Установка и настройка прокси-сервера WINGATE

     Слово “прокси” означает “посредник”. Обычно этот термин используется для обозначения сервера-посредника между компьютерами-клиентами локальной сети, не имеющими прямого (через шлюз) выхода в Интернет и ресурсами Интернет. В общем случае, такой сервер имеет как минимум два сетевых интерфейса, один из которых доступен из локальной сети, а второй — имеет выход в Интернет. Сам сервер представляет собой программный комплекс, (в случае с Wingate — cостоящий из множества сервисов — WWW, FTP, TELNET), обеспечивающий доступ к внешним ресурсам по запросам клиентов из локальной сети. При чем, каждый из сервисов может настраиваться на прием, передачу, кэширование и фильтрацию пакетов, предназначенных для конкретных клиентов.

    С точки зрения оптимального системного администрирования такой вариант подключения рабочих мест локальной сети к ресурсам Интернет является наиболее контролируемым и безопасным, поскольку отсутствует прямое соединение между клиентами и серверами и весь внешний трафик сосредотачивается в однойточке –на прокси – сервере. Кроме того, за счет кэширования данных снижается нагрузка на канал доступа и повышается быстродействие всей системы в целом.
В статье рассматривается пример установки и настройки довольно популярного прокси-сервера Wingate.

На сегодняшний день (конец 2003г.) существует около десятка версий Wingate (от 2.0.Х до 5.0.Х) и описывать каждую из них нет никакого смысла, поэтому я остановлюсь только на основных и минимально необходимых для создания работоспособного прокси-сервера сведениях и настройках.

Установка и настройка прокси-сервера WINGATE

Прежде, чем приступать к установке прокси-сервера, установите и настройте доступ в Интернет с компьютера, на котором будет использоваться Wingate-сервер.

Инсталляционный пакет Wingate состоит из двух частей – инсталляции сервера и инсталляции клиента (в последних версиях инсталляционный пакет один, но режим инсталляции клиента или сервера, вы выбираете сами). Процесс инсталляции очень прост – следуйте инструкциям на экране. Перед установкой под Windows95 нужно установить WINSOCK 2.0или более поздний, поскольку Wingate умеет работать только через него(вы можете скачать с http://lan2inet.agava.ru/download.htm )

Сначала устанавливается сервер Wingate, затем – клиенты на каждом из рабочих мест локальной сети. Однако сразу замечу, что в большинстве случаев установку клиентской части не делают, а настраивают клиентские программы вручную, что позволяет более полно учесть особенности сети и используемого программного обеспечения. После завершения процесса инсталляции сервера и перезагрузки компьютера в правом нижнем углу панели задач появится иконка Wingate Engine Monitor , которая позволяет запустить двойным щелчком мыши программу Gate Keeper, являющуюся основным средством настройки и мониторинга прокси-сервера. Gate Keeper не имеет никакого отношения к доступу в Интернет и представляет собой интерфейс администратора, с помощью которого вы можете управлять собственно прокси-сервером.В зависимости от версии инсталлированного Wingate, при первом запуске Gate Keeper может потребовать смену пароля (первый вход осуществляется с именем пользователя “Administrator” и без пароля). Учтите, что строчные и прописные буквы различаются. Смену пароля вы также можете произвести в любой момент времени, используя опцию “Change Password” в меню “Options”.

Настройка системных сервисов.

После идентификации пользователя “Administrator” программа подключит вас к прокси – серверу и вы увидите на экране окно со списком системных сервисов, установленных при инсталляции. Этот список различен для разных версий Wingate, но основные, необходимые для функционирования, присутствуют всегда, при чем некоторые из них вам могут никогда не понадобиться.

Рис 1. Первое окно после старта Gate Keeper.

Коротко о сервисах:

  • DHCP service– сервис работает при наличии лицензированной версии. Позволяет автоматизировать выделение IP-адресов компьютерам в локальной сети. Однако,
  • мы будем рассматривать вариант с выделением адресов статически и данный сервис нам не понадобится.
  • Winsock Redirector Service- сервис, обеспечивающий работу всех клиентских приложений с использованием протокола перенаправления Winsock. (WRP – Winsock Redirector Protocol). Используется при установке клиентской части Wingate на компьютерах вашей локальной сети. После установки Wingate Internet Client (WGIC) настройка пользовательских программ может не выполняться, и большинство приложений будут работать так, как будто они напрямую подключены к Интернет. Поскольку установка WGIC
  • не всегда приводит к работоспособному доступу отдельных приложений к ресурсам Интернет, мы будем рассматривать вариант с ручной настройкой клиентских программ.
  • GDP Service – сервис,обеспечивающий поиск клиентами серверов Wingate.
  • DNS Service – данный сервис используется для разрешения доменных имен. Этот сервис не является настоящим DNS сервером, и обеспечивает только кэширование DNS-запросов (к DNS серверу, указанному в настройках TCP-протокола машины с установленным Wingate) и обслуживание запросов клиентов. Однако, для клиентской машины DNS Service — это обычный DNS сервер. .
  • Remote Control Service – сервис, обеспечивающий подключение интерфейса администратора (Gate Keeper) к серверу WINGATE
  • , при чем возможно и удаленное подключение (с других компьютеров), если это разрешено настройками сервиса.
  • Caching –
  • кэширование. Данный сервис, по сути, сервисом в полном смысле не является и позволяет управлять системой кэширования прокси-сервера. Вы можете изменить размер области жесткого диска, отводимой под кэширование и установить правила кэширования и очистки. Пока оставим все настройки по умолчанию.
  • Scheduler —планировщик, позволяющий в определенное время выполнить определенные действия, например, остановить или запустить какой-либо сервис, заблокировать или разблокировать пользователя, послать сообщение клиентам и т.п. Для работы не обязателен, но может оказаться полезным при дальнейшем совершенствовании уже настроенного Wingate-
  • сервера.
  • Dialer –понадобится только в том случае, если вы используете коммутируемый доступ (подключение через модем). При доступе по выделенной линии оставьте этот сервис, как есть, а для коммутируемого доступа откройте свойства Dialer двойным щелчком и в открывшемся окне поставьте флажок на Connect as required . В открывшемся окне со списком подключений удаленного доступа выберите необходимое подключение и откройте его свойства двойным щелчком мыши. В открывшемся окне установите флажок Enable this connection to be used for Wingate (в ранних версиях такой флажок может отсутствовать) и заполните поля User и Password , поле Domain заполнять не нужно, за исключением случаев аутентификации с использованием домена Windows NT/2000.
  • Имя пользователя и пароль вводятся обязательно, независимо от наличия их в настройках соединения удаленного доступа.
  • Extended Networking – данный режим появился в последних версиях Wingate
  • и предназначен для настройки системы безопасного доступа в Интернет. По сути — это встроенный в прокси-сервер файерволл, имеющий несложные настройки и обладающий неплохими возможностями.

    Настройка пользовательских сервисов.

    Теперь надо настроить основные сервисы пользователей прокси-сервера. Для этого выбираем вкладку “Services”

    в нижней части левого окна.

    Рис. 2. Список установленных сервисов пользователей.

    Начнем с установки WWW Proxy server. Это именно тот сервер, который обеспечивает доступ к Web-ресурсам по протоколу HTTP, то есть, наиболее часто используемый при доступе к Интернет. Настройки большинства сервисов очень похожи и заключаются в привязке к сервису сетевого интерфейса, определения правил доступа пользователей к нему и поведения сервера при неправильно сформированных запросах.Окно свойств сервиса практически для всех сервисов одинаково и имеет в верхней части несколько вкладок, с помощью которых открываются окна настроек. Первую вкладку General оставляем в покое (если вы не намерены изменять номер порта, название сервиса или режим его старта) и сразу жмем на Bindings(Привязки). Здесь вы должны указать, через какой интерфейс возможно подключение к данному сервису – через один, несколько или через любой:

    • Allow connections coming in on any interface –
    • возможно соединение через любой интерфейс.
    • Connections will be accepted on the following interface only
    • – соединение только через выбранный интерфейс.
    • Specify interface connections will be accepted on – соединения возможны только через выбранную группу интерфейсов, которую вы формируете в окошке “Bound” двойным щелчком на строке с идентификатором интерфейса в окошке “Available”.

    Рис. 3. Окно привязки интерфейсов “Bindings”.

    Если вы планируете возможность подключения пользователей вашей локальной сети к WWW—прокси, то нужно указать возможность соединения через интерфейс вашей сетевой карты (например, 192.168.0.5) или разрешить соединение через любой интерфейс. Второй вариант нежелателен, так как вы разрешаете подключение к вашему серверу и извне, что c точки зрения обеспечения безопасности неверно. Петлевой интерфейс (127.0.0.1) тоже имеет смысл разрешить, поскольку его можно задействовать для подключений клиентских программ, выполняемых на компьютере, где установлен прокси-сервер.

    Теперь настраиваем режим Interfaces”, определяющий привязку интерфейсов для исходящих соединений и во многом похожий на предыдущий Bindings. Причем, здесь вы можете выбрать режим, разрешающий использование любого интерфейса, поскольку на безопасность это никак не повлияет. (Выбор показан на рисунке 4 и обычно это режим по умолчанию). В принципе, если у вас имеется возможность подключения к Интернет по нескольким каналам, вы можете разделить их между несколькими сервисами (WWW, FTP, почта и т. п.)

    Рис. 4. Окно привязок для исходящих соединений.

    Следующая вкладка – Sessions”определяет предельное время отсутствия активности соединения, по истечении которого текущий сеанс пользователя данного сервиса прерывается. Это не значит разрыв модемного соединения с Интернет, а просто прекращение текущего соединения между клиентом и сервером. Оставьте настройку по умолчанию.

    Вкладка “Policies”определяет права доступа пользователей к данному сервису. По умолчанию разрешено все и всем. Но в процессе дальнейшей эксплуатации вам, возможно, придется серьезно заняться разделением доступа пользователей к сервисам. У Wingate в этом плане существуют возможности построения очень гибких правил управления сеансами пользователей, позволяющих частично или полностью ограничить доступ к сервису по определенным критериям (IP-адрес, имя пользователя, время, содержимое запросов и т.п.). Но на этапе первоначальной настройки ограничения вводить не стоит. Этим займетесь после обеспечения устойчивого функционирования всех клиентов прокси-сервера. Более подробное описание настроек доступа клиентов вы найдете на главной странице в разделе Сеть.


    Non-Proxy Requsts –

    определяет поведение сервера при получении некондиционного, с его точки зрения, запроса. По умолчанию такой запрос отвергается, но его можно перенаправить на другой сервер. Оставьте по умолчанию.

    Рис. 5 . Окно “Policies”

    определяет права пользователей для данного сервиса.

    Connection – определяет способ соединения с серверами в Интернет. Обычно это выполняется напрямую (Directly), но возможны и варианты:

    • Through cascaded proxy server –
    • через другой прокси-сервер, например прокси-сервер провайдера.
    • Through SOCKS4 server – через SOCKS-сервер. Практически не используется, поскольку в качестве преимущества такое подключение позволяет скрыть ваш реальный IP-адрес, но, как правило, снижает скорость доступа. Кроме того, бесплатных и общедоступных SOCKS-серверов
    • пока очень немного.
    • Through HTTP proxy with SSL tunneling support – через HTTP прокси с поддержкой SSL-
    • туннелирования. Используется в случае, если у вас есть возможность подключиться через сервер с шифрованием трафика.

      Logging настройки журналов событий для сервиса. Журналы пишутся в каталог \Logs, размещенном внутри каталога с установленным Wingate и содержат довольно подробную информацию о событиях по каждому из сервисов. В этом окне вы можете менять детализацию информации в журналах. Если вы используете какие-либо дополнительные программы для сбора статистических данных по прокси-серверу (например, Proxy Inspector for Wingate)

      , то не стоит минимизировать детализацию информации в журналах, поскольку именно они служат в качестве источника для формируемых отчетов.

      На этом можно считать, что WWW proxy настроен. Теперь можно приступить к настройке клиента, каковым является обозреватель Интернет, например Internet Explorer.

      Настройка Internet Explorer

      Если у вас на клиентской машине есть доступ в Интернет через шлюз (выделенная линия), то отключите его через свойства протокола TCP/IP.

      После этого доступ в Интернет для Internet Explorer настройте через прокси.

      Для этого в “Свойства обозревателя” -“Подключения” устанавливаете (если он не был ранее установлен) флажок “Не использовать” для модемных подключений и нажимаете на кнопку “Настройка сети”. Появляется окно настройки подключения через локальную сеть.

      Рис.6 Настройка подключения через прокси-сервер для клиента .

      Ставите флажок “Использовать прокси-сервер”, заносите IP-адрес или имя компьютера с установленным Wingate-сервером. Если в настройках WWW Proxy вы изменили номер порта, то вместо “80” укажите его. Этого достаточно для доступа к Web-ресурсам. Жмете “ОК” и открываете какую-либо страничку.

      Если вы все правильно выполнили, то она раскроется, а в окне “Activity” Wingate-сервера вы увидите информацию о сессии клиента. Отображается имя или IP-адрес компьютера, имя пользователя и выполняемые запросы. Поскольку мы не сформировали списки пользователей и групп и не указали способ идентификации пользователей, то все пользователи будут идентифицироваться как Guest. Этой проблемой займемся позже, а пока необходимо произвести остальные, необходимые настройки сервера и клиентов.Сервер, обеспечивающий прием почты (POP3 Proxy Server) настраивается точно так же, как и WWW Proxy sever. А вот сервер для отправки почты (SMTP proxy server)

      настраивается иначе. Здесь используется способ перенаправления соединения клиента на почтовый сервер, расположенный у провайдера или внутренний почтовый сервер. Перенаправление запросов клиентских программ –это довольно гибкий механизм, позволяющий использовать прокси-сервер для отправки почты через несколько разных почтовых серверов, обеспечивать подключение клиентов к нестандартным (например, игровым серверам), и т. п.

      Рис.7. Окно “Activity”

      Настройка SMTP Proxy server.

      Для добавления сервиса исходящей почты проделайте следующее:

      • в окне “Services” щелкните на свободном поле правой кнопкой мышки – появится меню “New service”со списком сервисов, которые вы можете добавлять к уже установленным при инсталляции.
      • выберите “SMTP Proxy Server”. В ранних версиях Wingate – “SMTP mapping service”. Появится окно настройки сервиса.

        Существует 2 варианта использования SMTP Proxy – с перенаправлением соединения на внешний почтовый сервер (чаще всего сервер провайдера) и с использованием внутреннего почтового сервера компании. Второй вариант используется значительно режеи, кроме того, не все версии Wingate могут его реализовать, поэтому рассмотрим настройку с использованием первого варианта.

        Схема работы сервиса такова – принять подключение клиента на порт 25 (стандартный порт SMTP) сервера и перенаправить его на порт 25 сервера SMTP провайдера (или любого доступного вам сервера SMTP). Для этого нужно установить флажок, разрешающий перенаправление “Support outbound mail via ISP mail server”и заполнить поле с именем сервера исходящей почты. В разных версиях Wingate этот флажок может называться по-разному, но смысл его будет именно таков. Остальные флажки можно убрать.

        Рис. 8 Общие настройки сервиса исходящей почты.

        Настройки “Bindings” делаем такими же, как и для WWW Proxy, выбираем “Policies” и разрешаем всем (Everyone) пользоваться этим сервисом.

        У вас может возникнуть резонный вопрос – а как быть, если отправка почты должна выполняться не только через выбранный сервер, а, например, еще и через бесплатный сервер mail.ru? При помощи перенаправления проблема решается легко и изящно. Схема будет следующей – в настройках клиента меняем номер стандартного порта для подключения к SMTP серверу с 25 на, например, 6025. Добавляем еще один сервис SMTP Wingate, настроенный точно также, но ожидающий подключения к порту 6025 и перенаправляющий его на порт 25 сервера mail.ru. И таких перенаправлений можно делать сколько угодно и для любых сервисов. Например у вас возникла необходимость пользоваться подключением через SSH с рабочего места локальной сети к серверу в Интернете. У Wingate нет поддержки SSH, но вы можете добавить сервис “TCP Mapping service”, ожидающий подключения к порту 22 (SSH) и перенаправляющий его на порт 22 нужного вам сервера. Аналогичным образом решается проблема подключения клиентов локальной сети к нестандартным серверам (игровым, например).

        Осталось настроить почтовые программы на клиентских рабочих местах.

        Настройка Outlook Express

        Outlook Express является наиболее распространенной почтовой программой и поэтому в качестве примера я привожу настройку именно его, но смысл настроек одинаков для любого почтового клиента.

        Настройка заключатся в создании (или изменении уже существующих) учетных записей пользователя, в которых содержится информация об имени пользователя, его E-mail адресе, почтовых серверах и способах подключения к ним. Эту информацию надо сформировать таким образом, чтобы почта принималась и отправлялась через Wingate. Для этого в Outlook Express открываем список учетных записей – “Сервис” — “Учетные записи” — “Почта” и создаем новую или редактируем существующую учетную запись. Пусть, для примера, у нас есть пользователь user1 и его почтовый адрес на сервере провайдера user1@mail.cnt.ru. Сервер принимаемой почты (POP3) – mail.cnt.ru, а сервер отправляемой (SMTP) – post.cnt.ru. Настройка на вкладке “Общие” производится стандартно, а на вкладке “Серверы” – с учетом подключения через Wingate. В качестве и POP3 и SMTP серверов указываем имя или IP-адрес сервера Wingate (иначе и быть не может, ведь клиент имеет доступ только к прокси-серверу). Для сервера входящей почты после имени пользователя добавляем символ-разделитель “#” и имя реального почтового сервера, чтобы Wingate “знал, где искать принимаемую почту. Т.е. имя пользователя будет – user1#mail.cnt.ru и POP3 Proxy будет выполнять подключение к почтовому серверу mail.cnt.ru с именем пользователя user1

        Рис.10. Настройка Outlook Express.

        Последнее время многие Интернет-провайдеры стали практиковать авторизацию на SMTP-серверах. Для этого устанавливаем флажок “Проверка подлинности пользователя” и щелкаем мышкой на кнопку “Настройка”. В открывшемся окне включаем флажок “Использовать”, и пишем имя пользователя – user1. (Использовать одно и тоже имя пользователя как для сервера входящей почты в нашем случае нельзя).

        Для того, чтобы настроить отправку почты через другой почтовый сервер с использованием перенаправления жмем на “Дополнительно” и вместо номера порта для исходящей почты ( 25 ) заносим тот номер, который мы задали при настройке дополнительного SMTP Proxy server (например 6025).

        Другие настройки.

        Остальные сервисы используются довольно редко и их настройки выполняются таким же образом, как и описанные выше. После конфигурирования нужных вам сервисов и клиентских приложений полезно создать пользователей, при необходимости объединить их в группы и определить их права доступа к различным сервисам. Делается это с помощью вкладки “Users”.


        Рис.11. Настройка пользователей.

        При инсталляции создаются 2 пользователя – Administrator и Guest. Первый из них имеет все права по отношению к прокси-серверу, второй – только права доступа к сервисам. Также имеются 2 группы – Administrators и Users. При нажатии правой кнопки мыши в левом окне, вызывается меню для управления пользователями и группами. С его помощью вы можете добавлять, удалять изменять и копировать как пользователей, так и группы. Создайте список пользователей и, при необходимости, список групп. Удобнее всегоиспользовать Wingate в режиме опознавания пользователей по IP-адресам компьютеров. В этом случае пользователю не приходится вводить пароль при подключении к серверу, а идентификация производится с использованием настроек Assumed Users. Делаем на нем двойной щелчок мышкой и в открывшемся окне щелкаем на вкладке By IP-address, после чего реализуем правило – “если соединение выполнено с такого-то IP-адреса, то пользователь такой-то”. Лучше это делать, в порядке возрастания IP-адресов.

        Последний режим данной настройки (System Policies) определяет общие правила пользования прокси-сервером для пользователей и групп. Возможностей по настройке здесь великое множество, но для большинства случаев их можно оставить по умолчанию (с разрешением подключения неизвестных пользователей Guest) или установить режим User my be assumedс запретом подключения пользователя Guest. В дальнейшем вы можете установить правила, ограничивающие доступ пользователей к серверу по огромному набору критериев, реализуемых в настройках System policies. Создание правил рассмотрим на примере настройки сервиса кэширования. По умолчанию кэшируется все, но часто возникает необходимость запретить кэширование отдельных страничек, что связано с доступом к почте через web-интерфейс или работой в режиме реального времени с биржевой информацией. Возвращаемся к сервису System – Caching – What to caching



        Рис 12. Создание правил кэширования.

        Первоначально установлен режим “Cache everything”. Отменяем его и добавляем фильтр (кнопка “Add Filter”) . Имя фильтра можно изменить (система назовет его Filter1, но если фильтров много, удобнее присвоить им смысловые имена) двойным щелчком на имени. После этого жмем на “Add Criterion” и добавляем правило, реализуемое в данном фильтре. Поскольку нам необходимо отменить кэширование, в окне настройки критерия устанавливаем режим This criterion is NOT met it и формируем критерий по заготовкам, имеющимся в наборе Wingate. Для отмены кэширования всех данных определенного клиента критерий будет выглядеть так:



        Рис 13. Создание критерия “Отмена кэширования для IP-адреса 192.168.0.100”

        Аналогично создаются и правила для других сервисов или пользователей. Можно, например, создать правило пользования сервисом WWW, запрещающее всем или конкретному пользователю заходить на определенные страницы Интернет. Главное правильно сформулировать критерий, что требует определенных знаний об HTTP-протоколе, языке HTML и т.п.Настройки Firewall.“Файерволл”, “Брандмауэр” и межсетевой экран(“МЭ”) являются синонимами и определяют комплекс программно-аппаратных средств, обеспечивающих защиту вашей локальной сети от вторжения из Интернет. Данная тема настолько непроста и обширна, что хотя бы вразумительно изложить основы не хватит и нескольких номеров журнала, поэтому я коснусь только тех вопросов, которые относятся к реализации “огненной стены” в последних версиях Wingate. Первой задачей, решаемой системой защиты является обеспечение скрытия самого наличия локальной сети за межсетевым экраном. В случае с Wingate это достигается настройкой сервисов таким образом, чтобы входящие соединения осуществлялись только через интерфейс сетевой карты, подключенной к локальной сети и настройкой клиентских компьютеров на работу приложений через прокси-сервер. В случае же использования соединения с Интернет минуя прокси, используется технология Network Address Translation (NAT), с помощью которой производится подмена реальных IP-адресов любого из компьютеров вашей локальной сети на один единственный IP-адрес сервера Wingate для исходящих пакетов и обратная подмена для входящих. В этом случае на клиентских машинах необходимо установить в качестве адреса шлюза по умолчанию IP-адрес Wingate, а в настройках “System – Extended Networking -General” установить режимы “Enable Extended Network Driver” и “Enable NAT” (как правило, установлены по умолчанию). На этой же вкладке вы можете указать режим настройки Firewall. Обычно он установлен на уровень безопасности для наиболее распространенного варианта использованияпрокси-сервера, но его можно изменить от минимального (Disable Firewall), до максимального. с запретом всех внешних подключений (Denies all connections from outside). Следующая вкладка Routing показывает таблицу маршрутизации на вашем компьютере. Ту же информацию вы получите по команде route print.В некоторых версиях Wingate эта вкладка отсутствует. Для понимания последующих настроек, необходимо вспомнить, что обмен между компьютерами в сети выполняется блоками или пакетами, включающими заголовок пакета и его содержимое. Заголовок включает в себя служебную информацию и, в частности, тип пакета, адреса отправителя и получателя, их номера портов, а содержимое пакета определяется, в общем случае, его предназначением. Принцип действия любого файерволла основан на перехвате всех сетевых пакетов, их анализе и фильтрации с помощью правил, установленных вами. Современные средства безопасности позволяют создавать сложные, но высокоэффективные правила фильтрации. Возможности Wingate скромнее, но также позволяют реализовать следующее:запрет или разрешение на ping как из Интернет, так и из локальной сети;запрет или разрешение любого возможного соединения;протоколирование событий; Проанализировав заголовок пакета, Wingate отыскивает в своей базе правило, применимое к данному пакету и выполняет предписанное им действие: allow – пропустить/разрешить, deny – уничтожить/запретить и redirect – отправить на другой IP-адрес. Настройки по умолчанию запрещают ping из Интернет, но разрешают из локальной сети, отбрасывают не запрошенные сервером пакеты и рассчитаны на отсутствие внутри локальной сети какого-либо доступного из Интернет сервера.Если же такой сервер присутствует, то вам необходимо разрешить соединение на порт, прослушиваемый данным сервером. При чем лучше не пользоваться режимом настройки на вкладке General, поскольку она разрешает соединения на все предусмотренные порты публичных серверов, а на вкладке Port Security разрешить соединение на конкретный номер порта используемого вами сервера. В заключение отмечу, что более разумно использовать в качестве межсетевого экрана, все же не средства Wingate, а обладающие большими возможностями современные файерволлы. Например, пакет Symantec Norton Internet Security 2002 Pro, имеет кроме всего прочего, средства обнаружения вторжений, средства контроля доступа к Интернет на уровне программных приложений, антивирусную проверку и, в том числе, входящей и исходящей почты, средства борьбы с баннерами, а также множество других средств, повышающих безопасность вашей работы в Интернет. Безопасность никогда не бывает излишней.

        Обработка статистических данных.

        Статистические данные об использовании Wingate можно получить различными способами.
        Источниками статистики может быть информация из уже упоминавшихся журналов, счетчиков статистики в свойствах пользователей, файла history.dbf, расположенного в корневом каталоге Wingate.
        Удобнее всего использовать специальную программу, например Proxy Inspector for Wingate от компании ADVSoft.Программа при инсталляции сама настраивается на обслуживание установленного сервера Wingate и не требует никаких других настроек в дальнейшем. Ведет свою базу данных и позволяет получать подробнейшие отчеты, в том числе о трафике по сервисам и пользователям, о посещаемых пользователями страницах, входящему и исходящему трафику по посещаемым серверам в интернет и т.п.
        Программа платная, но стоимость ее невелика (с некоторыми ограничениями работает и в бесплатном варианте).
        Из бесплатных можно порекомендовать пока не очень известную WrSpy (WinRouteSpy), разработанную для Winroute, но поддерживающую и другие прокси, в т.ч. Wingate.