Подключение к интернету прибавляет забот любому админу. Раздача канала, обеспечение защиты внутренних ресурсов от внешних угроз, настройка учета трафика, контроль загрузки канала, блокировка доступа пользователей к определенным сайтам и сервисам - это только верхушка айсберга. Из великого многообразия доступных программных продуктов, позволяющих организовать работу пользователей в глобальной Сети, очень важно выбрать надежное и полнофункциональное решение.
UserGate Proxy & Firewall 5.1
Разработчик: Entensys
Web:
Дистрибутив (демо)
Системные требования: Pentium 1 ГГц, 512 Мб ОЗУ
ОС: Windows 2000/2003/XP
Функциональность: 9/10
Удобство управления: 8/10
Работа с пользователями: 9/10
Мониторинг и статистические отчеты: 8/10
Предыдущая (четвертая) версия этого продукта российской компании Entensys называлась просто UserGate и позиционировалась как прокси-сервер с функциями фильтрации и учета трафика. Назначение версии 5.х видно из названия. Теперь возможности по фильтрации, блокировке и контролю трафика занимают на сайте практически все описание. Доступ в Сеть обеспечивается применением нескольких технологий – NAT, прозрачный прокси (HTTP, FTP, POP3, SMTP, SOCKS). Реализован также VoIP-шлюз (SIP, H323) для программных и аппаратных IP-телефонов. Возможно подключение к интернет через другой прокси. При наличии нескольких подключений возможно распределение по ним пользователей и резервирование канала. Программа имеет встроенный DHCP-сервер. Реализован DNS-форвардинг.
Администратор может задать максимальную скорость соединения, установить лимит на размер скачиваемого файла, а также список разрешенных приложений для каждого пользователя. Пользователь может быть авторизован по IP-адресу, IP+MAC, IP+MAC+логин, с помощью HTTP-авторизации или Active Directory. Некоторые виды авторизации и контроль приложений потребуют дополнительной установки на клиентском компьютере Authentication Client, который находится в %usergate%\tools. Модуль Bandwidth Manager обеспечивает возможность резервировать канал для определенного типа трафика.
UserGate позволяет гибко управлять трафиком и его учетом (по времени и количеству). Можно задать несколько тарифов и привязать их к пользователям или группам, установить интервалы действия тарифов и трафик, который не должен попадать в статистику.
Администратор может запретить посещать сайты определенного содержания, просто отобрав их среди 70 категорий. Возможна блокировка по URL и адресу, но это потребует значительных усилий. Анализ поля Content-type в HTTP-запросе позволяет контролировать и при необходимости блокировать закачку файлов любых расширений. Одна из главных особенностей UserGate – проверка трафика при помощи двух встроенных антивирусных модулей: Антивирус Касперского и Panda Antivirus (лицензия на антивири приобретается отдельно). Администратор может выбирать, что и каким антивирусом проверять, а также очередность проверки. Реализовано удаленное управление с помощью локализованной консоли администрирования.
В версии 5.x появился новый модуль статистики, где в наглядной форме как администратор, так и пользователь могут получить любую информацию по трафику, в том числе и по продолжительности VoIP-переговоров (естественно, пользователь увидит только свои данные). Реализован экспорт собранных данных в MS Excel, OpenOffice.org Calc и HTML. Программа имеет встроенный планировщик. Он может автоматизировать определенные задачи: запустить программу, обновить антивирусные базы, разослать статистику, установить или разорвать соединение.
Установка продукта несложна: несколько раз нажимаем "Далее", при необходимости отбираем отдельные компоненты. Консоль администрирования тоже достаточно проста. Представляя конечный результат, можно разобраться в назначении элементов без подглядываний в прилагаемое руководство (кстати, краткое, но понятное). Все сетевые подключения после установки можно найти в "Сервер UserGate –> Интерфейсы". Так как это основная вкладка, на основе настроек которой будет считаться трафик, резервироваться канал, работать NAT и всевозможные ограничения, то следует сюда зайти и указать тип соединения для каждого адаптера. Внешние сети должны иметь тип WAN, внутренние - LAN. Тип VPN- и PPPoE-соединений изменить нельзя, они всегда установлены в PPP.
Брандмауэр по умолчанию содержит только одно правило, причем разрешающее все соединения. С одной стороны это удобно, так как все работает "из коробки". С другой - администратору придется некоторое время уделить настройке, чтобы защитить сеть. Начать, очевидно, следует с того, чтобы сделать это правило запрещающим, а затем уже разрешать действительно нужные соединения, заглядывая в логи. Правило firewall создается при помощи пошагового мастера. Для этого надо указать название правила, источник и назначение (любой, хост и WAN-интерфейс), сервисы и действие (блокировать, разрешить, NAT). Созданное правило можно редактировать, удалить, переместить, отключить, копировать, чтобы на его основе создать новое. Внутренние ресурсы компании, которые должны быть доступны "извне", необходимо публиковать, создав для них правило доступа.
В настройках отдельного пользователя указываются преобразования NAT, правила управления трафиком, правила приложений, ограничение скорости, номер SIP/H323 телефона.
Перейдя в пункт "Мониторинг", можно просмотреть в реальном времени активные сессии и при необходимости заблокировать некоторые из них. Администратор получит информацию по IP-адресу компьютера, имени пользователя, точному количеству переданного и полученного трафика и по посещенным адресам.
NetworkShield Firewall 2006
Разработчик: NetSib
Web:
Дистрибутив (демо)
Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ
ОС: Windows 2000/XP/2003
Функциональность: 8/10
Удобство управления: 8/10
Работа с пользователями: 9/10
Мониторинг и статистические отчеты: 8/10
NetworkShield Firewall 2006 создан на основе драйвера обработки сетевого трафика, поддерживающего технологию NAT. Помимо обеспечения выхода в интернет через один канал, он позволяет управлять доступом между сетями и контролировать работу пользователей. Есть средства учета трафика. За безопасность отвечает файрвол, умеющий также определять и блокировать некоторые типы атак (SYN flood, IP spoofing). Безопасность соединений гарантирует технология защиты под названием Adaptive Connections Control (Stateful Firewall на основе логических объектов).
Установка продукта очень проста. После выбора русского языка просто жмем "Далее" и соглашаемся со всем, что предлагают. По окончании запустится "Мастер настройки сети". Его задача – произвести первоначальную настройку безопасности. Пока мастер не закончит работу, все исходящие соединения будут разрешены. Вначале вводим пароль админа и указываем интерфейс, к которому подключена локальная сеть, затем диапазон адресов, входящих в LAN. Если LAN-сетей несколько, их настройки указываем позднее, используя панель управления NSF. Затем выбираем WAN-интерфейс, определяем сервисы, к которым разрешен доступ из LAN (все или отдельные). Наконец, определяем, к каким сервисам на сервере NSF разрешен доступ из WAN. Кстати, не факт, что по окончании работы мастера все пользователи сразу получат доступ в Сеть. В этом NSF сильно отличается от UserGate.
Основные установки производятся в панели управления NSF. Она локализована, логична и построена стандартно для такого типа программ. Настроек меньше, чем в UserGate, плюс большая их часть производится при помощи пошаговых мастеров, поэтому конфигурировать NSF довольно легко.
После работы мастера в "Правила firewall" будет записано несколько рулесетов, разделенных на две группы: предопределенные и пользовательские. В предопределенных правилах можно изменять и отключать лишь некоторые параметры. Последним по списку установлено правило, запрещающее все соединения. Его изменить или отключить нельзя.
При создании нового правила помогает пошаговый мастер. Админу предлагается ответить на ряд вопросов: название, тип (доступ или публикация), действие (разрешить, запретить), протокол (все или на выбор), источник и назначение. По окончании создания правила можно его отредактировать. Здесь же можно будет задать расписание.
Для удобства настройки правил firewall и правил учета трафика создаются объекты. Объектами могут быть компьютеры, диапазоны IP, пользователи. Аутентификация пользователей возможна средствами NSF или Windows, в том числе, поддерживается и Active Directory. На клиентских компьютерах дополнительно требуется установить клиент авторизации (скачать его можно с расшаренной папки \\nsf\nsclient). Он позволяет использовать при подключении динамические IP-адреса.
Система квот и учета трафика предоставляет возможность задать лимит трафика (вкладка "Квоты трафика") за определенный период (день, неделя, и т.д.) и действие при его достижении (ничего не делать или заблокировать). После создания квота подключается к объектам в "Правила учета трафика". Вкладка "Мониторинг" позволяет отслеживать в реальном времени активность объектов в сети.