Рейтинг: 4.5/5.0 (1915 проголосовавших)Категория: Инструкции
Скачайте программу UserGate, чтобы настроить сервер UserGate в вашей локальной сети. Для этого перейдите по ссылке http://www.usergate.ru/download/. выберите нужный продукт для загрузки. Дождитесь завершения закачки, установите программу. Для установки выберите папку C:/UserGate/. Далее зарегистрируйте программу.
Осуществите настройку сервера UserGate, для начала добавьте в него пользователей. Для этого включите клиентские компьютеры, для настраивания прокси UserGate понадобятся МАС-адреса этих компьютеров. Чтобы создать пользователя, зайдите во вкладку «Настройка», слева в иерархическом меню выберите подменю «Пользователи». Откроется группа Default. Создайте пользователя, для этого щелкните по кнопке «Добавить». Выберите способ авторизации пользователя – по IP-Адресу. В качестве логина введите адрес компьютера. Далее введите пароль (MAC), узнать его можно, нажав на иконке сетевой карты. Укажите в свойствах имя компьютера, поставьте флажок «Разрешить». В других вкладках не делайте никаких изменений. Повторите данную процедуру для всех компьютеров в вашей сети.
Настройте HTTP, впишите нужный порт (3128), поставьте флажок «Разрешить», дальнейшие настройки установите по мере необходимости. Перейдите в меню «Дополнительно», нажмите кнопку «Сохранить конфигурацию», сохраните файл ini, закройте программу. Откройте папку, которая содержит сервер. Здесь находится сохраненный файл. Создайте копии данного файла (количество копий должно совпадать с количеством созданных пользователей). Переименуйте каждую копию, в качестве имени файла используйте имя компьютера, к примеру «Комп1.ini».
Создайте файлы для выключения интернета. Зайдите в UserGate, измените в MAC-адресе каждого пользователя последний символ на L. Примените для каждого пользователя. Далее зайдите во вкладку «Дополнительно», нажмите по кнопке «Сохранить конфигурацию». Аналогично предыдущему пункту сохраните копию файла с настройками для каждого компьютера отдельно.
Создайте в этой же папке файл с именем Remote.bat. Впишите в данном файле следующий текст: CD C:/UserGate; LoadConf.exe C:/UserGate/%1_%2.ini. сохраните изменения.
ППЦ, не знаю кто этот юзер гейт делал, но походу у них руки ростут из одного места и они просто ен догадались написать руководство для ламов, которые первый раз проксю делают. Кто знает как точно пошагово сделать - распишите пожалуйста. Ситуация такая: есть локалка в ней 50 компьютеров, на некоторые нужно разделить мой канал юзергейтом. как распределить каждому юзеру скорость - я разобрался, а вот как непосредственно вогнать в эту прогу какой именно инэт нужно раздовать - я не допёр, особенно в 5-ой версии. В 4 все проще, но и там я не могу разобраться, захожу в Nat нажимаю добавить или изменяю любой - нельзя никак вставить IP адреса в строки. делал всё по этой инструкции http://love-is.ru/showthread.php?t=10628. плюс он многда когда с нэтом траблы - отрубается сервер(. ТАк что надо 5-ый натсроить, а он собака сначала к серверу не подрубался, а теперь я мозг ломаю как его замутить, его переделали блин, плюс я не знаю что именно нужно менять, плиз народ, помогите, очень важно и срочно, желатьльно по скринам. Оси: Windows 7 64-bit и Windows Vista 64-bit
Во какая фигня в 5-ом, он тупо не хочет подключаться к серверу, точнее даже сервер ен включается по моей команде. (((
НУ вроде он заработал, походу в антивирусе трабла была, но еще одна фигня есть, если все заработает(UserGate) то все соединения с сетими и интернетом куда то пропадут, как это исправить?
А то в инструкции юзергейта сказано выделите IP адреса вашей локалки, а её просто нет)
В принципе всё понятно и доходчиво объснено, но почему то после нормальной установки 5-ого юзергейта пропали все соединения, не знаю как востановить их
Вообще ставлю уже все версии подряд - нефига, кстати я заметил, я ведь не в одной версии ничего не вбивал типа самого подключения, я так понимаю он должен его искать автоматом или все же где то надо его. ну вы поняли) И еще в версии 2.8 заметил что ни одного соединения нет((( Версия 5.0 отрубает все соединения, из за того что просто тупо не находит определенные дрова на них(Vista 64-bit). Версия 4 тоже в чём то мозг ебёт. блин, сорь за мат, но я людям обещал сделать за несколько часов а уже "ебусь" над этих юзергейем 3 дня. хренею( Кто нить помогите, я нафиг не справлюсь один. тупая прога. то что написано на таких сайтах как:
http://lans.kirov.ru/index.php?mod=doc&docid=12
http://art-mobile.com.ua/forum/idhia. ate-2-8-a.html
Но эффекта никакого. Еще раз повторю свою проблему, есть сеть на много компов, надо выборочно дать некоторым мой VPN интернет который так же идёт через сеть, но IP у него 10.10.**.**, а у нашей сети 192.168.1.***. На сервере или шлюзе стоит виста 64-битная, на нем два сетевых адаптера, один под нэт, другой под сеть. Вроде всё. Плиз помогите
Более менее нормальный юзергейт оказался 4.2, делал по этой инструкции http://lans.kirov.ru/index.php?mod=doc&docid=12. но почему то у меня так. я не могу добавить IP приемника и отправителя, а это впринципе указывается кому и какой инэт отдавать. вот. ((( http://s50.radikal.ru/i127/0905/7d/dd29509f0611.jpg Пожалуйста помогите кто знает.
Примечание: Данная статья была отредактирована, дополнена актуальными данными и дополнительными ссылками.
UserGate Proxy & Firewall представляет собой интернет-шлюз класса UTM (Unified Threat Management), позволяющий обеспечивать и контролировать общий доступ сотрудников к интернет-ресурсам, фильтровать вредоносные, опасные и нежелательные сайты, защищать сеть компании от внешних вторжений и атак, создавать виртуальные сети и организовывать безопасный VPN-доступ к ресурсам сети извне, а также управлять шириной канала и интернет-приложениями.
Продукт является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса, в государственных учреждениях, а также крупных организациях с филиальной структурой.
Всю дополнительную информацию о продукте вы сможете найти здесь .
В программе имеются дополнительные платные модули:
Лицензия на каждый из модулей предоставляется на один календарный год. Опробовать работу всех модулей можно в триальном ключе, который может быть предоставлен на срок от 1 до 3 месяцев на неограниченное число пользователей.
Подробно про правила лицензирования можно прочитать здесь .
По всем вопросам, связанным с покупкой решений Entensys, обращайтесь по адресу: sales@usergate.ru или по телефону бесплатной линии: 8-800-500-4032.
Для организации шлюза необходим компьютер или сервер, который должен удовлетворять следующим системным требованиям:
Чем больше число пользователей (относительно 75 пользователей), тем больше характеристики сервера должны быть.
Мы рекомендуем устанавливать наш продукт на компьютер с "чистой" серверной операционной системой, рекомендуемой операционной системой является Windows 2008/2012.
Мы не гарантируем корректной работы UserGate Proxy&Firewall и/или совместной работы сторонних служб и не рекомендуем его совместное использование с сервисами на шлюзе, который выполняет следующие роли:
UserGate Proxy&Firewall на данный момент может конфликтовать со следующими типами программного обеспечения:
Внимание! При установке рекомендуется отключить поддержку протокола IPv6 на шлюзе, при условии что не используются приложения которые используют IPv6. В текущей реализации UserGate Proxy&Firewall нет поддержки протокола IPv6, и соответственно фильтрация этого протокола не осуществляется. Таким образом, хост может быть доступен извне по протоколу IPv6 даже при активированных запрещающих правилах файрволла.
При корректной настройке, UserGate Proxy&Firewall совместим со следующими сервисами и службами:
Роли Microsoft Windows Server:
И со сторонними продуктами:
При установке UserGate Proxy&Firewall убедитесь, что стороннее ПО не использует порт или порты, которые может использовать UserGate Proxy&Firewall. По умолчанию UserGate использует следующие порты:
Все порты можно менять с помощью консоли администратора UserGate.
Установка программы и выбор база данных для работы
Рекомендуем устанавливать программу в конфигурации с СУБД Firebird, так как постоянно ведется работа по ускорению с этой базой данных.
После установки продукта, рекомендуем воспользоваться мастером настройки, он создаст правила NAT, основные правила файрволла и предложит добавить пользователей. После этого шага продукт сразу работает.
Мастер настройки UserGate Proxy & Firewall
Более детальное описание настройки правил NAT описано в этой статье:
После установки UserGate Proxy&Firewall обязательно произведите перезагрузку шлюза. После авторизации в системе, в панели задач Windows рядом с часами иконка UserGate агент должна стать зелёной. Если иконка серая, то значит в процессе установки произошла ошибка и служба сервера UserGate Proxy&Firewall не запущена, в этом случае обратитесь к соответствующему разделу базы знаний Entensys, либо к технической поддержке компании Entensys.
Конфигурирование продукта осуществляется посредством консоли администрирования UserGate Proxy&Firewall, которую можно вызвать как двойным щелчком по иконке агента UserGate, так и по ярлыку из меню "Пуск".
При запуске консоли администрирования первым шагом является регистрация продукта. Подробнее про регистрацию UserGate.
Ошибки, связанные с регистрацией. Ссылка на данную статью имеется и в статье с регистрацией.
В разделе "Общие настройки" консоли администратора задайте пароль пользователя Administrator. Важно! Не используйте юникод-специсмволы или ПИН-код продукта в качестве пароля для доступа к консоли администрирования.
В продукте UserGate Proxy&Firewall есть механизм защиты от атак. активировать его можно также в меню "Общие настройки". Механизм защиты от атак является активным механизмом, своего рода "красная кнопка", который работает на всех интерфейсах. Рекомендуется использовать эту функцию в случае DDoS атак либо массового заражения вредоносным ПО (вирусы/черви/ботнет-приложения) компьютеров внутри локальной сети. Механизм защиты от атак может блокировать пользователей, использующих файлобменные клиенты - торренты, direct connect, некоторые типы VoIP клиентов/серверов, осуществляющих активный обмен трафиком. Чтобы получить ip адреса заблокированных компьютеров, откройте файл ProgramData\Entensys\Usergate6\logging\fw.log или Documents and Settings\All users\Application data\Entensys\Usergate6\logging\fw.log .
Внимание! Параметры, описанные ниже, рекомендуется менять только при большом количестве клиентов/высоких требованиях к пропускной способности шлюза.
В этом разделе также имеются следующие настройки: "Максимальное число соединений" - максимальное количество всех соединений через NAT и через прокси UserGate Proxy&Firewall.
"Максимальное число NAT соединений" - максимальное количество соединений, которое UserGate Proxy&Firewall может пропускать через драйвер NAT.
Если количество клиентов не более 200-300, то настройки "Максимальное число соединений" и "Максимальное число NAT соединений" менять не рекомендуется. Увеличение этих параметров может привести к существенной нагрузке на оборудование шлюза и рекомендуется только в случае оптимизации настроек при большом количестве клиентов.
Внимание! Перед этим обязательно проверьте настройки сетевых адаптеров в Windows! Интерфейс подключенный к локальной сети (LAN) не должен содержать адреса шлюза! DNS-серверы в настройках LAN-адаптера указывать не обязательно, IP-адрес должен быть назначен вручную, не рекомендуем его получать с помощью DHCP.
IP-адрес LAN-адаптера должен иметь частный IP-адрес. допустимо использовать IP-адрес из следующих диапазонов:
Распределение адресов частных сетей описаны в RFC 1918 .
Использование других диапазонов в качестве адресов для локальной сети приведёт к ошибкам в работе UserGate Proxy&Firewall.
Интерфейс, подключенный к сети Интернет (WAN), должен содержать IP-адрес, маску сети, адрес шлюза, адреса DNS-серверов.
Не рекомендуется использование более трёх DNS-серверов в настройках WAN-адаптера, это может привести к ошибкам в работе сети. Предварительно проверьте работоспособность каждого DNS сервера с помощью команды nslookup в консоли cmd.exe, пример:
nslookup usergate.ru 8.8.8.8
где 8.8.8.8 - адрес DNS-сервера. Ответ должен содержать IP-адрес запрошенного сервера. Если ответа нет, то DNS-сервер не валиден, либо DNS-трафик блокируется.
Необходимо определить тип интерфейсов. Интерфейс с IP-адресом, который подключен к внутренней сети, должен иметь тип LAN; интерфейс, который подключен к сети Интернет - WAN.
Если WAN-интерфейсов несколько, то необходимо выбрать основной WAN-интерфейс, через который будет ходить весь трафик, кликнув правой кнопкой мыши по нему и выбрав "Установить основным соединением". Если планируется использование другого WAN-интерфейса в качестве резервного канала, рекомендуем воспользоваться "Мастером настройки" резервного подключения .
Внимание! При настройке резервного подключения рекомендуется задать не DNS-имя хоста, а IP-адрес для того, чтобы UserGate Proxy&Firewall переодически опрашивал его с помощью icmp(ping) запросов и при отсутствии ответа включал резервное подключение. Убедитесь, что DNS-серверы в настройках сетевого резервного адаптера в Windows работоспособны.
Для того, чтобы клиентский компьютер мог авторизоваться на шлюзе и получать доступ к службам UserGate Proxy&Firewall и NAT, необходимо добавить пользователей. Для упрощения выполнения этой процедуры, воспользуйтесь функцией сканирования - "Сканировать локальную сеть". UserGate Proxy&Firewall самостоятельно просканирует локальную сеть и предоставит список хостов, которые можно добавить в список пользователей. Далее, можно создать группы и включить в них пользователей.
Если у Вас развёрнут контроллер домена, то Вы можете настроить синхронизацию групп с группами в Active Directory, либо произвести импорт пользователей из Active Directory, без постоянной синхронизации с Active Directory.
Создаем группу, которая будет синхронизована с группой или группами из AD, вводим необходимые данные в меню "Синхронизация с AD", перезапускаем службу UserGate с помощью агента UserGate. Через 300 сек. пользователи автоматически импортируются в группу. У этих пользователей будет выставлен способ авторизации - AD.
Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран.
Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим "Запретить" (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate Proxy&Firewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила.
Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами:
Источник - "LAN", назначение - "Любой", сервисы - ANY:FULL, действие - "Разрешить"
Источник - "Любой", назначение - "LAN", сервисы - ANY:FULL, действие - "Разрешить"
Затем создаём правило, которое откроет доступ в Интернет для шлюза:
Источник - "WAN"; назначение - "Любой"; сервисы - ANY:FULL; действие - "Разрешить"
Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так:
Источник - "Любой"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"
И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило:
Источник - "Любой"; назначение - "WAN"; сервисы - Any ICMP, RDP; действие - "Разрешить"
Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно.
Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT).
Источник - "LAN"; назначение - "WAN"; сервисы - ANY:FULL; действие - "Разрешить"; выбираете пользователей или группы, которым необходимо предоставить доступ.
Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз.
Варианты различных настроек и примеры правил межсетевого экрана можно посмотреть здесь .
Далее, в разделе сервисы - прокси можете включить необходимые прокси-серверы - HTTP, FTP, SMTP, POP3, SOCKS. Выберите нужные интерфейсы, включение опции "прослушивать на всех интерфейсах" быть небезопасной, т.к. прокси в таком случае будет доступен как на LAN интерфейсах так и на внешних интерфейсах. Режим "прозрачного" прокси, маршрутизирует весь трафик по выбранному порту на порт прокси, в таком случае на клиентских компьютерах, указывать прокси не нужно. Прокси остаётся также доступным и по порту, указанному в настройках самого прокси-сервера.
Если на сервере включен прозрачный режим прокси (Сервисы - Настройка прокси), то достаточно указать в настройках сети на клиентской машине сервер UserGate в качестве основного шлюза. В качестве DNS-сервера также можно указать сервер UserGate, в этом случае должен быть включен DNS-форвардинг .
Если на сервере прозрачный режим отключен, то нужно прописать адрес сервера UserGate и соответствующий порт прокси, указанный в Сервисы - Настройка прокси, в настройках подключения браузера. Пример настройки сервера UserGate для такого случая можно посмотреть здесь .
Если в вашей сети имеется сконфигурированный DNS сервер, то можете указать его в настройках DNS форвардинга UserGate и настройках WAN адаптера UserGate. В таком случае и в режиме NAT и в режиме прокси все DNS запросы будут направлены на этот сервер.
Добро пожаловать на Форум системных администраторов
Зарегистрируйтесь, чтобы получить доступ ко всем функциям форума. После регистрации и входа на форум Вы сможете создавать темы, отвечать на существующие темы, ставить репутацию коллегам, размещать обновления статуса, управлять профилем и многое другое. Это сообщение будет удалено, как только Вы войдёте в систему.
ВОЙТИ РЕГИСТРАЦИЯ
У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.
Установка и настройка UserGate 2.8
Автор КОТ. 26 Фев 2015 12:56
UserGate 2.8 – кеширующий прокси-сервер. (Про прокси-сервер есть материал в FAQ)
На мой взгляд, это самый простой способ «поделиться интернетом» в небольшой компании друзей, у который уже есть локальная сеть между собой и у кого-то одного (или у некотрых) есть хотя бы какой-то доступ в интернет.
На сегодняшний день версии 2.х давно устарели и официально не поддерживаются, уже давно есть 3.х, 4.х и даже 5.х. Последние я даже не смотрел, я пытался разобраться с 3.х когда-то и уж не помню почему, но она мне ужасно не понравилась – там уже появились совершено ненужные функции, лишь усложняющие настройку. Да, там есть NAT (которого нет в 2.8 ), но если нужен NAT – это уже организация довольно серьёзной сети и стоит смотреть в сторону маршрутизатора и это отдельная серьёзная тема.
Ресурсопотребление таких продуктов будет мешать комфортному использованию по прямому назначению машины, на которой они установлены, а если уж ставить под это дело отдельную машину – то и ставить туда уже не windows.
UserGate 2.8 – простое и легкое (как в плане настройки, так и в плане ресурсоёмкости) приложение, которое можно повесить в фоне и давать интернет на несколько машин без напряга и ущерба для основной. В тоже время это – уже достаточно серьёзное в плане функционала приложение, позволяющее (при необходимости) обеспечить очень тонкую настройку для разграничения доступа клиентов - считать трафик, контролировать и фильтровать соединения с возможностью «белого» и «черного» списков адресов, ограничивать работу по времени, дням недели, скорости и пр. Я, например, давал нескольким знакомым в локальной сети (прямо через сеть провайдера) только аську, а на втором моём домашнем компьютере интернет обрубался ровно в 23:00 по рабочим дням и в 01:00 по выходным (в воспитательных целях
Обратите внимание – в компьютере с UserGate совсем не обязательно иметь две сетевых карты - вполне можно и брать интернет и раздавать его с одной и той же сетевухи, включенной в общую сеть. Машина с UserGate совсем необязательно должна стоять на границе сетей (хотя только в этом случае можно обеспечить полный контроль над пользователями сети в отношении доступа в инет), она может быть абсолютно в любом месте сети и пользователи, в зависимости от настроек своих браузеров, могут брать инет и с неё, и с любой другой такой же машины и вообще любым другим доступным им способом.
Описать весь функционал и подробные настройки такого приложения – слишком сложная и объёмная задача (да и вряд ли это нужно всем), я ограничусь лишь начальными, чтобы включить и начать работу. Если кого интересует, как реализовать какую-то конкретную задачу – велкам на форум, постараюсь помочь по возможности…
Для начала UserGate, естественно, надо установить. Устанавливаем как обычное win-приложение, при первом запуске вводим номер и серийник и начинаем настраивать…
Сначала создаём пользователя (или нескольких), кто будет иметь доступ «к телу»:
Если будет много пользователей с однотипными правами и возможностями – лучше сразу создать группу (группы) и давать права не каждому пользователю отдельно, а сразу группе, так будет проще и меньше шансов запутаться.
Если сеть небольшая и на отдельной сетевушке – то можно выбрать способ авторизации по IP и MAC адресу - это избавит от необходимости пользователю каждый раз вводить логин и пароль. Но IP и MAC легко подделываются, поэтому для обеспечения достаточной безопасности лучше использовать имя пользователя и пароль. Здесь же можно сразу ограничить использование аккаунта только определёнными адресами, установить ограничения по времени, доступным сайтам и пр. Можно, конечно, сделать это и позже…
Дальше нужно включить хотя бы HTTP, чтобы у пользователей появилась возможность доступа к веб-страницам. Позже можно включить доступ по протоколам FTP, почту и пр. но для начала хватит и этого (через http-прокси умеют работать практически все сетевые приложения, которые вообще умеют работать через прокси). Тут обязательно указать порт прокси - его надо будет вписывать в настройках браузеров клиентов. Стандартные порты прокси – 1080, 3128, 8080. Если вы не хотите афишировать свой прокси – лучше придумать что-нить оригинальное вроде 37824 (придумайте число в диапазоне 1025-65535), так шансы его обнаружить сильно уменьшатся, сканеры портов в целях экономии времени часто проверяют только стандартные порты. Если вы и сами получаете инет через прокси – отметьте пункт использовать каскад и введите свои данные для авторизации на нём.
Стоит, конечно, разрешить и кеш прокси - это даст существенную экономию трафика и визуальное увеличение скорости открытия популярных страниц. Имейте в виду: чем больше кеш и чем дольше время его хранения – тем больше UserGate будет потреблять системных ресурсов (особенно - оперативной памяти), но тем больше будет экономия трафика и выигрыш по скорости. Цифры для ориентира на скрине.
Неплохо бы установить пароль на вкладке Настройка для защиты от изменения настроек, там же можно сохранить конфиг и восстанавливать его из копии на случай экспериментов.
На этом минимальная настройка закончена, прописываем в браузере настройки и пробуем зайти на яндекс. На вкладке Монитор сразу видим сетевую активность браузера, а на вкладке Пользователи начнёт считать счётчик, там можно посмотреть статистику использования трафика и наиболее частопосещаемые ресурсы за любой промежуток времени.
Если вы не пользуете различных сетевых игр и пр. сложных и капризных сетевых приложений – можно настроить и браузер, почтового клиента и антивирус на работу через прокси, установленный тут же, на локальной машине (его адрес будет 127.0.0.1, а остальные запретить) и получится достаточно точная и надёжная считалка трафика (в конце месяца можно сравнить с провайдерской) или даже денег (в UserGate есть возможность назначить цену за трафик)
Это, конечно, лишь начальная настройка. После успешного запуска рекомендую подробно изучить многочисленные вкладки (там всё доступно и по-русски) и провести более тонкую настройку, в соответствии со своими требованиями и топологией сети. Например – в свойствах пользователей есть резон указать, с каких адресов они могут приходить (если адреса постоянные), а если ваш UserGate стоит на границе сетей – то внешний интерфейс лучше вообще отключить для прослушивания, будет много безопаснее…
Домашняя страница софтины – usergate.ru, там тоже есть что почитать по теме (хотя версия 2.8 уже не поддерживается)
Инструкция По Настройки Usergate 5
О программе UserGate Proxy Firewall представляет собой интернет-шлюз класса UTM (Unified Threat Management), позволяющий обеспечивать и контролировать общий доступ сотрудников к интернет-ресурсам, фильтровать вредоносные, опасные и нежелательные сайты, защищать сеть компании от внешних вторжений и атак, создавать виртуальные сети и организовывать безопасный VPN-доступ к ресурсам сети извне, а также управлять шириной канала и интернет-приложениями. Продукт является эффективной альтернативой дорогостоящему программному и аппаратному обеспечению и предназначен для использования в компаниях малого и среднего бизнеса, в государственных учреждениях, а также крупных организациях с филиальной структурой. Всю дополнительную информацию о продукте вы сможете найти здесь. В программе имеются дополнительные платные модули: Лицензия на каждый из модулей предоставляется на один календарный год. Опробовать работу всех модулей можно в триальном ключе, который может быть предоставлен на срок от 1 до 3 месяцев на неограниченное число пользователей. Подробно про правила лицензирования можно прочитать здесь. По всем вопросам, связанным с покупкой решений Entensys, обращайтесь по адресу: sales@usergate.ru или по телефону бесплатной линии: 8 (800) 555 1690. Системные требования Для организации шлюза необходим компьютер или сервер, который должен удовлетворять следующим системным требованиям: Чем больше число пользователей (относительно 75 пользователей), тем больше характеристики сервера должны быть. Мы рекомендуем устанавливать наш продукт на компьютер с чистой серверной операционной системой, рекомендуемой операционной системой является Windows 2008/2012. Мы не гарантируем корректной работы UserGate ProxyFirewall и/или совместной работы сторонних служб и не рекомендуем его совместное использование с сервисами на шлюзе, который выполняет следующие роли: Внимание! При установке рекомендуется отключить поддержку протокола IPv6 на шлюзе, при условии что не используются приложения которые используют IPv6. В текущей реализации UserGate ProxyFirewall нет поддержки протокола IPv6, и соответственно фильтрация этого протокола не осуществляется. Таким образом, хост может быть доступен извне по протоколу IPv6 даже при активированных запрещающих правилах файрволла. При корректной настройке, UserGate ProxyFirewall совместим со следующими сервисами и службами: Роли Microsoft Windows Server: Все порты можно менять с помощью консоли администратора UserGate. (Наверх) Установка программы и выбор база данных для работы Подробная инструкция по установке UserGate Proxy Firewall. Рекомендуем устанавливать программу в конфигурации с СУБД Firebird, так как постоянно ведется работа по ускорению с этой базой данных. (Наверх) После установки продукта, рекомендуем воспользоваться мастером настройки, он создаст правила NAT, основные правила файрволла и предложит добавить пользователей. После этого шага продукт сразу работает. Мастер настройки UserGate Proxy Firewall Более детальное описание настройки правил NAT описано в этой статье: Как настроить NAT Агент UserGate После установки UserGate ProxyFirewall обязательно произведите перезагрузку шлюза. После авторизации в системе, в панели задач Windows рядом с часами иконка UserGate агент должна стать зелёной. Если иконка серая, то значит в процессе установки произошла ошибка и служба сервера UserGate ProxyFirewall не запущена, в этом случае обратитесь к соответствующему разделу базы знаний Entensys, либо к технической поддержке компании Entensys. Конфигурирование продукта осуществляется посредством консоли администрирования UserGate ProxyFirewall, которую можно вызвать как двойным щелчком по иконке агента UserGate, так и по ярлыку из меню Пуск. При запуске консоли администрирования первым шагом является регистрация продукта. Подробнее про регистрацию UserGate. Ошибки, связанные с регистрацией. Ссылка на данную статью имеется и в статье с регистрацией. (Наверх) Общие настройки В разделе Общие настройки консоли администратора задайте пароль пользователя Administrator. Важно! Не используйте юникод-специсмволы или ПИН-код продукта в качестве пароля для доступа к консоли администрирования. В продукте UserGate ProxyFirewall есть механизм защиты от атак, активировать его можно также в меню Общие настройки. Механизм защиты от атак является активным механизмом, своего рода красная кнопка, который работает на всех интерфейсах. Рекомендуется использовать эту функцию в случае DDoS атак либо массового заражения вредоносным ПО (вирусы/черви/ботнет-приложения) компьютеров внутри локальной сети. Механизм защиты от атак может блокировать пользователей, использующих файлобменные клиенты - торренты, direct connect, некоторые типы VoIP клиентов/серверов, осуществляющих активный обмен трафиком. Чтобы получить ip адреса заблокированных компьютеров, откройте файл ProgramData\\Entensys\\Usergate6\\logging\\fw.log или Documents and Settings\\All users\\Application data\\Entensys\\Usergate6\\logging\\fw.log. Внимание! Параметры, описанные ниже, рекомендуется менять только при большом количестве клиентов/высоких требованиях к пропускной способности шлюза. В этом разделе также имеются следующие настройки: Максимальное число соединений - максимальное количество всех соединений через NAT и через прокси UserGate ProxyFirewall. Максимальное число NAT соединений - максимальное количество соединений, которое UserGate ProxyFirewall может пропускать через драйвер NAT. Если количество клиентов не более 200-300, то настройки Максимальное число соединений и Максимальное число NAT соединений менять не рекомендуется. Увеличение этих параметров может привести к существенной нагрузке на оборудование шлюза и рекомендуется только в случае оптимизации настроек при большом количестве клиентов. (Наверх) Интерфейсы Внимание! Перед этим обязательно проверьте настройки сетевых адаптеров в Windows! Интерфейс подключенный к локальной сети (LAN) не должен содержать адреса шлюза! DNS-серверы в настройках LAN-адаптера указывать не обязательно, IP-адрес должен быть назначен вручную, не рекомендуем его получать с помощью DHCP. IP-адрес LAN-адаптера должен иметь частный IP-адрес. допустимо использовать IP-адрес из следующих диапазонов: 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) Распределение адресов частных сетей описаны в RFC 1918. Использование других диапазонов в качестве адресов для локальной сети приведёт к ошибкам в работе UserGate ProxyFirewall. Интерфейс, подключенный к сети Интернет (WAN), должен содержать IP-адрес, маску сети, адрес шлюза, адреса DNS-серверов. Не рекомендуется использование более трёх DNS-серверов в настройках WAN-адаптера, это может привести к ошибкам в работе сети. Предварительно проверьте работоспособность каждого DNS сервера с помощью команды nslookup в консоли cmd.exe, пример: nslookup usergate.ru 8.8.8.8 где 8.8.8.8 - адрес DNS-сервера. Ответ должен содержать IP-адрес запрошенного сервера. Если ответа нет, то DNS-сервер не валиден, либо DNS-трафик блокируется. Необходимо определить тип интерфейсов. Интерфейс с IP-адресом, который подключен к внутренней сети, должен иметь тип LAN; интерфейс, который подключен к сети Интернет - WAN. Если WAN-интерфейсов несколько, то необходимо выбрать основной WAN-интерфейс, через который будет ходить весь трафик, кликнув правой кнопкой мыши по нему и выбрав Установить основным соединением. Если планируется использование другого WAN-интерфейса в качестве резервного канала, рекомендуем воспользоваться Мастером настройки резервного подключения. Внимание! При настройке резервного подключения рекомендуется задать не DNS-имя хоста, а IP-адрес для того, чтобы UserGate ProxyFirewall переодически опрашивал его с помощью icmp(ping) запросов и при отсутствии ответа включал резервное подключение. Убедитесь, что DNS-серверы в настройках сетевого резервного адаптера в Windows работоспособны. (Наверх) Пользователи и группы Для того, чтобы клиентский компьютер мог авторизоваться на шлюзе и получать доступ к службам UserGate ProxyFirewall и NAT, необходимо добавить пользователей. Для упрощения выполнения этой процедуры, воспользуйтесь функцией сканирования - Сканировать локальную сеть. UserGate ProxyFirewall самостоятельно просканирует локальную сеть и предоставит список хостов, которые можно добавить в список пользователей. Далее, можно создать группы и включить в них пользователей. Если у Вас развёрнут контроллер домена, то Вы можете настроить синхронизацию групп с группами в Active Directory, либо произвести импорт пользователей из Active Directory, без постоянной синхронизации с Active Directory. Создаем группу, которая будет синхронизована с группой или группами из AD, вводим необходимые данные в меню Синхронизация с AD, перезапускаем службу UserGate с помощью агента UserGate. Через 300 сек. пользователи автоматически импортируются в группу. У этих пользователей будет выставлен способ авторизации - AD. (Наверх) Межсетевой экран Для корректной и безопасной работы шлюза необходимо обязательно сконфигурировать межсетевой экран. Рекомендуется следующий алгоритм работы межсетевого экрана: запретить весь трафик, а затем добавлять разрешающие правила по необходимым направлениям. Для этого правило #NONUSER# надо перевести в режим Запретить (это запретит весь локальный трафик на шлюзе). Осторожно! Если вы конфигурируете UserGate ProxyFirewall удалённо, последует отключение от сервера. Затем необходимо создать разрешающие правила. Разрешаем весь локальный трафик, по всем портам от шлюза в локальную сеть и из локальной сети к шлюзу, создав правила со следующими параметрами: Источник - LAN, назначение - Любой, сервисы - ANY:FULL, действие - Разрешить Источник - Любой, назначение - LAN, сервисы - ANY:FULL, действие - Разрешить Затем создаём правило, которое откроет доступ в Интернет для шлюза: Источник - WAN; назначение - Любой; сервисы - ANY:FULL; действие - Разрешить Если Вам необходимо разрешить доступ входящих подключений по всем портам к шлюзу, то правило будет выглядеть так: Источник - Любой; назначение - WAN; сервисы - ANY:FULL; действие - Разрешить И если Вам необходимо, чтобы шлюз принимал входящие подключения, к примеру только по RDP (TCP:3389), и его можно было пинговать снаружи, то необходимо создать такое правило: Источник - Любой; назначение - WAN; сервисы - Any ICMP, RDP; действие - Разрешить Во всех остальных случаях, из соображений безопасности, создание правила для входящих подключений не нужно. Для того чтобы дать доступ клиентским компьютерам в Интернет, необходимо создать правило трансляции сетевых адресов (NAT). Источник - LAN; назначение - WAN; сервисы - ANY:FULL; действие - Разрешить; выбираете пользователей или группы, которым необходимо предоставить доступ. Возможна настройка правил межсетевого экрана - разрешать то, что явно запрещено и наоборот, запрещать то, что явно разрешено в зависимости от того, как Вы настроите правило #NON_USER# и какая у Вас политика в компании. У всех правил есть приоритет - правила работают в порядке сверху вниз. Варианты различных настроек и примеры правил межсетевого экрана можно посмотреть здесь. (Наверх) Прочие настройки Далее, в разделе сервисы - прокси можете включить необходимые прокси-серверы - HTTP, FTP, SMTP, POP3, SOCKS. Выберите нужные интерфейсы, включение опции прослушивать на всех интерфейсах быть небезопасной, т.к. прокси в таком случае будет доступен как на LAN интерфейсах так и на внешних интерфейсах. Режим прозрачного прокси, маршрутизирует весь трафик по выбранному порту на порт прокси, в таком случае на клиентских компьютерах, указывать прокси не нужно. Прокси остаётся также доступным и по порту, указанному в настройках самого прокси-сервера. Если на сервере включен прозрачный режим прокси (Сервисы - Настройка прокси), то достаточно указать в настройках сети на клиентской машине сервер UserGate в качестве основного шлюза. В качестве DNS-сервера также можно указать сервер UserGate, в этом случае должен быть включен DNS-форвардинг. Если на сервере прозрачный режим отключен, то нужно прописать адрес сервера UserGate и соответствующий порт прокси, указанный в Сервисы - Настройка прокси, в настройках подключения браузера. Пример настройки сервера UserGate для такого случая можно посмотреть здесь. Если в вашей сети имеется сконфигурированный DNS сервер, то можете указать его в настройках DNS форвардинга UserGate и настройках WAN адаптера UserGate. В таком случае и в режиме NAT и в режиме прокси все DNS запросы будут направлены на этот сервер. (Наверх)
Настройка прокси-сервера UserGate ставим клиентам UserGate client, чтобы пользователи авторизовались. Charles Proxy 3.6. 5.
Общие настройки NAT (Network Address Translation). поддерживает формат настроек UserGate v.4, 5, поэтому при первом запуске сервера.
Сервер UserGate v. 5 поддерживает формат настроек UserGate v.4, ключ UserGate v. 5 уникален и не подходит к предыдущим версиям UserGate. без.
