Из сети в Интернет

Сегодня уже невозможно представить себе офис какой-нибудь компании или учреждения без компьютеров, объединенных в локальную сеть. Но нельзя отставать от жизни. Рано или поздно руководство любой компании задумывается о выходе в Интернет. И вот тут-то начинается настоящий кошмар для системного администратора. Во-первых, необходимо защитить локальную сеть от множества опасностей, которые начинают угрожать ей после подключения к Интернету. Во-вторых, нужно установить и настроить специальное программное обеспечение, чтобы обеспечить персональным выходом каждого сотрудника офиса. А тут еще и руководство наседает, желая регулярно получать различные отчеты, дабы убедиться в эффективном использовании Интернета. И это еще полбеды. Это же самое руководство зачастую отказывается приобретать программное обеспечение, которое нужно для решения этих задач. Или покупает минимальный набор самых дешевых утилит, не обращая внимания на дополнительные модули для составления отчетов, слежения за пользователями и т. п.

Прекрасным выходом из создавшейся ситуации является программный комплекс Lan2net, разработанный компанией CAP3. В этом продукте есть все функции, которые могут потребоваться системному администратору для создания и поддержания в рабочем состоянии выхода в Интернет для пользователей локальной сети: мощный "прокси-сервер", файрвол, журнал, мониторинг деятельности людей, распределитель загрузки канала. Собственно говоря, за это говорит и название программы. Ведь если из фразы Lan2net убрать все сокращения, а затем перевести ее на русский язык, то получится примерно следующее: "Из сети в Интернет".

А начать разговор об этой программе лучше всего с рассмотрения ее архитектуры. Она такова. Комплекс Lan2net состоит из двух частей. Первая - это NDIS-драйвер. Он инсталлируется на компьютере, являющемся шлюзом в Интернет. В задачи драйвера входит перехват трафика, идущего через все сетевые карты, установленные на ПК. Перехват пакетов осуществляется на нижнем уровне, что полностью исключает возможность их передачи "в обход" Lan2net независимо от используемого протокола. Кроме того, именно драйвер по определенному пользователю набору правил решает, передать перехваченный сетевой пакет по назначению или нет. Вторая часть комплекса - сервис Lan2net (l2nservice), также инсталлируемый на шлюзе. Именно он передает правила из базы данных, где они хранятся, драйверу. Кроме этого сервис собирает информацию по открытым IP-соединениям и статистику по переданным и принятым данным и создает записи в логах.

Схема подключения локальной сети к Интернету

Но это внутреннее, незаметное для пользователя деление. На "поверхности" же Lan2net разделен на две программы. Первая - интерфейс администратора. С его помощью осуществляется вся настройка комплекса. Кстати, "общение" интерфейса администратора и сервиса l2nservice между собой построено на основе технологии DCOM. А это значит, что Lan2net можно управлять удаленно. Вторая программа, входящая в комплекс - клиент. Она используется для просмотра пользователем статистики, а также для NTLM-аутентификации. Связь между клиентом и сервисом Lan2net осуществляется по протоколу TCP/IP.

Разобрав архитектуру Lan2net, перейдем к рассмотрению принципов ее работы. Доступ в Интернет сразу нескольких пользователей через один канал связи осуществляется с помощью технологии Network Address Translation (NAT). Заключается она в следующем. На компьютере, через который осуществляется соединение с Интернетом, установлены два адаптера. Один из них (его обычно называют внутренним) отвечает за подключения к локальной сети, другой - к Интернету. Технология NAT обеспечивает трансляцию адресов. Она позволяет хостам локальной сети получить доступ к хостам глобальной с использованием единственного IP-адреса, выданного провайдером.

Защитные функции программа Lan2net выполняет следующим образом. Как мы уже говорили, все сетевые пакеты "просматривает" драйвер. Он же разрешает или запрещает их движение на основе правил, заданных пользователем. Администратор может запретить выполнять любые действия программам, пытающимся получить доступ к ресурсам сервера из Интернета. Если же кому-то из пользователей необходима такая возможность, например, для удаленной работы, то в этом случае должны быть созданы специальные правила, допускающие это с использованием NTLM- аутентификации. Точно так же можно задать правила для отдельных людей или целых групп, регламентирующие их работу в локальной сети.

Главное окно интерфейса администратора

Ну а теперь, когда мы с вами, уважаемые читатели, узнали о возможностях Lan2net, давайте хотя бы кратко разберем, как нужно настраивать эту программу перед началом работы. Во-первых, для этого необходимо установить комплекс на компьютер, играющий роль шлюза, перезагрузить ПК и запустить интерфейс администратора. При этом Lan2net сама предложит пользователю воспользоваться мастером конфигурации. Этот мастер автоматически создаст нужные соединения и основные группы людей, имеющие разные права: разрешение на работу в локальной сети для всех компьютеров, к ней подключенных, запрещение доступа из Интернета и т. п.

После работы мастера администратор должен проверить настройки используемых соединений и, в случае необходимости, поправить их. Следующий шаг - добавление новых групп, регламентирующих права различных пользователей. При этом для каждой из них можно установить суточный, месячный и общий лимит входящего и исходящего интернет-трафика. Также допускается указание исключений, то есть адресов, информация с которых не будет учитываться в ограничениях. Таким образом, у администратора есть возможность обеспечить бесперебойную работу сотрудников компании с корпоративными серверами и предотвратить нецелевое использование Интернета.

Идем дальше. Теперь необходимо завести учетные записи на каждого сотрудника, имеющего право на работу в Интернете. При этом указывается группа, к которой он относится, способ аутентификации и некоторые дополнительны параметры (например, определенный IP-адрес или MAC-адрес). После этого для каждого пользователя можно указать отдельные лимиты трафика, просмотреть лог его работы в глобальной сети, а также обнулить счетчик отправленной или полученной информации. Таким образом, у администратора есть средства для постоянного контроля за расходом интернет-трафика различными сотрудниками.

Установка лимита трафика для группы пользователей

Еще одним важным пунктом в настройке Lan2net является система распределения загрузки канала. Дело в том, что при активной работе в глобальной сети достаточно большого числа сотрудников или при использовании некоторых видов доступа (например, dial-up), скорость передачи данных получается чрезвычайно низкой. Можно, конечно, перейти на более "толстый" канал. Однако это стоит денег и зачастую немалых. Другим решением проблемы является оптимизация использования существующего канала связи. Она позволяет разделить весь трафик на классы, соответствующие различным пользователям или группам пользователей и обеспечить каждому из них заранее определенный или динамически изменяемый минимум скорости передачи информации в зависимости от потребности. В Lan2net реализовано сразу три способа распределения нагрузки канала.

Ну а теперь пришла пора подводить итоги. Комплекс Lan2net является мощным продуктом, с помощью которого можно осуществить подключение локальной сети к Интернету через один канал связи. К сожалению, есть у него и минусы. Так, например, во время тестирования сервис l2nservice несколько раз выдавал сообщение об ошибке, в результате чего приходилось его перезапускать. Кроме того, есть некоторые недочеты и в интерфейсе - неудобно реализовано добавление пользователей, настройка распределения загрузки канала и просмотр журнала событий. В остальном же замечаний к Lan2net нет. А поэтому эту программу можно смело рекомендовать администраторам локальных сетей.