Вы находитесь на странице: 1из 36

www.usergate.

ru

UserGate Proxy & Firewall v.5


Руководство администратора
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

1
www.usergate.ru

Содержание

Введение 4

О программе 4
Системные требования 4
Установка сервера UserGate 5
Регистрация UserGate 5
Обновление и удаление UserGate 5
Политика лицензирования UserGate 5

Консоль администрирования UserGate 5


Настройка соединений 6
Установка пароля на подключение 6
Установка пароля на доступ к базе статистики UserGate 6
Общие настройки NAT (Network Address Translation) 6

Настройка интерфейсов 7
Подсчет трафика в UserGate 7
Поддержка резервного канала 8
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Пользователи и группы 9
Персональная станица статистики пользователя 9

Методы авторизации пользователей 10


Поддержка терминальных пользователей 10
HTTP-авторизация при работе через прозрачный прокси 11
Использование клиента авторизации 11

Настройка сервисов в UserGate 12


Настройка DHCP 12
Настройка сервисов прокси в UserGate 13
Поддержка протоколов IP-телефонии (SIP, H323) 14
Поддержка режима SIP Registrar 15
Поддержка протокола H323 15
Почтовые прокси в UserGate 15
Использование прозрачного режима 16
Каскадные прокси 16
Назначение портов 16
Настройка кэша 17
Антивирусная проверка 17
Планировщик в UserGate 18
Настройка DNS 18

2
www.usergate.ru

Настройка оповещений 19

Межсетевой экран в UserGate 20


Принцип работы межсетевого экрана 20
Правила трансляции сетевого адреса (NAT) 20
Работа с несколькими провайдерами 21
Автоматический выбор исходящего интерфейса 22
Публикация сетевых ресурсов 22
Настройка правил фильтрации 23
Поддержка маршрутизации 24

Ограничение скорости в UserGate 24

Управление шириной канала (Traffic Manager) 25

Контроль приложений 26

Обозреватель КЭШ в UserGate 27

Управление трафиком в UserGate 28


Система правил управления трафиком 28
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Ограничение доступа к Интернет-ресурсам 28


URL-фильтрация BrightCloud 29
Установка лимита потребления трафика 30
Ограничение размера файла 30
Фильтрация по Content-type 30

Биллинговая система 31
Тарификация доступа в Интернет 31
Контроль состояния счета пользователей 31
Динамическое переключение тарифов 32

Удаленное администрирование UserGate 32


Настройка удаленного подключения 32
Удаленный перезапуск сервера UserGate 32
Проверка доступности новой версии 32

Утилита статистики UserGate 32

Веб-статистика UserGate 33
Настройка веб-статистики 34
Оценка эффективности работы правил управления трафиком 34
Оценка эффективности работы антивируса 35
Статистика использования SIP 35
3
www.usergate.ru

Введение
Прокси-сервер — это промежуточный компьютер, который, при подключении к нему пользователя, стано-
вится посредником (от англ. proxy — посредник, промежуточное звено) между компьютером пользователя и
сетью Интернет.
Прокси-сервер передает все обращения пользователя в Интернет и, получив ответ, отправляет его обратно
пользователю. При наличии функции кэширования прокси-сервер запоминает обращения пользователей к
внешним ресурсам, и в случае повторения запроса, возвращает ресурс из собственной памяти, что существен-
но снижает время запроса.
В некоторых случаях запрос клиента или ответ сервера может быть модифицирован или блокирован прокси-
сервером в определённых целях. Например, прокси-сервер может блокировать запросы пользователя к опре-
деленным сетевым ресурсам с целью защиты внутренней сети от вредоносных программ.

О программе
UserGate — это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее
полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защи-
ты.
UserGate позволяет тарифицировать доступ пользователей к сети Интернет, как по трафику, так и по време-
ни работы в сети. Администратор может добавлять различные тарифные планы, осуществлять динамическое
переключение тарифов и регулировать доступ к ресурсам Интернет. Встроенный межсетевой экран и антиви-
русный модуль позволяют защищать сервер UserGate и проверять проходящий через него трафик на наличие
вредоносного кода.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

UserGate состоит из нескольких частей: сервер, консоль администрирования (UserGate Administrator) и


несколько дополнительных модулей. Сервер UserGate (процесс usergate.exe) — это основная часть прокси-
сервера, в которой реализованы все его функциональные возможности. Сервер UserGate предоставляет до-
ступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выпол-
няет многие другие задачи. Консоль администрирования UserGate — это программа, предназначенная для
управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по
специальному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.
UserGate включает четыре дополнительных модуля: «Статистика UserGate», «Веб-статистика», «Клиент ав-
торизации UserGate» и модуль «Контроль приложений».

Системные требования

Сервер UserGate рекомендуется устанавливать на компьютер с операционной системой Windows 2000/


XP/2003, подключенный к сети Интернет через модемное или любое другое соединение. Требования к аппа-
ратному обеспечению сервера:

Количество пользователей Минимальные требования Рекомендуемые требования

Небольшая локальная сеть: Pentium 1000 МГц, 512 МБ RAM, Pentium 1000 МГц, 512 МБ RAM,
2-5 пользователей Windows 2000, 56k модем Windows 2000, DSL

Средняя локальная сеть: Pentium 1000 МГц, 512 МБ RAM, Pentium 1000 МГц, 1 ГБ RAM,
5-20 пользователей Windows 2000, 56k модем Windows XP, широкополосное
Интернет соединение

Большая локальная сеть: Pentium 1000 МГц, 512МБ RAM, Pentium 2000 МГц, 1 ГБ RAM,
более 20 пользователей Windows XP, ISDN соединение Windows 2003, широкополосное
Интернет соединение

4
www.usergate.ru

Установка сервера UserGate

Процедура установки UserGate сводится к запуску установочного файла и выбору опций мастера установки.
При первой установке UserGate достаточно оставить опции установки по умолчанию. В процессе установки
мастер предложит установить UserGate в качестве системной службы (UserGate Service), а также автоматиче-
ски выключит общий доступ к Интернет, если он был включен ранее. После завершения установки потребуется
перезагрузить компьютер.

Регистрация UserGate

Без регистрации сервер UserGate будет работать в демо-режиме в течение 30 дней с максимальным коли-
чеством работающих пользователей не более пяти.
Для регистрации программы необходимо запустить сервер UserGate, подключить консоль администриро-
вания к серверу и выбрать пункт меню Помощь > Зарегистрировать продукт в консоли администрирова-
ния. Дополнительно регистрация возможна через одноименный пункт на странице О программе консоли
администрирования. После регистрации необходимо перезапустить сервер UserGate.

Обновление и удаление UserGate

Перед установкой новой версии рекомендуется удалить предыдущую версию UserGate, при необходимости
сохранив файл настроек сервера config.cfg и файл статистики log.mdb из директории, в которую установлен
UserGate (в дальнейшем — “%UserGate%”). Сервер UserGate v.5 поддерживает формат настроек UserGate v.4,
поэтому при первом запуске сервера настройки будут переведены в новый формат автоматически. Обратная
совместимость настроек не поддерживается.
Удаление сервера UserGate выполняется через соответствующий пункт меню Пуск > Программы или через
пункт Установка и удаление программ в панели управления Windows. После удаления UserGate в директо-
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

рии установки программы останутся файлы config.cfg (настройки сервера UserGate), log.mdb (база статисти-
ки UserGate) и некоторые другие.

Политика лицензирования UserGate

Сервер UserGate предназначен для предоставления доступа в сеть Интернет пользователям локальной
сети. Максимальное количество пользователей, которые могут одновременно работать в сети Интернет через
UserGate, обозначается количеством «сессий» и определяется регистрационным ключом. Регистрационный
ключ UserGate v.5 уникален и не подходит к предыдущим версиям UserGate. Без регистрации UserGate рабо-
тает в демо-режиме в течение 30 дней и с ограничением в пять сессий. Понятие «сессия» не следует путать с
количеством Интернет-приложений или подключений, которые запускает пользователь. В общем случае, ко-
личество подключений от одного пользователя может быть любым, если оно специально не ограничивается.
Встроенные в UserGate антивирусы (Kaspersky и Panda) лицензируются отдельно. Так, для антивиру-
са Касперского необходим специальный ключ (файл с расширением *.key), расположенный в директории
“%UserGate%\kav”. В состав дистрибутива UserGate входит временный ключ для антивируса Касперского на
срок в 30 дней. Ключ для встроенного антивируса Касперского не совместим с ключами для других продуктов
от Kaspersky Lab. Лицензия для антивируса Panda, по соглашению с Panda Security, встроена в регистрацион-
ный ключ для сервера UserGate.
Лицензия на модуль BrightCloud, предназначенный для работы с категориями сайтов, включена в лицензию
на UserGate. Срок действия лицензии на модуль BrightCloud ограничен и составляет один год. По истечении
срока действия лицензии онлайн-сервис BrightCloud станет недоступен.

Консоль администрирования UserGate


Консоль администрирования представляет собой приложение, предназначенное для управления локаль-
ным или удаленным сервером UserGate. Для использования консоли администрирования необходимо за-

5
www.usergate.ru

пустить сервер UserGate, выбрав пункт Запустить сервер UserGate в контекстном меню UserGate-агента
(иконка   в системном трее, в дальнейшем — «агент»). Запустить консоль администрирования можно
через контекстное меню агента или через пункт меню Пуск > Программы, если консоль администрирования
установлена на другой компьютер. Для работы с настройками необходимо подключить консоль администри-
рования к серверу.

Настройка соединений

При первом запуске консоль администрирования открывается на странице Соединения, на которой при-
сутствует единственное соединение с сервером localhost для пользователя Administrator. Пароль на подклю-
чение не установлен. Подключить консоль администрирования к серверу можно дважды щелкнув на строке
localhost-administrator или нажав на кнопку Подключиться на панели управления. В консоли администри-
рования UserGate можно создать несколько подключений. В настройках подключений указываются следую-
щие параметры:
• Название сервера — это название подключения
• Имя пользователя — логин для подключения к серверу
• Адрес сервера — доменное имя или IP-адрес сервера UserGate
• Порт — TCP порт, используемый для подключения к серверу (по умолчанию используется порт 2345)
• Пароль — пароль для подключения
• Спрашивать пароль при подключении — опция позволяет отображать диалог ввода имени пользова-
теля и пароля при подключении к серверу
• Автоматически подключаться к этому серверу — консоль администрирования при запуске будет под-
ключаться к данному серверу автоматически.

Настройки консоли администрирования хранятся в файле console.xml, расположенном в директории


“%UserGate%\Administrator\”. На стороне сервера UserGate имя пользователя и пароль для подключения
хранятся в файле config.cfg, расположенном в директории “%UserGate%”.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Установка пароля на подключение

Создать логин и пароль для подключения к серверу UserGate можно на странице Общие настройки, в
разделе Настройки администратора. В этом разделе также можно указать TCP-порт для подключения к
серверу. Для вступления новых настроек в силу необходимо перезапустить сервер UserGate (пункт Пере-
запустить сервер UserGate в меню агента). После перезапуска сервера новые настройки требуется указать и в
параметрах соединения в консоли администрирования. В противном случае администратор не сможет под-
ключиться к серверу.

Установка пароля на доступ к базе статистики UserGate

Пользовательская статистика — трафик, время в сети, посещенные ресурсы, записывается сервером UserGate
в специальную базу данных. Доступ к базе данных осуществляется через ODBC-драйвер, что позволяет сер-
веру UserGate работать с базами практически любого формата (MS Access, MS SQL, MySQL). По умолчанию
используется база log.mdb формата MS Access. Пароль на доступ к базе данных не установлен. Установить
пароль можно через пункт Общие настройки > Настройки базы данных консоли администрирования.
Если используется стандартная база статистики (log.mdb), то после установки пароля к базе данных в консоли
администрирования требуется остановить сервер UserGate, открыть базу в MS Access в монопольном режиме
и задать пароль через пункт меню Сервис > Защита > Задать пароль.

Общие настройки NAT (Network Address Translation)

Пункт Общие настройки NAT позволяет задать величину таймаута для соединений NAT по протоколам
TCP, UDP или ICMP. Величина таймаута определяет время жизни пользовательского соединения через NAT,
когда передача данных по соединению завершена. Опция Вывод отладочных логов предназначена для от-
ладки и позволяет, при необходимости, включить режим расширенного логирования сообщений драйвера
NAT UserGate.

6
www.usergate.ru

Настройка интерфейсов
Раздел Интерфейсы (рис. 1) является главным в настройках сервера UserGate, поскольку определяет такие
моменты, как правильность подсчета трафика, возможность создания правил для межсетевого экрана, воз-
можность ограничения ширины Интернет-канала для трафика определенного типа, установление отношений
между сетями и порядок обработки пакетов драйвером NAT (Network Address Translation).
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 1. Настройка интерфейсов сервера

В разделе Интерфейсы перечислены все доступные сетевые интерфейсы сервера, на который установ-
лен UserGate, включая Dial-Up (VPN, PPPoE) подключения. Для каждого сетевого адаптера администратор
UserGate должен указать его тип. Так, для адаптера подключенного к сети Интернет следует выбрать тип WAN,
для адаптера подключенного к локальной сети — тип LAN. Изменить тип Dial-Up (VPN, PPPoE) подключения
нельзя. Для таких подключений сервер UserGate автоматически установит тип PPP-интерфейс. Указать имя
пользователя и пароль для Dial-Up (VPN) подключения можно дважды щелкнув на соответствующем интер-
фейсе. Интерфейс, расположенный вверху списка является основным подключением Интернет.

Подсчет трафика в UserGate

Трафик, проходящий через сервер UserGate, записывается на пользователя локальной сети, который явля-
ется инициатором соединения, или на сервер UserGate, если инициатором соединения является сервер. Для
трафика сервера в статистике UserGate предусмотрен специальный пользователь — Сервер UserGate. На счет
пользователя Сервер UserGate записывается трафик обновления антивирусных баз для встроенных модулей
Kaspersky Lab или Panda Security, а также трафик разрешения имен через DNS-форвардинг. Трафик учитыва-
ется полностью, вместе со служебными заголовками. Дополнительно добавлена возможность учета Ethernet

7
www.usergate.ru

заголовков.
При правильном задании типов сетевых адаптеров сервера (LAN или WAN), трафик в направлении «локаль-
ная сеть — сервер UserGate» (например, обращения к общим сетевым ресурсам на сервере) не учитывается.

Важно! Наличие сторонних программ типа межсетевых экранов или антивирусов (с функцией провер-
ки трафика) может существенно повлиять на правильность подсчета трафика в UserGate. На компьютер с
UserGate не рекомендуется устанавливать сетевые программы сторонних производителей!

Поддержка резервного канала

При наличии нескольких подключений к Интернет, в настройках сервера становится доступной функция
Резервный канал (Connection failover). Эта функция позволяет автоматически переключать сервер UserGate
на альтернативное подключение к Интернет, если связь через основное подключение отсутствует.
Для использования функции Резервный канал требуется указать: основное подключение к Интернет, одно
или несколько резервных подключений, а также несколько IP-адресов в сети Интернет (контрольных хостов)
(рис. 2). Сервер UserGate периодически проверяет доступность контрольных хостов, отправляя запросы ICMP
echo request (команда ping). Период отправки запросов по умолчанию составляет 30 секунд и может быть
изменен. Параметр Таймаут позволяет указать время ожидания ответа на запрос. Если в настройках резерв-
ного канала указано несколько контрольных хостов, сервер UserGate будет проверять их последовательно.
Отсутствие отклика от всех указанных контрольных хостов будет воспринято сервером UserGate как наруше-
ние работоспособности основного подключения к Интернет. Поэтому в качестве контрольных рекомендуется
указывать несколько наиболее стабильных хостов в Интернет.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 2. Мастер настройки резервного канала.

В качестве резервного подключения сервер UserGate может использовать как Ethernet подключение (вы-
деленный канал, WAN-интерфейс), так и Dial-Up (VPN, PPPoE) подключение (PPP-интерфейс). После пере-
ключения на резервное подключение Интернет, сервер UserGate будет периодически проверять доступность
основного канала. Если его работоспособность восстановится, произведет переключение пользователей на
основное подключение к Интернет.

8
www.usergate.ru

Пользователи и группы
Для предоставления доступа в сеть Интернет необходимо создать пользователей в UserGate. Для удоб-
ства администрирования, пользователей можно объединять в группы по территориальному признаку или по
уровню доступа. Логически наиболее правильным является объединение пользователей в группы по уров-
ням доступа, поскольку в этом случае существенно облегчается работа с правилами управления трафиком. По
умолчанию в UserGate присутствует единственная группа — default.
Создать нового пользователя можно через пункт Добавить нового пользователя или нажав на кнопку
Добавить в панели управления на странице Пользователи и группы. Обязательными параметрами поль-
зователя (рис. 3) являются имя, тип авторизации, параметр авторизации (IP-адрес, логин и пароль и т.п.),
группа и тариф. По умолчанию все пользователи принадлежат к группе default. Имя пользователя в UserGate
должно быть уникальным. Дополнительно в свойствах пользователя можно определить уровень доступа
пользователя к веб-статистике, задать номер внутреннего телефона для H323 и включить правила NAT, пра-
вила управления трафиком или правила для модуля «Контроль приложений».
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 3. Профиль пользователя в UserGate

Пользователь в UserGate наследует все свойства группы, к которой принадлежит, кроме тарифа, который
можно переопределить. Указанный в свойствах пользователя тариф будет относиться к тарификации всех со-
единений пользователя. Если доступ в сеть Интернет не тарифицируется, можно использовать пустой тариф.

Персональная станица статистики пользователя

Каждому пользователю в UserGate предоставлена возможность просмотра страницы статистики. Доступ к


персональной странице статистики может быть получен по адресу http://usergate, если браузер пользователя
настроен на использование прокси, или по адресу http://192.168.0.1:8080, где для примера 192.168.0.1 – ло-
кальный адрес машины с UserGate, а 8080 –порт, на котором работает HTTP- прокси UserGate.

9
www.usergate.ru

Методы авторизации пользователей


Доступ в сеть Интернет предоставляется только пользователям, успешно прошедшим авторизацию на сер-
вере UserGate. UserGate поддерживает следующие методы авторизации пользователей:

• По IP-адресу или по диапазону IP-адресов


• По комбинации IP- и MAC-адреса
• По MAC-адресу
• Авторизация средствами HTTP (HTTP-авторизация)
• Авторизация через логин и пароль
• Авторизация через логин Windows
• Авторизация через Active Directory
• Упрощенный вариант авторизации через Active Directory

Для использования четырех последних методов авторизации на рабочую станцию пользователя необ-
ходимо установить специальное приложение — клиент авторизации UserGate. Соответствующий MSI пакет
(AuthClientInstall.msi) расположен в директории “%UserGate%\tools” и может быть использован для автома-
тической установки средствами групповой политики в Active Directory.
При использовании авторизации через Active Directory сервер UserGate получает параметры авторизации
(логин и пароль) от клиента авторизации, запущенного на рабочей станции пользователя, и проверяет их
через обращение к контроллеру домена.
Если сервер UserGate установлен на компьютер, не входящий в домен Active Directory, рекомендуется ис-
пользовать упрощенный вариант авторизации через Active Directory. В этом случае сервер UserGate будет
сравнивать логин и имя домена, полученные от клиента авторизации с соответствующими полями, указанны-
ми в профиле пользователя, не обращаясь к контроллеру домена.

Поддержка терминальных пользователей


РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Помимо классической (basic) HTTP-авторизации, сервер UserGate поддерживает HTTP-авторизацию для


терминальных пользователей. Соответствующая опция включается в пункте Общие настройки в консоли ад-
министрирования (рис. 4). Такой вариант авторизации позволяет терминальным пользователям выходить в
сеть Интернет под индивидуальными учетными записями в UserGate, что обеспечивается через запрос данных
для авторизации (логин/пароль) на каждое новое соединение.

Рисунок 4. Поддержка терминальных пользователей

Режим HTTP-авторизация для терминальных пользователей следует использовать, если требуется


обеспечить работу нескольких сетевых приложений с одного компьютера под разными учетными записями в
UserGate. В этом случае в каждом сетевом приложении указывается адрес и порт соответствующего прокси- в
UserGate (HTTP, Socks 5) и параметры (логин/пароль) для авторизации.

10
www.usergate.ru

HTTP-авторизация при работе через прозрачный прокси

В UserGate v.5 добавлена возможность HTTP-авторизации для прокси-сервера, работающего в прозрачном


режиме. Если браузер на рабочей станции пользователя не настроен на использование прокси-сервера, а
HTTP-прокси в UserGate включен в прозрачном режиме, то запрос от неавторизованного пользователя будет
перенаправлен на страницу авторизации, на которой требуется указать логин и пароль.
После авторизации данную страницу закрывать не нужно. Страница авторизации периодически обновля-
ется, через специальный скрипт, сохраняя пользовательскую сессию активной. В таком режиме пользователю
будут доступны все сервисы UserGate, включая возможность работы через NAT. Для завершения пользова-
тельского сеанса требуется нажать Logout на странице авторизации.

Важно! Данный метод авторизации не будет работать для пользователей терминального сервера.

Использование клиента авторизации

Клиент авторизации UserGate представляет собой сетевое приложение, работающее на уровне Winsock, ко-
торое подключается к серверу UserGate на определенный UDP-порт (по умолчанию используется порт 5456) и
передает параметры авторизации пользователя: тип авторизации, логин, пароль и т.п.
В настройках клиента авторизации указывается IP-адрес и порт сервера UserGate, метод и параметры авто-
ризации (логин/пароль) в соответствии с тем, что указано в профиле пользователя в UserGate.
При первом запуске клиент авторизации UserGate просматривает ветку “HKCU\Software\Policies\Entensys\
Auth client” системного реестра. Здесь могут быть расположены настройки, полученные через групповую по-
литику домена Active Directory. Если настройки в системном реестре не обнаружены, адрес сервера UserGate
придется указать вручную, на третьей сверху закладке в клиенте авторизации. После указания адреса сервера
нужно нажать кнопку Применить и перейти ко второй закладке. На этой странице указываются параметры ав-
торизации пользователя. Настройки клиента авторизации сохраняются в разделе “HKCU\Software\Entensys\
Auth client” системного реестра. Служебный лог клиента авторизации сохраняется в папке “Documents and
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Settings\%USER%\Application data\UserGate Client”.

Рисунок 5. Настройка клиента авторизации

В клиенте авторизации UserGate отображается информация о количестве переданных и полученных байт,


длительность пользовательского сеанса и его стоимость. Дополнительно в клиенте авторизации добавлена
ссылка на персональную страницу пользователя в UserGate. Изменить внешний вид клиента авторизации
можно через редактирование соответствующего шаблона в виде *.xml файла, расположенного в директории,
в которую установлен клиент.

Важно! Клиент авторизации неприменим для работы пользователей с терминального сервера.

11
www.usergate.ru

Настройка сервисов в UserGate

Настройка DHCP

Служба DHCP (Dynamic Host Configuration Protocol) позволяет автоматизировать процесс выдачи сетевых
настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динами-
чески назначать IP-адрес, адрес шлюза, DNS, WINS-сервера и т.п.
Включить DHCP сервер можно через раздел Сервисы > DHCP-сервер > Добавить интерфейс в консо-
ли администрирования UserGate или нажатием на кнопку Добавить в панели управления. В появившемся
диалоге необходимо выбрать сетевой интерфейс, на котором будет работать DHCP-сервер. В минимальной
конфигурации для DHCP-сервера достаточно задать следующие параметры: диапазон IP-адресов (пул адре-
сов), из которого сервер будет выдавать адреса клиентам в локальной сети, маску сети и время аренды. Мак-
симальный размер пула в UserGate не может превышать 4000 адресов. При необходимости из выбранного
пула адресов можно исключить (кнопка Исключения) один или несколько IP-адресов. За определенным
устройством в сети можно закрепить постоянный IP-адрес, создав соответствующую привязку в разделе Ре-
зервации. Постоянство IP-адреса при продлении или получении аренды обеспечивается за счет привязки к
MAC-адресу сетевого устройства. Для создания привязки достаточно указать IP-адрес устройства; MAC-адрес
будет определен автоматически через нажатие на соответствующую кнопку.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 6. Настройка DHCP-сервера UserGate

Сервер DHCP в UserGate поддерживает импорт настроек DHCP-сервера Windows. Предварительно настрой-
ки Windows DHCP необходимо сохранить в файл. Для этого на сервере, где установлен Windows DHCP, за-
пустите режим командной строки (Пуск > Выполнить, введите cmd и нажмите <Enter>) и в появившемся
окне выполните команду: netsh dhcp server IP dump > имя_файла, где IP — IP-адрес вашего DHCP-сервера.
Импорт настроек из файла осуществляется через соответствующую кнопку на первой странице мастера на-
стройки DHCP-сервера.
Выданные IP-адреса отображаются в нижней половине окна консоли администрирования (рис. 7) вместе с
информацией о клиенте (название компьютера, MAC-адрес), временем начала и конца аренды. Выделив вы-
данный IP-адрес, можно добавить пользователя в UserGate, создать привязку по MAC-адресу или освободить
IP-адрес.

12
www.usergate.ru
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 7. Удаление выданных адресов

Освобожденный IP-адрес через некоторое время будет помещен в пул свободных адресов DHCP-сервера.
Операция освобождения IP-адреса может понадобиться, если компьютер, ранее запросивший адрес у DHCP-
сервера UserGate, более не присутствует в сети.

Настройка сервисов прокси в UserGate

В сервер UserGate интегрированы следующие прокси-серверы: HTTP- (с поддержкой режима “FTP поверх
HTTP” и HTTPS), FTP-, SOCKS4, SOCKS5, POP3 и SMTP, SIP и H323. Настройки прокси-серверов доступны в раз-
деле Сервисы > Настройка прокси в консоли администрирования. К основным настройкам прокси-сервера
относятся: интерфейс (рис. 8) и номер порта, на котором работает прокси.

Рисунок 8. Базовые настройки прокси-сервера

13
www.usergate.ru

Если интерфейс в настройках не указан, прокси-сервер будет прослушивать все доступные сетевые интер-
фейсы сервера. По умолчанию в UserGate включен только HTTP-прокси, прослушивающий порт 8080 TCP на
всех доступных сетевых интерфейсах сервера.
Для настройки браузера клиента на работу через прокси-сервер достаточно указать адрес и порт прокси в
соответствующем пункте настроек. В Internet Explorer настройки прокси указываются в меню Сервис > Свой-
ства обозревателя > Подключение > Настройка LAN. При работе через HTTP-прокси в свойствах TCP/IP
сетевого подключения на рабочей станции пользователя не требуется указывать шлюз и DNS, поскольку раз-
решение имен будет выполнять сам HTTP-прокси.
Для каждого прокси-сервера доступен режим каскадного включения на вышестоящий прокси-сервер.

Важно! Порт, указанный в настройках прокси-сервера, автоматически открывается в межсетевом экране


UserGate. Поэтому, с точки зрения безопасности, в настройках прокси рекомендуется указывать только ло-
кальные сетевые интерфейсы сервера.

Поддержка протоколов IP-телефонии (SIP, H323)

В UserGate 5 реализована функция SIP-прокси с контролем состояния соединений (stateful proxy) SIP
Registrar. SIP-прокси включается в разделе Сервисы > Настройка прокси и всегда работает в прозрачном
режиме, прослушивая порты 5060 TCP и 5060 UDP. При использовании SIP-прокси на странице Сессии консо-
ли администрирования отображается информация о состоянии активного соединения (регистрация, звонок,
ожидание, и т.п.), а также информация об имени пользователя (или его номер), длительность звонка и коли-
чество переданных/полученных байт. Эта информация будет записана и в базу статистики UserGate.
Для использования SIP-прокси UserGate, в свойствах TCP/IP на рабочей станции пользователя требуется
указать IP-адрес сервера UserGate в качестве шлюза по умолчанию, а также обязательно указать адрес DNS-
сервера.
Настройку клиентской части проиллюстрируем на примере программного телефона SJPhone и провайдера
Sipnet. Запустите SJPhone, выберите в контекстном меню пункт Options и создайте новый профиль. Введите
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

название профиля (рис. 9), например sipnet.ru. В качестве типа профиля укажите Call through SIP Proxy.

Рисунок 9. Создание нового профиля в SJPhone

В диалоговом окне Profile Options требуется указать адрес прокси-сервера вашего VoIP провайдера. При за-
крытии диалога потребуется ввести данные для авторизации на сервере вашего VoIP провайдера (имя поль-
зователя и пароль).

14
www.usergate.ru

Рисунок 10. Настройки профиля SJPhone

Поддержка режима SIP Registrar

Функция SIP Registrar позволяет использовать UserGate в качестве программной АТС (Автоматической Теле-
фонной Станции) для локальной сети. Функция SIP Registrar работает одновременно с функцией SIP-прокси.
Для авторизации на UserGate SIP Registrar в настройках SIP UAC (User Agent Client) требуется указать:
• адрес UserGate в качестве адреса SIP сервера
• имя пользователя в UserGate (без пробелов)
• любой пароль
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Поддержка протокола H323

Поддержка протокола H323 позволяет использовать сервер UserGate в качестве «привратника» (H323
Gatekeeper). В настройках H323-прокси указывается интерфейс, на котором сервер будет прослушивать кли-
ентские запросы, номер порта, а также адрес и порт H323-шлюза. Для авторизации на UserGate Gatekeeper
пользователю требуется указать логин (имя пользователя в UserGate), пароль (любой) и номер телефона,
указанный в профиле пользователя в UserGate.

Почтовые прокси в UserGate

Почтовые прокси-серверы в UserGate предназначены для работы с протоколами POP3 и SMTP и для антиви-
русной проверки почтового трафика. При использовании прозрачного режима работы POP3 и SMTP-прокси,
настройка почтового клиента на рабочей станции пользователя не отличается от настроек, соответствующих
варианту с прямым доступом в сеть Интернет.
Если POP3-прокси UserGate используется в непрозрачном режиме, то в настройках почтового клиента на
рабочей станции пользователя в качестве адреса POP3 сервера требуется указывать IP-адрес компьютера с
UserGate и порт, соответствующий POP3-прокси UserGate. Кроме того, логин для авторизации на удаленном
POP3 сервере указывается в следующем формате: адрес_электронной_почты@адрес_POP3_сервера. Напри-
мер, если пользователь имеет почтовый ящик user@mail.ru, то в качестве Логина на POP3-прокси UserGate в
почтовом клиенте нужно будет указать: user@mail.ru@pop.mail.ru. Такой формат необходим для того, чтобы
сервер UserGate мог определить адрес удаленного POP-сервера.
Если SMTP-прокси UserGate используется в непрозрачном режиме, то в настройках прокси требуется ука-
зать IP-адрес и порт SMTP-сервера, который UserGate будет использовать для отправки писем. В таком случае
в настройках почтового клиента, на рабочей станции пользователя, в качестве адреса SMTP-сервера требует-
ся указывать IP-адрес сервера UserGate и порт, соответствующий SMTP-прокси UserGate. Если для отправки
требуется авторизация, то в настройках почтового клиента нужно указать логин и пароль, соответствующий
SMTP-серверу, который указан в настройках SMTP-прокси в UserGate.

15
www.usergate.ru

Использование прозрачного режима

Функция Прозрачный режим в настройках прокси-серверов доступна, если сервер UserGate установлен
вместе с драйвером NAT. В прозрачном режиме драйвер NAT UserGate прослушивает стандартные для сер-
висов порты: 80 TCP для HTTP, 21 TCP для FTP, 110 и 25 TCP для POP3 и SMTP на сетевых интерфейсах ком-
пьютера с UserGate и, при наличии запросов, передает их на соответствующий прокси-сервер UserGate. При
использовании прозрачного режима в сетевых приложениях пользователей не требуется указывать адрес и
порт прокси-сервера, что существенно уменьшает работу администратора в плане предоставления доступа
локальной сети в Интернет. Однако, в сетевых настройках рабочих станций в локальной сети, сервер UserGate
должен быть указан в качестве шлюза, и требуется указать адрес DNS-сервера.

Каскадные прокси

Сервер UserGate может работать с подключением Интернет как напрямую, так и через вышестоящие прокси-
серверы. Такие вышестоящие прокси группируются в UserGate в пункте Сервисы > Каскадные прокси.
UserGate поддерживает следующие типы каскадных прокси: HTTP, HTTPS, Socks4, Socks5. В настройках ка-
скадного прокси указываются стандартные параметры: адрес и порт. Если вышестоящий прокси поддерживает
авторизацию, в настройках можно указать соответствующий логин и пароль. Созданные каскадные прокси
становятся доступными в настройках прокси-серверов в UserGate.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 11 Родительские прокси в UserGate

Назначение портов

В UserGate реализована поддержка функции Перенаправление портов (Port mapping). При наличии пра-
вил назначения портов, сервер UserGate перенаправляет пользовательские запросы, поступающие на опре-
деленный порт заданного сетевого интерфейса компьютера с UserGate, на другой указанный адрес и порт,
например на другой компьютер в локальной сети. Функция Перенаправление портов доступна для TCP- и
UDP- протоколов и не требует установленного драйвера NAT UserGate.

Рисунок 12. Назначение портов в UserGate

Важно! Если назначение портов используется для предоставления доступа из сети Интернет к внутренне-
му ресурсу компании, в качестве параметра Авторизация следует выбрать Указанный пользователь.

16
www.usergate.ru

Настройка кэша

Одним из назначений прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает на-
грузку на подключение к Интернет и ускоряет доступ к часто посещаемым ресурсам. Прокси-сервер UserGate
выполняет кэширование HTTP и FTP трафика. Кэшированные документы помещаются в локальную папку
“%UserGate%\Cache”. В настройках кэша указывается: предельный размер кэша и время хранения кэширо-
ванных документов. Дополнительно можно включить кэширование динамических страниц и подсчет трафика
из кэша. Если включена опция Считать трафик из кэша, на пользователя в UserGate будет записываться не
только внешний (Интернет) трафик, но также и трафик, полученный из кэша UserGate.

Антивирусная проверка

В сервер UserGate интегрированы два антивирусных модуля: антивирус Kaspersky Lab и Panda Security. Оба
антивирусных модуля предназначены для проверки входящего трафика через HTTP, FTP и почтовые прокси-
серверы UserGate, а также исходящего трафика через SMTP-прокси.
Настройки антивирусных модулей доступны в разделе Сервисы > Антивирусы консоли администриро-
вания (рис. 13). Для каждого антивируса можно указать, какие протоколы он должен проверять, установить
периодичность обновления антивирусных баз, а также указать адреса URL, которые проверять не требуется
(опция Фильтр URL). Дополнительно в настройках можно указать группу пользователей, трафик которых не
требуется подвергать антивирусной проверке.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 13. Антивирусные модули в UserGate

Перед запуском антивирусных модулей необходимо запустить обновление антивирусных баз и дождаться
его завершения. В настройках по умолчанию базы антивируса Касперского обновляются с сайта Kaspersky Lab,
а для антивируса Panda скачиваются с http://www.usergate.ru.

17
www.usergate.ru

Сервер UserGate поддерживает одновременную работу двух антивирусных модулей. В этом случае админи-
стратор UserGate может выбрать протоколы, которые будет проверять каждый из антивирусов, а также ука-
зать направление проверки трафика для каждого протокола, если он проверяется двумя антивирусами.

Важно! При включении антивирусной проверки трафика сервер UserGate блокирует многопоточные за-
грузки файлов через HTTP и FTP. Блокирование возможности закачки части файла по HTTP может привести
к проблемам в работе службы Windows Update.

Планировщик в UserGate

В сервер UserGate встроен планировщик заданий, который может быть использован для выполнения сле-
дующих задач: инициализация и разрыв Dial-Up соединения, рассылка статистики пользователям UserGate,
выполнение произвольной программы, обновление антивирусных баз и очистка базы статистики.

Рисунок 14 Настройка планировщика заданий


РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Пункт Выполнить программу в планировщике UserGate может быть использован и для выполнения по-
следовательности команд (скриптов) из *.bat или *.cmd файлов.

Настройка DNS

Для разрешения имен сервер UserGate предоставляет две возможности: модуль DNS и правило NAT. Мо-
дуль DNS используется всеми сервисами UserGate: прокси-серверы, BrightCloud, антивирус и т.п. Модуль
предназначен для обработки DNS запросов типа A, MX, PTR и поддерживает не рекурсивные запросы. Обще-
ние с сервисами UserGate выполняется на уровне Winsock. По умолчанию модуль DNS используется порт 5458
UDP. По умолчанию используются DNS серверы, указанные в сетевых настройках сервера или указанные DNS
серверы. Если в настройках UserGate указано несколько DNS серверов, UserGate будет опрашивать сервера,
опираясь на время реакции сервера. Если какой-то DNS сервер задерживает ответ, UserGate автоматически
выполнит запрос ко всем остальным DNS серверам.
Для разрешения пользовательских DNS запросов предназначен т.н. режим пересылки (DNS forwarding).
Настройка перенаправления DNS-запросов доступна в разделе Сервисы > DNS-форвардинг в консоли ад-
министрирования. В режиме пересылки модуль DNS прослушивает порт 53 UDP со стороны LAN адаптеров
сервера. DNS запросы, поступающие со стороны WAN адаптеров игнорируются.
Ответы на запросы DNS кэшируется в оперативной памяти сервера, повышая скорость повторных запро-
сов на разрешение имен. Кроме того, модуль DNS отслеживает изменения в файле %WINDIR%\system32\
drivers\etc\hosts, помещая записи в собственный кэш. Записи из файла hosts хранятся в собственной кэш па-
мяти DNS все время работы сервера.

18
www.usergate.ru

Рисунок 15. Настройка DNS

Настройка через NAT сводится к добавлению правила NAT для порта 53 UDP с последующим применением
этого правила ко всем или к некоторым пользователям в UserGate. В этом случае, в сетевых настройках на
компьютерах пользователей в качестве DNS нужно указать IP-адрес DNS-сервера Интернет-провайдера.

Настройка оповещений
Модуль «Оповещения» предназначен для информирования системного администратора UserGate о каких-
либо событиях, происходящих с сервером UserGate. Так, например, можно создать уведомление об обнару-
жении вируса при проверке трафика, о возникновении ошибки в работе антивирусного модуля или об ис-
течении срока действия лицензии на антивирус. Оповещение будет доставлено по электронной почте через
SMTP-сервер, указанный в пункте Настройка доставки.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 16 Настройка доставки

19
www.usergate.ru

Межсетевой экран в UserGate

Принцип работы межсетевого экрана

Встроенный межсетевой экран (брандмауэр) является неотъемлемой частью драйвера NAT UserGate и пред-
назначен для обработки сетевого трафика в соответствии с заданным набором правил. При создании правила
для межсетевого экрана необходимо указать: адрес источника, адрес назначения, сервис (пара «протокол-
порт») и действие Разрешить или Запретить. Тип правила межсетевого экрана определяется автоматически,
в зависимости от указанных параметров. Межсетевой экран поддерживает следующие типы правил: правило
трансляции (NAT), маршрутизации (Routing) и правило для брандмауэра (FW).
По умолчанию в межсетевом экране UserGate присутствует единственное правило #NONUSER#, позво-
ляющее разрешить или запретить весь трафик, поступающий на сервер из сети Интернет. Если для правила
#NONUSER# включить режим Запретить, то межсетевой экран UserGate будет блокировать все входящие
и исходящие сетевые пакеты кроме транзитных пакетов из локальной сети в сеть Интернет и обратно. Такой
вариант настройки является оптимальным, если сервер UserGate установлен на отдельный компьютер.
Если компьютер с установленным сервером UserGate используется также и в качестве рабочей станции,
которой требуется предоставить доступ к определенным сервисам Интернет, то в настройках межсетевого
экрана необходимо создать соответствующие разрешающие правила. Такие правила всегда будут помещены
в списке выше правила #NONUSER#. Правила межсетевого экрана просматриваются в порядке приоритета
— чем выше правило в списке, тем выше его приоритет, и тем раньше оно будет обрабатываться. Правила
можно перемещать по списку, изменяя их приоритет.
Сервисы, используемые в UserGate — такие как прокси-сервер или назначение портов, автоматически соз-
дают разрешающие правила для межсетевого экрана. Например, при включении прокси-сервера будет соз-
дано правило, обеспечивающее прохождение запросов на порт прокси-сервера. Удалить автоматическое
правило можно, только выключив соответствующий сервис. Администратор UserGate может перекрыть раз-
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

решающее автоматическое правило, создав соответствующее запрещающее правило и поместив его в самом
верху списка правил.

Правила трансляции сетевого адреса (NAT)

Для создания правила трансляции (рис. 17) в качестве источника требуется выбрать LAN-адаптер, в качестве
назначения — WAN-адаптер сервера UserGate, указать один или несколько сервисов, а также выбрать поль-
зователей или группы, которым разрешено использовать данное правило.

20
www.usergate.ru

Рисунок 17. Создание правила трансляции (NAT)

Для работы правил трансляции в сетевых настройках TCP/IP рабочей станции пользователя необходимо
указать шлюз — локальный IP-адрес сервера UserGate и DNS-сервер, поскольку при работе через NAT разре-
шение доменных имен выполняется локально, т.е. на рабочей станции пользователя. Если необходимый сер-
вис (пара «протокол-порт») в списке предопределенных сервисов отсутствует, его можно добавить в диалоге
создания правила для межсетевого экрана, или через раздел Сервисы консоли администрирования.

Работа с несколькими провайдерами


РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Драйвер NAT UserGate поддерживает работу с несколькими подключениями к Интернет одновременно. Для
такой работы администратор UserGate может создать несколько наборов правил NAT (рис. 18), различающих-
ся только внешними интерфейсами (WAN или PPP). Такая возможность драйвера NAT UserGate позволяет
предоставить доступ в Интернет для одной части пользователей через одного провайдера, а для другой груп-
пы пользователей — через другого. Применять одновременно два набора правил трансляции для пользовате-
ля или группы пользователей не рекомендуется.

Рисунок 18. Работа с несколькими провайдерами

21
www.usergate.ru

Автоматический выбор исходящего интерфейса

При наличии нескольких внешних интерфейсов (WAN или PPP) на компьютере с сервером UserGate, в
правилах NAT в качестве исходящего интерфейса можно выбрать пункт Masquerade. Функция Masquerade
используется, если исходящий сетевой интерфейс сервера при трансляции пакетов, заранее неизвестен. В
этом случае интерфейс будет определяться динамически, путем сравнения сетевого адреса хоста назначения
с сетевой частью адреса всех WAN-адаптеров сервера UserGate. Если сетевая часть хоста назначения не под-
ходит ни под один из WAN-адаптеров (PPP- адаптеров), пакет будет отправлен через основное подключение
Интернет. Функцию Masquerade можно использовать для трансляции пакетов в несколько внешних сетей или,
например, для работы NAT с резервным каналом.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 19. Автоматический выбор исходящего адаптера в правилах NAT

Важно! Во время работы резервного подключения к Интернет, функция автоматического выбора исхо-
дящего интерфейса в правилах NAT UserGate отключается. Весь NAT трафик правил с типом назначения
Masquerade замыкается на резервный интерфейс.

Публикация сетевых ресурсов

С помощью межсетевого экрана UserGate можно открыть доступ к внутренним ресурсам компании, напри-
мер к Web, FTP, VPN или к почтовому серверу из сети Интернет. В этом случае обращения на определенный
порт внешнего IP-адреса сервера UserGate будут переадресованы на внутренний сервер, в соответствии с соз-
данным правилом. Доступ к внутреннему ресурсу компании можно предоставить для всех (Любой источник)
или только для определенных хостов из сети Интернет. Для создания публикации ресурса (рис. 20) в правиле
межсетевого экрана необходимо указывать один сервис.

22
www.usergate.ru
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 20. Публикация FTP-сервера

Настройка правил фильтрации

Распространенной является ситуация, когда компьютер с установленным UserGate является одновременно


и рабочей станцией и файловым сервером в небольшой локальной сети. Если правило #NONUSER# включе-
но в режим Запретить, необходимо создать несколько специальных разрешающих правил для межсетевого
экрана. Правила должны разрешать исходящие запросы в Интернет для таких основных сервисов как HTTP,
HTTPS, FTP, POP3 и SMTP. Пример таких правил приведен на рисунке 17.

23
www.usergate.ru

Рисунок 21. Правила для сервера UserGate

Поддержка маршрутизации

Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить
как маршрутизатор (router), обеспечив прозрачную, двунаправленную связь между сетями. Правила маршру-
тизации настраиваются между любой парой LAN-интерфейсов (рис. 22).
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 22. Маршрутизация в UserGate

Важно! Для маршрутизации не требуется авторизация пользователей в UserGate и не ведется подсчет


трафика.

Ограничение скорости в UserGate


В UserGate реализовано два механизма ограничения скорости: ограничение можно установить либо через
профиль пользователя или правило управления трафиком вида Скорость > Установить, либо через специ-
альный модуль «Управление шириной канала» (Traffic Manager). Первый способ не является универсальным,
поскольку ограничивает скорость только входящего трафика для всех соединений пользователя, без возмож-
ности разделения по протоколам или по адресу и порту адреса назначения. Такое ограничение скорости явля-
ется наиболее простым и работает для трафика через прокси-сервисы UserGate и через правила трансляции
(NAT).

24
www.usergate.ru

Возможность ограничения суммарной скорости для группы пользователей в этом методе не предусмотре-
на. Для ограничения суммарной скорости группы рекомендуется использовать модуль «Управление шириной

канала».

Управление шириной канала (Traffic Manager)


Управление полосой пропускания в UserGate реализовано на базе классического алгоритма CBWFQ (Class-
Based Weighted Fair Queuing), что определяет обработку пакетов FIFO очередей (First In First Out) по приорите-
там, в соответствии с правилами классификации пакетов и, в том числе, с их «развесовкой» (подразумевается
размер пакета). Дополнительно, в алгоритм добавлена такая опция как Shaping (ограничение ширины полосы
канала для правила), которая также реализована на базе приоритетов, Speed Limit (ограничение ширины по-
лосы канала для правила) и Time Delay (время задержки для правила, если для этого правила текущая ско-
рость передачи данных достигла указанного ограничения).
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 23 Правила TM ограничения скорости

В модуле Traffic Manager (TM) существует два типа правил: правила на адаптер или default правила и поль-
зовательские правила. Default правила предназначены для обработки сетевых пакетов, не подходящих под
пользовательские правила или для обработки всех пакетов, если пользовательские правила отсутствуют.
Default правила создаются автоматически для каждого WAN адаптера сервера. Для работы TM default прави-
ла должны быть включены.
Пользовательские правила предназначены для обработки конкретного типа трафика. В параметрах пользо-
вательского правила указываются:
• Приоритет
• Направление трафика (входящий/исходящий)
• Максимально допустимое значение скорости (КБ/сек или МБ/сек)
• Задержка пакетов (мсек)
• Протокол (TCP/UDP/ICMP)
• IP-адрес источника, порт источника
• IP-адрес назначения в виде IP/mask, порт назначения
• Адаптер, трафик через который будет обрабатываться TM

Важно! Параметр «время задержки» правил TM предназначен для задержки сетевых пакетов в том слу-
чае, если трафик, обусловленный этими пакетами, не укладывается в выделенную полосу.

Приоритет правила TM определяет, в какую FIFO очередь будет помещен пакет после классификации. Все-
го предусмотрено 8 приоритетных очередей: четыре очереди с абсолютным приоритетом (HIGH, MEDIUM,
NORMAL и LOW) и четыре очереди с относительным приоритетом. Управляемое ограничение скорости трафи-
ка реализовано только для очередей с относительным приоритетом. В зависимости от установленного ограни-
чения пакет может быть передан в выходной буфер, перемещен в начало очереди (если установлен параметр
time delay) или отброшен. Очереди с абсолютным приоритетом предназначены для обработки привилегиро-

25
www.usergate.ru

ванного трафика. При необходимости такой трафик способен заполнить весь выделенный Интернет-канал.
В пользовательском правиле в качестве источника можно указать адрес машины в локальной сети, а в каче-
стве адреса назначения всегда указывается внешний хост или внешняя сеть. Если адрес назначения не указан,
подразумевается любой внешний хост.
Для ограничения трафика через NAT в направлении LAN ↔ Internet рекомендуется привязывать правило к
LAN адаптеру сервера, т.к. в этом случае адрес источника можно не указывать (ограничение для всех кли-
ентов). Ограничение скорости можно персонифицировать, указав IP адрес источника или диапазон адресов
локальной сети.
Для ограничения трафика через прокси в направлении LAN ↔ Internet необходимо привязать правило TM к
WAN адаптеру сервера, не указывая адрес источника. Ограничение скорости через прокси возможно только
для всех клиентов локальной сети.
При создании пользовательских правил необходимо учитывать следующие особенности:

• Traffic Manager предназначен для ограничения скорости трафика в обе стороны для направлений «сервер
— Интернет» и «локальная сеть — Интернет».
• Если пакет удовлетворяет нескольким правилам, то при работе выбирается первое подходящее правило.

Важно! Traffic Manager не работает с Dial Up подключениями

Контроль приложений
Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Кон-
троль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ
в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользовате-
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

ля. Для этого на рабочие станции пользователей требуется установить специальное приложение “App.Firewall
Service”. Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI пакет
(AuthFwInstall.msi), расположеные в директории “%Usergate %\tools”.
Управление работой сетевых приложений выполняется на основе правил, которые задает администратор.
Правила для приложений должны быть применены к пользователю или группе пользователей в UserGate. Су-
ществует два типа правил: правила по умолчанию (default) и пользовательские правила. Правила по умолча-
нию получает любая рабочая станция, на которой запущена служба Application Firewall Service при условиях:

a) служба application firewall обнаружила сервер UserGate


b) в UserGate был создан набор правил по умолчанию

Все правила в модуле «Контроль приложений» должны принадлежать некоторой группе правил. Для хране-
ния правил по умолчанию в UserGate предназначена специальная группа DEFAULT_RULES. Для пользователь-
ских правил администратор UserGate может создать свои группы.
Изначально в UserGate присутствует единственное правило по умолчанию, разрешающее доступ любых се-
тевых приложений пользователя на все IP-адреса, по всем протоколам. Это правило рекомендуется исполь-
зовать на начальном этапе настройки модуля «Контроль приложений» для сбора статистики использования
сетевых приложений.
Служба Application firewall на рабочей станции пользователя получает набор пользовательских правил толь-
ко после авторизации пользователя на сервере UserGate. При этом пользователь может авторизоваться как
через клиента авторизации UserGate, так и без него по IP- или MAC-адресу. Пользовательские правила могут
дополнять или запрещать правила по умолчанию. При авторизации пользователя через клиента UserGate,
в модуле «Контроль приложений» создается связь между учетной записью Windows, под которой запущен
клиент авторизации, и профилем пользователя в UserGate. Таким образом, смена учетной записи Windows
при запущенном клиенте авторизации отменит действие пользовательских правил. Обработка пользователей
с HTTP авторизацией не реализована.
Политика контроля приложений с настройками по умолчанию (первый запуск) определяется следующим
образом:

26
www.usergate.ru

a) если сервер UserGate недоступен, разрешены все сетевые приложения


b) если сервер UserGate доступен, разрешены только локальные обращения сетевых приложений и серви-
сов.

Служба Application firewall записывает статистику работы сетевых приложений в локальную папку
“%Program Files%\Entensys\Application Firewall\Cache” на рабочей станции пользователя и периодически,
с интервалом в 10 минут, передает ее серверу UserGate. Интервал отправки статистики определяется пара-
метром SendStatistics системного реестра (“ HKLM\Software\Policies\Entensys\Application Firewall”). Также, в
модуле «Контроль приложений» реализован собственный кэш правил. Если по каким-либо причинам сервер
UserGate недоступен, служба Application firewall будет работать в соответствии с правилами, записанными в
локальный кэш правил, в течение времени, равному периоду обновления правил (параметр UpdateRules си-
стемного реестра). Период обновления правил по умолчанию составляет 5 минут.
Статистика работы пользовательских приложений отображается в разделе Контроль приложений > Ста-
тистика. В таблице (рис. 24) представлена информация о пользователе и его рабочей станции, а также ин-
формация о сетевом приложении.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 24. Статистика работы сетевых приложений

При двойном клике на соответствующей строке в показаниях статистики отображается диалог, с помощью
которого администратор UserGate может создать правило для приложения.

Обозреватель КЭШ в UserGate


Модуль Обозреватель кэш (рис. 25) предназначен для просмотра содержимого базы кэш в UserGate. Обо-
зреватель кэш может быть запущен через пункт Запустить обозреватель кэш меню UserGate агента в систем-
ном трее или через соответствующий пункт в меню Пуск – Программы. При запуске требуется указать располо-
жение файла cache.dat (база Кэш UserGate). Интерфейс обозревателя позволяет выполнять поиск, сортировку
и фильтрацию содержимого кэш. Дополнительно предоставлена возможность сохранения выделенных или
всех документов КЭШ в указанную папку.

27
www.usergate.ru
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 25 Обозреватель КЭШ

Управление трафиком в UserGate

Система правил управления трафиком

В сервере UserGate предусмотрена возможность управления доступом пользователей к сети Интернет по-
средством правил управления трафиком. Правила управления трафиком предназначены для запрета доступа
к определенным сетевым ресурсам, для установки ограничений потребления трафика, для создания распи-
сания работы пользователей в сети Интернет, а также для слежения за состоянием счета пользователей. Пра-
вила управления трафиком действуют на определенный объект, вызывая связанное с объектом действие. В
UserGate предусмотрено четыре пары «объект > действие»: Соединение > Закрыть, Трафик > Не считать,
Тариф > Изменить и Скорость > Установить. В правиле управления трафиком нужно сформулировать
условия, при которых оно будет срабатывать. В качестве условий можно указать: время, день недели, адреса
URLs (IP), лимит трафика (в день, неделю или месяц) и т.п. Сформулированные условия можно объединять
как по логическому «И», так и по логическому «ИЛИ», что предоставляет администратору UserGate допол-
нительную степень свободы при создании правил. Правила можно применять как для всех, так и только для
определенных протоколов. Созданные правила управления трафиком должны быть применены к пользова-
телям или группе пользователей в UserGate.

Ограничение доступа к Интернет-ресурсам

Типичной задачей прокси-сервера является ограничение доступа пользователей к ресурсам Интернет. Для
решения этой задачи в UserGate предназначены правила типа Соединение > Закрыть. При работе через

28
www.usergate.ru

прокси (HTTP, FTP) в правиле управления трафиком можно указать как доменное имя ресурса (URL), так и его
IP-адрес. Сервер UserGate может выполнять фильтрацию (рис. 26) по любому фрагменту URL (опция Строка
целиком), только по адресной части (опция Адрес сервера) или только по адресу документа (опция Адрес
документа).

Рисунок 26. Параметры URL фильтрации

При указании IP-адреса доступны варианты: IP-адрес источника, IP-адрес назначения, а также опция
Инверсия, означающая все IP-адреса, кроме указанных адресов. Следует заметить, что для трафика через
NAT в качестве условия требуется указывать только IP-адрес, т.к. драйвер NAT UserGate не работает с домен-
ными именами.

URL-фильтрация BrightCloud
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

В рамках технологического сотрудничества с компанией BrightCloud Inc, в прокси-сервер UserGate интегри-


рован инструментарий BrightCloud Service и BrightCloud Master Database. Администратор UserGate может за-
прещать доступ к сайтам определенного содержания без указания названия сайтов. Кроме того, в статистике
UserGate можно получить отчет о категориях посещаемых сайтов, например: реклама, образование, новости
и т.п. Использование категорий сайтов позволяет вести более гибкую политику управления доступом к сети
Интернет.
Фильтрация по категориям доступна для прокси-сервисов UserGate и для трафика NAT, работающих в про-
зрачном и непрозрачном режимах. Для трафика через NAT фильтрация по категориям будет доступна только
в случае, если пользовательские DNS запросы проходят через модуль DNS forwarding в UserGate.
Для запрета доступа к сайтам определенной тематики (рис. 27) откройте раздел Управление трафиком >
Правила, создайте правило вида Соединение > Закрыть и на пятой странице диалога укажите нежелатель-
ную категорию.

Рисунок 27. URL-фильтрация BrightCloud

29
www.usergate.ru

Установка лимита потребления трафика

Правила управления трафиком типа Соединение > Закрыть могут быть использованы не только для за-
прета доступа к определенным ресурсам Интернет, но и для введения лимита потребления трафика. Для ре-
шения таких задач в качестве условия требуется указывать максимальное количество полученного/отправ-
ленного или суммарного трафика на день, неделю или месяц (рис. 28).
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 28. Лимит трафика

Если для пользователя UserGate установлен лимит потребления трафика, то при его превышении доступ к
сети Интернет будет полностью или частично заблокирован, в зависимости от дополнительных параметров
(например, протоколы, к которым применяется правило).

Важно! Установка лимита потребления трафика на группу пользователей в UserGate эквивалентна уста-
новке заданного лимита всем членам группы. Т.е. суммарный трафик группы не ограничивается.

Ограничение размера файла

Правила управления трафиком в UserGate позволяют ограничить максимальный размер скачиваемого фай-
ла. Данная опция становится доступной для правила с типом логики «ИЛИ» и применяется только к трафику
через HTTP- прокси.

Фильтрация по Content-type

Для трафика через HTTP-прокси UserGate реализована фильтрация по полю Content-type. Поле Content-
type содержится в заголовке ответа, который возвращает веб-сервер на запрос пользователя. Content-type
определяет, данные какого типа содержатся в ответе сервера: аудио (и его формат), видео (и его формат),
изображение (тип - jpg, png,...), тип документа (MS Word, MS Excel, ...) и т.д. Сервер UserGate анализиру-
ет поле Content-type и, в зависимости от правил управления трафиком, разрешает или блокирует передачу
данных. С помощью фильтрации по Content-type можно, например, запретить доступ к видео/аудио файлам
определенного формата, отключить обработку javascript или запретить передачу документов определенного
расширения.

30
www.usergate.ru

Рисунок 29 Фильтрация HTTP по Content-type

Список content-types хранится в специальном *.xml файле, расположенном в директории “%UserGate5%\


Administrator”. Администратор UserGate может пополнять список content-types как через файл, так и через
консоль администрирования, для этого добавлена ссылка на ianna.org.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Биллинговая система

Тарификация доступа в Интернет

Кроме непосредственно учета трафика сервер UserGate может быть использован и для подсчета финансо-
вых затрат на подключение Интернет. Такая возможность обеспечивается встроенной в UserGate биллинговой
системой. В основе биллинговой системы лежит понятие «тариф доступа в Интернет». В настройках по умол-
чанию UserGate содержит единственный тариф с нулевыми значениями стоимости входящего, исходящего и
временного трафика. Администратор UserGate может создать произвольное число тарифов, исходя из цено-
вой политики Интернет-провайдера или опираясь на собственные предпочтения, если UserGate используется
для предоставления платного доступа в Интернет.
Тариф доступа в UserGate может быть применен к пользователю или к группе пользователей. По умолча-
нию, Интернет-соединения всех пользователей, входящих в одну группу, тарифицируются в соответствии с
тарифом группе. Тем не менее, администратор UserGate может переопределить тариф в свойствах пользова-
теля.

Контроль состояния счета пользователей

Возможности биллинговой системы органично дополняют встроенную систему управления трафиком. Если
сервер UserGate используется для платного предоставления доступа в Интернет, система правил управления
трафиком может быть использована для контроля состояния счета пользователей. Так, в правиле типа Сое-
динение > Закрыть в качестве условия можно включить опцию Слежение за состоянием счета, указав
пороговое значение счета пользователя. Такое правило сработает, если сумма на счету пользователя станет
ниже порогового значения.

31
www.usergate.ru

Динамическое переключение тарифов

Правила управления трафиков в UserGate можно использовать для динамического переключения тарифов.
При работе на Dial Up соединениях наиболее распространенной является задача переключения тарифов по
времени суток (день/ночь). Другая задача возникает, например, при различной тарификации доступа во вну-
треннюю сеть Интернет-провайдера и, собственно, в сеть Интернет. Обе задачи решаются через правило типа
Тариф > Изменить.

Удаленное администрирование UserGate

Настройка удаленного подключения

Модуль администрирования UserGate может быть использован для удаленного управления сервером. Для
этого в настройках соединения, в параметре Адрес сервера требуется указать доменное имя или IP-адрес
удаленного компьютера, на котором запущен сервер UserGate.
Для использования модуля администрирования с удаленного компьютера достаточно перенести на нее со-
держимое директории “%UserGate%\Administrator” и выполнить файл install.bat, который зарегистрирует
необходимые динамические библиотеки.

Удаленный перезапуск сервера UserGate

В консоль администрирования добавлена возможность удаленного перезапуска сервера UserGate. С помо-


РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

щью консоли администрирования можно подключиться к удаленному серверу UserGate, выбрать пункт меню
Файл > Перезапустить сервер.

Проверка доступности новой версии

В разделе Общие настройки в консоли администрирования UserGate доступна опция Проверка версии.
При включении опции сервер UserGate формирует запрос на сайт компании-разработчика, запрашивая но-
мер последней доступной версии. Если на сайте разработчика доступна более поздняя версия, консоль адми-
нистрирования отображает соответствующее сообщение. В этом случае администратор может скачать послед-
нюю версию с сайта и установить ее. Проверка новой версии не приводит в автоматической переустановке
UserGate.

Утилита статистики UserGate


Сервер UserGate записывает информацию о трафике пользователей в собственную базу данных. По умол-
чанию используется база данных формата MS Access, файл log.mdb, расположенный в директории установки
программы (%UserGate%). Краткая информация о суммарном трафике пользователей и групп представлена
в разделе Мониторинг в консоли администрирования UserGate. Детальное представление статистики доступ-
но через специальный модуль «UserGate Statistics». Данный модуль представляет собой дополнительное при-
ложение, предназначенное для работы с базой статистики UserGate (рис. 30).

32
www.usergate.ru

Рисунок 30. Статистика UserGate

В UserGate Statistics можно получить детальное представление статистики каждого пользователя или груп-
пы, используя фильтры. Фильтрация позволяет формировать отчеты по времени доступа, по протоколам, за-
прошенным ресурсам и т.п. Финальный отчет будет представлен в табличной форме и при необходимости
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

может быть экспортирован в формат MS Excel, HTML или OpenOffice Calc.


Модуль UserGate Statistics можно использовать для удаления старых записей из базы данных статистики.
Для удаления записей запустите утилиту статистики UserGate, выберите крайнюю правую кнопку на панели
инструментов и укажите дату. Из базы данных статистики будут удалены все записи старше указанной даты.
Очистку базы статистики требуется выполнять при остановленном сервере UserGate.

Важно! Максимальный размер встроенной базы данных статистики (формат MS Access) составляет 2 ГБ.

Модуль статистики UserGate можно использовать и для удаленного просмотра статистики. В этом случае, на
рабочей станции, с которой требуется просматривать статистику, нужно создать пользовательский DSN (Data
Source Name), указав путь к сетевому диску на котором находится база статистики UserGate. Создать пользо-
вательский DSN можно через пункт Панель управления > Администрирование > Источники ODBC.

Важно! Пользователь, от имени которого создается указанный DSN, должен иметь права «Чтение/За-
пись» на сетевую папку, в которой расположен файл log.mdb.

Веб-статистика UserGate
В UserGate v.5 добавлен модуль веб-статистике, который позволяет получать детальную статистику исполь-
зования подключения Интернет из любой точки мира через браузер. Каждому пользователю UserGate можно
установить определенные права доступа к веб-статистике. Так, обычный пользователь может просматривать
только собственную статистику, директор может просматривать статистику любого пользователя UserGate, а
администратору предоставлена возможность просмотра статистики всех пользователей UserGate и возмож-
ность создания шаблонов для отчетов статистики.
Важно! Веб-статистика UserGate включается одновременно с HTTP- прокси. Если HTTP- прокси выключен,
Веб-статистика будет недоступна.

33
www.usergate.ru

Статистическая информация теперь отображается не только в табличном виде, но и в графической форме —


в виде графиков и диаграмм, что существенно облегчает восприятие отчетов и делает их более наглядными.
Доступ к веб-статистике может быть получен по ссылке: https://192.168.0.1, где 192.168.0.1 для примера —
адрес сервера UserGate, или через соответствующий раздел на персональной странице статистики пользо-
вателя: http://192.168.0.1:8080, где 8080 для примера — порт HTTP прокси в UserGate. При доступе к веб-
статистике по протоколу HTTPS используется сертификат, расположенный в папке %UserGate%\ssl.
Ссылка на страницу веб-статистики представлена последней закладке клиента авторизации UserGate.

Настройка веб-статистики

В настройках статистки имеется возможность определить региональную настройку, включить использова-


ние кэша и указать время его хранения, а также включить запись служебной информации. В настройках ото-
бражения можно определить количество байт в килобайте в соответствии с тем, как это определено у провай-
дера, указать глубину детализации информации и включить отображение URL адресов. Чтобы не перегружать
экран статистики лишней информацией, можно отключить отображение баланса пользователей.

Оценка эффективности работы правил управления трафиком

Для управления доступом к сети Интернет администратор UserGate может создавать правила управления и
назначать их пользователю или группе пользователей. Однако может возникнуть ситуация, когда созданные
правила работают не эффективно. Например, правило применено ко всем пользователям UserGate, а сраба-
тывает лишь у некоторого числа «наиболее активных» пользователей. В этом случае целесообразно отключить
правила у тех пользователей, для которых в нем нет необходимости. Трафик таких пользователей не будет
подвергнут дополнительной проверке и возможно улучшение производительности работы сервера UserGate
в целом.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 31 Статистика срабатывания правил управления трафиком

34
www.usergate.ru

Для оценки эффективности срабатывания правил в веб-статистике предусмотрен раздел Лог событий
правил. В эту статистику помещаются только данные о срабатывании правил вида Соединение > Закрыть.
Для пользователей с уровнем доступа Администратор или Директор доступна дополнительная статистика,
позволяющая получить «вес» каждого URL в общем количестве срабатывания правила.

Оценка эффективности работы антивируса

Возможности антивируса позволяют исключить некоторые группы пользователей UserGate из антивирусной


проверки. Возможности веб-статистики позволяют получить отчет о количестве срабатывания антивируса по
каждому пользователю. Статистика доступна в разделе Лог событий антивируса. Для пользователей с уров-
нем доступа Администратор или Директор доступна дополнительная статистика (пункт Статистика сра-
батывания антивируса), позволяющая оценить «вес» каждого пользователя UserGate в общем количестве
срабатываний антивируса.
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 32 Статистика срабатывания антивируса

Статистика использования SIP

Веб-статистика UserGate предоставляет возможность просмотра статистики использования SIP. В разделе


Диаграммы Директора > Статистика SIP представлен список пользователей, использующих SIP в UserGate.
В таблице представлен адрес источника звонка, адрес удаленного абонента и продолжительность звонка.

35
www.usergate.ru
РУКОВОДСТВО АДМИНИСТРАТОРА USERGATE

Рисунок 33. Статистика использования SIP

36