Быстрая настройка Usergate
Для того, что бы Вы могли начать использование UserGate, после инсталляции Вам необходимо произвести настройку программы. В данной главе описана процедура быстрой настройки. Для более детальной настройки обратитесь к главе “Описание пользовательского интерфейса”.
1. Запустите UserGate server. В старт меню выберите ПрограммыàUsergate3àUserGate.
2. Запустите UserGate Administrator. В старт меню выберите ПрограммыàUsergate3àAdministrator.
3. Укажите в качестве сервера локальный компьютер(пример: IP адрес 127.0.0.1 или localhost(по умолчанию)), укажите в качестве имени – Administrator. Пароль оставьте пустым. Подключайтесь к серверу нажав на кнопку ”Подключиться”. В случае успешного соединения в окне ”История команд”, вы увидите ”Connected to localhost”.
6.4.Создайте пользователей, для каждого пользователя укажите тип аутентификации. Для этого перейдите на закладку Настройка, выберите раздел Пользователи. Более подробно о создании пользователей смотрите в разделе “Пользователи”. Для быстрого подключения пользователей к сети установите тип авторизации по IP адресу.
7.5.Настроить NAT. Зайти в закладку Настройка, выберите рздел Трансляция адресов, включить NAT нажатием галочки, запуститься Wizard настройки NATа и следовать инструкции Wizardа.
8.6.Если Вы подключаетесь к Интернет с помощью модема, создайте модемное соединение. Смотрите раздел “Автодозвон” для более подробного описания.
9.7.Сохраните сделанные изменения с помощью кнопки “Сохранить”. Если сделанные изменения были неверны, их можно отменить кнопкой “Перезапустить”.
FTP прокси
Настройки FTP прокси практически ничем не отличаются от настроек Socks, кроме, разумеется, используемого номера порта.
Нужно внимательно подойти к вопросу настройки FTP клиентов. В параметрах программ, работающих по FTP протоколу необходимо включить опцию, указывающую на использование прокси-сервера, и в его параметрах указать IP адрес внутреннего сетевого интерфейса компьютера с установленным UserGate, и, соответственно, номер порта. По умолчанию используется порт 21. В качестве способа подключения нужно выбрать использование команды USER и установить пассивный режим работы.
Функциональные возможности
UserGate 3.0 поддерживает следующие возможности:
Кэширование - сохранение загруженных из Интернет файлов в общей кэш-памяти;
Авторизация (по IP адресу, по IP+MAC, по имени и паролю пользователя, с помощью авторизации Windows, с помощью авторизации Active Directory) пользователей по всем протоколам;
Автоматический дозвон по dial-up соединению;
Развитая система ограничений траффика для каждого пользователя, группы пользователей:
o Ограничения по времени работы, по количесту отправленного/принятого траффика за день и/или месяц или по количеству используемого времени за день и/или месяц;
o Почасовое расписание работы пользователя в Интернет;
o Списки запрешенных или разрешенных доменных имён, IP адресов, частей строки url, доступ на которые запрещается /разрешается администратором.
o Индивидуальные ограничения скорости доступа. При превышении ограничений доступ в Интернет для пользователя автоматически закрывается;
Фильтры, позволяющие настроить высокоэффективную 'баннерорезку';
Фильтры, позволяющие запретить пользователям доступ к нежелательной информации (сайты сексуальной, игровой направленности);
Возможность указания диапазонов предназначенных для пользователей IP-адресов;
Подключение к каскаду прокси с возможность авторизации;
Автоматическая и ручная рассылка пользователям информации об их траффике по e-mail, в том числе через серверы с SMTP авторизацией;
Мониторинг траффика в режиме реального времени.
Автоматический расчёт стоимости работы пользователя в интернет, исходя из цены времени и/или объёма траффика. Существует возможность устанавливать тарифы для каждого пользователя отдельно либо для группы пользователей, возможность переключения тарифов в зависимости от времени суток, дня недели или от адресов сайтов;
Расчёт и просмотр статистики работы пользователя по дням и по сайтам за произвольный интервал времени. Возможность просмотра статистики работы пользователя в текущем месяце через HTTP;
Гибкий генератор отчетов с возможностью экспорта в MS Excel;
UserGate поддерживает следующие протоколы:
o HTTP (кэширует);
o FTP(кэширует);
o Любой протокол UDP/TCP по NAT (Network Address Translation) и через назначение портов.
Инсталляция программы
Для инсталляции программы, вставьте установочный диск UserGate в компьютер и запустите usergate3_setup.exe. Внимательно прочитайте лицензионное соглашение, и если вы согласны, нажмите Согласен для продолжения установки и следуйте инструкциям программы установки UserGate.
КАК ПОЛУЧИТЬ ПОЛНУЮ ВЕРСИЮ
Программа UserGate свободно распространяется только в виде демо-версии, ограниченной по сроку дейсвтия. Для того, чтобы получить полную версию программы, свяжитесь с отделом продаж по адресу sales@usergate.ru либо выпишите счет на сайте самостоятельно. После оплаты Вам будет выдан адрес, по которому можно скачать полную версию и регистрационные ключи, либо отправлен по почте компакт-диск с программой.
КОНТАКТЫ
Отдел продаж: sales@usergate.ru
Отдел тех.поддержки: support@usergate.ru
http://www.usergate.ru
http://www.consultitnow.ru
Телефон: +7 (3832) 30-29-13
Факс: +7 (3832) 33-99-08
Адрес:
630090
Новосибирск,
ул. Терешковой 29а, офис 101
Почтовый адрес
630090, Новосибирск, а/я 735
ЛИЦЕНЗИЯ
ВНИМАНИЕ! Данное программное обеспечение НЕ продано Вам, а передается на условиях Лицензионного договора.
Перед использованием этого ПО внимательно ознакомьтесь с Договором передачи авторских прав на использование программ для компьютера (Лицензионный договор). Использование программы рассматривается как Ваше полное согласие с условиями Лицензионного договора.
Если Вы не согласны с каким-либо из условий Лицензионного договора, то вы должны прекратить использовать это ПО.
ДОГОВОР О ПЕРЕДАЧЕ АВТОРСКИХ ПРАВ НА ИСПОЛЬЗОВАНИЕ ПРОГРАММ ДЛЯ КОМПЬЮТЕРА (ЛИЦЕНЗИОННЫЙ ДОГОВОР)
Настоящий Лицензионный договор является юридическим соглашением между Вами, конечным пользователем (физическим или юридическим лицом), и компанией "еСэйфЛайн".
Программное обеспечение (ПО) - это комплекс программ для компьютера и документации, который является объектом авторского права и охраняется законом. Везде в тексте под словом "документация" подразумеваются файлы с информацией. Документация является неотъемлемой частью ПО.
1. Предмет договора
Предметом настоящего Лицензионного договора является передача Правообладателем Конечному Пользователю неисключительного авторского права на использование ПО (Лицензии).
Все условия, оговоренные далее, относятся как к ПО в целом, так и ко всем его компонентам в отдельности.
2. Имущественные права
Имущественные права на данное ПО принадлежат компании " еСэйфЛайн ".
Вам, Конечному Пользователю, предоставляется Лицензия на использование ПО в любых целях, при соблюдении нижеследующих условий.
3. Условия использования
Вы имеете право:
- использовать незарегистрированное ПО без каких либо ограничений, кроме ограничений функциональности незарегистрированного ПО
- использовать зарегистрированное ПО только персонально
Вы не имеете право:
- распространять выданную Вам регистрационную информацию
- вносить изменения в дистрибутив ПО, программу или документацию
4. Срок действия договора
Данный Лицензионный договор вступает в силу с начала использования ПО и действует на протяжении всего периода использования.
В случае несогласия, нарушения или неспособности далее выполнять Вами условия Лицензионного договора, Вы обязаны уничтожить все копии ПО, и договор прекращает свое действие.
5. Ответственность
Нелегальное использование, распространение и воспроизведение (копирование) ПО является нарушением Закона Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" и преследуется по Закону.
При нарушении настоящего Лицензионного договора компания "ЕСэйфЛайн" лишает Конечного Пользователя Права на использование ПО.
6. Гарантии
Компания " ЕСэйфЛайн" не гарантирует, что ПО не содержит ошибок и не несет никакой ответственности за прямые или косвенные последствия применения ПО, в том числе возникшие из-за возможных ошибок или опечаток в комплекте ПО.
ЕСэйфЛайн, 2004
http://www.usergate.ru
NAT для пользователей внутренней сети
Здесь можно указать, к каким типам ресурсов могут иметь доступ пользователи, используя протокол NAT. После создания правила, его необходимо присвоить пользователю или группе пользователей, что бы они смогли получить по нему доступ.
Имеется список предопределенных правил (SMTP, POP3, IMAP4,
Telnet, News), по умолчанию данные правила отключены и не могут быть удалены. Для включения каждого из правил нужно зайти в эти правила и включить, убрав галочку в поле Отключено.
Правила применяются в порядке, в котором они расположены в списке. Если существует более чем одно правило на один и тот же порт, то будет работать всегда правило, находящееся в списке выше. Для изменения порядка служат кнопки ‘Up’ и ‘Down’.
Для добавления нового правила, необходимо кликнуть Add и указать следующие параметры:
Название – имя для создаваемого правила NAT.
IP приемника – внутренний интерфейс.
IP отправителя - интерфейс, куда пересылать пакеты. Обычно здесь указывается интерфейс, подключенный к Интернет. Если имеется два или более интерфейса, подключенных к Интернет, можно указывать различные интерфейсы для разных протоколов. Например, почту SMTP посылать через одного провайдера Интернет, а для протокола POP3 использовать другого провайдера (другой интерфейс).
Destination port – порт, для которого необходимо настроить правило. Можно использовать ‘0’ – любой порт (0-65535).
Protocol
– протокол, TCP или UDP.
Отключено – включить правило или выключить, по умолчанию включено.
Общее описание
Для просмотра статистики необходимо запустить программу Statistics через кнопку
«Пуск»->Программы->UserGate3->Statistics
Общее описание программы
UserGate - это прокси-сервер, обеспечивающий доступ в Интернет пользователям локальной сети. UserGate поддерживает технологию NAT (Network Address Translation) для поддержки протоколов отличных от HTTP или FTP.
UserGate может быть использован для мониторинга Интернет-соединений, учёта траффика, установки ограничений для пользователей и контроля за ними. При соответствующих настройках UserGate может работать в качестве Firewall, защищающего локальную сеть от внешних Интернет-атак.
Отличительной особенностью UserGate является гибкое управление ограничениями по каждому пользователю, удобные средства мониторинга всех процессов в сети и ряд дополнительных сервисов для администратора сети. Это и многое другое делает продукт незаменимым при обслуживании локальной сети, и оптимизации денежных затрат на Интернет.
Программа состоит из трех модулей – сервера, клиента администрирования, и клиента авторизации, необходимого для некоторых типов авторзации [линк]. Сервер, непосредственно обеспечивающий работу, может быть запущен отдельно. Клиент администрирования, обеспечивающий все настройки UserGate администратором, может быть запущен удаленно.
Описание пользовательского интерфейса
Основная часть UserGate 3.0 реализована в виде двух модулей – UserGate Server и UserGate Administrator. UserGate Server запускается на компьютере, имеющем подключение к Интернет, и именно сервер контролирует доступ и ведет статистику работы пользователей в Интернет.
UserGate Administrator
– это средство управления сервером UserGate. С его помощью можно настроить сервер UserGate, в соответствии с требованиями, предъявляемыми в Вашей организации.
UserGate Server может работать как сервис, либо обычная программа, запускаемая вручную или автоматически.
Для запуска вручную необходимо в меню «Пуск» выбрать ПрограммыàUsergate3àUserGate. В системном трее появится пиктограмма запущенного UserGate:
. При наведении на неё курсора мыши появится всплывающая подсказка “UserGate 3 Server”. Для прекращения работы, необходимо кликнуть по этой пиктограмме правой кнопкой мыши и выбрать Stop server.Что бы запустить UserGate Server сервисом, необходимо его сначала добавить в список сервисов. Для этого необходимо запустить Старт менюàПрограммыàUserGate3àInstall Service. После этого можно запустить сервис UserGate, набрав команду net start usergate в режиме командной строки. Что бы удалить сервис UserGate из списка сервисов, необходимо запустить Старт менюàПрограммыàUserGate3àUninstall Service.
Клиентская часть UserGate реализована в виде UserGate Authentication Client, который устанавливается на компьютер пользователя и необходим для авторизации пользователей на сервере UserGate, если Вы хотите использовать авторизацию отличную от IP или IP+MAC авторизаций..
Подключения к Серверу учитываются считается по рабочим сессиям, одна рабочая сессия - это активный сеанс работы одного компьютера (пользователя) вне зависимости от количества клиентских приложений использующих Интернет(ICQ, Internet Explorer, MIRC и т.д.)
Все изменения сделанные в прграмме Administrator применяются либо сразу, либо после нажатия кнопки “Применить”, как реализовано в некоторых разделах, но не записываются в файл конфигурации. Для того, чтобы записать изменения в файл конфигурации, необходимо нажать кнопку Сохранить в закладке Настройка. В случае некорректно введенных данных можно загрузить последнюю конфигурацию при нажатии кнопки Перезапустить.
ПРИМЕР: Вы в закладке Настройки-> Правила внесли изменения в одно из правил, удалили 10 пользователей и создали две группы, но не сохранили в конфигурационный файл, так как все изменения приходят в действе сразу, после чего решили что нужно вернуть все старые настройки, вы нажимаете Перезапустить и все старые настройки подгружаются обратно.
Основные режимы работы
UserGate может использоваться для двух задач:
Контроля и мониторинга траффика пользователей в сети;
В качестве Firewall
Панель 'Настройка'
В закладке ’Настройка’ расположены 12 основных Каталогов
Общие – Общие настройки сети
Кэш – Правила работы с HTTP кэшем
Правила - Правила работы в Интернет(ограничения, black lists)
Тарифы – Тарифные планы
Группы – Группы пользователей
Пользователи - Пользователи
Родительский прокси – Доступ к родительскому прокси
Трансляция адресов – Настройка правил NAT
Автодозвон – Функция дозвона по Dial up соединению
Рассылка – Рассылка уведомлений для пользователей
Планировщик – Планировщик задач, выполняемых по расписанию.
Назначение портов – Настройка Port-mapping’а
Панель 'О программе'
Здесь можно зарегистрировать Вашу версию UserGate и получить доступ к веб-сайту разработчика, расположенного по адресу: http://www.usergate.ru
Панель 'Пользователи'
Позволяет посмотреть общую статистику по пользователям и группам и отслеживать проводить мониторинг за пользователями. Можно просматривать статистику за определенный промежуток времени (текущий месяц, день или произвольный период) и менять состояние баланса пользователя.
Есть возможность быстрого блокирования/разблокирования пользователей или группы с помощью клавиши
или нажав правой кнопкой мыши на выбранном пользователе или группе и выбрать Отключить, Изменения приводятся в действие сразу и тут же сохраняются в конфигурационном файле.Можно просматривать или изменять текущий баланс и в случае необходимости блокировать пользователей. Для изменения баланса пользователя, надо щелкнуть правой кнопкой по пользователю в списке и выбрать ‘Счет' или выбрать пользователя и нажать кнопку
.Можно изменять баланс пользователя, добавляя допустимый трафик, либо добавляя деньги, в условных единицах. Трафик можно добавить только в соответствии с тарифом пользователя, НАПРИМЕР, если у пользователя определен тариф 0.1 у.е. за мегабайт входящего трафика, а исходящий и почасовой трафик не учитывается, то поле МВ (отправка) будет недоступным. Таким образом, если в тарифе указаны нулевые значения во Входящем, Исходящем или Временном, то в «Пополнить счет» соответствующие поля будут не активизированы.
Если установить галочку ‘Записать данное количество на счет’, то счет пользователя будет перезаписан на новое значение у.е. Если галочка не установлена, то количество у.е. для пользователя будет добавлено к существующему остатку на счете.
Обновить статистику можно кнопкой Refresh
, или задать автоматическое обновление в поле «Обновлять каждые» и выбрать значение(5,2,1 минуты или 30,10 в секундах ).Панель ‘Соединения’
Здесь выводятся все клиенты, имеющие в настоящее время соединения с сервером. В строке указываются данные:
Информация о сессии
IP address клиента
Имя пользователя
Количество переданных/полученных байт
Информация о соединении
Тип соединения
Количество байт переданных/полученных
Адрес назначения(IP address, URL)
Просмотр статистики
Для просмотра нужной статистики удобно воспользоваться фильтром, который можно показать/скрыть кнопкой
. В фильтре нужно указать, за какой период времени Вам необходима статистика, по каким пользователям, за какие дни, и многое другое.Для удобства составления отчетной документации, полученную статистику можно экспортировать в Excel, нажав кнопку
.Просматривать статистику можно в Kb и Mb нажав соответствующие кнопки.
Публикация ресурсов
Здесь можно указать, к каким внутренним ресурсам, сервер UserGate будет предоставлять доступ из Интернет.
В этой закладке можно видеть стандартные элементы управления записями в списке ресурсов.
Для открытия доступа к какому-то ресурсу локальной сети пользователям извне нужно нажать кнопку «Добавить». Созданную запись можно будет отредактировать с помощью кнопки «Изменить» или удалить с помощью соответствующей кнопки.
Для добавления новой публикации, необходимо кликнуть кнопку «Добавить» и указать номер порта и протокол для внешнего сетевого интерфейса, подключенного в Интернет, а также порт и IP адрес компьютера во внутренней сети, куда будет предоставлен доступ. Например, если надо предоставить доступ к веб-серверу во внутренней сети, с адресом 192.168.123.45, то надо создать правило, пересылающее пакеты TCP с внешнего интерфейса (IP приемника) через внутренний (IP отправителя), порт 80 на адрес 192.168.123.45 порт 80.
Если номер порта этого сервиса на компьютере назначения такой же, на какой мы принимаем соединения извне, то можно не указывать этого специально. Достаточно установить ‘галочку’ «Same as source».
Так как ‘внешних’ пользователей авторизовывать на UserGate возможности нет, трафик, создаваемый через этот канал можно записать на какого-то конкретного пользователя. Для того, чтобы потом было проще разобраться с трафиком в статистике, рекомендуется создать виртуального пользователя, на которого будет записываться трафик.
Указывая в качестве порта ‘0’, можно перенаправить весь трафик (по всем портам протокола TCP или UDP) на определенный внутренний сервер.
Правила публикации применяются в порядке, в котором они расположены в списке. Если существует более чем одно правило на один и тот же порт на внешнем интерфейсе, то будет работать всегда правило, находящееся в списке выше. Для изменения порядка применения записей служат кнопки «Up» и
«Down».
Раздел ‘Автодозвон'
Для того, что бы сервер, в случае обращения к нему клиентов, автоматически дозванивался до Вашего интернет-провайдера, необходимо настроить автодозвон. Необходимо указать название соединения Dial-up (это соединение уже должно существовать – используйте средства Windows для его создания), имя пользователя и пароль для подключения к Вашему провайдеру Интернет.
Отключить при бездействии после - можно указать таймаут, по истечении которого, сервер будет разрывать соединение в случае отсутствия запросов в Интернет.
Количество попыток подключения – количество попыток дозвона до Интернет провайдера, в случае обрыва линии, загрузки линии провайдера и т.д.
Перезвонить при обрыве связи – возможность автоматически дозваниваться до Интернет провайдера в случае обрыва соединения из за помех в связи и т.д.
Отключить в случае закрытия программы – если в момент
закрытия программы (по желанию администратора) активно соединение,
указанное в "автодозвоне", то UserGate разорвет связь перед
закрытием.
Только если инициировано нами - связь прервется при закрытии
программы только если соединение было установлено UserGate'ом.
Раздел ‘Группы'
Группы служат для облегчения управления пользователями. Каждый пользователь в системе может относиться только к одной группе. Для группы можно настроить список правил, таким образом, все пользователи, входящие в группу, получат одинаковые настройки.
Можно добавлять новые, редактировать или удалять существующие группы. При создании группы, необходимо указать 'Имя группы', 'Тариф', который будет использован для тарификации и 'Список правил', которые будут применены ко всем пользователям этой группы. Список правил для работы по протоколу NAT (Network Address Translation) выделен в отдельное окно.
Указание тарифа для группы обязательно, если нет ни одного тарифа, добавить группу будет нельзя.
Если ваша компания пользуется Dial up соединением, вы можете запретить группе пользователей воспользоваться Dial Up соединением, нажав галочку Dialing disabled.
Раздел ‘Кэш'
Здесь указываются настройки кэша:
Кэш включен – включает кэширование объектов.
Кэшировать POST запросы- кэшировать запросы типа POST.
Кэшировать динамические объекты – кэшировть объекты, находящиеся в строке url после '?’.
Кэшировать cookies – включает/выключает кэширование cookies.
Считать трафик из кэш –
включает/выключает тарификацию трафика, полученного из кэш.
Настройки, контролирующие время жизни объекта в кэше:
Если кэшируемый объект явно имеет установленное время жизни, то UserGate использует это время. Иначе время жизни устанавливается как заданный процент с момента последнего изменения объекта -% от времени изменения, но не более чем время, установленное параметром 'но не более чем'. В случае, если UserGate не может установить время последней модификации объекта, то время жизни устанавливается равным параметру 'но не более чем'.
Место хранения - путь к каталогу, где будут храниться файлы кэша. В случае пустого поля используется папка ‘cache’ в каталоге, где установлен сервер UserGate.
Каталог можно выбрать только если вы запустили UserGate Administrator на том же компьютере, где установлен сервер UserGate.
Размер – максимальный размер кэша, в Мегабайтах.
Раздел ‘Назначение портов’
В этом разделе Администратор имеет возможность привязать любой выбранный порт одного из локальных Ethernet интерфейсов на нужный порт удалённого хоста.
Под списком назначений стандартный набор кнопок редактирования списка – «Добавить», «Изменить» и «Удалить».
При нажатии кнопки «Добавить» появляется окно редактирования маппинга. В левом верхнем углу нужно ввести имя записи. Рекомендуется назвать его согласно названию программы, которая будет работать через назначенный порт.
В поле «Интерфейс» выбирается из выпадающего списка IP адрес сетевого интерфейса, с которого будет работать переназначение. Обычно это IP адрес внутреннего сетевого интерфейса. Справа от этого поля указывается номер порта, который будет переназначен.
В поле «Адрес назначения» указывается адрес удалённого хоста из внешней сети, куда будут перенаправляться запросы, поступающие на порт, указанный справа от «Интерфейс». Также справа указывается номер порта, на который будут происходить подключения к «Адрес назначения». Этот порт может быть отличным от того, что указан для слушающего интерфейса.
В выпадающем списке нужно выбрать тип используемого протокола (TCP или UDP).
Тип авторизации для назначения порта может быть либо «По исходному IP-адресу» (по умолчанию), либо «Указанный пользователь». В первом случае трафик будет приписываться к пользователю в обычном порядке, т.е. точно также, как в случае работы с NAT или HTTP. В случае авторизации «Указанный пользователь» трафик будет автоматически приписываться к пользователю, выбранному в списке «Имя пользователя».
Рассмотрим настройку этой функции на примере.
Задача: настроить подключение абстрактной программы банк-клиент с удалённым сервером через назначение портов, уменьшив тем самым возможность использования порта для других целей.
Необходимые условия:
Известен IP адрес или имя сервера, к которому должно происходить подключение.
В настройках программы банк-клиент есть возможность указания адреса сервера, к которому нужно подключиться.
Известен номер порта и тип протокола (TCP или UDP) по которому работает программа.
Пошаговые действия:
1. Нажать кнопку «Добавить». После этого появится окно настроек нового правила маппинга.
2. Заполнить поле «Имя», назвав его таким образом ,чтобы его можно было легко узнать в списке. В данном случае это “Банк-клиент”
3. В разделе «Настройки» указать интерфейс, с которого будет прослушиваться порт, указанный в этой же строке справа. Из выпадающего списка выберите тот, который подключен к локальной сети. (в примере – 10.0.0.1, порт 1122)
4. В качестве адреса назначения укажите адрес сервера банка в том виде, в каком его предоставил банк. Порт должен быть таким же, какой указан в программе или в информации, предоставленной банком. В нашем случае это 1122.
5. В качестве используемого протокола нужно из выпадающего списка выбрать тип, соответствующий требованиям подключения программы. Обычно все программы банк-клиент работают по протоколу TCP.
6. В разделе «Настройка авторизации» нужно выбрать либо “По исходному IP-адресу”, либо “Указанный пользователь”. Во втором случае нужно будет в открывшемся поле указать имя конкретного пользователя.
В случае авторизации по исходному IP адресу трафик будет зачтен пользователю, который его реально породил. При авторизации маппинга на «Указанный пользователь» весь трафик, порожденный через этот маппинг, будет зачислен на одного конкретно выбранного пользователя. Например на бухгалтера, кроме которого программой банк-клиент пользоваться не будет.
7. Проверить правильность заполнения полей и нажать «Да», потом «Сохранить» для сохранения сделанных изменений.
8. Теперь в самой программе банк-клиент в качестве сервера банка нужно указать IP адрес внутреннего сетевого интерфейса компьютера с UserGate, в нашем случае это 10.0.0.1, и убедиться, что порт указан такой же, какой открыт для назначения на UserGate.
Раздел ‘Общие’
Здесь указываются основные настройки UserGate:
Кнопка Настройка портов:
Порты HTTP – порт на котором работает http-прокси. Можно указать несколько портов, разделенных точками с запятыми ';'.
Разрешить FTP – Разрешение работы FTP протокола и выбор порта на котором будет работать протокол.
Порт управления – порт для удаленного администрирования UserGate с помощью программы Administrator.
По умолчанию 2345.
Порт авторизации – порт, на который клиенты UserGate посылают данные для авторизации. По умолчанию используется порт 3456.
Доступ к базе данных -
DNS форвардинг – если включено, то сервер действует как DNS прокси. Все принятые запросы DNS (порт UDP 53) перенаправляются на указанный сервер.
Список интерфейсов – IP адреса сервера UserGate, на которых он обрабатывает (слушает) входящие запросы, каждый последующий вводится через точку с запятой «;».
Доступ Администратора – с помощью этой кнопки можно поменять имя учетной записи, пароль и порт для удаленного администрирования.
Раздел ‘Пользователи'
Здесь регистрируются все пользователи, которые будут использовать прокси-сервер в своей работе. Можно добавлять новых, удалять или модифицировать существующих пользователей. Кроме этого, можно импортировать пользователей из службы каталогов Active Directory(AD).
Импорт из AD – нажмите на кнопку Импорт, появиться диалог, после чего нажимаете на кнопку Get и выбираете пользователей, которых хотите завести.
После выбора нажимаете Submit и выбираете Общие Настройки Для Пользователей из AD.
При создании нового пользователя необходимо указать следующие параметры:
‘Name’ – имя пользователя, например Ivan Ivanov
‘E-mail’ – e-mail пользователя – параметр, нужный для доставки рассылки.
'Authentication type' – способ аутентификации пользователя. Может быть:
o Имя и пароль – необходимо указать 'Login' и 'Passsword', требуется установка Клиента Авторизации на рабочее место пользователя.
o IP address – авторизация по IP адресу. Необходимо указать IP адрес, не требуется установка клиента Аутентификации.
o IP+MAC address – авторизация по комбинации IP и MAC адресов, не требуется установка клиента Аутентификации.
o Active Directory – для авторизации необходимо указать 'Login', обязательно совпадающий с ‘User logon name’ в домене Active Directory. При авторизации, пользователь должен будет указать ‘Login’, ‘Domain’- имя домена Active Directory, ‘Password’ – пароль в Active Directory, требуется установка Аутентификации на рабочее место пользователя.
o AD Упрощенная - требуется установка Аутентификации на рабочее место пользователя.
o Windows logon - необходимо указать 'Login'. В случае совпадения ‘Login’ с именем пользователя, под которым он зарегистрирован на своем компьютере, авторизация считается успешной, требуется установка Аутентификации на рабочее место пользователя.
o HTTP авторизация – способ авторизации по имени и паролю, указываемому при подключении Интернет браузером. При авторизации таким способом, пользователь не может пользоваться NAT и назначением портов. При использовании данного типа авторизации необходимо в общих настройках выбрать предпочитаемый типа авторизации – HTTP авторизацию.
o Диапазон IP – Тоже, что IP авторизация, для случая, когда таких адресов несколько.
Speed limit – ограничение полосы пропускания для данного пользователя, в Килобайтах в секунду, 0 – отсутствие ограничения.
Tariff – тарифный план, применяемый к данному пользователю. Можно указать любой тариф, имеющийся в системе, либо, тариф группы, к которой принадлежит пользователь.
Group – указывается группа, к которой относится пользователь.
Account disabled – галочка, с помощью которой, можно отключить данного пользователя, не удаляя его из системы.
Select rules applicable to this user – список правил, которые будут применяться для данного пользователя. Правила, применяемые для группы, в которую входит пользователь, всегда отмечены, и их нельзя отменить.
Select NAT applicable to this user – список правил NAT, которые будут применяться для данного пользователя. Правила, применяемые для группы, в которую входит пользователь, всегда отмечены, и их нельзя отменить.
Dialing disabled – настройка, с помощью которой можно запретить пользоваться работать в сети через Dial Up соединение.
Раздел ‘Правила'
Раздел содержит все правила, имеющиеся в системе.
С помощью правил можно управлять тремя объектами – соединением и тарифом и
тарифицируемостью трафика.
Например, можно создать правило, которое будет изменять действующий тариф на более льготный в не рабочее время и праздничные дни. Или блокировать соединение с определенных IP адресов к определенным веб-ресурсам в рабочее время. Можно добавлять новые, удалять или изменять уже существующие правила. Для того, что бы созданное правило начало работать, его надо назначить пользователю или группе пользователей.
Для добавления нового правила нажимаем кнопку 'Добавить' и выбираем условия правила, при которых оно будет срабатывать.
Раздел ‘Рассылка’
Этот раздел настроек позволяет администратору настроить автоматическую рассылку статистики пользователям. Настраиваемые параметры разделены на две группы – Настройка подключения к почтовому серверу и содержимое полей From и Subject рассылаемого письма.
Настройка сервера – Здесь администратору достаточно указать адрес почтового сервера, через который будет происходить рассылка, в поле «SMTP сервер», номер порта SMTP, который будет использоваться и, если SMTP сервер требует авторизацию, указать имя пользователя и пароль. Для подключения с авторизацией необходимо поставить соответствующую “галочку”.
Параметры письма:
Поле ‘From’
– Укажите текст, который будет отображаться у пользователей в поле «Отправитель» в почтовой программе при получении почты. Значение по умолчанию – UserGate Administrator .
Поле ‘Subj’
– Тема письма в том виде, в каком она будет показываться у пользователей в почтовой программе. Значение по умолчанию – UserGate Statistic report.
Обратите внимание: UserGate не имеет встроенного почтового сервера. Поле ‘SMTP сервер’ по умолчанию имеет значение localhost . Для того, чтобы производить рассылку через localhost, необходимо иметь установленный почтовый сервер на этом же компьютере. В случае использования почтового сервера на localhost, рекомендуется использовать порт отличный от 25, так как 25-й порт может быть нужен для работы пользователей с внешними почтовыми серверами. Использование почтового сервера на компьютере с UserGate на порту № 25 TCP сделает невозможной работу по 25-му TCP порту через NAT.
Раздел ‘Родительский прокси'
В некоторых случаях целесообразно посылать все запросы на вышестоящий прокси-сервер, по умолчанию эта опция отключена. Для этого необходимо указать имя или IP адрес сервера, порт, и, возможно имя и пароль для авторизации на этом сервере.
Раздел ‘Тарифы'
Раздел содержит все тарифы, имеющиеся в системе.
Тарифы определяют стоимость входящего/исходящего трафика, а так же могут определять стоимость повременного соединения. Можно добавлять новые тарифы, редактировать или удалять старые. При создании нового тарифа, необходимо указать ‘Имя тарифа’ и стоимость трафика, либо стоимость за единицу времени.
Следует учесть, что временной тариф действует на все соединения Сессии. При срабатывании в правиле условия "Адреса IP", либо "Адреса HTTP" и заданном действии "сменить тариф", временной тариф не меняется, меняется только тариф за Мегабайт. Пример: Мы завели два тарифа со значениями Тариф(ТФ)№1 - $1 за mb и $2 hours, ТФ№2- $2 за mb и $3 hours. При срабатывании правила о посещении сайтов с содержанием XXX, тариф меняется на ТФ№2, в итоге тариф для данного соединения(сайт XXX) становится $2 за mb и $2 hours. Данное условие необходимо, так как, у Сессии может быть несколько соединений с ТФ№1
на которые ТФ№2 не распространяется.
Раздел ‘Трансляция адресов'
UserGate поддерживает протокол NAT (Network Address Translation). С помощью NAT можно предоставить доступ пользователям к ресурсам сети Интернет по протоколам, отличным от HTTP, а также предоставить пользователям Интернет доступ ко внутренним ресурсам компании, например, веб-серверу или почтовому серверу.
Включить NAT – включает/выключает поддержку NAT.
Socks прокси
Socks прокси полезен для работы программ, поддерживающих работу через протокол Socks5, например ICQ, mIRC. В настройках этого модуля кроме стандартных «Включить» и «Порт» можно также включать и настраивать каскадирование прокси Socks на внешнем (провайдерском) прокси сервере. Если каскадный прокси требует авторизации, то её параметры можно также указать в соответствующих полях.
Требования к системе
UserGate прокси сервер с поддержкой NAT (Network Address Translation) работает на операционных системах Windows 2000/2003/XP с установленным протоколом TCP/IP. Без поддержки протокола NAT Usergate способен работать на Windows95/98 и Windows NT 4.0.
Требования к аппаратному обеспечению:
Выделенный или слабо загруженный компьютер с минимальной конфигурацией PentiumII 400MHz, 64 RAM, 10 MB на жестком диске + место на диске для кэш и лог-файлов.
Закладка 'Адреса http’
Указываем список объектов, при обращении к которым правило будет срабатывать. Допустимо использование шаблонов:
‘*' – определяет все ресурсы;
‘*строка’- определяет все ресурсы, заканчивающиеся на 'строка';
‘*строка*’- определяет все ресурсы, внутри которой содержится 'строка';
‘строка*’- определяет все ресурсы, начинающиеся на 'строка';
При определении ресурса, можно указать 'Имя сервера' – будет проверяться на совпадение только имя сервера, например, www.lenta.ru, 'Адрес документа' – адрес документа на сервере, например, mideast/2004/22/22/intelligence/ или 'Строка целиком'- например, http://lenta.ru/mideast/2004/22/22/intelligence. Можно сделать импорт и экспорт Адресов.
Меню ввода HTTP адресов: вводите адрес, указываете куда добавить адрес Add to deny access list или Add to allow access list, после чего можно нажать на кнопку закрыть и добавить Add&Close, добавляется диапазон и окно закрывается или Add и продолжить редактирование ввода адресов.
Закладка ‘Адреса IP’
Указываете IP адреса источника и адрес назначения при которых будет срабатывать данное правило. ВАЖНО: Пустое поле равноценно любому адресу. Можно импортировать/экспортировать списки адресов с помощью кнопок ‘Импорт’ и ’Экспорт’. Галочка 'Инвертировать' меняет условие на противоположное.
Например, добавляем в адрес IP источника локальную подсеть – диапазон адресов с 192.168.1.0 по 192.168.1.255, а адрес назначения оставляем пустым – правило будет срабатывать всякий раз, когда пользователи из нашей локальной сети будут получать доступ к ресурсам Интернет. Другой пример: адрес источника оставляем пустым, а в адресе получателя ставим 10.1.1.1-10.1.1.1 и помечаем инвертировать. Правило будет срабатывать при подключении любого клиента на любой адрес, за исключением 10.1.1.1.
Меню ввода IP адресов: вводите диапазон адресов, указываете куда добавить данные адреса Add to sours rang или Add to destination range, после чего можно нажать на кнопку закрыть и добавить Add&Close, добавляется диапазон и окно закрывается или Add и продолжить редактирование ввода адресов.
Закладка ‘Общие’
Задаем имя правила и выбираем Объект и Действие на созданное правило. Для объекта типа ‘Тариф‘ устанавливается действие ‘Изменить на', с указанием нового тарифа, Пример: У провайдера два тарифных планах «Дневной» и «Ночной», дневной действует с 10 утра до 10 вечера, ночной с 10 вечера и до 10 утра. Вы создаете в Тарифах два тарифа «Дневной» и «Ночной», после чего заводите правило Non work hours, и устанавливаете объект Тариф изменить на и выбираете тариф «Дневной», далее идете в закладку Время и выделяете время каждый день недели с 10 утра до 10 вечера. В итоге при срабатывании этого правила у вас меняется тариф с Ночного на Дневной и наоборот.
Для объекта 'Соединение'
устанавливается действие 'Закрыть'. При срабатывании данного правила у вас закрывается соединение для пользователя или группы пользователей. ПРИМЕР: Вы заводите новое правило и называете его XXX, выбираете закладку HTTP и делаете импорт черных листов (сайты содержащие ненормативную лексику или фотографии). При попытке пользователя зайти на один из этих сайтов, соединение закрывается.
Для объекта ‘Трафик’ устанавливается действие ‘Не считать’. В качестве параметров можно указать список ресурсов или расписание, при работе с которыми трафик не будет учитываться. Обратите внимание: Если Вам нужно, чтобы трафик был бесплатным, но учитывалось количество мегабайт, то воспользуйтесь переключением тарифов.
Закладка 'Трафик'
Здесь можно указать объемы трафика (в мегабайтах) и время (в часах и минутах), в день или месяц, при превышении которых сработает данное правило. ВАЖНО: ‘0’ означает без ограничений. Пример: можно установить в месяц выкачать 900м а в день поставить 0, это будет означать что в день он сможет выкачать любой трафик до 900м и наоборот, в день ставим 10м, а в месяц 0, означает что он не сможет в день выкачать больше 10 м, а по месяцу не ограниченно, зависит от количества дней в месяце.
Время -
часы и минуты суммируются, к примеру, в часах в день пишем ограничение 7 и 30 минут, соответственно доступ для него открыт в течении 7ч30 мин.(при активной сессии) .
Закладка 'Время’
С помощью левой кнопки мыши помечаем синим цветом время, когда будет выполняться правило, в какие часы и по каким дням. Правой кнопкой мыши отменяем выделенное. Список праздников - отмечаем галочками праздничные дни, в которые правило будет выполняться круглосуточно. С помощью кнопок 'Добавить', 'Изменить', 'Удалить' можно редактировать список праздников в файле holidays.lst, который находиться в директории UserGate3.
Запуск ‘Usergate Administrator’
Что бы запустить UserGate Administrator необходимо в Старт меню выбрать ПрограммыàUsergate3àAdministrator.
После запуска необходимо правильно настроить Параметры подключения:
Имя сервера – имя DNS или IP адрес сервера Usergate 3.0, к которому вы хотите подключиться. Через двоеточие можно указать TCP порт доступа к серверу, если вы его поменяли со стандартного порта.
Имя – имя пользователя для авторизации. По умолчанию это Administrator.
Пароль – укажите пароль для выбранного пользователя. ВАЖНО: Если вы запустили UserGate Administrator в первый раз, то оставьте это поле пустым, далее после первого соединения вы сможете сменить Логин и Пароль в закладке Настройки-> Общие->Настроить доступ.
Как только вы указали параметры подключения, подключайтесь к серверу нажав на кнопку ”Подключиться”. В случае успешного соединения в окне ”История команд”, вы увидите ”Connected to имя_сервера”.
Вы можете установить галочку “Использовать эти параметры при следующем запуске” для автоматического подключения к серверу при следующем запуске UserGate Administrator. С помощью кнопки “Язык” можно выбрать язык, который будет использоваться в UserGate Administrator.
Любые изменения, сделанные в настройке UserGate, сразу же вступают в силу, но не сохраняются в конфигурационном файле. Для сохранения изменений, что бы при следующем запуске UserGate использовал обновленную конфигурацию, нажмите кнопку ‘Сохранить’. Если Вы поменяли конфигурацию, но еще не сохранили ее, файл конфигурации, можно загрузить предыдущие настройки, нажав на кнопку ‘Перезапустить’, это помогает при неверно введенных данных в настройках UserGate.
Все изменения, производимые в UserGate Administrator, можно посмотреть в окне ”История команд” в закладке 'Настройка'.
Запуск ‘Usergate Authentication Client’
UserGate поддерживает авторизацию пользователей по:
IP адресу;
Комбинации IP и MAC адреса
Имени и паролю пользователя;
Авторизация Windows logon;
Авторизация Active Directory;
Авторизаци AD упрощенная.
В случае авторизации по IP+MAC и IP адресу, UserGate идентифицирует клиента, проверяя его IP адрес, и в случае совпадения с адресом, указанным в настройках пользователя считает пользователя авторизованным. Для этого типа авторизации Usergate Authentication Client не используется.
Для других видов авторизации необходима установка Usergate Authentication Client. Для установки Usergate Authentication Client необходимо скопировать файл AuthClient.exe на компьютеры пользователей.
Что бы запустить Usergate Authentication Client необходимо в Старт меню выбрать ПрограммыàUsergate3àUsergate Authentication Client. Далее, необходимо выбрать тип авторизации. ВАЖНО: Тип авторизации, выбранный в Usergate Authentication Client должен совпадать с типом, установленным для пользователя с помощью Usergate Administrator.
Авторизация по имени и паролю пользователя:
В этом случае необходимо выбрать Local authorization, и указать имя пользователя и указать пароль с помощью кнопки Set PWD. Пароль можно сохранить в реестре, тогда его не надо будет вводить при следующем запуске Usergate Authentication Client.
Авторизация Windows:
Необходимо выбрать Current logged user. Тогда Usergate Authentication Client передает серверу UserGate имя пользователя, зарегистрированног в Windows. Предполагается, что пользователь уже успешно прошел авторизацию при входе в Windows.
Авторизация Active Directory:
Необходимо выбрать Active Directory и указать имя пользователя, название домена Active Directory и установить пароль с помощью кнопки SetPWD. Имя пользователя должно совпадать с именем пользователя в домене (User Logon Name) и с именем пользователя, указанным в настройках этого пользователя в UserGate. Пароль можно сохранить в реестре, установив галочку Store password in registry, что бы не приходилось его вводить при последующем запуске Usergate Authentication Client.