Allt Mer Det börjar bli nödvändigt för företag idag att ansluta sina datornätverk till Internet. Internetleverantören (ISP) är vanligtvis ansvarig för driften av åtkomstkanalen, men också systemadministratör Ett företags datornätverk, även ett litet sådant, måste lösa ett antal organisatoriska och tekniska problem. I den här artikeln kommer vi inte att överväga posttjänster, IP-telefoni och virtuella privata nätverk (VPN), men vi kommer att begränsa oss till åtkomst till webb- och ftp-tjänster baserade på FreeBSD OS och SQUID-proxyservern i företagsnätverk, som täcker upp till 100 jobb.

Två metoder

Det finns två huvudsakliga metoder för att ge företagsnätverksanvändare tillgång till webb- och FTP-tjänster: genom routing (broadcast) eller via en proxyserver.

I det första fallet (fig. 1) tillhandahålls åtkomsten av IP-adressen till den dator som den anställde arbetar på. Ett sådant system kan implementeras fullt ut baserat på mjukvarulösning- FreeBSD OS-gateway och IPFW-brandvägg. Dessutom finns det komplexa specialiserade hårdvaru- och mjukvarugateways. För terminalarbetsstationer är det tekniskt omöjligt att organisera åtkomst med IP-adresser, eftersom de alla använder samma IP-adress terminalserver.

För att ansluta användararbetsstationer till Internetkanalen används en gateway i form av en x86-server med FreeBSD OS installerat på den, NATD-programmet (som tillhandahåller översättning av interna IP-adresser till serverns riktiga IP-adress och tillbaka), IPFW , aktiverad routing och två nätverksgränssnitt: ett av dem "ser" mot det lokala nätverket, det andra är anslutet till leverantören. På varje klientmaskin i egenskaperna för TCP/IP-protokollet nätverkskort du måste registrera gatewayens IP-adress.

I det andra fallet är användaren auktoriserad med det åtkomstnamn (inloggning) och lösenord som tilldelats den anställde. Detta alternativ, i synnerhet, kan implementeras med SQUID-proxyservern och ncsa_auth-autentiseringssystemet. Låt oss överväga ett typiskt schema (Fig. 2), där SQUID är installerat på nätverksgatewayen: servern "ser ut" med ett gränssnitt i det lokala nätverket och den andra är ansluten till internetkanalen. Med den här inställningen kräver SQUID inte NATD eller routing för att fungera på Internet (via HTTP, FTP och DNS) på maskiner i det lokala nätverket, eftersom SQUID skickar alla förfrågningar till Internetresurser "från sig själv" - med IP-adressen för externt gränssnitt för gatewayen. DNS-tjänst kan inaktiveras på klientdatorer eftersom SQUID själv har åtkomst till DNS.

Ris. 2. Internetåtkomst via en proxyserver.

Vanligtvis använder ett företagsnätverk e-post och kommer fortfarande att behöva routing och NATD på gatewayen för att få det att fungera, men för webbmail som körs över HTTP räcker det med en SQUID-proxyserver.

SQUID överför data "nedladdad" från Internet till användaren och lagrar den i sin cache. När begäran upprepas, hämtas denna data från cachen (om, naturligtvis, webbsidan tillåter cachning), vilket är mycket snabbare och inte tar upp åtkomstkanalen. Förutom effektivare användning bandbredd kanal, det finns också en besparing på trafikvolymen (enligt författaren är det i genomsnitt per månad 13%). Data i cachen kan uppdateras beroende på inställningarna för själva proxyservern. När du klickar på knappen "Uppdatera" på webbläsarens kontrollpanel, tvångskopierar proxyservern data från webbservern, även om den har den i sin cache och inte är inaktuell (och uppdaterar den samtidigt i cachen ). Men vissa sidor på webbplatser är specifikt markerade som icke-cache-bara, till exempel i syfte av ökad relevans.

Förutom åtkomsten själv måste systemadministratören också lösa problemen med att auktorisera åtkomst, ta hänsyn till trafik och användartid på Internet och säkerställa säkerheten för företagets lokala nätverk. Det är också nödvändigt att fastställa reglerna för distribution av Internetkanalbandbredd mellan nätverksanvändare och reglerna för åtkomst till Internetresurser; Du kan behöva ställa in andra begränsningar för användare.

Alla dessa procedurer, beroende på vilken typ av åtkomst som används (via IP-adress eller via en proxyserver), har sina egna egenskaper.

Autentisering

Autentisering med hjälp av en dators IP-adress ger inte lösenordsskydd för Internetåtkomst. Användare som känner till lösenorden för att komma åt arbetsmiljön för operativsystemet på andra maskiner i företaget kan arbeta på olika datorer. Om flera anställda använder en dator för att arbeta på Internet är det därför omöjligt att separera deras trafik vid bokföring.

Det finns ett alternativ att förfalska IP-adressen; Det finns sant att det också finns ett motverkansalternativ - statiskt ARP bord(Address Resolution Protocol - protokoll för att konvertera IP-adresser till MAC-adresser/hårdvaruadresser för nätverkskort) på gatewayen, där överensstämmelsen mellan IP-adressen och nätverkskortets MAC-adress registreras arbetsstation. I allmänhet har IP-autentisering inte tillräcklig flexibilitet och tillförlitlighet och tillåter bara att räkna den totala trafikvolymen.

När det gäller en proxyserver tilldelas företagsnätverksanvändare som har fått tillstånd att få åtkomst till Internet (HTTP, FTP, ICQ) ett identifieringspar: inloggning och lösenord. Detta schema tillåter också olika användare att komma åt Internet från en dator (det viktigaste är att parametrarna för proxyservern anges i klientprogrammen). Trafikregistrering kommer att sparas för varje användare (inloggning) separat. Autentisering tillhandahålls av SQUID-proxyservern som kör FreeBSD OS, och mjukvaruundersystem ncsa_auth lagrar lösenord i MD5-krypterat format. SQUID kan använda olika externa autentiseringsmekanismer.

Att arbeta på Internet via en proxyserver måste stödjas av klientprogramvaran: dess inställningar anger proxyserverns DNS- eller IP-adress, såväl som dess TCP-port. Alla moderna webbläsare och ICQ-klienten stöder att arbeta via en proxyserver och autentisering på den. Autentisering kan ske varje gång du ansluter (du uppmanas att ange inloggning och lösenord) eller vara permanent (kräver inte att du anger ett användarnamn och lösenord, utan i inställningarna klientprogram ange ett användarnamn från proxyserverns autentiseringslista och ett lösenord). Autentisering sker en gång och är giltig tills klientprogrammet stängs. När användaren är färdig med att surfa på Internet stänger användaren helt enkelt webbläsaren och avslutar därmed den tillåtna sessionen.

Trafikbokföring

Trafikredovisning för IP-adresser för arbetsstationer utförs med hjälp av IPFW, en mjukvarubrandvägg inbyggd i FreeBSD OS-kärnan. För att på ett tillförlitligt sätt kunna redogöra för användartrafik med detta åtkomstschema måste anställda endast få tillgång till Internet från sina tilldelade arbetsstationer, vilket naturligtvis begränsar flexibiliteten och rörligheten i deras arbete.

Ändå har detta tillvägagångssätt också sin fördel - en mer exakt redovisning av den totala trafikvolymen över IP-protokollet. Denna procedur implementeras genom att ställa in två IPFW-brandvägg COUNT-regler:

Räkna ip från valfritt till valfritt in via de0 räkna ip från valfritt till valfritt ut via de0

Den första regeln tar hänsyn till det inkommande flödet, den andra - det utgående flödet. Här är de0 det externa nätverksgränssnittet för gatewayen, som har en riktig IP-adress på Internet. Samtidigt är det med detta schema omöjligt att logga namnen på resurser som besökts av användare, såväl som namnen och storlekarna på nedladdade filer.

När du använder en proxyserver registreras trafik med hjälp av HTTP-protokollet, och volymen av sådan data är mindre än mängden IP-trafik. Men vid autentisering av användaren, registrerar SQUID all data om förfrågningar (DNS-adresser till webbplatser, tidpunkt för mottagande av begäran, volym av nedladdade filer, källa - SQUID-cache eller Internet) i loggen för varje användare, oavsett IP-adressen för klientmaskinen.

Internetanslutningssäkerhet

Förbindelse fysisk kanal Internet direkt in i företagsnätverket är liktydigt med att föra ditt företags arbetsplatser till ett trångt område. Som regel är information som cirkulerar på ett lokalt nätverk avgörande för verksamheten i ett företag, och de skadliga effekterna av virus (till exempel e-postvirus), en attack utifrån eller en dataläcka inifrån kan helt störa dess drift .

De skadliga effekterna av virus kan knappast underskattas, men lösningen på detta problem beror till 90 % på användarnas medvetenhet – om någon kommer att lansera ett virus bifogat ett e-postmeddelande. Virusattacker kan blockeras och reflekteras antivirusprogram på e-postservrar (Dr.Web, McAfee, Kaspersky Anti-Virus Business Optimal, etc.) och på användardatorer ( Norton Antivirus, motsvarande Kaspersky Lab-produkter, etc.). Huvudsaken här är aktuell uppdatering antivirusdatabaser.

Externa attacker, beroende på hur anslutningen är organiserad, blockeras kompetent setup gateway, att använda en proxyserver på en gateway utan NAT och routing, samt att flytta proxyservern, e-post- och webbservern till en "demilitariserad zon" (DMZ, ett undernät till ett företagsnätverk tillgängligt från Internet).

Läckor av företagsdata är huvudsakligen av organisatorisk karaktär och utgör det mesta komplext problem för företagssäkerhetstjänsten. Det finns tekniska lösningar som minimerar risken för detta: i synnerhet att stänga alla TCP/UDP-portar på gateway-gränssnittet som ser in i det lokala nätverket (endast proxyserverporten finns kvar). Routing och adressöversättning (NAT) mellan Internet och interna (”grå”) IP-adresser i företagsnätverket måste inaktiveras.

De listade åtgärderna används när en proxyserver är installerad på gatewayen, men ett system med en proxyserver placerad i DMZ anses säkrare.

Mest fullt skydd ger fysisk åtskillnad av det lokala företagsnätverket och Internet. I det här fallet organiserar företaget datornätverk för arbete på Internet, inte ansluten till ett lokalt nätverk via informationsöverföringskanaler. Data som ska skickas via e-post, bärs på flyttbara media (som CD-skivor), som verifieras av en säkerhetstjänst och krypteras, till exempel med PGP - ett gratis krypteringsprogram e-postmeddelanden och filer.

Kanalkapacitetsfördelning

För ett IP-åtkomstschema kan uppdelningen av kanalbandbredd mellan användare implementeras med Pipes av IPFW-brandväggen i FreeBSD OS, och i fallet med SQUID-proxyservern kan dess delay_pools-mekanism användas.

Servern bestämmer storleken på filen som begärs av användaren, och om denna storlek inte överstiger det inställda värdet, laddas filen ned med högsta möjliga hastighet. I fallet med en större fil överförs den med en viss begränsad hastighet. Denna mekanism gäller inte alla användare, utan endast de som är listade i ACL-listorna (Access Control List - en namngiven grupp av objekt som olika begränsningar kan tillämpas på), vilket gör att du mycket flexibelt kan konfigurera arbetsprioriteterna för olika användargrupper.

Samtidigt, om i det här ögonblicket Endast en användare är aktiv, han kommer fortfarande att omfattas av nedladdningshastighetsgränser stora filer. IPFW, till skillnad från delay_pools i SQUID, låter dig implementera dynamisk kanaldelning.

Tillgång till resurser och andra restriktioner

För IP-schemat är begränsningar endast möjliga på serverns IP-adresser och TCP/UDP-portar. Detta orsakar besvär, eftersom Virtual Hosts-mekanismen är vanlig idag Apache webbserver baserat på HTTP v1.1-protokollet, när en webbserver med en IP-adress betjänar många webbplatser med olika DNS-namn.

SQUID, tvärtom, tillhandahåller mycket flexibla mekanismer för att administrera användaråtkomst till Internetresurser med hjälp av ACL. Det kan till exempel vara tillgång till särskild tid, veckodag, månad; tillstånd/förbud mot kopiering vissa typer filer, tillstånd/vägra åtkomst till en resurs vars namn innehåller ett visst nyckelord.

Konfigurera en IPFW-gateway

Rollen för en gateway är en dator med två nätverksgränssnitt (det ena är anslutet till Internet och har en riktig IP-adress, och det andra "tittar" på företagsnätverket och identifieras av IP-adressen för sitt undernät), på vilket FreeBSD OS är installerat (http://www.freebsd.org). FreeBSD är lätt att installera, pålitligt, gratis och innehåller nästan allt du kan behöva nätverksserver företagsskala.

Processen att installera FreeBSD OS, konfigurera nätverksgränssnitt, starta och konfigurera IPFW, NATD, routing - i allmänhet allt som behövs för att konfigurera en Internet-gateway (både via IP och med en SQUID proxyserver, förutom att konfigurera själva SQUID) beskrivs i detalj i boken av M. Eben och B. Tyman "FreeBSD. User Encyclopedia" (Kiev: Diasoft, 2003).

För båda alternativen för att organisera Internetåtkomst måste du konfigurera IPFW-programvaran. IPFW filtrerar och räknar IP-paket på alla nätverksgränssnitt. Programmet bearbetar även paket för mer höga nivåer: UDP, TCP och ICMP. Dessutom deltar IPFW i NATD:s arbete. När du ställer in ipfw-regler rekommenderar författaren att du använder trafshow-verktyget för att styra samtal till och från nätverket på alla gränssnitt, och anger IP-adresserna för externa maskiner, protokoll och portar i realtid. Team

Trafshow -i fxp0 -n

ställer in visningen av paket på fxp0-gränssnittet med portnummer och kommandot

Ipfw -en lista

visar ipfw-regler, antalet paket och mängden trafik (i byte) som har passerat sedan servern slogs på eller regelräknarna senast återställdes till noll.

Implementering och arbete med SQUID

SQUID-cacheproxyservern (http://www.squid-cache.org) på Unix-plattformen är fri programvara med öppen källa. Det är lätt att konfigurera, väldokumenterat, brett distribuerat och enkelt att integrera med FreeBSD OS. SQUID låter dig organisera olika typer av autentisering när du ansluter till Internet, det begränsar åtkomsten med valfri parameter (domännamn, nyckelord i adressen, protokoll, etc.) baserat på ACL.

När du använder SQUID på gatewayen måste den vara stängd för lokala maskiner möjlighet att kontakta externa adresser(och vice versa) och tillåt åtkomst från det lokala nätverket endast till proxyserverporten på dess lokalt gränssnitt. NAT och routing på gatewayen, om det inte behövs för SMTP eller andra tjänster, bör också inaktiveras.

Efter att ha installerat, konfigurerat och startat SQUID och dess auktoriseringssystem kan administratören bara lägga till och ta bort användare. Det räcker att skapa användardata endast i SQUID, eftersom det inte faller in i proxyserverns OS-miljö, och följaktligen finns det inget behov av att skapa OS-användaridentifikationsdata. Efter ändringar av squid.conf eller lägga till/ta bort användare, bör SQUID läsa sin konfiguration igen utan att stänga befintliga användarsessioner med kommandot

Squid -k omkonfigurera.

När du skapar en SQUID-användare med ncsa_auth måste du ange användarens inloggning och lösenord i två konfigurationsfiler; i vårt exempel kommer det att se ut så här:

/usr/local/etc/squid_users /usr/local/etc/passwd

Den första filen lägger helt enkelt till användarnamnet (inloggning) med ny linje genom att använda textredigerare. Den andra filen lagrar användarlösenord (i MD5), och du kan bara lägga till ett konto till den här filen med hjälp av htpasswd-verktyget som följer med Apache-webbservern.

Det är nödvändigt att övervaka innehållet i SQUID-cachen och regelbundet rensa den för att undvika spill filsystem- med kommandot squid -Z.

I klientinställningar i webbläsaregenskaper och ICQ-klienter du måste ange proxyserverns IP-adress och port. I vårt exempel är detta IP:192.168.1.8 och port 3128 (denna port används som standard). Om ICQ-program konfigurerad för att fungera via en proxyserver använder den den 443:e, och inte den 5190:e TCP-porten på ICQ-servrar, vilket också måste beaktas vid konfigurering av brandväggar. När du använder SQUID är det nödvändigt att blockera möjligheten för lokala maskiner att komma åt TCP-port 80 på Internetservrar. Du kan i allmänhet endast tillåta åtkomst till proxyserverporten och stänga den för alla andra, med undantag för e-post, så att "avancerade" användare inte går till Internet förbi SQUID.

Du kan lära dig om krångligheterna med att ställa in SQUID på webbplatsen http://www.bog.pp.ru/work/squid.html.

Trafikanalys

För detta ändamål används det kostnadsfria analysprogrammet SARG () med öppen källkod. Resultatet av dess arbete är HTML-sidor som visar alla typer av statistisk information om användarnas arbete på Internet. Hela loggperioden analyseras, så det är bekvämare att göra de nödvändiga skivorna i slutet av månaden och sedan rensa SQUID-loggen med kommandot access.log.

Det finns två typer av snitt som oftast efterfrågas. För det första fördelningen av mängden information som laddas ner från Internet per användare, vanligtvis sorterad i fallande ordning efter volym (Fig. 3). Den ger också kvantitativ information om effektiviteten av cachelagring. Detta tvärsnitt låter dig analysera mängden arbete på Internet som helhet och rangordna användare efter aktiviteten i deras arbete på Internet.

Den andra populära sektionen är visningen av information som laddats av en specifik användare på webbplatser (Fig. 4), även sorterad i fallande ordning av datavolymer. Denna del låter dig debriefa användaren på Internet och ta reda på om de mest efterfrågade webbplatserna motsvarar den anställdes arbetsansvar.

Slutsatser

Vi övervägde två alternativ för att organisera permanent anslutning företagsnätverk till Internet.

Alternativet "baserat på IP-adresserna för användardatorer som använder IPFW-regler" har följande nackdelar. För det första är det omöjligt att kontrollera lämpligheten av användarens arbete på Internet, eftersom IPFW bara räknar den totala trafiken för varje regel som föreskrivs för en specifik maskin och inte håller reda på besökta webbplatser. För det andra är det omöjligt att auktorisera en användare som för närvarande arbetar på Internet. Detta är särskilt viktigt om maskinen "delas" av flera användare. Slutligen är det möjligt för användaren att förfalska IP-adressen.

Dessutom, vid användning av en terminalserver, är det omöjligt att ta hänsyn till trafiken från olika användare, eftersom de alla arbetar från samma IP-adress för terminalservern.

De listade nackdelarna återspeglar helt enkelt begränsningarna för redovisning och administration av trafik med IP-adresser och IPFW:s redovisningssystem. IPFW är inte avsedd direkt för att mäta trafiken på användarmaskiner, det är ett verktyg för att redovisa kanaltrafik.

En komplett och komplett lösning på problemet tillhandahålls av ett system som använder en gateway med FreeBSD OS, en konfigurerad IPFW-brandvägg och en SQUID-proxyserver installerad på den med ncsa_auth-autentisering aktiverad. Genom att använda en cachande proxyserver i ett företagsnätverk kan du spara upp till 10 % på att betala för månadstrafik och avsevärt påskynda laddningen av upprepade besökta resurser.

All programvara som används i detta beslut, - fri. Kostnaderna för dess support är minimala, och som praxis visar är FreeBSD+SQUID-systemet ganska tillförlitligt.

SQUID-system tack vare konfigurationsflexibilitet och tillgänglighet av anslutningsgränssnitt externa moduler fjäller bra. Felet i att redovisa HTTP-trafik jämfört med IP, som är inneboende i SQUID, är inte grundläggande; vad som är mycket viktigare är att det är möjligt att organisera tillförlitlig kvantitativ och kvalitativ övervakning av användarnas arbete på Internet med hjälp av HTTP-protokoll, HTTPS och FTP och skilja åtkomsträttigheter och prioriteringar.

Proxyservern kan fungera på en ganska låg effektmaskin, till exempel med Celeron processor 1 GHz frekvens, 128 MB minne och hårddisk 20 GB (denna konfiguration körs för närvarande på vårt företag, betjänar 30 användare), och rollen som en gateway för IP-åtkomst (FreeBSD, IPFW, NATD) kan utföras av en Pentium 166 MHz-dator med 128 MB minne.

Förutom trafikredovisning gör ICS det möjligt att begränsa åtkomsten till Internet och låter dig också helt kontrollera dataöverföringshastigheten. Detta är ett av de mest effektiva systemen som låter dig hantera åtkomsten för företagsnätverksanvändare till Internet.

Full kontroll för effektiv användning av företagsnätverket

Internetbegränsning är en av de brådskande uppgifterna när man skapar och underhåller ett företagsnätverk. Det är ingen hemlighet att kontorsanställda ofta inte använder internetåtkomst för att lösa arbetsproblem. Som ett resultat av detta minskar arbetsproduktiviteten avsevärt, vilket innebär att verksamhetens effektivitet blir lidande.

ICS har breda möjligheter, inklusive att göra det möjligt att begränsa åtkomst, och låter dig även ställa in begränsningar för internettrafik via IP eller utvalda URL:er på nätverket. Alla begränsningar kan gälla olika kategorier och grupper av användare. På grund av detta är det säkerställt effektiv användning företagsnätverk, vilket förbättrar arbetsproduktiviteten och även minskar kostnaderna för leverantörstjänster.

Det är möjligt att enkelt kontrollera internethastigheten på ditt företags nätverk genom att använda proxyserver och brandvägg. Detta ger förtroende för att alla anställda använder World Wide Web endast för att lösa arbetsproblem. Som ett resultat ökar kontorseffektiviteten avsevärt och vinsten växer.

Styra Internetanvändning med ICS

Tack vare användningen av ICS tillhandahålls bekväm kontroll av användaråtkomst till Internet på företagsnätverket, vilket kan implementeras på flera sätt. Du kan begränsa internettrafiken med hjälp av flexibla inställningar. Följande funktioner erbjuds:

• om blockeringen överträds, ett specifikt meddelande utfärdas eller användaren omdirigeras till en specifik webbplats;
• det är möjligt att ställa in en tillfällig begränsning av Internetåtkomst;
• kontroll av trafik och besökta resurser med hjälp av innehållsfiltrering - åtkomst till resurser av en viss kategori är blockerad.

Dessutom låter programmet dig konfigurera olika sätt tillstånd. Således kan begränsning och kontroll av åtkomst till Internet utföras med följande metoder:

• ange ditt användarnamn och personliga lösenord;
• få tillgång till Internet när du loggar in under ett personligt konto ("ActiveDirectory");
• auktorisation för en specifik IP;
• användning av ett speciellt agentprogram.

Användarhanteringsfunktioner

Det är möjligt att förena företagets lokala nätverksanvändare i grupper beroende på alla egenskaper, till exempel organisationsstruktur, arbetsansvar etc. Detta ökar avsevärt effektiviteten för åtkomstkontroll i lokala nätverk. Var och en av dessa grupper kan tilldelas en separat administratör. Internetanvändningskontroll kan inkludera blockering eller begränsning av åtkomst separat för någon av de befintliga grupper med möjlighet att ange detaljerade regler.

Internetåtkomst kan också tillhandahållas andra företag med möjlighet att sätta vissa begränsningar. I det här fallet kan en separat grupp skapas för vart och ett av dessa företag med ett lösenord som ges till administratören. Detta kan kallas överföring av en virtuell ICS för användning av en tredje part.

Arbeta med fjärrkontor

Genom att köpa en ICS får du en färdig VPN-server som ger kommunikation med företagets fjärrkontor med hjälp av en krypterad tunnel med möjlighet att kontrollera internethastigheten för var och en av dem. Kommunikationen tillhandahålls lika effektivt som om fjärrkontor var fysiskt anslutna till företagets allmänna företagsnät.

Köpa en ICS

Du kan köpa ICS genom att använda beställningsformuläret på vår hemsida.

Vårt företag är aktivt teknisk support kunder i alla frågor som rör användningen av programmet. Genom att köpa en extra uppdateringslicens (Premium) lägger du alla bekymmer om att installera, konfigurera och underhålla ICS i händerna på våra specialister - perfekt alternativ för dig som vill köpa och glömma, samtidigt som du får maximal nytta av att använda ICS. För råd, vänligen kontakta försäljningsavdelningen.

Fjärrkontroll för Internetåtkomst (föräldrakontroll)

Den här guiden beskriver processen för att installera datorer som kör operativsystem Windows familj XP, 7 eller Linux (Ubuntu) för fjärrkontroll tillgång till webbplatser.

Manualen beskriver inte i detalj hur man arbetar med Rejector-tjänsten, som kommer att diskuteras nedan, den låter dig bara konfigurera din dator på ett sådant sätt att du drar full nytta av dess möjligheter.

Alla verktyg som används är gratis eller öppen källkod.

Introduktion

Internet är ett utmärkt verktyg för att studera, koppla av eller kommunicera med vänner. Men förutom nätverket användbar information, det finns också något oönskat för ditt barn. Att surfa på Internet i många timmar kan dessutom distrahera dig från andra viktiga aktiviteter, som läxor, sport, sömn eller umgänge med jämnåriga. Därför är det nödvändigt att övervaka barnets onlineaktiviteter.

Det är många olika metoder kontroll, men de är inte alltid effektiva. Övertalning och pedagogiska samtal kan fungera under väldigt kort tid, eftersom att vara på Internet kan fängsla ett barn så mycket att det glömmer bort all övertalning. Och förbud kan negativt påverka utvecklingen av användbara färdigheter för att söka och lära på Internet.

I sådana fall kommer de att hjälpa dig specialprogram om att begränsa och kontrollera åtkomsten till nätverket. Med deras hjälp kan du skydda ditt barn från negativa influenser Internet, men ger samtidigt handlingsfrihet. Ett sådant verktyg är Rejector Internet Access Control System.

Rejector är ett centraliserat projekt för att kontrollera tillgången till Internet. Det gör att du kan skydda barn och tonåringar från farlig information. I huvudsak är Rejector en DNS-server med möjligheten att fjärrstyra den.

Hur det fungerar?

Du registrerar dig, lägger till din IP, konfigurerar åtkomstparametrar. Du kan använda tjänsten utan registrering, men då kommer du inte att kunna använda alla dess funktioner.

Dina datorer är konfigurerade så att alla DNS-förfrågningar skickas till Rejector DNS-servrarna 95.154.128.32 och 176.9.118.232.

Varje begäran kontrolleras mot dina inställningar, såsom blockerade kategorier eller webbplatser, tillåtna eller blockerade webbplatser, bokmärkeslistor eller bluffwebbplatser, och om den blockeras omdirigeras begäran till blockeringssidan.

Du kan anpassa den här sidan som du vill.

Tillåtna förfrågningar som klarar kontrollen hamnar i den allmänna förfrågningscachen för snabb leverans till alla kunder.

Mer detaljerad beskrivning Du kan hitta Rejector-produkten på den officiella webbplatsen rejector.ru

Instruktioner för installation av systemet

1. Skapa en användare med normala rättigheter

Vanligtvis skapas en användare med administratörsrättigheter när du installerar ett operativsystem. En sådan användare kan producera allt möjliga åtgärder, tillhandahålls av operativsystemet tills själva systemet tas bort.

För att utesluta reversibiliteten av alla våra ytterligare åtgärder Från den del av användaren vi tar kontroll över kommer vi att skapa en användare med begränsade rättigheter och för administratören kommer vi att använda ett lösenord.

På Windows görs detta via Kontrollpanelen; På Linux är användarskapande tillgängligt via Systeminställningar.

2. Konfigurera en nätverksanslutning

Rejector är en tjänst som i huvudsak är en DNS-server. För att arbeta med det måste du först konfigurera nätverksanslutning så att DNS-frågor skickas till Rejector DNS-servrarna 95.154.128.32 och 176.9.118.232.

Detta görs annorlunda på Windows och Linux.

Windows XP

Windows Vista

Detaljerade instruktioner finns på

Windows 7

Detaljerade instruktioner finns på

De flesta Linux-operativsystem använder ett program för att konfigurera nätverket. Nätverks chef. Gör följande för att ändra DNS-servern:

Tryck på RMB på anslutningsindikatorn och in innehållsmeny, välj objektet Ändra anslutning

Om du använder en DHCP-server när du ansluter till Internet, ändrar vi i IPv4-parametrarna Inställningsmetod på Automatisk (DHCP, endast adress)

I fält DNS-servrar ange två adresser separerade med kommatecken 95.154.128.32, 176.9.118.232

Att skapa en anslutning Tillgänglig för alla användare Och Automatiskt ansluten

3. Registrera dig på Rejectors webbplats

I princip är det här vi skulle kunna börja. Men nu när en av svårigheterna ligger bakom oss gör vi detta enkelt och enkelt. Följ länken och fyll i enkel form för registrering.

4. Lägg till ett hanterat nätverk

Genom att registrera oss på tjänsten kan vi skapa erforderligt antal nätverk eller, vilket i princip är samma sak - klienter som vi kommer att hantera. Nätverk (klienter) identifieras på tjänsten med deras IP-adress. Därför måste du känna till dess IP-adress för att kontrollera en dators internetåtkomst. För nu, låt oss bara skapa ett nätverk genom kontrollpanelen på Rejector-webbplatsen på.

Fyll i formuläret Lägg till nätverk. Nätverksnamn - här kan du ange ditt barns namn om han har en egen dator och du vill styra den. Status- troligen kommer du att ha Dynamisk IP-adress(sällsynt leverantör allokerar för sina kunder Statisk adress gratis), så välj den här alternativknappen. Nätverks ID- du kan skriva på latin det namn du angav i det första fältet.

5. Skickar IP-adress

För att tjänsten ska fungera måste den hela tiden "känna till" klientens IP-adress, som kan ändras från anslutning till anslutning (Dynamisk IP-adress). Detta är huvudproblemet som den här guiden tar upp.

Tjänsteutvecklarna erbjuder själva programmet Rejector Agent, som skickar klientens IP-adress till servern. Men det här programmet kan inte fungera självständigt. Därför kommer vi att dra nytta av den andra möjligheten. Nämligen uppdatering med hjälp av en HTTP-förfrågan (beskrivning på länken).

För att uppdatera klientinformation via en HTTP-förfrågan i bakgrund, vi behöver Curl-programmet. Detta program kan skicka HTTP-casts till Internet via kommandoraden. Vi kommer att ställa in parametrarna för detta program i skriptet; för Windows kommer detta att vara en bash-fil för Linux - sh.

Curl är fritt tillgänglig och har en Windows-version, så vi kommer att använda den i båda miljöerna. För Windows senaste versionen Programmen kan laddas ner från länken. För att installera, packa bara upp innehållet i det resulterande arkivet i mappen C:\WINDOWS\SYSTEM32 (detta kommer att göra det lättare att starta programmet). I ett Linux-operativsystem kommer det troligen redan att vara installerat.

6. Skript för att regelbundet uppdatera IP-adressen

Webbplatsen erbjuder följande HTTP-förfrågan http://användarnamn: [e-postskyddad]/ni...,
som kommer att uppdatera IP-adressvärdet. Vi kommer att ersätta det som en parameter för curlprogrammet.

Begäran om adressuppdatering måste skickas från den dator som vi vill kontrollera. På grund av att textterminalen bearbetar kommandon på ett speciellt sätt, behövde förfrågningstexten ändras något. Skripttexten för Windows och Linux ges nedan.

För Windows

:slinga
curl "http:// login%%40mail-server.com:Lösenord@updates.rejector.ru/nic/update?hostname= nätnamn"
# Gör en fördröjning på 300 sekunder
ping -n 300 127.0.0.1 > NUL
eko 111
goto loop

Där login%%40mail-server.com är din Brevlåda, som användes för att registrera på Rejector (@-tecknet ersattes av %%40); lösenord - lösenord; nätnamn — nätverksnamn på Rejector-tjänsten Placera skripttexten i en vanlig textfil, ersätt tillägget med .bat så får du ett körbart skript.

För Linux

#! /usr/bin/sh
medan sant; gör curl -u [e-postskyddad]:lösenord "http://updates.rejector.ru/nic/update?hostname=... sov 300; klar;

Allt här liknar posten för Windows. Skriv denna text till en textfil med tillägget sh.

Båda skripten innehåller lösenordet för Rejector-kontot i klartext, så det är nödvändigt att dölja deras innehåll för den genomsnittliga användaren. Detta implementeras på olika sätt i Linux och Windows

För att förhindra visning och redigering av detta skapat av oss, är det nödvändigt att ändra ägaren och gruppen av filen till root och neka alla utom ägaren tillgång till filen. Om du har kompetens att arbeta i kommandorad, då måste du använda kommandot CD till katalogen med skriptfilen och kör kommandot chown root:root skcrypt.sh Och chmod 700 script.sh.,Att göra samma sak i grafiskt skal, måste du först starta filhanteraren med administratörsrättigheter, hitta skriptfilen och ändra rättigheter, med hjälp av snabbmenyn.

Utan att gå in på hur du kan ändra filåtkomsträttigheter som liknar Linux, använde jag följande lösning. Låt oss konvertera vår körbara fil till en EXE-fil för att dölja dess innehåll. För detta ändamål kommer vi att använda gratis program Bat to Exe Converter. Jag föreslår att du laddar ner dess russifierade version från länken eller på programmets officiella webbplats. Programmet kräver ingen förklaring i drift. Vid ingången lägger vi vår bat-fil, vid utgången får vi en exe-fil.

7. Ställ in den på att starta automatiskt

Kvar att göra sista steget. Vi gör det automatisk start program tillsammans med systemstart. Detta görs på olika sätt i Linux och Windows.

Vi loggar in som administratör och flyttar vår körbara file.exe till mappen PogramFiles. Hitta mappen i användarens hemkatalog Huvudmeny, i det Program, Autorun där vi placerar genvägen från vårt program (detta kan göras genom att dra själva programmet samtidigt som du håller ned Skift-tangenten). Redo.

Placera den körbara filen i mappen /usr/bin. Låt oss redigera startfilen lokala applikationer system /etc/rc.local, lägga till en rad i den innan utgång 0.

/usr/bin/script.sh

Var script.sh- namnet på vår fil.

Detta slutför systeminstallationen. Du kan gå till Rejector-tjänsten och konfigurera nätverksdriftsläget.

Administratören distribuerar internetresurser för företagets anställda, skapar listor över förbjudna eller tillåtna domännamn, IP-adresser, etc. Samtidigt kan han sätta restriktioner på tid eller trafikmängd. Vid överutgifter stängs åtkomsten till Internet automatiskt.

Observera: Administratören kan alltid förse ledningen med en rapport om varje anställds nätverksanvändning.

• Flexibelt system med regler för att kontrollera internetåtkomst:
  • begränsningar av drifttid, på mängden skickad/mottagen trafik (trafikredovisning) per dag och/eller vecka och/eller månad, på hur mycket tid som används per dag och/eller vecka och/eller månad;
  • filter som kontrollerar användaråtkomst till oönskade resurser (sexuella, spelsajter);
  • utvecklat system trafikbegränsningar Och åtkomsthastighet för varje användare. Vid överdriven trafik stängs Internetåtkomsten automatiskt;
  • listor över förbjudna eller tillåtna domännamn, IP-adresser, delar av URL-strängen, till vilka åtkomst är förbjuden/tillåten av administratören;
  • möjligheten att ställa in en rad tillåtna och förbjudna IP-adresser;
  • timschema för användarens arbete på Internet;
  • filter som låter dig konfigurera mycket effektiv "bannerskärning".
• Räkna och titta på statistik användaraktivitet enligt olika parametrar (dagar, platser) under ett godtyckligt tidsintervall. Att se Internetstatistik över användaraktivitet för den aktuella månaden via HTTP är endast möjligt för användare på det lokala nätverket.
• Inbyggt faktureringssystem beräknar automatiskt kostnaden för en användares arbete på Internet baserat på pris, tid och/eller trafikvolym. Du kan ställa in tariffer för varje användare individuellt eller för en grupp användare. Det är möjligt att byta taxor beroende på tid på dygnet, veckodag eller webbplatsadress.

Office informationssäkerhet

• VPN-stöd Ett virtuellt privat nätverk är en kombination av enskilda maskiner eller lokala nätverk i ett nätverk, vars säkerhet säkerställs av en mekanism för datakryptering och användarautentisering.
• Inbyggt brandvägg(brandvägg) förhindrar obehörig åtkomst till server- och lokala nätverksdata genom att förbjuda anslutningar via vissa hamnar och protokoll. Brandväggsfunktionaliteten styr åtkomsten till nödvändiga portar, till exempel för att publicera ett företags webbserver på Internet.
• Kaspersky Antivirus och Panda integrerad i proxyservern UserGate, fungerar som filter: fångar upp data som överförs via HTTP- och FTP-protokoll. Stöd för POP3- och SMTP-e-postprotokoll är implementerat på övre nivån. Detta gör att du kan använda det inbyggda antivirusprogrammet för att skanna e-posttrafik. Om brevet innehåller en bifogad fil med ett virus, proxyservern UserGate kommer att ta bort bilagan och meddela användaren om detta genom att ändra texten i brevet. Alla infekterade eller misstänkta filer från bokstäver placeras i speciell mapp i katalogen UserGate.
  Administratör UserGate kan välja om du vill använda en antivirusmodul eller båda samtidigt. I det senare fallet kan du ange i vilken ordning varje typ av trafik ska skannas. Till exempel kommer HTTP-trafik först att skannas av ett antivirusprogram från Kaspersky Lab och sedan av en modul från Panda Software
• Stöd för e-postprotokoll
  POP3 – och SMTP – proxyservrar in UserGate kan fungera med eller utan en NAT-drivrutin. När du arbetar utan förare, kontot in e-postklient på användarsidan är konfigurerad på ett speciellt sätt. När du arbetar med en drivrutin (proxyoperation i transparent läge) utförs e-postinställningar på användarsidan på samma sätt som med direkt internetåtkomst. Framtida stöd för POP3 och SMTP-protokoll på översta nivån kommer den att användas för att skapa en antispammodul.

Administration med UserGate proxyserver

• Nätverksregler
  I en proxyserver UserGate stöd för NAT-teknik (Network Address Translation) har implementerats. nätverksadress) Och Portkartering(tilldelning av hamnar). NAT-teknik används för att skapa transparenta proxyservrar och stöder andra protokoll än HTTP eller FTP.
  En transparent proxy tillåter användare att arbeta utan speciella inställningar, och administratörer är befriade från behovet av att manuellt konfigurera användarens webbläsare.
• Ytterligare modul Usergate Cache Explorer avsedd för visning av innehåll Cacheminne. Att arbeta med den här funktionen är enkelt: du behöver bara ange platsen för filen ug_cache.lst från cachemappen när du startar den. Efter att ha läst innehållet i denna fil Usergate Cache Explorer kommer att visa en lista över cachade resurser. Cache Explorer-kontrollpanelen har flera knappar som låter dig filtrera cacheinnehåll efter storlek, tillägg, etc. Den filtrerade datan kan sparas i en mapp på din hårddisk för ytterligare noggrann studie.
• Hamntilldelningsfunktion(Portmappning) låter dig binda valfri vald port för ett av de lokala IP-gränssnitten till önskad port fjärrvärd. Porttilldelningar används för att organisera driften av bankklientapplikationer, spel och andra program som kräver att paket vidarebefordras till en specifik IP-adress. Om du behöver tillgång från Internet till en viss nätverksresurs, kan detta också uppnås med porttilldelningsfunktionen.
• Trafikhantering: styr och redogör för din nätverkstrafik
  Funktionen "Trafikhantering" är utformad för att skapa regler som styr åtkomsten av lokala nätverksanvändare till Internet, för att skapa och ändra använda tariffer UserGate.
  Observera: NAT-drivrutin inbyggd i proxyservern UserGate, ger den mest exakta redovisningen av internettrafik.
  I en proxyserver UserGate det finns en möjlighet till separation olika typer trafik, till exempel lokal och utländsk internettrafik. Den övervakar också trafik, IP-adresser för aktiva användare, deras inloggningar och besökta webbadresser i realtid.
• Fjärradministration tillåter systemadministratören att vara mobil, eftersom det nu är möjligt att administrera proxyservern UserGate avlägset.
• Automatisk och manuell utskick användare av information om sin trafik via e-post, inklusive via servrar med SMTP-auktorisering.
• Anslutning till kaskad proxy med möjlighet till auktorisation.
• Flexibel rapportgenerator med möjlighet att exportera till MS Excel och HTML.
• Olika sätt att auktorisera användare: enligt alla protokoll; efter IP-adress, efter IP+MAC, IP+MAC (abonnemang); genom användarnamn och lösenord; använder Windows-auktorisering och Active Directory.
• Importera användare från Active Directory - nu behöver du inte skapa flera hundra användare manuellt, programmet kommer att göra allt åt dig.
• Schemaläggaren låter dig utföra en av de fördefinierade åtgärderna vid en angiven tidpunkt: skicka statistik, starta ett program, upprätta eller avsluta en uppringd anslutning, uppdatera antivirusdatabaser.
• UserGate stödjer följande protokoll:
  • HTTP (cachar);
  • FTP (cacher);
  • Socks4, Socks5;
  • POP3;
  • SMTP;
  • Alla UDP/TCP-protokoll över NAT (Network Address Translation) och genom porttilldelning.

Spara pengar på att använda Internet

Använder inbyggda filter UserGate blockerar laddningen av reklam från Internet och förbjuder åtkomst till oönskade resurser.

Observera: Administratören kan förbjuda nedladdning av filer med ett visst tillägg, till exempel jpeg, mp3.

Dessutom kan programmet komma ihåg (cache) alla besökta sidor och bilder, vilket frigör kanalen för nedladdning av användbar information. Allt detta minskar avsevärt inte bara trafiken, utan också tiden som spenderas på linjen.

Proxyserver UserGate: redovisning av din nätverkstrafik!