Наголос на безпеці, Hostinfo

UserGate має заслужену славу зручного інструменту для організації доступу до Всесвітньої мережі. Його основні механізми:

hostinfo

Конкурентів у нього щодо адміністрування доступу небагато: Microsoft ISA Server, Kerio Winroute Firewall, WinGate. Проксі-сервер UserGate вигідно виділяється як за ціною, так і за простотою налаштувань та адміністрування. Що стосується функціональних можливостей, то UserGate за деякими позиціями поступається Kerio або Microsoft. Тим не менш, функціональність цілком достатня для малих мереж, що і зумовило його високу популярність.

Нове у четвертій версії

Схоже, що всі основні завдання забезпечення нормованого доступу до мережі для локальних будинкових і корпоративних мереж з невеликим (до 50) числом комп'ютерів розробниками вже вирішені, якщо в четвертій версії наголошується на безпеці. Якщо за функціональністю, безпосередньо пов'язаною з адмініструванням доступу, нововведення у четвертій версії фактично лише одне: управління VPN-трафіком, то в плані безпеки захист поставлений відразу на двох основних напрямках загроз ззовні: файрвол для захисту від несанкціонованого доступу ззовні та антивірус для захисту трафіку.

Власний файрвол

Файрвол UserGate належить до класу gateway та обробляє пакети, які не пройшли обробку на рівні правил NAT. Якщо пакет був оброблений драйвером NAT, він не обробляється файрволом. Можливості створення правил у вбудованому файрволі UserGate для пакетів, що не проходять через NAT, досить прості. Дію можна або дозволити, або заборонити - не більше. Можна організувати доступ до певних ресурсів комп'ютера з Інтернету, забезпечивши таким чином публікацію веб-серверів.

hostinfo

Подвійний антивірусний захист

Може здатися, що антивірусний захист, передбачений у UserGate, не зовсім правильний. Вбудовані в UserGate антивіруси працюють обмежено: перевіряють лише трафік і не мають можливості перевірити локальні файли навіть на сервері, де інстальовано сам UserGate. Однак цього цілком достатньо для захисту від загроз із Мережі. Як вбудовані антивіруси використовуються "Антивірус Касперського" та "Панда". Версії двигунів не найновіші: "Антивірус Касперського" з двигуном четвертої версії, "Панда" - п'ятою. Але не секрет, що самі двигуни антивірусної перевірки змінюються вкрай рідко, а головне в антивірусному захисті – актуальність антивірусних баз. З перевіркою поточного трафіку антивіруси справляються без проблем, не надто перевантажуючи сервер. Результати тестування показали таке. Сервер: двоядерний Zeon 3 ГГц, 1 Мб кеша на ядро, 3 Гб оперативної пам'яті. Навантаження на сервер створював сам UserGate (при включених антивірусах, повна перевірка з усіх видів трафіку) та 50–60 активних користувачів, які через проксі вантажили сервер. Навантаження складало 20–60 відсотків залежно від кількості запитів. Якщо таке навантаження адміністратору може здатися великим, то можна відключити той чи інший двигун або обмежити перевірку за видами трафіку.

hostinfo

При виявленні вірусів у пошті UserGate видає повідомлення про те, що один або кілька прикріплених файлів містили вірус та були видалені антивірусом. При виявленні вірусу в HTTP-трафіку сторінка не відображається і виводиться повідомлення, що на ній виявлено вірус. Для адміна буде корисно в цьому випадку частіше заглядати в логі antivirus.log в папці \usergate4\logging, адже користувачі можуть і не повідомити про неотримання пошти та заражену сторінку.

Як відомо, жоден антивірусний двигун неможе гарантувати стовідсотковий захист від вірусів. Ймовірно тому компанія Entensys встановила подвійний захист. Крім того, не слід забувати про швидкість реакції антивірусних компаній на появу нових вірусів. І хоч обидві компанії - і "Лабораторія Касперського", і Panda Software - відомі своєю оперативністю, проте ймовірність того, що хтось із них не встигне відреагувати вчасно, є теоретично. Тобто користувачі UserGate має подвійну страховку, особливо це важливо в періоди епідемій.

наголос

Додатковим плюсом конкретної реалізації антивірусного захисту в UserGate можна назвати необмежену за часом можливість оновлення антивірусних баз із сайтів "Лабораторії Касперського" та Panda Software, а також гнучкі можливості налаштування порядку перевірки трафіку двигунами. Будь-який з двигунів можна відключити повністю або від перевірки того чи іншого виду трафіку. Більше того, адміністратор може задати послідовність перевірки трафіку одного движка за іншим. Жодних обмежень на це UserGate не накладає, адміністратор може використовувати той движок, який краще знає або до якого звик. Управління антивірусами дуже просте, інтуїтивно зрозуміле, все робиться за допомогою миші.

Фірми, які використовують тонкі клієнти або робочі станції без пристроїв для зовнішніх носіїв (floppy, CD, картридерів та інших), можуть суттєво заощадити не лише на апаратному забезпеченні, а й на програмному. Оскільки на таких сторінках поява вірусної зарази можлива лише через Інтернет, під час використання UserGate з двома антивірусними ядрами перевірка трафіку забезпечує повний захист усієї мережі від загроз зараження.

І антивірус, і файрвол в UserGate легко відключаються, і це дозволяє без проблем застосовувати інші сторонні засоби.захисту. А оскільки антивіруси проксі-сервера використовуються тільки для перевірки трафіку, вони майже не конфліктують із зовнішніми антивірусами, встановленими на той же комп'ютер, де працює UserGate. Слово "майже" означає, що деякі антивіруси (наприклад, "Антивірус Касперського") все-таки заважають нормальній роботі UserGate у деяких випадках. Ця проблема поки що проявляється безсистемно, тому рекомендацій дати не можемо. Але здебільшого (зазначено лише кілька скарг) проблем із зовнішніми антивірусами (Dr.Web, Norton, Panda, NOD32 і так далі) не виникає.

Резюме

Безпека – основне нововведення у четвертій версії проксі-сервера UserGate. Для забезпечення безпечної роботи в Мережі в нього вбудований gateway-файрвол та двоядерний антивірус. Ці заходи забезпечують найвищий рівень безпеки для локальної мережі. У поєднанні з відмінними можливостями адміністрування доступу до Мережі можливості забезпечення безпеки зробили UserGate дуже привабливим засобом для організації роботи в мережах малих підприємств і будинкових (приватних) локальних мереж.