برای پیکربندی صحیح توزیع ترافیک ، باید نوع اتصال به اینترنت را انتخاب کنید.
برای هر شبکه محلی ، مناسب ترین پیکربندی شده است. دسترسی دائمی قابل اتصال است ، با این عملکرد یک اتصال اینترنتی ثابت وجود دارد.
گزینه دوم ممکن است یک اتصال در صورت لزوم باشد - خود برنامه در صورت لزوم یک اتصال برقرار می کند.
دو اتصال وجود دارد ؛ Kerio Control در صورت از دست دادن اتصال به اینترنت ، اتصال مجدد به کانال دیگر ایجاد می کند.
با داشتن دو یا چند کانال اینترنتی می توانید نوع چهارم اتصال را انتخاب کنید. بار به طور مساوی در کلیه کانال ها توزیع می شود.
: تنظیمات کاربر
پیکربندی پارامترهای دسترسی کاربر لازم است ، پیکربندی اساسی برنامه مورد نیاز است. شما باید رابط های شبکه را مشخص کرده و اضافه کنید ، خدمات شبکه در دسترس کاربران را انتخاب کنید. به یاد داشته باشید که قوانین اتصالات VPN و قوانین سرویسهایی که در شبکه محلی اجرا می شوند را پیکربندی کنید. برای افزودن کاربران به برنامه ، توصیه می کنیم ابتدا آنها را به صورت گروهی تقسیم کنید. این عملکرد را می توانید در تب "کاربران و گروه ها" تنظیم کنید.
در گروه ها شما باید حقوق دسترسی ایجاد کنید ، به عنوان مثال ، امکان استفاده از VPN ، تماشای آمار.
دامنه ای در شبکه وجود دارد ؛ اضافه کردن کاربران بسیار آسان است. شما می توانید عملکرد "استفاده از پایگاه داده کاربر دامنه" را در فهرست "کاربران" فعال کنید. دامنه ای در شبکه وجود ندارد ، کاربران باید به صورت دستی اضافه شوند و به هر یک از آنها ، نام ، آدرس پست الکترونیکی ، ورود و توضیحات بدهید.
تنظیم آمار در
کنترل Kerio نشان داد که آمار ترافیک اینترنت ، مجوز کاربران است.
شما باید بر آمار کاربر نظارت داشته باشید ، ثبت نام خودکار توسط مرورگر هر کاربر را فعال کنید.
تعداد کمی از کارمندان در شرکت وجود دارد ، شما می توانید برای هر کامپیوتر یک IP ثابت تنظیم کنید و هر کاربر را با آن مرتبط کنید.
: گزینه فیلتر تنظیم محتوا
برای پیکربندی سیستم امنیتی ، از تب "پیکربندی" به تنظیمات "فیلتر محتوا" بروید. در بخش "ضد ویروس" ، می توانید به روزرسانی بانک اطلاعاتی ضد ویروس را پیکربندی کنید و پروتکل هایی را که با استفاده از جعبه های بررسی اسکن شده ، بررسی کنید.
برای فعال کردن بررسی ترافیک HTTP ، به برگه "خط مشی HTTP" بروید. "لیست سیاه" را فعال کرده و کلمات ممنوعه را به آن اضافه کنید. با استفاده از راهنمایی هایی که اضافه کردید ، سیستم بلافاصله کلیه سایت هایی را که در آن این عبارت ها پیدا می شود مسدود می کند. برای ایجاد یک سیستم فیلتر انعطاف پذیر تر ، با استفاده از زیر بخش "قوانین URL" قوانینی را ایجاد کنید.
: تنظیم قوانین راهنمایی و رانندگی
قوانین راهنمایی و رانندگی از طریق بخش "پیکربندی" پیکربندی می شوند. به برگه "خط مشی راهنمایی و رانندگی" بروید و یکی از سه پارامتری را که می خواهید پیکربندی کنید انتخاب کنید. در بخش "قوانین راهنمایی و رانندگی" ، قوانینی را ایجاد می کنید که براساس آن دسترسی به اینترنت کاربر ، فیلتر کردن محتوا و اتصال از یک دفتر راه دور تنظیم می شود.
قانون را بنویسید. در ستون "Source" می توانید "هر منبع" ، "منبع قابل اعتماد" را انتخاب کرده یا منابع خاصی را لیست کنید. در ستون "مقصد" باید مشخص کنید که داده ها به شبکه محلی ، تونل VPN یا اینترنت ارسال می شود. مورد "خدمات" برای لیست کردن کلیه خدمات و پورت هایی است که توسط آن یک قانون خاص اجرا می شود.
تعادل بار را پیکربندی کنید
برای کنترل ترافیک شبکه و توزیع منطقی آن در بین مهمترین کانالهای انتقال ، باید تعادل بار را پیکربندی کنید. بنابراین دسترسی به اینترنت را برای کاربران بهینه کرده است. به لطف توزیع ترافیک در مهمترین کانال اتصال برای انتقال داده های مهم ، همیشه اینترنت مداوم وجود خواهد داشت.
برای اختصاص میزان ترافیک شبکه در برنامه ، پشتیبانی QoS اجرا می شود. شما می توانید حداکثر پهنای باند را برای کانال اولویت ایجاد کنید ، در حالی که ترافیک با درجه اهمیت پایین متوقف می شود. پیکربندی تعادل بار در اتصالات متعدد امکان پذیر است.
NAT: راه اندازی
با استفاده از فایروال Kerio ، می توانید کامپیوتر خود را به صورت ایمن به یک شبکه محلی متصل کنید. دسترسی به اینترنت برای برخی از کارمندان در یک دفتر از راه دور ، بدون هیچ گونه اقدامی از طرف آنها. برای انجام این کار ، شما باید از یک دفتر راه دور یک اتصال VPN در شبکه محلی خود ایجاد کنید. رابط ها را برای اتصال به اینترنت نصب و پیکربندی کنید. در صفحه کنترل ، در تب "خط مشی راهنمایی و رانندگی" ، یک قاعده ایجاد کنید که امکان عبور و مرور محلی را فراهم کند.
فراموش نکنید که در منبع همه اشیاء لازم را مشخص کنید. شما همچنین نیاز به ایجاد قانونی دارید که به کاربران محلی امکان دسترسی به اینترنت را می دهد. شما باید Nat را پیکربندی کنید ، علی رغم قوانین ایجاد شده در اینترنت ، بدون فعال کردن این عملکرد امکان پذیر نخواهد بود. در برگه "خط مشی ترافیک" ، بخش "پخش" را انتخاب کرده و کادر "فعال کردن منبع طبیعی" را انتخاب کنید. یک مسیر متعادل را مشخص کنید.
: تنظیمات رابط
پیکربندی رابط ها بلافاصله پس از نصب برنامه انجام می شود. قبلاً فعال شده که خریداری شده است و نوع اتصال به اینترنت را انتخاب کرده است ، می توانید پیکربندی رابط ها را انجام دهید. به قسمت "Interfaces" در کنسول مدیریت بروید. برنامه هایی که به اینترنت وصل می شوند و در دسترس هستند ، خود برنامه شناسایی می کند. همه موارد در یک لیست نمایش داده می شوند.
با داشتن بار توزیع شده در رابط ها (انتخاب نوع اتصال به اینترنت) می توانید رابط های شبکه را به تعداد نامحدود اضافه کنید. حداکثر بار ممکن برای هر یک از آنها تعیین شده است.
فیلم
مدیریت نادرست پهنای باند در شبکه اداری (یا فقدان چنین مدیریتی) منجر به وقفه های ملموس می شود: اینترنت کند است ، کیفیت ارتباط صوتی و تصویری کاهش می یابد و غیره به شما در اولویت بندی صحیح و اطمینان از پهنای باند کافی به ترافیک مهم کمک خواهد کرد.
درباره ویژگی های کنترل Kerio
راه حل نرم افزاری Kerio Control متعلق به کلاس محصولات UTM (Unified Threat Management) است و محافظت کامل از ایستگاه های کاری و سرورها را هنگام کار در اینترنت فراهم می کند. این راه حل بر روی شبکه های شرکت های متوسط \u200b\u200bمتمرکز شده است و شجره نامه محصول مشهور WinRoute را ردیابی می کند. کلمات "حفاظت جامع" بدان معنی است که Kerio Control از ماژول های زیادی تشکیل شده است که وظیفه جنبه های مختلف امنیتی را دارند ، یعنی:
- دیواره آتش؛
- روتر
- سیستم تشخیص و پیشگیری از نفوذ (IPS / IDS)؛
- حفاظت از ترافیک آنتی ویروس.
- فیلتر محتوای ترافیک.
- نظارت و تجزیه و تحلیل فعالیت کاربر در اینترنت؛
- دو سرور VPN - یکی مبتنی بر پروتکل مخصوص به خود و دیگری براساس استاندارد باز IPSec VPN.
- مدیریت پهنای باند و پشتیبانی QoS.
در مقاله در مورد آخرین مورد این لیست صحبت خواهیم کرد ، اما آخرین اهمیت آن نیست.
مشکلات بهینه سازی دسترسی به اینترنت
بیایید چند سناریوی معمولی را در نظر بگیریم.
اولین: رهبران بهتر از دیگران به دسترسی نامحدود به پهنای باند نیاز دارند. به هر حال ، برای سر ضروری نیست - پهنای باند پهن تضمین شده برای سرور مورد نیاز خواهد بود ، که پایگاه داده را با یک مرکز داده از راه دور تکرار می کند.
دومین: مدیران از تماس ضعیف و شنیدن شکایت دارند. یا ترمینال پرداخت از زمان سوم پرداخت را با کارت قبول می کند ، زیرا نمی تواند با بانک ارتباط برقرار کند.
سوم: ناگهان سرعت کل دفتر افت کرد. وقت آن است که بررسی کنیم چه کسی تورنت را در محل کار بارگیری می کند.
همه این سناریوها به مدیریت پهنای باند ، یعنی اولویت بندی و تشخیص ناهنجاری ها نیاز دارند. وظایف مدیریت چیزی شبیه به این خواهد بود:
- voIP حداقل به هر زمان نیاز به پهنای باند 10 مگابیت بر ثانیه دارد.
- داده های پخش شده نباید بیش از 100 کیلوبیت بر ثانیه مصرف کنند.
- ترافیک مهمان باید در صورت خرابی اصلی از کانال کار جدا شود و در کانال پشتیبان قرار نگیرد.
- ترافیک ممتاز از ساعات کاری مهمتر از حالت عادی است.
برای رسمیت بخشیدن به هر یک از این کارها ، لازم است تعیین کنیم که چرا و با چه معیارهایی اولویت بندی می کنیم.
انواع ترافیک. در وهله اول ، کنفرانس ویدیویی آنلاین ، تلفن ، انتقال ویدیو ، VPN ، پهنای باند در اینجا بسیار مهم است. در مرحله دوم - دسترسی منظم به سایتها ، پرونده ها ، نامه ها. کمترین اولویت را می توان برای دسترسی به اماکن تفریحی ، خرید و غیره تعیین کرد.
زمان دسترسی. اولویت های مختلفی را می توان برای ساعات کار و غیر کار تعیین کرد. می توانید برای دوره تکرار داده ها سرور را اولویت بالایی قرار دهید و بقیه را محدود کنید.
قانون \u003d محدودیت رسمی
وقتی معیارهای ذکر شده تعریف شدند ، می توانید به قوانین محدودیت باند بروید. بگذارید راه حل کریو را برای حمل و نقل مورد استفاده ، به عنوان مثال ، در کشتی ها نشان دهیم. اگر کشتی دارای کانال ماهواره ای با ترافیک گرانقیمت و باند باریک باشد و کانال گسترده ای در بنادر موجود باشد ، نحوه اولویت بندی مشخص است. به عنوان مثال ، مانند این:
در واقع ، این در حال حاضر کاملاً یک قانون در کنترل کریو است.
اکنون ما از کشتی به مطب باز خواهیم گشت و با تلفن IP به مثالی نگاه می کنیم. اگر باند بیش از حد بارگذاری شود ، این کیفیت ارتباط صوتی را کاهش می دهد ، به این معنی که ما این کار را در اولویت قرار می دهیم:
و این سه قاعده در کنترل کریو نیز وجود دارد.
به همین ترتیب ، از طریق قوانین ، وظایف با یک باند گسترده تضمین شده برای مدیریت و تجهیزات ، محدودیت در اتصالات مهمان و غیره تضمین می شود.
مدیریت پهنای باند در کنترل کریو
در داشبورد Kerio Control ، می توانید لیستی از رابط های اینترنتی موجود را در بالا مشاهده کنید. به عنوان مثال ، کانال سریع و کند. به عنوان مثال شبکه های محلی ، شبکه های اصلی و مهمان هستند.
حال باید رابط های محلی را به رابط های اینترنت ترسیم کنیم ، که ما در تب "قوانین راهنمایی و رانندگی" انجام خواهیم داد. به عنوان مثال ، رابط کاربری خود را برای شبکه مهمان (ارزانترین) کنار می گذاریم و میهمانان شبکه اصلی دفتر را قفل نمی کنند. در اینجا محدودیت هایی در مورد انواع ترافیک ایجاد کرده ایم ، به عنوان مثال فقط دسترسی به وب برای مهمانان و هرگونه ترافیکی برای خودشان.
و اکنون که مسیریابی رابط ها پیکربندی شده است ، زمان آن رسیده است که استفاده از پهنای باند را در اولویت قرار دهید. ما به سراغ زبانه مدیریت Bandwidth و تب QoS می رویم ، یک قانون برای کاربران VIP ایجاد می کنیم ، گروه های Owners (همان کاربران VIP) و تجهیزات (که قطعاً به یک اتصال خوب نیاز دارند) را به آن اضافه می کنیم و مثلاً 20٪ رزرو پهنای باند را تعیین می کنیم.
نکته مهم - این 20٪ از باند مشخص شده در تنظیمات در نظر گرفته می شود! در اینجا مهم است که نه شماره اعلام شده توسط ارائه دهنده بلکه پهنای باند واقعی را قرار دهید.
اکنون ما یک قاعده برای ترافیک حساس ایجاد می کنیم و انواع ترافیک را به آن اضافه می کنیم: SIP VoIP ، VPN ، پیام فوری و دسترسی از راه دور.
و برای مثال ما 3 مگابیت بر ثانیه برای بارگیری و بارگیری برای او رزرو می کنیم.
سپس ما یک قاعده برای ترافیک مهم ایجاد می کنیم و انواع ترافیک مانند مرور وب ، ایمیل ، چندرسانه ای و FTP را شامل می شود. و ما او را در مصرف بیش از 50٪ از باند و فقط در ساعات کاری محدود می کنیم.
حال بیایید یک قاعده برای ترافیک مضر ایجاد کنیم. اگر هنگام انتخاب نوع ترافیک ، منوی "اتصال که مطابق با قاعده محتوا است" را انتخاب کنید ، می توانید از فیلتر محتوا استفاده کرده و شبکه های اجتماعی ، مغازه ها ، ترافیک ، بازی ها و غیره را انتخاب کنید. همچنین می توانید P2P را محدود کنید. محدودیت شدید آنها را 256 کیلوبیت بر ثانیه بگذارید و بگذارید بارگیری کنید.
حال اجازه دهید کاربران مهمان را بررسی کنیم. در برگه Active Hosts ، می توانید ببینید که اکنون چه اتفاقی می افتد. این احتمال وجود دارد که شما میهمانی پیدا کنید که قبلاً گیگابایت بارگیری کرده و همچنان با سرعت مناسب از اینترنت خود استفاده کند.
بنابراین ، ما برای مهمانان یک قانون وضع می کنیم. به عنوان مثال ، از 5٪ نوار تجاوز نکنید.
و بیشتر همانطور که به یاد دارید ، ما میهمانان را به یک رابط شبکه خاص هدایت می کنیم. قانون محدودیت باند می تواند به گونه ای تنظیم شود که محدودیت فقط در یک رابط شبکه خاص یا برای همه رابط های شبکه اعمال شود. در حالت دوم ، اگر رابط مرتبط با شبکه مهمان را تغییر دهیم ، این قانون همچنان ادامه خواهد یافت.
و یک نکته مهم. قوانین به ترتیب در لیست ، از بالا به پایین کار می کنند. بنابراین ، قوانینی که بسیاری از درخواستهای دسترسی را فیلتر می کنند ، در ابتدا معنی دارند.
همه اینها در مقاله های مربوط به دانش دانش بنیان کریو به تفصیل شرح داده شده است.
- تنظیم سرعت لینک (KB 1373)
- پیکربندی مدیریت پهنای باند (KB 1334)
- پیکربندی مسیریابی خط مشی (KB 1314)
- نظارت بر میزبانهای فعال (KB 1593)
قبل و بعد از بهینه سازی
قبل از. همه ترافیک بدون شک اولویت داشتند. در مورد ترافیک ، تمام ترافیک از جمله ترافیک حساس رنج می برد.
بعد از. ترافیک مهم در اولویت قرار دارد. مکانیسم های محدودیت و افزونگی توسط نوع کاربر ، نوع ترافیک ، زمان تنظیم می شوند.
به جای نتیجه گیری
ما اطمینان حاصل کردیم که محدود کردن دسترسی به پهنای باند با استفاده از قوانین سفارشی دشوار نیست. کریو سهولت استفاده از محصولات خود را مهمترین مزیت آن می داند و با وجود افزایش پیچیدگی و کارآیی ، سال ها آن را حفظ می کند.
درباره مطالعه محصولات Kerio Technologies ، که راه حل های مختلف نرم افزاری امنیتی را برای مشاغل کوچک و متوسط \u200b\u200bتولید می کند. براساس وب سایت رسمی شرکت ، بیش از 60،000 شرکت در سراسر جهان از محصولات آن استفاده می کنند.
متخصصان SEC Consult ، نقاط ضعف بسیاری را در Kerio Control ، راه حل UTM این شرکت کشف کرده اند که عملکردهای فایروال ، روتر ، IDS / IPS ، آنتی ویروس دروازه ، VPN و غیره را در هم می آمیزد. محققان دو سناریوی حمله را توصیف كردند كه به یك مهاجم اجازه می دهد نه تنها كنترل كریو را در دست بگیرد ، بلكه از طریق شبكه شرکتی نیز كه محصول باید از آن محافظت كند ، استفاده كند. اگرچه توسعه دهندگان قبلاً اصلاحاتی را برای اکثر اشکالات شناسایی شده منتشر کرده اند ، اما محققان خاطر نشان می کنند که هنوز اجرای یکی از سناریوهای حمله امکان پذیر است.
به گفته محققان ، راه حل های Kerio Control به دلیل استفاده نا ایمن از عملکرد غیرکاربردی PHP ، و همچنین به دلیل استفاده از نسخه قدیمی PHP (5.2.13) آسیب پذیر است ، که در آن مشکلات جدی قبلاً کشف شده است. کارشناسان همچنین تعدادی از اسکریپت های آسیب پذیر PHP را کشف کردند که امکان حمله XSS و CSRF و بای پس محافظت ASLR را فراهم می کند. علاوه بر این ، طبق SEC Consult ، سرور وب با امتیازات اصلی کار می کند و از محافظت در برابر حملات بی رحمانه و نقض تمامیت اطلاعات در حافظه محافظت نمی کند.
طرح سناریوی حمله اول
اولین سناریوی حمله ای که توسط متخصصان توصیف شده است ، بهره برداری از چندین آسیب پذیری را به طور هم زمان شامل می شود. مهاجم نیاز به مهندسی اجتماعی دارد و قربانی را در یک سایت مخرب فریب می دهد و میزبان اسکریپتی است که به شما امکان می دهد آدرس IP داخلی Kerio Control را پیدا کنید. سپس مهاجم باید از اشکال CSRF سوءاستفاده کند. در صورت عدم ورود قربانی به صفحه کنترل Kerio Control ، مهاجم می تواند از نیروی بی رحم معمول برای انتخاب اعتبار استفاده کند. برای انجام این کار ، شما نیاز به یک آسیب پذیری XSS دارید که محافظت از SOP را دور می زند. پس از آن ، می توانید ASLR را دور بزنید و از اشکال قدیمی در PHP (CVE-2014-3515) استفاده کنید تا پوسته با امتیازات ریشه شروع شود. در حقیقت ، مهاجم پس از این دسترسی کامل به شبکه سازمان می یابد. فیلم زیر حمله در عمل را نشان می دهد.
سناریوی حمله دوم شامل بهره برداری از آسیب پذیری RCE است که مربوط به عملکرد به روزرسانی Kerio Control است و بیش از یک سال پیش توسط یکی از کارمندان SEC Consult کشف شد. کارشناسان پیشنهاد می کنند استفاده از این اشکال ، که امکان اجرای از راه دور کد دلخواه را فراهم می کند ، در ترکیب با آسیب پذیری XSS است که به شما امکان می دهد تا عملکرد حمله را گسترش دهید.
در پایان اوت 2016 ، از متخصصان Kerio Technologies مطلع شد. در حال حاضر ، این شرکت Kerio Control 9.1.3 را منتشر کرده است که بیشتر آسیب پذیری ها برطرف شده اند. با این حال ، این شرکت تصمیم گرفت امتیازات سرور root را به وب سرور واگذار کند و بدون رفع آن ، هنوز یک اشکال RCE در رابطه با عملکرد بروزرسانی وجود دارد.
بعد از ظهر بخیر ، خوانندگان عزیز و مهمان سایت وبلاگ ، همیشه در هر سازمانی افرادی هستند که مایل به کار نیستند و از منابع شرکتی برای مقاصد دیگر استفاده می کنند ، من یک مثال ساده را بیان می کنم ، شما یک دفتر کوچک دارید ، می گویند 50 کارمند و یک کانال اینترنتی با پهنای باند 20 مگابیت و حد مجاز ترافیک ماهانه 50 گیگابایت ، این کافی است که دفتر بتواند از اینترنت استفاده کند و کار تجاری ایجاد کند ، اما افرادی هستند که ممکن است بخواهند برای یک عصرانه یک فیلم یا یک آلبوم موسیقی جدید بارگیری کنند و اغلب اوقات برای این کار از ردیاب استفاده می کنند. من نشان خواهم داد که چگونه در Kerio Control 8 ، شما می توانید ترافیک p2p را غیرفعال کنید و یک حد روزانه برای افسر ترافیک تعیین کنید.
مسدود کردن ترافیک p2p در Kerio Control 8
بنابراین ، شما یک شبکه محلی داخلی دارید که در آن یک Rocker مخرب ظاهر می شود ، فکر می کنم شما بلافاصله آن را از سیاهههای مربوط به آمار ، شناسایی شده توسط ستون ها ، شناسایی خواهید کرد. علاوه بر توجیهی که از طرف مدیریت خواهد شد ، شما به عنوان مدیر سیستم باید از تلاش های بیشتر برای بارگیری محتوا از طریق ترافیک p2p جلوگیری کنید.
شما دو گزینه دارید:
- مسدود کردن کامل ترافیک p2p را فعال کنید
- حد مجاز روزانه را برای هر کاربر تعیین کنید
بیایید با مسدود کردن ترافیک همتا به همسالان ، به فیلتر محتوا برویم و یک قانون جدید ایجاد کنیم. روی افزودن کلیک کرده و "برنامه ها و دسته بندی های محتوای وب" را انتخاب کنید
بخش بارگیری را پیدا کنید و شبکه همتا را بررسی کنید.
در عملکرد قانون ، حذف را تنظیم کنید.
از نظر تئوری ، برای مسدود کردن کامل ترافیک p2p ، قانون ایجاد شده به اندازه کافی است ، اما من به شما توصیه می کنم در صورت محدودیت در اینترنت سهمیه را برای کاربران تعیین کنید ، آنها را آموزش دهید تا از آن صرفاً در موارد تجاری استفاده کنند. برای انجام این کار ، به تب کاربران بروید و در خصوصیات هر کدام از آنها در تب Quota ، حد روزانه را در مگابایت تعیین کنید.
کنترل کریو در آن دسته قرار دارد نرم افزارکه در آن طیف گسترده ای از عملکردها با سهولت اجرای و بهره برداری ترکیب شده است. امروز ما تجزیه و تحلیل خواهیم کرد که چگونه با کمک این برنامه می توان کار گروهی کارمندان را در اینترنت سامان داد و همچنین با اطمینان از شبکه محلی در برابر تهدیدات خارجی محافظت کرد.
متعلق به رده محصولاتی است که طیف گسترده ای از کارکردها با سهولت اجرای و بهره برداری ترکیب می شود. امروز ما تجزیه و تحلیل خواهیم کرد که چگونه با کمک این برنامه می توان کار گروهی کارمندان را در اینترنت سامان داد و همچنین با اطمینان از شبکه محلی در برابر تهدیدات خارجی محافظت کرد.
اجرای محصول با نصب آن بر روی رایانه ای که به عنوان دروازه اینترنت فعالیت می کند ، آغاز می شود. این روش هیچ تفاوتی با نصب هیچ نرم افزار دیگری ندارد و بنابراین ما روی آن نخواهیم ماند. فقط توجه داشته باشیم که در طی آن برخی از سرویسهای Windows که در برنامه دخالت می کنند غیرفعال می شوند. پس از اتمام نصب ، می توانید پیکربندی سیستم را انجام دهید. این کار می تواند بصورت محلی ، مستقیماً از طریق دروازه اینترنت و از راه دور ، از هر رایانه متصل به شبکه شرکت انجام شود.
اول از همه ، از طریق منوی استاندارد اجرا کنید " شروع کنید"کنسول مدیریت. با کمک آن ، پیکربندی محصول مورد نظر انجام می شود. برای راحتی ، می توانید ارتباطی ایجاد کنید که در آینده به شما امکان می دهد به سرعت وصل شوید. برای انجام این کار ، روی دوبار کلیک کنید" اتصال جدید"، در پنجره ای که محصول را باز می کند (Kerio Control) ، میزبان نصب شده روی آن و همچنین نام کاربری را مشخص کنید ، سپس روی" ذخیره به عنوان"و نام اتصال را وارد کنید. بعد از آن می توانید ارتباط برقرار کنید. برای این کار ، روی اتصال ایجاد شده دوبار کلیک کنید و رمز عبور خود را وارد کنید.
تنظیم اولیه کنترل Kerio
در اصل ، همه پارامترهای عملیاتی می توانند به صورت دستی پیکربندی شوند. با این حال ، برای اجرای اولیه ، استفاده از جادوگر ویژه ای که به طور خودکار شروع می شود بسیار راحت تر است. در مرحله اول ، پیشنهاد می شود تا با اطلاعات اولیه در مورد سیستم آشنا شوید. همچنین یادآوری وجود دارد که رایانه ای که Kerio Control را اجرا می کند باید به شبکه محلی وصل شود و یک اتصال اینترنتی کارگر داشته باشد.
مرحله دوم انتخاب نوع اتصال به اینترنت است. درمجموع چهار گزینه در دسترس است که از این طریق شما باید مناسب ترین شبکه محلی را انتخاب کنید.
- دسترسی دائم - دروازه اینترنت دارای اتصال اینترنتی دائمی است.
- شماره گیری در صورت تقاضا - بطور مستقل یک اتصال اینترنتی را در صورت لزوم برقرار می کند (در صورت وجود رابط RAS).
- در صورت خرابی مجدداً وصل شوید - اگر اتصال به اینترنت قطع شود ، به طور خودکار به کانال دیگری تغییر می یابد (شما به دو اتصال اینترنتی نیاز دارید).
- تعادل بار در کانالها - همزمان از چندین کانال ارتباطی استفاده می شود ، بار بین آنها توزیع می شود (دو یا چند اتصال اینترنتی ضروری است).
در مرحله سوم ، باید رابط شبکه یا رابط های متصل به اینترنت را مشخص کنید. این برنامه خود تمامی رابطهای موجود را در یک لیست تشخیص داده و نمایش می دهد. بنابراین مدیر فقط می تواند گزینه مناسب را انتخاب کند. لازم به ذکر است که در دو نوع اول اتصالات شما فقط باید یک رابط نصب کنید ، و در سوم - دو. تنظیم گزینه چهارم کمی متفاوت از بقیه است. این امکان را برای اضافه کردن هر تعداد رابط شبکه فراهم می کند ، برای هر یک از آنها باید حداکثر بار ممکن را تنظیم کنید.
مرحله چهارم انتخاب خدمات شبکه ای است که در دسترس کاربران خواهد بود. در اصل ، شما می توانید " بدون محدودیتبا این حال ، در اکثر موارد ، این امر کاملاً منطقی نخواهد بود. بهتر است از سرویس هایی که مورد نیاز واقع شده اند ، استفاده کنید: HTTP و HTTPS برای مرور سایتها ، POP3 ، SMTP و IMAP برای کار با نامه و غیره.
مرحله بعدی پیکربندی قوانین برای اتصالات VPN است. برای این کار فقط از دو جعبه چک استفاده می شود. اولین تعیین کننده استفاده از کاربران مشتری برای اتصال به سرور است. اگر "بومی" ، یعنی توسط کریو منتشر شد ، باید کادر تأیید فعال شود. در غیر این صورت ، به عنوان مثال ، هنگام استفاده از ابزارهای داخلی ویندوز ، باید آن را غیرفعال کنید. کادر تأیید دوم امکان استفاده از عملکرد Kerio Clientless SSL VPN (مدیریت پرونده ها ، پوشه ها ، بارگیری و بارگیری از طریق یک مرورگر وب) را تعیین می کند.
مرحله ششم ایجاد قوانینی برای خدماتی است که در شبکه محلی کار می کنند اما باید از طریق اینترنت قابل دسترسی باشند. اگر در مرحله قبل شما فناوری Kerio VPN Server یا Kerio Clientless SSL VPN را فعال کردید ، پس از آن همه چیز لازم برای آنها به طور خودکار پیکربندی می شود. اگر نیاز به اطمینان از در دسترس بودن سرویس های دیگر (سرور پست الکترونیکی شرکت ها ، سرور FTP و غیره) دارید ، پس برای هر یک از آنها ، روی " اضافه کردن"، نام سرویس را انتخاب کنید (درگاه های استاندارد برای سرویس انتخاب شده باز خواهد شد) و در صورت لزوم آدرس IP را مشخص کنید.
سرانجام ، صفحه نهایی جادوگر تنظیم قبل از شروع فرایند تولید قاعده ، هشداری است. فقط آن را بخوانید و روی " کاملبه طور طبیعی ، در آینده می توانید تمام قوانین و تنظیمات ایجاد شده را تغییر دهید. علاوه بر این ، می توانید جادوگر شرح داده شده را دوباره اجرا کنید یا پارامترها را به صورت دستی ویرایش کنید.
در اصل ، جادوگر پس از اتمام کار ، در حال حاضر در شرایط کار است. با این حال ، منطقی است که کمی پارامترها را کمی تنظیم کنیم. به طور خاص ، می توانید محدوده پهنای باند را تنظیم کنید. بیشتر از همه ، هنگام انتقال پرونده های بزرگ ، حجیم "مسدود" می شود. بنابراین می توانید سرعت بارگیری و / یا بارگیری چنین اشیاء را محدود کنید. برای انجام این کار ، در " پیکربندی"باید بخش باز شود" حد پهنای باند"، فیلتر را فعال کنید و پهنای باند موجود برای پرونده های فله را وارد کنید. در صورت لزوم می توانید محدودیت را انعطاف پذیرتر کنید. برای انجام این کار ، روی" بعلاوه"و در پنجره باز شده سرویس ، آدرس ها و همچنین فواصل زمانی فیلترها را مشخص کنید. علاوه بر این ، می توانید بلافاصله اندازه پرونده هایی را انتخاب کنید که حجم پذیر هستند.
کاربران و گروه ها
بعد از راه اندازی اولیه سیستم ، می توانید کاربران را وارد آن کنید. با این حال ، راحت تر است که ابتدا آنها را در گروه ها بشکنیم. در این صورت ، مدیریت در آینده آسانتر خواهد بود. برای ایجاد یک گروه جدید ، به " کاربران و گروه ها -\u003e گروه ها"و روی دکمه کلیک کنید" اضافه کردن"" در این حالت یک جادوگر ویژه باز می شود که از سه مرحله تشکیل شده است. در مرحله اول باید نام و توضیحات گروه را وارد کنید. در مرحله دوم ، شما می توانید بلافاصله کاربران را به آن اضافه کنید ، اگر البته آنها قبلاً ایجاد شده اند. در مرحله سوم ، باید حقوق گروه را تعیین کنید: دسترسی به مدیریت سیستم ، امکان غیرفعال کردن قوانین مختلف ، اجازه استفاده از VPN ، مشاهده آمار و غیره
پس از ایجاد گروه ها ، می توانید کاربران را اضافه کنید. ساده ترین راه برای انجام این کار در صورت استقرار دامنه در شبکه شرکت ها است. در این حالت ، فقط به " کاربران و گروه ها -\u003e کاربران"، برگه Active Directory را باز کنید ، کادر تأیید را فعال کنید" از پایگاه داده کاربر دامنه استفاده کنید"و وارد حساب کاربری و رمز ورود یک حساب کاربری شوید که حق دسترسی به این پایگاه داده را داشته باشد. در عین حال از حسابهای دامنه نیز استفاده می کند که البته این بسیار مناسب است.
در غیر این صورت ، شما باید کاربران را به صورت دستی وارد کنید. برای این کار ، اولین برگه بخش مورد نظر ارائه شده است. ایجاد یک حساب کاربری شامل سه مرحله است. اولین قدم برای ورود به سیستم ، نام ، توضیحات ، آدرس ایمیل و همچنین پارامترهای تأیید اعتبار است: ورود به سیستم و رمز عبور یا داده ها از Active Directory. در مرحله دوم می توانید کاربر را به یک یا چند گروه اضافه کنید. در مرحله سوم ، امکان دستیابی به یک حساب کاربری برای دسترسی به فایروال و آدرس های IP خاص امکان پذیر است.
یک سیستم امنیتی تنظیم کنید
در اجرای فرصت های کافی برای اطمینان از امنیت شبکه شرکت ها. در اصل ، ما قبلاً با راه اندازی فایروال ، دفاع از خود را در برابر تهدیدات خارجی آغاز کردیم. علاوه بر این ، محصول مورد نظر سیستم پیشگیری از نفوذ را پیاده سازی می کند. به طور پیش فرض روشن شده و برای عملکرد بهینه پیکربندی شده است. بنابراین شما نمی توانید آن را لمس کنید.
قدم بعدی آنتی ویروس است. شایان ذکر است که در همه نسخه های برنامه وجود ندارد. برای استفاده از محافظت در برابر ضد بدافزار ، باید آنتی ویروس داخلی خریداری کرد یا باید یک ماژول آنتی ویروس خارجی در دروازه اینترنت نصب شود. برای فعال کردن محافظت در برابر ضد ویروس ، باید " پیکربندی-\u003e فیلتر کردن محتوا-\u003e ضد ویروس". لازم است که ماژول مورد استفاده را فعال کنید و پروتکل های مورد بررسی را با استفاده از کادرهای چک بررسی کنید (توصیه می شود همه را فعال کنید.) اگر از آنتی ویروس داخلی استفاده می کنید ، باید بروزرسانی بانک اطلاعاتی ضد ویروس را فعال کرده و فاصله این روش را تعیین کنید."
در مرحله بعد ، باید سیستم فیلتر ترافیک HTTP را پیکربندی کنید. شما می توانید این کار را در " پیکربندی-\u003e فیلتر کردن محتوا-\u003e خط مشی HTTP". ساده ترین گزینه فیلترشکن مسدود کردن بدون قید و شرط سایتهایی است که حاوی کلمات لیست سیاه هستند. برای فعال کردن آن ، به" کلمات ممنوعه"و لیست عبارات را پر کنید. با این حال ، یک سیستم فیلتر انعطاف پذیر و مطمئن تر وجود دارد. این مبتنی بر قوانینی است که شرایط را برای مسدود کردن دسترسی کاربر به سایت های خاص توصیف می کند.
برای ایجاد یک قانون جدید ، به " قوانین URL"، بر روی قسمت راست کلیک کرده و" اضافه کردن". پنجره اضافه کردن یک قانون شامل سه زبانه است. اولین شرایطی را که تحت آن کار خواهد کرد را تعیین می کند. ابتدا باید این قانون را انتخاب کنید که آیا این قانون برای همه کاربران اعمال می شود یا فقط برای حساب های خاص. برای این کار می توانید از خطی که در آدرس ، گروه آدرس یا رتبه بندی وب سایت در سیستم Kerio Web Filter گنجانده شده است استفاده کنید (در واقع دسته ای که سایت به آن تعلق دارد. در پایان ، شما باید واکنش سیستم را در مورد تحقق شرایط بیان کنید - اجازه یا انکار دسترسی به سایت.
در برگه دوم ، می توانید بازه ای را تعیین کنید که در طی آن قانون معتبر باشد (همیشه بصورت پیش فرض) و همچنین گروه آدرس های IP که در آن اعمال می شود (بطور پیش فرض برای همه). برای این کار ، به سادگی موارد مناسب را در لیست کشویی مقادیر از پیش تعریف شده انتخاب کنید. اگر بازه های زمانی و گروه های آدرس IP هنوز تنظیم نشده اند ، با استفاده از دکمه های "ویرایش" می توانید ویرایشگر مورد نظر را باز کرده و آنها را اضافه کنید. همچنین در این برگه می توانید عملکرد برنامه را در صورت مسدود کردن سایت تنظیم کنید. این می تواند یک صفحه با یک متن امتناع داده شده ، نمایش یک صفحه خالی یا هدایت کاربر به آدرس مشخص (به عنوان مثال ، به یک وب سایت شرکتی) باشد.
در صورت استفاده از فناوری های بی سیم در شبکه شرکت ها ، معقول است که فیلتر را از طریق آدرس MAC فعال کنید. این مسئله خطر اتصال غیرمجاز دستگاههای مختلف را به میزان قابل توجهی کاهش می دهد. برای اجرای این کار ، " پیکربندی-\u003e خط مشی راهنمایی و رانندگی-\u003e تنظیمات امنیتیکادر فعال در آن را فعال کنید. " فیلتر MAC فعال شده است"، سپس رابط شبکه ای که در آن توزیع خواهد شد را انتخاب کنید ، لیست آدرس های MAC را به" دسترسی به شبکه فقط به رایانه های فهرست شده مجاز است"و آن را با جزئیات دستگاههای بی سیم شرکت پر کنید.
بیایید خلاصه کنیم
بنابراین ، همانطور که می بینیم ، با وجود قابلیت های گسترده ، سازماندهی کار گروهی کاربران یک شبکه شرکتی در اینترنت با کمک آن بسیار ساده است. مشخص است که ما فقط پیکربندی اصلی این محصول را در نظر گرفتیم.
