Главная      Лекции     Лекции (разные) - часть 10

 

поиск по сайту            

 

 

 

 

 

 

 

 

 

содержание   ..  656  657  658   ..

 

 

работа на тему: «Прокси-сервера под Windows»

работа на тему: «Прокси-сервера под Windows»

Московский государственный институт

Электроники и математики

(технический университет)

на тему:

«Прокси-сервера под Windows »

Выполнили:

Студенты группы С – 65

Полоник А.Н

Захаров И.А.

Москва 2009

Содержание:

1. Wingate……………………………………………………………….3

2. Traffic Inspector………………………………………………………9

3. ISA-server…………………………………………………………….16

4. Вывод…………………………………………………………………23

Wingate .

Wingate - один из наиболее популярных прокси-серверов, позволяющий нескольким пользователям локальной сети получить доступ в Интернет. WinGate был выпущен компанией Qbik в 1995 году. С 1997 года осуществляется продажа и поддержка WinGate в России.

Установка и запуск.

Установка Wingate достаточно проста, привычна для пользователя Windows и имеет несколько этапов:

1. Подтверждение правил пользование программой (рис. 1).

Рис. 1

2. В пункте "Welcome to WinGate" пользователь выбирает тип установки: Клиент или Сервер (рис 2).

Рис. 2

3. Далее пользователь получает уведомление о версии продукта типе его установки и предупреждение о разъединении с ICS (Internet Connection Sharing, в русской версии ОС Windows переводится как «Общий доступ к подключению к Интернету»,— возможность, появившаяся в Windows 98 Second Edition, заключающаяся в совместном использовании одного подключения к Интернету несколькими компьютерами, находящимися в локальной сети) (рис 3).

Рис. 3

4. В пункте Select Destination Folder пользователь выбирает папку для установки (рис 4).

Рис. 4

5. В этом пункте рекомендуется упростить пользовательское управление: рекомендуется использовать администраторский или юзерский логин и пароль для доступа к GateKeeper и функциям интернета. Для этого следует поставить галочку «Use the Operating System (Windows) user database» (Использовать пользовательская база данных операционную системы (Windows)) (рис 5).

Рис. 5

6. WinGate версии 5 и выше содержит специальную утилиту Extended Network Support (ENS), которая дает возможность использовать в локальной сети клиентские компьютеры, работающие под управлением отличных от Windows операционных систем и позволяет пользователям взаимодействовать с устройствами на компьютерах, работающих в разных подсетях (рис 6).

Рис. 6

7. Пункт Auto Update предлагает пользователю отслеживать появление новых версий Wingate (рис 7).

Рис. 7

8. В этом пункте пользователь может выбрать активировать ли ему программу или выбрать ограниченную по времени - 30 дней (рис 8).

Рис. 8

9. Пользователь подтверждает начало установки (рис. 9).

Рис. 9

10. Этот этап информирует о завершении инсталляции, ее параметрах и предлагает прочесть ReadMe.

Рис. 10

11. В конце система предлагает перезагрузить компьютер для завершения инсталляции (рис. 11).

Рис. 11

12. Установка проходит быстро и без затруднений, однако, все же одна проблема возникла (рисунок 12). При запуске программы пользователю надо ввести логин и пароль, и если при инсталляции не активировать функцию «Use the Operating System (Windows) user database» (пункт 5, рисунок 5), то не понятно, что именно туда следует вводить.

Рис. 12

Функции и возможности WinGate.

WinGate предоставляет доступ в Интернет всей локальной сети через единственную машину в сети. Эта машина может быть соединена с Интернет с использованием любых типов интерфейсов, поддерживаемых операционной системой. WinGate был создан для облегчения доступа в Интернет. Он может использоваться в любом сетевом окружении использующем протокол TCP/IP. Wingate может использоваться в Интрасети или корпоративной сети, не имеющих доступа в Интернет.

Wingate состоит из двух серверных компонентов и клиентского приложения. Wingate engine - это сервис, запускаемый на машине соединенной с Интернет. Он обеспечивает работоспособность соединения, но невидим для пользователя.

GateKeeper - это интерфейс для управления и настройки Wingate engine. Т.к., GateKeeper использует протокол TCP/IP для соединения с Wingate engine, он может быть запущен на любой машине. Это означает, что пользователь можете администрировать WinGate с той машины, на которой WinGate установлен, а в случае наличия лицензии класса Pro, с любой машины в сети и даже через Интернет.

Общие возможности

1. Winsock Redirector Service (WRP) Winsock Redirection Service обеспечивает протокол перенаправления Winsock. WRP позволяет почти всем вашим приложениям работать так, как-будьто они напрямую соединены с Интернет. После установки WinGate Internet Client (WGIC) на ваших клиентских машинах никакой настройки программ для Интернет не требуется. Предыдущие версии WinGate требовали, чтобы каждое приложение вручную было настроено на работу через прокси. Это больше не требуется, но все уже настроенные на такую работу программы будут работать и теперь.

2. DNS Server. DNS server реализован частично. WinGate DNS server интегрирован с DHCP-сервером для разрешения доменных имен компьютеров в вашей сети. Если требуются большая функциональность, Mapping proxies можно использовать для направления всех DNS-запросов на полнофункциональный DNS-сервер. Вы можете просто запустить автономный DNS-сервер на машине с WinGate.

3. DHCP. DHCP автоматизирует конфигурацию клиентов вашей внутренней сети. Полностью автоматически или в ручном режиме WinGate DHCP скофигурирует IP-адреса и DNS для всех ваших клиентских машин. DHCP работает, если вы имеете лицензированный WinGate.

4. GDP. Generic Discovery Protocol (GDP) - протокол нахождения или обнаружения серверов Интернет, таких как WinGate. Он используется в WinGate Internet Client (WGIC) и GateKeeper для нахождения WinGate. После запуска GDP можно больше не трогать. Он спроектирован как полностью автоматический, не требующий вмешательства пользователя.

5. WinGate dialer. WinGate dialer выполняет функции установки соединения с Интернет. Различные ISP бюджеты могут быть сконфигурированы, и доступ может быть ограничен по группам пользователей или другим параметрам.

6. Logging and History. Все сервисы могут быть сконфигурированы на регистрацию происходящих событий. Информация об этом сохраняется в log-файлах с именами 'servicename.log' в подкаталоге Log в каталоге установки WinGate. Просмотр истории событий (History view) возможен в GateKeeper, при этом показываются самые последние события.

7. WinGate Engine monitor. WinGate включает системное приложение Engine monitor. Эта программа говорит вам запущен ли Wingate и позволяет вам запустить GateKeeper двойным кликом мышки на иконке, расположенной в строке запушенных программ Windows.

Возможности при наличии лицензии.

1. Удаленное администрирование. WinGate управляется и настраивается с помощью инструмента удаленного администрирования GateKeeper. GateKeeper связывается с WinGate с помощью защищенной TCP/IP связи и для конфигурирования, и для моноторинга, и для управленияl. Gatekeeper можно использовать с любой машины с TCP/IP связью с машиной, на которой установлен WinGate. Сервис Wingate, обеспечивающий такой доступ, называется Remote Control Service. GateKeeper используется для конфигурирования, но не играет никакой роли для непосредственного доступа в Интернет.

2. Расширенная база данных пользователей. База данных пользователей позволяет регистрировать и контролировать каждого отдельного пользователя. Могут быть определены группы пользователей. Права доступа могут быть определены как для отдельного пользователя, так и для группы в целом. WinGate WWW Proxy имеет так же встроенный идентифицирующий Java клиент (Java authentication client). Это позволяет администраторам проводить принудительную WWW идентификацию пользователей без необходимости запускать GateKeeper.

3. Возможность использования нескольких интерфейсов. WinGate может использовать несколько соединений с Интернет, что расширяет вашу полосу частот и ускоряет доступ. Комбинация модемов, ISDN и прямых соединений настраивается на уровне сервисов, что дает пользователю полный контроль и улучшение по всем направлениям.

4. Планировщик (Scheduler). Планировщик позволяет администратору управлять многими регулярно повторяющимися операциями Wingate и системы. Многие операции могут быть автоматизированы: прокрутка Log-файлов, выключение WinGate, выполнение командной строки.

5. Политика защиты. Права могут быть определены пользователям для каждого сервиса или на все сразу. Права могут быть определены на основе пользователя/группы, IP-адреса, времени дня или дополнителных параметров каждого отдельного соединения.

6. WWW Proxy. WinGate WWW proxy - совместимый с HTTP/1.0 кэширующий HTTP прокси-сервер. Он поддерживает запросы HTTP, запросы FTP и тунелирование SSL. Имеется возможность управления обычными (не через прокси) запросами в любых направлениях, что обеспечивает хорошую обратную связь с вашим существующим WWW-сервером.

7. FTP Proxy. FTP Proxy обеспечивает доступ к FTP-серверам. Он использует метод username@hostname для прохождения через защитный барьер (firewall). FTP Proxy поддерживает не-прокси запросы. Это позволяет поддерживать обратную связь с FTP-сервером и работать каскадно через другие прокси.

8. POP3 Proxy. WinGate POP3 proxy дает доступ к POP3-серверам в Интернет для получения почты. Как и WWW-, и FTP-прокси серверы, POP3 Proxy поддерживает обратную связь с вашим РОР3-сервером, давая вам интегрированную почтовую систему. Также возможна каскадная работа через другие прокси.

9. Telnet Proxy. WinGate Telnet proxy обеспечивает доступ к серверам telnet. Telnet proxy в WinGate 3 поддерживает многие клиенты telnet, включая Unix. Telnet также поддерживает каскадирование. Telnet proxy поддерживает регистрацию пользователя для дополнительной секретности.

10. VDOLive Proxy. Этот прокси предоставляет всем пользователям сети прелести живого видео с помощью видео-плейера от VDONet Corporation. Вы только должны быть уверены, что ваша версия плейера может работать через прокси.

11. RealAudio Proxy. RealAudio proxy позволяет пользователям сети получить доступ к серверам RealAudio для потокового аудио и видео.

12. Mapping Proxies. Mapping proxies (отображающие прокси) в WinGate обеспечивают создание соединений и для TCP, и для UDP приложений, которые не поддерживают имеющиеся прокси-протоколы. Улучшенное отображение (Enhanced mapping) позволяет отображаемым связям основываться на местонахождении пользователя или профиле дозвонки. Mapping proxies для TCP поддерживают end-to-end шифрование. Это позволяет создать защищенное соединение WinGate-WinGate через Интернет или сеть.

13.Non-proxy capability. Наличие способности многих прокси-сервисов обрабатывать не-прокси запросы WinGate позволяют другим Интернет-серверам соединяться с WinGate без конфликтов и необходимости использовать разные номера портов.

Вывод:

Эта программа предназначена для домашнего использования или малых офисов. Однако она не такая простая как это написано на официальном сайте http://www.wingate.ru/. Устанавливается она конечно за пять минут, но как приступаешь к настройкам то сразу теряешься. Если у вас много времени, то в ней это время можно и убить.

Конечно в ней есть много плюсов хочется отметить высокую степень гибкости, надежности и защищенности программы.

Traffic Inspector .

Установка и запуск Traffic Inspector.

Программа Traffic Inspector - это комплексное решение для подключения сети или персонального компьютера к сети Интернет, обеспечивающее сетевую защиту, точный учет и статистику использования подключения по каждому пользователю, а также эффективную экономию трафика и времени за счет кэширования и управляемой блокировки баннеров и нежелательных ресурсов. Установка очень проста и занимает всего минуту.

1. Пользователь принимает лицензионное соглашение (рисунок 12).

Рис. 12

2. Требования к установке, операционной системе и системные требования (рисунок 13).

Рис. 13

3. Выбор папки для установки (рисунок 14).

Рис. 14

4. Выбор тип установки (рисунок 15).

Рис. 15

5. Соглашения с лицензионными условиями Panda Gate Antivirus (рисунок 16).

Рис. 16

6. После этого начинается установка и вылетает окошко с информацией об окончании установки и запускается активное окно программы (рисунок 17).

Рис. 17

После установки у вас интернет. Надо активировать программу. В консоле нажимаем на активацию, выбираем временную(30 дней ), и после этого интернет должен появиться. Интерфейс программы довольно приятен и понятен (рисунок 18).

Рис. 18

Возможности и функции Traffic Inspector .

Ставшая популярной услуга широкополосного высокоскоростного доступа в сеть Интернет ставит важную задачу учета потребляемого трафика как платного ресурса. Плохо контролируемое использование Интернет при наличии больших скоростей передачи данных и дорогом трафике приводит к большим издержкам и может сделать использование такого подключения просто невозможным. Административные меры ограничения трафика в организациях путем простого запрета неудобны для сотрудников и не всегда эффективны. Если же речь идет о предоставлении платных услуг Интернет, то тут без системы биллинга вообще не обойтись. Серверная часть программы Traffic Inspector реализована только под платформу Windows 2000/XP/2003, клиенты же могут использовать любую операционную систему - тут ограничений нет.

Traffic Inspector также позволяет решить еще одну задачу - реализовать раздельный учет пользователей, работающих на единственном компьютере, подключенном к Интернет с возможной их блокировкой. Это отдельная задача и она реализуется включением работы программы в персональном режиме.

1. Обеспечение доступа в сеть Интернет из внутренней сети.

Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы. Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ. При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет. Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.

2. Авторизация и разграничение доступа пользователей. Задача авторизации и разграничения доступа - это запрет работы в Интернет и соотнесение трафика конкретному пользователю или службе с целью его учета. Идентифицировать клиента можно по его сетевым адресам - IP- и MAC-адресу. Этот подход - самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. В варианте домовой сети этот метод мало подходит из-за наличия возможности подмены этих адресов. Его следует использовать только для авторизации серверов во внутренней сети, которые должны работать с Интернет.

Для разграничения доступа Traffic Inspector позволяет:

• Ограничить доступ к каким-либо ресурсам в Интернет. Это может потребоваться, если политика доступа предусматривает работу только с какими-то конкретными приложениями (например, только электронная почта) и ресурсами (корпоративный сайт). Также можно ограничить использование клиентами каких-либо служб программы - например, разрешить работу только через прокси-сервер.

• Ограничить доступ по расписанию. Например, можно разрешить работать с Интернет сотрудникам только в рабочее время.

• Ограничить доступ по датам. Это удобно для создания временных учетных записей.

• Ограничить скорость работы клиента. Это ограничение также может быть привязано к расписанию или датам.

• Разрешить авторизацию по имени с конкретного IP-адреса. Это может быть полезно для домовой сети.

• При использовании в сети маркировки пакетов тегами VLAN id (IEEE 802.1Q) - разрешить авторизацию и дальнейшую работу только при наличии заданного номера VLAN в Ethernet пакете.

3. Билинг - тарификация пользователей и блокировка доступа при перерасходе трафика. Наиболее сложная задача, возникающая при организации доступа в сеть Интернет - это учет трафика пользователей и перевод его в единицы тарификации - например, деньги. Задача усложняется еще больше, если нужна блокировка пользователей при перерасходе лимитов, а также если разный вид трафика надо учитывать по разному. Для кэширующего прокси-сервера также актуальна задача учета трафика, полученного из кэша. Если внутри сети имеется почтовый сервер, то также необходимо учитывать и почтовый трафик.

Для решения этих задач есть несколько подходов:

• Анализ логов (файлов журнала) серверов. Все прокси-сервера умеют записывать запросы в лог-файлы или базы данных. Эти данные потом могут быть обработаны и получены отчеты по использованию Интернет. Недостаток этого способа - тяжело организовать оперативную блокировку клиента при перерасходе трафика. Также прокси-сервера сильно занижают данные по трафику, так как учитывают только полезные данные и не учитывают заголовки пакетов и служебные TCP-пакеты.

• Использование сетевых мониторов на базе пакетных драйверов для учета трафика прямо на сетевом интерфейсе. Тут обеспечивается абсолютная точность учета трафика и именно этот метод используется в Traffic Inspector при работе через NAT.

• Для домовых сетей при подключении клиентов для учета трафика также используют данные соединения, снимаемые с сервера удаленного доступа. Но тут возникает проблема разграничения учета различного вида трафика и это приходится дополнять другими решениями.

В Traffic Inspector при работе через прокси-сервер трафик учитывается непосредственно на нем, но для учета "довесков" в виде заголовков пакетов и служебного TCP-трафика эти данные снимаются с сетевых интерфейсов с помощью драйвера. Трафик из кэша прокси-сервера учитывается отдельно и для него можно задать отдельные тарифы.

Если внутри сети имеется почтовый сервер, то для тарификации входящего почтового трафика имеется SMTP-шлюз. При этом имеется уникальная возможность ввести учет почтового трафика не по факту чтения почты пользователем, а по факту ее получения. Это позволяет более объективно подойти к задаче учета почтового трафика.

Достоинством биллинга в Traffic Inspector является то, что пересчет данных клиента производится по каждому пакету, что позволяет его заблокировать практически немедленно, полностью исключая перерасход трафика. Данные по остатку на счете (баланс) отображаются на клиентском агенте. Клиент также имеет возможность просмотреть все данные по трафику, биллингу и истории счета через встроенный веб-сервер.

4. Обеспечение пользователей средствами и возможностью самостоятельно контролировать свою работу в Интернете. Основной вид приложений Интернет - это веб и электронная почта, и именно для них наиболее актуальна задача экономии трафика.

Для HTTP чаще всего используются следующие меры:

• Кэширование данных на прокси-сервере. Так как объекты на веб-сервере могут обновляться, то тут возникает дилемма - как сделать так, чтобы клиент мог получить свежие данные и при этом минимизировать обращения к серверу для проверок обновлений с целью максимальной экономии трафика. Тут, как правило, даже при самом совершенном алгоритме работы кэша не удается получить экономию более 20%. Увеличение этого показателя увеличивает риск получения устаревших данных. В Traffic Inspector для отдельных ресурсов можно устанавливать специальные правила работы кэша, а также имеется механизм управления режимом кэширования прокси-сервера с помощью клиентского агента - пользователь сам может по необходимости переключаться с режима максимальной экономии трафика на режим полной проверки. Это позволяет поднять общий показатель экономии трафика до 25-35%. Наличие отдельной тарификации трафика из кэша может сделать это экономически выгодным клиенту.

• Фильтрация нежелательного контента - баннеров, а также различных "шпионских" служб, например gator.

• Отключение, по необходимости, графики и мультимедийных компонентов (музыки, flash).

Для минимизации затрат трафика на входящую электронную почту в SMTP-шлюзе программы предусмотрено:

• Шлюз может быть настроен на прием почты только для известных получателей, т.е каждое письмо будет обязательно подвергнуто тарификации. Также может быть заблокирован прием почты для отключенных пользователей. Это очень полезная мера для таких почтовых серверов, как Microsoft Exchange, которые сначала принимают письмо полностью, а только потом ищут ящик пользователя.

• Имеется фильтрация сообщений по "черным" спискам, проверка адреса и домена отправителя.

• Для защиты от спама используется наиболее распространенный и надежный механизм - фильтрация с использованием публичных RBL-служб. В программе можно подключить список таких служб, причем все они отрабатываются параллельно, что совершенно не снижает производительности работы. Для увеличения эффективности анализируются также и заголовки сообщений.

5. Сетевая защита - закрыть сервер доступа и внутреннюю сеть от несанкционированного доступа извне. Traffic Inspector имеет простые, но эффективные средства сетевой защиты - встроенный сетевой экран (firewall). Он обеспечивает полную блокировку запросов из Интернет, при этом прозрачно пропуская все исходящие запросы. В отличие от простых пакетных фильтров он обеспечивает эффективную фильтрацию UDP-трафика, так как может отличить исходящие запросы от входящих.

6. Анализ сетевого трафика. Учет трафика, потребляемого у провайдера. Важной задачей является подробный анализ характера трафика. В Traffic Inspector имеется возможность мониторинга текущей сетевой активности для каждого клиента, а также внешнего трафика, потребляемого у провайдера. Также эти данные могут сохраняться в файлах журнала и по ним могу быть сформированы подробные отчеты. У прокси-сервера для каждого клиента есть возможность включить подробную запись каждого запроса. Все эти данные по сетевой статистике доступны для просмотра пользователями через встроенный веб-сервер. Для учета внешнего трафика, потребляемого у провайдера, в программе также имеются все необходимые средства - можно контролировать выставляемые им счета. Есть возможность вести подробный аналитический учет по разному типу трафика. Сопоставляя в отчетах учет внешнего трафика и трафика, потребляемого пользователями, можно легко разобраться, кто нагрузил канал и каков характер этой нагрузки. Также имеются механизмы предотвращения перерасхода трафика. Могут быть настроены различные лимиты, при превышении которых будет отправлено предупреждение по почте или произведена полная блокировка внешнего трафика. Это может быть полезно в тех случаях, если отключение Интернет - меньшее зло по сравнению с перерасходом трафика.

7. Ограничение скорости работы пользователей или их групп. Одной из полезных возможностей программы является ограничение скорости. Traffic Inspector позволяет создать ограничения как для отдельного пользователя, так и для группы в целом, в этом случае трафик будет делиться между активными клиентами группы. Можно указать скорость в явном виде или по количеству пакетов, а также отдельно входящую и исходящую скорость. Кроме ограничения скорости пользователей, можно установить скорость на конкретный вид трафика, чтобы переопределить ее, добавить задержку или, наоборот, передать нужный трафик без задержек. Используются уровни приоритетов.

8. Перенаправление трафика. Traffic Inspector предоставляет следующие возможности по перенаправлению трафика: Advanced routing - динамическое перенаправление трафика на другие интерфейсы, эта функция позволяет задействовать несколько подключений, причем можно направить разный трафик (или контент сайтов) через разных провайдеров. Подробное описание смотрите в разделе "Advanced routing"; Перенаправление на прокси - дает возможность перенаправить все соединения TCP идущие по порту 80 на прокси-сервер программы. Это позволяет пустить весь HTTP-трафик через прокси-сервер и использовать его кэширование, блокировку, замены и т.п. Кроме того, можно запретить любые HTTP-соединения мимо прокси. Описание работы этой функции смотрите в разделе "Transparent Proxy"; Каскадирование - перенаправление запросов прокси-сервера на вышестоящий прокси (часто используется при работе через акселератор спутника). Также поддерживается каскадирование SOCKS-запросов. Описание настроек смотрите в разделе интерфейса "HTTP Proxy".

9. Отключение пользователей от сети Интернет при заражениях сетевыми вирусами. Введена возможность блокировки пользователя при исчерпании лимита количества записей сетевой статистики. Эта мера позволяет эффективно выявить аномальную сетевую активность клиента и заблокировать его для предотвращения перегрузки сети, сервера и каналов подключения к Интернет.На практике эта функция помогает отследить заражение сетевыми вирусами, которые генерируют огромное количество трафика, и, что гораздо важнее, заблокировать зараженного пользователя.


Вывод:

Итак, «Traffic Inspector» идеально подходит в качестве решения для домашней, или офисной сети, и так же может использоваться для крупных сетей. Программа имеет очень много полезных и дополнительных функций, которых в других программах нет. Использование этой программы на серверных системах(Windows 2000/2003) намного расширяют возможности программы. Использование Traffic Inspector вместе со службой «маршрутизация и удаленный доступ» делают компьютер идеальным шлюзом доступа в Интернет.

ISA - server

ISA Server 2006 представляет собой межсетевой экран с интегрированными сервисами, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным. Сервер ISA Server 2006 может быть использован в трех основных сценариях развертывания: •

Безопасная публикация приложений

Безопасная публикация приложений с помощью ISA Server 2006 дает возможность организациям открывать безопасный доступ к серверам Exchange, SharePoint и другим серверам веб-приложений удаленным пользователям, находящимся за пределами корпоративной сети.

• Шлюз филиалов

Организации могут использовать сервер ISA Server 2006 в качестве шлюза филиала для подключения и обеспечения безопасности своих филиалов и эффективного использования пропускной способности сети.

• Защита доступа к Интернету

Защита доступа к Интернету с помощью ISA Server 2006 позволяет организациям защищать внутреннюю корпоративную среду от внутренних и внешних угроз, поступающих через Интернет.

Установка ISA - server

ISA-server 2006 можно скачать с официально сайта Microsoft https://www.microsoft.com/rus/isaserver . Пробной версией можно пользоваться 180 дней со всеми функциями, что довольно много по сравнению с другими программами.

Рис 19

Жмем на Install ISA Server 2006 и приступаем к установки.

Рис 20

Соглашаемся с правилами использования программы.

Рис 21

Серийный номер уже введен в бесплатную версию программы, так что просто жмем Next.

Рис 22

Вот и все, программа установлена. Как видно из примера ISA server устанавливается элементарно впрочем, как и все Microsoft программы.

Основные функции ISA - server

Безопасная публикация содержимого для удаленного доступа

Компаниям необходимо обеспечить для своих сотрудников и партнеров безопасный и надежный удаленный доступ к приложениям, документам и данным с любого ПК или устройства.

Безопасная публикация приложений с помощью ISA Server 2006 дает возможность организациям открывать более безопасный доступ к своим серверам Exchange, SharePoint и другим серверам веб-приложений для удаленных пользователей, находящихся за пределами корпоративной сети. Благодаря предварительной проверке подлинности пользователей перед получением доступа к любому из опубликованных серверов, непрерывной проверке даже зашифрованного трафика на уровне приложений и поддержке средств автоматической публикации ISA Server 2006 существенно упрощает обеспечение безопасности корпоративных приложений, доступ к которым осуществляется через Интернет.

Рис 23

Интегрированная безопасность:

Расширенная многообразная проверка подлинности, гибкая интеграция с Active Directory, а также настраиваемая предварительная проверка подлинности.

Декодирование протокола SSL для проверки зашифрованного содержимого за счет передачи функций SSL серверу ISA Server.

Эффективное управление:

Балансирование нагрузки при веб-публикации упрощает развертывание всех ферм веб-серверов после сеансов с использованием ISA, а также привязку на основе IP с помощью автоматического обнаружения отказа в обслуживании.

Автоматизированные средства для серверов Exchange, SharePoint и других веб-серверов, облегчающие процесс безопасной публикации нескольких серверов, а также расширенное администрирование сертификатов для исключения ошибок при настройке.

Защита сетей от «внутренних атак» через клиентские подключения к виртуальной частной сети (VPN) с помощью унифицированной политики управления брандмауэром и VPN, глубокой проверки содержимого и интеграции карантина VPN.

Широкие возможности регистрации и отчетности для дополнительного наблюдения за доступом клиентов к корпоративным ресурсам в целях эффективного выявления злонамеренных пользователей.

Быстрый надежный доступ:

Более удобная работа пользователей с опубликованными веб-приложениями, библиотеками документов и содержимым благодаря единому входу в систему и автоматическому преобразованию ссылок для обеспечения безопасного и надежного доступа.

Подключение и обеспечение безопасности филиалов

Многие компании нуждаются в подключении удаленных филиалов к головному офису, безопасном доступе в Интернет и эффективном использовании полосы пропускания.

Организации могут использовать сервер ISA Server 2006 в качестве шлюза филиалов для подключения и обеспечения безопасности своих филиалов и эффективного использования пропускной способности сети. Благодаря сжатию HTTP – кэшированию содержимого, включая обновления ПО и возможности VPN-подключений между узлами, интегрированными с фильтрацией уровня приложений – сервер ISA Server 2006 упрощает безопасное расширение корпоративных сетей.

Рис 24

Интегрированная безопасность:

Кэширование BITS для ускорения развертывания обновлений ПО и защиты удаленных компьютеров.

Эффективное управление:

Простота развертывания и настройки в филиалах с помощью средств автоматического подключения VPN и файлов ответов на съемных носителях для автоматической установки.

Эффективное управление благодаря более оперативному распространению корпоративных политик, меньшим потребностям сервера и оптимизации низкой пропускной способности сети.

Многосетевая архитектура, сетевые шаблоны и средства настройки для гибкой интеграции в имеющуюся инфраструктуру.

Быстрый надежный доступ:

Сжатие трафика HTTP и кэширование, которые уменьшают время загрузки веб-страниц и снижают стоимость каналов WAN для пользователей в филиалах.

Значение DiffServ в параметрах IP, гарантирующее, что приложения с высшим приоритетом получит преимущество перед другим сетевым трафиком, а также лучшее использование полосы пропускания и меньшее время отклика для важных веб-ресурсов.

Интегрированное веб-кэширование в корпоративных центрах данных, функциональность массива серверов кэширования и распределенное иерархическое кэширование.

Защита имеющейся среды от внешних и внутренних угроз, поступающих через Интернет

Компаниям требуется нейтрализовать разрушительное воздействие вредоносного ПО и атак злоумышленников, что обеспечивается с помощью полнофункционального набора средств для поиска и блокирования опасного содержимого, файлов и веб-узлов.

Защита доступа к Интернету при помощи ISA Server 2006 позволяет организациям защитить внутреннюю корпоративную среду от внутренних и внешних угроз, поступающих через Интернет. Гибридная архитектура на основе прокси-сервера и межсетевого экрана, глубокая проверка содержимого, детализированные политики и расширенные средства оповещения и наблюдения позволяют ISA Server 2006 значительно упростить управление сетью и ее защиту.

Рис 25

Интегрированная безопасность:

Расширенная устойчивость к Flood-атакам для обработки событий и наблюдения за ними, что обеспечивает улучшенное сопротивление как простым, так и распространяющимся атакам типа «отказ в обслуживании».

Дополнительная устойчивость по отношению к программам-червям позволяет уменьшить негативное воздействие зараженных компьютеров на сеть благодаря упрощенной группировке уведомлений клиентов IP и лимитам на подключение.

Расширенные возможности устранения последствий атак благодаря универсальным средствам создания оповещений и реагирования, которые позволяют быстро уведомлять администраторов о наличии проблем в сети.

Гибкий комплект для разработчиков ПО (SDK) по разработке надстроек для ISA Server обеспечивает широкий спектр средств защиты, таких как антивирусные программы и веб-фильтры.

Эффективное управление:

Расширенное управление ресурсами с помощью регулирования входа в систему, управления потреблением памяти и ожидающими DNS-запросами.

Унифицированное управление и наблюдение с помощью пакета управления Management Pack для Microsoft Operations Manager 2005, а также корпоративных политик и политик массива, которые дают возможность администраторам легко управлять безопасностью и правилами доступа в масштабах организации.

Простые в изучении и применении средства управления, которые упрощают настройку и текущее администрирование.

Быстрый надежный доступ:

Многоуровневая тщательная проверка содержимого, универсальные гибкие политики, настраиваемые фильтры протоколов и отношения маршрутизации между сетями предназначенные для отражения угроз, поступающих через Интернет.

Вывод:

ISA-server сравнивать с Wingate и Traffic Inspector просто нельзя. ISA-server предназначен для любых видов сетей. Но и стоит он намного больше. Установка очень простая и интерфейс интуитивно понятный. ISA предназначен для использования в качестве средства защиты локальной сети в организации любого размера. А также для использования ISA нужно докупать разные плагины для увеличения возможностей.

Вывод

Все эти программы очень разные и используются для разных видов сетей. Wingate и Traffic Inspector используется для домашнего использования и в малых офисах. Однако Traffic Inspector на мой взгляд более удобный и имеет много удобных функций.

ISA- server более масштабный и может использоваться в локальной сети в организации любого размера.

Используемая литература:

http://www.microsoft.com/rus/isaserver/prodinfo/overview.mspx

http://www.wingate.ru/

http://www.smart-soft.ru/

http://www.x-drivers.ru/articles/software/14/3.html

http://compworld.h12.ru/Softobz/Proxy.html

 

 

 

 

 

 

 

содержание   ..  656  657  658   ..