Kerio kontrolü gelen kanalın bağlantısını keser. Kerio Control bant genişliği yönetimi

Ofis ağındaki bant genişliğinin yanlış yönetimi (veya böyle bir yönetimin olmaması) önemli aksamalara yol açar: İnternet yavaştır, sesli ve görüntülü aramaların kalitesi, vb. önemli trafik için yeterli bant genişliğini doğru şekilde önceliklendirmeye ve sağlamaya yardımcı olacaktır.

Kerio Control'ün yetenekleri hakkında

Kerio Control yazılım çözümü, UTM (Birleşik Tehdit Yönetimi) sınıfı ürünlere aittir ve İnternet üzerinde çalışırken iş istasyonları ve sunucuların eksiksiz korunmasını sağlar. Çözüm orta ölçekli kurumsal ağlara yöneliktir ve iyi bilinen WinRoute ürününden türetilmiştir. Kapsamlı koruma, Kerio Control'ün güvenliğin farklı yönlerinden sorumlu birçok modülden oluştuğu anlamına gelir, yani:

  • güvenlik duvarı;
  • yönlendirici;
  • saldırı tespit ve önleme sistemi (IPS/IDS);
  • anti-virüs trafik koruması;
  • trafiğin içerik filtrelemesi;
  • İnternetteki kullanıcı etkinliğinin izlenmesi ve analizi;
  • iki VPN sunucusu - biri kendi protokolüne dayalı, diğeri açık IPSec VPN standardına dayalı;
  • bant genişliği kontrolü ve QoS desteği.

Bu yazıda, bu listedeki son nokta hakkında konuşacağız, ancak önem açısından sonuncusu değil.

İnternet erişimi optimizasyon sorunları

Birkaç tipik senaryoyu ele alalım.

Öncelikle: yöneticinin bant genişliğine sınırsız erişime ihtiyacı var, bu diğerlerinden daha iyi. Bu arada, yönetici için gerekli değildir - uzak bir veri merkezi ile bir veritabanını çoğaltan bir sunucu tarafından garantili bir geniş bant genişliği gerekecektir.

İkinci: yöneticiler şikayetçi zayıf işitilebilirlik ve arama molaları. Veya ödeme terminali, banka ile iletişime geçemediği için kart ödemesini üçüncü kez kabul eder.

Üçüncü: tüm ofisin hızı aniden düştü. İşyerinde kimin torrent indirdiğini kontrol etme zamanı.

Bu senaryoların tümü, önceliklendirme ve anormal algılama gibi bant genişliği yönetimi gerektirir. Yönetim görevleri şöyle görünecektir:

  • VoIP gerektirir verim 10 Mbps, daha az değil, herhangi bir zamanda;
  • akış verileri 100 kbps'den fazla tüketmemelidir;
  • misafir trafiği, çalışan trafikten ayrılmalı ve ana kanalın arızalanması durumunda yedek kanala geçmemelidir;
  • ayrıcalıklı trafik, iş saatlerinde normal trafikten daha önemlidir.

Bu görevlerin her birini resmileştirmek için neden ve hangi kriterlere göre öncelik verdiğimizi belirlemek gerekir.

Trafik türleri.Çevrimiçi video konferans, telefon, video iletimi, VPN önce gelir, burada bant genişliği çok önemlidir. İkincisi - sitelere, dosyalara, postalara düzenli erişim. En düşük öncelik, eğlence sitelerine, alışverişe vb. erişim için ayarlanabilir.

Erişim süresi. Mesai saatleri ve mesai dışı saatler için farklı öncelikler belirlenebilir. Veri çoğaltma dönemi için sunucuya yüksek öncelik verebilir ve gerisini kısıtlayabilirsiniz.

Kural = resmileştirilmiş kısıtlama

Listelenen kriterler tanımlandığında, bant sınırlama kurallarına geçebilirsiniz. Örneğin gemilerde kullanılan nakliye için Kerio'nun çözümünün örneğini kullanarak açıklayalım. Geminin trafiği pahalı ve bant genişliği dar olan bir uydu kanalı varsa ve limanlarda geniş bir kanal mevcutsa önceliklendirmenin nasıl yapılacağı açıktır. Örneğin, bunun gibi:

Aslında bu Kerio Control'de zaten bir kuraldır.

Şimdi gemiden ofise dönelim ve IP telefon ile bir örneğe bakalım. Şerit sıkışıksa, kaliteyi düşürür. sesli iletişim, bu, aşağıdaki gibi önceliklendireceğimiz anlamına gelir:

Bunlar da Kerio Control'deki üç kuraldır.

Benzer şekilde, kurallar aracılığıyla, yönetim ve ekipman için garantili geniş bant genişliği, misafir bağlantılarındaki kısıtlamalar vb. görevleri çözülür.

Kerio Control'de bant genişliği yönetimi

Kerio Control kontrol panelinin üst kısmında mevcut İnternet arayüzlerinin bir listesini görebilirsiniz. Örneğin, hızlı bir kanal ve yavaş bir kanal. Altında yerel ağlar, örneğin ana ağ ve misafir ağ var.

Şimdi İnternet arayüzlerini "Trafik kuralları" sekmesinde yapacağımız yerel ağlarla eşleştirmek gerekiyor. Örneğin arayüzümüzü (en ucuzu) misafir ağına atadık ve misafirler ana ofis ağını tıkamıyor. Burada ayrıca trafik türleri üzerinde kısıtlamalar belirledik, örneğin yalnızca misafirler için web erişimi ve kendi trafiğimiz için herhangi bir trafik.

Arayüz yönlendirmesi yapılandırıldığına göre, bant genişliği kullanımına öncelik vermenin zamanı geldi. Bant Genişliği Yönetimi ve QoS sekmesine gidin, VIP kullanıcıları için bir kural oluşturun, önceden oluşturulmuş Sahipler (bu VIP kullanıcıları) ve Ekipman (iyi bir bağlantıya sahip olması gereken) gruplarını ekleyin ve örneğin %20'lik bir bant genişliği rezervasyonu ayarlayın.

Önemli bir nokta - bu %20, ayarlarda belirtilen banttan sayılır! Sağlayıcı tarafından beyan edilen rakamı değil, gerçek bant genişliğini koymak önemlidir.

Şimdi kritik trafik için bir kural oluşturuyoruz ve buna trafik türleri ekliyoruz: SIP VoIP, VPN, anlık mesajlar ve uzaktan erişim.

Ve onu indirme ve yükleme için örneğin 3 Mbps ayıracağız.

Ardından önemli trafik için bir kural oluşturacağız ve web'de gezinme, posta, medya ve FTP gibi trafik türlerini dahil edeceğiz. Ve bant genişliğinin %50'sinden fazla olmayan tüketime ve sadece mesai saatleri içinde bir kısıtlama koyacağız.

Şimdi zararlı trafik için bir kural oluşturalım. Bir trafik türü seçerken, "Bir içerik kuralıyla eşleşen bağlantı" menüsüne tıklarsanız, içerik filtresini kullanabilir ve sosyal ağları, mağazaları, trafiği, oyunları vb. seçebilirsiniz. P2P'yi de kısıtlayabilirsiniz. Onlara ciddi bir 256 kbps limiti verin ve indirmelerine izin verin.

Şimdi misafir kullanıcılara bakalım. Aktif Ana Bilgisayarlar sekmesinde şu anda neler olduğunu görmek kolaydır. Halihazırda bir gigabayt doldurmuş ve İnternetinizi makul bir hızda kullanmaya devam eden bir misafir bulmanız muhtemeldir.

Bu nedenle, misafirler için bir kural yaparız. Örneğin, şeridin %5'ini aşmayın.

Ve Ötesi. Hatırladığınız gibi belirli bir yere misafir gönderiyoruz. ağ Arayüzü... Bant genişliği sınırlama kuralını, bant genişliğini belirli bir ağ arabirimiyle veya tüm ağ arabirimleriyle sınırlamak için yapılandırabilirsiniz. İkinci durumda, konuk ağıyla ilişkili arayüzü değiştirirsek, kural uygulanmaya devam eder.

Ve önemli bir nokta. Kurallar, yukarıdan aşağıya listede göründükleri sırayla çalışır. Bu nedenle, başlangıçta birçok erişim talebini filtreleyen kurallar koymak mantıklıdır.

Bütün bunlar Kerio şirketinin bilgi tabanındaki makalelerde ayrıntılı olarak açıklanmaktadır.

  • Bağlantının hızını ayarlama (KB 1373)
  • Bant genişliği yönetimini yapılandırma (KB 1334)
  • İlke yönlendirmesini yapılandırma (KB 1314)
  • Etkin ana bilgisayarları izleme (KB 1593)

Optimizasyon öncesi ve sonrası

Önceki. Tüm trafik, öncelikler olmaksızın eşit şartlarda gitti. Trafik sıkışıklığı durumunda, kritik trafik de dahil olmak üzere tüm trafik zarar görür.

Sonrasında.Önemli trafiğe öncelik verildi. Sınırlama mekanizmaları ve artıklık, kullanıcı tipine, trafik tipine, zamana göre yapılandırılır.

Sonuç yerine

Özelleştirilebilir kurallar kullanarak bant genişliğine erişimi sınırlandırmanın zor olmadığından emin olduk. Kerio'nun en önemli avantajı olarak gördüğü ve artan karmaşıklığı ve işlevselliğine rağmen yıllar içinde sürdürdüğü, ürünlerinin kullanım kolaylığıdır.

Kerio güvenlik duvarı ile güvenli bir PC bağlantısı sağlayabilirsiniz. yerel ağ... Bu nedenle, gerekirse, uzak bir ofiste bazı çalışanlar için herhangi bir işlem yapmadan İnternet erişimi oluşturmak mümkündür. Bunu yapmak için, uzak bir ofisten yerel ağınızda bir VPN bağlantısı oluşturmanız gerekecektir. İnternete bağlanmak için arayüzleri kurun ve yapılandırın. Kontrol panelindeki Trafik İlkesi sekmesinde yerel trafiğe izin vermek için bir kural oluşturun.

Gerekli tüm nesneleri kaynağa eklemeyi unutmayın. Ayrıca izin verecek bir kural oluşturmanız gerekecektir. yerel kullanıcılarİnternet girişi. Şimdi doğrudan NAT'ı yapılandırmanız gerekiyor, çünkü oluşturulan kurallara rağmen, bu işlev etkinleştirilmeden İnternet erişimi mümkün olmayacaktır. "Trafik Politikası" sekmesinde, "Çeviri" bölümünü seçin ve "NAT kaynağını etkinleştir" onay kutusunu seçin. Gerekirse, dengeleme yolunu belirtin.

Birçok kişi Kerio Control güvenlik duvarını kullanır. En geniş işlevselliğe, güvenilirliğe ve kullanım kolaylığına sahiptir. Bugün şerit atlama kontrol kurallarının nasıl ayarlanacağı hakkında konuşacağız. Basitçe söylemek gerekirse, kullanıcılar ve gruplar için İnternet erişim hızını sınırlamaya çalışalım.

Kerio Control'de kullanıcılar ve gruplar için İnternet hızı nasıl sınırlandırılır

O halde Kerio Control yönetim paneline geçelim. Sol tarafta, Bant Genişliği Kontrolü öğesini arıyoruz. Öncelikle internet bağlantınızın hızını belirtelim. Altta, İnternete bağlantı için Bant Genişliği'nde, indirmek ve yüklemek için hızı değiştirmek ve girmek için tıklayın. Bu veriler Kerio Control'ün kendisinin doğru çalışması için gereklidir.

Şimdi yeni bir kural ekleyin, Ekle'ye tıklayın ve bir ad girin.

Sonraki Trafik alanında bu kısıtlamanın kime uygulanacağını belirtmeniz gerekir. Pek çok seçenek var, ancak belirli gruplar ve kullanıcılarla ilgileniyoruz, bu nedenle Kullanıcılar ve gruplar öğesini tıklayın. Açılan pencerede gerekli kullanıcıları veya grubu seçin. Hem grubu hem de kullanıcıları hemen seçebilirsiniz.

Şimdi indirme hızı sınırını yapılandırın. Bu gruplar ve kullanıcılar için toplam hız ve limitin kendisi için ne kadar ayırmanız gerektiğini belirtiyoruz. Aynı şeyi indirme öğesi için de belirtiyoruz.

Varsayılan olarak arayüzü ve müsait zamanı bırakın, bu kuralı uygulayın.

Maksim Afanasyev

1997 yılından bu yana Kerio Technologies, şirketlerin iç ağlarını dış saldırılara karşı korumak için bilgisayar güvenliği alanında benzersiz yazılım çözümleri geliştirmekte ve üretmekte, işbirliği ve elektronik iletişim için sistemler oluşturmaktadır. Kerio Technologies ürünleri orta ve küçük ölçekli işletmelere yöneliktir ancak büyük şirketlerde de başarıyla kullanılabilir. Yazılımın bilgi güvenliği alanındaki küresel trendler dikkate alınarak geliştirildiği ve şirketin kendisinin bu alanda yenilikçi olduğu belirtilmelidir.

Prototip yazılım paketi Bu yazıda ele alınacak Kerio Control, ilk sürümü 1997 yılında piyasaya sürülen Winroute Pro yazılım ağ geçidiydi. Winroute Pro yazılımı, erişim sağlamak için tasarlanmış gelişmiş bir proxy sunucusuydu yerel bilgisayarlarİnternete bir harici İnternet kanalı üzerinden. Bu ürün hemen popülerlik kazandı ve oldukça hızlı bir şekilde o zamanın en yaygın proxy sunucularından biri olan WinGate'e rakip oldu. O zaman bile, Kerio ürünleri net bir arayüz ve uygun konfigürasyonun yanı sıra önemli olan güvenilirlik ve güvenlik ile ayırt edildi. O zamandan beri, Kerio Winroute birçok kullanışlı özellik ve yetenekle sürekli olarak güncellendi. Yolculuğunun başında Winroute Pro olarak adlandırıldı, daha sonra adı Winroute Güvenlik Duvarı olarak değiştirildi ve 7. sürümden itibaren ürün şimdiki adını aldı - Kerio Control.

Kerio, sanallaştırma olanaklarını hızla fark etti ve günümüzde çok çekirdekli işlemcilerin ortaya çıkması ve BT alanında önemli ilerlemeler sayesinde aktif olarak gelişen sanal ortamlarla maksimum entegrasyon yoluna girdi. Tüm yeni Kerio ürünleri artık ortamlar için mevcut VMware sanallaştırma ve bu yazılımı herhangi bir platformda dağıtmanıza ve ürünü yeni bir donanım platformuna yeniden yüklemenize gerek kalmadan taşımanıza olanak tanıyan Hyper-V. Ayrıca bu yaklaşım, ağ yöneticilerine ağ altyapısı oluştururken daha geniş bir seçenek sunar. Kerio ürünleri orijinal olarak şu şekilde sevk edildi: Windows uygulamaları, ancak sanallaştırma sistemleri için bir sürümün ortaya çıkmasından sonra, şirket işletim sisteminden tamamen soyutlamaya ve artık Kerio Control'ü ayrı bir uygulama olarak yayınlamamaya karar verdi. Sürüm 8'den itibaren Kerio Control yalnızca üç sürümle gelir: Software Appliance, VMware Virtual Appliance ve Hyper-V Virtual Appliance. Tüm varyantlar modernize edilmiş bir ameliyathane kullanır Linux sistemi Ek zaman alıcı yapılandırma ve bakım gerektirmeyen Debian'a (düşük işlevselliğe sahip SMP sürümü kullanılır) dayalıdır. Güvenlik Duvarı Yazılım Aracı, 250 MB'ın biraz üzerinde bir ISO görüntüsü olarak mevcuttur ve bir işletim sistemi gerektirmeden özel donanıma kolayca kurulabilir. VMware Virtual Appliance, VMware ortamı için OVF ve VMX paketleri olarak sunulurken, Hyper-V Virtual Appliance, tümü önceden dağıtılmış ve yapılandırılabilir olan Microsoft sanallaştırma sistemleri içindir. Geliştirici tarafından belirtildiği gibi, bunun OVF versiyonu yazılım, prensip olarak diğer sanallaştırma sistemlerine kurulabilir. Bu yaklaşım, şirket ağının uygulanmasında daha esnek bir yaklaşıma izin verir ve önemli maliyetler gerektirdiğinden veya yetenekleri ciddi şekilde sınırlı olduğundan, genellikle donanım kısmında yükseltilemeyen donanım çözümlerinin kullanımından vazgeçilir.

Kerio Control yazılımının ana özelliklerini ve önceki sürümlerde eksik olan bir takım yenilikleri ele alalım. Kerio Control'ün ilk kez bu yıl Mart ayında 8. versiyonunun piyasaya sürüldüğünü hatırlayın. Bu yazı itibariyle, Kerio, küçük bir güncellemeye ek olarak, bazı ek işlevler de getiren Kerio Control 8.1'i Haziran ayında yayınladı.

Kerio Control'ün kurulumu, hem Software Appliance kullanılarak, yani sistem ile konuşlandırılarak yapılabilir. ayrı bir ISO görüntüsü ve sanal makineyi sanallaştırma sunucusunda başlatarak. İkinci yöntem, Kerio Control'ün en son sürümünü üreticinin web sitesinden Vmware VA Marketplace aracılığıyla otomatik olarak indirme yeteneği de dahil olmak üzere çeşitli kurulum yollarını içerir. Bir ISO görüntüsünden kurulum yaparken, Kerio Control'ü dağıtmak için tüm adımlar, yöneticinin kurulum işleminin sihirbazından gelen birkaç basit soruya verdiği yanıtlardadır. Kerio Control sanal makinesinin başlatılması, kurulumun ana aşamasını atlamanıza izin verir ve yöneticinin yalnızca sanal makinenin başlangıç ​​parametrelerini ayarlaması gerekir: işlemci sayısı, boyut rasgele erişim belleği, ağ bağdaştırıcılarının sayısı ve disk alt sisteminin boyutu. Temel sürümde sanal makine Kerio Control en minimal parametrelere sahiptir, ancak daha fazla yönetim gerçekleştirmek için makinenin özelliklerinde belirtilen en az bir ağ adaptörüne ihtiyacınız vardır.

Sistemi bir şekilde kurduktan ve Kerio Control'ün başarılı bir şekilde başlatılmasından sonra, kullanıcı yönetim konsolu aracılığıyla ağ yapılandırmasının temel ayarlarına erişebilecektir (Şekil 1). Varsayılan olarak, Kerio Control'e bağlı ağ bağdaştırıcıları DHCP kullanarak IP adreslerini almaya çalışır. IP adresleri başarılı bir şekilde alınırsa, yönetici, yönetim konsolunda görüntülenen IP adresini girerek yerel ağ üzerinden Kerio Control'e bağlanabilir. Temel yönetim konsolu, yapılandırmanızı sağlar ağ ayarları bağdaştırıcılar, Kerio Control'ü temel parametrelere sıfırlayın, Kerio Control'ü yeniden başlatın veya devre dışı bırakın. Gerekirse, Alt + F2-F3 tuş kombinasyonuna basarak işletim sisteminin tam teşekküllü bir bash komut kabuğuna çıkabileceğinizi belirtmek gerekir. Giriş yapmak için Kerio Control kurulumu sırasında belirtilen root kullanıcı adını ve yönetici şifresini girmeniz gerekecektir. Alt + F4-F5 klavye kısayoluna basılarak ek hata ayıklama bilgileri çağrılabilir. Diğer ayarlar, şifreli bir SSL kanalı aracılığıyla web yönetim konsolu aracılığıyla yapılandırılır.

Pirinç. 1. Yönetim Konsolu

Tüm parametreler, güvenli bir web arayüzü üzerinden çalışan kontrol paneli kullanılarak ayarlanabilir (Şekil 2). Böyle bir arayüzle çalışma, güvenli HTTPS/SSL protokolü aracılığıyla gerçekleştirilir. Yönetim Konsolu, tüm güvenlik duvarı ayarlarını yönetmenize olanak tanır. ile karşılaştırıldığında önceki sürümler Kerio Control'ün 7. versiyonuna dayanan bu kontrol panelinin tasarımında önemli değişiklikler yapıldı. Bu nedenle, kontrol panelinin ilk sayfasında, Kerio Control durumunun hızlı teşhisi için gerekli öğeleri ekleyebileceğiniz veya kaldırabileceğiniz özelleştirilebilir bir döşeme arayüzü ("Dashboard") vardır. Yönetici iletişim kanallarının yükünü, kullanıcı etkinliğini, sistem durumunu, VPN bağlantılarını vb. hemen gördüğü için bu çok uygundur.

Pirinç. 2. Kontrol paneli

Kerio Control 8.1'in güncellenmiş sürümüne aşağıdaki seçenekler eklenmiştir: yapılandırmayı ve ayarları kaydetme Bulut hizmeti Otomatik modda Samepage.io, parametreleri SNMP üzerinden izleme, yönetim web arayüzünde Kerio Control ağ geçidi adına Ping, Traceroute, DNS Lookup, Whois hata ayıklama araçlarını kullanma yeteneği. Ek olarak, Kerio Control artık düzenli ifadeler URL'ler, otomatik VPN tünel açma, kaba kuvvet koruması ve daha gelişmiş paket analiz yetenekleri için. Ayrıca, Kerio Control Software Appliance'ın en son sürümünün daha fazla RAID denetleyicisi için destek eklediğini ve bu sistemin ayrı donanım platformlarında dağıtma olanaklarını genişleteceğini de belirtmek gerekir.

Web yönetim arayüzü Kerio Control'ün sadece bir yönetim paneli değil, aynı zamanda ayrı bir kullanıcı arayüzü vardır (Şekil 3). Yönetim panelinin Kerio Control'de hiçbir şeyi değiştirme özelliği yoktur, ancak farklı zaman dilimlerinde kullanıcı veya kullanıcı istatistiklerini izlemenize olanak tanır. İstatistikler, ziyaret edilen kaynaklar, aktarılan veri miktarı ve diğer bilgiler hakkında veri sağlar. Bir kullanıcının Kerio Control sisteminde yönetici hesabı varsa, bu kontrol paneli aracılığıyla sistemin diğer kullanıcıları hakkında istatistiksel veriler alabilir. Doğru ve dikkatli istatistikler, yöneticinin interneti kullanırken kullanıcıların tercihlerini bulmasına, kritik unsurları ve sorunları bulmasına yardımcı olur. Panel, ağdaki her kullanıcı için ayrıntılı bir trafik kullanımı histogramı oluşturur. Yönetici, trafik kullanımını izlemek istediği süreyi seçebilir: iki saat, bir gün, bir hafta ve bir ay. Ek olarak, Kerio Control türlerine göre trafiğin gerçek kullanımına ilişkin istatistikleri gösterir: HTTP, FTP, e-posta, akışlı ortam protokolleri, bilgisayarlar veya proxy'ler arasında doğrudan veri alışverişi.

Pirinç. 3. Kullanıcı paneli

Şubeleri dünyanın her yerinde bulunabilen modern bir şirket için, günümüzde dış kaynak kullanımı aktif olarak geliştirildiğinden, kurumsal ağa güvenli bir bağlantı bir ön koşuldur. Kerio Control'ü kullanma, sanal yükleme özel ağçok az çaba gerektirir veya hiç çaba gerektirmez. VPN sunucusu ve istemcileri, Kerio Control'ün güvenliğinin bir parçasıdır uzaktan erişimşirket ağına. kullanım sanal ağ Kerio VPN, kullanıcıların şirket ağındaki herhangi bir kaynağa uzaktan bağlanmasına ve kuruluşun ağıyla kendi yerel ağları gibi çalışmasına olanak tanır. Üründe yerleşik Kerio Control VPN sunucusu VPN ağlarını iki farklı senaryoda düzenlemenizi sağlar: "sunucudan sunucuya" ve "istemci-sunucu" (Windows, Mac ve Linux için Kerio VPN İstemcisi tarafından kullanılır). "Sunucu - sunucu" modu, uzak bir ofise güvenli bir kanal üzerinden bağlanmak isteyen şirketler tarafından kullanılır. paylaşmak ortak kaynaklar. Bu senaryo, açık İnternet üzerinden güvenli bir kanal kurmak için bağlanan tarafların her birinde Kerio Control'ü gerektirir. İstemci-sunucu modu izin verir uzak kullanıcı bir dizüstü bilgisayarı şirket ağına güvenli bir şekilde bağlayın veya ev bilgisayarı... Birçok sistem yöneticisinin bildiği gibi VPN ve NAT (yayın ağ adresleri) işbirliğini her zaman desteklemez. Kerio VPN, NAT üzerinden ve hatta bir dizi NAT ağ geçidi üzerinden güvenilir şekilde çalışacak şekilde tasarlanmıştır. Kerio VPN, kanal kontrolü (TCP) için endüstri standardı SSL şifreleme algoritmaları ve veri aktarımı için Blowfish (UDP) kullanır ve ayrıca IPSec'i destekler.

Kerio Control ağ geçidi, hem gelen hem de giden trafiği tarayarak sağlanan yerleşik virüs korumasına sahiptir. Daha önce Kerio Control, McAfee'nin yerleşik antivirüsünü kullandıysa, en son sürümler Sophos antivirüs kullanılmaktadır. Yönetici, çeşitli protokoller aracılığıyla trafik için denetim kuralları belirleyebilir: SMTP ve POP3, WEB (HTTP) ve dosya aktarımı (FTP). Ağ geçidine kurulu güvenlik duvarında yerleşik olarak bulunan antivirüs, ağ geçidinden geçen trafiğin tam olarak korunmasını sağlar. Entegre antivirüs, gerçek zamanlı olarak yeni virüs veritabanlarıyla güncellemeler alabildiğinden, bu, ağ güvenliği seviyesini önemli ölçüde artırır. antivirüs yazılımı yerel ağdaki her bilgisayarda. Anti-Virüs, gelen ve giden mesajların yanı sıra tüm ekleri de tarar. Bir ekte virüs algılanırsa, ekin tamamı silinir ve mesaja bir bildirim eklenir. Ayrıca Kerio Control, HTML sayfaları da dahil olmak üzere tüm ağ trafiğini gömülü virüslere karşı tarar. HTTP yoluyla indirilen dosyalar ve FTP yoluyla aktarılan dosyalar da virüslere karşı taranır. Ek olarak, örneğin okul gibi, çalışanlarının ve müşterilerinin belirli sayfaları ziyaret etmesini istemeyen kurum ve kuruluşlar için, Kerio Control'ün yerleşik Kerio Control Web Filtresi ile (opsiyonel olarak mevcuttur) ek maliyet) sağlar Ek özelliklerİnternetteki sayfaları engellemek için.

Kerio Control, yöneticilerin yalnızca trafiği kullanmak için genel bir strateji oluşturmasına değil, aynı zamanda her kullanıcı için kısıtlamalar belirlemesine ve uygulamasına da izin verir. İnternete erişmeden önce her kullanıcı Kerio Control'de oturum açmalıdır. Kullanıcı hesapları ayrı bir dahili kullanıcı veritabanında saklanır veya kurumsal Microsoft Active Directory veya Apple Open Directory'den alınır. Hem yerel hem de etki alanı kullanıcı tabanlarının paralel kullanımı mümkündür. Microsoft Active Directory ile entegrasyon durumunda, NTLM kimlik doğrulaması aracılığıyla etki alanı kullanıcıları için şeffaf bir şekilde istemci yetkilendirmesi gerçekleşebilir. Windows 2008/2012 Sunucusunun bir parçası olan Active Directory, yöneticilerin kullanıcı hesaplarını ve ağ kaynağı verilerini merkezi olarak yönetmesine olanak tanır. Active Directory, tek bir bilgisayardan kullanıcı bilgilerine erişim sağlar. Active Directory / Open Directory desteği, Kerio Control'ün kullanıcı veritabanına gerçek zamanlı erişimini açar ve yerel ağda bir şifre kaydetmeden bir kullanıcı kurmanıza izin verir. Böylece, her kullanıcı için şifreleri senkronize etmeye gerek yoktur. Microsoft Active Directory / Open Directory'deki tüm değişiklikler Kerio Control'e otomatik olarak yansıtılır.

Yönetici, her kullanıcı için erişim haklarına farklı kısıtlamalar getirebilir. Bu kuralların eylemi belirli süreler için belirlenebilir ve trafik kullanımına çeşitli kısıtlamalar getirilebilir. Sınıra ulaşıldığında Kerio Control, kullanıcıya ve yöneticiye bir uyarı e-postası gönderir veya yönetici bu kullanıcıyı gün veya ay sonuna kadar engeller.

Sonuç olarak, Kerio Control'ün çok popüler bir ürün olduğunu belirtmek gerekir. sistem yöneticileriörneğin standart pakette bulunan benzer çözümlerle karşılaştırıldığında sahip olduğu yadsınamaz avantajları nedeniyle işletim sistemleri Linux tabanlı (örneğin, iptables). Hızlı yapılandırma, geniş yetenekler ve yüksek derecede koruma - tüm bunlar, bu yazılım ürününü küçük şirketler için çekici hale getirir.

Kerio Control bu kategoriye girer yazılım geniş bir işlevsellik yelpazesinin uygulama ve çalıştırma kolaylığı ile birleştirildiği . Bugün, bu programın İnternet'teki çalışanların grup çalışmalarını organize etmek ve yerel ağı dış tehditlerden güvenilir bir şekilde korumak için nasıl kullanılabileceğini analiz edeceğiz.

geniş bir işlevsellik yelpazesinin uygulama ve çalıştırma kolaylığı ile birleştirildiği ürün kategorisine aittir. Bugün, bu programın İnternet'teki çalışanların grup çalışmalarını organize etmek ve yerel ağı dış tehditlerden güvenilir bir şekilde korumak için nasıl kullanılabileceğini analiz edeceğiz.

Ürünün tanıtımı, İnternet ağ geçidi rolü oynayan bir bilgisayara kurulumuyla başlar. Bu prosedür, başka herhangi bir yazılımın kurulumundan farklı değildir ve bu nedenle üzerinde durmayacağız. Sadece not ediyoruz ki, bu sırada bazı pencere hizmetleri programın çalışmasını engelliyor. Kurulum tamamlandıktan sonra sistemi yapılandırmaya devam edebilirsiniz. Bu, hem yerel olarak, doğrudan İnternet ağ geçidi üzerinden ya da şirket ağına bağlı herhangi bir bilgisayardan uzaktan yapılabilir.

Her şeyden önce, koşarız standart menü "Başlangıç"yönetim konsolu. Yardımı ile söz konusu ürünün konfigürasyonu gerçekleştirilir. Kolaylık sağlamak için gelecekte hızlı bir şekilde bağlanmanıza izin verecek bir bağlantı oluşturabilirsiniz. Bunu yapmak için öğeye çift tıklayın. " Yeni bağlantı", açılan pencerede ürünü (Kerio Control), kurulu olduğu ana bilgisayarı ve ayrıca kullanıcı adını belirtin ve ardından " Farklı kaydet"ve bağlantının adını girin. Bundan sonra ile bağlantı kurabilirsiniz. Bunun için oluşturulan bağlantıya çift tıklayın ve şifrenizi girin.

Kerio Control'ün temel konfigürasyonu

Prensip olarak, tüm çalışma parametreleri manuel olarak ayarlanabilir. Ancak, ilk uygulama için, otomatik olarak başlayan özel bir sihirbaz kullanmak çok daha uygundur. İlk adımında, sistemle ilgili temel bilgileri öğrenmeniz önerilir. Burada ayrıca Kerio Control çalıştıran bilgisayarın yerel bir ağa bağlı olması ve çalışan bir İnternet bağlantısına sahip olması gerektiğine dair bir hatırlatma var.

İkinci adım, İnternet bağlantısının türünü seçmektir. Toplamda, burada belirli bir yerel ağ için en uygun olanı seçmeniz gereken dört seçenek mevcuttur.

  • Her zaman açık erişim - İnternet ağ geçidinin İnternet'e kalıcı bir bağlantısı vardır.
  • İsteğe bağlı arama - gerektiğinde bağımsız olarak bir İnternet bağlantısı kurar (RAS arabirimi varsa).
  • Başarısız olduğunda yeniden bağlanın - İnternet bağlantısı kesildiğinde, otomatik olarak başka bir kanala geçecektir (iki İnternet bağlantısına ihtiyacınız vardır).
  • Kanallarda yük dengeleme - yükü aralarında dağıtarak aynı anda birkaç iletişim kanalı kullanır (iki veya daha fazla İnternet bağlantısı gerekir).

Üçüncü adımda, ağ arayüzünü veya internete bağlı arayüzleri belirtmeniz gerekir. Programın kendisi, mevcut tüm arayüzleri bir liste şeklinde algılar ve görüntüler. Böylece yönetici yalnızca uygun seçeneği seçebilir. İlk iki bağlantı türünde yalnızca bir arabirim ve üçüncüsü iki bağlantı kurmanız gerektiğini belirtmekte fayda var. Dördüncü seçeneğin ayarı diğerlerinden biraz farklıdır. Her biri için mümkün olan maksimum yükü ayarlamak için gerekli olan herhangi bir sayıda ağ arabirimi ekleme yeteneği sağlar.

Dördüncü adım, kullanıcılara sunulacak ağ hizmetlerini seçmektir. Prensip olarak, seçeneği seçebilirsiniz " Limit yok". Ancak, çoğu durumda bu tamamen makul olmayacaktır. Gerçekten ihtiyacınız olan hizmetleri işaretlemek daha iyidir: sitelere göz atmak için HTTP ve HTTPS, postayla çalışmak için POP3, SMTP ve IMAP vb.

Sonraki adım, VPN bağlantıları için kuralları yapılandırmaktır. Bunun için sadece iki onay kutusu kullanılır. İlki, kullanıcıların sunucuya bağlanmak için hangi istemcileri kullanacağını belirler. "Yerel" ise, yani Kerio tarafından yayınlandıysa, onay kutusu etkinleştirilmelidir. Aksi takdirde, örneğin yerleşik Windows araçları, devre dışı bırakmanız gerekir. İkinci onay kutusu, Kerio Clientless SSL VPN işlevinin (dosyaları, klasörleri yönetme, bir web tarayıcısı aracılığıyla indirme ve yükleme) kullanma olasılığını belirler.

Altıncı adım, yerel ağda çalışan, ancak İnternet'ten de erişilebilir olması gereken hizmetler için kurallar oluşturmaktır. Önceki adımda Kerio VPN Server veya Kerio Clientless SSL VPN teknolojisini etkinleştirdiyseniz, bunlar için gerekli olan her şey otomatik olarak yapılandırılacaktır. Diğer hizmetlerin kullanılabilirliğini sağlamanız gerekiyorsa (kurumsal posta sunucusu, FTP sunucusu vb.), ardından her biri için " Eklemek", hizmetin adını seçin (seçilen hizmet için standart bağlantı noktaları açılacaktır) ve gerekirse IP adresini belirtin.

Son olarak, kurulum sihirbazının son ekranı, kural oluşturma işlemine başlamadan önce bir uyarıdır. Sadece okuyun ve " Tamamlayınız". Doğal olarak, gelecekte oluşturulan tüm kurallar ve ayarlar değiştirilebilir. Ayrıca, açıklanan sihirbazı yeniden çalıştırabilir veya parametreleri manuel olarak düzenleyebilirsiniz.

Prensip olarak, işin tamamlanmasından sonra sihirbaz zaten çalışır durumda. Bununla birlikte, bazı parametrelerde biraz ince ayar yapmak mantıklıdır. Özellikle, bant genişliği kullanımına ilişkin sınırlar belirleyebilirsiniz. Hepsinden önemlisi, büyük, hacimli dosyaları aktarırken "tıkanır". Bu nedenle, bu tür nesnelerin indirme ve/veya yükleme hızını sınırlayabilirsiniz. Bunu yapmak için, " Yapılandırma"bölümü açmanız gerekiyor" Bant genişliği sınırlaması", filtrelemeyi etkinleştirin ve büyük dosyalar için mevcut bant genişliğini girin. Gerekirse, sınırlamayı daha esnek hale getirebilirsiniz. Bunu yapmak için " bunlara ek olarak"ve açılan pencerede filtreler için servisleri, adresleri ve zaman aralıklarını belirtin. Ayrıca büyük sayılan dosyaların boyutunu hemen ayarlayabilirsiniz.

Kullanıcılar ve gruplar

Sonrasında ilk kurulum sisteme kullanıcı eklemeye başlayabilirsiniz. Ancak, önce onları gruplara ayırmak daha uygundur. Bu durumda, gelecekte onları yönetmek daha kolay olacaktır. Yeni bir grup oluşturmak için " Kullanıcılar ve Gruplar-> Gruplar"ve düğmeye tıklayın" Eklemek". Bu, üç adımdan oluşan özel bir sihirbaz açacaktır. İlkinde, grubun adını ve açıklamasını girmeniz gerekir. İkincisinde, elbette zaten varsa, hemen ona kullanıcı ekleyebilirsiniz. Üçüncü adımda, grubun haklarını tanımlamanız gerekir: sistem yönetimine erişim, çeşitli kuralları devre dışı bırakma yeteneği, VPN kullanma izni, istatistikleri görüntüleme vb.

Grupları oluşturduktan sonra kullanıcı eklemeye geçebilirsiniz. Bunu yapmanın en kolay yolu, şirket ağında bir etki alanı dağıtılmasıdır. Bu durumda, sadece bölüme gidin " Kullanıcılar ve Gruplar-> Kullanıcılar", Active Directory sekmesini açın, onay kutusunu etkinleştirin" Etki alanı kullanıcı veritabanını kullan"ve bu veritabanına erişim hakkı olan bir hesabın kullanıcı adını ve şifresini girin. hesaplar alan, ki bu elbette çok uygun.

Aksi takdirde, kullanıcıları manuel olarak girmeniz gerekecektir. Bunun için söz konusu bölümün ilk sekmesi sağlanmıştır. Hesap oluşturmanın üç adımı vardır. İlk başta, bir giriş, ad, açıklama, adres belirlemeniz gerekir. E-posta, ayrıca kimlik doğrulama parametreleri: oturum açma ve parola veya Active Directory'den veriler. İkinci adımda, kullanıcıyı bir veya daha fazla gruba ekleyebilirsiniz. Üçüncü aşamada, erişim için otomatik olarak bir hesap kaydetmek mümkündür. güvenlik duvarı ve belirli IP adresleri.

Güvenlik sistemi kurmak

Kurumsal ağın güvenliğini sağlamak için uygulanan geniş fırsatlar. Prensip olarak, güvenlik duvarını yapılandırdığımızda zaten dış tehditlere karşı savunmaya başladık. Ek olarak, bu ürün bir izinsiz giriş önleme sistemi içerir. Varsayılan olarak etkindir ve optimum performans için yapılandırılmıştır. Böylece onu kendi haline bırakabilirsiniz.

Bir sonraki adım antivirüs. Programın tüm sürümlerinde bulunmadığına burada dikkat edilmelidir. Kötü amaçlı yazılımdan korumayı kullanmak için yerleşik antivirüs ile satın alınması veya İnternet ağ geçidine yüklenmesi gerekir. harici modül antivirüs. Anti-virüs korumasını etkinleştirmek için " bölümünü açın Yapılandırma-> İçerik Filtreleme-> Antivirüs". İçinde kullanılan modülü etkinleştirmeniz ve onay kutularını kullanarak kontrol edilen protokolleri kontrol etmeniz gerekir (tümünü etkinleştirmeniz önerilir). Yerleşik antivirüs kullanıyorsanız, güncellemeyi etkinleştirmeniz gerekir. anti-virüs veritabanları ve bu prosedürü gerçekleştirmek için aralığı ayarlayın.

Ardından, HTTP trafiği için filtreleme sistemini yapılandırmanız gerekir. Bu, " Yapılandırma-> İçerik Filtreleme-> HTTP Politikası". En basit filtreleme seçeneği," kara "listedeki kelimeleri içeren siteleri koşulsuz olarak engellemektir. Bunu etkinleştirmek için " yasak kelimeler"ve ifadelerin listesini doldurun. Ancak, daha esnek ve güvenilir bir filtreleme sistemi var. Belirli sitelere kullanıcı erişimini engelleme koşullarını tanımlayan kurallara dayanmaktadır.

Yeni bir kural oluşturmak için " URL kuralları", Tıklayın sağ tık fareyi alanın üzerine getirin ve " Eklemek". Bir kural ekleme penceresi üç sekmeden oluşur. İlki, tetikleneceği koşulları belirler. İlk önce, kuralın kime uygulanacağını seçmeniz gerekir: tüm kullanıcılar veya yalnızca belirli hesaplar. Bundan sonra, ihtiyacınız istenen sitenin URL'sini eşleştirmek için kriterleri belirlemek için Bunu yapmak için Kerio Web Filtresi sistemindeki bir web projesinin adresinde, adres grubunda veya derecelendirmesinde (aslında kategori sitenin ait olduğu). site.

İkinci sekmede, kuralın çalışacağı aralığı (varsayılan olarak, her zaman) ve geçerli olduğu IP adresi grubunu (varsayılan olarak tümü) belirtebilirsiniz. Bunu yapmak için, önceden tanımlanmış değerlerin açılır listelerinden uygun öğeleri seçmeniz yeterlidir. IP adreslerinin zaman aralıkları ve grupları henüz ayarlanmadıysa, "Düzenle" butonlarını kullanarak gerekli düzenleyiciyi açıp ekleyebilirsiniz. Ayrıca bu sekmede, sitenin engellenmesi durumunda programın eylemini ayarlayabilirsiniz. Bu, belirli bir ret metnine sahip bir sayfanın sorunu olabilir, boş sayfa veya kullanıcıyı belirli bir adrese yönlendirmek (örneğin, bir şirket sitesine).

Şirket ağının kullanması durumunda kablosuz teknolojiler, MAC adresine göre filtreyi etkinleştirmek mantıklıdır. Bu, çeşitli cihazların yetkisiz bağlantı riskini önemli ölçüde azaltacaktır. Bu görevi gerçekleştirmek için, " bölümünü açın Yapılandırma-> Trafik Politikası-> Güvenlik Ayarları". İçindeki onay kutusunu etkinleştirin." MAC Filtresi Etkin", ardından yayılacağı ağ arayüzünü seçin, MAC adres listesini değiştirin" Yalnızca listelenen bilgisayarların ağa erişmesine izin ver"ve verileri girerek doldurun Kablosuz cihazlarşirkete aittir.




















özetleyelim

Gördüğümüz gibi, geniş işlevselliğe rağmen, İnternet'teki kurumsal ağ kullanıcılarının yardım grubu çalışmasıyla organize etmek oldukça basittir. Sadece dikkate aldığımız açık temel ayar bu ürünün.