Вибираємо проксі сервер

Сьогодні на ринку є достатня кількість proxy-серверів, що володіють різними можливостями. Одні рішення надаються безкоштовно, за право користування іншими необхідно заплатити. І тут перед адміністратором, який займається питанням надання загального доступу в Internet, виникає дилема. Що краще, заплатити гроші за комерційний продукт або ж скористатися безкоштовною програмою? Пропоную не займатися абстрактним міркуваннями, а розглянути практичні кроки. Адже зрозуміти, яка програма вам підійде більше, досить просто. Необхідно визначити коло завдань, які передбачається вирішити за допомогою продукту, і порівняти функціональність безкоштовного і комерційного варіантів.

FreeProxy

Як приклад безкоштовного proxy-сервера можна взяти програму FreeProxy (див. Екран 1). Відразу відзначимо, що це один з кращих представників свого класу. Даний продукт має дійсно широкими (для безкоштовного продукту) функціональними можливостями, що за великим рахунком рідкість. Більшість безкоштовних proxy-серверів мають мінімальну функціональність. А в міру додавання цінних функцій переходять в розряд комерційних.

Отже, що ж собою являє FreeProxy? Це proxy-сервер з підтримкою протоколів HTTP, FTP, SMTP, POP, NNTP і інших. З його допомогою можна регулювати перегляд Web-сторінок, завантаження файлів, роботу з поштовими скриньками, спілкування в ICQ і т. П. Тобто відстежувати всі дії, типові при використанні Internet. У цьому proxy-сервері реалізована також підтримка тунелювання TCP і технології SOCKS5.

Облікові записи користувачів, зареєстровані в програмі FreeProxy, можуть бути розбиті на групи для більш зручного управління. Причому в proxy-сервері реалізована можливість завантаження інформації з Active Directory. Для аутентифікації користувачів можуть застосовуватися різні технології, зокрема авторизація через HTTP з використанням методів Basic або Digest, а також авторизація по NTLM.

В даному proxy-сервері реалізовані деякі можливості для реалізації політики доступу користувачів в Internet. Зокрема, адміністратор може вказати час доступності глобальної мережі, визначити коло сайтів, на яких дозволений доступ тільки деяким групам або користувачам, ввести розклад роботи з деякими сайтами, створити чорний список IP-адрес і Web-порталів, доступ до яких закритий повністю.

FreeProxy веде статистику роботи і для зручності адміністратора може генерувати різні звіти. Всього їх чотири: звіт щодо порушень політики доступу, детальний журнал доступу до сайтів, сумарний звіт по кожному користувачеві і звіт по помилках. Цього, звичайно, недостатньо для повного контролю реалізації політики використання Internet, проте звіти можуть стати в нагоді для виявлення багатьох порушень.

Крім цього, в даному продукті реалізований цілий ряд додаткових функцій. Серед них варто відзначити, наприклад, автоматичне від'єднання від Internet за розкладом, віддалений доступ до статистики роботи користувачів, робота в складі каскаду proxy-серверів, кешування Web-сторінок і т. П. Окремо варто згадати про простому Web-сервері, включеному до складу FreeProxy. З його допомогою можна створити на базі Internet-шлюзу невеликий сайт, доступний або тільки з локальної мережі, або і з локальної мережі і Internet.

На завершення варто зазначити, що розглянутий proxy-сервер розроблений за кордоном, а тому має англомовними інтерфейсом і довідковою системою. І це ще не все. Спілкуватися з розробниками (технічної підтримки, як ви розумієте, немає) в разі виникнення проблем також доведеться англійською мовою.

UserGate

Переходячи до розбору комерційного продукту, ми перш за все очікуємо, що він повинен володіти більш широкими функціональними можливостями. UserGate, proxy-сервер від російської компанії Entensys, являє собою багатофункціональну систему організації загального доступу в Internet (див. Екран 2). У ній реалізовані механізми забезпечення безпеки локальної мережі, фільтрації і повного контролю використання глобальної мережі.

Для «роздачі» Internet на комп'ютери локальної мережі в цій програмі може використовуватися один з трьох режимів роботи: як звичайний proxy-сервер, як прозорий proxy-сервер (при його використанні не потрібно налаштування кожної програми, яка підключається до Internet на комп'ютерах користувачів) і як сервер NAT (що забезпечує істотно більшу продуктивність). Крім того, в UserGate є підтримка призначення портів - рort mapping. В сумі це дозволяє організувати доступ до Internet практично будь-яких додатків, починаючи від браузерів і поштових клієнтів і закінчуючи спеціалізованими рішеннями. Окремо варто відзначити підтримку програмою UserGate протоколів SIP і H323, використовуваних в системах IP-телефонії, і можливість її роботи в якості VoIP-шлюзу.

В даному proxy-сервері реалізовані гнучкі можливості по управлінню обліковими записами користувачів. Всі вони можуть бути об'єднані в групи. Це забезпечує зручну і просту настройку політики доступу навіть в тому випадку, якщо рахунок клієнтів йде на десятки і сотні. Авторизація користувачів на сервері може здійснюватися різними способами. Для цього в UserGate реалізована підтримка декількох технологій: автоматична авторизація по IP-адресою або зв'язці IP-адреса плюс MAC-адресу, HTTP-авторизація з введенням імені і пароля, використання авторизації в Windows і в Active Directory (в програмі реалізована функція імпорту облікових записів користувачів з Active Directory).

UserGate дозволяє реалізовувати як завгодно складну політику використання Internet. Так, наприклад, адміністратор може встановити ліміт добового і місячного трафіку, прописати конкретні сайти (просто вказавши частина адреси) і IP-адреси, доступ до яких буде закрито і т. П. Крім цього, в даному proxy-сервері передбачена функція динамічного розподілу смуги пропускання Internet-каналу по протоколах або користувачам, що дозволяє виділити гарантовану смугу під трафік певного типу або для роботи деяких співробітників. Завдяки такому підходу можна уникнути таких ситуацій, коли деякі користувачі починають активно завантажувати файли з Internet, практично блокуючи роботу своїх сусідів. Можна організувати і інші обмеження, зокрема дозволити або заборонити окремим абонентам або цілим групам доступ до тих чи інших протоколах, завантаження файлів певного дозволу, перегляд флеш-роликів, налаштувати розклад роботи і т. П.

Окремої згадки заслуговують реалізовані в UserGate модулі BrightCloud Service і BrightCloud Master Database. Вони являють собою систему фільтрації сайтів, в базі якої містяться сотні мільйонів Web-сторінок, розбитих по 70 категоріям. Наявність таких баз дає дві переваги. По-перше, можна забороняти користувачам перегляд сайтів певних категорій. Ця функція може використовуватися для захисту дітей від небезпек глобальної мережі, для підвищення безпеки локальної мережі (на потенційно небезпечні сайти часто зустрічаються троянські коні і віруси), а також для збільшення продуктивності співробітників (заборона доступу до розважальним сайтам, соціальним мережам і т. П. ). По-друге, завдяки системі BrightCloud програма може відображати в звітах дані про відвідування сайтів різних категорій кожним користувачем окремо. Ця інформація напевно стане в нагоді керівникам організацій, так як може свідчити про порушення політики використання Internet.

Природно, програма UserGate веде повний журнал роботи всіх користувачів. При цьому адміністратор може переглядати інформацію у вигляді звітів за будь-який період часу. Дані можуть виводитися як сумарно, так і окремо по кожному користувачеві. Працювати зі статистикою можна як за допомогою спеціального програмного клієнта (віддалено, але в межах локальної мережі), так і за допомогою Web-модуля статистики (забезпечує перегляд інформації через Internet). Варто відзначити, що в програмі реалізовано поділ прав користувачів на перегляд інформації. Зокрема, можна дозволити користувачам звертатися до своєї статистики, але заборонити їм доступ до інших даних. У разі якщо на клієнтських комп'ютерах встановлено спеціальний модуль мережевого екрану (докладніше про нього трохи пізніше), в статистиці, крім іншого, буде збиратися інформація про трафік, витрачений різними додатками, і про запити на підключення до Internet від програм, яким заборонений вихід в Internet .

У плані безпеки розробники UserGate реалізували в proxy-сервері інструменти для захисту локальної мережі та її користувачів від зловмисників. І в першу чергу це вбудований антивірус. Точніше, два антивірусних ядра - від «Лабораторії Касперського» і компанії Panda Security. Причому обидва ядра можуть працювати як окремо один від одного, так і одночасно, послідовно перевіряючи весь вступник трафік, виявляючи в ньому шкідливий код і видаляючи його. Тобто фактично мова йде про повноцінну антивірусного захисту зовнішнього периметра локальної мережі.

Другий інструмент, покликаний забезпечити безпеку користувачів, - мережевий екран. Це спеціальний клієнтський модуль, який встановлюється на комп'ютерах кінцевих користувачів. Його можна назвати «брандмауером для додатків». Встановлений на комп'ютері, він може вирішувати певним програмам працювати в Internet і блокувати всі спроби доступу інших програм. Важливо, що управляти всіма клієнтськими модулями, встановленими на комп'ютери користувачів, можна централізовано. Це дозволяє реалізувати єдину політику безпеки в межах локальної мережі - адміністратор може централізовано вказувати, яким додаткам дозволено виходити в Internet, а яким ні.

Говорячи про UserGate, не можна не згадати і про реалізованої в цьому proxy-сервері білінгової системи. Вона грунтується на заданих правилах і тарифах і автоматично «переводить» зайнятий користувачем трафік в грошовий вираз. Причому правила, які вказуються в тарифах, дуже гнучкі. З їх допомогою можна вказати залежність вартості трафіку від сайту, з якого він йде, часу доби і дня тижня. Причому для кожного користувача окремо або для груп можна створювати свої тарифи.

Крім цього, в proxy-сервері UserGate реалізовано чимало додаткових можливостей. До них відноситься кешування інформації по протоколах HTTP і FTP для зменшення завантаження каналу Internet і низького споживання каналу, планувальник завдань, гнучкий генератор звітів з експортом інформації в додатку Excel, OpenOffice Calc і формат HTML, вбудований Web-сервер, модуль UserGate Cache Explorer для перегляду кеша і багато іншого.

За що варто платити?

Отже, ми розглянули два proxy-сервера - вільно поширюваний і комерційний. Який з них краще? Однозначно відповісти на це питання не можна. Все залежить від того, під яке завдання вибирається продукт. В принципі обидва рішення дозволяють організувати спільне використання всіх основних можливостей Internet, включаючи читання пошти, відвідування сайтів, спілкування в ICQ і т. П. У UserGate реалізована технологія NAT, механізм прозорого proxy-сервера і більше способів авторизації користувачів. В сумі вони забезпечують більшу продуктивність і більш зручну настройку робочих систем клієнтів. Крім того, в цьому продукті передбачена підтримка технологій VoIP.

Приблизно те ж саме можна сказати і про реалізацію політики доступу до Internet. В принципі у FreeProxy є всі основні можливості для управління користувачами. Однак деяким адміністратором напевно буде не вистачати ряду можливостей, наприклад установки добового і місячний ліміт споживання.

Крім того, в UserGate є цілий ряд «додаткових» можливостей, які можуть надати істотну допомогу. Найважливішими з них є механізми забезпечення безпеки локальної мережі від Internet-загроз - антивірус і брандмауер. Також при вирішенні цілого ряду завдань можуть виявитися дуже корисними такі функції, як можливість заборони доступу до сайтів за категоріями і вбудований білінг.

Таким чином, можна зробити наступний висновок. Програма FreeProxy може успішно використовуватися в невеликих «некомерційних» мережах. Наприклад, з її допомогою можна організувати загальний доступ до Internet в шкільних кабінетах інформатики. Інший приклад - «квартирні» мережі. Сьогодні в багатьох сім'ях у дітей є власні комп'ютери. Підключення їх до глобальної мережі за допомогою даного proxy-сервера дозволить батькам контролювати доступ дитини до Internet і контролювати його дії.

Proxy-сервер UserGate більше підходить для комерційних компаній, а також великих некомерційних організацій. І справа тут навіть не тільки в тому, що він забезпечує більшу продуктивність. UserGate дозволяє скоротити витрати на оплату трафіку в Internet і обслуговування системи доступу, збільшити продуктивність роботи співробітників (за рахунок надійної реалізації політики використання глобальної мережі). Крім того, не можна забувати і про збільшення ступеня захисту корпоративної мережі від вторгнень ззовні.

Марат Давлетханов ( [email protected] )