Ограничиваем нагрузку на сервер. Дешево и сердито

Ранее мы писали о разграничении информационных систем при защите персональных данных. Предмет этой статьи - ограничение нагрузки на сервер при ограниченном бюджете.


Постановка задачи и возможные способы ее решения

Представим, что у нас есть сервер (или группа серверов) и несколько групп клиентов. Нужно выполнить регулирование нагрузки сервера. Например, у нас есть сервер (или группа серверов - не важно) 1С и две категории пользователей - локальные и удаленные, которые подключаются к серверу по RDP. В свою очередь, локальных пользователей можно разделить, как минимум на две группы: бухгалтерия (которым необходим доступ к 1С) и все остальные. Всем остальным можно или вообще запретить доступ к серверу или же ограничить скорость доступа. Это и есть задача регулирования нагрузки. Как решить задачу? Если серверы работают под Linux (что маловероятно, раз мы изначально подразумеваем 1С, но вполне возможно), то можно попытаться решить ее малой кровью - iptables + squid. Такое решение будет абсолютно бесплатным, но требует определенной квалификации администратора, в противном случае на настройку методом проб и ошибок будет потрачено много времени с неопределенным результатом. А что, если серверы работают под управлением Windows Server? Первое, что приходит в голову - использовать TMG (Threat Management Gateway). Однако есть небольшая проблема - продажи TMG прекращены 3 года назад, а достойной замены Microsoft ему так и не предоставила. Есть решения, но более ориентированы на облачные технологии, довольно дорогие и для нашей весьма скромной задачи не очень подходят. Есть и сторонние решения, например, Sophos UTM & Next-Gen Firewall. Однако стоимость такого решения не понравится многим компаниям. Да и функционал явно избыточный для решения нашей задачи. А есть недорогое и простое решение - Киберсейф Межсетевой экран. Стоимость этого решения будет вполне приемлемой, как для малых, так и для крупных компаний, а его простота наверняка понравится администраторам. Да, на фоне Sophos UTM & Next-Gen Firewall и бывшего TMG Киберсейф Межсетевой экран выглядит как Лада на фоне BMW. Однако не у всех есть средства и необходимость покупать BMW, когда поставленные задачи вполне могут быть решены с помощью "Лады".


Рис. 1. Sophos UTM & Next-Gen Firewall Чтобы нас не обвинили в чрезмерной рекламе нашего программного продукта, переходим сразу к решению поставленной задачи, где вы сможете оценить простоту предлагаемого решения.

Ограничение нагрузки средствами Киберсейф Межсетевой экран

Рассмотрим, как можно решить задачу регулирования пропускной способности. Первым делом нужно выполнить развертывание программы посредством ActiveDirectory на все компьютеры сети. О том, как это сделать, написано в руководстве. Отметим, что создать файл трансформации (MST-файл) можно средствами программы, не прибегая к помощи стороннего ПО, что очень удобно. Если в вашей сети не используется ActiveDirectory, то это не проблема: для автоматизации установки программы используется специальный сценарий развертывания, который можно создать с помощью самой же программы. После того, как программа установлена на все компьютеры сети, нужно выполнить следующие действия:
  1. Войдите в Киберсейф Межсетевой экран как администратор (рис. 2).


    Рис. 2. Вход как администратор
  2. Выполните команду меню Файрвол, Панель администрирования. Данная команда будет доступна, только если вы вошли как администратор.
  3. Откроется окно Панель администрирования (рис. 3).


    Рис. 3. Панель администрирования
  4. В панели администрирования определите группы компьютеров. Для создания новой группы щелкните в окне панели администрирования правой кнопкой мыши и выберите команду Создать группу. После этого просто перетащите компьютеры в созданную группу.
  5. Сервер (или серверы) поместите в группу SERVERS (рис. 4). Обязательно нажмите кнопку Применить, чтобы изменения вступили в силу.


    Рис. 4. Серверы добавлены в отдельную группу
  6. Выделите группу рабочих станций, которую вы хотите ограничить. Нажмите кнопку Установить правила. На рис. 5 открыто окно установки правил для группы Юристы.


    Рис. 5. Окно установки групповых правил
  7. Перейдите в раздел Правила шейпера. Нажмите кнопку Добавить.
  8. В окне Добавление правила шейпера установите лимит скорости (рис. 6).


    Рис. 6. Установка ограничения скорости
  9. Перейдите на вкладку Источник и выберите параметр Псевдоним, а из появившегося списка - группу, которую вы хотите ограничить. Честно говоря, она уже будет выбрана, поскольку мы создаем для нее правило, но не будет лишним убедиться в правильности выбора.


    Рис. 7. Выберите группу-источник
  10. На вкладке Получатель выберите параметр Псевдоним и выберите группу SERVERS (рис. 8)


    Рис. 8. Выберите группу SERVERS
  11. Нажмите кнопку OK, закройте окно установки групповых правил.
  12. Повторите действия 6-11 для всех групп компьютеров, доступ которых к серверу нужно ограничить.
  13. Нажмите кнопку Применить в окне Панель администрирования.
  14. Закройте окно панели администрирования.
Вот и все. А вы думали, будет сложнее?

Выводы

Программа КиберСейф Межсетевой экран - простое и недорогое решение для самых разных компаний, для которых вопрос бюджета стоит на самом первом месте. К тому же программа имеет сертификат ФСТЭК России (по третьему классу защищенности), что тоже немаловажно, если нужно привести информационную систему предприятия в соответствие с требованиями законодательства.