Tefor client что это
Чего не стоит делать в Rust, если начали играть в 2021 году
Rust – это необычный симулятор выживания, который привлек к себе внимание огромное количество геймеров. При этом новички часто думают, что в этом проекте нет ничего сложного, и уже с самого начала делают все то, что и в других играх с элементами выживания.
К сожалению, Rust не отличается особым гостеприимством по отношению к новым игрокам, поэтому стартовать бывает довольно сложно. Перед вами подборка главных ошибок, которые делают новички, решившие поиграть в Rust в 2021 году.
Одному будет тяжело
Rust – далеко не самая лучшая многопользовательская игра для одного человека. Здесь есть несколько этапов развития, и добраться до каждого из них можно только за счет продолжительного гринда. Если играть в команде со своими друзьями, то вы гораздо быстрее достигните цели, чем в одиночку.
Также стоит отметить, что 99% других игроков не дадут вам мирно существовать в виртуальном мире игры. Вам постоянно придется отбиваться от обезумивших «дикарей», которые захотят отобрать ваши вещи и ресурсы. Естественно, ни у одного новичка не получится защитить себя от оравы более опытных игроков, поэтому лучше изначально залетать в Rust хотя бы с парой друзей.
Никому нельзя верить
Этот пункт частично противоречит предыдущему, но при этом он еще более важен. Прежде всего вам стоит забыть о том, что взаимодействие с другими игроками в многопользовательских проектах – это норма. Rust вообще не та игра, где нужно объединяться с незнакомыми людьми, чтобы вместе получить больше лута или ресурсов. Здесь вы можете рассчитывать только на себя, и если начнете доверять первому встречному игроку, то очень скоро поймете, почему этого нельзя делать. Особенно это касается товарищей с хорошей экипировкой, которых вы встретите на своем пути.
Дело в том, что в Rust каждый играет сам за себя, а опытные игроки очень часто обманывают новичков самыми разными способами. Незнакомец, который предложит побегать с ним по виртуальному миру и при этом будет носить броню заметно лучше вашей, скорей всего грифер. Это такой игрок, который при первой же удобной возможности просто вас убьет и заберет все вещи. Так что, начиная играть в Rust, никому не доверяйте!
Курс юного строителя
Если вы вдруг не знали, то в Rust есть строительство, и здесь оно играет довольно важную роль. При этом данная механика имеет ряд особенностей, которые придется изучить в самом начале знакомства с игрой, иначе ваши архитектурные «шедевры» будут попросту разваливаться, а вы впустую потратите ценные ресурсы.
Прежде всего стоит отметить, что у каждого строительного блока есть мягкая и твердая сторона. Во время строительства блок всегда нужно устанавливать таким образом, чтобы твердая сторона находилась снаружи будущего здания. Если не соблюдать это правило и размещать материалы как попало, то вашу постройку сможет развалить первый попавшийся игрок, причем с помощью обычного топора или кирки. Согласитесь, будет не очень приятно наблюдать за тем, как несколько часов ваших трудов кто-то разбирает по кирпичикам за считаные минуты.
Все вещи в одном месте
Огромное количество игроков в Rust вообще не уделяют время крафту. Они считают, что гораздо проще украсть готовые предметы у других пользователей, чем стоять у станка и пытаться что-то сделать. Именно поэтому в этой игре противопоказано хранить все свои вещи в одном месте.
Ни в коем случае не размещайте абсолютно все запасы на единственной базе, да еще и в конкретном помещении. В таком случае после случайного налета кучки любителей халявы вы потеряете абсолютно все. Конечно, вряд ли у новичка хватит ресурсов, чтобы построить себе 4-5 домов и правильно распределить по ним ценные предметы, но хотя бы попробуйте сделать что-то подобное. Неплохим решением будет на территории одной базы построить несколько «нычек» и распределить по ним ресурсы и предметы.
Не забывайте про аптечки
Если вы решите, что аптечки вам не нужны и со своим крутым автоматом вы сможете одолеть кого угодно, то Rust очень быстро вас разочарует. Здесь очень просто погибнуть, и иногда вы даже не будете понимать, почему это вообще произошло. В результате игрок, у которого было полно аптечек, просто завалит вас рандомной палкой и заберет тот самый крутой автомат.
Поставьте себе домофон
Если же вы не можете сделать кодовый замок или уже поставили везде обычные двери, то не делайте ключ. Пускай доступ к зданию будет только у вас. Отсутствие ключа гарантировано защитит ваши владения, даже если вы внезапно погибнете.
Не используйте факел
Дело в том, что свет от факела моментально привлечет к вам внимание других игроков. Часть из них будет гриферами, которые быстро прибегут на ваш «сигнал» и просто убьют. На этом ваш многообещающий забег в Rust просто закончится и придется начинать все сначала. Первое время лучше бегайте без факела и пытайтесь ориентироваться на карте с помощью своего зрения.
Вы всегда в опасности
Многие новички ошибочно думают, что после того, как они построят себе укрытие и обзаведутся хоть какой-то экипировкой, можно просто расслабиться и наслаждаться игровым процессом Rust. Этот проект не об этом, вы всегда будете под прицелом у других игроков! Причем если у вас вдруг все слишком хорошо и на это обратят внимание остальные пользователи игровой сессии, то очень скоро вас ждет набег незваных гостей.
Перестрелка – не самая лучшая идея
Некоторые новички в Rust почему-то считают, что это экшен-шутер, в котором прямо-таки необходимо ввязываться в перестрелки и каждую минуту показывать, кто здесь круче. На самом деле проект про выживание, и я вам гарантирую, что ваша беготня с автоматом закончится очень быстро, если вы вдруг решите, что можете держать всю карту в страхе.
Вот такие советы мы решили дать новичкам, которые только надумали залететь в Rust! Делая все эти вещи, вы гарантировано проживете в виртуальном мире игры чуточку дольше и при этом гораздо лучше узнаете все тонкости проекта. Главное, не забывайте всегда быть начеку, здесь нет зоны комфорта.
Скачать игру Rust v2323 [Новая Версия] на ПК (на Русском)
by DEMA · Published 03.12.2021 · Updated 03.12.2021
Rust (Раст) – онлайн игра на тему выживания в жестоких условиях. Ты попадаешь на остров, который населен жуткими тварями, а также другими игроками, которые запросто могут стать твоими врагами. Твоими врагами станут не только живые существа, а и голод, и постоянно переменчивая погода. Ты можешь умереть от голода, либо замерзнуть в холодную ночь. Каждая твоя минута, проведенная на острове, буде на счету, поэтому будь очень внимательным, чтобы не лишиться жизни. Ты сможешь бродить по локациям в поисках предметов, при этом преодолевая многочисленные препятствия и борясь с врагами. Но не все игроки в игре будут настроены враждебно, здесь ты также сможешь завести новые знакомства и вместе построить защищенную базу. Другие игроки будут постоянно нападать на ваше убежище, желая забрать все ваши припасы, поэтому вам нужно как следует вооружиться, чтобы дать отпор противнику.
Обновлено до 2323 (2.12.2021/7815068), December Update
Информация о игре Год выпуска: 2013
Жанр: Экшен, Приключение, Инди, RPG
Разработчик: Facepunch Studios
Версия: 2323 (2.12.2021/7815068), December Update Полная (Последняя)
Язык интерфейса: английский, русский
Таблетка: Присутствует
Tefor Infrastructure Privacy Policy
Effective date: May 22, 2018
Tefor Infrastructure (“us”, “we”, or “our”) operates the https://tefor.net website, its subdomains and http://www.efor.fr (the “Service”).
This page informs you of our policies regarding the collection, use, and disclosure of personal data when you use our Service and the choices you have associated with that data.
We use your data to provide and improve the Service. By using the Service, you agree to the collection and use of information in accordance with this policy. Unless otherwise defined in this Privacy Policy, terms used in this Privacy Policy have the same meanings as in our Terms and Conditions, accessible from https://tefor.net
Definitions
Service
Service are the https://tefor.net and http://www.efor.fr websites operated by Tefor Infrastructure
Personal Data
Personal Data means data about a living individual who can be identified from those data (or from those and other information either in our possession or likely to come into our possession).
Usage Data
Usage Data is data collected automatically either generated by the use of the Service or from the Service infrastructure itself (for example, the duration of a page visit).
Cookies
Cookies are small pieces of data stored on your device (computer or mobile device).
Data Controller
Data Controller means the natural or legal person who (either alone or jointly or in common with other persons) determines the purposes for which and the manner in which any personal information are, or are to be, processed.
For the purpose of this Privacy Policy, we are a Data Controller of your Personal Data.
Data Processors (or Service Providers)
Data Processor (or Service Provider) means any natural or legal person who processes the data on behalf of the Data Controller.
We may use the services of various Service Providers in order to process your data more effectively.
Data Subject (or User)
Data Subject is any living individual who is using our Service and is the subject of Personal Data.
Information Collection And Use
We collect several different types of information for various purposes to provide and improve our Service to you.
Types of Data Collected
Personal Data
While using our Service, we may ask you to provide us with certain personally identifiable information that can be used to contact or identify you (“Personal Data”). Personally identifiable information may include, but is not limited to:
Usage Data
We may also collect information how the Service is accessed and used (“Usage Data”). This Usage Data may include information such as your computer’s Internet Protocol address (e.g. IP address), browser type, browser version, the pages of our Service that you visit, the time and date of your visit, the time spent on those pages, unique device identifiers and other diagnostic data.
Tracking & Cookies Data
We may use cookies and similar tracking technologies to track the activity on our Service and hold certain information.
Cookies are files with small amount of data which may include an anonymous unique identifier. Cookies are sent to your browser from a website and stored on your device. Tracking technologies also possibly used are beacons, tags, and scripts to collect and track information and to improve and analyze our Service.
You can instruct your browser to refuse all cookies or to indicate when a cookie is being sent. However, if you do not accept cookies, you may not be able to use some portions of our Service.
Examples of Cookies we use:
Use of Data
Tefor Infrastructure uses the collected data for various purposes:
Legal Basis for Processing Personal Data Under General Data Protection Regulation (GDPR)
If you are from the European Economic Area (EEA), Tefor Infrastructure legal basis for collecting and using the personal information described in this Privacy Policy depends on the Personal Data we collect and the specific context in which we collect it.
Tefor Infrastructure may process your Personal Data because:
Retention of Data
Tefor Infrastructure will retain your Personal Data only for as long as is necessary for the purposes set out in this Privacy Policy. We will retain and use your Personal Data to the extent necessary to comply with our legal obligations (for example, if we are required to retain your data to comply with applicable laws), resolve disputes, and enforce our legal agreements and policies.
Tefor Infrastructure will also retain Usage Data for internal analysis purposes. Usage Data is generally retained for a shorter period of time, except when this data is used to strengthen the security or to improve the functionality of our Service, or we are legally obligated to retain this data for longer time periods.
Transfer Of Data
Your information, including Personal Data, may be transferred to — and maintained on — computers located outside of your state, province, country or other governmental jurisdiction where the data protection laws may differ than those from your jurisdiction.
If you are located outside France and choose to provide information to us, please note that we transfer the data, including Personal Data, to France and process it there.
Your consent to this Privacy Policy followed by your submission of such information represents your agreement to that transfer.
Tefor Infrastructure will take all steps reasonably necessary to ensure that your data is treated securely and in accordance with this Privacy Policy and no transfer of your Personal Data will take place to an organization or a country unless there are adequate controls in place including the security of your data and other personal information.
Disclosure Of Data
Business Transaction
If Tefor Infrastructure is involved in a merger, acquisition or asset sale, your Personal Data may be transferred. We will provide notice before your Personal Data is transferred and becomes subject to a different Privacy Policy.
Disclosure for Law Enforcement
Under certain circumstances, Tefor Infrastructure may be required to disclose your Personal Data if required to do so by law or in response to valid requests by public authorities (e.g. a court or a government agency).
Legal Requirements
Tefor Infrastructure may disclose your Personal Data in the good faith belief that such action is necessary to:
Security Of Data
The security of your data is important to us, but remember that no method of transmission over the Internet, or method of electronic storage is 100% secure. While we strive to use commercially acceptable means to protect your Personal Data, we cannot guarantee its absolute security.
“Do Not Track” Signals
We do not support Do Not Track (“DNT”). Do Not Track is a preference you can set in your web browser to inform websites that you do not want to be tracked.
You can enable or disable Do Not Track by visiting the Preferences or Settings page of your web browser.
Your Data Protection Rights Under General Data Protection Regulation (GDPR)
If you are a resident of the European Economic Area (EEA), you have certain data protection rights. Tefor Infrastructure aims to take reasonable steps to allow you to correct, amend, delete, or limit the use of your Personal Data.
If you wish to be informed what Personal Data we hold about you and if you want it to be removed from our systems, please contact us.
In certain circumstances, you have the following data protection rights:
Please note that we may ask you to verify your identity before responding to such requests.
You have the right to complain to a Data Protection Authority about our collection and use of your Personal Data. For more information, please contact your local data protection authority in the European Economic Area (EEA).
Service Providers
We may employ third party companies and individuals to facilitate our Service (“Service Providers”), to provide the Service on our behalf, to perform Service-related services or to assist us in analyzing how our Service is used.
These third parties have access to your Personal Data only to perform these tasks on our behalf and are obligated not to disclose or use it for any other purpose.
Analytics
We may use third-party Service Providers to monitor and analyze the use of our Service.
Google Analytics
Google Analytics is a web analytics service offered by Google that tracks and reports website traffic. Google uses the data collected to track and monitor the use of our Service. This data is shared with other Google services. Google may use the collected data to contextualize and personalize the ads of its own advertising network.
You can opt-out of having made your activity on the Service available to Google Analytics by installing the Google Analytics opt-out browser add-on. The add-on prevents the Google Analytics JavaScript (ga.js, analytics.js, and dc.js) from sharing information with Google Analytics about visits activity.
For more information on the privacy practices of Google, please visit the Google Privacy & Terms web page: http://www.google.com/intl/en/policies/privacy/
Links To Other Sites
Our Service may contain links to other sites that are not operated by us. If you click on a third party link, you will be directed to that third party’s site. We strongly advise you to review the Privacy Policy of every site you visit.
We have no control over and assume no responsibility for the content, privacy policies or practices of any third party sites or services.
Children’s Privacy
Our Service does not address anyone under the age of 18 (“Children”).
We do not knowingly collect personally identifiable information from anyone under the age of 18. If you are a parent or guardian and you are aware that your Children has provided us with Personal Data, please contact us. If we become aware that we have collected Personal Data from children without verification of parental consent, we take steps to remove that information from our servers.
Changes To This Privacy Policy
We may update our Privacy Policy from time to time. We will notify you of any changes by posting the new Privacy Policy on this page.
We will let you know via email and/or a prominent notice on our Service, prior to the change becoming effective and update the “effective date” at the top of this Privacy Policy.
You are advised to review this Privacy Policy periodically for any changes. Changes to this Privacy Policy are effective when they are posted on this page.
Contact Us
If you have any questions about this Privacy Policy, please contact us:
Rust выдает ошибку? Исправим!
Zilla
Описание ошибок и их решения
Решение:
Решение:
Обновите драйвера для видеокарты, также установите полный пакет Microsoft Visual C++ и Net framework 4.5.2 затем запускайте игру с максимальными настройками графики.
Решение:
У вас старая версия, скачайте актуальную версию клиента.
Решение:
Игре не хватило оперативной памяти. Для нормальной игры нужно, как рекомендуют разработчики 64-разрядную Windows и не менее 4-6 гб ОЗУ. Также возможны вылеты на рабочий стол без каких либо ошибкок ( возможно из-за нехватки оперативной памяти)
Решение:
Произошло отключение от сервера, нужно подождать.
Решение:
Как переустановить EasyAntiCheat (EAC):
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Способ 2:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Решение:
Fortigate — достойная замена уходящему Microsoft Forefront TMG
Для всех уже давно не секрет, что компания Microsoft объявила о прекращении дальнейшего развития своего продукта Forefront TMG. При этом, продукт стал недоступен к приобретению с 1 декабря 2012 года, основная его поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года.
Оставшийся в помощь Forefront Unified Access Gateway (UAG) для публикации веб-ресурсов таких как: MS Exchange, SharePoint, Lync и т.д., не обеспечивает функций безопасности, предоставляемых ранее посредством TMG, что отображено в небольшой сравнительной таблице функций:
И раз уж зашёл разговор о необходимых функциях безопасности, кратко обозначим, какими же из них TMG способен был осчастливить нас, пользователей:
• Межсетевой экран;
• Веб-прокси;
• Reverse proxy для публикации внутренних ресурсов;
• Web и Email-фильтрация;
• Защита от вредоносного/шпионящего ПО;
• Система предотвращения вторжений (IPS);
• Инспектирование SSL-трафика;
• Балансировка нагрузки;
• Удаленный доступ пользователей и функционал VPN, как клиент-сервер (client-to-site), так и между площадками (site-to-site).
Таким образом, перед пользователями TMG рано или поздно (исходя из озвученных конечных дат поддержки) предстанет вопрос о выборе и последующей миграции на аналогичные продукты сторонних производителей.
Так, некоторые из компаний (Sophos, Citrix, Cyberoam, WatchGuard, Kemp и др.) уже начали свои кампании (думаю, такая тавтология была бы уместной) по активному продвижению программных и/или аппаратных решений и предоставляют полнофункциональную альтернативу плавно и неизбежно уходящему пресловутому TMG. Это подтверждается наличием в сети рекламных флаеров, акций и прочих маркетинговых материалов в виде «TMG Replacement Guide», « VS. TMG Comparsion» и т.д.
Компания Fortinet пошла тем же путём, что и остальные вендоры и на сегодняшний день также предлагает свой «Microsoft TMG Replacement» на базе флагмана линейки собственных продуктов сетевой безопасности – FortiGate.
Поскольку сам TMG (Threat Management Gateway) позиционировался как решение унифицированного управления угрозами – то и искать ему замену логично как раз из числа UTM. Посему, заглянув в Квадрат Гартнера: www.gartner.com/technology/reprints.do?id=1-1H1RO5D&ct=130710&st=sb, «магически» видим здесь Fortinet в лидерстве среди UTM-решений, и лидерство сие является уже достаточно долговременным – почти 6 последних лет.
Итак, приступим к детальному рассмотрению обеспечиваемых функций предлагаемым «альтернативным» решением, способным, по словам вендора, оказать равноценную замену нашему сабжу.
Собственно, предложением Fortinet является миграция на FortiGate следующего списка функций:
Здесь, прежде всего, хотелось бы сказать, что для крупных предприятий при наличии сложной сетевой инфраструктуры, рекомендуется разделить свои задачи и использовать отдельные узконаправленные решения. Fortinet, в частности, может предложить реализацию такого раздельного и целенаправленного, но, в то же время гибкого и легко масштабируемого подхода с помощью линеек оборудования Fortinet:
— FortiWeb — Web Application Firewall, решение для защиты веб-ресурсов и приложений (в т.ч. – реализация Reverse Proxy с защищённой публикацией веб-ресурсов);
— FortiMail, комплексное антиспам-решение для защиты почты;
— FortiBalancer, FortiADC, Coyote Point Equalizer – всё линейки балансировщиков нагрузки и контроллеров доставки приложений.
Для обеспечения полного комплекса мер по сетевой безопасности, всё это лучше дополнить и включением в инфраструктуру самого FortiGate, однако, малым и средним предприятиям можно обойтись лишь услугами этого решения в аппаратном, либо виртуальном исполнении.
Итак, что же обеспечивает FortiGate в разрезе аналогичных с TMG функций? Будем поочерёдно их рассматривать через призму замены TMG, а заодно и в общих чертах ознакомимся с умениями FortiGate.
Межсетевой экран
Межсетевой экран – начало начал фильтрации нежелательных подключений извне, из Интернета в корпоративную сеть. В то же время, необходимо вести учёт, контроль и разграничение доступа пользователей изнутри сети к внешним ресурсам. Поэтому, помимо пакетной фильтрации, трансляции адресов и портов, поддержки глубокого инспектирования пакетов с проверкой на принадлежность существующему соединению (Stateful/Deep Packet Inspection), FortiGate – это прежде всего платформа комплексной защиты сети, под управлением единой операционной системы FortiOS с полным набором встроенных функций безопасности, таких как: антивирус, антиспам, контроль приложений, система предотвращения вторжения, веб-фильтрация, предотвращение утечки данных и прочие.
При всём широком наборе функциональности, стандартная политика для веб-доступа пользователей из внутренней сети в Интернет, созданная в веб-интерфейсе FortiGate, будет выглядеть так:
Веб-прокси
Одна из старейших и наиболее используемых функций TMG для предоставления доступа пользователей к Интернет без дополнительной аутентификации.
В FortiGate есть функция «Explicit web proxy» для передачи через прокси сессий по HTTP (HTTPS) и FTP, плюс поддержка авто-конфигурации с помощью PAC-файла.
Также, благодаря полностью интегрированной в FortiGate функции Single Sign-On (SSO), доступна возможность взаимодействовать с контроллером домена (Active Directory, Novell eDirectory) и контролировать доступ аутентифицированных пользователей, применяя к определённым группам домена необходимые права и возможности.
В дополнение к этому, в такие политики безопасности могут быть включены функции антивирусной защиты, предотвращения вторжения, веб-фильтрация и контроль приложений.
Включение веб-прокси осуществляется на требуемом(-ых) интерфейсе(-ах) («port1» на верхнем рисунке) и созданием разрешающей политики (на рисунке снизу):
Внедрение же Single Sign-On может быть осуществлено несколькими способами:
1. Используя специальную программу-агент на контроллере домена (DC Agent)
DC Agent – программный компонент в виде отдельной службы слежения за входами в систему пользователей, устанавливаемый на контроллере домена. Он взаимодействует с FortiGate не напрямую, а через коллектор-агент (Collector Agent).
Collector Agent инсталлируется на любом сервере или, опять же, на контроллере домена. Агент получает информацию о входах в систему пользователей и обменивается ею с FortiGate. Количество установленных агентов может быть больше одного для отказоустойчивости.
2. Опрос Collector Agent’а
Такой метод также предусматривает установку дополнительного софта в виде Collector Agent, но на контроллере домена службу DC Agent устанавливать не придётся. Collector Agent можно установить в любом месте сети (желательно на каком-то из Windows-серверов) и тогда он сможет опрашивать контроллер домена о событиях аутентификации пользователей («логонах»). Механизмы опроса осуществляются с помощью Windows NetAPI или Security event log.
3. Опрос напрямую с FortGate
Начиная с FortiOS версии 5, механизм опроса логонов с контроллера домена был полностью встроен в FortGate. При этом, для опроса используется только Security event log, а сам метод использования позиционируется как для небольших сетевых инфраструктур, там где нет возможности установить Collector Agent на периметре сети.
Правда, при этом, не стоит забывать, что FortGate если и избавит Вас от лишних хлопот с установкой софта — то возьмёт нагрузку по хранению в памяти структуры домена и опроса логонов пользователей на себя.
4. NTLM-аутентификация
Использование аутентификации по NTLM, требует для обмена с FortGate установленного Collector Agent на периметре сети. При запросе URL-адреса в браузере пользователя, FortGate запросит его доменные учётные данные (логин/пароль), получит их через браузер, сверит у Collector Agent принадлежность пользователя к группам домена и предоставит доступ к ресурсам согласно своей групповой политики безопасности.
5. Терминальные сервера
Пользователи, которые получают доступ к корпоративным ресурсам через терминальные сервера Microsoft или Citrix, имеют вместо собственного IP-адреса один общий адрес или пул. Для применения к таким пользователям политик безопасности посредством SSO, у Fortinet есть очередной программный компонент – Terminal Server Agent (TS Agent), устанавливаемый на самом терминальном сервере. Он выделяет заданный диапазон портов на каждого пользователя и обменивается этой информацией с Collector Agent, который, в свою очередь знает о принадлежности пользователя к доменным группам, а каким группам дать какой набор ресурсов и какую применить политику – знает FortiGate. Выглядит агент так:
В довершение описания реализации SSO хотелось бы также отметить, что производитель стремится к усовершенствованию функциональности даже в самых младших моделях UTM. В подтверждение этому, в 2012 году был анонсирован выход кардинально переработанной версии ОС FortiOS 5, из числа усовершенствований которой была и поддержка Terminal Server Agent, и более корректной работы SSO в целом, с его вышеописанным изобилием вариаций применения и вспомогательного софта.
Хоть поверьте, хоть проверьте, а взяв последние версии софта: Collector Agent, DC Agent, TS Agent в сочетании с FortiGate на версии FortiOS 5.0.4 и выше – всё будет работать как часы. А если будет интересно постичь тайности SSO и погрузиться в детали – будем про него «песать исчо», т.к. эта тема заслуживает отдельной статьи.
Переходя к части применения политик безопасности, взглянем, как это будет выглядеть на FortiGate при успешно настроенных программных компонентах SSO:
Применяемое правило для доступа конкретной группы или пользователя выглядит так:
Более разграниченные политики со множеством разных доменных групп предоставляют больше возможностей для контроля доступа пользователей к ресурсам сети.
Публикация OWA/SharePoint
Основными аспектами вопроса публикации веб-ресурсов Outlook Web Access или SharePoint являются следующие:
— Трансляция внешнего IP-адреса;
— Обмен сертификатами с пользователями извне.
Для начала нам нужно импортировать сертификат, делается это так:
В нужном меню просто выберите свой сертификат и нажмите ОК.
Далее, для настройки реверс-прокси необходимо настроить балансировку нагрузки. Создаём для этого виртуальный сервер:
Для виртуального сервера нужно определить реальный сервер:
Финальным этапом, создаём политику безопасности, где разрешаем трафик извне:
Входящий интерфейс (Incoming Interface) в таком случае будет внешний, исходный адрес (Source Address) будет «all», а адрес назначения (Destination Address) – только что созданный виртуальный сервер. В качестве сервиса, пропускаем HTTPS, т.к. обмен трафиком будет происходить только по HTTPS, а большего нам и не надо.
Как и в обычном прокси, существует возможность расширить функции безопасности, включив в политику профили:
— Антивирусной защиты;
— Системы предотвращения вторжения (IPS);
— Контроля приложений (тут мы можем ограничить или отследить, что кроме нужного приложения не используются другие);
— URL-фильтрации.
Инспектирование SSL-трафика
Ещё одна важная функция при миграции с TMG – это инспектирование SSL-трафика.
Включается так же просто как и остальные функции безопасности – преднастроенным профилем в политике.
Поскольку обмен сертификатами прозрачен для конечного пользователя внутри сети, можно использовать стандартный встроенный от вендора, а если внутренний сервер будет иметь собственный самоподписанный сертификат – можно просто включить «Allow invalid SSL Certificates», ведь они будут восприниматься как некорректные, т.к. не фигурируют в списке доверенных Certificate Authority (CA).
В разрезе публикации веб-ресурсов на FortiGate, настройка инспектирования относится лишь к публикуемому приложению и не будет касаться остального трафика, однако функция SSL-инспектирования может использоваться и для более детального контроля SSL-трафика конечных пользователей в корпоративных политиках безопасности.
Контроль приложений
Для того, чтобы задействовать функцию контроля приложений необходимо создать «сенсор» приложений. Это тот же профиль, только — в профиль 🙂
Смотрим:
В нашем случае, можно и нужно выбрать конкретное приложение, переключив тип сенсора на «Specify Applications» и методом поиска найти нужное приложение:
Система предотвращения вторжений
Для включения в политику безопасности – опять нужен сенсор для IPS:
Единственное – это то, что через веб-интерфейс нельзя создать фильтр по приложению, но это можно сделать из CLI-консоли, выполнив такие команды или скопировав их как скрипт:
После создания в CLI фильтра, в нём можно применять любые сигнатуры исключительно для IIS и Exchange.
Ещё одна «неявная» функция – это написание своей IPS-сигнатуры для блокирования доступа при попытке ввести неправильный пароль. Для создания таковой для OWA 2012 это будет выглядеть следующим образом:
Здесь параметр «—rate 3,180;» символизирует количество ложных ошибок ввода пароля (3) и время блокировки пользователя по его IP-адресу в секундах (180).
Защита от вредоносного/шпионящего ПО
Профиль антивируса выглядит так:
Как видим, помимо HTTP есть ещё другие виды трафика (SMTP, POP3, IMAP, MAPI, FTP). Нам же для публикации достаточно только HTTP(S).
Итак, собираем это всё воедино. Создаём политику для нашего реверс-прокси с публикацией, извне в корпоративную сеть, а точнее – на сервера веб-приложений, плюс включаем все настроенные профили и сенсоры, в том числе и SSL-инспектирование:
Публикация Lync
Теперь, когда мы детально рассмотрели вопрос публикации OWA/SharePoint с полным возможным набором функций безопасности, стоит отметить, что публикация Lync как веб-приложения происходит на FortiGate практически по той же схеме (трансляция адресов, обмен сертификатами, защита функциями UTM) и по тем же протоколам, за исключением появления необходимости контролировать также и трафик SIP:
Дабы учесть и такой аспект, помимо описанных возможностей, в FortiGate встроена поддержка SIP ALG (Application Level Gateway) – шлюза прикладного уровня, который обеспечивает детальное инспектирование и фильтрацию трафика SIP. Как и многие функции FortiGate, SIP ALG заслужил у производителя отдельного мануала – поэтому его детальное рассмотрение также заслуживает отдельной статьи в будущем.
Удаленный доступ пользователей и VPN-сети
Виртуальные частные сети VPN и защищённый шифрованный доступ с их помощью удалённых пользователей к корпоративным ресурсам сети или туннели между разнесенными площадками предприятий, очень широко используются уже большое количество времени, и TMG здесь не является единственным и неповторимым, обеспечивая нам данный функционал. FortiGate тоже не панацея, но искать решение для VPN на стороне зная, что и тут мы всё сможем сделать «из коробки» — это уже, простите, моветон. Да и оговорились мы ещё вначале, что решение наше полнофункциональное, поэтому обманывать не будем – а будем продолжать с миграцией всех функций TMG.
Итак, что имеем? Имеем поддержку L2TP/IPSec и IPsec VPN для т.н. «site-to-site» подключений и SSL-VPN для удалённого доступа из любой точки, что вполне подходит для «client-to-site».
Для IPsec доступно несколько вариаций, а-ля статического или же «Dialup»-подключения (имея статический адрес на одной стороне и динамический с удалённого конца туннеля), Dynamic DNS. Туннели строятся и между FortiGate’ами, и между ПК и FortiGate — с помощью дополнительного софта FortiClient. Присутствует множество аутентификаций (локальные группы пользователей, идентификаторы локального и удалённого узла, сертификаты X.509, учётные данные групп Active Directory).
SSL представлен двумя режимами – веб-портальным и туннельным. Веб-порталы предназначены для быстрого доступа к корпоративным ресурсам из веб-браузера, что особенно актуально для тонких клиентов и мобильных устройств. В таком режиме, FortiGate служит как защищённый HTTP/HTTPS шлюз, и аутентифицирует пользователей, предоставляя им затем доступ к веб-порталу, где доступны ресурсы HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH и прочие. Туннельный режим предлагает доступ любому приложению к корпоративной сети, но для этого устанавливается FortiClient или отдельная его часть — FortiClient SSL VPN application. FortiClient поддерживает многие ОС: Windows, Mac OS X, Apple iOS и Android.
Ещё один из типов дополнительной авторизации для VPN – это двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей FortiToken или софтварного FortiTokenMobile для мобильных устройств.
В общем, VPN-функционал опять же достаточно широк и во всей красе описывается на парочке сотен страниц, но, в то же время, немного потренировавшись (прямыми руками) можно легко управляться с многочисленными туннелями и веб-порталами. Напоследок, отметим также поддержку VPN-туннелей со сторонними (third-party) производителями, среди которых возможность подключения к облачному сервису Windows Azure от Microsoft, который тоже использует IPSec VPN.
Наконец, подытоживая всё вышеописанное, с уверенностью говорим, что Fortinet в лице своего флагмана – линейки UTM-устройств FortiGate может обеспечить с его покупкой очень широкий набор функциональности для построения системы комплексной сетевой безопасности предприятий любых размеров, оставляя при этом зазор для роста их численности. Нельзя обойти стороной возможность более узкопрофильно усилить защиту с помощью отдельных линеек оборудования Fortinet, таких как: FortiWeb, FortiMail, FortiBalancer, FortiToken и FortiClient, упомянутых нами в качестве перехода с Microsoft TMG, а также остальных продуктовых линеек: FortiWifi и FortiAP для построения защищённой беспроводной связи, централизованного управления FortiManager, централизованного сбора и анализа отчётности FortiAnalyzer, защиты от DDoS-атак FortiDDoS, защиты баз данных FortiDB, веб-кэширования FortiCache, кэширующего DNS-сервера FortiDNS, отдельного решения для аутентификации пользователей FortiAuthenticator, работы «в разрыв» при выходе из строя сетевых устройств FortiBridge, коммутация FortiSwitch и это ещё не конец списка…
Вопрос масштабируемости необходимо рассматривать в зависимости от требуемых функций, ранее используемых в TMG. И если уж Вам приглянулся FortiGate в одиночку или вместе с другим железом от Fortinet – то малым предприятиям (примерно до 100 пользователей) стоило бы обратить внимание на модель FortiGate-90D и ниже, а более крупным организациям – на FortiGate-100D и выше, т.к. поддержка некоторых функций (как и цена) разнится в зависимости от модели.
В завершение, от себя хотелось бы подчеркнуть, что о том, достоен ли FortiGate стать для Вас не только полнофункциональным, а ещё и незаметным и беспроблемным переходом с Microsoft TMG – решать, естественно, Вам. Как по мне — вполне реализуемо.