Giải pháp tiêu chuẩn tổ chức truy cập Internet cho tổ chức nhỏ
Cổng thông tin trường học hỗ trợ quản lý truy cập Internet.
Việc quản lý được thực hiện thông qua tích hợp với máy chủ proxy Squid.
Để thay đổi quyền truy cập, hãy vào menu: Dịch vụ → Truy cập Internet....
Hành động này chỉ dành cho đại diện của ban giám hiệu nhà trường.
Để cấp quyền truy cập Internet, chỉ cần đánh dấu vào ô bên cạnh tên người dùng (học sinh, giáo viên) hoặc cả lớp. Để thu hồi quyền truy cập, bạn cần bỏ chọn hộp này. Những thay đổi được áp dụng sau khi nhấp vào nút "Lưu".
Lên xe vào mạng nội bộ truy cập Internet, được hướng dẫn bởi quyền được định cấu hình trong Cổng thông tin, bạn cần định cấu hình quyền đó để sử dụng máy chủ proxy.
Địa chỉ máy chủ proxy là địa chỉ máy chủ của trường bạn trên mạng cục bộ nơi Cổng thông tin trường học được cài đặt. Cổng giao thức - 3128 .
Khi người dùng truy cập Internet thông qua máy chủ proxy, thông tin đăng nhập và mật khẩu sẽ được yêu cầu từ Cổng thông tin trường học.
Để ngăn chặn truy cập Internet bỏ qua máy chủ proxy một cách đáng tin cậy, cần kiểm tra xem máy chủ của trường không cung cấp định tuyến Internet cho các máy quan tâm và các máy đó cũng không có quyền truy cập thông qua bộ chuyển mạch, modem, bộ định tuyến, Wi-Fi và thiết bị khác cơ sở giáo dục, mà nhân viên và sinh viên có thể truy cập trực tuyến.
Hệ thống lọc nội dung (SCF)
Cả sự vắng mặt của SCF và tích hợp với nhiều nhà cung cấp đều được hỗ trợ.
Cài đặt SCF nằm ở cột bên trái của trang quản lý truy cập Internet.
Một số SCF yêu cầu đăng ký để quản lý danh sách các tài nguyên bị cấm (ví dụ: truyền thông xã hội, tài liệu tục tĩu, bộ sưu tập tóm tắt, v.v.). Các cài đặt như vậy được thay đổi trong giao diện web trên chính trang web SCF chứ không phải trong Cổng thông tin. Hỗ trợ người dùng về các vấn đề chất lượng lọc được cung cấp bởi tổ chức phục vụ SCF. Cổng thông tin chỉ cho phép bạn bật hoặc tắt việc gửi yêu cầu đến máy chủ DNS SCF từ máy chủ proxy của trường và không có gì hơn thế.
SCF, tương tự như quyền truy cập Internet, chỉ áp dụng cho các máy được cấu hình nghiêm ngặt thông qua máy chủ proxy của trường.
Quan trọng! Hoạt động của SCF sau khi bật phải được kiểm tra theo mong đợi của bạn vì Cổng thông tin không thể tự động kiểm tra điều này cho bạn. Các điều khoản và điều kiện cung cấp SCF có thể được nhà sản xuất thay đổi bất cứ lúc nào. Rất đáng để đăng ký nhận tin tức từ dịch vụ bạn sử dụng.
Phải làm gì nếu Cổng thông tin hiển thị thông báo “Chức năng bị vô hiệu hóa” hoặc nội dung nào đó không hoạt động.
Việc kiểm tra và hành động trong phần này của bài viết chỉ được cung cấp cho Máy chủ Ubuntu 10.04 LTS:
Tất cả các hành động phải được thực hiện với tư cách là người dùng root.
1. Mực có được cài đặt không?
Dpkg -s mực3 | phiên bản grep -i
Nếu không, hãy cài đặt:
Apt-get cài đặt mực3
2. Các tham số này có trong file cấu hình Portal không?
Auth = htpasswd cơ bản = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed
Nếu không, thêm và chạy
Pkill nhanh chóng
3. Squid có chạy không? Nghe trên cổng 3128?
Bài kiểm tra:
Netstat -ntlp | grep 3128
Phản hồi sẽ giống như thế này (1234 là một ví dụ, bạn có thể có số quy trình khác):
Tcp 0 0 0.0.0.0:3128 0.0.0.0:* NGHE 1234/(mực)
Cách khởi động Squid:
/etc/init.d/squid3 bắt đầu
* Khởi động Squid HTTP Proxy 3.0 Squid3
4. Đặt Squid ở chế độ tự khởi động:
Kích hoạt Update-rc.d Squ3
5. Tạo, nếu không và đặt quyền truy cập vào các tệp dịch vụ do Cổng thông tin chịu trách nhiệm quản lý:
Chạm vào /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed
6. Tệp cấu hình Squid sẵn có chưa sẵn sàng để tích hợp; cần phải sửa.
Trước tiên, hãy đảm bảo rằng nó KHÔNG tích hợp cổng thông tin (không chấp nhận được nhiều bản vá):
Grep "Kiểm soát Internet cổng thông tin trường học" /etc/squid3/squid.conf
Nếu dòng lệnh trên được xuất ra thì nên bỏ qua bước này.
Tuy nhiên, nếu tệp cấu hình đã được thay đổi theo cách vẫn có dòng đó nhưng quá trình tích hợp không hoạt động, hãy thực hiện tập tin gốc cấu hình từ Squid và thực hiện bước này trên đó.
Vì vậy, nếu KHÔNG có dòng:
6.1. Loại bỏ các quy tắc ngăn cản việc tích hợp và thay đổi các trang lỗi sang phiên bản tiếng Nga:
Perl -i-origen -p -e "s!^http_access từ chối tất cả$!#http_access từ chối tất cả!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf
6.2. Thêm một đoạn tích hợp:
Echo " # ================================ # Kiểm soát Internet cổng thông tin trường học # Để tắt, thay thế /etc/squid3/squid.conf bằng /etc/squid3/squid.conf-origin # =========================================== ==== auth_param chương trình cơ bản /usr/lib/ mực3/ncsa_auth /var/www/sp_htpasswd auth_param cơ bản con 5 auth_param lĩnh vực cơ bản Máy chủ web bộ đệm proxy mực auth_param thông tin xác thực cơ bảnttl 2 giờ auth_param phân biệt chữ hoa chữ thường trên acl sp_users_allowed proxy_auth "/var/ www/sp_users_allowed" http_access cho phép sp_users_allowed http_access từ chối tất cả " > > /etc/squid3/squid.conf
Nếu một khối như vậy xuất hiện nhiều lần trong tệp ink.conf, hãy xóa các khối trùng lặp, ngay cả khi mọi thứ đều hoạt động. Với sự lặp lại, mỗi khi danh sách tuyển sinh được cập nhật từ cổng thông tin, Squid sẽ đưa ra các cảnh báo trong nhật ký của nó về việc xác định lại các quy tắc.
6.3. Sau khi thực hiện thay đổi, Squid cần được khởi động lại.
/etc/init.d/squid3 khởi động lại
7. Tiếp theo, sử dụng giao diện web của Cổng thông tin trường học để phân phối quyền truy cập Internet. Bạn sẽ thấy sự thay đổi trong danh sách người dùng cổng thông tin được phép đăng nhập trong tệp /var/www/sp_users_allowed sau khi nhấp vào nút "Áp dụng" trong giao diện web của cổng thông tin.
Nhật ký truy cập mực (/var/log/squid3) sẽ chứa thông tin đăng nhập của người dùng cổng thông tin. Bạn có thể sử dụng bất kỳ máy phân tích nhật ký nào tương thích với định dạng nhật ký Squid. Việc tích hợp với Cổng thông tin không vi phạm định dạng nhật ký mặc định; điểm khác biệt là sự hiện diện của thông tin đăng nhập từ cổng ở nơi sẽ có dấu gạch ngang nếu không có sự cho phép của người dùng.
8. Kiểm tra xem tường lửa trên máy chủ của trường và trên máy chủ có máy khách. Theo mặc định, trên Máy chủ Ubuntu sạch, tường lửa cho phép tất cả các kết nối; nếu bạn can thiệp vào cấu hình của nó bằng bất kỳ cách nào, hãy đảm bảo rằng các kết nối từ mạng cục bộ của trường đến cổng 3128 của máy chủ và các kết nối đi từ máy chủ đều được cho phép.
Quản trị viên phân phối tài nguyên Internet cho nhân viên công ty, tạo danh sách các tên miền, địa chỉ IP bị cấm hoặc được phép, v.v. Đồng thời, anh ta có thể đặt ra các hạn chế về thời gian hoặc lưu lượng giao thông. Trong trường hợp bội chi, quyền truy cập Internet sẽ tự động bị đóng.
Lưu ý: Quản trị viên luôn có thể cung cấp cho ban quản lý một báo cáo về việc sử dụng mạng của từng nhân viên.
- Hệ thống quy tắc kiểm soát truy cập Internet linh hoạt:
- hạn chế về thời gian hoạt động, về lượng lưu lượng gửi/nhận (kế toán lưu lượng) mỗi ngày và/hoặc tuần và/hoặc tháng, về lượng thời gian sử dụng mỗi ngày và/hoặc tuần và/hoặc tháng;
- các bộ lọc kiểm soát quyền truy cập của người dùng vào các tài nguyên không mong muốn (trang web khiêu dâm, trò chơi);
- hệ thống phát triển hạn chế giao thông Và tốc độ truy cập cho mỗi người dùng. Trong trường hợp lưu lượng truy cập quá mức, truy cập Internet sẽ tự động bị đóng;
- danh sách các tên miền, địa chỉ IP bị cấm hoặc được phép, các phần của chuỗi URL, quyền truy cập bị quản trị viên cấm/cho phép;
- khả năng thiết lập một loạt địa chỉ IP được phép và bị cấm;
- lịch trình làm việc hàng giờ của người dùng trên Internet;
- các bộ lọc cho phép bạn định cấu hình “cắt biểu ngữ” hiệu quả cao.
- Đếm và xem số liệu thống kê hoạt động của người dùng theo các thông số khác nhau (ngày, trang web) trong một khoảng thời gian tùy ý. Chỉ những người dùng trên mạng cục bộ mới có thể xem số liệu thống kê về hoạt động của người dùng trên Internet trong tháng hiện tại qua HTTP.
- Hệ thống thanh toán tích hợp tự động tính toán chi phí công việc của người dùng trên Internet dựa trên giá cả, thời gian và/hoặc lưu lượng truy cập. Bạn có thể đặt mức thuế cho từng người dùng riêng lẻ hoặc cho một nhóm người dùng. Có thể chuyển đổi mức giá tùy thuộc vào thời gian trong ngày, ngày trong tuần hoặc địa chỉ địa điểm.
Bảo mật thông tin văn phòng
- Hỗ trợ VPN Mạng riêng ảo là sự kết hợp của các máy riêng lẻ hoặc mạng cục bộ trong mạng, tính bảo mật được đảm bảo bằng cơ chế mã hóa dữ liệu và xác thực người dùng.
- Tường lửa tích hợp ngăn chặn truy cập trái phép vào dữ liệu máy chủ và mạng cục bộ bằng cách cấm kết nối qua một số cổng nhất định và các giao thức. Chức năng tường lửa kiểm soát quyền truy cập vào các cổng cần thiết, chẳng hạn như để xuất bản máy chủ web của công ty lên Internet.
- Kaspersky Antivirus và Pandađược tích hợp vào máy chủ proxy Cổng người dùng, hoạt động như bộ lọc: chặn dữ liệu được truyền qua giao thức HTTP và FTP. Hỗ trợ cho các giao thức thư POP3 và SMTP được triển khai trên trình độ cao. Điều này cho phép bạn sử dụng phần mềm chống vi-rút tích hợp để quét lưu lượng thư. Nếu thư chứa tệp đính kèm có vi-rút, máy chủ proxy sẽ Cổng người dùng sẽ xóa tệp đính kèm và thông báo cho người dùng về điều này bằng cách thay đổi nội dung của bức thư. Tất cả đều bị nhiễm bệnh hoặc tập tin không tin cậy từ các chữ cái được đặt trong thư mục đặc biệt trong thư mục Cổng người dùng.
Người quản lý Cổng người dùng có thể chọn sử dụng một mô-đun chống vi-rút hoặc cả hai cùng một lúc. Trong trường hợp sau, bạn có thể chỉ định thứ tự quét từng loại lưu lượng truy cập. Ví dụ: lưu lượng HTTP trước tiên sẽ được quét bởi phần mềm chống vi-rút của Kaspersky Lab, sau đó là mô-đun từ Panda Software - Hỗ trợ giao thức thư
POP3 – và SMTP – proxy trong Cổng người dùng có thể hoạt động có hoặc không có trình điều khiển NAT. Khi làm việc không có driver, tài khoản trong ứng dụng thư về phía người dùng được cấu hình theo một cách đặc biệt. Khi làm việc bằng trình điều khiển (hoạt động như một proxy ở chế độ minh bạch), việc thiết lập thư từ phía người dùng được thực hiện giống như khi truy cập trực tiếp vào Internet. Hỗ trợ trong tương lai cho POP3 và Giao thức SMTPở cấp cao nhất, nó sẽ được sử dụng để tạo mô-đun chống thư rác.
Quản trị bằng máy chủ proxy UserGate
- Quy tắc mạng
Trong một máy chủ proxy Cổng người dùng hỗ trợ cho công nghệ NAT (Dịch địa chỉ mạng) đã được triển khai. địa chỉ mạng) Và Bản đồ cảng(chỉ định cổng). Công nghệ NAT được sử dụng để tạo proxy minh bạch và hỗ trợ các giao thức khác ngoài HTTP hoặc FTP.
Proxy minh bạch cho phép người dùng làm việc mà không cần cài đặt đặc biệt và quản trị viên không cần phải định cấu hình trình duyệt người dùng theo cách thủ công. - Mô-đun bổ sung Usergate Cache Explorerđược thiết kế để xem nội dung của bộ nhớ Cache. Làm việc với chức năng này rất đơn giản: bạn chỉ cần xác định vị trí của tệp ug_cache.lst từ thư mục bộ đệm. Sau khi đọc nội dung của tập tin này Trình khám phá bộ đệm của người dùng sẽ hiển thị danh sách các tài nguyên được lưu trong bộ nhớ cache. Trên bảng điều khiển Quản lý bộ đệm Explorer có một số nút cho phép bạn lọc nội dung Cache theo kích thước, tiện ích mở rộng, v.v. Dữ liệu đã lọc có thể được lưu vào một thư mục trên ổ cứng của bạn để nghiên cứu kỹ hơn.
- Chức năng gán cổng(Ánh xạ cổng) cho phép bạn liên kết bất kỳ cổng đã chọn nào của một trong các giao diện IP cục bộ với đến cổng cần thiết máy chủ từ xa. Việc gán cổng được sử dụng để tổ chức hoạt động của các ứng dụng, trò chơi và ứng dụng khách ngân hàng và các chương trình khác yêu cầu các gói được chuyển tiếp đến một địa chỉ IP cụ thể. Nếu bạn cần truy cập từ Internet vào một địa chỉ cụ thể tài nguyên mạng, điều này cũng có thể đạt được bằng cách sử dụng chức năng gán cổng.
- Quản lý lưu lượng: kiểm soát và tính toán lưu lượng mạng của bạn
Chức năng “Quản lý lưu lượng” được thiết kế để tạo các quy tắc kiểm soát quyền truy cập Internet của người dùng mạng cục bộ, để tạo và thay đổi các mức phí được sử dụng Cổng người dùng.
Chú ý: Trình điều khiển NAT được tích hợp trong máy chủ proxy Cổng người dùng, cung cấp tính toán chính xác nhất về lưu lượng truy cập Internet.
Trong một máy chủ proxy Cổng người dùng có khả năng là sự chia ly nhiều loại khác nhau lưu lượng truy cập, ví dụ, lưu lượng truy cập Internet trong nước và nước ngoài. Địa chỉ lưu lượng và IP cũng được giám sát người dùng đang hoạt động, thông tin đăng nhập của họ, URL đã truy cập trong thời gian thực. - Quản trị từ xa cho phép quản trị viên hệ thống di động vì giờ đây có thể quản trị máy chủ proxy Cổng người dùng từ xa.
- Gửi thư tự động và thủ công người dùng thông tin về lưu lượng truy cập của họ qua e-mail, bao gồm cả thông qua các máy chủ có ủy quyền SMTP.
- Kết nối đến proxy tầng với khả năng được ủy quyền.
- Trình tạo báo cáo linh hoạt với khả năng xuất sang MS Excel và HTML.
- Nhiều cách khác nhau để ủy quyền cho người dùng: theo tất cả các giao thức; theo địa chỉ IP, theo IP+MAC, IP+MAC (đăng ký); bằng tên người dùng và mật khẩu; sử dụng xác thực Windows và Active Directory.
- Nhập người dùng từ Thư mục hoạt động - bây giờ bạn không cần phải tạo hàng trăm người dùng theo cách thủ công, chương trình sẽ làm mọi thứ cho bạn.
- Bảng kế hoạch cho phép bạn thực hiện một trong những hành động được xác định trước tại một thời điểm cụ thể: gửi số liệu thống kê, khởi chạy chương trình, thiết lập hoặc chấm dứt kết nối quay số, cập nhật cơ sở dữ liệu chống vi-rút.
- Cổng người dùng hỗ trợ sau đây giao thức:
- HTTP (bộ nhớ đệm);
- FTP (bộ nhớ đệm);
- Tất4, Tất5;
- POP3;
- SMTP;
- Bất kỳ giao thức UDP/TCP nào thông qua NAT (Dịch địa chỉ mạng) và thông qua gán cổng.
Tiết kiệm tiền khi sử dụng Internet
Sử dụng bộ lọc tích hợp Cổng người dùng chặn việc tải quảng cáo từ Internet và cấm truy cập vào các tài nguyên không mong muốn.
Lưu ý: Quản trị viên có thể cấm tải xuống các tệp có phần mở rộng nhất định, ví dụ: jpeg, mp3.
Ngoài ra, chương trình có thể ghi nhớ (bộ nhớ đệm) tất cả các trang và hình ảnh đã truy cập, giải phóng kênh để tải xuống thông tin hữu ích. Tất cả điều này trong đến một mức độ lớn không chỉ giảm lưu lượng truy cập mà còn cả thời gian sử dụng trên đường dây.
Máy chủ proxy UserGate: tính toán lưu lượng mạng của bạn!
Trước khi thảo luận về việc xác thực người dùng mạng, cần xây dựng các quy tắc kiểm soát quyền truy cập vào mạng. Mạng không còn là thực thể nguyên khối nữa. Trong hầu hết các trường hợp, có một điểm truy cập bên ngoài - kết nối Internet qua ISP ( Nhà cung cấp dịch vụ Internet- Nhà cung cấp dịch vụ Internet). Các quy tắc kiểm soát truy cập mạng sẽ xác định những gì cần cài đặt bảo mật tại các điểm vào mạng.
Cổng
Cổng là những điểm mà tại đó lưu lượng mạng sẽ được truyền từ mạng của tổ chức này sang mạng khác. Đối với các điểm cổng, quy tắc kiểm soát truy cập phải tính đến bản chất của mạng nơi cầu được lắp đặt.
- Quy tắc kiểm soát truy cập cho các cuộc gọi điện thoại đến và đi (Dial-in và Dial-out). Bao gồm các yêu cầu xác thực. Việc ẩn một điểm truy cập mạng điện thoại khá khó khăn. Vì vậy, điều quan trọng là xác định các biện pháp kiểm soát cho quyền truy cập này. Có nhiều cân nhắc liên quan đến các quy tắc truy cập, chẳng hạn như tạo modem chỉ để xử lý các tín hiệu đi ( chỉ ngoài giới hạn) để truy cập quay số. Cần phải viết một điều khoản quy tắc sẽ quy định việc sử dụng các biện pháp kiểm soát thích hợp.
Tất cả quyền truy cập của điện thoại vào mạng phải được bảo mật bằng các biện pháp kiểm soát xác thực mạnh mẽ. Modem phải được cấu hình để truy cập quay số vào hoặc quay số, nhưng không bao giờ được cả hai. Quản trị viên mạng phải cung cấp các quy trình để đảm bảo quyền truy cập vào hệ thống modem. Người dùng không nên cài đặt modem tại các điểm khác trên mạng nếu không có biện pháp trừng phạt thích hợp.
- Các kết nối bên ngoài khác. Khả thi kết nối khác nhau vào mạng từ bên ngoài tổ chức. Các quy tắc có thể quy định quyền truy cập trực tiếp của khách hàng vào mạng thông qua một mạng ảo Mạng riêng tư VPN(Mạng riêng ảo) và thông qua các phần mở rộng của mạng của tổ chức được gọi là mạng ngoại vi.
- kết nối Internet. Khác với những kết nối khác vì mọi người muốn có truy cập mở trên Internet, trong khi quyền truy cập được cung cấp bởi các dịch vụ của tổ chức. Các quy tắc quản lý các kết nối này được thảo luận trong Chương 6, Quy tắc bảo mật Internet.
Giống như bất kỳ quy tắc nào, bạn nên dự kiến rằng sẽ có yêu cầu thay đổi quy tắc kiểm soát truy cập. Bất kể lý do tại sao các quy tắc cần được điều chỉnh là gì, đều có thể đưa ra các ngoại lệ đối với các quy tắc thông qua cơ chế xem xét quy tắc. Nếu một ủy ban quản lý an toàn đã được thành lập theo yêu cầu của chính sách (xem Chương 3, Trách nhiệm về An toàn), bảo mật thông tin"), thì bạn có thể yêu cầu ủy ban sửa đổi các quy tắc.
Bất kỳ cổng nào được đề xuất cài đặt trên mạng công ty có thể vi phạm các quy tắc hoặc thủ tục được quy định bởi các quy tắc đó đều không được cài đặt nếu không có sự chấp thuận trước của ủy ban quản lý an ninh.
Mạng riêng ảo và mạng ngoại vi
Sự gia tăng số lượng mạng trong một tổ chức buộc chúng ta phải tìm kiếm các phương án kết nối mới. văn phòng từ xa, khách hàng và đơn giản hóa quyền truy cập cho các đối tác phục vụ hoặc đối tác tiềm năng. Sự tăng trưởng này đã tạo ra hai loại kết nối bên ngoài: mạng riêng ảo ( VPN- Mạng riêng ảo) và mạng ngoại vi. VPN là một cách cài đặt không tốn kém thông tin liên lạc giữa hai hoặc nhiều bộ phận của một tổ chức nằm ở các lãnh thổ khác nhau. Tổ chức tạo ra VPN bởi kết nối Internet tất cả các phòng ban và cài đặt các thiết bị mã hóa, giải mã thông tin ở cả hai phòng ban liên lạc với nhau. Đối với người dùng, làm việc thông qua VPN sẽ có vẻ như cả hai bộ phận đều nằm trong cùng một lãnh thổ và làm việc trên một mạng duy nhất.
Kiểm tra thẩm quyền các hệ thống phụ trợ
Trước khi tiếp tục, điều quan trọng cần nhớ là mỗi cổng hoặc hệ thống hỗ trợ là một điểm vào mạng của tổ chức. Tại bất kỳ điểm vào nào, quyền của luồng dữ liệu vào và ra khỏi mạng phải được xác minh theo một cách nào đó. Một vấn đề cần xem xét là yêu cầu cấp phép kết nối bên ngoàiđến các hệ thống mạng phụ trợ. Đây có thể là một vấn đề đối với các hệ thống phụ trợ được kết nối mạng liên tục. Đối với các hệ thống hỗ trợ như vậy, cần xác định cách thức cho phép sự hiện diện của chúng trên mạng. Trên thực tế, ngay cả các kết nối mạng tạm thời, chẳng hạn như kết nối modem đến, cũng có thể có các yêu cầu xác thực nghiêm ngặt.
Phần quy tắc này không cần mô tả các yêu cầu xác thực - chúng sẽ được thảo luận trong phần tiếp theo, "Bảo mật đăng nhập". Ở đây chúng tôi chỉ có thể lưu ý sự cần thiết của các yêu cầu xác thực. Các quy tắc liên quan đến tiêu chuẩn xác thực sẽ được thảo luận trong phần tiếp theo. Tuy nhiên, để đảm bảo rằng vấn đề xác thực được giải quyết cho các hệ thống thứ cấp, có thể thêm điều khoản sau vào điều khoản quy tắc tường lửa.
Các ứng dụng cần thiết để cổng hoạt động phải được mạng xác thực. Nếu bản thân ứng dụng không thể được xác thực thì các quy tắc xác thực được mô tả trong tài liệu này, nên áp dụng cho các hệ thống phụ trợ được kết nối qua cổng.
Bài dự thi: 4Kiểm soát truy cập Internet từ xa (kiểm soát của phụ huynh)
Hướng dẫn này mô tả quá trình thiết lập máy tính chạy các hệ điều hành Gia đình Windows XP, 7 hoặc Linux (Ubuntu) cho điều khiển từ xa truy cập vào các trang Internet.
Hướng dẫn sử dụng không mô tả chi tiết cách làm việc với dịch vụ Rejector, điều này sẽ được thảo luận bên dưới, nó chỉ cho phép bạn định cấu hình máy tính của mình theo cách tận dụng tối đa khả năng của nó.
Tất cả các công cụ được sử dụng đều là phần mềm nguồn mở hoặc miễn phí.
Giới thiệu
Internet là một công cụ tuyệt vời để học tập, thư giãn hoặc giao tiếp với bạn bè. Nhưng ngoài mạng thông tin hữu ích, cũng có điều gì đó không mong muốn đối với con bạn. Ngoài ra, việc lướt Internet trong nhiều giờ có thể khiến bạn mất tập trung vào các hoạt động quan trọng khác, chẳng hạn như bài tập về nhà, thể thao, giấc ngủ hoặc giao lưu với bạn bè. Vì vậy, cần phải giám sát các hoạt động trực tuyến của trẻ.
Có nhiều phương pháp khác nhau kiểm soát nhưng không phải lúc nào chúng cũng có hiệu quả. Những cuộc trò chuyện thuyết phục và mang tính giáo dục có thể có tác dụng trong thời gian rất ngắn, bởi vì việc sử dụng Internet có thể quyến rũ một đứa trẻ đến mức trẻ quên mất mọi sự thuyết phục. Và các lệnh cấm có thể ảnh hưởng tiêu cực đến việc phát triển các kỹ năng hữu ích cho việc tìm kiếm và học tập trên Internet.
Trong những trường hợp như vậy, các chương trình đặc biệt để hạn chế và kiểm soát quyền truy cập vào mạng sẽ giúp bạn. Với sự giúp đỡ của họ, bạn có thể bảo vệ con mình khỏi những ảnh hưởng tiêu cực của Internet, nhưng đồng thời mang lại quyền tự do hành động. Một công cụ như vậy là Hệ thống kiểm soát truy cập Internet từ chối.
Rejector là một dự án tập trung để kiểm soát truy cập Internet. Nó sẽ cho phép bạn bảo vệ trẻ em và thanh thiếu niên khỏi những thông tin nguy hiểm. Về cơ bản, Rejector là một máy chủ DNS có khả năng điều khiển nó từ xa.
Làm thế nào nó hoạt động?
Bạn đăng ký, thêm IP, cấu hình các thông số truy cập. Bạn có thể sử dụng dịch vụ mà không cần đăng ký, nhưng khi đó bạn sẽ không thể sử dụng tất cả các tính năng của dịch vụ.
Máy tính của bạn được cấu hình sao cho mọi thứ truy vấn DNSđã được gửi đến máy chủ DNS Rejector 95.154.128.32 và 176.9.118.232.
Mỗi yêu cầu đều được kiểm tra dựa trên cài đặt của bạn, chẳng hạn như danh mục hoặc trang web bị chặn, trang web được phép hoặc bị chặn, danh sách dấu trang hoặc trang web lừa đảo và nếu bị chặn, yêu cầu sẽ được chuyển hướng đến trang chặn.
Bạn có thể tùy chỉnh trang này theo ý muốn.
Các yêu cầu được phép vượt qua quá trình kiểm tra sẽ đi vào bộ đệm yêu cầu chung để gửi nhanh chóng tới tất cả khách hàng.
Hơn miêu tả cụ thể Bạn có thể tìm thấy sản phẩm Rejector trên trang web chính thức từ chối.ru
Hướng dẫn thiết lập hệ thống
1. Tạo người dùng với các quyền thông thường
Thông thường, khi cài đặt hệ điều hành, người dùng có quyền Quản trị viên sẽ được tạo. Người dùng như vậy có thể tạo ra mọi thứ hành động có thể, được cung cấp bởi hệ điều hành cho đến khi chính hệ thống đó bị gỡ bỏ.
Để loại trừ khả năng đảo ngược của tất cả hành động hơn nữa về phía người dùng mà chúng tôi kiểm soát, chúng tôi sẽ tạo một người dùng có quyền hạn chế và đối với Quản trị viên - chúng tôi sẽ sử dụng mật khẩu.
Trên Windows, việc này được thực hiện thông qua Control Panel; V. sáng tạo Linux người dùng có sẵn thông qua Cài đặt hệ thống.
2. Thiết lập kết nối mạng
Rejector là một dịch vụ về cơ bản là một máy chủ DNS. Để làm việc với nó, trước tiên bạn cần cấu hình Kết nối mạngđể các truy vấn DNS được gửi đến máy chủ DNS từ chối 95.154.128.32 và 176.9.118.232.
Điều này được thực hiện khác nhau trên Windows và Linux.
Windows XP
Windows Vista
Hướng dẫn chi tiết có tại
Windows 7
Hướng dẫn chi tiết có tại
Trên hầu hết các hệ điều hành Gia đình Linuxđược sử dụng để cấu hình mạng Chương trình mạng Giám đốc. Để thay đổi máy chủ DNS, hãy làm như sau:
Nhấn RMB trên chỉ báo kết nối và, trong danh mục, chọn mục Thay đổi kết nối
Nếu bạn đang sử dụng DHCP server khi kết nối Internet thì trong thông số IPv4 chúng ta thay đổi Phương pháp cài đặt TRÊN Tự động (DHCP, chỉ địa chỉ)
Trong lĩnh vực Máy chủ DNS nhập hai địa chỉ cách nhau bằng dấu phẩy 95.154.128.32, 176.9.118.232
Tạo kết nối Có sẵn cho tất cả người dùng Và Tự động kết nối
3. Đăng ký trên trang web Rejector
Về nguyên tắc, đây là nơi chúng ta có thể bắt đầu. Nhưng bây giờ một trong những khó khăn đã ở phía sau, chúng tôi thực hiện việc này một cách dễ dàng và đơn giản. Theo liên kết và điền vào mâu đơn giảnđể đăng ký.
4. Thêm mạng được quản lý
Bằng cách đăng ký dịch vụ, chúng tôi có thể tạo số lượng mạng cần thiết hoặc về nguyên tắc, điều tương tự - khách hàng mà chúng tôi sẽ quản lý. Mạng (Khách hàng) được xác định trên dịch vụ bằng địa chỉ IP của họ. Do đó, để kiểm soát việc truy cập Internet của máy tính, bạn cần biết địa chỉ IP của nó. Hiện tại, chúng ta hãy tạo Mạng thông qua Control Panel trên trang web Rejector tại.
Điền vào biểu mẫu Thêm mạng. Tên mạng -ở đây bạn có thể cho biết tên của con bạn nếu nó có máy tính riêng và bạn muốn điều khiển nó. Trạng thái- rất có thể bạn sẽ có Địa chỉ IP động(hiếm có nhà cung cấp nào phân bổ cho khách hàng của mình Địa chỉ tĩnh miễn phí), vì vậy hãy chọn nút radio này. ID mạng- bạn có thể viết bằng tiếng Latin tên bạn đã chỉ định trong trường đầu tiên.
5. Gửi địa chỉ IP
Để dịch vụ hoạt động, nó cần liên tục “biết” địa chỉ IP của khách hàng, địa chỉ này có thể thay đổi từ kết nối này sang kết nối khác (địa chỉ IP động). Đây là vấn đề chính mà hướng dẫn này giải quyết.
Bản thân các nhà phát triển dịch vụ cung cấp chương trình Tác nhân từ chối, chương trình này sẽ gửi địa chỉ IP của khách hàng đến máy chủ. Tuy nhiên, chương trình này không thể hoạt động tự chủ. Vì vậy, chúng tôi sẽ tận dụng cơ hội khác được cung cấp. Cụ thể là cập nhật bằng yêu cầu HTTP (mô tả tại liên kết).
Để cập nhật thông tin Khách hàng qua yêu cầu HTTP trong lý lịch, chúng ta cần chương trình Curl. Chương trình này có khả năng gửi các diễn viên bằng cách Giao thức HTTP vào Internet thông qua dòng lệnh. Chúng tôi sẽ thiết lập các tham số cho chương trình này trong tập lệnh; đối với Windows, đây sẽ là tệp bash dành cho Linux - sh.
Curl có sẵn miễn phí và có phiên bản Windows, vì vậy chúng tôi sẽ sử dụng nó trong cả hai môi trường. Cho cửa sổ phiên bản mới nhất Các chương trình có thể được tải xuống từ liên kết. Để cài đặt, chỉ cần giải nén nội dung của kho lưu trữ kết quả vào thư mục C:\WINDOWS\SYSTEM32 (điều này sẽ giúp khởi chạy chương trình dễ dàng hơn). Trong hệ điều hành Linux, rất có thể nó đã được cài đặt sẵn.
6. Kịch bản cập nhật địa chỉ IP thường xuyên
Trang web cung cấp yêu cầu HTTP sau http://tên người dùng: [email được bảo vệ]/ni...,
sẽ cập nhật giá trị địa chỉ IP. Chúng tôi sẽ thay thế nó làm tham số cho chương trình cuộn tròn.
Yêu cầu cập nhật địa chỉ phải được gửi từ máy tính mà chúng ta muốn kiểm soát. Do thiết bị đầu cuối văn bản xử lý các lệnh theo cách đặc biệt nên văn bản yêu cầu phải được thay đổi một chút. Văn bản tập lệnh dành cho Windows và Linux được đưa ra dưới đây.
Cho cửa sổ
:vòng
cuộn tròn "http:// đăng nhập%%40mail-server.com:mật khẩu@updates.rejector.ru/nic/update?hostname= tên mạng"
# Thực hiện độ trễ 300 giây
ping -n 300 127.0.0.1 > NUL
tiếng vang 111
vòng lặp goto
Nơi login%%40mail-server.com là của bạn Hộp thư, được sử dụng để đăng ký trên Rejector (dấu @ đã được thay thế bằng %%40); mật khẩu - mật khẩu; net-name - tên mạng trên dịch vụ Rejector Đặt văn bản tập lệnh ở dạng thông thường. tập tin văn bản, thay thế phần mở rộng bằng .bat và bạn sẽ nhận được một tập lệnh thực thi.
Dành cho Linux
#! /usr/bin/sh
trong khi đúng; làm cuộn tròn -u [email được bảo vệ]:password "http://updates.rejector.ru/nic/update?hostname=... ngủ 300; xong;
Mọi thứ ở đây đều tương tự như mục dành cho Windows. Viết văn bản này vào một tệp văn bản có phần mở rộng sh.
Cả hai tập lệnh đều chứa mật khẩu tài khoản Từ chối trong biểu mẫu mở, vì vậy cần phải ẩn nội dung của chúng để không cho xem Người sử dụng thường xuyên. Điều này được triển khai khác nhau trong Linux và Windows
Để cấm xem và chỉnh sửa tệp này do chúng tôi tạo, cần phải thay đổi chủ sở hữu và nhóm tệp thành root và từ chối tất cả mọi người ngoại trừ chủ sở hữu quyền truy cập vào tệp. Nếu bạn có kỹ năng làm việc trong dòng lệnh, sau đó bạn cần sử dụng lệnh đĩa CD vào thư mục chứa file script và thực hiện lệnh chown root:root skcrypt.sh Và chmod 700 script.sh.,Để làm điều tương tự trong vỏ đồ họa, bạn cần chạy nó trước quản lý tập tin với quyền quản trị viên, tìm tệp tập lệnh và thay đổi Quyền, bằng cách sử dụng menu ngữ cảnh.
Không đi sâu vào cách bạn có thể thay đổi quyền truy cập tệp tương tự như Linux, tôi đã áp dụng giải pháp sau. Hãy biến đổi của chúng ta tập tin thực thi vào một tệp EXE để ẩn nội dung của nó. Với mục đích này chúng ta sẽ sử dụng chương trình miễn phí Chuyển đổi Bat sang Exe. Tôi khuyên bạn nên tải xuống phiên bản Nga hóa của nó từ liên kết hoặc trên trang web chính thức của chương trình. Chương trình không yêu cầu bất kỳ lời giải thích nào trong hoạt động. Ở đầu vào, chúng tôi đặt tệp bat, ở đầu ra, chúng tôi nhận được tệp exe.
7. Đặt nó tự động khởi động
Còn lại để làm Bước cuối cùng. Hãy làm nó khởi động tự động chương trình cùng với việc khởi động hệ thống. Điều này được thực hiện khác nhau trong Linux và Windows.
Chúng tôi đăng nhập với tư cách Quản trị viên và di chuyển tệp thực thi của chúng tôi vào thư mục PogramFiles. Trong thư mục chính của người dùng, tìm thư mục Thực đơn chính, trong đó Chương trình, Tự động chạy nơi chúng tôi đặt lối tắt từ chương trình của mình (điều này có thể được thực hiện bằng cách kéo chính chương trình trong khi giữ phím Phím Shift). Sẵn sàng.
Đặt tập tin thực thi vào thư mục /usr/bin. Hãy chỉnh sửa tập tin khởi chạy ứng dụng cục bộ hệ thống /etc/rc.local, thêm một dòng vào trước thoát 0.
/usr/bin/script.sh
Ở đâu script.sh- tên tập tin của chúng tôi.
Điều này hoàn tất việc thiết lập hệ thống. Bạn có thể truy cập dịch vụ Rejector và định cấu hình chế độ vận hành mạng.
Kỹ sư hệ thống Pavlov Sergey tại Softmart
Bài viết này trình bày những cách phổ biến nhất để kết nối văn phòng của một tổ chức nhỏ với Internet. Bài viết không đề cập đến vấn đề lựa chọn nhà cung cấp và vấn đề lựa chọn thiết bị đầu cuối để kết nối mạng. Chúng tôi giả định rằng nhà cung cấp cung cấp cho tổ chức những thông tin sau:
1. Giao diện mạng Ethernet RJ45 - tiêu chuẩn cho thiết bị mạng trong các mạng cục bộ
2. Địa chỉ IP - một hoặc nhiều, vĩnh viễn hoặc động
3. Địa chỉ IP cổng và DNS
Chúng ta cũng hãy đưa ra một bức chân dung nhỏ về tổ chức mà bài viết này hướng tới:
1. Số lượng máy tính trong mạng - tối đa 30;
2. Có một cái trực tuyến máy chủ tập tin hoặc máy chủ hệ thống công ty sự quản lý;
3. máy chủ web và máy chủ thư của tổ chức được đặt tại nhà cung cấp chứ không phải trên mạng cục bộ của doanh nghiệp;
4. Kênh Internet sẽ được nhân viên sử dụng chủ yếu để làm việc với e-mail và xem các trang Web;
5. Máy tính và máy chủ của tổ chức phải được bảo vệ khỏi sự truy cập trái phép qua Internet;
Những điều kiện có thể xảy ra nhưng hiếm gặp cũng có thể kể đến:
1. Kết nối an toàn của nhân viên với mạng của tổ chức từ xa - từ nhà hoặc văn phòng khác;
2. Kết nối an toàn văn phòng nhỏđịa lý phân tán;
3. Vị trí đặt máy chủ web, máy chủ thư, bất kỳ máy chủ nào hệ thống nội bộ quản lý trong mạng lưới của tổ chức với việc cung cấp kết nối miễn phíđược nhân viên hoặc khách hàng gửi tới họ thông qua Internet;
Với phương pháp này, một máy tính cá nhân hoặc máy chủ được phân bổ để tổ chức truy cập Internet. Máy chủ hoặc PC được trang bị thêm thẻ kết nối. Một trong số chúng kết nối với mạng của nhà cung cấp, cái còn lại kết nối với chuyển đổi mạng các tổ chức.
Nên chạy dịch vụ NAT trên cổng - dịch mạng địa chỉ IP.
Ưu điểm của giải pháp này:
1. Khả năng sử dụng nhiều loại phần mềm để giải quyết nhiều vấn đề khác nhau, ví dụ:
bảo vệ máy chủ và mạng khỏi các cuộc tấn công từ Internet;
Vì bảo vệ chống virus máy chủ, lưu lượng truy cập hoặc E-mail;
để bảo vệ khỏi thư rác;
để đếm lưu lượng;
quản lý việc truy cập Internet của nhân viên trong tổ chức;
2. Một địa chỉ IP từ nhà cung cấp là đủ.
3. Mức độ bảo vệ đầy đủ của mạng cục bộ khỏi các tác động bên ngoài được cung cấp thông qua việc sử dụng dịch vụ NAT.
4. Giá thấp tường lửa, vì các giải pháp cho máy tính cá nhân được cho phép.
5. Chỉ có máy tính cổng mới hiển thị từ Internet và tin tặc chỉ có thể tấn công máy tính này. Về nguyên tắc, mạng cục bộ, bao gồm các máy chủ và máy trạm, không thể truy cập được. Do đó, nếu cổng bị lỗi, mạng cục bộ của tổ chức vẫn tiếp tục hoạt động.
sai sót
1. Nếu máy tính cổng cũng được sử dụng như một máy tính thông thường trạm làm việc Ví dụ, một trong những nhân viên dựa trên việc tiết kiệm chi phí thì có thể xảy ra các vấn đề bảo mật nghiêm trọng. Người dùng làm việc trên cổng có thể, thông qua hành động của mình, làm suy yếu tính bảo mật của máy chủ. Ngoài ra, có thể có vấn đề với hiệu suất của cổng, vì người dùng sẽ sử dụng một phần năng lượng của máy tính;
2. Không nên sử dụng cổng làm máy chủ tệp của tổ chức do khả năng truy cập của máy chủ từ Internet. Cần phải có tường lửa mạnh mẽ (không phải tường lửa cá nhân) và công việc của một chuyên gia có trình độ cao để định cấu hình bảo mật trên cổng. Tuy nhiên, đây là cấu hình rất phổ biến trong các tổ chức nhỏ;
3. Phải mua thêm phần mềm. Dịch vụ NAT không có trong hệ điều hành Windows ngoại trừ Microsoft Windows XP (Đã triển khai NAT nhưng có một số hạn chế). Giá của tường lửa dao động từ hàng chục đô la đến vài nghìn. Tối thiểu nó được yêu cầu chương trình đặc biệtđể cung cấp quyền truy cập Internet cho tất cả người dùng của mạng cục bộ. (chương trình được gọi là máy chủ proxy).
4. Bắt buộc thiết bị bổ sung- Thẻ lan.
Ước tính chi phí thực hiện giải pháp này:
|
Máy tính cá nhân - cổng |
$40 0 |
|
|
Máy chủ proxy |
UserGate 3.0 (10 phiên) |
$ 129 |
|
Bức tường lửa |
Kaspersky AntiHacker |
$39 |
|
Card mạng bổ sung |
D-Link DFE-530TX |
$10 |
|
Dịch vụ tùy biến |
Siêu thị phần mềm |
$70 |
|
Tổng cộng |
$648 |
Với cách tiếp cận này, việc tổ chức truy cập Internet đòi hỏi phải có được số lượng bổ sungĐịa chỉ IP từ nhà cung cấp cho từng máy tính cá nhân trên mạng cục bộ của tổ chức. Giải pháp này có lẽ cung cấp nhiều nhất kết nối nhanh nhân viên của tổ chức với Internet. Tuy nhiên, giải pháp này hiếm khi được sử dụng khi có nhiều hơn hai máy tính trong một công ty vì hai lý do:
1. Nhà cung cấp cực kỳ miễn cưỡng trong việc phân bổ địa chỉ IP và sẽ khuyên bạn nên chuyển sang bất kỳ sơ đồ kết nối máy tính nào khác với Internet.
2. Quyết định này có khả năng kém an toàn nhất về mặt bảo vệ dữ liệu của bạn khỏi sự truy cập trái phép và các cuộc tấn công từ mạng.
Thuận lợi:
1. dễ dàng cài đặt máy tính.
2. không cần mua máy tính bổ sung- Cổng vào.
3. không cần mua thêm phần mềm - máy chủ proxy.
Sai sót:
1. Mỗi máy tính phải được cài đặt một hệ thống bảo mật toàn diện.
2. Tùy thuộc vào khả năng cung cấp nhiều địa chỉ IP của nhà cung cấp
3. Không có số liệu thống kê về việc sử dụng kênh
Chi phí phát hành giải pháp này:
Đối với mỗi máy tính trên mạng:
|
Bức tường lửa |
Kaspersky AntiHacker |
$39 |
|
Cài đặt |
Siêu thị phần mềm |
$10 |
|
Tổng cộng |
$49 |
Tổ chức truy cập bằng thiết bị D-LINK
D-Link cung cấp nhiều loại thiết bị để kết nối an toàn tổ chức nhỏ tới Internet. Tất cả các giải pháp có thể được chia thành hai lớp lớn:
1. Bộ định tuyến dòng DI
2. Tường lửa dòng DFL
Các thiết bị thuộc dòng DI được thiết kế đặc biệt cho mục đích và nhiệm vụ của các văn phòng nhỏ. Chúng có tất cả các chức năng cần thiết cho hơn giá cả hợp lý. Tùy thuộc vào kiểu máy, thiết bị có thể được trang bị:
bức tường lửa,
dấu chấm Truy cập Wi-Fi,
máy chủ proxy tích hợp,
cổng thông tin kết nối máy in,
modem ADSL tích hợp
mô-đun VPN
Tất cả các thiết bị đều hỗ trợ:
1. DHCP (chức năng gán địa chỉ IP động cho các máy tính trong mạng)
2. NAT (chức năng dịch địa chỉ IP động từ mạng nội bộ sang địa chỉ IP trên Internet)
3. Chức năng máy chủ ảo cần thiết để tổ chức truy cập vào Máy chủ cục bộ từ trên mạng
4. Chức năng Vùng bảo mật, cần thiết để tổ chức quyền truy cập vào một số tài nguyên cục bộ từ Internet
Thuận lợi
3. Giá thấp cho lớp học của bạn.
4. Bảo vệ chống lại các cuộc tấn công bằng NAT, + khả năng nhập các quy tắc cấm tên miền, địa chỉ, v.v.
7. Khả năng tạo kết nối an toàn trên Internet (VPN) để liên lạc với các văn phòng khác.
8. Khả năng tổ chức truy cập vào tài nguyên nội bộ của mạng cục bộ.
9. Khả năng hỗ trợ người dùng di động (Wi-Fi).
10. Khả năng kết nối máy in mạng.
Sai sót:
2. Có những hạn chế về phần cứng đối với số lượng nhân viên làm việc đồng thời. Thiết bị DI có thể xử lý tới 2000 kết nối đồng thời mà không làm giảm hiệu suất đáng kể.
3. Thiết bị rất nhạy cảm với các cuộc tấn công từ bên trong, ví dụ: virus mạng. Với những cuộc tấn công như vậy, tải trên thiết bị tăng mạnh.
4. Bản thân thiết bị được bảo vệ kém theo tiêu chuẩn tấn công mạng. Trong trường hợp này, các tổ chức và máy tính này thường không bị ảnh hưởng.
5. Thống kê về việc sử dụng kênh của nhân viên chưa đầy đủ chi tiết.
Chi phí ước tính của giải pháp
|
D-Link DI-604 |
Liên kết D |
|
|
Cài đặt |
Siêu thị phần mềm |
|
|
Tổng cộng |
Các thiết bị thuộc dòng DFL đã là tường lửa hiệu suất cao, được trang bị tất cả các giải pháp mới và có thể tưởng tượng được để bảo vệ mạng cục bộ và tài nguyên tổ chức khỏi sự xâm nhập. Tùy thuộc vào mô hình cụ thể Ví dụ, thiết bị có thể được trang bị:
Hệ thống phát hiện xâm nhập IDS
hệ thống phát hiện các cuộc tấn công điển hình và đẩy lùi chúng
hệ thống quản lý băng thông
hệ thống cân bằng tải
VPN
Bạn cần chọn model dựa trên số lượng máy tính trên mạng và yêu cầu bảo mật. Tốt nhất bạn nên liên hệ với Chuyên gia tư vấn giải pháp D-Link để được hỗ trợ.
Thuận lợi:
1. Các giải pháp phần cứng rất đáng tin cậy, nhỏ gọn và khiêm tốn.
2. Bản thân các thiết bị được bảo vệ tốt khỏi các cuộc tấn công từ Internet và bảo vệ tốt phạm vi mạng cục bộ của tổ chức.
3. Bảo vệ chống lại các cuộc tấn công mạng, bao gồm: SYN, ICMP, UDP Flood, WinNuke, quét cổng, giả mạo, giả mạo địa chỉ, từ chối dịch vụ, v.v.
4. Sau khi hệ thống được cấu hình, nó không cần điều chỉnh thêm.
5. Không có máy tính - cổng chuyên dụng.
6. Dễ dàng cài đặt và thiết lập.
7. Giá thấp so với đẳng cấp của nó.
8. Khả năng tạo kết nối an toàn trên Internet (VPN) để liên lạc với các văn phòng khác.
9. Khả năng tổ chức truy cập vào tài nguyên nội bộ của mạng cục bộ.
Sai sót:
1. Việc thiết lập phải được thực hiện bởi kỹ thuật viên có trình độ.
2. Thống kê về việc sử dụng kênh của nhân viên chưa đầy đủ chi tiết.
Chi phí ước tính của giải pháp
D-Link DFL-100 Liên kết D $200
Cài đặt Siêu thị phần mềm Tổng cộng $230
Phần kết luận
Với tất cả sự lựa chọn phong phú, đối với chúng ta, có vẻ như điều tốt nhất giải pháp tối ưuđối với một tổ chức nhỏ vẫn có giải pháp dựa trên một trong các mô hình Thiết bị D-Link Gia đình D.I. Các thiết bị này đơn giản, nhỏ gọn, giá cả phải chăng và khá chức năng. Điều duy nhất mà các giải pháp DI có thể bị chỉ trích là thiếu một số khả năng của máy chủ proxy, chẳng hạn như số liệu thống kê về khối lượng thông tin được tải xuống về nhân viên. Xét cho cùng, dữ liệu này thường được các nhà cung cấp sử dụng để lập hóa đơn cho việc sử dụng kênh. Nếu chức năng này quan trọng đối với tổ chức của bạn thì bạn cũng nên cân nhắc việc mua một máy chủ proxy, chẳng hạn như UserGate từ eSafeLine. Chỉ cần đừng quên rằng máy chủ proxy sẽ yêu cầu mua thêm một máy tính.
