Главная » Linux

Аналоги usergate для windows

Содержание
  1. Аналоги usergate для windows
  2. А есть ли альтернатива прокси UserGate ?
  3. Обзор мирового и российского рынка прокси-серверов Secure Web Gateways (SWG)

Аналоги usergate для windows

Keper
squid можно и под виндами развернуть, а толку.
squid только http/ftp/https проксирует, NAT всё равно нужно разворачивать, либо средствами Windows, либо средствами Linux.
Pum@ . даже не прокси-сервер нужен, а система биллинга с шейпером, прикручивающиеся к NAT.

Pum@ .
Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper

Ещё кроме этих Kerio делает Kerio Winroute.

Ну и как правильно заметил Keper — Linux, только не плюс squid, а плюс какой-нибудь шейпер под linux.

Keper
А что и где прописывать в конфиге squid ты знаешь?

Мне лично неизвестно, как реализовать NAT средствами squid.

Попробуй в любой проксе забей на приём 80-й порт, забей в качестве основного шлюза адрес машины с прокси и указав в браузере прямое подключение к интернет. Попробуй выйти в интернет, без поднятого на машине с проксёй NAT — не получиться.

Keper
Я в курсе.
squid-то тут каким боком?
Для реализации NAT он не нужен.

Теоретически возможно весь трафик из локалки адресованный на сервера в интернет, на различные TCP и UDP порты. Завернуть на порт прослушиваемый squid.
Но это ничего даст, кроме того что интернет просто не будет работать.

Для решения поставленной Pum@ задачи под Linux, нужно поднять NAT (при помощи iptables) и ещё нужен какой-нибудь шейпер под Linux.

Под линукс тяжело: Нет отдельной машины, я туговат в этой операционной системе, да и не нужны много всяких функций и возможностей.

«Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper» А для чего связка?

«Ещё кроме этих Kerio делает Kerio Winroute.» Так всё же какой на ваш взгляд лучше в моём случае? Нужно только ограничивать скорость и пускать людей в интернет без мудростей, как я полагаю посредством NAT.

Pum@ .
Ну если Lan2net Traffic Shaper может работать в cвязке с Windows’овским NAT, без Lan2net NAT Firewall, то можно только Shaper. А NAT можно поднять и средствами самого Windows.

Понятия не имею. Мне никогда не нужен был шейпер.
Просто, когда для себя подбирал программу прокси-сервер, эти две программы мне запомнились тем, что в них реализован собственный NAT и они не используют NAT Windows, соответственно полномочия их шейпера распространяются не только на http/https/ftp — трафик, но и на трафик, который проходит на другие порты (от асек, почтовых клиентов и т.п.)

Собственно, если в качестве ОС на компе раздающем инет, будет Windows, тебе нужно либо искать прокси-сервер с собственным NAT (Наличие встроенного шейпера в таких проксях стандарт), либо шейпер, который может быть прикручен к NAT Windows.

Добавлено через 3 минуты

Если хочешь, чтобы было кэширование http/ftp-траффика, то только прокси с собственным NAT и возможностью работы в transporent (прозрачном) режиме.

тебе знать зачем ты его к нату приплёл.

Keper
Предложение NAT возникло из-за:

Его даже для браузера недостаточно.

80-й порт это только http, а есть ещё 21 — FTP и 443-й https.
Собственно, большинство проксей умеют обслуживать http/ftp/https-запросы — этого, как правило, достаточно для работы браузеров.

Однако, почтовые клиенты работают с другими портами обычно 25,110, аська работает через порт 5190.

Кроме того, если приложение настроено на работу с прокси сервером, его запрос отличается от запроса при прямом подключении.

В режиме «работа через прокси», приложение отправляет пакеты, в которых содержится доменное имя запрашиваемой страницы, причём пакеты адресованы на адрес:порт прокси в локальной сети.

В режиме «без прокси» приложение, сначала пытается отправить UDP-пакеты на DNS-сервер, прописанный в свойствах сетевого подключения.

И только после того, как DNS-сервер вернёт ip-адрес сервера, на котором находится запрашиваемая страница, отправляются пакеты на соответствующий ip-адрес:порт.

transporent-режим работы прокси, производит форвардинг DNS-запросов и перебрасывает пакеты из локалки, адресованные в интернет, как правило, на порты 80,21,443. Таким образом получается как бы NAT, только урезанный до обеспечения работы DNS и http/ftp/https. Но в таком режиме на браузерах клиентов действительно не нужно ничего настаивать.
Только в свойствах сетевого подключения прописать в качестве основного шлюза ip-адрес машины с прокси и также прописать адрес DNS-сервера. Однако, ни о какой работе ICQ и почтовых клиентов, при таких раскладах не может идти и речи.

Шейперы прокси, работают с трафиком, который проходит непосредственно через прокси. Если параллельно на машине с прокси поднят NAT средствами не имеющими никакого отношения к прокси (например средствами ОС), то транзитные пакеты будут проходить мимо прокси и шейпер прокси не может оказать на них никакого влияния.

А есть ли альтернатива прокси UserGate ?

Сидим на нем много лет — вроде ничего.
Сейчас на 4-ой версии.
Выписал счет на 5-ю и задумался.
В UserGate достало следующее:
1. Два сайта выдают ошибку 10060, хотя все остальные грузятся без проблем.
2. На клиентских компах не работает FTP.
Настроить не получается. Было время что работало, но как то само по себе слетело. Уж каких только галочек и НАТов не тыкал, уже сам запутался. Техподдержка помочь затрудняется. И вообще она дебильная стала. В письменном виде теперь. За день три письма туда три оттуда и сижу кукую жду ответа.

Интересует что нибудь коммерческое для небольшой организации.
Ну скажем на 20 компов.
Требования примерно такие:
Не очень дорогое 7-10-15-20 т.руб.
Нормальная круглосуточная (желательно) техподдержка.
Русский интерфейс.
Возможность делать назначения по портам (для почты разных провайдеров)
Работоспособность FTP на клиентских машинах.
Без глюков с разными там «банк-клиентами» и «Такскомами».
Не замудренная с понятным интерфейсом и не очень большим количеством галочек для заполнения 🙂

В принципе UserGate всем устраивал, но достали вышеуказанные глюки.

Мне нравится ZyWALL как раз то, что нужно.
Интерфейс вполне дружелюбный, аппаратура надежная, сервис — поддержка лояльная.

Во многих местах работает успешно. Много другого полезного функционала.

Сижу читаю про Керио, смотрю картинки, вопрос появился.

1. Он на русском бывает ?

2. У них в партнерах на сайте Entensys (UserGate который) прописан. И интерфейс очень похожий, только закладки в другом порядке — не одно ли это и то же окажется .

юзергейт всё таки прокси а керио всё таки NAT, полноценный

причем в обе стороны, как изнутри наружу, так (при желании) и взад ) подробнее:

т.е. можно прямой айпишник провайдера внешний — легко отобразить на любой комп во внутренней сети, чтобы этот комп — был доступен извне.

квотирование есть, зажим потока в случае оверквота тоже есь, статистику анализировать легко сторонними средствами

не соглашусь, у мня 2 компа как маршрутизаторы пашут на обоих пень 4 и 512 памяти, и стоит в качестве рутера — керио винроут файрвол 6.0.1 стародревний, и через них ходят просто ТОЛПЫ народа, и всё это с авторизацией доменной, квотированием, снятием отчетов и тд )

и никакого прокси, ходят как через NAT по шлюзу по умолчанию, маршрутится всё как нада )

в каждом компе по 2 сетевухи.
на одном из компов вообще отцеплено всё включая нетбиос, тока TCP/IP для инета, и все думают что это обычный роутер
а этот роутер собирает всю инфу кто куда лазил и тд )))
и потом на стол руководству

коммутаторы тоже дохнут ) вентиляторы останавливаются, блоки питания греются, и кирдык )

разница конечно в ресурсе есть, потому что коммутаторы менее термонагруженны

но дохлых коммутаторов вагон )

У вас не в этом проблема > Настроить не получается. Было время что работало, но как то само по себе слетело. Уж каких только галочек и НАТов не тыкал, уже сам запутался. Техподдержка помочь затрудняется. И вообще она дебильная стала. В письменном виде теперь. За день три письма туда три оттуда и сижу кукую жду ответа.

> В принципе UserGate всем устраивал, но достали вышеуказанные глюки.
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Не надо экономить на персонале. Наймите нормального админа на
почасовую/помесячную оплату и не занимайтесь ерундой. Надо не тыкать в галочки, а понимать как оно работает и что именно происходит. Решается это не сменой ПО.

Re: У вас не в этом проблема >Надо не тыкать в галочки, а понимать как оно работает и что >именно происходит. Решается это не сменой ПО.

Это я «образно» выразился.
А то я не понимаю как это работает.
Все я прекрасно понимаю, только ОНО не работает 🙂
Тут явный глюк. Возможно переход на 5-ю спасет.
А 4-ку они явно неохотно поддерживают.

На самом деле, если это сказано образно > >Надо не тыкать в галочки, а понимать как оно работает и что >именно происходит. Решается это не сменой ПО.
>
> Это я «образно» выразился.
> А то я не понимаю как это работает.
> Все я прекрасно понимаю, только ОНО не работает 🙂
> Тут явный глюк. Возможно переход на 5-ю спасет.
> А 4-ку они явно неохотно поддерживают.
+++++++++++++++++++++++++++++++++++++++++++++++++
То как бесплатное решение, я бы посоветовал взять какой-либо пакет
линуксовый из разряда «в одном флаконе». Наподобие ipcop, кларкконнект и т.п. Их довольно много. Для настройки и установки знания нужны минимальные, все необходимое к ним(что хочется, но нет в комплекте) прикрутить достаточно просто — почитать и подумать. А работает оно потом практически без какого-либо вмешательства годами. Все что можно сделать в юзергейте, можно сделать и там, но по-моему оно проще, быстрее и эффективнее.

Как платное, недорогой файрвол(dfl-260e, srx-100, zywall, microtik) за те же 12-15тыс, сделает все тоже
самое и точно так же потребует потом совсем минимального вмешательства в процессе эксплуатации, плюс куда надежнее компьютера по железу(меньше деталей и нет изнашиваемых частей)

спсб. Железки не очень хотелось. почитал. dfl-260e — нет привязки по МАК адресам.

srx-100 — дороговат, далее читать не стал.

zywall, microtik — тоже не понятно какую модель проверенную на личном опыте смотреть.

И если я правильно понимаю они «статистику» если и ведут то очень не долгую, и посмотреть где юзер сидел три месяца назад не выйдет ?

Не до конца почитал > dfl-260e — нет привязки по МАК адресам.
+++++++++++++++++++++++++++++++++++++++++
Есть привязка.

>
> srx-100 — дороговат, далее читать не стал.
+++++++++++++++++++++++++++++++++++++++++
Их как грязи народ продает в районе 8-10тыс,
потому как дороже не продать. Это как я хоть сейчас могу купить новый 860Е всего за 8тыс при цене в 16 — неликвид на вторичке.
>
> zywall, microtik — тоже не понятно какую модель проверенную на личном опыте смотреть.
++++++++++++++++++++++++++++++++++++++++
Тут я не скажу, я зюксели пользовал давно и не понравились,
а микротики в руки не попадали.

Cisco ASA5505 легко в тот же диапазон попадает.

>
> И если я правильно понимаю они «статистику» если и ведут то очень не долгую, и посмотреть где юзер сидел три месяца назад не выйдет ?
++++++++++++++++++++++++++++++++++++++++
Правильно. Они под это не заточены. Поднимается сислог сервер, данные перенаправляются на него и смотри хоть год назад где и кто сидел. Ес-но анализатор логов выбираешь себе сам. У зюкселя он был платный и красивый. Киви бесплатный и не очень красивый, для dfl тоже есть анализатор, условно бесплатный.

Читайте также:  Linux как bluetooth гарнитура

+100500 либо, если есть понимание, поставить Линукс-Фрю, настроить ручками и забыть, либо купить железку, с тем же самым линуксом внутри, только прошитым намертво.
В конце концов найти админа на день, настроить и опять же забыть.

Какие-то Юзергейты, какие-то обновления, исправлени, странные глюки. Зачем?

Обзор мирового и российского рынка прокси-серверов Secure Web Gateways (SWG)

14.07.2017 Обзоры 0 Комментариев 23920

На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.

Введение

В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.

Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14.04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.

В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.

Назначение и виды прокси-серверов

С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:

  • Контроль доступа и использования интернет-ресурсов пользователями. Позволяет ограничить доступ к различным сайтам; установить квотирование трафика, полосы пропускания, временные интервалы доступа, выполнить контентную фильтрацию (например, рекламы). Поддерживает ведение журналов регистрации действий пользователя в Сети, включая фиксацию даты, времени и просмотренного содержимого.
  • Повышение скорости доступа к ресурсам и экономия трафика с сохранением пропускной способности. Позволяет сжимать трафик и кэшировать данные. Загруженная из интернета информация может быть передана пользователю в сжатом виде. При обращении пользователя к какому-либо интернет-ресурсу прокси-сервер сохраняет копию просмотренных веб-страниц в локальном хранилище. При повторном обращении и после проверки отсутствия изменений на ресурсе прокси-сервер предоставит пользователю сохраненную копию из локального хранилища.
  • Обеспечение конфиденциальности пользователей для внешних ресурсов. Позволяет скрывать для внешних ресурсов сведения об истинном источнике запроса. Для внешнего ресурса в качестве источника запроса будет выступать прокси-сервер, а не конечный пользователь.
  • Защита внутренней сети организации от внешнего доступа. Позволяет организовать обращения к внешним ресурсам только через прокси-сервер. Тем самым исключается возможность обратного доступа со стороны внешних ресурсов непосредственно на рабочие места внутри организации (так как видеть они будут только прокси-сервер, а не конкретные рабочие места). Кроме того, может поддерживаться шифрование.

    На практике выделяют следующие основные типы прокси-серверов:

  • Шлюз (gateway), или прокси-сервер туннелирования (tunneling proxy) — к такому типу относятся прокси-серверы, которые передают запросы и ответы между пользователями и интернет-ресурсами без изменений.
  • Прямой прокси-сервер (forward proxy) — прокси-сервер, ориентированный на доступ пользователей к внешним ресурсам интернета. Прямые прокси-серверы, по большому счету, можно разделить на два основных вида: внутренние и открытые (open proxy). К внутренним относятся прокси-серверы, устанавливаемые на границе сетевой инфраструктуры организации для управления (ограничения) доступа внутренних пользователей к интернет-ресурсам. Открытые прокси-серверы — это серверы, доступ к которым может получить любой пользователь интернета. В Сети в открытом виде размещаются и поддерживаются в актуальном состоянии перечни таких open-proxy-серверов. Как правило, открытые прокси-серверы пользователями применяются для обхода ограничений доступа к внешним интернет-ресурсам и анонимизации. Одним из представителей такого средства анонимизации выступает Tor — система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. По поводу обеспечения им анонимности мы уже высказывали свое мнение в статье «Действительно ли браузер Tor обеспечивает полную анонимность?». В данном обзоре мы не рассматриваем открытые прокси-серверы.
  • Обратный прокси-сервер (reverse proxy) — прокси-сервер, в противоположность прямому, ориентированный на доступ внешних сотрудников к внутренним ресурсам организации через интернет.

    В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.

    Мировой рынок прокси-серверов

    Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:

    Рисунок 1. Магический квадрант Gartner для SWG

    В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.

    Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).

    Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.

    К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).

    Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.

    Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.

    По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.

    Российский рынок прокси-серверов

    Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.

    На российском рынке наиболее распространены продукты таких международных компаний, как Blue Coat (с недавних пор Symantec), Cisco, Forcepoint (Websense) и Trend Micro. Бесплатную альтернативу продуктам этих компаний предлагает Squid-cache.org. Все эти компании, по нашей оценке, можно считать лидерами рынка в России. Присутствуют на рынке также ContentKeeper, Sophos, Barracuda Networks, Kerio Technologies.

    Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.

    Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:

    SWG-продукты:

  • Check Point Next Generation Secure Web Gateway
  • Cisco Web Security Appliance (WSA)
  • Forcepoint Web Security (бывший Websense TRITON AP-WEB)
  • Smart Soft Traffic Inspector
  • Solar Dozor Web Proxy (Solar Security)
  • Symantec Corporation (Blue Coat) ProxySG
  • Trend Micro InterScan Web Security

    Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):

  • Entensys UserGate Web Filter
  • Fortinet FortiGate
  • Kerio Control
  • Интернет Контроль Сервер (компания «А-Реал Консалтинг», на основе open-source-решений)

    Бесплатные прокси-серверы:

  • Squid (open-source-решение)
  • 3proxy (open-source-решение)

    У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.

    Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.

    Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее. Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.

    Обзор SWG-продуктов

    Check Point Next Generation Secure Web Gateway

    Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.

  • Блокирование доступа к зараженным (вредоносным и фишинговым) сайтам.
  • Блокирование использования опасных веб-приложений или их отдельных функций (библиотека 4800 веб-приложений).
  • Возможность использования опционально доступной IPS-системы для предотвращения эксплуатации уязвимостей браузера и приложений.
  • Проверка защищенного SSL-трафика, позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
  • Фильтрация URL-адресов на основании категорий, пользователей, групп и устройств. Единые политики контроля для приложений и фильтрации URL.
  • Применение динамически обновляемого облачного сервиса ThreatCloud, который в режиме реального времени передает на интернет-шлюз информацию о новейших угрозах.
  • Гибкая система формирования и предоставления отчетов о часто используемых приложениях, посещаемых сайтах, детальной активности пользователей в интернете и многом другом.

    В качестве альтернативы этому продукту вендор предлагает Check Point Next Generation Firewall. Он выполняет контроль за идентификацией, блокирует или ограничивает использование приложений и виджетов для обмена сообщениями, сканирует передаваемые данные, а также обладает функционалом системы предотвращения вторжений (IPS). Этот продукт является одним из пакетов безопасности, поставляемых в составе программно-аппаратных комплексов.

    Cisco Web Security Appliance

    Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.

  • Функционирование в качестве прозрачного прокси и явного прокси (explicit proxy).
  • Возможность функционирования в качестве обратного прокси.
  • Применение для таких протоколов передачи данных, как: HTTP/HTTPs, SOCKS, FTP, FTP over HTTP, WCCP.
  • Проверка защищенного SSL-трафика. Позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, LDAP.
  • Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности. Поддерживается интеграция с Active Directory.
  • Кэширование данных.
  • Выполнение контентной фильтрации и категорирования интернет-ресурсов.
  • Возможность обеспечения оперативной и всесторонней защиты веб-сайтов с помощью Talos Security Intelligence.
  • Наличие встроенных функций предотвращения утечки данных (DLP).
  • Обнаружение вредоносного кода и рекламного программного обеспечения. Интеграция с платформой защиты от вредоносного кода, поддерживающей в том числе и запуск исследуемого файла в песочнице.
  • Настройка ограничений на доступ в интернет по времени и пропускной способности.
  • Контроль доступа пользователей в интернет. Позволяет в том числе блокировать не сайты целиком, а отдельные веб-приложения.
  • Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
  • Поддержка технологий сквозного контроля сетевого доступа Cisco TrustSec.
  • Защита и контроль мобильных пользователей.
  • Гибкий механизм формирования отчетности.
  • Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.
    Читайте также:  Не могу изменить настройки центра обновления windows

    Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства.

    Forcepoint Web Security

    Продукты Forcepoint (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.

    Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.

  • Применение в качестве прозрачного и явного прокси.
  • Применение в качестве обратного прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, FTP over HTTP. Фильтрация IM-протоколов: Jabber, Yahoo Mail Char/Messenger, MSN, Google Talk.
  • Кэширование данных. Возможность использования в качестве DNS proxy cache — позволяет обрабатывать DNS-запросы, уменьшая нагрузку на удаленные DNS-серверы и время отклика на запросы.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: LDAP, RADIUS, Novell eDirectoary, Windows Directory, Microsoft TMG.
  • Возможность настройки квотирования времени доступа к интернету и блокирования доступа на определенный период.
  • Контентная фильтрация и категорирование интернет-ресурсов (включая новые ресурсы). Поддержка протокола ICAP (Internet Content Adaptation Protocol).
  • Мониторинг веб-трафика посредством использования песочницы для исследования поведения с помощью анализа кода в реальном времени, направленного на идентификацию угроз.
  • Возможность взаимодействия с вышестоящим (родительским) прокси-сервером. Построение цепочки прокси-серверов.
  • Интеграция с DLP-системой Forcepoint DLP.
  • Наличие гибкого механизма формирования отчетности.

    Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.

    Smart-Soft Traffic Inspector

    «Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа. Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).

    Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.

    Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
  • Функционирует как прозрачный прокси.
  • Применение для таких протоколов, как HTTP/1.1 (поддержка FTP over HTTP, перенаправление SSL-соединений (метод HTTP CONNECT)), FTP, SOCKS 4/5.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2), по IP и MAC-адресам, VLan ID.
  • Гибкая настройка кэширования, включая индивидуальную настройку параметров кэширования для отдельных интернет-ресурсов.
  • Для фильтрации существует возможность указания типа контента, а также выполнения анализа протокола и URL вплоть до контекстного поиска с помощью регулярных выражений.
  • Контроль внешнего трафика посредством использования контролируемых счетчиков, описываемых в качестве IP-сетей.
  • Перенаправление HTTP-запросов на другой прокси-сервер (при использовании каскадной организации прокси-серверов) и блокирование HTTP-трафика, направляемого в обход прокси-сервера.
  • Ограничение индивидуальной скорости передачи и приема для каждого пользователя, группы пользователей.
  • Ограничение трафика по количеству пакетов (для предотвращения перегрузки сети).
  • Выставление отдельных ограничений скорости для конкретного типа трафика или исключения определенного типа трафика из состава контролируемых.
  • Выборочное включение записи в журнал регистрации всех запросов через прокси-сервер.
  • Запись сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.

    Подробнее о Traffic Inspector можно узнать здесь.

    Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.

    Solar Dozor Web Proxy

    Компания Solar Security предлагает продукт: «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy). Он предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб-ресурсов, а также для контроля использования сотрудниками ресурсов интернета. Защита обеспечивается комплексом мер, включая фильтрацию содержимого информационного обмена, осуществляемого по протоколам HTTP(s) и FTP over HTTP, авторизацию пользователей и протоколирование их действий.

    Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» («Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy))
  • Балансировка и отказоустойчивость. Возможность работы в распределенном режиме (продукт развернут на нескольких серверах).
  • Работа прокси в прозрачном режиме, в том числе при контроле HTTPS.Возможность прозрачного контроля шифрованного трафика (SSL-трафика). Расшифровка трафика выполняется по технологии Man-in-the-Middle.
  • Возможность разграничения прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos, IP-адреса. Поддерживается интеграция с Active Directory.
  • Организация фильтрации на основании более 30 параметров: членство в группе, URL или IP-адрес ресурса, ключевые слова, расписание, порты, протоколы, тип передаваемого файла, категории веб-сайтов.
  • Возможность использования для категоризации веб-ресурсов сторонних решений, например, Blue Coat или iAdmin, а также ведения локального списка категорий.
  • Возможность принудительного использования протокола HTTPs в случае его поддержки на стороне интернет-ресурса.
  • Возможность блокирования рекламных баннеров при помощи специальной базы adBlock.
  • Мониторинг деятельности пользователей в интернете и формирование сводных данных об их работе в виде разнообразных статистических отчетов (более 60 готовых шаблонов отчетов).
  • Возможность взаимодействия с вышестоящим (родительским) прокси-сервером.
  • Возможность интеграции с серверами антивирусов Symantec Scan Engine, DrWeb, Kaspersky Antivirus и ClamAv для защиты от вредоносных кодов, распространяемых через зараженные веб-сайты.
  • Контроль веб-запросов и интеграция с корпоративной DLP-системой Solar Dozor.

    Symantec ProxySG (Blue Coat ProxySG)

    Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).

    ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.

  • Функционирование в качестве прозрачного и явного прокси одновременно.
  • Возможность функционирования в качестве обратного прокси (Web Application Firewall бесплатный).
  • Контроль ненадлежащего использования интернет-ресурсов.
  • Применение для таких протоколов передачи данных, как: HTTP/HTTPs, CIFS, SSL, FTP, FTP-over-HTTP, MAPI, P2P, MMS, RTMP, RTSP, QuickTime, TCP-Tunnel, DNS, WCCP.
  • Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: на основании локальных списков пользователей; IWA (Basic, NTLM, Microsoft Kerberos), LDAP (Active Directory, eDirectory, SunOne), CA eTrust SiteMinder, Oracle Access Manager, RADIUS; применение сертификатов; поддержка SSO и прозрачной аутентификации, а также последовательная аутентификация в нескольких системах.
  • Сжатие и кэширование данных.
  • Управления сетевыми протоколами и полосой пропускания каналов связи.
  • Позволяет блокировать отдельные приложения и действия в этих приложениях (например, загрузку/выгрузку вложений в веб-почте или отправку писем или сообщений в социальных сетях).
  • Выполнение контентной фильтрации и категорирования интернет-ресурсов — BlueCoat WebFilter или BlueCoat Intelligence Services.
  • Аппаратное ускорение SSL-трафика. Контроль параметров SSL-соединений: валидности сертификатов серверов, версий протоколов шифрования SSL/TLS, шифрования и контроля целостности SSL/TLS-соединения (cipher suites). Функционал Encrypted TAP позволяет отдать расшифрованный *-over-SSL-трафик (HTTPS, IMAPS и т. д.) на анализ во внешнее устройство безопасности (например, песочницу) в раскрытом виде.
  • Использование фирменной операционной системы Blue Coat SGOS.
  • Интеграция с такими решениями Blue Coat, как Content Analysis System, Malware Analysis Appliance, SSL Visibility Appliance и Intelligent Services. Интеграция с этими продуктами позволяет значительно повысить уровень сетевой безопасности.
  • Возможность сбора статистической информации и формирования отчетов в отношении протоколов передачи данных (более 60 контролируемых параметров), а также для определения эффективности и активности рабочих мест пользователей.

    Trend Micro InterScan Web Security

    Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.

    Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).

  • Применение в качестве прозрачного моста и явного прокси.
  • Возможность применения в качестве обратного прокси.
  • Применение для мониторинга более чем 1000 интернет-протоколов и приложений, в числе которых: наиболее распространенные протоколы HTTP/HTTPs, FTP, приложения для мгновенного обмена сообщениями (мессенджеры), одноранговые сети (P2P), соцсети и потоковый медиаконтент.
  • Контентная фильтрация исходящего трафика с целью предотвращения утечки данных благодаря применению модуля защиты от утечек (DLP).
  • Мониторинг опасного контента, включая возможность расшифровки (полной или избирательной) HTTPs-трафика.
  • Настройка квотирования времени использования интернет-ресурсов (веб-активности пользователей).
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: IP-адрес, наименование хоста, LDAP.
  • Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
  • Категоризация и оценка репутации URL-адресов.
  • Поддержка интеграции со сторонними кэширующими и обычными прокси-серверами, а также сетевыми хранилищами по протоколам ICAP и WCCP, Syslog и SNMP.
  • Централизованное управление распределенными шлюзами.
  • Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.
    Читайте также:  Многозадачность windows 10 комбинация клавиш

    Обзор продуктов других производителей — в качестве альтернативы SWG

    Entensys UserGate Web Filter

    Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.

    Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др.), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
  • Обеспечение высокоточной URL-фильтрации. Морфологический анализ контента в реальном времени. Веб-фильтрация осуществляется на уровне обработки DNS- и HTTP-/HTTPs- запросов. Контентная фильтрация обеспечивается на основании технологии Deep Content Inspection (DCI).
  • Блокировка сторонней баннерной рекламы, приложений для социальных сетей.
  • Обеспечение безопасного поиска. Включает возможность принудительной активации «безопасного режима» в популярных поисковых системах и на YouTube.
  • Поддержка запросов на фильтрацию по ICAP-протоколу от любого внешнего прокси-сервера или сетевого шлюза.
  • Контроль, фиксация (журналирование) и анализ посещаемые пользователем интернет-ресурсы.
  • Антивирусная защита посредством применения собственного облачного антивируса, осуществляющего эффективную проверку трафика в режиме реального времени.
  • Работа прокси в прозрачном режиме.
  • Возможность контроля/фильтрации шифрованного трафика (HTTPs/SSL-трафика) посредством применения технологии подмены сертификата (trusted man-in-the-middle — MitM).
  • Блокировка IP-адресов ботнет-сетей посредством применения репутации адресов.
  • Поддержка работы с черными и белыми списками ресурсов.
  • Кэширование загружаемого контента.

    Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине.

    Fortinet FortiGate

    Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.

    Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.

  • Функционирует в режиме Sniffer и как прозрачный прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, SMTP/ SMTPs, POP3/ POP3s, IM.
  • Настройка ограничения по времени доступа в интернет.
  • Контентная фильтрация. Возможность создания собственных категорий фильтрации.
  • Настройка балансировки нагрузки. Настройка правил трансляции адресов.
  • Возможность использования функциональности DLP-решений.
  • Временная блокировка IP-адреса сервера (атакующего/атакуемого) или интерфейса с помощью функционала обнаружения и предотвращения вторжений (IPS).
  • Настройка записи в журнал доступа к выбранным категориям веб-сайтов.
  • Хранение журналов событий и копии трафика. Формирование отчетов (по запросу и по расписанию) на основе собранной информации.
  • Собственная операционная система FortiOS.

    Kerio Control

    Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).

    Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.

  • Функционирует как обратный прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos.
  • Настройка ограничения по количеству подключений и временному интервалу.
  • Поддержка трансляции префикса сети для протокола IPv6.
  • Балансировка нагрузки между несколькими интернет-каналами с автоматическим переключением активного канала.
  • Возможность обеспечения гарантированной скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS) и ограничения скорости передачи данных для трафика низкой важности.
  • Настройка квотирования: объема передаваемых данных пользователями, полосы пропускания и скорости передачи данных.
  • Возможность блокирования P2P-соединений.
  • Контентная фильтрация на основании временных интервалов, имен пользователей, приложений, веб-категорий, URL-групп, типов файлов. В том числе поддерживается применение регулярных выражений в отношении URL-правил.

    Интернет Контроль Сервер

    Компания «А-Реал Консалтинг» разрабатывает собственный продукт Интернет Контроль Сервер (далее — ИКС). Это комплексное решение, представляющее собой интернет-шлюз. ИКС может использоваться в качестве прокси-сервера и осуществляет сжатие данных, кэширование веб-страниц и объектов, скачанных из сети, защиту NAT, управление сетевой подсистемой, взаимодействие с вышестоящим (родительским) прокси-сервером, блокировку доступа пользователей к определенным URL-адресам. Возможно применение ИКС в качестве прозрачного прокси в случае отсутствия авторизации пользователей по логину/паролю, а также применение для протоколов HTTP/HTTPs, SOCKS.

    Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия 19.04.2012 – 19.04.2018).

  • Регистрация Программного межсетевого экрана Интернет Контроль Сервер в Едином реестре российских программ для электронных вычислительных машин и баз данных.
  • Возможность объединения серверов в кластер и централизованное управление.
  • Система обнаружения вторжений Suricata.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по пользователям, IP-адресам, имени/паролю, через Active Directory, программу-агента, VPN-соединение (PPPoE, PPTP).
  • Поддержка функций брандмауэра и фильтрации содержимого (Layer 7-фильтрация, контент-анализ с помощью категорий трафика SkyDNS и KWF, категоризация сайтов).
  • Широкие возможности сетевых сервисов (файловый, почтовый, web-, ftp-, jabber-серверы, ip-телефония).
  • Учет трафика и формирование детальной статистики по обращениям пользователей к интернет-ресурсам.
  • Интеграция с антивирусами ClamAv, DrWeb и Kaspersky Antivirus.
  • Использование встроенной операционной системы. Дополнительное программное обеспечение не требуется.

    Обзор бесплатных прокси-серверов

    Squid

    Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.

    Может быть развернут на UNIX-подобных системах и на операционных системах Windows.

  • Бесплатный.
  • Использование в качестве прозрачного прокси-сервера в сочетании с некоторыми межсетевыми экранами и маршрутизаторами.
  • Использование в качестве обратного прокси-сервера. В данном режиме предоставляется возможность распределения запросов между несколькими серверами, тем самым осуществляется балансировка нагрузки и обеспечивается отказоустойчивость.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, Gopher.
  • Возможность интеграции с Active Directory.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по IP-адресу (или доменному имени узла), по логину/паролю, по идентификатору используемого браузера.
  • Возможность ограничения максимальной скорости получения данных пользователем. Данная возможность реализована посредством механизма пулов задержки (delay pools).
  • Кэширование запросов пользователей.
  • Ограничение доступа пользователей к запрещенным ресурсам (или организация доступа только к разрешенным ресурсам). Контроль времени доступа.
  • Фильтрация (перенаправление) запросов пользователей к баннерам и счетчикам.

    3proxy

    Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:

  • В виде набора отдельных модулей: proxy, socks, pop3p, tcppm, udppm.
  • В виде универсального прокси-сервера (3proxy). Универсальный прокси-сервер представляет собой законченную программу, не требующую отдельных модулей.

    В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).

  • Бесплатный.
  • Небольшой по объему в силу отсутствия графического интерфейса. Вся настройка осуществляется с помощью создания и модификации конфигурационного файла.
  • Функционирует как прозрачный прокси-сервер.
  • Возможно применение в качестве обратного прокси-сервера (режим connect back).
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, SOCKS v4/5, POP3, SMTP, IM-протоколов (AIM/ICQ, MSN).
  • Применение в качестве кэширующего DNS-прокси.
  • Ограничение доступа пользователей к веб-ресурсам с помощью списков доступа, формируемых на основании логинов пользователей, списка сетей (IP-адреса и маски), списка портов. Список пользователей формируется на основании логина (имени) пользователя и пароля (включая тип пароля).
  • Управление шириной потребляемого канала.
  • Квотирование трафика (по дням, неделям, месяцам) и скорости приема данных.
  • Перенаправление соединений на другой прокси-сервер (при использовании каскадной организации прокси-серверов).
  • Поддержка IPv6.

    Выводы

    Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.

    На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:

  • Entensys — решения Entensys UserGate Web Filter и Entensys UserGate UTM.
  • «А-Реал Консалтинг» — решение «Программный межсетевой экран «Интернет Контроль Сервер».
  • «Смарт-Софт» — решение Traffic Inspector (Traffic Inspector GOLD, Traffic Inspector FSTEC, Traffic Inspector Enterprise, Traffic Inspector Next Generation).
  • Solar Security — решение «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy).

    Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:

  • Ограничение доступа к ресурсам.
  • Квотирование трафика, полосы пропускания, временных интервалов доступа.
  • Контентная фильтрация (например, рекламные баннеры).
  • Сбор статистической информации о действиях пользователей в интернете (фиксация даты, времени и просмотренного содержимого).
  • Сжатие трафика и кэширование данных.
  • Сокрытие для внешних ресурсов сведений об истинном источнике запроса.
  • Разграничения прав доступа к ресурсам посредством различных механизмов аутентификации (авторизации).

    Отличия рассмотренных продуктов проявляются в следующем:

  • Способ подключения: в качестве прозрачного или обратного прокси, а некоторые могут использоваться в обоих режимах.
  • Наличие кэширования данных и способы его организации: в виде файлов или баз данных.
  • Механизмы аутентификации/авторизации: basic, NTLM, Kerberos, по IP-адресу, по логину/паролю, по результатам подзапроса, идентификатору используемого браузера, VLan ID.
  • Поддерживаемые протоколы: HTTP/HTTPs (поддержка FTP over HTTP), FTP, SOCKS 4/5, POP3, SMTP, SIP и H.323, TCP и UDP, Gopher.
  • Поддерживаемые платформы для установки прокси-сервера: физическая или виртуальная машина, UNIX-подобные системы, операционные системы Windows и macOS, собственная ОС, встроенная в продукт и не требующая установки дополнительного программного обеспечения.
  • Способах поставки: программные, программно-аппаратные решения.
  • Возможности взаимодействия с вышестоящими (родительскими) прокси-серверами.
  • Стоимости: бесплатные (Squid), платные — стоимость зависит от вида подписки (лицензии).
  • Возможность интеграции с DLP-системами из коробки по стандартным протоколам.

    В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.

    • Оцените статью
    © 2024 Советы по настройке компьютера