بالإضافة إلى محاسبة حركة المرور، يتيح لك ICS الحد من الوصول إلى الإنترنت، كما يسمح لك بالتحكم الكامل في سرعة نقل البيانات. يعد هذا أحد أكثر الأنظمة فعالية التي تسمح لك بإدارة وصول مستخدمي شبكة الشركة إلى الإنترنت.
يعد تقييد الإنترنت إحدى المهام العاجلة عند إنشاء شبكة الشركة وصيانتها. ليس سراً أن موظفي المكاتب في كثير من الأحيان لا يستخدمون الوصول إلى الإنترنت لحل مشاكل العمل. ونتيجة لذلك، تنخفض إنتاجية العمل بشكل كبير، مما يعني تأثر كفاءة العمل.
ICS لديها إمكانيات واسعة، بما في ذلك إمكانية تقييد الوصول، كما يسمح لك بوضع قيود على حركة المرور على الإنترنت عن طريق IP أو عن طريق عناوين URL المحددة على الشبكة. قد تنطبق جميع القيود على فئات مختلفةومجموعات المستخدمين. وهذا يضمن الاستخدام الفعال لشبكة الشركة، مما يحسن الإنتاجية ويقلل أيضًا من تكلفة خدمات المزود.
من الممكن التحكم بسهولة في سرعة الإنترنت على شبكة شركتك من خلال استخدام الخادم الوكيل وجدار الحماية. وهذا يعطي الثقة التي يستخدمها جميع الموظفين شبكة الانترنتفقط لحل مشاكل العمل . ونتيجة لذلك، تزداد كفاءة المكاتب بشكل كبير وتزداد الأرباح.
بفضل استخدام ICS، يتم توفير التحكم المريح في وصول المستخدم إلى الإنترنت على شبكة الشركة، والتي يمكن تنفيذها بعدة طرق. يمكنك الحد من حركة المرور على الإنترنت باستخدام إعدادات مرنة. يتم تقديم الوظائف التالية:
وبالإضافة إلى ذلك، يتيح لك البرنامج تكوين طرق مختلفةتفويض. وبالتالي، يمكن تقييد الوصول إلى الإنترنت والتحكم فيه باستخدام الطرق التالية:
من الممكن توحيد مستخدمي الشبكة المحلية للمؤسسة في مجموعات اعتمادًا على أي خصائص، على سبيل المثال، الهيكل التنظيميوالواجبات الرسمية وما إلى ذلك. وهذا يزيد بشكل كبير من كفاءة التحكم في الوصول في الشبكات المحلية. ويمكن تعيين مسؤول منفصل لكل مجموعة من هذه المجموعات. يمكن أن يشمل التحكم في استخدام الإنترنت حظر أو تقييد الوصول بشكل منفصل لأي من المجموعات الموجودة مع القدرة على وضع قواعد مفصلة.
يمكن أيضًا توفير الوصول إلى الإنترنت للشركات الأخرى مع القدرة على وضع قيود معينة. في هذه الحالة، يمكن إنشاء مجموعة منفصلة لكل من هذه المؤسسات بكلمة مرور مقدمة إلى المسؤول الخاص بها. يمكن أن يسمى هذا نقل ICS افتراضي للاستخدام من قبل طرف ثالث.
من خلال شراء ICS، تحصل على خادم VPN جاهز يوفر لك الاتصال المكاتب البعيدةالشركات التي تستخدم نفقًا مشفرًا مع إمكانية التحكم في سرعة الإنترنت لكل منها. يتم توفير الاتصال بكفاءة كما لو كانت المكاتب البعيدة متصلة فعليًا بشبكة الشركة العامة.
يمكنك شراء ICS باستخدام نموذج الطلب على موقعنا.
تقدم شركتنا الدعم الفني النشط للعملاء في كافة المسائل المتعلقة باستخدام البرنامج. من خلال شراء ترخيص تحديث إضافي (Premium)، فإنك تضع كل المخاوف المتعلقة بتثبيت ICS وتكوينها وصيانتها في أيدي المتخصصين لدينا - الخيار الأمثللأولئك الذين يريدون الشراء والنسيان، مع الحصول على أقصى قدر من الفوائد من استخدام ICS. للحصول على أي نصيحة، يرجى الاتصال بقسم المبيعات.
تحتوي هذه المقالة على نظرة عامة خمسةخيارات لحل مشكلة تنظيم الوصول إلى خدمات شبكة الشركة من الإنترنت. توفر المراجعة تحليلاً لخيارات السلامة والجدوى، مما سيساعد المتخصصين المبتدئين والأكثر خبرة على فهم جوهر المشكلة وتحديث معارفهم وتنظيمها. يمكن استخدام المواد الواردة في المقالة لتبرير قرارات التصميم الخاصة بك.
عند النظر في الخيارات، لنأخذ كمثال الشبكة التي تريد النشر فيها:
يصل المضيفون إلى الإنترنت من خلال NAT، ويتمكنون من الوصول إلى الخدمات من الإنترنت من خلال إعادة توجيه المنفذ.
إيجابيات الخيار:
على سبيل المثال، خذ بعين الاعتبار خدمة البريد الإلكتروني الخاصة بالشركة والتي تخدم العملاء من داخل الشبكة ومن الإنترنت. يستخدم العملاء من الداخل POP3/SMTP، ويعمل العملاء من الإنترنت من خلال واجهة الويب. عادة، في مرحلة التنفيذ، تختار الشركات أبسط طريقة لنشر الخدمة ووضع جميع مكوناتها على خادم واحد. ثم، والحاجة إلى ضمان أمن المعلومات، يتم تقسيم وظيفة الخدمة إلى أجزاء، ويتم نقل الجزء المسؤول عن خدمة العملاء من الإنترنت (Front-End) إلى خادم منفصل، يتفاعل عبر الشبكة مع الخادم الذي ينفذ الوظائف المتبقية (العودة) -نهاية). في هذه الحالة، يتم وضع الواجهة الأمامية في المنطقة المجردة من السلاح، وتبقى الواجهة الخلفية في الجزء الداخلي. للتواصل بين الواجهة الأمامية والخلفية DFWإنشاء قاعدة تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.
مزايا الخيار:
في ظل هذه الظروف، تصبح العديد من الهجمات التي تم الحديث عنها سابقاً متاحة للمخالف، وأخطرها سيكون:
وبالتالي، فإننا نواجه مهمة حماية خوادم الشبكة الداخلية من هجمات الدخيل سواء من المنطقة المجردة من السلاح أو من الشبكة الداخلية (يمكن تفسير إصابة محطة العمل بفيروس طروادة على أنها تصرفات الدخيل من الشبكة الداخلية ).
يهدف النهج المقترح أدناه إلى تقليل عدد القنوات التي يمكن للمتسلل من خلالها مهاجمة الخوادم، وهناك قناتان على الأقل من هذه القنوات. الأول هو القاعدة DFW، مما يسمح بالوصول إلى خادم الشبكة الداخلية من المنطقة المجردة من السلاح (حتى لو كان مقيدًا بعناوين IP)، والثاني هو منفذ شبكة مفتوح على الخادم حيث يُتوقع طلبات الاتصال عليه.
يمكنك إغلاق هذه القنوات إذا قام خادم الشبكة الداخلية نفسه ببناء اتصالات بالخادم في المنطقة المجردة من السلاح ويقوم بذلك باستخدام بروتوكولات الشبكة الآمنة تشفيرًا. ثم لن يكون هناك أي منفذ مفتوح، لا توجد قواعد DFW.
لكن المشكلة هي أن خدمات الخادم العادية لا تعرف كيفية العمل بهذه الطريقة، ولتنفيذ هذا النهج من الضروري استخدام نفق الشبكة، الذي يتم تنفيذه، على سبيل المثال، مع باستخدام SSHأو VPN، وداخل الأنفاق تسمح بالاتصالات من الخادم الموجود في المنطقة المجردة من السلاح إلى خادم الشبكة الداخلية.
المخطط العاميبدو تشغيل هذا الخيار كما يلي:
أظهر استخدام هذا الخيار عمليًا أنه من الملائم إنشاء أنفاق شبكة باستخدام OpenVPN، نظرًا لأنه يتمتع بالخصائص المهمة التالية:
مزايا الخيار:
يحتاج عدد متزايد من الشركات اليوم إلى توصيل شبكات الكمبيوتر الخاصة بها بالإنترنت. عادة ما يكون مزود خدمة الإنترنت (ISP) مسؤولاً عن تشغيل قناة الوصول، ولكن يتعين على مسؤول النظام لشبكة الكمبيوتر الخاصة بالمؤسسة، حتى لو كانت مؤسسة صغيرة، حل عدد من المشكلات التنظيمية والتكنولوجية. في هذه المقالة لن ننظر خدمات بريديةوالاتصال الهاتفي عبر بروتوكول الإنترنت والشبكات الخاصة الافتراضية (VPN)، لكننا سنقتصر على الوصول إلى خدمات الويب وبروتوكول نقل الملفات المستندة إلى نظام التشغيل FreeBSD وخادم وكيل SQUID في شبكة الشركة التي تغطي ما يصل إلى 100 محطة عمل.
هناك طريقتان رئيسيتان لتزويد مستخدمي شبكة الشركة بإمكانية الوصول إلى خدمات الويب وFTP: من خلال التوجيه (البث) أو من خلال خادم وكيل.
في الحالة الأولى (الشكل 1)، يتم توفير الوصول عن طريق عنوان IP الخاص بالكمبيوتر الذي يعمل عليه الموظف. يمكن تنفيذ هذا المخطط بالكامل بناءً على حل برمجي - بوابة FreeBSD OS وجدار الحماية IPFW. بالإضافة إلى ذلك، هناك بوابات أجهزة وبرمجيات متخصصة معقدة. بالنسبة لمحطات العمل الطرفية، يعد تنظيم الوصول عن طريق عناوين IP مستحيلًا من الناحية الفنية، نظرًا لأنها جميعًا تستخدم نفس عنوان IP الخاص بالخادم الطرفي.
لتوصيل محطات عمل المستخدم بقناة الإنترنت، يتم استخدام بوابة على شكل خادم x86 مثبت عليه نظام تشغيل FreeBSD، وبرنامج NATD (يوفر ترجمة عناوين IP الداخلية إلى عنوان IP الحقيقي للخادم والعودة)، وIPFW ، تمكين التوجيه وواجهتين للشبكة: إحداهما "تنظر" نحو الشبكة المحلية، والأخرى متصلة بالمزود. على كل جهاز عميل في خصائص بروتوكول TCP/IP بطاقة الشبكةتحتاج إلى تسجيل عنوان IP الخاص بالبوابة.
وفي الحالة الثانية، يتم تفويض المستخدم باستخدام اسم الوصول (تسجيل الدخول) وكلمة المرور المخصصة للموظف. يمكن تنفيذ هذا الخيار، على وجه الخصوص، باستخدام خادم وكيل SQUID ونظام المصادقة ncsa_auth. دعونا نفكر الرسم البياني القياسي(الشكل 2)، حيث يتم تثبيت SQUID على بوابة الشبكة: "ينظر" الخادم إلى الشبكة المحلية بواجهة واحدة، ويتصل بقناة الإنترنت من خلال الواجهة الأخرى. باستخدام هذا الإعداد، لا يتطلب SQUID NATD أو التوجيه للعمل على الإنترنت (عبر HTTP وFTP وDNS) على الأجهزة الموجودة على الشبكة المحلية، نظرًا لأن SQUID يرسل جميع الطلبات إلى موارد الإنترنت "من نفسه" - باستخدام عنوان IP الواجهة الخارجيةبوابة. يمكن تعطيل خدمة DNS على أجهزة الكمبيوتر العميلة لأن SQUID نفسه يصل إلى DNS.
أرز. 2. الوصول إلى الإنترنت عبر خادم وكيل. |
عادةً، تستخدم شبكة الشركة البريد الإلكتروني وستظل بحاجة إلى التوجيه وNATD على البوابة لتشغيلها، ولكن بالنسبة لبريد الويب الذي يعمل عبر HTTP، يكون خادم وكيل SQUID كافيًا.
ينقل SQUID البيانات "التي تم تنزيلها" من الإنترنت إلى المستخدم ويخزنها في ذاكرة التخزين المؤقت الخاصة به. عند تكرار الطلب، يتم استرداد هذه البيانات من ذاكرة التخزين المؤقت (إذا كانت صفحة الويب تسمح بالتخزين المؤقت بالطبع)، وهو أسرع بكثير ولا يشغل قناة الوصول. الى جانب المزيد الاستخدام الفعال عرض النطاقالقناة، هناك أيضًا توفير في حجم حركة المرور (وفقًا للمؤلف، يبلغ متوسطه 13٪ شهريًا). قد يتم تحديث البيانات الموجودة في ذاكرة التخزين المؤقت اعتمادًا على إعدادات الخادم الوكيل نفسه. عند النقر فوق الزر "تحديث" الموجود على لوحة تحكم المتصفح، يقوم الخادم الوكيل بنسخ البيانات قسراً من خادم الويب، حتى لو كانت موجودة في ذاكرة التخزين المؤقت الخاصة به وليست قديمة (وفي نفس الوقت يقوم بتحديثها في ذاكرة التخزين المؤقت ). ولكن يتم وضع علامة على بعض الصفحات الموجودة على مواقع الويب على أنها غير قابلة للتخزين المؤقت، على سبيل المثال، لأغراض زيادة الملاءمة.
بالإضافة إلى الوصول نفسه، يحتاج مسؤول النظام أيضًا إلى حل مشكلات ترخيص الوصول، وحساب حركة المرور ووقت المستخدم على الإنترنت، وضمان أمان الشبكة المحلية للمؤسسة. ومن الضروري أيضًا تحديد قواعد توزيع النطاق الترددي لقناة الإنترنت بين مستخدمي الشبكة وقواعد الوصول إلى موارد الإنترنت؛ قد تحتاج إلى وضع قيود أخرى على المستخدمين.
كل هذه الإجراءات، اعتمادًا على نوع الوصول المعتمد (عن طريق عنوان IP أو من خلال خادم وكيل)، لها خصائصها الخاصة.
لا توفر المصادقة باستخدام عنوان IP الخاص بجهاز الكمبيوتر حماية بكلمة مرور للوصول إلى الإنترنت. معرفة المستخدمين كلمات المرور للوصول بيئة العمليمكن تشغيل أنظمة التشغيل الخاصة بأجهزة المؤسسات الأخرى على أجهزة كمبيوتر مختلفة. لذلك، إذا كان العديد من الموظفين يستخدمون جهاز كمبيوتر واحد للعمل على الإنترنت، فمن المستحيل فصل حركة المرور الخاصة بهم عند المحاسبة.
هناك خيار لتزييف عنوان IP؛ ومع ذلك، هناك أيضًا إجراء مضاد - جدول ARP ثابت (بروتوكول تحليل العنوان - بروتوكول لتحويل عناوين IP إلى عناوين MAC / عناوين الأجهزة لبطاقات الشبكة) على البوابة، حيث تتم المراسلات بين عنوان IP وعنوان MAC الخاص بالشبكة تم تسجيل بطاقة الشبكة محطة العمل. بشكل عام، لا تتمتع مصادقة IP بالمرونة والموثوقية الكافية وتسمح فقط بحساب الحجم الإجمالي لحركة المرور.
في حالة وجود خادم وكيل، يتم تعيين زوج تعريف لمستخدمي شبكة الشركة الذين حصلوا على إذن للوصول إلى الإنترنت (HTTP، FTP، ICQ): تسجيل الدخول وكلمة المرور. يسمح هذا المخطط أيضًا لمستخدمين مختلفين بالوصول إلى الإنترنت من جهاز كمبيوتر واحد (الشيء الرئيسي هو أن معلمات الخادم الوكيل محددة في برامج العميل). سيتم الاحتفاظ بتسجيل حركة المرور لكل مستخدم (تسجيل الدخول) على حدة. يتم توفير المصادقة الخادم الوكيل SQUIDيعمل بنظام التشغيل FreeBSD، ويقوم النظام الفرعي لبرنامج ncsa_auth بتخزين كلمات المرور بتنسيق MD5 المشفر. يمكن لـ SQUID استخدام آليات مصادقة خارجية مختلفة.
يجب أن يكون العمل على الإنترنت من خلال خادم وكيل مدعومًا بواسطة برنامج العميل: تحدد إعداداته عنوان DNS أو IP الخاص بالخادم الوكيل، بالإضافة إلى منفذ TCP الخاص به. الجميع المتصفحات الحديثةودعم عميل ICQ يعمل من خلال خادم وكيل والمصادقة عليه. يمكن أن تحدث المصادقة في كل مرة تقوم فيها بالاتصال (يُطلب اسم مستخدم وكلمة مرور) أو تكون دائمة (لا تتطلب إدخال اسم مستخدم وكلمة مرور، ولكن يتم تحديد اسم مستخدم من قائمة مصادقة الخادم الوكيل وكلمة مرور في إعدادات برنامج العميل). تتم المصادقة مرة واحدة وتكون صالحة حتى يتم إغلاق برنامج العميل. عند الانتهاء من تصفح الإنترنت، يقوم المستخدم ببساطة بإغلاق المتصفح وبالتالي إنهاء الجلسة المسموح بها.
يتم إجراء حساب حركة المرور لعناوين IP الخاصة بمحطات العمل باستخدام IPFW، وهو جدار حماية برمجي مدمج في نواة نظام التشغيل FreeBSD. لحساب حركة المستخدم بشكل موثوق باستخدام نظام الوصول هذا، يجب على الموظفين الوصول إلى الإنترنت فقط من محطات العمل المخصصة لهم، مما يحد بشكل طبيعي من مرونة عملهم وتنقله.
ومع ذلك، فإن هذا النهج له أيضا ميزته - حساب أكثر دقة للحجم الإجمالي لحركة المرور عبر بروتوكول IP. يتم تنفيذ هذا الإجراء عن طريق تعيين قاعدتي COUNT لجدار الحماية IPFW:
عد IP من أي إلى أي عبر de0 عد IP من أي إلى أي خارج عبر de0
القاعدة الأولى تأخذ في الاعتبار التدفق الوارد، والثانية - التدفق الصادر. هنا de0 هي واجهة الشبكة الخارجية للبوابة، والتي لها عنوان IP حقيقي على الإنترنت. في الوقت نفسه، مع هذا المخطط، من المستحيل تسجيل أسماء الموارد التي زارها المستخدمون، وكذلك أسماء وأحجام الملفات التي تم تنزيلها.
عند استخدام خادم وكيل، يتم تسجيل حركة المرور باستخدام بروتوكول HTTP، ويكون حجم هذه البيانات أقل من حجم حركة مرور IP. ولكن عند المصادقة من قبل المستخدم، يقوم SQUID بتسجيل جميع البيانات المتعلقة بالطلبات (عناوين DNS للمواقع، وقت استلام الطلب، حجم الملفات التي تم تنزيلها، المصدر - ذاكرة التخزين المؤقت لـ SQUID أو الإنترنت) في السجل لكل مستخدم، بغض النظر عن عنوان IP الخاص به آلة العميل.
يعد توصيل قناة إنترنت فعلية مباشرةً بشبكة الشركة بمثابة نقل أماكن عمل مؤسستك إلى منطقة مزدحمة. كقاعدة عامة، تعد المعلومات المتداولة على الشبكة المحلية أمرًا بالغ الأهمية لتشغيل المؤسسة، كما أن التأثيرات الضارة للفيروسات (على سبيل المثال، فيروسات البريد الإلكتروني)، أو الهجوم من الخارج، أو تسرب البيانات من الداخل يمكن أن تعطل عملها تمامًا .
لا يمكن الاستهانة بالآثار الضارة للفيروسات، ولكن حل هذه المشكلة يعتمد بنسبة 90% على وعي المستخدمين - ما إذا كان شخص ما سيطلق فيروسًا مرفقًا برسالة بريد إلكتروني. هجمات الفيروساتيمكن حظرها وتنعكس برامج مكافحة الفيروساتعلى خوادم البريد(Dr.Web، وMcAfee، و"Kaspersky Anti-Virus Business Optimal"، وما إلى ذلك) وعلى أجهزة كمبيوتر المستخدمين ( نورتون مكافحة الفيروسات، منتجات Kaspersky Lab المقابلة، وما إلى ذلك). الشيء الرئيسي هنا هو التحديث في الوقت المناسبقواعد بيانات مكافحة الفيروسات.
يتم حظر الهجمات من الخارج، اعتمادًا على كيفية تنظيم الاتصال، من خلال التكوين الصحيح للبوابة، واستخدام خادم وكيل على البوابة بدون NAT والتوجيه، بالإضافة إلى نقل الخادم الوكيل والبريد وخادم الويب إلى " المنطقة منزوعة السلاح" (DMZ، شبكة فرعية من شبكات الشركات التي يمكن الوصول إليها من خلال الإنترنت).
تعتبر تسريبات بيانات الشركات ذات طبيعة تنظيمية بشكل أساسي وتشكل المشكلة الأكثر صعوبة بالنسبة لخدمة أمان المؤسسة. يخرج الحلول التقنية، مما يقلل من احتمال حدوث ذلك: على وجه الخصوص، إغلاق جميع منافذ TCP/UDP الموجودة على واجهة البوابة التي "تبدو" في الشبكة المحلية (يبقى منفذ الخادم الوكيل فقط). يجب تعطيل التوجيه وترجمة العناوين (NAT) بين الإنترنت وعناوين IP الداخلية ("الرمادية") لشبكة المؤسسة.
يتم استخدام التدابير المدرجة عند تثبيت خادم وكيل على البوابة، ولكن النظام الذي يحتوي على خادم وكيل موجود في المنطقة المجردة من السلاح يعتبر أكثر أمانًا.
معظم حماية كاملةيوفر الفصل المادي لشبكة الشركة المحلية والإنترنت. في هذه الحالة، تنظم المؤسسة شبكة الكمبيوترللعمل على شبكة الإنترنت، غير متصل بالشبكة المحلية عن طريق قنوات نقل المعلومات. يتم نقل البيانات التي يجب إرسالها عبر البريد الإلكتروني إلى الوسائط القابلة للإزالة(مثل الأقراص المضغوطة) التي يتم فحصها بواسطة خدمة أمنية وتشفيرها، على سبيل المثال، باستخدام PGP - برنامج مجانيتشفير رسائل البريد الإلكتروني والملفات.
بالنسبة لنظام الوصول إلى IP، يمكن تنفيذ تقسيم عرض النطاق الترددي للقناة بين المستخدمين باستخدام أنابيب جدار الحماية IPFW لنظام التشغيل FreeBSD، وفي حالة خادم وكيل SQUID، يمكن استخدام آلية تأخير_تجمعاته.
يحدد الخادم حجم الملف الذي يطلبه المستخدم، وإذا كان هذا الحجم لا يتجاوز القيمة المحددة، يتم تنزيل الملف إلى الحد الأقصى السرعة الممكنة. وفي حالة وجود ملف أكبر، يتم نقله بالملف المحدد سرعة محدودة. لا تنطبق هذه الآلية على جميع المستخدمين، ولكن فقط على أولئك المدرجين في قوائم ACL (قائمة التحكم في الوصول - مجموعة محددة من الكائنات التي يمكن تطبيق قيود مختلفة عليها)، مما يسمح لك بتكوين أولويات العمل لمجموعات المستخدمين المختلفة بمرونة شديدة.
وفي الوقت نفسه، إذا كان في هذه اللحظةهناك مستخدم واحد فقط قيد التشغيل، وسيظل خاضعًا لحدود السرعة عند تنزيل الملفات الكبيرة. يسمح IPFW، على عكس Delay_pools في SQUID، بتنفيذ تقسيم القناة الديناميكي.
بالنسبة لنظام IP، تكون القيود ممكنة فقط على عناوين IP الخاصة بالخادم ومنافذ TCP/UDP. هذا أمر غير مريح لأن آلية المضيفين الظاهريين لخادم الويب Apache المستندة إلى بروتوكول HTTP v1.1 أصبحت شائعة اليوم، عندما يخدم خادم ويب واحد بعنوان IP واحد العديد من المواقع بأسماء DNS مختلفة.
على العكس من ذلك، يوفر SQUID آليات مرنة للغاية لإدارة وصول المستخدم إلى موارد الإنترنت باستخدام قوائم ACL. قد يكون هذا، على سبيل المثال، الوصول إلى وقت محدد، يوم من الأسبوع، الشهر؛ إذن/حظر النسخ أنواع معينةالملفات، إذن/رفض الوصول إلى مورد يحتوي اسمه على كلمة رئيسية معينة.
دور البوابة هو جهاز كمبيوتر مزود بواجهتين للشبكة (أحدهما متصل بالإنترنت وله عنوان IP حقيقي، والآخر "ينظر" إلى شبكة الشركة ويتم تحديده من خلال عنوان IP الخاص بشبكته الفرعية)، حيث تم تثبيت نظام التشغيل FreeBSD (http://www.freebsd.org). يعد FreeBSD سهل الإعداد وموثوقًا ومجانيًا ويحتوي على كل ما قد تحتاج إليه تقريبًا خادم الشبكةنطاق المؤسسة.
عملية تثبيت نظام التشغيل FreeBSD، وتكوين واجهات الشبكة، وتشغيل وتكوين IPFW، وNATD، والتوجيه - بشكل عام، كل ما هو ضروري لتكوين بوابة الوصول إلى الإنترنت (سواء عبر IP أو باستخدام خادم وكيل SQUID، باستثناء تكوين SQUID نفسه) تم وصفه بالتفصيل في كتاب من تأليف M. Eben وB. Tyman "FreeBSD. موسوعة المستخدم" (كييف: Diasoft، 2003).
بالنسبة لكلا الخيارين لتنظيم الوصول إلى الإنترنت، يجب عليك تكوين برنامج IPFW. يقوم IPFW بتصفية وحساب حزم IP على كافة واجهات الشبكة. يقوم البرنامج أيضًا بمعالجة الحزم على مستويات أعلى: UDP وTCP وICMP. بالإضافة إلى ذلك، تشارك IPFW في أعمال NATD. يوصي المؤلف عند إعداد قواعد ipfw، باستخدام الأداة المساعدة trafshow للتحكم في المكالمات من وإلى الشبكة على جميع الواجهات، مع الإشارة إلى عناوين IP آلات خارجيةوالبروتوكولات والمنافذ في الوقت الحقيقي. فريق
Trafshow -i fxp0 -n
يضبط عرض الحزم على واجهة fxp0 مع أرقام المنافذ والأمر
Ipfw - قائمة
يعرض قواعد ipfw وعدد الحزم وحجم حركة المرور (بالبايت) التي مرت منذ تشغيل الخادم أو آخر مرة تمت فيها إعادة تعيين عدادات القاعدة.
خادم وكيل SQUID للتخزين المؤقت (http://www.squid-cache.org) قيد التشغيل منصة يونكسهو برنامج مجاني ومفتوح المصدر. إنه سهل التكوين، وموثق جيدًا، وموزع على نطاق واسع، ويتكامل بسهولة مع نظام التشغيل FreeBSD. SQUID يسمح لك بالتنظيم أنواع مختلفةالمصادقة عند الوصول إلى الإنترنت، تحد من الوصول بواسطة أي معلمة (اسم المجال، الكلمة الرئيسية في العنوان، البروتوكول، وما إلى ذلك) بناءً على قوائم ACL.
عند استخدام SQUID على بوابة، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى العناوين الخارجية (والعكس صحيح) والسماح بالوصول من الشبكة المحلية فقط إلى منفذ الخادم الوكيل على واجهته المحلية. يجب أيضًا تعطيل NAT والتوجيه على البوابة، إذا لم تكن هناك حاجة إليها لـ SMTP أو خدمات أخرى.
يتم التثبيت من منافذ نظام التشغيل FreeBSD (في الإصدار 4.9، النسخة الحالية 4.10) /usr/ports/www/squid (الإصدار 2.5 STABLE3) أو /usr/ports/www/squid24 (STABLE7). يجب أن تكون الخيارات الضرورية بدون تعليق في ملف Makefile. الخيارات الموصى بها: CONFIGURE_ARGS+= -enable-delay-pools (لتمكين آلية تخصيص النطاق الترددي)؛ CONFIGURE_ARGS+= -enable-err-language=روسي-1251 (للتشخيصات باللغة الروسية) بعد المنشآت الحبارفمن الضروري تثبيت نظام الترخيص نفسه. ها النصوص المصدريةالموجودة في ملفات SQUID: /usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA مثال عملي لنص squid.conf Icp_port 0client_netmask 255.255.255.0 Authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd Authenticate_children 20 مرجع_عمر أسبوعين ACL all src 0.0.0.0/0.0.0.0 Acl manager proto Cache_object Acl localhost src 127.0.0 1 /255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https,snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 10 . 25-65 535# منافذ غير مسجلة acl منفذ Safe_ports 280 # http-mgmt acl منفذ Safe_ports 488 # gss-http acl منفذ Safe_ports 591 # filemaker acl منفذ Safe_ports 777 # طريقة ربط http acl CONNECT CONNECT acl Inet_users proxy_auth "/usr/local/etc/squid_users" تأخير_تجمعات 1 تأخير_فئة 1 2 تأخير_معلمات 1 7500/7500 1875/1875 تأخير_الوصول 1 السماح لمستخدمي Inet_users تأخير_الوصول 1 رفض الكل http_access السماح للمدير المضيف المحلي http_access رفض المدير http_access رفض !Safe_ports http_access Den CONNECT !SSL_ports http_access السماح Inet_users http_access رفض الكل |
بعد تثبيت SQUID ونظام الترخيص الخاص به وتكوينه وتشغيله، يمكن للمسؤول فقط إضافة المستخدمين وإزالتهم. يكفي إنشاء بيانات المستخدم فقط في SQUID، نظرًا لأنها لا تقع ضمن بيئة نظام تشغيل الخادم الوكيل، وبالتالي ليست هناك حاجة لإنشاء بيانات تعريف مستخدم نظام التشغيل. بعد إجراء تغييرات على squid.conf أو إضافة/إزالة مستخدمين، يجب على SQUID إعادة قراءة التكوين الخاص به دون إغلاق جلسات المستخدم الحالية باستخدام الأمر
إعادة تكوين الحبار -k.
عند إنشاء مستخدم SQUID باستخدام ncsa_auth، يجب عليك تحديد تسجيل دخول المستخدم وكلمة المرور في ملفين للتكوين؛ في مثالنا سيبدو هكذا:
/usr/local/etc/squid_users /usr/local/etc/passwd
يضيف الملف الأول ببساطة اسم المستخدم (تسجيل الدخول) باستخدام خط جديدباستخدام محرر النصوص. يقوم الملف الثاني بتخزين كلمات مرور المستخدم (في MD5)، ويمكنك فقط إضافة حساب إلى هذا الملف باستخدام الأداة المساعدة htpasswd التي تأتي مع خادم الويب Apache.
من الضروري مراقبة محتويات ذاكرة التخزين المؤقت لـ SQUID ومسحها بشكل دوري لتجنب تجاوز السعة نظام الملفات- باستخدام الأمر الحبار -Z.
في إعدادات العميل في خصائص المتصفحات وعملاء ICQ، يجب عليك تحديد عنوان IP للخادم الوكيل والمنفذ. في مثالنا، هذا هو IP:192.168.1.8 والمنفذ 3128 (يتم استخدام هذا المنفذ افتراضيًا). لو برنامج اي سي كيوتم تكوينه للعمل من خلال خادم وكيل، فهو يستخدم منفذ TCP رقم 443، وليس منفذ TCP رقم 5190 لخوادم ICQ، والذي يجب أيضًا أخذه في الاعتبار عند تكوين جدران الحماية. عند استخدام SQUID، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى منفذ TCP رقم 80 لخوادم الإنترنت. يمكنك بشكل عام السماح بالوصول فقط إلى منفذ الخادم الوكيل، وإغلاقه أمام جميع الآخرين، باستثناء البريد، حتى لا يذهب المستخدمون "المتقدمون" إلى الإنترنت متجاوزين SQUID.
يمكنك التعرف على تعقيدات إعداد SQUID على موقع الويب http://www.bog.pp.ru/work/squid.html.
ولهذا الغرض، يتم استخدام برنامج المحلل المجاني مفتوح المصدر SARG (). نتيجة عمله هي صفحات HTML التي تعرض جميع أنواع البيانات الإحصائية حول عمل المستخدمين على الإنترنت. يتم تحليل فترة السجل بأكملها، لذلك يكون من الملائم أكثر عمل الشرائح اللازمة في نهاية الشهر، ثم مسح سجل SQUID باستخدام أمر access.log.
هناك نوعان من التخفيضات المطلوبة في أغلب الأحيان. أولا، توزيع حجم المعلومات التي تم تنزيلها من الإنترنت من قبل المستخدم، وعادة ما يتم فرزها بترتيب تنازلي للحجم (الشكل 3). وفي نفس الوقت يتم إصداره أيضًا معلومات كميةحول كفاءة التخزين المؤقت. يتيح لك هذا المقطع العرضي تحليل حجم العمل على الإنترنت ككل وتصنيف المستخدمين حسب نشاط عملهم على الإنترنت.
تعرض الشريحة الشعبية الثانية المحملة مستخدم محددالمعلومات الموجودة على المواقع (الشكل 4)، مرتبة أيضًا بترتيب تنازلي لحجم البيانات. تتيح لك هذه الشريحة استخلاص المعلومات من المستخدم على الإنترنت ومعرفة ما إذا كانت المواقع الأكثر طلبًا تتوافق مع المسؤوليات الوظيفية للموظف.
لقد نظرنا في خيارين للتنظيم اتصال دائمشبكة الشركة إلى الإنترنت.
الخيار "استنادًا إلى عناوين IP لأجهزة كمبيوتر المستخدم التي تستخدم قواعد IPFW" له العيوب التالية. أولا، من المستحيل التحقق من مدى ملاءمة عمل المستخدم على الإنترنت، حيث أن IPFW يحسب فقط إجمالي حركة المرور لكل قاعدة موصوفة لجهاز معين، ولا يتتبع المواقع التي تمت زيارتها. ثانياً، من المستحيل السماح لمستخدم يعمل حالياً على الإنترنت. وهذا مهم بشكل خاص إذا كان الجهاز "مشتركًا" بين عدة مستخدمين. وأخيرًا، من الممكن للمستخدم انتحال عنوان IP.
بالإضافة إلى ذلك، إذا كنت تستخدم خادمًا طرفيًا، فمن المستحيل مراعاة حركة المرور مستخدمين مختلفين، نظرًا لأنها تعمل جميعًا من نفس عنوان IP للخادم الطرفي.
تعكس العيوب المدرجة ببساطة القيود المفروضة على المحاسبة وإدارة حركة المرور من خلال عناوين IP ونظام المحاسبة IPFW. ليس المقصود من IPFW قياس حركة مرور أجهزة المستخدم بشكل مباشر؛ بل هو أداة لحساب حركة مرور القناة.
يتم توفير حل كامل وكامل للمشكلة من خلال نظام يستخدم بوابة مع نظام التشغيل FreeBSD وجدار حماية IPFW تم تكوينه وخادم وكيل SQUID مثبت عليه مع تمكين مصادقة ncsa_auth. يتيح لك استخدام خادم وكيل للتخزين المؤقت في شبكة الشركة توفير ما يصل إلى 10% من الدفع مقابل حركة المرور الشهرية وتسريع عملية تحميل الموارد التي تمت زيارتها بشكل متكرر بشكل كبير.
جميع البرامج المستخدمة في هذا الحل مجانية. تكاليف دعمه ضئيلة، وكما تظهر الممارسة، فإن نظام FreeBSD+SQUID موثوق به تمامًا.
نظام SQUID بفضل مرونة التكوين وتوافر واجهات الاتصال وحدات خارجيةالمقاييس جيدا. الخطأ في حساب حركة مرور HTTP مقارنةً بـ IP، المتأصل في SQUID، ليس أساسيًا؛ والأهم من ذلك هو أنه من الممكن تنظيم مراقبة كمية ونوعية موثوقة لعمل المستخدمين على الإنترنت باستخدام بروتوكولات HTTPوHTTPS وFTP والتمييز بين حقوق الوصول والأولويات.
الخادم الوكيل قادر على العمل على جهاز منخفض الطاقة إلى حد ما، على سبيل المثال، مع معالج سيليرونتردد 1 جيجا هرتز وذاكرة 128 ميجا بايت و قرص صلب 20 جيجابايت (يتم تشغيل هذا التكوين حاليًا في مؤسستنا، ويخدم 30 مستخدمًا)، ويمكن أداء دور بوابة الوصول إلى IP (FreeBSD، IPFW، NATD) بواسطة كمبيوتر Pentium بسرعة 166 ميجاهرتز وذاكرة تبلغ 128 ميجابايت.
تدعم بوابة المدرسة إدارة الوصول إلى الإنترنت.
تتم الإدارة من خلال التكامل مع خادم وكيل Squid.
لتغيير حقوق الوصول، انتقل إلى القائمة: الخدمة → الوصول إلى الإنترنت....
هذا الإجراء متاح فقط لممثلي إدارة المدرسة.
لمنح حق الوصول إلى الإنترنت، ما عليك سوى تحديد المربع المجاور لاسم المستخدم (الطالب، المعلم)، أو الفصل بأكمله. لإلغاء الوصول، تحتاج إلى إلغاء تحديد المربع. يتم تطبيق التغييرات بعد النقر على الزر "حفظ".
لكي يتمكن جهاز موجود على الشبكة المحلية من الوصول إلى الإنترنت، مسترشدًا بالإذن الذي تم تكوينه في البوابة، تحتاج إلى تكوينه لاستخدام خادم وكيل.
عنوان الخادم الوكيل هو عنوان خادم مدرستك على الشبكة المحلية حيث تم تثبيت School Portal. منفذ الوكيل - 3128 .
عندما يصل المستخدم إلى الإنترنت من خلال خادم وكيل، سيُطلب تسجيل الدخول وكلمة المرور من بوابة المدرسة.
لمنع الوصول إلى الإنترنت بشكل موثوق من خلال تجاوز الخادم الوكيل، يجدر التحقق من أن خادم المدرسة لا يوفر توجيه الإنترنت إلى الأجهزة محل الاهتمام، وكذلك أن الأجهزة لا يمكنها الوصول من خلال محول أو مودم أو جهاز توجيه أو شبكة Wi-Fi. Fi وغيرها من المعدات الخاصة بالمؤسسة التعليمية، والتي يمكن للموظفين والطلاب الوصول إليها بالشبكة.
يتم دعم كل من غياب SCF والتكامل مع مقدمي الخدمة المتعددين.
يقع إعداد SCF في العمود الأيسر من صفحة إدارة الوصول إلى الإنترنت.
تتطلب بعض الصناديق التعليمية التسجيل لإدارة قوائم الموارد المحظورة (على سبيل المثال، الشبكات الاجتماعية، والمواد الفاحشة، ومجموعات الملخصات، وما إلى ذلك). يتم تغيير هذه الإعدادات في واجهات الويب على موقع SCF نفسه، وليس في البوابة. يتم توفير دعم المستخدم بشأن مشكلات جودة الترشيح من خلال المؤسسة التي تخدم SCF. تسمح لك البوابة فقط بتمكين أو تعطيل إرسال الاستعلامات إلى خوادم SCF DNS من خادم وكيل المدرسة وليس أكثر.
ينطبق SCF، المماثل للوصول إلى الإنترنت، فقط على الأجهزة التي تم تكوينها بشكل صارم من خلال خادم وكيل المدرسة.
مهم! يجب التحقق من تشغيل SCF بعد التشغيل وفقًا لتوقعاتك، حيث لا يمكن للبوابة التحقق من ذلك تلقائيًا نيابةً عنك. قد يتم تغيير الشروط والأحكام الخاصة بتوفير SCF من قبل الشركات المصنعة لها في أي وقت. يجدر الاشتراك في الأخبار من الخدمة التي تستخدمها.
يتم توفير عمليات التحقق والإجراءات في هذا الجزء من المقالة فقط من أجل خادم أوبونتو 10.04 إل تي إس:
يجب تنفيذ كافة الإجراءات كمستخدم الجذر.
1. هل الحبار مثبت؟
Dpkg -s Squid3 | grep -i الإصدار
إذا لم يكن الأمر كذلك، قم بتثبيت:
Apt-get install Squid3
2. هل هذه المعلمات موجودة في ملف تكوين البوابة الإلكترونية؟
المصادقة = htpasswd الأساسي = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed
إذا لم يكن كذلك، إضافة وتشغيل
بكيل سريع
3. هل الحبار يركض؟ الاستماع على المنفذ 3128؟
فحص:
نتستت -ntlp | جريب 3128
يجب أن تكون الاستجابة شيئًا من هذا القبيل (1234 مثال، قد يكون لديك رقم عملية مختلف):
برنامج التعاون الفني 0 0 0.0.0.0:3128 0.0.0.0:* الاستماع 1234/(الحبار)
كيف تبدأ الحبار:
/etc/init.d/squid3 ابدأ
* بدء Squid HTTP Proxy 3.0 squid3
4. اضبط Squid على التشغيل التلقائي:
تمكين التحديث-rc.d Squid3
5. قم بإنشاء، إن لم يكن، وتعيين حقوق الوصول إلى ملفات الخدمة المسؤولة عن الإدارة بواسطة البوابة:
المس /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed
6. ملف تكوين Squid الذي تم إخراجه من الصندوق ليس جاهزًا للتكامل؛ ويجب تصحيحه.
أولاً، تأكد من عدم تكامل البوابة الإلكترونية (التصحيح المتعدد غير مقبول):
Grep "التحكم في الإنترنت لبوابة المدرسة" /etc/squid3/squid.conf
إذا تم إخراج سطر الأوامر أعلاه، فيجب تخطي هذه الخطوة.
ومع ذلك، إذا تم تغيير ملف التكوين بحيث يكون الخط موجودًا، ولكن التكامل لا يعمل، فاتخذ الملف الأصليالتكوين من Squid وتنفيذ هذه الخطوة عليه.
لذا، إذا لم يكن هناك سطر:
6.1. إزالة القواعد التي تمنع التكامل وتغيير صفحات الخطأ إلى الإصدارات الروسية:
Perl -i-original -p -e "s!^http_access Deny all$!#http_access Deny All!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack / رو! ؛" /etc/squid3/squid.conf
6.2. إضافة جزء التكامل:
Echo " # ================ # التحكم في الإنترنت ببوابة المدرسة # لتعطيله استبدل /etc/squid3/squid.conf بـ /etc/squid3/squid.conf-original # ================================= ==== برنامج auth_param الأساسي /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd auth_param الأطفال الأساسيون 5 auth_param المجال الأساسي خادم الويب للتخزين المؤقت لوكيل Squid auth_param بيانات الاعتماد الأساسية 2 ساعة auth_param الأساسية حساسة لحالة الأحرف على ACL sp_users_allowed proxy_auth "/var/ www/sp_users_allowed" http_access السماح لـ sp_users_allowed http_access رفض الكل " > > /etc/squid3/squid.conf
إذا ظهرت هذه الكتلة أكثر من مرة في ملف squid.conf، فقم بإزالة التكرارات، حتى لو كان كل شيء يعمل. مع التكرار، في كل مرة يتم فيها تحديث قائمة القبول من البوابة، سيضع Squid تحذيرات في سجله حول إعادة تحديد القواعد.
6.3. بعد إجراء التغييرات، يحتاج Squid إلى إعادة التشغيل.
/etc/init.d/squid3 إعادة التشغيل
7. بعد ذلك، استخدم واجهة الويب الخاصة ببوابة المدرسة لتوزيع الوصول إلى الإنترنت. من المفترض أن تشاهد تغييرًا في قائمة تسجيلات دخول مستخدم البوابة المسموح بها في الملف /var/www/sp_users_allowed بعد النقر فوق الزر "تطبيق" في واجهة ويب البوابة الإلكترونية.
ستحتوي سجلات الوصول إلى Squid (/var/log/squid3) على تسجيلات دخول مستخدم البوابة الإلكترونية. يمكنك استخدام أي محلل سجل متوافق مع التنسيق سجلات الحبار. التكامل مع البوابة لا ينتهك التنسيق الافتراضي للسجلات؛ والفرق هو وجود تسجيلات الدخول من البوابة في المكان الذي ستكون هناك شرطة في حالة عدم وجود ترخيص المستخدم.
8. تحقق مما إذا كان جدار الحماية الموجود على خادم المدرسة وعلى الأجهزة العميلة يحظر الاتصالات. افتراضيًا، على خادم Ubuntu نظيف، يسمح جدار الحماية بجميع الاتصالات؛ إذا تدخلت في تكوينه بأي وسيلة، فتأكد من السماح بالاتصالات من الشبكة المحلية للمدرسة إلى المنفذ 3128 للخادم والاتصالات الصادرة من الخادم.
يقوم المسؤول بتوزيع موارد الإنترنت لموظفي الشركة، وإنشاء قوائم بأسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وما إلى ذلك. وفي الوقت نفسه، يمكنه وضع قيود على الوقت أو مقدار حركة المرور. في حالة الإفراط في الإنفاق، يتم إغلاق الوصول إلى الإنترنت تلقائيا.
تنبيه: يمكن للمسؤول دائمًا تزويد الإدارة بتقرير حول استخدام الشبكة لكل موظف.
باستخدام المرشحات المضمنة بوابة المستخدميمنع تحميل الإعلانات من الإنترنت ويحظر الوصول إلى الموارد غير المرغوب فيها.
تنبيه: يمكن للمسؤول حظر تنزيل ملفات ذات امتداد معين، على سبيل المثال jpeg وmp3.
كما يمكن للبرنامج أن يتذكر (ذاكرة التخزين المؤقت) جميع الصفحات والصور التي تمت زيارتها، مما يحرر القناة لتنزيل المعلومات المفيدة. كل هذا لا يقلل بشكل كبير من حركة المرور فحسب، بل يقلل أيضًا من الوقت الذي تقضيه على الخط.
مخدم بروكسيبرنامج UserGate: حساب حركة مرور الشبكة الخاصة بك!