Hogyan hozzunk létre egy hálózatot, ha már megvásároltuk UserGate támogatási rendszer
UserGate Proxy Firewall egy online átjáró osztály UTM (Unified Threat Management), biztosítja és ellenőrzi a teljes alkalmazotti Internet eszközökhöz való hozzáférés, hogy kiszűrje a rosszindulatú, veszélyes vagy nem kívánatos oldalakat, védi a vállalat hálózatának külső behatolások és támadások, a virtuális hálózatok és szervezni a biztonságos VPN -Hozzáférés a hálózati erőforrásokhoz kívülről, valamint a sávszélességet és internetes alkalmazások.
A termék hatékony alternatívát a drága hardver és szoftver használatra tervezték a kis- és közepes méretű vállalkozások, kormányzati szervek, és a nagy szervezetek ágazati struktúra.
Minden további információ a termékről itt található.
A program nem fordított kiegészítő modulok:
- Kaspersky Antivirus
- Panda Antivirus
- Avira Antivirus
- Entensys URL szűrés
Az engedélyt az egyes modulok egy naptári évben. Vizsgáljuk meg a műveletet az összes modul lehet egy próba-kulcs, amely adható időszakra 1-3 hónapig korlátlan számú felhasználó.
Részletek az engedélyezési szabályok megtalálhatók itt.
Megszervezése érdekében átjáró szüksége van egy PC vagy szerver, amelynek meg kell felelnie az alábbi követelményeknek:
- CPU frekvencia: 1,2 GHz-es
- A kötet a RAM: 1024 Gb
- A kötet a HDD: 80 GB
- Az adapterek számát 2 vagy több
Minél nagyobb a felhasználók száma (viszonyítva a 75 felhasználó), annál több szerver jellemzőket kell lennie.
- Ez egy tartományvezérlő
- Van egy hypervisor virtuális gépek
- Ez egy Terminal Server
- Szolgál adatbázis / DNS / HTTP szerver és egyéb high-terhelt.
- Úgy viselkedik, mint egy SIP szerver
- Ellátja a kritikus üzleti folyamat szolgáltatásokat vagy szolgáltatás
- az összes fenti
UserGate ProxyFirewall jelenleg ütközhetnek a következő típusú szoftver:
- Kivétel nélkül minden harmadik féltől származó tűzfal / tűzfal megoldások
- BitDefender vírusvédelmi termékek cég
- Antivirus Firewall modulok Egy funkció vagy „Antihaker” a legtöbb antivírus termékeket. Javasoljuk, hogy tiltsa le ezeket a modulokat
- Antivirális modulokat biztosít átvitt adatok HTTP / SMTP / POP3 protokoll, ez késleltetheti, ha dolgozik egy proxy
- Harmadik féltől származó szoftver termékek, amelyek képesek az adatok hálózati adapterrel - „sebesség mérőeszközök”, „formáló”, stb
- Az aktív szerepét a Windows Server "Routing and Remote Access" NAT módban / internetkapcsolat megosztása (ICS)
Figyelem! Telepítéskor érdemes kikapcsolni az IPv6 támogatást az átjáró, azzal a feltétellel, hogy nem használják az alkalmazások, amelyek az IPv6 használatára. A jelenlegi végrehajtási UserGate ProxyFirewall nem támogatja az IPv6 protokollt, ezért ez a protokoll-szűrés nem végeztek. Így a gazdaszervezet lehet kívülről hozzáférhető a protokoll IPv6 még akkor aktiválódik tiltó tűzfal szabályait.
Ha megfelelően van konfigurálva, UserGate ProxyFirewall kompatibilis a következő tartalommal szolgáltatás:
A szerepe Microsoft Windows Server:
- DNS-kiszolgáló
- DHCP szerver
- Nyomtató szerver
- Fájl (SMB) szerver
- alkalmazásszerver
- WSUS-kiszolgáló
- WEB szerver
- WINS szerver
- VPN-szerver
És a harmadik féltől származó termékek:
Amikor telepíti UserGate ProxyFirewall győződjön meg arról, hogy a harmadik féltől származó szoftvert nem használja a portot vagy portokat, amelyek segítségével a UserGate ProxyFirewall. Alapértelmezett UserGate használja a következő portokat:
Minden port lehet változtatni a rendszergazda konzol UserGate.
A program telepítése és a kiválasztási adatbázis
Javasoljuk, hogy telepítse az alkalmazást egy konfigurációs adatbázist Firebird, hiszen a munka felgyorsítása az adatbázisban folyamatosan végezzük.
UserGate Proxykonfiguráció Wizard tűzfal
Egy részletesebb leírás az NAT konfigurációs szabályoknak ebben a cikkben ismertetett:
A termék konfigurációja keresztül végezzük az adminisztrációs konzol UserGate ProxyFirewall, amelyet nevezhetünk, mint egy dupla kattintás az ikonra UserGate ügynök és a címkén a „Start” menü.
Amikor elindítja a felügyeleti konzol, az első lépés az, hogy regisztrálni a terméket. További információ a regisztrációs UserGate.
Az „Általános beállítások” Felügyeleti konzol, adja meg a felhasználói rendszergazdai jelszót. Fontos! Ne használja az Unicode spetsismvoly termék vagy a PIN kód a jelszót, hogy belépjen az adminisztrációs konzolban.
Figyelem! Az alábbi paraméterek, ajánlatos megváltoztatni csak akkor, ha a nagy ügyfelek száma / nagy áteresztőképességű követelményeket gateway képességeit.
Ebben a részben a következő beállítások érhetők el: „a maximális csatlakozások száma” - a kapcsolatok maximális számát a NAT és a proxy UserGate ProxyFirewall.
„A legnagyobb számú NAT kapcsolatok” - a kapcsolatok maximális számát, amelyek UserGate ProxyFirewall áthaladnak NAT driver.
Ha az ügyfelek száma nem több, mint 200-300, a beállítás „maximális kapcsolatok száma” és a „maximális száma NAT kapcsolatok” nem kell megváltoztatni. A növekedés ezen paraméterek vezethet jelentős terhelés a gateway eszközök és csak akkor ajánlott, ha a optimalizálási beállításokat egy nagy ügyfelek száma.
nslookup usergate.ru 8.8.8.8
Ha telepített egy tartományvezérlő, akkor beállíthatja az időzítés csoportok csoportok Active Directory, vagy importálni a felhasználók Active Directory, anélkül, hogy a folyamatos szinkronizálás Active Directory.
A helyes és biztonságos működését a gateway kell arról, hogy konfigurálja a tűzfalat.
Javasoljuk az alábbi algoritmus a tűzfal: megtiltják minden olyan forgalmat, majd adjunk hozzá szabályok lehetővé teszik a kívánt irányba. Mert ez a szabály # nonuser # kell állítani mód „Disable” (ez fogja tiltani az összes helyi forgalom a gateway). Vigyázat! Ha beállítja UserGate ProxyFirewall távolról követte lekapcsolják őket a szerverről. Akkor kell létrehozni lehetővé szabályokat.
Lehetővé teszi az összes helyi forgalom, az összes port az átjáró a helyi hálózat és a LAN az átjáró, ami a szabály a következő paraméterekkel:
Forrás - "a LAN, a" cél - "Bármely" szolgáltatások - MINDEGY: FULL, akció - "Engedélyezés"
Forrás - „Minden”, a cél - a „LAN” szolgáltatások - MINDEGY: FULL, akció - „Engedélyezés”
Ezután hozzon létre egy szabályt, amely megnyitja az internet-hozzáférést átjáró:
Forrás - "WAN"; céljából - „Bármely”; szolgáltatások - MINDEGY: teljes; intézkedés - "Allow"
Ha szükség van, hogy engedélyezze a bejövő kapcsolatokat az összes porton az átjáró, akkor a szabály így néz ki:
Forrás - „Bármely”; kinevezés - "WAN"; szolgáltatások - MINDEGY: teljes; intézkedés - "Allow"
És ha kell lezárni a bejövő kapcsolatot, például RDP (TCP: 3389), csak és ez lehet pingelni a külső, akkor létre kell hozni egy szabályt:
Forrás - „Bármely”; kinevezés - "WAN"; szolgáltatások - Minden ICMP, RDP; intézkedés - "Allow"
Minden más esetben, biztonsági okokból, a szabályok megalkotását a bejövő kapcsolatokat nem szükséges.
Forrás - "LAN"; kinevezés - "WAN"; szolgáltatások - MINDEGY: teljes; intézkedés - "Allow"; Felhasználók vagy csoportok kiválasztása, amelyhez hozzáférést.
Be lehet állítani a tűzfal szabályok - lehetővé teszik, amit kifejezetten tilos, és fordítva, megtiltják azt egyértelműen engedélyezettek, attól függően, hogyan hozzanak létre egy szabályt # NON_USER # és mi a politika a cég. Minden szabályok elsőbbséget élveznek - a munkához való jogot, hogy fentről lefelé.
Lehetőségek a különböző beállítások és példái tűzfal szabályok megtalálhatók itt.
Továbbá, a részben szolgáltatások - meghatalmazás tartalmazza a szükséges proxy szervereket - HTTP, FTP, SMTP, POP3, zokni. Válassza ki a kívánt felületek, felvételét „hallgatni minden csatolón” opciót, hogy nem biztonságos, mert proxy ebben az esetben lesz elérhető mind a LAN interfész és a külső felületeket. „Átlátszó” módban proxy útvonalak minden forgalmat a kiválasztott port a proxy port, ebben az esetben a kliens gépeken, adja meg a proxy nem szükséges. Proxy marad hozzáférhető és megadott port beállításokat a proxy szerver.
Ha a szerver engedélyezve transzparens proxy módban (Services - Proxy beállítások), ez elég ahhoz, hogy adja meg a hálózati beállításokat a kliens gépen, UserGate Server alapértelmezett átjárót. Mivel a DNS-kiszolgáló is megadhatja UserGate szerver ebben az esetben engedélyezni kell a DNS-továbbítás.
Ha a hálózat egy DNS-kiszolgáló úgy van beállítva, akkor megadhatja azt a DNS továbbítási UserGate beállítások és a WAN-adapter UserGate. Ebben az esetben a NAT mód és proxy módban az összes DNS kéréseket fog küldeni a szerveren.