Как настроить прокси usergate

Примечание: Данная статья была отредактирована, дополнена актуальными данными и дополнительными ссылками.

Содержание:

UserGate Proxy & Firewall представляет собой интернет-шлюз класса UTM (Unified Threat Management), позволяющий обеспечивать и контролировать общий доступ сотрудников к интернет-ресурсам, фильтровать вредоносные, опасные и нежелательные сайты, защищать сеть компании от внешних вторжений и атак, создавать виртуальные сети и организовывать безопасный VPN-доступ к ресурсам сети извне, а также управлять шириной канала и интернет-приложениями.

Продукт является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса, в государственных учреждениях, а также крупных организациях с филиальной структурой.

Всю дополнительную информацию о продукте вы сможете найти здесь .

В программе имеются дополнительные платные модули:

  • Kaspersky Antivirus
  • Panda Antivirus
  • Avira Antivirus
  • Entensys URL Filtering

Лицензия на каждый из модулей предоставляется на один календарный год. Опробовать работу всех модулей можно в триальном ключе, который может быть предоставлен на срок от 1 до 3 месяцев на неограниченное число пользователей.

Подробно про правила лицензирования можно прочитать здесь .

По всем вопросам, связанным с покупкой решений Entensys, обращайтесь по адресу: sales@usergate.ru или по телефону бесплатной линии: 8 (800) 555 1690.

Системные требования

Для организации шлюза необходим компьютер или сервер, который должен удовлетворять следующим системным требованиям:

  • Частота CPU: от 1,2 ГГц
  • Объём RAM: от 1024 Gb
  • Объём HDD: от 80 Гб
  • Количество сетевых адаптеров: 2 и более

Чем больше число пользователей (относительно 75 пользователей), тем больше характеристики сервера должны быть.

Мы рекомендуем устанавливать наш продукт на компьютер с "чистой" серверной операционной системой, рекомендуемой операционной системой является Windows 2008/2012.

Мы не гарантируем корректной работы UserGate Proxy&Firewall и/или совместной работы сторонних служб и не рекомендуем его совместное использование с сервисами на шлюзе, который выполняет следующие роли:

  • Является контроллером домена
  • Является гипервизором виртуальных машин
  • Является сервером терминалов
  • Выполняет роль высоконагруженного сервера СУБД/DNS/HTTP и пр.
  • Выполняет роль SIP сервера
  • Выполняет критичные для бизнес-процессов сервисы или службы
  • Всё вышеперечисленное

UserGate Proxy&Firewall на данный момент может конфликтовать со следующими типами программного обеспечения:

  • Все без исключения сторонние Брандмауэр/Firewall решения
  • Антивирусные продукты компании BitDefender
  • Антивирусные модули выполняющие функцию Firewall или "Антихакер", большинства антивирусных продуктов, рекомендуется отключить эти модули
  • Антивирусные модули обеспечивающие проверку данных передаваемых по протоколам HTTP/SMTP/POP3, это может вызвать задержку при активной работе через прокси
  • Сторонние программные продукты, которые способны перехватывать данные сетевых адаптеров - "измерители скорости", "шейперы" и т.п.
  • Активная роль Windows Server "Маршрутизация и удалённый доступ" в режиме NAT

При корректной настройке, UserGate Proxy&Firewall совместим со следующими сервисами и службами:

Роли Microsoft Windows Server:

  • DNS сервер
  • DHCP сервер
  • Print сервер
  • Файловый(SMB) сервер
  • Сервер приложений
  • WSUS сервер
  • WEB сервер
  • WINS сервер
  • VPN сервер

И со сторонними продуктами:

  • FTP/SFTP серверы
  • Серверы обмена сообщениями - IRC/XMPP
  • .

При установке UserGate Proxy&Firewall убедитесь, что стороннее ПО не использует порт или порты, которые может использовать UserGate Proxy&Firewall. По умолчанию UserGate использует следующие порты:

  • 25 - SMTP-прокси
  • 80 - прозрачный HTTP-прокси
  • 110 - POP3-прокси
  • 2345 - консоль администратора UserGate
  • 5455 - VPN-сервер UserGate
  • 5456 - клиент авторизации UserGate
  • 5458 - DNS-форвардинг
  • 8080 - HTTP-прокси
  • 8081 - веб-статистика UserGate

Все порты можно менять с помощью консоли администратора UserGate.

Установка программы и выбор база данных для работы

Рекомендуем устанавливать программу в конфигурации с СУБД Firebird, так как постоянно ведется работа по ускорению с этой базой данных.

После установки UserGate Proxy&Firewall обязательно произведите перезагрузку шлюза. После авторизации в системе, в панели задач Windows рядом с часами иконка UserGate агент должна стать зелёной. Если иконка серая, то значит в процессе установки произошла ошибка и служба сервера UserGate Proxy&Firewall не запущена, в этом случае обратитесь к соответствующему разделу базы знаний Entensys, либо к технической поддержке компании Entensys.

Конфигурирование продукта осуществляется посредством консоли администрирования UserGate Proxy&Firewall, которую можно вызвать как двойным щелчком по иконке агента UserGate, так и по ярлыку из меню "Пуск".

При запуске консоли администрирования первым шагом является регистрация продукта. Подробнее про регистрацию UserGate.

Ошибки, связанные с регистрацией. Ссылка на данную статью имеется и в статье с регистрацией.

В разделе "Общие настройки" консоли администратора задайте пароль пользователя Administrator. Важно! Не используйте юникод-специсмволы или ПИН-код продукта в качестве пароля для доступа к консоли администрирования.

В продукте UserGate Proxy&Firewall есть механизм защиты от атак. активировать его можно также в меню "Общие настройки". Механизм защиты от атак является активным механизмом, своего рода "красная кнопка", который работает на всех интерфейсах. Рекомендуется использовать эту функцию в случае DDoS атак либо массового заражения вирусами внутри локальной сети. Механизм защиты от атак может блокировать пользователей, использующих файлобменные клиенты - торренты, direct connect, некоторые типы VoIP клиентов/серверов, осуществляющих активный обмен трафиком. Чтобы получить ip адреса заблокированных компьютеров, откройте файл C:\ProgramData\Entensys\Usergate6\logging\fw.log или C:\Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log .

В этом разделе также имеются следующие настройки: "Максимальное число соединений" - максимальное количество всех соединений через NAT и через прокси UserGate Proxy&Firewall.

"Максимальное число NAT соединений" - максимальное количество соединений, которое UserGate Proxy&Firewall может пропускать через драйвер

NAT.

Если количество клиентов не более 200-300, то настройки "Максимальное число соединений" и "Максимальное число NAT соединений" менять не рекомендуется. Увеличение этих параметров может привести к существенной нагрузке на оборудование шлюза и рекомендуется только в случае оптимизации настроек при большом количестве клиентов.

Внимание! Перед этим обязательно проверьте настройки сетевых адаптеров в Windows! Интерфейс подключенный к локальной сети (LAN) не должен содержать адреса шлюза! DNS-серверы в настройках LAN-адаптера указывать не обязательно, IP-адрес должен быть назначен вручную, не рекомендуем его получать с помощью DHCP.

IP-адрес LAN-адаптера должен иметь частный IP-адрес. допустимо использовать IP-адрес из следующих диапазонов:

Распределение адресов частных сетей описаны в RFC 1918 .

Использование других диапазонов в качестве адресов для локальной сети приведёт к ошибкам в работе UserGate Proxy&Firewall.

Интерфейс, подключенный к сети Интернет (WAN), должен содержать IP-адрес, маску сети, адрес шлюза, адреса DNS-серверов.

Не рекомендуется использование более трёх DNS-серверов в настройках WAN-адаптера, это может привести к ошибкам в работе сети. Предварительно проверьте работоспособность каждого DNS сервера с помощью команды nslookup в консоли cmd.exe, пример:

nslookup usergate.ru 8.8.8.8

где 8.8.8.8 - адрес DNS-сервера. Ответ должен содержать IP-адрес запрошенного сервера. Если ответа нет, то DNS-сервер не валиден, либо DNS-трафик блокируется.

Необходимо определить тип интерфейсов. Интерфейс с IP-адресом, который подключен к внутренней сети, должен иметь тип LAN; интерфейс, который подключен к сети Интернет - WAN.

Если WAN-интерфейсов несколько, то необходимо выбрать основной WAN-интерфейс, через который будет ходить весь трафик, кликнув правой кнопкой мыши по нему и выбрав "Установить основным соединением". Если планируется использование другого WAN-интерфейса в качестве резервного канала, рекомендуем воспользоваться "Мастером настройки" резервного подключения .

Внимание! При настройке резервного подключения рекомендуется задать не DNS-имя хоста, а IP-адрес для того, чтобы UserGate Proxy&Firewall переодически опрашивал его с помощью icmp(ping) запросов и при отсутствии ответа включал резервное подключение. Убедитесь, что DNS-серверы в настройках сетевого резервного адаптера в Windows работоспособны.

Пользователи и группы

Для того, чтобы клиентский компьютер мог авторизоваться на шлюзе и получать доступ к службам UserGate Proxy&Firewall и NAT, необходимо добавить пользователей. Для упрощения выполнения этой процедуры, воспользуйтесь функцией сканирования - "Сканировать локальную сеть". UserGate Proxy&Firewall самостоятельно просканирует локальную сеть и предоставит список хостов, которые можно добавить в список пользователей. Далее, можно создать группы и включить в них пользователей.

Если у Вас развёрнут контроллер домена, то Вы можете настроить синхронизацию групп с группами в Active Directory, либо произвести импорт пользователей из Active Directory, без постоянной синхронизации с Active Directory.

Создаем группу, которая будет синхронизована с группой или группами из AD, вводим необходимые данные в меню "Синхронизация с AD", перезапускаем службу UserGate с помощью агента UserGate. Через 300 сек. пользователи автоматически импортируются в группу. У этих пользователей будет выставлен способ авторизации - AD.

Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран.

Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим "Запретить" (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate Proxy&Firewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила.

Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами:

Источник - "LAN", назначение - "Любой", сервисы - ANY:FULL, действие - "Разрешить"

Источник - "Любой", назначение - "LAN", сервисы - ANY:FULL, действие - "Разрешить"

Затем создаём правило, которое откроет доступ в Интернет для шлюза:

Источник - "WAN"; назначение - "Любой"; сервисы - ANY:FULL; действие - "Разрешить"

Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так:

Источник - "Любой"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"

И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило:

Источник - "Любой"; назначение - "WAN"; сервисы - Any ICMP, RDP; действие - "Разрешить"

Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно.

Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT).

Источник - "LAN"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"; выбираете пользователей или группы, которым необходимо предоставить доступ.

Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз.

Варианты различных настроек и примеры правил межсетевого экрана можно посмотреть здесь .

Далее, в разделе сервисы - прокси можете включить необходимые прокси-серверы - HTTP, FTP, SMTP, POP3, SOCKS. Выберите нужные интерфейсы, включение опции "прослушивать на всех интерфейсах" быть небезопасной, т.к. прокси в таком случае будет доступен как на LAN интерфейсах так и на внешних интерфейсах. Режим "прозрачного" прокси, маршрутизирует весь трафик по выбранному порту на порт прокси, в таком случае на клиентских компьютерах, указывать прокси не нужно. Прокси остаётся также доступным и по порту, указанному в настройках самого прокси-сервера.

Если на сервере включен прозрачный режим прокси (Сервисы - Настройка прокси), то достаточно указать в настройках сети на клиентской машине сервер UserGate в качестве основного шлюза. В качестве DNS-сервера также можно указать сервер UserGate, в этом случае должен быть включен DNS-форвардинг .

Если на сервере прозрачный режим отключен, то нужно прописать адрес сервера UserGate и соответствующий порт прокси, указанный в Сервисы - Настройка прокси, в настройках подключения браузера. Пример настройки сервера UserGate для такого случая можно посмотреть здесь .

Если в вашей сети имеется сконфигурированный DNS сервер, то можете указать его в настройках DNS форвардинга UserGate и настройках WAN адаптера UserGate. В таком случае и в режиме NAT и в режиме прокси все DNS запросы будут направлены на этот сервер.

Источник: support.entensys.com

Категория: Программное обеспечение

Похожие статьи: