ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.11.2023
Просмотров: 259
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
При выборе оптимального решения, совместно с администрацией школы,
выбрали ИКС-сервер ввиду следующих преимуществ :
наличие профиля, специально разработанного для учебных
заведений в соответствии 436-ФЗ РФ;
готовый набор правил для школ;
4
1
автоматическая контент-фильтрация по спискам Минюста и
Роскомнадзора;
контентная фильтрация в соответствии с ФЗ №139;
возможность задания запрещающих и разрешающих правил
системным администратором;
подробные отчеты по использованию интернета школьниками
(возможны варианты отчетов по конкретному пользователю, по посещенным
сайтам, по объему трафика и прочее).
мониторинг работы с уведомлениями.
После инсталирования системы ИКС-сервер необходимо настроить
сетевые интервейсы внешней и внутреней сетей, для этого перейти во
вкладку провайдеры и ввести настройки.
Рис 3. Окно авторизации
Настройка прав доступа и привязка IP адрессов пользователей
происходит через оснастку пользователи, здесь собраны правила доступа и
контентной фильтрации для каждого отдельного пользователя, присутствует
возможность включения и отключения правил к ресурсам и типам данных, в
том числе и по времени.
4
2
Рис 4. Экран пользователя
Пользователей можно группировать как IP -адресам, так и по группам
правил, назначая политики доступа и правила фильтрации для целых групп
пользователей.
Рис. 5 Пользователи сети
На
сервере
применяются
следующие
способы
авторизации
пользователей:
4
3
1
) авторизация по логину и паролю в модуле «Прокси-сервер»
Изделия. Для того, чтобы пользователь мог подключиться к прокси-серверу,
необходимо, чтобы в его веб- браузере был указан ip-адрес внутреннего
интерфейса Изделия («Локальная сеть») и порт 3128 (по умолчанию, данный
порт может быть изменен в настройках модуля «Прокси-сервер»). Сама
авторизация может осуществляться двумя методами: по логину и паролю
пользователя (пользователь, сделавший HTTP-запрос, получает первоначально
приглашение на ввод своего логина и пароля доступа, а после успешной
идентификации – результат запроса) и через домен (пользователь,
зарегистрированный на сервере Active Directory, автоматически авторизуется
на прокси-сервере). Второй метод возможен лишь в том случае, когда
программа присоединена к домену Active Directory. Следует отметить, что в
обоих случаях пользователю будет доступен выход во внешнюю сеть только по
протоколу HTTP. Внимание! При этой схеме авторизации у пользователя не
будет работать ICQ, почта, клиент-банк и другие программы которые работают
не по протоколу HTTP.
2
) авторизация по ip-адресу. Применяется в том случае, когда
пользователи локальной сети имеют статические ip-адреса либо динамические
ip-адреса, регистрируемые с привязкой к mac-адресу. Для того, чтобы
пользователь мог получить доступ во внешнюю сеть, достаточно добавить его
ip-адрес во вкладке «Ip-адреса» индивидуального модуля пользователя.
Пользователь получает доступ во внешнюю сеть по всем протоколам в
соответствии с глобальными и индивидуальными политиками доступа. Ip-адрес
довольно легко подделать. Злонамеренный пользователь может выдать себя за
другого, просто поменяв сетевые настройки на своём компьютере. Для того,
чтобы это предотвратить, воспользуйтесь функцией привязки к MAC-адресу.
3
) авторизация посредством клиентской части Изделия xauth.exe.
Применяется в том случае, когда пользователи сети имеют динамические
переменные ip-адреса. Как и при авторизации по ip-адресу, пользователь
получает полный доступ во внешнюю сеть при данном типе авторизации. Для
4
4
того, чтобы выполнить авторизацию, пользователю необходимо на своем
компьютере запустить файл xauth.exe (применимо только для Windows-систем).
Далее возможны два метода подключения: простая авторизация (пользователь
получает приглашение на ввод своего логина и пароля) и авторизация через
домен (пользователь, зарегистрированный на сервере Active Directory,
автоматически авторизуется в программе). Второй метод возможен лишь в том
случае, когда программа присоединена к домену Active Directory.
4
) авторизация по MAC. Данный вид авторизации удобен, когда в сети
используются динамические адреса, но в качестве DHCP-сервера выступает не
ИКС. Для того, чтобы добавить пользователю mac-адрес, перейдите во вкладку
IP-адреса и нажмите Добавить - MAC-адрес.
5
) авторизация пользователей терминального сервера Для ИКС все
пользователи, работающие через терминальный сервер неотличимы друг от
друга по своим запросам в сети (в качестве источника выступает один и тот же
ip-адрес терминального сервера). Таким образом, для того чтобы разделить
статистику и настройки доступа, вам необходимо указать прокси-сервер в
настройках браузера каждого из терминальных пользователей. Тогда каждый
пользователь будет зарегистрирован под своим логином, и запросы,
проходящие через прокси будут идентифицироваться отдельно для каждого из
пользователей терминала.
Импорт пользователей возможен в четырех вариантах:
из файла (источником служит файл формата TXT, в котором
перечислены строки, содержащие параметры имя, логин, пароль, ipадрес),
из домена (импортирует пользователей Active Directory, для того,
чтобы данный импорт был возможен, необходимо присоединить программу к
домену через модуль «Сетевое окружение»),
из сети (сканирует каждую локальную сеть на предмет доступных
ip-адресов из адресного пространства сети),
из LDAP/AD (аналогичен импорту из домена, однако не требует
постоянного присоединения к нему).
4
5
Чтобы импортировать пользователей, зайдите в модуль «Пользователи» и
нажмите в правом верхнем углу на кнопку «Импорт». Откроется диалоговое
окно, предлагающее выбрать, каким образом пользователи будут
импортированы.
Фильтрация нежелательного контента собрана в двух вкладках – первая
наборы правил. Для создания правила необходимо выбрать группу
пользователей и создать правило: разрешающие либо запрещающие. В данной
работе были созданы правила для ограничения доступа к социальным сетям,
онлайн казино, настроено перенаправление запросов поисковых систем на