Сертификат AM Test Lab
Номер сертификата: 111
Дата выдачи: 26.11.2012
Срок действия: 26.11.2017
2. Системные требования UserGate Proxy&Firewall 6.0
3. Новые возможности UserGate Proxy&Firewall 6.0
4. Развертывание и настройка UserGate Proxy&Firewall 6.0
5. Работа с UserGate Proxy&Firewall 6.0
Введение
Шлюзовые решения уже давно перестали быть простыми продуктами, единственным предназначением которых является обеспечение совместного доступа к Интернету пользователей локальной сети. Современные интернет-шлюзы представляют собой комплексные решения, которые помимо своего основного предназначения могут решать широкий спектр задач в области информационной безопасности: блокировать доступ к нежелательным сайтам, фильтровать трафик, отражать сетевые атаки и пр. Одним из таких универсальных решений является UserGate Proxy&Firewall 6.0 от компании Entensys Corporation.
Компания Entensys Corporation появилась в 2001 году. Долгое время ее единственным продуктом был UserGate Proxy&Firewall, который продавался не только в России, но и за рубежом. А за последние несколько лет на рынок был выпущен целый ряд других продуктов – корпоративный почтовый сервер UserGate Mail Server (его обзор можно прочитать здесь), программа для родительского контроля KinderGate, решения уровня операторов.
За выпуском новых продуктов разработчики не забыли и про свое флагманское решение. Если первые версии UserGate Proxy&Firewall были обычными, пусть и достаточно богатыми в функциональном плане, прокси-серверами, то последние уже смело можно назвать полноценными UTM-продуктами. В них реализован широкий спектр инструментов для обеспечения безопасности корпоративной сети и контроля за использованием ресурсов сети Интернет.
Осенью этого года вышла очередная версия продукта UserGate Proxy&Firewall с номером 6.0. Основными изменениями в ней стали улучшения быстродействия работы разных механизмов. Кроме того, несколько расширилась функциональность продукта, в частности, в нем, наконец, появился встроенный VPN-сервер, который (судя по форумам) давно ждали пользователи.
Системные требования UserGate Proxy&Firewall 6.0
Минимальные системные требования приведены в таблице.
| Сеть до 20 ПК | Сеть от 20 до 150 ПК | Сеть более 150 ПК |
Процессор | Pentium 1000 МГц | Pentium 2000 МГц | Pentium 3000 МГц |
Оперативная память | 512 Мб | ||
Операционная система | Microsoft Windows 2000/XP/2003/2008/7 |
Новые возможности UserGate Proxy&Firewall 6.0
В UserGate Proxy&Firewall 6.0 произошли следующие изменения.
Новый драйвер NAT
В состав UserGate Proxy&Firewall 6.0 вошел новый драйвер NAT. По заявлению разработчиков, в нем появились такие возможности, как поддержка фрагментированных пакетов, технологии VLAN, приоритезации сетевых пакетов (QoS). Все это направлено на увеличение производительности драйвера. Особенно сильно это должно сказываться на требовательных к качеству канала связи приложениях, в частности, на IP-телефонии.
Новая реализация HTTP-прокси
В новой версии рассматриваемого интернет-шлюза был переработан HTTP-прокси. По заявлениям разработчиков, была увеличена его общая производительность, добавлены NTLM-авторизация и механизм поддержки соединений keep-alive. Также была изменена система ограничения скорости, которая теперь распространяется на весь трафик пользователей. Обновлению подверглась и система публикации внутренних ресурсов в Интернете: теперь она позволяет в одном правиле указывать диапазон портов и выбирать несколько сервисов.
Использование СУБД Firebird
В новой версии интернет-шлюза в качестве встроенной базы данных для хранения статистики используется СУБД Firebird, которая обеспечивает большую производительность по сравнению с используемыми ранее MDB-файлами. Кроме того, можно использовать внешнюю базу данных MySQL.
VPN-сервер
В UserGate Proxy&Firewall 6.0 появился полноценный VPN-сервер, который позволяет создавать защищенные каналы связи и обеспечивает маршрутизацию между подсетями.
IDPS-система
В новой версии рассматриваемого продукта был обновлен межсетевой экран. В него были включены элементы IDPS (системы обнаружения вторжений). Теперь межсетевой экран в UserGate Proxy&Firewall 6.0 способен обнаруживать, отражать и сообщать о таких атаках, как сканирование портов и SYN-flood.
Технология Entensys URL Filtering 2.0
В UserGate Proxy&Firewall 6.0 была реализована новая технология контентной фильтрации Entensys URL Filtering 2.0. Как и предыдущая, она представляет собой облачный сервис с платной подпиской. Среди улучшений системы контентной фильтрации разработчики указывают изменения в рубрикации, постоянный мониторинг сайтов из базы данных, улучшенную производительность (более подробно об этом можно узнать здесь).
Новый модуль веб-статистики
Еще одним заметным отличием новой версии UserGate Proxy&Firewall является новый модуль веб-статистики. В нем реализован более широкий функционал в части просмотра собранной информации, построения отчетов и графиков. Кроме того, по заявлениям разработчиков, он стал работать быстрее.
Новая система биллинга
В UserGate Proxy&Firewall 6.0 была значительно переработана система биллинга. Она стала более гибкой, позволяя реализовывать такие моменты, как абонентскую плату пользователей, ограничение скорости в зависимости от выбранного тарифа, учет дополнительных платных услуг и пр. Кроме того, в данном UTM-решении появилась возможность выдавать операторам биллинга специальные права. С ними, не имея возможности редактировать основные параметры работы сервера, они могут управлять балансами пользователей и просматривать их статистику.
Развертывание и настройка UserGate Proxy&Firewall 6.0
В прошлом году мы уже писали о продукте UserGate Proxy&Firewall (ознакомиться с обзором можно здесь). Сам принцип работы с этим интернет-шлюзом остался прежним. А поэтому сегодня мы рассмотрим только те моменты, которые изменились с нашего последнего обзора.
В первую очередь нужно остановиться на процедуре развертывания, точнее, на установке продукта. В ней изменилось несколько шагов. Во-первых, теперь среди компонентов для инсталляции доступен отдельно выделенный VPN-сервер. Если компания не планирует его использовать, то его можно и не устанавливать, что достаточно удобно.
Рисунок 1. Выбор компонентов установки UserGate Proxy&Firewall 6.0
Также в процессе инсталляции необходимо выбрать тип используемой базы данных – встроенная Firebird или внешняя MySQL (через коннектор ODBC). Малые и средние организации могут использовать первый вариант. По сравнению с файлами Microsoft Access (как это было в прошлых версиях рассматриваемой программы) эта база работает заметно быстрее. В крупных же компаниях можно порекомендовать использовать внешнюю СУБД, что позволяет добиться большей производительности.
Рисунок 2. Выбор базы данных в процессе установки UserGate Proxy&Firewall 6.0
В остальном установка и первоначальная настройка UserGate Proxy&Firewall 6.0 не отличается от развертывания предыдущей версии этого продукта и не представляет собой никакой сложности.
Как и в прошлых версиях, управление UserGate Proxy&Firewall 6.0 осуществляется с помощью специальной консоли. Она может запускаться как локально, непосредственно на интернет-шлюзе, так и удаленно. Сама консоль претерпела минимальные изменения. В ней немного изменилась структура разделов, внешний же вид и принцип работы остались прежними.
Рисунок 3. Консоль управления UserGate Proxy&Firewall 6.0
Вообще, многие нововведения в UserGate Proxy&Firewall 6.0 не заметны. Взять, к примеру, NAT-драйвер. Его быстродействие и надежность действительно очень важны для комфортного использования интернет-шлюза. Однако внешне они никак не проявляются. NAT-правила настраиваются точно так же, как и в предыдущей версии.
Примерно также обстоят дела и с HTTP-прокси. Несмотря на значительные изменения в нем, принцип его настройки остался тем же самым. Справедливости ради нужно отметить, что немного обновился внешний вид окна настройки. Теперь, как и многие другие окна в UserGate Proxy&Firewall 6.0, оно поделено на вкладки. На первой можно указать основные его параметры (сетевые интерфейсы, порт, параметры каскадного прокси), а на второй – опции (прозрачный режим, поддержка HTTPS).
Тем не менее, обязательно нужно отметить важность этих нововведений. Ведь именно от качестве реализации NAT-драйвера и/или HTTP-прокси (в зависимости от того, какой механизм используется для "раздачи" Интернета) в основном и зависит производительность и надежность работы интернет-шлюза (если, конечно, не учитывать аппаратную составляющую). А поэтому полная их переработка должна оказать большое влияние на скорость и качество работы.
Рисунок 4. Окно настройки HTTP-прокси в UserGate Proxy&Firewall 6.0
Что действительно требует настройки в UserGate Proxy&Firewall 6.0, так это система оповещений. Ее наличие может облегчить жизнь системным администраторам, оперативно уведомляя их о возникновении тех или иных проблем. Согласитесь, гораздо приятнее сразу узнать о неисправности и оперативно решить ее, чем предварительно выслушать многочисленные жалобы пользователей или нотации от руководства.
Для настройки системы оповещения, в первую очередь, необходимо определить параметры отправки. Для этого нужно перейти в раздел "Оповещения", перейти на вкладку "Настройка" и нажать на кнопку "Настройка доставки". Далее в открывшемся окне необходимо ввести параметры SMTP-сервера и отправляемых сообщений.
Рисунок 5. Настройка доставки оповещений в UserGate Proxy&Firewall 6.0
После этого можно настраивать сами оповещения. Всего в рассматриваемом продукте реализовано шесть их типов:
- об ошибке антивирусного модуля;
- об обнаружении вируса;
- о некритичном событии антивируса;
- об окончании лицензии на антивирус;
- о переходе на резервный канал связи;
- о том, что заканчивается свободное пространство на жестком диске интернет-шлюза.
Для каждого оповещения задается его наименование, тип и выполняемое действие (пока доступно только одно – отправка письма). Общее их количество неограниченно. Однако делать несколько оповещений одного типа нецелесообразно, поскольку все они будут отправляться на один и тот же ящик, заданный в настройках доставки. Нужно признать, что в крупных организациях с несколькими системными администраторами такой подход может оказаться не очень удобен. Практичнее была бы отправка письма сразу на несколько ящиков или отправка разных уведомлений на разные ящики.
Рисунок 6. Создание оповещения в UserGate Proxy&Firewall 6.0
Также дополнительной настройки требует VPN-сервер, если, конечно же, он необходим в организации. По умолчанию данный модуль выключен, активировать его можно в разделе "Сервисы->Настройки VPN" консоли управления. Там же осуществляется и его настройка. В ходе нее нужно указать прослушиваемый интерфейс, выбрать IP-адрес и порт VPN-сервера, а также диапазон IP-адресов, выдаваемых клиентам.
Рисунок 7. Параметр VPN-сервера в UserGate Proxy&Firewall 6.0
Помимо этого можно задавать дополнительные параметры работы VPN-сервера и маршрутизации, в частности, включить или отключить его использование в качестве основного шлюза, вручную добавить сетевые маршруты для клиентов. Наличие VPN-сервера позволяет отказаться от использования дополнительного ПО для реализации защищенного канала связи с удаленными офисами. А, как известно, чем меньше различных программ используется, тем большей надежностью обладает информационная система в целом.
Работа с UserGate Proxy&Firewall 6.0
Если говорить о постоянной работе с UserGate Proxy&Firewall 6.0, то и здесь большинство произошедших изменений практически незаметно. Наиболее сильно они видны при работе с биллингом и просмотре статистики.
Управление биллингом осуществляется с помощью упомянутой ранее консоли управления, как и в предыдущих версиях рассматриваемого продукта. Но теперь настройки стали заметно гибче, появились новые параметры. Так, например, при добавлении тарифного плана (сделать это можно на вкладке "Тарифы" раздела "Управление трафиком") можно установить размер абонентской платы, период ее списания, количество предоплаченного трафика и доступная скорость. Можно отметить, что последняя выбирается из списка предустановленных значений, так что сделать скорость, к примеру, 3 Мбит/с в не получится.
Рисунок 8. Параметры тарифа в UserGate Proxy&Firewall 6.0
Помимо этого на каждый тариф можно добавить произвольное количество модификаторов. Под этим термином скрываются условия, при выполнении которых меняются параметры тарифа. Модификаторы могут зависеть от даты, времени суток, количество потребленного трафика. В сумме это позволяет создать сколь угодно гибкий тарифный план с различными опциями.
Рисунок 9. Модификаторы тарифа в UserGate Proxy&Firewall 6.0
Вообще, для многих корпоративных клиентов наличие такого модуля, как биллинг, не нужно. Однако нельзя забывать, что интернет-шлюз UserGate Proxy&Firewall 6.0 – универсальное решение с широким спектром применения. Она может использоваться, в частности, в домовых сетях и сетях небольших провайдеров, интернет-клубах и пр. А поэтому биллинг является достаточно важной частью решения.
Другим значительным изменением в работе с UserGate Proxy&Firewall 6.0 стал новый модуль веб-статистики. Запускается она по-прежнему: с помощью соответствующего пункта в меню "Пуск" или же в браузере путем обращения по IP-адресу или имени хоста к интернет-шлюзу.
Веб-статистика разделена на 9 вкладок, которые позволяют просматривать ее с группировкой трафику, портам, сайтам, событиям антивируса, платежам и пр. На каждой из них информация отображается в виде графика, круговой диаграммы и таблицы. Кроме того, на них можно выбирать целые группы и отдельных пользователей, а также период отображения данных.
Рисунок 10. Веб-статистика в UserGate Proxy&Firewall 6.0
Выводы
При первом взгляде на новую версию UserGate Proxy&Firewall может показаться, что она практически ничем не отличается от предыдущей. Причина этого очень проста. Большая часть изменений просто-напросто внешне не заметны. Однако они затрагивают практически все наиболее важные для интернет-шлюза модули – NAT-драйвер, HTTP-прокси, статистику. Причем изменения направлены, в первую очередь, на увеличение производительности. Благодаря этому, в новой версии оказались решены самые критичные проблемы, известные у UserGate Proxy&Firewall, например, резкое падение производительности при увеличении базы данных статистики.
Достоинства
Что касается функциональных возможностей, то самым важным в новой версии оказалось появление встроенного VPN-сервера. Эта функция достаточно востребована в тех компаниях, которые имеют сеть филиалов или удаленных сотрудников. А организация VPN-сервера непосредственно на интернет-шлюзе вполне логична как с точки зрения удобства администрирования, так и с точки зрения информационной безопасности.
Таким образом, продукт UserGate Proxy&Firewall стал более быстрым и функционально наполненным. При этом внешне он остался практически неизменным. Но это и к лучшему – системным администраторам не придется заново переучиваться. Кстати, миграция с предыдущей версии крайне проста. Достаточно просто развернуть UserGate Proxy&Firewall 6.0, скопировать файл конфигурации из пятой версии и перезапустить сервер.
Недостатки
Из недостатков можно отметить неудобство системы оповещения, отсутствие возможности автоматически создавать правила из статистики и необходимость дополнительной оплаты антивирусных модулей и подписки на Entensys URL Filtering.