3. Способы ограничений

С помощью прокси-сервера можно ограничить следующие действия пользователя:

• Ограничение по использованию определенного порта. С помощью данных ограничений можно разрешить доступ по "безопасным" портам, которые, например, используют проверенные приложения. Или же можно запретить весь траффик по определенному порту, например, по 80.

• Ограничение по доступу по определенным url, в том числе по маске, например «*google*» запретит доступ ко всем сайтам, в названии которых встречается «google».

• Ограничение по доступу к определенным ip-адресам, в том числе по маске.

4. Обзор и анализ методов решения

   1. Обзор существующих прокси-серверов

      1. Kerio Control

KerioControl– программный межсетевой экран, разработанный компаниямиKerioTechnologiesиTinySoftware. Основными функциями программы являются: организация безопасного пользовательского доступа в Интернет, надежная сетевая защита ЛВС, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента.

Рисунок 3. KerioControl

Рассмотрим основные особенности продукта:

• Многоязычный интерфейс

• Прокси сервер с поддержкой SOCKS

• Интегрированный антивирус Sophos

• Возможность подключения сторонних антивирусных модулей

• Контроль пропускной полосы канала

• Балансировка нагрузки на каналы

• Реализован встроенный VPN

• Мониторинг и протоколирование пользовательской активности в Интернет

• Интеграция с Active Directory

• Поддержка платформ Windows, Linux

Минусом является цена продукта - евро в год.

Актуальная версия продукта – 9.1.0 от 14 июня 2016 года.

2. Microsoft Forefront Threat Management Gateway

MicrosoftForefrontThreatManagementGateway(ранее известный какMicrosoftInternetSecurityandAccelerationServer) – прокси сервер для защиты сети от атак извне, а также контроля интернет-трафика, который «позволяет сотрудникам компании безопасно и эффективно пользоваться ресурсами Интернета, не беспокоясь о вредоносных программах и других угрозах».

MicrosoftForefrontTMGпредлагает множество возможностей, включая:

• Режимы работы: роутера, сетевого шлюза, VPN,NAT,Proxy

• Файрвол с возможностью анализа входящего и исходящего трафика

• Возможности ускорения: сжатие веб-трафика, веб-кэш часто используемого контента. Можно самостоятельно добавить в кэш некоторые файлы, например, файлы MicrosoftUpdate.

9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка была прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не доступен для приобретения с 1 декабря 2012 года.

Актуальная версия: MicrosoftForefrontThreatManagementGateway2010SP2 от Июня 2010 года

3. Squid

Squid– программный пакет, реализующий функцию кэширующего прокси-сервера для протоколовHTTP,HTTPS,FTPиGopher. Разработан сообществом как программа с открытым исходным кодом (GNUGPL). Все запросы выполняет как один неблокируемый процесс ввода-вывода. Поддерживает все популярные системыLinux(FreeBSD,Fedora,Ubuntu,Solarisи прочие),MacOsX, а такжеWindows. Имеет возможность взаимодействия сActiveDirectoryWindowsServerчерезLDAP, что позволяет использовать учетные записиWindowsServer.

Для контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа (ALC,AccessControlList). КаждыйALCможет состоять из нескольких критериев одного типа.

Поддерживаются следующие виды идентификации пользователей:

• По IP-адресу

• По логину и паролю

• По идентификатору пользовательского агента

• По учетной записи Windows Server

• По Mac-адресу

Одной из особенностей Squidявляется возможность работать в режиме обратного прокси (reverseproxy) для сервера, также известного как ускоритель. В этом случае кэшируются запросы множества пользователей к нескольким сайтам. В этом случае принятый запрос проверяется на динамичность (нужно ли каждый раз обрабатывать запрос с нуля) и актуальность данных. Если данные все еще актуальны, то запрос не передается на сервер, а отдаётся из кэшаSquid. В сочетании с некоторыми межсетевыми экранами и маршрутизаторамиSquidможет работать в режиме прозрачного прокси.

Из минусов можно выделить сложность написания конфигурационного файла вручную и отсутствие официальной русской документации.

Продукт бесплатен и распространяется под лицензией GNU.

Актуальная версия: 3.5.22 от 9 октября 2016.

4. 3proxy

3proxy это маленький многоплатформный набор прокси-серверов (под Linux/Unix и Windows, включая 64-битные версии).

Он включает в себя HTTP прокси с поддержкой HTTPS и FTP (proxy/proxy.exe), SOCKSv4/SOCKSv4.5/SOCKSv5 прокси (socks/socks.exe), POP3 прокси (pop3p/pop3p.exe), SMTP прокси (smtpp/smtpp.exe), AIM/ICQ прокси (icqpr/icqpr.exe), MSN messenger / Live messenger proxy (msnpr/msnpr.exe), FTP proxy, кэширующий DNS прокси, TCP и UDP портмапперы (tcppm, udppm) а так же комбинированный прокси-сервер с поддержкой дополнительных возможностей, таких как управление доступом, ограничение ширины потребляемого канала, ограничение трафика на день, неделю и месяц, перенаправление соединений, построение цепочек соединений (proxy chaining), ротацию лог-файлов, ведение журналов через ODBC и syslog и т.д. (3proxy).

Он создан в рассчете на то, чтобы быть маленьким и простым и в то же время функциональным. Версия под Win32/Win64 использует родные библиотеки (т.е. не требуется Cygwin или другие POSIX-эмуляторы), поддерживается установка в качестве сервиса. На сегодняшний день работоспособность проверена на Windows начиная с 98 и заканчивая последними версиями, FreeBSD/i386/x64, NetBSD/i386/x64, OpenBSD/i386/x64, Linux/i386/x64/arm/PPC/Alpha, Mac OS X, Solaris/i386/x64.

Плюсами 3proxyявляется простота установки, конфигурирования и малый размер установочного файла (меньше мегабайта).

Из минусов можно отметить отсутствие репозитория для Linuxи ограниченные возможности удаленного администрирования.

Продукт бесплатен и распространяется под лицензией GNU.

Актуальная версия: 0.8.8 от 16 декабря 2016