Voordat je iets met de regels doet, moet je de netwerkinterfaces op een menselijke manier configureren, dus wie heeft het artikel niet CORRECT DNS- en netwerkinterfaces configureren!!! , doe het nu.
Alles hieronder is getest op KWF versie 6.2.1, maar werkt op alle versies 6.xx, bijvoorbeeld volgende versies Als er veranderingen plaatsvinden, denk ik niet dat deze significant zullen zijn.
Dus de netwerkinterfaces zijn geconfigureerd, Kerio Winroute Firewall is geïnstalleerd, het eerste wat we doen is naar Configuratie > Verkeersbeleid gaan en de wizard starten. Zelfs als je het al eerder hebt gelanceerd. We doen het juiste, toch?
1. Alles is duidelijk met de eerste en tweede stap van de wizard, in de derde selecteren we de externe netwerkinterface (internetinterface, de wizard bepaalt deze bijna altijd correct).
2.
Vervolgens stap vier, de belangrijkste.
Standaard biedt KWF de optie “Toegang tot alle diensten toestaan (geen beperkingen)”, maar! Wij worden voortdurend geconfronteerd met het feit dat dergelijke KWF-regels, op zijn zachtst gezegd, vreemd genoeg, problemen met de dienstverlening veroorzaken ELK altijd.
Daarom kiezen wij voor de tweede optie, Sta alleen toegang toe tot de volgende services. Het maakt niet uit dat KWF u iets andere diensten aanbiedt dan u nodig heeft, maar dit alles kan later worden toegevoegd of verwijderd.
3. In de vijfde stap creëren we regels voor VPN; degenen die deze niet nodig hebben, kunnen de selectievakjes verwijderen. Maar nogmaals, u kunt dit later doen als u het niet zeker weet.
4.
Stap 6 is ook behoorlijk belangrijk. Hier creëren we regels voor die diensten die van buitenaf toegankelijk moeten zijn, vanaf internet. Ik raad je aan om op zijn minst een paar services toe te voegen; dan kun je gemakkelijker zien hoe zo'n regel is opgebouwd.
Bijvoorbeeld:
KWF-beheerservice op Firewall
RDP-service op 192.168.0.15
5.
Stap zeven: uiteraard zetten we NAT aan, zelfs als niemand het nodig heeft (onwaarschijnlijk natuurlijk), je kunt het altijd uitschakelen.
Klik in de achtste stap op Voltooien.
Het blijkt dat we zoiets als dit hebben:
Een paar verduidelijkingen voor degenen die de handleiding niet willen lezen:
Regel NAT- het bevat feitelijk de services die vanaf clientmachines toegang tot internet hebben.
En de regel Firewall-verkeer- dit is de regel voor de machine waarop KWF is geïnstalleerd.
De kleine rode regels hieronder gelden voor toegang tot diensten met dezelfde naam vanaf internet.
In principe kun je al werken, maar je moet KWF een beetje configureren, dus hierna:
6. Regel Lokaal verkeer we gaan helemaal naar de top, omdat de regels van boven naar beneden worden verwerkt en aangezien lokaal verkeer meestal de overhand heeft op de rest, zal dit de belasting van de gateway verminderen, zodat deze geen pakketten verzendt van lokaal verkeer door de hele tabel met regels.
7. In de regel Lokaal verkeer Protocol Inspector is uitgeschakeld, ingesteld op Geen.
8. Uit de NAT- en Firewall-verkeersregels verwijderen we de services die we niet nodig hebben, en voegen we de services toe die we dienovereenkomstig nodig hebben. nou, bijvoorbeeld ICQ Ik raad je aan om na te denken over wat je toevoegt en verwijdert.
9. Soms vereisen sommige services een aparte regel, omdat vreemde storingen samen met de andere beginnen. Welnu, het is natuurlijk gemakkelijker om bij te houden hoe het werkt door deze regel te loggen.
Een paar opmerkingen:
10. Als u wilt kunnen pingen vanaf clientcomputers externe adressen en voeg vervolgens de service toe Ping aan de NAT-regel.
11.
Als u helemaal geen VPN gebruikt, schakelt u de VPN-server uit (Configuratie > Interfaces > VPN-server klik met de rechtermuisknop> Bewerken > schakel het selectievakje VPN-server inschakelen uit).
U kunt ook de Kerio VPN-interface uitschakelen.
12. Als u de bovenliggende proxy gebruikt, voegt u de overeenkomstige poort toe aan de firewallverkeersregel (als de standaard 3128 is, kunt u de HTTP-proxyservice toevoegen). En dan moet je van de NAT-regel op zijn minst HTTP- en HTTPS-services verwijderen.
13. Als u een bepaalde groep gebruikers of IP-adressen toegang tot internet moet geven, maak dan een regel die lijkt op NAT, alleen is de bron niet de lokale interface, maar uw groep.
Hieronder staat een voorbeeld dat min of meer lijkt op de werkelijkheid (de mijne natuurlijk, maar niet helemaal).
Voorbeeld.
Taak: distribueer het internet naar alle computers in het netwerk met behulp van een ondoorzichtige proxy, sta ICQ en FTP toe aan geselecteerde groepen en download mail via POP3 naar iedereen. Verbied het rechtstreeks verzenden van brieven naar internet, alleen via een mailer. Maak toegang tot deze computer vanaf internet. Welnu, het is normaal om rekening te houden met de aantekeningen.
Hier zijn de kant-en-klare regels:
Korte uitleg van de regels:
Lokaal verkeer- helemaal naar de top, zoals gepland.
NTP-verkeer- een regel voor het synchroniseren van de tijdserver (192.168.0.100) met exacte tijdbronnen op internet.
ICQ-verkeer- een regel die de gebruikersgroep “Allow ICQ Group” toestaat ICQ te gebruiken.
FTP-verkeer- een regel waarmee de gebruikersgroep “FTP-groep toestaan” bestanden van FTP-servers kan downloaden.
NAT voor iedereen- er is weinig meer over van NAT (we gaan via een proxy naar internet) alleen gratis mail en Internet-ping Alle netwerkgebruikers zijn toegestaan.
Firewall-verkeer- hiermee is alles duidelijk, toegestane services voor de firewall. Houd er rekening mee dat hier de SMTP-service is toegevoegd (als de mailer niet op dezelfde computer staat als de winrout, moet u een aparte regel maken) en poort 3128 voor de bovenliggende proxy.
Serviceping- de regel die nodig is om onze server van buitenaf te pingen.
Beheerder op afstand- een regel voor externe toegang tot de KWF- en KMS-console en tot hun webinterface.
Dienst Kerio VPN- regel voor toegang van buitenaf Kerio VPN-clients.
Service Win VPN- regel voor toegang van externe clients van native Windows VPN
Dienst RDP- een regel voor toegang van externe clients tot de Windows-terminal (maar beter via VPN).
We beschouwen de drie meest voorkomende algemene gevallen:
1.
Peer-to-peer-netwerk, zonder domein, of beter gezegd zonder DNS-server, gebruikt als toegangspoort tot internet aparte automaat met Winroute geïnstalleerd;
2.
Een netwerk met een domein, de DNS-server bevindt zich op een DC (domeincontroller), een aparte machine waarop Winroute is geïnstalleerd, wordt gebruikt als gateway naar internet;
3.
Een netwerk met een domein, de DNS-server bevindt zich op een DC, op deze DC is ook Winroute geïnstalleerd.
De derde optie wordt om redenen van veiligheid en gezond verstand categorisch niet aanbevolen, maar wordt helaas vrij vaak gebruikt kleine netwerken, waar er al een domein is, maar er is geen geld. In ieder geval zullen we deze optie niet overwegen, omdat de instellingen niet verschillen van de tweede optie, behalve dat de naam en het adres van de DNS-server samenvallen met de naam. en adres van de computer met Winroute, respectievelijk.
In ieder geval is er een computer met twee netwerkkaarten (de ene intern - kijkt respectievelijk naar het lokale netwerk, de andere extern - naar internet), die de rol speelt van een gateway waarmee we toegang krijgen tot internet, en waarop Kerio Winroute Firewall wordt uiteraard geïnstalleerd.
Vergeet niet dat de adressen op deze netwerkkaarten afkomstig moeten zijn van verschillende subnetten, d.w.z. bijvoorbeeld zo:
192.168. 0 .1/24
192.168. 1 .1/24
om de een of andere reden raken beginners hierin vaak verstrikt, als ze bijvoorbeeld een ADSL-modem hebben.
1. DNS instellen op een peer-to-peer-netwerk.
Instellingen intern netwerk:
192.168.0.1 - IP-adres van de computer met Winroute
255.255.255.0 - masker.
192.168.0.1 - specificeer het IP-adres van hetzelfde netwerk als de DNS-server
ip 80.237.0.99 - echt IP-adres
masker 255.255.255.240 - masker
poort 80.237.0.97 - poort
dns 80.237.0.97 - DNS-provider
Maar! We hameren ze er niet blindelings in extern netwerk, maar wij doen het net iets anders:
IP-adres 80.237.0.99
masker 255.255.255.240
poort 80.237.0.97
dns 192.168.0.1 - als hoofd DNS-server geven we het IP-adres van het interne netwerk aan;
80.237.0.97 —als alternatieve DNS-server geef de DNS-server van de provider op
Klik Geavanceerd. Op het tabblad DNS schakelt u de adressen van deze verbinding in DNS registreren uit, op het tabblad WINS schakelt u LMHOSTS-zoekopdracht inschakelen uit en stelt u NetBIOS via TCP/IP uitschakelen in. Vink ook aan MOET NIET ZIJN op Client voor Microsoft-netwerken, netwerktaakverdeling, fouten en printerdeling Microsoft-netwerken.
Het is trouwens handig om de externe interface een andere naam te geven, niet om deze een naam te geven Lokaal gebied Verbinding (Local Area Network-verbinding), zoals internetinterface.
Ga vervolgens naar Configuratiescherm, Netwerkverbindingen, in dit venster (Verkenner-venster) menu Geavanceerd -> Extra opties. Op het tabblad “Adapters en bindingen” verplaatst u “Local Area Connection” naar de bovenste positie:
Op de clientcomputer zullen de netwerkkaartinstellingen er ongeveer zo uitzien:
ip 192.168.0.2
masker 255.255.255.0
poort 192.168.0.1 -
dns 192.168.0.1 - We specificeren het IP-adres van de computer met Winroute als de belangrijkste DNS-server
In Winroute, Configuratie -> DNS Forwarder, vinkt u het vakje “Enable DNS Forwarding” aan en specificeert u de DNS-servers van de provider.
2. Netwerk met een domein, de DNS-server bevindt zich op de DC (domeincontroller), een aparte machine waarop Winroute is geïnstalleerd, wordt gebruikt als gateway naar internet
De instellingen verschillen niet veel van de vorige versie, in principe is alles hetzelfde, alleen:
2.1 In DNS-forward lookup-zones moet u de zone “.” verwijderen als deze aanwezig is. Start hierna de DNS Server-service opnieuw.
2.2 Op de domeincontroller in de DNS-eigenschappen moet u het doorsturen naar het IP-adres van de DNS-server van de provider toestaan, in in dit geval 80.237.0.97 (en vergeet niet een regel toe te voegen aan het verkeersbeleid waarmee de controller contact kan maken met de DNS-server van de provider):
2.3 We schakelen DNS Forwarder uit in Winroute (schakel het selectievakje "Enable DNS Forwarding" uit), omdat we het al op onze DNS-server hebben staan.
2.4
Het is noodzakelijk om een reverse lookup-zone op de domeincontroller in DNS te maken (de juiste beheerders hebben deze waarschijnlijk gemaakt bij het verhogen van DNS), omdat het zonder deze zone onmogelijk is om de computernaam te bepalen aan de hand van het IP-adres. De eerste 3 groepen cijfers van ons IP-adres geven wij aan als netwerkcode.
Om dit te controleren, gaat u naar de zone-eigenschappen en zorgt u ervoor dat onze DNS-server (of servers, als er meerdere zijn) op het tabblad “Naamservers” staat. Als er niet genoeg servers zijn, voegen we ze daar toe. Het is raadzaam om dit via de “Review” te doen. Alle. Het blijft nodig om dynamisch bijwerken mogelijk te maken, zodat clientmachines geregistreerd in deze zone, hoewel je ook zonder kunt.
2.5 Interne instellingen netwerkcomputer met Winroute:
ip 192.168.0.1 - IP-adres van de computer met Winroute
masker 255.255.255.0 - masker
dns 192.168.0.100 -
Wij specificeren NIET de gateway!
Externe netwerkinstellingen:
IP-adres 80.237.0.99
masker 255.255.255.240
poort 80.237.0.97 - als gateway geven we het gateway-IP-adres aan dat door de provider is opgegeven
dns 192.168.0.100 - specificeer het IP-adres als de belangrijkste DNS-server lokale DNS-server(gelijkstroom)We specificeren geen alternatieve DNS-server! Wij hebben het onderweg.
2.6 Klantinstellingen:
ip 192.168.0.2
masker 255.255.255.0
poort 192.168.0.1 - geef het IP-adres op van de computer met Winroute als gateway
dns 192.168.0.100 - specificeer het IP-adres van de lokale DNS-server (DC) als de belangrijkste DNS-server
2.7 Voer de volgende opdrachten uit om de client te controleren:
nslookup(GateWayName)
nslookup (GateWayIP)
nslookup yandex.ru
nslookup 213.180.204.11
Als er als resultaat van het uitvoeren van alle bovenstaande opdrachten geen foutmeldingen zijn, dan is alles voor u gelukt.
Correcties en aanvullingen worden geaccepteerd.
BESCHRIJVING
De belangrijkste taak van een bedrijfsfirewall is het controleren van inkomend en uitgaand verkeer netwerk verkeer voor naleving van het bedrijfsveiligheidsbeleid.
Kerio WinRoute Firewall biedt de mogelijkheid om op gedetailleerde wijze toegangsregels te definiëren om al het internetverkeer te inspecteren en in overeenstemming te brengen met het bedrijfsbeveiligingsbeleid. Installatiewizard netwerkregels helpt u snel een firewall te installeren en configureren.
Kerio WinRoute Firewall is een robuuste netwerkfirewall die draait op de TDI/NDIS-niveaus van het besturingssysteem. Diepgaande inspectietechnologie die wordt gebruikt om inkomend en uitgaand verkeer te analyseren, helpt dit te garanderen hoogste niveau beveiliging voor het gehele lokale netwerk, maar ook voor individuele computers die op het netwerk werken.
functionaliteit
Verkeersbeleid
De beveiliging van Kerio WinRoute Firewall is gebaseerd op regels die worden toegepast op verkeer en stelt u in staat pakketfilters, NAT (Network Address Translation), poorttoewijzing en toegangscontrole in één handige tabel te configureren.
De ingebouwde configuratiewizard vereenvoudigt het proces van het maken en configureren van de benodigde netwerkregels aanzienlijk. Het opzetten van een firewall en het verbinden van uw netwerk met internet duurt letterlijk enkele minuten.
Inbraakpreventiesysteem
Een voorwaarde voor ICSA Labs netwerkfirewallcertificering is het vermogen om aanvallen en inbraken van hackers te herkennen. Pogingen tot al deze acties worden vastgelegd in het beveiligingslogboek.
Anti-spoofing
Anti-spoofing is een pakketfiltercomponent van Kerio WinRoute Firewall die zorgt voor extra niveau bescherming voor het lokale netwerk tegen aanvallen waarbij de hacker gebruik maakt van het bron-IP-adres.
Firewall-logboeken
Een belangrijk kenmerk van elk systeembeveiligingsproduct is de mogelijkheid om gedetailleerd verslag huidige gebeurtenissen.
Kerio WinRoute Firewall registreert gebeurtenissen in verschillende logboeken: foutmeldingen, foutopsporingsgebeurtenissen, gebruikersinstellingen, status, surfen op het web, poortscans, enz.
Logboekregistratie kan worden ingeschakeld voor elk van de regels die zijn gedefinieerd in de verkeersregelstabel. De beheerder ontvangt dus volledige controle via verbindingen die via de firewall tot stand zijn gebracht.
Protocolcontrole
Deze functie maakt het mogelijk individuele toepassingen met eigen protocollen (waarvoor in eerste instantie geen firewall nodig is) is het veilig om op lokale netwerken te werken. Meerdere protocollen kunnen worden gescand, gefilterd of aangepast, waardoor de algehele betrouwbaarheid van de firewall wordt vergroot.
Kerio Winroute Firewall - VPN-server en -client
Voor alle moderne zakenmensen die thuis reizen of werken, een veilige verbinding met bedrijfsnetwerk is een noodzakelijke voorwaarde. Kerio WinRoute gebruiken Installatie van firewalls virtueel prive netwerk vergt vrijwel geen inspanning. De VPN-server en -clients maken deel uit van de veilige mogelijkheden voor externe toegang van Kerio WinRoute Firewall.
Door Kerio VPN te gebruiken, kunnen gebruikers op afstand verbinding maken met bedrijfsnetwerkbronnen zoals bestandsservers, databaseservers of zelfs printers die daar meestal achter verborgen zijn firewall en zijn niet beschikbaar voor gebruik buiten het kantoornetwerk.
Kerio VPN-server
Met de VPN-server die in het Kerio WinRoute Firewall-product is ingebouwd, kunt u VPN-netwerken in twee verschillende scenario's organiseren:
VPN-client-server (met Kerio VPN Client voor Windows)
VPN-server naar server
De server-to-server-modus wordt gebruikt door bedrijven die een extern kantoor via een beveiligd kanaal willen verbinden delen gedeelde bronnen. In dit scenario is Kerio WinRoute Firewall aan elk van de verbindingszijden vereist om een veilig kanaal tot stand te brengen open netwerk Internet.
VPN-client-server
Client-server-modus staat dit toe naar een externe gebruiker Sluit een laptop of geconfigureerde pc veilig aan op het bedrijfsnetwerk.
Kerio VPN-client
Kerio VPN Client is een kleine applicatie die op de zijkant van de aangesloten pc draait. Werkt op Windows 2000 en hoger.
Clientloze SSL VPN
Kerio WinRoute Firewall 6.1 bevat nieuwe dienst genaamd Clientless SSL VPN, waarmee externe clients toegang kunnen krijgen gedeelde bestanden op lokale netwerkservers met behulp van een gewone browser. Tegelijkertijd installeert u een speciale client software niet verplicht.
NAT-vertaling
Zoals beheerders weten, ondersteunen VPN en NAT (Network Address Translation) niet altijd samenwerken. Kerio VPN is ontworpen om betrouwbaar te werken via NAT en zelfs een reeks NAT-gateways.
Kerio VPN maakt gebruik van standaard coderingsalgoritmen: SSL voor kanaalcontrole (TCP) en Blowfish voor gegevensoverdracht (UDP).
IPSec, Windows en VPN externe fabrikanten
In gevallen waarin een bedrijf een bepaalde standaard hanteert voor het gebruik van VPN-producten, biedt Kerio WinRoute Firewall ondersteuning IPSec-protocollen en PPTP, waardoor het gebruik ervan mogelijk is verschillende oplossingen externe fabrikanten.
Ook is het mogelijk om gebruik te maken van de VPN-mogelijkheden die in Windows zijn ingebouwd, waardoor je deze kunt inbouwen VPN-netwerk met alleen Microsoft-hulpmiddelen Windows en Kerio WinRoute Firewall. Er is geen software van derden vereist. Kerio WinRoute Firewall ondersteunt ook RRAS-functionaliteit die te vinden is in serveredities besturingssystemen Microsoft Windows.
Kerio Winroute Firewall - Firewallbescherming tegen virussen
Kerio WinRoute Firewall creëert extra firewallbescherming tegen virussen door zowel binnenkomende als uitgaand verkeer:
- - E-mail (SMTP en POP3)
- - internet (HTTP)
- - bestandsoverdracht (FTP)
Voor dit doel zijn twee gelicentieerde versies ontwikkeld:
- 1. Kerio WinRoute Firewall gecombineerd met McAfee Anti-Virus
- 2. Kerio WinRoute Firewall met andere antivirusprogramma's
Voordelen van firewall-virusbescherming
Virusbescherming die op het lokale netwerk is geïnstalleerd, biedt volledige bescherming voor al het verkeer. Beheerders kunnen de nieuwste virusimages op de gateway gebruiken, wat veel productiever is dan het uitvoeren van antivirussoftware op elke computer.
E-mailbescherming tegen virussen
Kerio WinRoute Firewall scant inkomende en uitgaande berichten, evenals alle bijlagen. Een virus dat in een brief wordt gedetecteerd, wordt verwijderd. Als in een bijlage een virus wordt aangetroffen, wordt de gehele bijlage verwijderd en wordt er een melding aan de brief toegevoegd.
Netwerkbescherming tegen virussen
Kerio WinRoute Firewall scant al het netwerkverkeer, inclusief HTML-pagina's, op ingebedde virussen. Bestanden die via HTTP worden gedownload en bestanden die via het FTP-protocol worden verzonden, worden ook gecontroleerd op virussen.
Partnerschap met McAfee, Inc.
Kerio Technologies Inc. in samenwerking met McAfee, Inc. (Network Associates) heeft een platformonafhankelijk antivirussoftwareproduct voor operatiekamers gemaakt Windows-systemen, Linux en Mac OS X. Kerio WinRoute Firewall, gecombineerd met McAfee, kan bijna elk uur updates met nieuwe virus-images ontvangen.
Kerio WinRoute Firewall gecombineerd met McAfee Anti-Virus
Kerio WinRoute Firewall in combinatie met McAfee Anti-Virus is een softwarepakket dat volledige firewall-virusbescherming biedt voor uw hele netwerk.
In dit geval hebben de antivirusinstellingen uitsluitend betrekking op de firewallbescherming. De installatie is eenvoudig en consistent en vereist geen aanvullende instellingen. Dankzij de integratie van softwareproducten zijn alle elementen van de server – virusbescherming en firewallbescherming – consistent met elkaar.
McAfee AntiVirus wordt vervaardigd door McAfee, Inc.
Kerio WinRoute Firewall met andere virusbeschermingsprogramma's
Kerio WinRoute Firewall kan in combinatie met bepaalde antivirusprogramma's werken softwareproducten andere fabrikanten (zie Tabel 2): informatie bedrijfsproxyserver
tafel 2
|
AVG Server-editie |
||
|
eTrust-antivirus |
Computerpartners |
|
|
Symantec |
||
|
Avast! voor Kerio |
||
|
VisNetic AntiVirus |
ISS Orange-webfilter
Een extra onderdeel van de Kerio WinRoute Firewall-software voor bescherming tijdens het surfen op internet.
Voor organisaties en instellingen zoals scholen die niet willen dat hun werknemers en klanten bepaalde internetpagina's bezoeken, biedt Kerio WinRoute Firewall met ingebouwd ISS Orange Web Filter extra mogelijkheden.
Het ISS Orange Web Filter biedt een lijst met 58 paginacategorieën, zoals virtuele winkels, nieuws, pornografie, sport of reizen, die kunnen worden geblokkeerd door Kerio WinRoute Firewall.
Prijs
Het ISS Orange Webfilter wordt verkocht als extra onderdeel Kerio WinRoute-firewall.
Hoe werkt dit filter?
Kerio WinRoute Firewall-software is eenvoudig te gebruiken en kan door verschillende gebruikersgroepen worden gebruikt beperkte toegang naar verschillende sites.
Elke keer dat een gebruiker toegang probeert te krijgen tot een website, controleert Kerio WinRoute Firewall de ISS Orange Web Filter-database om te zien of de pagina in een van de categorieën is opgenomen. Indien inbegrepen, blokkeert Kerio WinRoute Firewall automatisch de toegang ertoe. U kunt de gebruiker ook waarschuwen dat de beheerder op de hoogte is van zijn acties.
Volledige dekking
De ISS Orange Web Filter-database is een van de grootste en bevat meer dan 4 miljard geverifieerde pagina's en 20 miljoen genummerde en gecategoriseerde URL's.
Als een gebruiker een pagina opvraagt die niet in de hoofddatabase staat, wordt de URL naar ISS gestuurd, waar deze binnen 24 uur wordt gecontroleerd.
Het ISS Orange Web Filter verwerkt pagina's in 15 talen.
Hoge snelheid
Kerio WinRoute Firewall met ISS Orange Web Filter slaat URL's in de cache op lokale basis gegevens. De hoofddatabase bevat alleen URL's waartoe gebruikers geen toegang hebben.
De hoofddatabase is opgeslagen op zeven ISS-servers verspreid over de hele wereld, waardoor snelle reacties worden gegarandeerd.
Gedetailleerde statistieken
Kerio WinRoute Firewall biedt gedetailleerde statistieken netwerkverkeer voor elke gebruiker of voor de hele organisatie. De beheerder kan deze statistieken gebruiken om gebruikersvoorkeuren te bepalen en strategieën te bepalen voor het gebruik van netwerkbronnen.
Kerio Winroute Firewall - Gebruikerstoegangscontrole
De belangrijkste taak bij het waarborgen van de netwerkbeveiliging is het ontwikkelen van een internettoegangsstrategie. Met Kerio WinRoute Firewall kunnen beheerders niet alleen een algemene verkeersgebruiksstrategie opstellen, maar ook beperkingen voor elke gebruiker instellen en afdwingen.
gebruikersbeheer
In Kerio WinRoute Firewall kan de term “gebruiker” het volgende betekenen:
- - Gebruikersnaam en wachtwoord voor elke gebruiker
- - Gebruikersgroep
- - IP-adres of computernaam
- - Gehele netwerk
Voordat elke gebruiker toegang krijgt tot internet, moet hij zich registreren bij Kerio WinRoute Firewall.
Gebruikersbeheer met behulp van een interne gebruikersdatabase
Gebruikersaccounts worden opgeslagen in een afzonderlijke interne Kerio WinRoute Firewall-gebruikersdatabase, of, als het netwerk groot is, op externe server Microsoft Active Directory. U kunt tegelijkertijd met deze twee databases werken.
Gebruikersbeheer met met behulp van Actief Directory
Als onderdeel van Windows 2000 Server biedt Active Directory beheerders de mogelijkheid gebruikersaccounts en gegevens centraal te beheren. netwerkbronnen. Active Directory biedt toegang tot gebruikersinformatie vanaf één computer.
Active Directory-ondersteuning biedt Kerio WinRoute Firewall realtime toegang tot de gebruikersdatabase en stelt u in staat een gebruiker op het lokale netwerk in te stellen zonder een wachtwoord op te slaan. Op deze manier is het niet nodig om wachtwoorden voor elke gebruiker te synchroniseren. Alle wijzigingen in Microsoft Active Directory worden automatisch weerspiegeld in Kerio WinRoute Firewall.
Beheer van toegangsrechten
De beheerder kan voor elke gebruiker verschillende toegangsrechtenbeperkingen instellen. Sommige gebruikers hebben bijvoorbeeld alleen toegang interne pagina's, kunnen anderen alleen met e-mail werken. Deze rechten worden alleen volgens een specifiek schema geconfigureerd en kunnen dus alleen op bepaalde tijdstippen worden ingesteld.
Beperkingen voor verkeersgebruik
Sommige gebruikers downloaden veel bestanden, luisteren naar radio via internet en sturen homevideo's naar elkaar. Als een gebruiker te veel bandbreedte in beslag neemt, heeft dit vaak invloed op de kwaliteit van de verbindingen van andere gebruikers.
Om dergelijke gebruikers te beteugelen, kan de beheerder limieten voor het verkeersgebruik instellen. Het kan zijn:
- - Beperkingen op verzenden, downloaden of beide.
- - Beperk het verkeer per dag of per maand
- - Elke combinatie van het eerste en tweede punt
Wanneer de limiet is bereikt, stuurt Kerio WinRoute Firewall een e-mailwaarschuwing naar de gebruiker en beheerder. Of de beheerder kan deze gebruiker tot het einde van de dag of maand blokkeren.
Kerio Winroute Firewall - Beheer
Statistieken en rapportage (StaR)
Om het internetgebruik van medewerkers weer te geven kunt u gebruik maken van de StaR module. Statistieken worden weergegeven in de vorm van grafieken die het verkeersverbruik tonen dat geen verband houdt met de workflow, tekorten aan middelen en andere problemen. De rapporten bevatten informatie over hoeveel verkeer er is gebruikt, de belangrijkste bezochte sites en, in combinatie met de optionele module (IBM) ISS Orange Web Filter, het percentage van de meest bezochte bronnen per categorie. StaR kan op afstand worden gebruikt via een browser zonder dat er autorisatie in de beheerconsole nodig is.
Beheer op afstand
De systeembeheerder configureert het programma en beheert gebruikersaccounts en beveiligingsbeleid via de Kerio Administration Console. Het kan worden geïnstalleerd op een computer met een reeds geïnstalleerd firewallsysteem, of ingeschakeld computer op afstand verbonden met het internet. Gegevensuitwisseling tussen de externe console en het firewallsysteem vindt plaats via een gecodeerd kanaal.
Meldingen per e-mail
Soms kan de beheerder niet alles bijhouden wat er met het firewallsysteem gebeurt. Kerio WinRoute Firewall helpt u bij het volgen van belangrijke gebeurtenissen, zoals het verbreken van de netwerkverbinding, overschrijding van het gebruikersverkeer, virusdetectie of het verlopen van licenties.
Van elke dergelijke gebeurtenis wordt de beheerder op de hoogte gesteld. per email, terwijl hij kan kiezen van welke gebeurtenissen hij op de hoogte moet worden gesteld.
Verkeersgebruiksstatistieken en grafiek
Nauwkeurige en goed doordachte statistieken helpen de beheerder bij het achterhalen van gebruikersvoorkeuren bij het werken op internet, het vinden van kritische elementen en problemen.
Kerio WinRoute Firewall genereert een gedetailleerd histogram van het verkeersgebruik voor elke gebruiker op het netwerk. De beheerder kan de periode selecteren waarvoor hij het verkeersgebruik wil volgen: 2 uur, 1 dag, 1 week en 1 maand.
Bovendien toont Kerio WinRoute Firewall statistieken over het daadwerkelijke verkeersgebruik, per type: HTTP, FTP, E-mail, streaming multimediaprotocollen, gegevensuitwisseling rechtstreeks tussen computers of proxy's.
Als u het ISS Orange Web Filter gebruikt, toont Kerio WinRoute Firewall webpaginabezoekstatistieken voor elke gebruiker en voor de hele organisatie.
Kenmerken van het programma
Gebruikte internetverbindingsmethoden
Ondersteunt DSL, modemaansluiting, ISDN, satelliet-internet, inbelverbindingen en draadloos internet zorgen ervoor dat u Kerio WinRoute Firewall kunt installeren op netwerken van elke omvang, waar dan ook. Eén verbinding kan door meerdere gebruikers tegelijk worden gebruikt.
Verbinding verloren
Als Kerio WinRoute Firewall een verbindingsfout detecteert, schakelt het automatisch over naar een back-up. Voor een back-upverbinding kunt u elke netwerk- of modemadapter gebruiken.
NAT en proxyserver
Snelle internettoegang dankzij twee verschillende technologieën: netwerkadresvertaling (NAT) en proxyserver.
Een NAT-router biedt internettoegang aan alle computers op een lokaal netwerk en werkt met vrijwel elk protocol. Bij gebruik van NAT zijn er geen aanvullende instellingen op elke computer vereist.
De proxyserver wordt gebruikt als clientcomputer op een externe server. Vanwege de complexiteit van deze technologie worden slechts enkele protocollen ondersteund. Toegegeven, het heeft functies zoals authenticatie en gebruikerstoegangscontrole.
Mechanisme voor het doorsturen van DNS-gegevens
Het ingebouwde DNS-gegevensdoorstuurmechanisme creëert DNS-query wanneer een gebruiker een website bezoekt. Het stuurt dit verzoek naar de geselecteerde DNS-server en bewaart de laatste ontvangen resultaten enige tijd. Het antwoord op opeenvolgende verzoeken komt onmiddellijk.
DHCP server
Een DHCP-server wijst IP-configuratieparameters toe aan elke computer op het lokale netwerk, waardoor netwerkbeheer veel eenvoudiger wordt.
HTTP-proxy-cacheserver
H.323 en SIP
De protocolverificatiemodules van Kerio zorgen ervoor dat firewalls correct werken met VoIP-telefonie of videotransmissie. Kerio WinRoute Firewall werkt met VoIP-apparaten die gebruik maken van H.323- of SIP-protocollen die zijn aangesloten op een beveiligd netwerk. Dat wil zeggen, er is geen noodzaak om verbinding te maken VoIP-apparatuur op het internet.
Cisco SCCP
Als een bedrijf VoIP-apparatuur wil gebruiken in een Cisco AVVID-omgeving, wordt er gebruik gemaakt van Skinny Client Control Protocol (SCCP) om een verbinding tot stand te brengen tussen de IP-telefoon en Cisco CallManager. Cisco. Uiteraard moet de firewall dit herkennen en de verzonden informatie begrijpen.
Kerio WinRoute Firewall herkent automatisch het SCCP-protocol en voert netwerkadresvertaling uit tussen de IP-telefoon en Cisco CallManager. Omdat Kerio WinRoute Firewall de IP-adresvertaling dynamisch uitvoert, hoeft de beheerder het IP-adres niet handmatig voor elke IP-telefoon te configureren.
UPnP-ondersteuning
Universele stekker standaard en speel(UPnP) gebruikt in Windows staat dit toe diverse toepassingen met elkaar werken zonder extra instellingen in de firewallbeveiliging. Kerio WinRoute Firewall werkt samen met UPnP-technologie, zodat toepassingen zoals MSN Messenger kan zonder problemen werken.
Minimale systeemvereisten
Kerio WinRoute-firewall
- 256MB RAM
- 20 MB harde schijf voor installatie
Aanvullend vrije plaats voor logs en cache
Minimaal 2 netwerkinterfaces (inclusief inbelverbinding)
Windows 2000/XP/2003/Vista
Kerio VPN-client
- 128MB RAM
- 5 MB harde schijf
Windows 2000/XP/2003/Vista
Implementatiekosten
Omdat het aantal computers in onze organisatie zo'n 150 bedraagt, is bij onze keuze een licentie inbegrepen voor 250 gebruikers. De kosten worden als volgt berekend: (basis voor 5 gebruikers) + (aanvullend voor 250 gebruikers). Wisselkoers euro naar roebel = 41,4
Kerio-controle (bijv. Kerio WinRoute Firewall): 241,9*41,4+5605*41,4 = 10014,66+ 232047= 242.061,66r
De mogelijkheid om te webfilteren is ook noodzakelijk, vooral sinds de Verkeersinspecteur deze kans is inbegrepen in de prijs van de software en wordt niet als aparte optie aangeboden.
Kerio-webfilter=28*41.4+250*443= 1159.2+ 10350= 11509.2r
Totaal krijgen we: 11509,2 + = 242.061,66 = 253.570,86 roebel voor 255 licenties!
Hoe u internetdistributie naar gebruikers via NAT configureert in Kerio Winroute Firewall. NAT configureren in Kerio Winroute Firewall.
Gegeven - Windows-server 2003 Server EE, met Kerio Winroute Firewall 6.4.2 geïnstalleerd en geconfigureerd.
Taak - Geef de systeembeheerder toegang tot internet, niet via een proxy, zoals iedereen, maar via NAT. Zodat contra en webgeld gelanceerd kunnen worden. Gaan...
Laten we eerst een nieuwe regel in de sectie maken Verkeersbeleid. Er zal eerst gebeld worden Nieuwe regel.
Vervolgens moet je een bron toevoegen. Dat wil zeggen, de computer van de persoon die toegang heeft tot internet. In ons geval is dit een computer systeem administrator. Ik schreef de DNS-naam van de computer in het domein - systeembeheerder.local. U kunt ook het IP-adres schrijven. Ligt aan de situatie.
Na het toevoegen Bron moet toevoegen en Bestemming. In ons geval is dit een netwerkverbinding met de naam Internet. Klik Toevoegen -> Netwerkinterface en selecteer onze internetverbinding in de lijst.
Na het toevoegen van deze parameters aan onze regel. We hinten als het ware naar de computer dat de auto systeembeheerder.local toegang heeft netwerkverbinding Internet. Vervolgens moeten we het verbindingstype, de poorten en de services specificeren waarmee deze toegang wordt verkregen.
In het veld Dienst wij voegen niets toe. Daar zit al een betekenis in Elk. Obo zegt dat de toegang openstaat voor alle havens en diensten.
Op het tabblad Vertaling standaard is leeg. Wij zijn hier niet in geïnteresseerd, dus klik verder leeg veld op het tabblad Vertaling en we zien een raam (Vertaling bewerken) NAT-instellingen voor u.
We hoeven de gebruiker alleen op alle poorten vrij te geven voor internet. Daarom kiezen wij voor de optie "Vertalen naar IP-adres van uitgaande interface (typische instellingen)". Met deze regel vertellen we Kerio dat al het uitgaande verkeer van de gebruiker rechtstreeks naar internet moet worden verzonden. U kunt elke interface selecteren waar pakketten worden uitgezonden, en een IP-adres. Maar dat hebben wij nu niet nodig.
Klik op OK en bekijk onze regel. Alles lijkt in orde, maar het werkt niet :) Waarom?
Vergeten de regel toe te staan en op de knop te klikken Toepassen. Om de regel in te schakelen, klikt u op het lege veld onder het tabblad Actie en selecteer daar de parameter Vergunning.
Onze regel ziet er nu als volgt uit:
En het werkt. De gebruiker heeft uitgaande internettoegang via NAT. Kan counter, Warcraft spelen en Webmoney uitvoeren.
Instellingen Kerio VPN-server voor het verbinden van individuele VPN-clients.
De VPN-server wordt gebruikt om de externe uiteinden van VPN-tunnels en externe clients met elkaar te verbinden Kerio VPN-client .VPN-server beschikbaar op het tabblad Interfaces (Interfaces) in het gedeelte Instellingen/Interfaces (Configuratie/Interfaces) als aparte interface.
We gaan naar dit tabblad en tussen de interfaces zien we de gewenste VPN-server. Als u dubbelklikt op de VPN-serverinterface, wordt een dialoogvenster geopend waarin u VPN-serverparameters kunt instellen (u kunt ook de interface markeren en op Bewerken klikken of Bewerken selecteren in het contextmenu).
In het geopende venster moet u de VPN-server activeren (VPN-server inschakelen). En specificeer het netwerk-IP-adres voor VPN-clients. In mijn netwerk hebben alle lokale gebruikers adressen zoals 192.168.100.xxx, en alle VPN-clients hebben 192.168.101.xxx
Standaard (bij eerste start na installatie) WinRoute selecteert automatisch een vrij subnet dat voor VPN moet worden gebruikt. Onder normale omstandigheden is het niet nodig om het standaardnetwerk te wijzigen. U Zorg ervoor dat het VPN-clientsubnet geen conflict veroorzaakt met het lokale subnet!
Op het tabblad DNS moet u de DNS-servers opgeven die aan uw VPN-clients worden toegewezen. Dit kan nodig zijn in een domeinnetwerk waar toegang tot computers met NS-namen vereist is.
Gebruik speciale serveerders DNS (Gebruik specifieke DNS-servers) Met deze optie kunt u de primaire en secundaire DNS-servers voor VPN-clients opgeven. Als het lokale netwerk geen gebruik maakt DNS-forwarder en een andere DNS-server, gebruik dan deze optie.
Mijn gebruikers gebruiken geen NS-namen, dus ik heb alles hier zonder uitzonderingen gelaten.
Ik heb het tabblad Geavanceerd ook niet nodig, maar we zullen er toch over schrijven.
Luister op poort - De poort waarop de VPN-server inkomende verbindingen accepteert (met behulp van TCP-protocollen en UDP). De standaardpoort is 4090 (onder normale omstandigheden hoeft u de poort niet te wijzigen).
Opmerkingen:
- Als de VPN-server al actief is, wordt de verbinding met alle VPN-clients automatisch verbroken wanneer de poort wordt gewijzigd.
- Als de VPN-server niet op de opgegeven poort kan draaien (de poort wordt door een andere service gebruikt), verschijnt de volgende foutmelding in het foutenlogboek (zie het hoofdstuk Foutenlogboek) wanneer u op Toepassen klikt: (4103:10048) Socketfout: Kan socket voor service niet binden aan poort 4090.
(5002) Kan service "VPN" niet starten
gebonden aan adres 192.168.1.1.Om er zeker van te zijn dat de opgegeven poort inderdaad vrij is, controleert u het foutenlogboek op vergelijkbare vermeldingen.
Aangepaste routes
In deze sectie kunt u andere netwerken definiëren waarlangs routes tot stand worden gebracht VPN-tunnel. Standaard worden routes naar alle lokale subnetten gedefinieerd aan de kant van de VPN-server (zie het hoofdstuk Uitwisseling van routeringsinformatie).
Advies: gebruik het netmasker 255.255.255.255 om de route naar een specifieke host te bepalen. Dit kan bijvoorbeeld helpen bij het toevoegen van een route naar een knooppunt in de DMZ vanaf de VPN-server.
Met de eerste regel kunnen internetgebruikers toegang krijgen tot de VPN-server via het Kerio VPN-protocol (poort 4090).
Dit is waar verbonden gebruikers worden weergegeven. In de instellingen van de gebruikers zelf kunt u configureren of de VPN-server adressen aan clients verstrekt, of dat kunt u doen VPN-client Wijs een specifiek IP-adres toe aan het netwerk.
Dat is alles. Mocht er iets niet duidelijk zijn, vraag het dan hier.
Ik heb van de vorige beheerder een zeer sluw systeem geërfd voor het distribueren van internet. UserGate 2.8 is geïnstalleerd op Windows XP. De machine zelf had 2 netwerkinterfaces ( het lokale netwerk en internet). Dit alles draaide op een gewone desktop. De logische structuur van de distributie was ook erg interessant:
1. Alle gebruikers werden verdeeld in groepen, afhankelijk van het toegewezen verkeersquotum (d.w.z. 100 MB, 200 MB, 300 MB, alleen ICQ, enz.). Er waren ongeveer 10 groepen.
2. Gebruikersautorisatie vond plaats via het IP-adres van de computer (toen het bedrijf 20 computers had in een werkgroep met statische adressen alles was nog steeds acceptabel, maar nu zijn er respectievelijk ongeveer 150 gebruikers, ongeveer hetzelfde aantal computers).
In de loop van de tijd kwamen er ook andere problemen naar voren:
1. Het aantal gebruikers groeide.
2. Autorisatie via IP bracht veel problemen met zich mee. Het was erg moeilijk om gebruikersbewegingen te volgen en het gebruikersverkeer bleef onbeschermd.
3. Bedrijfsinfrastructuur met werkgroep werd overgebracht naar het domein.
4. De stabiliteit van het werk van de aanbieder liet veel te wensen over. Daarom was het internet verbonden van een andere provider.
5. De hardware waarop de proxy draaide, had geen lang leven meer.
Ik heb een plan opgesteld om over te schakelen naar een andere proxyserver.
Laten we beginnen. Planning
1. We moeten beslissen wat we willen (d.w.z. welke functionaliteit we nodig hebben).
2. Op welk platform zal dit allemaal werken?
3. Hoe gebruikers autoriseren
4. Hoe u gebruikers kunt scheiden.
5. Andere lekkernijen.
Antwoorden punt voor punt.
1. Vereist:
1.1 We hebben een proxyserver nodig die luistert lokale interface op specifieke haven en doet verzoeken aan 2 andere netwerkinterfaces die naar internet kijken.
1.2 Het is ook noodzakelijk om de belasting tussen twee providers te verdelen en verzoeken om te leiden naar de ene provider als de andere faalt.
1.3 NAT-ondersteuning is ook vereist om de mailserver te laten werken.
1.4 Gebruikersgroepen moeten uit AD worden gehaald en worden geverifieerd met het wachtwoord van hun accounts.
1.5 Mogelijkheid om een quotum aan de gebruiker toe te kennen op basis van het aantal ontvangen megabytes.
1.6 Flexibel HTTP- en FTP-beleid.
1.7 Statistieken webserver met voor gebruikers
2. Platform:
Als platform werd gekozen voor een virtuele machine op Xen Server.
De volgende opties werden beschouwd als een combinatie van besturingssysteem en proxy.
FreeBSD+inktvis+ipfw+Samba+SARG (FreeBSD + inktvis + ipfw + SAMBA + )
Windows+UserGate 5 (www.usergate.ru/)
Windows+Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
De keuze is gevallen op Windows+Kerio Winroute Firewall 6 (waarom Kerio vertel ik je in het volgende artikel)
3 Gebruikersautorisatie.
Er werd besloten om Active Directory als gebruikersdatabase te gebruiken en te autoriseren met een login en wachtwoord van AD.
4. Het quotasysteem is vereenvoudigd tot 4 groepen: 300 MB, 500 MB, unlim, ICQ + bedrijfssites.
Implementatie en bediening.
1. Omdat besloten werd om de proxyserver over te zetten naar de virtualisatieserver (wat besproken werd). Het was nodig om er 2 toe te voegen netwerkkaarten(voor internetverbinding). Hoe dit gebeurt, wordt beschreven.
2. Maak een VM en stop Windows XP. We maken alle noodzakelijke instellingen voor het besturingssysteem.
3. Stel het netwerk in. De eerste lokale interface ontvangt alle instellingen van DHCP (die op de domeincontroller draait)
De tweede interface wordt in het subnet 192,168,1,0 geplaatst
De derde interface wordt in het subnet 192,168,2,0 geplaatst
Er zijn modems op aangesloten.
We controleren de netwerkfunctionaliteit met de traceroute- en ping-opdrachten.
4. Installeer Kerio Winroute Firewall
5. En stel het in (we halen de documentatie van de Kerio-website).
Er is niets moeilijks aan de instellingen. Maar er zijn enkele valkuilen.
1. Bij het instellen van nat voor een mailserver, sturen we al het verkeer dat naar poort 110 en 25 gaat naar het IP-adres van de mailserver. Het probleem doet zich voor als een van de gebruikers mail op servers van derden (bijvoorbeeld mail.ru en google.ru) gebruikt e-mailclients. De oplossing voor dit probleem kan bestaan uit het gebruik van e-mail via de webinterface van deze sites, of het instellen van het doorsturen van e-mail van een site van derden naar een zakelijke mailserver.
2. Omdat er is belastingverdeling en fouttolerantie van 2 kanalen dan in het DNS-record van uw mail domein het is zinvol om enkele wijzigingen aan te brengen.
Bijvoorbeeld
je hebt een vermelding in DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
waarbij xxx.xxx.xxx.xxx het IP-adres is dat uw provider u heeft gegeven
nog een invoer maken
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
waarbij xxx.xxx.xxx.xxx het IP-adres is dat door de tweede provider aan u is verstrekt.
Met dergelijke DNS-records controleren mailforwardservers de beschikbaarheid van het eerste IP-adres en bezorgen ze, als dit niet beschikbaar is, brieven aan het tweede IP-adres.
3. Als u de poort en het adres van de proxyserver wijzigt, is het voldoende om de proxyserverinstellingen op te geven in groepsbeleid, zodat u niet op kantoor hoeft rond te rennen. Maar dit geldt voor die browsers die in hun instellingen de optie hebben Proxy-instellingen van het systeem overnemen. Als een gebruiker in Mozilla bijvoorbeeld handmatige instelling proxy, dan moet je er nog steeds naartoe. Hoewel... ik kan het niet met zekerheid zeggen omdat... alle gebruikers in mijn bedrijf gebruiken IE.
4. Kerio heeft één groot nadeel. Er is geen manier om een quotum aan een groep toe te wijzen. Er is een quotasjabloon voor alle gebruikers, of u moet handmatig een quotum voor elke gebruiker instellen.
Nou, dat lijkt het te zijn.
Nu bevindt de server zich in de overgangsmodus, d.w.z. we ontkoppelen clients van de oude en verbinden ze met de nieuwe. Tegenwoordig wordt Kerio door ongeveer 65 gebruikers gebruikt. Er werden geen andere bijzondere problemen opgemerkt dan die hierboven beschreven.
Dus dank u allen voor uw aandacht. Blijf erbij voor meer.
