Kerio control zakáže prichádzajúci kanál. Správa šírky pásma Kerio Control

Nesprávne riadenie šírky pásma v kancelárskej sieti (alebo nedostatok takéhoto manažmentu) vedie k viditeľným prerušeniam: internet je pomalý, kvalita hlasovej a video komunikácie atď. pomôže správne uprednostniť a zabezpečiť dostatočnú šírku pásma pre dôležité prenosy.

O možnostiach Kerio Control

Softvérové ​​riešenie Kerio Control patrí do triedy produktov UTM (Unified Threat Management) a poskytuje kompletnú ochranu pracovných staníc a serverov pri práci na internete. Riešenie je určené pre stredne veľké podnikové siete a vychádza zo známeho produktu WinRoute. Slová „komplexná ochrana“ znamenajú, že Kerio Control pozostáva z mnohých modulov zodpovedných za rôzne aspekty bezpečnosti, konkrétne:

  • POŽARNE DVERE;
  • router;
  • systém detekcie a prevencie narušenia (IPS/IDS);
  • antivírusová ochrana premávky;
  • filtrovanie obsahu návštevnosti;
  • Monitorovanie a analýza aktivity používateľov na internete;
  • dva servery VPN – jeden založený na proprietárnom protokole a druhý na otvorenom štandarde IPSec VPN;
  • riadenie šírky pásma a podpora QoS.

V článku budeme hovoriť o poslednej položke v tomto zozname, ale nie o poslednej dôležitosti.

Problémy s optimalizáciou prístupu na internet

Pozrime sa na niekoľko typických scenárov.

Najprv: manažér potrebuje neobmedzený prístup k šírke pásma, lepší ako ktokoľvek iný. Mimochodom, pre manažéra to nie je potrebné - server, ktorý replikuje databázu so vzdialeným dátovým centrom, bude vyžadovať zaručenú širokú šírku pásma.

po druhé: manažéri sa sťažujú slabý sluch a prerušenia hovorov. Alebo platobný terminál akceptuje platbu kartou až od tretieho razu, pretože nemôže kontaktovať banku.

Tretia: rýchlosť celej kancelárie zrazu klesla. Je čas skontrolovať, kto sťahuje torrenty v práci.

Všetky tieto scenáre vyžadujú riadenie šírky pásma, ako je napríklad stanovenie priorít a detekcia anomálií. Kontrolné úlohy budú vyzerať asi takto:

  • potrebné pre VoIP priepustnosť 10 Mbps, nie menej, kedykoľvek;
  • streamované dáta by nemali spotrebovať viac ako 100 kbps;
  • návštevnosť hostí musí byť oddelená od pracovníka a nesmie sa prepínať na záložný kanál v prípade zlyhania hlavného;
  • privilegovaná premávka je dôležitejšia ako bežná premávka počas pracovných hodín.

Na formalizáciu každej z týchto úloh je potrebné určiť, pre čo a podľa akých kritérií uprednostňujeme.

typy dopravy. Na prvom mieste sú online videokonferencie, telefonovanie, prenos video signálu, VPN, tu je veľmi dôležitá šírka pásma. Na druhom - normálny prístup k stránkam, súborom, pošte. Najnižšiu prioritu je možné nastaviť pre prístup na zábavné stránky, nakupovanie atď.

Čas prístupu. Pre pracovný čas a mimopracovný čas je možné nastaviť rôzne priority. Serveru môžete dať vysokú prioritu pre obdobie replikácie údajov a zvyšok obmedziť.

Pravidlo = formalizované obmedzenie

Keď sú uvedené kritériá definované, môžete prejsť na pravidlá obmedzenia šírky pásma. Vysvetlime si to na príklade riešenia Kerio pre dopravu používaného napríklad na lodiach. Ak má plavidlo satelitný kanál s nákladnou prevádzkou a úzkym pásmom a v prístavoch je k dispozícii široký kanál, je jasné, ako určiť priority. Napríklad takto:

V Kerio Control je to v podstate pravidlom.

Teraz sa vráťme z lode do kancelárie a pozrime sa na príklad IP telefónie. Ak je pásmo preťažené, znižuje kvalitu hlasová komunikácia, preto uprednostňujeme nasledovné:

A to sú tiež tri pravidlá v Kerio Control.

Podobne sa cez pravidlá riešia úlohy garantovanej širokej šírky pásma pre manažment a vybavenie, obmedzenia pri hosťovaní a pod.

Správa šírky pásma v Kerio Control

V hornej časti ovládacieho panela Kerio Control môžete vidieť zoznam dostupných internetových rozhraní. Napríklad rýchly a pomalý kanál. Pod ním sú lokálne siete, napríklad hlavná a hosťovská.

Teraz musíme namapovať internetové rozhrania na lokálne siete, čo urobíme na karte „Pravidlá premávky“. Napríklad hosťovskej sieti priradíme vlastné rozhranie (najlacnejšie) a hostia nezapchávajú sieť hlavnej kancelárie. Tu sme nastavili aj obmedzenia pre typy návštevnosti, napríklad iba webový prístup pre hostí a akákoľvek návštevnosť pre našu vlastnú.

Teraz, keď je smerovanie rozhrania nastavené, je čas uprednostniť využitie šírky pásma. Prejdeme na kartu Bandwidth and QoS Management, vytvoríme pravidlo pre VIP používateľov, pridáme doň vopred vytvorené skupiny Vlastníci (tí veľmi VIP používatelia) a Vybavenie (ktoré určite potrebujú dobré pripojenie) a nastavíme napr. 20% rezervácia šírky pásma.

Dôležitý bod - týchto 20% sa počíta z pásma uvedeného v nastaveniach! Tu je dôležité uviesť nie údaj deklarovaný poskytovateľom, ale skutočnú priepustnosť.

Teraz vytvoríme pravidlo pre kritickú komunikáciu a pridáme k nej typy prevádzky: SIP VoIP, VPN, okamžité správy a vzdialený prístup.

A vyhradíme mu napríklad 3 Mbps na sťahovanie a nahrávanie.

Potom vytvoríme pravidlo pre dôležitú návštevnosť a zahrnieme typy návštevnosti, ako je prehliadanie webu, pošta, multimédiá a FTP. A obmedzíme jeho spotrebu na maximálne 50% šírky pásma, a to len počas pracovnej doby.

Teraz vytvoríme pravidlo pre škodlivú návštevnosť. Pri výbere typu návštevnosti, ak kliknete v menu "Pripojenie, ktoré zodpovedá pravidlu obsahu", môžete použiť filter obsahu a vybrať sociálne siete, obchody, návštevnosť, hry atď. Môžete tiež obmedziť P2P. Nastavte im prísny limit 256 kbps a nechajte ich sťahovať.

Teraz sa pozrime na hosťujúcich používateľov. Karta Aktívni hostitelia uľahčuje zobrazenie toho, čo sa práve deje. Je pravdepodobné, že nájdete hosťa, ktorý už načerpal gigabajty a naďalej používa váš internet slušnou rýchlosťou.

Preto robíme pre hostí pravidlo. Neprekračujte napríklad 5 % pásma.

A ďalej. Ako si pamätáte, posielame hostí do určitého sieťové rozhranie. Pravidlo limitu šírky pásma je možné nakonfigurovať tak, aby obmedzovalo iba jedno špecifické sieťové rozhranie alebo všetky sieťové rozhrania. V druhom prípade, ak zmeníme rozhranie viazané na hosťovskú sieť, pravidlo bude naďalej fungovať.

A dôležitý bod. Pravidlá fungujú v poradí, v akom sa zobrazujú v zozname, zhora nadol. Preto má zmysel dať na začiatok pravidlá, ktoré odfiltrujú veľa žiadostí o prístup.

To všetko je podrobne popísané v článkoch o znalostnej báze Kerio.

  • Nastavenie rýchlosti pripojenia (KB 1373)
  • Konfigurácia správy šírky pásma (KB 1334)
  • Konfigurácia smerovania pravidiel (KB 1314)
  • Monitorovanie aktívnych hostiteľov (KB 1593)

Pred a po optimalizácii

Predtým. Všetka doprava prebiehala na rovnakej úrovni, bez priorít. V prípade dopravnej zápchy trpí celá premávka, vrátane kritickej.

Po. Prednosť má dôležitá premávka. Mechanizmy obmedzenia a rezervácie sú konfigurované podľa typu používateľa, typu prevádzky, času.

Namiesto záveru

Videli sme, že nie je ťažké obmedziť prístup k šírke pásma pomocou vlastných pravidiel. Práve jednoduchosť používania svojich produktov považuje Kerio za svoju najdôležitejšiu výhodu a zachováva si ju aj napriek ich narastajúcej zložitosti a funkčnosti.

S Kerio Firewallom môžete zabezpečiť pripojenie k PC lokálna sieť. Takže je možné v prípade potreby vytvoriť prístup na internet pre niektorých zamestnancov vo vzdialenej kancelárii, bez akéhokoľvek zásahu z ich strany. Ak to chcete urobiť, budete musieť vytvoriť pripojenie VPN vo vašej lokálnej sieti zo vzdialenej kancelárie. Nainštalujte a nakonfigurujte rozhrania na pripojenie k internetu. Na ovládacom paneli na karte „Zásady premávky“ vytvorte pravidlo, ktoré povoľuje lokálnu premávku.

Nezabudnite zadať všetky požadované objekty v zdroji. Budete tiež musieť vytvoriť pravidlo, ktoré to umožňuje lokálnych používateľov prístup na internet. Teraz musíte priamo nakonfigurovať NAT, pretože napriek vytvoreným pravidlám nebude bez povolenia tejto funkcie prístup na internet. Na karte „Zásady premávky“ vyberte časť „Vysielanie“ a začiarknite políčko „Povoliť zdroj NAT“. V prípade potreby špecifikujte cestu vyvažovania.

Mnohí používajú firewall Kerio Control. Má najširšiu funkčnosť, spoľahlivosť a jednoduché použitie. Dnes si povieme, ako nastaviť pravidlá správy šírky pásma. Jednoducho povedané, skúsme obmedziť rýchlosť prístupu na internet pre používateľov a skupiny.

Ako obmedziť rýchlosť internetu pre používateľov a skupiny v Kerio Control

A tak poďme na administračný panel Kerio Control. Vľavo vyhľadajte položku Správa šírky pásma. Najprv špecifikujme rýchlosť internetového pripojenia. Nižšie v poli Šírka pásma pre pripojenie k internetu kliknite na zmeniť a zadajte rýchlosť sťahovania a odosielania. Tieto údaje sú potrebné pre správnu činnosť samotného Kerio Control.

Teraz pridajte nové pravidlo, kliknite na Pridať a zadajte názov.

Ďalej V poli Premávka je potrebné špecifikovať, pre koho bude toto obmedzenie platiť. Možností je veľa, ale nás zaujímajú konkrétne skupiny a používatelia, preto klikneme na položku Používatelia a skupiny. V okne, ktoré sa otvorí, vyberte požadovaných používateľov alebo skupinu. Okamžite môžete vybrať skupinu aj používateľov.

Teraz nastavte limit rýchlosti sťahovania. Uveďte, koľko musíte pre tieto skupiny a používateľov rezervovať z celkovej rýchlosti a samotného limitu. To isté je uvedené pre položku sťahovania.

Predvolene ponecháme rozhranie a dostupný čas, použite toto pravidlo.

Maxim Afanasjev

Od roku 1997 spoločnosť Kerio Technologies vyvíja a uvádza na trh jedinečné softvérové ​​riešenia v oblasti počítačovej bezpečnosti na ochranu interných sietí spoločností pred vonkajšími útokmi a vytváranie systémov pre spoluprácu a elektronickú komunikáciu. Produkty od spoločnosti Kerio Technologies sú určené pre stredné a malé podniky, ale s úspechom nájdu uplatnenie aj vo veľkých spoločnostiach. Za zmienku stojí, že softvér je vyvíjaný s ohľadom na svetové trendy v oblasti informačnej bezpečnosti a samotná spoločnosť je v tejto oblasti inovátorom.

Prototyp softvérový balík Kerio Control, o ktorom sa bude diskutovať v tomto článku, bola softvérová brána Winroute Pro, ktorej prvá verzia bola vydaná v roku 1997. Softvér Winroute Pro bol pokročilý proxy server určený na poskytovanie prístupu lokálnych počítačov na internet cez jeden externý internetový kanál. Tento produkt si získal popularitu takmer okamžite a rýchlo sa stal konkurentom jedného z najbežnejších proxy serverov WinGate v tej dobe. Už vtedy sa produkty Kerio vyznačovali prehľadným rozhraním a jednoduchou konfiguráciou a predovšetkým spoľahlivosťou a bezpečnosťou. Odvtedy sa Kerio Winroute neustále inovuje, pribudlo v ňom mnoho užitočných funkcií a možností. Na začiatku svojej cesty sa volal Winroute Pro, potom sa názov zmenil na Winroute Firewall a počnúc 7. verziou dostal produkt súčasný názov - Kerio Control.

Kerio si rýchlo uvedomil možnosti virtualizácie a vydal sa na cestu maximálnej integrácie s virtuálnymi prostrediami, ktoré sa dnes aktívne rozvíjajú vďaka nástupu viacjadrových procesorov a výraznému pokroku v IT. Všetky nové produkty Kerio sú teraz vydané pre Virtualizácia VMware a Hyper-V, čo vám umožňuje nasadiť tento softvér na akúkoľvek platformu a preniesť produkt bez toho, aby ste ho museli preinštalovať na novú hardvérovú platformu. Tento prístup navyše ponúka správcom podnikovej siete väčší výber pri budovaní ich sieťovej infraštruktúry. Pôvodne boli produkty Kerio dodávané ako Windows aplikácie, no po vydaní verzie pre virtualizačné systémy sa spoločnosť rozhodla úplne abstrahovať od operačného systému a nevydávať už Kerio Control ako samostatnú aplikáciu. Počnúc verziou 8 prichádza Kerio Control iba v troch variantoch: softvérové ​​zariadenie, virtuálne zariadenie VMware a virtuálne zariadenie Hyper-V. Vo všetkých variantoch sa využíva zmodernizovaná operačná sála Linuxový systém založený na Debiane (s použitím verzie SMP so zníženou funkcionalitou), ktorý nevyžaduje dodatočnú zdĺhavú konfiguráciu a údržbu. Firewall Software Appliance je k dispozícii ako obraz ISO s veľkosťou niečo vyše 250 MB a ľahko sa inštaluje na vyhradený hardvér bez potreby operačného systému. Možnosť virtuálneho zariadenia VMware prichádza ako balíky OVF a VMX pre prostredia VMware, zatiaľ čo virtuálne zariadenie Hyper-V je určené pre virtualizačné systémy Microsoft, pričom všetky sú vopred nasadené a prispôsobiteľné. Ako uvádza vývojár, je to verzia OVF softvér v zásade je možné nainštalovať na iné virtualizačné systémy. Tento prístup umožňuje flexibilnejší prístup k implementácii firemnej siete a odmieta využívať hardvérové ​​riešenia, ktoré často nie je možné hardvérovo upgradovať, pretože si to vyžaduje značné náklady, prípadne sú ich možnosti výrazne obmedzené.

Zvážte hlavné funkcie softvéru Kerio Control, ako aj množstvo inovácií, ktoré v predchádzajúcich verziách neboli dostupné. Pripomeňme, že v marci tohto roku bola prvýkrát vydaná 8. verzia Kerio Control. V čase písania tohto článku, okrem menšej aktualizácie, vydalo Kerio v júni aktualizáciu Kerio Control 8.1, ktorá priniesla aj niektoré ďalšie funkcie.

Kerio Control je možné nainštalovať pomocou softvérového zariadenia, teda nasadením systému samostatný obraz ISO a inicializáciou virtuálneho stroja na virtualizačnom serveri. Posledná uvedená metóda zahŕňa niekoľko inštalačných ciest, medzi ktoré patrí možnosť automatického stiahnutia najnovšej verzie Kerio Control z webovej stránky výrobcu prostredníctvom Vmware VA Marketplace. Pri inštalácii z obrazu ISO sú všetky kroky na nasadenie Kerio Control odpoveďou správcu na niekoľko jednoduchých otázok sprievodcu inštaláciou. Inicializácia virtuálneho stroja Kerio Control umožňuje preskočiť hlavný krok inštalácie a administrátorovi stačí nastaviť počiatočné parametre virtuálneho stroja: počet procesorov, objem Náhodný vstup do pamäťe, počet sieťových adaptérov a veľkosť diskového subsystému. V základnej verzii virtuálny prístroj Kerio Control má minimálne nastavenia, avšak pre ďalšiu správu potrebujete aspoň jeden sieťový adaptér špecifikovaný vo vlastnostiach počítača.

Po nainštalovaní systému tak či onak a úspešnej inicializácii Kerio Control bude mať používateľ prístup k základnej konfigurácii siete prostredníctvom riadiacej konzoly (obr. 1). V predvolenom nastavení sa sieťové adaptéry pripojené ku Kerio Control pokúšajú získať IP adresy pomocou DHCP. Ak bolo získanie IP adries úspešné, správca sa môže pripojiť ku Kerio Control cez lokálnu sieť zadaním IP adresy zobrazenej v riadiacej konzole. Základná riadiaca konzola vám umožňuje konfigurovať nastavenia siete adaptéry, resetujte Kerio Control na základné nastavenia, reštartujte alebo vypnite Kerio Control. Stojí za zmienku, že v prípade potreby je možné stlačením kombinácie klávesov Alt + F2-F3 opustiť plnohodnotný príkazový shell bash operačného systému. Pre prihlásenie je potrebné zadať prihlasovacie meno root a heslo správcu nastavené pri inštalácii Kerio Control. Ďalšie informácie o ladení je možné vyvolať stlačením Alt + F4-F5. Ďalšie nastavenia sa konfigurujú prostredníctvom administračnej webovej konzoly cez šifrovaný kanál SSL.

Ryža. 1. Riadiaca konzola

Všetky parametre je možné nastaviť pomocou ovládacieho panela, ktorý funguje cez zabezpečené webové rozhranie (obr. 2). Toto rozhranie je prevádzkované prostredníctvom zabezpečeného protokolu HTTPS/SSL. Administračná konzola vám umožňuje spravovať všetky nastavenia brány firewall. V porovnaní s predchádzajúce verzie, založený na 7. verzii Kerio Control, dizajn tohto ovládacieho panela prešiel výraznými zmenami. Prvá stránka ovládacieho panela má teda dlaždicové prispôsobiteľné rozhranie ("Monitorovací panel"), v ktorom môžete pridať alebo odstrániť potrebné prvky pre rýchlu diagnostiku stavu Kerio Control. To je veľmi výhodné, pretože správca okamžite vidí zaťaženie komunikačných kanálov, aktivitu používateľov, stav systému, pripojenia VPN atď.

Ryža. 2. Ovládací panel

Do aktualizovanej verzie Kerio Control 8.1 boli pridané nasledujúce možnosti: uloženie konfigurácie a nastavení do cloudová služba Samepage.io v automatickom režime, sledovanie parametrov cez SNMP protokol, možnosť používať nástroje Ping, Traceroute, DNS Lookup, Whois v mene brány Kerio Control v administračnom webovom rozhraní. Okrem toho Kerio Control teraz podporuje regulárne výrazy pre adresy URL, automatické zrušenie tunelov VPN, ochranu pred heslami hrubou silou a pokročilejšie možnosti snímania paketov. Treba si tiež uvedomiť, že najnovšia verzia Kerio Control Software Appliance pridáva podporu pre viac RAID radičov, čím sa rozšíria možnosti nasadenia tohto systému na jednotlivé hardvérové ​​platformy.

Webové rozhranie správy Kerio Control má nielen administračný panel, ale aj samostatné používateľské rozhranie (obr. 3). Administračný panel nemá možnosť v Kerio Control nič meniť, ale umožňuje sledovať používateľské alebo používateľské štatistiky za rôzne časové obdobia. Štatistika poskytuje údaje o navštívených zdrojoch, množstve prenesených dát a ďalšie informácie. Ak má používateľ administrátorský účet v systéme Kerio Control, môže cez tento ovládací panel prijímať štatistické údaje o ostatných používateľoch systému. Presné a premyslené štatistiky pomáhajú správcovi zistiť preferencie používateľov pri práci na internete, nájsť kritické prvky a problémy. Panel generuje podrobný histogram využitia prevádzky pre každého používateľa v sieti. Správca si môže vybrať obdobie, počas ktorého chce sledovať využitie návštevnosti: dve hodiny, deň, týždeň a mesiac. Okrem toho Kerio Control zobrazuje štatistiky skutočného využitia prevádzky podľa jej typov: HTTP, FTP, e-mail, streamingové multimediálne protokoly, výmena dát priamo medzi počítačmi alebo proxy.

Ryža. 3. Používateľský panel

Pre modernú spoločnosť, ktorá môže mať pobočky po celom svete, je bezpečné pripojenie do firemnej siete nevyhnutným predpokladom, keďže outsourcing sa dnes aktívne rozvíja. Pomocou Kerio Control nainštalujte virtuálny privátna sieť nevyžaduje prakticky žiadne úsilie. VPN server a klienti sú súčasťou zabezpečenia Kerio Control vzdialený prístup do podnikovej siete. Použitie virtuálna sieť Kerio VPN umožňuje používateľom vzdialene sa pripojiť k akýmkoľvek podnikovým sieťovým zdrojom a pracovať so sieťou organizácie, ako keby to bola ich vlastná lokálna sieť. Zabudované do produktu Kerio Control server VPN vám umožňuje organizovať siete VPN v dvoch rôznych scenároch: „server – server“ a „klient – ​​server“ (používajú ho Kerio VPN Client pre Windows, Mac a Linux). Režim "server - server" používajú spoločnosti, ktoré chcú pripojiť vzdialenú kanceláriu cez zabezpečený kanál zdieľanie zdieľané zdroje. Tento scenár vyžaduje, aby Kerio Control na každej z pripájaných strán vytvoril zabezpečený kanál cez otvorený internet. Umožňuje to režim klient-server vzdialený používateľ bezpečne pripojiť notebook do firemnej siete resp domáci počítač. Ako mnohí správcovia systému vedia, protokoly VPN a NAT (preklad sieťové adresy) nie vždy podporujú spoluprácu. Kerio VPN je navrhnutý tak, aby spoľahlivo fungoval naprieč NAT a dokonca aj cez celý rad brán NAT. Kerio VPN používa štandardné šifrovacie algoritmy SSL na kontrolu spojenia (TCP) a Blowfish na prenos dát (UDP) a podporuje aj IPSec.

Kerio Control Gateway má zabudovanú antivírusovú ochranu, ktorá je zabezpečená kontrolou prichádzajúcej aj odchádzajúcej prevádzky. Ak predtým Kerio Control používal vstavaný antivírus od spoločnosti McAfee, potom v najnovšie verzie Používa sa antivírus Sophos. Správca môže nastaviť pravidlá kontroly pre prevádzku pomocou rôznych protokolov: SMTP a POP3, WEB (HTTP) a prenos súborov (FTP). Antivírus integrovaný do brány firewall nainštalovaný na bráne poskytuje úplnú ochranu prenosu prechádzajúceho cez bránu. Keďže integrovaný antivírus dokáže prijímať aktualizácie s novými vírusovými databázami v reálnom čase, výrazne to zvyšuje úroveň zabezpečenia siete spolu s využitím antivírusové programy na každom počítači v lokálnej sieti. Anti-Virus kontroluje prichádzajúce a odchádzajúce správy, ako aj všetky prílohy. Ak sa v prílohe nájde vírus, celá príloha sa odstráni a do správy sa pridá upozornenie. Okrem toho Kerio Control kontroluje všetku sieťovú prevádzku, vrátane stránok HTML, na prítomnosť vírusov. Súbory stiahnuté cez HTTP a súbory prenesené cez FTP sú tiež kontrolované na prítomnosť vírusov. Okrem toho je potrebné poznamenať, že organizáciám a inštitúciám, ako sú školy, ktoré nechcú, aby ich zamestnanci a zákazníci navštevovali určité stránky, poskytuje Kerio Control so vstavaným webovým filtrom Kerio Control (dostupný ako voliteľná možnosť za príplatok). pridané vlastnosti na blokovanie stránok na internete.

Kerio Control umožňuje správcom nielen vytvoriť všeobecnú stratégiu využívania prevádzky, ale aj nastaviť a aplikovať obmedzenia pre každého používateľa. Pred prístupom na internet sa musí každý používateľ prihlásiť do Kerio Control. Používateľské účty sú uložené v samostatnej internej databáze používateľov alebo sú prevzaté z podnikového adresára Microsoft Active Directory alebo Apple Open Directory. Paralelne je možné využívať lokálne aj doménové databázy užívateľov. V prípade použitia integrácie s Microsoft Active Directory môže autorizácia klienta pre doménových užívateľov prebiehať transparentne prostredníctvom NTLM autentifikácie. Active Directory ako súčasť Windows 2008/2012 Server umožňuje správcom centrálne spravovať používateľské účty a údaje sieťových prostriedkov. Služba Active Directory poskytuje prístup k informáciám o používateľovi z jedného počítača. Podpora pre Active Directory/Open Directory poskytuje Kerio Control prístup k databáze používateľov v reálnom čase a umožňuje vám nainštalovať používateľa do lokálnej siete bez uloženia hesla. Nie je teda potrebné synchronizovať heslá pre každého používateľa. Všetky zmeny v Microsoft Active Directory/Open Directory sa automaticky prejavia v Kerio Control.

Správca môže nastaviť rôzne obmedzenia prístupu pre každého používateľa. Tieto pravidlá je možné nastaviť na určité časové úseky a nastaviť rôzne obmedzenia využívania premávky. Po dosiahnutí limitu Kerio Control odošle používateľovi a správcovi e-mailové varovanie alebo správca používateľa zablokuje na zvyšok dňa alebo mesiaca.

Na záver treba poznamenať, že Kerio Control je medzi nimi veľmi obľúbený produkt správcov systému vďaka svojim nepopierateľným výhodám v porovnaní napríklad s podobnými riešeniami, ktoré sú súčasťou štandardného balíka operačné systémy založené na Linuxe (napríklad iptables). Rýchle nastavenie, široké možnosti a vysoký stupeň ochrany - to všetko robí tento softvérový produkt atraktívnym pre malé firmy.

Kerio Control patrí do tejto kategórie softvér, ktoré kombinujú širokú škálu funkčnosti s jednoduchou implementáciou a prevádzkou. Dnes budeme analyzovať, ako možno tento program použiť na organizáciu skupinovej práce zamestnancov na internete, ako aj na spoľahlivú ochranu lokálnej siete pred vonkajšími hrozbami.

patrí do kategórie produktov, v ktorých sa spája široká funkčnosť s jednoduchosťou implementácie a obsluhy. Dnes budeme analyzovať, ako možno tento program použiť na organizáciu skupinovej práce zamestnancov na internete, ako aj na spoľahlivú ochranu lokálnej siete pred vonkajšími hrozbami.

Predstavenie produktu začína jeho inštaláciou na počítač, ktorý plní úlohu internetovej brány. Tento postup sa nelíši od inštalácie akéhokoľvek iného softvéru, a preto sa ním nebudeme zaoberať. Podotýkame len, že počas nej niektorí služby Windows ktoré bránia spusteniu programu. Po dokončení inštalácie môžete pokračovať v konfigurácii systému. Dá sa to urobiť lokálne, priamo na internetovej bráne, ako aj vzdialene, z akéhokoľvek počítača pripojeného k podnikovej sieti.

V prvom rade prebehneme štandardné menu "Štart"riadiaca konzola. S jej pomocou sa príslušný produkt nakonfiguruje. Pre pohodlie si môžete vytvoriť pripojenie, ktoré vám v budúcnosti umožní rýchle pripojenie. Ak to chcete urobiť, dvakrát kliknite na položku" Nové pripojenie“, v okne, ktoré otvorí produkt (Kerio Control), zadajte hostiteľa, na ktorom je nainštalovaný, a používateľské meno, potom kliknite na „ Uložiť ako“ a zadajte názov pripojenia. Potom môžete nadviazať spojenie s. Ak to chcete urobiť, dvakrát kliknite na vytvorené pripojenie a zadajte svoje heslo.

Základná konfigurácia Kerio Control

V zásade je možné všetky prevádzkové parametre nastaviť manuálne. Pre prvotnú implementáciu je však oveľa pohodlnejšie použiť špeciálneho sprievodcu, ktorý sa spustí automaticky. V jeho prvom kroku sa navrhuje zoznámiť sa so základnými informáciami o systéme. Je tu tiež pripomenutie, že počítač so systémom Kerio Control musí byť pripojený k lokálnej sieti a mať funkčné internetové pripojenie.

Druhou fázou je výber typu internetového pripojenia. Celkovo sú tu dostupné štyri možnosti, z ktorých si treba vybrať tú najvhodnejšiu pre konkrétnu lokálnu sieť.

  • Trvalý prístup – internetová brána má trvalé pripojenie na internet.
  • Dial-on-demand – podľa potreby automaticky vytvorí internetové pripojenie (ak je k dispozícii RAS rozhranie).
  • Opätovné pripojenie pri zlyhaní – po prerušení pripojenia k internetu sa automaticky prepne na iný kanál (vyžaduje dve internetové pripojenia).
  • Vyvažovanie zaťaženia kanálov - bude využívať niekoľko komunikačných kanálov súčasne, pričom medzi ne rozloží zaťaženie (vyžaduje dve alebo viac internetových pripojení).

Tretím krokom je špecifikácia sieťového rozhrania alebo rozhraní pripojených k internetu. Program sám rozpozná a zobrazí všetky dostupné rozhrania vo forme zoznamu. Správca teda môže vybrať iba vhodnú možnosť. Stojí za zmienku, že v prvých dvoch typoch pripojení musíte nainštalovať iba jedno rozhranie a v treťom - dve. Nastavenie štvrtej možnosti je trochu odlišné od ostatných. Poskytuje možnosť pridať ľubovoľný počet sieťových rozhraní, pre každé z nich je potrebné nastaviť maximálnu možnú záťaž.

Štvrtým krokom je výber sieťových služieb, ktoré budú používateľom dostupné. V zásade si môžete vybrať možnosť " Bez obmedzení". Vo väčšine prípadov to však nebude úplne rozumné. Je lepšie zaškrtnúť služby, ktoré skutočne potrebujete: HTTP a HTTPS na prehliadanie stránok, POP3, SMTP a IMAP na prácu s poštou atď.

Ďalším krokom je nastavenie pravidiel pre pripojenia VPN. Na tento účel sa používajú iba dve začiarkavacie políčka. Prvý definuje, ktorých klientov budú používatelia používať na pripojenie k serveru. Ak je „native“, to znamená, že ho vydala spoločnosť Kerio, potom musí byť začiarkavacie políčko aktivované. Inak napríklad pri použití vstavaných Nástroje systému Windows, musíte ho vypnúť. Druhý checkbox určuje možnosť využitia funkcie Kerio Clientless SSL VPN (správa súborov, priečinkov, sťahovanie a nahrávanie cez webový prehliadač).

Šiestym krokom je vytvorenie pravidiel pre služby, ktoré bežia na lokálnej sieti, ale musia byť dostupné aj z internetu. Ak ste v predchádzajúcom kroku povolili technológiu Kerio VPN Server alebo Kerio Clientless SSL VPN, všetko potrebné pre ne sa nakonfiguruje automaticky. Ak potrebujete zabezpečiť dostupnosť iných služieb (fir poštový server, FTP servery atď.), potom pre každý z nich kliknite na " Pridať“, vyberte názov služby (otvoria sa štandardné porty pre vybranú službu) a v prípade potreby zadajte IP adresu.

Nakoniec posledná obrazovka sprievodcu nastavením je varovaním pred spustením procesu generovania pravidiel. Stačí si to prečítať a kliknúť na „ Dokončiť". Prirodzene, v budúcnosti je možné všetky vytvorené pravidlá a nastavenia zmeniť. Navyše môžete buď reštartovať popísaného sprievodcu, alebo upraviť parametre manuálne.

V zásade po dokončení je sprievodca už v funkčnom stave. Má však zmysel mierne upraviť niektoré parametre. Najmä môžete nastaviť limity šírky pásma. Najviac sa „upcháva“ pri prenášaní veľkých objemných súborov. Preto je možné obmedziť rýchlosť nakladania a/alebo vykladania takýchto predmetov. Ak to chcete urobiť, v sekcii Konfigurácia"treba otvoriť oddiel" Obmedzenie šírky pásma", povoľte filtrovanie a zadajte dostupnú šírku pásma pre veľké súbory. V prípade potreby môžete obmedzenie spružniť. Ak to chcete urobiť, kliknite na tlačidlo " Okrem toho" a zadajte v okne, ktoré otvorí služby, adresy a časové intervaly pre filtre. Okrem toho môžete okamžite nastaviť veľkosť súborov, ktoré sa považujú za veľké.

Používatelia a skupiny

Po pôvodné nastavenie systému, môžete doň začať pridávať používateľov. Je však vhodnejšie ich najskôr rozdeliť do skupín. V takom prípade budú v budúcnosti ľahšie spravovateľné. Ak chcete vytvoriť novú skupinu, prejdite na Používatelia a skupiny->Skupiny"a kliknite na tlačidlo" Pridať". Tým sa otvorí špeciálny sprievodca pozostávajúci z troch krokov. V prvom musíte zadať názov a popis skupiny. V druhom do nej môžete okamžite pridať používateľov, ak už, samozrejme, boli V tretej fáze je potrebné definovať práva skupiny: prístup k správe systému, možnosť deaktivovať rôzne pravidlá, povolenie používať VPN, prezerať štatistiky atď.

Po vytvorení skupín môžete pristúpiť k pridávaniu používateľov. Najjednoduchší spôsob, ako to urobiť, je, ak je doména nasadená v podnikovej sieti. V tomto prípade stačí prejsť do sekcie " Používatelia a skupiny->Používatelia", otvorte kartu Active Directory, začiarknite políčko " Použite databázu používateľov domény“ a zadajte prihlasovacie meno a heslo účtu, ktorý má právo na prístup k tejto databáze. V tomto prípade použije účty domény, čo je, samozrejme, veľmi výhodné.

V opačnom prípade budete musieť zadať používateľov manuálne. Na tento účel je k dispozícii prvá karta zvažovanej časti. Vytvorenie účtu pozostáva z troch krokov. Na prvom je potrebné nastaviť login, meno, popis, adresu Email, ako aj parametre autentifikácie: prihlasovacie meno a heslo alebo údaje z Active Directory. V druhom kroku môžete používateľa pridať do jednej alebo viacerých skupín. V tretej fáze je možné automaticky zaregistrovať účet pre prístup POŽARNE DVERE a konkrétne IP adresy.

Nastavenie bezpečnostného systému

Implementované množstvo príležitostí na zaistenie bezpečnosti podnikovej siete. V zásade sme sa už pri nastavovaní firewallu začali chrániť pred vonkajšími hrozbami. Okrem toho má predmetný výrobok systém prevencie vniknutia. V predvolenom nastavení je povolená a nakonfigurovaná na optimálny výkon. Takže sa ho nemôžete dotknúť.

Ďalším krokom je antivírus. Tu stojí za zmienku, že nie je k dispozícii vo všetkých verziách programu. Pre použitie antimalvérovej ochrany je potrebné si ju zakúpiť so vstavaným antivírusom, prípadne ju nainštalovať na internetovú bránu externý modul antivírus. Ak chcete povoliť antivírusovú ochranu, otvorte „ Konfigurácia->Filtrovanie obsahu->Antivírus". V ňom je potrebné aktivovať používaný modul a skontrolovať protokoly, ktoré sa majú kontrolovať pomocou začiarkavacích políčok (odporúča sa povoliť všetky). Ak používate vstavaný antivírus, musíte povoliť aktualizáciu antivírusové databázy a nastavte interval pre tento postup.

Ďalej musíte nakonfigurovať systém filtrovania návštevnosti HTTP. Môžete to urobiť v " Konfigurácia->Filtrovanie obsahu->Zásady HTTP". Najjednoduchšou možnosťou filtrovania je bezpodmienečné blokovanie stránok, ktoré obsahujú slová z "čiernej" listiny. Ak ju chcete povoliť, prejdite na kartu " Zakázané slová“ a vyplňte zoznam výrazov. Existuje však aj flexibilnejší a spoľahlivejší systém filtrovania. Je založený na pravidlách, ktoré popisujú podmienky blokovania prístupu používateľov na určité stránky.

Ak chcete vytvoriť nové pravidlo, prejdite na " Pravidlá URL“, kliknite kliknite pravým tlačidlom myši kliknite na pole a vyberte " Pridať". Okno na pridanie pravidla pozostáva z troch záložiek. Na prvej sa nastavujú podmienky, za ktorých bude fungovať. Najprv si musíte vybrať, na koho sa pravidlo vzťahuje: na všetkých používateľov alebo len na konkrétne účty. Potom je potrebné nastavte kritérium pre zhodu URL požadovanej stránky. Na tento účel možno použiť reťazec, ktorý je zahrnutý v adrese, skupine adries alebo hodnotení webového projektu v systéme Kerio Web Filter (v skutočnosti kategória stránka patrí).

Na druhej záložke môžete určiť interval, počas ktorého bude pravidlo platné (štandardne vždy), ako aj skupinu IP adries, na ktoré sa vzťahuje (štandardne všetky). Ak to chcete urobiť, jednoducho vyberte príslušné položky v rozbaľovacích zoznamoch preddefinovaných hodnôt. Ak ešte nie sú nastavené časové intervaly a skupiny IP adries, pomocou tlačidiel „Upraviť“ môžete otvoriť požadovaný editor a pridať ich. Aj na tejto karte môžete nastaviť akciu programu v prípade zablokovania stránky. Môže ísť o vydanie stránky s daným textom odmietnutia, zobrazením prázdna strana alebo presmerovanie používateľa na zadanú adresu (napríklad na firemnú webovú stránku).

V prípade, že podniková sieť využíva bezdrôtová technológia, má zmysel povoliť filter podľa MAC adresy. Tým sa výrazne zníži riziko neoprávneného pripojenia rôznych zariadení. Ak chcete vykonať túto úlohu, otvorte sekciu " Konfigurácia->Zásady premávky->Nastavenia zabezpečenia". V ňom aktivujte začiarkavacie políčko " Filter MAC adries povolený", potom vyberte sieťové rozhranie, do ktorého sa bude distribuovať, prepnite zoznam MAC adries na " Povoliť prístup k sieti iba počítačom uvedeným v zozname“ a vyplňte ho zadaním údajov bezdrôtové zariadenia vo vlastníctve spoločnosti.




















Zhrnutie

Ako teda vidíme, napriek širokej funkčnosti je organizovanie skupinovej práce používateľov podnikovej siete na internete celkom jednoduché. Je jasné, že sme len uvažovali základné nastavenie tento produkt.