Сегодня на рынке имеется достаточное количество proxy-серверов, обладающих различными возможностями. Одни решения предоставляются бесплатно, за право пользования другими необходимо заплатить. И здесь перед администратором, который занимается вопросом предоставления общего доступа в Internet, возникает дилемма. Что лучше, заплатить деньги за коммерческий продукт или же воспользоваться бесплатной программой? Предлагаю не заниматься отвлеченным рассуждениями, а рассмотреть практические шаги. Ведь понять, какая программа вам подойдет больше, достаточно просто. Необходимо определить круг задач, которые предполагается решить с помощью продукта, и сравнить функциональность бесплатного и коммерческого вариантов.

FreeProxy

В качестве примера бесплатного proxy-сервера можно взять программу FreeProxy (см. экран 1). Сразу отметим, что это один из лучших представителей своего класса. Данный продукт обладает действительно широкими (для бесплатного продукта) функциональными возможностями, что по большому счету редкость. Большинство бесплатных proxy-серверов обладают минимальной функциональностью. А по мере добавления ценных функций переходят в разряд коммерческих.

Диалоговое окно FreeProxy

Итак, что же собой представляет FreeProxy? Это proxy-сервер с поддержкой протоколов HTTP, FTP, SMTP, POP, NNTP и других. С его помощью можно регулировать просмотр Web-страниц, загрузку файлов, работу с почтовыми ящиками, общение в ICQ и т. п. То есть отслеживать все действия, типичные при использовании Internet. В этом proxy-сервере реализована также поддержка туннелирования TCP и технологии SOCKS5.

Учетные записи пользователей, зарегистрированные в программе FreeProxy, могут быть разбиты на группы для более удобного управления. Причем в proxy-сервере реализована возможность загрузки информации из Active Directory. Для аутентификации пользователей могут применяться различные технологии, в частности авторизация через HTTP с использованием методов Basic или Digest, а также авторизация по NTLM.

В данном proxy-сервере реализованы некоторые возможности для реализации политики доступа пользователей в Internet. В частности, администратор может указать время доступности глобальной сети, определить круг сайтов, на которые разрешен доступ только некоторым группам или пользователям, ввести расписание работы с некоторыми сайтами, создать черный список IP-адресов и Web-порталов, доступ к которым закрыт полностью.

FreeProxy ведет статистику работы и для удобства администратора может генерировать различные отчеты. Всего их четыре: отчет по нарушениям политики доступа, подробный журнал доступа к сайтам, суммарный отчет по каждому пользователю и отчет по ошибкам. Этого, конечно, недостаточно для полного контроля реализации политики использования Internet, однако отчеты могут пригодиться для выявления многих нарушений.

Помимо этого, в рассматриваемом продукте реализован целый ряд дополнительных функций. Среди них стоит отметить, например, автоматическое подключение и отключение от Internet по расписанию, удаленный доступ к статистике работы пользователей, работа в составе каскада proxy-серверов, кэширование Web-страниц и т. п. Отдельно стоит упомянуть о простом Web-сервере, включенном в состав FreeProxy. С его помощью можно создать на базе Internet-шлюза небольшой сайт, доступный либо только из локальной сети, либо и из локальной сети и Internet.

В завершение стоит отметить, что рассмотренный proxy-сервер разработан за рубежом, а потому обладает англоязычными интерфейсом и справочной системой. И это еще не все. Общаться с разработчиками (технической поддержки, как вы понимаете, нет) в случае возникновения проблем также придется на английском языке.

UserGate

Переходя к разбору коммерческого продукта, мы прежде всего ожидаем, что он должен обладать более широкими функциональными возможностями. UserGate, proxy-сервер от российской компании Entensys, представляет собой многофункциональную систему организации общего доступа в Internet (см. экран 2). В ней реализованы механизмы обеспечения безопасности локальной сети, фильтрации и полного контроля использования глобальной сети.

Диалоговое окно UserGate

Для «раздачи» Internet на компьютеры локальной сети в этой программе может использоваться один из трех режимов работы: как обычный proxy-сервер, как прозрачный proxy-сервер (при его использовании не требуется настройка каждой программы, которая подключается к Internet на компьютерах пользователей) и как сервер NAT (что обеспечивает существенно большую производительность). Кроме того, в UserGate есть поддержка назначения портов — рort mapping. В сумме это позволяет организовать доступ к Internet практически любых приложений, начиная от браузеров и почтовых клиентов и заканчивая специализированными решениями. Отдельно стоит отметить поддержку программой UserGate протоколов SIP и H323, используемых в системах IP-телефонии, и возможность ее работы в качестве VoIP-шлюза.

В рассматриваемом proxy-сервере реализованы гибкие возможности по управлению учетными записями пользователей. Все они могут быть объединены в группы. Это обеспечивает удобную и простую настройку политики доступа даже в том случае, если счет клиентов идет на десятки и сотни. Авторизация пользователей на сервере может осуществляться разными способами. Для этого в UserGate реализована поддержка нескольких технологий: автоматическая авторизация по IP-адресу или связке IP-адрес плюс MAC-адрес, HTTP-авторизация с вводом имени и пароля, использование авторизации в Windows и в Active Directory (в программе реализована функция импорта учетных записей пользователей из Active Directory).

UserGate позволяет реализовывать сколь угодно сложную политику использования Internet. Так, например, администратор может установить лимит суточного и месячного трафика, прописать конкретные сайты (просто указав часть адреса) и IP-адреса, доступ к которым будет закрыт и т. п. Помимо этого, в рассматриваемом proxy-сервере предусмотрена функция динамического распределения полосы пропускания Internet-канала по протоколам или пользователям, что позволяет выделить гарантированную полосу под трафик определенного типа или для работы некоторых сотрудников. Благодаря такому подходу можно избежать таких ситуаций, когда некоторые пользователи начинают активно загружать файлы из Internet, практически блокируя работу своих соседей. Можно организовать и другие ограничения, в частности разрешить или запретить отдельным абонентам или целым группам доступ к тем или иным протоколам, загрузку файлов определенного разрешения, просмотр флэш-роликов, настроить расписание работы и т. п.

Отдельного упоминания заслуживают реализованные в UserGate модули BrightCloud Service и BrightCloud Master Database. Они представляют собой систему фильтрации сайтов, в базе которой содержатся сотни миллионов Web-страниц, разбитых по 70 категориям. Наличие таких баз дает два преимущества. Во-первых, можно запрещать пользователям просмотр сайтов определенных категорий. Эта функция может использоваться для защиты детей от опасностей глобальной сети, для повышения безопасности локальной сети (на потенциально опасных сайтах часто встречаются троянские кони и вирусы), а также для увеличения производительности сотрудников (запрет доступа к развлекательным сайтам, социальным сетям и т. п.). Во-вторых, благодаря системе BrightCloud программа может отображать в отчетах данные о посещении сайтов различных категорий каждым пользователем в отдельности. Эта информация наверняка пригодится руководителям организаций, так как может свидетельствовать о нарушениях политики использования Internet.

Естественно, программа UserGate ведет полный журнал работы всех пользователей. При этом администратор может просматривать информацию в виде отчетов за любой период времени. Данные могут выводиться как суммарно, так и отдельно по каждому пользователю. Работать со статистикой можно как с помощью специального программного клиента (удаленно, но в пределах локальной сети), так и с помощью Web-модуля статистики (обеспечивающего просмотр информации через Internet). Стоит отметить, что в программе реализовано разделение прав пользователей на просмотр информации. В частности, можно разрешить пользователям обращаться к своей статистике, но запретить им доступ к другим данным. В случае если на клиентских компьютерах установлен специальный модуль сетевого экрана (подробнее о нем чуть позже), в статистике, помимо прочего, будет собираться информация о трафике, затраченном разными приложениями, и о запросах на подключение к Internet от программ, которым запрещен выход в Internet.

В плане безопасности разработчики UserGate реализовали в proxy-сервере инструменты для защиты локальной сети и ее пользователей от злоумышленников. И в первую очередь это встроенный антивирус. Точнее, два антивирусных ядра — от «Лаборатории Касперского» и компании Panda Security. Причем оба ядра могут работать как отдельно друг от друга, так и одновременно, последовательно проверяя весь поступающий трафик, выявляя в нем вредоносный код и удаляя его. То есть фактически речь идет о полноценной антивирусной защите внешнего периметра локальной сети.

Второй инструмент, призванный обеспечить безопасность пользователей, — сетевой экран. Это специальный клиентский модуль, который устанавливается на компьютерах конечных пользователей. Его можно назвать «брандмауэром для приложений». Установленный на компьютере, он может разрешать определенным программам работать в Internet и блокировать все попытки доступа остальных программ. Важно, что управлять всеми клиентскими модулями, установленными на компьютеры пользователей, можно централизованно. Это позволяет реализовать единую политику безопасности в пределах локальной сети — администратор может централизованно указывать, каким приложениям разрешено выходить в Internet, а каким нет.

Говоря о UserGate, нельзя не упомянуть и о реализованной в этом proxy-сервере биллинговой системе. Она основывается на заданных правилах и тарифах и автоматически «переводит» занятый пользователем трафик в денежное выражение. Причем правила, указываемые в тарифах, очень гибки. С их помощью можно указать зависимость стоимости трафика от сайта, с которого он идет, времени суток и дня недели. Причем для каждого пользователя в отдельности или для групп можно создавать свои тарифы.

Помимо этого, в proxy-сервере UserGate реализовано немало дополнительных возможностей. К ним относится кэширование информации по протоколам HTTP и FTP для уменьшения загрузки канала Internet и экономии трафика, планировщик заданий, гибкий генератор отчетов с экспортом информации в приложения Excel, OpenOffice Calc и формат HTML, встроенный Web-сервер, модуль UserGate Cache Explorer для просмотра кэша и многое другое.

За что стоит платить?

Итак, мы рассмотрели два proxy-сервера — свободно распространяемый и коммерческий. Какой из них лучше? Однозначно ответить на этот вопрос нельзя. Все зависит от того, под какую задачу выбирается продукт. В принципе оба решения позволяют организовать общее использование всех основных возможностей Internet, включая чтение почты, посещение сайтов, общение в ICQ и т. п. В UserGate реализована технология NAT, механизм прозрачного proxy-сервера и больше способов авторизации пользователей. В сумме они обеспечивают большую производительность и более удобную настройку рабочих систем клиентов. Кроме того, в этом продукте предусмотрена поддержка технологий VoIP.

Примерно то же самое можно сказать и о реализации политики доступа к Internet. В принципе во FreeProxy есть все основные возможности для управления пользователями. Однако некоторым администратором наверняка будет не хватать ряда возможностей, например установки суточного и месячного лимита потребления.

Кроме того, в UserGate есть целый ряд «дополнительных» возможностей, которые могут оказать существенную помощь. Самыми важными из них являются механизмы обеспечения безопасности локальной сети от Internet-угроз — антивирус и сетевой экран. Также при решении целого ряда задач могут оказаться весьма полезными такие функции, как возможность запрета доступа к сайтам по категориям и встроенный биллинг.

Таким образом, можно сделать следующий вывод. Программа FreeProxy может успешно использоваться в небольших «некоммерческих» сетях. Например, с ее помощью можно организовать общий доступ к Internet в школьных кабинетах информатики. Другой пример — «квартирные» сети. Сегодня во многих семьях у детей есть собственные компьютеры. Подключение их к глобальной сети с помощью данного proxy-сервера позволит родителям управлять доступом ребенка к Internet и контролировать его действия.

Proxy-сервер UserGate больше подходит для коммерческих компаний, а также крупных некоммерческих организаций. И дело здесь даже не только в том, что он обеспечивает большую производительность. UserGate позволяет сократить расходы на оплату трафика в Internet и обслуживание системы доступа, увеличить производительность работы сотрудников (за счет надежной реализации политики использования глобальной сети). Кроме того, нельзя забывать и об увеличении степени защиты корпоративной сети от вторжений извне.

Марат Давлетханов (marat@maratd.ru)