Министерство образования и науки РФ Государственное образовательное учреждение высшего профессионального образования НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ им. Р.Е.АЛЕКСЕЕВА Кафедра "Вычислительные системы и технологии" Практическая работа №1 по дисциплине: «Программное обеспечение вычислительных сетей» (часть 2) «Интернет-шлюз Ideco ICS» Выполнил: Студент группы 10-В-2 Кульнев А.А. Проверил: Кочешков А.А. Нижний Новгород 2014 1. Ознакомиться с функциональным назначением, версиями и условиями поставки программной системы Интернет-шлюза Ideco ICS. Интернет-шлюз Ideco ICS – это комплексное решение, делающее работу с Интернет управляемой и безопасной, максимально соответствующее задачам современных организаций. Основные функциональные возможности Контроль доступа: Персональный полноценный доступ в Интернет для каждого сотрудника. Авторизация по логину и паролю через VPN, PPPоE или через Ideco Agent, авторизация по IP адресу и по MAC адресу. Возможность синхронизации и авторизации пользователей через Active Directory и LDAP сервер. Фильтрация веб-контента по категориям непродуктивных сайтов Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя сохраняется. Контроль доступа сетевых приложений на пользовательских компьютерах к сетевым ресурсам. Защита и безопасность, межсетевой экран(Firewall): Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного Firewall. Блокирование ip адресов и протоколов по заданным условиям. Защита от сканеров сети, защита от DOS-атак и блокирование чрезмерной активности. IDS/IPS Snort анализирует сетевой трафик. При появлении потенциальных угроз, предотвращает и уведомляет Администратора. Контроль утечек информации для служебного пользования. Многоуровневая фильтрация нежелательной почты (спама). Блокирование рекламы. Запрет Интернет-пейджеров. Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети. Защита от подстановки IP адреса, при авторизации через VPN и PPPoE каждому пользователю назначается личный IP-адрес. Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, компьютеров или протоколов. Фильтрация межсегментного локального трафика. Ограничение трафика: Планирование и ограничение расходов (лимитирование) по пользователям, отделам и предприятию в целом. Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита. Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте, статистика TOP 100. При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IPадреса. Удобные отчёты для директора. Удаленное подключение, виртуальные частные сети. Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу. Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN PPTP, OpenVPN. Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников. Интеллектуальный QoS Интеллектуальная приоритезация трафика по скорости и типу, резервирование полосы пропускания для важных приложений, возможность расставлять приоритеты вручную. Равномерное распределение канала между пользователями и между приложениями. DHCP-сервер Автоматическое распределение IP адресов в локальной сети. Возможность фиксированной привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP клиентов. Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания разных диапазонов на разных интерфейсах и VLAN. Полноценный маршрутизатор Поддерживает множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать маршруты по источнику. Подключение к провайдерам, резервирование каналов Поддержка нескольких каналов провайдеров и нескольких внешних сетей. Создание разных тарифных планов. Перенаправление трафика в разные подсети. Возможность полного разделения пользователей для выхода в Интернет через разных провайдеров. Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера, в случае необходимости. Возможность указать резервный тарифный план. Подключение к провайдеру по протоколам PPTP ( VPN ), L2TP и PPPoE. Возможность балансировки трафика между каналами. Интегрированные интернет службы Почтовый сервер с антивирусом и фильтрацией спама Ideco ICS включает сконфигурированный и настроенный почтовый сервер. Почтовый ящик создается автоматически при добавлении пользователя. Гибкие параметры мультидоставки и переадресации. Возможность отправки почты через Службу Безопасности с визуальной проверкой человеком. Многосайтовый Internet веб-сервер Сервер позволяет размещать внешний сайт организации или несколько различных сайтов. Поддерживается возможность создания динамических сайтов на PHP и Perl, а также поддержка БД MySQL. FTP-сервер На этом сервере можно хранить общие документы и прочие файлы. Доступ к серверу может осуществляться как снаружи, так и из локальной сети. Анонимный и авторизованный вход. Создание ftp пользователей. Закрытая и публичная часть. Защита от переполнения диска. Возможность ограничения скорости скачивания. Файловый веб-архив Возможность выкладывания файлов для пользователей на локальном сайте. Сервер точного времени Ideco ICS включает в себя сервер точного времени, который может синхронизировать время через Интернет. Кроме того, есть возможность синхронизировать время компьютеров локальной сети с самим сервером. DNS-сервер Ideco ICS включает в себя кэширующий DNS сервер для локальной сети. Гибкие настройки кэширования позволяют экономить до 20% трафика. Есть возможность указывать соответствие между доменным именем компьютера и его сетевым адресом. Корпоративный IM-сервер Все работники компании автоматически заносятся в контакт-лист корпоративного jabber-сервера. Jabber-сервер работает всегда и связь между сотрудниками не зависит от перебоев интернет-канала со стороны провайдера, гейт на ICQ. Преимущества Интернет-шлюза Ideco ICS Надежность и безопасность. Ideco ICS построен на базе ядра Linux с применением уникальных технологий. Поэтому имеет беспрецедентную надежность и защищенность, сравнимую с аппаратными маршрутизаторами. Многоуровневая системы защиты сервера. Надежность системы подтверждается фактами внедрения Ideco ICS крупными компаниями более 3 000 пользователей; Встроенный модуль отказоустойчивости восстановит систему даже в случае сбоя. Простота установки, настройки и сопровождения Не требует изменения существующей сети предприятия – достаточно установки одного сервера. Ideco ICS автоматически устанавливается на компьютер. Мастер обнаружения ПК позволяет быстро настроить доступ всем пользователям, сразу после установки сервера. Не требует постоянного сопровождения – эксплуатационные расходы близки к нулю Удобный и понятный русскоязычный веб-интерфейс администратора позволяет управлять всеми задачами из любой точки сети. Управление некоторыми параметрами системы возможно не только сетевым администратором, но и простым пользователем. Веб-интерфейс пользователя: просмотр статистики, баланса, смена пароля и другой информации. Встроенный DHCP сервер максимально упрощает развертывание на малых предприятиях. Не требует установки нестандартного ПО на компьютеры пользователей, может использоваться в виртуальных средах. Прозрачность для всех сетевых протоколов: HTTP, SMTP, POP3, FTP и других. Экономический эффект Учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов – Ideco ICS окупается за несколько месяцев. Сервис автоматического обновления минимизирует временные затраты на сопровождение системы. Удобная схема лицензирования. Имеются версии для малых предприятий: 10-20 пользователей; средних: 50-200; и крупных компаний: 500 и более пользователей. Редакции Ideco ICS имеет две редакции: Редакция "Standard Edition" Редакция "Enterprise Edition". Обладает всеми возможностями версии Standard Edition, а также имеет ряд дополнительных возможностей. На рисунке 1 отображены особенности редакций. Рис. 1 Особенности редакций Ideco ICS 2. Установить Ideco ICS в виртуальную машину или использовать готовый образ от фирмы Ideco. Настроить сетевые интерфейсы шлюза для начального конфигурирования. Изначально я пытался использовать готовый образ для VMware, скаченный с официального сайта, но при этом обнаружились неполадки, не позволившие производить дальнейшую работу с Ideco ICS. Поэтому было решено произвести новую установку в виртуальную машину. Создаем новую виртуальную машину в VMware и указываем путь к диску с образом Ideco ICS. Далее запускаем виртуальную машину. После запуска нам будет предложено два варианта действий: протестировать ОЗУ или приступить к установке (рис. 2). Рис. 2 Варианты действий после запуска виртуальной машины с Ideco ICS Сначала я выбрал вариант тестирования ОЗУ, однако, процедура оказалась очень длительной, поэтому я ее прервал, нажав клавишу «ESC», и выбрал вариант установки Ideco ICS. Начался процесс подготовки к установке (рис. 3) Рис. 3 Подготовка к установке Ideco ICS После загрузки файлов будет запущен мастер установки с псевдографическим интерфейсом на синем фоне и появляется сообщение о том, что на установочном диске присутствует инструкция по установке, а также предупреждение о том, чтобы мы выставили правильную дату и время в BIOS (рис. 4). Рис. 4 Окно с предупреждением перед началом установки Ideco ICS Выбираем «да». Далее нам предлагается ознакомиться и принять условия лицензионного соглашения. После прочтения и согласия с условиями лицензионного соглашения появляется окно с выбором дальнейшего действия (рис. 5) с вариантами: установка Ideco ICS, обновление Ideco ICS, восстановление Ideco ICS. Рис. 5 Варианты действий в программе установки Выбираем «Установка Ideco ICS». Но у нас возникли проблемы. Программа предупреждает нас, что для корректной работы нам нужно минимум 2 Ethernet адаптера. Поэтому прерываем процесс установки. Заходим в настройки виртуальной машины и добавляем второй сетевой адаптер. Конфигурация виртуальной машины представлена на рисунке 6. Рис. 6 Конфигурация виртуальной машины После добавления сетевого адаптера проделываем те же действия, что и ранее. Теперь при выборе «Установка Ideco ICS» предупреждений не появится. После этого жесткий диск будет отформатирован, на нем будут созданы новые логические разделы и скопированы файлы системы. Логические разделы при установке системы создаются автоматически. Все свободное место, не занятое файлами системы, будет выделено в отдельный раздел и может понадобится в будущем для подключения дополнительных компонентов системы. После создания файловой системы начнется копирование системных файлов на диск. Все происходит автоматически и наше участие в процессе установки системы не требуется. После копирования файлов мастер установки применит конфигурацию виртуальной машины к установленной системе. Все прошло успешно и нам предлагается настроить локальный интерфейс (рис. 7). Рис. 7 Окно настройки сетевого интерфейса Оставим здесь по умолчанию IP-адрес 192.168.0.1 и маску 255.255.255.0. Укажем локальную сетевую карту с MAC адресом 00:0C:29:09:F1:53 и нажимаем «Далее». По окончанию установки появится окно отображенное на рисунке 8, в котором указаны дальнейшие действия для настройки сервера. Рис. 8 Окно окончания установки После подтверждения произойдет перезагрузка системы. При старте система проводит монтирование, проверку файловой системы, проверку необходимых компонентов и их запуск. Запуск проходит успешно и появляется окно для ввода пароля. Вводим «servicemode» и входим в систему под администратором. После успешной аутентификации появляется окно со списком возможных операций и действий (рис. 9). Рис. 9 Возможные операции после аутентификации Среди них: Мониторинг Мониторинг сети Конфигурирование сервера Резервное копирование Автоматическое обновление Сервис Смена пароля Перезагрузка сервера О программе Выход Доступ в Интернет будет осуществляться с помощью NAT через базовую ОС. Теперь нужно сконфигурировать стек TCP/IP на узле другой виртуальной машине, которая будет принадлежать той же сети, что и локальный интерфейс на сервере Ideco. Для этого заходим в свойства адаптера на виртуальной машине с установленной ОС XP, переходим к свойства протокола интернета версии 4 (рис.10) и указываем IP-адрес 192.168.0.2, маску подсети 255.255.255.0 и шлюз 192.168.0.1 Рис. 10 Свойства протокола Интернета версии 4 Убедимся в правильности выполненных настроек. Осуществим проверку связи сервера Ideco и нашей базовой ОС. На базовой ОС вводим команду ping 192.168.0.1 (рис. 11) Рис. 11 Проверка связи между базовой ОС и Ideco ICS Связь есть, значит интерфейсы настроены правильно. 3. Выполнить базовую настройку сервера, настройку сетевого подключение к провайдеру Интернет, настройку подключение администратора. На компьютере в локальной сети в браузере набираем локальный адрес сервера Ideco 192.168.0.1, появляется ошибка сертификата сервера. Принимаем сертификат и продолжаем работу. Появляется стартовая страница (рис.12 ). Вводим в поле логин: administrator, паролю: servicemod и нажимаем войти. Рис. 12 Стартовая страница Ideco Далее будет запущен мастер первоначальной настройки сервера, который начинается с приветствия, прочитав его нажимаем «Вперед». Первый шаг – это базовая настройка сервера (рис. 13). На этом шаге нужно задать Netbios-имя сервера, Временную зону и, если необходимо, перенастроить локальный интерфейс. Изменим здесь только имя сервера, зададим его как «ideco». Закончив нажимаем «Вперёд». Рис. 13 Базовая настройка сервера На втором шаге осуществляется настройка подключения к провайдеру. Внешнее подключение (то которое будет использовать Ideco для подключения к провайдеру) может быть трех типов. Это зависит от того, по какой технологии осуществляет подключение провайдер. Обычно это подключение по стандарту Ethernet с указанием IP-адреса с маской, шлюза и DNSсерверов провайдера. Так же может быть подключение к провайдеру через модем. Если модем настроен для работы в режиме Bridge, то настраивать VPN соединение (PPPoE или РРТР) нужно на самом сервере. Опишем параметры всех трех возможных типов соединения. 1) При установке Ethernet соединения необходимо указать следующие параметры подключения: Внешний интерфейс (MAC адрес) - тут выбирается сетевая карта по названию производителя или по MAC-адресу, точно так же как мы делали это для локального интерфейса Ideco. Внешний интерфейс, IP-адрес/маска - IP-адрес для подключения к провайдеру и маска в виде префикса или четырех октетов. Внешний интерфейс, шлюз в Интернет - шлюз провайдера для выхода в Интернет DNS сервер 1 - первый DNS сервер провайдера DNS сервер 2 - второй DNS сервер провайдера Получить IP адрес, шлюз и DNS через DHCP провайдера - этот пункт отмечается если провайдер выдает настройки автоматически. (В случае соединения с модемом, работающем в режиме Router, такая схема тоже может использоваться) В случае PPPoE подключения указываются следующие параметры: Логин - имя учетной записи для подключения к провайдеру Пароль - пароль учетной записи для подключения к провайдеру Внешний интерфейс, IP-адрес/маска - ip-адрес для подключения к провайдеру и маска в виде префикса или четырех октетов. (Этот параметр необязателен для работы PPPoE соединения) Внешний интерфейс, шлюз в Интернет - шлюз провайдера для выхода в Интернет. (Этот параметр необязателен для работы PPPoE соединения) DNS сервер 1 - первый DNS сервер провайдера (Этот параметр необязателен для работы PPPoE соединения) DNS сервер 2 - второй DNS сервер провайдера (Этот параметр необязателен для работы PPPoE соединения) Для установки PPTP соединения с провайдером укажите такие параметры: Получить IP адрес, шлюз и dns через DHCP провайдера - этот пункт отмечается, если провайдер выдает настройки автоматически Внешний интерфейс, IP-адрес/маска - ip-адрес для подключения к провайдеру и маска в виде префикса или четырех октетов Внешний интерфейс, шлюз в Интернет - шлюз провайдера для выхода в Интернет IP-адрес VPN-сервера - адрес VPN-сервера провайдера для подключения Логин - имя учетной записи для подключения к провайдеру Пароль - пароль учетной записи для подключения к провайдеру DNS сервер 1 - первый DNS сервер провайдера (не обязательно) DNS сервер 2 - второй DNS сервер провайдера (не обязательно) Необходимо шифрование MPPE - этот пункт отмечается, если провайдер требует установку соединения с этим типом шифрования Мы будем использовать прямое Ethernet подключение с конфигурированием по DHCP (рис. 14). Рис. 14 Настройка подключения к провайдеру Следующий шаг настройки сервера Ideco это настройки администратора. На этом шаге можно указать: E-MAIL администратора - почтовый адрес для оповещения о системных событиях, таких как перезагрузка сервера, недостаток свободного места на диске и других. Можно указывать несколько e-mail адресов, разделяя их точкой с запятой. Тип подключения администратора - тип подключения (авторизации) компьютера Главного Администратора. Авторизация по IP работает "прозрачно" и устанавливается автоматически при загрузке сервера Ideco ICS. VPN авторизация - более защищенный тип подключения к серверу. Авторизация по VPN является предпочтительной, учитывая что Главному Администратору доступны настройки системы Ideco ICS. IP-адрес компьютера главного администратора - Адрес компьютера, с которого можно управлять сервером без авторизации. По умолчанию административный интерфейс доступен с любого IP адреса. Если требуется, чтобы административная часть была доступна только с компьютера администратора - вводится IP адрес компьютера главного администратора. Пароль администратора - По умолчанию главному администратору присвоен пароль servicemode. На этом шаге можно его сменить. Повторите пароль - Повторить указанный выше пароль. Зададим следующие настройки администратора: E-MAIL администратора: [email protected] Тип подключения администратора: авторизация по IP. IP-адрес компьютера главного администратора: 192.168.0.2 Пароль администратора: servicemode (Не будем менять, но отметим, что для более серьезных задач, в отличии от учебного плана, данный пароль является слабым и нежелательным) Повторите пароль: servicemode Рис. 15 Подключение администратора 4. Изучить функции сетевой безопасности шлюза. Настроить доступные средства безопасности. На четвертом шаге настройки Ideco сервера осуществляется настройка безопасности. На данном шаге можно настроить работу антивирусов, антиспама, изменить настройки сетевой безопасности. Рассмотрим настраиваемые параметры. Антивирус и антиспам Включить проверку веб-трафика Антивирусом Касперского - автоматически будет запущен прокси сервер и включено прозрачное кэширование (при включение данной опции в конце настройки будет выполнена полная перезагрузка, а не мягкая). Включить проверку почты Антивирусом Касперского - проверяться будет только та почта, которая отправлена с помощью почтового сервера Ideco, то есть письма, отправляемые напрямую на внешние почтовые сервера, обрабатываться не будут. После нужно будет настроить почтовый сервер. Включить спам-фильтр Касперского - проверяться будет только та почта, которая отправлена с помощью почтового сервера Ideco, а не транзитная. После нужно будет настроить почтовый сервер. Включить спам-фильтр DSPAM - проверяться будет только та почта, которая отправлена с помощью почтового сервера Ideco, а не транзитная. После нужно будет настроить почтовый сервер. Безопасность сети Разрешить VPN-соединения из Интернет - Разрешить подключение удаленных пользователей и подразделений по VPN. Если это глобальное разрешение не установлено, то пользователи с установленным признаком "разрешить удаленное подключение удаленно подключиться не смогут. Блокировать сканеры портов - Если будет проводиться сканирование портов локальной сети или сервера, то IP-адрес сканирующего компьютера будет отключен на несколько минут. Это позволяет блокировать поиск уязвимостей в локальной сети. Если пользователи вашей локальной сети активно используют p2p-программы (torrents), то опцию "Блокировать сканеры портов" рекомендуется выключить. Ограничить кол-во TCP и UDP сессий с одного адреса – Обычный пользователь и сервер не устанавливают более 150 соединений одновременно. Большое количество соединений означает, что компьютер заражен вирусами или adware программами. Включение этой опции остановит большой трафик, вызванный вирусной эпидемией. Данная опция также ограничивает использование сетей peer-to-peer, так как поведение клиентов этих сетей не отличается от вирусных эпидемий. Кроме того, эта опция позволяет защитить компьютеры пользователей и сервер от отказа в обслуживании (DOS-атаки). Макс. количество сессий из Интернет - Максимальное количество соединений, которое можно будет произвести с одного адреса в Интернете. Макс. количество сессий - количество соединений, которое можно будет произвести с одного адреса локальной сети (от одного пользователя). Автоматическое обновление Включить автоматическое обновление - новые версии Ideco ICS будут автоматически скачиваться с сервера и применяться к текущей версии, установленной на сервере. Проверять наличие обновлений - главный администратор будет уведомлен о наличии обновлений на указанный E-mail. Включи все настройки все настройки безопасности (рис. 16) Рис. 16 Настройки безопасности 5. Сконфигурировать встроенный DHCP-сервер. Настройка DHCP-сервера осуществляется на шестом шаге настройки Ideco сервера и относится к дополнительным настройкам. Для начала нужно запустить мастер настройки DHCP (рис. 17). Рис. 17 Дополнительные настройки сервера Ideco После запуска мастера появится окно мастера DHCP (рис. 18). В нем уже стоит флажок напротив, чтобы включить службу DHCP. Нажимаем «Далее». Рис. 18 Окно мастера DHCP (шаг 1) На следующем шаге настройки DHCP нам предлагается задать диапазон IP-адресов (рис. 19). Зададим диапазон 192.168.0.3-192.168.0.10 и нажимаем «Добавить». Рис. 19 Окно мастера DHCP (шаг 2) На третьем шаге выводится сводка (рис. 20). Нажимаем «Готово» и настройки вступают в силу. Рис. 20 Сводка по настройке DHCP 6. Включить прокси-сервер и изучить его настройки. Мастер настройки прокси-сервера также запускается на шестом шаге настройки сервера Ideco. Запускаем мастер. Настройка прокси-сервера состоит из 5 шагов (Рис. 21 а-д). На первом шаге настройки (рис. 21 а) нам общая информация, что такое прокси-сервер и для чего он нужен. Прокси-сервер это специальная служба, предназначенная для кэширования внешних запросов в Интернет. Если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации. На этом шаге мы указываем флажком «Включить встроенный прокси-сервер». На втором шаге (рис. 21 б) мы указываем дополнительные опции: прозрачное кэширование и скрывать наличии прокси-сервера. Прозрачное кэширование для всех пользователей автоматически перенаправляет веб-трафик всех пользователей на встроенный прокси. Скрытие наличия проксисервера позволяет не показывать страницы ошибок прокси-сервера и убирать НТТР-заголовки, формируемые прокси-сервером. На третьем шаге (рис. 21 в) нам предлагается выбрать средство защиты веб-трафика от вирусов. Выберем здесь антивирус ClamAV, т.к. он не имеет периода пробного использования. На четвертом шаге (рис. 21 г) нам предлагается указать, будет ли использоваться внешний прокси-сервер вместе со встроенным. Мы его использовать не будем. На пятом шаге (рис. 21 д) нам выводится свобка о проделанных настройках. Нажимаем «Готово». И настройка завершена. Рис. 21 а) Рис. 21 б) Рис. 21 в) Рис. 21 г) Рис. 21 д) На седьмом шаге настройки сервера Ideco. Нам выдается общая сводка по настройке сервера (рис. 22). Рис. 22 Сводка по настройке сервера Ideco Нажимаем «сохранить», после чего нам выдастся сообщения о том, что данные сохранены и будет выполнена перезагрузка сервера. 7. С помощью Web-интерфейса подключиться к серверу от имени учетной записи администратора. Создать пулы адресов клиентов. Рассмотреть свойства профилей. Подключаемся к серверу от имени администратора. После входа перед нами появляется вебинтерфейс управления сервером Ideco (рис. 23). Рис. 23 Веб-интерфейс управления сервером Ideco Нам нужно создать пулы адресов клиентов. Для этого нужно выбрать любой раздел, после чего на верху появится панель (рис. 24), в которой нужно выбрать «Профили». Рис. 24 Верхняя панель веб-интерфейса управления сервером Ideco В открывшемся окне выбираем «Пулы IP адресов» (рис. 26) Рис. 25 Пулы IP адресов Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям при создании пользователей. Пул IP адресов используется для удобства управления IP-адресами, назначаемым пользователям Пулы IP-адресов используются для удобства и не являются обязательными для работы сети. Необходимость в их настройке, как правило, вызвана обилием используемых профилей, сложными конфигурациями сетей на предприятии или наличием нескольких подключений к провайдеру. Пулы IP-адресов позволяют сгруппировать пользователей по признаку принадлежности к разным подсетям, а уже этим подсетям должен быть разграничен доступ средствами Firewall или назначены определенные маршруты в другие подсети. Использование определенных пулов IP-адресов определяется у конечных пользователей или у группы. По умолчанию используются следующие пулы IP адресов: Простой пул (10.128.0.1 – 10.200.0.0) Пул с Firewall (10.200.1.0 – 10.20.1.255) Реальные адреса для серверов (192.168.1.1 – 192.168.1.255) Пул для авторизации по IP (10.0.0.10 – 10.0.0.20) Создадим новый пул адресов клиентов (ClientsPool) с диапазоном 192.168.0.3-192.168.0.10. Для этого выбираем в списке пулов «Создать пул», откроется окно для редактирования пула (рис. 26). Задаем наименование и диапазон. Рис. 26 Создание пула адресов Наименование - может отражать территориальное или логическое предназначение пула. Диапазон - первый и последний адрес в пуле, маска будет вычеслена сервером автоматически. Зарезервировать (раздавать вручную) - Если признак установлен – это означает что этот пул будет "зарезервирован", то есть IP-адреса из этого IP-диапазона не будут раздаваться автоматически, даже если они входят в какой-нибудь другой пул. Рекомендуется для пулов реальных IP-адресов. Включен - если признак не установлен, то пользователи, у которых установлен данный пул, не смогут выйти в Интернет. Примечание: При раздаче адресов по DHCP (и методе авторизации по IP) DHCP-сервер не смотрит на то, какой пул указан в свойствах пользователя и вообще работа DHCP-сервера не связана с работой базы данных пользователей, однако задав диапазон раздачи IP-адресов или закрепив определенные IP-адреса за конкретными пользователями в настройках DHCP-сервера, вы все равно можете использовать пулы IP-адресов для разграничения доступа и направления трафика для этих пользователей. Для этого раздаваемые DHCP-сервером IP-адреса должны относиться к определенному пулу IP-адресов созданному в этой оснастке. Рассмотрим другие свойства в категории профили. В соответствии с профилям происходит учет трафика пользователей в денежном эквиваленте. Профиль определяет стоимость трафика в зависимости от подсети, а также от направления трафика (входящий или исходящий). В Ideco ICS профиль состоит из списка правил с указанием стоимости входящего и исходящего трафика для этого правила. Понятие Правило введено для удобства управления, Правило – это список сетей с указанием политики (разрешено или запрещено). Одно и тоже правило может входить в несколько профилей. В одно правило, обычно, объединятся сети, стоимость трафика по которым одинакова. Например, правило "Внутригород" должно содержать список сетей с одной стоимостью, а правило "Локальная сеть" – список сетей предприятия, по которым не должна вестись тарификация (нулевая стоимость). Таким образом, при создании профилей нужно сначала создать правила, а потом создавать профили, включая в них правила, и указывая стоимость трафика для этих правил. Создадим свое правило. Для этого перейдем в «Редактор правил и сетей». И внизу таблицы выберем «Создать правило» (рис. 27). Дадим ему имя «New Rule». Рис. 27 Окно создания правила После создания в таблице появится новое правило. Теперь нужно указать подсеть на которую будет распространяться данное правило. Выбираем правило и нажимаем «Добавить подсеть». Появляется окно (рис. 28), в котором нужно указать: Название правила - обычно отражает название подсети к которой правило применяется. IP-адрес - в случае подсети это должен быть начальный адрес сети, маска сети должна быть указана ниже. Маска сети Доступ запрещен - при включении параметра правило действует как запрещающее для обозначенной подсети/хоста, если параметр не отмечет, то правило действует как разрешающее. В случае если нужно обозначить множество всех возможных адресов, то достаточно включить параметр ALL, что идентично значениям 0.0.0.0 и 0.0.0.0 в полях "IP-адрес" и "Маска подсети" В случае указания не подсети а конкретного хоста необходимо в поле IP-адрес прописать IP-адрес этого хоста и маску для одного компьютера в сети: 255.255.255.255, а не маску всей подсети в которой находится хост. Запретим например доступ к нежелательной сети, например: 172.122.12.0. Рис.28 Добавление подсети к правилу В списке правил теперь есть наше созданное и настроенное правило (рис. 29). Рис. 29 Правило New Rule После создания правила можно приступить к созданию нового профиля. Переходим в раздел «Профили выхода в Интернет» и в таблице «Профили» нажимаем на «создать профиль». Появится окно создания профиля. Во вкладке «Общее» (рис. 30) указываем название, выбираем интерфейс, Nat адрес, номер резервного плана и описание. Укажем название – New Profile, далее указываем внешний интерфейс – Eeth2.0…, nat адрес оставим пустым, номер резервного плана укажем -1 (Основной профиль). Рис. 30 Вкладка «Общее» в окне создания профиля Переходим на вкладку «Абонентская плата» (рис. 31). Здесь мы можем задать сумму средств, которая будет сниматься с баланса пользователя в начале каждого нового отчетного периода (сам период задается у пользователя или у группы): Списывать, только если не превышен лимит (лимит задается у пользователя или у группы) – денежные средства будут сниматься со счета до тех пор, пока не будет достигнут обозначенный у пользователя лимит. Списывать, только если был трафик – включает поведение для профилей с абонентской платой, при котором денежные средства за период не будут списываться, если за все время периода от абонента не было трафика. Списывать ежедневно – вне зависимости от отчетного периода денежные средства будут списываться ежедневно. Как раз в этом случае бывает разумным использовать опцию «Списывать, только если был трафик». Установим ежедневную плату в размере 30 денежных единиц. Рис. 30 Вкладка «Абонентская плата» в окне создания профиля Вкладку «Динамический Nat» мы настраивать не будем. Динамический NAT позволяет выдать каждому пользователю, использующему этот профиль, индивидуальный публичный IP-адрес из числа адресов выданных провайдером и, обязательно прописанных, на внешнем интерфейсе, указанном в профиле. Адреса при каждом подключении пользователя будут выдаваться разные, и только из указанного диапазона. Сохраняем наш профиль. Теперь в таблице профили появился наш созданный профиль. Добавим к нему созданное нами ранее правило. Выбираем профиль и нажимаем «Добавит правило». Появиться окошко "Добавить правило в профиль (рис. 31). Выбираем правило New Rule и нажимаем добавить. Рис. 31 Добавление правила в профиль После добавления правила оно отображается в профиле (рис. 32). Рис. 32 Профиль New Profile с заданным правилом New Rule 8. Создать новую группу пользователей, настроить профиль по трафику, тарифу, фильтрации доступа к ресурсам. Переходим в раздел «Пользователи» (рис. 33). Этот раздел предназначен для первоначального создания и последующего наполнения базы данных пользователей. Рис. 33 Раздел «Пользователи» В левой части находится "дерево пользователей". Пользователи в веб-интерфейсе отображаются в виде дерева состоящего из групп пользователей и самих пользователей. Уровень вложенности групп не ограничен. Древовидная структура позволяет легко отразить реальную структуру предприятия с подразделениями, отделами, офисами, и позволяет облегчить управление большим количеством пользователей, назначая администраторов для отдельных групп. Такие администраторы групп могут создавать внутри своих групп других пользователей, группы и администраторов для нижележащих групп. Древовидная структура и принцип наследования позволяет легко задавать и изменять общие параметры для пользователей, определяя их для родительской группы – профиль, пул IP-адресов, параметры ограничений и разрешений, отключать и выполнять групповые операции для всех пользователей группы. При этом, при необходимости, для отдельных пользователей можно переопределить отличные от общих параметров признаки. В дереве используются следующие обозначения: Группа пользователей. Пользователь с NAT. Пользователь с установленным признаком "NAT" и защищенным посредством NAT. Пользователь без NAT (сервер). Пользователь со снятым признаком "NAT". Как правило, это серверные учетные записи Администратор. Пользователь с установленным признаком "администратор технический" или "администратор финансовый". В данный момент пользователь авторизован. Кратко рассмотрим вкладки в разделе пользователи: Общие Пользователь - имя пользователя (например, Фамилия Имя Отчество сотрудника или название сервера). Логин – логин пользователя. IP – IP-адрес пользователя. Кнопка справа от поля ввода IP-адреса позволяет получить свободный IP-адрес из пула. MAC (поле доступно только при авторизации по IP) – MAC-адрес компьютера. Используется для привязки MAC-адреса. NAT - признак того, что пользователь для выхода в Интернет использует технологию, NAT, адрес наследуется из профиля. Этот адрес должен присутствовать на одном из внешних интерфейсов Ideco. Запретить вход - принудительно запретить пользователю авторизовываться на сервере. Разрешить VPN из Интернет - позволяет пользователю авторизовываться на Ideco, не находясь при этом в локальной сети предприятия. Подключение производится на внешний интерфейс Ideco из Интернет. Профиль - выбор профиля в соответствии с которым будет тарифицироваться траффик пользователя. Пул - выбор пула IP-адресов из которого берётся адрес при создании пользователя. ID - уникальный номер пользователю в базе. Обычно не меняется. Разрешить переподключение - если включено, то пользователь при подключении с другого PC авторизуется на сервере заново, первоначальное подключение будет утрачено. Если не отмечено, пользователь не подключится с другого PC если где то уже авторизован. Почта/Jabber E-mail - Адрес электронной почты, используется для отправки уведомлений. Jabber ID - Идентификатор пользователя в Jabber Разрешить Jabber - Автоматически создаёт аккаунт на Jabber сервере. Подробнее см. Jabber сервер. Разрешить почту - Автоматически создается почтовый ящик на сервере. Подробнее см. Почтовый сервер. Доступ к почте из Интернет - Разрешить доступ к корпоративной почте из Интернет по защищенным протоколам IMAPS, POP3S, HTTPS. Автоответчик для почты - Включить автоответчик для данного пользователя, если поставить эту галочку появиться поле для заполнения сообщения, которое будет отсылаться в автоответе. Ограничения Ограничения пользовательского фаервола Ограничения контент-фильтра Ограничения брандмауэра приложений Ограничение возможности авторизации и подключения с адресов Ограничения по времени подключения Статистика В этом разделе можно посмотреть статистику по потреблению трафика за конкретный период, а так же можно задать группировку: Финансы Текущий баланс - Отображается текущий баланс пользователя в условных единицах. Период - период, на который выставляется сумма (может быть день, неделя, 10 дней, 15 дней, месяц, квартал). Выделить на период - автоматически добавлять на баланс пользователю в конце периода на указанную сумму. Предупреждать при остатке - отметка, при достижении которой пользователю будет отправлено сообщение о том что необходимо пополнить счет. Просмотр ограничений родителя - разрешить пользователю просматривать ближайшее ограничение баланса вышестоящих групп. Администратор технический, Администратор финансовый - В случае если признак установлен, то пользователь является администратором и может управлять техническими или финансовыми параметрами пользователей группы, в которой находится сам. Администратор карт оплаты - Пользователь сможет управлять картами оплаты. Доступно только в редакции Enterprise Edition. Баланс - Отображается текущий баланс пользователя в условных единицах, а также остаток, расход и приход. Финансовый - Признак того, что пользователь несет финансовую ответственность за использование Интернет и сам оплачивает расходы Порог отключения - В случае если этот признак установлен, то когда баланс пользователя достигнет указанного значения, ему автоматически будет закрыт доступ в платные сети и выслано оповещение. Можно указать отрицательное значение для работы в кредит. Обнуление баланса, дата - Эта функция доступна только у нефинансовых пользователей. Позволяет обнулить баланс пользователя в указанный день, в дальнейшем баланс будет обнуляться с заданной периодичностью (задаётся в разделе "Общие", пункт "Период"). При этом поля остаток, расход и оплата тоже обнуляются. Абонентская плата - Автоматическое списание суммы со счета пользователя за каждый период, совпадающий с периодом автоматического обнуления баланса. Отключить по дате - После указанной даты система отключит пользователя, и он не сможет авторизоваться. Перейдем к созданию группы. Для этого щелкаем по иконке «создать группу» и создаем группу с названием New Group (Рис.34). Рис. 34 Создание группы Создадим в этой группе пользователя Андрей (рис. 35) Рис. 35 Создание пользователя в группе New Group Теперь укажем профиль для созданной группы, который мы создавали ранее, но перед этим выполним его редактирование. Сделаем так, чтобы пользователям предоставлялся 1Гб трафика на скорости 1Мбит/с, а при скачивании больше 1Гб скорость 128кбит/с. Для этого в профиль добавим новые правила для локальной сети (Рис. 36). Рис. 36 Новые правило для профиля New Profile После редактирования профиля, заходим в категорию «Пользователи» и для группы New Group выбираем Профиль: New Profile. Также выбираем созданный нами ранее пул адресов ClientsPool (рис. 37) Рис. 37 Настройка параметров для группы New Group во вкладке «Общие» Перейдем к настройки ограничений для данной группы. Они назначаются во вкладке «Ограничения». Настроим, например, ограничения пользовательского фаервола Запретим пользователям посещение нецензурных сайтов и посещение соцсетей (рис. 38) Рис.38 Ограничения пользовательского фаервола Выполним проверку проделанной работы по настройке пользователя. Для этого, запустим еще одну виртуальную машину с ОС XP. В настройках сетевого адаптера сконфигурируем стек TCP/IP, казав шлюз 192.168.0.1. IP-адрес мы будем получать по DHCP. Запускаем интернет браузер. Браузер пытается открыть стартовую страницу, но выдает сообщение, что для выхода в Интернет необходимо авторизоваться (рис. 39). Вводим логин и пароль, созданного нами пользователя Андрей. Рис. 39 Авторизация для доступа в Интернет После авторизации мы получаем доступ в Интернет. 9. Наблюдать информацию и статистику работы конкретного пользователя. Мы можем наблюдать статистику разных пользователей, войдя на сервер под администратором. На сервере можно смотреть самую разную статистику, например монитор трафика (рис. 40). Он отображает текущие соединения. Здесь можно узнать, текущие соединения пользователя, хост пользователя, удаленный IP, входящую и исходящую скорость, протокол. Также можно принудительно разорвать соединения. Рис.40 Монитор трафика Наиболее интересная статистика это статистка конкретного пользователя. Для ее просмотра нужно зайти в категорию «Пользователи», выбрать интересующего пользователя и перейти на вкладку «Статистика» (рис. 41). Здесь мы можем получить исчерпывающую статистику работы конкретного пользователя. Например, объем входящих и исходящих данных, соответствующую тарифу стоимость. Посещаемые ресурсы. Можно также выводить статистику для определенного временного периода. Рис. 41 Статистика пользователя Андрей