Роздати Інтернет співробітникам компанії і забезпечити його безперебійну роботу, захистити корпоративну інфраструктуру від атак хакерів, запобігти відвідування працівниками небезпечних або просто небажаних сайтів, вести облік трафіку і не допускати нецільового використання Глобальної мережі. Вирішення цих, а також цілого ряду інших завдань ще буквально десяток років тому було прерогативою лише досвідчених системних адміністраторів. Однак останнім часом навіть професійні рішення стають все простіше і простіше в налаштуванні і експлуатації. В результаті налаштувати доступ до Інтернету в локальній мережі сьогодні може будь-який початківець або навіть просто досвідчений користувач ПК. Це особливо актуально для малого бізнесу і всіляких бюджетних організацій (шкіл, лікарень, бібліотек та ін.), В яких системних адміністраторів немає взагалі. Або є приходить студент, який час від часу ходить і вирішує нагальні проблеми. Ну а щоб не бути голослівними, сьогодні ми розберемо, як налаштувати вихід в Інтернет співробітникам компанії за допомогою UserGate Proxy Firewall. Даний продукт відноситься до класу UTM-систем і дозволяє вирішити цілий спектр завдань, пов'язаних з підключенням робочих станцій локальної мережі до Інтернету та їх захистом від зовнішніх загроз. Для його налаштування досить загальних уявлень про принцип роботи проксі-серверів.
В першу чергу необхідно підготувати комп'ютер, на якому буде встановлено UserGate Proxy Firewall. Вимоги до нього залежать від того, скільки робочих станцій будуть підключені до проксі-сервера. Для невеликих мереж досить досить слабкою машини, обладнаної одноядерним процесором з частотою від 1 ГГц і 1 Гб оперативної пам'яті. У міру збільшення кількості робочих станцій зростає і навантаження на проксі-сервер (більш докладно про вимоги до ПК можна прочитати в документації до продукту). Але тут є один дуже важливий момент. Йдеться про кількість мережевих інтерфейсів. На комп'ютері для проксі-сервера повинні бути мінімум дві мережеві карти. Одна з них використовується для підключення до Інтернету, а друга - до локальної мережі. Причому якщо в компанії використовується кілька інтернет-каналів, то мережевих інтерфейсів повинно бути ще більше (по одному на кожен канал плюс один для локальної мережі).
Після підготовки комп'ютера можна приступати до установки UserGate Proxy Firewall. Сам процес інсталяції досить простий. Потрібно завантажити з офіційного сайту розробника дистрибутив, запустити його і пройти кілька кроків майстра установки. Більшість з них абсолютно звичайні. Виділяються тільки два. На одному потрібно вибрати компоненти для інсталяції. Зверніть увагу, що серед них є три антивіруса, встановлювати які має сенс тільки в тому випадку, якщо придбані відповідні ліцензії. Також можна інсталювати або НЕ інсталювати (в залежності від того, будуть чи ні використовуватися на даному комп'ютері) консоль адміністратора і модуль веб-статистики (забезпечує доступ користувачів до персональної статистикою). Інший незвичайний етап - вибір бази даних, в якій буде зберігатися вся інформація. Тут є два варіанти: Firebird і MySQL. Перший зручний тим, що СУБД входить в комплект поставки і встановлюється разом з UserGate Proxy Firewall, тобто додатково нічого налаштовувати не потрібно. Другий варіант потенційно володіє більшою продуктивністю і призначений для великих інсталяцій. Після завершення установки розглянутого рішення можна приступати до його налаштуванні.
Вибір компонентів для установки
Після реєстрації можна переходити безпосередньо до роботи з проксі-сервером. Перший етап - налаштування мережевих інтерфейсів. Виконується він у розділі "Сервер UserGate -> Інтерфейси". Список мережевих карт програма визначає автоматично. Користувачеві ж потрібно тільки вказати, який з інтерфейсів підключений до інтернет-каналу, а який - до локальної мережі. Для цього першим необхідно присвоїти статус WAN, а другого - LAN. Нагадаємо, що WAN-інтерфейсів може бути кілька. Така ситуація виникає в тих випадках, коли в компанії використовується кілька підключень до Інтернету. Причому одне з них можна вибрати в якості резервного. При цьому система буде автоматично перемикати на дане з'єднання всіх користувачів при "падінні" основного каналу і переходити в звичайний режим при його відновленні. Критерієм "падіння" є недоступність декількох довільних веб-проектів (наприклад, можна вказати найбільші сайти: пошукові системи та ін.).
Налаштування мережевих інтерфейсів
Тут треба зазначити, що в даному рішенні є ще один спосіб організації спільного використання одного підключення до Інтернету. Йдеться про так званої технології NAT. Для її застосування необхідно налаштувати спеціальні правила, відповідно до яких спеціальний драйвер буде перенаправляти запити від комп'ютерів користувачів на зовнішні сервери (веб-сервери, поштові та ін.) І назад. Однак такий варіант настройки більше підходить для середніх і великих мереж. Ну а оскільки ми сьогодні розглядаємо самостійне налаштування проксі-сервера в невеликих організаціях, то саме прозорі проксі є оптимальним рішенням.
Йдемо далі. Тепер необхідно налаштувати DNS. У нашому випадку найзручніше використовувати DNS-форвардного. Дана технологія забезпечує прийом запитів від користувачів та їх пересилання на сервер провайдера. Активувати її можна в розділі "Сервіси -> Налаштування DNS". До речі, при необхідності тут же можна вручну вказати DNS-сервери провайдера, на які будуть відправлятися запити користувачів (за замовчуванням використовуються сервери, задані в налаштуваннях мережевої карти).
Ну і, нарешті, останнє, що нам залишилося зробити для завершення основної настройки проксі-сервера, - додати інформацію про користувачів. Зробити це можна кількома способами. Перший з них - включити синхронізацію з Active Directory. Якщо в локальній мережі розгорнуть домен, то даний варіант, безумовно, є найзручнішим. При його використанні інформація про всіх знову додаються в домен користувачів буде автоматично копіюватися в UserGate Proxy Firewall. При цьому їм будуть призначатися всі необхідні права в залежності від групи, до якої вони належать. Якщо ж в компанії не використовується Active Directory, то додати користувачів можна вручну або шляхом сканування локальної мережі.
