UserGate Proxy Firewall este un UTM clasa poarta de acces on-line (Unified Threat Management), să furnizeze și să controleze accesul global angajat la resurse pe Internet, pentru a filtra site-uri rău intenționate, periculoase sau nedorite, de a proteja rețeaua companiei de intruziuni externe și atacuri, pentru a crea rețele virtuale și de a organiza sigure VPN - accesul la resursele de rețea din exterior, precum și gestionarea lățimii canalului și a aplicațiilor Internet.
Produsul este o alternativă eficientă la software-ul și hardware-ul scump și este destinat utilizării în întreprinderile mici și mijlocii, agențiile guvernamentale și marile organizații cu structură de sucursală.
Puteți găsi aici toate informațiile suplimentare despre produs.
Există module suplimentare plătite în program:
- Kaspersky Antivirus
- Panda Antivirus
- Avira Antivirus
- Filtrarea URL-urilor Entensys
Licența pentru fiecare modul este furnizată pentru un an calendaristic. Puteți încerca munca tuturor modulelor într-o cheie de încercare, care poate fi furnizată pentru o perioadă de 1 până la 3 luni pentru un număr nelimitat de utilizatori.
Detalii despre regulile de licențiere pot fi găsite aici.
Pentru a crea un gateway, aveți nevoie de un computer sau de un server care trebuie să îndeplinească următoarele cerințe de sistem:
- Frecvența procesorului: de la 1,2 GHz
- Capacitatea RAM: de la 1024 Gb
- Capacitatea HDD: de la 80 GB
- Numărul adaptoarelor de rețea: 2 sau mai multe
Cu cât este mai mare numărul de utilizatori (comparativ cu 75 de utilizatori), cu atât ar trebui să fie mai multe caracteristici ale serverului.
- Este un controler de domeniu
- Este un hypervisor al mașinilor virtuale
- Este un server terminal
- Efectuează rolul unui server DBMS / DNS / HTTP foarte încărcat etc.
- Serveste ca server SIP
- Efectuează servicii sau servicii importante pentru afaceri
- Toate cele de mai sus
UserGate ProxyFirewall este în prezent în conflict cu următoarele tipuri de software:
- Toate, fără excepție, soluții de terță parte Firewall / Firewall
- Produsele BitDefender Antivirus
- Module antivirus care execută funcția Firewall sau "Anti-Hacker", cele mai multe produse antivirus. Se recomandă dezactivarea acestor module
- Module antivirus care asigură verificarea datelor transmise prin protocoale HTTP / SMTP / POP3, aceasta poate cauza o întârziere atunci când lucrează prin proxy
- Produsele software de la terți care sunt capabile să intercepteze datele din adaptorul de rețea - "contoare de viteză", "formatori" etc.
- Rolul activ al Windows Server "Routing and Remote Access" în NAT / Internet Connection Sharing (ICS)
Atenție vă rog! La instalare, este recomandat să dezactivați suportul IPv6 pe poarta de acces, cu condiția ca aplicațiile care utilizează IPv6 să nu fie utilizate. În implementarea actuală a UserGate ProxyFirewall, nu există suport pentru protocolul IPv6 și, în consecință, acest protocol nu este filtrat. Astfel, gazda poate fi accesată din exterior prin IPv6, chiar dacă sunt activate regulile de firewall.
Cu configurația corectă, UserGate ProxyFirewall este compatibil cu următoarele servicii și servicii:
Rolurile Microsoft Windows Server:
- Server DNS
- Server DHCP
- Server de imprimare
- Server de fișiere (SMB)
- Server de aplicații
- Serverul WSUS
- Server WEB
- Server WINS
- Server VPN
Și cu produse terțe:
Când instalați UserGate ProxyFirewall, asigurați-vă că software-ul terților nu utilizează portul sau porturile pe care UserGate ProxyFirewall le poate utiliza. În mod implicit, UserGate utilizează următoarele porturi:
Toate porturile pot fi modificate utilizând Consola Administrator UserGate.
Instalați programul și selectați baza de date cu care să lucrați
Vă recomandăm să instalați programul într-o configurație cu baza de date Firebird, deoarece accelerați în mod constant această bază de date.
UserGate Proxy Configuration Wizard Firewall
Pentru mai multe detalii despre configurarea regulilor NAT, vedeți acest articol:
Produsul este configurat prin intermediul consolei de administrare UserGate ProxyFirewall, care poate fi accesată fie prin dublu clic pe pictograma agentului UserGate, fie prin clic pe comanda rapidă din meniul Start.
Când porniți consola de administrare, primul pas este înregistrarea produsului. Mai multe informații despre înregistrarea UserGate.
În secțiunea "Setări generale" din Consola de administrare, specificați parola de administrator. Important! Nu utilizați comenzile specifice Unicode sau codul PIN al produsului ca parolă pentru a accesa Consola de administrare.
Atenție vă rog! Parametrii descrisi mai jos se recomandă a fi modificați numai cu un număr mare de clienți / cerințe de lățime de bandă ridicată pentru gateway.
Această secțiune are, de asemenea, următoarele setări: "Numărul maxim de conexiuni" - numărul maxim al tuturor conexiunilor prin NAT și prin proxy-ul UserGate ProxyFirewall.
"Numărul maxim de conexiuni NAT" - numărul maxim de conexiuni pe care UserGate ProxyFirewall le poate trece prin driverul NAT.
Dacă numărul de clienți nu este mai mare de 200-300, atunci nu sunt recomandate setările "Numărul maxim de conexiuni" și "Numărul maxim de conexiuni NAT". Creșterea acestor parametri poate duce la o încărcare semnificativă a hardware-ului gateway-ului și este recomandată numai în cazul optimizării setărilor cu un număr mare de clienți.
nslookup usergate.ru 8.8.8.8
Dacă aveți un controler de domeniu implementat, puteți să configurați sincronizarea grupurilor cu grupuri din Active Directory sau să importați utilizatori din Active Directory, fără să sincronizați permanent cu Active Directory.
Pentru funcționarea corectă și sigură a gateway-ului, trebuie să configurați paravanul de protecție.
Următorul algoritm al firewall-ului este recomandat: pentru a interzice tot traficul, apoi pentru a adăuga reguli permise la direcțiile necesare. Pentru aceasta, regula # NONUSER # trebuie să fie schimbată în modul "Deny" (acest lucru va interzice tot traficul local pe poartă). Atenție! Dacă configurați UserGate ProxyFirewall de la distanță, veți fi deconectat de la server. Apoi trebuie să creați reguli de permisiune.
Rezolvăm tot traficul local, de-a lungul tuturor porturilor de la poarta de acces la rețeaua locală și de la rețeaua locală la gateway, prin crearea unor reguli cu următorii parametri:
Sursa este "LAN", destinația este "Oricare", serviciile sunt ORICE: FULL, acțiunea este "Permite"
Sursa este "Orice", destinația este "LAN", serviciile sunt ORICE: FULL, acțiunea este "Permite"
Apoi vom crea o regulă care va deschide Internetul pentru gateway-ul:
Sursa este "WAN"; numire - "Orice"; Servicii - ORICE: FULL; acțiune - "Permiteți"
Dacă aveți nevoie să permiteți conexiunile de intrare pe toate porturile pentru a accesa poarta, regula va arăta astfel:
Sursa este "Orice"; destinația este "WAN"; Servicii - ORICE: FULL; acțiune - "Permiteți"
Și dacă aveți nevoie de poarta de acces pentru a accepta conexiunile primite, de exemplu doar prin RDP (TCP: 3389), și ar putea fi pinged din exterior, atunci trebuie să creați următoarea regulă:
Sursa este "Orice"; destinația este "WAN"; servicii - orice ICMP, PDR; acțiune - "Permiteți"
În toate celelalte cazuri, din motive de securitate, nu este necesar să creați o regulă pentru conexiunile primite.
Sursa este "LAN"; destinația este "WAN"; Servicii - ORICE: FULL; acțiune - "Permite"; selectați utilizatorii sau grupurile cărora trebuie să li se acorde acces.
Poate fi setat reguli firewall - permite ceea ce este interzis în mod expres și invers, pentru a interzice în mod clar ceea ce este permis, în funcție de modul în care configurați o regulă # # NON_USER și ceea ce este politica dvs. în cadrul companiei. Toate regulile au prioritate - regulile funcționează în ordine de sus în jos.
Variante de setări diferite și exemple de reguli de firewall pot fi vizualizate aici.
Mai mult, în secțiunea de servicii - proxy-ul poate include serverele proxy necesare - HTTP, FTP, SMTP, POP3, SOCKS. Selectați interfețele necesare, permițând opțiunea "Ascultați pe toate interfețele" nu este sigură, deoarece Proxy-ul va fi apoi disponibil atât pe interfețe LAN, cât și pe interfețe externe. Modul proxy "transparent", trasează tot traficul de pe portul selectat la portul proxy, în acest caz pe computerele client, nu este nevoie să specificați un proxy. Proxy-ul rămâne, de asemenea, disponibil pe portul specificat în setările serverului proxy.
Dacă este activat modul proxy transparent pe server (Servicii - Setare proxy), este suficient să specificați serverul UserGate ca gateway implicit în setările de rețea ale mașinii client. Ca server DNS, puteți specifica și un server UserGate, caz în care trebuie activat redirecționarea DNS.
Dacă rețeaua dvs. are un server DNS configurat, îl puteți specifica în setările DNS ale setărilor de redirecționare UserGate și WAN ale adaptorului UserGate. În acest caz, atât în modul NAT, cât și în modul proxy, toate solicitările DNS vor fi trimise către acest server.