С задачей организации надежного доступа к Интернету всех сотрудников офиса сталкивается каждый системный администратор. Когда-то ее решение было связано с использованием “связки” из нескольких продуктов различного назначения. Дело в том, что прокси-сервера, применяемые для “раздачи” Интернета сотрудникам, обладали лишь необходимым минимумом функций.
В результате администратору приходилось использовать целый ряд дополнительных утилит: для представления логов прокси-сервера в виде удобочитаемых отчетов, для защиты локальной сети от вторжений и т.п. Все это существенно осложняло процесс организации доступа к Интернету. Однако сегодня ситуация изменилась самым коренным образом. Современные прокси-сервера представляют собой универсальные решения для организации совместного использования одного подключения к глобальной сети, в которых реализованы все необходимые функции.
В качестве примера такого продукта можно привести достаточно известную в Украине программу UserGate. Этот прокси-сервер позволяет решать практически весь спектр задач, связанных с организацией совместного доступа к глобальной сети. Причем это касается не только “технических” аспектов. С помощью UserGate легко поддаются решению и все организационные задачи. В частности, он позволяет легко контролировать доступ к Интернету с помощью гибких правил, включающих в себя регулировку нагрузки на канал, расписание работы конечных пользователей и т.п., осуществлять мониторинг деятельности пользователей в режиме реального времени, создавать подробные и наглядные отчеты и т.д. Фактически, речь идет о полноценной реализации корпоративной политики использования сети Интернет.
Разработчики прокси-серверов постоянно занимаются усовершенствованием своих продуктов, в результате чего возможности последних постоянно растут. Так, например, у уже упомянутого нами UserGate совсем недавно вышла новая, вот уже пятая версия. В ней появилось немало возможностей, заслуживающих самого пристального внимания.
Новые драйвер и протоколы
В UserGate реализована поддержка технологии NAT (Network Address Translation – трансляция сетевых адресов), суть которой заключается в замене адреса источника при прохождении сетевого пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Технология NAT является на сегодняшний день, несмотря на некоторые недостатки, наиболее удобным способом организации совместного подключения к Интернету нескольких компьютеров через один внешний канал.
В пятой версии UserGate появился совершенно новый драйвер NAT, который обладает расширенной, по сравнению с предыдущим вариантом, функциональностью. Главной его особенностью является возможность работы в режиме маршрутизации. То есть, по сути, с помощью программы UserGate можно организовать на базе корпоративной локальной сети несколько отдельных подсетей и управлять их взаимодействием друг с другом.
Другим изменением в новой версии прокси-сервера UserGate стала поддержка протоколов SIP и H.323. Оба они используются в системах IP-телефонии. Появление этой поддержки позволило использовать рассматриваемый продукт в качестве VoIP-шлюза, причем как для программных, так и аппаратных решений. Особо стоит отметить, что H.323 в UserGate может работать через NAT. Это немаловажно. Дело в том, что вообще-то этот протокол не может работать с трансляцией адресов. Однако в UserGate при работе с H.323 IP-адреса заменяются не только в заголовках пакетах, но и на более высоком уровне.
Новые возможности управления
В последней версии UserGate появилось немало нового в управлении работой пользователей в глобальной сети и мониторинге их деятельности. Начать нужно с полностью перестроенного модуля ведения статистики. Теперь он выполнен на основе веб-технологий, в результате чего доступ к данным осуществляется не как раньше – через специальный программный клиент, а с помощью обычного браузера. А это, в свою очередь, позволило организовать удаленный просмотр статистики. Теперь, обладая необходимыми правами, просмотреть информацию можно прямо через Интернет с любого компьютера, подключенного к глобальной сети.
Справедливости ради стало отметить, что можно пользоваться и старым модулем статистики, который в новой версии программы был немного улучшен. Такое решение выглядит вполне логичным. Во-первых, старый модуль достаточно удобен и функционален. А во-вторых, веб-статистика отнимает больше ресурсов сервера. Поэтому работу со статистикой можно организовать следующим образом. Пользователям внутри корпоративной локальной сети предоставить доступ с помощью старого модуля, а директору, администратору и другим лицам, которым может потребоваться просмотр информации не из офиса – разрешить применять веб-статистику.
Другим значимым изменением в модуле статистики стало введение разделения прав доступа. Теперь администратор может определять, какие действия разрешены тем или иным пользователям. Так, например, рядовым сотрудникам можно разрешить просмотр только собственной статистики, а руководящему составу – данные по всем работникам. Администратор же может самостоятельно создавать и изменять шаблоны отчетов, обеспечивая отображение только значимой информации. Примечательно, что данные могут выводиться не только в табличном, но и графическом виде. Графики и диаграммы существенно облегчают восприятие информации, позволяя ответственным сотрудникам представлять себе текущую ситуацию использования Интернета в целом.
Следующая новинка пятой версии прокси-сервера UserGate – модуль Traffic manager. С его помощью администратор может создавать правила, регулирующие загрузку интернет-канала. Так, например, у него есть возможность настроить динамическое распределение ширины интернет-канала между разными протоколами. Если имеет смысл зарезервировать большую его часть для HTTP-трафика, обеспечив максимально комфортную работу пользователей в глобальной сети. Пропускная же способность канала для остальных протоколов, не столь критичных к скорости передачи данных (POP3, FTP и т.п.), может определяться по остаточному принципу. Причем разработчики обещают продолжить работу в этом направлении и в будущем предоставить возможность ограничивать скорость по любому порту, IP-адресу или диапазону IP-адресов.Это позволяет гарантировать, что один-два сотрудника, качающие что-то с FTP-сервера, не займут весь канал, оставив, фактически, офис без Интернета. Другой вариант использования модуля Traffic manager – резервирование определенных частей канала для отдельных сотрудников, которым глобальная сеть просто необходима для работы. Всем же остальным работникам доступ будет предоставляться по остаточному принципу. Такой подход позволяет обеспечить максимально эффективное использование интернет-канала, а в некоторых случаях, даже сокращение его пропускной способности (и, соответственно, сэкономить деньги).
Также нельзя не отметить появление в составе нового UserGate инструментов BrightCloud Service и BrightCloud Master Database от компании BrightCloud Inc. Речь идет о модулях, позволяющих ограничивать посещение сотрудниками различных категорий сайтов. Такой подход позволяет не только существенно уменьшить нецелевое использование Интернета в компании, но и увеличить эффективность труда. Ведь ни для кого не секрет, что сегодня многие офисные сотрудники вместо выполнения своих трудовых обязанностей часами сидят в социальных сетях, общаются в чатах, ведут свои или читают чужие блоги и т.п. Кстати, стоит отметить, что в модуле статистики можно просмотреть данные о посещении сайтов различных категорий. Такой мониторинг позволяет руководству контролировать выполнение сотрудниками компании политики использования глобальной сети.
Еще одной, может, не очень заметной, но весьма полезной функцией, появившейся в пятой версии прокси-сервера UserGate, является поддержка резервного интернет-канала. Теперь программа может самостоятельно переключаться на дополнительный канал (естественно, если их на сервере несколько) при выполнении установленных администратором условий. При этом программа будет периодически проверять доступность основного подключения. И при восстановлении главного интернет-канала она автоматически переключит пользователей на него. Эта особенность UserGate позволяет организовать надежное резервирование подключения офиса к глобальной сети, работающее полностью в автоматическом режиме.
Новое в безопасности
Современный Интернет – источник огромного количества всевозможных угроз. Осознавая это, разработчики UserGate всегда уделяли достаточно много внимания безопасности локальной сети. В частности, уже в четвертой версии были встроены сразу два антивирусных ядра: “Антивирус Касперского” и Panda Antivirus. Причем администратор мог включить как оба сразу, указав очередность проверки трафика, так и любое из них по отдельности. Однако достаточно серьезной недоработкой этой версии был примитивный, в общем-то, межсетевой экран. В нем можно было только закрыть доступ по определенным портам. Сами же атаки, которые часто организовываются и через стандартные порты разных протоколов, никак не отслеживались.
Поэтому очень хорошо, что в пятой версии рассматриваемого прокси-сервера реализован обновленный межсетевой экран. Во-первых, в нем появилась IDS (Intrusion Detection System – система обнаружения вторжений). Теперь UserGate может обнаружить атаку на интернет-шлюз локальной сети компании, автоматически защититься от нее и оповестить администратора о произошедшем инциденте. Конечно, нельзя сказать, что реализованная в UserGate IDS обладает стопроцентной эффективностью. Все-таки, современные хакерские атаки бывают весьма сложными. Тем не менее, переоценить значение этого нововведения практически невозможно. Чего только стоит система оповещения администратора о наступлении различных инцидентов, связанных с безопасностью.
Во-вторых, в UserGate появился клиентский модуль межсетевого экрана, работающий на уровне приложений. Это значит, что с его помощью администратор может разрешать доступ в Интернет одним приложениям, установленным на клиентских компьютерах, и запрещать обращаться к глобальной сети другим. Такой подход позволяет выработать единую политику безопасности в области использования программного обеспечения, четко определить круг “разрешенных” программ и обезопасить себя от действия шпионских утилит и троянских коней. Кроме того, клиентский модуль осуществляет подсчет трафика, затраченного каждым из разрешенных приложений, а также ведет статистику запросов на соединение от программ, которым запрещен выход в Интернет. Причем вся эта информация отображается в двух местах: в консоли управления и автоматически дублируется в веб-статистику, позволяя администратору и ответственным сотрудникам оперативно отслеживать ситуацию.
Вместо заключения
Новая версия программы UserGate является логическим продолжением развития данного продукта. В ней четко просматривается ориентированность на нужды компаний, связанные не только с технической реализацией совместного доступа к Интернету, но и с решением организационных задач по реализации корпоративной политики использования глобальной сети. Это позволяет организациям использовать для данных целей всего лишь один продукт, что удешевляет и упрощает не только внедрение, но и эксплуатацию интернет-шлюза.
