UserGate: новые возможности пятой версии

Современные прокси-сервера представляют собой универсальные решения для организации совместного использования одного подключения к глобальной сети, в которых реализованы все необходимые функции. В качестве примера такого продукта можно привести достаточно известную в России программу UserGate.

Этот прокси-сервер позволяет решать практически весь спектр задач, связанных с организацией совместного доступа к глобальной сети. Причем это касается не только "технических" аспектов. С помощью UserGate легко поддаются решению и все организационные задачи.

В частности, он позволяет легко контролировать доступ к Интернету с помощью гибких правил, включающих в себя регулировку нагрузки на канал, расписание работы конечных пользователей и т.п., осуществлять мониторинг деятельности пользователей в режиме реального времени, создавать подробные и наглядные отчеты и т.д. Фактически, речь идет о полноценной реализации корпоративной политики использования сети Интернет.

Разработчики прокси-серверов постоянно занимаются усовершенствованием своих продуктов, в результате чего возможности последних постоянно растут. Так, например, у уже упомянутого нами UserGate совсем недавно вышла новая, вот уже пятая версия. В ней появилось немало возможностей, заслуживающих самого пристального внимания.

Драйвера и протоколы

В UserGate реализована поддержка технологии NAT (Network Address Translation – трансляция сетевых адресов), суть которой заключается в замене адреса источника при прохождении сетевого пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Технология NAT является на сегодняшний день, несмотря на некоторые недостатки, наиболее удобным способом организации совместного подключения к Интернету нескольких компьютеров через один внешний канал.

В пятой версии UserGate появился совершенно новый драйвер NAT, который по сравнению с предыдущим вариантом обладает расширенной функциональностью. Главной его особенностью является возможность работы в режиме маршрутизации. То есть, по сути, с помощью программы UserGate можно организовать на базе корпоративной локальной сети несколько отдельных подсетей и управлять их взаимодействием друг с другом.


Рис.1. UserGate 5.0 поддерживает протоколы SIP и H.323

Другим изменением в новой версии прокси-сервера UserGate стала поддержка протоколов SIP и H.323 (рис.1). Оба они используются в системах IP-телефонии. Появление этой поддержки позволило использовать рассматриваемый продукт в качестве VoIP-шлюза, причем как для программных, так и аппаратных решений. Особо стоит отметить, что H.323 в UserGate может работать через NAT. Это немаловажно. Дело в том, что вообще-то этот протокол не может работать с трансляцией адресов. Однако в UserGate при работе с H.323 IP-адреса заменяются не только в заголовках пакетах, но и на более высоком уровне. 

Управление

В последней версии UserGate появилось немало нового в управлении работой пользователей в глобальной сети и мониторинге их деятельности. Начать нужно с полностью перестроенного модуля ведения статистики. Теперь он выполнен на основе веб-технологий, в результате чего доступ к данным осуществляется не как раньше – через специальный программный клиент, а с помощью обычного браузера. А это, в свою очередь, позволило организовать удаленный просмотр статистики.

Справедливости ради нужно отметить, что можно пользоваться и старым модулем статистики, который в новой версии программы был немного улучшен. Такое решение выглядит вполне логичным. Во-первых, старый модуль достаточно удобен и функционален. А во-вторых, веб-статистика отнимает больше ресурсов сервера. Поэтому работу со статистикой можно организовать следующим образом. Пользователям внутри корпоративной локальной сети предоставить доступ с помощью старого модуля, а директору, администратору и другим лицам, которым может потребоваться просмотр информации не из офиса, – разрешить применять веб-статистику (рис.2.).


Рис.2. Работа со статистикой

Другим значимым изменением в модуле статистики стало введение разделения прав доступа. Теперь администратор может определять, какие действия разрешены тем или иным пользователям. Так, например, рядовым сотрудникам можно разрешить просмотр только собственной статистики, а руководящему составу – данные по всем работникам. Администратор же может самостоятельно создавать и изменять шаблоны отчетов, обеспечивая отображение только значимой информации. Примечательно, что данные могут выводиться не только в табличном, но и графическом виде.

Следующая новинка пятой версии прокси-сервера UserGate – модуль Traffic manager. С его помощью администратор может создавать правила, регулирующие загрузку Интернет-канала (рис.3). Так, например, у него есть возможность настроить динамическое распределение ширины интернет-канала между разными протоколами. Если имеет смысл зарезервировать большую его часть для HTTP-трафика, обеспечив максимально комфортную работу пользователей в глобальной сети. Пропускная же способность канала для остальных протоколов, не столь критичных к скорости передачи данных (POP3, FTP и т.п.), может определяться по остаточному принципу. Причем разработчики обещают продолжить работу в этом направлении и в будущем предоставить возможность ограничивать скорость по любому порту, IP-адресу или диапазону IP-адресов. Это позволяет гарантировать, что один-два сотрудника, качающие что-то с FTP-сервера, не займут весь канал, оставив фактически офис без Интернета. Другой вариант использования модуля Traffic manager – резервирование определенных частей канала для отдельных сотрудников, которым глобальная сеть просто необходима для работы. Всем же остальным работникам доступ будет предоставляться по остаточному принципу. Такой подход позволяет обеспечить максимально эффективное использование Интернет-канала (а в некоторых случаях даже сокращение его пропускной способности) и, соответственно, сэкономить деньги.


Рис.3. Модуль Traffic manager создает правила,
регулирующие загрузку Интернет-канала

Также нельзя не отметить появление в составе нового UserGate инструментов BrightCloud Service и BrightCloud Master Database от компании BrightCloud Inc. Речь идет о модулях, позволяющих ограничивать посещение сотрудниками различных категорий сайтов. Кстати, стоит отметить, что в модуле статистики можно просмотреть данные о посещении сайтов различных категорий. Такой мониторинг позволяет руководству контролировать выполнение сотрудниками компании политики использования глобальной сети.

Еще одной, может, не очень заметной, но весьма полезной функцией, появившейся в пятой версии прокси-сервера UserGate, является поддержка резервного Интернет-канала. Теперь программа может самостоятельно переключаться на дополнительный канал (естественно, если их на сервере несколько) при выполнении установленных администратором условий. При этом программа будет периодически проверять доступность основного подключения. И при восстановлении главного Интернет-канала она автоматически переключит пользователей на него. Эта особенность UserGate позволяет организовать надежное резервирование подключения офиса к глобальной сети, работающее полностью в автоматическом режиме.

Безопасность

Современный Интернет – источник огромного количества всевозможных угроз. Осознавая это, разработчики UserGate всегда уделяли достаточно много внимания безопасности локальной сети. В частности, уже в четвертой версии были встроены сразу два антивирусных ядра: "Антивирус Касперского" и Panda Antivirus. Причем администратор мог включить как оба сразу, указав очередность проверки трафика, так и любое из них по отдельности. Однако достаточно серьезной недоработкой этой версии был примитивный, в общем-то, межсетевой экран. В нем можно было только закрыть доступ по определенным портам. Сами же атаки, которые часто организовываются и через стандартные порты разных протоколов, никак не отслеживались.

Поэтому очень хорошо, что в пятой версии рассматриваемого прокси-сервера реализован обновленный межсетевой экран. Во-первых, в нем появилась IDS (Intrusion Detection System – система обнаружения вторжений). Теперь UserGate может обнаружить атаку на Интернет-шлюз локальной сети компании, автоматически защититься от нее и оповестить администратора о произошедшем инциденте. Конечно, нельзя сказать, что реализованная в UserGate IDS обладает стопроцентной эффективностью. Все-таки, современные хакерские атаки бывают весьма сложными. Тем не менее, переоценить значение этого нововведения практически невозможно. Чего только стоит система оповещения администратора о наступлении различных инцидентов, связанных с безопасностью.

Во-вторых, в UserGate появился клиентский модуль межсетевого экрана, работающий на уровне приложений. Это значит, что с его помощью администратор может разрешать доступ в Интернет одним приложением, установленным на клиентских компьютерах, и запрещать обращаться к глобальной сети другим. Такой подход позволяет выработать единую политику безопасности в области использования программного обеспечения, четко определить круг "разрешенных" программ и обезопасить себя от действия шпионских утилит и троянских коней. Кроме того, клиентский модуль осуществляет подсчет трафика, затраченного каждым из разрешенных приложений, а также ведет статистику запросов на соединение от программ, которым запрещен выход в Интернет.

Вместо заключения

Новая версия программы UserGate является логическим продолжением развития данного продукта. В ней четко просматривается ориентированность на нужды компаний, связанные не только с технической реализацией совместного доступа к Интернету, но и с решением организационных задач по реализации корпоративной политики использования глобальной сети. Это позволяет организациям использовать для данных целей всего лишь один продукт, что удешевляет и упрощает не только внедрение, но и эксплуатацию Интернет-шлюза.

— Марат Давлекаханов

2009.01.21
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".