Innan du gör något med reglerna måste du konfigurera nätverksgränssnitten mänskligt, så vem har inte läst artikeln KORREKT DNS och nätverksgränssnittsinställningar !!! , gör det nu.
Allt nedan har testats på KWF 6.2.1, men det kommer att fungera på alla 6.xx versioner, för de kommande versionerna, om det blir ändringar så tror jag inte att de är signifikanta.
Så, nätverksgränssnitten är konfigurerade, Kerio Winroute Firewall är installerad, det första vi gör är att gå till Konfiguration> Trafikpolicy och köra guiden. Även om du redan har lanserat det tidigare. Vi gör det rätt, eller hur?
1. Allt är klart med det första och andra steget i guiden, på det tredje väljer vi det externa nätverksgränssnittet (Internet Interface, guiden definierar det nästan alltid korrekt).
2.
Nästa steg fyra, det viktigaste.
Som standard erbjuder KWF alternativet "Tillåt åtkomst till alla tjänster (inga begränsningar)", men! Vi står ständigt inför det faktum att sådana KWF-regler hanterar, milt uttryckt, konstiga, problem med tjänsten NÅGRA hela tiden.
Därför väljer vi det andra alternativet, Tillåt endast åtkomst till följande tjänster... Det spelar ingen roll att KWF kan erbjuda dig lite olika tjänster som du behöver, men allt detta kan läggas till eller tas bort senare.
3. I det femte steget skapar vi regler för VPN, de som inte behöver dem kan ta bort kavarna. Men igen, du kan göra detta senare, om du inte är säker.
4.
Steg 6 är också ganska viktigt. Här skapar vi regler för de tjänster som måste nås utifrån, från Internet. Jag råder dig att lägga till åtminstone ett par tjänster, då blir det lättare för dig att se hur en sådan regel är uppbyggd.
Till exempel:
KWF Admin-tjänst på brandvägg
RDP-tjänst på 192.168.0.15
5.
Steg sju, naturligtvis slår vi på NAT, även om den inte behöver det (osannolikt, naturligtvis), du kan alltid stänga av det.
I det åttonde steget klickar du på Slutför.
Det visar sig att vi har något sånt här:
Små förklaringar för den som inte vill läsa manualen:
Regeln NAT- den innehåller faktiskt de tjänster som tillåts komma åt Internet från klientdatorer.
Och regeln Brandväggstrafik- detta är regeln för bilen som KWF står på.
De små röda reglerna nedan är för åtkomst av tjänster med samma namn från Internet.
I princip kan du redan arbeta, men du måste konfigurera KWF lite, så vidare:
6. Regeln Lokal trafik vi flyttar oss till toppen, eftersom reglerna bearbetas uppifrån och ner och eftersom lokal trafik vanligtvis råder över resten kommer detta att minska belastningen på gatewayen så att den inte driver paket från lokal trafik genom hela regeltabellen.
7. I regeln Lokal trafik Inaktivera Protocol Inspector, ställ in den på Ingen.
8. Vi tar bort onödiga tjänster från NAT- och brandväggstrafikreglerna och lägger till de nödvändiga i enlighet med detta. ja, till exempel ICQ Jag råder dig att tänka på vad du lägger till och tar bort.
9. Ibland krävs en separat regel för vissa tjänster, eftersom obegripliga fel börjar tillsammans med resten. Jo, det är lättare att spåra hur det fungerar, naturligtvis, genom att ställa in loggningen av denna regel.
Några anteckningar:
10. Om du vill kunna pinga externa adresser från klientdatorer, lägg sedan till tjänsten Ping till en NAT-regel.
11.
Om du inte använder VPN alls, inaktivera VPN-servern (Konfiguration> Gränssnitt> VPN-server, högerklicka> Redigera> avmarkera Aktivera VPN-server).
Du kan också inaktivera Kerio VPN-gränssnittet.
12. Om du använder överordnad proxy, lägg till motsvarande port till brandväggstrafikregeln (om standardporten är 3128 kan du lägga till HTTP-proxytjänsten). Och då måste du ta bort åtminstone HTTP- och HTTPS-tjänster från NAT-regeln.
13. Om du behöver ge åtkomst till Internet till en grupp användare eller IP-adresser, skapa en regel som liknar NAT, bara som en källa har den inte det lokala gränssnittet, utan din grupp.
Nedan är ett exempel, mer eller mindre likt verkligheten (min är naturlig, men inte riktigt).
Exempel.
Mål: att distribuera Internet till alla datorer i nätverket med hjälp av en ogenomskinlig proxy, tillåta ICQ och FTP till utvalda grupper och ladda ner e-post via POP3 till alla. Förbjud att skicka brev direkt till Internet, endast via en posttjänst. Gör den här datorn tillgänglig från Internet. Tja, ta hänsyn till anteckningarna såklart.
Här är reglerna klara på en gång:
Korta förklaringar av reglerna:
Lokal trafik- till toppen, när de skulle.
NTP-trafik- en regel för att synkronisera en tidsserver (192.168.0.100) med exakta tidskällor på Internet.
ICQ Trafik- en regel som tillåter användargruppen "Tillåt ICQ Group" att använda ICQ.
FTP-trafik- en regel som tillåter användargruppen "Tillåt FTP-grupp" att ladda ner filer från FTP-servrar.
NAT för alla- lite av NAT finns kvar (vi går till Internet via en proxy), endast gratis post och ping av Internet är tillåtna för alla nätverksanvändare.
Brandväggstrafik- med detta är allt klart, tillåtna tjänster för brandväggen. Observera att SMTP-tjänsten har lagts till här (om utskicket inte finns på samma dator som winrouten måste du göra en separat regel) och port 3128 för den överordnade proxyn.
Service Ping- regeln som behövs för att pinga vår server från utsidan.
Fjärradministratör- en regel för extern åtkomst till KWF- och KMS-konsolen, till deras eget webbgränssnitt.
Tjänst Kerio VPN- regel för åtkomst från externa Kerio VPN-klienter.
Service Win VPN- regeln för åtkomst från externa klienter för den inbyggda Windows VPN
Service RDP- en regel för åtkomst utifrån klienterna till skruvterminalen (men bättre via en VPN).
Vi överväger de tre vanligaste fallen:
1.
Peer-to-peer-nätverk, utan en domän, eller snarare utan en DNS-server, en separat maskin med Winroute installerad används som en gateway till Internet;
2.
Ett nätverk med en domän, DNS-servern ligger på en DC (domänkontrollant), en separat maskin med Winroute installerad används som en gateway till Internet;
3.
Ett nätverk med en domän, DNS-servern är på en DC, Winroute är också installerad på denna DC.
Det tredje alternativet rekommenderas kategoriskt inte av säkerhetsskäl och sunt förnuft, men tyvärr används det ganska ofta i små nätverk där domänen redan finns, men det finns inga pengar längre. Vi kommer i alla fall inte att överväga det här alternativet, eftersom dess inställningarna skiljer sig inte från det andra alternativet, förutom att namnet och adressen till DNS-servern är samma som namnet och adressen till Winroute-datorn.
I vilket fall som helst finns det en dator med två nätverkskort (ett internt - ser till det lokala nätverket, det andra externt - mot Internet, respektive), som spelar rollen som en gateway genom vilken vi kommer åt Internet, och på som Kerio Winroute-brandväggen naturligtvis kommer att installeras.
Glöm inte att adresserna på dessa nätverkskort måste vara från olika subnät, d.v.s. så här:
192.168. 0 .1/24
192.168. 1 .1/24
av någon anledning stöter nybörjare väldigt ofta på detta, om de till exempel har ett ADSL-modem.
1. Konfigurera DNS i ett peer-to-peer-nätverk.
inställningar inre nätverk:
192.168.0.1 - IP-adress för datorn med Winroute
255.255.255.0 - mask.
192.168.0.1 - som DNS-server, ange IP-adressen för samma nätverk
ip 80.237.0.99 - riktig IP
mask 255.255.255.240 - mask
gate 80.237.0.97 - gateway
dns 80.237.0.97 - leverantörens DNS
Men! Vi hamrar inte blint i dem extern nätverk, men vi gör det lite på vårt eget sätt:
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - som huvud DNS-server anger vi IP-adressen för det interna nätverket;
80.237.0.97 —ange leverantörens DNS-server som en alternativ DNS-server
Vi trycker på Avancerad... På fliken DNS, avmarkera Registrera den här anslutningens adresser i DNS, på fliken WINS, avmarkera Aktivera LMHOSTS-sökning och ställ in Inaktivera NetBIOS över TCP/IP. Även kryssrutan MÅSTE INTE VARA hos Client for Microsoft Networks, Network Load Balancing, Fail och Printer Sharing Microsoft Networks.
Förresten, det är bekvämt att byta namn på det externa gränssnittet, inte att namnge det Local Area Connection, utan till exempel Internet Interface.
Gå sedan till Kontrollpanelen, Nätverksanslutningar, i det här fönstret (utforskarfönstret), menyn Avancerat -> Avancerade alternativ. På fliken "Adaptrar och bindningar", flytta "Local Area Connection" till den översta positionen:
På klientdatorn blir nätverkskortets inställningar ungefär så här:
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 -
dns 192.168.0.1 - som huvud-DNS-server, ange IP-adressen för datorn med Winroute
I Winroute, Konfiguration -> DNS Forwarder, markera kryssrutan "Aktivera DNS Forwarding", ange leverantörens DNS-servrar.
2. Ett nätverk med en domän, DNS-servern är placerad på en DC (domänkontrollant), en separat maskin med Winroute installerad används som en gateway till Internet
Inställningarna skiljer sig inte särskilt mycket från den tidigare versionen, i princip är allt sig likt, bara:
2.1 I framåtriktade DNS-sökningszoner bör "."-zonen tas bort, om den finns. Starta sedan om tjänsten "DNS Server".
2.2 På domänkontrollanten, i DNS-egenskaperna, måste du tillåta vidarebefordran till IP-adressen för leverantörens DNS-server, i det här fallet 80.237.0.97 (och glöm inte att lägga till en regel i trafikpolicyn som tillåter kontrollanten att kontakta leverantörens DNS-server):
2.3 Inaktivera DNS Forwarder i Winroute (ta bort kryssrutan "Enable DNS Forwarder"), eftersom vi redan har den på vår DNS-server.
2.4
På domänkontrollanten i DNS måste du skapa en omvänd sökningszon (rätt administratörer skapade den troligen även när DNS höjdes), eftersom utan den är det omöjligt att bestämma datornamnet med IP-adressen. Vi anger de tre första siffrorna i vår IP-adress som nätverkskod.
För att kontrollera, gå till egenskaperna för zonen och se till att det finns vår DNS-server (eller servrar, om det finns flera) på fliken "Namnservrar". Om det inte finns tillräckligt med servrar lägger vi till dem där. Det är tillrådligt att göra detta med hjälp av "Recension". Allt. Det återstår att aktivera dynamisk uppdatering så att klientdatorer registrerar sig i denna zon, även om du kan klara dig utan detta.
2.5 Interna nätverksdatorinställningar med Winroute:
ip 192.168.0.1 - IP-adress till datorn med Winroute
mask 255.255.255.0 - mask
dns 192.168.0.100 -
Vi specificerar INTE gatewayen!
Externa nätverksinställningar:
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97 - som en gateway anger vi IP-adressen för gatewayen som ges av leverantören
dns 192.168.0.100 - som huvud-DNS-server, ange IP-adressen för den lokala DNS-servern (DC)Vi anger ingen alternativ DNS-server! Vi har den i leveransen.
2.6 Klientinställningar:
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - som en gateway, ange IP-adressen för datorn med Winroute
dns 192.168.0.100 - som huvud-DNS-server, ange IP-adressen för den lokala DNS-servern (DC)
2.7 För att kontrollera klienten, kör kommandona:
nslookup (GateWayName)
nslookup (GateWayIP)
nslookup yandex.ru
nslookup 213.180.204.11
Om det inte finns några felmeddelanden som ett resultat av utförandet av alla ovanstående kommandon, så löste sig allt för dig.
Rättelser och tillägg accepteras.
BESKRIVNING
Huvuduppgiften för en företagsbrandvägg är att kontrollera inkommande och utgående nätverkstrafik för att följa företagets säkerhetspolicy.
Kerio WinRoute Firewall ger möjlighet att definiera granulära åtkomstregler för att skanna all Internettrafik och anpassa den till företagets säkerhetspolicyer. Nätverksreglerguiden hjälper dig att snabbt konfigurera och konfigurera din brandvägg.
Kerio WinRoute Firewall är en robust nätverksbrandvägg som arbetar på TDI / NDIS-lagren i operativsystemet. Teknik för analys av inkommande och utgående trafik hjälper till att säkerställa högsta säkerhetsnivå för hela det lokala nätverket, såväl som för enskilda datorer som arbetar på nätverket.
funktionalitet
Trafikpolitik
Säkerhet Kerio WinRoute Firewall är baserad på regler som tillämpas på trafik och låter dig konfigurera paketfilter, NAT (nätverksadressöversättning), portmappning och åtkomstkontroll i en enda bekväm tabell.
Den inbyggda konfigurationsguiden förenklar processen att skapa och konfigurera nödvändiga nätverksregler. Att installera en brandvägg och ansluta till Internet tar bokstavligen minuter.
Inbrottsskyddssystem
En förutsättning för ICSA Labs nätverksbrandväggscertifiering är förmågan att känna igen hackerattacker och intrång. Försök till alla sådana åtgärder registreras i säkerhetsloggen.
Anti-spoofing
Anti-spoofing är en paketfilterkomponent i Kerio WinRoute-brandväggen som ger ett extra skyddslager för det lokala nätverket mot attacker där en hackare använder käll-IP-adressen.
Brandväggsloggar
En viktig funktion för alla systemsäkerhetsprodukter är förmågan att registrera händelser i detalj.
Kerio WinRoute Firewall registrerar händelser i flera olika loggar - felmeddelanden, felsökningshändelser, användarinställningar, status, webbsurfning, portskanningar, etc.
Loggning kan aktiveras för alla regler som definieras i trafikreglertabellen. Detta ger administratören full kontroll över anslutningarna genom brandväggen.
Protokollkontroll
Den här funktionen gör att individuella applikationer med sina egna protokoll (som initialt inte kräver en brandvägg) kan arbeta säkert på lokala nätverk. Många protokoll kan skannas, filtreras eller modifieras för att förbättra brandväggens övergripande tillförlitlighet.
Kerio Winroute Firewall - VPN-server och klient
För alla moderna affärsmän, oavsett om de reser eller arbetar hemifrån, är en säker anslutning till företagsnätverket en förutsättning. Med Kerio WinRoute Firewall är det praktiskt taget enkelt att konfigurera ett VPN. VPN-server och klienter är en del av Kerio WinRoute Firewas säkra fjärråtkomstfunktioner.
Genom att använda Kerio VPN kan användare fjärransluta till resurser på företagets nätverk, såsom filservrar, databasservrar eller till och med skrivare, som vanligtvis är gömda bakom en brandvägg och inte kan användas utanför kontorsnätverket.
Kerio VPN-server
VPN-servern inbyggd i Kerio WinRoute Firewall-produkten låter dig organisera VPN-nätverk i två olika scenarier:
VPN-klient-server (används av Kerio VPN Client för Windows)
VPN-serverserver
Server-till-server-läge används av företag som vill ansluta via en säker kanal till ett fjärrkontor för att dela gemensamma resurser. Detta scenario kräver att Kerio WinRoute-brandväggen på var och en av de anslutande sidorna upprättar en säker kanal över det öppna Internet.
VPN klient-server
Klient-server-läge tillåter en fjärranvändare att säkert ansluta en bärbar dator eller konfigurerad PC till företagets nätverk.
Kerio VPN-klient
Kerio VPN Client är en liten applikation som körs på sidan av den anslutna datorn. Fungerar på Windows 2000 och senare.
Klientlös SSL VPN
Kerio WinRoute Firewall 6.1 innehåller en ny tjänst som heter Clientless SSL VPN som tillåter fjärrklienter att komma åt delade filer på servrar på ett lokalt nätverk med hjälp av en vanlig webbläsare. I det här fallet krävs ingen speciell klientprogramvaruinstallation.
NAT översättning
Som administratörer vet fungerar inte VPN och NAT (Network Address Translation) alltid tillsammans. Kerio VPN är designad för att fungera tillförlitligt genom NAT och även genom en rad NAT-gateways.
Kerio VPN använder indus- SSL för kanalkontroll (TCP) och Blowfish för dataöverföring (UDP).
IPSec, Windows och tredjeparts VPN
I de fall ett företag har en viss standard för användning av VPN-produkter inkluderar Kerio WinRoute Firewall stöd för IPSec- och PPTP-protokoll, vilket möjliggör användning av olika tredjepartslösningar.
Det är också tillåtet att använda VPN-funktionerna inbyggda i Windows, vilket gör att du kan bygga ett VPN-nätverk med endast Microsoft Windows och Kerio WinRoute-brandväggsverktyg. Ingen programvara från tredje part krävs. Kerio WinRoute Firewall stöder även RRAS-funktioner som är tillgängliga i serverutgåvor av Microsoft Windows-operativsystem.
Kerio Winroute Firewall - Internet Virus Protection
Kerio WinRoute Firewall skapar ytterligare brandvägg mot virus genom att skanna både inkommande och utgående trafik:
- - E-post (SMTP och POP3)
- - webb (HTTP)
- - filöverföring (FTP)
För detta har två licensierade versioner utvecklats:
- 1. Kerio WinRoute Firewall kombinerat med McAfee Anti-Virus
- 2. Kerio WinRoute Firewall med andra antivirusprogram
Fördelarna med virusbrandvägg
Antivirusskydd installerat på det lokala nätverket ger fullständigt skydd för all trafik. Administratörer kan använda de senaste "virusbilderna" på gatewayen, vilket är mycket mer produktivt än att använda antivirusprogram på varje dator.
Virusskydd via e-post
Kerio WinRoute Firewall kontrollerar inkommande och utgående meddelanden, samt alla bilagor. Viruset som upptäckts i meddelandet tas bort. Om ett virus upptäcks i en bilaga raderas hela bilagan och ett meddelande läggs till i meddelandet.
Skydda ditt nätverk från virus
Kerio WinRoute Firewall skannar all nätverkstrafik, inklusive HTML-sidor, efter inbäddade virus. Filer som laddas ner via HTTP och filer som överförs via FTP skannas också efter virus.
Partnerskap med McAfee, Inc
Kerio Technologies Inc. med McAfee, Inc. (Network Associates) har skapat en plattformsoberoende antivirusprogramvara för operativsystemen Windows, Linux och Mac OS X. Kerio WinRoute-brandväggen, i kombination med McAfee, kan ta emot uppdateringar med nya virus-"bilder" nästan varje timme.
Kerio WinRoute Firewall kombinerat med McAfee Anti-Virus
Kerio WinRoute Firewall kombinerat med McAfee Anti-Virus är en mjukvarusvit som ger komplett brandväggsvirusskydd för hela ditt nätverk.
I det här fallet hänvisar antivirusinställningarna endast till brandväggen. Installationen är enkel och konsekvent, den kräver inga ytterligare inställningar. Genom att kombinera mjukvaruprodukter överensstämmer alla delar av servern - virusskydd och brandvägg - med varandra.
McAfee AntiVirus tillverkas av McAfee, Inc.
Kerio WinRoute Firewall med andra antivirusprogram
Kerio WinRoute Firewall kan fungera tillsammans med vissa antivirusprogram från andra tillverkare (se tabell 2): information företags proxyserver
Tabell 2
|
AVG Server Edition |
||
|
eTrust Antivirus |
Datorkollegor |
|
|
Symantec |
||
|
Avast! för Kerio |
||
|
VisNetic AntiVirus |
ISS Orange webbfilter
En ytterligare komponent i Kerio WinRoute Firewall-programvaran för skydd när du arbetar på Internet.
För organisationer och institutioner som skolor som inte vill att deras anställda och kunder ska besöka vissa internetsidor erbjuder Kerio WinRoute Firewall med inbyggt ISS Orange Web Filter ytterligare alternativ.
ISS Orange Web Filter erbjuder en lista med 58 kategorier av sidor, såsom e-butiker, nyheter, pornografi, sport eller resor, som kan blockeras av Kerio WinRoute Firewall.
Pris
ISS Orange Web Filter säljs som ett tillägg till Kerio WinRoute-brandväggen.
Hur detta filter fungerar
Kerio WinRoutes brandväggsprogram är lätt att använda och olika användargrupper kan ha begränsad tillgång till olika webbplatser.
Varje gång en användare försöker besöka en webbplats kontrollerar Kerio WinRoute Firewall databasen ISS Orange Web Filter för att se om den här sidan ingår i någon av kategorierna. Om den anges blockerar Kerio WinRoute Firewall automatiskt åtkomst till den. Du kan också varna användaren att administratören kommer att veta om hans handlingar.
Full täckning
ISS Orange Web Filters databas är en av de största, med över 4 miljarder kontrollerade sidor och 20 miljoner numrerade och grupperade webbadresser.
Om en användare begär en sida som inte finns i huvuddatabasen skickas dess URL till ISS, där den visas inom 24 timmar.
ISS Orange Web Filter bearbetar sidor på 15 språk.
Hög hastighet
Kerio WinRoute-brandvägg med ISS Orange webbfilter cachar webbadresser i lokal databas. Huvuddatabasen innehåller endast URL:er som användare inte har tillgång till.
Huvuddatabasen lagras på sju ISS-servrar runt om i världen för att ge snabba svar.
Detaljerad statistik
Kerio WinRoute Firewall tillhandahåller detaljerad nätverkstrafikstatistik för varje användare eller för hela organisationen. Administratören kan använda denna statistik för att ta reda på användarens preferenser och bestämma strategin för att använda nätverksresurser.
Kerio Winroute Firewall - Användaråtkomstkontroll
Huvudmålet med nätverkssäkerhet är att utveckla en strategi för internetåtkomst. Kerio WinRoute Firewall tillåter administratörer att inte bara skapa en allmän trafikstrategi, utan också att ställa in och tillämpa begränsningar för varje användare.
Användarhantering
I Kerio WinRoute Firewall kan termen "användare" betyda följande:
- - Namn och lösenord för varje användare
- - Användargrupp
- - IP-adress eller datornamn
- – Hela nätverket
Innan de ansluter till Internet måste varje användare registrera sig hos Kerio WinRoute-brandväggen.
Användarhantering med en intern användardatabas
Användarkonton lagras antingen i en separat intern användardatabas i Kerio WinRoute-brandväggen eller, om nätverket är stort, på en fjärrstyrd Microsoft Active Directory-server. Du kan arbeta med dessa två databaser samtidigt.
Användarhantering med Active Directory
Som en del av Windows 2000 Server tillåter Active Directory administratörer att centralt hantera användarkonton och information om nätverksresurser. Active Directory ger åtkomst till användarinformation från en enda dator.
Active Directory-stöd ger Kerio WinRoute-brandväggen realtidsåtkomst till användardatabasen och låter dig installera en användare på det lokala nätverket utan att spara ett lösenord. Det finns alltså inget behov av att synkronisera lösenord för varje användare. Alla ändringar i Microsoft Active Directory återspeglas automatiskt i Kerio WinRoute-brandväggen.
Åtkomstkontroll
Administratören kan ställa in olika begränsningar för åtkomsträttigheter för varje användare. Vissa användare kan till exempel bara gå till interna sidor, andra kan bara arbeta med e-post. Dessa rättigheter konfigureras endast enligt ett specifikt schema, så de kan endast ställas in med specifika intervall.
Trafikrestriktioner
Vissa användare laddar ner många filer, lyssnar på radio över Internet och skickar hemvideor till varandra. Ofta, om en användare tar upp för mycket trafik, påverkar detta kvaliteten på andra användares anslutning.
För att lugna sådana användare kan administratören sätta begränsningar för användningen av trafik. Det kan vara:
- - Begränsningar för uppladdningar, nedladdningar eller båda.
- - Begränsning av trafik per dag eller månad
- - Vilken kombination av första och andra poängen
När gränsen är nådd kommer Kerio WinRoute Firewall att skicka ett e-postmeddelande till användaren och administratören. Alternativt kan administratören blockera denna användare till slutet av dagen eller månaden.
Kerio Winroute Firewall - Administration
Statistik och rapportering (StaR)
StaR-modulen kan användas för att visa anställdas internetanvändning. Statistik visas som diagram som visar trafikanvändning som inte är i arbetsflöden, resursbegränsningar och andra problem. Rapporterna innehåller information om hur mycket trafik som användes, de viktigaste webbplatserna som besöktes och, i kombination med den valfria (IBM) ISS Orange Web Filter-modulen, procentandelen av de mest besökta resurserna per kategori. StaR kan användas på distans via en webbläsare utan behov av auktorisering i administrationskonsolen.
Fjärradministration
Systemadministratören konfigurerar programmet, hanterar användarkonton och säkerhetspolicyer via Kerios administrationskonsol. Det kan installeras på en dator med en brandvägg redan installerad, eller på en fjärrdator som är ansluten till Internet. Datautbyte mellan fjärrkonsolen och brandväggssystemet utförs över en krypterad kanal.
E-postmeddelanden
Ibland kan administratören inte hålla reda på allt som händer med brandväggssystemet. Kerio WinRoute-brandväggen hjälper till att spåra kritiska händelser som nätverksavbrott, överbelastning av användartrafik, virusdetektering eller licensens utgång.
Varje sådan händelse meddelas administratören via e-post, och han kan själv välja vilka händelser han ska meddelas om.
Trafikanvändningsstatistik och graf
Exakt och genomtänkt statistik hjälper administratören att ta reda på användarnas preferenser när de använder Internet, hitta kritiska element och problem.
Kerio WinRoute Firewall genererar ett detaljerat histogram över trafikanvändning för varje användare i nätverket. Administratören kan välja vilken period han vill spåra trafikanvändning: 2 timmar, 1 dag, 1 vecka och 1 månad.
Dessutom visar Kerio WinRoute Firewall statistik över den faktiska användningen av trafik, efter dess typer: HTTP, FTP, e-post, strömmande multimediaprotokoll, datautbyte direkt mellan datorer eller proxyservrar.
Om du kör ISS Orange Web Filter visar Kerio WinRoute Firewall statistik över besök på internetsidor för varje användare och för hela organisationen.
Egenskaper för programmet
Använda Internetanslutningsmetoder
Stöd för DSL, uppringd, ISDN, satellitinternet, uppringd och trådlöst internet gör att du kan installera Kerio WinRoute-brandväggen i nätverk av valfri storlek var som helst. Flera användare kan använda en anslutning samtidigt.
Avbruten anslutning
Om Kerio WinRoute Firewall upptäcker ett avbrott i anslutningen, växlar den automatiskt till den extra. Alla nätverks- eller modemadapter kan användas för reservanslutningen.
NAT och proxy
Snabb internetåtkomst tack vare två olika tekniker: nätverksadressöversättning (NAT) och proxyserver.
En NAT-router ger internetåtkomst till alla datorer i det lokala nätverket och fungerar med nästan alla protokoll. När du använder NAT krävs inga ytterligare inställningar på varje dator.
Proxyservern används som en klientdator på en fjärrserver. På grund av denna tekniks komplexitet stöds endast ett fåtal protokoll. Det är sant att det har funktioner som autentisering och användaråtkomstkontroll.
DNS-vidarebefordranmekanism
Den inbyggda DNS-vidarebefordransmekanismen skapar en DNS-fråga när en användare besöker en webbplats. Den skickar denna begäran till den valda DNS-servern och lagrar de senast mottagna resultaten under en tid. Svaret på successiva förfrågningar kommer omedelbart.
DHCP-server
En DHCP-server tilldelar IP-konfigurationsparametrar till varje dator på LAN, vilket gör nätverksadministrationen mycket enklare.
HTTP-proxycacheserver
H.323 och SIP
Kerio-protokollvalidatorer hjälper brandväggar att fungera korrekt med VoIP-telefoni eller videoöverföring. Kerio WinRoute Firewall fungerar med VoIP-enheter som använder H.323- eller SIP-protokoll anslutna till ett säkert nätverk. Det vill säga, det finns inget behov av att ansluta VoIP-utrustning till Internet.
Cisco SCCP
Om ett företag vill använda VoIP-utrustning i en Cisco AVVID-miljö, används Cisco Skinny Client Control Protocol (SCCP) för att upprätta en anslutning mellan IP-telefonen och Cisco CallManager. Naturligtvis måste brandväggar känna igen det och förstå informationen som överförs.
Kerio WinRoute Firewall känner automatiskt igen SCCP-protokollet och utför nätverksadressöversättning mellan IP-telefonen och Cisco CallManager. Eftersom Kerio WinRoute Firewall utför IP-adressöversättning dynamiskt, behöver administratören inte manuellt konfigurera IP-adressen för varje IP-telefon.
UPnP-stöd
UPnP-standarden (Universal Plug and Play) som används i Windows tillåter olika applikationer att arbeta med varandra utan ytterligare brandväggsinställningar. Kerio WinRoute Firewall arbetar med UPnP-teknik så att applikationer som MSN Messenger kan köras smidigt.
Minsta systemkrav
Kerio WinRoute-brandvägg
- 256 MB RAM
- 20 MB hårddisk för installation
Ytterligare ledigt utrymme för loggar och cache
Minst 2 nätverksgränssnitt (inklusive fjärranslutning)
Windows 2000 / XP / 2003 / Vista
Kerio VPN-klient
- 128 MB RAM
- 5 MB hårddisk
Windows 2000 / XP / 2003 / Vista
Genomförandekostnad
Eftersom antalet datorer i vår organisation är cirka 150, faller en licens med 250 användare under vårt val. Kostnaden beräknas enligt följande: (grundläggande för 5 användare) + (tillägg för 250 användare). Euro till rubel kurs = 41,4
Kerio Control (ex. Kerio WinRoute Firewall): 241,9 * 41,4 + 5605 * 41,4 = 10014,66+ 232047 = 242 061,66 r
Webbfiltrering är också nödvändigt, särskilt eftersom denna funktion i Trafic inspector ingår i programpriset och inte markeras som ett separat alternativ.
Kerio Web Filter = 28 * 41,4 + 250 * 443 = 1159,2+ 10350 = 11509,2r
Totalt får vi: 11509,2 + = 242 061,66 = 253 570,86 rubel för 255 licenser!
Hur man konfigurerar distributionen av Internet till användare via NAT i Kerio Winroute-brandväggen. Konfigurera NAT i Kerio Winroute Firewall.
Given - Server Windows 2003 Server EE, med installerad och konfigurerad Kerio Winroute Firewall 6.4.2.
Mål - Att släppa systemadministratören till Internet inte via en proxy, som alla andra, utan genom NAT. Att köra disk och webmoney. Gå...
Låt oss först skapa en ny regel i avsnittet Trafikpolicy... Det kommer att kallas i början Ny regel.
Därefter måste du lägga till en källa. Det vill säga datorn till den som ska ha tillgång till Internet. I vårt fall är detta systemadministratörens dator. Jag skrev DNS-namnet på datorn i domänen - sysadmin.local... Du kan också skriva IP-adressen. Beror på situationen.
Efter att ha lagt till Källa det är nödvändigt att lägga till och Destination... I vårt fall är detta en nätverksanslutning som heter Internet. Vi trycker på Lägg till -> Nätverksgränssnitt och välj vår Internetanslutning från listan.
Efter att ha lagt till dessa parametrar i vår regel. Vi tipsar liksom datorn om att maskinen sysadmin.local har tillgång till en nätverksanslutning Internet... Därefter måste vi specificera vilken typ av anslutning, portar och tjänster genom vilka han kommer att ha denna åtkomst.
I fält Service vi kommer inte att lägga till något. Det finns redan mening Några... Obo säger att tillgången är öppen för alla hamnar och tjänster.
I fliken Översättning standardinställningen är tom. Vi är inte intresserade av detta, så klicka på det tomma fältet på fliken Översättning och vi ser ett fönster (Redigera översättning) NAT-inställningar framför dig.
Vi behöver bara låta användaren gå online på alla hamnar. Därför väljer vi parametern "Översätt till IP-adress för utgående gränssnitt (typiska inställningar)"... Med denna regel säger vi till Kerio att all utgående trafik från användaren måste sändas direkt till Internet. Du kan välja vilket gränssnitt som helst där paketen ska översättas och IP-adressen. Men vi behöver det inte nu.
Klicka på OK och se vår regel. Allt verkar vara ok, men det fungerar inte :) Varför?
Glömde att tillåta regeln och klicka på knappen Tillämpa... För att aktivera regeln, klicka på det tomma fältet under fliken Handling och välj parametern där Tillåta.
Nu ser vår regel ut så här:
Och det fungerar. Användaren har NATerad utgående Internetåtkomst. Kan spela counter, warcraft och köra Webmoney.
Anpassning Kerio VPN-server för att ansluta enskilda VPN-klienter.
VPN-servern används för att ansluta fjärrändarna av VPN-tunnlar och fjärrklienter med hjälp av Kerio VPN-klient .VPN-server tillgängligt på fliken Gränssnitt (gränssnitt) i avsnittet Inställningar / Gränssnitt (Konfiguration/gränssnitt) som ett separat gränssnitt.
Vi går in på den här fliken och bland gränssnitten ser vi den VPN-server vi vill ha. Genom att dubbelklicka på VPN-servergränssnittet öppnas en dialogruta som låter dig ställa in VPN-serverparametrarna (du kan också välja gränssnittet och klicka på Redigera eller välja Redigera från snabbmenyn).
I fönstret som öppnas måste du aktivera VPN-servern (Aktivera VPN-server). Och ange IP-adressen för mesh för VPN-klienter. I mitt nätverk har alla lokala användare adresser som 192.168.100.xxx, och alla VPN-klienter är 192.168.101.xxx
Som standard (vid första start efter installation) WinRoute väljer automatiskt ett gratis undernät som ska användas för VPN. Under normala omständigheter finns det inget behov av att ändra standardnätverket. Ha se till att undernätet för VPN-klienterna inte kommer i konflikt med det lokala undernätet!
På fliken DNS måste du ange de DNS-servrar som kommer att tilldelas dina VPN-klienter. Detta kan vara nödvändigt i ett domännät, där åtkomst till datorer med NS-namn krävs.
Använd specifika DNS-servrar Med det här alternativet kan du ange primära och sekundära DNS-servrar för VPN-klienter. Om det lokala nätverket inte använder DNS Forwarder och en annan DNS-server, använd sedan det här alternativet.
Mina användare använder inte NS-namn, så här lämnade jag allt utan undantag.
Jag behöver inte heller fliken Avancerat, men vi skriver om det ändå.
Lyssna på port - Porten på vilken VPN-servern accepterar inkommande anslutningar (TCP- och UDP-protokoll används). Standardporten är 4090 (normalt behöver du inte byta port).
Anmärkningar:
- Om VPN-servern redan körs, när porten ändras, kommer anslutningen till alla VPN-klienter att kopplas bort automatiskt.
- Om VPN-servern inte kan köras på den angivna porten (porten används av en annan tjänst), kommer följande felmeddelande att visas om du klickar på knappen Använd i felloggen (se kapitlet Fellogg): (4103: 10048) Socket error: Det går inte att binda uttaget för service till port 4090.
(5002) Det gick inte att starta tjänsten "VPN"
bunden till adress 192.168.1.1.För att verifiera att den angivna porten verkligen är ledig, kontrollera felloggen för sådana poster.
Anpassade rutter
I det här avsnittet kan du definiera andra nätverk till vilka rutter kommer att etableras genom VPN-tunneln. Som standard definieras rutter till alla lokala undernät från VPN-serversidan - se kapitlet Exchange Routing Information).
Råd: använd nätmask 255.255.255.255 för att definiera en rutt till en specifik värd. Detta kan till exempel hjälpa när du lägger till en rutt till en nod i DMZ från VPN-serversidan.
Den första regeln tillåter användare från Internet till VPN-servern med Kerio VPN-protokoll (port 4090).
Det är här de anslutna användarna kommer att visas. I inställningarna för användarna själva kan du konfigurera om VPN-servern ska utfärda adresser till klienter, eller så kan du tilldela en specifik IP-adress i nätverket till varje VPN-klient.
Det är allt. Om något är oklart, gå hit.
Som ett arv från den tidigare administratören fick jag ett mycket knepigt distributionssystem på Internet. UserGate 2.8 installerades på Windows XP. Själva maskinen hade 2 nätverksgränssnitt (LAN och Internet). Allt detta snurrade på ett vanligt skrivbord. Den logiska strukturen för distributionen var också mycket intressant:
1. Alla användare delades in i grupper beroende på trafikkvoten (dvs. 100mb, 200mb, 300mb, endast ICQ etc.) Det fanns cirka 10 grupper.
2. Användare auktoriserades av datorns IP-adress (när företaget hade 20 datorer i en arbetsgrupp med statiska adresser var allt fortfarande uthärdligt, nu är det cirka 150 användare respektive ungefär lika många datorer).
Andra problem uppstod med tiden:
1. Antalet användare ökade.
2. Auktorisering av ip gav många problem. Det är mycket svårt att spåra användarrörelser och användartrafik lämnades oskyddad.
3. Företagets infrastruktur från arbetsgruppen överfördes till domänen.
4. Leverantörens stabilitet lämnade mycket övrigt att önska. Därför var Internet anslutet från en annan leverantör.
5. Hårdvaran som proxyn kördes på hade inte lång kvar att leva.
Jag har förberett en plan för att byta till en annan proxyserver.
Låt oss börja. Planera
1. Det är nödvändigt att bestämma vad vi vill ha (dvs vilken funktionalitet vi behöver).
2. Vilken plattform kommer allt att fungera på.
3. Hur man auktoriserar användare
4. Hur man separerar användare.
5. Andra godsaker.
Svar punkt för punkt.
1. Det är nödvändigt:
1.1 Vi behöver en proxyserver som lyssnar på det lokala gränssnittet på en specifik port och gör förfrågningar till 2 andra nätverksgränssnitt som tittar på Internet.
1.2 Det är också nödvändigt att fördela belastningen mellan 2 leverantörer och omdirigera förfrågningar till en leverantör om den andra misslyckas.
1.3 NAT-stöd krävs också för att e-postservern ska fungera.
1.4 Användargrupper bör komma från AD och autentisera sig med lösenordet för sina konton.
1.5 Möjligheten att utfärda en kvot till användaren med antalet mottagna megabyte.
1.6 Flexibla HTTP- och FTP-policyer.
1.7 Webbserverstatistik för användare
2. Plattform:
En virtuell maskin på Xen Server valdes som plattform.
Följande alternativ betraktades som ett paket med OS + proxy.
FreeBSD + squid + ipfw + Samba + SARG (FreeBSD + squid + ipfw + SAMBA +)
Windows + UserGate 5 (www.usergate.ru/)
Windows + Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
Valet gjordes på Windows + Kerio Winroute Firewall 6 (jag kommer att berätta varför Kerio i nästa artikel)
3 Användarbehörighet.
Det beslutades att använda Active Directory som en användardatabas och auktorisera genom inloggning och lösenord från AD.
4. Kvotsystemet har förenklats till 4 grupper - 300mb, 500mb, unlim, ICQ + företagssajter.
Utplacering och drift.
1. Eftersom det beslutades att överföra proxyservern till virtualiseringsservern (som beskrevs ovan). Det var nödvändigt att lägga till 2 nätverkskort (för internetanslutning). Hur det går till beskrivs.
2. Skapa virtuell dator och stoppa Windows XP. Vi gör alla nödvändiga inställningar för operativsystemet.
3. Konfigurera nätverket. Det första lokala gränssnittet tar emot alla inställningar från DHCP (som körs på en domänkontrollant)
Vi flyttar det andra gränssnittet till subnätet 192,168,1,0
Vi flyttar det tredje gränssnittet till subnätet 192,168,2,0
Modem är anslutna till dem.
Vi kontrollerar nätverksprestandan med kommandona traceroute och ping.
4. Installera Kerio Winroute Firewall
5. Och konfigurera det (vi hämtar dokumentationen från kerios webbplats).
Det är inget svårt i inställningarna. Men det finns några fallgropar.
1. När vi ställer in nat för e-postservern lindar vi all trafik som går till port 110 och 25 till ip-adressen för e-postservern. Problemet uppstår om en av användarna använder e-post på tredjepartsservrar (till exempel mail.ru och google.ru) via e-postklienter. Lösningen på detta problem kan antingen vara att använda e-post via webbgränssnittet på dessa webbplatser eller att ställa in vidarebefordran av e-post från en tredje parts webbplats till en företagspostserver.
2. Eftersom det finns belastningsfördelning och feltolerans för 2 kanaler, då är det vettigt att göra några ändringar i DNS-posten för din e-postdomän.
till exempel
du har en post i DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
där xxx.xxx.xxx.xxx är IP-adressen som du fått av leverantören
göra en ny post
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
där xxx.xxx.xxx.xxx är IP-adressen som du fått av den andra leverantören.
Med sådana DNS-poster kommer servern för vidarebefordran av e-post att kontrollera tillgängligheten för den första IP-adressen och, om den inte är tillgänglig, leverera brev till den andra IP-adressen.
3. Om du ändrar porten och adressen till proxyservern, räcker det för att inte springa runt på kontoret att ange proxyserverinställningarna i grupppolicyer som kommer att tillämpas automatiskt. Men detta gäller de webbläsare som har alternativet Ta proxyinställningar från systemet i sina inställningar. Om till exempel en användare i Mozilla har en manuell proxyinställning så måste du fortfarande gå till honom. Fast ... jag kan inte säga säkert. alla användare i mitt företag använder IE.
4. Kerio har en stor nackdel. Det finns inget sätt att tilldela en kvot till en grupp. Det finns en kvotmall för alla användare, eller så måste du ställa in en kvot manuellt för varje användare.
Tja, allt verkar vara det.
Servern är nu i övergångsläge d.v.s. vi kopplar bort klienter från den gamla och kopplar dem till den nya. Idag används Kerio av cirka 65 användare. Det fanns inga speciella problem förutom de som beskrivits ovan.
Så tack alla för er uppmärksamhet. Vänta på fortsättningen.
