Før du gjør noe med reglene, må du konfigurere nettverksgrensesnittene menneskelig, så hvem har ikke lest artikkelen RIKTIG DNS og n!!! , gjør det nå.
Alt nedenfor er testet på KWF 6.2.1, men det vil fungere på alle 6.xx versjoner, for de neste versjonene, hvis det er endringer, tror jeg ikke de er vesentlige.
Så, nettverksgrensesnittene er konfigurert, Kerio Winroute Firewall er installert, det første vi gjør er å gå til Konfigurasjon> Trafikkpolicy og kjøre veiviseren. Selv om du allerede har lansert det før. Vi gjør det riktig, ikke sant?
1. Alt er klart med det første og andre trinnet i veiviseren, på det tredje velger vi det eksterne nettverksgrensesnittet (Internettgrensesnitt, veiviseren definerer det nesten alltid riktig).
2.
Neste trinn fire, det viktigste.
Som standard tilbyr KWF alternativet "Tillat tilgang til alle tjenester (ingen begrensninger)", men! Vi står stadig overfor det faktum at slike KWF-regler håndterer mildt sagt merkelige problemer med tjenesten NOEN hele tiden.
Derfor velger vi det andre alternativet, Tillat bare tilgang til følgende tjenester... Det spiller ingen rolle at KWF kan tilby deg litt andre tjenester som du trenger, men alt dette kan legges til eller fjernes senere.
3. På det femte trinnet lager vi regler for VPN, de som ikke trenger dem kan fjerne jackdaws. Men igjen, du kan gjøre dette senere, hvis du ikke er sikker.
4.
Trinn 6 er også ganske viktig. Her lager vi regler for de tjenestene som må nås utenfra, fra Internett. Jeg anbefaler deg å legge til minst et par tjenester, da vil det være lettere for deg å se hvordan en slik regel er konstruert.
For eksempel:
KWF Admin-tjeneste på brannmur
RDP-tjeneste på 192.168.0.15
5.
Trinn sju, selvfølgelig slår vi på NAT, selv om de ikke trenger det (usannsynlig, selvfølgelig), kan du alltid slå det av.
I det åttende trinnet klikker du på Fullfør.
Det viser seg at vi har noe sånt som dette:
Små forklaringer for de som ikke vil lese manualen:
Regelen NAT- den inneholder faktisk de tjenestene som har tilgang til Internett fra klientmaskiner.
Og regelen Brannmurtrafikk- dette er regelen for bilen som KWF står på.
De små røde reglene nedenfor er for tilgang til tjenester med samme navn fra Internett.
I prinsippet kan du allerede jobbe, men du må konfigurere KWF litt, så videre:
6. Regelen Lokal trafikk vi beveger oss helt til toppen, fordi reglene behandles fra topp til bunn og siden lokaltrafikk vanligvis råder over resten, vil dette redusere belastningen på gatewayen slik at den ikke kjører pakker fra lokal trafikk gjennom hele regeltabellen.
7. I regelen Lokal trafikk Deaktiver Protocol Inspector, sett den til Ingen.
8. Vi fjerner unødvendige tjenester fra NAT- og brannmurtrafikkreglene, og legger til de nødvendige deretter. vel, for eksempel ICQ Jeg anbefaler deg å tenke gjennom hva du legger til og fjerner.
9. Noen ganger kreves det for noen tjenester en egen regel, fordi uforståelige feil begynner sammen med resten. Vel, det er lettere å spore hvordan det fungerer, selvfølgelig, ved å angi loggingen av denne regelen.
Noen få merknader:
10. Hvis du ønsker å kunne pinge eksterne adresser fra klientdatamaskiner, legg til tjenesten Ping inn i en NAT-regel.
11.
Hvis du ikke bruker VPN i det hele tatt, deaktiver VPN-serveren (Konfigurasjon> Grensesnitt> VPN-server, høyreklikk> Rediger> fjern merket for Aktiver VPN-server).
Du kan også deaktivere Kerio VPN-grensesnittet.
12. Hvis du bruker overordnet proxy, legg til den tilsvarende porten i brannmurtrafikkregelen (Hvis standardporten er 3128, kan du legge til HTTP-proxy-tjenesten). Og da må du fjerne minst HTTP- og HTTPS-tjenester fra NAT-regelen.
13. Hvis du trenger å gi tilgang til Internett til en gruppe brukere eller IP-adresser, så lag en regel som ligner på NAT, bare som kilde har den ikke det lokale grensesnittet, men din gruppe.
Nedenfor er et eksempel, mer eller mindre lik virkeligheten (min er naturlig, men ikke helt).
Eksempel.
Mål: å distribuere Internett til alle datamaskiner på nettverket ved hjelp av en ugjennomsiktig proxy, tillate ICQ og FTP til utvalgte grupper, og laste ned e-post via POP3 til alle. Forby å sende brev direkte til Internett, kun gjennom en posttjeneste. Gjør denne datamaskinen tilgjengelig fra Internett. Vel, ta hensyn til notatene selvfølgelig.
Her er reglene klare med en gang:
Korte forklaringer av reglene:
Lokal trafikk- helt til topps, mens de skulle.
NTP-trafikk- en regel for synkronisering av en tidsserver (192.168.0.100) med nøyaktige tidskilder på Internett.
ICQ Trafikk- en regel som lar brukergruppen "Tillat ICQ Group" bruke ICQ.
FTP-trafikk- en regel som lar brukergruppen "Tillat FTP-gruppe" laste ned filer fra FTP-servere.
NAT for alle- lite av NAT er igjen (vi går til Internett via en proxy), bare gratis post og ping av Internett er tillatt for alle nettverksbrukere.
Brannmurtrafikk- med dette er alt klart, tillatte tjenester for brannmuren. Vær oppmerksom på at SMTP-tjenesten er lagt til her (hvis utsendelsen ikke er på samme datamaskin som vinnerruten, må du lage en egen regel) og port 3128 for overordnet proxy.
Service Ping- regelen som trengs for å pinge serveren vår fra utsiden.
Fjernadmin- en regel for ekstern tilgang til KWF- og KMS-konsollen, til deres eget webgrensesnitt.
Tjeneste Kerio VPN- regel for tilgang fra utenfor Kerio VPN-klienter.
Tjeneste Vinn VPN- regelen for tilgang fra utenfor klientene til den opprinnelige Windows VPN
Tjeneste RDP- en regel for tilgang utenfra klientene til skrueterminalen (men bedre gjennom en VPN).
Vi tar for oss de tre vanligste tilfellene:
1.
Peer-to-peer-nettverk, uten domene, eller rettere sagt uten DNS-server, en egen maskin med Winroute installert brukes som en gateway til Internett;
2.
Et nettverk med et domene, DNS-serveren er plassert på en DC (domenekontroller), en egen maskin med Winroute installert brukes som en gateway til Internett;
3.
Et nettverk med et domene, DNS-serveren er på en DC, Winroute er også installert på denne DC.
Det tredje alternativet anbefales kategorisk ikke av sikkerhet og sunn fornuft, men dessverre brukes det ganske ofte i små nettverk der domenet allerede eksisterer, men det er ingen penger lenger. Vi vil uansett ikke vurdere dette alternativet, fordi det er innstillingene er ikke forskjellige fra det andre alternativet, bortsett fra at navnet og adressen til DNS-serveren er det samme som henholdsvis navnet og adressen til Winroute-datamaskinen.
I alle fall er det en datamaskin med to nettverkskort (ett internt - ser til det lokale nettverket, det andre eksternt - til Internett, henholdsvis), som spiller rollen som en gateway som vi vil få tilgang til Internett, og på som Kerio Winroute-brannmuren naturlig vil bli installert.
Ikke glem at adressene på disse nettverkskortene må være fra forskjellige undernett, dvs. som dette:
192.168. 0 .1/24
192.168. 1 .1/24
av en eller annen grunn kommer nybegynnere veldig ofte over dette, hvis de for eksempel har et ADSL-modem.
1. Sette opp DNS i et peer-to-peer-nettverk.
Innstillinger innvendig Nettverk:
192.168.0.1 - IP-adressen til datamaskinen med Winroute
255.255.255.0 - maske.
192.168.0.1 - som DNS-server, spesifiser IP-adressen til det samme nettverket
ip 80.237.0.99 - ekte IP
maske 255.255.255.240 - maske
gate 80.237.0.97 - gateway
dns 80.237.0.97 - leverandørens DNS
Men! Vi hamrer dem ikke blindt inn utvendig nettverk, men vi gjør det litt på vår egen måte:
IP 80.237.0.99
maske 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - som hoved-DNS-server, spesifiserer vi IP-adressen til det interne nettverket;
80.237.0.97 —angi leverandørens DNS-server som en alternativ DNS-server
Vi trykker Avansert... I DNS-fanen, fjern merket for Registrer denne tilkoblingens adresser i DNS, i WINS-fanen, fjern merket for Aktiver LMHOSTS-oppslag og sett Deaktiver NetBIOS over TCP/IP. Også, avkrysningsboks MÅ IKKE VÆRE hos Client for Microsoft Networks, Network Load Balancing, Fail og Printer Sharing Microsoft Networks.
Forresten, det er praktisk å gi nytt navn til det eksterne grensesnittet, ikke å kalle det Local Area Connection, men for eksempel Internett-grensesnitt.
Gå deretter til Kontrollpanel, Nettverkstilkoblinger, i dette vinduet (utforskervinduet), Avansert-menyen -> Avanserte alternativer. I fanen "Adaptere og bindinger" flytter du "Local Area Connection" til den øverste posisjonen:
På klientdatamaskinen vil innstillingene for nettverkskort være omtrent slik:
IP 192.168.0.2
maske 255.255.255.0
gate 192.168.0.1 -
dns 192.168.0.1 - som hoved-DNS-server, spesifiser IP-adressen til datamaskinen med Winroute
I Winroute, Configuration -> DNS Forwarder, merk av for "Aktiver DNS Forwarding", spesifiser leverandørens DNS-servere.
2. Et nettverk med et domene, DNS-serveren er plassert på en DC (domenekontroller), en egen maskin med Winroute installert brukes som en gateway til Internett
Innstillingene er ikke veldig forskjellige fra den forrige versjonen, i prinsippet er alt det samme, bare:
2.1 I forovergående DNS-oppslagssoner bør "."-sonen fjernes, hvis den finnes. Start deretter "DNS Server"-tjenesten på nytt.
2.2 På domenekontrolleren, i DNS-egenskapene, må du tillate videresending til IP-adressen til leverandørens DNS-server, i dette tilfellet 80.237.0.97 (og ikke glem å legge til en regel i trafikkpolicyen som lar kontrolleren kontakte leverandørens DNS-server):
2.3 Deaktiver DNS-videresending i Winroute (fjern avmerkingsboksen "Aktiver DNS-videresending"), siden vi allerede har den på DNS-serveren vår.
2.4
På domenekontrolleren i DNS må du opprette en sone for omvendt oppslag (de riktige administratorene har sannsynligvis opprettet den selv når DNS ble opphevet), siden uten den er det umulig å bestemme datamaskinnavnet med IP-adressen. Vi angir de tre første gruppene med sifre i IP-adressen vår som nettverkskode.
For å sjekke, gå til egenskapene til sonen og sørg for at det er vår DNS-server (eller servere, hvis det er flere) på fanen "Navneservere". Hvis det ikke er nok servere, legger vi dem til der. Det anbefales å gjøre dette ved å bruke "Anmeldelse". Alt. Det gjenstår å aktivere dynamisk oppdatering slik at klientmaskiner registrerer seg i denne sonen, selv om du kan klare deg uten dette.
2.5 Interne med Winroute:
ip 192.168.0.1 - IP-adressen til datamaskinen med Winroute
maske 255.255.255.0 - maske
dns 192.168.0.100 -
Vi spesifiserer IKKE gatewayen!
Eksterne nettverksinnstillinger:
IP 80.237.0.99
maske 255.255.255.240
gate 80.237.0.97 - som en gateway angir vi IP-adressen til gatewayen gitt av leverandøren
dns 192.168.0.100 - som hoved-DNS-server, spesifiser IP-adressen til den lokale DNS-serveren (DC)Vi spesifiserer ikke en alternativ DNS-server! Vi har den i forsendelsen.
2.6 Klientinnstillinger:
IP 192.168.0.2
maske 255.255.255.0
gate 192.168.0.1 - som en gateway angir vi IP-adressen til datamaskinen med Winroute
dns 192.168.0.100 - som hoved-DNS-server, spesifiser IP-adressen til den lokale DNS-serveren (DC)
2.7 For å sjekke klienten, kjør kommandoene:
nslookup (GateWayName)
nslookup (GateWayIP)
nslookup yandex.ru
nslookup 213.180.204.11
Hvis det, som et resultat av utførelsen av alle de ovennevnte kommandoene, ikke er noen feilmeldinger, fungerte alt for deg.
Rettelser og tillegg godtas.
BESKRIVELSE
Hovedoppgaven til en bedriftsbrannmur er å kontrollere innkommende og utgående nettverkstrafikk for samsvar med bedriftens sikkerhetspolicy.
Kerio WinRoute Firewall gir muligheten til å definere detaljerte tilgangsregler for å skanne all Internett-trafikk og bringe den i tråd med bedriftens sikkerhetspolicyer. Veiviseren for nettverksregler hjelper deg raskt å sette opp og konfigurere brannmuren.
Kerio WinRoute Firewall er en robust nettverksbrannmur som opererer på TDI / NDIS-lagene i operativsystemet. Innkommende og utgående trafikkanalyseteknologi bidrar til å sikre det høyeste sikkerhetsnivået for hele det lokale nettverket, så vel som for individuelle datamaskiner som opererer på nettverket.
funksjonalitet
Trafikkpolitikk
Sikkerhet Kerio WinRoute Firewall er basert på regler brukt på trafikk og lar deg konfigurere pakkefiltre, NAT (nettverksadresseoversettelse), portkartlegging og tilgangskontroll i en enkelt praktisk tabell.
Den innebygde konfigurasjonsveiviseren forenkler prosessen med å opprette og konfigurere de nødvendige nettverksreglene. Å sette opp en brannmur og koble til Internett tar bokstavelig talt minutter.
Inntrengingsforebyggende system
En forutsetning for ICSA Labs nettverksbrannmursertifisering er evnen til å gjenkjenne hackerangrep og inntrenging. Forsøk på alle slike handlinger blir registrert i sikkerhetsloggen.
Anti-spoofing
Anti-spoofing er en pakkefilterkomponent i Kerio WinRoute-brannmuren som gir et ekstra lag med beskyttelse for det lokale nettverket mot angrep der en hacker bruker kildens IP-adresse.
Brannmurlogger
En viktig funksjon for ethvert systemsikkerhetsprodukt er muligheten til å registrere hendelser i detalj.
Kerio WinRoute Firewall registrerer hendelser i flere forskjellige logger - feilmeldinger, feilsøkingshendelser, brukerinnstillinger, status, nettsurfing, portskanning, etc.
Logging kan aktiveres for alle reglene som er definert i trafikkregeltabellen. Dette gir administratoren full kontroll over tilkoblingene gjennom brannmuren.
Protokollkontroll
Denne funksjonen lar individuelle applikasjoner med sine egne protokoller (til å begynne med ikke krever brannmur) fungere trygt på lokale nettverk. Mange protokoller kan skannes, filtreres eller endres for å forbedre den generelle påliteligheten til brannmuren.
Kerio Winroute brannmur - VPN-server og klient
For alle moderne forretningsfolk, enten de reiser eller jobber hjemmefra, er en sikker tilkobling til bedriftsnettverket en forutsetning. Med Kerio WinRoute Firewall er det praktisk talt enkelt å sette opp en VPN. VPN-server og klienter er en del av Kerio WinRoute Firewas sikre fjerntilgangsfunksjoner.
Ved å bruke Kerio VPN kan brukere eksternt koble til ressurser på bedriftsnettverket, som filservere, databaseservere eller til og med skrivere, som vanligvis er skjult bak en brannmur og ikke kan brukes utenfor kontornettverket.
Kerio VPN-server
VPN-serveren innebygd i Kerio WinRoute Firewall-produktet lar deg organisere VPN-nettverk i to forskjellige scenarier:
VPN-klient-server (brukes av Kerio VPN Client for Windows)
VPN server server
Server-til-server-modus brukes av selskaper som ønsker å koble til via en sikker kanal til et eksternt kontor for å dele felles ressurser. Dette scenariet krever at Kerio WinRoute-brannmuren på hver av tilkoblingssidene etablerer en sikker kanal over det åpne Internett.
VPN klient-server
Klient-server-modus lar en ekstern bruker koble en bærbar eller konfigurert PC til bedriftsnettverket på en sikker måte.
Kerio VPN-klient
Kerio VPN Client er en liten applikasjon som kjører på siden av den tilkoblede PC-en. Fungerer på Windows 2000 og nyere.
Klientløs SSL VPN
Kerio WinRoute Firewall 6.1 inkluderer en ny tjeneste kalt Clientless SSL VPN som lar eksterne klienter få tilgang til delte filer på servere på et lokalt nettverk ved hjelp av en vanlig nettleser. I dette tilfellet kreves ingen spesiell klientprogramvareinstallasjon.
NAT-oversettelse
Som administratorer vet, fungerer ikke VPN og NAT (Network Address Translation) alltid sammen. Kerio VPN er designet for å fungere pålitelig gjennom NAT og til og med gjennom en rekke NAT-gatewayer.
Kerio VPN bruker industristandard krypteringsalgoritmer - SSL for kanalkontroll (TCP) og Blowfish for dataoverføring (UDP).
IPSec, Windows og tredjeparts VPN-er
I tilfeller hvor et selskap har en viss standard for bruk av VPN-produkter, inkluderer Kerio WinRoute Firewall støtte for IPSec- og PPTP-protokoller, som tillater bruk av ulike tredjepartsløsninger.
Det er også tillatt å bruke VPN-funksjonene innebygd i Windows, som lar deg bygge et VPN-nettverk med kun Microsoft Windows og Kerio WinRoute brannmurverktøy. Ingen tredjepartsprogramvare kreves. Kerio WinRoute Firewall støtter også RRAS-funksjonalitet som er tilgjengelig i serverutgaver av Microsoft Windows-operativsystemer.
Kerio Winroute Brannmur - Internet Virus Protection
Kerio WinRoute Firewall oppretter ekstra brannmur mot virus ved å skanne både inngående og utgående trafikk:
- - E-post (SMTP og POP3)
- - web (HTTP)
- - filoverføring (FTP)
For dette er det utviklet to lisensierte versjoner:
- 1. Kerio WinRoute-brannmur kombinert med McAfee Anti-Virus
- 2. Kerio WinRoute-brannmur med andre antivirusprogrammer
Fordelene med virusbrannmur
Antivirusbeskyttelse installert på det lokale nettverket gir fullstendig beskyttelse for all trafikk. Administratorer kan bruke de nyeste virus-"bildene" på gatewayen, noe som er mye mer produktivt enn å bruke antivirusprogramvare på hver datamaskin.
Virusbeskyttelse via e-post
Kerio WinRoute Firewall sjekker innkommende og utgående meldinger, samt alle vedlegg. Viruset som oppdages i meldingen er fjernet. Hvis det oppdages et virus i et vedlegg, slettes hele vedlegget, og et varsel legges til meldingen.
Beskytt nettverket ditt mot virus
Kerio WinRoute Firewall skanner all nettverkstrafikk, inkludert HTML-sider, for innebygde virus. Filer som lastes ned via HTTP og filer som overføres via FTP, skannes også for virus.
Partnerskap med McAfee, Inc
Kerio Technologies Inc. med McAfee, Inc. (Network Associates) har laget et antivirusprogramvareprodukt på tvers av plattformer for operativsystemene Windows, Linux og Mac OS X. Kerio WinRoute-brannmuren, kombinert med McAfee, kan motta oppdateringer med nye virus-"bilder" nesten hver time.
Kerio WinRoute-brannmur kombinert med McAfee Anti-Virus
Kerio WinRoute Firewall kombinert med McAfee Anti-Virus er en programvarepakke som gir fullstendig brannmurvirusbeskyttelse for hele nettverket ditt.
I dette tilfellet refererer antivirusinnstillingene kun til brannmuren. Installasjonen er enkel og konsekvent, den krever ingen ekstra innstillinger. Ved å kombinere programvareprodukter er alle elementene på serveren – virusbeskyttelse og brannmur – konsistente med hverandre.
McAfee AntiVirus er produsert av McAfee, Inc.
Kerio WinRoute-brannmur med annen antivirusprogramvare
Kerio WinRoute Firewall kan fungere sammen med noen antivirusprogramvareprodukter fra andre produsenter (se tabell 2): informasjon bedriftens proxy-server
tabell 2
|
AVG Server Edition |
||
|
eTrust Antivirus |
Datamedarbeidere |
|
|
Symantec |
||
|
Avast! for Kerio |
||
|
VisNetic AntiVirus |
ISS oransje nettfilter
En ekstra komponent i Kerio WinRoute-brannmurprogramvaren for beskyttelse mens du arbeider på Internett.
For organisasjoner og institusjoner som skoler som ikke ønsker at deres ansatte og kunder skal besøke bestemte Internett-sider, tilbyr Kerio WinRoute Firewall med innebygd ISS Orange Web Filter flere alternativer.
ISS Orange Web Filter tilbyr en liste med 58 kategorier av sider, som e-butikker, nyheter, pornografi, sport eller reiser, som kan blokkeres av Kerio WinRoute Firewall.
Pris
ISS Orange Web Filter selges som et tillegg til Kerio WinRoute-brannmuren.
Hvordan dette filteret fungerer
Kerio WinRoute-brannmurprogramvaren er enkel å bruke og ulike brukergrupper kan ha begrenset tilgang til ulike nettsteder.
Hver gang en bruker prøver å besøke et nettsted, sjekker Kerio WinRoute Firewall ISS Orange Web Filter-databasen for å se om denne siden er inkludert i en av kategoriene. Hvis den angis, blokkerer Kerio WinRoute Firewall automatisk tilgang til den. Du kan også advare brukeren om at administratoren vil vite om handlingene hans.
Full dekning
ISS Orange Web Filters database er en av de største, med over 4 milliarder sjekkede sider og 20 millioner nummererte og grupperte URL-er.
Hvis en bruker ber om en side som ikke er i hoveddatabasen, sendes URL-adressen til ISS, hvor den vises innen 24 timer.
ISS Orange Web Filter behandler sider på 15 språk.
Høy hastighet
Kerio WinRoute-brannmur med ISS Orange Web Filter cacher URL-er i lokal database. Hoveddatabasen inneholder kun URL-er som brukere ikke har tilgang til.
Hoveddatabasen er lagret på syv ISS-servere rundt om i verden for å gi raske svar.
Detaljert statistikk
Kerio WinRoute Firewall gir detaljert nettverkstrafikkstatistikk for hver bruker eller for hele organisasjonen. Administratoren kan bruke denne statistikken til å finne ut brukerens preferanser og bestemme strategien for bruk av nettverksressurser.
Kerio Winroute brannmur – brukertilgangskontroll
Hovedmålet med nettverkssikkerhet er å utvikle en strategi for Internett-tilgang. Kerio WinRoute Firewall lar administratorer ikke bare lage en generell trafikkstrategi, men også sette og bruke begrensninger for hver bruker.
brukeradministrasjon
I Kerio WinRoute Firewall kan begrepet "bruker" bety følgende:
- - Navn og passord for hver bruker
- - Brukergruppe
- - IP-adresse eller datamaskinnavn
- – Hele nettverket
Før du får tilgang til Internett, må hver bruker registrere seg med Kerio WinRoute-brannmuren.
Brukeradministrasjon med intern brukerdatabase
Brukerkontoer lagres enten i en separat intern brukerdatabase i Kerio WinRoute-brannmuren, eller, hvis nettverket er stort, på en ekstern Microsoft Active Directory-server. Du kan jobbe med disse to databasene samtidig.
Brukeradministrasjon med Active Directory
Som en del av Windows 2000 Server lar Active Directory administratorer sentralt administrere brukerkontoer og informasjon om nettverksressurser. Active Directory gir tilgang til brukerinformasjon fra én enkelt datamaskin.
Active Directory-støtte gir Kerio WinRoute Firewall sanntidstilgang til brukerdatabasen og lar deg installere en bruker på det lokale nettverket uten å lagre et passord. Dermed er det ikke nødvendig å synkronisere passord for hver bruker. Alle endringer i Microsoft Active Directory gjenspeiles automatisk i Kerio WinRoute-brannmuren.
Adgangskontroll
Administratoren kan sette forskjellige begrensninger på tilgangsrettigheter for hver bruker. Noen brukere kan for eksempel kun gå til interne sider, andre kan kun jobbe med e-post. Disse rettighetene er kun konfigurert i henhold til en spesifikk tidsplan, så de kan bare settes med bestemte intervaller.
Trafikkrestriksjoner
Noen brukere laster ned mange filer, hører på radio over Internett og sender hjemmevideoer til hverandre. Ofte, hvis en bruker tar opp for mye trafikk, påvirker dette kvaliteten på tilkoblingen til andre brukere.
For å berolige slike brukere kan administratoren sette begrensninger på bruken av trafikk. Det kan bli:
- - Begrensninger på opplastinger, nedlastinger eller begge deler.
- - Begrensning på trafikk per dag eller per måned
- - Enhver kombinasjon av første og andre poeng
Når grensen er nådd, vil Kerio WinRoute Firewall sende et e-postvarsel til brukeren og administratoren. Alternativt kan administratoren blokkere denne brukeren til slutten av dagen eller måneden.
Kerio Winroute brannmur - Administrasjon
Statistikk og rapportering (StaR)
StaR-modulen kan brukes til å vise ansattes internettbruk. Statistikk vises som grafer som viser trafikkbruk uten arbeidsflyt, ressursbegrensninger og andre problemer. Rapportene inneholder informasjon om hvor mye trafikk som ble brukt, de viktigste nettstedene som ble besøkt og, i kombinasjon med den valgfrie (IBM) ISS Orange Web Filter-modulen, prosentandelen av de mest besøkte ressursene etter kategori. StaR kan brukes eksternt gjennom en nettleser uten behov for autorisasjon i administrasjonskonsollen.
Fjernadministrasjon
Systemadministratoren konfigurerer programmet, administrerer brukerkontoer og sikkerhetspolicyer gjennom Kerio Administration Console. Den kan installeres på en datamaskin med en brannmur allerede installert, eller på en ekstern datamaskin koblet til Internett. Datautveksling mellom den eksterne konsollen og brannmursystemet utføres over en kryptert kanal.
E-postvarsler
Noen ganger kan ikke administratoren holde styr på alt som skjer med brannmursystemet. Kerio WinRoute Firewall hjelper til med å spore kritiske hendelser som nettverksfrakobling, overbelastning av brukertrafikk, virusdeteksjon eller lisensutløp.
Hver slik hendelse formidles til administrator på e-post, og han kan selv velge hvilke hendelser han skal varsles om.
Trafikkbruksstatistikk og graf
Nøyaktig og gjennomtenkt statistikk hjelper administratoren med å finne ut preferansene til brukere når de bruker Internett, finne kritiske elementer og problemer.
Kerio WinRoute Firewall genererer et detaljert histogram over trafikkbruk for hver bruker på nettverket. Administratoren kan velge perioden han ønsker å spore trafikkbruk for: 2 timer, 1 dag, 1 uke og 1 måned.
I tillegg viser Kerio WinRoute Firewall statistikk over den faktiske bruken av trafikk etter dens typer: HTTP, FTP, e-post, streaming multimedia protokoller, datautveksling direkte mellom datamaskiner eller proxyer.
Hvis du kjører ISS Orange Web Filter, viser Kerio WinRoute Firewall statistikk over besøk på Internett-sider for hver bruker og for hele organisasjonen.
Kjennetegn ved programmet
Metoder for Internett-tilkobling som brukes
Støtte for DSL, oppringt, ISDN, satellitt-internett, oppringt og trådløst Internett lar deg installere Kerio WinRoute-brannmur i nettverk av alle størrelser hvor som helst. Flere brukere kan bruke én tilkobling samtidig.
Mistet tilkobling
Hvis Kerio WinRoute-brannmuren oppdager et brudd i forbindelsen, bytter den automatisk til den ekstra. Enhver nettverks- eller modemadapter kan brukes til reservetilkoblingen.
NAT og proxy
Rask Internett-tilgang takket være to forskjellige teknologier: nettverksadresseoversettelse (NAT) og proxy-server.
En NAT-ruter gir Internett-tilgang til alle datamaskiner på det lokale nettverket og fungerer med nesten alle protokoller. Når du bruker NAT, kreves det ingen ekstra innstillinger på hver datamaskin.
Proxy-serveren brukes som en klientdatamaskin på en ekstern server. På grunn av kompleksiteten til denne teknologien, støttes bare noen få protokoller. Riktignok har den funksjoner som autentisering og brukertilgangskontroll.
DNS-videresendingsmekanisme
Den innebygde DNS-videresendingsmekanismen lager en DNS-spørring hver gang en bruker besøker et nettsted. Den sender denne forespørselen til den valgte DNS-serveren og lagrer de sist mottatte resultatene i en stund. Svaret på påfølgende forespørsler kommer umiddelbart.
DHCP-server
En DHCP-server tildeler IP-konfigurasjonsparametere til hver datamaskin på LAN, noe som gjør nettverksadministrasjon mye enklere.
HTTP proxy-bufferserver
H.323 og SIP
Kerio-protokollvalidatorer hjelper brannmurer med å fungere ordentlig med VoIP-telefoni eller videooverføring. Kerio WinRoute Firewall fungerer med VoIP-enheter som bruker H.323- eller SIP-protokoller koblet til et sikkert nettverk. Det vil si at det ikke er nødvendig å koble VoIP-utstyr til Internett.
Cisco SCCP
Hvis en bedrift ønsker å bruke VoIP-utstyr i et Cisco AVVID-miljø, brukes Cisco Skinny Client Control Protocol (SCCP) for å etablere en forbindelse mellom IP-telefonen og Cisco CallManager. Selvfølgelig må brannmurer gjenkjenne det og forstå informasjonen som overføres.
Kerio WinRoute Firewall gjenkjenner automatisk SCCP-protokollen og utfører nettverksadresseoversettelse mellom IP-telefonen og Cisco CallManager. Siden Kerio WinRoute Firewall utfører IP-adresseoversettelse dynamisk, trenger ikke administratoren manuelt konfigurere IP-adressen for hver IP-telefon.
UPnP-støtte
UPnP-standarden (Universal Plug and Play) som brukes i Windows gjør at forskjellige applikasjoner kan jobbe med hverandre uten ytterligere brannmurinnstillinger. Kerio WinRoute Firewall fungerer med UPnP-teknologi slik at applikasjoner som MSN Messenger kan kjøre problemfritt.
Minimum systemkrav
Kerio WinRoute brannmur
- 256 MB RAM
- 20 MB HDD for installasjon
Ekstra ledig plass for logger og cache
Minst 2 nettverksgrensesnitt (inkludert oppringt)
Windows 2000 / XP / 2003 / Vista
Kerio VPN-klient
- 128 MB RAM
- 5 MB HDD
Windows 2000 / XP / 2003 / Vista
Gjennomføringskostnad
Siden antallet datamaskiner i vår organisasjon er ca. 150, faller en lisens med 250 brukere inn under vårt valg. Kostnaden beregnes som følger: (grunnleggende for 5 brukere) + (i tillegg for 250 brukere). Euro til rubelkurs = 41,4
Kerio Control (eks. Kerio WinRoute-brannmur): 241,9 * 41,4 + 5605 * 41,4 = 10014,66 + 232047 = 242 061,66 r
Nettfiltrering er også nødvendig, spesielt siden i Trafic inspector er denne funksjonen inkludert i programvareprisen og ikke er uthevet som et eget alternativ.
Kerio Web Filter = 28 * 41,4 + 250 * 443 = 1159,2+ 10350 = 11509,2r
Totalt får vi: 11509,2 + = 242 061,66 = 253 570,86 rubler for 255 lisenser!
Hvordan konfigurere distribusjonen av Internett til brukere gjennom NAT i Kerio Winroute-brannmuren. Konfigurere NAT i Kerio Winroute brannmur.
Gitt - Server Windows 2003 Server EE, med installert og konfigurert Kerio Winroute Firewall 6.4.2.
Mål - Å frigi systemadministratoren til Internett, ikke gjennom en proxy, som alle andre, men gjennom NAT. Å kjøre counter og webmoney. Gå...
Først, la oss lage en ny regel i delen Trafikkpolitikk... Det vil bli kalt i begynnelsen Ny regel.
Deretter må du legge til en kilde. Det vil si datamaskinen til den som skal ha tilgang til Internett. I vårt tilfelle er dette systemadministratorens datamaskin. Jeg skrev DNS-navnet til datamaskinen i domenet - sysadmin.local... Du kan også skrive IP-adressen. Avhenger av situasjonen.
Etter å ha lagt til Kilde det er nødvendig å legge til og Mål... I vårt tilfelle er dette en nettverkstilkobling kalt Internett. Vi trykker Legg til -> Nettverksgrensesnitt og velg vår Internett-tilkobling fra listen.
Etter å ha lagt til disse parameterne i regelen vår. Vi, som det var, hint til datamaskinen at maskinen sysadmin.local har tilgang til en nettverkstilkobling Internett... Deretter må vi spesifisere typen tilkobling, porter og tjenester som han vil ha denne tilgangen gjennom.
I felt Service vi vil ikke legge til noe. Det er allerede mening Noen... Obo sier at tilgang er åpen for alle havner og tjenester.
I fanen Oversettelse standarden er tom. Vi er ikke interessert i dette, så klikk på det tomme feltet på fanen Oversettelse og vi ser et vindu (Rediger oversettelse) NAT-innstillinger foran deg.
Vi trenger bare å la brukeren gå online på alle porter. Derfor velger vi parameteren "Oversett til IP-adressen til utgående grensesnitt (typiske innstillinger)"... Med denne regelen forteller vi Kerio at all utgående trafikk fra brukeren må sendes direkte til Internett. Du kan velge hvilket som helst grensesnitt der pakkene skal oversettes, og IP-adressen. Men vi trenger det ikke nå.
Klikk OK og se regelen vår. Alt ser ut til å være ok, men det fungerer ikke :) Hvorfor?
Glemte å tillate regelen og klikk på knappen Søke om... For å aktivere regelen, klikk på det tomme feltet under fanen Handling og velg parameteren der Tillate.
Nå ser regelen vår slik ut:
Og det fungerer. Brukeren har NAT-utgående Internett-tilgang. Kan spille counter, warcraft og kjøre Webmoney.
Tilpasning Kerio VPN-server for å koble til individuelle VPN-klienter.
VPN-serveren brukes til å koble til de eksterne endene av VPN-tunneler og eksterne klienter ved hjelp av Kerio VPN-klient .VPN-server tilgjengelig på fanen Grensesnitt (Grensesnitt) i delen Innstillinger / Grensesnitt (Konfigurasjon / grensesnitt) som et eget grensesnitt.
Vi går inn i denne fanen og blant grensesnittene ser vi VPN-serveren vi ønsker. Ved å dobbeltklikke på VPN-servergrensesnittet åpnes en dialogboks som lar deg angi VPN-serverparametrene (du kan også velge grensesnittet og klikke Rediger eller velge Rediger fra kontekstmenyen).
I vinduet som åpnes, må du aktivere VPN-serveren (Aktiver VPN-server). Og spesifiser IP-adressen til nettet for VPN-klienter. I nettverket mitt har alle lokale brukere adresser som 192.168.100.xxx, og alle VPN-klienter er 192.168.101.xxx
Som standard (ved første oppstart etter installasjon) WinRoute velger automatisk et gratis undernett som skal brukes for VPN. Under normale omstendigheter er det ikke nødvendig å endre standardnettverket. Ha sørg for at undernettet til VPN-klientene ikke er i konflikt med det lokale undernettet!
På DNS-fanen må du spesifisere DNS-serverne som skal tilordnes VPN-klientene dine. Dette kan være nødvendig i et domenenett, hvor det kreves tilgang til datamaskiner med NS-navn.
Bruk spesifikke DNS-servere Dette alternativet lar deg spesifisere primære og sekundære DNS-servere for VPN-klienter. Hvis det lokale nettverket ikke bruker DNS-videresending og en annen DNS-server, bruk deretter dette alternativet.
Mine brukere bruker ikke NS-navn, så her la jeg alt uten unntak.
Jeg trenger heller ikke fanen Avansert, men vi skriver om det likevel.
Lytt på port - Porten der VPN-serveren aksepterer innkommende tilkoblinger (TCP- og UDP-protokoller brukes). Standardporten er 4090 (normalt er det ikke nødvendig å endre porten).
Merknader:
- Hvis VPN-serveren allerede kjører, vil forbindelsen med alle VPN-klienter automatisk kobles fra når porten endres.
- Hvis VPN-serveren ikke kan kjøre på den angitte porten (porten er i bruk av en annen tjeneste), klikker du på Bruk-knappen i feilloggen (se kapittelet Feillogg) vil følgende feilmelding vises: (4103: 10048) Socket error: Kan ikke binde socket for service til port 4090.
(5002) Kunne ikke starte tjenesten "VPN"
bundet til adresse 192.168.1.1.For å bekrefte at den angitte porten faktisk er ledig, sjekk feilloggen for slike oppføringer.
Egendefinerte ruter
I denne delen kan du definere andre nettverk som ruter skal etableres til gjennom VPN-tunnelen. Som standard er ruter definert til alle lokale subnett fra VPN-serversiden - se kapittelet Exchange Ruting Information).
Råd: bruk nettmaske 255.255.255.255 for å definere en rute til en spesifikk vert. Dette kan hjelpe for eksempel når du legger til en rute til en node i DMZ fra VPN-serversiden.
Den første regelen lar brukere fra Internett til VPN-serveren bruke Kerio VPN-protokollen (port 4090).
Det er her de tilkoblede brukerne vises. I innstillingene til brukerne selv kan du konfigurere om VPN-serveren skal utstede adresser til klienter, eller du kan tildele en spesifikk IP-adresse i nettverket til hver VPN-klient.
Det er alt. Hvis noe ikke er klart, vennligst gå hit.
Som en arv fra den forrige administratoren satt jeg igjen med et veldig vanskelig Internett-distribusjonssystem. UserGate 2.8 ble installert på Windows XP. Selve maskinen hadde 2 nettverksgrensesnitt (LAN og Internett). Alt dette snurret på et vanlig skrivebord. Den logiske strukturen til distribusjonen var også veldig interessant:
1. Alle brukere ble delt inn i grupper avhengig av trafikkkvoten (dvs. 100mb, 200mb, 300mb, kun ICQ osv.) Det var ca. 10 grupper.
2. Brukere ble autorisert av IP-adressen til datamaskinen (da selskapet hadde 20 datamaskiner i en arbeidsgruppe med statiske adresser, var alt fortsatt utholdelig, nå er det henholdsvis ca. 150 brukere, omtrent like mange datamaskiner).
Andre problemer oppsto over tid:
1. Antall brukere vokste.
2. Autorisasjon fra ip ga mange problemer. Det er svært vanskelig å spore brukerbevegelser, og brukertrafikken ble stående ubeskyttet.
3. Infrastrukturen til selskapet fra arbeidsgruppen ble overført til domenet.
4. Stabiliteten til leverandøren overlot mye å være ønsket. Derfor ble Internett koblet fra en annen leverandør.
5. Maskinvaren som proxyen kjørte på hadde ikke lang levetid.
Jeg har utarbeidet en plan for å bytte til en annen proxy-server.
La oss begynne. Planlegger
1. Det er nødvendig å bestemme hva vi ønsker (altså hvilken funksjonalitet vi trenger).
2. Hvilken plattform vil det hele fungere på.
3. Hvordan autorisere brukere
4. Hvordan skille brukere.
5. Andre godsaker.
Svarene punkt for punkt.
1. Det er nødvendig:
1.1 Vi trenger en proxy-server som lytter til det lokale grensesnittet på en bestemt port og sender forespørsler til 2 andre nettverksgrensesnitt som ser på Internett.
1.2 Det er også nødvendig å fordele belastningen mellom 2 tilbydere og omdirigere forespørsler til en tilbyder dersom den andre mislykkes.
1.3 NAT-støtte er også nødvendig for at e-postserveren skal fungere.
1.4 Brukergrupper bør komme fra AD og autentisere seg med passordet til sine kontoer.
1.5 Muligheten til å utstede en kvote til brukeren etter antall mottatte megabyte.
1.6 Fleksible HTTP- og FTP-policyer.
1.7 Webserverstatistikk for brukere
2. Plattform:
En virtuell maskin på Xen Server ble valgt som plattform.
Følgende alternativer ble betraktet som en pakke med OS + proxy.
FreeBSD + squid + ipfw + Samba + SARG (FreeBSD + squid + ipfw + SAMBA +)
Windows + UserGate 5 (www.usergate.ru/)
Windows + Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
Valget ble tatt på Windows + Kerio Winroute Firewall 6 (jeg vil fortelle deg hvorfor Kerio i neste artikkel)
3 Brukerautorisasjon.
Det ble besluttet å bruke Active Directory som en brukerdatabase og autorisere ved pålogging og passord fra AD.
4. Kvotesystemet er forenklet til 4 grupper - 300mb, 500mb, unlim, ICQ + bedriftssider.
Utplassering og drift.
1. Siden det ble besluttet å overføre proxy-serveren til virtualiseringsserveren (som ble beskrevet ovenfor). Det var nødvendig å legge til 2 nettverkskort (for internettforbindelse). Hvordan det gjøres er beskrevet.
2. Opprett VM og stopp Windows XP. Vi gjør alle nødvendige innstillinger for OS.
3. Konfigurere nettverket. Det første lokale grensesnittet mottar alle innstillinger fra DHCP (som kjører på en domenekontroller)
Vi flytter det andre grensesnittet til undernettet 192,168,1,0
Vi flytter det tredje grensesnittet til undernettet 192,168,2,0
Modemer er koblet til dem.
Vi sjekker nettverksytelsen med traceroute- og ping-kommandoene.
4. Installer Kerio Winroute brannmur
5. Og konfigurer den (vi tar dokumentasjonen fra kerio-nettstedet).
Det er ikke noe vanskelig i innstillingene. Men det er noen fallgruver.
1. Når du setter opp nat for e-postserveren, pakker vi all trafikk som går til port 110 og 25 til ip-adressen til e-postserveren. Problemet oppstår hvis en av brukerne bruker e-post på tredjepartsservere (for eksempel mail.ru og google.ru) gjennom e-postklienter. Løsningen på dette problemet kan enten være å bruke e-post via nettgrensesnittet til disse nettstedene, eller sette opp videresending av e-post fra en tredjepartsside til en bedriftspostserver.
2. Fordi det er lastfordeling og feiltoleranse for 2 kanaler, da er det fornuftig å gjøre noen endringer i DNS-posten til e-postdomenet ditt.
for eksempel
du har en oppføring i DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
hvor xxx.xxx.xxx.xxx er IP-adressen du har fått av leverandøren
foreta en ny oppføring
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
hvor xxx.xxx.xxx.xxx er IP-adressen du har fått av den andre leverandøren.
Med slike DNS-poster vil postvideresendingsserveren sjekke tilgjengeligheten til den første ip-en og, hvis den ikke er tilgjengelig, levere brev til den andre ip-adressen.
3. Hvis du endrer porten og adressen til proxy-serveren, så for ikke å løpe rundt på kontoret, er det nok å spesifisere proxy-serverinnstillingene i gruppepolicyer som vil bli brukt automatisk. Men dette gjelder de nettleserne som har alternativet Ta proxy-innstillinger fra systemet i sine innstillinger. Hvis for eksempel en bruker i Mozilla har en manuell proxy-innstilling, så må du fortsatt gå til ham. Selv om ... jeg kan ikke si sikkert. alle brukere i firmaet mitt bruker IE.
4. Kerio har én stor ulempe. Det er ingen måte å tildele en kvote til en gruppe. Det er en kvotemal for alle brukere, eller du må sette en kvote manuelt for hver bruker.
Vel, alt ser ut til å være det.
Serveren er nå i overgangsmodus, dvs. vi kobler klienter fra den gamle og kobler dem til den nye. I dag brukes Kerio av ca. 65 brukere. Det var ingen spesielle problemer utover de som er beskrevet ovenfor.
Så takk alle sammen for oppmerksomheten. Vent på fortsettelsen.
