Настройки для офисной сети | |
Организация доступа в офисной сети осуществляется через NAT или прокси сервер, в этом случаи клиенты остаются внутри локальной сети и имеют внутренние IP адреса, раздача IP адресов в сети осуществляется либо принудительным назначением статического IP адреса на сетевой карте. Либо с помощью сервера DHCP путем назначения динамического IP адреса, в таком случаи авторизацию необходимо с помощью логина и пароля.
Простейший вариант - один внутренний сегмент и сервер имеет 2 интерфейса - внешний и внутренний.
Конфигурация Трафик Инспектора в сети осуществляется следующим образом:
После инсталляции программы необходимо запустить мастер конфигурирования. Для этого щелкаем правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выбираем пункт Конфигурирование. Далее следует определиться с параметрами конфигурации:
a) В мастере конфигурирования:
1) Выбираем "Используется внутренняя и внешняя сеть". Нажимаем далее.
2) Далее указываем интерфейсы внутренней (локальной) сети. Нажимаем далее.
3) Выбираем тип внутренней сети, на локальном интерфейсе убираем галку публичная сеть. Нажимаем далее.
4) Следующий пункт мастера конфигурирования "Работа с RAS сервером" пропускаем. Нажимаем далее.
5) Выбираем порт прокси и SOCKS сервера (по умолчанию порт для прокси 8080, SOCKS 1080). Менять порты следует в том случае, если порт уже занят другим приложением (например на порту 8080 может находится внутренний сайт). Нажимаем далее.
6) Выбираем интерфейсы внешней сети (подключенной к провайдеру). Нажимаем далее.
7) Обязательно включаем внешний сетевой экран, выбираем интерфейсы где будет работать сетевая защита. Нажимаем далее.
8) Если прием и передача данных осуществляется через разные интерфейсы, например для спутникового подключения, выбираем интерфейс для приема и передачи данных. Включаем функцию Advanced routing, если предполагается маршрутизировать сети по разным каналам. Например часть трафика пустить по одному каналу, часть по другому. Нажимаем далее.
9) Если требуется учет почтового трафика для офиса, в мастере конфигурирования включаем SMTP шлюз и настраиваем пересылку почты на внутренний почтовый сервер. В свойствах клиента, на вкладке Авторизация необходимо прописать, email адреса клиента, можно воспользоваться функцией: Загрузить из AD, что позволяет загружать список почтовых адресов из Active Directory. (офисная сеть должна быть построена на доменной структуре с использованием Active Directory). Почтовый шлюз трафик инспектора позволяет работать с "белыми" или "черными" списками IP адресов и службами RBL (Open Relay Database) в интернете. Что особенно эффективно для ограничения и экономии входящего почтового трафика путем фильтрации от спама (рекламной рассылки). Нажимаем далее.
10) Выбираем режим использования DNS, обычно ставиться нормальный. Нажимаем далее.
Для удобства мониторинга работы SMTP шлюза включите оповещение для администраторов, для этого:
1) Зайдите в свойства SMTP службы, перейдите на вкладку Оповещение, введите адреса списка рассылки.
Конфигурирование Трафик Инспектора на этом этапе завершено.
б) Далее выбираем пункт активация, для этого щелкаем правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выбираем пункт Активация и проводим активацию программы.
в) Далее необходимо установить права доступа к консоли управления Трафик инспектора, для этого заходим в пункт Администрирование далее выбираем Группы, Администраторы. Заходим в свойства пользователя по умолчанию */*, выбираем логин или группу локальную, или из домена для доступа к консоли. Теперь доступ к консоли управления Трафик Инспектора смогут получить только члены выбранной Windows группы. Подробнее о организации доступа к Консоли управления читайте в разделе справки Администрирование и разграничение доступа.
г) Далее следует произвести правильное конфигурирование прокси сервера, прокси позволяет снизить затраты на трафик до 30%.
Конфигурирование прокси сервера:
1) Переходим в пункт консоли Traffic Inspector\Прокси сервер, нажмите на кнопку обслуживание кэша.
2) Указать размер прокси кэша и путь для хранения базы данных. Если клиентов в сети много, для увеличения производительности имеет смысл устанавливать операционную систему на одном диске а базу данных кэша хранить на другом.
3) Создать хотя бы одно правило кэширования.
д) Далее следует завести новых пользователей и группы с помощью консоли управления. На группах или отдельных пользователях можно запретить работу конкретных служб например: NAT, socks, proxy для клиентов. Также устанавливать разграничение доступа по времени. Для этого следует:
1) Зайти в раздел консоли Группы.
2) Нажмите свойства Группы, на вкладке Авторизация поставьте галки Разрешить с агента и Разрешить с HTTP прокси - это позволит пользователям авторизоваться с агента и через прокси сервер.
3) Создайте Группу.
4) Создайте пользователей, для этого щелкните правой кнопкой в поле группы, в контекстном меню выберите пункт Добавить пользователя, на вкладке Авторизация, в поле логин введите логин пользователя и пароль (для аутентификации средствами Трафик Инспектора, если используется доменная аутентификация, логин вводится в формате domainname\username, пароль при доменной аутентификации вводить не требуется.
5) Зайдите в свойства нового пользователя, на вкладке Доступ задайте тип доступа, Автоотключение или Безлимитный.
6) На вкладке ограничения можно задать некие ограничения для клиента - это разрешить или запретить работу через NAT, Proxy, Socks сервер. Если требуется возможно установить разрешение доступа по времени для этого переходим на вкладку Расписание.
Если в локальной сети есть выделенные сервера например почтовый сервер или сервер www, создайте для них в консоли управления Новую группу, авторизация для серверов следует производить по IP или MAC адресу, для этого создайте Нового клиента, перейдите на вкладку Авторизация, в поле IP пропишите IP адрес сервера, для определения MAC адреса нажмите кнопку Определить. Перейдите на вкладку Доступ, выделенные сервера, работающие с Интернет, подключайте по безлимитному доступу.
Для рядовых пользователей рекомендуется безлимитный доступ не назначать, а делать автоотключение. Всегда есть вероятность заражения компьютера вирусом, который может привести к генерации большого трафика. Чтобы пользователей при этом блокировками не напрягать, лучше выставить достаточные лимиты. Для удобства подключения пользователей с автоотключением в тарифе введите оплату по умолчанию.
Если есть домен Windows, то удобнее всего включить автодобавление пользователей - они будут автоматически прописываться при первой попытке авторизации. Это доступно для пользователей, использующих авторизацию через домен Windows.
Назначьте пользователю права для автодобавления. Для этого зайдите в свойства Групп или Клиентов, перейдите на вкладку Автодобавление, выберите группу из домена. Лучше всего в домене для этого завести отдельную группу - для этого нажмите Start - Administrative Tools - Active Directory Users and Computers запустите консоль управления Active Directory, создайте группу.
е) Перейдите в свойства группы. Для этого в контекстном меню группы нажмите свойства. Перейдите на вкладку Тарификация, здесь задаются параметры тарификации пользователей (цена за мб, единица учета трафика, предоплаченый трафик, абонентская плата, стоимость трафика из кэша и почтового задается в процентах.)
Существует несколько способов тарификации:
а) только входящий - тарифицируется только входящий трафик.
б) только исходящий - тарифицируется только исходящий трафик.
в) сумма (входящий + исходящий) - тарифицируется весь трафик.
г) максимальное значение - тарифицируется тот трафик, значение которого больше (входящий или исходящий).
Также в свойствах группы на вкладке Тарификация, можно установить стоимость трафика из кэша (при его использовании), стоимость почтового трафика SMTP, кредит и предоплаченый трафик.
Тема построения тарифных планов подробно в разделе задач "Тарифные планы".
8) Зайдите в Монитор работы, добавьте пользователю денег на счет, чтобы он смог выйти и начать работать, для этого сделайте двойной щелчок мыши на клиенте.
ж) Если используется SMTP шлюз, контроль и учет трафика, может быть произведен с помощью контролируемых и информационных счетчиков. Контролируемый счетчик Весь интернет служит для учета всего трафика.
Для настройки счетчиков, следует зайти в пункт консоли Внешние сети - Внешний трафик - Счетчики - Информационные:
В контекстном меню выбрать добавить, ввести имя счетчика SMTP локальные порты указать протокол TCP порт 25 - для учета почтового трафика.
Можно учитывать трафик поступающий с POP3/IMAP/WWW/FTP и.т.д для этого также создаются фильтры, в поле внешние порты по аналогичному примеру прописываются порты для POP3 порт TCP 110, IMAP4 порт TCP 143, WWW порт TCP 80, FTP порт TCP 20 и 21. Если используется несколько входящих (резервных) каналов, то имеет смысл также настроить Контролируемые и Информационные счетчики для разных каналов. Для этого в свойствах счетчика выберите Интерфейс, на котором необходимо учитывать трафик.
з) Если предполагается работа с внутренними бесплатными ресурсами или сетями, имеющими льготный трафик, а также снижение стоимости трафика в зависимости от времени суток:
а) Работа с внутренними бесплатными ресурсами или сетями: следует создать фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правило применяется только для группы). Для этого зайдите в Консоль управления - Внутренние сети - Клиенты - Фильтры - До группы. Добавьте новый фильтр, на вкладке Тип выберите "На разрешение + действие", перейдите на вкладку IP, выберите "Использовать список", далее перейдите на вкладку Список, пропишите льготные подсети в например 10.0.0.0/255.255.255.0 или имена хостов например download.domain.ru, перейдите на вкладку Действия, измените стоимость трафика в % варианте.
После добавление фильтра цена на трафик, сетей и хостов, прописанных в списке будет равна стоимости указанной на вкладке Действия. Подробнее эти вопросы подробно описаны в разделе Решение задач "Бесплатные и льготные сети".
б) Снижение стоимости трафика в зависимости от времени суток: следует создать фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правило применяется только для группы). Для этого зайдите в Консоль управления - Внутренние сети - Клиенты - Фильтры - До группы. Добавьте новый фильтр, на вкладке Тип выберите "На разрешение + действие", перейдите на вкладку Расписание установите расписание для скидки, перейдите на вкладку Действия, измените стоимость трафика в % варианте. Например с 20:00 до 8:00 можно установить скидку в размере 50%.
Подробнее эти вопросы описаны в разделе Решение задач "Тарифные планы по расписанию".
и) Далее следует произвести настройку сетевого экрана. Для этого переходим пункт консоли управления Внешние сети - Сетевой экран, заходим в свойства сетевого экрана, отключаем не используемые протоколы IPSEC, VPN/PPTP - настройки зависят от конфигурации сети провайдера.
При необходимости добавляем правила в сетевой экран, например, если используется SMTP шлюз необходимо открыть протокол TCP порт 25, для этого в свойствах фильтра выбрать протокол TCP, в локальном адресе прописать порт 25. Или зайти в свойства SMTP шлюза, на вкладке SMTP сервер поставить галку "Разрешить всем". Данная настройка будет аналогична созданию фильтра TCP 25 в сетевом экране.
к) Установка клиентских агентов, Проверка работы клиентской статистики на веб-сервере:
1) Если необходима работа только с веб и почтой, используется Internet Explorer, то можно NAT не использовать. В этом случае агента можно не ставить, а в прокси будет работать NTLM-аутентификация (пароль каждый раз запрашиваться не будет).
2) Если нужен NAT установите клиентских агентов и проверьте работу клиентов.
3) Проверьте работу внутреннего Web сервера и клиентской статистки. Для этого в адресной строке броузера введите https://<IP адрес или имя сервера>:8080/user, или в клиентском агенте выберите пункт меню Web статистка.