Оплата:
Rate (Цена В полях) Rate вы можете ввести цену за мегабайт или время на линии. Обычно, цена назначается за Bytes received for client и Bytes sent for client.
Total Charges (Общая стоимость) Общая стоимость уже оказанных услуг.
Opening Balance Предоплата за оказываемые услуги.
Closing Balance Сумма денег, на которую пользователь еще может получить услуги - разница между предоплатой и общей стоимостью оказанных услуг.
Reset (Сбросить) Эта кнопка очищает поля Quantity. Осторожно, здесь отсутствует диалог на подтверждение очистки. Если вы это случайно сделали, нажмите кнопку Cancel для отмены изменений!
Scheduler имеет функции для экспорта и очистки информации из базы данных о пользователях.
Почему я должен делать что-то?
Некоторые люди находят удовольствие в разрушении защиты сетей. Кто-то делает это для смеха, кто-то для шпионажа (для получения списков клиентов), диверсии (удаление файлов) или рекламы (spamming).
Хаккеры могут получить неавторизованный доступ к вашей сети. Более важно, что они могут проникать в другие сети, сначала проникнув вашу. Это должно привести вас к осуждению хаккерства. Если случится что-то серьезное, ваш ISP может закрыть ваш выход в Интернет. Одна из возможностей избежать этого заключается в использовании прокси сервера, такого как WinGate.
Закрытый доступ к файловым серверам
Компания имеет два офиса, один в Окленде, а другой в Мельбурне. Она хотела бы иметь защищенный доступ через Интернет к файлам файлового сервера в Мельбурне.
В Мельбурне.
Запустите HTTP сервер на файловом сервере.
Установите mapped link в WinGate, скажем на порт 3080, который указывает на HTTP сервер на файловом сервере.
В Окленде:
Установите mapped link на порт 3080, который указывает на Wingate Мельбурна и порт 3080.
После этого для просмотра и получения файлов пользователь просто использует WWW броузер, а в качестве URL указывает http://wingate:3080
Броузер соединится с Wingate-ом в Окленде, который сделает защищенное соединение с Wingate-ом в Мельбурне, а через него и с НТТР сервером, чем и будет обеспечен полный сервис доступа к данным.
Защищенный доступ к Unix серверу
Компания имеет Unix сервер, на котором запущена их order-entry system. Она хочет обеспечить доступ к этой системе через Интернет так, чтобы ее персонал в удаленном офисе (или из дома) мог защищенно работать на сервере.
В основном офисе:
Установите защищенный mapped link, например, на порт 3023, который указывает на Unix telnet server на порту 23
В удаленном офисе:
Установите защищенный mapped link, например, на порт 3023, который указывает на сервер основного офиса на порту 3023.
Для защищенного соединения с сервером основного офиса пользователь просто использует telnet на WinGate на порт 3023. Ему будет дано приглашения для регистрации на Unix машине основного офиса, но все соединения будут защищенными.
Примеры сценариев:
Определите некоторую сумму, например, $20, которая будет бесплатна для пользователя. Если же сумма в поле Closing Balance станет отрицательной, то пользователь заплатит вам эту сумму.
Пользователь платит некоторую сумму, котораяв водится в поле Opening balance. Затем он может пользоваться Интернетом до тех пор пока его Closing Balance не станет равным нулю. После этого ему будет закрыт доступ в Интернет. Это идеально для Интернет-кафе.
Принципы защиты в WinGate
WinGate 3 проектировался для обеспечения очень высокой степени защиты и большой гибкости учета использования Интернет. Есть несколько основных принципов управления возможностями защиты в Wingate. Они основаны наследующих объектах защиты в Wingate 3:
Проверка TCP/IP
После того как вы установили протокол TCP/IP на все машины, они должны пинговать (ping) сервер WinGate. Объясним это коротко. Ping - полезная утилита поставляемая с TCP/IP. Компьютер, пингующий IP-адрес, посылает по этому адресу вопрос: "Ты здесь?" Пингуемая машина посылает ответ.
Ping до сервера WinGate
В командной строке введите: ping 192.168.0.1
В ответ должно быть: Pinging [192.168.0.1] with 32 bytes of data Reply from 192.168.0.1: bytes=32 time<=10ms TTL=32 Reply from 192.168.0.1: bytes=32 time<=10ms TTL=32 Reply from 192.168.0.1: bytes=32 time<=10ms TTL=32 Reply from 192.168.0.1: bytes=32 time<=10ms TTL=32
Это значит, что TCP/IP работает. Этот результат должен быть тем же самым для любой машины в сети. В этом случае переходите к следующему пункту.
Замечание.
Если вы получили в ответ Destination host unreachable (хост назначения не достигнут)
или Bad IP (плохой IP)
Тогда вам необходимо проверить настройки TCP/IP как объяснялось выше.
Ping на внешний сайт
Введите в командной строке: ping www.cnn.com
Любая машина в сети кроме сервера WinGate должна получить в ответ (может быть только разный IP) Pinging cnn.com [207.25.71.29] with 32 bytes of data Request timed out. Request timed out. Request timed out. Request timed out.
Или в случае наличия у вас Шлюза по умолчанию 192.168.0.4 (не огорчайтесь, если не знаете, что это такое): Pinging cnn.com [207.25.71.29] with 32 bytes of data Reply from 192.168.0.4: Destination host unreachable. Reply from 192.168.0.4: Destination host unreachable. Reply from 192.168.0.4: Destination host unreachable. Reply from 192.168.0.4: Destination host unreachable.
Это значит, что DNS работает. DNS просмотрел имена и нашел соответствующие им IP-адреса.
Замечание. Вы никогда не получите ответ от внешнего компьютера (например, www.cnn.com) на рабочей станции, т.к. соединяется через WinGate и не видна из Интернет.
Регистрация (Log on) в GateKeeper
GateKeeper - это пользовательский интерфейс для WinGate. Он используется для всех операций с WinGate, всех задач администрирования и любых настроек какие-только вы можете сделать. GateKeeper был спроектирован для легкого понимания работы с ним и его использования. Вы найдете некоторые его части очень похожими на NT user manager. Он использует те же идеи Пользователей и Групп.
Регистрация в GateKeeper:
Запустите GateKeeper. Для этого вы должны найти ссылку в меню Start.
Выберите Log on
Перед вами появится диалоговое окно.
Опции будут взяты из первой регистрации.
Нажмите OK
Вас попросят сменит свой пароль.
Сохраните изменения с помощью кнопки на панели мнструментов.
Если у вас лицензия Pro, и вы хотите использовать GateKeeper на машине не являющейся сервером WinGate:
Выведите на экран Control panel, например через меню View.
Сделайте двойной клик мышкой по Remote control service в секции System services
Выберите на страничке Interfaces опцию Bind to all interfaces
Нажмите OK
При первом входе в GateKeeper используется имя пользователя Administrator. Вас попросят изменить ваш пароль. Используйте для этого опцию Change password в меню file. Имя пользователя и пароль чувствительны к регистру.
Services (cервисы)
Этот пункт относится к диалогу установки "WinGate Server"
Выберите, если хотите установить Proxy services (прокси-сервисы).
Прокси-сервисы не нужны, если все ваши клиентские машины используют Windows 95 или 98. Однако, если на клиентских машинах используется Windows NT или другие операционные системы, вы должны установить прокси-сервисы. Если вы не уверены, то выберите все прокси. Вы можете отключить любой из них позднее. Если вы не установили какой-то прокси, то можете позже добавить его с помощью GateKeeper.
Services screen
Секция User services содержит сервисы: прокси или направляющие связи (mapped links), которые пользователь может добавлять, если желает. Большинству пользователей эти сервисы не нужны. Если вы желаете поддерживать не-Windows клиентов в вашей сети, то должны добавить эти сервисы.
Для редактирования сервиса дважды щелкните по нему мышкой. Для добавления нового сервиса нажмите правую кнопку мыши в окне User Service.
Сервис Mapping - Mapped links
Mapped Links, по-видимому, наиболее простой уровень шлюзования.
Mapping прокси не так гибки как другие, потому что они - просто "трубопровод" для данных. По этой причине вам необходимо задавать удаленный хост, с которым устанавливается соединение. Думайте о Mapped Link как о трубке. Вы эффективно связываете машину с удаленной машиной через определенный порт. Вы можете определить удаленный хост и номер порта для каждой отдельной машины в сети или удаленный хост и порт по умолчанию, который может быть использован, если машины, соединяющиеся со шлюзом, не имеют определенных mapped links. Очень важно помнить, что mapped links возможны в любых сетях с протоколом TCP/IP: в Интернет, корпоративная, офисная или домашняя сеть
Пример: Использование SMTP сервера
SMTP использует порт 25. Для использования SMTP, позволяющего вам посылать электронную почту, вам нужен TCP mapped link на ваш SMTP сервер.В примере выше ТСР link был создан для соединения к smtp.mailserver.com через порт 25. Если вы следуете инструкциям инсталляции Wingate, SMTP mapping будут созданы автоматически.
Пример: Использование новостей Internet
Новости используют порт 119. WinGate не имеет прокси-сервера новостей, поэтому вы должны использовать mapped link. Вы должны знать какой сервер новостей хотите использовать, и какой порт использует он. Скажем, вы используете news.cnn.com also на порту 119.
Настройте mapped link на порт 119 на хост по умолчанию news.cnn.com и портом 119.
Если вы хотите, чтобы ваша программа новостей получила вашу группу новостей, вы должны попросить ее соединиться с 'wingate', а не с news.cnn.com, потому что WinGate стал сейчас соединителем с вашим сервером новостей: news.cnn.com на порт 119.
Если вы достигли порта для новостей, то вы соединились с сервером новостей через Wingate. Программа новостей не знает или не должна знать этого, все, что ее беспокоит, это то, чтобы Wingate оказался сервером новостей. Wingate даже не знает какой протокол используется для прохождения по mapped link, лишь клиент и сервер должны знать это.
Порты, используемые для mapping, иногда хотят использовать для других целей другие люди. Например, некоторые пользователи желают использовать один сервер новостей, а другие - другой. В этом случае вы должны добавить определенные mappings и заполнить их данными о серверах.
Setting up dialing (Настройка дозвонки)
Dialer (средство дозвонки) WinGate 3 поддерживает работу с несколькими записями в системной телефонной книге. Вы можете определить права доступа к каждой записи телефонной книги (называемой профилем).
Замечание. Дозвонка настраивается только, если для доступа в Интернет вы используете модем. Если вы используете другой метод, например, выделенную линию, то оставьте нетронутой странички настройки дозвонки.
При первом запуске WinGate нет никакой информации в окне Dialer Properties (свойства средства дозвонки). Это значит, что нет и дозвонки. Это может устроить вас, если дозвонка вам не требуется (например, у вас Ethernet соединение, выделенная линия или какое-то другое прямое соединение).
Если вы используете модем на машине с Wigate для доступа в Интернет, то вам необходимо настроить запись в системной телефонной книге используя dial-up networking (RAS в NT). WinGate использует телефонную книгу Windows для дозвонки и регистрации у провайдера интернет без всякого вмешательства пользователя.
Итак, как только вы установили профиль дозвонки и проверили его работу, вы должны соединиться с WinGate через GateKeeper правами Administrator-а. Сделайте двойной клик мышью по иконке Dialer и вам откроется диалоговое окно WinGate Dialer Properties. Здесь будет список ваших профилей дозвонки.
Дважды щелкните мышкой по нужному профилю для редактирования.
В открывшемся диалоговом окне введите нужные данные. Имя и пароль необходимы даже, если вы вводили их в записи телефонной книги.
Шифрование в WinGate
Wingate может использовать шифрование в mapped links для создания защищенного канала для WinGate-to-WinGate mapped links. Рассмотрим эту ситуацию. Многие компании имеют Mail, telnet, HTTP или FTP серверы для служащих и клиентов, желающих получить доступ. Обычно эта информация не для широкого использования. Но эти сервера являются программами, посылающими данные в виде обычного текста, поэтому, когда они посылают пароль, то он посылается в открытом виде. Это значит, что любой, кто перехватит ваши пакеты в Интернет, сможет получить все ваши пароли и данные. По этой причине многие компании с целью зашиты используют выделенные или коммутируемые линии к своим серверам, так чтобы эти коммуникации не имели связи с Интернет. Это может быть очень дорогим удовольствием.
Это то, где Wingate придется кстати. Wingate может шифровать все данные, посанные вами с машины вашей сети в Интернет или во внешнюю сеть. Он посылает данные на другую Wingate машину, которая дешифрует их. Это работает только с mapped links. Это может обеспечить доступ для telnet, HTTP, email и т.п. Компании могут обеспечить защищенный доступ к своим файловым серверам, серверам электронной почты и терминальным программам с помощью защищенных mapped links.
Вы не можете иметь несколько
Вы не можете иметь несколько образцов профиля дозвонки в Windows. Чтобы иметь несколько соединений с одинаковыми параметрами соединения с одним и тем же провайдером, просто создайте, например, два соединения с разными именами, но одинаковыми внутренними параметрами. Затем выберите их оба на станичке Interfaces.
С этим механизмом вы можете "сохранить" соединение для специальных событий. Вы можете иметь у провайдера два счета. Один медленный и дешевый, другой быстрый и дорогой. Вы можете сделать так, чтобы большинство сервисов использовали медленный канал, в то время как FTP может использовать быстрое соединение. Так как FTP используется, обычно, реже, чем элетронная почта или блуждание по Интернет, то дорогое соединение используется не очень часто. Вы также можете настроить второй HTTP proxy на более быстрое соединение, чтобы дать к нему доступ определенным людям.
Фактически, запрос отправляется через интерфейс, который был первым на линии, но, когда данные возвращаются, они посылаются на точно определенный интерфейс.
При защите сети начните с полного запрета, а затем добавляйте требуемые запросы. Не начинай те с полного доступа с постепенным введением ограничений.
Для полной защиты проще всего требовать идентификацию во всех случаях. Клиент регистрации очень полезен в Броузере (browser), когда это необходимо. И проще использовать его, чем строить какие-то сложные правила доступа.
Большинство сетей требует привязки только к localhost и сетевой карте. Это предотвращает любой внешний доступ.
Лучше всего иметь простые установки на управление доступами. Сложные установки сложны в настройке и тестировании.
Для сервиса могут понадобиться правила зависящие от входящего интерфейса. Проще всего для этого надо добавить сервис для каждого интерфейса (они могут иметь один и тот же порт). Затем вы можете построить политику для интерфейса и задать новое имя сервису. Нпример, WWW (non-proxy) - внешний, WWW proxy - внутренний.
Наиболее уязвимыми являются сервисы SOCKS и Telnet. Убедитесь, что они доступны только из вашей сети.
Ничего хорошего не обещает вам постоянная привязка к профилям dialer.
Советы по безопасности:
Для лучшей безопасности привяжите каждый сервис к вашей сетевой карте и локальному хосту. Если у вас сеть состоит из нескольких сегментов, то сделайте привязки на все сегменты. Не делайте никаких привязок на профили дозвонки.
Страничка Bindings
Страничка Bindings (привязки) - основная в системе защиты WinGate firewall. Привязывание сервиса к интерфейсу означает, что этот сервис доступен только, если соединение происходит через этот интерфейс. Привязки могут разрешить доступ к сервису через один, несколько или все интерфейсы. Bindings содержит список всех возможшых интерфейсов. Сетевые карты, профили дозвона и адрес localhost (127.0.0.1) должны быть включены. Вы можете выбрать интерфейсы, через которые разрешен доступ к сервису.
Например, вы хотите, чтобы ваш WWW proxy был доступен только пользователям вашей сети. Просто выберите нужный вам интерфейс и проверьте, что только ваша сетевая карта (возможно 192.168.0.1) и localhost (127.0.0.1) находятся в списке "Bound" (ограничение).
Allow connections coming in on any interface - Разрешены соединения через любой интерфейс
Connections will be accepted on the following interface only - Допустимы соединения только на следующий интерфейс
Spesify interface connections will be accepted on - Допустимы соединения только на определенные интерфейсы
Bound - Ограничение; Available - Имеющийся в распоряжении; Status - Состояние
Started - Запущен; Stopped - Остановлен
На картинке выше мы имеем привязки к сетевой карте 192.168.0.1 и интерфейсу Интернета 203.96.8.238. Мы определили эти интерфейсы, чтобы дать возможность вашим людям просматривать ваши web-страницы.
Заметим, что без привязки к адресу 127.0.0.1 сервис невозможно использовать на локальной машине.
Пользователи с лицензией Standart обнаружат, что их сервис удаленного управления связан только с интерфейсом 127.0.0.7. Это лицензионные ограничения. Лицензия Pro позволит сервису быть доступным не только с локальной машины. Это демонстрирует работу привязок. Лишь машины соединяющиеся через сервис 127.0.0.1 имеют доступ. А так как этот сервис доступен только с локальной машины, то и соединиться с WinGate можно только на локальной машине.
Страничка Connection
Эта страничка позволяет управлять методами, используемыми при соединениях.
Directly (Непосредственно)
Эта опция по умолчанию. Исползуйте опцию, когда машина с Wingate непосредственно соединена с Интернет.
Through cascaded proxy server (Через каскадный прокси-сервер)
Это будет означать, что сервис соединяется через сервис другой машины, IP-адрес и порт которой указаны в полях Server и Port. Используйте эту опцию, если вы обычно работаете через прокси-сервер провайдера. Многие провайдеры имеют HTTP прокси (обычно на порту 8080). Большие сети могут также иметь многоуровневое каскадное кэширование.
Through SOCKS4 server (Через SOCKS4 сервер)
Это означает соединение через SOCKS4 сервер с паролем.
Through HTTP proxy with SSL support (Через НТТР прокси с поддержкой SSL)
Эта опция использует SSL тунелирование через определенный HTTP прокси.
Поля ввода:
Эти редактируемые поля разрешаются при выборе соответствующих вышележащих опций. Если вы соединяетесь через каскадный прокси или SOCKS4 сервер, введите требуемые данные о сервере.
Страничка General
Connection as required using - Соединиться по запросу используя
On failure, try to connect using - При возникновении трудностей, попытаться соединиться используя
Connection - Соединение; Status - Состояние;
Allow remote clients to disconnect - Позволить удаленным клиентам разорвать связь
Dial - Звонить;
Reset - Оборвать
Allow remote clients to disconnect Эта опция позволяет пользователям, использующим WinGate Internet Client, разорватьб связь с помощью кнопки disconnect в dialer из WinGate Dialup Monitor. Кнопка будет неактивна, если данная опция не установлена.
Dial Звонить с пощью выбранного профиля
Reset Разорвать связь по выбранному профилю
Замечание: Вы должны сконфигурировать каждый профиль, который желаете использовать. Сделать это можно двойным кликом мышью по профилю на страничке General в списке Connection. Профиль не будет работать правильно, пока вы не сделаете это. Как настроить профиль посмотрите здесь.
Страничка Interfaces
На этой страничке вы можете определить интнрфейс используемый для внешнего соединения. Обычно вы можете выбрать первую опцию "... any interface" (любой интерфейс). В приведенном выше примере мы выбрали определенный интерфейс 203.96.8.238. Этот интерфейс имеет постоянное соединение с Интернет и наиболее быстрый, так что такой выбор разумен. При желании, мы можем выбрать третью опцию, и в этом случае будет возможен выбор из списка In Use. В нашем случае в списке только IPROLINK - телефонное соединение с провайдером.
Реальным преимуществом этой странички является наличие третьей опции - можно использовать сразу несколько интерфейсов. Если вы имеете, скажем, ISDN и T1 соединения с Интернет, то можете поместить их интерфейсы в список "In Use". Как только после этого на Wingate поступит запрос на доступ к Web-странице в Интернет, Wingate может использовать интерфейс из списка и только недавно использовавшийся. Это позволит увеличить полосу частот по сравнению с одним соединением, что означает большую скорость. Соединения используются одновременно. В NT вы можете иметь несколько модемных соединений.
Страничка Local sites
Эта страничка содержит список имен сайтов Интернет или их IP-адресов, для которых вы бы не хотели, чтобы Dialer восстанавливал соединение. Если пришел запрос на соединение с сайтом, имя которого имеется в списке на этой страничке, то дозвонки не будет.
Пример. Если вы добавите в список слово "micro", то не будет дозвонки для любых сайтов, в имени которых содержится это слово, например, microsoft.com, microtest.com и т.п.
Замечание:
Разумно предотвратить дозвонку для "localhost", 127.0.0.1, wingate и IP-адреса машины с WinGate.
Если вы добавите точку '.' в список, дозвонки не будет ни в каком случае, т.к. любое имя сайта содержит '.'.
Страничка Settings
Logging - регистрация;
Log these evens - регистрировать эти события;
Dialing / hanging up - дозвонка / разрыв соединения;
Debug - отладка
Online status check update interval - интервал проверки состояния связи; sec - секунда
Use Synchronous Rasdial call - использовать синхронное соединение;
Abort dial if not completed within - прекратить дозвон, если он не завершен в течение;
milliseconds - миллисекунд
Wait - подождать;
millisecunds between redial attempts - миллисекунд между попытками дозвона
Logging options:
Dialing/hanging up - Регистрировать любые изменения состояния соединения.
Debug - Регистрировать любые отладочные сообщения. Выбирайте это, если есть проблемы с дозвоном.
Advanced:
Status check Interval - Состояние соединения проверяется через данный интервал времени. Если соединение неустойчиво, интервал задайте покороче..
Use synchronous RAS dial - Используйте, если есть проблемы с RAS (сервер удаленного доступа).
Abort after... - Настройка в миллисекундах. Отказ от дозвонки, если она не может совершиться за заданный промежуток времени.
Wait before redial - Если ваш провайдер занят, лучше сделать паузу перед новой дозвонкой.
System screen
Записи в этом окне не могут быть удалены, но все они, кроме Remote Control Service, могут быть запрещены. Вы можете только разрешить любой из системных сервисов (system service). Только при лицензии Pro появляется Планировщик (scheduler).
Иконки окна System
System Service | Этой иконкой отмечается запущенный сервис. | |
Stopped System Service | Крест означает, что сервис остановлен. | |
System Service Error | Эта иконка появляется в случае, когда запуск сервиса невозможен. Обычно, это означает конфликт портов, когда два сервиса используют один номер порта, или что номер порта, который хочет использовать Wingate, занят каким-то другим системным приложением. | |
Caching | Двойное нажатие мышки на этой иконке покажет диалоговое окно для настройки свойств процесса кэширования. | |
Dialing | Двойное нажатие мышки на этой иконке покажет диалоговое окно для настройки свойств профилей дозвонки. | |
Scheduler | Под этой иконкой содержится информация, содержащаяся в Scheduler. | |
Timeouts (Истечение времени)
Для сервисов на основе TCP (т.е. любых кроме DNS, XDMA и UDP Mappings) timeouts играет защитную роль против проблем. При нормальном протекании сессия заканчивается, когда закончится весь ее материал. Тем не менее, иногда соединения могут оставаться открытыми, когда ничего не происходит. И тогда timeouts закончит эту сессию, так, что вам не надо думать о вещах подобных напрасному модемному соединению.
Для UDP (UDP Mappings, DNS и т.д.) сессий однако, timeout - единственный способ, чтобы сессия закончилась, т.к. нет открытия и закрытия для сокетов UDP, так что нет никакой индикации об окончании сессии.
Типичные советы по привязке:
Разрешите привязки только вашей сетевой карте для Telnet proxy.
Позвольте все привязки для соединения с сервером SMTP.
Если вы запускаете WWW-сервер через WinGate, разрешите все привязки.
В основном, вы не должны делать привязки к профилям дозвонки.
Учетная запись пользователя
Quantity - количество; Rate - цена; Subtotal - здесь Стоимость услуги;
Total Charges - общая стоимость оказанных услуг; Open Balance - предоплата за услуги;
Closing Balance = Open Balance - Total Charges
Учетные возможности делают Wingate очень полезным инструментом управления сетью. Учетная информация обновляется в реальном времени, если вы смотрите запись пользователя во время его доступа в Интернет. Общие данные обновляются в конце каждой сессии. Значение общего времени обновляется, когда заканчивается прием всех данных сессии. Секции и термины объясняются ниже.
Учитываемые данные:
Bytes sent to client (Байты, посланные клиенту) Это общее число байтов, посланных WinGate-ом на клиентскую машину. В случае использования HTTP, это общее число байтов, поступивших из кэша.
Bytes received from client (Байты, посланные клиентом Это данные, посланные клиентом на WinGate.
Bytes sent for client (Байты, посланные за клиента) Это данные, посланные WinGate-ом на сервера от имени клиента. Обычно, это отличается от числа байтов, полученных от клиента.
Bytes received for client (Байты, полученные для клиента) Это порция данных, полученная WinGate-ом из Интернет на имя клиента.Как правило, это меньше числа байтов посланных клиенту с учетом кэширования.
Seconds online (Секунд на линии) Это число секунд, в течение которых клиент был связан с WinGate. Заметит, что это не совсем надежный способ определить время, проведенное пользователями в сети. В этом случае определяется период времени, в течение которого пользователи были зарегистрированы. Быть зарегистрированным - не означает использование Интернет. Seconds online обновляется в конце каждой сессии пользователя, когда он отсоединяется.
Улучшенные возможности Mapped link
Mapped links с одной стороны более ограниченны, чем другие прокси, но с другой - более гибки в другом.
Mappings могут базироваться под требования каждого индивидуального пользователя. Настройки могут быть различными: для пользователя, местоположения (location) или профиля дозвонки (Dialer profile).
TCP mappings имеет опцию шифрования. Эта опция делает чрезвычайно затрудненным процесс использования данным кем-либо кроме того, кому они предназначены.
Управление пользователями и группами
Добавлять новых пользователей и групп и их администрирование возможно только WinGate 3 Pro. WinGate 3 Standard и Home не позволяют создавать и удалять пользователей и группы. Пользователи и группы не используются в Wingate 3 Home.
Wingate может фиксировать данные на каждого отдельного пользователя. Для этого вы должны создать этих пользователей и наделить их правами. Процесс очень напоминает администрирование пользователей в Windows NT.
При начальной установке WinGate или в случае потери базы данных пользователей WinGate создает базу данных с встроенными пользователями и группами.
Administrator (администратор)
Этот пользователь не может быть удален. Когда WinGate только установле, администратор не имеет пароля, но вы можете установить пароль тут же. Первоначальную администрацию можно сделать только на машине с WinGate. Этот пользователь имеет полный контроль над всеми функциями WinGate. Мы рекомендуем использовать этот бюджет только для первичных настроек и как запасной бюджет для системного администратора.
Guest (гость)
Бюджет Guest по умолчанию не имеет пароля и не может быть удален. По этому бюджету все неизвестные пользователи получают доступ по умолчанию. Вы можете дать любые права пользователю Guest, но, по умолчанию, он имеет только права доступа к сервисам.
User assumptions (пользовательские Присвоения)
Это простой путь для регистрации активности пользователя без требования идентификации пользователя в Wingate. Вы можете настроить Присвоения либо на основе IP-адресов, либо на основе сетевых имен машин. И когда кто-то соединяется с известного компьютера, то ему присваивается соответствующее имя пользователя.
Совсем не обязательно добавлять новых пользователей. Для небольшой сети вы можете решить, что нет необходимости выделять каждого пользователя индивидуально.
Некоторые соображения
You have the options to implement any of these policies plus many more at your discretion:
Разрешить администрирование только на машине с WinGate machine или на только определенных машинах.
Либо требуйте идентификацию, либо нет.
Определите каждому администратору свой бюджет.
Требуйте идентификацию, но имейте и бюджеты общего доступа.
Ведите учет бюджетов для наблюдения за уровнями доступа.
Группы организуйте по подразделениям предприятия.
Ведите учет персональных бюджетов.
Либо позволяйте бюджет Guest, либо нет.
Настройка пользователей и групп так проста, что большинство из вас, имеющих такую возможность, сделает это.
Помните эти пункты:
Если кто-то соединился с сервисами WinGate с неизвестного компьютера, то он будет пользователем Guest.
You can set rules per group, so make use of groups as they save you set up time
Любой пользователь WinGate может принадлежать любой группе.
Ведение учета не обязательно, но очень полезно видеть, кто больше всех использует Интернет.
Используемый совместно бюджет может быть очень полезным. Задание одного или нескольких бюджетов, которыми могут пользоваться различные люди, обычно применяется для групп. Это можно использовать, например, в школе, когда весь класс пользуется одним бюджетом. А учитель может иметь личный бюджет, но быть в одной группе с классом и в группе администраторов. Таким образом вы можете управлять группами и не иметь сликом много бюджетов.
Присвоения (Assumptions) могут избавить людей от регистрации. Если определенные машины используются индивидуально, то дайте им Присвоение, и им не нужна будет регистрация!
Если все ваши привязки интерфейсов находятся состоянии, когда доступ извне невозможен, вы можете решить, что вашим пользователям не нужна регистрация.
Users screen
Окно служит для работы с информацией о пользователях.
Users При наличии лицензии WinGate 3 Pro, вы имеете возможность создавать имена пользователей (например, Tim, Ben, Adrien). Сделав это, вы можете установить, кто из пользователей использует WinGate, увидеть, какие средства и сервисы при этом используются, а также решить, кто же может конфигурировать Wingate. Есть, по умолчанию, два пользователя, которых вы не можете удалить: Administrator и Guest. Заметим, что при лицензии Standart возможны только эти два пользователя.
Groups Как и в NT, группы помещают пользователей, чтобы дать им всем одинаковые привилегии. Пользователи могут принадлежать одной или нескольким группам, но могут не быть ни в одной из них. Группы нельзя добавлять в версии Standart. В версии Pro внутри групп могут быть еще группы, что позволяет создать сложную иерархическую структуру групп.
Assumed users Эта секция позволяет администратору настроить процесс опознания пользователей на основе машины, с которой пришли запросы.
System Policies В этой секции назнчаются системные права доступа и политики.
Иконки в окне Users
User(s) | Показывает пользователей из базы данных пользователей. | |
Group(s) | Показывает список имеющихся групп. | |
Assumed users | Содержит информацию о предполагаемых пользователях. | |
System policies | Содержит системные права и политики. |
Standard Свойства записей Аdministrator и Guest можно посмотреть и изменить.
Pro Можно добавить, удалить или изменить запись о пользователе.
Home Просмотр невозможен.
Установка TCP/IP на машине клиента
Будьте уверены, что запущен WinGate engine перед конфигурацией машины клиента. TCP/IP может быть уже установлен. В этом случае нет необходимости устанавливать его снова. Если позднее у вас будут проблемы с TCP/IP, удалите и установите его заново.
Вам может потребоваться установочное программное обеспечение для Windows, подготовьте Windows CD или установочный диск.
Для Windows 95:
Нажмите кнопку Start
Выберите Settings - Control Panel
Двойной клик на иконке Network
Для установки TCP/IP нажмите кнопку Add...
Двойной клик на Protocol, затем выберите Microsoft
Выделите TCP/IP и нажмите OK
Для Windows NT 4:
Нажмите кнопки Start
Выберите Settings - Control Panel.
Двойной клик на иконке Network
Для установки TCP/IP выберите Protocol
Клик по ADD
Выделите TCP/IP Protocol и нажмите OK
После этого нужно перезагрузить комппьютер.
Установка TCP/IP на машине с WinGate
Для работы WinGate необходим протокол TCP/IP. Машина для WinGate должна быть сконфигурирована до запуска программы установки WinGate.
Замечание
Если вы имеете работающий модем в Интернет, то у вас уже установлен протокол TCP/IP, поэтому этот шаг вы можете пропустить.
Вам может потребоваться установочное программное обеспечение для Windows, подготовьте Windows CD или установочный диск.
Для Windows 95:
Нажмите кнопку Start
Выберите Settings - Control Panel
Двойной клик на иконке Network
Для установки TCP/IP нажмите кнопку Add...
Двойной клик на Protocol, затем выберите Microsoft
Выберите TCP/IP и нажмите OK
For Windows NT 4:
Нажмите кнопку Start
Выберите Settings - Control Panel
Двойной клик на иконке Network
Для установки TCP/IP выберите Protocol
Клик по Add
Выберите TCP/IP Protocol и нажмите OK
Установка WinGate
Замечание
Не устанавливайте WinGate пока вы не установили протокол ТСР/IP. После того как TCP/IP заработает на вашей машине, вы можете устанавливать WinGate.
Если вы обновляете WinGate, пожалуйста, прочитайте раздел "Обновление Wingate".
Вы должны быть уверены, что Winsock 2 установлен на вашей серверной машине. Указатель на инсталлятор Winsock 2 есть на странице загрузки WinGate. В Windows 98 и NT 4 Winsock 2 установлен по умолчанию.
WinGate 3 запускается как Сервис. Это означает, что он пе появляется на рабочем столе как запущенное приложение. Файл WG3Eng9X.exe (95/98) или wingateengine.exe (NT) делает активную работу не мешая работе вашего компьютера. Большым преимуществом Сервисов является их запуск при старте Windows. Не надо никакой регистрации пользователя (logs on) для их запуска, и они не останавливаются, когда пользователь выходит (logs off). Работа Сервисов в 95/98 несколько отличается от NT, но основа сохраняется.
Для установки WinGate:
На машине с модемом (или соединенной с Интернет):
Запустите на выполнение установочный файл wingate30NT.exe или wingate309X.exe.
При этом будут установлены: WinGate, GateKeeper и различные другие файлы.
Файлы WinGate, GateKeeper и Help будут установлены по умолчанию в каталог C:\Program Files\WinGate\
Это задано в программе установки.
По окончании установки будет запущена WinGate engine. Иконки будут добавлены в группу WinGate для остановки и запуска Сервиса. Проверьте, что WinGate engine запущена перед запуском для конфигурирования машины клиента.
Замечание
Wingate имеет клиентское программное обеспечение для машин с Windows в вашей сети. Оно устанавливается с помощью той же самой программы установки, что и сервер. Когда программа установки запускается на клиентской машине, она найдет сервер Wingate и начнет установку клиентской части.
Это руководство предназначено для людей
Это руководство предназначено для людей устанавливающих WinGate 3 в своей сети. Рекомендуется прочитать вводное руководство перед тем как устанавливать Wingate или конфигурировать вашу сеть. ТСР/IP протокол должен быть установлен на каждой машине в вашей сети, желающей использовать Интернет.
Замечание
Если вы приобрели компьютер, на котором уже установлен клиент/сервер Wingate, то вам нет необходимости устанавливать или конфигурировать Wingate, т.к. он уже работант.
Вам предстоит сделать следующие четыре шага:
Настроить машину под сервер WinGate
Установить WinGate
Настроить клиентскую машину
Сконфигурировать WinGate
После установки WinGate и конфигурирования рабочих станций вы будете готовы к работе с Интернет, как если бы вы были подключены к нему непосредственно.
Установки для WWW Cache
Используется только при выборе типа установки 'Custom install'.
В диалоге вводятся параметры настройки кэна для WWW.
WinGate WWW Proxy обеспечивает HTTP кэширование. HTTP кэширование - это процесс накопления на машине с Wingate недавно полученной из Интернет информации: графические изображения, HTML документы или другие файлы. Кэширование позволяет получить в дальнейшем затребованные документы и файлы не прямо из Интернета, а из сохраненного кэша, что может значительно ускорить процесс получения.
Вы можете настроить 'Limit the cache size to:' (минимальный размер кэша) и 'Purge cache when full' (Чистка кэша, когда он полный)
Разумно ограничить кэш, т.к. это не даст заполнить кешом весь ваш жесткий диск. Очистка удалит ненужные файлы, когда кэш будет полон. Мы рекомендуем ввести все детали.
Возможности при наличии лицензии Pro
Удаленное администрирование
WinGate 3 управляется и настраивается с помощью инструмента удаленного администрирования GateKeeper. GateKeeper связывается с WinGate с помощью защищенной TCP/IP связи и для конфигурирования, и для моноторинга, и для управленияl. Gatekeeper можно использовать с любой машины с TCP/IP связью с машиной, на которой установлен WinGate. Сервис Wingate, обеспечивающий такой доступ, называется Remote Control Service. GateKeeper используется для конфигурирования, но не играет никакой роли для непосредственного доступа в Интернет.
Расширенная база данных пользователей
База данных пользователей позволяет регистрировать и контролировать каждого отдельного пользователя. Могут быть определены группы пользователей. Права доступа могут быть определены как для отдельного пользователя, так и для группы в целом. WinGate 3 позволяет сейчас вам создавать вложенные группы пользователей ( т.е., группы внутри других групп) для большей гибкости. WinGate WWW Proxy имеет так же встроенный идентифицирующий Java клиент (Java authentication client). Это позволяет администраторам проводить принудительную WWW идентификацию пользователей без необходимости запускать GateKeeper или WGIC. Когда неидентифицированный пользователь пытается обратиться к web-странице, появляются объяснительная страница и запускается Java-апплет для идентификации.
Идентификация клиента
Идентификация возможна через WGIC. Это позволяет идентифицировать по имени пользователя, определенном в WinGate, или по имени машины.
Возможность использования нескольких интерфейсов
WinGate может использовать несколько соединений с Интернет, что расширяет вашу полосу частот и ускоряет доступ. Комбинация модемов, ISDN и прямых соединений настраивается на уровне сервисов, что дает вам полный контроль и улучшение по всем направлениям.
Планировщик (Scheduler)
Планировщик позволяет администратору управлять многими регулярно повторяющимися операциями Wingate и системы. Многие операции могут быть автоматизированы: прокрутка Log-файлов, выключение WinGate, выполнение командной строки.
Возможности при наличии лицензии Standart или Pro
Политика защиты
Права могут быть определены пользователям для каждого сервиса или на все сразу. Права могут быть определены на основе пользователя/группы, IP-адреса, времени дня или дополнителных параметров каждого отдельного соединения.
Выбор каталога установки
Этот пункт относится к диалогу установки "Selecting installation directory"
Это директорий, в который устанвливаются выполняемые файлы и файлы ресурсов WinGate-а. Это должен быть локальный диск на машине с WinGate.
По умолчанию это каталог C:\Program Files\wingate
Диалог информирует вас о наличии свободного места на текущем жестком диске.
WinGate при запуске создает по умолчанию следующие подкаталоги в каталоге установки Wingate: C:\Program Files\WinGate\logs C:\Program Files\WinGate\audit C:\Program Files\WinGate\cache C:\Program Files\WinGate\resources C:\Program Files\WinGate\java
audit: | Содержит файлы аудита событий каждого пользователя |
logs: | Содержит log-файлы для регистрации событий по каждому из сервисов |
cache: | Кэш -файлы для WinGate |
resources: | Содержит gif-файлы изображений, используемых в FTP в WWW proxy |
java: | Содержит файлы для Java регистрации клиентов в WWW proxy |
What to cache (что кэшировать)
Cache everything - кэшировать все;
Specify which requests will be cached - определить запросы подлежащие кэшированию;
Add Filter - добавить фильтр;
Add Criterion - добавить критерий;
Delete - удалить;
Apply - применить.
В этом примере кэширование не разрешается для пользователей mary и bob. Заметим, что они имеются в том же самом фильтре!
Для понимания того как работает кэш вы должны понимать операторы AND, OR и NOT и знать правила их использования в правилах логики в WinGate.
AND (и): Если между двумя событиями стоит AND, значит оба они должны произойти.
OR (или): Если между двумя событиями стоит OR, то должно произойти хотя бы одно из них.
NOT (не): Если к событию критерия применить оператор NOT, тогда этот критерий применяется, если событие не происходит.
В логике работы кэша Filters соответствует оператору OR, а Сriteria - оператору AND. Так что, если запрос соответствует всем критеряим и любому из фильтров, то он будет помещен в кэш. В противном случае - нет.
Здесь кроется общая ловушка. Если вы хотите сказать: "Не кэшировать файлы для пользователей mary и bob". Вы можете предположить. что для выполнения этого вам надо установить два фильтра. Один с критерием Not User: Username equals mary, а другой с критерием Not User: Username equals bob. Но в таком случае кэшироваться абсолютно все: bob не может сделать это через фильтр с критерием Not User: Username equals bob, но его имя не mary, поэтому он может сделать это в соответствии со вторым фильтром. Для mary наоборот: нет доступа по второму фильтру, но есть по первому.
Фраза "Не кэшировать файлы для mary или bob" на самом деле означает: "Не кэшировать файлы ни для mary, ни для bob". Значит одновременно должны выполняться два условия:
a. Не кэшировать файлы запрошенные пользователем bob.
b. Не кэшировать файлы запрошенные пользователем mary.
Итак, реальная логика заключается в следующем: Следует кэшировать файлы не (NOT) запрошенные пользователем bob и не (NOT) запрошенные пользователем mary. Окончательным результатом будет один фильтр с двумя критериями, как показано на рисунке выше.
Замечание. Правила отрицания (т.е. кэширование зависит от того, что не должно иметь место) становится всеобщим. Предыдущий пример показывает, что запись может быть запрещена одним фильтром, но разрешена другим. Если вы хотите использовать несколько фильтров и некоторый запрещающий критерий, то вы должны включить этот критерий в каждый из фильтров.
Это применимо ко всем правилам в WinGate, включая правила кэширования и правила доступа.
What to purge (что чистить)
После установки предельного размера кэша Wingate может инициировать очистку, т.е. удаление ненужных или редкоиспользуемых файлов.
Для понимания того как работает кэш вы должны понимать операторы AND, OR и NOT и знать правила их использования в правилах логики в WinGate.
AND (и): Если между двумя событиями стоит AND, значит оба они должны произойти.
OR (или): Если между двумя событиями стоит OR, то должно произойти хотя бы одно из них.
NOT (не): Если к событию критерия применить оператор NOT, тогда этот критерий применяется, если событие не происходит.
В логике работы очистки Filters соответствует оператору OR, а Сriteria - оператору AND. Так что, если кэшированные файлы соответствует всем критеряим и любому из фильтров, то они будут очищены. В противном случае - нет.
Вы можете думать о этих фильтрах, как о файлах, которые будут удалены. Добавляя фильтры, вы добавляете типы файлов, которые вы хотите удалить. Добавляя критерий к фильтру, вы определяете условия, при которых этот профиль применим.
Замечание. Правила отрицания (т.е. кэширование зависит от того, что не должно иметь место) становится всеобщим. Предыдущий пример показывает, что запись может быть запрещена одним фильтром, но разрешена другим. Если вы хотите использовать несколько фильтров и некоторый запрещающий критерий, то вы должны включить этот критерий в каждый из фильтров.
Wingate и Quake I & II
В Quake играют через Интернет подключившись к одному из многочисленных Quake servers. Сервера используют UDP (User Datagram Protocol) для соединения, поэтому вы должны специальным образом сконфигурировать WinGate для Quake. Quake servers предоставляют номера портов, используемых для этих соединений. И вы должны посмотреть номера UDP портов, используемых на нужном вам сервере.
Настройка WinGate:
Настройте UDP Mapping на порт определенный на Quake server. Mapping должен указывать на IP-адрес Quake server (например, '24.100.102.100') и определенный там порт (обычно, это порт 27910).
Настройка Quake:
В окне игры введите 'connect wingate:27910', где 27910 - номер порта, используемый для UDP mapping.
ПРИМЕР
Предположим, для обычного соединения с сервером вы должны ввести "connect 159.153.164.72:27910"
При наличии же WinGate сначала создайте UDP mapping через порт 27910 на IP-адрес 159.153.164.72 и порт 27910. Вот теперь вы можете для соединения с сервером ввести "connect wingate:27910"
Вы так же можете использовать IP-адрес WinGate-а "connect 192.168.0.1:27910"
Вы можете соединяться с разными Quake servers создавая UDP mappings на разные порты. Скажем, вы имеете три сервера:
123.123.123.123 порт 27910
121.121.121.121 порт 27910
111.111.111.111 порт 27910
Выполните следующие настройки:
Создайте 3 UDP mappings, указывающих на разные игровые сервера, но использующих одинаковый номер порта 27910.
Установите первый UDP mapping на порт 27910.
Так как все три сервера имеют один и тот же IP-адрес (адрес Wingate-а), то для второго сервера установите UDP mapping на порт 27911, а для третьего - 27912.
Теперь для соединения с каждым из серверов используйте соответствующую запись: 'connect 192.168.0.1:27910' для сервера 1 'connect 192.168.0.1:27911' для сервера 2 'connect 192.168.0.1:27912' для сервера 3
клиентов или для случаев, когда
WGIC исключает всякую необходимость в прокси-сервисах. Однако, прокси-сервисы нужны для не РС- клиентов или для случаев, когда вы желаете иметь контроль за каждым сервисом.
WWW Proxy
WinGate 3 WWW proxy - совместимый с HTTP/1.0 кэширующий HTTP прокси-сервер. Он поддерживает запросы HTTP, запросы FTP и тунелирование SSL. WinGate WWW proxy - также и web-сервер с просмотром директориев и поддержкой CGI в версии для Windows NT. Имеется возможность управления обычными (не через прокси) запросами в любых направлениях, что обеспечивает хорошую обратную связь с вашим существующим WWW-сервером. WinGate 3 WWW proxy также позволяет касадную работу через другие прокси- или SOCKS4-сервера.
SOCKS Server
WinGate 3 SOCKS server - совместим с SOCKS 4 и SOCKS 5 (RFC 1928). Он поддерживает RFC1929 идентификацию, использующую бюджеты пользователей из базы данных WinGate. WinGate SOCKS server - понимает HTTP. Он может перехватывать запросы HTTP и управлять ими с помощью WinGate WWW proxy. Это значит, что даже ваши пользователи SOCKS пользуются услугами WWW proxy servera (кэширование) и могут быть объектам той же самой секретной политики.
FTP Proxy
FTP Proxy обеспечивает доступ к FTP-серверам. Он использует метод username@hostname для прохождения через защитный барьер (firewall). FTP Proxy поддерживает не-прокси запросы. Это позволяет поддерживать обратную связь с вашим FTP-сервером и работать каскадно через другие прокси.
POP3 Proxy
WinGate POP3 proxy дает доступ к POP3-серверам в Интернет для получения почты. Как и WWW-, и FTP-прокси серверы, POP3 Proxy поддерживает обратную связь с вашим РОР3-сервером, давая вам интегрированную почтовую систему. Также возможна каскадная работа через другие прокси.
Telnet Proxy
WinGate Telnet proxy обеспечивает доступ к серверам telnet. Telnet proxy в WinGate 3 поддерживает многие клиенты telnet, включая Unix. Telnet также поддерживает каскадирование. Telnet proxy поддерживает регистрацию пользователя для дополнительной секретности.
VDOLive Proxy
Этот прокси предоставляет всем пользователям сети прелести живого видео с помощью видео-плейера от VDONet Corporation. Вы только должны быть уверены, что ваша версия плейера может работать через прокси. Не-прокси управление также позволяет вам запустить свой VDO-сервер, с которым WinGate иметь обратную связь.
RealAudio Proxy
RealAudio proxy позволяет пользователям сети получить доступ к серверам RealAudio для потокового аудио и видео. Требуется версия RealAudio плейера (версия 2 или выше) работающая через прокси. Не-прокси управление также позволяет вам запустить свой RealServer-сервер, с которым WinGate иметь обратную связь.
Xing Streamworks Proxy
XDMA proxy позволяет клиентам Xing Streamworks работать в вашей сети.
Mapping Proxies
Mapping proxies (отображающие прокси) в WinGate обеспечивают создание соединений и для TCP, и для UDP приложений, которые не поддерживают имеющиеся прокси-протоколы. Улучшенное отображение (Enhanced mapping) позволяет отображаемым связям основываться на местонахождении пользователя или профиле дозвонки. Mapping proxies для TCP поддерживают end-to-end шифрование. Это позволяет создать защищенное соединение WinGate-WinGate через Интернет или сеть.
Non-proxy capability
Наличие способности многих прокси-сервисов обрабатывать не-прокси запросы WinGate позволяют другим Интернет-серверам соединяться с WinGate без конфликтов и необходимости использовать разные номера портов. Любые не-прокси запросы к WinGate могут быть перенаправлены на другие сервера. Это также позволяет WinGate контролировать доступ к другим серверам, которые, возможно, не имеют гибкости для управления доступа, какую имеет WinGate.