WinGate

  • Descrizione
  • Caratteristiche
  • Requisiti di sistema
  • Scegli la versione
  • Assistenza
  • Video
  • Documenti
  • Rassegna stampa
  • Recensioni
  • Achab è distributore esclusivo per l'Italia dei prodotti Qbik.

WinGate è il proxy server per Windows per condividere la connessione a internet in tutta sicurezza.


 

WinGate è la soluzione di connettività ottimale per le aziende e le strutture pubbliche; rappresenta la scelta migliore per garantire alla propria rete sicurezza, affidabilità e flessibilità.

Tra le principali caratteristiche di WinGate:

  • accesso internet gestito e sicuro all'intera rete tramite una o più connessioni condivise;
  • policy flessibili e avanzate per il controllo degli accessi;
  • monitoraggio dell'utilizzo in tempo reale, con registrazione dei log in base ai singoli utenti e singoli servizi;
  • blocco di virus, spam e contenuti pericolosi prima che possano entrare nella rete;
  • possibilità di fornire servizi email internet e intranet completi;
  • protezione dei server da minacce interne ed esterne;
  • ottimizzazione delle performance e della reattività della rete con il caching DNS e web;
  • semplificazione del lavoro amministrativo sulle reti interne.

Tra i principali vantaggi di WinGate:

  • aumento della produttività dei dipendenti evitando perdite di tempo;
  • riduzione delle risorse e dei tempi necessari per preservare l'integrità della rete;
  • meno responsabilità a carico dell'azienda;
  • più efficienza, reattività e affidabilità nell'accesso alla rete. 

Principali caratteristiche del proxy server per Windows WinGate

Condivisione immediata della connessione a internet

WinGate mette a disposizione un ricco set di funzioni per gestire la rete attraverso strumenti intuitivi per l'amministrazione, la connettività, la sicurezza, la posta elettronica e molto altro ancora!

Connettività | Controllo Accessi | Sicurezza | Email | Performance | Affidabilità | Amministrazione


Connettività

  • Network Address Translation (NAT)
  • WinGate Internet Client
  • Proxy trasparente
  • Dial on demand
  • Connessioni internet multiple simultanee
  • Supporto per i server al di là del firewall
  • Supporto di più tipologie di connessione

Maggiori informazioni



Controllo accessi

  • Policy a flow chart
  • Gestione utenti e gruppi
  • Integrazione di Active Directory
  • Opzioni per l'autenticazione degli utenti
  • Database utenti integrato o del sistema operativo
  • Supporto per il filtraggio dei contenuti via AI
  • Terminal Service / Più utenti per IP

Maggiori informazioni



Sicurezza

  • Firewall stateful a livello di pacchetto
  • Supporto della scansione dati antivirus
  • Controllo dell'esecuzione applicativa
  • Supporto DMZ
  • SYN cookie

Maggiori informazioni



Email

  • Server IMAP4, POP3 e SMTP
  • Raccolta mailbox POP3
  • Opzioni di sicurezza e autenticazione
  • Proxy POP3 e SMTP
  • Blocco degli allegati
  • Tecniche anti-spam
  • Quote e restrizioni per gli utenti
  • Opzioni di autenticazione multiple
  • Autenticazione MS Outlook sicura
  • Supporto della scansione dati antivirus
  • Gestione remota della coda messaggi

Maggiori informazioni



Performance

  • Cache HTTP
  • Cache DNS
  • Connessioni internet multiple simultanee
  • Gestione e variazione della bandwidth

Maggiori informazioni



Affidabilità

  • Monitoraggio Internet gateway
  • Failover connessioni internet
  • Opzioni di ridondanza dei server

Maggiori informazioni



Amministrazione

  • Amministrazione remota
  • Logging e auditing utenti
  • Accounting utenti
  • Monitoraggio attività in tempo reale
  • Servizi DHCP
  • Monitoraggio traffico
  • Accesso remoto sicuro a linea di comando

Maggiori informazioni



Requisiti minimi di sistema raccomandati per il corretto funzionamento del proxy server WinGate

Sistemi operativi supportati

  • Windows XP (32 bit e 64 bit)
  • Windows 2003 server (32 bit e 64 bit)
  • Windows Vista (32 bit e 64 bit)
  • Windows 2008 server e 2008 R2 (32 bit e 64 bit)
  • Windows 7 (32 bit e 64 bit)
  • Windows 8 (32 bit e 64 bit)

Requisiti hardware

Le performance di WinGate dipendono dal numero di client connessi alla rete e dal modo in cui è stato configurato WinGate.
Plug-in aggiuntivi, come l’antivirus, possono aumentare il carico del sistema e ridurre le prestazioni.

Consigli per l'ottimizzazione

  • Sistema operativo: Windows 2003 Server o Windows 2008 R2.
  • CPU: almeno 1 GHz.
  • RAM: almeno 4GB.
  • Hard disk: spazio per la cache HTTP (a seconda delle esigenze); può essere anche su NAS.
  • Gestione Cache su DB: per grandi installazioni, eseguire il database della cache su un computer separato. Questo impedisce la concorrenza per la CPU tra WinGate e il database.

Il proxy server WinGate - software ideale per condividere la connessione a Internet - è disponibile in tre versioni:

  • WinGate Standard
  • WinGate Professional
  • WinGate Enterprise

Per maggiori informazioni consulta la tabella comparativa delle versioni di WinGate

Il proxy server WinGate Professional si differenzia da WinGate Standard per:

  • l'amministrazione remota;
  • la presenza dell'interfaccia DMZ (DeMilitarized Zone), ossia quel ramo di una rete aziendale sul quale sono attestati i server pubblici;
  • la possibilità di allineare gli utenti ad un database NT remoto;
  • il supporto dell'autenticazione NTLM che consente ai client di autenticarsi automaticamente con le loro credenziali NT.

Invece, WinGate Enterprise, oltre a tutte le funzionalità della versione Professional, integra:

  • una licenza VPN;
  • il supporto SSL;
  • la funzionalità per configurare da remoto anche i WinGate Internet Client (funzionalità molto importante in ambienti Enterprise, appunto).

Achab eroga i seguenti servizi di assistenza per il proxy server WinGate

Supporto FreeSupporto Free


Supporto On Demand Supporto On Demand


Corsi individualiCorsi individuali


Supporto SLA Based Supporto SLA Based


Tutorial di prodotto Tutorial di prodotto


Webtv Webtv


 

Video pillole di WinGate

WinGate è il proxy server per Windows che permette di condividere la connessione a Internet in tutta sicurezza.
Con questo video scopri tutto di WinGate in pochi secondi!


 

Le webtv di WinGate

Le registrazioni delle trasmissioni webtv tenute da Achab su prodotti, temi d'attualità ICT e storie di successo sono disponibili gratuitamente.

17/04/2012
Andrea Veca e Claudio Panerai presentano WinGate 7, il proxy server semplice, flessibile e sicuro.


 

Tutorial di WinGate

I tutorial sui prodotti - gratuiti - guidano l'utente passo per passo nello svolgimento delle principali operazioni inerenti la configurazione dei prodotti di Achab.

Il video illustra la nuova interfaccia di WinGate 7, composta da pannelli e cruscotti con indicatori e pulsanti estremamente personalizzabili.
Il video mostra come è facile e veloce aggiungere add-on al server WinGate, attraverso il pannello di controllo WinGate Update.
Il video mostra come installare WinGate 7, il proxy server per Windows, e verificare che le macchine della rete si connettano a internet tramite WinGate.

Manuali di WinGate

Documentazione in inglese sul sito del produttore
WinGate Userguide

Documenti commerciali di WinGate

Brochure commerciale


Documenti tecnici e Procedure di WinGate

I documenti PDF che seguono descrivono passo passo alcune delle procedure più ricorrenti. Per suggerire una procedura da pubblicare inviare un'email a supporto@achab.it.

Guida all'installazione di WinGate in inglese (ZIP 500 KB)
Ultima revisione 19/04/2006

Utilizzare WinGate 5 come mail server in inglese
Ultima revisione 04/07/2005

Utilizzare WinGate 6 come mail server in inglese
Ultima revisione 04/07/2005

Utilizzare insieme WinGate e MDaemon
Ultima revisione 21/02/2003


Rassegna stampa di WinGate, il proxy server per Windows

Di seguito le recensioni di WinGate lasciate dagli utenti.

 

La valutazione media di WinGate è:

0 recensioni
0 recensioni
0 recensioni

Tabella che mette a confronto le versioni del proxy server WinGate

Caratteristiche di WinGate WinGate Standard WinGate Professional WinGate Enterprise
Extended Network Service (compresi Firewall e NAT)
WinGate Mail Server (versione base)
Firewall con supporto liste Black Hole
Server IMAP 4
WinGate Mail Server
scaricamento in pop3 e gestione delle code
Accesso remoto a GateKeeper  
Uso della Command Shell tramite Proxy Telnet  
Database remoto/Domain Controller o accesso Active Directory  
Accesso da remoto a Command Shell
cmd.exe attraverso GateKeeper
 
Supporto WWW Proxy per autenticazione NTLM  
Controllo della banda  
Supporto alla DMZ  
VPN integrata    
Configurazione centralizzata in Winsock Redirector Service    
Multi-user IP
Terminal services/Citrix
   
Gestione delle connessioni SSL e dei certificati
differenziabili per interfaccia
   
Replicatore ARP    

Connettività

Network Address Translation (NAT)

NAT è l'acronimo di Network Address Translation, un sistema che permette l'accesso a internet (che utilizza indirizzi IP pubblici) da parte di macchine che, situate dietro a un gateway, utilizzano indirizzi IP privati.

Questo approccio consente la comunicazione bidirezionale tra i client della rete interna e i sistemi connessi a internet.

Vi sono alcuni elementi dei sistemi NAT che vale la pena notare:

  • in genere essi non forniscono molti strumenti per analizzare i contenuti dei dati, in quanto i pacchetti viaggiano a basso livello e non includono molte informazioni sulle quali poter basare l'analisi; inoltre la mole di dati necessaria per un'analisi completa potrebbe creare delle vulnerabilità per i sistemi stessi. Operazioni come ad esempio richiedere l'autenticazione risultano quindi molto difficili;
  • il lavoro richiesto per tradurre gli indirizzi dei pacchetti è poco, e questo si traduce in performance normalmente molto buone;
  • la configurazione necessaria per i client di rete locali è tipicamente limitata.


WinGate Internet Client

WinGate Internet Client è un componente software che può essere installato sui computer client della LAN per fornire accesso internet avanzato attraverso WinGate.

Il client viene installato all'interno del sistema di socket Windows utilizzato da applicazioni quali browser e programmi di posta per accedere ai servizi di rete (ad esempio per gestire le connessioni ai server, inviare e ricevere dati, eccetera). Agganciandosi a questo sistema, WinGate Client è in grado di redirezionare le connessioni e i trasferimenti di dati verso internet tramite il Winsock Redirection Service di WinGate.

In questo modo il computer client appare direttamente collegato a internet e le applicazioni client non devono essere configurate per usare un proxy server.

La tecnica Network Address Translation consente anche di fornire connettività internet a macchine client senza dover configurare il software client per usare i proxy né installare altro software. Tuttavia WinGate Internet Client ha altri punti di forza:

  • gestisce l'autenticazione utente a prescindere dalle applicazioni internet che l'utente stesso può adoperare;
  • spesso il software client crede che il suo indirizzo IP corrisponda all'indirizzo IP esterno del gateway; di conseguenza, quando il client si trova a gestire un'applicazione che trasmette questo indirizzo IP, esso invierà l'indirizzo IP esterno del gateway. Inoltre, anche se l'applicazione sceglie di ascoltare una determinata porta, questa verrà ugualmente reindirizzata a WinGate. In questo modo più applicazioni possono funzionare usando il client WinGate, che diversamente non sarebbe operativo attraverso un normale sistema NAT;
  • WinGate Internet Client raccoglie dati sull'applicazione attiva rendendoli visibili all'interno di GateKeeper e utilizzabili nell'ambito delle policy per bloccare le applicazioni sui computer client.


Proxy trasparente

Un proxy trasparente si verifica quando le connessioni effettuate su porte specifiche tramite WinGate vengono intercettate da un proxy server all'interno di WinGate.

Questo offre alcuni vantaggi:

  • non è necessario che le applicazioni client (come web browser o email client) sappiano dell'esistenza del proxy server; pertanto non occorre effettuare il setup di ogni applicazione sulle macchine client. La configurazione dei client è semplicemente eseguita usando WinGate come gateway di default (configurazione NAT standard), o WinGate Internet Client o il protocollo SOCKS;
  • entrano in gioco i benefici del proxy server sul piano del controllo degli accessi, dell'applicazione delle policy, del logging & auditing e delle performance (ad esempio il caching HTTP);
  • gli utenti non possono scavalcare le policy vigenti evitando di passare attraverso i proxy WinGate, in quanto il sistema intercetta il traffico che esula dal controllo diretto dell'utente.

Molti dei servizi proxy di WinGate supportano il proxying trasparente: il proxy WWW, i server e i proxy SMTP e POP3 e il proxy FTP sono infatti tutti predisposti per intercettare le connessioni secondo questa modalità. Sono inoltre in grado di intercettare più porte.

Le connessioni vengono intercettate a prescindere che siano prodotte da NAT, attraverso il servizio SOCKS o il servizio WRP. Questo significa che tutto il traffico della stessa tipologia passa obbligatoriamente dal proxy applicativo, ovvero dove l'amministratore ha il massimo controllo possibile e la possibilità di specificare le policy centralmente.



Dial on demand

WinGate integra un dialer manager che consente di usare e controllare qualsiasi tipo di connessione dialup sul PC, che si tratti di un dialup tradizionale verso un ISP, di un modem ADSL, di AOL o di più istanze di ciascuna di queste tipologie.

È possibile configurare WinGate affinché, in presenza di una connessione ADSL e di un modem dialup, il sistema cerchi di utilizzare prima l'ADSL ed eventualmente, solo in un secondo tempo, di passare all'altro tipo di connessione, permettendo agli utenti di accedere sempre e comunque a internet.

WinGate consente anche di configurare e assegnare i diritti di accesso a ciascun profilo di connessione dialup, supportando più account di dialup e restringendo gli accessi a ognuno dei profili contemplati.



Connessioni internet multiple simultanee

Con WinGate più connessioni internet possono essere utilizzate contemporaneamente aumentando così il throughput del sistema. L'approccio proxy di WinGate permette anche di specificare più metodologie di utilizzo di queste differenti connessioni.

È ad esempio possibile:

  • specificare che il proxy WWW utilizzi tutte le connessioni internet disponibili;
  • specificare che un proxy diverso utilizzi solo una delle connessioni, attivando quella successiva solo nel caso in cui la prima non risultasse disponibile.

WinGate verifica la disponibilità delle connessioni controllando anche i gateway remoti; così facendo è comunque possibile tracciare le connessioni internet anche se dovessero passare attraverso un altro router o dispositivo come DSL/NAT.

Le funzioni di WinGate per la selezione del gateway consentono di specificare quale gateway utilizzare servizio per servizio; questo significa che in presenza di un mix di diversi dispositivi DSL/NAT, gateway di rete, modem, l'amministratore può comunque definire quali connessioni devono passare attraverso quale gateway, anche se si trovano sullo stesso segmento Ethernet fisico.



Supporto per i server al di là del firewall

WinGate contempla diverse modalità di accesso da internet ai server della LAN.

Ovvero:

  • redirezionare la porta per le connessioni in ingresso verso il server LAN utilizzando ENS;
  • creare un proxy per la mappatura TCP o UDP in grado di accettare le connessioni e di connettersi attraverso il server LAN;
  • su alcuni proxy in WinGate, la configurazione delle richieste non-proxy permette di specificare il server interno al quale inoltrare le richieste stesse.

L'approccio più semplice è il primo, ovvero quello del redirezionamento tramite ENS. Questa opzione ne consente un'altra per non tradurre l'IP di origine – il server sulla LAN può così apprendere l'indirizzo IP originale del client internet collegandosi a esso.

Il secondo metodo è quello originariamente introdotto in WinGate, mantenuto per ragioni di compatibilità. Il fatto che questo utilizzi un proxy server comporta un maggiore controllo sulle policy rispetto al metodo basato su ENS.

La terza modalità è altrettanto datata. Tuttavia, poiché il forwarding viene gestito da un proxy specifico secondo il protocollo utilizzato, tale metodo è il più flessibile in termini di controllo degli accessi. Questo significa ad esempio che se si usa il proxy WWW per inoltrare le connessioni in ingresso a un web server interno, è anche possibile applicare l'autenticazione o altre policy particolari.



Supporto di più tipologie di connessione

L'architettura di WinGate è in gran parte indipendente dall'hardware di rete e quindi è in grado di supportare la maggior parte delle connessioni previste dal sistema operativo utilizzato.

I proxy WinGate dialogano con qualsiasi interfaccia dotata di indirizzo IP e quindi con qualsiasi connessione. Il driver ENS di WinGate supporta qualunque miniporta NDIS e connessione NDISWAN.

Inoltre, le capacità dial-on-demand fanno sì che WinGate possa monitorare qualunque connessione dialup accessibile tramite Windows. Sono supportati anche il dialup verso AOL e le connessioni satellite Hughes DirecWay (ex DirecPC).

Controllo Accessi

Policy a flow chart

Il sistema di policy di WinGate rappresenta un nuovo approccio in termini di controllo.

Il nuovo sistema a flow chart fornisce pieno controllo sulla struttura delle policy – l'ordine e la sequenza delle valutazioni necessarie per giungere a una decisione inerente il controllo degli accessi.

È possibile condividere le policy fra più proxy, decidere di collaudarle prima di attivarle e modificare/gestire i relativi aggiornamenti.



Gestione utenti e gruppi

Il punto di forza di qualsiasi sistema di controllo degli accessi è costituito dalla gestione degli utenti. Prima di definire regole o limitare l'accesso, è indispensabile sapere cosa si intende per utente.

WinGate consente l'uso di più database di utenti. In primo luogo mette a disposizione il proprio database integrato laddove il sistema operativo non lo fornisse (ad esempio Windows 95, 98, ME e XP Home).

Nel caso degli altri sistemi operativi Windows si può decidere di affidarsi al database messo a disposizione dallo stesso sistema operativo, evitando così di dover predisporre e gestire un database aggiuntivo, fatto molto utile nel caso di database particolarmente estesi.

WinGate ha anche la capacità di usare un database remoto che risieda su Active Directory, un Domain Controller o un NT Workgroup.

Decidendo di avvalersi di WinGate User Database è possibile creare tutti gli utenti e i gruppi necessari, ad esempio stabilendo dei gruppi per le diverse divisioni dell'azienda, definendo quali potranno accedere a internet e quali invece no.

Questo database prevede anche i gruppi nidificati, ovvero gruppi interni ad altri gruppi, per una maggiore precisione nella modellazione dell'organizzazione aziendale.

Laddove utenti e gruppi fossero già definiti sui server della rete, sarà sufficiente allineare WinGate alla macchina su cui risiede il relativo database e il sistema provvederà a sincronizzare tutti gli utenti e i gruppi predefiniti.

Indipendentemente dal database preferito, sarà possibile configurare WinGate per controllare l'accesso a determinati servizi internet, unitamente all'autenticazione e alle policy di servizio e di sistema.



Integrazione di Active Directory

WinGate integra e sincronizza i propri dati con quelli di un Active Directory User Database, sia esso su una macchina locale o remota.

La configurazione delle policy di accesso a internet in WinGate può pertanto avvenire sulla base del setup degli utenti e dei gruppi già presente in AD, anziché doverli ricreare interamente; un altro vantaggio è dato dalla possibilità di usare l'autenticazione NTLM per servizi quali SMTP, WWW e POP3.



Opzioni per l'autenticazione degli utenti

WinGate contempla diverse modalità operative e metodi di autenticazione.

WinGate è stato messo a punto per supportare più metodi operativi in relazione all'identificazione e alla convalida degli utenti, metodi che partono dall'assenza di autenticazione per passare al rilevamento dell'identità dell'utente sulla base dell'indirizzo IP, fino all'autenticazione obbligata.

Il modo in cui ciascuna di queste tecniche viene selezionata è globale o a seconda del servizio, in base alle policy di WinGate. Scegliendo l'opzione appropriata sul tab utente del Policy editor di WinGate si può specificare se un utente debba essere accettato di default o se debba autenticarsi seguendo una rigida procedura prima di poter avere accesso a un determinato diritto (ad esempio accedere a un servizio o eseguire un task in WinGate).

Dopodiché, nel caso in cui la policy preveda l'autenticazione obbligatoria, esistono diverse opzioni:

  • il metodo Challenge Response Authentication di WinGate basato su MD5 messo a disposizione dal Remote Control Service di WinGate (usato da GateKeeper, con Java Client disponibile tramite proxy WWW) [disponibile solo se si utilizza il database utenti integrato di WinGate];
  • il metodo proprietario NTLM di MicroSoft integrato nel software client, come MS Internet Explorer o Outlook, e disponibile all'interno di WinGate con Remote Control Service (per accesso a GateKeeper), proxy WWW, server SMTP, server POP3 e Winsock Redirection Service (per WinGate Internet Client) [disponibile solo se si utilizza il database utenti di Windows];
  • autenticazione HTTP Basic per proxy WWW;
  • molte altre opzioni specifiche per la posta come CRAM-MD5, SASL PLAIN, APOP e plaintext.
  • il metodo NTLM è disponibile solo se si opta per il database utenti integrato nel sistema operativo (Windows o Active Directory ad esempio);
  • inoltre, gli utenti possono utilizzare l'autenticazione plaintext (scelta sconsigliata) di Telnet, HTTP o SOCKS 5;
  • la possibilità di usare il metodo NTLM nel proxy WWW è valida solo per WinGate Pro ed Enterprise.


Database utenti integrato o del sistema operativo

WinGate non è tenuto a usare il proprio database degli utenti in quanto può optare per un database NT già esistente (Windows NT e successivi sistemi operativi supportati, a eccezione di XP Home Edition). Può trattarsi di un database NT locale o remoto, o anche di un domain controller locale o remoto.

La definizione delle policy di accesso internet in WinGate può pertanto avvenire sulla base degli utenti e dei gruppi configurati in Windows, anziché doverli ricreare interamente; un altro vantaggio è offerto dalla possibilità di usare l'autenticazione NTLM per servizi quali SMTP, WWW e POP3.



Supporto per il filtraggio dei contenuti via AI

WinGate supporta una serie di componenti plug-in disponibili separatamente che permettono di analizzare i contenuti che passano attraverso i proxy WinGate.

Uno di questi componenti è PureSight, che nasce dall'abbinamento tra Content Filter e Icognito per eseguire la scansione del traffico WWW alla ricerca di contenuti indesiderati. Esistono numerose categorie tematiche che gli utenti possono voler bloccare sulla propria rete.

I metodi che permettono di bloccare i contenuti possono essere diversi: tramite AI, confrontando una voce all'interno di un database globale o attraverso un elenco personalizzabile di domini bannati.



Terminal Service / Più utenti per IP

WinGate risolve il problema delle policy assegnate al singolo utente quando essi risiedono su un terminal server.

La maggior parte dei proxy server associa in qualsiasi momento l'indirizzo IP della macchina client a un singolo utente. Se ci sono più utenti loggati al terminal server, che a sua volta si connette tramite un proxy, tutte le connessioni provengono dallo stesso indirizzo IP. Questo comporta da sempre un problema: come distinguere i singoli utenti che accedono a internet se sono loggati a un terminal server.

WinGate risponde con Multi-user Machine, che consente l'autenticazione individuale degli utenti che utilizzano un terminal server per accedere a internet.

In genere WinGate associa le credenziali utente a un indirizzo IP; in questo modo, ogni nuova sessione di quell'indirizzo IP eredita le stesse credenziali.

Tuttavia, se si specifica l'indirizzo IP del proprio terminal server nel box di dialogo della WinGate Multi-User Machine, le credenziali non vengono più mantenute per le successive connessioni generate da quello stesso IP. Ciò significa che se le policy di accesso richiedono l'autenticazione, ogni connessione dallo stesso indirizzo IP dovrà essere autenticata singolarmente, implementando in tal modo l'autenticazione per singolo utente anche da terminal server.

Alcuni protocolli non prevedono l'autenticazione su un proxy server (come DNS, le applicazioni di file sharing eccetera). Il traffico potrebbe quindi apparire come se appartenesse all'utente Guest. Se si installa WinGate Internet Client sul terminal server, invece, e si utilizza il database utenti di Windows o di Active Directory all'interno di WinGate, l'autenticazione dell'utente loggato avviene in maniera automatica (e sfrutta le credenziali di Windows). Inoltre, tutte le connessioni TCP stabilite dall'utente verranno associate alle sue credenziali a prescindere dal fatto che l'applicazione supporti o meno l'autenticazione proxy.

Sicurezza

Firewall stateful a livello di pacchetto

Il componente ENS di WinGate fornisce una serie di funzioni a livello di pacchetto. Il punto in cui il driver ENS si inserisce nel sottosistema di rete, gli permette di osservare tutti i pacchetti in ingresso prima che lo faccia Windows. In questo modo il firewall di WinGate riesce a proteggere il sistema bloccando l'accesso alle porte specificate.

Il firewall è anche stateful, ovvero mantiene un database di tutte le connessioni dell'intero sistema sapendo in quale stato si trovano. WinGate è quindi capace di bloccare determinati attacchi che altri firewall non-stateful non possono fermare.

Il firewall di WinGate è inoltre in grado di rafforzare le difese del sistema sulle porte che devono restare aperte per consentire gli accessi esterni. Nel caso di un web server pubblico o di un mail server presente sulla stessa macchina di WinGate, il firewall garantisce una protezione contro i SYN flood unitamente a tutta una serie di altri metodi di difesa.



Supporto della scansione dati antivirus

WinGate supporta numerosi componenti plug-in disponibili separatamente.

Si tratta di funzioni per la scansione dei dati che permettono di verificare i contenuti che passano attraverso i proxy WinGate.

Il plug-in antivirus Kaspersky AntiVirus for WinGate (KAVWG) è uno di questi componenti basato sulla tecnologia proprietaria di Kaspersky Labs. Diversi proxy e servizi all'interno di WinGate utilizzano questo plug-in per identificare eventuali virus:

  • il server SMTP: scansiona tutta la posta ricevuta e quella recuperata tramite POP3;
  • il proxy WWW: scansiona i file scaricati e rileva non solo quelli che contengono virus (file ZIP o EXE infetti), ma anche gli exploit iFrame e gli attacchi più comuni ai danni dei browser;
  • il proxy POP3: in caso di posta proveniente da un server POP3 Internet tramite WinGate POP3 Proxy, la posta può essere verificata mentre viene recuperata;
  • il proxy FTP: i file scaricati o caricati possono essere controllati per rilevare eventuali virus.

Nel caso in cui venga realmente rilevato un virus, il file viene spostato in quarantena all'interno di WinGate per essere successivamente controllato ed eventualmente rilasciato da parte dell'amministratore di sistema.



Controllo dell'esecuzione applicativa

Insieme a WinGate Internet Client (WGIC), WinGate permette il lockdown dei client remoti finalizzato a impedire l'avvio di applicazioni indesiderate.

Se un programma presente su una macchina client sfrutta una tecnologia di networking basata su Windows Sockets e cerca di stabilire una connessione di tipo socket, WinGate Internet Client lo intercetta e verifica con WinGate se questo programma ha effettivamente l'autorizzazione a funzionare.

WinGate può essere configurato per contemplare più risposte, dal consentire al programma di disporre di un accesso internet globale fino all'impedirgli di girare sulla macchina client locale.



Supporto DMZ

WinGate consente di definire la connessione tra le interfacce e determinate tipologie di rete:

  • rete interna (ad esempio la LAN);
  • rete esterna (ad esempio internet);
  • zona demilitarizzata (DMZ).

In questo modo è possibile definire una DMZ collegata a qualsiasi interfaccia del tipo specificato dall'amministratore.

Una rete connessa a un'interfaccia DMZ all'interno di WinGate è protetta da internet e schermata da un firewall rispetto alle interfacce interne. Il controllo sulle porte disponibili da internet è separato, ma la differenza fondamentale tra un'interfaccia DMZ e un'interfaccia interna risiede nel fatto che i pacchetti che viaggiano dalla DMZ a internet non passano attraverso la traduzione degli indirizzi (non viene infatti eseguita la NAT); pertanto le macchine della DMZ devono avere indirizzi IP pubblici.



SYN cookie

Grazie ai SYN cookie, WinGate riesce a controllare una sessione di pacchetti prima che questi siano autorizzati a entrare su una porta tenendo traccia delle richieste ACK valide provenienti da un host internet; i falsi pacchetti (tipicamente utilizzati per attacchi di rete denominati SYNFlood) avranno quindi meno opportunità di penetrare le barriere di WinGate.

In un'ottica di massima compatibilità con la sessione applicativa, questa opzione non viene attivata di default, richiedendo invece l'azione diretta di un amministratore esperto in meccanismi di sessione TCP.

Email

Server IMAP4, POP3 e SMTP

WinGate integra server completi POP3, SMTP e IMAP4 che supportano opzioni di autenticazione avanzata e che garantiscono la sicurezza delle connessioni sia per la trasmissione che per la ricezione della posta, agevolando la configurazione di una rete email protetta accessibile da reti non sicure, come internet ad esempio.

Una serie di regole semplici ma flessibili per il delivery secondo utente e dominio permette di definire più scenari possibili:

  • mailbox universali, dove tutta la posta destinata a un dominio viene consegnata a una mailbox specifica;
  • split domain, con le mailbox di un dominio ospitate su server diversi;
  • forward dei domini.

I server SMTP supportano anche numerose tecniche anti-spam per ridurre lo spam in ingresso; inoltre, il componente opzionale Kaspersky AntiVirus for WinGate permette di analizzare la posta ricevuta o recuperata alla ricerca di virus.

Grazie alla flessibilità delle opzioni di delivery è possibile specificarne i requisiti (autenticazione, connessione sicura o numeri di porta diversi) per ogni singolo server.

Sono applicabili anche restrizioni per singoli utenti, ad esempio dimensioni massime di un messaggio, reindirizzamento della posta, blocco degli allegati o copia dei messaggi verso più destinatari.



Raccolta mailbox POP3

WinGate recupera la posta dalle mailbox POP3 di altri server importandola nel sistema WinGate per la consegna locale o remota.

Il sistema di recupero POP3 consente di analizzare i messaggi ed eseguire il delivery di conseguenza, o inviare tutta la posta di una mailbox a un indirizzo specifico.

Quando Kaspersky AntiVirus for WinGate è attivo sulla posta elettronica di WinGate, i messaggi recuperati verranno anche scansionati alla ricerca di eventuali virus.



Opzioni di sicurezza e autenticazione

Sono disponibili numerose opzioni per la sicurezza, come la connessione sicura STLS e diversi metodi di autenticazione quali:

  • USER/PASS plaintext;
  • NTLM (per l'autenticazione sicura su server MS Exchange);
  • CRAM-MD5;
  • APOP.

WinGate sceglierà di default la tecnica più sicura disponibile sul server POP3 a cui si collega.



Proxy POP3 e SMTP

Oltre ai server POP3 e SMTP, WinGate include anche un proxy POP3 e un proxy SMTP. La differenza di questi proxy rispetto ai server risiede nel fatto che la connessione avviene attraverso e non verso. Connettersi a un server POP3 su internet può avvenire tramite il proxy POP3 richiedendo contemporaneamente anche la scansione dei messaggi email alla ricerca di virus.

Per quanto concerne il proxy SMTP è consigliabile utilizzarlo solo se non si intende usare il server SMTP di WinGate o quando la licenza non ne autorizza l'accesso.

Il proxy POP3 viene comunque utilizzato di frequente in quanto spesso vi è la necessità di accedere ai server POP3 su internet.



Blocco degli allegati

Nel momento in cui il server SMTP di WinGate riceve un messaggio di posta, esso ne esegue subito la scansione prima di procedere alla consegna. Se WinGate rileva degli allegati non autorizzati, in genere file eseguibili, il sistema rifiuta la responsabilità di consegnare il messaggio.

È compito dell'amministratore definire il numero di estensioni di file da rifiutare, applicando tale limitazione ai messaggi di posta in ingresso e/o in uscita.

Questo approccio al rifiuto dei messaggi contribuisce a ridurre sensibilmente il carico sul server e permette di filtrare numerosi allegati normalmente associati a virus, come file eseguibili e script.



Tecniche anti-spam

Con il server SMTP di WinGate l'utente dispone di varie opzioni per evitare la ricezione di messaggi non richiesti.

WinGate fa leva sugli Open Relay Database (ORDB) disponibili su internet mediante lookup DNS per verificare se un determinato computer collegato a WinGate sia un open relay conosciuto o uno spammer.

Opzionalmente, WinGate può anche bloccare i domini di invio non validi (quelli per esempio inesistenti o che hanno proprietà particolari – quando il record MX indica "localhost" o altri record non autorizzati).

Infine, WinGate effettua controlli in stile SPF se viene attivata l'opzione "block spoofed sender addresses". La principale differenza tra questo tipo di verifica e SPF è che quest'ultimo richiede che i domini specifichino i mittenti validi pubblicando un record DNS SPF. La maggior parte dei siti non integra questo tipo di strumento, pertanto SPF non è ancora sufficientemente diffuso al punto da essere impiegato per verificare gran parte dei domini. Basandosi su un mix di supposizioni, il metodo WinGate garantisce un alto livello di certezza rispetto a siti e domini che non hanno record SPF pubblicati. Inevitabilmente alcuni siti non superano i controlli anti-spoofing di WinGate, per questo esiste la possibilità di definire una whitelist.



Quote e restrizioni per gli utenti

Se si stabilisce di ospitare le mailbox degli utenti su WinGate, si possono indicare i singoli requisiti da assegnare alle mailbox e agli indirizzi email. È anche possibile impostare lo spazio massimo su disco occupabile dalla mailbox di un utente.

Inoltre, per qualsiasi indirizzo di posta elettronica, sia esso associato a una mailbox locale o destinato a essere inoltrato a un altro server, l'amministratore può optare per ulteriori limitazioni, ad esempio il blocco degli allegati, la dimensione massima dei messaggi e la copia del messaggio verso altri indirizzi locali o remoti.



Opzioni di autenticazione multiple

WinGate prevede per la posta elettronica una serie di opzioni di autenticazione che dipendono dal database utenti prescelto o dai client di posta.

Per la ricezione SMTP e l'invio verso server SMTP remoti, WinGate supporta:

  • metodo SASL PLAIN;
  • metodo SASL CRAM-MD5;
  • metodo NTLM.

 Il recupero POP3 e il server POP3 di WinGate supportano:

  • metodo USER/PASS;
  • metodo APOP;
  • metodo SASL PLAIN;
  • metodo SASL CRAM-MD5;
  • metodo NTLM.

Per quanto concerne i metodi per i server SMTP (ricezione) e POP3 si possono stabilire restrizioni sulla base del sistema di sicurezza scelto per la connessione, STLS o STARTTLS (equivalente per SMTP) eliminando la vulnerabilità dei metodi di autenticazione insicuri mediante l'obbligo di una connessione cifrata prima che diventi disponibile un metodo non sicuro.



Autenticazione MS Outlook sicura

MicroSoft® Outlook supporta solo una tipologia di autenticazione sicura verso un database NT, ed è tramite NTLM.

La capacità integrata di WinGate di sincronizzarsi con questo tipo di database fa sì che gli utenti Outlook possano autenticarsi sui server SMTP e POP3 di WinGate inviando username e password a WinGate in maniera crittografata.



Supporto della scansione dati antivirus

WinGate supporta numerosi componenti plug-in disponibili separatamente. Si tratta di funzioni per la scansione dei dati che permettono di verificare i contenuti che passano attraverso i proxy WinGate.

Il plug-in antivirus Kaspersky AntiVirus for WinGate (KAVWG) è uno di questi componenti basato sulla tecnologia proprietaria di Kaspersky Labs. Diversi proxy e servizi all'interno di WinGate utilizzano questo plug-in per identificare eventuali virus:

  • il server SMTP: scansiona tutta la posta ricevuta e quella recuperata tramite POP3;
  • il proxy WWW: scansiona i file scaricati e rileva non solo quelli che contengono virus (file ZIP o EXE infetti), ma anche gli exploit iFrame e gli attacchi più comuni ai danni dei browser;
  • il proxy POP3: in caso di posta proveniente da un server POP3 Internet tramite WinGate POP3 Proxy, la posta può essere verificata mentre viene recuperata;
  • il proxy FTP: i file scaricati o caricati possono essere controllati per rilevare eventuali virus.

Nel caso in cui venga realmente rilevato un virus, il file viene spostato in quarantena all'interno di WinGate per essere successivamente controllato ed eventualmente rilasciato da parte dell'amministratore di sistema.



Gestione remota della coda messaggi

Con il tab email di GateKeeper è possibile gestire con grande semplicità tutti gli aspetti legati alle code messaggi del server. Di seguito alcune delle principali funzioni:

  • interruzione dell'invio di posta verso un dominio (domain job);
  • possibilità di riprovare a eseguire tutte le consegne;
  • reset del conteggio dei tentativi di consegna su un domain job;
  • cancellazione o spostamento di particolari messaggi da un determinato domain job;
  • anteprima dei messaggi in coda.

Performance

Cache HTTP

Il proxy WWW di WinGate permette alle reti di incrementare l'efficienza e le performance della navigazione web.

In generale il termine ”caching” indica l'azione di memorizzazione dei risultati ottenuti dalle operazioni precedentemente eseguite nella speranza che ricerche successive possano essere soddisfatte dai dati mantenuti localmente anziché andare a prelevarli una seconda volta.

In presenza di reti particolarmente estese e di un'utenza che tende a consultare quasi sempre le medesime pagine web, è possibile determinare una riduzione del traffico internet e ottimizzare la velocità di connessione memorizzando in cache le pagine contattate frequentemente, che verranno immediatamente riproposte nel momento in cui un utente le dovesse richiedere.

WinGate usa regole sofisticate che permettono all'amministratore di sistema di specificare per quali tipi di richieste debba essere previsto il caching e le relative modalità di gestione (non è possibile infatti lasciare che una cache si espanda all'infinito con il rischio di esaurire lo spazio su disco).



Cache DNS

WinGate integra un resolver DNS che viene utilizzato dai servizi WinGate per risolvere le query DNS. Questo strumento è stato messo a punto con l'obiettivo di consentire a WinGate di accedere a tutte le informazioni restituite dai server DNS insieme con i dati relativi alle tempistiche di scadenza dei record DNS stessi. In questo modo WinGate può mettere a disposizione una cache DNS efficace e adeguata.

Il caching DNS si traduce in un'accelerazione della user experience durante la navigazione web. Memorizzando localmente i risultati delle ricerche DNS effettuate precedentemente, tenendo traccia della “freschezza” delle informazioni e restituendo i dati presenti in cache alle richieste successive, il traffico DNS risulta notevolmente ridotto e ottimizzato.



Connessioni internet multiple simultanee

Con WinGate più connessioni internet possono essere utilizzate contemporaneamente aumentando così il throughput del sistema. L'approccio per-proxy di WinGate permette anche di specificare più metodologie di utilizzo di queste differenti connessioni.

È ad esempio possibile:

  • specificare che il proxy WWW utilizzi tutte le connessioni internet disponibili;
  • specificare che un proxy diverso utilizzi solo una delle connessioni, attivando quella successiva solo nel caso in cui la prima non risultasse disponibile.

WinGate verifica la disponibilità delle connessioni controllando anche i gateway remoti; così facendo è comunque possibile tracciare le connessioni internet anche se dovessero passare attraverso un altro router o dispositivo come DSL/NAT.

Le funzioni di WinGate per la selezione del gateway consentono di specificare quale gateway utilizzare servizio per servizio; questo significa che in presenza di un mix di diversi dispositivi DSL/NAT, gateway di rete, modem eccetera l'amministratore può comunque definire quali connessioni devono passare attraverso quale gateway, anche se si trovano sullo stesso segmento Ethernet fisico.



Gestione e variazione della bandwidth

Con WinGate è possibile controllare le modalità di utilizzo della bandwidth disponibile. Determinate applicazioni, come ad esempio i player di contenuti trasmessi in streaming piuttosto che le radio internet, rischiano infatti di assorbire una notevole quantità di bandwidth a discapito delle performance dei servizi critici come la posta o la navigazione web.

Inoltre, limitare la bandwidth disponibile all'uso di applicazioni ben precise costituisce un metodo efficace per scoraggiare gli utenti dall'utilizzare altre applicazioni (ad esempio file sharing o programmi peer-to-peer) senza doverle comunque vietare completamente (gli utenti tenterebbero comunque di scavalcare l'ostacolo).

Le funzioni fornite da WinGate permettono di controllare la bandwidth in base a diversi criteri:

  • indirizzo IP del client, o blocco di indirizzi di appartenenza;
  • porta di destinazione o origine;
  • orario (permette di definire restrizioni diverse in base all'ora).

È anche possibile indicare le limitazioni in termini di bandwidth assoluta o di proporzione di quella disponibile.

Infine è possibile assegnare le priorità: alcuni servizi possono infatti essere attivati con maggiore velocità rispetto ad altri, con una priorità più elevata quindi per il forwarding dei pacchetti relativi a quel servizio.

Affidabilità

Monitoraggio Internet gateway

WinGate ha la capacità di monitorare tutte le macchine gateway presenti sul medesimo segmento Ethernet. Usando una richiesta ARP periodica, WinGate rileva eventuali errori considerando di conseguenza inutilizzabile il gateway non raggiungibile. Poi, a seconda della configurazione, le funzioni di selezione e di trasferimento di connessione passeranno a un collegamento alternativo.

Gli amministratori possono definire più schemi di failover in base a ogni singolo servizio, consentendo ad esempio al proxy WWW di passare a un circuito e alla posta di passare a un circuito di backup diverso.

I gateway non disponibili continuano a essere monitorati in quanto, in caso di ripristino, verranno riattivati e nuovamente utilizzati.



Failover connessioni internet

Le capacità di WinGate per il failover delle connessioni sono flessibili e complete, in combinazione con il monitoraggio dei gateway, con in più la possibilità di gestire anche le connessioni dialup.

Nel caso in cui una connessione internet non risultasse più disponibile, a causa di un errore di collegamento piuttosto che di un gateway inutilizzabile, l'amministratore può definire una policy relativa alla modalità di trasferimento verso un'altra connessione. Tale policy può essere definita in WinGate sulla base del singolo servizio; riguardo alle connessioni di dialup si può applicare anche un criterio di priorità globale delle connessioni stesse.

Questo significa che, in presenza di un errore di collegamento, il proxy WWW si connetterà ad esempio a un circuito, mentre la posta passerà a un circuito di backup diverso.

I gateway non disponibili continuano a essere monitorati in quanto, in caso di ripristino, verranno riattivati e nuovamente utilizzati.



Opzioni di ridondanza dei server

Generalmente le opzioni disponibili per la ridondanza dei server sono limitate. Al di là delle ovvie opzioni di ridondanza hardware, usando WinGate Internet Client sulla rete esiste l'ulteriore opportunità di mettere a disposizione servizi di failover in caso di crash del sistema.

Implementando WinGate Internet Client e installando poi diversi server WinGate (con connessioni dedicate o condivise) è possibile fare fronte in maniera ottimale all'eventuale indisponibilità di un server in quanto il meccanismo di rilevamento automatico usato da WinGate Internet Client provvede a identificare e attivare il server alternativo.

Le macchine client possono dunque mantenere l'accesso a internet anche laddove il gateway principale fosse disabilitato.

Amministrazione

Amministrazione remota

Con GateKeeper, strumento di gestione remota di WinGate, è possibile controllare l'utilizzo di internet e gestire il proprio gateway da remoto.



Logging e auditing utenti

WinGate integra un sottosistema di logging completo in grado di registrare i dati in due diversi formati, database e file di testo, e di archiviarli secondo tre differenti modalità:

  • la prima riguarda il logging sui singoli servizi, che permette di registrare tutte le informazioni di una sessione per ciascuno dei servizi/proxy usati da WinGate, come WWW, FTP o SMTP;
  • la seconda concerne il logging sui singoli utenti, noto anche come auditing, in grado di monitorare e memorizzare tutte le attività di determinati utenti per verifiche successive. Anche in questo caso le autenticazioni utente e l'utilizzo dei dati sono sottoposti a logging;
  • infine vi è il logging storico, con un database globale di tutto il traffico transitato all'interno di WinGate; usando GateKeeper History possono essere visualizzate le ultime 2000 voci per accedere in modo rapido e agevole alle informazioni relative a quanto appena avvenuto sul server.


Accounting utenti

WinGate integra anche la funzione di user accounting, ideale sia per gli amministratori di rete che per gli Internet Cafè.

WinGate infatti tiene traccia dei byte ricevuti e inviati dai client e del tempo di collegamento online, permettendo inoltre di definire tariffe specifiche per ciascun tipo.

La combinazione fra lo strumento di user accounting e le policy di WinGate permette di limitare l'accesso internet degli utenti in caso di tempi di navigazione troppo lunghi piuttosto che di raggiungimento del limite di download.



Monitoraggio attività in tempo reale

Il monitoraggio delle attività in tempo reale è una funzione che consente, una volta connessi a WinGate con GateKeeper, di visualizzare tutte le azioni del sistema in real time: ciò include le macchine client connesse a internet, le macchine internet che si riconnettono ai servizi WinGate, i task di manutenzione interna e le attività del sistema.

La funzione non si limita alla sola visualizzazione ma fornisce anche strumenti di controllo: laddove l'amministratore rilevasse azioni non adeguate, può intervenire per bloccarle.

Alcune scorciatoie per bloccare accessi simili sono:

  • blacklisting dell'indirizzo IP;
  • banning dell'URL;
  • disattivazione dell'account utente.


Servizi DHCP

DHCP è un protocollo grazie al quale i computer collegati in rete possono recuperare le rispettive configurazioni TCP/IP da un server centralizzato. Uno degli aspetti più importanti di DHCP è la sua capacità di assegnare in maniera automatica gli indirizzi IP e altri parametri di configurazione TCP/IP.

L'implementazione DHCP di WinGate si differenzia dagli altri server DHCP per la capacità di identificare gli indirizzi IP da assegnare senza che l'amministratore debba predefinirne i pool (ambiti). È inoltre in grado di decidere come organizzare i gateway e altri diversi parametri dei client, esonerando il responsabile IT dal dover essere necessariamente esperto di TCP/IP per poter gestire un server DHCP WinGate.

Tutti i settaggi automatici possono essere scavalcati manualmente dall'intervento dell'amministratore nel caso in cui vi sia la necessità di definire requisiti specifici.



Monitoraggio traffico

Con WinGate è possibile controllare tutto il traffico in ingresso o in uscita dalla macchina WinGate.

Queste informazioni vengono visualizzate in base all'interfaccia per conoscere la quantità di traffico proveniente dalla LAN che arriva sulla macchina WinGate e quello in uscita verso internet, con le relative performance.



Accesso remoto sicuro a linea di comando

WinGate garantisce l'accesso al Command Shell Processor dei sistemi operativi basati su NT (Windows NT, Windows 2000, Windows XP e Windows 2003).

In questo modo è possibile gestire in maniera sicura e remota più istanze dell'interprete di comando cmd.exe sul server remoto per eseguire da remoto operazioni quali:

  • creazione e cancellazione di file sul server;
  • modifiche alla route table del server con route.exe;
  • verifica della connettività dal server con ping.exe o tracert.exe;
  • riavvio del server o di altri server con shutdown.exe;
  • connessione alle risorse della LAN collegata al server.

Oltre a moltissime applicazioni gestite a linea di comando.

È possibile scegliere l'account utente nel quale eseguire il processo cmd.exe e i relativi input e output vengono trasferiti sul canale di controllo criptato di GateKeeper a garanzia della massima sicurezza possibile.

Download del proxy server WinGate

Per verificare al meglio le funzionalità di WinGate, provalo gratis per 30 giorni a piene funzionalità.
Per evitare inconvenienti, consigliamo di effettuare l'acquisto prima dello scadere del periodo di prova!

Le versioni Standard, Professional ed Enterprise di WinGate sono contenute nel file scaricabile da questa pagina: è la chiave di attivazione a differenziare le versioni attivandone le funzionalità specifiche.

Listino prezzi del proxy server WinGate

Il listino riporta i prezzi di Wingate in Euro consigliati al pubblico, al netto di IVA del 22%. I prezzi possono variare senza preavviso.

Tutte le licenze di WinGate includono un anno di Upgrade Protection.

Verifica quale versione di WinGate è la più adatta alle tue esigenze.

Il numero di utenti della licenza si riferisce al numero di utenti che possono accedere contemporaneamente a Internet, che non coincide necessariamente con il numero di pc presenti sulla rete.

Se desideri acquistare il proxy server WinGate, rivolgiti a un rivenditore qualificato della tua zona


Serve aiuto?

Contatta l'assistente commerciale

Contatta il nostro operatore via chatchatta con noi
Contatta il nostro operatore via emaillascia un messaggio
Richiedi di essere contattato telefonicamenterichiesta di telefonata

2 recensioni per WinGate