Аппаратно программный комплекс интернет шлюз сравнение. Ограничиться обычным аппаратным шлюзом или назначить на эту роль отдельный компьютер? Сетевой шлюз - небольшой экскурс

Корпоративный интернет-шлюз - голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети , анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

• наличие контентной фильтрации,
• возможность фильтрации HTTPS,
• назначение фильтров в зависимости по времени,
• на определенные группы пользователей,
• наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты:

МИХАИЛ ГОГОЛИЦЫН, руководитель аппаратно-программных решений компании «Смарт-Софт». Занимается разработкой аппаратных решений на базе программы Traffic Inspector

Traffic Inspector Internet Center
Аппаратный шлюз для контроля, экономии и защиты *

Зимой 2009 года компания «Смарт-Софт» анонсировала аппаратно-программный комплекс для организации доступа в Интернет – Traffic Inspector Internet Center, разработанный на базе передовой платформы Intel Atom и программного продукта Traffic Inspector. Что же это за устройство и в чем его преимущества?

Traffic Inspector Internet Center – это аппаратно-программный комплекс для организации доступа в Интернет, обеспечивающий точный сертифицированный учет и контроль пользователей, эффективную экономию трафика и рабочего времени за счет кэширования и фильтрации баннеров, спама и нежелательных ресурсов, надежную сетевую защиту и распределение загрузки канала. Комплекс содержит в себе прокси-сервер, систему биллинга, сетевой экран, почтовый шлюз, веб-сервер статистики и удобную систему мониторинга.

Основные возможности Traffic Inspector Internet Center:

• организация интернет-доступа с разграничениями по пользователям, компьютерам или группам;
• сертифицированный учет и тарификация трафика;
• контроль, статистика, мониторинг пользователей и каналов доступа;
• межсетевой экран и система предотвращения чрезмерной сетевой активности;
• блокировка рекламы, нежелательных сайтов и файлов по IP-адресам, сетям, URL-запросам и типам;
• ограничение пользователей по трафику, времени, скорости;
• антивирусная проверка трафика, проходящего через прокси-сервер и почтовый шлюз (дополнительная опция);
• фильтрация спама (дополнительная опция).

Интернет-шлюз Traffic Inspector Internet Center устанавливается в сети как маршрутизатор (роутер) и обеспечивает весь спектр задач для малого и среднего бизнеса, учебных заведений, госучреждений, больниц и т.д.

Traffic Inspector Internet Center работает на персональном компьютере форм-фактора mini-ITX (корпус Morex 2600 CUBID, физические размеры – 63.5 x 295 x 272 мм, потребляемая мощность 60 Ватт).

Технические характеристики

Traffic Inspector Internet Center построен на аппаратной базе так называемого неттопа с процессором Intel Atom D410 1.66 Ггц (платформа Pine Trail) и двумя гигабайтами оперативной памяти Kingston DDR2 800 Мгц, расположенными на материнской плате Intel D410PT. Чипсет – Intel NM10 Express со встроенным видео Intel GMA 3150. Операционная система MS Windows XP SP3 Embedded инсталлирована на полноценном 3.5" HDD Western Digital SATA2 объемом 160 Гб, что обеспечивает ее быструю работу. Сетевые интерфейсы – Realtek RTL8103EL 10/100 Mbit/s, Intel Pro 100 10/100 Mbit/s.

Производительность при работе с программой в сети достаточна для выполнения типовых задач небольших сетей:

• максимальное количество пользователей в консоли – 1000 клиентов;
• максимальное количество одновременных TСP-соединений через NAT – 4000;
• максимальное количество одновременных TСP-соединений через прокси-сервер – 3000;
• максимальное количество активных соединений через NAT – 2400 (60мбит/с);
• максимальное количество активных соединений через прокси-сервер – 900 (18мбит/с).

В Traffic Inspector Internet Center предустановлена Windows XP Embedded SP3, надежная, проверенная, а главное, хорошо всем знакомая операционная система. Приставка Embedded означает, что это не обычная ретейловая поставка, а специально подготовленная сборка, из которой исключены неиспользуемые компоненты и оставлены только те модули, которые действительно необходимы для решения конкретного объема задач, в данном случае обеспечивающие функционирование интернет-шлюза. Это позволяет значительно «облегчить» операционную систему и повысить производительность применяемого оборудования.

В качестве системы восстановления используется Acronis True Image с возможность восстановления данных в режиме Hard Reset и Soft Reset.

Опционально можно использовать модули Traffic Inspector для проверки сетевого трафика на вирусы – Kaspersky Gate Antivirus или Panda Gate Antivirus и модуль фильтрации почтового спама – AntiSpam.

Подключение и установка

Подключение устройства крайне простое. Для начала работы потребуется лишь подать питание от адаптера 220/12 V в соответствующий коннектор, подключить сетевые кабели в разъемы «Интернет» и «Локальная сеть».

После включения устройства ждем его загрузки 2 минуты, и можно приступать к работе. Все предварительные настройки уже сделаны. Управлять Traffic Inspector Internet Center можно как по RDP, так и через Консоль Администрирования Traffic Inspector или встроенный веб-портал.

Произведем подключение через RDP – «Подключение к рабочему столу».

Шаг 1. Указываем адрес компьютера 192.168.0.1. (IP по умолчанию для Traffic Inspector Internet Center), для входа в систему используем логин: Desktop, пароль: 7755991.

После подключения открывается Консоль Администрирования Traffic Inspector, где производятся основные действия по управлению комплексом.

Шаг 2. Для начала работы пользователей локальной сети необходимо создать соответствующих клиентов программы Traffic Inspector. Для этого нужно зайти в «Биллинг –> Клиенты», нажать правой кнопкой мыши в правом поле и выбрать «Добавить нового клиента». Для авторизации можно использовать как логин и пароль, так и IP, MAC-адрес, связку IP+MAC, логин и пароль + MAC и т.п.

Шаг 3. После создания клиента необходимо настроить ему права доступа в Интернет: разрешить или запретить определенные протоколы, сети, порты и ресурсы, назначить лимит трафика и ограничение скорости.

Сразу же после создания пользователя необходимо добавить на его счет разрешенный объем трафика или некоторую сумму денег, в зависимости от того, какая единица расчетов будет использоваться.

Данные для входа сообщаются клиентам, после чего при первом входе на какой-либо сайт пользователь будет перенаправлен на встроенный веб-портал Traffic Inspector, где ему предложат установить клиентский агент или запустить веб-агент (например, в том случае, если у клиента ОС Linux, MAC и т.п.).

Пользователь введет свои данные для входа – например, логин и пароль – и начнет работу в Интернете.

Итак, комплекс Traffic Inspector Internet Center – простое и функциональное аппаратное решение, обеспечивающее раздачу Интернета на компьютеры, безопасность сети, фильтрацию и блокировку, позволяющее осуществлять контроль, учет, статистику и мониторинг. Для малых и средних организаций самого широкого спектра деятельности Traffic Inspector Internet Center станет незаменимым решением для подключения локальных сетей к Интернету.

1. Сайт программного продукта Traffic Inspector компании «Смарт-Софт» – http://www.smart-soft.ru .
2. Страница аппаратно-программного комплекса Traffic Inspector Internet Center – http://www.smart-soft.ru/?page=tiic .

Вконтакте

Как уже говорилось, шлюз сети - то, что одним интерфейсом обращено в локальную сеть, а другим - во внешнюю сеть (сеть провайдера, которая уже является частью Интернета). В малых сетях чаще всего используют «аппаратные» шлюзы - малогабаритные устройства, в которых все функции реализованы в микропрограмме-прошивке. Для подключения по выделенной линии Ethernet это роутеры с портами WAN и LAN, для подключения по технологии ADSL - модемы-маршрутизаторы ADSL с интерфейсом RJ-11.

Прошивка является встроенной операционной системой с программами маршрутизации, брандмауэром и т. п., а также с веб-сервером для настройки и управления устройством. Для многих моделей модемов и роутеров выходят различные версии прошивок. как просто обновленные (исправленные), так и с добавленными сетевыми функциями и настройками. На своих сайтах производители сетевого оборудования выкладывают прошивки вместе с описаниями изменений и дополнений.

Однако слишком уповать на появление принципиально новых функций в очередных прошивках не стоит. Хотя добавить в образ встроенной системы тот же брандмауэр или поддержку DDNS технически легко, срабатывают чисто маркетинговые соображения. Нужен «продвинутый» роутер - сразу покупайте соответствующую модель устройства!

По сравнению с «аппаратным» решением шлюз на базе компьютера предоставляет гораздо больше возможностей. Во-первых, программы для ПК отличаются обилием ф>т€кцнй и настроек. Во-вторых, выбор устанавливаемых программ ничем не ограничен - «компьютерное» решение универсально.

Ограничиться обычным аппаратным шлюзом или назначить на эту роль отдельный компьютер?

Решение зависит от круга задач.

• В простейшем случае от шлюза Интернета требуется одно: чтобы все компьютеры сети получили доступ к любым ресурсам Всемирной сети. т. е. к серверам с любыми IP-адресами и по любым протоколам. Такую возможность обеспечивает любой аппаратный маршрутизатор или модем ADSL.
• Вторая ситуация: в вашей локальной сети работает сервер, например видеосервер или компьютер с удаленным рабочим столом (сервер терминалов), и к нему нужно обеспечить доступ из Интернета. Такая возможность тоже предусмотрена практически в любом аппаратном шлюзе. Функция обычно называется Virtual Server (виртуальный сервер) либо она «спрятана» среди настроек NAT. В среднестатистическом офисе большего обычно и не требуется. Для направления запросов от компьютеров локальной сети в Интернет н открытием доступа из Интернета к одному из компьютеров сети хватит самого простого роутера.

Что «умеют» прошивки более сложных и дорогих моделей?

Назовем еще две задачи, которые можно решить с их помощью.

• В локальной сети работает несколько серверов, например несколько IP-камер или компьютеров с удаленным управлением. В таком случае необходимо, чтобы шлюз позволял обращаться из Интернета к любому из серверов. Подобная функция называется Port Forwarding (перенаправление портов). В зависимости от модели роутера или ADSL-модема она бывает реализована в настройках виртуального сервера либо среди расширенных настроек NAT.
• Необходимо ограничить доступ к определенным ресурсам Интернета. Например, запретить доступ из локальной сети к некоторым IP-адресам или URL, или работу по определенным протоколам. Раздел настроек может называться Firewall (Брандмауэр). Parental Control (Родительский контроль). Black List (Черный список). Однако в аппаратных шлюзах правила обычно распространяются на все компьютеры локальной сети, и кому-то доступ запретить, а кому-то разрешить не получится.

Более сложные задачи целесообразно решать с помощью программных шлюзов на базе компьютера. Какая аппаратная платформа подойдет на эту роль? Практически любой компьютер, даже сильно устаревший! Например, Pentium III с памятью объемом 256 Мбайт и совсем маленьким жестким диском. Прокси-серверы и брандмауэры к ресурсам нетребовательны. К столь же «легким» задачам относятся роли файлового или почтового сервера, и все их можно отлично совместить на одной машине.

Чтобы компьютер работал в качестве шлюза, в нем должно быть минимум две сетевых карты. К одной подключается коммутатор локальной сети, а к другой - выделенная линия или ADSL-модем. Сетевых интерфейсов может быть и больше. Например, GSM-модем, который будет использоваться как резервный канал подключения к Интернету.

Как всегда, существуют два принципиальных решения: компьютер с ОС Windows и компьютер с ОС Linux или FreeBSD. При этом в среде Windows часто запускают не только шлюз, но и другие службы, получая в результате многофункциональный сервер малой сети. То же самое можно делать и в среде Linux: в комплект пакетов любого «настольного» дистрибутива Linux обязательно входит хотя бы один прокси-сервер, например Squid, Privoxy, 3proxy. Есть в популярных дистрибутивах и множество других серверных возможностей - только устанавливайте соответствующие пакеты, настраивайте и пользуйтесь!

Если компьютер будет нести исключительно функции шлюза, удачным решением окажутся специализированные сборки на основе Linux. - программа платная. Тех же, кто заинтересован в свободном ПО, но побаивается глубоко вникать в настройки программ для Linux, привлекают мини-дистрибутивы наподобие Smooth Wall Express, Coyote Linux, Freesco и др. Достоинство их в том, что вся настройка производится с помощью дружественного мастера или через столь же наглядный веб-интерфейс.

Из платных программ, работающих в среде Windows, в первую очередь назовем , и . По своим функциям эти шлюзы довольно близки.

Каковы их основные возможности?

• Авторизация пользователей по IP-адресу, имени/паролю. Для каждого из пользователей локальной сети на прокси-сервере заводится учетная запись. Поэтому в дальнейшем любые правила применяются к конкретным пользователям и группам.
• Настраиваемый межсетевой экран (брандмауэр). Он действует на основании набора правил. Каждое правило определяет, откуда, куда и какой трафик разрешен или, наоборот, запрещен. Параметрами могут выступать IP-адреса или имена узлов, номера портов, протоколы, обращающиеся к сети программы, тип и размер передаваемых файлов и т. д. Редактирование правил - самая важная часть настройки шлюза.
• Распределение пропускной способности канала, ограничение скорости для отдельных пользователей или групп, выделение квот на объем полученных данных.
• Сбор сведений о сетевой активности, ведение статистики.
• Интеграция антивирусных программ. Антивирус, установленный на одном компьютере со шлюзом, проверяет весь входящий трафик, в том числе загружаемые файлы и вложения электронной почты.

О других функциях и особенностях настройки этих программ подробно рассказывается в их справочной системе. Управление традиционно организовано в окне консоли: в левой части окна перечислены в виде дерева все настройки программы, а в рабочей области отображаются и редактируются свойства каждой из них.

Лицензии приобретаются на определенное число пользователей. Такая схема лицензирования характерна для большинства платных шлюзов и брандмауэров. Если вам нужно больше возможностей, чем предоставляют аппаратные шлюзы, но меньше, чем у названных программ, стоит обратить внимание на бесплатное ПО для Windows. Например, это 3proxy free proxy server, ES Proxy, AnalogX Proxy, FreeProxy, SmallProxy. Практически все свободное ПО для шлюзов является кроссплатформенным, оно было перенесено в среду Windows из Linux. Поэтому и способ настройки у таких программ специфический - с помощью написания и редактирования конфигурационных файлов.

Проблема подбора решения для небольшого предприятия

Общаясь с сиcтемными администраторами и с руководителями небольших компаний, лицами, принимающими решения касательно ИТ, не раз доводилось слышать о проблеме подбора решения для реализации Интернет-шлюза на небольших предприятиях.

Решения домашнего уровня, такие как WiFi-маршрутизаторы DLink, Asus, Zyxel и другие стоимостью 2000-3000 руб., обладают следующими преимуществами:

• низкая стоимость и простая настройка.

НО

• в них нет учета трафика, возможности запрета определенных категорий сайтов,
• отсутствует выдача статистики по пользователям,
• они не имеют возможности тонкой настройки, для приоритезации отдельных видов трафика, например, для нормального функционирования IP-телефонии,
• не обладают возможностями использования двух каналов Интернет.

Таким образом, их использование обосновано в компаниях до 10 сотрудников , где отсутствуют требования по учету трафика (все сотрудники и так более-менее на виду) , и где в большинстве случаев используется один канал Интернет, повышенных требований по доступности этого сервиса руководством не выдвигается.

С другого края рынка имеем сегмент решений для корпоративных клиентов , компаний, насчитывающих 100-200 сотрудников и более. Такие компании отличаются достаточно большими бюджетами на ИТ. С точки зрения существующих решений данного класса, то рынок выглядит более менее благополучно, существуют такие поставщики коммуникационного оборудования как Циско, Джунипер, НР, Длинк, Irongate . И поставщики системного программного обеспечения такие как Microsoft, Kerio, Wingate. Особенностью данных решений является высокая стоимость владения. Каждая задача решается, как правило отдельным устройством.

Допустим, банк может себе позволить купить VPN-маршрутизатор Cicso, межсетевой экран Nokia, а для посдчета трафика и ускорения загрузки повторяющихся страниц поставить Microsoft Windows Server c компонентом ForeFront Security.

Что касается касается решений для компаний среднего размера , то на рынке на данный момент практически нет готовых отработанных решений, обладающих достаточными функциями и гибкостью настройки, и в то же время приемлемой стоимостью покупки и обслуживания.

В то же время спрос на доступные решения Интернет-шлюза неуклонно растет — малые компании стремятся максимально полно использовать достижения ИТ-технологий для повышения эффективности своей работы (в первую очередь учет использования интернет сотрудниками, во вторую внедрение IP-телефонии и VPN-сетей для объединения офисов и безопасного подключения надомных сотрудников). Директора малых компаний интересуются решениями, которые путем разумных затрат могут реализовать эти новшества на их предприятиях.

Вторая тенденция наблюдается со стороны крупных компаний , корпоративные стандарты которых становятся менее жесткими, количество поставщиков решений увеличивается. Эти компании с каждым годом все более внимательно относятся к затратам на ИТ, стараются максимально их оптимизировать. В ряде случаев путем выбора комплексных комбинированных решений, в том числе созданных на основе открытого кода, позволяющих за одну стоимость решить сразу несколько задач.

Третья тенденция просматривается в том, что в целом по отрасли отношение к открытому программному коду теплеет , всё большее число компаний готово эксплуатировать данные решения при наличии качественной техподдержки от системного интегратора.

Интеллект-Сервис уже 3 года занимается разработкой, тестированием, внедрением и сопровождением Интернет-шлюза Debian-CBS.

Debian-CBS - это решение, основанное на свободнораспростаняемом дистрибутиве операционной системы Дебиан. Её лицензионный договор не запрещает любые изменения и доработки дистрибутива, в т.ч. с целью коммерческого использования. Была сделана сборка операционной системы, включающая свободнораспространяемые пакеты, позволяющие реализовать функционал Интернет-шлюза. Далее были разработаны скрипты и конфигурационные файлы, которые позволяют разворачивать интернет-шлюз на новом аппаратном обеспечении в течении 10 минут, которые добавляют некоторые функции мониторинга Интернет-соединения и быстрого добавления пользователей.

Узнать больше Вы можете на странице, посвященной .

Корпоративный интернет-шлюз - голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети , анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

• наличие контентной фильтрации,
• возможность фильтрации HTTPS,
• назначение фильтров в зависимости по времени,
• на определенные группы пользователей,
• наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты: