Размещено на http://www.allbest.ru/

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

ГЛАВА I. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 TRAFFIC INSPECTOR

1.2 KERIO WINROUTE FIREWALL

1.3 FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010

1.4 SQUID НА БАЗЕ ОПЕРАЦИОННОЙ СИСТЕМЫ LINUX UBUNTU

ГЛАВА II. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 УСТАНОВКА LINUX UBUNTU 12.04 LTS

2.2 НАСТРАИВАЕМ СЕРВЕР

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУР



ВВЕДЕНИЕ

Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Все больше и больше отраслей человеческой деятельности становятся настолько сильно пронизаны этими новыми информационными технологиями, насколько и зависимы от них. Предоставляя огромные возможности, информационные технологии, вместе с тем, несут в себе и большую опасность, создавая совершенно новую, мало изученную область для возможных угроз, реализация которых может приводить к непредсказуемым и даже катастрофическим последствиям. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. Сбой в информационных технологиях применяемых в управлении атомными станциями или химическими предприятиями может привести к экологическим катастрофам. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать. Ущерб от возможной реализации угроз можно свести к минимуму, только приняв меры, которые способствуют обеспечению информации. Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы подразделяются на случайные (непреднамеренные) и умышленные. Источником первых могут быть ошибочные действия пользователей, выход из строя аппаратных средств и другие.

Умышленные угрозы подразделяются на пассивные и активные. Пассивные угрозы не разрушают информационные ресурсы. Их задача - несанкционированно получить информацию. Активные угрозы преследуют цель нарушать нормальный процесс функционирования систем обработки информации, путем разрушения или радиоэлектронного подавления линий, сетей, вывода из строя компьютеров, искажения баз данных и т.д. Источниками активных угроз могут быть непосредственные действия физических лиц, программные вирусы и т.д.

На сегодняшний день предприятия к защите своих данных относятся не одинаково щепетильно и на развитие этой ИТ отрасли финансирование на каждом предприятиях выделяется строго индивидуально . Это может быть вызвано по ряду разных причин:

1. Возможно значимость накопленных информационных данных настолько низок, что в случае кражи или потере какого то информационного ресурса не приведет к сбою или простою предприятия, что не повлечет за собой убытки и потери.

2. Возможно квалификация специалиста в обязанности которого входит обеспечение отказоустойчивости информационных ресурсов на предприятии не достаточно высок для проектирования, создания и обслуживания средств защиты корпоративной информации.

3. Возможно руководство предприятия выделяет финансирование на работу только одного "универсала", который занимается обслуживанием всех направлений информационных технологий и общий объем его работ не позволяет найти время для своего обучения, проектирования и создания более защищенных административных систем и средств защиты на предприятии. Такое в наше время встречается часто из за экономически выгодных соображений в пользу предприятия.

4. Возможно для перехода на более высокий уровень защищенности информации на предприятии требуется неблагоприятный инцидент, на ошибке которого был бы получен отрицательный опыт, который бы повлек привлечения финансирования и введения регламентных процедур.

Негативные последствия, которые могут привести от недостаточного обеспечения сохранности и защиты информации:

1. Потеря всех или части информационных ресурсов накопленных за годы работы предприятия (базы данных о клиентах, данные корпоративных сотрудников, бухгалтерская отчетность и мн. другое), что приведет к сбою в работе отдельного специалиста, отдела или всего предприятия. Данная проблема неукоснительно коснется сроков выполнения обязанностей возложенных на предприятие перед своими клиентами (что подорвет доверие и репутацию), потребует незапланированных финансовых вложений и сил своих или привлеченных специалистов на восстановление данных.

2. Потеря данных о клиентах, с которыми предприятие подписало соглашение о неразглашении информации в руках злоумышленника или конкурирующей фирмы может привезти предприятие к долгим и тяжким судебным процессам от клиентов и в последствии огромным финансовым убыткам, которые многократно превышают те финансовые вложения, которые требовались для предотвращения данной ситуации.

Поскольку отсутствие необходимых средств и мер по защите информации могут привезти само предприятие к большим убытками или разорению, то актуальность темы "защита информации" обосновывает само себя в полной мере, а специалист информационных технологий должен обладать знаниями о способах и средствах защиты информации на предприятии, уметь проектировать и строить инфраструктуру обмена информацией таким образом, что бы это не противоречило регламенту о защите информации в компании или предприятии, которое он обслуживает.

В первой главе данного курсового проекта рассмотрены теоретические основы защиты информации, во второй главе рассмотрена организационно-техническая структура предприятия и анализ имеющихся средств защиты, а также некоторые меры по устранению уязвимостей выявленных в ходе выполнения проекта.

Целью данного курсового проекта является анализ защищенности информации на предприятии с учетом быстрого развития информационных технологий и новых угроз безопасности, а так же выработку соответствующих мер по их устранению.



ГЛАВА I. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Чаще всего прокси-серверы применяются для следующих целей:

1. Обеспечение доступа с компьютеров локальной сети в Интернет.

2. Кеширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

3. Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика.

4. Защита локальной сети от внешнего доступа: в прокси-сервер для защиты от внешних угроз встраивают брандмауэр. А для того чтобы локальные компьютеры не были видны извне используют NAT.

5. Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

6. Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

7. Маршрутизация. Прописывание путей для ближайших маршрутов.

Многие прокси-серверы используются для нескольких целей одновременно.

Поскольку наше предприятие выросло до 150 компьютеров, то данный сервер уже является не прихотью системного администратора, а необходимостью. Установка данного сервера на предприятии увеличит гибкость администрирования и контроль интернет-трафика на предприятии.

Виды корпоративных решений выполняющих роль прокси-сервера на сегодняшний день:

1. Forefront Threat Management Gateway (TMG) 2010

2. Traffic Inspector

3. Kerio WinRoute

4. Squide на базе ОС Linux Ubuntu

Задачи:

1. Проанализировать все программные продукты, выбрать наиболее подходящий для своего предприятия

2. Внедрить программный продукт и произвести его настройку на предприятие.

3. Сделать выводы и умозаключения.

1.1 TRAFFIC INSPECTOR

Описание.

Сертифицированное комплексное решение для организации и контроля доступа в Интернет. Не требует дорогостоящего сетевого оборудования, обеспечивает гибкую тарификацию, надежную сетевую защиту, распределение загрузки, точный учет и статистику, экономию трафика и рабочего времени.

Функциональные возможности:

Организация доступа в Интернет. NAT, прокси-сервер, VPN, AD.

Программа поможет подключить в Интернет компьютеры офисной сети, используя различные типы подключения (кабельное, DSL, ISDN, коммутируемый доступ или WiFi). Пользователи смогут работать напрямую (через NAT), через прокси-сервер и использовать привычную аутентификацию в системе (NTLM, Active Directory, VPN, по MAC, IP-адресам, VLAN или логину с паролем).

Сертифицированная защита сети. Межсетевой экран и антивирусы.

Traffic Inspector обеспечивает многоуровневую защиту сети: сертифицированный ФСТЭК сетевой экран защищает от внешних атак и охраняет персональные данные, система обнаружения чрезмерной сетевой активности служит для внутреннего контроля безопасности, антивирусы защищают от вредоносных программ, троянов и т.д.

Контроль интернет-трафика. Мониторинг и статистика доступа.

Решение дает возможность полностью контролировать интернет-доступ и работу пользователей в сети, отслеживая каждое подключение. Кроме оперативного мониторинга текущего состояния ведется подробная статистика по трафику всех интернет-соединений пользователей, серверов и самого шлюза.

Блокировка сайтов, контентная и URL-фильтрация. Правила по типам, группам и категориям.

Эффективная работа невозможна без контроля и ограничений. Traffic Inspector помимо мониторинга и детальной статистики позволяет блокировать нежелательные ресурсы по типам, категориям, группам, осуществлять контентную фильтрацию по запросам.

Экономия трафика, времени и денег. Блокировка баннеров и кэширование.

Traffic Inspector обеспечивает экономию затрат за счет контроля интернет-трафика и сокращения нецелевого использования рабочего времени. Трафик экономится за счет кэширования, фильтрации спама, блокировки баннеров и рекламы. Высокая продуктивность бизнеса достигается при помощи блокировки сайтов одноклассников, анекдотов, игр, музыки или видео, а также фильтрации баннеров и спама, которые отвлекают от рабочего процесса.

Управление скоростью интернет-доступа. Динамический шейпер, распределение загрузки, приоритеты.

Программа позволяет управлять скоростью интернет-доступа для пользователей или групп. Можно задавать ограничения скорости с динамическим распределением нагрузки, расставлять приоритеты.

Настройка и управление маршрутизацией. Advanced Routing, перенаправление трафика, публикация служб, резервные каналы.

Комплексное решение дает возможность управлять всем многообразием интернет-трафика в локальной сети: настраивать маршрутизацию, направлять трафик на разные каналы доступа, в том числе получать со спутника, управлять настройками внешнего доступа к службам и портам во внутренней сети, а также переключать резервные каналы.

Учет трафика. Сертифицированная биллинговая система. Подсчет, лимиты, автоматизация.

В Traffic Inspector реализован подсчет трафика по каждому пользователю с точностью до байта. Можно задать единицу учета, лимиты, кредиты, блокировки, счетчики и расписания. На систему биллинга получен сертификат соответствия связи (ССС) ОС-3-СТ-0248, что гарантирует исключительную точность расчетов.

Почтовый шлюз. Антиспам и антивирус для почты.

Для работы с корпоративной почтой в Traffic Inspector используется встроенный почтовый шлюз. Он позволяет учитывать всю почту, приходящую на внутренний почтовый сервер, проверять ее на вирусы и очищать от спама.

Удаленное администрирование. Консоль и доступ через веб-сервер.

В программе предусмотрен ряд средств для удаленного управления и мониторинга локальной сети, пользователей и соединений. Где бы вы не находились, вы всегда будете в курсе событий о состоянии сети и сможете реагировать в случае аварийных ситуаций.

Traffic Inspector может быть использован как в организациях для безопасного и эффективного использования интернет-подключения, так и в небольших предприятиях, оказывающих услуги по передаче данных: провайдеров, интернет-кафе, гостиницах и хот-спотах. Чтобы убедиться, что Traffic Inspector вам подходит, мы рекомендуем бесплатно проверить в работе его полнофункциональную версию.

Характеристики работы программы

Внутренние и внешние сети - протоколы и топология.

· Сервер может работать с несколькими внутренними интерфейсами в сложной по топологии сети.

· Поддерживаются интерфейсы 802.3 (Ethernet), 802.11 (Radio Ethernet), WAN PPP, WAN VPN (PPTP, L2TP).

· Работает совместно с NAT от Windows. Поддерживается RAS (Dial-out), VPN (PPTP, L2TP), PPPoE.

· Работает с RAS сервером (Dial-In клиенты), поддерживаются как модемные соединения, так и VPN (PPTP, L2TP).

· Внутренние сети могут быть описаны как локальные (например внутриофисная сеть) или публичные (например домовая). Для разных сетей могут использоваться разные политики доступа.

· Для съема трафика пользователей через другие сервера внутренней сети может также использоваться специальный режим сниффера ("прослушки").

· Сервер может работать с несколькими внешними интерфейсами, т.е. может быть несколько подключений к сети Интернет.

· Для работы с динамическими внешними интерфейсами имеется режим автоматического их выбора.

· Обеспечивается корректная работа при разделении входящего и исходящего трафика на внешних интерфейсах (например, при работе через спутник).

· Для персонального режима работы используется внутренний IP интерфейс (127.0.0.1). В этом случае назначение других внутренних интерфейсов запрещено.

· Реализована возможность работы клиентов на терминальном сервере.

· Имеется поддержка протокола IEEE 802.1Q (Tag based VLAN).

Авторизация пользователей.

· Авторизация по сетевому адресу - IP, MAC или вместе. Также можно задать диапазон IP адресов.

· Авторизация по имени и паролю. Может использоваться при работе с прокси сервером или через клиентского агента с использованием как собственных паролей, так и через домен сети Windows. Поддерживается авторизация с разных доменов.

· Запись MAC клиентов авторизации в таблицу статических ARP операционной системы.

· Авторизация по адресам электронной почты - используется в SMTP шлюзе.

· В качестве дополнительно параметра авторизации можно использовать Vlan ID.

· Авторизация через API. Позволяет использовать сторонние программы.

· Контроль нарушений правил авторизации. В программе ведется учет нарушений доступа, производится запись этих событий в сетевую статистику и журнал, а также есть возможность оповещать администраторов по электронной почте.

· Поддерживается 8192 пользователей и 256 групп.

· Автоматическое перенаправление не авторизованных пользователей на специальную информационную страницу встроенного Веб-сервера (удобно для Wi-Fi сетей и подключении новых клиентов в домовых сетях).

Ограничения работы пользователей.

· По датам.

· По расписанию. Может быть задано индивидуально для пользователя, для группы или сразу для всех.

· По доступу к ресурсам. Имеются групповые и общие фильтры на запрещение и разрешение. Фильтры применяются на IP уровне для любого трафика (IP адреса, протоколы и порты), так и на уровне приложений при работе через прокси (HTTP, FTP, URL, типы данных, regular expressions). Вместо IP адресов всегда можно задавать и имена хостов, что описание фильтра делает независимым от изменений адресов ресурсов.

· По IP и MAC адресам клиента. Для пользователей с авторизацией по имени это может использоваться для введения дополнительных ограничений.

· По доступу к службам (NAT, роутинг, прокси-сервер, SOCKS-сервер).

· По количеству TCP сессий. Это ограничение работает, как через прокси (SOCKS), так и для прямого трафика.

· Защита от перегрузки сети и сервера Virus Flood Protect. Используется анализ трафика пользователя и блокирует его при переполнении сетевой статистики, свойственной при заражениях компьютера пользователя сетевыми вирусами.

· Реализована возможность отключения порта управляемого оборудования по SNMP-протоколу с помощью скриптов при измении состояния клиента.

Тарификация.

· Возможен различный вид учета трафика: по входящему, исходящему, сумме входящего и исходящего и максимальному значению от входящего и исходящего.

· Есть возможность задания предоплаченного (бесплатного) трафика.

· Есть возможность тарифицировать время работы клиентов. При этом абонентская плата может начисляться посуточно или поминутно за время реальной работы.

· Тарифы могут быть изменены задним числом - любое их изменение влечет немедленный пересчет всех данных по билингу. Дополнительно могут задаваться скидки на трафик из кэша, почтовый или любой другой в соответствии заданным в фильтрах критериям.

· Работа в кредит. При работе клиента в кредит до момента блокировки могут быть применены отдельные политики доступа.

· Все настройки тарификации могут быть сделаны индивидуальными, групповыми или общими, что позволяет иметь различные тарифные планы.

· Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени.

· Все изменения статуса клиентов могут записываться в журнал для последующей обработки и формирования отчетов.

· Реализована возможность создания групповых счетов - единый счет для нескольких групп и клиентов.

· В настройках тарифов есть возможность задать лимиты трафика на сутки, неделю, месяц.

Контроль внешнего трафика.

· Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP сети. С их помощью можно учитывать трафик от провайдера. Несколько таких счетчиков позволяют вести раздельный учет разного вида трафика (льготный или бесплатный).

· Для контролируемых счетчиков задаются лимиты - предупреждения, перерасхода и ежедневный, при превышении которых выдается оповещение администратора или (и) данное направление (трафик) может быть заблокировано.

· При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение.

· Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, где есть дополнительная возможность анализировать трафик по IP протоколам и портам.

· Данные по внешним счетчикам могут отображаться как в реальном времени и записываться в журнал для формирования отчетов.

Сетевая статистика.

· Для пользователей и внешних счетчиков может быть включен сбор сетевой статистики в контексте IP адресов, протоколов, портов и DNS-имен.

· Есть возможность индивидуально или для всех задавать степень детализации - интервал анализа и количество активных соединений.

· Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов.

· Для дополнительного анализа хостов и сетей используется сервис WhoIs и NetGeo.

· Предусмотрена возможность записи сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.

Прокси-сервер.

· Протоколы - HTTP/1.1, FTP, SOCKS 4/5.

· Аутентификация - BASIC (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2).

· Кэширование - есть много настроек для выбора оптимальных параметров с точки зрения экономии трафика.

· Индивидуальная гибкая настройка параметров кэширования для отдельных ресурсов.

· Кэш хранится в одном файле СУБД, при этом полностью исключена его внутренняя фрагментация. Все индексы кэша хранятся в оперативной памяти, что обеспечивает высокую скорость работы с кэшем.

· Фильтрация контента - прокси сервер использует общие с IP фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URL вплоть до контекстного поиска с помощью выражений regular expressions. Это позволяет, например, легко реализовать эффективную фильтрацию баннеров.

· Есть поддержка метода HTTP CONNECT - через прокси сервер в этом режиме может работать SSL, FTP или любое другое TCP приложение, позволяющее работать через HTTP туннель.

· FTP через HTTP (метод GET) - прокси сервер генерирует HTML страницы, позволяя работать с FTP серверами в режиме чтения. При этом работает автоматическое переключение между активным и пассивным режимами для протокола FTP.

· Авторизация - сквозная. Если пользователь не авторизовался, то по необходимости запрашивается аутентификация через прокси или SOCKS сервер.

· Автоматическое конфигурирование броузеров, в соответствии принятым стандартам. Прокси сервер выдает клиентам стандартный WPAD.DAT JAVA скрипт для их конфигурирования. Есть возможность задания в нем LAT (таблицы локальных адресов). Также может быть использовано принудительное конфигурирование броузеров через клиентского агента.

· Форвардинг HTTP запросов на другой прокси сервер.

· Блокировка HTTP трафика мимо прокси сервера.

· Оперативное управление режимами фильтрации и кэширования со стороны клиента.

· Имеется возможность выборочно включить запись в журнал всех запросов через прокси сервер.

SMTP-шлюз.

· Публикует снаружи один внутренний SMTP-сервер.

· Запрещает открытые relay (пересылки), что позволяет использовать внутри сети самые простые почтовые сервера.

· Есть проверка адресов отправителей на достоверность их домена.

· Есть проверка хостов отправителей с помощью служб RBL, базирующихся на DNS. Многопоточная реализация позволяет задействовать большое количество служб без внесения дополнительных задержек. Через RBL также могут проверяться и все промежуточные SMTP-сервера анализом заголовков сообщений.

· Имеются "черные списки" хостов отправителей, которые могут заполняться как автоматически, так и вручную. Автоматическое занесение в "черные" списки хостов, отфильтрованных через RBL, позволяет существенно экономить трафик при массовой рассылке спама с них за счет исключения последующих запросов на RBL службы.

· Есть "белые" списки, описывающие отправителей, для которых фильтрация сообщений применяться не будет.

· Для анализа отфильтрованной почты ведется подробный журнал, а также может использоваться почтовая рассылка администраторам.

· Тарифицирует входящую почту для известных получателей - пользователей Traffic Inspector. Для экономии трафика прием почты для неизвестных получателей может быть запрещен.

· Может быть запрещен также прием почты для отключенных или заблокированных пользователей.

· Поддерживается интеграция модуля защиты от нежелательной почты Traffic Inspector AntiSpam.

Сертифицированный межсетевой экран (firewall).

· По умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящие TCP, UDP и ICMP данные, в связи с чем настройка службы практически не требуется.

· Динамическая UDP-фильтрация - позволяет корректно отличать входящие UDP запросы от исходящих, прозрачно разрешая исходящие UDP данные.

· Динамическая фильтрация FTP-DATA. Производится анализ FTP команд PORT и PASV и выставление временных разрешений в firewall. Это позволяет без проблем работать с активным режимом (клиент), так и пассивным (публикуемый сервер).

· Для разрешения работы различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил.

· На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.).

· Для защиты самого сервера изнутри сети также может быть включен внутренний firewall. Его функциональность аналогична внешнему. Имеются отдельные настройки этого firewall для локальных и публичных внутренних сетей.

· Реализована возможность запрета неавторизованого трафика с самого сервера.

Bandwidth control (шейпер).

· Служба работает по любому трафику, проходящему через сервер. В том числе через прокси сервер и SOCKS.

· Ограничение индивидуальной скорости работы клиента с отдельной настройкой на прием и передачу.

· Динамическое ограничение - назначение суммарной максимальной скорости для группы, отдельно на прием и передачу.

· Ограничение по количеству пакетов. Полезная функция для предотвращения перегрузки сети при эпидемиях вирусов.

· Назначение в фильтрах типа трафика, который надо исключить из контроля.

· Выставление отдельных ограничений скорости для конкретного типа трафика.

· Выставление приоритетов на определенный тип трафика. Эта настройка позволяет менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками.

· Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки службы этой в зависимости от времени.

· При работе через прокси сервер имеется возможность настроить полосу отдельно для разного типа контента.

· Данные из кэша прокси сервера, а также с локального веб сервера (сервер статистики) ограничениям по скорости не подвергаются.

Advanced routing и перенаправление TCP-соединений.

Расширяет функции роутера Windows. Также эта функция известна как "policy routing" или "source routing".

· Перенаправление трафика через заданный внешний интерфейс для группы пользователей.

· Перенаправление трафика через заданный внешний интерфейс для пользователя индивидуально.

· Применение перенаправления для заданного типа трафика. При работе через прокси можно задать также тип HTTP контента.

· В фильтрах также можно задать в качестве условия факт перенаправления трафика.

· Реализован редирект исходящих от клиента TCP-соединений. Редирект удобно использовать, если в локальной сети есть сторонний прокси-сервер или требуется перенаправление клиента на другой интернет-ресурс.

Клиентский сервис.

С помощью специальной программы - клиентского агента - пользователь может самостоятельно:

· видеть текущий баланс, также можно настроить оповещение, когда средства на счету подходят к концу.

· переключать уровни фильтрации контента - работать в режиме "сбережения" трафика.

· переключать режимы кэширования прокси сервера. Это позволяет без проблем просматривать быстро обновляемые ресурсы, имея при этом хорошие показатели экономии трафика за счет кэширования.

· быстрый доступ в личный кабинет с помощью контекстного меню агента.

· менять пароль через агент. Администратор может отключить возможность смены пароля в Traffic Inspector.

· Несколько протоколов авторизации с помощью агента (UDP, HTTP, SSL). При возникновении проблем авторизации по UDP в WiFi сетях можно использовать HTTP или SSL.

· Встроеный Веб-агент во многом аналогичный по функционалу клиентскому агенту. Установка Веб-агента не требуется, т.к. он запускается из главной страницы встроеного Веб-сервера.

· Настраиваемые предупреждения в клиентском агенте о блокировке по лимитам групповых счетов.

Кроме того, администратор может разослать быстрое оповещение пользователям, у которых используется клиентский агент.

Встроенный веб сервер с поддержкой запуска скриптов и формирования динамического контента позволяет обеспечить клиентам доступ для просмотра различных отчетов по их работе. Этот сервис полностью задокументирован и может быть легко самостоятельно доработан.

Администрирование.

· Удаленное управление - для удаленного доступа используется стандартная технология DCOM, консоль управления выполнена как MMC Snap-In, что позволяет ее легко интегрировать с другими инструментами администратора.

· Ограничение доступа - можно задать группу администраторов в домене Windows или использовать встроенную аутентификацию по паролю.

· Распределение доступа - можно создать администраторов с ограниченными правами, например, только для добавления клиентов, только для пополнения счетов, только для работы с определенной группой клиентов.

· Мониторинг работы клиентов и сетевой статистики в реальном времени.

· Просмотр статистики клиентов и пополнение счета через веб-интерфейс.

· В случае, когда компьютеры клиентов не в сети Windows, клиенты могут самостоятельно загрузить или обновить агента через встроенный веб сервер.

· Автоматическое добавление клиентов - если сеть работает с доменом Windows. Также имеется возможность ограничить это для отдельной группы домена, а также сразу помещать новых клиентов в разные группы Traffic Inspector с привязкой к группам домена.

· Часть настроек клиентов программы доступна через веб интерфейс.

· Тройка активности по счетчикам.

· Тройка активности по клиентам.

Отчеты.

· Может быть сформировано несколько десятков видов разных отчетов трафику, билингу и сетевой статистике. Все отчеты могут быть импортированы и сохранены в различных видах и форматах - табличных и графических.

· Набор отчетов может быть расширен использованием интерфейса автоматизации.

Дополнительные плагины и программные продукты.

· Модуль защиты от нежелательной корреспонденции (спама) Traffic Inspector AntiSpam.

· Модуль удержания Dial-In и VPN соединений - RAS dialer.

· Модуль для работы провайдера Billing Operator.

· Антифишинговый модуль Phishing Blocker.

· Антирекламный модуль Adguard для Traffic Inspector.

· Антиврусные модули для проверки трафика, проходяшего через прокси и SMTP-шлюз программы на базе технологий Лаборатории Касперского, компании "Доктор Веб" и Panda Security.

Интерфейс автоматизации.

· Открытое API для сторонних разработчиков.

· Встроенная поддержка скриптов автоматизации.

· Сообщество разработчиков на форуме.

Минимальные системные требования:

· Процессор Intel Pentium 4 1.4 ГГц.

· 1024 Мб оперативной памяти.

· 400 Мб свободного места на жестком диске (для дальнейшей работы потребуется дополнительное место под файлы кэша и статистики).

· Монитор и видеоадаптер с разрешением 1024 на 768.

· Операционная система Microsoft Windows XP/2003/Vista/2008/7/2008 R2 или выше (ОС х86 и x64).

· Подключение к сети Интернет.

Возможности сервера с Traffic Inspector зависят от мощности используемого оборудования, но планируемая нагрузка при пропускании трафика через сервер не должна превышать следующих рекомендуемых значений:

· емкость сети не более 2000 абонентов;

· прохождение трафика через сервер не более 5000 пакетов в секунду.

Стоимость внедрения

Комплексное решение для организации доступа в Интернет, не требующее дорогостоящего оборудования, обеспечивающее учет, сетевую защиту, экономию трафика и рабочего времени, детальную статистику, управление загрузкой каналов и удаленный контроль.

При покупке не требуется переустанавливать программу, достаточно ввести полученный ключ активации. Под одной учетной записью в программе может быть авторизован пользователь, компьютер или несколько компьютеров по диапазону адресов.

Экономичный переход с аналогов.

Если Вы уже владеете каким-либо решением для организации, контроля и безопасности Интернет-доступа, то вы можете перейти на Traffic Inspector всего за 50% от его стоимости.

Таблица 1

Учетных записей	Цена, руб.	Цена за одну лицензию, руб.
5	4900	980	купить
10	8800	880	купить
15	11500	767	купить
20	14100	705	купить
25	16500	660	купить
30	18600	620	купить
40	22300	558	купить
50	25900	518	купить
75	32600	435	купить
100	38800	388	купить
150	48800	325	купить
200	55800	279	купить
Без лимита	64100	214	купить
Льготная	25640	85	купить

Масштаб нашего предприятия около 150 ПК, а значит соответствующая лицензия нам обойдется в 48800р. За 150 лицензий. (цены см. в «Таблица1»)

1.2 Kerio Winroute Firewall

ОПИСАНИЕ

Основная задача корпоративного межсетевого экрана - контроль входящего и исходящего сетевого трафика на соответствие корпоративной политике безопасности.

Kerio WinRoute Firewall обеспечивает возможность детального определения правил доступа для проверки всего интернет-трафика и приведения его в соответствие с корпоративной политикой безопасности. Мастер настройки сетевых правил помогает быстро установить и настроить файрвол.

Kerio WinRoute Firewall - это устойчивый сетевой брандмауэр, работающих на уровнях TDI/NDIS операционной системы. Технология глубинной проверки, применяемая при анализе входящего и исходящего трафиков, помогает обеспечить высочайший уровень безопасности для всей локальной сети, а также для отдельных компьютеров, работающих в сети.

функциональные возможности

Политика трафика

Безопасность Kerio WinRoute Firewall основана на правилах, применяемых к трафику, и позволяет настраивать в единой удобной таблице пакетные фильтры, NAT (трансляцию сетевых адресов), отображение портов и контроль доступа.

Встроенный мастер настройки существенно упрощает процесс создания и настройки необходимых сетевых правил. Настройка брандмауэра и подключение сети к интернет занимает буквально минуты.

Система предотвращения вторжений

Необходимым условием сертификации ICSA Labs сетевого файрвола является возможность распознавания хакерских атак и вторжений. Попытки всех подобных действий протоколируются в журнале безопасности.

Анти-спуфинг

Анти-спуфинг - это компонент пакетного фильтра Kerio WinRoute Firewall, обеспечивающий дополнительный уровень защиты для локальной сети против атак, при которых хакер применяет IP-адрес источника.

Журналы брандмауэра

Важная функция любого продукта, обеспечивающего безопасность систем - это возможность детальной записи происходящих событий.

Kerio WinRoute Firewall записывает события в нескольких различных журналах - сообщения об ошибках, отладочные события, настройки пользователя, статус, веб-серфинг, сканирование портов и т.д.

Ведение журнала может быть активировано для любого из правил, определенных в таблице правил трафика. Таким образом, администратор получает полный контроль над соединениями, устанавливаемыми через межсетевой экран.

Контроль протоколов

Данная функция позволяет отдельным приложениям с собственными протоколами (изначально не предполагающими наличие межсетевого экрана) безопасно работать в локальных сетях. Множество протоколов может быть просканировано, отфильтровано или модифицировано, что повышает общую надежность работы брандмауэра.

Kerio Winroute Firewall - Сервер и клиент VPN

Для всех современных деловых людей, путешествующих или работающих дома, защищенное подключение к корпоративной сети является необходимым условием. С помощью Kerio WinRoute Firewall установка виртуальной частной сети практически не требует усилий. Сервер и клиенты VPN являются составляющей частью возможностей Kerio WinRoute Firewa lпо безопасному удаленному доступу.

Использование Kerio VPN позволяет пользователям удаленно подключаться к ресурсам корпоративной сети, таким как файловые серверы, серверы баз данных или даже принтеры, которые обычно скрыты за межсетевым экраном и недоступны для использования вне офисной сети.

Сервер Kerio VPN

Встроенный в продукт Kerio WinRoute Firewall сервер VPN позволяет организовать VPN-сети по двум различным сценариям:

VPN клиент-сервер (используется Kerio VPN Client для Windows)

VPN сервер-сервер

Режим сервер-сервер применяется компаниями, которые желают подключить по защищенному каналу удаленного офиса для совместного использования общих ресурсов. Данный сценарий требует наличие Kerio WinRoute Firewall на каждой из соединяющихся сторон для установки защищенного канала через открытую сеть интернет.

VPN клиент-сервер

Режим клиент-сервер позволяет удаленному пользователю безопасно подключить к корпоративной сети ноутбук или настроенный ПК.

Kerio VPN Client

Клиент Kerio VPN Client - это небольшое приложение, работающее на стороне подключаемого ПК. Работает на Windows 2000 и выше.

Clientless SSL VPN

Kerio WinRoute Firewall 6.1 включает новую службу под названием Clientless SSL VPN, позволяющую удаленным клиентам получать доступ к общим файлам на серверах локальной сети с помощью обычного браузера. При этом установки специального клиентского программного обеспечения не требуется.

Преобразование NAT

Как известно администраторам, VPN и NAT (трансляция сетевых адресов) не всегда поддерживает совместную работу. Решение Kerio VPN разработано с целью надежной работы через NAT и даже через ряд шлюзов NAT.

Kerio VPN использует стандартные алгоритмы шифрования - SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP).

IPSec, Windows, и VPN сторонних производителей

В случаях, когда компания имеет некий стандарт на использование продуктов VPN, Kerio WinRoute Firewall включает поддержку протоколов IPSec и PPTP, позволяя использование различных решений сторонних производителей.

Также допустимо использовать возможности VPN, встроенные в Windows, что позволяет построить VPN сеть с помощью только средств Microsoft Windows и Kerio WinRoute Firewall. Никакое программное обеспечение сторонних производителей не требуется. Kerio WinRoute Firewall также поддерживает функционал RRAS, имеющийся в серверных редакциях операционных систем Microsoft Windows.

Kerio Winroute Firewall - Межсетевая защита от вирусов

Kerio WinRoute Firewall создает дополнительную межсетевую защиту от вирусов, проверяя как входящий, так и исходящий трафик:

- Электронная почта (SMTP и POP3)

- web (HTTP)

- пересылка файлов (FTP)

Для этого разработано две лицензированные версии:

1. Kerio WinRoute Firewall объединенный с McAfee Anti-Virus

2. Kerio WinRoute Firewall с другими программами для защиты от вирусов

Преимущества межсетевой защиты от вирусов

Защита от вирусов, установленная в локальной сети, обеспечивает полную защиту всего трафика. Администраторы могут использовать последние «образы» вирусов на шлюзе, что намного продуктивнее использования антивирусных программ на каждом компьютере.

Защита электронной почты от вирусов

Kerio WinRoute Firewall проверяет входящие и исходящие сообщения, а также все вложения. Обнаруженный в письме вирус удаляется. При обнаружении вируса во вложении, удаляется все вложение, а к письму добавляется уведомление.

Защита сети от вирусов

Kerio WinRoute Firewall проверяет весь сетевой трафик, включая HTML страницы, на встроенные вирусы. Также на вирусы проверяются файлы, загруженные через HTTP, и файлы, переданные по FTP протоколу.

Партнерство с компанией McAfee, Inc

Компания Kerio Technologies Inc. совместно с компанией McAfee, Inc. (Network Associates) создали межплатформенный программный продукт для защиты от вирусов для операционных систем Windows, Linux и Mac OS X. Kerio WinRoute Firewall, объединенный с McAfee, может получать обновления с новыми «образами» вирусов почти ежечасно.

Kerio WinRoute Firewall объединенный с McAfee Anti-Virus

Kerio WinRoute Firewall объединенный с McAfee Anti-Virus - это пакет программ, обеспечивающий полную межсетевую защиту от вирусов для всей сети.

В этом случае антивирусные настройки относятся только к межсетевой защите. Установка проста и последовательна, она не требует дополнительных настроек. Благодаря объединению программных продуктов, все элементы сервера - защита от вирусов и межсетевая защита - согласуются друг с другом.

McAfee AntiVirus производится компанией McAfee, Inc.

Kerio WinRoute Firewall с другими программами для защиты от вирусов

Kerio WinRoute Firewall может работать совместно с некоторыми антивирусными программными продуктами других производителей (см. Таблица 2): информационный корпоративный прокси сервер

Таблица 2

Antivirus	Vendor	Windows
AVG Server Edition	Grisoft	+
NOD32	Eset Software	+
eTrust Antivirus	Computer Associates	+
SAVI	Sophos	+
Symantec	Symantec	+
Avast! for Kerio	ALWIL Software	+
VisNetic AntiVirus	Deerfield	+



Фильтр ISS Orange Web Filter

Дополнительный компонент программного обеспечения Kerio WinRoute Firewall для защиты во время работы в Интернете.

Для организаций и таких учреждений, как например, школы, которые не хотят, чтоб их сотрудники и клиенты посещали определенные Интернет-страницы, Kerio WinRoute Firewall со встроенным фильтром ISS Orange Web Filter предлагает дополнительные возможности.

Фильтр ISS Orange Web Filter предлагает список из 58 категорий страниц, таких, как виртуальные магазины, новости, порнография, спорт или путешествия, которые могут блокироваться Kerio WinRoute Firewall.

Цена

Фильтр ISS Orange Web Filter продается как дополнительный компонент Kerio WinRoute Firewall.

Как работает этот фильтр

Программное обеспечение Kerio WinRoute Firewall удобное в работе, и различные группы пользователей могут иметь ограниченный доступ к различным сайтам.

Каждый раз, как только пользователь пытается зайти на какой-либо сайт, Kerio WinRoute Firewall проверяет базу данных ISS Orange Web Filter, не занесена ли эта страница в одну из категорий. Если занесена, то Kerio WinRoute Firewall автоматически перекрывает доступ к ней. Также можно предупредить пользователя о том, что о его действиях узнает администратор.

Полный охват

База данных фильтра ISS Orange Web Filter одна из крупнейших, в ней содержится более 4 миллиардов проверенных страниц и 20 миллионов пронумерованных и разнесенных по группам URL.

Если пользователь запрашивает страницу, которой нет в основной базе данных, ее URL передается в ISS, где он рассматривается в течение 24 часов.

Фильтр ISS Orange Web Filter обрабатывает страницы на 15 языках.

Высокая скорость

Kerio WinRoute Firewall с фильтром ISS Orange Web Filter кэширует URL в локальной базе данных. В основную базу данных занесены только URL, доступ к которым пользователи не имеют.

Основная база данных хранится на семи ISS серверах, расположенных по всему миру, что обеспечивает быстрые ответы.

Подробная статистика

Kerio WinRoute Firewall предоставляет подробную статистику сетевого трафика для каждого пользователя или для всей организации. Администратор может использовать эту статистику для выяснения предпочтений пользователя и определения стратегии использования сетевых ресурсов.

Kerio Winroute Firewall - Управление доступом пользователя

Главная задача обеспечения безопасности сети - разработка стратегии доступа в Интернет. Kerio WinRoute Firewall позволяет администраторам не только создавать общую стратегию использования трафика, но и устанавливать и применять ограничения для каждого пользователя.

Управление пользователями

В Kerio WinRoute Firewall понятие «пользователь» может означать следующее:

- Имя и пароль каждого пользователя

- Группа пользователей

- IP адрес или имя компьютера

- Вся сеть

Перед тем, как получить доступ в Интернет, каждый пользователь должен зарегистрироваться в Kerio WinRoute Firewall.

Управление пользователями с помощью внутренней базы данных пользователей

Учетные записи пользователей хранятся или в отдельной внутренней базе данных пользователей Kerio WinRoute Firewall, или же, если сеть велика, на удаленном сервере Microsoft Active Directory. С двумя этими базами данных можно работать одновременно.

Управление пользователями с помощью Active Directory

Являясь частью Windows 2000 Server, Active Directory позволяет администраторам централизованно управлять учетными записями пользователей и данными о сетевых ресурсах. Active Directory обеспечивает доступ к информации о пользователях с одного компьютера.

Поддержка Active Directory обеспечивает Kerio WinRoute Firewall доступ к базе данных пользователей в режиме реального времени и позволяет устанавливать пользователя в локальной сети без сохранения пароля. Таким образом, не нужно синхронизировать пароли для каждого пользователя. Все изменения в Microsoft Active Directory автоматически отражаются и в Kerio WinRoute Firewall.

Управление правом доступа

Администратор может установить различные ограничения на права доступа для каждого пользователя. Например, некоторые пользователи могут заходить только на внутренние страницы, другие могут работать только с электронной почтой. Эти права настраиваются только согласно определенному расписанию, поэтому их можно устанавливать только в определенные промежутки времени.

Ограничения на использование трафика

Некоторые пользователи закачивают много файлов, слушают радио через Интернет и пересылают друг другу домашнее видео. Часто, если один пользователь занимает слишком много трафика, это сказывается на качестве связи других пользователей.

Для того, чтобы усмирить таких пользователей, администратор может установить ограничения на использование трафика. Это могут быть:

- Ограничения на отправку, закачку или на то и другое.

- Ограничение на трафик за день или за месяц

- Любое сочетание первого и второго пунктов

Когда предел достигнут, Kerio WinRoute Firewall отправляет по электронной почте предупреждение пользователю и администратору. Или же администратор может заблокировать этого пользователя до конца дня или месяца.

Kerio Winroute Firewall - Администрирование

Statistics and Reporting (StaR)

Для отображения использования интернета сотрудниками можно использовать модуль StaR. Статистика отображается в виде графиков, показывающих расход трафика, не относящийся к рабочему процессу, нехватку ресурсов и другие вопросы. Отчеты содержат информацию о том, сколько трафика было использовано, основные посещаемые сайты и, в сочетании с опциональным модулем (IBM) ISS Orange Web Filter, процентное соотношение по наиболее посещаемым ресурсам по категориям. StaR можно использовать удаленно через браузер без необходимости авторизации в Консоли администрирования.

Удаленное администрирование

Системный администратор настраивает программу, управляет учетными записями пользователей и стратегией безопасности через консоль Kerio Administration Console. Ее можно установить на компьютере с уже установленной системой межсетевой защиты, или же на удаленном компьютере, подключенном к Интернету. Обмен данными между удаленной консолью и системой межсетевой защиты осуществляется по зашифрованному каналу.

Извещения по электронной почте

Иногда администратор не может уследить за всем, что происходит с системой межсетевой защиты. Программа Kerio WinRoute Firewall помогает отследить такие важные события, как отсоединение от сети, превышение трафика пользователя, обнаружение вируса или окончание срока действия лицензии.

О каждом таком событии администратору сообщается электронным письмом, при этом он сам может выбирать, о каких событиях его следует уведомлять.

Статистика и график использования трафика

Точная и продуманная статистика помогает администратору выяснить предпочтения пользователей при работе в Интернете, находить критические элементы и проблемы.

Kerio WinRoute Firewall формирует подробную гистограмму использования трафика для каждого пользователя в сети. Администратор может выбрать период, за который он хочет отследить использование трафика: 2 часа, 1 день, 1 неделя и 1 месяц.

Кроме того, Kerio WinRoute Firewall показывает статистику фактического использования трафика, по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

Если запустить фильтр ISS Orange Web Filter, Kerio WinRoute Firewall показывает, статистику посещения Интернет-страниц для каждого пользователя и для всей организации.

Характеристики работы программы

Используемые способы подключения к Интернету

Поддержка DSL, модемного соединения, ISDN, спутникового Интернета, соединения по dial-up и беспроводного Интернета позволяет устанавливать Kerio WinRoute Firewall в сетях любого размера в любом месте. Одно подключение могут использовать сразу несколько пользователей.

Обрыв соединения

Если Kerio WinRoute Firewall обнаруживает обрыв соединения, оно автоматически переходит на запасное. Для запасного соединения можно использовать любой сетевой или модемный адаптер.

NAT и прокси-сервер

Быстрый Интернет доступ благодаря двум различным технологиям: трансляция сетевых адресов (network address translation - NAT) и прокси-сервер.

Маршрутизатор NAT предоставляет доступ в Интеренет для всех компьютеров в локальной сети и работает почти с любым протоколом. При использовании NAT не требуется дополнительных настроек на каждом компьютере.

Прокси-Сервер используется как компьютер-клиент на удаленном сервере. Из-за сложности этой технологии, поддерживается лишь несколько протоколов. Правда, у нее есть такие функции, как аутентификация и контроль пользовательского доступа.

DNS механизм продвижения данных

Встроенный DNS механизм продвижения данных создает DNS запрос всякий раз, когда пользователь заходит на веб-сайт. Он отправляет этот запрос на выбранный DNS сервер и некоторое время хранит последние полученные результаты. Ответ на следующие друг за другом запросы приходит немедленно.

DHCP сервер

DHCP сервер присваивает параметры IP конфигурации каждому компьютеру в локальной сети, делая администрирование сети гораздо проще.

НТТР прокси кэш сервер

Встроенный НТТР прокси сервер кэширует содержание веб-страниц с большой скоростью. Kerio WinRoute Firewall хранит просмотренные страницы в локальном кэше лишь ограниченное время. Некоторые сайты, в виде исключения, могут совсем не кэшироваться.

Дозвон по команде

Если соединение устанавливается по dial-up, VPN, ISDN, PPPoE или любое другое соединение с использованием Службы Удаленного Доступа Windows' Remote Access Service (RAS), Kerio WinRoute Firewall подключается к Интернету сразу, как только пользователь отправляет запрос.

Kerio WinRoute Firewall автоматически начинает дозвон при первой попытке отправки данных (дозвон по команде) или по запросу, исходящему из Консоли Администратора Kerio WinRoute Firewall или сетевого интерфейса (ручной дозвон). Соединение также можно установить в определенное время (дозвон по расписанию).

Kerio Winroute Firewall - Передача голоса через IP

Всегда было трудно пользоваться IP-телефонией в сетях с межсетевой защитой, так как протокол VoIP плохо взаимодействует с этой технологией.

Kerio WinRoute Firewall работает с различным оборудованием и программным обеспечением на базе технологии VoIP, например, Cisco IP Phone 7960, IP SoftPhone, CallManager, Gatekeeper, SIP Proxy Server, Interactive Voice Response, голосовая почта Cisco Unity Voice Mail и т.д.

...