إدارة الوصول إلى الإنترنت. برنامج تعليمي مصور حول تطوير الأمن

02.04.2019

بالإضافة إلى محاسبة حركة المرور، يتيح لك ICS الحد من الوصول إلى الإنترنت، كما يسمح لك بالتحكم الكامل في سرعة نقل البيانات. يعد هذا أحد أكثر الأنظمة فعالية التي تسمح لك بإدارة وصول مستخدمي شبكة الشركة إلى الإنترنت.

التحكم الكامل في الاستخدام الفعال لشبكة الشركة

يعد تقييد الإنترنت إحدى المهام العاجلة عند إنشاء شبكة الشركة وصيانتها. ليس سراً أن موظفي المكاتب في كثير من الأحيان لا يستخدمون الوصول إلى الإنترنت لحل مشاكل العمل. ونتيجة لذلك، تنخفض إنتاجية العمل بشكل كبير، مما يعني تأثر كفاءة العمل.

ICS لديها إمكانيات واسعة، بما في ذلك إمكانية تقييد الوصول، كما يسمح لك بوضع قيود على حركة المرور على الإنترنت عن طريق IP أو عن طريق عناوين URL المحددة على الشبكة. قد تنطبق جميع القيود على فئات مختلفةومجموعات المستخدمين. وهذا يضمن الاستخدام الفعال لشبكة الشركة، مما يحسن الإنتاجية ويقلل أيضًا من تكلفة خدمات المزود.

من الممكن التحكم بسهولة في سرعة الإنترنت على شبكة شركتك من خلال استخدام الخادم الوكيل وجدار الحماية. وهذا يعطي الثقة التي يستخدمها جميع الموظفين شبكة الانترنتفقط لحل مشاكل العمل . ونتيجة لذلك، تزداد كفاءة المكاتب بشكل كبير وتزداد الأرباح.

التحكم في استخدام الإنترنت باستخدام ICS

بفضل استخدام ICS، يتم توفير التحكم المريح في وصول المستخدم إلى الإنترنت على شبكة الشركة، والتي يمكن تنفيذها بعدة طرق. يمكنك الحد من حركة المرور على الإنترنت باستخدام إعدادات مرنة. يتم تقديم الوظائف التالية:

  • عند انتهاك القفل، يتم إصداره رسالة محددةأو إعادة توجيه المستخدم إلى موقع محدد؛
  • من الممكن وضع قيود مؤقتة على الوصول إلى الإنترنت؛
  • التحكم في حركة المرور والموارد التي تمت زيارتها باستخدام تصفية المحتوى - يتم حظر الوصول إلى موارد فئة معينة.

وبالإضافة إلى ذلك، يتيح لك البرنامج تكوين طرق مختلفةتفويض. وبالتالي، يمكن تقييد الوصول إلى الإنترنت والتحكم فيه باستخدام الطرق التالية:

  • إدخال معلومات تسجيل الدخول وكلمة المرور الفردية الخاصة بك؛
  • والحصول على إمكانية الوصول إلى الإنترنت عند تسجيل الدخول باستخدام حساب شخصي ("ActiveDirectory")؛
  • ترخيص لعنوان IP محدد؛
  • استخدام برنامج وكيل خاص.

قدرات إدارة المستخدم

من الممكن توحيد مستخدمي الشبكة المحلية للمؤسسة في مجموعات اعتمادًا على أي خصائص، على سبيل المثال، الهيكل التنظيميوالواجبات الرسمية وما إلى ذلك. وهذا يزيد بشكل كبير من كفاءة التحكم في الوصول في الشبكات المحلية. ويمكن تعيين مسؤول منفصل لكل مجموعة من هذه المجموعات. يمكن أن يشمل التحكم في استخدام الإنترنت حظر أو تقييد الوصول بشكل منفصل لأي من المجموعات الموجودة مع القدرة على وضع قواعد مفصلة.

يمكن أيضًا توفير الوصول إلى الإنترنت للشركات الأخرى مع القدرة على وضع قيود معينة. في هذه الحالة، يمكن إنشاء مجموعة منفصلة لكل من هذه المؤسسات بكلمة مرور مقدمة إلى المسؤول الخاص بها. يمكن أن يسمى هذا نقل ICS افتراضي للاستخدام من قبل طرف ثالث.


العمل مع المكاتب البعيدة

من خلال شراء ICS، تحصل على خادم VPN جاهز يوفر لك الاتصال المكاتب البعيدةالشركات التي تستخدم نفقًا مشفرًا مع إمكانية التحكم في سرعة الإنترنت لكل منها. يتم توفير الاتصال بكفاءة كما لو كانت المكاتب البعيدة متصلة فعليًا بشبكة الشركة العامة.


شراء ICS

يمكنك شراء ICS باستخدام نموذج الطلب على موقعنا.

تقدم شركتنا الدعم الفني النشط للعملاء في كافة المسائل المتعلقة باستخدام البرنامج. من خلال شراء ترخيص تحديث إضافي (Premium)، فإنك تضع كل المخاوف المتعلقة بتثبيت ICS وتكوينها وصيانتها في أيدي المتخصصين لدينا - الخيار الأمثللأولئك الذين يريدون الشراء والنسيان، مع الحصول على أقصى قدر من الفوائد من استخدام ICS. للحصول على أي نصيحة، يرجى الاتصال بقسم المبيعات.

نوع المنظمة

اختر نوع المنظمة مؤسسة تعليمية مؤسسة ميزانية منظمة تجارية

الأسعار لا تنطبق على المؤسسات الخاصة غير الحكومية ومؤسسات الدراسات العليا التعليم المهني

إصدارات ICS

لا يتطلب ICS معيار ICS FSTEC

لحساب تكلفة FSTEC، اتصل بقسم المبيعات

نوع التوصيل

ICS ICS + SkyDNS ICS + كاسبيرسكي ويبالفلتره

نوع الرخصة

ترخيص جديد تحديث الترخيص

ملحق ترخيص التحديث المميز

عدد المستخدمين

تمديد الترخيص

ج قبل المستخدمين


كيفشينكو أليكسي، 1880

تحتوي هذه المقالة على نظرة عامة خمسةخيارات لحل مشكلة تنظيم الوصول إلى خدمات شبكة الشركة من الإنترنت. توفر المراجعة تحليلاً لخيارات السلامة والجدوى، مما سيساعد المتخصصين المبتدئين والأكثر خبرة على فهم جوهر المشكلة وتحديث معارفهم وتنظيمها. يمكن استخدام المواد الواردة في المقالة لتبرير قرارات التصميم الخاصة بك.

عند النظر في الخيارات، لنأخذ كمثال الشبكة التي تريد النشر فيها:

  1. خادم بريد الشركة (بريد الويب).
  2. خادم المحطة الطرفية للمؤسسات (RDP).
  3. خدمة الشبكة الخارجية للأطراف المقابلة (Web-API).

الخيار 1: شبكة مسطحة

في هذا الخيار، يتم تضمين جميع عقد شبكة الشركة في شبكة واحدة مشتركة للجميع ("الشبكة الداخلية")، والتي لا تكون الاتصالات بينها محدودة. الشبكة متصلة بالإنترنت عبر جهاز توجيه طرفي/ جدار الحماية(إضافي - IFW).

يصل المضيفون إلى الإنترنت من خلال NAT، ويتمكنون من الوصول إلى الخدمات من الإنترنت من خلال إعادة توجيه المنفذ.

إيجابيات الخيار:

  1. الحد الأدنى من متطلبات الوظائف IFW(يمكن إجراؤه على أي جهاز توجيه تقريبًا، حتى جهاز التوجيه المنزلي).
  2. الحد الأدنى من متطلبات المعرفة للمتخصص الذي ينفذ الخيار.
عيوب الخيار:
  1. الحد الأدنى من الأمن. في حالة حدوث اختراق تمكن فيه الدخيل من السيطرة على أحد الخوادم المنشورة على الإنترنت، تصبح جميع العقد وقنوات الاتصال الأخرى لشبكة الشركة متاحة له لمزيد من الهجمات.
تشبيه للحياة الحقيقية
يمكن مقارنة هذه الشبكة بشركة يكون فيها الموظفون والعملاء في غرفة مشتركة واحدة (مساحة مفتوحة)


hrmaximum.ru

الخيار 2. المنطقة المجردة من السلاح

للتخلص من العيب المذكور سابقًا، يتم وضع عقد الشبكة التي يمكن الوصول إليها من الإنترنت في جزء مخصص خصيصًا - منطقة منزوعة السلاح (DMZ). يتم تنظيم المنطقة المجردة من السلاح باستخدام جدران الحماية التي تفصلها عن الإنترنت ( IFW) و من الشبكة الداخلية (DFW).


في هذه الحالة، تبدو قواعد تصفية جدار الحماية كما يلي:
  1. من الشبكة الداخلية يمكنك بدء الاتصالات بالمنطقة المجردة من السلاح (DMZ) والشبكة الواسعة النطاق (WAN).
  2. من المنطقة DMZ، يمكنك بدء الاتصالات بشبكة WAN.
  3. من شبكة WAN، يمكنك بدء الاتصالات بالمنطقة المجردة من السلاح.
  4. يحظر بدء الاتصالات من WAN وDMZ إلى الشبكة الداخلية.


مزايا الخيار:
  1. زيادة أمن الشبكة ضد اختراق الخدمات الفردية. حتى لو تم اختراق أحد الخوادم، فلن يتمكن الدخيل من الوصول إلى الموارد الموجودة على الشبكة الداخلية (على سبيل المثال، طابعات الشبكة، أنظمة المراقبة بالفيديو، الخ).
عيوب الخيار:
  1. إن نقل الخوادم إلى المنطقة المجردة من السلاح في حد ذاته لا يزيد من أمانها.
  2. مطلوب جدار حماية إضافي لفصل المنطقة المجردة من السلاح عن الشبكة الداخلية.
تشبيه للحياة الحقيقية
يشبه هذا الإصدار من بنية الشبكة تنظيم العمل ومناطق العملاء في الشركة، حيث يمكن للعملاء التواجد في منطقة العميل فقط، ويمكن للموظفين التواجد في مناطق العميل والعمل. إن قطاع DMZ هو على وجه التحديد نظير لمنطقة العميل.


autobam.ru

الخيار 3. تقسيم الخدمات إلى الواجهة الأمامية والخلفية

كما ذكرنا سابقًا، فإن وضع الخادم في المنطقة المجردة من السلاح لا يؤدي بأي حال من الأحوال إلى تحسين أمان الخدمة نفسها. أحد الخيارات لتصحيح الموقف هو تقسيم وظائف الخدمة إلى قسمين: الواجهة الأمامية والخلفية. علاوة على ذلك، يقع كل جزء على خادم منفصل، حيث يتم تنظيمه الشبكات. يتم وضع خوادم الواجهة الأمامية، التي تنفذ وظيفة التفاعل مع العملاء الموجودين على الإنترنت، في المنطقة المجردة من السلاح، ويتم ترك خوادم الواجهة الخلفية، التي تنفذ الوظائف المتبقية، على الشبكة الداخلية. للتفاعل بينهما على DFWإنشاء قواعد تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.

على سبيل المثال، خذ بعين الاعتبار خدمة البريد الإلكتروني الخاصة بالشركة والتي تخدم العملاء من داخل الشبكة ومن الإنترنت. يستخدم العملاء من الداخل POP3/SMTP، ويعمل العملاء من الإنترنت من خلال واجهة الويب. عادة، في مرحلة التنفيذ، تختار الشركات أبسط طريقة لنشر الخدمة ووضع جميع مكوناتها على خادم واحد. ثم، والحاجة إلى ضمان أمن المعلومات، يتم تقسيم وظيفة الخدمة إلى أجزاء، ويتم نقل الجزء المسؤول عن خدمة العملاء من الإنترنت (Front-End) إلى خادم منفصل، يتفاعل عبر الشبكة مع الخادم الذي ينفذ الوظائف المتبقية (العودة) -نهاية). في هذه الحالة، يتم وضع الواجهة الأمامية في المنطقة المجردة من السلاح، وتبقى الواجهة الخلفية في الجزء الداخلي. للتواصل بين الواجهة الأمامية والخلفية DFWإنشاء قاعدة تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.

مزايا الخيار:

  1. بشكل عام، يمكن أن "تتعثر" الهجمات الموجهة ضد الخدمة المحمية على الواجهة الأمامية، مما يؤدي إلى تحييد الضرر المحتمل أو تقليله بشكل كبير. على سبيل المثال، ستؤدي الهجمات مثل TCP SYN Flood أو قراءة http البطيئة التي تستهدف الخدمة إلى حقيقة أن خادم الواجهة الأمامية قد يصبح غير متاح، بينما سيستمر الخادم الخلفي في العمل بشكل طبيعي وخدمة المستخدمين.
  2. بشكل عام، قد لا يتمكن خادم Back-End من الوصول إلى الإنترنت، والذي إذا تم اختراقه (على سبيل المثال، بواسطة خادم يعمل محليًا) رمز خبيث) سيجعل من الصعب التحكم فيه عن بعد من الإنترنت.
  3. تعتبر الواجهة الأمامية مناسبة تمامًا لاستضافة جدار حماية طبقة التطبيق (على سبيل المثال. تطبيق ويبجدار الحماية) أو أنظمة منع التطفل (IPS، مثل Snort).
عيوب الخيار:
  1. للتواصل بين الواجهة الأمامية والخلفية DFWيتم إنشاء قاعدة تسمح ببدء الاتصال من المنطقة المجردة من السلاح إلى الشبكة الداخلية، مما يؤدي إلى إنشاء تهديدات مرتبطة باستخدام هذه القاعدة من العقد الأخرى في المنطقة المجردة من السلاح (على سبيل المثال، من خلال تنفيذ هجمات انتحال IP، وتسميم ARP، إلخ.)
  2. لا يمكن تقسيم جميع الخدمات إلى الواجهة الأمامية والخلفية.
  3. يجب على الشركة تنفيذ العمليات التجارية لتحديث قواعد جدار الحماية.
  4. يجب على الشركة تنفيذ آليات للحماية من هجمات المتسللين الذين تمكنوا من الوصول إلى خادم في المنطقة المجردة من السلاح.
ملحوظات
  1. في الحياة الواقعية، حتى بدون تقسيم الخوادم إلى واجهة أمامية وخلفية، غالبًا ما تحتاج الخوادم من المنطقة المجردة من السلاح إلى الوصول إلى الخوادم الموجودة على الشبكة الداخلية، لذا فإن هذه العيوب هذا الخيارسيكون صالحًا أيضًا للخيار السابق الذي تم النظر فيه.
  2. إذا أخذنا في الاعتبار حماية التطبيقات التي تعمل عبر واجهة الويب، فحتى إذا كان الخادم لا يدعم فصل الوظائف إلى الواجهة الأمامية والخلفية، فإن استخدام خادم وكيل عكسي http (على سبيل المثال، nginx) كخادم وكيل عكسي ستعمل الواجهة الأمامية على تقليل المخاطر المرتبطة بهجمات رفض الخدمة. على سبيل المثال، قد تؤدي هجمات فيضانات SYN إلى جعل وكيل http العكسي غير متاح بينما تستمر الواجهة الخلفية في العمل.
تشبيه للحياة الحقيقية
يشبه هذا الخيار بشكل أساسي تنظيم العمل، حيث يتم استخدام المساعدين - الأمناء - للعمال المثقلين بالأعباء. بعد ذلك، ستكون الواجهة الخلفية نظيرًا لموظف مشغول، وستكون الواجهة الأمامية نظيرًا للسكرتير.


mln.kz

الخيار 4: تأمين المنطقة المجردة من السلاح

تعد المنطقة المجردة من السلاح جزءًا من الشبكة التي يمكن الوصول إليها من خلال الإنترنت، ونتيجة لذلك، فإنها تخضع لأقصى قدر من المخاطر المتمثلة في اختراق المضيف. يجب أن يوفر تصميم المنطقة المجردة من السلاح والأساليب المستخدمة فيها أقصى قدر من البقاء في الظروف التي يكتسب فيها الدخيل السيطرة على إحدى العقد في المنطقة المجردة من السلاح. باعتبارها هجمات محتملة، فكر في الهجمات التي يكون الجميع تقريبًا عرضة لها نظم المعلومات، العمل مع الإعدادات الافتراضية:

الحماية ضد هجمات DHCP

على الرغم من حقيقة أن DHCP يهدف إلى أتمتة تكوين عناوين IP لمحطات العمل، في بعض الشركات هناك حالات يتم فيها إصدار عناوين IP للخوادم من خلال DHCP، ولكن هذه ممارسة سيئة إلى حد ما. لذلك، للحماية من Rogue DHCP Server، وتجويع DHCP، يوصى بتعطيل DHCP بالكامل في المنطقة المجردة من السلاح.

الحماية ضد هجمات الفيضانات MAC

للحماية من فيضان MAC، تم تكوين منافذ التبديل للحد من الحد الأقصى لكثافة حركة مرور البث (نظرًا لأن هذه الهجمات عادةً ما تولد حركة مرور البث). سيتم حظر الهجمات التي تتضمن استخدام عناوين شبكة محددة (أحادية البث) عن طريق تصفية MAC، والتي ناقشناها سابقًا.

الحماية ضد هجمات الفيضانات UDP

الحماية ضد هذا النوع من الهجمات تشبه الحماية ضد فيضانات MAC، باستثناء أن التصفية تتم على مستوى IP (L3).

الحماية ضد هجمات فيضانات TCP SYN

للحماية من هذا الهجوم، الخيارات التالية ممكنة:
  1. الحماية في عقدة الشبكة باستخدام تقنية ملفات تعريف الارتباط TCP SYN.
  2. حماية على مستوى جدار الحماية (تخضع للشبكات الفرعية للمنطقة المجردة من السلاح) عن طريق الحد من كثافة حركة المرور التي تحتوي على طلبات TCP SYN.

الحماية ضد الهجمات على خدمات الشبكة وتطبيقات الويب

لا يوجد حل عالمي لهذه المشكلة، ولكن الممارسة المتبعة هي تنفيذ عمليات إدارة ثغرات البرامج (تحديد الهوية، وتثبيت التصحيحات، وما إلى ذلك، على سبيل المثال)، بالإضافة إلى استخدام أنظمة كشف التسلل ومنعه (IDS/IPS).

الحماية ضد هجمات تجاوز المصادقة

أما بالنسبة لل الحالة السابقةلا يوجد حل عالمي لهذه المشكلة.
عادة في حالة عدد كبيرفي حالة محاولات التفويض غير الناجحة، يتم حظر الحسابات لتجنب تخمين بيانات المصادقة (على سبيل المثال، كلمة المرور). لكن هذا النهج مثير للجدل إلى حد كبير، وإليكم السبب.
أولاً، يمكن للمتسلل إجراء اختيار معلومات المصادقة بكثافة لا تؤدي إلى حظر الحسابات (هناك حالات تم فيها اختيار كلمة المرور على مدار عدة أشهر مع فاصل زمني بين المحاولات يصل إلى عدة عشرات من الدقائق).
ثانيًا، هذه الميزةيمكن استخدامها لهجمات رفض الخدمة، والتي سينفذها المهاجم عمدًا عدد كبير منمحاولات التفويض من أجل حظر الحسابات.
معظم خيار فعالسيتم منع الهجمات من هذه الفئة عن طريق استخدام أنظمة IDS/IPS، والتي لن تمنع محاولات تخمين كلمة المرور عند اكتشافها حسابوالمصدر الذي يأتي منه هذا التحديد (على سبيل المثال، حظر عنوان IP الخاص بالمخالف).

القائمة النهائية للتدابير الوقائية لهذا الخيار:

  1. يتم تقسيم DMZ إلى شبكات فرعية IP مع شبكة فرعية منفصلة لكل عقدة.
  2. يتم تعيين عناوين IP يدويًا بواسطة المسؤولين. لا يتم استخدام DHCP.
  3. على واجهات الشبكة، التي تتصل بها عقد DMZ، ويتم تنشيط تصفية MAC وIP، والقيود المفروضة على كثافة حركة مرور البث وحركة المرور التي تحتوي على طلبات TCP SYN.
  4. يتم تعطيل التفاوض التلقائي لأنواع المنافذ على المحولات ويُحظر استخدام شبكة VLAN الأصلية.
  5. يتم تكوين ملف تعريف الارتباط TCP SYN على عقد DMZ وخوادم الشبكة الداخلية التي تتصل بها هذه العقد.
  6. يتم تنفيذ إدارة ثغرات البرامج لعقد DMZ (ويفضل بقية الشبكة).
  7. يتم تنفيذ أنظمة كشف ومنع التسلل IDS/IPS في قطاع المنطقة المجردة من السلاح.
مزايا الخيار:
  1. درجة عالية من الأمان.
عيوب الخيار:
  1. زيادة المتطلبات ل وظائفمعدات.
  2. تكاليف العمالة للتنفيذ والدعم.
تشبيه للحياة الحقيقية
إذا قمنا مسبقًا بمقارنة المنطقة المجردة من السلاح بمنطقة العملاء المجهزة بأرائك وأرائك، فإن المنطقة المجردة من السلاح الآمنة ستكون أشبه بسجل نقدي مدرع.


valmax.com.ua

الخيار 5. الاتصال الخلفي

استندت تدابير الحماية التي تم النظر فيها في الإصدار السابق إلى حقيقة وجود جهاز على الشبكة (محول / جهاز توجيه / جدار حماية) قادر على تنفيذها. ولكن من الناحية العملية، على سبيل المثال، عند استخدام البنية التحتية الافتراضية (غالبًا ما تحتوي المحولات الافتراضية على فرص محدودة), جهاز مماثلقد لا يكون هناك.

في ظل هذه الظروف، تصبح العديد من الهجمات التي تم الحديث عنها سابقاً متاحة للمخالف، وأخطرها سيكون:

  • الهجمات التي تسمح لك باعتراض حركة المرور وتعديلها (تسمم ARP، تجاوز سعة جدول CAM + اختطاف جلسة TCP، وما إلى ذلك)؛
  • الهجمات المتعلقة باستغلال الثغرات الأمنية في خوادم الشبكة الداخلية والتي يمكن بدء الاتصالات بها من المنطقة المجردة من السلاح (وهو أمر ممكن عن طريق تجاوز قواعد التصفية DFWبسبب انتحال IP وMAC).
الميزة المهمة التالية، والتي لم نأخذها في الاعتبار من قبل، ولكنها لا تتوقف عن كونها أقل أهمية، هي أن محطات العمل الآلية (AWS) للمستخدمين يمكن أن تكون أيضًا مصدرًا (على سبيل المثال، عند الإصابة بفيروسات أو أحصنة طروادة) للتأثيرات الضارة على الخوادم.

وبالتالي، فإننا نواجه مهمة حماية خوادم الشبكة الداخلية من هجمات الدخيل سواء من المنطقة المجردة من السلاح أو من الشبكة الداخلية (يمكن تفسير إصابة محطة العمل بفيروس طروادة على أنها تصرفات الدخيل من الشبكة الداخلية ).

يهدف النهج المقترح أدناه إلى تقليل عدد القنوات التي يمكن للمتسلل من خلالها مهاجمة الخوادم، وهناك قناتان على الأقل من هذه القنوات. الأول هو القاعدة DFW، مما يسمح بالوصول إلى خادم الشبكة الداخلية من المنطقة المجردة من السلاح (حتى لو كان مقيدًا بعناوين IP)، والثاني هو منفذ شبكة مفتوح على الخادم حيث يُتوقع طلبات الاتصال عليه.

يمكنك إغلاق هذه القنوات إذا قام خادم الشبكة الداخلية نفسه ببناء اتصالات بالخادم في المنطقة المجردة من السلاح ويقوم بذلك باستخدام بروتوكولات الشبكة الآمنة تشفيرًا. ثم لن يكون هناك أي منفذ مفتوح، لا توجد قواعد DFW.

لكن المشكلة هي أن خدمات الخادم العادية لا تعرف كيفية العمل بهذه الطريقة، ولتنفيذ هذا النهج من الضروري استخدام نفق الشبكة، الذي يتم تنفيذه، على سبيل المثال، مع باستخدام SSHأو VPN، وداخل الأنفاق تسمح بالاتصالات من الخادم الموجود في المنطقة المجردة من السلاح إلى خادم الشبكة الداخلية.

المخطط العاميبدو تشغيل هذا الخيار كما يلي:

  1. يتم تثبيت خادم SSH/VPN على الخادم في المنطقة المجردة من السلاح، ويتم تثبيت عميل SSH/VPN على الخادم في الشبكة الداخلية.
  2. يبدأ خادم الشبكة الداخلي في إنشاء نفق الشبكة إلى الخادم في المنطقة المجردة من السلاح. تم إنشاء النفق من خلال المصادقة المتبادلة بين العميل والخادم.
  3. يبدأ الخادم من المنطقة المجردة من السلاح، داخل النفق المُنشأ، الاتصال بالخادم في الشبكة الداخلية، والذي يتم من خلاله نقل البيانات المحمية.
  4. يتم تكوين جدار حماية محلي على خادم الشبكة الداخلية لتصفية حركة المرور التي تمر عبر النفق.

أظهر استخدام هذا الخيار عمليًا أنه من الملائم إنشاء أنفاق شبكة باستخدام OpenVPN، نظرًا لأنه يتمتع بالخصائص المهمة التالية:

  • عبر منصة. يمكنك تنظيم الاتصال على خوادم ذات أنظمة تشغيل مختلفة.
  • إمكانية بناء الأنفاق مع المصادقة المتبادلة بين العميل والخادم.
  • إمكانية استخدام التشفير المعتمد.
للوهلة الأولى، قد يبدو أن هذا المخطط معقد بشكل غير ضروري، وبما أنك لا تزال بحاجة إلى تثبيت جدار حماية محلي على خادم الشبكة الداخلية، فسيكون من الأسهل أن يتصل الخادم من المنطقة المجردة من السلاح، كالعادة، بالخادم الداخلي خادم الشبكة، ولكن يمكنك القيام بذلك عن طريق الاتصال المشفر. في الواقع، سيحل هذا الخيار العديد من المشكلات، لكنه لن يكون قادرا على توفير الشيء الرئيسي - الحماية من الهجمات على نقاط الضعف في خادم الشبكة الداخلية التي يتم تنفيذها عن طريق تجاوز جدار الحماية باستخدام انتحال IP و MAC.

مزايا الخيار:

  1. التخفيض المعماري لعدد نواقل الهجوم على خادم الشبكة الداخلية المحمية.
  2. ضمان الأمن في غياب تصفية حركة مرور الشبكة.
  3. حماية البيانات المنقولة عبر الشبكة من العرض والتعديل غير المصرح به.
  4. القدرة على زيادة مستوى أمان الخدمات بشكل انتقائي.
  5. إمكانية تطبيق نظام حماية ذو دائرتين، حيث يتم توفير الدائرة الأولى باستخدام جدار الحماية، ويتم تنظيم الثانية على أساس هذا الخيار.
عيوب الخيار:
  1. يتطلب تنفيذ وصيانة خيار الحماية هذا تكاليف عمالة إضافية.
  2. عدم التوافق مع أنظمة كشف التسلل إلى الشبكة ومنعها (IDS/IPS).
  3. حمل حاسوبي إضافي على الخوادم.
تشبيه للحياة الحقيقية
الفكرة الرئيسية لهذا الخيار هي ذلك المقربين \ كاتم السرينشئ اتصالاً مع شخص غير موثوق به، وهو ما يشبه الموقف عندما تقوم البنوك نفسها، عند إصدار القروض، باستدعاء المقترض المحتمل مرة أخرى للتحقق من البيانات.
  • شبكات الشركات
    • اضف اشارة

    يحتاج عدد متزايد من الشركات اليوم إلى توصيل شبكات الكمبيوتر الخاصة بها بالإنترنت. عادة ما يكون مزود خدمة الإنترنت (ISP) مسؤولاً عن تشغيل قناة الوصول، ولكن يتعين على مسؤول النظام لشبكة الكمبيوتر الخاصة بالمؤسسة، حتى لو كانت مؤسسة صغيرة، حل عدد من المشكلات التنظيمية والتكنولوجية. في هذه المقالة لن ننظر خدمات بريديةوالاتصال الهاتفي عبر بروتوكول الإنترنت والشبكات الخاصة الافتراضية (VPN)، لكننا سنقتصر على الوصول إلى خدمات الويب وبروتوكول نقل الملفات المستندة إلى نظام التشغيل FreeBSD وخادم وكيل SQUID في شبكة الشركة التي تغطي ما يصل إلى 100 محطة عمل.

    طريقتان

    هناك طريقتان رئيسيتان لتزويد مستخدمي شبكة الشركة بإمكانية الوصول إلى خدمات الويب وFTP: من خلال التوجيه (البث) أو من خلال خادم وكيل.

    في الحالة الأولى (الشكل 1)، يتم توفير الوصول عن طريق عنوان IP الخاص بالكمبيوتر الذي يعمل عليه الموظف. يمكن تنفيذ هذا المخطط بالكامل بناءً على حل برمجي - بوابة FreeBSD OS وجدار الحماية IPFW. بالإضافة إلى ذلك، هناك بوابات أجهزة وبرمجيات متخصصة معقدة. بالنسبة لمحطات العمل الطرفية، يعد تنظيم الوصول عن طريق عناوين IP مستحيلًا من الناحية الفنية، نظرًا لأنها جميعًا تستخدم نفس عنوان IP الخاص بالخادم الطرفي.

    لتوصيل محطات عمل المستخدم بقناة الإنترنت، يتم استخدام بوابة على شكل خادم x86 مثبت عليه نظام تشغيل FreeBSD، وبرنامج NATD (يوفر ترجمة عناوين IP الداخلية إلى عنوان IP الحقيقي للخادم والعودة)، وIPFW ، تمكين التوجيه وواجهتين للشبكة: إحداهما "تنظر" نحو الشبكة المحلية، والأخرى متصلة بالمزود. على كل جهاز عميل في خصائص بروتوكول TCP/IP بطاقة الشبكةتحتاج إلى تسجيل عنوان IP الخاص بالبوابة.

    وفي الحالة الثانية، يتم تفويض المستخدم باستخدام اسم الوصول (تسجيل الدخول) وكلمة المرور المخصصة للموظف. يمكن تنفيذ هذا الخيار، على وجه الخصوص، باستخدام خادم وكيل SQUID ونظام المصادقة ncsa_auth. دعونا نفكر الرسم البياني القياسي(الشكل 2)، حيث يتم تثبيت SQUID على بوابة الشبكة: "ينظر" الخادم إلى الشبكة المحلية بواجهة واحدة، ويتصل بقناة الإنترنت من خلال الواجهة الأخرى. باستخدام هذا الإعداد، لا يتطلب SQUID NATD أو التوجيه للعمل على الإنترنت (عبر HTTP وFTP وDNS) على الأجهزة الموجودة على الشبكة المحلية، نظرًا لأن SQUID يرسل جميع الطلبات إلى موارد الإنترنت "من نفسه" - باستخدام عنوان IP الواجهة الخارجيةبوابة. يمكن تعطيل خدمة DNS على أجهزة الكمبيوتر العميلة لأن SQUID نفسه يصل إلى DNS.
    أرز. 2. الوصول إلى الإنترنت عبر خادم وكيل.

    عادةً، تستخدم شبكة الشركة البريد الإلكتروني وستظل بحاجة إلى التوجيه وNATD على البوابة لتشغيلها، ولكن بالنسبة لبريد الويب الذي يعمل عبر HTTP، يكون خادم وكيل SQUID كافيًا.

    ينقل SQUID البيانات "التي تم تنزيلها" من الإنترنت إلى المستخدم ويخزنها في ذاكرة التخزين المؤقت الخاصة به. عند تكرار الطلب، يتم استرداد هذه البيانات من ذاكرة التخزين المؤقت (إذا كانت صفحة الويب تسمح بالتخزين المؤقت بالطبع)، وهو أسرع بكثير ولا يشغل قناة الوصول. الى جانب المزيد الاستخدام الفعال عرض النطاقالقناة، هناك أيضًا توفير في حجم حركة المرور (وفقًا للمؤلف، يبلغ متوسطه 13٪ شهريًا). قد يتم تحديث البيانات الموجودة في ذاكرة التخزين المؤقت اعتمادًا على إعدادات الخادم الوكيل نفسه. عند النقر فوق الزر "تحديث" الموجود على لوحة تحكم المتصفح، يقوم الخادم الوكيل بنسخ البيانات قسراً من خادم الويب، حتى لو كانت موجودة في ذاكرة التخزين المؤقت الخاصة به وليست قديمة (وفي نفس الوقت يقوم بتحديثها في ذاكرة التخزين المؤقت ). ولكن يتم وضع علامة على بعض الصفحات الموجودة على مواقع الويب على أنها غير قابلة للتخزين المؤقت، على سبيل المثال، لأغراض زيادة الملاءمة.

    بالإضافة إلى الوصول نفسه، يحتاج مسؤول النظام أيضًا إلى حل مشكلات ترخيص الوصول، وحساب حركة المرور ووقت المستخدم على الإنترنت، وضمان أمان الشبكة المحلية للمؤسسة. ومن الضروري أيضًا تحديد قواعد توزيع النطاق الترددي لقناة الإنترنت بين مستخدمي الشبكة وقواعد الوصول إلى موارد الإنترنت؛ قد تحتاج إلى وضع قيود أخرى على المستخدمين.

    كل هذه الإجراءات، اعتمادًا على نوع الوصول المعتمد (عن طريق عنوان IP أو من خلال خادم وكيل)، لها خصائصها الخاصة.

    المصادقة

    لا توفر المصادقة باستخدام عنوان IP الخاص بجهاز الكمبيوتر حماية بكلمة مرور للوصول إلى الإنترنت. معرفة المستخدمين كلمات المرور للوصول بيئة العمليمكن تشغيل أنظمة التشغيل الخاصة بأجهزة المؤسسات الأخرى على أجهزة كمبيوتر مختلفة. لذلك، إذا كان العديد من الموظفين يستخدمون جهاز كمبيوتر واحد للعمل على الإنترنت، فمن المستحيل فصل حركة المرور الخاصة بهم عند المحاسبة.

    هناك خيار لتزييف عنوان IP؛ ومع ذلك، هناك أيضًا إجراء مضاد - جدول ARP ثابت (بروتوكول تحليل العنوان - بروتوكول لتحويل عناوين IP إلى عناوين MAC / عناوين الأجهزة لبطاقات الشبكة) على البوابة، حيث تتم المراسلات بين عنوان IP وعنوان MAC الخاص بالشبكة تم تسجيل بطاقة الشبكة محطة العمل. بشكل عام، لا تتمتع مصادقة IP بالمرونة والموثوقية الكافية وتسمح فقط بحساب الحجم الإجمالي لحركة المرور.

    في حالة وجود خادم وكيل، يتم تعيين زوج تعريف لمستخدمي شبكة الشركة الذين حصلوا على إذن للوصول إلى الإنترنت (HTTP، FTP، ICQ): تسجيل الدخول وكلمة المرور. يسمح هذا المخطط أيضًا لمستخدمين مختلفين بالوصول إلى الإنترنت من جهاز كمبيوتر واحد (الشيء الرئيسي هو أن معلمات الخادم الوكيل محددة في برامج العميل). سيتم الاحتفاظ بتسجيل حركة المرور لكل مستخدم (تسجيل الدخول) على حدة. يتم توفير المصادقة الخادم الوكيل SQUIDيعمل بنظام التشغيل FreeBSD، ويقوم النظام الفرعي لبرنامج ncsa_auth بتخزين كلمات المرور بتنسيق MD5 المشفر. يمكن لـ SQUID استخدام آليات مصادقة خارجية مختلفة.

    يجب أن يكون العمل على الإنترنت من خلال خادم وكيل مدعومًا بواسطة برنامج العميل: تحدد إعداداته عنوان DNS أو IP الخاص بالخادم الوكيل، بالإضافة إلى منفذ TCP الخاص به. الجميع المتصفحات الحديثةودعم عميل ICQ يعمل من خلال خادم وكيل والمصادقة عليه. يمكن أن تحدث المصادقة في كل مرة تقوم فيها بالاتصال (يُطلب اسم مستخدم وكلمة مرور) أو تكون دائمة (لا تتطلب إدخال اسم مستخدم وكلمة مرور، ولكن يتم تحديد اسم مستخدم من قائمة مصادقة الخادم الوكيل وكلمة مرور في إعدادات برنامج العميل). تتم المصادقة مرة واحدة وتكون صالحة حتى يتم إغلاق برنامج العميل. عند الانتهاء من تصفح الإنترنت، يقوم المستخدم ببساطة بإغلاق المتصفح وبالتالي إنهاء الجلسة المسموح بها.

    المحاسبة المرورية

    يتم إجراء حساب حركة المرور لعناوين IP الخاصة بمحطات العمل باستخدام IPFW، وهو جدار حماية برمجي مدمج في نواة نظام التشغيل FreeBSD. لحساب حركة المستخدم بشكل موثوق باستخدام نظام الوصول هذا، يجب على الموظفين الوصول إلى الإنترنت فقط من محطات العمل المخصصة لهم، مما يحد بشكل طبيعي من مرونة عملهم وتنقله.

    ومع ذلك، فإن هذا النهج له أيضا ميزته - حساب أكثر دقة للحجم الإجمالي لحركة المرور عبر بروتوكول IP. يتم تنفيذ هذا الإجراء عن طريق تعيين قاعدتي COUNT لجدار الحماية IPFW:

    عد IP من أي إلى أي عبر de0 عد IP من أي إلى أي خارج عبر de0

    القاعدة الأولى تأخذ في الاعتبار التدفق الوارد، والثانية - التدفق الصادر. هنا de0 هي واجهة الشبكة الخارجية للبوابة، والتي لها عنوان IP حقيقي على الإنترنت. في الوقت نفسه، مع هذا المخطط، من المستحيل تسجيل أسماء الموارد التي زارها المستخدمون، وكذلك أسماء وأحجام الملفات التي تم تنزيلها.

    عند استخدام خادم وكيل، يتم تسجيل حركة المرور باستخدام بروتوكول HTTP، ويكون حجم هذه البيانات أقل من حجم حركة مرور IP. ولكن عند المصادقة من قبل المستخدم، يقوم SQUID بتسجيل جميع البيانات المتعلقة بالطلبات (عناوين DNS للمواقع، وقت استلام الطلب، حجم الملفات التي تم تنزيلها، المصدر - ذاكرة التخزين المؤقت لـ SQUID أو الإنترنت) في السجل لكل مستخدم، بغض النظر عن عنوان IP الخاص به آلة العميل.

    أمن الاتصال بالإنترنت

    يعد توصيل قناة إنترنت فعلية مباشرةً بشبكة الشركة بمثابة نقل أماكن عمل مؤسستك إلى منطقة مزدحمة. كقاعدة عامة، تعد المعلومات المتداولة على الشبكة المحلية أمرًا بالغ الأهمية لتشغيل المؤسسة، كما أن التأثيرات الضارة للفيروسات (على سبيل المثال، فيروسات البريد الإلكتروني)، أو الهجوم من الخارج، أو تسرب البيانات من الداخل يمكن أن تعطل عملها تمامًا .

    لا يمكن الاستهانة بالآثار الضارة للفيروسات، ولكن حل هذه المشكلة يعتمد بنسبة 90% على وعي المستخدمين - ما إذا كان شخص ما سيطلق فيروسًا مرفقًا برسالة بريد إلكتروني. هجمات الفيروساتيمكن حظرها وتنعكس برامج مكافحة الفيروساتعلى خوادم البريد(Dr.Web، وMcAfee، و"Kaspersky Anti-Virus Business Optimal"، وما إلى ذلك) وعلى أجهزة كمبيوتر المستخدمين ( نورتون مكافحة الفيروسات، منتجات Kaspersky Lab المقابلة، وما إلى ذلك). الشيء الرئيسي هنا هو التحديث في الوقت المناسبقواعد بيانات مكافحة الفيروسات.

    يتم حظر الهجمات من الخارج، اعتمادًا على كيفية تنظيم الاتصال، من خلال التكوين الصحيح للبوابة، واستخدام خادم وكيل على البوابة بدون NAT والتوجيه، بالإضافة إلى نقل الخادم الوكيل والبريد وخادم الويب إلى " المنطقة منزوعة السلاح" (DMZ، شبكة فرعية من شبكات الشركات التي يمكن الوصول إليها من خلال الإنترنت).

    تعتبر تسريبات بيانات الشركات ذات طبيعة تنظيمية بشكل أساسي وتشكل المشكلة الأكثر صعوبة بالنسبة لخدمة أمان المؤسسة. يخرج الحلول التقنية، مما يقلل من احتمال حدوث ذلك: على وجه الخصوص، إغلاق جميع منافذ TCP/UDP الموجودة على واجهة البوابة التي "تبدو" في الشبكة المحلية (يبقى منفذ الخادم الوكيل فقط). يجب تعطيل التوجيه وترجمة العناوين (NAT) بين الإنترنت وعناوين IP الداخلية ("الرمادية") لشبكة المؤسسة.

    يتم استخدام التدابير المدرجة عند تثبيت خادم وكيل على البوابة، ولكن النظام الذي يحتوي على خادم وكيل موجود في المنطقة المجردة من السلاح يعتبر أكثر أمانًا.

    معظم حماية كاملةيوفر الفصل المادي لشبكة الشركة المحلية والإنترنت. في هذه الحالة، تنظم المؤسسة شبكة الكمبيوترللعمل على شبكة الإنترنت، غير متصل بالشبكة المحلية عن طريق قنوات نقل المعلومات. يتم نقل البيانات التي يجب إرسالها عبر البريد الإلكتروني إلى الوسائط القابلة للإزالة(مثل الأقراص المضغوطة) التي يتم فحصها بواسطة خدمة أمنية وتشفيرها، على سبيل المثال، باستخدام PGP - برنامج مجانيتشفير رسائل البريد الإلكتروني والملفات.

    توزيع سعة القناة

    بالنسبة لنظام الوصول إلى IP، يمكن تنفيذ تقسيم عرض النطاق الترددي للقناة بين المستخدمين باستخدام أنابيب جدار الحماية IPFW لنظام التشغيل FreeBSD، وفي حالة خادم وكيل SQUID، يمكن استخدام آلية تأخير_تجمعاته.

    يحدد الخادم حجم الملف الذي يطلبه المستخدم، وإذا كان هذا الحجم لا يتجاوز القيمة المحددة، يتم تنزيل الملف إلى الحد الأقصى السرعة الممكنة. وفي حالة وجود ملف أكبر، يتم نقله بالملف المحدد سرعة محدودة. لا تنطبق هذه الآلية على جميع المستخدمين، ولكن فقط على أولئك المدرجين في قوائم ACL (قائمة التحكم في الوصول - مجموعة محددة من الكائنات التي يمكن تطبيق قيود مختلفة عليها)، مما يسمح لك بتكوين أولويات العمل لمجموعات المستخدمين المختلفة بمرونة شديدة.

    وفي الوقت نفسه، إذا كان في هذه اللحظةهناك مستخدم واحد فقط قيد التشغيل، وسيظل خاضعًا لحدود السرعة عند تنزيل الملفات الكبيرة. يسمح IPFW، على عكس Delay_pools في SQUID، بتنفيذ تقسيم القناة الديناميكي.

    الوصول إلى الموارد والقيود الأخرى

    بالنسبة لنظام IP، تكون القيود ممكنة فقط على عناوين IP الخاصة بالخادم ومنافذ TCP/UDP. هذا أمر غير مريح لأن آلية المضيفين الظاهريين لخادم الويب Apache المستندة إلى بروتوكول HTTP v1.1 أصبحت شائعة اليوم، عندما يخدم خادم ويب واحد بعنوان IP واحد العديد من المواقع بأسماء DNS مختلفة.

    على العكس من ذلك، يوفر SQUID آليات مرنة للغاية لإدارة وصول المستخدم إلى موارد الإنترنت باستخدام قوائم ACL. قد يكون هذا، على سبيل المثال، الوصول إلى وقت محدد، يوم من الأسبوع، الشهر؛ إذن/حظر النسخ أنواع معينةالملفات، إذن/رفض الوصول إلى مورد يحتوي اسمه على كلمة رئيسية معينة.

    تكوين بوابة IPFW

    دور البوابة هو جهاز كمبيوتر مزود بواجهتين للشبكة (أحدهما متصل بالإنترنت وله عنوان IP حقيقي، والآخر "ينظر" إلى شبكة الشركة ويتم تحديده من خلال عنوان IP الخاص بشبكته الفرعية)، حيث تم تثبيت نظام التشغيل FreeBSD (http://www.freebsd.org). يعد FreeBSD سهل الإعداد وموثوقًا ومجانيًا ويحتوي على كل ما قد تحتاج إليه تقريبًا خادم الشبكةنطاق المؤسسة.

    عملية تثبيت نظام التشغيل FreeBSD، وتكوين واجهات الشبكة، وتشغيل وتكوين IPFW، وNATD، والتوجيه - بشكل عام، كل ما هو ضروري لتكوين بوابة الوصول إلى الإنترنت (سواء عبر IP أو باستخدام خادم وكيل SQUID، باستثناء تكوين SQUID نفسه) تم وصفه بالتفصيل في كتاب من تأليف M. Eben وB. Tyman "FreeBSD. موسوعة المستخدم" (كييف: Diasoft، 2003).

    بالنسبة لكلا الخيارين لتنظيم الوصول إلى الإنترنت، يجب عليك تكوين برنامج IPFW. يقوم IPFW بتصفية وحساب حزم IP على كافة واجهات الشبكة. يقوم البرنامج أيضًا بمعالجة الحزم على مستويات أعلى: UDP وTCP وICMP. بالإضافة إلى ذلك، تشارك IPFW في أعمال NATD. يوصي المؤلف عند إعداد قواعد ipfw، باستخدام الأداة المساعدة trafshow للتحكم في المكالمات من وإلى الشبكة على جميع الواجهات، مع الإشارة إلى عناوين IP آلات خارجيةوالبروتوكولات والمنافذ في الوقت الحقيقي. فريق

    Trafshow -i fxp0 -n

    يضبط عرض الحزم على واجهة fxp0 مع أرقام المنافذ والأمر

    Ipfw - قائمة

    يعرض قواعد ipfw وعدد الحزم وحجم حركة المرور (بالبايت) التي مرت منذ تشغيل الخادم أو آخر مرة تمت فيها إعادة تعيين عدادات القاعدة.

    التنفيذ والعمل مع SQUID

    خادم وكيل SQUID للتخزين المؤقت (http://www.squid-cache.org) قيد التشغيل منصة يونكسهو برنامج مجاني ومفتوح المصدر. إنه سهل التكوين، وموثق جيدًا، وموزع على نطاق واسع، ويتكامل بسهولة مع نظام التشغيل FreeBSD. SQUID يسمح لك بالتنظيم أنواع مختلفةالمصادقة عند الوصول إلى الإنترنت، تحد من الوصول بواسطة أي معلمة (اسم المجال، الكلمة الرئيسية في العنوان، البروتوكول، وما إلى ذلك) بناءً على قوائم ACL.

    عند استخدام SQUID على بوابة، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى العناوين الخارجية (والعكس صحيح) والسماح بالوصول من الشبكة المحلية فقط إلى منفذ الخادم الوكيل على واجهته المحلية. يجب أيضًا تعطيل NAT والتوجيه على البوابة، إذا لم تكن هناك حاجة إليها لـ SMTP أو خدمات أخرى.

    يتم التثبيت من منافذ نظام التشغيل FreeBSD (في الإصدار 4.9، النسخة الحالية 4.10) /usr/ports/www/squid (الإصدار 2.5 STABLE3) أو /usr/ports/www/squid24 (STABLE7). يجب أن تكون الخيارات الضرورية بدون تعليق في ملف Makefile. الخيارات الموصى بها:

    CONFIGURE_ARGS+= -enable-delay-pools (لتمكين آلية تخصيص النطاق الترددي)؛ CONFIGURE_ARGS+= -enable-err-language=روسي-1251 (للتشخيصات باللغة الروسية)

    بعد المنشآت الحبارفمن الضروري تثبيت نظام الترخيص نفسه. ها النصوص المصدريةالموجودة في ملفات SQUID:

    /usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA

    مثال عملي لنص squid.conf

    Icp_port 0client_netmask 255.255.255.0 Authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd Authenticate_children 20 مرجع_عمر أسبوعين ACL all src 0.0.0.0/0.0.0.0 Acl manager proto Cache_object Acl localhost src 127.0.0 1 /255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https,snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 10 . 25-65 535# منافذ غير مسجلة acl منفذ Safe_ports 280 # http-mgmt acl منفذ Safe_ports 488 # gss-http acl منفذ Safe_ports 591 # filemaker acl منفذ Safe_ports 777 # طريقة ربط http acl CONNECT CONNECT acl Inet_users proxy_auth "/usr/local/etc/squid_users" تأخير_تجمعات 1 تأخير_فئة 1 2 تأخير_معلمات 1 7500/7500 1875/1875 تأخير_الوصول 1 السماح لمستخدمي Inet_users تأخير_الوصول 1 رفض الكل http_access السماح للمدير المضيف المحلي http_access رفض المدير http_access رفض !Safe_ports http_access Den CONNECT !SSL_ports http_access السماح Inet_users http_access رفض الكل

    بعد تثبيت SQUID ونظام الترخيص الخاص به وتكوينه وتشغيله، يمكن للمسؤول فقط إضافة المستخدمين وإزالتهم. يكفي إنشاء بيانات المستخدم فقط في SQUID، نظرًا لأنها لا تقع ضمن بيئة نظام تشغيل الخادم الوكيل، وبالتالي ليست هناك حاجة لإنشاء بيانات تعريف مستخدم نظام التشغيل. بعد إجراء تغييرات على squid.conf أو إضافة/إزالة مستخدمين، يجب على SQUID إعادة قراءة التكوين الخاص به دون إغلاق جلسات المستخدم الحالية باستخدام الأمر

    إعادة تكوين الحبار -k.

    عند إنشاء مستخدم SQUID باستخدام ncsa_auth، يجب عليك تحديد تسجيل دخول المستخدم وكلمة المرور في ملفين للتكوين؛ في مثالنا سيبدو هكذا:

    /usr/local/etc/squid_users /usr/local/etc/passwd

    يضيف الملف الأول ببساطة اسم المستخدم (تسجيل الدخول) باستخدام خط جديدباستخدام محرر النصوص. يقوم الملف الثاني بتخزين كلمات مرور المستخدم (في MD5)، ويمكنك فقط إضافة حساب إلى هذا الملف باستخدام الأداة المساعدة htpasswd التي تأتي مع خادم الويب Apache.

    من الضروري مراقبة محتويات ذاكرة التخزين المؤقت لـ SQUID ومسحها بشكل دوري لتجنب تجاوز السعة نظام الملفات- باستخدام الأمر الحبار -Z.

    في إعدادات العميل في خصائص المتصفحات وعملاء ICQ، يجب عليك تحديد عنوان IP للخادم الوكيل والمنفذ. في مثالنا، هذا هو IP:192.168.1.8 والمنفذ 3128 (يتم استخدام هذا المنفذ افتراضيًا). لو برنامج اي سي كيوتم تكوينه للعمل من خلال خادم وكيل، فهو يستخدم منفذ TCP رقم 443، وليس منفذ TCP رقم 5190 لخوادم ICQ، والذي يجب أيضًا أخذه في الاعتبار عند تكوين جدران الحماية. عند استخدام SQUID، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى منفذ TCP رقم 80 لخوادم الإنترنت. يمكنك بشكل عام السماح بالوصول فقط إلى منفذ الخادم الوكيل، وإغلاقه أمام جميع الآخرين، باستثناء البريد، حتى لا يذهب المستخدمون "المتقدمون" إلى الإنترنت متجاوزين SQUID.

    يمكنك التعرف على تعقيدات إعداد SQUID على موقع الويب http://www.bog.pp.ru/work/squid.html.

    تحليل حركة المرور

    ولهذا الغرض، يتم استخدام برنامج المحلل المجاني مفتوح المصدر SARG (). نتيجة عمله هي صفحات HTML التي تعرض جميع أنواع البيانات الإحصائية حول عمل المستخدمين على الإنترنت. يتم تحليل فترة السجل بأكملها، لذلك يكون من الملائم أكثر عمل الشرائح اللازمة في نهاية الشهر، ثم مسح سجل SQUID باستخدام أمر access.log.

    هناك نوعان من التخفيضات المطلوبة في أغلب الأحيان. أولا، توزيع حجم المعلومات التي تم تنزيلها من الإنترنت من قبل المستخدم، وعادة ما يتم فرزها بترتيب تنازلي للحجم (الشكل 3). وفي نفس الوقت يتم إصداره أيضًا معلومات كميةحول كفاءة التخزين المؤقت. يتيح لك هذا المقطع العرضي تحليل حجم العمل على الإنترنت ككل وتصنيف المستخدمين حسب نشاط عملهم على الإنترنت.

    تعرض الشريحة الشعبية الثانية المحملة مستخدم محددالمعلومات الموجودة على المواقع (الشكل 4)، مرتبة أيضًا بترتيب تنازلي لحجم البيانات. تتيح لك هذه الشريحة استخلاص المعلومات من المستخدم على الإنترنت ومعرفة ما إذا كانت المواقع الأكثر طلبًا تتوافق مع المسؤوليات الوظيفية للموظف.

    الاستنتاجات

    لقد نظرنا في خيارين للتنظيم اتصال دائمشبكة الشركة إلى الإنترنت.

    الخيار "استنادًا إلى عناوين IP لأجهزة كمبيوتر المستخدم التي تستخدم قواعد IPFW" له العيوب التالية. أولا، من المستحيل التحقق من مدى ملاءمة عمل المستخدم على الإنترنت، حيث أن IPFW يحسب فقط إجمالي حركة المرور لكل قاعدة موصوفة لجهاز معين، ولا يتتبع المواقع التي تمت زيارتها. ثانياً، من المستحيل السماح لمستخدم يعمل حالياً على الإنترنت. وهذا مهم بشكل خاص إذا كان الجهاز "مشتركًا" بين عدة مستخدمين. وأخيرًا، من الممكن للمستخدم انتحال عنوان IP.

    بالإضافة إلى ذلك، إذا كنت تستخدم خادمًا طرفيًا، فمن المستحيل مراعاة حركة المرور مستخدمين مختلفين، نظرًا لأنها تعمل جميعًا من نفس عنوان IP للخادم الطرفي.

    تعكس العيوب المدرجة ببساطة القيود المفروضة على المحاسبة وإدارة حركة المرور من خلال عناوين IP ونظام المحاسبة IPFW. ليس المقصود من IPFW قياس حركة مرور أجهزة المستخدم بشكل مباشر؛ بل هو أداة لحساب حركة مرور القناة.

    يتم توفير حل كامل وكامل للمشكلة من خلال نظام يستخدم بوابة مع نظام التشغيل FreeBSD وجدار حماية IPFW تم تكوينه وخادم وكيل SQUID مثبت عليه مع تمكين مصادقة ncsa_auth. يتيح لك استخدام خادم وكيل للتخزين المؤقت في شبكة الشركة توفير ما يصل إلى 10% من الدفع مقابل حركة المرور الشهرية وتسريع عملية تحميل الموارد التي تمت زيارتها بشكل متكرر بشكل كبير.

    جميع البرامج المستخدمة في هذا الحل مجانية. تكاليف دعمه ضئيلة، وكما تظهر الممارسة، فإن نظام FreeBSD+SQUID موثوق به تمامًا.

    نظام SQUID بفضل مرونة التكوين وتوافر واجهات الاتصال وحدات خارجيةالمقاييس جيدا. الخطأ في حساب حركة مرور HTTP مقارنةً بـ IP، المتأصل في SQUID، ليس أساسيًا؛ والأهم من ذلك هو أنه من الممكن تنظيم مراقبة كمية ونوعية موثوقة لعمل المستخدمين على الإنترنت باستخدام بروتوكولات HTTPوHTTPS وFTP والتمييز بين حقوق الوصول والأولويات.

    الخادم الوكيل قادر على العمل على جهاز منخفض الطاقة إلى حد ما، على سبيل المثال، مع معالج سيليرونتردد 1 جيجا هرتز وذاكرة 128 ميجا بايت و قرص صلب 20 جيجابايت (يتم تشغيل هذا التكوين حاليًا في مؤسستنا، ويخدم 30 مستخدمًا)، ويمكن أداء دور بوابة الوصول إلى IP (FreeBSD، IPFW، NATD) بواسطة كمبيوتر Pentium بسرعة 166 ميجاهرتز وذاكرة تبلغ 128 ميجابايت.

    تدعم بوابة المدرسة إدارة الوصول إلى الإنترنت.

    تتم الإدارة من خلال التكامل مع خادم وكيل Squid.

    لتغيير حقوق الوصول، انتقل إلى القائمة: الخدمة → الوصول إلى الإنترنت....

    هذا الإجراء متاح فقط لممثلي إدارة المدرسة.

    لمنح حق الوصول إلى الإنترنت، ما عليك سوى تحديد المربع المجاور لاسم المستخدم (الطالب، المعلم)، أو الفصل بأكمله. لإلغاء الوصول، تحتاج إلى إلغاء تحديد المربع. يتم تطبيق التغييرات بعد النقر على الزر "حفظ".

    لكي يتمكن جهاز موجود على الشبكة المحلية من الوصول إلى الإنترنت، مسترشدًا بالإذن الذي تم تكوينه في البوابة، تحتاج إلى تكوينه لاستخدام خادم وكيل.

    عنوان الخادم الوكيل هو عنوان خادم مدرستك على الشبكة المحلية حيث تم تثبيت School Portal. منفذ الوكيل - 3128 .

    عندما يصل المستخدم إلى الإنترنت من خلال خادم وكيل، سيُطلب تسجيل الدخول وكلمة المرور من بوابة المدرسة.

    لمنع الوصول إلى الإنترنت بشكل موثوق من خلال تجاوز الخادم الوكيل، يجدر التحقق من أن خادم المدرسة لا يوفر توجيه الإنترنت إلى الأجهزة محل الاهتمام، وكذلك أن الأجهزة لا يمكنها الوصول من خلال محول أو مودم أو جهاز توجيه أو شبكة Wi-Fi. Fi وغيرها من المعدات الخاصة بالمؤسسة التعليمية، والتي يمكن للموظفين والطلاب الوصول إليها بالشبكة.

    أنظمة ترشيح المحتوى (SCF)

    يتم دعم كل من غياب SCF والتكامل مع مقدمي الخدمة المتعددين.

    يقع إعداد SCF في العمود الأيسر من صفحة إدارة الوصول إلى الإنترنت.

    تتطلب بعض الصناديق التعليمية التسجيل لإدارة قوائم الموارد المحظورة (على سبيل المثال، الشبكات الاجتماعية، والمواد الفاحشة، ومجموعات الملخصات، وما إلى ذلك). يتم تغيير هذه الإعدادات في واجهات الويب على موقع SCF نفسه، وليس في البوابة. يتم توفير دعم المستخدم بشأن مشكلات جودة الترشيح من خلال المؤسسة التي تخدم SCF. تسمح لك البوابة فقط بتمكين أو تعطيل إرسال الاستعلامات إلى خوادم SCF DNS من خادم وكيل المدرسة وليس أكثر.

    ينطبق SCF، المماثل للوصول إلى الإنترنت، فقط على الأجهزة التي تم تكوينها بشكل صارم من خلال خادم وكيل المدرسة.

    مهم! يجب التحقق من تشغيل SCF بعد التشغيل وفقًا لتوقعاتك، حيث لا يمكن للبوابة التحقق من ذلك تلقائيًا نيابةً عنك. قد يتم تغيير الشروط والأحكام الخاصة بتوفير SCF من قبل الشركات المصنعة لها في أي وقت. يجدر الاشتراك في الأخبار من الخدمة التي تستخدمها.

    ماذا تفعل إذا عرضت البوابة رسالة "الوظيفة معطلة" أو أن شيئًا ما لا يعمل.

    يتم توفير عمليات التحقق والإجراءات في هذا الجزء من المقالة فقط من أجل خادم أوبونتو 10.04 إل تي إس:

    يجب تنفيذ كافة الإجراءات كمستخدم الجذر.

    1. هل الحبار مثبت؟

    Dpkg -s Squid3 | grep -i الإصدار

    إذا لم يكن الأمر كذلك، قم بتثبيت:

    Apt-get install Squid3

    2. هل هذه المعلمات موجودة في ملف تكوين البوابة الإلكترونية؟

    المصادقة = htpasswd الأساسي = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

    إذا لم يكن كذلك، إضافة وتشغيل

    بكيل سريع

    3. هل الحبار يركض؟ الاستماع على المنفذ 3128؟

    فحص:

    نتستت -ntlp | جريب 3128

    يجب أن تكون الاستجابة شيئًا من هذا القبيل (1234 مثال، قد يكون لديك رقم عملية مختلف):

    برنامج التعاون الفني 0 0 0.0.0.0:3128 0.0.0.0:* الاستماع 1234/(الحبار)

    كيف تبدأ الحبار:

    /etc/init.d/squid3 ابدأ

    * بدء Squid HTTP Proxy 3.0 squid3

    4. اضبط Squid على التشغيل التلقائي:

    تمكين التحديث-rc.d Squid3

    5. قم بإنشاء، إن لم يكن، وتعيين حقوق الوصول إلى ملفات الخدمة المسؤولة عن الإدارة بواسطة البوابة:

    المس /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

    6. ملف تكوين Squid الذي تم إخراجه من الصندوق ليس جاهزًا للتكامل؛ ويجب تصحيحه.

    أولاً، تأكد من عدم تكامل البوابة الإلكترونية (التصحيح المتعدد غير مقبول):

    Grep "التحكم في الإنترنت لبوابة المدرسة" /etc/squid3/squid.conf

    إذا تم إخراج سطر الأوامر أعلاه، فيجب تخطي هذه الخطوة.

    ومع ذلك، إذا تم تغيير ملف التكوين بحيث يكون الخط موجودًا، ولكن التكامل لا يعمل، فاتخذ الملف الأصليالتكوين من Squid وتنفيذ هذه الخطوة عليه.

    لذا، إذا لم يكن هناك سطر:

    6.1. إزالة القواعد التي تمنع التكامل وتغيير صفحات الخطأ إلى الإصدارات الروسية:

    Perl -i-original -p -e "s!^http_access Deny all$!#http_access Deny All!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack / رو! ؛" /etc/squid3/squid.conf

    6.2. إضافة جزء التكامل:

    Echo " # ================ # التحكم في الإنترنت ببوابة المدرسة # لتعطيله استبدل /etc/squid3/squid.conf بـ /etc/squid3/squid.conf-original # ================================= ==== برنامج auth_param الأساسي /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd auth_param الأطفال الأساسيون 5 auth_param المجال الأساسي خادم الويب للتخزين المؤقت لوكيل Squid auth_param بيانات الاعتماد الأساسية 2 ساعة auth_param الأساسية حساسة لحالة الأحرف على ACL sp_users_allowed proxy_auth "/var/ www/sp_users_allowed" http_access السماح لـ sp_users_allowed http_access رفض الكل " > > /etc/squid3/squid.conf

    إذا ظهرت هذه الكتلة أكثر من مرة في ملف squid.conf، فقم بإزالة التكرارات، حتى لو كان كل شيء يعمل. مع التكرار، في كل مرة يتم فيها تحديث قائمة القبول من البوابة، سيضع Squid تحذيرات في سجله حول إعادة تحديد القواعد.

    6.3. بعد إجراء التغييرات، يحتاج Squid إلى إعادة التشغيل.

    /etc/init.d/squid3 إعادة التشغيل

    7. بعد ذلك، استخدم واجهة الويب الخاصة ببوابة المدرسة لتوزيع الوصول إلى الإنترنت. من المفترض أن تشاهد تغييرًا في قائمة تسجيلات دخول مستخدم البوابة المسموح بها في الملف /var/www/sp_users_allowed بعد النقر فوق الزر "تطبيق" في واجهة ويب البوابة الإلكترونية.

    ستحتوي سجلات الوصول إلى Squid (/var/log/squid3) على تسجيلات دخول مستخدم البوابة الإلكترونية. يمكنك استخدام أي محلل سجل متوافق مع التنسيق سجلات الحبار. التكامل مع البوابة لا ينتهك التنسيق الافتراضي للسجلات؛ والفرق هو وجود تسجيلات الدخول من البوابة في المكان الذي ستكون هناك شرطة في حالة عدم وجود ترخيص المستخدم.

    8. تحقق مما إذا كان جدار الحماية الموجود على خادم المدرسة وعلى الأجهزة العميلة يحظر الاتصالات. افتراضيًا، على خادم Ubuntu نظيف، يسمح جدار الحماية بجميع الاتصالات؛ إذا تدخلت في تكوينه بأي وسيلة، فتأكد من السماح بالاتصالات من الشبكة المحلية للمدرسة إلى المنفذ 3128 للخادم والاتصالات الصادرة من الخادم.

    يقوم المسؤول بتوزيع موارد الإنترنت لموظفي الشركة، وإنشاء قوائم بأسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وما إلى ذلك. وفي الوقت نفسه، يمكنه وضع قيود على الوقت أو مقدار حركة المرور. في حالة الإفراط في الإنفاق، يتم إغلاق الوصول إلى الإنترنت تلقائيا.

    تنبيه: يمكن للمسؤول دائمًا تزويد الإدارة بتقرير حول استخدام الشبكة لكل موظف.

    • نظام مرن من القواعد للتحكم في الوصول إلى الإنترنت:
      • القيود المفروضة على وقت التشغيل، وعلى مقدار حركة المرور المرسلة/المستقبلة (محاسبة حركة المرور) يوميًا و/أو أسبوعًا و/أو شهرًا، وعلى مقدار الوقت المستخدم يوميًا و/أو أسبوعًا و/أو شهرًا؛
      • المرشحات التي تتحكم في وصول المستخدم إلى الموارد غير المرغوب فيها (المواقع الجنسية ومواقع الألعاب)؛
      • نظام متطور قيود حركة المرورو سرعة الوصوللكل مستخدم. في حالة حركة المرور المفرطة، يتم إغلاق الوصول إلى الإنترنت تلقائيا؛
      • قوائم أسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وأجزاء من سلسلة URL، والتي يحظر/يسمح المسؤول بالوصول إليها؛
      • القدرة على تعيين مجموعة من عناوين IP المسموح بها والمحظورة؛
      • جدول كل ساعة لعمل المستخدم على الإنترنت؛
      • المرشحات التي تسمح لك بتكوين "قطع الشعار" عالي الكفاءة.
    • عد وعرض الإحصاءاتنشاط المستخدم وفقًا لمعلمات مختلفة (الأيام والمواقع) لفترة زمنية عشوائية. عرض إحصائيات الإنترنت لنشاط المستخدم للشهر الحالي عبر HTTP ممكن فقط للمستخدمين على الشبكة المحلية.
    • نظام الفواتير المدمجيقوم تلقائيًا بحساب تكلفة عمل المستخدم على الإنترنت بناءً على السعر والوقت و/أو حجم حركة المرور. يمكنك تحديد التعريفات لكل مستخدم على حدة أو لمجموعة من المستخدمين. من الممكن تبديل التعريفات اعتمادًا على الوقت من اليوم أو يوم الأسبوع أو عنوان الموقع.

    أمن المعلومات المكتبية

    • دعم VPNالشبكة الافتراضية الخاصة عبارة عن مجموعة من الأجهزة الفردية أو الشبكات المحلية في الشبكة، ويتم ضمان أمانها من خلال آلية تشفير البيانات ومصادقة المستخدم.
    • جدار الحماية المدمجيمنع الوصول غير المصرح به إلى بيانات الخادم والشبكة المحلية عن طريق حظر الاتصالات عبر منافذ معينةوالبروتوكولات. تتحكم وظيفة جدار الحماية في الوصول إلى المنافذ الضرورية، على سبيل المثال، لنشر خادم الويب الخاص بالشركة على الإنترنت.
    • كاسبيرسكي مكافحة الفيروسات وباندامتكاملة في الخادم الوكيل بوابة المستخدمتعمل كمرشحات: اعتراض البيانات المرسلة عبر بروتوكولات HTTP وFTP. يتم تنفيذ دعم بروتوكولات البريد POP3 وSMTP المستوى العلوي. يتيح لك هذا استخدام برنامج مكافحة الفيروسات المدمج لفحص حركة مرور البريد. إذا كانت الرسالة تحتوي على ملف مرفق به فيروس، الخادم الوكيل بوابة المستخدمسيقوم بحذف المرفق وإخطار المستخدم بذلك عن طريق تغيير نص الرسالة. جميع المصابين أو الملفات المشبوهةمن الحروف توضع فيها مجلد خاصفي الدليل بوابة المستخدم.
      مدير بوابة المستخدميمكن اختيار ما إذا كنت تريد استخدام وحدة واحدة لمكافحة الفيروسات أو كليهما في نفس الوقت. وفي الحالة الأخيرة، يمكنك تحديد الترتيب الذي يتم به فحص كل نوع من أنواع حركة المرور. على سبيل المثال، سيتم فحص حركة مرور HTTP أولاً بواسطة برنامج مكافحة فيروسات من Kaspersky Lab، ثم بواسطة وحدة نمطية من Panda Software
    • دعم بروتوكول البريد
      POP3 – وSMTP – وكلاء في بوابة المستخدميمكن أن تعمل مع أو بدون برنامج تشغيل NAT. عند العمل بدون سائق، الحساب في عميل البريدمن جانب المستخدم تم تكوينه بطريقة خاصة. عند العمل باستخدام برنامج التشغيل (تشغيل الوكيل في الوضع الشفاف)، يتم تنفيذ إعدادات البريد من جانب المستخدم بنفس الطريقة كما هو الحال مع الوصول المباشرفي الإنترنت. الدعم المستقبلي لـ POP3 و بروتوكولات SMTPفي المستوى الأعلى سيتم استخدامه لإنشاء وحدة مكافحة البريد العشوائي.

    الإدارة باستخدام خادم وكيل UserGate

    • قواعد الشبكة
      في الخادم الوكيل بوابة المستخدمتم تنفيذ دعم NAT (ترجمة عنوان الشبكة) وتقنية تعيين المنافذ. تُستخدم تقنية NAT لإنشاء وكلاء شفافين، وتدعم بروتوكولات أخرى غير HTTP أو FTP.
      يسمح الوكيل الشفاف للمستخدمين بالعمل دون إعدادات خاصة، ويتم تحرير المسؤولين من الحاجة إلى تكوين متصفحات المستخدم يدويًا.
    • وحدة إضافية Usergate Cache Explorerمصممة لعرض محتويات ذاكرة التخزين المؤقت. يعد العمل مع هذه الوظيفة أمرًا بسيطًا: ما عليك سوى تحديد موقع ملف ug_cache.lst من مجلد ذاكرة التخزين المؤقت عند بدء تشغيله. بعد قراءة محتويات هذا الملف برنامج Usergate مستكشف ذاكرة التخزين المؤقتسوف تظهر قائمة بالموارد المخزنة مؤقتا. تحتوي لوحة تحكم Cache Explorer على عدة أزرار تسمح لك بتصفية محتوى ذاكرة التخزين المؤقت حسب الحجم والامتداد وما إلى ذلك. يمكن حفظ البيانات التي تمت تصفيتها في مجلد على القرص الصلب الخاص بك لمزيد من الدراسة الدقيقة.
    • وظيفة تعيين المنفذ(تعيين المنفذ) يسمح لك بربط أي منفذ محدد لإحدى واجهات IP المحلية بالمنفذ المطلوب المضيف البعيد. تُستخدم تعيينات المنافذ لتنظيم تشغيل تطبيقات البنك والعميل والألعاب والبرامج الأخرى التي تتطلب إعادة توجيه الحزم إلى عنوان IP محدد. إذا كنت بحاجة إلى الوصول من الإنترنت إلى مكان معين مورد الشبكةويمكن تحقيق ذلك أيضًا باستخدام وظيفة تعيين المنفذ.
    • إدارة حركة المرور: التحكم في حركة مرور الشبكة وحسابها
      تم تصميم وظيفة "إدارة حركة المرور" لإنشاء قواعد تتحكم في وصول مستخدمي الشبكة المحلية إلى الإنترنت، وإنشاء وتغيير التعريفات المستخدمة بوابة المستخدم.
      تنبيه: برنامج تشغيل NAT مدمج في الخادم الوكيل بوابة المستخدم، يوفر المحاسبة الأكثر دقة لحركة المرور على الإنترنت.
      في الخادم الوكيل بوابة المستخدممن الممكن فصل أنواع مختلفة من حركة المرور، على سبيل المثال، حركة الإنترنت المحلية والأجنبية. كما أنه يراقب حركة المرور وعناوين IP للمستخدمين النشطين وتسجيلات الدخول الخاصة بهم وعناوين URL التي تمت زيارتها في الوقت الفعلي.
    • الإدارة عن بعديسمح لمسؤول النظام بأن يكون متنقلاً، لأنه أصبح من الممكن الآن إدارة الخادم الوكيل بوابة المستخدمعن بعد.
    • اوتوماتيك و البريد اليدوي مستخدمي المعلومات حول حركة المرور الخاصة بهم عن طريق البريد الإلكتروني، بما في ذلك من خلال الخوادم التي لديها ترخيص SMTP.
    • اتصال ب وكيل تتاليمع إمكانية الترخيص.
    • مولد تقرير مرنمع القدرة على التصدير إلى MS Excel وHTML.
    • طرق مختلفة لتخويل المستخدمين:وفقا لجميع البروتوكولات. عن طريق عنوان IP، عن طريق IP+MAC، IP+MAC (اشتراك)؛ بواسطة اسم المستخدم وكلمة المرور؛ باستخدام مصادقة Windows وActive Directory.
    • استيراد المستخدمين من الدليل النشط - الآن ليس عليك إنشاء عدة مئات من المستخدمين يدويًا، فالبرنامج سيفعل كل شيء من أجلك.
    • جدول المهاميسمح لك بتنفيذ أحد الإجراءات المحددة مسبقًا في وقت محدد: إرسال الإحصائيات، أو تشغيل برنامج، أو إنشاء أو إنهاء اتصال الطلب الهاتفي، أو تحديث قواعد بيانات مكافحة الفيروسات.
    • بوابة المستخدميدعم ما يلي البروتوكولات:
      • HTTP (مخابئ)؛
      • بروتوكول نقل الملفات (مخابئ)؛
      • الجوارب4، الجوارب5؛
      • بوب 3؛
      • SMTP;
      • أي بروتوكول UDP/TCP عبر NAT (ترجمة عنوان الشبكة) ومن خلال تعيين المنفذ.

    توفير المال عند استخدام الإنترنت

    باستخدام المرشحات المضمنة بوابة المستخدميمنع تحميل الإعلانات من الإنترنت ويحظر الوصول إلى الموارد غير المرغوب فيها.

    تنبيه: يمكن للمسؤول حظر تنزيل ملفات ذات امتداد معين، على سبيل المثال jpeg وmp3.

    كما يمكن للبرنامج أن يتذكر (ذاكرة التخزين المؤقت) جميع الصفحات والصور التي تمت زيارتها، مما يحرر القناة لتنزيل المعلومات المفيدة. كل هذا لا يقلل بشكل كبير من حركة المرور فحسب، بل يقلل أيضًا من الوقت الذي تقضيه على الخط.

    مخدم بروكسيبرنامج UserGate: حساب حركة مرور الشبكة الخاصة بك!



    مقالات مماثلة
    أنواع
    • أجهزة التوجيه
    • الأقراص الصلبة
    • لا يتم تشغيله
    • الطابعات
    • الفرامل
    • يتجمد
    • الفيروسات
    • أجهزة لوحية
    المواد شعبية
    مقالات جديدة