Kerio WinRoute Firewall

Материал из VTK Wiki

Перейти к: навигация, поиск

Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа. Он разработан для операционных систем Windows NT 4.0, 2000 и XP.

Базовые Свойства

Прозрачный доступ в Интернет

Технология Передачи Сетевого Адреса (Network Address Translation (NAT))позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический). В отличие от прокси серверов, технология NAT делает доступным все Интернет службы с любой рабочей станции. При этом можно использовать стандартные сетевые приложения, как если бы все компьютеры локальной сети имели собственные соединения с Интернет.

Безопасность

Интегрированный брандмауэр защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями. Kerio WinRoute Firewall предлагает такой же стандарт безопасности, как и гораздо более дорогие программные продукты.

Контроль Доступа

Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.

Поддержание Протоколов (Инспекторы Протоколов)

Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.

Конфигурация Сети

WinRout имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети. Параметры для каждой рабочей станции могут устанавливаться централизованно из одного места. Это уменьшает затраты времени, необходимые для конфигурации сети и минимизирует возможность ошибки.

Модуль DNS форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кэширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кэш-памяти. Это значительно повышает скорость ответов на частые запросы. В комбинации с сервером DHCP и системными файлами узлов, DNS форвардер может использоваться как динамический DNS сервер для локального домена.

Удаленное Администрирование

Все настройки выполняются в Администраторском Терминале (Kerio Administration Console), это независимый администраторский терминал, используемый для управлением всеми функциями сервера Kerio. Он может работать и на рабочей станции с WinRoute, и на другом узле в пределах локальной сети или Интернет. Связь между WinRoute и администраторским терминалом кодируется и защищена от перехвата или несанкционированного использования.

Различные Операционные Системы в Пределах Локальной Сети

WinRoute работает со стандартным протоколом TCP/IP. С точки зрения рабочих станций локальной сети, он действует как стандартный маршрутизатор, при этом не требуется никаких специальных приложений для клиентов. Следовательно, в локальной сети может работать любая операционная система с TCP/IP, например, Windows, Unix/Linux, Mac OS и др.

Примечание: WinRoute может работать только с установками протокола TCP/IP. Он не влияет на работу других протоколов (т.е. IPX/SPX, NetBEUI, AppleTalk и др.).

Дополнительные Свойства

Фильтр Контента

WinRoute может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скаченные объекты могут также прозрачно проверяться внешними антивирусными приложениями.

Антивирусная проверка (редко используется)

WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.

Почтовые уведомления

WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях. Эта функция облегчает работу администратора, т.к. не приходится часто соединяться с WinRoute и полностью его проверять. Все отправленные уведомления сохраняются в регистрационный файл.

Пользовательские квоты

Для каждого пользователя можно установить ограничения по передаче данных. Эти ограничения можно устанавливать на количество скачиваемых/выгружаемых данных в день/месяц. Эти ограничения называются квотами. Если квота превышена, то для соответствующего пользователя будет блокироваться соединение с Интернет. Пользователю может быть отправлено почтовое уведомление.

Блокировка сетей P2P

WinRoute может определять и блокировать так называемые "равноправные" сети (Peer-to-Peer networks) (это сети, применяемые для общего использования файлов, например, Kazaa, DirectConnect и др.)

Статистика

WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).

Личный VPN сервер и клиент

WinRoute также решает проблему личного VPN, который можно использовать в режимах сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже множественный). Программа Kerio VPN Client включена в пакет WinRoute и может использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с локальной сетью).

Источник: Домister.ru, Ликвидация предприятий


Настройка Kerio Control для доступа локальной сети в Интернет и внутреннюю сеть ВТК.

Часто многие сталкиваются с проблемой доступа более 1 домашнего компьютера в сеть интернет и сеть ВТК. Конечно можно использовать роутер, но здесь есть ряд "проблем", перечислю некоторые недостатки: невозможность контролировать потребляемый трафик пользователями, невозможность настройки контеннтных фильтров, невозможность выхода одновременно в несколько сетей (использование маршрутов) т.к. фактически сеть ВТК и Интернет это две разные сети, если к примеру вы в роутере настроите PPPoE соединение то качать с безлимитной скоростью с сети ВТК вы не сможете. И так далее. Есть альтернатива - использовать Kerio.

Ниже я приведу самые простейшие функции Kerio.

Итак, нам необходим компьютер с 2-я сетевыми картами. Одна сетевая карта у нас должна "смотреть" в сеть ВТК через DSL модем или напрямую. Вторая в нашу локальную сеть (другой компьютер, точку доступа, свитч). В нашем примере пусть она "смотрит" в другой компьютер, хотя от этого в настройке ничего не меняется. Так же у нас должно быть создано PPPoE соединение.

Kerio1.jpg

Вот так это примерно должно выглядеть.

VTK Inet - Наше PPPoE соединение, которое мы создали при помощи мастера. Как это делать, я рассматривать не буду.

VTK - Сетевая карта которая "смотрит" в сеть ВТК. Соответственно она имеет IP адрес типа 192.168.х.х; маску 255.255.255.0; шлюз 192.168.y.y; и ДНС 85.15.64.49

LOCAL - Интерфейс локальной сети. Я ей присвоил IP 10.10.10.1 mask 255.255.255.0 Напомню Вам, что в локальных сетях можно использовать только "серые" IP-адреса (192.168.0.0 — 192.168.255.255; 10.0.0.0 — 10.255.255.255; 172.16.0.0 — 172.31.255.255) Т.о. использовать диапазон 192.168.0.0 мы не можем т.к. он использован в сети ВТК, 172.16.0.0 мне тупо не правится, а 10.10.10.0 вполне красиво :). Вы можете использовать и другие IP адреса таки как: (10.1.1.1 10.10.1.1 10.2.2.1 и т.д.), кому как нравится.

Теперь устанавливаем Kerio Control. Как установить подобно расписывать не буду, просто жмём далее и всё, перезагружаемся (хотя не обязательно), лицензируем (всеми доступными методами). Скачать Kerio Contol всегда можно с моей публикации.

Переходим непосредственно к настройке.

Запускаем консоль администрирования и переходим в раздел "Интерфейсы".

Kerio3.jpg

Тут Мы видем все наши сетевые интерфейсы. Для удобства я рекомендую разбить их на группы. Сделать это можно нажав 2 раза на интерфейс и выбрав нужную группу.

Kerio4.jpg

Для PPPoE интерфейса рекомендую установить следующие параметры дозвона.

Kerio5.jpg

Регистрационные данные - это логин и пароль из договора. Так же можно задать интервал времени в каком поддерживать подключение, по умолчанию стоит "всегда", но можите задать свой интервал времени.

Теперь наши сетевые интерфейсы разбиты по группам.

Kerio6.jpg

Теперь переходим в самый главный раздел - "Правила трафика."

Kerio7.jpg

Постараюсь как можно проще объяснить что тут к чему.

1 - Имя правила (любое)

2 - Источник. От куда пойдёт трафик.

3 - Назначение. Куда пойдёт трафик.

4 - Служба. По какому порту (какой порт открыт). Если стоит любой, то значит доступ разрешён по любому потру. В данном поле можно задать 1 или несколько портов (служб). Можно либо задать порт вручную, либо выбрать уже из готового списка служб использующих стандартные порты.

5 - Действие. Устанавливает разрешение или запрет для данного правила.

6 - Трансляция. Включает NAТ или Forward на конкретный IP.

Как вы можете видеть по умолчанию создано 2 правила. Верхнее разрешает любой исходящий трафик с этого компьютера. Нижнее блокирует весть остальной трафик не удовлетворяющий условиям верхних правил. Сразу упомяну, что правила обрабатываются сверху вниз.

Теперь создадим свои правила. Для этого нажмите кнопку "Добавить" Двойной клик по определённому полю правила вызовет диалог редактирования.

Kerio8.jpg

Тут можно задать название правила.

Kerio9.jpg

В этом диалоге выбираем интерфейсы.

В конечном итоге получим нечто подобное.

Kerio10.jpg

Теперь расскажу что тут к чему, и что всё это значит.

Как Вы ведите создано несколько правил. Поясню какое что значит.

Правило 0 - Блокирует весь трафик не попавший под условия вышеизложенных правил.

Правило 1 - Позволяет данному компьютеру "ходить" куда угодно по любому порту.

Правило 2 - Разрешает локальную сеть. Т.е позволяет компьютерам из локальной сети получать доступ к денному компьютеру по любому протоколу.

Правило 3 - Разрешает локальной сети ходить в интернет и сеть ВТК под средством NAT. Прошу обратить внимание, что в данном правиле включена трансляция NAT.

Правило 4 - Разрешает torrent на данном компьютере. (Мой торрент клиент настроен на использование порта 55666. У вас скорее всего будет другой).

Правило 5 - Разрешает torrent на компьютере в сети имеющим IP 10.10.10.2, обратите внимание, что включена трансляция на этот IP. (Соседний торрент клиент в данном примере настроен на использование порта 12345. У вас скорее всего будет другой).

Правило 6 - Разрешает доступ из интернета к созданному на этом компьютере серверу StarCraft.

Поясню момент, для тех кто не понял. Firewall - это компьютер на котором, непосредственно, и установлен Kerio.

Теперь Вам необходимо сконфигурировать IP на соседнем компьютере. Например вот так.

Kerio2.jpg

Если же вы используете DHCP, то установите на автоматички получать iP и DNS. Но о том как настроить DHCP далее.


Автор: FOX [1]

Источник — «http://help.vth.ru/Kerio_WinRoute_Firewall»