteminin bir hissəsi deyil Windows sistemləri, istisna olmaqla Microsoft Windows XP (NAT həyata keçirilir, lakin bəzi məhdudiyyətlərlə). Firewallların qiyməti onlarla dollardan bir neçə minə qədər dəyişir. Ən azı tələb olunur xüsusi proqram yerli şəbəkənin bütün istifadəçilərinin İnternetə çıxışını təmin etmək. (proqram proxy server adlanır).
4. Tələb olunur əlavə cihaz- LAN kartı.

Bu həllin həyata keçirilməsinin təxmini dəyəri:

Bu yanaşma ilə İnternetə çıxışın təşkili provayderdən hər biri üçün əlavə sayda IP ünvan almağı tələb edir Şəxsi kompüter təşkilatın yerli şəbəkəsində. Bu həll, ehtimal ki, ən çox təmin edir sürətli əlaqə təşkilatın işçiləri internetə. Bununla belə, bir şirkətdə iki səbəbə görə ikidən çox kompüter olduqda bu həll nadir hallarda istifadə olunur:
1. Provayder IP ünvanlarını ayırmaqda son dərəcə istəksizdir və kompüterləri İnternetə qoşmaq üçün hər hansı digər sxemə keçməyi tövsiyə edəcək.
2. Bu qərar məlumatlarınızı icazəsiz girişdən və şəbəkə hücumlarından qorumaq baxımından potensial olaraq ən az təhlükəsizdir.

Üstünlüklər:

1. asan quraşdırma kompüterlər.
2. almağa ehtiyac yoxdur əlavə kompüter- Gateway.
3. əlavə proqram təminatı almağa ehtiyac yoxdur - proxy server.

Qüsurlar:

1. Hər bir kompüterdə hərtərəfli təhlükəsizlik sistemi quraşdırılmalıdır.
2. Provayderin çoxsaylı IP ünvanlarını təmin etmək qabiliyyətindən asılıdır
3. Kanal istifadəsi ilə bağlı statistika yoxdur

Bu həllin buraxılmasının dəyəri:

Şəbəkədəki hər bir kompüter üçün:

D-LINK cihazlarından istifadə edərək girişin təşkili

D-Link geniş çeşiddə cihazlar təklif edir təhlükəsiz əlaqə kiçik təşkilatlarİnternetə. Bütün həllər iki böyük sinfə bölünə bilər:
1. DI seriyalı marşrutlaşdırıcılar
2. DFL seriyalı firewalllar

DI ailəsi cihazları kiçik ofislərin məqsədləri və vəzifələri üçün xüsusi olaraq hazırlanmışdır. Onlar münasib qiymətdən daha çox tələb olunan bütün funksiyalara malikdirlər. Modeldən asılı olaraq cihazlar aşağıdakılarla təchiz oluna bilər:
firewall,
nöqtə Wi-Fi girişi,
daxili proxy server,
şəbəkə portu printer bağlantıları,
quraşdırılmış ADSL modem
VPN modulu

Bütün cihazlar dəstəkləyir:
1. DHCP (şəbəkədəki kompüterlərə IP ünvanlarının dinamik təyin edilməsi funksiyası)
2. NAT (IP ünvanlarının dinamik tərcümə funksiyası daxili şəbəkəİnternet IP ünvanlarında)
3. Funksiya virtual server girişi təşkil etmək lazımdır yerli server internetdən
4. Qorunan Zona funksiyası, bir neçəsinə girişi təşkil etmək üçün lazımdır yerli resurslar internetdən

Üstünlüklər

3. Aşağı qiymət sinifiniz üçün.
4. NAT-dan istifadə edərək hücumlardan qorunma, + domenləri, ünvanları qadağan etmək üçün qaydaları daxil etmək imkanı və s.


7. Digər ofislərlə ünsiyyət üçün İnternetdə (VPN) təhlükəsiz əlaqə yaratmaq imkanı.
8. Lokal şəbəkənin daxili resurslarına çıxışın təşkili imkanı.
9. Mobil istifadəçiləri dəstəkləmək imkanı (Wi-Fi).
10. Şəbəkə printerini qoşmaq imkanı.

Qüsurlar:

2. Eyni vaxtda işləyən işçilərin sayına texniki məhdudiyyətlər var. 2000-ci ilə qədər eyni vaxtda əlaqələr DI cihazı nəzərəçarpacaq performans azalması olmadan sağ qalacaq.
3. Avadanlıq daxildən gələn hücumlara həssasdır, məs. şəbəkə virusları. Belə hücumlarla cihazdakı yük kəskin şəkildə artır.
4. Cihazın özü standartdan zəif qorunur şəbəkə hücumları. Bu halda, bu təşkilatlar və kompüterlər, bir qayda olaraq, zərər görmürlər.
5. İşçilərin kanaldan istifadəsi ilə bağlı statistik məlumatlar kifayət qədər təfərrüatlı deyil.

Həllin təxmini dəyəri

DFL ailəsinin cihazları artıq yüksək məhsuldardır təhlükəsizlik divarları, yerli şəbəkə və təşkilat resurslarını müdaxilədən qorumaq üçün bütün mümkün və yeni həllər ilə təchiz edilmişdir. -dən asılı olaraq xüsusi model Cihaz, məsələn, aşağıdakılarla təchiz oluna bilər:
aşkarlama sistemi IDS müdaxilələri
aşkarlama sistemləri tipik hücumlar və onların əksi
bant genişliyi idarəetmə sistemi
yük balans sistemi
VPN

Şəbəkədəki kompüterlərin sayına və təhlükəsizlik tələblərinə əsaslanaraq bir model seçməlisiniz. Yardım üçün D-Link Solutions Məsləhətçisi ilə əlaqə saxlamaq yaxşıdır.

Üstünlüklər:

1. Aparat həlləri çox etibarlı, yığcam və iddiasızdır.
2. Qurğuların özləri İnternetdən gələn hücumlardan yaxşı qorunur və təşkilatın yerli şəbəkəsinin perimetrini yaxşı qoruyur.
3. Şəbəkə hücumlarına qarşı qorunma, o cümlədən: SYN, ICMP, UDP Flood, WinNuke, portların skan edilməsi, spoofinq, ünvanların saxtalaşdırılması, xidmətdən imtina və s.
4. Sistem konfiqurasiya edildikdən sonra əlavə tənzimləmə tələb olunmur.
5. Xüsusi şlüz kompüteri yoxdur.
6. Asan quraşdırma və quraşdırma.
7. Öz sinfinə görə aşağı qiymət.
8. Digər ofislərlə ünsiyyət üçün İnternetdə (VPN) təhlükəsiz əlaqə yaratmaq imkanı.
9. Lokal şəbəkənin daxili resurslarına çıxışın təşkili imkanı.

Qüsurlar:

1. Quraşdırma ixtisaslı texnik tərəfindən aparılmalıdır.
2. İşçilərin kanaldan istifadəsi ilə bağlı statistik məlumatlar kifayət qədər təfərrüatlı deyil.

Həllin təxmini dəyəri

Nəticə

Bütün seçim sərvəti ilə bizə ən çox görünür optimal həll kiçik bir təşkilat üçün hələ də modellərdən birinə əsaslanan bir həll var D-Link cihazları DI ailəsi. Cihazlar sadə, yığcam, sərfəli və kifayət qədər funksionaldır. DI həllərinin qınana biləcəyi yeganə şey, proksi serverlərin bəzi imkanlarının olmamasıdır, məsələn, işçilər haqqında yüklənmiş məlumatların həcminə dair statistika. Axı, bu məlumatlar, bir qayda olaraq, provayderlər tərəfindən kanalın istifadəsi üçün ödəniş üçün istifadə olunur. Əgər bu funksiya təşkilatınız üçün vacibdirsə, o zaman siz əlavə olaraq eSafeLine-dan bir proksi server, məsələn, UserGate almağı düşünməlisiniz. Yalnız unutmayın ki, proxy server əlavə bir kompüter satın almağı tələb edəcəkdir.

İnzibatçı şirkət işçiləri üçün İnternet resurslarını paylayır, qadağan edilmiş və ya icazə verilən domen adlarının, IP ünvanlarının və s. Eyni zamanda, o, vaxt və ya trafikin miqdarı ilə bağlı məhdudiyyətlər qoya bilər. Həddindən artıq xərcləmə zamanı internetə çıxış avtomatik olaraq bağlanır.

Diqqət: Administrator həmişə rəhbərliyə hər bir işçinin şəbəkədən istifadəsi haqqında hesabat təqdim edə bilər.

• İnternetə girişə nəzarət üçün çevik qaydalar sistemi:
  • iş vaxtı, gün və/və ya həftə və/yaxud ayda göndərilən/qəbul edilən trafikin (trafik uçotu) miqdarına, gün və/yaxud həftə və/yaxud ayda istifadə olunan vaxtın miqdarına məhdudiyyətlər;
  • istifadəçinin arzuolunmaz resurslara (seksual, oyun saytları) daxil olmasına nəzarət edən filtrlər;
  • inkişaf etmiş sistem trafik məhdudiyyətləri Və giriş sürəti hər bir istifadəçi üçün. Həddindən artıq trafik halında İnternetə giriş avtomatik olaraq bağlanır;
  • qadağan edilmiş və ya icazə verilən domen adlarının, IP ünvanlarının, hissələrin siyahıları URL sətirləri, administrator tərəfindən girişə icazə verilməyən/icazə verilən;
  • bir sıra icazə verilən və qadağan edilmiş IP ünvanlarını təyin etmək imkanı;
  • istifadəçinin internetdə saatlıq iş qrafiki;
  • yüksək səmərəli "banner kəsmə" ni konfiqurasiya etməyə imkan verən filtrlər.
• Statistikanın sayılması və baxılması ixtiyari vaxt intervalı üçün müxtəlif parametrlərə (günlər, saytlar) görə istifadəçi fəaliyyəti. HTTP vasitəsilə cari ay üçün istifadəçi fəaliyyətinin İnternet statistikasına baxmaq yalnız yerli şəbəkədəki istifadəçilər üçün mümkündür.
• Daxili faturalandırma sistemi qiymət, vaxt və/və ya trafik həcminə əsasən istifadəçinin İnternetdə işinin dəyərini avtomatik hesablayır. Siz hər bir istifadəçi üçün fərdi və ya bir qrup istifadəçi üçün tariflər təyin edə bilərsiniz. Tarifləri günün vaxtından, həftənin günündən və ya saytın ünvanından asılı olaraq dəyişmək mümkündür.

Ofis informasiya təhlükəsizliyi

• VPN dəstəyi Virtual Şəxsi Şəbəkə, təhlükəsizliyi məlumatların şifrələnməsi və istifadəçinin autentifikasiyası mexanizmi ilə təmin edilən şəbəkədəki fərdi maşınların və ya yerli şəbəkələrin birləşməsidir.
• Daxili firewall(firewall) müəyyən port və protokollarda əlaqəni qadağan etməklə server və yerli şəbəkə məlumatlarına icazəsiz girişin qarşısını alır. Firewall funksionallığı, məsələn, şirkətin veb serverini İnternetdə dərc etmək üçün lazımi portlara girişi idarə edir.
• Kaspersky Antivirus və Panda proksi serverə inteqrasiya olunub UserGate, filtr kimi çıxış edir: vasitəsilə ötürülən məlumatların ələ keçirilməsi HTTP protokolları və FTP. POP3 və SMTP poçt protokollarına dəstək həyata keçirilir yuxarı səviyyə. Bu, poçt trafikini skan etmək üçün daxili antivirusdan istifadə etməyə imkan verir. Məktubda viruslu əlavə fayl varsa, proxy server UserGateəlavəni siləcək və məktubun mətnini dəyişdirərək bu barədə istifadəçiyə məlumat verəcək. Hamısı yoluxmuş və ya şübhəli fayllar hərflərdən daxil edilir xüsusi qovluq kataloqda UserGate.
  Administrator UserGate eyni anda bir antivirus modulundan və ya hər ikisindən istifadə etməyi seçə bilər. Sonuncu halda, hər bir trafik növünün skan edildiyi sıranı təyin edə bilərsiniz. Məsələn, HTTP trafiki əvvəlcə Kaspersky Laboratoriyasının antivirusu, sonra isə Panda Software modulu tərəfindən skan ediləcək.
• Poçt protokolu dəstəyi
  POP3 – və SMTP – proksilər daxil olur UserGate NAT sürücüsü ilə və ya olmadan işləyə bilər. Sürücüsüz işləyərkən hesab daxil olur poçt müştərisi istifadəçi tərəfində xüsusi bir şəkildə konfiqurasiya edilir. Sürücüdən istifadə edərkən (şəffaf rejimdə proxy kimi işləyərkən) istifadəçi tərəfində poçtun qurulması İnternetə birbaşa çıxışla eyni şəkildə həyata keçirilir. POP3 üçün gələcək dəstək və SMTP protokolları yuxarı səviyyədə antispam modulu yaratmaq üçün istifadə olunacaq.

UserGate proxy serverindən istifadə edərək idarəetmə

• Şəbəkə qaydaları
  Proksi serverdə UserGate NAT (Network Address Translation) texnologiyasına dəstək tətbiq edilmişdir. şəbəkə ünvanı) və Port xəritələşdirilməsi (port təyinatı). NAT texnologiyası şəffaf proksilər yaratmaq üçün istifadə olunur və HTTP və ya FTP-dən başqa protokolları dəstəkləyir.
  Şəffaf bir proxy istifadəçilərə xüsusi parametrlər olmadan işləməyə imkan verir və administratorlar istifadəçi brauzerlərini əl ilə konfiqurasiya etmək ehtiyacından azad olurlar.
• Əlavə modul Usergate Cache Explorer Keş yaddaşının məzmununa baxmaq üçün nəzərdə tutulmuşdur. Bu funksiya ilə işləmək sadədir: sadəcə olaraq ug_cache.lst faylının yerini müəyyən etmək lazımdır. keş qovluqları. Bu faylın məzmununu oxuduqdan sonra Usergate Cache Explorer keşlənmiş resursların siyahısını göstərəcək. Cache Explorer idarəetmə panelində keş məzmununu ölçüsünə, genişləndirilməsinə və s. görə filtrləməyə imkan verən bir neçə düymə var. Süzgəcdən keçirilmiş məlumatlar daha diqqətli öyrənmək üçün sabit diskinizdəki qovluğa saxlanıla bilər.
• Port təyinat funksiyası(Port xəritələşdirilməsi) sizə yerli IP interfeyslərindən birinin seçilmiş hər hansı portunu bağlamağa imkan verir tələb olunan limana uzaq host. Port təyinatları paketlərin konkret IP ünvanına yönləndirilməsini tələb edən bank-müştəri proqramlarının, oyunların və digər proqramların işini təşkil etmək üçün istifadə olunur. İnternetdən xüsusi bir girişə ehtiyacınız varsa şəbəkə resursu, buna port təyinetmə funksiyasından istifadə etməklə də nail olmaq olar.
• Trafikin idarə edilməsi: şəbəkə trafikinizə nəzarət və hesab
  “Trafikin idarə edilməsi” funksiyası yerli şəbəkə istifadəçilərinin İnternetə çıxışına nəzarət edən qaydaların yaradılması, istifadə olunan tariflərin yaradılması və dəyişdirilməsi üçün nəzərdə tutulub. UserGate.
  Diqqət: NAT sürücüsü proxy serverə quraşdırılmışdır UserGate, İnternet trafikinin ən dəqiq uçotunu təmin edir.
  Proksi serverdə UserGate ayrılma ehtimalı var müxtəlif növlər trafik, məsələn, yerli və xarici İnternet trafiki. Trafik və IP ünvanları da izlənilir aktiv istifadəçilər, onların girişləri, real vaxt rejimində ziyarət edilmiş URL-lər.
• Uzaqdan idarəetmə sistem administratorunun mobil olmasına imkan verir, çünki indi proxy serveri idarə etmək mümkündür UserGate uzaqdan.
• Avtomatik və əl ilə göndərmə e-poçt vasitəsilə, o cümlədən SMTP icazəsi olan serverlər vasitəsilə öz trafiki haqqında məlumat istifadəçiləri.
• ilə əlaqə kaskad proxy avtorizasiya imkanı ilə.
• Çevik hesabat generatoru MS Excel və HTML-ə ixrac etmək imkanı ilə.
• İstifadəçilərə icazə vermənin müxtəlif yolları: bütün protokollara uyğun olaraq; IP ünvanı ilə, IP+MAC, IP+MAC (abunə); istifadəçi adı və şifrə ilə; Windows avtorizasiyası və Active Directory istifadə edərək.
• İstifadəçilərin idxalı Active Directory - indi əl ilə bir neçə yüz istifadəçi yaratmağa ehtiyac yoxdur, proqram sizin üçün hər şeyi edəcək.
• Tapşırıq Planlayıcısı müəyyən edilmiş vaxtda əvvəlcədən müəyyən edilmiş hərəkətlərdən birini yerinə yetirməyə imkan verir: statistik məlumat göndərmək, proqramı işə salmaq, dial-up bağlantısı qurmaq və ya dayandırmaq, antivirus verilənlər bazalarını yeniləmək.
• UserGate aşağıdakıları dəstəkləyir protokollar:
  • HTTP (keşlər);
  • FTP (keşlər);
  • Corablar4, Corablar5;
  • POP3;
  • SMTP;
  • NAT (Şəbəkə Ünvanının Tərcüməsi) və port təyinatı vasitəsilə istənilən UDP/TCP protokolu.

İnternetdən istifadə üçün pula qənaət

Daxili filtrlərdən istifadə UserGateİnternetdən reklamın yüklənməsini bloklayır və arzuolunmaz resurslara girişi qadağan edir.

Diqqət: Administrator müəyyən genişləndirmə fayllarının, məsələn, jpeg, mp3 fayllarının yüklənməsini qadağan edə bilər.

Həmçinin, proqram faydalı məlumatları yükləmək üçün kanalı boşaltmaqla bütün ziyarət edilən səhifələri və şəkilləri yadda saxlaya bilər (kesh). Bütün bunlar təkcə nəqliyyatın hərəkətini deyil, həm də xəttə sərf olunan vaxtı əhəmiyyətli dərəcədə azaldır.

Proksi server UserGate: şəbəkə trafikinizin uçotu!

Trafikin uçotu ilə yanaşı, ICS İnternetə çıxışı məhdudlaşdırmağa imkan verir, həmçinin məlumat ötürmə sürətini tamamilə idarə etməyə imkan verir. Bu, istifadəçi girişini idarə etməyə imkan verən ən təsirli komplekslərdən biridir korporativ şəbəkə internetdə.

Korporativ şəbəkədən səmərəli istifadəyə tam nəzarət

İnternetin məhdudlaşdırılması korporativ şəbəkənin yaradılması və saxlanması zamanı aktual vəzifələrdən biridir. Heç kimə sirr deyil ki, tez-tez ofis işçiləri iş problemlərini həll etmək üçün İnternetdən istifadə etmirlər. Nəticədə iş məhsuldarlığı əhəmiyyətli dərəcədə azalır, bu da biznesin səmərəliliyinin itirilməsi deməkdir.

ICS var geniş imkanlar etmək də daxil olmaqla mümkün məhdudiyyət daxil olmaq, həmçinin IP və ya şəbəkədə seçilmiş URL-lər üzrə İnternet trafiki məhdudiyyətlərini təyin etməyə imkan verir. Bütün məhdudiyyətlər müxtəlif kateqoriyalara və istifadəçi qruplarına şamil edilə bilər. Bunun sayəsində təmin edilir səmərəli istifadəəmək məhsuldarlığını yaxşılaşdıran və həmçinin provayder xidmətlərinin dəyərini azaldan korporativ şəbəkə.

Proksi-server və Firewall-dan istifadə etməklə şirkətinizin şəbəkəsində internet sürətini asanlıqla idarə etmək mümkündür. Bu, bütün işçilərin istifadə etdiyinə əminlik verir World Wide Web yalnız iş problemlərini həll etmək üçün. Nəticədə ofis səmərəliliyi əhəmiyyətli dərəcədə artır və mənfəət artır.

ICS istifadə edərək İnternetdən istifadəyə nəzarət

İCS-in istifadəsi sayəsində istifadəçinin korporativ şəbəkədə İnternetə çıxışına rahat nəzarət təmin edilir ki, bu da bir neçə yolla həyata keçirilə bilər. Siz çevik parametrlərdən istifadə edərək İnternet trafikini məhdudlaşdıra bilərsiniz. Aşağıdakı funksiyalar təklif olunur:

• qıfıl pozulduqda verilir xüsusi mesaj və ya istifadəçi müəyyən bir sayta yönləndirilir;
• internetə müvəqqəti məhdudiyyət qoymaq mümkündür;
• istifadə edilən trafikə və ziyarət edilən resurslara nəzarət məzmunun filtrasiyası- müəyyən kateqoriya resurslarına giriş bloklanır.

Bundan əlavə, proqram konfiqurasiya etməyə imkan verir müxtəlif yollarla icazə. Beləliklə, İnternetə çıxışın məhdudlaşdırılması və idarə edilməsi aşağıdakı üsullardan istifadə etməklə həyata keçirilə bilər:

• giriş və fərdi parolunuzu daxil edin;
• şəxsi bölməyə daxil olarkən İnternetə çıxış əldə etmək hesab("ActiveDirectory");
• müəyyən bir IP üçün icazə;
• xüsusi agent proqramından istifadə.

İstifadəçi idarəetmə imkanları

Müəssisə lokal şəbəkə istifadəçilərini istənilən xüsusiyyətlərdən, məsələn, təşkilati strukturdan, vəzifə öhdəliklərindən və s. asılı olaraq qruplara birləşdirmək mümkündür. Bu, yerli şəbəkələrdə girişə nəzarətin səmərəliliyini əhəmiyyətli dərəcədə artırır. Bu qrupların hər birinə ayrıca idarəçi təyin edilə bilər. İnternetdən istifadəyə nəzarət ətraflı qaydalar təyin etmək imkanı ilə mövcud qruplardan hər hansı biri üçün ayrıca girişin bloklanmasını və ya məhdudlaşdırılmasını əhatə edə bilər.

İnternetə çıxış müəyyən məhdudiyyətlər qoymaq imkanı ilə digər müəssisələrə də təqdim edilə bilər. Eyni zamanda belə müəssisələrin hər biri üçün a ayrı qrup administratoruna parol təqdim etməklə. Bunu üçüncü tərəfin istifadəsi üçün virtual İCS-nin ötürülməsi adlandırmaq olar.

Uzaq ofislərlə işləmək

Bir ICS almaqla, hər biri üçün İnternet sürətini idarə etmək imkanı olan şifrələnmiş tuneldən istifadə edərək şirkətin uzaq ofisləri ilə əlaqəni təmin edəcək hazır VPN serveri alırsınız. Rabitə uzaq ofislər şirkətin ümumi korporativ şəbəkəsinə fiziki olaraq qoşulmuş kimi səmərəli şəkildə təmin edilir.

ICS almaq

Saytımızdakı sifariş formasından istifadə edərək ICS ala bilərsiniz.

Şirkətimiz aktivdir texniki dəstək proqramın istifadəsi ilə bağlı bütün məsələlər üzrə müştərilər. Əlavə Yeniləmə Lisenziyasını (Premium) almaqla siz İCS-nin quraşdırılması, konfiqurasiyası və saxlanması ilə bağlı bütün qayğıları mütəxəssislərimizin əlinə verirsiniz - bu, almaq və əldə edərkən unutmaq istəyənlər üçün ideal seçimdir. maksimum fayda ICS-nin istifadəsindən. Hər hansı bir məsləhət üçün satış şöbəsi ilə əlaqə saxlayın.

Məktəb portalı İnternetə çıxışın idarə edilməsini dəstəkləyir.

İdarəetmə Squid proxy serveri ilə inteqrasiya yolu ilə həyata keçirilir.

Giriş hüquqlarını dəyişdirmək üçün menyuya keçin: Xidmət → İnternetə çıxış....

Bu aksiya yalnız məktəb rəhbərliyinin nümayəndələri üçün mümkündür.

İnternetə çıxış əldə etmək üçün istifadəçi adının (tələbə, müəllim) və ya bütün sinfin yanındakı qutuyu qeyd etmək kifayətdir. Girişi ləğv etmək üçün qutunun işarəsini silməlisiniz. Dəyişikliklər "Saxla" düyməsini basdıqdan sonra tətbiq edilir.

Yerli şəbəkədəki maşının Portalda konfiqurasiya edilmiş icazəni rəhbər tutaraq İnternetə daxil olması üçün onu proxy serverdən istifadə etmək üçün konfiqurasiya etməlisiniz.

Proksi server ünvanı Məktəb Portalının quraşdırıldığı yerli şəbəkədəki məktəb serverinizin ünvanıdır. Proksi port - 3128 .

İstifadəçi proksi server vasitəsilə internetə daxil olduqda ondan login və parol tələb olunacaq Məktəb portalı.

Proksi serverdən yan keçərək İnternetə çıxışın etibarlı şəkildə qarşısını almaq üçün məktəb serverinin maraq doğuran maşınlara İnternet marşrutunu təmin etmədiyini, həmçinin maşınların keçid, modem, marşrutlaşdırıcı, Wi-Fi və digər avadanlıq Təhsil müəssisəsi, işçilərin və tələbələrin onlayn çıxışı olan.

Məzmun filtrasiya sistemləri (SCF)

Həm SCF-nin olmaması, həm də çoxsaylı provayderlərlə inteqrasiya dəstəklənir.

SCF parametri İnternetə girişin idarə edilməsi səhifəsinin sol sütununda yerləşir.

Bəzi SCF-lər qadağan olunmuş resursların siyahılarını idarə etmək üçün qeydiyyat tələb edir (məsələn, sosial Mediya, ədəbsiz materiallar, referat topluları və s.). Bu cür parametrlər Portalda deyil, SCF veb-saytındakı veb interfeyslərdə dəyişdirilir. Filtrləmə keyfiyyəti məsələləri üzrə istifadəçi dəstəyi SCF-yə xidmət göstərən təşkilat tərəfindən təmin edilir. Portal yalnız sizə məktəbin proxy serverindən SCF DNS serverlərinə sorğuların göndərilməsini aktivləşdirməyə və ya söndürməyə imkan verir və başqa heç nə yoxdur.

İnternetə çıxışa bənzər SCF yalnız məktəb proxy serveri vasitəsilə ciddi şəkildə konfiqurasiya edilən maşınlara aiddir.

Vacibdir! SCF-nin işə salındıqdan sonra işləməsi gözləntilərinizə uyğun olaraq yoxlanılmalıdır, çünki Portal bunu sizin üçün avtomatik yoxlaya bilməz. SCF-nin təmin edilməsi üçün şərtlər və şərtlər onların istehsalçıları tərəfindən istənilən vaxt dəyişdirilə bilər. İstifadə etdiyiniz xidmətdən xəbərlərə abunə olmağa dəyər.

Portalda “Funksiya söndürüldü” mesajı görünsə və ya bir şey işləmirsə nə etməli.

Məqalənin bu hissəsindəki yoxlamalar və hərəkətlər yalnız üçün nəzərdə tutulmuşdur Ubuntu Server 10.04 LTS:

Bütün hərəkətlər kök istifadəçi kimi yerinə yetirilməlidir.

1. Squid quraşdırılıb?

Dpkg -s kalamar3 | grep -i versiyası

Əgər yoxsa, quraşdırın:

Apt-get quraşdırma squid3

2. Bu parametrlər Portal konfiqurasiya faylındadırmı?

Auth = əsas htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

Əgər deyilsə, əlavə edin və işə salın

Tez öldürün

3. Squid qaçır? 3128 portunu dinləyirsiniz?

İmtahan:

Netstat -ntlp | grep 3128

Cavab belə olmalıdır (1234 nümunədir, fərqli proses nömrəniz ola bilər):

Tcp 0 0 0.0.0.0:3128 0.0.0.0:* DİNLƏ 1234/(kalamar)

Squid-ə necə başlamaq olar:

/etc/init.d/squid3 başlayın

* Squid HTTP Proxy 3.0 squid3 işə salınır

4. Squid-i avtomatik işə salmağa təyin edin:

Update-rc.d squid3 aktivləşdirin

5. Portalın idarə etməsinə cavabdeh olan xidmət fayllarına giriş hüquqlarını yaradın, yoxsa:

toxunun /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_low

6. Qutudan çıxarılan Squid konfiqurasiya faylı inteqrasiyaya hazır deyil;

Birincisi, onun portal inteqrasiyası OLMADIĞINDAN əmin olun (birdən çox yamaq məqbul deyil):

Grep "Məktəb Portalı İnternet Nəzarəti" /etc/squid3/squid.conf

Yuxarıdakı əmr xətti çıxarılarsa, bu addım atılmalıdır.

Bununla belə, əgər konfiqurasiya faylı xətt orada olacaq şəkildə dəyişdirilibsə, lakin inteqrasiya işləmirsə, götürün orijinal fayl Squid-dən konfiqurasiya edin və bu addımı onun üzərində yerinə yetirin.

Beləliklə, NO xətt yoxdursa:

6.1. İnteqrasiyaya mane olan qaydaların aradan qaldırılması və səhv səhifələrinin rus versiyalarına dəyişdirilməsi:

Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf

6.2. İnteqrasiya fraqmentinin əlavə edilməsi:

Echo " # ============================== # Məktəb Portalı İnternet Nəzarəti # Deaktiv etmək üçün /etc/squid3/squid.conf ilə əvəz edin /etc/squid3/squid.conf-original # ======================================== ==== auth_param əsas proqramı /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd auth_param əsas uşaq 5 auth_param əsas realm Squid proksi-keşləmə veb serveri auth_param əsas etimadnaməsisttl 2 saat auth_param əsas etimadnaməsisttl auth_param basic caseensius_/auth_param basic caseensius_/ www/sp_users_allowed" http_access icazə sp_users_allowed http_access hamısını rədd edir " > > /etc/squid3/squid.conf

Əgər belə blok squid.conf faylında bir dəfədən çox görünürsə, hər şey işləsə belə, dublikatları silin. Təkrarla, qəbul siyahısı portaldan hər dəfə yeniləndikdə, Squid qaydaları yenidən müəyyən etmək barədə jurnalına xəbərdarlıqlar göndərəcək.

6.3. Dəyişikliklərdən sonra Squid yenidən işə salınmalıdır.

/etc/init.d/squid3 yenidən başladın

7. Sonra İnternetə çıxışı yaymaq üçün Məktəb Portalının veb interfeysindən istifadə edin. Siz portalın veb interfeysində "Tətbiq et" düyməsini kliklədikdən sonra /var/www/sp_users_allowed faylında icazə verilən portal istifadəçi girişlərinin siyahısında dəyişiklik görməlisiniz.

Squid giriş qeydləri (/var/log/squid3) portal istifadəçi girişlərini ehtiva edəcək. Squid log formatına uyğun olan istənilən log analizatorlarından istifadə edə bilərsiniz. Portalla inteqrasiya qeydlərin standart formatını pozmur; fərq istifadəçi icazəsi olmadıqda tire olacaq yerdə portaldan girişlərin olmasıdır.

8. Məktəb serverində və serverdə firewall olub olmadığını yoxlayın müştəri maşınları. Varsayılan olaraq, təmiz Ubuntu Serverində firewall bütün bağlantılara icazə verir, əgər siz onun konfiqurasiyasına hər hansı bir vasitə ilə müdaxilə etmisinizsə, məktəbin yerli şəbəkəsindən serverin 3128 portuna və serverdən gedən bağlantılara icazə verildiyinə əmin olun.