DESCRIERE

Sarcina principală a unui firewall corporativ este de a controla traficul de rețea de intrare și de ieșire pentru conformitatea cu politica de securitate a companiei.

Kerio WinRoute Firewall oferă capacitatea de a defini în mod granular regulile de acces pentru a inspecta întregul trafic de internet și a-l aduce în conformitate cu politicile de securitate corporative. Asistentul de configurare regulile rețelei vă ajută să instalați și să configurați rapid un firewall.

Kerio WinRoute Firewall este robust firewall de rețea care operează la niveluri TDI/NDIS sistem de operare. Tehnologia de inspecție profundă utilizată pentru a analiza traficul de intrare și de ieșire ajută la asigurarea celui mai înalt nivel de securitate pentru toți retea locala, și, de asemenea, pentru calculatoare individuale lucrează în rețea.

funcţionalitate

Politica de trafic

Securitatea Kerio WinRoute Firewall se bazează pe reguli aplicate traficului și vă permite să configurați filtre de pachete, NAT (traducere) într-un singur tabel convenabil adresele de rețea), maparea portului și controlul accesului.

Expertul de configurare încorporat simplifică foarte mult procesul de creare și configurare a regulilor de rețea necesare. Configurarea unui firewall și conectarea rețelei la Internet durează literalmente câteva minute.

Sistem de prevenire a intruziunilor

O condiție prealabilă pentru certificarea firewall-ului de rețea ICSA Labs este capacitatea de a recunoaște atacurile și intruziunile hackerilor. Încercările la toate astfel de acțiuni sunt înregistrate în jurnalul de securitate.

Anti-spoofing

Anti-spoofing este o componentă de filtru de pachete a Kerio WinRoute Firewall care oferă un strat suplimentar de protecție pentru rețeaua locală împotriva atacurilor în care hackerul folosește adresa IP sursă.

Jurnalele de firewall

O caracteristică importantă a oricărui produs de securitate de sistem este capacitatea de a înregistrare detaliată evenimentele curente.

Kerio WinRoute Firewall înregistrează evenimente în mai multe jurnale diferite - mesaje de eroare, evenimente de depanare, setări utilizator, stare, navigare pe web, scanări de porturi etc.

Înregistrarea poate fi activată pentru oricare dintre regulile definite în tabelul regulilor de trafic. Astfel administratorul primește control total peste conexiunile stabilite prin firewall.

Controlul protocolului

Această funcție permite aplicații individuale cu propriile protocoale (care inițial nu necesită firewall) este sigur să lucrezi pe rețelele locale. Mai multe protocoale pot fi scanate, filtrate sau modificate, crescând fiabilitatea generală a firewall-ului.

Kerio Winroute Firewall - Server și client VPN

Pentru toți oamenii de afaceri moderni care călătoresc sau lucrează de acasă, o conexiune sigură la rețeaua corporativă este o conditie necesara. Folosind Kerio WinRoute Instalare firewall virtual rețea privată nu necesită practic niciun efort. Serverul și clienții VPN fac parte din capacitățile de acces la distanță securizate ale Kerio WinRoute Firewall.

Utilizare Kerio VPN permite utilizatorilor să se conecteze de la distanță la resursele rețelei corporative, cum ar fi servere de fișiere, servere de baze de date sau chiar imprimante care sunt de obicei ascunse în spatele firewallși nu sunt disponibile pentru utilizare în afara rețelei de birouri.

Server VPN Kerio

Serverul VPN încorporat în produsul Kerio WinRoute Firewall vă permite să organizați rețele VPN în două scenarii diferite:

Client-server VPN (utilizat de Kerio Client VPN pentru Windows)

server VPN-Server

Modul server-to-server este folosit de companiile care doresc să conecteze un birou la distanță printr-un canal securizat pentru partajare resurse partajate. Acest scenariu necesită prezența Kerio WinRoute Firewall pe fiecare dintre părțile care se conectează pentru a stabili un canal securizat pe internetul deschis.

VPN client-server

Modul client-server permite unui utilizator de la distanță să conecteze în siguranță un laptop sau un computer personalizat la rețeaua corporativă.

Client VPN Kerio

Kerio VPN Client este o aplicație mică care rulează pe partea laterală a computerului conectat. Funcționează pe Windows 2000 și versiuni ulterioare.

VPN SSL fără client

Kerio WinRoute Firewall 6.1 include un nou serviciu numit Clientless SSL VPN, care permite clienților la distanță să acceseze fișiere partajate pe serverele de rețea locală folosind un browser obișnuit. Nu este nevoie să instalați software special pentru client.

Traducere NAT

După cum știu administratorii, VPN și NAT (Network Address Translation) nu acceptă întotdeauna lucrand impreuna. Kerio VPN este proiectat să funcționeze în mod fiabil în NAT și chiar și într-o serie de gateway-uri NAT.

Kerio VPN folosește algoritmi standard criptare - SSL pentru controlul canalelor (TCP) și Blowfish pentru transferul de date (UDP).

IPSec, Windows și VPN terță parte producatori

În cazurile în care o companie are un anumit standard pentru utilizarea produselor VPN, Kerio WinRoute Firewall include suport pentru protocoalele IPSec și PPTP, permițând utilizarea diferitelor soluții terțe.

De asemenea, este posibil să utilizați capabilitățile VPN încorporate în Windows, care vă permite să construiți Rețeaua VPN doar cu instrumente Microsoft Windows și Kerio WinRoute Firewall. Nu este necesar niciun software terță parte. Kerio WinRoute Firewall acceptă și funcționalitatea RRAS disponibilă în edițiile server ale sistemelor de operare sisteme Microsoft Windows.

Kerio Winroute Firewall - Protecție firewall împotriva virușilor

Kerio WinRoute Firewall creează protecție suplimentară împotriva virușilor prin scanarea atât a celor primite, cât și trafic de ieșire:

• - E-mail (SMTP și POP3)
• - web (HTTP)
• - transfer de fișiere (FTP)

În acest scop, au fost dezvoltate două versiuni licențiate:

• 1. Kerio WinRoute Firewall combinat cu McAfee Anti-Virus
• 2. Kerio WinRoute Firewall cu alte programe antivirus

Beneficiile protecției împotriva virușilor firewall

Protecția antivirus instalată în rețeaua locală oferă protecție completă pentru tot traficul. Administratorii pot folosi cele mai recente „imagini” viruși pe gateway, ceea ce este mult mai productiv decât utilizarea programe antivirus pe fiecare computer.

Protecție e-mail împotriva virușilor

Kerio WinRoute Firewall scanează mesajele primite și trimise, precum și toate atașamentele. Un virus detectat într-o scrisoare este șters. Dacă într-un atașament este detectat un virus, întregul atașament este șters și o notificare este adăugată la scrisoare.

Protecția rețelei împotriva virușilor

Kerio WinRoute Firewall scanează tot traficul de rețea, inclusiv Pagini HTML, pentru viruși încorporați. Fișierele descărcate prin HTTP și fișierele transferate prin protocolul FTP sunt, de asemenea, verificate pentru viruși.

Parteneriat cu McAfee, Inc.

Kerio Technologies Inc. în colaborare cu McAfee, Inc. (Network Associates) a creat un produs software antivirus multiplatform pentru sistemele de operare Windows, Linux și Mac OS X Kerio WinRoute Firewall, combinat cu McAfee, poate primi actualizări cu noi „imagini” de viruși aproape la fiecare oră.

Kerio WinRoute Firewall combinat cu McAfee Anti-Virus

Kerio WinRoute Firewall combinat cu McAfee Anti-Virus este un pachet software care oferă protecție completă împotriva virusurilor firewall pentru întreaga rețea.

În acest caz, setările antivirus se referă numai la protecția firewall. Instalarea este simplă și consecventă, nu necesită setări suplimentare. Datorită integrării produselor software, toate elementele serverului - protecția împotriva virușilor și protecția firewall - sunt consecvente între ele.

McAfee AntiVirus este produs de McAfee, Inc.

Kerio WinRoute Firewall cu alte programe de protecție împotriva virușilor

Kerio WinRoute Firewall poate funcționa împreună cu unele produse software antivirus de la alți producători (a se vedea tabelul 2): ​​server proxy pentru informații corporative

masa 2

AVG Server Edition
eTrust Antivirus	Asociații de calculatoare
Symantec
Avast! pentru Kerio
VisNetic AntiVirus

ISS Orange Web Filter

O componentă suplimentară a software-ului Kerio WinRoute Firewall pentru protecție în timpul navigării pe Internet.

Pentru organizațiile și instituțiile precum școlile care nu doresc ca angajații și clienții lor să viziteze anumite pagini de internet, Kerio WinRoute Firewall cu filtru web ISS Orange încorporat oferă capabilități suplimentare.

ISS Orange Web Filter oferă o listă de 58 de categorii de pagini, cum ar fi magazine virtuale, știri, pornografie, sport sau călătorii, care pot fi blocate de Kerio WinRoute Firewall.

Preț

Filtrul Web ISS Orange este vândut ca componentă suplimentară Firewall Kerio WinRoute.

Cum funcționează acest filtru?

Software-ul Kerio WinRoute Firewall este ușor de utilizat și pot avea diferite grupuri de utilizatori acces limitat către diverse site-uri.

De fiecare dată când un utilizator încearcă să acceseze un site web, Kerio WinRoute Firewall verifică baza de date ISS Orange Web Filter pentru a vedea dacă pagina este inclusă într-una dintre categorii. Dacă este inclus, Kerio WinRoute Firewall blochează automat accesul la acesta. De asemenea, puteți avertiza utilizatorul că administratorul va ști despre acțiunile sale.

Acoperire completă

Baza de date ISS Orange Web Filter este una dintre cele mai mari, conținând peste 4 miliarde de pagini verificate și 20 de milioane de adrese URL numerotate și clasificate.

Dacă un utilizator solicită o pagină care nu se află în baza de date principală, adresa URL a acesteia este trimisă la ISS, unde este revizuită în 24 de ore.

Filtrul Web ISS Orange procesează paginile în 15 limbi.

De mare viteză

Kerio WinRoute Firewall cu ISS Orange Web Filter memorează cache adrese URL baza locala date. Baza de date principală conține numai adrese URL la care utilizatorii nu au acces.

Baza de date principală este stocată pe șapte servere ISS situate în întreaga lume, asigurând răspunsuri rapide.

Statistici detaliate

Kerio WinRoute Firewall oferă statistici detaliate privind traficul de rețea pentru fiecare utilizator sau pentru întreaga organizație. Administratorul poate folosi aceste statistici pentru a determina preferințele utilizatorului și pentru a determina strategii de utilizare a resurselor de rețea.

Kerio Winroute Firewall - Controlul accesului utilizatorului

Sarcina principală de asigurare a securității rețelei este dezvoltarea unei strategii de acces la Internet. Kerio WinRoute Firewall permite administratorilor nu numai să creeze o strategie generală de utilizare a traficului, ci și să stabilească și să impună restricții pentru fiecare utilizator.

managementul utilizatorilor

În Kerio WinRoute Firewall, termenul „utilizator” poate însemna următoarele:

• - Nume de utilizator și parolă pentru fiecare utilizator
• - Grup de utilizatori
• - adresa IP sau numele computerului
• - Întreaga rețea

Înainte de a accesa Internetul, fiecare utilizator trebuie să se înregistreze cu Kerio WinRoute Firewall.

Gestionarea utilizatorilor folosind baza de date internă a utilizatorilor

Conturile de utilizator sunt stocate fie într-o bază de date internă separată de utilizatori Kerio WinRoute Firewall, fie, dacă rețeaua este mare, pe o distanță. server Microsoft Director activ. Puteți lucra cu aceste două baze de date simultan.

Gestionarea utilizatorilor cu folosind Active Director

Fiind parte din Windows 2000 Server, Active Directory permite administratorilor să gestioneze centralizat conturile și datele de utilizator resursele rețelei. Active Directory oferă acces la informațiile utilizatorului de pe un singur computer.

Suportul Active Directory oferă Kerio WinRoute Firewall acces în timp real la baza de date a utilizatorilor și vă permite să configurați un utilizator în rețeaua locală fără a salva o parolă. În acest fel, nu este nevoie să sincronizați parolele pentru fiecare utilizator. Toate modificările din Microsoft Active Directory sunt reflectate automat în Paravanul de protecție Kerio WinRoute.

Gestionarea drepturilor de acces

Administratorul poate seta diferite restricții de drepturi de acces pentru fiecare utilizator. De exemplu, unii utilizatori pot doar accesa pagini interne, alții pot lucra numai cu e-mail. Aceste drepturi sunt configurate doar conform unui program specific, deci pot fi setate doar la anumite perioade de timp.

Restricții de utilizare a traficului

Unii utilizatori descarcă o mulțime de fișiere, ascultă radio prin Internet și se trimit unul altuia videoclip de acasa. Adesea, dacă un utilizator ocupă prea multă lățime de bandă, aceasta va afecta calitatea conexiunilor altor utilizatori.

Pentru a limita astfel de utilizatori, administratorul poate seta limite de utilizare a traficului. Poate fi:

• - Restricții privind trimiterea, descărcarea sau ambele.
• - Limitați traficul pe zi sau pe lună
• - Orice combinație dintre primul și al doilea punct

Când limita este atinsă, Kerio WinRoute Firewall trimite un avertisment prin e-mail utilizatorului și administratorului. Sau administratorul poate bloca acest utilizator până la sfârșitul zilei sau lunii.

Kerio Winroute Firewall - Administrare

Statistici și raportare (StaR)

Pentru a afișa utilizarea Internetului de către angajați, puteți utiliza modulul StaR. Statisticile sunt afișate sub formă de grafice care arată consumul de trafic care nu este legat de fluxul de lucru, deficitul de resurse și alte probleme. Rapoartele conțin informații despre cât de mult trafic a fost utilizat, principalele site-uri vizitate și, în combinație cu modulul opțional (IBM) ISS Orange Web Filter, procent de cele mai vizitate resurse pe categorii. StaR poate fi utilizat de la distanță printr-un browser fără a fi nevoie de autorizare în Consola de administrare.

Administrare de la distanță

Administratorul de sistem configurează programul, gestionează conturile de utilizator și politicile de securitate prin Consola de administrare Kerio. Poate fi instalat pe un computer care are deja sistem instalat protecție firewall sau pe un computer de la distanță conectat la Internet. Schimbul de date între consola la distanță și sistemul firewall se realizează pe un canal criptat.

Notificări prin e-mail

Uneori, administratorul nu poate urmări tot ceea ce se întâmplă cu sistemul firewall. Kerio WinRoute Firewall vă ajută să urmăriți evenimente importante, cum ar fi deconectarea rețelei, depășirea traficului utilizatorului, detectarea virușilor sau expirarea licenței.

Administratorul este informat despre fiecare astfel de eveniment. prin e-mail, în timp ce el poate alege despre ce evenimente ar trebui să fie anunțat.

Statistici de utilizare a traficului și grafic

Statisticile precise și bine gândite ajută administratorul să afle preferințele utilizatorilor atunci când lucrează pe Internet, să găsească elemente și probleme critice.

Kerio WinRoute Firewall generează o histogramă detaliată a utilizării traficului pentru fiecare utilizator din rețea. Administratorul poate selecta perioada pentru care dorește să urmărească utilizarea traficului: 2 ore, 1 zi, 1 săptămână și 1 lună.

În plus, Kerio WinRoute Firewall arată statistici privind utilizarea efectivă a traficului, după tip: HTTP, FTP, e-mail, protocoale multimedia de streaming, schimb de date direct între computere sau proxy.

Dacă rulați filtrul ISS Orange Web, Kerio WinRoute Firewall afișează statistici de vizitare a paginii web pentru fiecare utilizator și pentru întreaga organizație.

Caracteristicile programului

Metode de conectare la internet utilizate

Suport DSL conexiune prin modem, ISDN, Internet prin satelit, conexiuni dial-up și Internet wireless vă permit să instalați Kerio WinRoute Firewall pe rețele de orice dimensiune, oriunde. O conexiune poate fi folosită de mai mulți utilizatori simultan.

Conexiunea pierdută

Dacă Kerio WinRoute Firewall detectează o eroare de conexiune, acesta trece automat la unul de rezervă. Pentru o conexiune de rezervă, puteți utiliza orice adaptor de rețea sau modem.

NAT și server proxy

Acces rapid la Internet datorită celor două diverse tehnologii: traducere adrese de rețea (NAT) și server proxy.

Un router NAT oferă acces la internet la toate computerele dintr-o rețea locală și funcționează cu aproape orice protocol. Când utilizați NAT, nu sunt necesare setări suplimentare pe fiecare computer.

Serverul proxy este utilizat ca computer client pe server la distanta. Datorită complexității acestei tehnologii, sunt acceptate doar câteva protocoale. Adevărat, are funcții precum autentificarea și controlul accesului utilizatorilor.

Mecanismul de transmitere a datelor DNS

Mecanismul de redirecționare a datelor DNS încorporat creează Interogare DNS ori de câte ori un utilizator vizitează un site web. Trimite această cerere către cei selectați server DNSși stochează cele mai recente rezultate obținute de ceva timp. Raspunde la următorul prieten cererile celuilalt vin imediat.

Server DHCP

Un server DHCP atribuie parametrii de configurare IP fiecărui computer din rețeaua locală, facilitând mult administrarea rețelei.

Server cache proxy HTTP

H.323 și SIP

Modulele de verificare a protocolului Kerio ajută firewall-urile să funcționeze corect cu telefonia VoIP sau transmisia video. Kerio WinRoute Firewall funcționează cu dispozitive VoIP care utilizează protocoale H.323 sau SIP conectate la o rețea securizată. Adică nu este nevoie să te conectezi Echipamente VoIPîn internet.

Cisco SCCP

Dacă o companie dorește să utilizeze echipamente VoIP într-un mediu Cisco AVVID, Skinny Client Control Protocol (SCCP) de la Cisco este utilizat pentru a stabili o conexiune între telefonul IP și Cisco CallManager. Desigur, firewall-ul trebuie să-l recunoască și să înțeleagă informațiile transmise.

Kerio WinRoute Firewall recunoaște automat protocolul SCCP și realizează traducerea adreselor de rețea între telefonul IP și Cisco CallManager. Deoarece Kerio WinRoute Firewall efectuează traducerea adresei IP în mod dinamic, administratorul nu trebuie să configureze manual adresa IP pentru fiecare telefon IP.

Suport UPnP

universal Priză standardși Play (UPnP), utilizat pe Windows, permite aplicatii diverse lucrați unul cu celălalt fără setări suplimentare în protecția firewall. Kerio WinRoute Firewall funcționează cu tehnologia UPnP, astfel încât aplicațiile precum MSN Messenger să poată rula fără probleme.

Cerinte Minime de Sistem

Firewall Kerio WinRoute

• 256 MB RAM
• HDD de 20 MB pentru instalare

Adiţional loc liber pentru jurnale și cache

Minim 2 interfețe de rețea (inclusiv dialup)

Windows 2000/XP/2003/Vista

Client VPN Kerio

• 128 MB RAM
• HDD de 5 MB

Windows 2000/XP/2003/Vista

Costul de implementare

Deoarece numărul de computere din organizația noastră este de aproximativ 150, alegerea noastră include o licență care include 250 de utilizatori. Costul se calculează astfel: (de bază pentru 5 utilizatori) + (suplimentar pentru 250 de utilizatori). Cursul de schimb euro în rublă = 41,4

Kerio Control (ex. Kerio WinRoute Firewall): 241,9*41,4+5605*41,4 = 10014,66+ 232047= 242,061,66r

Abilitatea de a filtra web este, de asemenea, necesară, mai ales că în inspectorul Trafic această ocazie este inclus în prețul software-ului și nu este furnizat ca opțiune separată.

Kerio Web Filter=28*41,4+250*443= 1159,2+ 10350= 11509,2r

Total obținem: 11509,2 + = 242.061,66 = 253.570,86 ruble pentru 255 de licențe!

Înainte de a face ceva cu regulile, trebuie să configurați uman interfețele de rețea, deci cine nu a citit articolul Configurarea CORECT DNS-ul și interfețele de rețea!!! , fa-o acum.

Tot ce este scris mai jos a fost testat pe versiunea 6.2.1 KWF, dar va funcționa pe toate versiunile 6.xx, pt. versiunile următoare Dacă există schimbări, nu cred că vor fi semnificative.

Deci, interfețele de rețea sunt configurate, Kerio Winroute Firewall este instalat, primul lucru pe care îl facem este să mergem la Configurare > Politica de trafic și să lansăm Expertul. Chiar dacă l-ați lansat deja înainte. Facem ceea ce trebuie, nu?

1. Totul este clar cu primul și al doilea pas ai expertului, în al treilea selectam interfața de rețea externă (Interfața de Internet, Expertul o determină aproape întotdeauna corect).

2. În continuare, pasul patru, cel mai important.
Implicit, KWF oferă opțiunea „Permite accesul la toate serviciile (fără limitări)”, dar! Ne confruntăm în mod constant cu faptul că astfel de reguli KWF procesează, pentru a spune ușor, ciudat, probleme cu serviciul ORICE tot timpul.

Prin urmare, alegem a doua opțiune, Permiteți accesul numai la următoarele servicii. Nu contează că KWF vă poate oferi servicii ușor diferite de cele de care aveți nevoie, dar toate acestea pot fi adăugate sau eliminate mai târziu.

3. În al cincilea pas, creăm reguli pentru VPN, cei care nu au nevoie de ele pot elimina casetele de selectare. Dar din nou, poți face asta mai târziu dacă nu ești sigur.

4. Pasul 6 este, de asemenea, destul de important. Aici creăm reguli pentru acele servicii care ar trebui să fie accesibile din exterior, de pe Internet. Vă sfătuiesc să adăugați măcar câteva servicii, atunci vă va fi mai ușor să vedeți cum este construită o astfel de regulă.
De exemplu:

Serviciul KWF Admin pe Firewall
Serviciu RDP pe 192.168.0.15

5. Pasul șapte, în mod natural activăm NAT, chiar dacă nimeni nu are nevoie de el (putin probabil, desigur), îl puteți dezactiva oricând.
În al optulea pas, faceți clic pe Terminare.

Se pare că avem așa ceva:

Câteva precizări pentru cei care nu doresc să citească manualul:
Regulă NAT- conține de fapt acele servicii cărora li se permite accesul la Internet de la mașinile client.
Și regula Trafic de firewall- aceasta este regula pentru mașina pe care este instalat KWF.
Micile reguli roșii de mai jos sunt pentru accesarea serviciilor cu același nume de pe Internet.

În principiu, puteți lucra deja, dar trebuie să configurați puțin KWF, așa că în continuare:

6. Regulă Trafic local trecem foarte sus, deoarece regulile sunt procesate de sus în jos și deoarece traficul local predomină de obicei asupra restului, acest lucru va reduce sarcina pe gateway, astfel încât să nu trimită pachete de la trafic local prin întregul tabel de reguli.

7. În regulă Trafic local Protocol Inspector este dezactivat, setat la Nici unul.

8. Din regulile NAT și Firewall Traffic, eliminăm serviciile de care nu avem nevoie și le adăugăm pe cele de care avem nevoie în consecință. bine, de exemplu ICQ Vă sfătuiesc să vă gândiți la ce adăugați și eliminați.

9. Uneori, unele servicii necesită o regulă separată, deoarece problemele ciudate încep odată cu celelalte. Ei bine, este mai ușor să urmăriți cum funcționează, desigur, înregistrând această regulă.

Câteva note:

10. Dacă doriți să puteți face ping la adrese externe de pe computerele client, adăugați serviciul Ping la regula NAT.

11. Dacă nu utilizați deloc VPN, dezactivați serverul VPN (Configurare > Interfețe > Server VPN Click dreapta> Editare > debifați Activare server VPN).
De asemenea, puteți dezactiva interfața Kerio VPN.

12. Dacă utilizați proxy-ul părinte, adăugați portul corespunzător la regula Firewall Traffic (Dacă standardul este 3128, atunci puteți adăuga serviciul HTTP Proxy). Și apoi din regula NAT trebuie să eliminați cel puțin serviciile HTTP și HTTPS.

13. Dacă trebuie să acordați acces la Internet unui anumit grup de utilizatori sau adrese IP, atunci creați o regulă similară cu NAT, doar că sursa acesteia nu este interfața locală, ci grupul dvs.

Mai jos este un exemplu mai mult sau mai puțin asemănător cu realitatea (al meu, desigur, dar nu chiar).

Exemplu.
Sarcină: distribuiți Internetul către toate computerele din rețea folosind un proxy opac, permiteți ICQ și FTP grupurilor selectate și descărcați e-mailul prin POP3 pentru toată lumea. Interziceți trimiterea de scrisori direct pe Internet, doar prin intermediul unui mail. Faceți acces la acest computer de pe Internet. Ei bine, este firesc să luăm în considerare notele.
Iată regulile gata făcute:

Scurte explicații ale regulilor:
Trafic local- până sus, așa cum a fost planificat.
Trafic NTP- o regulă pentru sincronizarea serverului de timp (192.168.0.100) cu sursele de timp exacte de pe Internet.
Trafic ICQ- o regulă care permite grupului de utilizatori „Permite grupului ICQ” să folosească ICQ.
Trafic FTP- o regulă care permite grupului de utilizatori „Allow FTP Group” să descarce fișiere de pe serverele FTP.
NAT pentru toți- a mai ramas putin din NAT ( mergem la Internet printr-un proxy), doar mail-ul gratuit si ping-ul Internet sunt permise tuturor utilizatorilor retelei.
Trafic de firewall- totul este clar cu aceasta, servicii permise pentru firewall. Vă rugăm să rețineți că serviciul SMTP a fost adăugat aici (dacă mailer-ul nu este pe același computer cu winrout, trebuie să faceți o regulă separată) și portul 3128 pentru proxy-ul părinte.
Service Ping- regula necesară pentru a face ping serverului nostru din exterior.
Administrator de la distanță- o regulă pentru accesul extern la consola KWF și KMS și la interfața lor web.
Serviciu Kerio VPN- regulă pentru accesul din afara clienților Kerio VPN.
Serviciu Win VPN- regulă pentru accesul de la clienții externi ai VPN nativ Windows
Serviciu RDP- o regulă pentru accesul de la clienții externi ai terminalului Windows (dar mai bine prin VPN).

Luăm în considerare cele mai frecvente trei cazuri generale:

1. Rețea peer-to-peer, fără domeniu, sau mai degrabă fără server DNS, o mașină separată cu Winroute instalat este folosită ca gateway către Internet;
2. O rețea cu un domeniu, serverul DNS este situat pe un DC (controler de domeniu), o mașină separată cu Winroute instalat este folosită ca poartă de acces la Internet;
3. O rețea cu un domeniu, serverul DNS este situat pe un DC, Winroute este instalat și pe acest DC.

A treia opțiune este categoric nu este recomandată din motive de siguranță și bun simț, dar, din păcate, este folosită destul de des în rețele mici, unde există deja un domeniu, dar nu există bani. În orice caz, nu vom lua în considerare această opțiune, deoarece setările sale nu sunt diferite de a doua opțiune, cu excepția faptului că numele și adresa serverului DNS coincid cu numele. și respectiv adresa computerului cu Winroute.

În orice caz, există un computer cu două plăci de rețea (una internă - se uită la rețeaua locală, cealaltă externă - respectiv la Internet), jucând rolul unui gateway prin care vom accesa Internetul și pe care Firewall-ul Kerio Winroute va fi instalat în mod natural.
Nu uitați că adresele de pe aceste plăci de rețea trebuie să fie din subrețele diferite, de exemplu. de exemplu cam asa:

192.168. 0 .1/24
192.168. 1 .1/24

din anumite motive, începătorii sunt foarte des prinși în asta, dacă de exemplu au un modem ADSL.

1. Configurarea DNS într-o rețea peer-to-peer.

Setări intern reţea:

192.168.0.1 - adresa IP a computerului cu Winroute
255.255.255.0 - masca.
192.168.0.1 - specificați adresa IP a aceleiași rețele ca și serverul DNS

ip 80.237.0.99 - IP real
masca 255.255.255.240 - masca
poarta 80.237.0.97 - gateway
dns 80.237.0.97 - furnizor de DNS

Dar! Nu le lovim orbește extern rețea, dar o facem puțin diferit:

ip 80.237.0.99
masca 255.255.255.240
poarta 80.237.0.97
dns 192.168.0.1 - ca server DNS principal indicăm adresa IP a rețelei interne;
80.237.0.97 —la fel de server DNS alternativ specificați serverul DNS al furnizorului

Clic Avansat. În fila DNS, debifați Înregistrați adresele acestei conexiuni în DNS, în fila WINS, debifați Activare căutare LMHOSTS și setați Dezactivați NetBIOS peste TCP/IP. De asemenea, bifați NU TREBUIE SA FIE pe Client pentru rețele Microsoft, echilibrarea sarcinii rețelei, eșec și partajarea imprimantei rețele Microsoft.

Apropo, este convenabil să redenumiți în față, numiți-o Conexiune la zonă locală, ci de exemplu Interfață de internet.

Apoi, accesați Panoul de control, Conexiuni de rețea, în această fereastră (fereastra Explorer) meniul Avansat -> Opțiuni suplimentare. În fila „Adaptoare și legături”, mutați „Conexiune la zona locală” în poziția de sus:

Pe computer client Setările plăcii de rețea vor fi cam așa:

ip 192.168.0.2
masca 255.255.255.0
poarta 192.168.0.1 -
dns 192.168.0.1 - Specificăm adresa IP a computerului cu Winroute ca server DNS principal

În Winroute, Configuration -> DNS Forwarder, bifați caseta „Activați redirecționarea DNS” și specificați serverele DNS ale furnizorului.

2. Rețea cu un domeniu, serverul DNS este situat pe DC (controler de domeniu), o mașină separată cu Winroute instalat este folosită ca poartă de acces la Internet

Setările nu sunt foarte diferite de versiunea anterioară, în principiu totul este la fel, doar:

2.1 În zonele de căutare înainte DNS, ar trebui să eliminați zona „.” dacă este acolo. După aceasta, reporniți serviciul Server DNS.

2.2 Pe controlerul de domeniu, în proprietățile DNS, trebuie să permiteți redirecționarea către adresa IP a serverului DNS al furnizorului, în acest caz 80.237.0.97 (și nu uitați să adăugați o regulă în Politica de trafic care să permită controlorului să acceseze serverul DNS al furnizorului):

2.3 Dezactivăm DNS Forwarder în Winroute (debifați caseta de selectare „Activați redirecționarea DNS”), deoarece îl avem deja pe serverul nostru DNS.

2.4 Este necesar să se creeze o zonă de căutare inversă pe controlerul de domeniu în DNS (administratorii corecti probabil au creat-o atunci când au crescut DNS), deoarece fără ea este imposibil să se determine numele computerului după adresa IP. Indicăm primele 3 grupuri de cifre ale adresei noastre IP ca cod de rețea.
Pentru a verifica, accesați proprietățile zonei și asigurați-vă că există serverul nostru DNS (sau serverele, dacă sunt mai multe) în fila „Servere de nume”. Dacă nu sunt suficiente servere, le adăugăm acolo. Este recomandabil să faceți acest lucru folosind „Review”. Toate. Tot ce rămâne este să activați actualizarea dinamică, astfel încât mașinile client să se înregistreze în această zonă, deși puteți face fără ea.

2.5 Setări pentru un computer din rețea internă cu Winroute:

ip 192.168.0.1 - adresa IP a computerului cu Winroute
masca 255.255.255.0 - masca
dns 192.168.0.100 -

NU specificam gateway-ul!

Setări de rețea externă:

ip 80.237.0.99
masca 255.255.255.240
poarta 80.237.0.97 - ca gateway indicăm adresa IP a gateway-ului dată de furnizor
dns 192.168.0.100 - specificați adresa IP a serverului DNS local (DC) ca server DNS principal

Nu specificam un server DNS alternativ! O avem în tranzit.

2.6 Setări client:

ip 192.168.0.2
masca 255.255.255.0
poarta 192.168.0.1 - specificați adresa IP a computerului cu Winroute ca gateway
dns 192.168.0.100 - specificați adresa IP a serverului DNS local (DC) ca server DNS principal

2.7 Pentru a verifica clientul, executați următoarele comenzi:

nslookup(GateWayName)
nslookup (GateWayIP)
nslookup yandex.ru
nslookup 213.180.204.11

Dacă, ca urmare a executării tuturor comenzilor de mai sus, nu există mesaje de eroare, atunci totul a funcționat pentru tine.

Se acceptă corecții și completări.

Cum să configurați distribuția Internet către utilizatori prin NAT în Kerio Winroute Firewall. Configurare NATîn Kerio Winroute Firewall.

Dat - Windows Server 2003 Server EE, cu Kerio Winroute Firewall 6.4.2 instalat și configurat.

Sarcină - Eliberați administratorul de sistem pe Internet nu printr-un proxy, ca toți ceilalți, ci prin NAT. Pentru ca contra și webmoney să poată fi lansate. Merge...

Mai întâi, să creăm o nouă regulă în secțiune Politica de trafic. Se va numi primul Regulă nouă.

Apoi, trebuie să adăugați o sursă. Adică computerul persoanei care va avea acces la Internet. În cazul nostru, acesta este un computer administrator de sistem. Am scris numele DNS al computerului din domeniu - sysadmin.local. De asemenea, puteți scrie adresa IP. Depinde de situatie.

După adăugare Sursă trebuie să adăugați și Destinaţie. În cazul nostru, aceasta este o conexiune de rețea numită Internet. Clic Adăugați -> Interfață de rețeași selectați conexiunea noastră la Internet din listă.

După adăugarea acestor parametri la regula noastră. Noi, parcă, sugerăm computerului că mașina sysadmin.local are acces la o conexiune la rețea Internet. În continuare, trebuie să specificăm tipul de conexiune, porturile și serviciile prin care va avea acest acces.

În câmp Serviciu nu vom adauga nimic. Există deja un sens acolo Orice. Obo înseamnă că accesul este deschis pentru toate porturile și serviciile.

În fila Traducere implicit este gol. Nu ne interesează acest lucru, așa că facem clic pe câmpul gol din filă Traducereși vedem o fereastră (Editați traducerea) Setări NAT în fața ta.

Trebuie doar să eliberăm utilizatorul pe internet pe toate porturile. Prin urmare alegem varianta „Traduceți în adresa IP a interfeței de ieșire (setări tipice)”. Cu această regulă, îi spunem lui Kerio că tot traficul de ieșire de la utilizator trebuie să fie transmis direct pe Internet. Puteți selecta orice interfață în care vor fi difuzate pachetele și o adresă IP. Dar nu avem nevoie de asta acum.

Faceți clic pe OK și vedeți regula noastră. Totul pare să fie în regulă, dar nu funcționează :) De ce?

Am uitat să permiteți regula și faceți clic pe butonul aplica. Pentru a activa regula, faceți clic pe câmpul gol de sub filă Acțiuneși selectați parametrul acolo Permite.

Acum regula noastră arată astfel:

Și funcționează. Utilizatorul are acces la Internet de ieșire NAT. Poate juca counter, Warcraft și rula Webmoney.

Pentru a organiza controlul în rețeaua locală a organizației noastre, am ales Kerio Control Software Appliance 9.2.4. Anterior, acest program se numea Kerio WinRoute Firewall. Nu vom lua în considerare argumentele pro și contra și de ce a fost ales Kerio, să trecem direct la subiect. Versiunea 7 și superioară a programului este instalată pe bare metal fără niciun sistem de operare. În acest sens, a fost pregătit un PC separat (nu mașină virtuală) cu următorii parametri:

procesor AMD 3200+;

HDD 500 GB; (mult mai puțin necesar)

— Placă de rețea – 2 buc.

Asamblam PC-ul, introducem 2 placi de retea.

Pentru a instala un sistem asemănător Linux, trebuie să creați suport de pornire– unitate flash sau disc. În cazul nostru, unitatea flash a fost creată folosind programul UNetbootin.

Descărcați aplicația software Kerio Control. (puteți cumpăra o licență sau descărca o imagine cu un activator încorporat)

Volumul imaginii Kerio nu depășește 300MB, dimensiunea unității flash este adecvată.

Introduceți unitatea flash în conectorul USB al computerului sau laptopului dvs.

Îl formatăm în FAT32 folosind Windows.

Lansați UNetbootin și selectați următoarele setări.

Nu atingem distribuția.

Imagine – standard ISO, indicați calea către imaginea Kerio descărcată.

Tip – dispozitiv USB, selectați unitatea flash dorită. BINE.

După ceva timp de creare, unitatea flash bootabilă este gata. Faceți clic pe ieșire.

Introducem unitatea flash bootabilă în computerul pregătit, o pornim Meniul de pornire selectați boot de pe USB-HDD. Când începe descărcarea, selectați Linux.

Va incepe Instalare Kerio Dispozitiv software de control 9.2.4. Alegeți o limbă.

Citiți contractul de licență.

Acceptăm apăsând F8.

Introdu codul 135. Programul avertizează că hard disk-ul va fi formatat.

Așteptăm ca instalarea să continue.

Sistemul se va reporni.

Așteptăm din nou.

In sfarsit au ajuns. Mesajul de pe ecran spune că trebuie să mergeți la adresa scrisă în browser pe orice computer care este conectat la aceeași rețea cu Kerio.

Nu vom face acest lucru deocamdată, dar trecem la Configurarea rețelei în Kerio însuși.

Configurarea interfeței de rețea Ethernet. Marcați cu un spațiu – Atribuiți o adresă IP statică.

Și noi îl numim.

Adresa IP: 192.168.1.250

Mască de subrețea: 255.255.255.0

Dacă, înainte de instalarea software-ului, cele două fire de rețea necesare pentru rețelele externe și interne au fost conectate la plăcile de rețea, atunci puteți uita de acest computer. L-am pus într-un colț și chiar am luat monitorul.

Acum, în browserul laptopului în care a fost creată unitatea flash bootabilă, merg la adresa:

https://192.168.1.250:4081/admin. Browserul poate raporta că există o problemă cu certificatul de securitate al acestui site. Faceți clic mai jos – Continuați să deschideți acest site web și veți fi dus la expertul de activare.

Desigur, nu transmitem statistici anonime, debifăm caseta.

introduce Parolă Nouă administrator.

Asta e tot. Salut Kerio.

De menționat că s-a decis schimbarea adresei IP selectate 192.168.1.250 pentru placa de rețea a rețelei interne la adresa 192.168.1.1 pentru a nu reconfigura foarte multe echipamente. Rețeaua a existat pentru o lungă perioadă de timp fără control și Kerio trebuia adăugat la el prin încorporare. După schimbarea IP-ului, pentru a ajunge la interfață trebuie să introduceți https://192.168.1.1:4081/admin. Mai jos in poza schema structurala conexiuni.

Inițial, toate funcțiile de rutare și DNS au fost efectuate de un modem cu o adresă IP de 192.168.1.1. La instalarea Kerio, modemului i s-a atribuit adresa 192.168.0.1 și accesează placa de rețea externă Kerio cu adresa 192.168.0.250. Adrese din aceeași subrețea. Placa de rețea internă a primit adresa pe care o avea modemul. Toate echipamentele din rețea cu adrese IP statice și un gateway înregistrat (și aceasta este aproape întreaga noastră rețea) au văzut noul gateway ca pe cel vechi și nici măcar nu au bănuit o înlocuire :)

Când lansați Kerio pentru prima dată, expertul vă solicită să configurați interfețele. Poate fi configurat fără a utiliza un expert. Să aruncăm o privire mai atentă la tot ceea ce este descris mai sus.

În fila Interfețe, selectați Interfețe Internet.

Vino cu un nume pentru tip Rețea externă sau Internet, implicit este WAN. Introducem manual adresa IP, masca, gateway-ul și datele DNS, toate în aceeași subrețea cu modemul. BINE.

Apoi, selectați următoarea conexiuneîn secțiunea Interfețe de încredere/locale – noastre rețeaua internă. Aceste elemente pot fi numite diferit în funcție de versiunea Kerio. Vino cu un nume și introduceți datele ca în imaginea de mai jos. Rețelele externe și interne nu pot fi pe aceeași subrețea. Acest lucru nu trebuie uitat. DNS de la Kerio. Nu scriem gateway-ul. BINE.

Faceți clic pe butonul Aplicați din partea dreaptă jos a ecranului, setările sunt activate. Să vă verificăm conexiunea la internet. Internetul funcționează.

Puteți continua să creați reguli de trafic, să filtrați conținutul, să vedeți cine descarcă torrenți și să supraîncărcați rețeaua, să limitați viteza sau să blocați. Pe scurt, Kereo funcționează pe deplin și are multe setări. Aici fiecare configurează ceea ce are nevoie.

Să ne uităm la încă una punct important– aceasta este deschiderea porturilor. Înainte de a instala Kereo, porturile au fost redirecționate către serverul din modem. De asemenea, inițial porturile necesare erau deschise în serverul însuși. Fără aceste porturi speciale. Software-ul serverului nu poate funcționa corect. Luați în considerare deschiderea portului 4443.

Modem HUAWEI HG532e, accesați el, pentru aceasta în bara de adresa browser introduce 192.168.0.1. Accesați filele Advanced—>NAT—> Port Mapping și introduceți datele ca în imaginea de mai jos.

Interfața este conexiunea noastră (în modul rută, de altfel).

Protocol – TCP/UDP.

Gazdă la distanță - nimic.

Port de pornire/port de sfârșit extern – 4443 (port extern).

Gazdă internă – 192.168.0.250 (adresa plăcii de rețea externă Kereo).

Port intern – 4443 (port intern).

Nume de cartografiere – orice nume prietenos.

Principiul de funcționare este astfel încât accesul de pe Internet la o adresă IP statică externă către portul 4443 va fi redirecționat către placa de rețea Kerio externă. Acum trebuie să ne asigurăm că cererea de pe placa de rețea externă este redirecționată către placa de rețea internă și apoi către serverul nostru de pe portul 4443. Acest lucru se face prin crearea a două reguli. Prima regulă permite accesul din exterior, a doua regulă permite accesul din interior.

Creăm aceste două reguli în fila Reguli de trafic. Diferența este în punctele sursă și destinație. Serviciul este portul nostru 4443. Vezi poza de mai sus.

În secțiunea Broadcast, faceți setările ca în imaginea de mai jos. Bifați caseta - NAT Destination Address și scrieți acolo adresa IP a serverului de destinație și portul dorit. BINE.

Faceți clic pe aplicați. Verificăm dacă portul este deschis în serviciul online. Portul este deschis.

Verificăm serviciile de server pentru care s-au făcut toate acestea - funcționează. Puteți deschide orice port într-un mod similar.

Alte setări pentru Kerio Control Software Appliance pot fi scrise în alte articole.

(conexiune optică)

Setări Server VPN Kerio pentru conectarea clienților VPN individuali.

Serverul VPN este folosit pentru a conecta capetele de la distanță ale tunelurilor VPN și clienții la distanță folosind Client VPN Kerio .server VPN disponibil în fila Interfețe (Interfețe)în secțiunea Setări/Interfețe (Configurare/Interfețe) ca interfață separată.

Mergem la această filă și printre interfețe vedem Serverul VPN dorit. Dublu click pe interfața serverului VPN se deschide un dialog care vă permite să setați parametrii serverului VPN (puteți, de asemenea, evidenția interfața și faceți clic pe Editare sau selectați Editare din meniul contextual).

În fereastra care se deschide, trebuie să activați serverul VPN (Activați serverul VPN). Și specificați adresa IP a rețelei pentru clienții VPN. În rețeaua mea, toți utilizatorii locali au adrese precum 192.168.100.xxx, iar toți clienții VPN au 192.168.101.xxx

Implicit (la prima pornire după instalare) WinRoute selectează automat o subrețea gratuită pentru a fi utilizată pentru VPN. La conditii normale Nu este nevoie să schimbați rețeaua implicită. U Asigurați-vă că subrețeaua client VPN nu intră în conflict cu subrețeaua locală!

În fila DNS, trebuie să specificați serverele DNS care vor fi alocate clienților dumneavoastră VPN. Acest lucru poate fi necesar într-o rețea de domeniu în care este necesar accesul la computere prin nume NS.

Utilizați servere DNS specifice - această opțiune vă permite să specificați serverele DNS primare și secundare pentru clienții VPN. Dacă rețeaua locală nu folosește Forwarder DNS, și un alt server DNS, apoi utilizați această opțiune.

Utilizatorii mei nu folosesc nume NS, așa că am lăsat totul aici fără excepții.

De asemenea, nu am nevoie de fila Avansat, dar vom scrie despre asta oricum.

Listen on port - Portul pe care serverul VPN acceptă conexiuni de intrare (se folosesc protocoalele TCP și UDP). Portul implicit este 4090 (în condiții normale nu este nevoie să schimbați portul).

Note:

1. Dacă serverul VPN rulează deja, atunci când portul este schimbat, conexiunea cu toți clienții VPN va fi deconectată automat.
2. Dacă serverul VPN nu poate rula pe portul specificat (portul este utilizat de un alt serviciu), următorul mesaj de eroare va apărea în jurnalul de erori (consultați capitolul Jurnal de erori) când faceți clic pe Aplicare: (4103:10048) Eroare socket: Nu se poate lega soclul pentru service la portul 4090.
   (5002) Nu s-a pornit serviciul „VPN”
   legat la adresa 192.168.1.1.

   Pentru a vă asigura că portul specificat este într-adevăr liber, verificați jurnalul de erori pentru intrări similare.

Rute personalizate

În această secțiune, puteți defini alte rețele către care vor fi stabilite rute prin tunelul VPN. În mod implicit, rutele către toate subrețelele locale sunt definite pe partea serverului VPN - vezi capitolul Schimb de informații de rutare).

Sfat: utilizați masca de rețea 255.255.255.255 pentru a determina ruta către o anumită gazdă. Acest lucru poate ajuta, de exemplu, atunci când adăugați o rută la un nod din DMZ de pe serverul VPN.

Prima regulă permite utilizatorilor de Internet să acceseze serverul VPN utilizând protocolul Kerio VPN (portul 4090).

Aici vor fi afișați utilizatorii conectați. În setările utilizatorilor înșiși, puteți configura dacă serverul VPN va emite adrese clienților sau puteți Client VPN atribuiți o anumită adresă IP rețelei.

Asta e tot. Dacă ceva nu este clar, vă rugăm să întrebați aici.