Настройка kerio в локальной сети. Kerio winroute firewall: правильные traffic policy!!! Настройка DNS в одноранговой сети

Продолжаем видео-обзор программного комплекса Nero 9. В этой, заключительной части рассмотрим, как пользоваться программой Nero Wave Editor, Nero Soundtrax и рядом других полезных утилит. Но, в начале, как всегда, пару слов технического описания по каждой утилите. Кому не терпится, переходите сразу к просмотру видео-инструкции Nero Wave Editor или другой нужной вам утилиты.

Nero Wave Editor — простой аудио-редактор, обладающий базовыми (наиболее востребованными) инструментами для обработки и редактирования аудиофайлов с использованием различных методов оптимизации и фильтрации звука. Имеет встроенную функцию звукозаписи. Также данный редактор предоставляет возможность быстрой записи готового проекта на диск с помощью утилиты Nero Express или Burning ROM.

Программа имеет русский интерфейс, простая в использовании, не требовательна к ресурсам системы и, к тому же, бесплатная.

Возможности программы Nero Wave Editor:

- Эффекты: задержка, нарастание/затухание, эхо, псевдореверс, хор и др.

- Инструментальные средства: эквалайзер, стерео-процессор, шумовой вход и др.

- Алгоритмы улучшения: экстраполяция полосы, шумоподавитель, удаление щелчков.

- История редактирования, позволяющая отменить выполненные действия.

- Набор различных фильтров.

- Расширение возможностей за счет плагинов.

Поддержка компрессии в формат mp3PRO.

Урок 25. Обзор интерфейса Nero Wave Editor. Как пользоваться редактором?

Урок 26. Редактирование звукового файла

Nero SoundTrax (создание и ремикс саундтреков)

Nero SoundTrax — многофункциональное приложение программного пакета Nero, предназначенное для записи, обработки, микширования и редактирования аудио дорожек, оцифровки музыки, создания собственных саундтреков, а также записи проекта на CD-диск. В программе имеются разнообразные шаблоны, инструменты, эффекты, поддержка плагинов и подключаемых модулей, возможность экспорта файлов в различные аудио-форматы и многое другое. Интерфейс программы состоит из нескольких мастеров, которые упрощают процесс создания собственных произведений. Данная утилита будет отличным подспорьем для начинающих Ди-джеев.

Инструменты и возможности

Шаблоны

Благодаря наличию в программе комплекта шаблонов, для создания даже сложных проектов достаточно будет минимальных знаний и навыков. Необходимо только выбрать один из предоставляемых шаблонов и Nero SoundTrax сам откроет необходимое количество дорожек.

ScratchBox (микшер)

Данный компонент представляет собой удобный и многофункциональный программный аналог микшерского пульта, с помощью которого можно качественно свести все аудио дорожки.

SoundBox (создание аудиоклипов)

К вашим услугам различные ритмы, музыкальные жанры и инструменты, возможность добавления в аудиоклипы фоновых шумов. Также вы можете вводить текст, который будет озвучен «электронным голосом» и будет произноситься в определенные вами моменты времени.

Оцифровка звука

Nero SoundTrax имеет в своем арсенале инструменты, которые помогут пользователям в оцифровке музыки с таких устаревших аналоговых носителей, как аудиокассеты, бобины, грампластинки, преобразуя ее (музыку) в современные цифровые аудио форматы.

Звукозапись

Данная программа легко справляется также с записью звука, поступающего с внешних источников, к примеру, микрофона или гитары. Достаточно подсоединить нужный источник и включить запись, нажав на соответствующую кнопку. По окончании звукозаписи дорожку можно редактировать, используя имеющийся инструментарий, например нормализация, нарастание, затухание, или дополнительные специфические инструменты, такие как хорус, ревербератор, эквалайзер и др.

Программное приложение SoundTrax нельзя отнести к разряду профессиональных. Тем не менее, каждый рядовой пользователь сможет получить дополнительные навыки, так сказать, азы музыкальной обработки и микширования дорожек в реальном времени. Данное приложение сыграет большую роль в освоении вами базовых процессов создания разнообразных композиций и, тем самым, подготовит вас к использованию более профессиональных виртуальных студий.

И так, смотрим видеоуроки.

Урок 27. Обзор интерфейса Nero SoundTrax

Урок 28. Создание простого микса

Урок 29. Создание проекта 5.I Surround с дискретными каналами

Урок 30. Оцифровка звука с внешних (аналоговых) носителей

Дополнительные утилиты,
входящие в программный пакет:

Nero ControlCenter

С помощью приложения Nero ControlCenter можно получить сведения о лицензии программных продуктов Nero, удалить или добавить серийный номер, а также обновить любой из установленных продуктов до более новой версии. Здесь же расположена функция управления языками компонентов Nero.

Урок 31. Nero ControlCenter

Nero BurnRights

Данная утилита предназначена для разграничения прав пользователей компьютера на запись дисков.

Урок 32. Nero BurnRights

Nero RescueAgent

Очень полезная утилита, с помощью которой вы сможете легко и быстро восстановить поврежденные файлы, например, с поцарапанных или старых носителей.

Поддерживает следующие носители информации:

- Жесткий диск

- CD/DVD диски

- Внешние накопители (USB)

- Дискеты

Карты памяти

Урок 33. Nero RescueAgent

Nero DiscSpeed

Одна из лучших утилит для тестирования CD-DVD дисков и приводов. Тестирует скорость передачи, пиковую скорость, загрузку CPU, качество DAE, загрузку/выброс, раскрутку/остановку, тест переполнения, качество диска и др. Результаты создаются в виде текстового протокола или графического элемента.

Урок 34. Nero DiscSpeed

Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью , сделайте это сейчас.

Все ниженаписанное было испробовано на версии KWF 6.2.1, но будет работать и на всех версиях 6.xx, для следующих версий если и будут изменения, то не думаю, что значительные.

Итак, сетевые интерфейсы настроены, Kerio Winroute Firewall установлен, первое, что делаем, заходим в Configuration > Traffic Policy и запускаем Wizard. Даже если до этого вы его уже запускали. Мы же делаем правильно, так?

1. С первым и вторым шагами визарда все понятно, на третьем выбираем внешний сетевой интефейс (Internet Interface, Wizard почти всегда сам определяет его правильно).

2. Далее, шаг четветый, самый важный.
По умолчанию KWF предлагает вариант «Allow access to all services (no limitations)», но! Постоянно сталкиваемся с тем, что такие правила KWF обрабатыват мягко говоря странно, проблемы с сервисом 🙂 ANY сплошь и рядом.

Поэтому выбираем второй вариант, Allow access to the following services only . Неважно, что KWF вам возможно предложит немного не те сервисы, какие вам нужны, но все это можно добавить или убрать позднее.

3. На пятом шаге создаем правила для VPN, те кому они не нужны, могут убрать галки. Но опять же можно это сделать и потом, если не уверены.

4. Шаг 6-й, тоже довольно важный. Здесь создаем правила для тех сервисов, которые должны быть доступы извне, из Интернета. Советую добавить хотя бы парочку сервисов, вам самим потом проще будет увидеть, как строится такое правило.
Например:

сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15

5. Шаг седьмой, естественно включаем NAT, даже кому и не нужно будет (маловероятно конечно), всегда его можно выключить.
На восьмом шаге жмем Finish.

Получается у нас что-то типа того:

Небольшие пояснения для тех, кто мануал не хочет читать:
Правило NAT — в нем собственно те сервисы, которым разрешен доступ в интерет с клиентских машин.
А правило Firewall Traffic — это правило для той машины, на которой KWF стоит.
Красненькие правила ниже — для доступа из Интернета к одноименным сервисам.

В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:

6. Правило Local Traffic передвигаем на самый верх, ибо правила обрабатываются сверху вниз и поскольку локальный трафик как правило превалирует над остальным, это позволит снизить нагрузку на шлюз, чтоб он не гнал пакеты от локального трафика через всю таблицу правил.

7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None .

8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ 🙂 Советую думать над тем, что вы добавляете и удаляете.

9. Иногда для некоторых сервисов требуется отдельное правило, потому что вместе с остальными начинаются непонятные глюки. Ну и отследить как оно отрабатывает проще конечно, поставив логгирование этого правила.

Несколько примечаний:

10. Если хотите, чтобы с клиентских компьютеров можно было пинговать внешние адреса, то добавьте сервис Ping в правило NAT.

11. Eсли не используете VPN совсем, отключите VPN-сервер (Configuration > Interfaces > VPN Server правой кнопкой > Edit > убрать галку Enable VPN Server).
Еще можно отключить интерфейс Kerio VPN.

12. Если используете Parent proxy, добавьте в правило Firewall Traffic соответствующий порт (Если стандартный 3128, то можно добавить сервис HTTP Proxy). А из правила NAT тогда нужно убать как минимум HTTP и HTTPS сервисы.

13. Если доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа.

Ниже более-менее похожий на реальность (мою естественно 🙂 , но не совсем) пример.

Пример.
Задача: раздать интернет всем компьютерам из сети, используя непрозрачный прокси, разрешить ICQ и FTP избранным группам, а скачивание почты по POP3 всем. Запретить отсылать письма напрямую в Интернет, только через почтовик. Сделать доступ к этому компьютеру из интернета. Ну и учесть примечания естественно.
Вот сразу правила готовые:

Краткие пояснения по правилам:
Local Traffic — на самый верх, как и собирались.
NTP Traffic — правило для синхронизации сервера времени (192.168.0.100) с источниками точного времени в интернете.
ICQ Traffic — правило, разрешающее группе пользователей «Allow ICQ Group» пользоваться аськой.
FTP Traffic — правило, разрешающее группе пользователей «Allow FTP Group» скачивать файлы с FTP-серверов.
NAT for all — мало от НАТа осталось (мы же через прокси ходим в интернет) только free mail и ping интернета всем пользователям сети разрешен.
Firewall Traffic — с этим все понятно, разрешенные сервисы для фаервола. Обратите внимание, что сюда добавлен сервис SMTP (в случае, если почтовик находится не на том же компьютере, что и винроут, нужно сделать отдельное правило) и порт 3128 для парент прокси.
Service Ping — правило, нужное для того, чтобы пинговать наш сервер снаружи.
Remote Admin — правило для доступа снаружи к консоли KWF и KMS, к веб-интерфейсу их же.
Service Kerio VPN — правило для доступа снаружи клиентов Kerio VPN.
Service Win VPN — правило для доступа снаружи клиентов родного виндового VPN
Service RDP — правило для доступа снаружи клиентов виндового терминала (но лучше через VPN).

Адресу работает, а по имени сервера - нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена (по определению тов. Naliman-а;), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), через который мы и будем выходить в Интернет, и на который естественно:) будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:

Цитата:

192.168. 0 .1
192.168. 1 .1

почему-то новички очень часто на этом попадаются, если у них например ADSL -модем стоит.

1. Настройка DNS в одноранговой сети.

Настройки внутренней сетевой

Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

Жмем Advanced . В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP . Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing , Fail and Printer Sharing Microsoft Networks.

Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.

На клиентском компьютере настройки сетевой карты будут примерно такие:

В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.

2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;

Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:

2.1 В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".

2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.

2.3 Настройки внутренней сетевой

Шлюз НЕ указываем!

Настройки внешней сетевой:

2.4 Настройки клиента:

3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Все настройки идентичны первому случаю, за исключением некоторых очень важных моментов:

3.1 В сети, которая подключена к Интернету через шлюз, являющийся контроллером домена с запущенной службой DNS-сервер, на этом контроллере в конфигурации внутреннего и внешнего интерфейса DNS-сервер должен быть настроен сам на себя.
В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
В свойствах DNS-сервера на закладке "Пересылка" (Forwarding) следует разрешить пересылку на DNS-сервер провайдера. Перезапустить службу "DNS-сервер"

3.2 Необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS:)), так как без нее DNS-сервер не может определить свое имя. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке "Серверы имен". Если серверов не хватает, добавляем их туда. Желательно делать это с помощью "Обзора". Всё. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

3.3 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97;

3.4 DNS Forwarder в Winroute выключаем (убираем галку "Enable DNS Forwarding");

3.5 Настройки внешнего интерфейса на сервере:

Для проверки на клиенте следует выполнить команды:

Код:

nslookup {GateWayName}
nslookup {GateWayIP}
nslookup yandex.ru
nslookup 213.180.204.11

Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках - значит все у вас получилось.

P.S. Если у вас что-то не работает, пожалуйста не задавайте ваш вопрос в этой теме, а создайте отдельную (не забыв подробно описать проблему, телепатов тут нет. Также укажите результат работы команды ipconfig /all с компьютера с winroute и клиентского компьютера).

ОПИСАНИЕ

Основная задача корпоративного межсетевого экрана - контроль входящего и исходящего сетевого трафика на соответствие корпоративной политике безопасности.

Kerio WinRoute Firewall обеспечивает возможность детального определения правил доступа для проверки всего интернет-трафика и приведения его в соответствие с корпоративной политикой безопасности. Мастер настройки сетевых правил помогает быстро установить и настроить файрвол.

Kerio WinRoute Firewall - это устойчивый сетевой брандмауэр, работающих на уровнях TDI/NDIS операционной системы. Технология глубинной проверки, применяемая при анализе входящего и исходящего трафиков, помогает обеспечить высочайший уровень безопасности для всей локальной сети, а также для отдельных компьютеров, работающих в сети.

функциональные возможности

Политика трафика

Безопасность Kerio WinRoute Firewall основана на правилах, применяемых к трафику, и позволяет настраивать в единой удобной таблице пакетные фильтры, NAT (трансляцию сетевых адресов), отображение портов и контроль доступа.

Встроенный мастер настройки существенно упрощает процесс создания и настройки необходимых сетевых правил. Настройка брандмауэра и подключение сети к интернет занимает буквально минуты.

Система предотвращения вторжений

Необходимым условием сертификации ICSA Labs сетевого файрвола является возможность распознавания хакерских атак и вторжений. Попытки всех подобных действий протоколируются в журнале безопасности.

Анти-спуфинг

Анти-спуфинг - это компонент пакетного фильтра Kerio WinRoute Firewall, обеспечивающий дополнительный уровень защиты для локальной сети против атак, при которых хакер применяет IP-адрес источника.

Журналы брандмауэра

Важная функция любого продукта, обеспечивающего безопасность систем - это возможность детальной записи происходящих событий.

Kerio WinRoute Firewall записывает события в нескольких различных журналах - сообщения об ошибках, отладочные события, настройки пользователя, статус, веб-серфинг, сканирование портов и т.д.

Ведение журнала может быть активировано для любого из правил, определенных в таблице правил трафика. Таким образом, администратор получает полный контроль над соединениями, устанавливаемыми через межсетевой экран.

Контроль протоколов

Данная функция позволяет отдельным приложениям с собственными протоколами (изначально не предполагающими наличие межсетевого экрана) безопасно работать в локальных сетях. Множество протоколов может быть просканировано, отфильтровано или модифицировано, что повышает общую надежность работы брандмауэра.

Kerio Winroute Firewall - Сервер и клиент VPN

Для всех современных деловых людей, путешествующих или работающих дома, защищенное подключение к корпоративной сети является необходимым условием. С помощью Kerio WinRoute Firewall установка виртуальной частной сети практически не требует усилий. Сервер и клиенты VPN являются составляющей частью возможностей Kerio WinRoute Firewa lпо безопасному удаленному доступу.

Использование Kerio VPN позволяет пользователям удаленно подключаться к ресурсам корпоративной сети, таким как файловые серверы, серверы баз данных или даже принтеры, которые обычно скрыты за межсетевым экраном и недоступны для использования вне офисной сети.

Сервер Kerio VPN

Встроенный в продукт Kerio WinRoute Firewall сервер VPN позволяет организовать VPN-сети по двум различным сценариям:

VPN клиент-сервер (используется Kerio VPN Client для Windows)

VPN сервер-сервер

Режим сервер-сервер применяется компаниями, которые желают подключить по защищенному каналу удаленного офиса для совместного использования общих ресурсов. Данный сценарий требует наличие Kerio WinRoute Firewall на каждой из соединяющихся сторон для установки защищенного канала через открытую сеть интернет.

VPN клиент-сервер

Режим клиент-сервер позволяет удаленному пользователю безопасно подключить к корпоративной сети ноутбук или настроенный ПК.

Kerio VPN Client

Клиент Kerio VPN Client - это небольшое приложение, работающее на стороне подключаемого ПК. Работает на Windows 2000 и выше.

Clientless SSL VPN

Kerio WinRoute Firewall 6.1 включает новую службу под названием Clientless SSL VPN, позволяющую удаленным клиентам получать доступ к общим файлам на серверах локальной сети с помощью обычного браузера. При этом установки специального клиентского программного обеспечения не требуется.

Преобразование NAT

Как известно администраторам, VPN и NAT (трансляция сетевых адресов) не всегда поддерживает совместную работу. Решение Kerio VPN разработано с целью надежной работы через NAT и даже через ряд шлюзов NAT.

Kerio VPN использует стандартные алгоритмы шифрования - SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP).

IPSec, Windows, и VPN сторонних производителей

В случаях, когда компания имеет некий стандарт на использование продуктов VPN, Kerio WinRoute Firewall включает поддержку протоколов IPSec и PPTP, позволяя использование различных решений сторонних производителей.

Также допустимо использовать возможности VPN, встроенные в Windows, что позволяет построить VPN сеть с помощью только средств Microsoft Windows и Kerio WinRoute Firewall. Никакое программное обеспечение сторонних производителей не требуется. Kerio WinRoute Firewall также поддерживает функционал RRAS, имеющийся в серверных редакциях операционных систем Microsoft Windows.

Kerio Winroute Firewall - Межсетевая защита от вирусов

Kerio WinRoute Firewall создает дополнительную межсетевую защиту от вирусов, проверяя как входящий, так и исходящий трафик:

- Электронная почта (SMTP и POP3)
- web (HTTP)
- пересылка файлов (FTP)

Для этого разработано две лицензированные версии:

1. Kerio WinRoute Firewall объединенный с McAfee Anti-Virus
2. Kerio WinRoute Firewall с другими программами для защиты от вирусов

Преимущества межсетевой защиты от вирусов

Защита от вирусов, установленная в локальной сети, обеспечивает полную защиту всего трафика. Администраторы могут использовать последние «образы» вирусов на шлюзе, что намного продуктивнее использования антивирусных программ на каждом компьютере.

Защита электронной почты от вирусов

Kerio WinRoute Firewall проверяет входящие и исходящие сообщения, а также все вложения. Обнаруженный в письме вирус удаляется. При обнаружении вируса во вложении, удаляется все вложение, а к письму добавляется уведомление.

Защита сети от вирусов

Kerio WinRoute Firewall проверяет весь сетевой трафик, включая HTML страницы, на встроенные вирусы. Также на вирусы проверяются файлы, загруженные через HTTP, и файлы, переданные по FTP протоколу.

Партнерство с компанией McAfee, Inc

Компания Kerio Technologies Inc. совместно с компанией McAfee, Inc. (Network Associates) создали межплатформенный программный продукт для защиты от вирусов для операционных систем Windows, Linux и Mac OS X. Kerio WinRoute Firewall, объединенный с McAfee, может получать обновления с новыми «образами» вирусов почти ежечасно.

Kerio WinRoute Firewall объединенный с McAfee Anti-Virus

Kerio WinRoute Firewall объединенный с McAfee Anti-Virus - это пакет программ, обеспечивающий полную межсетевую защиту от вирусов для всей сети.

В этом случае антивирусные настройки относятся только к межсетевой защите. Установка проста и последовательна, она не требует дополнительных настроек. Благодаря объединению программных продуктов, все элементы сервера - защита от вирусов и межсетевая защита - согласуются друг с другом.

McAfee AntiVirus производится компанией McAfee, Inc.

Kerio WinRoute Firewall с другими программами для защиты от вирусов

Kerio WinRoute Firewall может работать совместно с некоторыми антивирусными программными продуктами других производителей (см. Таблица 2): информационный корпоративный прокси сервер

Таблица 2


AVG Server Edition

eTrust Antivirus	Computer Associates

Symantec
Avast! for Kerio
VisNetic AntiVirus

Фильтр ISS Orange Web Filter

Дополнительный компонент программного обеспечения Kerio WinRoute Firewall для защиты во время работы в Интернете.

Для организаций и таких учреждений, как например, школы, которые не хотят, чтоб их сотрудники и клиенты посещали определенные Интернет-страницы, Kerio WinRoute Firewall со встроенным фильтром ISS Orange Web Filter предлагает дополнительные возможности.

Фильтр ISS Orange Web Filter предлагает список из 58 категорий страниц, таких, как виртуальные магазины, новости, порнография, спорт или путешествия, которые могут блокироваться Kerio WinRoute Firewall.

Цена

Фильтр ISS Orange Web Filter продается как дополнительный компонент Kerio WinRoute Firewall.

Как работает этот фильтр

Программное обеспечение Kerio WinRoute Firewall удобное в работе, и различные группы пользователей могут иметь ограниченный доступ к различным сайтам.

Каждый раз, как только пользователь пытается зайти на какой-либо сайт, Kerio WinRoute Firewall проверяет базу данных ISS Orange Web Filter, не занесена ли эта страница в одну из категорий. Если занесена, то Kerio WinRoute Firewall автоматически перекрывает доступ к ней. Также можно предупредить пользователя о том, что о его действиях узнает администратор.

Полный охват

База данных фильтра ISS Orange Web Filter одна из крупнейших, в ней содержится более 4 миллиардов проверенных страниц и 20 миллионов пронумерованных и разнесенных по группам URL.

Если пользователь запрашивает страницу, которой нет в основной базе данных, ее URL передается в ISS, где он рассматривается в течение 24 часов.

Фильтр ISS Orange Web Filter обрабатывает страницы на 15 языках.

Высокая скорость

Kerio WinRoute Firewall с фильтром ISS Orange Web Filter кэширует URL в локальной базе данных. В основную базу данных занесены только URL, доступ к которым пользователи не имеют.

Основная база данных хранится на семи ISS серверах, расположенных по всему миру, что обеспечивает быстрые ответы.

Подробная статистика

Kerio WinRoute Firewall предоставляет подробную статистику сетевого трафика для каждого пользователя или для всей организации. Администратор может использовать эту статистику для выяснения предпочтений пользователя и определения стратегии использования сетевых ресурсов.

Kerio Winroute Firewall - Управление доступом пользователя

Главная задача обеспечения безопасности сети - разработка стратегии доступа в Интернет. Kerio WinRoute Firewall позволяет администраторам не только создавать общую стратегию использования трафика, но и устанавливать и применять ограничения для каждого пользователя.

Управление пользователями

В Kerio WinRoute Firewall понятие «пользователь» может означать следующее:

- Имя и пароль каждого пользователя
- Группа пользователей
- IP адрес или имя компьютера
- Вся сеть

Перед тем, как получить доступ в Интернет, каждый пользователь должен зарегистрироваться в Kerio WinRoute Firewall.

Управление пользователями с помощью внутренней базы данных пользователей

Учетные записи пользователей хранятся или в отдельной внутренней базе данных пользователей Kerio WinRoute Firewall, или же, если сеть велика, на удаленном сервере Microsoft Active Directory. С двумя этими базами данных можно работать одновременно.

Управление пользователями с помощью Active Directory

Являясь частью Windows 2000 Server, Active Directory позволяет администраторам централизованно управлять учетными записями пользователей и данными о сетевых ресурсах. Active Directory обеспечивает доступ к информации о пользователях с одного компьютера.

Поддержка Active Directory обеспечивает Kerio WinRoute Firewall доступ к базе данных пользователей в режиме реального времени и позволяет устанавливать пользователя в локальной сети без сохранения пароля. Таким образом, не нужно синхронизировать пароли для каждого пользователя. Все изменения в Microsoft Active Directory автоматически отражаются и в Kerio WinRoute Firewall.

Управление правом доступа

Администратор может установить различные ограничения на права доступа для каждого пользователя. Например, некоторые пользователи могут заходить только на внутренние страницы, другие могут работать только с электронной почтой. Эти права настраиваются только согласно определенному расписанию, поэтому их можно устанавливать только в определенные промежутки времени.

Ограничения на использование трафика

Некоторые пользователи закачивают много файлов, слушают радио через Интернет и пересылают друг другу домашнее видео. Часто, если один пользователь занимает слишком много трафика, это сказывается на качестве связи других пользователей.

Для того, чтобы усмирить таких пользователей, администратор может установить ограничения на использование трафика. Это могут быть:

- Ограничения на отправку, закачку или на то и другое.
- Ограничение на трафик за день или за месяц
- Любое сочетание первого и второго пунктов

Когда предел достигнут, Kerio WinRoute Firewall отправляет по электронной почте предупреждение пользователю и администратору. Или же администратор может заблокировать этого пользователя до конца дня или месяца.

Kerio Winroute Firewall - Администрирование

Statistics and Reporting (StaR)

Для отображения использования интернета сотрудниками можно использовать модуль StaR. Статистика отображается в виде графиков, показывающих расход трафика, не относящийся к рабочему процессу, нехватку ресурсов и другие вопросы. Отчеты содержат информацию о том, сколько трафика было использовано, основные посещаемые сайты и, в сочетании с опциональным модулем (IBM) ISS Orange Web Filter, процентное соотношение по наиболее посещаемым ресурсам по категориям. StaR можно использовать удаленно через браузер без необходимости авторизации в Консоли администрирования.

Удаленное администрирование

Системный администратор настраивает программу, управляет учетными записями пользователей и стратегией безопасности через консоль Kerio Administration Console. Ее можно установить на компьютере с уже установленной системой межсетевой защиты, или же на удаленном компьютере, подключенном к Интернету. Обмен данными между удаленной консолью и системой межсетевой защиты осуществляется по зашифрованному каналу.

Извещения по электронной почте

Иногда администратор не может уследить за всем, что происходит с системой межсетевой защиты. Программа Kerio WinRoute Firewall помогает отследить такие важные события, как отсоединение от сети, превышение трафика пользователя, обнаружение вируса или окончание срока действия лицензии.

О каждом таком событии администратору сообщается электронным письмом, при этом он сам может выбирать, о каких событиях его следует уведомлять.

Статистика и график использования трафика

Точная и продуманная статистика помогает администратору выяснить предпочтения пользователей при работе в Интернете, находить критические элементы и проблемы.

Kerio WinRoute Firewall формирует подробную гистограмму использования трафика для каждого пользователя в сети. Администратор может выбрать период, за который он хочет отследить использование трафика: 2 часа, 1 день, 1 неделя и 1 месяц.

Кроме того, Kerio WinRoute Firewall показывает статистику фактического использования трафика, по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

Если запустить фильтр ISS Orange Web Filter, Kerio WinRoute Firewall показывает, статистику посещения Интернет-страниц для каждого пользователя и для всей организации.

Характеристики работы программы

Используемые способы подключения к Интернету

Поддержка DSL, модемного соединения, ISDN, спутникового Интернета, соединения по dial-up и беспроводного Интернета позволяет устанавливать Kerio WinRoute Firewall в сетях любого размера в любом месте. Одно подключение могут использовать сразу несколько пользователей.

Обрыв соединения

Если Kerio WinRoute Firewall обнаруживает обрыв соединения, оно автоматически переходит на запасное. Для запасного соединения можно использовать любой сетевой или модемный адаптер.

NAT и прокси-сервер

Быстрый Интернет доступ благодаря двум различным технологиям: трансляция сетевых адресов (network address translation - NAT) и прокси-сервер.

Маршрутизатор NAT предоставляет доступ в Интеренет для всех компьютеров в локальной сети и работает почти с любым протоколом. При использовании NAT не требуется дополнительных настроек на каждом компьютере.

Прокси-Сервер используется как компьютер-клиент на удаленном сервере. Из-за сложности этой технологии, поддерживается лишь несколько протоколов. Правда, у нее есть такие функции, как аутентификация и контроль пользовательского доступа.

DNS механизм продвижения данных

Встроенный DNS механизм продвижения данных создает DNS запрос всякий раз, когда пользователь заходит на веб-сайт. Он отправляет этот запрос на выбранный DNS сервер и некоторое время хранит последние полученные результаты. Ответ на следующие друг за другом запросы приходит немедленно.

DHCP сервер

DHCP сервер присваивает параметры IP конфигурации каждому компьютеру в локальной сети, делая администрирование сети гораздо проще.

НТТР прокси кэш сервер

H.323 и SIP

Модули проверки протоколов компании Kerio помогают межсетевой защите правильно работать с VoIP телефонией или передачей видео. Kerio WinRoute Firewall работает с VoIP устройствами, использующими H.323 или SIP протоколы, включенными в защищенную сеть. То есть, нет нужды подключать VoIP оборудование в Интернет.

Cisco SCCP

Если компания хочет использовать VoIP оборудование в среде Cisco AVVID, для установки соединения между IP телефоном и Cisco CallManager используется Skinny Client Control Protocol (SCCP) компании Cisco. Конечно, межсетевая защита должна распознать его и понимать передаваемую информацию.

Kerio WinRoute Firewall автоматически распознает протокол SCCP и выполняет трансляцию сетевых адресов между IP телефоном и Cisco CallManager. Так как Kerio WinRoute Firewall выполняет трансляцию IP адреса динамически, администратору не нужно вручную настраивать IP адрес для каждого IP телефона.

Поддержка UPnP

Универсальный стандарт Plug and Play (UPnP), используемый в Windows, позволяет различным приложениям работать друг с другом без дополнительных настроек в межсетевой защите. Kerio WinRoute Firewall взаимодействует с технологией UPnP, так что такие приложения, как MSN Messenger могут работать без проблем.

Минимальные системные требования

Kerio WinRoute Firewall

256 MB RAM
20 MB HDD для установки

Дополнительное свободное место для журналов и кэш

Минимум 2 сетевых интерфейса (включая диалап)

Windows 2000/XP/2003/Vista

Kerio VPN Client

128 MB RAM
5 MB HDD

Windows 2000/XP/2003/Vista

Стоимость внедрения

Поскольку в нашей организации кол-во компьютеров составляет около 150, то под наш выбор попадает лицензия включающая 250 пользователей. Стоимость расчитывается так: (базовая на 5 польз.) + (дополнительная на 250 польз). Курс евро к рублю = 41,4

Kerio Control (ex. Kerio WinRoute Firewall): 241,9*41,4+5605*41,4 = 10014,66+ 232047= 242 061,66р

Возможность веб фильтрации так же необходима, тем более что в Trafic inspector данная возможность включена в стоимость программного обеспечения и не выделяется как отдельная опция.

Kerio Web Filter=28*41,4+250*443= 1159,2+ 10350= 11509,2р

Итого получаем: 11509,2 + = 242 061,66=253 570,86р за 255 лицензий!

Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!! , сделайте это сейчас.

сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15

Получается у нас что-то типа того:

Небольшие пояснения для тех, кто мануал не хочет читать:
Правило NAT - в нем собственно те сервисы, которым разрешен доступ в интерет с клиентских машин.
А правило Firewall Traffic - это правило для той машины, на которой KWF стоит.
Красненькие правила ниже - для доступа из Интернета к одноименным сервисам.

В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:

7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None .

8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ Советую думать над тем, что вы добавляете и удаляете.

Несколько примечаний:

Ниже более-менее похожий на реальность (мою естественно , но не совсем) пример.

Краткие пояснения по правилам:
Local Traffic - на самый верх, как и собирались.
NTP Traffic - правило для синхронизации сервера времени (192.168.0.100) с источниками точного времени в интернете.
ICQ Traffic - правило, разрешающее группе пользователей «Allow ICQ Group» пользоваться аськой.
FTP Traffic - правило, разрешающее группе пользователей «Allow FTP Group» скачивать файлы с FTP-серверов.
NAT for all - мало от НАТа осталось (мы же через прокси ходим в интернет) только free mail и ping интернета всем пользователям сети разрешен.
Firewall Traffic - с этим все понятно, разрешенные сервисы для фаервола. Обратите внимание, что сюда добавлен сервис SMTP (в случае, если почтовик находится не на том же компьютере, что и винроут, нужно сделать отдельное правило) и порт 3128 для парент прокси.
Service Ping - правило, нужное для того, чтобы пинговать наш сервер снаружи.
Remote Admin - правило для доступа снаружи к консоли KWF и KMS, к веб-интерфейсу их же.
Service Kerio VPN - правило для доступа снаружи клиентов Kerio VPN.
Service Win VPN - правило для доступа снаружи клиентов родного виндового VPN
Service RDP - правило для доступа снаружи клиентов виндового терминала (но лучше через VPN).

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена, точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет В любом случае это вариант рассматирать не будем, потому что его настройки ничем не отличаются от второго варианта, кроме того, что имя и адрес DNS-сервера совпадают с именем и адресом компьютера с Winroute соответственно.

Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), играющий роль шлюза, через который мы и будем выходить в Интернет, и на который естественно будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:

192.168. 0 .1/24
192.168. 1 .1/24

почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.

1. Настройка DNS в одноранговой сети.

Настройки внутренней сетевой:

192.168.0.1 - IP-адрес компьютера с Winroute
255.255.255.0 - маска.
192.168.0.1 - в качестве DNS-сервера указываем IP-адрес этой же сетевой

ip 80.237.0.99 - реальный IP
mask 255.255.255.240 - маска
gate 80.237.0.97 - шлюз
dns 80.237.0.97 - DNS провайдера

Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой ;
80.237.0.97 — в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера

Жмем Advanced . В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке «Адаптеры и привязки» передвигаем «Local Area Connection» («Подключение по локальной сети») на самую верхнюю позицию:

На клиентском компьютере настройки сетевой карты будут примерно такие:

ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 -
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес компьютера с Winroute

В Winroute, Configuration -> DNS Forwarder ставим галку «Enable DNS Forwarding», указываем DNS-серверы провайдера.

2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute

Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:

2.1 В зонах прямого просмотра DNS следует убрать зону «.», если она там есть. После этого перезапустить службу «DNS-сервер».

2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97 (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера):

2.3 DNS Forwarder в Winroute выключаем (убираем галку «Enable DNS Forwarding»), так как он у нас есть уже в на нашем DNS-сервере.

2.4 На контроллере домена в DNS необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS ), так как без нее невозможно по IP-адресу определить имя компьютера. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке «Серверы имен». Если серверов не хватает, добавляем их туда. Желательно делать это с помощью «Обзора». Все. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

2.5 Настройки внутренней сетевой компьютера с Winroute:

ip 192.168.0.1 - IP-адрес компьютера с Winroute
mask 255.255.255.0 - маска
dns 192.168.0.100 -

Шлюз НЕ указываем!