Установка и настройка Kerio Control | Softmagazin

Базовая настройка kerio control

В принципе, все параметры работы Kerio Control можно настраивать вручную. Однако для первоначального внедрения гораздо удобнее воспользоваться специальным мастером, который запускается автоматически. На первом его шаге предлагается ознакомиться с основной информацией о системе.

Второй этап – выбор типа подключения к Интернету. Всего здесь доступно четыре варианта, из которых необходимо выбрать наиболее подходящий для конкретной локальной сети.

  • Постоянный доступ – интернет-шлюз имеет постоянное подключение к Интернету.
  • Дозвон по запросу – Kerio Control будет самостоятельно устанавливать подключение к Интернету по мере необходимости (при наличии интерфейса RAS).
  • Переподключение при отказе – при разрыве связи с Интернетом Kerio Control будет автоматически переключаться на другой канал (нужно два подключения к Интернету).
  • Распределение нагрузки на каналы – Kerio Control будет одновременно использовать несколько каналов связи, распределяя нагрузку между ними (необходимо два или более подключений к Интернету).

На третьем шаге нужно указать сетевые интерфейс или интерфейсы, подключенные к Интернету. Программа сама обнаруживает и выводит все доступные интерфейсы в виде списка. Так что администратору остается только выбрать подходящий вариант. Стоит отметить, что в первых двух типах подключений нужно устанавливать только один интерфейс, а в третьем – два.

Настраиваем систему безопасности

В Kerio Control реализованы широкие возможности по обеспечению безопасности корпоративной сети. В принципе, защищаться от внешних угроз мы уже начали, когда настроили работу файрвола. Кроме того, в рассматриваемом продукте реализована система предотвращения вторжений. Она по умолчанию включена и настроена на оптимальную работу. Так что ее можно не трогать.

Следующий шаг – антивирус. Тут стоит отметить, что он есть не во всех версиях программы. Для использования защиты от вредоносного ПО Kerio Control должен быть приобретен со встроенным антивирусом, либо на интернет-шлюзе должен быть установлен внешний модуль антивируса.

Для включения антивирусной защиты необходимо открыть раздел “Конфигурация->Фильтрация содержимого->Антивирус”. В нем нужно активировать используемый модуль и отметить с помощью чекбоксов проверяемые протоколы (рекомендуется включить все).

Настройка kerio winroute firewall 6 в сети с доменом

Рис. 1. Схема локальной сети.

Первое что вам нужно сделать – это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.

  • Открываем пунктменюInterfaces:

    • 2.gif

    Рис. 2. Interfaces.

    Поясню назначения интерфейсов:

    • LAN – сетевая карта, смотрящая в локальную сеть
    • INTERNET – сетевая карта, смотрящая в интернет и имеющая реальный IP
  • Переходим к самому главному – пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:
    • Похожее:  Системные программы

    3sm.gif

    Рис. 3. Traffic policy.

    Поясню смысл полей и правил в целом:

    Пояснения по правилам, показанным на рисунке 3:

    Примечание: правила обрабатываются сверху вниз и действуют по принципу “запрещено ВСЁ кроме разрешенного”

  • Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера возможна настройка файла HOSTS

    • 4.gif

    Рис. 4. DNS Forvarder.

    Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие “дружественные” подсети) настраивать жёсткую привязку к определенным ДНС:

    5.gif

    Рис. 5. Custom DNS Forvarding.

    Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:

    6.jpg

    Рис. 6. Настрока пересылки.

    Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.

  • HTTP Policy:

    В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):

    7.gif

    Рис. 7. HTTP Policy.

    На рисунке 7 создана группа “локал” и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.

    На следующей картинке показаны HTTP – правила, с применением групп адресов:

    8.gif

    Рис. 8. HTTP Policy.

    Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю “генка” доступ по HTTP – БЕЗ авторизации.

    Контентные правила оставляем по умолчанию:

    9.gif

    Рис. 9. Content Rules.

    Кеш отключаем:

    10.gif

    Рис. 10. Cache.

    На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):

    11.gif

    Рис. 11. Proxy Server.

    Закладку Forbidden words не трогаем.

  • Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):

    • 12.gif

    Рис. 12. Antivirus.

    Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):

    13.gif

    Рис. 13. HTTP, FTP Scanning.

    Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):

    Похожее:  Личный кабинет налогоплательщика физлица: вход, регистрация, официальный сайт

    14.gif

    Рис. 14. Email Scanning.

  • Пункт менюAddress Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания “индивидуальных” правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):

    • 15.gif

    Рис. 15. Address Group.

  • В менюTime Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):

    • 16.gif

    Рис. 16. Time Ranges.

  • Меню Services:

    • 17.gif

    Рис. 17. Services.

    Список всевозможных “сервисов”, которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого “протоколинспектора”, призванного следить за “правильностью” пакетов и отличать настоящий трафик от “ложного”.

    Ниже приведен пример создания нового “сервиса” для винрута с названием “http (на нестандартном порту)”, это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:

    18.gif

    Рис. 18. Создание сервиса.

    Данная картинка показывает, как сделать “сервис”, например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.

  • Меню Advanced Options:

    • 19.gif

    Рис. 19. Advanced Options.

    Отключаем все галочки.

    20.gif

    Рис. 20. Advanced Options.

    Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.

    21.gif

    Рис. 21. Advanced Options.

    В общем, настройки ISS (оранж фильтра) у меня вот такие…

    22.gif

    Рис. 22. Advanced Options.

    Настроечки для автоматической проверки новых версий.

    23.gif

    Рис. 23. Advanced Options.

    Тут настраиваемчерезкакойпочтовыйсервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике всевозможные алерты).

    24.gif

    Рис. 24. Advanced Options.

    Тут включаем пользовательскую статистику.

    Настраиваем логи:

    25.gif

    Рис. 25. Logs and Alerts.

    Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:

    26.gif

    Рис. 26. Add Alert.

  • Меню Users и Group – там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того, что бы можно было делать разные трафик полиси для пользователейгрупп, а так же применять HTTP-правила доступа для юзеровгрупп индивидуально.

    • 27.gif

    Рис. 27. Users.

    На картинке так же показано как “привязать” пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.

    Похожее:  Личный кабинет Россельхозбанка - онлайн вход и регистрация

    В общем, тут всё понятно.

  • Включаем обязательную авторизацию (работает только для HTTP ):

    • 28.gif

    Рис. 28. Users.

    Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.

    29.gif

    Рис. 29. Users.

    Можно идентифицировать доменных пользователей.

    Последнее, что нам остается сделать – настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером NAT в интернет.

    Рис. 30. Настройка компьютера пользователя.

    В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).

    P.S. Данныенастройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.

    §

    Пользователи и группы

    После первоначальной настройки системы можно приступать к внесению в нее пользователей. Однако удобнее сначала разбить их на группы. В этом случае в будущем ими будет легче управлять. Для создания новой группы перейдите в раздел “Пользователи и группы->

    Группы” и нажмите на кнопку “Добавить”. При этом будет открыт специальный мастер, состоящий из трех шагов. На первом нужно ввести имя и описание группы. На втором можно сразу добавить в нее пользователей, если, конечно, они уже созданы.

    Установка и настройка kerio control | softmagazin

    Для обеспечения соединения между двумя удаленными точками, например, главным офисом и филиалом, можно использовать не подключение не только по VPN-протоколу, но и IPSec. С помощью программы, находящейся в центральном офисе, нужно создать новый туннель IPSec. В параметрах задайте ip-адрес, предопределенный ключ, локальный и удаленный ID, а также другие необходимые настройки.

    Далее добавьте правила фаервола, политики шифрования и поработайте с настройками Peers. Так как в программе задана возможность автоматической генерации политик, при установке соединения они будут сразу же созданы. На роутере в удаленном офисе также появится политика для подсети, и туннель будет создан.

    Поводим итоги

    Итак, как мы видим, несмотря на широкие функциональные возможности Kerio Control, организовать с его помощью групповую работу пользователей корпоративной сети в Интернете достаточно просто. Понятно, что мы рассмотрели только базовую настройку этого продукта. Приобрести Kerio Control можно у партнеров 1Софт.

    Марат Давлетханов

    1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
    Загрузка...

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *