Межсетевой экран интернет контроль сервер. Интернет-шлюз икс. Базовые принципы системы
Основные принципы лицензирования ПО «Интернет Контроль Сервер»
Лицензирование программы «Интернет Контроль Сервер» зависит от количества зарегистрированных пользователей в системе. Лицензии приобретаются пакетами по числу пользователей, в дальнейшем при увеличении количества сотрудников компания может докупать дополнительные лицензии.
Лицензия является бессрочной, на первый год ее использования заказчикам бесплатно предоставляется подписка на сервис «Обновление + Поддержка», включающий в себя услуги по сопровождению и обновлению продукта. По истечении первого года, чтобы продолжать получать обновления и поддержку, организации необходимо приобрести продление подписки еще на один год.
Дополнительно к лицензии можно купить комплект «DVD диск + документация». В состав пакета входят фирменная DVD-коробка, компакт-диск с дистрибутивом ИКС и инструкция по установке.
Варианты покупки продукта «Интернет Контроль Сервер»
- Программа – полностью программное решение, стоимость которого зависит от принадлежности заказчика к той или иной группе организаций: малого бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
- Программно-аппаратный комплекс – готовый физический сервер с установленным ПО «Интернет Контроль Сервер». Стоимость АПК зависит от принадлежности заказчика к той или иной группе организаций: малому бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
- Dr.Web для ИКС – специальный антивирус для интернет-шлюзов, который может приобретаться в дополнение к продукту «Интернет Контроль Сервер». При покупке сервиса «Обновление + Поддержка» лицензия на антивирус Dr.Web предоставляется бесплатно.
- Сертифицированная ФСТЭК версия – редакция, предназначенная для защиты конфиденциальной информации и персональных данных. Поставка включает в себя лицензию и физический комплект. Заказчики могут приобрести сертифицированную ФСТЭК версию в качестве первичной покупки или как переход.
Льготный переход на «Интернет Контроль Сервер»
При переходе на интернет-шлюз «Интернет Контроль Сервер» с аналогичного программного обеспечения организации-заказчику предоставляется скидка 50% . Для льготного перехода необходимо сообщить название продукта, предоставить цветную скан-копию лицензионного договора или копию лицензии на продукт, с которого осуществляется переход, свои регистрационные данные: имя, адрес электронной почты и телефон.
Специальное предложение для бюджетных организаций
При покупке ПО «Интернет Контроль Сервер» бюджетным учреждениям предоставляется скидка 30%. Кроме того, эти организации могут приобрести данный интернет-шлюз с рассрочкой оплаты (возможны различные формы оплаты).
Пакет «Обновление + Поддержка»
Вместе с ПО организация может заключить договор на удаленное администрирование – сервис «Обновление + Поддержка». Удаленное администрирование продукта «Интернет Контроль Сервер», как правило, заказывают компании, которые хотят переложить задачи по настройке и сопровождению сервера на специалистов «А-реал Консалтинг» и получать все обновления программы бесплатно. Сервис включает в себя обновления ПО, постоянный мониторинг работы системы, решение всех задач по настройке сервера, оперативную реакцию на запросы клиентов, реализацию дополнительного функционала под организацию-заказчика и бесплатную лицензию на антивирус Dr.Web для интернет-шлюзов.
Большинство защищенных интернет-шлюзов в России импортируется из-за рубежа. В основном это решения американских компаний Cisco, Intel Security, Websense, Palo Alto Networks и других. В условиях политической нестабильности это создаёт определённые проблемы, в частности, для государственных компаний и тех, кто попал под влияние санкций и не может использовать западное оборудование. Поэтому многие специалисты по информационной безопасности задумываются о переходе, хотя бы частично, на российские аналоги.
Введение
Нельзя быть подключенным к Интернету и оставаться свободным от Интернета. Сегодня все основные задачи по защите от агрессивной деятельности в глобальной сети выполняет сетевой шлюз – без него уже не может обойтись ни одна компания. Однако и простой защиты в виде маршрутизатора с функциями межсетевого экранирования в большинстве случаев также недостаточно. В современных условиях возникает потребность в шлюзах нового поколения, которые не просто блокируют потенциально опасные запросы по определённым правилам, но и способны в безопасном, на первый взгляд, трафике обнаруживать признаки вредоносной деятельности. Фактически это означает, что на сегодняшний день средство защиты корпоративной сети также должно иметь функции обнаружения вторжений, то есть, как минимум модуль IDS, но, при этом, ещё и другие инструменты защиты: шлюзовой антивирус, спам-фильтр и прочие компоненты. При этом желательно, чтобы все защитные функции централизованно управлялись из единой консоли.
К сожалению, большинство подобных шлюзов сейчас импортируется из-за рубежа. В основном это решения американских компаний – в том числе, Cisco, Intel Security, Websense, Palo Alto Networks и др. Это создаёт определённые проблемы, в частности, для государственных компаний и тех, кто по тем или иным причинам не может использовать западное оборудование. Осознавая необходимость поиска альтернативы, многие специалисты по информационной безопасности сейчас задумываются о переходе, хотя бы частично, на российские аналоги. Риск в самый ответственный момент лишиться защиты только из-за неблагоприятной политической ситуации по понятным причинам не добавляет желания покупать продукцию перечисленных производителей.
У иностранных решений есть и другие проблемы:
- Решения иностранных компаний обходятся ощутимо дороже отечественных – например, из-за переплаты за бренд, ввозных пошлин, наценки импортёра и большей TCO (совокупной стоимости владения) зарубежного продукта.
- В данный момент нет никакой гарантии, что санкции не окажутся со временем расширены, в результате чего пользователь, внедривший иностранное решение, не столкнется с проблемами при масштабировании инфраструктуры или при покупке необходимых комплектующих для имеющегося решения. Санкции также могут вызвать, в том числе, и проблемы с технической поддержкой иностранных решений.
- В Госдуме уже рассматривается законопроект о запрете использования западного программного обеспечения при наличии отечественных аналогов, которые на рынке шлюзовых средств защиты вполне есть. Риск принятия аналогичного закона в отношении западного оборудования пока невелик, но отнюдь не нулевой.
- Техническая поддержка иностранных продуктов очень сложная и долгая - чтобы добавить в неё функции, необходимые российским заказчикам (например, российские алгоритмы шифрования), требуются годы. Российские же аналоги изначально создаются, исходя из локальных реалий рынка, а сами производители реагируют на запросы российских клиентов более оперативно.
- К тому же, российское законодательство устроено так, что решения для государственных компаний должны получать сертификаты ФСТЭК и ФСБ. Хотя примеры сертификации иностранных решений есть, но они, как правило, относятся к достаточно старым версиям. Российские же производители имеют возможность сертифицировать свою продукцию более оперативно.
В свете вышеизложенного многие работающие в России организации начинают более пристально рассматривать отечественных производителей защищённых шлюзов.
Российский интернет-шлюз
Сегодня мы обратили внимание на российскую компанию «А-Реал Консалтинг», которая предлагает российским пользователям своё решение ИКС (Интернет Контроль-Сервер) . ИКС – это настоящий многофункциональный корпоративный шлюз, который совмещает в себе самые разнообразные функции защиты: блокировку лишнего и опасного трафика, создание шифрованных туннелей до филиалов, систему обнаружения вторжений, антивирус, спам-фильтр и многое другое. При этом он обладает следующими дополнительными возможностями:
- ИКС обеспечивает защиту корпоративной сети от вредоносных программ и спама, позволяет осуществлять учет трафика, управлять доступом, организовывать защищённые телефонные соединения через IP-УАТС Asterisk, развертывать почтовые, файловые, веб- и даже jabber- серверы.
- С его помощью появляется возможность управлять общим доступом в Интернет, создавать белые/черные списки сайтов, контролировать доступ к социальным сетям и другим ресурсам с нежелательным контентом, ограничивать время использования Интернета. Специальный режим фильтрации позволяет блокировать доступ к любым ресурсам, кроме входящих в доверенный белый список.
- В основе решения лежит открытая система FreeBSD 9.2, управлять которой можно из удобного единого интерфейса.
ИКС поддерживает достаточное количество каналов связи с внешним миром. Это может быть и проводное, и беспроводное (Wi-Fi) соединение, или даже 3G модем. При этом ИКС может как подключаться к VPN-серверам, так и сам играть роль VPN-сервера.
В ИКС, как и в любых других межсетевых экранах, имеется всё необходимое для маршрутизации трафика между корпоративной сетью и Интернет: DHCP, перенаправление портов, таблица маршрутизации, правила фильтрации, сетевые утилиты.
Среди утилит – уже ставшие стандартом де-факто ping и traceroute, опрос DNS, справочный сервис WhoIs, анализатор трафика, измеритель скорости канала и даже сканер защищённости сети. Коммуникационные возможности включают в себя встроенный сервер почты с удобным веб-интерфейсом, приложение для унифицированных коммуникаций на основе Jabber, а также сервер IP-УАТС Asterisk. Для организации корпоративного портала будет полезен встроенный веб-сервер на основе PHP и базы данных MySQL.
ИКС предлагает администраторам гибкую систему отчетности по использованию сети. Тут можно посмотреть, кто из пользователей посещал какие сайты, и сколько времени на них было проведено. Всего же в продукте предусмотрено 15 предустановленных отчетов, но клиенты вполне могут расширить этот список с помощью мощного конструктора документации.
Важнейшей функцией защищённого интернет-шлюза является защита от вредоносных программ и спама. Для этого ИКС использует антивирусный и антиспам-модули от «Лаборатории Касперского», обеспечивая высокий уровень обнаружения и нейтрализации вирусов, троянов, программ-невидимок и прочего вредоносных программ, а также нежелательной почты.
Одной из основных задач шлюзов нового поколения является возможность обнаруживать различные виды сетевых атак извне, на лету анализируя трафик с помощью набора автоматически подгружаемых правил. В случае, если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.
В целом же можно сказать, что ИКС вполне может быть использован для защиты государственных систем, а также практически везде, где обрабатываются персональные данные. Отдельно стоит сказать про внедрение данного шлюза в школах. Дело в том, что проектировался ИКС в строгом соответствии с федеральным законом 436-ФЗ "О защите детей от информации…" – а это является необходимым условием для обеспечения защиты учебных заведений. При этом, по заверениям Игоря Сухарева, директора компании "А-Реал Консалтинг", использование ИКС не требует высокой квалификации, что важно и для школ и для государственных заведений. "Наличие высококвалифицированного специалиста не является обязательным, – утверждает Игорь Сухарев. – Наше ПО активно используют школы, имея в штате только учителя информатики".
Плюсы и минусы российского защищённого интернет-шлюза
Оценить возможности ИКС можно с помощью установки бесплатной демо-версии, которую можно скачать с сайта компании-производителя. При этом на период тестирования и первого года использования программы все клиенты могут рассчитывать на бесплатную техническую поддержку, вплоть до удаленной настройки ИКС. Доступна также аппаратная версия ИКС: высоконадежные серверы для неё специально разработаны группой компаний Depo Computers и ГК «Аквариус» специально под требования эффективной работы программного обеспечения «Интернет Контроль Сервер». Эти решения являются полностью отлаженными, многократно проверенными и готовыми к работе «из коробки». Таким образом, решение можно достаточно быстро развернуть для защиты самых разнообразных сетей государственных ведомств, коммерческих компаний, учебных заведений и других клиентов, которым нужно защищённое подключение к Интернет.
Поддержка большого числа защитных функций и множества дополнительных сервисов позволяет клиентам работать с большим разнообразием сервисов, а не только стандартными протоколами электронной почты и веб. Jabber и IP-телефония Asterisk позволяют сотрудникам компании находиться постоянно на связи. Наличие сертификатов и поддержки от российского производителя решения позволяет надеяться на своевременное решение всех возникающих у клиента проблем.
Однако сам факт объединения в одном устройстве такого большого количества функций является уже потенциально опасным. В частности, взлом одной службы, например веб-сервера, дает атакующим возможность проникнуть в операционную систему и перестроить в том числе и защитные функции продукта. Наличие Jabber и IP-телефонии также создаёт опасность создания скрытых каналов вовне, по которым можно будет передавать множество ценной информации из корпоративной сети. Поэтому расширенным набором функций стоит пользоваться крайне осмотрительно и постоянно контролировать их использование. Впрочем, Игорь Сухарев заверяет, что хакеров, которые умеют атаковать системы на FreeBSD не так и много. В частности, он подтверждает, что "использование большого количества сервисов действительно может ставить под сомнение общую безопасность за счёт взлома одной из служб. Однако, использование FreeBSD в основе операционной системы позволяет значительно снизить риски. Это связано, в первую очередь, с гораздо меньшим количеством кибер-преступников, специализирующихся на FreeBSD – большинство из них делает акцент на Windows. А это значит, что и вирусов, направленных на взлом и заражение FreeBSD, не так много."
С другой стороны, для использования FreeBSD может потребоваться наличие в штате системного администратора или сотрудника службы ИБ с соответствующей квалификацией. В результате может оказаться, что эффект низкой цены на сам продукт будет частично нивелироваться дополнительной стоимостью услуг системного администратора. Впрочем, производитель сделал достаточно много для решения этой проблемы. "Что касается сложности эксплуатации системы, основанной на FreeBSD, то это однозначно не про ИКС, – уверяет Игорь Сухарев . – Все управление осуществляется через интуитивно понятный и простой веб-интерфейс. На официальном сайте легко можно найти подробную документацию, обучающие видеоуроки, а также анонсы и записи бесплатных вебинаров по настройкам программы."
Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.
Затем надо выбрать жёсткий диск, куда будет установлен ИКС, выставить время и часовой пояс, а затем дождаться окончания базовой установки системы. После перезагрузки начнётся установка модулей ИКС, которая займёт ещё некоторое время. Суммарно на инсталляцию уйдёт не более получаса. В самом конце установщик сообщит адрес веб-интерфейса ИКС, а также логин и пароль администратора, которые по умолчанию равны root и 00000 (пять нолей). Не забудьте нажать в этом «окне» кнопку ОК, иначе необходимые сервисы не запустятся.
Затем к локальному сетевому интерфейсу надо подключить другой компьютер и в настройках сети вручную указать IP-адрес из выбранной во время инсталляции подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).
⇡ Настройка
Итак, авторизуемся с логином и паролем администратора. Как обычно, предлагается произвести базовую настройку системы с помощью специального мастера, заполнив перед этим карточку с данными о вашей организации и запросив лицензию на Lite-версию. Если мастер не запустился или вы потом ещё раз захотите всё перенастроить, то его можно запустить из раздела «Обслуживание» → «Система». В мастере крайне рекомендуется поменять пароль администратора и заполнить или изменить остальные параметры по своему усмотрению.
Следующим нашим шагом будет настройка сетевых интерфейсов и подключение к интернет-провайдеру. Поддерживаются и столь любимые нашими операторами PPTP/PPPoE. Также можно настроить подключение сразу к нескольким провайдерам в различных вариациях. Ещё одна приятная фишка — использование сторонних DNS-сервисов, а значит и дополнительный уровень надёжности и/или фильтрации и защиты. Имеется и поддержка DDNS-сервисов dyndns и no-ip. Чтобы включить её, после завершения работы мастера в подразделе «Провайдеры и сети» надо выбрать нужного провайдера и кликнуть на «Подробнее». Для локального интерфейса лучше всего включить DHCP-сервер. После окончания настройки убедитесь, что запущен межсетевой экран. К нему мы ещё вернёмся.
Теперь займёмся группами пользователей в разделе «Пользователи и статистика». Первым делом нам надо создать новую группу. Проще всего кликнуть на иконку волшебной палочки в верхней строке для запуска мастера. Для группы нам надо выделить набор IP-адресов из локальной подсети. Не забываем, что у нас ограничение всего в восемь клиентских машин.
После создания группы выберите её в списке и снова запустите мастер, на этот раз для добавления пользователя. Выберите для него логин и пароль, а также IP-адрес из того диапазона, который ранее мы указали для нашей группы.
С помощью логина и пароля пользователь может авторизоваться в веб-интерфейсе ИКС и, в зависимости от назначенной роли, просто посмотреть свою статистику или отредактировать параметры других пользователей. С их же помощью можно удалённо подключаться к офисной сети посредством VPN. Настройку соединения на клиентской машине мы уже рассматривали не раз . В самом ИКС в разделе «Сеть» → VPN надо запустить VPN-службы, выбрать авторизацию по логину и паролю, а также отметить галочками тех пользователей, которым будет доступно подключение к серверу.
Теперь займёмся локальной сетью. Для начала привяжем IP-адреса наших пользователей к MAC-адресам, чтобы каждый из клиентов всегда получал один и тот же IP. Делается это, например, в разделе «Сеть» → «ARP-таблица». В первый раз можно вручную прописать на каждом ПК нужный IP-адрес, подключить его к локальной сети, а затем связать IP и MAC и выставить на ПК получение параметров по DHCP. Либо просто положиться на встроенный в ИКС DHCP-сервер, который будет выдавать клиентам IP в порядке очереди.
Полезно будет включить и встроенный прокси-сервер для кеширования и фильтрации трафика. В его настройках надо включить авторизацию по логину и паролю, выбрать в порядке авторизации пункт «Только по IP» и отметить галочкой пункт «Использовать прозрачный прокси». По желанию можно изменить размер кеша на диске и включить антивирусное сканирование. В нашем случае лучше выбрать бесплатный ClamAV, а DrWeb вообще отключить.
Перейдём к самому важному — правилам доступа и всему, что с ними связано. Сами правила определяют, куда можно пользователю/группе «ходить», а куда нельзя. Правила можно объединять в наборы (профили) для упрощения работы с ними и массового применения к группам пользователей. Пользовательские правила делятся на две категории — обычные и прокси. Обычные позволяют фильтровать обращения к определённым хостам (сайтам, IP-адресам и так далее) и портам или их диапазонам. Правила прокси же работают только с HTTP(S). В самом ИКС уже встроены так называемые категории трафика — наборы определённых URL-адресов и их частей для выявления обращения к какому-либо виду контента (порно, зловреды, баннеры и так далее). Все правила позволяют задать источник (ПК, с которого идёт запрос) и время действия. Заметьте, что разрешающие правила всегда применяются перед запрещающими. В остальном порядок их добавления не играет особой роли.
Также в пользовательских правилах можно включить ограничение скорости доступа или, наоборот, выделить под какой-то конкретный ресурс определённую полосу пропускания (например, для просмотра потокового видео), добавить маршрут и выделить пользователю определённый объём доступного трафика. В общем и целом система правил только на первый взгляд кажется запутанной и сложной, но на деле она достаточно простая для понимания и при этом очень гибкая.
А теперь вернёмся к межсетевому экрану. В нём тоже есть наборы правил, которые работают с целыми сетями или отдельными узлами. Помимо стандартных разрешающих и запрещающих правил, маршрутов и ограничений скорости, экран также позволяет выставлять приоритеты для трафика и настраивать перенаправления портов. Если вы не уверены в своих действиях, то лучше межсетевой экран вообще не трогать. В нём уже есть несколько преднастроенных наборов правил по умолчанию, которые обеспечивают необходимую защиту и в то же время не мешают нормальной работе.
Функционал системы:
- Включена авторизация по IP-адресу, при этом за пользователем не закреплен IP-адрес компьютера, за которым он в данный момент работает.
3) Откройте вкладку «ip-адрес»;
4) Проверьте, содержит ли список «Адреса IP» адрес компьютера, за которым пользователь в данный момент работает. - Выключен генератор правил межсетевого экрана.
1) Перейдите на страницу настройка системы/межсетевой экран;
2) Кликните ссылку «Включить генератор»;
3) Кликните ссылку «Сгенерировать». - Включена авторизация по логину/паролю, при этом:
в свойствах web-браузера пользователя не настроено использование прокси-сервера; при запросе страницы введены неверные данные (логин и/или пароль). - В системе настроено использование авторизации через контроллер домена, при этом: на компьютере пользователя не запущена программа авторизации;
значок программы авторизации (он находится в трее – в правом нижнем углу экрана) имеет красный цвет: проверьте, создана ли в системе учетная запись для данного пользователя. - Неисправна локальная сеть, внешнее подключение Интернет Контроль Сервера, либо проблемы с Интернет-подключением имеются у Вашего провайдера:
в таком случае проблема с выходом в Интернет может быть не у одного, а сразу у нескольких или даже всех пользователей сети.
Базовые принципы системы
Почему для установки ИКС требуется отдельный компьютер? Как создать пользователей?Доступ в Интернет в ИКС предоставляется объектам тарификации – пользователям. Для того, чтобы выпустить какой-либо компьютер в Интернет, необходимо произвести следующие действия:
В модуле «пользователи» нажать на кнопку «добавить» и ввести имя пользователя. Также можно ввести логин и пароль, при этом у данного пользователя появится возможность удалённо подключаться к серверу через VPN и выходить в интернет с помощью логина и пароля.
Авторизация по логину/паролю
После создания пользователя, если ему был задан логин и пароль, мы можем получить доступ к Интернету, прописав в настройках его веб-браузера прокси-сервер: 192.168.0.254 и порт 3128.
При попытке выхода в Интернет, ИКС спросит у пользователя его логин и пароль. Такая схема работы называется «авторизацией по логину/паролю».
Для того чтобы выдать пользователю ip-адрес, необходимо кликнуть на имя пользователя в списке в модуле «пользователи», при этом откроется страница с информацией о выбранном пользователе.
Затем нужно открыть вкладку ip-адреса, нажать кнопку «добавить» и задать адрес, выделенный для этого пользователя. . Как проверить наличие Интернет?
Для этого Вам необходимо зайти в модуль Сетевые утилиты (пинг, трейс, днс, whois, дамп, netstat (2.3), ifconfig(2.3)) и посмотреть идут ли пинги.
Как отключить Интернет у пользователей?Для того, чтобы закрыть пользователям доступ на какой-то хост в Интернете, либо запретить доступ по какому-то порту, необходимо создать запрещающее правило. Для этого необходимо зайти на страницу пользователя или группы, которому необходимо ограничить доступ, открыть вкладку «Правила и ограничения» и выбрать пункт «Добавить→Запрещающее правило»
При создании запрещающего правила, можно указать адрес назначения, порт назначения и протокол соединения. Адрес назначения может быть как именем хоста, так и ip-адресом или ip-диапазоном в формате адрес\префикс.
1) Перейдите на страницу управление пользователями/пользователи.
2) Кликните имя пользователя, у которого требуется посмотреть статистику.
3) Откройте вкладку статистика.
3) Вкладка детализированная статистика.
4) В опциях статистики выберите сортировать: по размеру.
5) Нажмите кнопку запомнить и обновить.
Для этого необходимо создать профиль доступа и задать его данным группам и/или пользователям.
Профиль доступа – это список правил доступа, предназначенный для нескольких пользователей, возможно, не входящих в состав одной группы, для которых требуется доступ только к определённым ресурсам, а доступ к другим ресурсам должен быть ограничен. Чтобы создать профиль доступа, сделайте следующее.
1) Перейдите на страницу «Управление пользователями/профили доступа».
2) Выберите тип создаваемого профиля (http или ipfw).
3) Добавьте новый профиль и сформируйте список правил для данного профиля. Это делается аналогично тому, как формируется список правил для отдельного пользователя.
Чтобы задать данный профиль группе или пользователю, сделайте следующее:
2) Кликните имя пользователя, для которого требуется задать профиль доступа.
3) Откройте вкладку http правила или ipfw правила.
4) В форме «Добавить профиль» из списка профилей выберите нужный.
5) Выберите, в какое место уже имеющегося списка правил и профилей вставить данный профиль, учитывая приоритет уже имеющихся правил и профилей и данного профиля.
6) Нажмите кнопку «Добавить профиль».
Установлен тип авторизация на прокси: на основе логина/пароля, при этом за пользователем не закреплен IP-адрес компьютера, за которым он в данный момент работает:
1) Перейдите на страницу управление пользователями/пользователи;
2) Кликните имя данного пользователя;
3) Откройте вкладку ip-адрес;
4) Проверьте, содержит ли список «Адреса IP» адрес компьютера, за которым пользователь в данный момент работает.
1) Перейдите на страницу «Управление пользователями/пользователи».
2) Кликните нужную группу.
3) Откройте вкладку «http-правила».
4) Заполните форму «Добавить правило доступа в список правил http доступа»:
правило: .*\.avi$|.*\.mpеg$|.*\.mpeg4$|.*\.mpg$|.*\.mvi$
В эту строку можно добавить и другие форматы файлов: новые ветви вида.*\.расширение_файла$
Отдельные ветви отделяются друг от друга символом |
доступ: запрещен
добавить: в начало
5) Нажмите кнопку «Добавить правило».
1) Перейдите на страницу «Управление пользователями/пользователи».
2) Отметьте галочками пользователей, у которых Вы хотите изменить ограничение скорости.
3) В поле «Множественные операции» внизу страницы отметьте галочку «Изменить скорость канала».
4) В поле справа укажите скорость в байтах в секунду.
5) Нажмите кнопку «Задать параметры».
1) Перейдите на страницу «Настройка системы/конфигурация системы».
2) Нажмите ссылку «Перезагрузка».
Здесь же можно запланировать перезагрузку на определенную дату и время.
В модуле обновлений отображается наличие обновлений и их готовность к установке. Также здесь отображается история версий ИКС. Из неё можно узнать о том, какие функции и исправления входят в новое обновление.
Установка обновлений
При входе в модуль обновлений, ИКС проверит доступные обновления. В случае, если таковые будут найдены, появится кнопка «Скачать», при нажатии на которую начнется загрузка обновления. Если обновление уже было скачано, станет доступна кнопка «установить», на которую и нужно будет нажать для начала установки. При установке обновления сервер остановит все сетевые службы, затем выполнит установку новых компонентов и перезагрузится.
Автоматическое скачивание обновлений и бета-версии
Чтобы избавиться от необходимости ручной проверки и скачивания обновлений, Вы можете настроить ИКС на автоматическое скачивание обновлений. Для этого на вкладке «Настройки»
поставьте галочку на пункте «Автоматически скачивать обновления»
. Также можно указать период скачивания. Если Вы хотите быть в курсе всех новых возможностей системы и хотите попробовать эти возможности ещё до выхода официального релиза, поставьте галочку «скачивать экспериментальные версии».
Внимание!
Стоит учитывать, что некоторые новые функции в бета-версиях могут работать не вполне корректно, поэтому Вы используете эту функцию на свой страх и риск.
Да, с версии ИКС 2.2.3.6583 Вы можете использовать такие модемы. Выглядит это следующим образом: После подключения USB-модема нужно будет создать 3G-провайдера, там указать все настройки(пин, точка доступа...).
Пользователю закрыт доступ ко всем сайтам в профиле "Пользователи", необходимо открыть доступ на сайт "ya.ru" В какой раздел и в каком порядке внести разрешающее правило прокси?Нужно создать отдельный профиль для юзера, в котором добавить 2 правила - запретить все и разрешить нужное ya.ru
DHCP... как выделять адресные диапазоны?В настройках локальной сети (провайдеры и сети), чтобы привязать к маку, надо прописать адрес у юзеров руками, при этом не будет работать домен на авторизацию (точнее, юзеры смогут выходить по ip).
Подскажите, пожалуйста, встроенный Jabber ретранслирует ICQ в тырнет? Можно сделать так, чтобы внутрисетевые переговоры не выходили наружу? Или для внутренних разговоров - Jabber, а для внешних Аська через 5190?Ретранслирует, там есть опция
При авторизации сведения берутся из локальной базы или из директории?Логины - из локальной, пароли - из AD
Как в ИКС осуществляется работа с несколькими провайдерами, возможно ли быстрое переключение с одного на другого в случае отказа одного из них?Переключение между провайдерами в ИКС осуществляется автоматически. В случае падения основного провайдера поднимается резервный/
Tсли доступ к региональным ресурсам провайдеры никак не тарифицируют (т.е. бесплатны внутри города), можно ли как-то создать отдельные правила для таких адресов?Отдельные нетарифицируемые как внешние источники подсети в ИКС можно настраивать и добавлять в любых количествах и применять к ним любые правила.
Можно ли прикручивать внешние black list сайтов как пользователям, так и группам (причем по категориям), потому как у нас сейчас закрыто порядка 5 тысяч различных порно, мультимедийных и развлекательных ресурсов, причем большая часть списка?Предоставляет сам rejik.
В ИКС есть понятие «Категории», в которые заносятся списки нежелательных или наоборот разрешенных сайтов. Эти списки совместимы со списками rejik’а.
Назначение квот осуществляется как на каждого пользователя, так и на группу целиком.
В случае если ваши внутренние маршрутизаторы не транслируют адреса пользователей через NAT, статистика на ИКСе будет собираться обычным образом.
Создание нескольких провайдеров на одном физическом интерфейсе на ИКС возможно.
В нашей компании офисы находятся в разных городах, и у каждого офиса разные провайдеры. Можно ли нам внедрить Вашу программу по ограничению интернет-ресурсов, если да, то как?Возможно 2 варианта внедрения:
1 - создать впн-юзеров (это удаленные офисы), чтобы они подключались удаленно и ходили через ИКС, но это загрузит канал.
2 - поставить везде по ИКС и соединить туннелями.
Вам нужно применить фильтр "по протоколам/портам"
Где в dhcp настроить пул адресов?В настройках локальной сети.
Есть сетевой инструмент мониторинга и возможность создания карты сети?В модуле «Мониторинг» Вы можете посмотреть статистику использования сетевых и системных ресурсов, а также различных показателей системы, таких как виртуальная память, загрузка процессора, загрузка системы, пинг до ya.ru, трафик на сетевых интерфейсах и др. На каждый из пунктов строится несколько графиков, различных по временному интервалу: за последний час, 6 часов, день, неделю, и т.д.
Как настроить доступ снаружи по VPN?Доступ настраивается в разделе "провайдеры и сети".Добавляется сеть VPN, а пользователи, которым должен быть выдан доступ к внутренней сети по VPN, помечаются галочками, в соответствующем модуле VPN во вкладке "пользователи"
Версия программы: 4.8.2
Официальный сайт: ссылка
Язык интерфейса: Русский, Английский
Лечение: другое
Тип лекарства: другое
Системные требования:
10-50 пользователей. Процессор Intel Core2DUO T7100 2,4 GHz. Жесткий диск 320 Gb SATA. Оперативная память 2 Gb
50-150 пользователей. Процессор Intel® Core™ i3 3240 Proctssor 2-Cores, 3.40GHz. Жесткий диск 500 Gb SATA. Оперативная память 4 Gb
>150 пользователей. Процессор Intel Core I7 3.06Ghz. Жесткий диск 1 Tb.
Оперативная память более 4 Gb
Описание:
Интернет Контроль Сервер - программа для учёта трафика и мониторинга интернет-подключения. Может использоваться не только как счётчик трафика, но и как универсальный комплекс для управления любым подключением к Сети. Интернет Контроль Сервер - полностью российская разработка, существующая на рынке с 2003 года.
ИКС обеспечивает защиту корпоративной сети от вредоносного ПО и спама, позволяет осуществлять учёт трафика, управлять доступом, организовывать IP-телефонию на основе Asterisk, развёртывать почтовые, прокси-, файловые, веб- и jabber-серверы.
С его помощью появляется возможность как управлять общим доступом в Интернет, так и создавать белые/чёрные списки сайтов, контролировать доступ к социальным сетям, пресекать доступ к ресурсам с нежелательным контентом и ограничивать время использования Интернета.
Важное преимущество интернет-шлюза ИКС - это его постоянное развитие и обновления программы. Разработчики всегда стремятся не просто усовершенствовать имеющийся функционал, но и добавить в ИКС новые возможности.
Дополнительная информация:
В новой версии ИКС 4.8:
1. Ядро системы обновлено до FreeBSD 9.3
Расширен перечень поддерживаемого оборудования, увеличена стабильность и безопасность системы.
2. Изменена логика работы пользовательских правил
Старые разрешающие правила переименованы в исключения. А новые разрешающие правила позволяют более гибко настраивать порядок доступа к интернет-ресурсам.
3. Обновлён движок веб-интерфейса
Исправлены проблемы с медленной работой и загрузкой веб-интерфейса, а также некоторые проблемы совместимости с новыми браузерами.
4. MySQL изменён на MariaDB 10
Служба баз данных обновлена до актуальной версии, которая предоставляет больше возможностей и обеспечивает лучшее быстродействие.
5. Добавлена опция для отключения кеша прокси-сервера
Функция кеширования веб-контента постепенно перестаёт быть актуальной для некоторых пользователей, поэтому мы сделали эту функцию отключаемой.
6. Добавлены исключения для авторизации прокси-сервера
В некоторых случаях включение прокси-сервера влияет на работу сетевых служб. Мы реализовали механизм, позволяющий обойти эту проблему.
Версия Интернет Контроль Сервер 4.8 проходит сертификацию ФСТЭК и в апреле 2015 года будет доступен для скачивания и тестирования обновлённый межсетевой экран ИКС.
Процедура лечения:
Бесплатная версия на 8 пользователей.
Пример использования в школе:
Завести все компьютеры класса информатики как 1 пользователя, бухгалтерию - как 2 пользователя, директор - 3 пользователь и т.д.
Каждому из пользователей присвоить свой набор правил и ограничений. В этом случае статистика тоже будет общей, но это выход для тех кто не хочет тратиться на платную версию.