Выбираем прокси-сервер или шлюз для компании

1 Сентября 2010
Интернет-шлюз - очень важный элемент информационной системы любой компании. Сегодня мы рассмотрим несколько популярных в нашей стране прокси-серверов, оценим их возможности, определимся с их положительными и отрицательными сторонами этого лицензионного ПО.

Интернет-шлюз - очень важный элемент информационной системы любой компании. С одной стороны, он обеспечивает коллективную работу в Интернете всех ее сотрудников, поэтому прокси-сервер, на базе которого он организован, должен быть многофункциональным, удобным в использовании и обеспечивать возможность создания гибких политик по использованию глобальной сети. С другой стороны, именно интернет-шлюз стоит "на страже" внешних границ корпоративной информационной системы и именно ему приходится встречать и отражать все попытки воздействий на локальную сеть из Интернета. Поэтому в прокси-сервере должны быть реализованы все необходимые механизмы защиты от различных типов угроз.

Сегодня мы рассмотрим несколько популярных в нашей стране прокси-серверов, оценим их возможности, определимся с их положительными и отрицательными сторонами.

Kerio Control

Kerio Control – новая версия достаточно старого и заслужившего широкую известность продукта Kerio WinRoute Firewall. Эта программа позиционировалась на рынке в первую очередь как корпоративный брандмауэр, надежное средство защиты интернет-шлюза от всех видов внешних угроз. Тем не менее, в ней реализован полноценный прокси-сервер, позволяющий организовать групповую работу сотрудников компании в Интернете. Фактически, Kerio Control – полноценное решение, которое позволяет организовать интернет-шлюз и обезопасить его от вирусов и атак.

Начинать разбор продукта Kerio Control стоит с его возможностей по защите корпоративной сети. В первую очередь стоит отметить, конечно же, антивирус. У рассматриваемой программы есть версия со встроенным антивирусным модулем Sophos, который может контролировать трафик, передаваемый по протоколам SMTP, POP3, HTTP и FTP. Помимо этого Kerio Control может использовать и внешние антивирусы от известных производителей. Стоит отметить, что работать они могут как отдельно друг от друга, так и совместно, обеспечивая последовательную проверку всей информации. Есть в Kerio Control и полноценный файрволл, работающий на уровне приложений. Он позволяет задавать гибкие политики контроля входящего и исходящего трафика. Стоит отметить, что файрволл имеет сертификат ICSA Labs (независимая организация, устанавливающая стандарт для продуктов защиты электронных данных). И хотя этот сертификат в нашей стране формально не дает продукту никаких преимуществ, его наличие говорит о качестве программы и надежности предоставляемой ею защиты.

Из дополнительных инструментов обеспечения безопасности в Kerio Control есть система предотвращения вторжений (IPS) и VPN-сервер. Первый модуль защищает корпоративную информационную систему в целом и интернет-шлюз в частности от различного типа атак. Для этого в нем есть такие механизмы, как сигнатурный анализ пакетов данных, база данных правил безопасности, черный список IP-адресов и пр. VPN-сервер может использоваться для создания VPN-туннелей между удаленными офисами компании, а также безопасного подключения сотрудников к корпоративной сети через Интернет. Также в Kerio Control существует система фильтрация по MAC-адресам, которая позволяет уменьшить риск несанкционированного использования подключения к Интернету.

Особого упоминания заслуживает реализованная в рассматриваемом продукте технология Kerio Web Filter (правда, стоит отметить, что за ее использование нужно заплатить дополнительно). Суть ее заключается в блокировании доступа к сайтам по категориям. Она позволяет, например, запретить просмотр социальных сетей, проектов с содержанием для взрослых и пр. Всего база данных разбита на 53 категории, а ее поддержкой занимается компания Kerio.

Что касается организации работы пользователей, то здесь возможности Kerio Control не столь широки. Впрочем, и их вполне достаточно для комфортного использования. Начать нужно с того, что в рассматриваемом продукте есть все необходимое для построения производительного интернет-шлюза. Организовать коллективную работу сотрудников можно как с помощью обычного прокси-сервера, так и с использованием технологии NAT. Кроме того, в Kerio Control реализованы некоторые дополнительные возможности, например, DHCP-сервер, который позволяет организовать работу в небольших сетях.

Важной особенностью Kerio Control являются функции по увеличению эффективности работы в Интернете. К ним относится восстановление связи при обрыве, автоматическое переключение на резервный канал при необходимости, одновременное использование нескольких подключений к глобальной сети с распределением нагрузки между ними и т.п. В плане управления пользователями рассматриваемый продукт обеспечивает все необходимые возможности. Это и интеграция с Active Directory, и установка лимитов на потребляемый сотрудниками трафик, и полный мониторинг использования Интернета, и многое, многое другое.

Таким образом, Kerio Control – полноценное решение для организации интернет-шлюза, в котором есть все необходимое для организации коллективной работы сотрудников в Интернете, однако основной упор сделан на безопасность локальной сети.

UserGate Proxy & Firewall

UserGate Proxy & Firewall – тоже весьма известный и популярный на российском рынке продукт, издающийся под маркой 1С:Дистрибьюция. Изначально он представлял собой прокси-сервер для организации коллективного доступа к Интернету. Однако сегодня – это полнофункциональный продукт, в котором реализовано все необходимое для полноценной защиты корпоративной сети от внешних угроз.

В плане организации коллективной работы сотрудников компании в глобальной сети рассматриваемый продукт отличается широтой функциональных возможностей. В нем реализована возможность использования обычного или "прозрачного" прокси-сервера, а также технологии NAT. Стоит отметить, что UserGate Proxy & Firewall поддерживает не только "интернетовские" протоколы, но и протоколы SIP и H.323, что позволяет использовать этот прокси-сервер в качестве VoIP-шлюза как для программных, так и для аппаратных IP-телефонов. Помимо этого в рассматриваемом продукте есть модуль кеширования, поддержка нескольких соединений с Интернетом с автоматическим дозвоном и переключением на резервное подключение, управление шириной канала и т.п.

Есть в UserGate Proxy & Firewall и некоторые возможности по администрированию корпоративной информационной системы. В частности, в этом продукте реализован DHCP-сервер, который поможет организовать работу в небольшой сети. Кроме того, рассматриваемый продукт может выступать в роли программного маршрутизатора, объединяющего одну или несколько локальных сетей.

Обязательно стоит отметить гибкое управление пользователями, реализованное в UserGate Proxy & Firewall. Администратор может настраивать учетные записи как поодиночке, так и целыми группами. При этом он может задавать не только доступные протоколы, но и ограничивать лимит потребления, а также доступную сотрудникам ширину канала. Кстати, в рассматриваемой системе реализовано восемь способов аутентификации пользователей, начиная с максимально простых (IP-адрес, комбинация из IP-адреса и MAC-адреса) и заканчивая авторизацией через Active Directory.

Интересной особенностью рассматриваемого продукта является весьма гибкая система биллинга, которая позволяет подсчитывать стоимость потраченного каждым пользователем трафика. Другими важными функциями UserGate Proxy & Firewall являются система фильтрации приложений и технология Entensys URL Filtering. Первая позволяет централизованно ограничивать доступ в Интернет тех или иных программ. Это позволяет ограничить использование несанкционированного и потенциально опасного ПО сотрудниками компании. Технология Entensys URL Filtering предполагает использование категоризированной базы сайтов для запрета доступа пользователей к нежелательным веб-проектом. Она похожа на Kerio Web Filter, только бесплатна для использования. Кроме того, разработчики заявляют об огромном размере базы данных (более 470 миллионов записей) и ее адаптации для русскоязычных пользователей.

В завершение разговора о продукте UserGate Proxy & Firewall стоит рассказать про реализованные в нем механизмы безопасности. В первую очередь необходимо отметить интегрированные в прокси-сервер антивирусные модули. Их два – от "Лаборатории Касперского" и Panda Software, причем работать они могут как отдельно друг от друга, так и совместно. Естественно, за каждый антивирус необходимо доплачивать. Есть в рассматриваемом прокси-сервере и полноценный брандмауэр с возможностью гибкой настройки правил. Кроме того, UserGate Proxy & Firewall поддерживает передачу трафика через протоколы PPTP и L2TP, то есть обеспечивает полную поддержку VPN-соединений. Отдельно стоит отметить, что у UserGate Proxy & Firewall есть версия, имеющая сертификат ФСТЭК Российской Федерации. Благодаря этому она может использоваться для защиты информации в автоматизированных системах до класса защищенности 1Г включительно и информационных системах для обработки персональных данных.

WinGate

WinGate – также достаточно старый и известный продукт. Это прокси-сервер, предназначенный для подключения локальных сетей к Интернету через один или несколько внешних каналов связи. Для этого в нем есть все необходимое, включая поддержку технологии NAT. Помимо этого в рассматриваемом продукте есть ряд дополнительных функций. Среди них можно отметить DHCP-сервер и даже почтовый сервер (вопрос целесообразности интеграции почтового сервера в прокси-сервер оставим на совести разработчиков).

В плане управления пользователями продукт WinGate мало чем отличается от других коммерческих прокси-серверов. В нем есть возможность объединять учетные записи в группы, использовать различные способы аутентификации, интегрировать систему с Active Directory, настраивать права на использование Интернета в разное время и т.п. В общем, "джентельменский набор" функций в прокси-сервере присутствует, хотя с такими дополнительными, но весьма полезными возможностями, как фильтрация сайтов по категориям, дела обстоят хуже.

Что касается безопасности, то в качестве антивирусной защиты разработчики WinGate предлагают интегрированный модуль от "Лаборатории Касперского". Естественно, за его использование необходимо заплатить дополнительно. Есть в рассматриваемом прокси-сервере и брандмауэр с возможностью гибкой настройки правил. Также можно отметить, что в WinGate реализован собственный VPN-сервер.

Говоря о WinGate, нужно отметить одну особенность данного прокси-сервера. Дело в том, что у него есть три версии, заметно отличающиеся друг от друга в плане возможностей. Старшая из них обладает всеми описанными выше функциями. В средней уже нет VPN-сервера, централизованного конфигурирования и некоторых других возможностей, а младшая обладает наименьшей функциональностью. В ней отсутствует даже возможность удаленного управления прокси-сервером и система управления полосой пропускания. Все это обязательно необходимо учитывать при подборе редакции.

3proxy

Сравнение прокси-серверов было бы неполным без рассмотрения хотя бы одного бесплатного продукта. Их немного, однако, они есть, а поэтому мы не можем их игнорировать. В наш обзор попал продукт 3proxy. Это достаточно функциональный (для бесплатного, конечно же) продукт, который, к тому же, постепенно развивается. В нем нет таких "изысков", как технология NAT, система переадресация DNS, DHCP-сервер и т.п. С его помощью можно организовать самый обычный прокси-сервер, поддерживающий, тем не менее, неплохой набор широко распространенных протоколов.

В 3proxy, в отличие от многих других бесплатных прокси-серверов, реализованы некоторые возможности по управлению работой пользователей в Интернете. В частности, данный продукт позволяет ограничивать ширину потребляемого канала и устанавливать лимиты трафика на день, неделю или месяц. Дела с безопасностью в продукте обстоят гораздо хуже. В рассматриваемом прокси-сервере нет ни одного инструмента для защиты корпоративной сети. Также необходимо отметить, что у 3proxy отсутствует графический интерфейс. Вся настройка продукта осуществляется путем редактирования конфигурационного файла. Что, конечно же, достаточно неудобно и часто вызывает много осложнений.

Подводим итоги

Для удобства сравнения мы свели результаты рассмотрения всех четырех прокси-серверов в единую таблицу. С ее помощью можно наглядно посмотреть, какими функциями и особенностями обладает каждый из продуктов.

Kerio Connect

UserGate Proxy & Firewall

WinGate

3proxy

Переадресация DNS

+

+

+

-

Система предотвращения вторжений

+

+

-

-

Внешний антивирус

+

-

-

-

Интегрированный антивирус

+

+

+

-

DHCP-сервер

+

+

+

-

Файрвол

+

+

+

-

VPN-сервер

+

-

+/-

-

Поддержка нескольких интернет-каналов

+

+

+

-

Наличие сертификатов

+/-

+

-

-

Кеширование

+

+

+

+

Биллинговая система

-

+

-

-

Фильтрация сайтов на основе категорий

за доп. плату

+

-

-

Поддержка NAT

+

+

+

-

Почтовый сервер

-

-

+

-

Удобство настройки и использования

+

+

+

-

Удаленное администрирование

+

+

+/-

-

Итак, как видно из сравнения, бесплатные продукты не подходят для построения интернет-шлюза в организации. Да, с их помощью можно организовать коллективный доступ в глобальную сеть. Однако отсутствие средств безопасности, контроля над работой пользователей и некоторых технических функций (например, технологии NAT), делающее невозможным использование ряда бизнес-инструментов, ставят под сомнение целесообразность их применения.

Что касается коммерческих прокси-серверов, то при выборе решения необходимо уделять максимальное внимание их функциональным возможностям. Здесь явно выигрывают продукты Kerio Connect и UserGate Proxy & Firewall, которые можно купить у партнеров 1Софт. В первом больше внимания уделено безопасности и инструментам защиты, а второй отличается расширенной функциональностью в плане управления пользователями и контролем над использованием ими Интернета.

Марат Давлетханов

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

Короткая ссылка на новость: http://un-ltd.ru/~usBsY
П Предупреждение (2)
Ж Животные (2)
П Погода (3)
Р Реклама (1)
С Сайты (1)
З Здоровье (1)
М метро (1)
Р Россия (4)
З загадка (1)
Г города (1)
Н Новосибирск (19)
Д День Рождения (1)
И Инопланетяне (0)
Н НЛО (1)
К Космос (4)
П Происшествия (18), Полезное (11), Прочее (772)
Н Новинки (402)
С События (151)