![](/user_photo/_userpic.png)
- •Содержательная постановка задачи
- •Структура решения задачи
- •Теоретическая часть
- •Основные протоколы прокси-серверов
- •Http-прокси
- •Https-прокси
- •Socks прокси
- •Способы аутентификации
- •Способы ограничений
- •Обзор и анализ методов решения
- •Обзор существующих прокси-серверов
- •Kerio Control
- •Microsoft Forefront Threat Management Gateway
- •Сравнение
- •Обобщенный алгоритм
- •Описание и реализация применяемых методов
- •Установка прокси-сервера
- •Организация удаленного доступа
- •Конфигурирование прокси на клиенте
- •Создание пользователей
- •Создание списков доступа и ограничений
- •Настройка родительского (каскадного) прокси
- •Настройка кэширования
- •Настойка логирования
- •Заключение
Способы ограничений
С помощью прокси-сервера можно ограничить следующие действия пользователя:
Ограничение по использованию определенного порта. С помощью данных ограничений можно разрешить доступ по "безопасным" портам, которые, например, используют проверенные приложения. Или же можно запретить весь траффик по определенному порту, например, по 80.
Ограничение по доступу по определенным url, в том числе по маске, например «*google*» запретит доступ ко всем сайтам, в названии которых встречается «google».
Ограничение по доступу к определенным ip-адресам, в том числе по маске.
Обзор и анализ методов решения
Обзор существующих прокси-серверов
Kerio Control
KerioControl– программный межсетевой экран, разработанный компаниямиKerioTechnologiesиTinySoftware. Основными функциями программы являются: организация безопасного пользовательского доступа в Интернет, надежная сетевая защита ЛВС, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента.
Рисунок 3. KerioControl
Рассмотрим основные особенности продукта:
Многоязычный интерфейс
Прокси сервер с поддержкой SOCKS
Интегрированный антивирус Sophos
Возможность подключения сторонних антивирусных модулей
Контроль пропускной полосы канала
Балансировка нагрузки на каналы
Реализован встроенный VPN
Мониторинг и протоколирование пользовательской активности в Интернет
Интеграция с Active Directory
Поддержка платформ Windows, Linux
Минусом
является цена продукта -
евро в год.
Актуальная версия продукта – 9.1.0 от 14 июня 2016 года.
Microsoft Forefront Threat Management Gateway
MicrosoftForefrontThreatManagementGateway(ранее известный какMicrosoftInternetSecurityandAccelerationServer) – прокси сервер для защиты сети от атак извне, а также контроля интернет-трафика, который «позволяет сотрудникам компании безопасно и эффективно пользоваться ресурсами Интернета, не беспокоясь о вредоносных программах и других угрозах».
MicrosoftForefrontTMGпредлагает множество возможностей, включая:
Режимы работы: роутера, сетевого шлюза, VPN,NAT,Proxy
Файрвол с возможностью анализа входящего и исходящего трафика
Возможности ускорения: сжатие веб-трафика, веб-кэш часто используемого контента. Можно самостоятельно добавить в кэш некоторые файлы, например, файлы MicrosoftUpdate.
9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка была прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не доступен для приобретения с 1 декабря 2012 года.
Актуальная версия: MicrosoftForefrontThreatManagementGateway2010SP2 от Июня 2010 года
Squid
Squid– программный пакет, реализующий функцию кэширующего прокси-сервера для протоколовHTTP,HTTPS,FTPиGopher. Разработан сообществом как программа с открытым исходным кодом (GNUGPL). Все запросы выполняет как один неблокируемый процесс ввода-вывода. Поддерживает все популярные системыLinux(FreeBSD,Fedora,Ubuntu,Solarisи прочие),MacOsX, а такжеWindows. Имеет возможность взаимодействия сActiveDirectoryWindowsServerчерезLDAP, что позволяет использовать учетные записиWindowsServer.
Для контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа (ALC,AccessControlList). КаждыйALCможет состоять из нескольких критериев одного типа.
Поддерживаются следующие виды идентификации пользователей:
По IP-адресу
По логину и паролю
По идентификатору пользовательского агента
По учетной записи Windows Server
По Mac-адресу
Одной из особенностей Squidявляется возможность работать в режиме обратного прокси (reverseproxy) для сервера, также известного как ускоритель. В этом случае кэшируются запросы множества пользователей к нескольким сайтам. В этом случае принятый запрос проверяется на динамичность (нужно ли каждый раз обрабатывать запрос с нуля) и актуальность данных. Если данные все еще актуальны, то запрос не передается на сервер, а отдаётся из кэшаSquid. В сочетании с некоторыми межсетевыми экранами и маршрутизаторамиSquidможет работать в режиме прозрачного прокси.
Из минусов можно выделить сложность написания конфигурационного файла вручную и отсутствие официальной русской документации.
Продукт бесплатен и распространяется под лицензией GNU.
Актуальная версия: 3.5.22 от 9 октября 2016.
3proxy
3proxy это маленький многоплатформный набор прокси-серверов (под Linux/Unix и Windows, включая 64-битные версии).
Он включает в себя HTTP прокси с поддержкой HTTPS и FTP (proxy/proxy.exe), SOCKSv4/SOCKSv4.5/SOCKSv5 прокси (socks/socks.exe), POP3 прокси (pop3p/pop3p.exe), SMTP прокси (smtpp/smtpp.exe), AIM/ICQ прокси (icqpr/icqpr.exe), MSN messenger / Live messenger proxy (msnpr/msnpr.exe), FTP proxy, кэширующий DNS прокси, TCP и UDP портмапперы (tcppm, udppm) а так же комбинированный прокси-сервер с поддержкой дополнительных возможностей, таких как управление доступом, ограничение ширины потребляемого канала, ограничение трафика на день, неделю и месяц, перенаправление соединений, построение цепочек соединений (proxy chaining), ротацию лог-файлов, ведение журналов через ODBC и syslog и т.д. (3proxy).
Он создан в рассчете на то, чтобы быть маленьким и простым и в то же время функциональным. Версия под Win32/Win64 использует родные библиотеки (т.е. не требуется Cygwin или другие POSIX-эмуляторы), поддерживается установка в качестве сервиса. На сегодняшний день работоспособность проверена на Windows начиная с 98 и заканчивая последними версиями, FreeBSD/i386/x64, NetBSD/i386/x64, OpenBSD/i386/x64, Linux/i386/x64/arm/PPC/Alpha, Mac OS X, Solaris/i386/x64.
Плюсами 3proxyявляется простота установки, конфигурирования и малый размер установочного файла (меньше мегабайта).
Из минусов можно отметить отсутствие репозитория для Linuxи ограниченные возможности удаленного администрирования.
Продукт бесплатен и распространяется под лицензией GNU.
Актуальная версия: 0.8.8 от 16 декабря 2016