Содержание статьи
Подключение к интернету прибавляет забот любому админу. Раздача канала,
обеспечение защиты внутренних ресурсов от внешних угроз, настройка учета
трафика, контроль загрузки канала, блокировка доступа пользователей к
определенным сайтам и сервисам - это только верхушка айсберга. Из великого
многообразия доступных программных продуктов, позволяющих организовать работу
пользователей в глобальной Сети, очень важно выбрать надежное и
полнофункциональное решение.
UserGate Proxy & Firewall 5.1
- Разработчик: Entensys
- Web: www.usergate.ru
- Системные требования: Pentium 1 ГГц, 512 Мб ОЗУ
- ОС: Windows 2000/2003/XP
- Функциональность: 9/10
- Удобство управления: 8/10
- Работа с пользователями: 9/10
- Мониторинг и статистические отчеты: 8/10
Предыдущая (четвертая) версия этого продукта российской компании Entensys
называлась просто UserGate и позиционировалась как прокси-сервер с
функциями фильтрации и учета трафика. Назначение версии 5.х видно из названия.
Теперь возможности по фильтрации, блокировке и контролю трафика занимают на
сайте практически все описание. Доступ в Сеть обеспечивается применением
нескольких технологий – NAT, прозрачный прокси (HTTP, FTP, POP3, SMTP, SOCKS).
Реализован также VoIP-шлюз (SIP, H323) для программных и аппаратных
IP-телефонов. Возможно подключение к интернет через другой прокси. При наличии
нескольких подключений возможно распределение по ним пользователей и
резервирование канала. Программа имеет встроенный DHCP-сервер. Реализован
DNS-форвардинг.
Администратор может задать максимальную скорость соединения, установить лимит
на размер скачиваемого файла, а также список разрешенных приложений для каждого
пользователя. Пользователь может быть авторизован по IP-адресу, IP+MAC,
IP+MAC+логин, с помощью HTTP-авторизации или Active Directory. Некоторые виды
авторизации и контроль приложений потребуют дополнительной установки на
клиентском компьютере Authentication Client, который находится в %usergate%\tools.
Модуль Bandwidth Manager обеспечивает возможность резервировать канал для
определенного типа трафика.
UserGate позволяет гибко управлять трафиком и его учетом (по времени и
количеству). Можно задать несколько тарифов и привязать их к пользователям или
группам, установить интервалы действия тарифов и трафик, который не должен
попадать в статистику.
Администратор может запретить посещать сайты определенного содержания, просто
отобрав их среди 70 категорий. Возможна блокировка по URL и адресу, но это
потребует значительных усилий. Анализ поля Content-type в HTTP-запросе позволяет
контролировать и при необходимости блокировать закачку файлов любых расширений.
Одна из главных особенностей UserGate – проверка трафика при помощи двух
встроенных антивирусных модулей: Антивирус Касперского и Panda Antivirus
(лицензия на антивири приобретается отдельно). Администратор может выбирать, что
и каким антивирусом проверять, а также очередность проверки. Реализовано
удаленное управление с помощью локализованной консоли администрирования.
В версии 5.x появился новый модуль статистики, где в наглядной форме как
администратор, так и пользователь могут получить любую информацию по трафику, в
том числе и по продолжительности VoIP-переговоров (естественно, пользователь
увидит только свои данные). Реализован экспорт собранных данных в MS Excel,
OpenOffice.org Calc и HTML. Программа имеет встроенный планировщик. Он может
автоматизировать определенные задачи: запустить программу, обновить антивирусные
базы, разослать статистику, установить или разорвать соединение.
Установка продукта несложна: несколько раз нажимаем "Далее", при
необходимости отбираем отдельные компоненты. Консоль администрирования тоже
достаточно проста. Представляя конечный результат, можно разобраться в
назначении элементов без подглядываний в прилагаемое руководство (кстати,
краткое, но понятное). Все сетевые подключения после установки можно найти в
"Сервер UserGate –> Интерфейсы". Так как это основная вкладка, на основе
настроек которой будет считаться трафик, резервироваться канал, работать NAT и
всевозможные ограничения, то следует сюда зайти и указать тип соединения для
каждого адаптера. Внешние сети должны иметь тип WAN, внутренние - LAN. Тип VPN-
и PPPoE-соединений изменить нельзя, они всегда установлены в PPP.
Брандмауэр по умолчанию содержит только одно правило, причем разрешающее все
соединения. С одной стороны это удобно, так как все работает "из коробки". С
другой - администратору придется некоторое время уделить настройке, чтобы
защитить сеть. Начать, очевидно, следует с того, чтобы сделать это правило
запрещающим, а затем уже разрешать действительно нужные соединения, заглядывая в
логи. Правило firewall создается при помощи пошагового мастера. Для этого надо
указать название правила, источник и назначение (любой, хост и WAN-интерфейс),
сервисы и действие (блокировать, разрешить, NAT). Созданное правило можно
редактировать, удалить, переместить, отключить, копировать, чтобы на его основе
создать новое. Внутренние ресурсы компании, которые должны быть доступны
"извне", необходимо публиковать, создав для них правило доступа.
В настройках отдельного пользователя указываются преобразования NAT, правила
управления трафиком, правила приложений, ограничение скорости, номер SIP/H323
телефона.
Перейдя в пункт "Мониторинг", можно просмотреть в реальном времени активные
сессии и при необходимости заблокировать некоторые из них. Администратор получит
информацию по IP-адресу компьютера, имени пользователя, точному количеству
переданного и полученного трафика и по посещенным адресам.
NetworkShield Firewall 2006
- Разработчик: NetSib
- Web:
www.networkshield.ru - Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ
- ОС: Windows 2000/XP/2003
- Функциональность: 8/10
- Удобство управления: 8/10
- Работа с пользователями: 9/10
- Мониторинг и статистические отчеты: 8/10
NetworkShield Firewall 2006 создан на основе драйвера обработки
сетевого трафика, поддерживающего технологию NAT. Помимо обеспечения выхода в
интернет через один канал, он позволяет управлять доступом между сетями и
контролировать работу пользователей. Есть средства учета трафика. За
безопасность отвечает файрвол, умеющий также определять и блокировать некоторые
типы атак (SYN flood, IP spoofing). Безопасность соединений гарантирует
технология защиты под названием Adaptive Connections Control (Stateful Firewall
на основе логических объектов).
Установка продукта очень проста. После выбора русского языка просто жмем
"Далее" и соглашаемся со всем, что предлагают. По окончании запустится "Мастер
настройки сети". Его задача – произвести первоначальную настройку безопасности.
Пока мастер не закончит работу, все исходящие соединения будут разрешены.
Вначале вводим пароль админа и указываем интерфейс, к которому подключена
локальная сеть, затем диапазон адресов, входящих в LAN. Если LAN-сетей
несколько, их настройки указываем позднее, используя панель управления NSF.
Затем выбираем WAN-интерфейс, определяем сервисы, к которым разрешен доступ из
LAN (все или отдельные). Наконец, определяем, к каким сервисам на сервере NSF
разрешен доступ из WAN. Кстати, не факт, что по окончании работы мастера все
пользователи сразу получат доступ в Сеть. В этом NSF сильно отличается от
UserGate.
Основные установки производятся в панели управления NSF. Она локализована,
логична и построена стандартно для такого типа программ. Настроек меньше, чем в
UserGate, плюс большая их часть производится при помощи пошаговых мастеров,
поэтому конфигурировать NSF довольно легко.
После работы мастера в "Правила firewall" будет записано несколько рулесетов,
разделенных на две группы: предопределенные и пользовательские. В
предопределенных правилах можно изменять и отключать лишь некоторые параметры.
Последним по списку установлено правило, запрещающее все соединения. Его
изменить или отключить нельзя.
При создании нового правила помогает пошаговый мастер. Админу предлагается
ответить на ряд вопросов: название, тип (доступ или публикация), действие
(разрешить, запретить), протокол (все или на выбор), источник и назначение. По
окончании создания правила можно его отредактировать. Здесь же можно будет
задать расписание.
Для удобства настройки правил firewall и правил учета трафика создаются
объекты. Объектами могут быть компьютеры, диапазоны IP, пользователи.
Аутентификация пользователей возможна средствами NSF или Windows, в том числе,
поддерживается и Active Directory. На клиентских компьютерах дополнительно
требуется установить клиент авторизации (скачать его можно с расшаренной папки
\\nsf\nsclient). Он позволяет использовать при подключении динамические
IP-адреса.
Система квот и учета трафика предоставляет возможность задать лимит трафика
(вкладка "Квоты трафика") за определенный период (день, неделя, и т.д.) и
действие при его достижении (ничего не делать или заблокировать). После создания
квота подключается к объектам в "Правила учета трафика". Вкладка "Мониторинг"
позволяет отслеживать в реальном времени активность объектов в сети.
Lan2net NAT Firewall 1.99
- Разработчик: ООО "Ростбиохим"
- Web: www.lan2net.ru
- Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ
- ОС: Windows 2000/2003/XP
- Функциональность: 7/10
- Удобство управления: 8/10
- Работа с пользователями: 9/10
- Мониторинг и статистические отчеты: 8/10
Этот продукт разработан специально для применения в небольших офисах, где
необходимо обеспечить безопасный доступ в интернет без привлечения специалистов.
Для этого есть все необходимое: NAT, перенаправление соединений для доступа к
внутренним сервисам "извне", DNS Forwarder. Защита обеспечивается файрволом
сетевого уровня. Имеется возможность ручного создания белого и черного списка
веб-адресов, куда можно прописывать URL, домен и поддомен, а также расширения
файлов (к счастью, при составлении таких правил разрешается использование
символов подстановки ? и *). Реализована система учета трафика с установлением
индивидуальных квот. При перерасходе возможна блокировка доступа пользователя в
интернет с предоставлением только необходимых для работы ресурсов (почта,
корпоративный веб-сайт). Предусмотрено несколько вариантов аутентификации: NTLM,
Windows, логин/пароль, IP, MAC, IP+MAC, диапазон IP, с помощью клиента Lan2net
Login Client и без аутентификации.
Для удобства управления и создания правил доступа пользователи объединяются в
группы. При этом учетную запись очень просто перенести в другую группу.
Достаточно захватить имя и перетащить мышкой на новое место. Средствами
Lan2net легко создать группы, которым разрешен, например, доступ только к
почте или веб-сервисам.
Инсталляция продукта тривиальна. Сразу после ее окончания будет предложено
войти в консоль; здесь же предлагается сменить пароль администратора (по
умолчанию он пустой). После установки Lan2net находится в режиме настройки, при
котором firewall отключен, и все пакеты проходят без фильтрации. Мастер быстрой
настройки, появляющийся при первом запуске консоли, поможет быстро сформировать
нужные правила. Здесь всего несколько шагов - выбор конфигурации (сервер,
клиентский комп); далее указываем WAN- и LAN-интерфейсы, NAT уже включен. После
завершения работы мастера разрешены любые соединения из LAN, и блокируются все
подключения из внешней сети. Если присутствует несколько LAN-интерфейсов, их
затем следует добавлять в консоли, во вкладке "Интерфейсы".
Следует помнить, что правила firewall разбиты на две группы. Правила,
настраиваемые в разделе "Правила Firewall", имеют более высокий приоритет перед
настройками в правилах пользователей. Поэтому общие блокировки и контроль
определенного типа трафика (веб, почта и т.п.) прописываем в "Правила Firewall",
а персональные – в "Группы и правила пользователей", которые обрабатываются в
том случае, если не сработали первые. Все настройки в Lan2net производятся при
помощи мастеров, поэтому разобраться будет нетрудно.
Вкладка "Мониторинг" позволяет просматривать текущие соединения. Здесь же,
используя контекстное меню, можно на основе определенного события создать
правило firewall. В отдельной вкладке доступен журнал логов, где можно
сформировать отчет по любому событию. Для просмотра статистики (админом и
пользователями) Lan2net имеет встроенный веб-сервер.
ViPNet OFFICE FIREWALL 3.1
- Разработчик: ОАО "ИнфоТеКС"
- Web: www.infotecs.ru
- Системные требования: Pentium III от 500 МГц, 512 Мб ОЗУ
- ОС: Windows 2000/XP/2003/Vista/2008, есть Linux-версия
- Функциональность: 6/10
- Удобство управления: 8/10
- Работа с пользователями: 5/10
- Мониторинг и статистические отчеты: 6/10
Продукт от ИнфоТеКС позиционируется как файрвол, предназначенный для защиты
сетей небольших и средних компаний. Подключение клиентов к интернету реализуется
путем динамического NAT. Статическая трансляция сетевых адресов позволяет
публиковать во внешней сети внутренние сервера. Продукт работает с любым
количеством сетевых адаптеров и поддерживает различные методы подключения к
Сети. Предусмотрена возможность назначить для каждого сетевого интерфейса
диапазон допустимых IP-адресов. Это позволяет блокировать системы с адресами из
другой зоны (анти-спуфинг). Учитывая, что никаких других возможностей по
аутентификации отдельного пользователя нет, эта функция лишней не будет.
Кроме того, каждый адаптер может устанавливаться в один из пяти режимов
безопасности. Так, первый режим блокирует, а пятый разрешает весь IP-трафик.
Режим 4 действует на локальные соединения, разрешая весь трафик. Эти режимы не
являются рабочими и рекомендуются только на период тестирования. При обычной
эксплуатации обычно задействуются второй и третий режим. Режим 2 установлен по
умолчанию и блокирует все соединения, кроме явно разрешенных в правилах. В
режиме 3 файрвол пропускает исходящие соединения, кроме явно запрещенных, и
блокирует входящие соединения. Наиболее оптимальным является установка внешнего
адаптера в режим 2 (или 3), внутреннего – в режим 3 (2, иногда 4), а затем
донастройка под конкретную задачу, если текущих установок будет недостаточно.
Настройки сетевых фильтров можно активировать по расписанию, что, несомненно,
упростит жизнь админу (например, можно отключить на ночь все ненужные
соединения). Система обнаружения атак (IDS) распознает и блокирует наиболее
распространенные сетевые атаки (WinNuke, Land, Teardrop, Ssping, Tear2, NewTear,
Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke и т.д.) во входящем и
исходящем потоке (активируется дополнительно).
ViPNet OFFICE FIREWALL осуществляет обработку прикладных протоколов
FTP, HTTP и SIP. При необходимости администратор может уточнить этот список. При
работе на локальной системе контролируются и приложения, требующие доступа в
Сеть. При попытке соединиться с удаленным узлом администратор получает
уведомление, в котором можно разрешить или запретить работу с сетью указанному
приложению. Функция веб-фильтрации позволяет блокировать баннеры, интерактивные
элементы веб-страниц, а также Referrer и Cookie, позволяющие отследить действия
пользователя в интернете.
Еще одна особенность - возможность создания нескольких конфигураций и
быстрого переключения между ними. Реализована простая статистика по пропущенным
и блокированным IP-пакетам и журнал IP-пакетов. Последний позволяет отобрать,
основываясь на различных критериях, и просмотреть подробности событий. Результат
затем можно экспортировать в HTML или Excel. К сожалению, возможностей по учету
трафика нет.
Интерфейс консоли управления интуитивно понятен. Доступны следующие пункты:
Сетевые фильтры, Сетевые интерфейсы, Трансляция адресов, Блокированные
IP-пакеты, Статистика, Обнаружение атак, Журнал IP-пакетов, Конфигурация.
Заблокированные пакеты отображаются в одноименном окне. Используя эту
информацию из контекстного меню, можно создать новое правило доступа или фильтр
протоколов. При ручном создании правила в окне "Сетевые фильтры" следует указать
IP-адреса и интерфейсы. После создания правила можно добавить к нему фильтр
протоколов, указав протокол, направление действия и расписание.
WinProxy 1.5.3
- Разработчик: LAN-Projekt
- Web:
www.winproxy.net/indexru.html - Системные требования: 80486, 8 Мб ОЗУ
ОС: Windows 95/98/ME/NT/2000 (официально), работает и в Windows XP/2003
- Функциональность: 6/10
- Удобство управления: 7/10
- Работа с пользователями: 5/10
- Мониторинг и статистические отчеты: 5/10
В отличие от остальных продуктов, поддерживающих NAT, WinProxy –
классический прокси-сервер. При его использовании пользователи должны настроить
приложения для выхода через промежуточный узел, в качестве сервера указав адрес
системы с WinProxy и порт (по умолчанию 3128). Можно сказать, это единственная
настройка, которую предстоит выполнить. Поддерживается работа с HTTP, HTTPS, FTP,
Telnet, NNTP, SMTP/POP3 (по умолчанию отключен), Real Audio, GOPHER и SOCKS. При
этом WinProxy может быть не только шлюзом SMTP/POP3, но и почтовым сервером,
умеющим отправлять, собирать и рассортировывать почту с нескольких POP3-ящиков.
Необходимое переключение и настройки производятся в меню Mail.
Функция Port Mapping позволяет перенаправлять соединения к удаленным портам,
поэтому можно без проблем настроить подключение к ICQ, IRC и другим сервисам.
Возможность кэширования HTTP, FTP и GOPHER трафика дает возможность снизить
нагрузку на канал. Предусмотрен вызов по требованию для dial-up (PPPoE, модем и
т.п.) подключений. Возможно каскадирование прокси-серверов.
WinProxy поддерживает до 900 пользователей, которые могут входить в 100
групп. Доступ реализован посредством ввода логина и пароля.
Управление настройками производится при помощи браузера, для чего следует
подключиться к 3129 порту. В целях безопасности можно указать сетевые адреса, с
которых разрешено управление.
Заключение
Доступные решения очень сильно отличаются функционально (и, конечно, ценой),
поэтому следует присмотреться к ним и выбрать наиболее подходящий продукт под
конкретные условия и задачи. Среди лидеров можно выделить UserGate -
единственный из обзора, умеющий проверять трафик антивирусом, причем сразу
двумя. Он будет полезен также в том случае, если понадобится SIP-сервер для
внутренних переговоров.
INFO
О Kerio WinRoute Firewall читай в статье "Марш-бросок
в большую сеть", опубликованной в
сентябрьском номере ][
за 2007 год.
У UserGate есть встроенный SIP-сервер.
Особенность WinProxy – наличие почтового сервера.