Статьи Новости Контакты

14.08.2007
Роберт Басыров

Упор на безопасность

обзор новой версии UserGate

UserGate — прокси-сервер, выполняющий функции контроля и распределения прав

UserGate — прокси-сервер, выполняющий функции контроля и распределения прав при организации выхода в Интернет пользователей локальных сетей через один внешний IP-адрес. Этот прокси-сервер имеет гибкое управление ограничениями по каждому пользователю в отдельности или группе в целом, удобные средства мониторинга всех процессов в сети, встроенную биллинговую систему и ряд дополнительных сервисов для администратора сети. В версии под номером четыре основной упор разработчиком, компанией Entensys, сделан на обеспечение высокого уровня безопасности для тех, кто "сидит" за этим прокси-сервером.

UserGate имеет заслуженную славу удобного инструмента для организации доступа во Всемирную сеть

UserGate имеет заслуженную славу удобного инструмента для организации доступа во Всемирную сеть. Его основные механизмы:

  • администрирование пользователей либо через драйвер NAT (Network Address Translation — трансляция сетевого адреса), либо через прокси-сервер;
  • биллинговая система — управление доступом пользователей в зависимости от выделенной им квоты;
  • "прозрачный прокси", осуществляющий пересылку клиентских запросов, перехваченных драйвером NAT, на порт HTTP-прокси UserGate;
  • управление VPN-трафиком.

UserGate
Интерфейс программы

Конкурентов у него в плане администрирования доступа не много: Microsoft ISA Server, Kerio Winroute Firewall, WinGate. Прокси-сервер UserGate выгодно выделяется как по цене, так и по простоте настроек и администрирования. Что касается функциональных возможностей, то UserGate по некоторым позициям уступает Kerio или Microsoft. Тем не менее функциональность вполне достаточна для малых сетей, что и обусловило его высокую популярность.

Новое в четвертой версии

Похоже, что все основные задачи по обеспечению нормированного доступа в Сеть для локальных домовых и корпоративных сетей с небольшим (до 50) числом компьютеров разработчиками уже решены, если в четвертой версии сделан упор на безопасность. Если по функциональности, непосредственно связанной с администрированием доступа, новшество в четвертой версии фактически только одно: управление VPN-трафиком, то в плане безопасности защита поставлена сразу на двух основных направлениях угроз извне: файрвол для защиты от несанкционированного доступа извне и антивирус для защиты трафика.

Собственный файрвол

Файрвол UserGate относится к классу gateway

Файрвол UserGate относится к классу gateway и обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Если пакет был обработан драйвером NAT, он не обрабатывается файрволом. Возможности по созданию правил во встроенном файрволе UserGate для не проходящих через NAT пакетов довольно просты. Действие можно либо разрешить, либо запретить — не более. Есть возможность организовать доступ к определенным ресурсам компьютера из Интернета, обеспечив таким образом публикацию веб-серверов.

UserGate
Создание правил

Двойная антивирусная защита

Встроенные в UserGate антивирусы работают ограниченно: проверяют только трафик

Может показаться, что предусмотренная в UserGate антивирусная защита не совсем правильная. Встроенные в UserGate антивирусы работают ограниченно: проверяют только трафик и не имеют возможности проверить локальные файлы даже на сервере, где установлен сам UserGate. Однако этого вполне достаточно для защиты от угроз из Сети. В качестве встроенных антивирусов используются "Антивирус Касперского" и "Панда". Версии движков не самые новые: "Антивирус Касперского" с движком четвертой версии, "Панда" — пятой. Но не секрет, что сами движки антивирусной проверки меняются крайне редко, а главное в антивирусной защите — актуальность антивирусных баз. С проверкой текущего трафика антивирусы справляются без проблем, не особо перегружая сервер. Результаты тестирования показали следующее. Сервер: двухъядерный Zeon 3 ГГц, по 1 Мб кеша на ядро, 3 Гб оперативной памяти. Нагрузку на сервер создавал сам UserGate (при включенных антивирусах, полная проверка по всем видам трафика) и 50–60 активных пользователей, которые через прокси грузили сервер. Нагрузка составляла 20–60 процентов в зависимости от количества запросов. Если такая нагрузка администратору может показаться большой, то можно отключить тот или иной движок или ограничить проверку по видам трафика.

UserGate
Настройка порядка проверки трафика антивирусами

При обнаружении вирусов в почте UserGate выдает сообщения о том, что один или несколько прикрепленных файлов содержали вирус и были удалены антивирусом. При обнаружении вируса в HTTP-трафике страница не отображается и выводится сообщение, что на ней был обнаружен вирус. Для админа будет полезно в этом случае почаще заглядывать в логи antivirus.log в папке \usergate4\logging, ведь пользователи могут и не сообщить о неполучении почты и зараженной странице.

Как известно, ни один антивирусный движок не может гарантировать стопроцентной защиты от вирусов. Вероятно, поэтому компания Entensys установила двойную защиту. Кроме того, не надо забывать про скорость реакции антивирусных компаний на появление новых вирусов. И хоть обе компании — и "Лаборатория Касперского", и Panda Software — известны своей оперативностью, тем не менее вероятность того, что кто-то из них не успеет отреагировать вовремя, теоретически имеется. То есть пользователи UserGate имеет двойную страховку, а особо это важно в периоды эпидемий.

UserGate
Настройка параметров обновления

Дополнительным плюсом конкретной реализации антивирусной защиты в UserGate можно назвать неограниченную по времени возможность обновления антивирусных баз с сайтов "Лаборатории Касперского" и Panda Software, а также гибкие возможности настроек порядка проверки трафика движками. Любой из движков можно отключить полностью либо от проверки того или иного вида трафика. Более того, администратор может задать последовательность проверки трафика одного движка за другим. Никаких ограничений на это UserGate не накладывает, администратор может использовать тот движок, который лучше знает или к которому привык. Управление антивирусами крайне простое, интуитивно понятное, все делается с помощью мыши.

Фирмы могут существенно сэкономить не только на программном обеспечении

Фирмы, использующие тонкие клиенты или рабочие станции без устройств для внешних носителей (floppy, CD, картридеров и прочих), могут существенно сэкономить не только на аппаратном обеспечении, но и на программном. Поскольку на таких станициях появление вирусной заразы возможно только через Интернет, при использовании UserGate с двумя антивирусными ядрами проверка трафика обеспечивает полную защиту всей сети от угроз заражения.

И антивирус, и файрвол в UserGate легко отключаются, и это позволяет без проблем применять другие, сторонние средства защиты. А поскольку антивирусы прокси-сервера используются только для проверки трафика, то они почти не конфликтуют с внешними антивирусами, установленными на тот же компьютер, где работает UserGate. Слово "почти" означает, что некоторые антивирусы (например, "Антивирус Касперского") все-таки мешают нормальной работе UserGate в некоторых случаях. Эта проблема пока проявляется бессистемно, поэтому рекомендаций дать не можем. Но по большей части (отмечено всего несколько жалоб) проблем с внешними антивирусами (Dr.Web, Norton, Panda, NOD32 и так далее) не возникает.

Резюме

Безопасность — основное новшество в четвертой версии прокси-сервера UserGate. Для обеспечения безопасной работы в Сети в него встроен gateway-файрвол и двухъядерный антивирус. Эти меры обеспечивают высокий уровень безопасности для локальной сети. В сочетании с отличными возможностями администрирования доступа в Сеть возможности по обеспечению безопасности сделали UserGate очень привлекательным средством для организации работы в сетях малых предприятий и домовых (частных) локальных сетей.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2017 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100