Εκτός από τη λογιστική κίνησης, το ICS καθιστά δυνατό τον περιορισμό της πρόσβασης στο Διαδίκτυο και σας επιτρέπει επίσης να ελέγχετε πλήρως την ταχύτητα μεταφοράς δεδομένων. Αυτό είναι ένα από τα πιο αποτελεσματικά συστήματα που σας επιτρέπει να διαχειρίζεστε την πρόσβαση των χρηστών εταιρικού δικτύου στο Διαδίκτυο.

Πλήρης έλεγχος για αποτελεσματική χρήση του εταιρικού δικτύου

Ο περιορισμός του Διαδικτύου είναι ένα από τα επείγοντα καθήκοντα κατά τη δημιουργία και τη διατήρηση ενός εταιρικού δικτύου. Δεν είναι μυστικό ότι συχνά οι υπάλληλοι γραφείου δεν χρησιμοποιούν πρόσβαση στο Διαδίκτυο για να λύσουν προβλήματα εργασίας. Ως αποτέλεσμα, η παραγωγικότητα της εργασίας μειώνεται σημαντικά, πράγμα που σημαίνει ότι υποφέρει η επιχειρηματική αποδοτικότητα.

Το ICS έχει ευρείες δυνατότητες, συμπεριλαμβανομένης της δυνατότητας περιορισμού της πρόσβασης, και σας επιτρέπει επίσης να ορίσετε περιορισμούς στην κίνηση στο Διαδίκτυο μέσω IP ή από επιλεγμένες διευθύνσεις URL στο δίκτυο. Όλοι οι περιορισμοί ενδέχεται να ισχύουν για διαφορετικές κατηγορίες και ομάδες χρηστών. Αυτό διασφαλίζει την αποτελεσματική χρήση του εταιρικού δικτύου, το οποίο βελτιώνει την παραγωγικότητα και επίσης μειώνει το κόστος των υπηρεσιών παρόχου.

Είναι δυνατός ο εύκολος έλεγχος της ταχύτητας του Διαδικτύου στο δίκτυο της εταιρείας σας μέσω της χρήσης του διακομιστή μεσολάβησης και του τείχους προστασίας. Αυτό δίνει σιγουριά ότι όλοι οι εργαζόμενοι χρησιμοποιούν τον Παγκόσμιο Ιστό μόνο για την επίλυση εργασιακών προβλημάτων. Ως αποτέλεσμα, η αποδοτικότητα του γραφείου αυξάνεται σημαντικά και τα κέρδη αυξάνονται.

Έλεγχος χρήσης του Διαδικτύου με χρήση ICS

Χάρη στη χρήση του ICS, παρέχεται άνετος έλεγχος της πρόσβασης των χρηστών στο Διαδίκτυο στο εταιρικό δίκτυο, ο οποίος μπορεί να υλοποιηθεί με διάφορους τρόπους. Μπορείτε να περιορίσετε την κίνηση στο Διαδίκτυο χρησιμοποιώντας ευέλικτες ρυθμίσεις. Προσφέρονται οι ακόλουθες λειτουργίες:

• εάν ο αποκλεισμός παραβιαστεί, εκδίδεται ένα συγκεκριμένο μήνυμα ή ο χρήστης ανακατευθύνεται σε συγκεκριμένο ιστότοπο.
• είναι δυνατό να οριστεί ένας προσωρινός περιορισμός πρόσβασης στο Διαδίκτυο.
• έλεγχος της επισκεψιμότητας και των πόρων που επισκέφθηκαν χρησιμοποιώντας φιλτράρισμα περιεχομένου - η πρόσβαση σε πόρους μιας συγκεκριμένης κατηγορίας είναι αποκλεισμένη.

Επιπλέον, το πρόγραμμα σάς επιτρέπει να διαμορφώσετε διάφορες μεθόδους εξουσιοδότησης. Έτσι, ο περιορισμός και ο έλεγχος της πρόσβασης στο Διαδίκτυο μπορεί να πραγματοποιηθεί χρησιμοποιώντας τις ακόλουθες μεθόδους:

• εισάγοντας τη σύνδεσή σας και τον ατομικό κωδικό πρόσβασης·
• απόκτηση πρόσβασης στο Διαδίκτυο όταν συνδέεστε σε προσωπικό λογαριασμό ("ActiveDirectory").
• εξουσιοδότηση για μια συγκεκριμένη IP·
• χρήση ενός ειδικού προγράμματος αντιπροσώπων.

Δυνατότητες διαχείρισης χρηστών

Είναι δυνατό να ενωθούν οι χρήστες του τοπικού δικτύου επιχειρήσεων σε ομάδες ανάλογα με οποιαδήποτε χαρακτηριστικά, για παράδειγμα, οργανωτική δομή, ευθύνες εργασίας κ.λπ. Αυτό αυξάνει σημαντικά την αποτελεσματικότητα του ελέγχου πρόσβασης στα τοπικά δίκτυα. Σε κάθε μία από αυτές τις ομάδες μπορεί να εκχωρηθεί ένας ξεχωριστός διαχειριστής. Ο έλεγχος χρήσης του Διαδικτύου μπορεί να περιλαμβάνει αποκλεισμό ή περιορισμό της πρόσβασης ξεχωριστά για οποιαδήποτε από τις υπάρχουσες ομάδες με δυνατότητα καθορισμού λεπτομερών κανόνων.

Πρόσβαση στο Διαδίκτυο μπορεί επίσης να παρέχεται σε άλλες επιχειρήσεις με τη δυνατότητα να ορίζουν ορισμένους περιορισμούς. Σε αυτήν την περίπτωση, μπορεί να δημιουργηθεί μια ξεχωριστή ομάδα για καθεμία από αυτές τις επιχειρήσεις με κωδικό πρόσβασης που παρέχεται στον διαχειριστή της. Αυτό μπορεί να ονομαστεί μεταφορά ενός εικονικού ICS για χρήση από τρίτο μέρος.

Εργασία με απομακρυσμένα γραφεία

Με την αγορά ενός ICS, λαμβάνετε έναν έτοιμο διακομιστή VPN, ο οποίος θα παρέχει επικοινωνία με απομακρυσμένα γραφεία της εταιρείας χρησιμοποιώντας κρυπτογραφημένο τούνελ με δυνατότητα ελέγχου ταχύτητας Internet για καθένα από αυτά. Η επικοινωνία παρέχεται τόσο αποτελεσματικά σαν απομακρυσμένα γραφεία να ήταν φυσικά συνδεδεμένα με το γενικό εταιρικό δίκτυο της εταιρείας.

Αγορά ενός ICS

Μπορείτε να αγοράσετε ICS χρησιμοποιώντας τη φόρμα παραγγελίας στον ιστότοπό μας.

Η εταιρεία μας παρέχει ενεργή τεχνική υποστήριξη στους πελάτες για όλα τα θέματα που σχετίζονται με τη χρήση του προγράμματος. Με την αγορά μιας πρόσθετης άδειας ενημέρωσης (Premium), αφήνετε όλες τις ανησυχίες σχετικά με την εγκατάσταση, τη διαμόρφωση και τη συντήρηση του ICS στα χέρια των ειδικών μας - μια ιδανική επιλογή για όσους θέλουν να αγοράσουν και να ξεχάσουν, ενώ αποκομίζουν τα μέγιστα οφέλη από τη χρήση του ICS . Για οποιαδήποτε συμβουλή, επικοινωνήστε με το τμήμα πωλήσεων.

Pavlov Sergey System μηχανικός στη Softmart

Αυτό το άρθρο παρουσιάζει τους πιο δημοφιλείς τρόπους σύνδεσης του γραφείου ενός μικρού οργανισμού στο Διαδίκτυο. Το άρθρο δεν εξετάζει ζητήματα επιλογής παρόχου και θέματα επιλογής τελικού εξοπλισμού για σύνδεση στο δίκτυο. Υποθέτουμε ότι ο πάροχος παρέχει στον οργανισμό τα ακόλουθα:

1. Διεπαφή δικτύου Ethernet RJ45 - ένα πρότυπο για εξοπλισμό δικτύου σε τοπικά δίκτυα
2. Διεύθυνση IP - μία ή περισσότερες, μόνιμη ή δυναμική
3. Διεύθυνση IP πύλης και DNS

Ας δώσουμε επίσης ένα μικρό πορτρέτο του οργανισμού για τον οποίο προορίζεται αυτό το άρθρο:

1. Αριθμός υπολογιστών στο δίκτυο - έως 30.
2. Υπάρχει ένας διακομιστής αρχείων ή διακομιστής εταιρικού συστήματος διαχείρισης στο δίκτυο.
3. Ο διακομιστής Web και ο διακομιστής αλληλογραφίας του οργανισμού φιλοξενούνται από τον πάροχο και όχι στο τοπικό δίκτυο της επιχείρησης.
4. Το κανάλι Διαδικτύου θα χρησιμοποιείται από τους υπαλλήλους κυρίως για την εργασία με e-mail και την προβολή ιστοσελίδων.
5. Οι υπολογιστές και οι διακομιστές του οργανισμού πρέπει να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση μέσω Διαδικτύου.

Μπορούν επίσης να αναφερθούν πιθανές, αλλά σπάνια συναντούμενες καταστάσεις:

1. Ασφαλής σύνδεση των εργαζομένων στο δίκτυο του οργανισμού εξ αποστάσεως - από το σπίτι ή άλλο γραφείο.
2. Ασφαλής σύνδεση μικρών γραφείων που βρίσκονται γεωγραφικά.
3. Τοποθέτηση διακομιστή Web, διακομιστή αλληλογραφίας, διακομιστή οποιουδήποτε εσωτερικού συστήματος διαχείρισης εντός του δικτύου του οργανισμού, παρέχοντας δωρεάν πρόσβαση σε αυτούς για υπαλλήλους ή πελάτες μέσω Διαδικτύου.

Με αυτήν την προσέγγιση, ένας προσωπικός υπολογιστής ή διακομιστής εκχωρείται για την οργάνωση της πρόσβασης στο Διαδίκτυο. Ο διακομιστής ή ο υπολογιστής είναι εξοπλισμένος με μια πρόσθετη κάρτα δικτύου. Ένα από αυτά συνδέεται στο δίκτυο του παρόχου, το άλλο στο μεταγωγέα δικτύου του οργανισμού.
Συνιστάται η εκτέλεση της υπηρεσίας NAT στην πύλη - μετάφραση δικτύου των διευθύνσεων IP.

Πλεονεκτήματα αυτής της λύσης:

1. Η δυνατότητα χρήσης ενός ευρέος φάσματος λογισμικού για την επίλυση ποικίλων προβλημάτων, για παράδειγμα:
για την προστασία του διακομιστή και του δικτύου από επιθέσεις από το Διαδίκτυο.
για προστασία από ιούς του διακομιστή, της κυκλοφορίας ή του email.
για προστασία από ανεπιθύμητα μηνύματα.
για καταμέτρηση κίνησης?
για τη διαχείριση της πρόσβασης στο Διαδίκτυο από υπαλλήλους του οργανισμού·
2. Αρκεί μία διεύθυνση IP από τον πάροχο.
3. Με τη χρήση της υπηρεσίας ΝΑΤ παρέχεται επαρκές επίπεδο προστασίας του τοπικού δικτύου από εξωτερικές επιρροές.
4. Χαμηλό κόστος τείχους προστασίας, αφού επιτρέπονται λύσεις για προσωπικούς υπολογιστές.
5. Μόνο ο υπολογιστής πύλης είναι ορατός από το Διαδίκτυο και οι χάκερ μπορούν να επιτεθούν μόνο σε αυτόν τον υπολογιστή. Το τοπικό δίκτυο, συμπεριλαμβανομένων των διακομιστών και των σταθμών εργασίας, δεν είναι καταρχήν προσβάσιμο σε αυτούς. Έτσι, εάν η πύλη αποτύχει, το τοπικό δίκτυο του οργανισμού συνεχίζει να λειτουργεί.

Ελαττώματα

1. Εάν ο υπολογιστής πύλης χρησιμοποιείται επίσης ως κανονικός σταθμός εργασίας για έναν από τους υπαλλήλους, για παράδειγμα, με βάση την εξοικονόμηση κόστους, τότε είναι πιθανά σοβαρά προβλήματα ασφάλειας. Ένας χρήστης που εργάζεται στην πύλη μπορεί, μέσω των ενεργειών του, να αποδυναμώσει την ασφάλεια του διακομιστή. Επιπλέον, ενδέχεται να υπάρχουν προβλήματα με την απόδοση της πύλης, καθώς ο χρήστης θα αναλάβει μέρος της ενέργειας του υπολογιστή.
2. Δεν συνιστάται ιδιαίτερα η χρήση της πύλης ως διακομιστής αρχείων ενός οργανισμού λόγω της προσβασιμότητας του διακομιστή από το Διαδίκτυο. Απαιτείται ένα ισχυρό τείχος προστασίας (όχι προσωπικό) και η εργασία ενός πολύ καταρτισμένου ειδικού για τη διαμόρφωση της ασφάλειας στην πύλη. Ωστόσο, αυτή είναι μια πολύ κοινή διαμόρφωση σε μικρούς οργανισμούς.
3. Πρέπει να αγοραστεί πρόσθετο λογισμικό. Η υπηρεσία NAT δεν περιλαμβάνεται σε λειτουργικά συστήματα Windows εκτός από τα Microsoft Windows XP (το NAT εφαρμόζεται, αλλά με ορισμένους περιορισμούς). Το κόστος των τείχη προστασίας ποικίλλει από δεκάδες δολάρια έως αρκετές χιλιάδες. Απαιτείται τουλάχιστον ένα ειδικό πρόγραμμα για την παροχή πρόσβασης στο Διαδίκτυο σε όλους τους χρήστες του τοπικού δικτύου. (το πρόγραμμα ονομάζεται διακομιστής μεσολάβησης).
4. Απαιτείται μια πρόσθετη συσκευή - μια κάρτα δικτύου.

Κατά προσέγγιση κόστος εφαρμογής αυτής της λύσης:

Με αυτήν την προσέγγιση, για να οργανωθεί η πρόσβαση στο Διαδίκτυο, είναι απαραίτητο να ληφθεί ένας επιπλέον αριθμός διευθύνσεων IP από τον πάροχο για κάθε προσωπικό υπολογιστή στο τοπικό δίκτυο του οργανισμού. Αυτή η λύση παρέχει πιθανώς την ταχύτερη σύνδεση για τους υπαλλήλους ενός οργανισμού στο Διαδίκτυο. Ωστόσο, αυτή η λύση χρησιμοποιείται σπάνια όταν υπάρχουν περισσότεροι από δύο υπολογιστές σε μια εταιρεία για δύο λόγους:
1. Ο πάροχος είναι εξαιρετικά απρόθυμος να εκχωρήσει διευθύνσεις IP και θα σας συστήσει να μεταβείτε σε οποιοδήποτε άλλο σχήμα για τη σύνδεση υπολογιστών στο Διαδίκτυο.
2. Αυτή η λύση είναι δυνητικά η λιγότερο ασφαλής όσον αφορά την προστασία των δεδομένων σας από μη εξουσιοδοτημένη πρόσβαση και επιθέσεις από το δίκτυο.

Φόντα:

1. εύκολη εγκατάσταση υπολογιστών.
2. δεν χρειάζεται να αγοράσετε επιπλέον υπολογιστή - πύλη.
3. δεν χρειάζεται να αγοράσετε πρόσθετο λογισμικό - διακομιστή μεσολάβησης.

Ελαττώματα:

1. Πρέπει να εγκατασταθεί ένα ολοκληρωμένο σύστημα ασφαλείας σε κάθε υπολογιστή.
2. Εξαρτάται από την ικανότητα του παρόχου να παρέχει πολλαπλές διευθύνσεις IP
3. Δεν υπάρχουν στατιστικά στοιχεία για τη χρήση καναλιού

Το κόστος για την κυκλοφορία αυτής της λύσης:

Για κάθε υπολογιστή στο δίκτυο:

Οργάνωση πρόσβασης χρησιμοποιώντας συσκευές D-LINK

Η D-Link προσφέρει ένα ευρύ φάσμα συσκευών για την ασφαλή σύνδεση μικρών οργανισμών στο Διαδίκτυο. Όλες οι λύσεις μπορούν να χωριστούν σε δύο μεγάλες κατηγορίες:
1. Δρομολογητές σειράς DI
2. Τείχη προστασίας της σειράς DFL

Οι συσκευές της οικογένειας DI έχουν σχεδιαστεί ειδικά για τους σκοπούς και τις εργασίες μικρών γραφείων. Διαθέτουν όλες τις απαραίτητες λειτουργίες σε κάτι παραπάνω από λογική τιμή. Ανάλογα με το μοντέλο, οι συσκευές μπορεί να είναι εξοπλισμένες με:
τείχος προστασίας,
Σημείο πρόσβασης Wi-Fi,
ενσωματωμένος διακομιστής μεσολάβησης,
θύρα δικτύου για τη σύνδεση του εκτυπωτή,
ενσωματωμένο ADSL modem
Μονάδα VPN

Όλες οι συσκευές υποστηρίζουν:
1. DHCP (λειτουργία δυναμικής εκχώρησης διευθύνσεων IP σε υπολογιστές στο δίκτυο)
2. NAT (λειτουργία δυναμικής μετάφρασης διευθύνσεων IP από εσωτερικό δίκτυο σε διευθύνσεις IP στο Διαδίκτυο)
3. Λειτουργία εικονικού διακομιστή, απαραίτητη για την οργάνωση της πρόσβασης στον τοπικό διακομιστή από το Διαδίκτυο
4. Η λειτουργία Secure Zone, απαραίτητη για την οργάνωση της πρόσβασης σε αρκετούς τοπικούς πόρους από το Διαδίκτυο

Φόντα

3. Χαμηλή τιμή για την κατηγορία του.
4. Προστασία από επιθέσεις με χρήση NAT, + δυνατότητα εισαγωγής κανόνων για την απαγόρευση τομέων, διευθύνσεων κ.λπ.


7. Δυνατότητα δημιουργίας ασφαλών συνδέσεων στο Διαδίκτυο (VPN) για επικοινωνία με άλλα γραφεία.
8. Δυνατότητα οργάνωσης πρόσβασης σε εσωτερικούς πόρους του τοπικού δικτύου.
9. Δυνατότητα υποστήριξης χρηστών κινητής τηλεφωνίας (Wi-Fi).
10. Δυνατότητα σύνδεσης εκτυπωτή δικτύου.

Ελαττώματα:

2. Υπάρχουν περιορισμοί υλικού στον αριθμό των εργαζομένων που εργάζονται ταυτόχρονα. Η συσκευή DI μπορεί να χειριστεί έως και 2000 ταυτόχρονες συνδέσεις χωρίς αισθητή υποβάθμιση της απόδοσης.
3. Ο εξοπλισμός είναι ευαίσθητος σε επιθέσεις από μέσα, για παράδειγμα, ιούς δικτύου. Με τέτοιες επιθέσεις, το φορτίο στη συσκευή αυξάνεται απότομα.
4. Η ίδια η συσκευή προστατεύεται ελάχιστα από τυπικές επιθέσεις δικτύου. Σε αυτή την περίπτωση, αυτοί οι οργανισμοί και οι υπολογιστές, κατά κανόνα, δεν υποφέρουν.
5. Τα στατιστικά στοιχεία για τη χρήση του καναλιού από τους εργαζόμενους δεν είναι αρκετά αναλυτικά.

Κατά προσέγγιση κόστος της λύσης

Οι συσκευές της οικογένειας DFL είναι ήδη τείχη προστασίας υψηλής απόδοσης, εξοπλισμένα με όλες τις πιθανές και νέες λύσεις για την προστασία του τοπικού δικτύου και των οργανωτικών πόρων από εισβολή. Ανάλογα με το συγκεκριμένο μοντέλο, η συσκευή μπορεί, για παράδειγμα, να είναι εξοπλισμένη με:
Σύστημα ανίχνευσης εισβολής IDS
συστήματα για τον εντοπισμό τυπικών επιθέσεων και την απόκρουσή τους
σύστημα διαχείρισης εύρους ζώνης
σύστημα εξισορρόπησης φορτίου
VPN

Πρέπει να επιλέξετε ένα μοντέλο με βάση τον αριθμό των υπολογιστών στο δίκτυο και τις απαιτήσεις ασφαλείας. Είναι καλύτερο να επικοινωνήσετε με έναν σύμβουλο λύσεων της D-Link για βοήθεια.

Φόντα:

1. Οι λύσεις υλικού είναι πολύ αξιόπιστες, συμπαγείς και ανεπιτήδευτες.
2. Οι ίδιες οι συσκευές προστατεύονται καλά από επιθέσεις από το Διαδίκτυο και προστατεύουν καλά την περίμετρο του τοπικού δικτύου του οργανισμού.
3. Προστασία από επιθέσεις δικτύου, συμπεριλαμβανομένων: SYN, ICMP, UDP Flood, WinNuke, σάρωση θυρών, πλαστογράφηση, πλαστογράφηση διευθύνσεων, άρνηση υπηρεσίας κ.λπ.
4. Αφού διαμορφωθεί το σύστημα, δεν χρειάζεται περαιτέρω συντονισμός.
5. Δεν υπάρχει αποκλειστικός υπολογιστής - πύλη.
6. Εύκολη εγκατάσταση και διαμόρφωση.
7. Χαμηλή τιμή για την κατηγορία του.
8. Δυνατότητα δημιουργίας ασφαλών συνδέσεων στο Διαδίκτυο (VPN) για επικοινωνία με άλλα γραφεία.
9. Δυνατότητα οργάνωσης πρόσβασης σε εσωτερικούς πόρους του τοπικού δικτύου.

Ελαττώματα:

1. Η εγκατάσταση πρέπει να γίνει από εξειδικευμένο τεχνικό.
2. Τα στατιστικά στοιχεία για τη χρήση του καναλιού από τους εργαζόμενους δεν είναι αρκετά αναλυτικά.

Κατά προσέγγιση κόστος της λύσης

Σύναψη

Με όλο τον πλούτο των επιλογών, μας φαίνεται ότι η βέλτιστη λύση για έναν μικρό οργανισμό εξακολουθεί να είναι μια λύση που βασίζεται σε ένα από τα μοντέλα συσκευών D-Link της οικογένειας DI. Οι συσκευές είναι απλές, συμπαγείς, προσιτές και αρκετά λειτουργικές. Το μόνο πράγμα για το οποίο μπορούν να κατηγορηθούν οι λύσεις DI είναι η έλλειψη ορισμένων δυνατοτήτων διακομιστών μεσολάβησης, για παράδειγμα, στατιστικών στοιχείων σχετικά με τον όγκο των ληφθέντων πληροφοριών για τους υπαλλήλους. Εξάλλου, αυτά τα δεδομένα, κατά κανόνα, χρησιμοποιούνται από τους παρόχους για τη χρέωση για χρήση καναλιού. Εάν αυτή η λειτουργία είναι ζωτικής σημασίας για τον οργανισμό σας, τότε θα πρέπει επιπλέον να εξετάσετε το ενδεχόμενο να αγοράσετε έναν διακομιστή μεσολάβησης, για παράδειγμα, UserGate από το eSafeLine. Απλώς μην ξεχνάτε ότι ο διακομιστής μεσολάβησης θα απαιτήσει την αγορά ενός επιπλέον υπολογιστή.

Πριν συζητήσουμε τον έλεγχο ταυτότητας των χρηστών του δικτύου, είναι απαραίτητο να αναπτυχθούν κανόνες για τον έλεγχο της πρόσβασης στο δίκτυο. Τα δίκτυα δεν είναι πλέον μονολιθικές οντότητες. Στις περισσότερες περιπτώσεις, υπάρχει ένα εξωτερικό σημείο πρόσβασης - μια σύνδεση στο Διαδίκτυο μέσω ενός ISP ( Πάροχος υπηρεσιών Διαδικτύου- πάροχος υπηρεσιών Διαδικτύου). Οι κανόνες ελέγχου πρόσβασης δικτύου θα καθορίσουν ποια ασφάλεια πρέπει να εγκατασταθεί στα σημεία εισόδου του δικτύου.

Πύλες

Πύλεςείναι τα σημεία στα οποία η κίνηση δικτύου μεταφέρεται από το δίκτυο ενός οργανισμού σε άλλο δίκτυο. Για τα σημεία πύλης, οι κανόνες ελέγχου πρόσβασης πρέπει να λαμβάνουν υπόψη τη φύση του δικτύου στο οποίο είναι εγκατεστημένη η γέφυρα.

• Κανόνες ελέγχου πρόσβασης για εισερχόμενες και εξερχόμενες τηλεφωνικές κλήσεις (Dial-in και Dial-out). Καλύπτει τις απαιτήσεις ελέγχου ταυτότητας. Η απόκρυψη ενός σημείου πρόσβασης τηλεφωνικού δικτύου είναι αρκετά δύσκολη. Επομένως, είναι σημαντικό να ορίσετε στοιχεία ελέγχου για αυτήν την πρόσβαση. Υπάρχουν πολλές σκέψεις σχετικά με τους κανόνες πρόσβασης, όπως η δημιουργία μόντεμ αποκλειστικά για το χειρισμό των εξερχόμενων σημάτων ( έξω-μόνο) για πρόσβαση μέσω τηλεφώνου. Είναι απαραίτητο να γραφτεί μια ρήτρα κανόνα που θα ορίζει τη χρήση των κατάλληλων ελέγχων.

  Όλη η τηλεφωνική πρόσβαση στο δίκτυο πρέπει να διασφαλίζεται χρησιμοποιώντας ισχυρούς ελέγχους ελέγχου ταυτότητας. Τα μόντεμ πρέπει να ρυθμιστούν είτε για πρόσβαση μέσω τηλεφώνου είτε για πρόσβαση μέσω τηλεφώνου, αλλά ποτέ και για τα δύο. Ο διαχειριστής του δικτύου πρέπει να παρέχει διαδικασίες για εγγυημένη πρόσβαση σε συστήματα μόντεμ. Οι χρήστες δεν πρέπει να εγκαθιστούν μόντεμ σε άλλα σημεία του δικτύου χωρίς τις κατάλληλες κυρώσεις.

• Άλλες εξωτερικές συνδέσεις. Είναι δυνατές διάφορες συνδέσεις στο δίκτυο εκτός του οργανισμού. Οι κανόνες μπορούν να ορίζουν την άμεση πρόσβαση των πελατών στο δίκτυο μέσω ενός εικονικού ιδιωτικού δικτύου VPN(Εικονικό Ιδιωτικό Δίκτυο) και μέσω επεκτάσεων του δικτύου ενός οργανισμού γνωστών ως extranets.
• Σύνδεση στο Διαδίκτυο. Διαφέρει από άλλες συνδέσεις επειδή οι άνθρωποι θέλουν να έχουν ανοιχτή πρόσβαση στο Διαδίκτυο, ενώ η άδεια πρόσβασης παρέχεται από τις υπηρεσίες του οργανισμού. Οι κανόνες που διέπουν αυτές τις συνδέσεις αναλύονται στο Κεφάλαιο 6, Κανόνες Ασφάλειας Διαδικτύου.

Όπως με οποιονδήποτε κανόνα, θα πρέπει να περιμένετε ότι θα υπάρξουν αιτήματα για αλλαγή κανόνων ελέγχου πρόσβασης. Ανεξάρτητα από τους λόγους για τους οποίους πρέπει να προσαρμοστούν οι κανόνες, θα πρέπει να είναι δυνατό να γίνονται εξαιρέσεις στους κανόνες μέσω ενός μηχανισμού αναθεώρησης κανόνων. Εάν η πολιτική έχει δημιουργήσει μια επιτροπή διαχείρισης ασφάλειας (βλ. Κεφάλαιο 3, Ευθύνες ασφάλειας πληροφοριών), μπορεί να ζητηθεί από την επιτροπή να επανεξετάσει τους κανόνες.

Οποιαδήποτε πύλη που προτείνεται για εγκατάσταση σε εταιρικό δίκτυο που ενδέχεται να παραβιάζει τους κανόνες ή τις διαδικασίες που προβλέπονται από αυτούς τους κανόνες δεν θα πρέπει να εγκατασταθεί χωρίς την προηγούμενη έγκριση της επιτροπής διαχείρισης ασφάλειας.

Εικονικά ιδιωτικά δίκτυα και extranet

Η αύξηση του αριθμού των δικτύων σε έναν οργανισμό μας αναγκάζει να αναζητήσουμε νέες επιλογές για τη σύνδεση απομακρυσμένων γραφείων, πελατών και την απλούστευση της πρόσβασης για αντισυμβαλλόμενους υπηρεσιών ή πιθανούς αντισυμβαλλομένους. Αυτή η ανάπτυξη οδήγησε σε δύο τύπους εξωτερικών συνδέσεων: εικονικά ιδιωτικά δίκτυα ( VPN- Εικονικό ιδιωτικό δίκτυο) και extranets. Τα VPN είναι ένας φθηνός τρόπος για τη δημιουργία επικοινωνιών πληροφοριών μεταξύ δύο ή περισσότερων οργανικών μονάδων που βρίσκονται σε διαφορετικές περιοχές. Οι οργανισμοί δημιουργούν ένα VPN συνδέοντας όλα τα τμήματα στο Διαδίκτυο και εγκαθιστώντας συσκευές που θα κρυπτογραφούν και θα αποκρυπτογραφούν τις πληροφορίες και στα δύο τμήματα που επικοινωνούν μεταξύ τους. Για τους χρήστες, η εργασία μέσω ενός VPN θα μοιάζει σαν να βρίσκονται και τα δύο τμήματα στην ίδια περιοχή και να εργάζονται σε ένα μόνο δίκτυο.

Έλεγχος της ισχύος των βοηθητικών συστημάτων

Πριν συνεχίσουμε, είναι σημαντικό να θυμόμαστε ότι κάθε μία από τις πύλες ή τα συστήματα υποστήριξης είναι ένα σημείο εισόδου στο δίκτυο ενός οργανισμού. Σε οποιοδήποτε σημείο εισόδου, η αρχή της ροής δεδομένων που εισέρχονται και εξέρχονται από το δίκτυο πρέπει να επαληθεύεται με κάποιο τρόπο. Ένα θέμα που πρέπει να ληφθεί υπόψη είναι η απαίτηση εξουσιοδότησης εξωτερικών συνδέσεων σε συστήματα υποστήριξης δικτύου. Αυτό μπορεί να είναι πρόβλημα για βοηθητικά συστήματα που είναι συνεχώς συνδεδεμένα στο δίκτυο. Για τέτοια συστήματα υποστήριξης, είναι απαραίτητο να καθοριστεί πώς θα εξουσιοδοτηθεί η παρουσία τους στο δίκτυο. Στην πραγματικότητα, ακόμη και οι προσωρινές συνδέσεις δικτύου, όπως οι εισερχόμενες συνδέσεις μόντεμ, μπορεί να έχουν αυστηρές απαιτήσεις ελέγχου ταυτότητας.

Οι απαιτήσεις ελέγχου ταυτότητας δεν πρέπει να περιγράφονται σε αυτήν την ενότητα του κανόνα - εξετάζονται στην επόμενη ενότητα, "Ασφάλεια σύνδεσης". Εδώ μπορούμε μόνο να σημειώσουμε την ανάγκη για απαιτήσεις ελέγχου ταυτότητας. Οι κανόνες σχετικά με τα πρότυπα ελέγχου ταυτότητας θα συζητηθούν στην επόμενη ενότητα. Ωστόσο, για να διασφαλιστεί ότι το ζήτημα του ελέγχου ταυτότητας αντιμετωπίζεται για δευτερεύοντα συστήματα, τα ακόλουθα μπορούν να προστεθούν στη ρήτρα κανόνων του τείχους προστασίας.

Οι εφαρμογές που απαιτούνται για τη λειτουργία των πυλών πρέπει να πιστοποιούνται από το δίκτυο. Εάν η ίδια η εφαρμογή δεν μπορεί να ελεγχθεί, τότε οι κανόνες ελέγχου ταυτότητας που περιγράφονται σε αυτό το έγγραφο πρέπει να ισχύουν για συστήματα υποστήριξης που συνδέονται μέσω πυλών.

Απομακρυσμένος έλεγχος πρόσβασης στο Διαδίκτυο (γονικός έλεγχος)

Αυτός ο οδηγός περιγράφει τη διαδικασία εγκατάστασης υπολογιστών με λειτουργικά συστήματα Windows XP, 7 ή Linux (Ubuntu) για τον απομακρυσμένο έλεγχο της πρόσβασης σε τοποθεσίες Διαδικτύου.

Το εγχειρίδιο δεν περιγράφει λεπτομερώς πώς να εργαστείτε με την υπηρεσία Rejector, η οποία θα συζητηθεί παρακάτω, σας επιτρέπει μόνο να διαμορφώσετε τον υπολογιστή σας με τέτοιο τρόπο ώστε να εκμεταλλευτείτε πλήρως τις δυνατότητές του.

Όλα τα εργαλεία που χρησιμοποιούνται είναι δωρεάν λογισμικό ή λογισμικό ανοιχτού κώδικα.

Εισαγωγή

Το Διαδίκτυο είναι ένα εξαιρετικό εργαλείο για μελέτη, χαλάρωση ή επικοινωνία με φίλους. Αλλά εκτός από χρήσιμες πληροφορίες στο Διαδίκτυο, υπάρχουν και ανεπιθύμητες πληροφορίες για το παιδί σας. Επιπλέον, η πλοήγηση στο Διαδίκτυο για πολλές ώρες μπορεί να σας αποσπάσει από άλλες σημαντικές δραστηριότητες, όπως εργασίες για το σπίτι, αθλήματα, ύπνο ή συναναστροφή με συνομηλίκους. Επομένως, είναι απαραίτητο να παρακολουθείτε τις διαδικτυακές δραστηριότητες του παιδιού.

Υπάρχουν πολλές διαφορετικές μέθοδοι ελέγχου, αλλά δεν είναι πάντα αποτελεσματικές. Η πειθώ και οι εκπαιδευτικές συνομιλίες μπορούν να λειτουργήσουν για πολύ σύντομο χρονικό διάστημα, επειδή το να είναι στο Διαδίκτυο μπορεί να αιχμαλωτίσει ένα παιδί τόσο πολύ που ξεχνάει όλη την πειθώ. Και οι απαγορεύσεις μπορούν να επηρεάσουν αρνητικά την ανάπτυξη χρήσιμων δεξιοτήτων για αναζήτηση και μάθηση στο Διαδίκτυο.

Σε τέτοιες περιπτώσεις, ειδικά προγράμματα για τον περιορισμό και τον έλεγχο της πρόσβασης στο δίκτυο θα σας βοηθήσουν. Με τη βοήθειά τους, μπορείτε να προστατεύσετε το παιδί σας από τις αρνητικές επιρροές του Διαδικτύου, αλλά ταυτόχρονα να παρέχετε ελευθερία δράσης. Ένα τέτοιο εργαλείο είναι το Rejector Internet Access Control System.

Το Rejector είναι ένα κεντρικό έργο για τον έλεγχο της πρόσβασης στο Διαδίκτυο. Θα σας επιτρέψει να προστατεύσετε τα παιδιά και τους εφήβους από επικίνδυνες πληροφορίες. Ουσιαστικά, το Rejector είναι ένας διακομιστής DNS με δυνατότητα απομακρυσμένου ελέγχου.

Πώς λειτουργεί;

Εγγραφείτε, προσθέτετε την IP σας, διαμορφώνετε τις παραμέτρους πρόσβασης. Μπορείτε να χρησιμοποιήσετε την υπηρεσία χωρίς εγγραφή, αλλά τότε δεν θα μπορείτε να χρησιμοποιήσετε όλες τις δυνατότητες της.

Οι υπολογιστές σας έχουν ρυθμιστεί έτσι ώστε όλα τα αιτήματα DNS να αποστέλλονται στους διακομιστές DNS Rejector 95.154.128.32 και 176.9.118.232.

Κάθε αίτημα ελέγχεται σε σχέση με τις ρυθμίσεις σας, όπως αποκλεισμένες κατηγορίες ή ιστότοπους, επιτρεπόμενους ή αποκλεισμένους ιστότοπους, λίστες σελιδοδεικτών ή ιστότοπους απάτης, και εάν αποκλειστεί, το αίτημα ανακατευθύνεται στη σελίδα αποκλεισμού.

Μπορείτε να προσαρμόσετε αυτήν τη σελίδα όπως θέλετε.

Τα επιτρεπόμενα αιτήματα που περνούν τον έλεγχο μεταβαίνουν στη γενική προσωρινή μνήμη αιτημάτων για γρήγορη παράδοση σε όλους τους πελάτες.

Μια πιο λεπτομερής περιγραφή του προϊόντος Rejector μπορείτε να βρείτε στον επίσημο ιστότοπο rejector.ru

Οδηγίες για τη ρύθμιση του συστήματος

1. Δημιουργήστε έναν χρήστη με κανονικά δικαιώματα

Συνήθως, κατά την εγκατάσταση ενός λειτουργικού συστήματος, δημιουργείται ένας χρήστης με δικαιώματα διαχειριστή. Ένας τέτοιος χρήστης μπορεί να εκτελέσει όλες τις πιθανές ενέργειες που παρέχονται από το λειτουργικό σύστημα, συμπεριλαμβανομένης της διαγραφής του ίδιου του συστήματος.

Για να αποκλειστεί η αναστρεψιμότητα όλων των περαιτέρω ενεργειών μας από την πλευρά του χρήστη στον οποίο αναλαμβάνουμε τον έλεγχο, θα δημιουργήσουμε έναν χρήστη με περιορισμένα δικαιώματα και θα χρησιμοποιήσουμε έναν κωδικό πρόσβασης για τον Διαχειριστή.

Στα Windows, αυτό γίνεται μέσω του Πίνακα Ελέγχου. Στο Linux, η δημιουργία χρήστη είναι διαθέσιμη μέσω των ρυθμίσεων συστήματος.

2. Ρυθμίστε μια σύνδεση δικτύου

Το Rejector είναι μια υπηρεσία που είναι ουσιαστικά ένας διακομιστής DNS. Για να εργαστείτε με αυτό, πρέπει πρώτα να διαμορφώσετε τη σύνδεση δικτύου έτσι ώστε τα αιτήματα DNS να αποστέλλονται στους διακομιστές DNS Rejector 95.154.128.32 και 176.9.118.232.

Αυτό γίνεται διαφορετικά σε Windows και Linux.

Windows XP

Windows Vista

Αναλυτικές οδηγίες βρίσκονται στο

Windows 7

Αναλυτικές οδηγίες βρίσκονται στο

Τα περισσότερα λειτουργικά συστήματα Linux χρησιμοποιούν το πρόγραμμα Network Manager για τη διαμόρφωση του δικτύου. Για να αλλάξετε τον διακομιστή DNS, κάντε τα εξής:

Κάντε δεξί κλικ στην ένδειξη σύνδεσης και, στο μενού περιβάλλοντος, επιλέξτε το στοιχείο Αλλαγή σύνδεσης

Εάν χρησιμοποιείτε διακομιστή DHCP όταν συνδέεστε στο Διαδίκτυο, τότε αλλάζουμε τις παραμέτρους IPv4 Μέθοδος ρύθμισηςεπί Αυτόματο (DHCP, μόνο διεύθυνση)

Στο χωράφι Διακομιστές DNSεισάγετε δύο διευθύνσεις διαχωρισμένες με κόμματα 95.154.128.32, 176.9.118.232

Κάνοντας μια σύνδεση Διαθέσιμο σε όλους τους χρήστεςΚαι Αυτόματη σύνδεση

3. Εγγραφείτε στον ιστότοπο του Rejector

Κατ' αρχήν, εδώ θα μπορούσαμε να ξεκινήσουμε. Τώρα όμως που μια από τις δυσκολίες είναι πίσω μας, το κάνουμε εύκολα και απλά. Ακολουθήστε τον σύνδεσμο και συμπληρώστε μια απλή φόρμα εγγραφής.

4. Προσθέστε ένα διαχειριζόμενο δίκτυο

Με την εγγραφή στην υπηρεσία, μπορούμε να δημιουργήσουμε τον απαιτούμενο αριθμό δικτύων ή, που, κατ' αρχήν, είναι το ίδιο πράγμα - πελάτες που θα διαχειριστούμε εμείς. Τα δίκτυα (Πελάτες) αναγνωρίζονται στην υπηρεσία από τη διεύθυνση IP τους. Επομένως, για να ελέγξετε την πρόσβαση στο Διαδίκτυο ενός υπολογιστή, πρέπει να γνωρίζετε τη διεύθυνση IP του. Προς το παρόν, ας δημιουργήσουμε απλώς ένα Δίκτυο μέσω του Πίνακα Ελέγχου στον ιστότοπο του Rejector στη διεύθυνση.

Συμπληρώστε τη φόρμα Προσθήκη δικτύου. Όνομα δικτύου -εδώ μπορείτε να υποδείξετε το όνομα του παιδιού σας εάν έχει δικό του υπολογιστή και θέλετε να τον ελέγχετε. Κατάσταση- πιθανότατα, θα έχετε μια δυναμική διεύθυνση IP (σπάνιοι πάροχοι εκχωρούν μια Στατική διεύθυνση για τους πελάτες τους δωρεάν), επομένως επιλέγουμε αυτόν τον διακόπτη. Αναγνωριστικό δικτύου- μπορείτε να γράψετε στα λατινικά το όνομα που καθορίσατε στο πρώτο πεδίο.

5. Αποστολή διεύθυνσης IP

Για να λειτουργήσει η υπηρεσία, πρέπει να «γνωρίζει» συνεχώς τη διεύθυνση IP του πελάτη, η οποία μπορεί να αλλάζει από σύνδεση σε σύνδεση (Δυναμική διεύθυνση IP). Αυτό είναι το κύριο πρόβλημα που αντιμετωπίζει αυτός ο οδηγός.

Οι ίδιοι οι προγραμματιστές υπηρεσιών προσφέρουν το πρόγραμμα Rejector Agent, το οποίο στέλνει τη διεύθυνση IP του πελάτη στον διακομιστή. Όμως, αυτό το πρόγραμμα δεν μπορεί να λειτουργήσει αυτόνομα. Ως εκ τούτου, θα εκμεταλλευτούμε την άλλη ευκαιρία που παρέχεται. Δηλαδή, ενημέρωση χρησιμοποιώντας αίτημα HTTP (περιγραφή στον σύνδεσμο).

Για να ενημερώσουμε τις πληροφορίες πελάτη μέσω αιτήματος HTTP στο παρασκήνιο, χρειαζόμαστε το πρόγραμμα Curl. Αυτό το πρόγραμμα είναι σε θέση να στέλνει εκπομπές HTTP στο Διαδίκτυο μέσω της γραμμής εντολών. Θα ορίσουμε τις παραμέτρους για αυτό το πρόγραμμα στο σενάριο. για Windows αυτό θα είναι ένα αρχείο bash για Linux - sh.

Το Curl είναι δωρεάν διαθέσιμο και έχει έκδοση Windows, επομένως θα το χρησιμοποιήσουμε και στα δύο περιβάλλοντα. Για Windows, μπορείτε να κατεβάσετε την πιο πρόσφατη έκδοση του προγράμματος από αυτόν τον σύνδεσμο. Για εγκατάσταση, απλώς αποσυσκευάστε τα περιεχόμενα του αρχείου που προκύπτει στο φάκελο C:\WINDOWS\SYSTEM32 (αυτό θα διευκολύνει την εκκίνηση του προγράμματος). Σε ένα λειτουργικό σύστημα Linux, πιθανότατα θα είναι ήδη εγκατεστημένο.

6. Σενάριο για τακτική ενημέρωση της διεύθυνσης IP

Ο ιστότοπος προσφέρει το ακόλουθο αίτημα HTTP http://όνομα χρήστη: [email προστατευμένο]/νι...,
που θα ενημερώσει την τιμή της διεύθυνσης IP. Θα το αντικαταστήσουμε ως παράμετρο για το πρόγραμμα curl.

Το αίτημα ενημέρωσης διεύθυνσης πρέπει να σταλεί από τον υπολογιστή που θέλουμε να ελέγξουμε. Λόγω του γεγονότος ότι το τερματικό κειμένου επεξεργάζεται εντολές με ειδικό τρόπο, το κείμενο της αίτησης έπρεπε να αλλάξει ελαφρώς. Το κείμενο σεναρίου για Windows και Linux δίνεται παρακάτω.

Για Windows

:βρόχος
μπούκλα "http:// login%%40mail-server.com:σύνθημα@updates.rejector.ru/nic/update?hostname= net-name"
# Κάντε μια καθυστέρηση 300 δευτερολέπτων
ping -n 300 127.0.0.1 > NUL
ηχώ 111
goto loop

Όπου το login%%40mail-server.com είναι το γραμματοκιβώτιό σας με το οποίο εγγραφήκατε στο Rejector (το σύμβολο @ αντικαθίσταται από το %%40). κωδικός πρόσβασης - κωδικός πρόσβασης; net-name είναι το όνομα του δικτύου στην υπηρεσία Rejector Τοποθετήστε το κείμενο σεναρίου σε ένα κανονικό αρχείο κειμένου, αντικαταστήστε την επέκταση με .bat και θα λάβετε ένα εκτελέσιμο σενάριο.

Για Linux

#! /usr/bin/sh
ενώ αληθινό? κάνω μπούκλα -u [email προστατευμένο]:password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; ολοκληρωμένο;

Όλα εδώ είναι παρόμοια με την καταχώρηση για τα Windows. Γράψτε αυτό το κείμενο σε ένα αρχείο κειμένου με την επέκταση sh.

Και τα δύο σενάρια περιέχουν τον κωδικό πρόσβασης του λογαριασμού Rejector σε καθαρό κείμενο, επομένως είναι απαραίτητο να αποκρύψετε το περιεχόμενό τους από τον μέσο χρήστη. Αυτό εφαρμόζεται διαφορετικά σε Linux και Windows

Προκειμένου να αποτραπεί η προβολή και η επεξεργασία αυτού που δημιουργήθηκε από εμάς, είναι απαραίτητο να αλλάξετε τον κάτοχο και την ομάδα του αρχείου σε root και να απαγορεύσετε σε όλους, εκτός από τον ιδιοκτήτη, την πρόσβαση στο αρχείο. Εάν έχετε δεξιότητες γραμμής εντολών, τότε πρέπει να χρησιμοποιήσετε την εντολή CDστον κατάλογο με το αρχείο σεναρίου και εκτελέστε την εντολή chown root:root skcryptt.shΚαι chmod 700 script.sh.,Για να κάνετε το ίδιο στο γραφικό κέλυφος, πρέπει πρώτα να εκκινήσετε τη διαχείριση αρχείων με δικαιώματα διαχειριστή, να βρείτε το αρχείο σεναρίου και να αλλάξετε Δικαιώματαχρησιμοποιώντας το μενού περιβάλλοντος.

Χωρίς να μπω στο πώς μπορείτε να αλλάξετε τα δικαιώματα πρόσβασης σε αρχεία παρόμοια με το Linux, εφάρμοσα την παρακάτω λύση. Ας μετατρέψουμε το εκτελέσιμο αρχείο μας σε αρχείο EXE για να κρύψουμε τα περιεχόμενά του. Για το σκοπό αυτό θα χρησιμοποιήσουμε ένα δωρεάν πρόγραμμα Μετατροπέας Bat σε Exe. Προτείνω να κατεβάσετε την Russified έκδοσή του από τον σύνδεσμο ή από τον επίσημο ιστότοπο του προγράμματος. Το πρόγραμμα δεν απαιτεί καμία εξήγηση κατά τη λειτουργία. Στην είσοδο βάζουμε το αρχείο bat μας, στην έξοδο παίρνουμε ένα αρχείο exe.

7. Ρυθμίστε το να ξεκινά αυτόματα

Το τελευταίο βήμα μένει να γίνει. Ας κάνουμε το πρόγραμμα να ξεκινά αυτόματα κατά την εκκίνηση του συστήματος. Αυτό γίνεται διαφορετικά σε Linux και Windows.

Συνδεόμαστε ως Διαχειριστής και μετακινούμε το εκτελέσιμο αρχείο μας.exe στον φάκελο PogramFiles. Στον αρχικό κατάλογο του χρήστη βρίσκουμε τον φάκελο Κύριο μενού, σε αυτό Προγράμματα, Αυτόματη εκκίνησηόπου τοποθετούμε τη συντόμευση από το πρόγραμμά μας (αυτό μπορεί να γίνει σύροντας το ίδιο το πρόγραμμα κρατώντας πατημένο το πλήκτρο Shift). Ετοιμος.

Τοποθετήστε το εκτελέσιμο αρχείο στον φάκελο /usr/bin. Ας επεξεργαστούμε το αρχείο για την εκκίνηση εφαρμογών τοπικού συστήματος /etc/rc.local, προσθέτοντας μια γραμμή πριν έξοδος 0.

/usr/bin/script.sh

Οπου σενάριο.sh- το όνομα του αρχείου μας.

Αυτό ολοκληρώνει τη ρύθμιση του συστήματος. Μπορείτε να μεταβείτε στην υπηρεσία Rejector και να διαμορφώσετε τον τρόπο λειτουργίας δικτύου.

Ένας αυξανόμενος αριθμός επιχειρήσεων σήμερα χρειάζεται να συνδέσουν τα δίκτυα υπολογιστών τους στο Διαδίκτυο. Ο πάροχος υπηρεσιών Διαδικτύου (ISP) είναι συνήθως υπεύθυνος για τη λειτουργία του καναλιού πρόσβασης, αλλά ο διαχειριστής συστήματος του δικτύου υπολογιστών μιας επιχείρησης, ακόμη και μιας μικρής, πρέπει να λύσει μια σειρά από οργανωτικά και τεχνολογικά προβλήματα. Σε αυτό το άρθρο δεν θα εξετάσουμε τις υπηρεσίες email, την τηλεφωνία IP και τα εικονικά ιδιωτικά δίκτυα (VPN), αλλά θα περιοριστούμε στην πρόσβαση σε υπηρεσίες Web και ftp που βασίζονται στο λειτουργικό σύστημα FreeBSD και τον διακομιστή μεσολάβησης SQUID σε ένα εταιρικό δίκτυο που καλύπτει έως και 100 σταθμούς εργασίας .

Δύο μέθοδοι

Υπάρχουν δύο βασικές μέθοδοι παροχής πρόσβασης σε χρήστες εταιρικού δικτύου σε υπηρεσίες Web και FTP: μέσω δρομολόγησης (μετάδοση) ή μέσω διακομιστή μεσολάβησης.

Στην πρώτη περίπτωση (Εικ. 1), η πρόσβαση παρέχεται από τη διεύθυνση IP του υπολογιστή στον οποίο εργάζεται ο εργαζόμενος. Αυτό το σχήμα μπορεί να εφαρμοστεί πλήρως με βάση μια λύση λογισμικού - την πύλη λειτουργικού συστήματος FreeBSD και το τείχος προστασίας IPFW. Επιπλέον, υπάρχουν πολύπλοκες εξειδικευμένες πύλες υλικού και λογισμικού. Για τερματικούς σταθμούς εργασίας, η οργάνωση της πρόσβασης με διευθύνσεις IP είναι τεχνικά αδύνατη, καθώς όλοι χρησιμοποιούν την ίδια διεύθυνση IP του διακομιστή τερματικού.

Για τη σύνδεση σταθμών εργασίας χρήστη στο κανάλι Διαδικτύου, χρησιμοποιείται μια πύλη με τη μορφή διακομιστή x86 με εγκατεστημένο το λειτουργικό σύστημα FreeBSD, το πρόγραμμα NATD (που παρέχει μετάφραση εσωτερικών διευθύνσεων IP στην πραγματική διεύθυνση IP του διακομιστή και πίσω), IPFW , ενεργοποιημένη δρομολόγηση και δύο διεπαφές δικτύου: η μία «κοιτάζει» προς το τοπικό δίκτυο, η άλλη είναι συνδεδεμένη με τον πάροχο. Σε κάθε υπολογιστή-πελάτη, πρέπει να καθορίσετε τη διεύθυνση IP της πύλης στις ιδιότητες του πρωτοκόλλου TCP/IP της κάρτας δικτύου.

Στη δεύτερη περίπτωση, ο χρήστης εξουσιοδοτείται χρησιμοποιώντας το όνομα σύνδεσης και τον κωδικό πρόσβασης που έχουν εκχωρηθεί στον υπάλληλο. Αυτή η επιλογή, συγκεκριμένα, μπορεί να υλοποιηθεί χρησιμοποιώντας τον διακομιστή μεσολάβησης SQUID και το σύστημα ελέγχου ταυτότητας ncsa_auth. Ας εξετάσουμε ένα τυπικό σχήμα (Εικ. 2), όπου το SQUID είναι εγκατεστημένο στην πύλη δικτύου: ο διακομιστής «φαίνεται» με τη μία διεπαφή στο τοπικό δίκτυο και η άλλη είναι συνδεδεμένος στο κανάλι Διαδικτύου. Με αυτήν τη ρύθμιση, το SQUID δεν απαιτεί NATD ή δρομολόγηση για να λειτουργήσει στο Διαδίκτυο (μέσω HTTP, FTP και DNS) σε μηχανήματα στο τοπικό δίκτυο, καθώς το SQUID στέλνει όλα τα αιτήματα στους πόρους του Διαδικτύου "από τον εαυτό του" - με τη διεύθυνση IP του εξωτερική διεπαφή της πύλης. Η υπηρεσία DNS σε υπολογιστές-πελάτες μπορεί να απενεργοποιηθεί επειδή το ίδιο το SQUID έχει πρόσβαση στο DNS.

Ρύζι. 2. Πρόσβαση στο Διαδίκτυο μέσω διακομιστή μεσολάβησης.

Συνήθως, ένα εταιρικό δίκτυο χρησιμοποιεί email και θα εξακολουθεί να χρειάζεται δρομολόγηση και NATD στην πύλη για να λειτουργήσει, αλλά για το Webmail που εκτελείται μέσω HTTP, αρκεί ένας διακομιστής μεσολάβησης SQUID.

Το SQUID μεταδίδει δεδομένα που «κατεβαίνουν» από το Διαδίκτυο στον χρήστη και τα αποθηκεύει στην κρυφή μνήμη του. Όταν υποβάλλεται ένα δεύτερο αίτημα, αυτά τα δεδομένα ανακτώνται από τη μνήμη cache (εάν, φυσικά, η ιστοσελίδα επιτρέπει την προσωρινή αποθήκευση), η οποία είναι πολύ πιο γρήγορη και δεν καταλαμβάνει το κανάλι πρόσβασης. Εκτός από την αποτελεσματικότερη χρήση της χωρητικότητας του καναλιού, επιτυγχάνεται εξοικονόμηση και στον όγκο της κίνησης (σύμφωνα με τον συγγραφέα, κατά μέσο όρο ανά μήνα είναι 13%). Τα δεδομένα στη μνήμη cache ενδέχεται να ενημερωθούν ανάλογα με τις ρυθμίσεις του ίδιου του διακομιστή μεσολάβησης. Όταν κάνετε κλικ στο κουμπί "Ανανέωση" στον πίνακα ελέγχου του προγράμματος περιήγησης, ο διακομιστής μεσολάβησης αντιγράφει αναγκαστικά δεδομένα από τον διακομιστή Web, ακόμα κι αν τα έχει στη μνήμη cache του και δεν είναι ενημερωμένα (και ταυτόχρονα τα ενημερώνει στην κρυφή μνήμη ). Ωστόσο, ορισμένες σελίδες σε τοποθεσίες Web επισημαίνονται συγκεκριμένα ως μη αποθηκευμένες στην προσωρινή μνήμη, για παράδειγμα, για λόγους μεγαλύτερης συνάφειας.

Εκτός από την ίδια την πρόσβαση, ο διαχειριστής του συστήματος πρέπει επίσης να λύσει τα προβλήματα της εξουσιοδότησης πρόσβασης, της καταγραφής της κίνησης και του χρόνου χρήστη στο Διαδίκτυο και της διασφάλισης της ασφάλειας του τοπικού δικτύου της επιχείρησης. Είναι επίσης απαραίτητο να καθοριστούν οι κανόνες για τη διανομή του εύρους ζώνης καναλιών Διαδικτύου μεταξύ των χρηστών του δικτύου και οι κανόνες για την πρόσβαση σε πόρους του Διαδικτύου. Ίσως χρειαστεί να ορίσετε άλλους περιορισμούς στους χρήστες.

Όλες αυτές οι διαδικασίες, ανάλογα με τον τύπο πρόσβασης που υιοθετείται (με διεύθυνση IP ή μέσω διακομιστή μεσολάβησης), έχουν τα δικά τους χαρακτηριστικά.

Πιστοποίηση

Ο έλεγχος ταυτότητας χρησιμοποιώντας τη διεύθυνση IP ενός υπολογιστή δεν παρέχει προστασία με κωδικό πρόσβασης για πρόσβαση στο Διαδίκτυο. Οι χρήστες, γνωρίζοντας τους κωδικούς πρόσβασης για πρόσβαση στο λειτουργικό περιβάλλον άλλων εταιρικών μηχανημάτων, μπορούν να εργαστούν σε διαφορετικούς υπολογιστές. Επομένως, εάν πολλοί εργαζόμενοι χρησιμοποιούν έναν υπολογιστή για να εργαστούν στο Διαδίκτυο, είναι αδύνατο να διαχωριστεί η επισκεψιμότητά τους κατά τη λογιστική.

Υπάρχει μια επιλογή πλαστογράφησης της διεύθυνσης IP. Ωστόσο, υπάρχει επίσης ένα αντίμετρο - ένας στατικός πίνακας ARP (Address Resolution Protocol - ένα πρωτόκολλο για τη μετατροπή διευθύνσεων IP σε διευθύνσεις MAC / διευθύνσεις υλικού καρτών δικτύου) στην πύλη, όπου η αντιστοιχία μεταξύ της διεύθυνσης IP και της διεύθυνσης MAC του η κάρτα δικτύου του σταθμού εργασίας είναι καταχωρημένη. Γενικά, ο έλεγχος ταυτότητας IP δεν έχει επαρκή ευελιξία και αξιοπιστία και επιτρέπει μόνο τον υπολογισμό του συνολικού όγκου της κίνησης.

Στην περίπτωση διακομιστή μεσολάβησης, οι χρήστες εταιρικού δικτύου που έχουν λάβει άδεια πρόσβασης στο Διαδίκτυο (HTTP, FTP, ICQ) εκχωρείται ένα ζεύγος αναγνώρισης: σύνδεση και κωδικός πρόσβασης. Αυτό το σχήμα επιτρέπει επίσης σε διαφορετικούς χρήστες να έχουν πρόσβαση στο Διαδίκτυο από έναν υπολογιστή (το κύριο πράγμα είναι ότι οι παράμετροι διακομιστή μεσολάβησης καθορίζονται στα προγράμματα-πελάτες). Η καταγραφή της κίνησης θα τηρείται για κάθε χρήστη (σύνδεση) ξεχωριστά. Ο έλεγχος ταυτότητας παρέχεται από τον διακομιστή μεσολάβησης SQUID με λειτουργικό FreeBSD OS και το υποσύστημα λογισμικού ncsa_auth αποθηκεύει κωδικούς πρόσβασης σε κρυπτογραφημένη μορφή MD5. Το SQUID μπορεί να χρησιμοποιήσει διάφορους εξωτερικούς μηχανισμούς ελέγχου ταυτότητας.

Η εργασία στο Διαδίκτυο μέσω διακομιστή μεσολάβησης πρέπει να υποστηρίζεται από το λογισμικό πελάτη: οι ρυθμίσεις του καθορίζουν τη διεύθυνση DNS ή IP του διακομιστή μεσολάβησης, καθώς και τη θύρα TCP του. Όλα τα σύγχρονα προγράμματα περιήγησης και ο πελάτης ICQ υποστηρίζουν εργασία μέσω διακομιστή μεσολάβησης και έλεγχο ταυτότητας σε αυτόν. Ο έλεγχος ταυτότητας μπορεί να πραγματοποιείται κάθε φορά που συνδέεστε (απαιτείται σύνδεση και κωδικός πρόσβασης) ή να είναι μόνιμος (δεν απαιτεί την εισαγωγή ονόματος χρήστη και κωδικού πρόσβασης, αλλά ένα όνομα χρήστη από τη λίστα ελέγχου ταυτότητας του διακομιστή μεσολάβησης και ένας κωδικός πρόσβασης καθορίζονται στις ρυθμίσεις του προγράμματος-πελάτη). Ο έλεγχος ταυτότητας πραγματοποιείται μία φορά και ισχύει μέχρι να κλείσει το πρόγραμμα-πελάτη. Όταν τελειώσει η περιήγηση στο Διαδίκτυο, ο χρήστης απλώς κλείνει το πρόγραμμα περιήγησης και με αυτόν τον τρόπο τερματίζει την επιτρεπόμενη περίοδο λειτουργίας.

Λογιστική κίνησης

Η λογιστική επισκεψιμότητας για τις διευθύνσεις IP των σταθμών εργασίας πραγματοποιείται χρησιμοποιώντας το IPFW, ένα τείχος προστασίας λογισμικού ενσωματωμένο στον πυρήνα του FreeBSD OS. Για να λογοδοτούν με αξιοπιστία την επισκεψιμότητα των χρηστών με αυτό το σχήμα πρόσβασης, οι εργαζόμενοι πρέπει να έχουν πρόσβαση στο Διαδίκτυο μόνο από τους σταθμούς εργασίας που τους έχουν εκχωρηθεί, γεγονός που περιορίζει φυσικά την ευελιξία και την κινητικότητα της εργασίας τους.

Ωστόσο, αυτή η προσέγγιση έχει επίσης το πλεονέκτημά της - μια πιο ακριβή καταγραφή του συνολικού όγκου κίνησης μέσω του πρωτοκόλλου IP. Αυτή η διαδικασία υλοποιείται ορίζοντας δύο κανόνες COUNT του τείχους προστασίας IPFW:

Μετρήστε ip από οποιαδήποτε σε οποιαδήποτε μέσα μέσω de0 μετρήστε ip από οποιαδήποτε σε οποιαδήποτε έξω μέσω de0

Ο πρώτος κανόνας λαμβάνει υπόψη την εισερχόμενη ροή, ο δεύτερος - την εξερχόμενη ροή. Εδώ το de0 είναι η εξωτερική διεπαφή δικτύου της πύλης, η οποία έχει μια πραγματική διεύθυνση IP στο Διαδίκτυο. Ταυτόχρονα, με αυτό το σχήμα είναι αδύνατο να καταγραφούν τα ονόματα των πόρων που επισκέπτονται οι χρήστες, καθώς και τα ονόματα και τα μεγέθη των ληφθέντων αρχείων.

Όταν χρησιμοποιείτε διακομιστή μεσολάβησης, η κίνηση καταγράφεται χρησιμοποιώντας το πρωτόκολλο HTTP και ο όγκος αυτών των δεδομένων είναι μικρότερος από τον όγκο της κίνησης IP. Ωστόσο, κατά τον έλεγχο ταυτότητας από χρήστη, το SQUID καταγράφει όλα τα δεδομένα σχετικά με αιτήματα (διευθύνσεις DNS ιστότοπων, χρόνος παραλαβής του αιτήματος, όγκος ληφθέντων αρχείων, πηγή - κρυφή μνήμη SQUID ή Διαδίκτυο) στο αρχείο καταγραφής για κάθε χρήστη, ανεξάρτητα από τη διεύθυνση IP του το μηχάνημα πελάτη.

Ασφάλεια σύνδεσης στο Διαδίκτυο

Η απευθείας σύνδεση ενός φυσικού καναλιού Διαδικτύου σε ένα εταιρικό δίκτυο ισοδυναμεί με μετακίνηση των χώρων εργασίας της επιχείρησής σας σε μια πολυσύχναστη περιοχή. Κατά κανόνα, οι πληροφορίες που κυκλοφορούν σε ένα τοπικό δίκτυο είναι κρίσιμες για τη λειτουργία μιας επιχείρησης και οι επιβλαβείς συνέπειες των ιών (για παράδειγμα, οι ιοί email), μια επίθεση από το εξωτερικό ή μια διαρροή δεδομένων από μέσα μπορεί να διαταράξει εντελώς τη λειτουργία της .

Οι επιβλαβείς επιπτώσεις των ιών δύσκολα μπορούν να υποτιμηθούν, αλλά η λύση σε αυτό το πρόβλημα εξαρτάται κατά 90% από την ευαισθητοποίηση των χρηστών - εάν κάποιος θα εκτοξεύσει έναν ιό που επισυνάπτεται στην επιστολή. Οι επιθέσεις ιών μπορούν να αποκλειστούν και να απωθηθούν από προγράμματα προστασίας από ιούς σε διακομιστές αλληλογραφίας (Dr.Web, McAfee, Kaspersky Business Optimal Anti-Virus, κ.λπ.) και σε υπολογιστές χρηστών (Norton Antivirus, αντίστοιχα προϊόντα της Kaspersky Lab, κ.λπ.) . Το κύριο πράγμα είναι η έγκαιρη ενημέρωση των βάσεων δεδομένων κατά των ιών.

Οι επιθέσεις από το εξωτερικό, ανάλογα με τον τρόπο οργάνωσης της σύνδεσης, μπλοκάρονται από τη σωστή διαμόρφωση της πύλης, τη χρήση διακομιστή μεσολάβησης στην πύλη χωρίς NAT και δρομολόγηση, καθώς και με τη μετακίνηση του διακομιστή μεσολάβησης, της αλληλογραφίας και του διακομιστή Web σε " αποστρατιωτικοποιημένη ζώνη» (DMZ, ένα υποδίκτυο των εταιρικών δικτύων προσβάσιμα από το Διαδίκτυο).

Οι διαρροές εταιρικών δεδομένων είναι κυρίως οργανωτικής φύσης και αποτελούν το πιο δύσκολο πρόβλημα για μια υπηρεσία ασφάλειας επιχειρήσεων. Υπάρχουν τεχνικές λύσεις που ελαχιστοποιούν την πιθανότητα κάτι τέτοιο: συγκεκριμένα, κλείσιμο όλων των θυρών TCP/UDP στη διεπαφή πύλης που βλέπει στο τοπικό δίκτυο (απομένει μόνο η θύρα διακομιστή μεσολάβησης). Η δρομολόγηση και η μετάφραση διευθύνσεων (NAT) μεταξύ του Διαδικτύου και των εσωτερικών ("γκρι") διευθύνσεων IP του εταιρικού δικτύου πρέπει να είναι απενεργοποιημένες.

Τα αναφερόμενα μέτρα χρησιμοποιούνται όταν ένας διακομιστής μεσολάβησης είναι εγκατεστημένος στην πύλη, αλλά ένα σύστημα με διακομιστή μεσολάβησης που βρίσκεται στο DMZ θεωρείται πιο ασφαλές.

Η πληρέστερη προστασία παρέχεται από τον φυσικό διαχωρισμό του τοπικού εταιρικού δικτύου και του Διαδικτύου. Σε αυτήν την περίπτωση, η επιχείρηση οργανώνει ένα δίκτυο υπολογιστών για εργασία στο Διαδίκτυο, που δεν συνδέεται με το τοπικό δίκτυο μέσω καναλιών μετάδοσης πληροφοριών. Τα δεδομένα που πρέπει να σταλούν μέσω email μεταφέρονται σε αφαιρούμενα μέσα (όπως CD), τα οποία επαληθεύονται από μια υπηρεσία ασφαλείας και κρυπτογραφούνται, για παράδειγμα, χρησιμοποιώντας PGP, ένα δωρεάν πρόγραμμα κρυπτογράφησης email και αρχείων.

Κατανομή χωρητικότητας καναλιού

Για ένα σχήμα πρόσβασης IP, η διαίρεση του εύρους ζώνης καναλιού μεταξύ των χρηστών μπορεί να υλοποιηθεί χρησιμοποιώντας τα Pipes του τείχους προστασίας IPFW του FreeBSD OS και στην περίπτωση του διακομιστή μεσολάβησης SQUID, μπορεί να χρησιμοποιηθεί ο μηχανισμός delay_pools.

Ο διακομιστής καθορίζει το μέγεθος του αρχείου που ζητά ο χρήστης και εάν αυτό το μέγεθος δεν υπερβαίνει την καθορισμένη τιμή, τότε το αρχείο λαμβάνεται με τη μέγιστη δυνατή ταχύτητα. Στην περίπτωση μεγαλύτερου αρχείου, μεταφέρεται με καθορισμένη περιορισμένη ταχύτητα. Αυτός ο μηχανισμός δεν ισχύει για όλους τους χρήστες, αλλά μόνο για αυτούς που αναφέρονται στα ACL (Λίστα Ελέγχου Πρόσβασης - μια ονομασμένη ομάδα αντικειμένων στα οποία μπορούν να εφαρμοστούν διάφοροι περιορισμοί), που σας επιτρέπει να διαμορφώνετε πολύ ευέλικτα τις προτεραιότητες εργασίας διαφορετικών ομάδων χρηστών.

Ταυτόχρονα, εάν εργάζεται μόνο ένας χρήστης τη φορά, θα εξακολουθεί να υπόκειται σε όρια ταχύτητας κατά τη λήψη μεγάλων αρχείων. Το IPFW, σε αντίθεση με τα delay_pools στο SQUID, σας επιτρέπει να εφαρμόσετε δυναμική διαίρεση καναλιών.

Πρόσβαση σε πόρους και άλλους περιορισμούς

Για το σχήμα IP, περιορισμοί είναι δυνατοί μόνο σε διευθύνσεις IP διακομιστή και θύρες TCP/UDP. Αυτό δεν είναι βολικό επειδή σήμερα ο μηχανισμός Virtual Hosts του διακομιστή Web Apache που βασίζεται στο πρωτόκολλο HTTP v1.1 είναι συνηθισμένος, όταν ένας διακομιστής Web με μία διεύθυνση IP εξυπηρετεί πολλούς ιστότοπους με διαφορετικά ονόματα DNS.

Το SQUID, αντίθετα, παρέχει πολύ ευέλικτους μηχανισμούς για τη διαχείριση της πρόσβασης των χρηστών σε πόρους του Διαδικτύου χρησιμοποιώντας ACL. Αυτό θα μπορούσε να είναι, για παράδειγμα, πρόσβαση σε μια συγκεκριμένη ώρα, ημέρα της εβδομάδας, μήνα. άδεια/απαγόρευση αντιγραφής ορισμένων τύπων αρχείων, άδεια/απαγόρευση πρόσβασης σε έναν πόρο του οποίου το όνομα περιέχει μια συγκεκριμένη λέξη-κλειδί.

Διαμόρφωση μιας πύλης IPFW

Ο ρόλος μιας πύλης είναι ένας υπολογιστής με δύο διεπαφές δικτύου (η μία είναι συνδεδεμένη στο Διαδίκτυο και έχει μια πραγματική διεύθυνση IP και η άλλη «κοιτάζει» το εταιρικό δίκτυο και προσδιορίζεται από τη διεύθυνση IP του υποδικτύου του), στην οποία Το FreeBSD OS είναι εγκατεστημένο (http://www.freebsd.org). Το FreeBSD είναι εύκολο στη ρύθμιση, αξιόπιστο, δωρεάν και περιέχει σχεδόν όλα όσα θα μπορούσατε να χρειαστείτε για έναν διακομιστή δικτύου επιχείρησης.

Η διαδικασία εγκατάστασης του FreeBSD OS, διαμόρφωσης διεπαφών δικτύου, εκκίνησης και διαμόρφωσης IPFW, NATD, δρομολόγηση - γενικά, όλα τα απαραίτητα για τη διαμόρφωση μιας πύλης πρόσβασης στο Διαδίκτυο (τόσο μέσω IP όσο και με χρήση διακομιστή μεσολάβησης SQUID, εκτός από τη διαμόρφωση του ίδιου του SQUID) περιγράφεται λεπτομερώς στο βιβλίο των M. Eben και B. Tyman "FreeBSD. User Encyclopedia" (Kyiv: Diasoft, 2003).

Και για τις δύο επιλογές οργάνωσης της πρόσβασης στο Διαδίκτυο, πρέπει να διαμορφώσετε το λογισμικό IPFW. Το IPFW φιλτράρει και μετράει πακέτα IP σε όλες τις διεπαφές δικτύου. Το πρόγραμμα επεξεργάζεται επίσης πακέτα σε υψηλότερα επίπεδα: UDP, TCP και ICMP. Επιπλέον, η IPFW συμμετέχει στις εργασίες του NATD. Ο συγγραφέας συνιστά κατά τη ρύθμιση κανόνων ipfw, να χρησιμοποιείτε το βοηθητικό πρόγραμμα trafshow για τον έλεγχο κλήσεων προς και από το δίκτυο σε όλες τις διεπαφές, υποδεικνύοντας τις διευθύνσεις IP εξωτερικών μηχανημάτων, πρωτοκόλλων και θυρών σε πραγματικό χρόνο. Ομάδα

Trafshow -i fxp0 -n

ορίζει την εμφάνιση των πακέτων στη διεπαφή fxp0 με αριθμούς θυρών και την εντολή

Ipfw -μια λίστα

εμφανίζει κανόνες ipfw, τον αριθμό των πακέτων και την ποσότητα της κίνησης (σε byte) που έχει περάσει από την ενεργοποίηση του διακομιστή ή την τελευταία επαναφορά των μετρητών κανόνων.

Υλοποίηση και εργασία με SQUID

Ο διακομιστής μεσολάβησης προσωρινής αποθήκευσης SQUID (http://www.squid-cache.org) στην πλατφόρμα Unix είναι δωρεάν λογισμικό ανοιχτού κώδικα. Είναι εύκολο στη διαμόρφωση, καλά τεκμηριωμένο, ευρέως διανεμημένο και ενσωματώνεται εύκολα στο λειτουργικό σύστημα FreeBSD. Το SQUID σάς επιτρέπει να οργανώνετε διάφορους τύπους ελέγχου ταυτότητας κατά την πρόσβαση στο Διαδίκτυο, περιορίζει την πρόσβαση με οποιαδήποτε παράμετρο (όνομα τομέα, λέξη-κλειδί στη διεύθυνση, πρωτόκολλο, κ.λπ.) βάσει ACL.

Όταν χρησιμοποιείτε το SQUID σε μια πύλη, είναι απαραίτητο να αποκλείεται η δυνατότητα των τοπικών μηχανημάτων να έχουν πρόσβαση σε εξωτερικές διευθύνσεις (και αντίστροφα) και να επιτρέπεται η πρόσβαση από το τοπικό δίκτυο μόνο στη θύρα διακομιστή μεσολάβησης στην τοπική διεπαφή του. Το NAT και η δρομολόγηση στην πύλη, εάν δεν χρειάζονται για SMTP ή άλλες υπηρεσίες, θα πρέπει επίσης να είναι απενεργοποιημένα.

Μετά την εγκατάσταση, τη διαμόρφωση και την εκκίνηση του SQUID και του συστήματος εξουσιοδότησής του, ο διαχειριστής μπορεί μόνο να προσθέσει και να αφαιρέσει χρήστες. Αρκεί να δημιουργήσετε δεδομένα χρήστη μόνο στο SQUID, καθώς δεν εμπίπτει στο περιβάλλον λειτουργικού συστήματος διακομιστή μεσολάβησης και συνεπώς δεν χρειάζεται να δημιουργηθούν δεδομένα αναγνώρισης χρήστη του λειτουργικού συστήματος. Μετά τις αλλαγές στο squid.conf ή την προσθήκη/αφαίρεση χρηστών, το SQUID θα πρέπει να διαβάσει ξανά τη διαμόρφωσή του χωρίς να κλείσει τις υπάρχουσες συνεδρίες χρήστη με την εντολή

Αναδιαμόρφωση του Squid -k.

Όταν δημιουργείτε έναν χρήστη SQUID χρησιμοποιώντας το ncsa_auth, πρέπει να καθορίσετε τη σύνδεση και τον κωδικό πρόσβασης του χρήστη σε δύο αρχεία διαμόρφωσης. στο παράδειγμά μας θα μοιάζει με αυτό:

/usr/local/etc/squid_users /usr/local/etc/passwd

Το όνομα χρήστη (login) απλώς προστίθεται στο πρώτο αρχείο σε μια νέα γραμμή χρησιμοποιώντας ένα πρόγραμμα επεξεργασίας κειμένου. Το δεύτερο αρχείο αποθηκεύει τους κωδικούς πρόσβασης χρήστη (σε MD5) και μπορείτε να προσθέσετε έναν λογαριασμό σε αυτό το αρχείο μόνο χρησιμοποιώντας το βοηθητικό πρόγραμμα htpasswd που συνοδεύει τον διακομιστή Web Apache.

Είναι απαραίτητο να παρακολουθείτε τα περιεχόμενα της κρυφής μνήμης SQUID και να την εκκαθαρίζετε περιοδικά για να αποφύγετε την υπερχείλιση του συστήματος αρχείων χρησιμοποιώντας την εντολή squid -Z.

Στις ρυθμίσεις πελάτη στις ιδιότητες των προγραμμάτων περιήγησης και των πελατών ICQ, πρέπει να καθορίσετε τη διεύθυνση IP του διακομιστή μεσολάβησης και τη θύρα. Στο παράδειγμά μας, αυτή είναι η IP:192.168.1.8 και η θύρα 3128 (αυτή η θύρα χρησιμοποιείται από προεπιλογή). Εάν το πρόγραμμα ICQ έχει ρυθμιστεί να λειτουργεί μέσω διακομιστή μεσολάβησης, τότε χρησιμοποιεί την 443η και όχι την 5190η θύρα TCP των διακομιστών ICQ, η οποία πρέπει επίσης να λαμβάνεται υπόψη κατά τη διαμόρφωση των τειχών προστασίας. Όταν χρησιμοποιείτε το SQUID, είναι απαραίτητο να αποκλείσετε τη δυνατότητα πρόσβασης των τοπικών μηχανημάτων στη θύρα TCP 80 των διακομιστών Διαδικτύου. Μπορείτε γενικά να επιτρέψετε την πρόσβαση μόνο στη θύρα του διακομιστή μεσολάβησης και να την κλείσετε σε όλες τις άλλες, με εξαίρεση την αλληλογραφία, έτσι ώστε οι "προχωρημένοι" χρήστες να μην πηγαίνουν στο Διαδίκτυο παρακάμπτοντας το SQUID.

Μπορείτε να μάθετε περισσότερα σχετικά με τις περιπλοκές της ρύθμισης του SQUID στον ιστότοπο http://www.bog.pp.ru/work/squid.html.

Ανάλυση κυκλοφορίας

Για το σκοπό αυτό, χρησιμοποιείται το δωρεάν πρόγραμμα ανάλυσης ανοιχτού κώδικα SARG ().

Υπάρχουν δύο τύποι περικοπών που είναι πιο συχνά σε ζήτηση. Πρώτον, η κατανομή όγκων πληροφοριών που λήφθηκαν από το Διαδίκτυο ανά χρήστη, που συνήθως ταξινομούνται κατά φθίνουσα σειρά όγκου (Εικ. 3). Παρέχει επίσης ποσοτικές πληροφορίες σχετικά με την αποτελεσματικότητα της προσωρινής αποθήκευσης. Αυτή η τομή σάς επιτρέπει να αναλύσετε τον όγκο της εργασίας στο Διαδίκτυο στο σύνολό του και να ταξινομήσετε τους χρήστες με βάση τη δραστηριότητα της εργασίας τους στο Διαδίκτυο.

Η δεύτερη δημοφιλής ενότητα είναι η εμφάνιση πληροφοριών που φορτώνονται από συγκεκριμένο χρήστη σε ιστότοπους (Εικ. 4), ταξινομημένες επίσης κατά φθίνουσα σειρά των όγκων δεδομένων. Αυτό το τμήμα σάς επιτρέπει να ενημερώσετε τον χρήστη στο Διαδίκτυο και να μάθετε εάν οι ιστότοποι που ζητούνται πιο συχνά αντιστοιχούν στις εργασιακές ευθύνες του υπαλλήλου.

συμπεράσματα

Εξετάσαμε δύο επιλογές για την οργάνωση μιας μόνιμης σύνδεσης με το εταιρικό δίκτυο στο Διαδίκτυο.

Η επιλογή "με βάση τις διευθύνσεις IP των υπολογιστών χρηστών που χρησιμοποιούν κανόνες IPFW" έχει τα ακόλουθα μειονεκτήματα. Πρώτον, είναι αδύνατο να ελεγχθεί η καταλληλότητα της εργασίας του χρήστη στο Διαδίκτυο, καθώς το IPFW μετρά μόνο τη συνολική επισκεψιμότητα για κάθε κανόνα που ορίζεται για ένα συγκεκριμένο μηχάνημα και δεν παρακολουθεί τους ιστότοπους που επισκέφθηκε. Δεύτερον, είναι αδύνατο να εξουσιοδοτήσετε έναν χρήστη που εργάζεται αυτήν τη στιγμή στο Διαδίκτυο. Αυτό είναι ιδιαίτερα σημαντικό εάν το μηχάνημα "μοιράζεται" από πολλούς χρήστες. Τέλος, είναι δυνατό για τον χρήστη να πλαστογραφήσει τη διεύθυνση IP.

Επιπλέον, στην περίπτωση χρήσης τερματικού διακομιστή, είναι αδύνατο να ληφθεί υπόψη η κίνηση διαφορετικών χρηστών, καθώς όλοι λειτουργούν από την ίδια διεύθυνση IP του διακομιστή τερματικού.

Τα αναφερόμενα μειονεκτήματα απλώς αντικατοπτρίζουν τους περιορισμούς της λογιστικής και διαχείρισης της κίνησης από διευθύνσεις IP και το λογιστικό σύστημα IPFW. Το IPFW δεν προορίζεται απευθείας για τη μέτρηση της κίνησης των μηχανών χρήστη, είναι ένα εργαλείο για την καταγραφή της κίνησης των καναλιών.

Μια πλήρης και ολοκληρωμένη λύση στο πρόβλημα παρέχεται από ένα σύστημα που χρησιμοποιεί μια πύλη με λειτουργικό σύστημα FreeBSD, ένα ρυθμισμένο τείχος προστασίας IPFW και έναν διακομιστή μεσολάβησης SQUID που είναι εγκατεστημένος σε αυτό με ενεργοποιημένο τον έλεγχο ταυτότητας ncsa_auth. Η χρήση ενός διακομιστή μεσολάβησης προσωρινής αποθήκευσης σε ένα εταιρικό δίκτυο σάς επιτρέπει να εξοικονομήσετε έως και 10% στην πληρωμή για μηνιαία κίνηση και να επιταχύνετε σημαντικά τη φόρτωση πόρων που επισκέπτεστε επανειλημμένα.

Όλο το λογισμικό που χρησιμοποιείται σε αυτή τη λύση είναι δωρεάν. Το κόστος της υποστήριξής του είναι ελάχιστο και όπως δείχνει η πρακτική, το σύστημα FreeBSD+SQUID είναι αρκετά αξιόπιστο.

Το σύστημα SQUID, λόγω της ευελιξίας διαμόρφωσης και της διαθεσιμότητας διεπαφών για τη σύνδεση εξωτερικών μονάδων, είναι εξαιρετικά επεκτάσιμο. Το σφάλμα στον υπολογισμό της κίνησης HTTP σε σύγκριση με το IP, που είναι εγγενές στο SQUID, δεν είναι θεμελιώδες. Είναι πολύ πιο σημαντικό να είναι δυνατή η οργάνωση αξιόπιστης ποσοτικής και ποιοτικής παρακολούθησης της δραστηριότητας των χρηστών στο Διαδίκτυο μέσω πρωτοκόλλων HTTP, HTTPS και FTP και να διαφοροποιούνται τα δικαιώματα πρόσβασης και οι προτεραιότητες.

Ο διακομιστής μεσολάβησης μπορεί να λειτουργεί σε ένα μηχάνημα αρκετά χαμηλής κατανάλωσης, για παράδειγμα, με επεξεργαστή Celeron 1 GHz, μνήμη 128 MB και σκληρό δίσκο 20 GB (αυτή η διαμόρφωση εκτελείται αυτήν τη στιγμή στην επιχείρησή μας και εξυπηρετεί 30 χρήστες), και ο ρόλος μιας πύλης για πρόσβαση IP (FreeBSD, IPFW, NATD) μπορεί να εκτελεστεί σε έναν υπολογιστή που βασίζεται σε Pentium 166 MHz με μνήμη 128 MB.