Aby poprawnie skonfigurować rozkład ruchu, musisz wybrać typ połączenia internetowego.
Dla każdej sieci lokalnej konfigurowana jest najbardziej odpowiednia. Można podłączyć stały dostęp, dzięki tej funkcji istnieje stałe połączenie z Internetem.
Drugą opcją może być połączenie, jeśli to konieczne - sam program nawiąże połączenie, gdy będzie to potrzebne.
Istnieją dwa połączenia; Kerio Control utworzy ponowne połączenie z innym kanałem w przypadku utraty połączenia z Internetem.
Posiadając dwa lub więcej kanałów internetowych, możesz wybrać czwarty typ połączenia. Obciążenie zostanie równomiernie rozłożone na wszystkie kanały.
: ustawienia użytkownika
Konieczne jest skonfigurowanie parametrów dostępu użytkownika, wymagana jest podstawowa konfiguracja programu. Musisz określić i dodać interfejsy sieciowe, wybrać usługi sieciowe dostępne dla użytkowników. Pamiętaj, aby skonfigurować reguły połączeń VPN i reguły dotyczące usług działających w sieci lokalnej. Aby dodać użytkowników do programu, zalecamy najpierw rozbicie ich na grupy. Tę funkcję można ustawić na karcie „Użytkownicy i grupy”.
W grupach musisz utworzyć prawa dostępu, na przykład możliwość korzystania z VPN, obserwuj statystyki.
W sieci znajduje się domena; bardzo łatwo jest dodawać użytkowników. Musisz włączyć funkcję „Użyj bazy danych użytkowników domeny” w menu „Użytkownicy”. W sieci nie ma domeny, użytkowników należy dodać ręcznie, podając każdemu nazwę, adres e-mail, login i opis.
Ustawianie statystyk w
Kerio Control pokazał statystyki ruchu internetowego, konieczne jest autoryzowanie użytkowników.
Musisz monitorować statystyki użytkowników, włączyć automatyczną rejestrację w przeglądarce każdego użytkownika.
W firmie jest niewielka liczba pracowników, możesz ustawić stały adres IP dla każdego komputera i powiązać z nim każdego użytkownika.
: filtrowanie zawartości - opcje ustawień
Aby skonfigurować system bezpieczeństwa, przejdź z zakładki „Konfiguracja” do ustawień „Filtrowania treści”. W sekcji „Anti-Virus” możesz skonfigurować aktualizację antywirusowej bazy danych i sprawdzić protokoły, które będą skanowane za pomocą pól wyboru.
Aby włączyć sprawdzanie ruchu HTTP, przejdź do zakładki „Polityka HTTP”. Aktywuj „czarną listę” i dodaj do niej zakazane słowa. Korzystając z dodanych wytycznych, system natychmiast zablokuje wszystkie witryny, w których te wyrażenia zostaną znalezione. Aby utworzyć bardziej elastyczny system filtrowania, utwórz reguły, korzystając z podsekcji „Reguły adresów URL”.
: skonfiguruj reguły ruchu
Reguły ruchu są konfigurowane w sekcji „Konfiguracja”. Przejdź do karty „Zasady ruchu drogowego” i wybierz jeden z trzech parametrów, które chcesz skonfigurować. W sekcji „Reguły ruchu” tworzysz reguły regulujące dostęp użytkownika do Internetu, filtrowanie treści i połączenie ze zdalnego biura.
Nazwij regułę. W kolumnie „Źródło” możesz wybrać „Dowolne źródło”, „Zaufane źródło” lub wyświetlić listę konkretnych źródeł. W kolumnie „Miejsce docelowe” musisz określić, gdzie dane będą wysyłane do sieci lokalnej, tunelu VPN lub Internetu. Pozycja „Usługi” służy do wyszczególnienia wszystkich usług i portów, za pomocą których zostanie wdrożona określona reguła.
Skonfiguruj równoważenie obciążenia
Aby kontrolować ruch sieciowy i racjonalnie rozdzielić go między najważniejsze kanały transmisji, musisz skonfigurować równoważenie obciążenia. W ten sposób zoptymalizowany dostęp do Internetu dla użytkowników. Dzięki rozkładowi ruchu na najważniejszym kanale połączeń do przesyłania ważnych danych zawsze będzie istniał ciągły Internet.
Aby przypisać wielkość ruchu sieciowego w programie, wdrożono obsługę QoS. Możesz utworzyć maksymalną przepustowość dla kanału priorytetowego, a ruch o niskim stopniu ważności zostanie zawieszony. Możliwe jest skonfigurowanie równoważenia obciążenia dla wielu połączeń.
NAT: konfiguracja
Zapora Kerio umożliwia bezpieczne połączenie komputera z siecią lokalną. Utwórz dostęp do Internetu dla niektórych pracowników w zdalnym biurze, bez żadnych działań z ich strony. Aby to zrobić, musisz utworzyć połączenie VPN w sieci lokalnej ze zdalnego biura. Zainstaluj i skonfiguruj interfejsy do łączenia się z Internetem. W panelu sterowania na karcie „Zasady ruchu” utwórz regułę zezwalającą na ruch lokalny.
Nie zapomnij podać w źródle wszystkich niezbędnych obiektów. Konieczne będzie także utworzenie reguły, która pozwoli lokalnym użytkownikom na dostęp do Internetu. Musisz skonfigurować NAT, pomimo utworzonych reguł dostępu do Internetu, nie będzie to możliwe bez włączenia tej funkcji. Na karcie „Zasady ruchu” wybierz sekcję „Transmisja” i zaznacz pole wyboru „Włącz źródło NAT”. Określ ścieżkę równoważenia.
: ustawienia interfejsu
Konfigurowanie interfejsów odbywa się natychmiast po zainstalowaniu programu. Już aktywowany, który został zakupiony i wybrał typ połączenia internetowego, możesz wykonać konfigurację interfejsów. Przejdź do sekcji „Interfejsy” w konsoli zarządzania. Interfejsy podłączone do Internetu i dostępne, sam program wykrywa. Wszystkie elementy zostaną wyświetlone na liście.
Przy rozproszonym obciążeniu interfejsów (wybór rodzaju połączenia internetowego) możesz dodawać interfejsy sieciowe w nieograniczonej liczbie. Maksymalne możliwe obciążenie dla każdego z nich jest ustawione.
Wideo
Nieprawidłowe zarządzanie przepustowością w sieci biurowej (lub brak takiego zarządzania) prowadzi do namacalnych zakłóceń: Internet jest wolny, jakość komunikacji głosowej i wideo jest obniżona itp. Pomoże to w prawidłowym ustaleniu priorytetów i zapewnieniu wystarczającej przepustowości dla ważnego ruchu.
Informacje o funkcjach sterowania Kerio
Oprogramowanie Kerio Control należy do klasy produktów UTM (Unified Threat Management) i zapewnia pełną ochronę stacji roboczych i serwerów podczas pracy w Internecie. Rozwiązanie koncentruje się na średnich sieciach korporacyjnych i śledzi rodowód znanego produktu WinRoute. Słowa „kompleksowa ochrona” oznaczają, że Kerio Control składa się z wielu modułów odpowiedzialnych za różne aspekty bezpieczeństwa, a mianowicie:
- zapora ogniowa;
- router
- system wykrywania i zapobiegania włamaniom (IPS / IDS);
- ochrona ruchu antywirusowego;
- filtrowanie treści ruchu;
- monitorowanie i analiza aktywności użytkowników w Internecie;
- dwa serwery VPN - jeden oparty na własnym protokole i drugi oparty na otwartym standardzie IPSec VPN;
- zarządzanie pasmem i obsługa QoS.
W artykule porozmawiamy o ostatnim elemencie z tej listy, ale nie o ostatnim znaczeniu.
Problemy z optymalizacją dostępu do Internetu
Rozważmy kilka typowych scenariuszy.
Pierwszy: Liderzy potrzebują nieograniczonego dostępu do przepustowości, lepszego niż inni. Nawiasem mówiąc, nie jest to konieczne dla głowy - wymagana będzie szeroka przepustowość dla serwera, który replikuje bazę danych ze zdalnym centrum danych.
Druga: menedżerowie narzekają na słaby słuch i wycinanie połączeń. Lub terminal płatniczy akceptuje płatności kartą po raz trzeci, ponieważ nie może skontaktować się z bankiem.
Trzeci: nagle prędkość całego biura spadła. Czas sprawdzić, kto pobiera torrenty w pracy.
Wszystkie te scenariusze wymagają zarządzania przepustowością, a mianowicie ustalania priorytetów i wykrywania nieprawidłowości. Zadania zarządzania będą wyglądać mniej więcej tak:
- voIP wymaga przepustowości 10 Mb / s, przynajmniej w dowolnym momencie;
- dane przesyłane strumieniowo nie powinny zużywać więcej niż 100 kbit / s;
- ruch gości musi być oddzielony od działającego i nie może zostać przełączony na kanał zapasowy w przypadku głównej awarii;
- uprzywilejowany ruch jest ważniejszy niż zwykle w godzinach pracy.
Aby sformalizować każde z tych zadań, należy ustalić, dlaczego i według jakich kryteriów priorytetowo traktujemy.
Rodzaje ruchu. Przede wszystkim bardzo ważne są wideokonferencje online, telefonia, transmisja wideo, VPN, przepustowość. Po drugie - regularny dostęp do stron, plików, poczty. Najniższy priorytet można ustawić dla dostępu do witryn rozrywkowych, zakupów itp.
Czas dostępu. Można ustawić różne priorytety dotyczące godzin pracy i wolnych od pracy. Możesz nadać serwerowi wysoki priorytet na okres replikacji danych i ograniczyć resztę.
Reguła \u003d sformalizowane ograniczenie
Po zdefiniowaniu wymienionych kryteriów możesz przejść do reguł ograniczeń pasma. Zilustrujmy rozwiązanie Kerio do transportu stosowane na przykład na statkach. Jeśli statek ma kanał satelitarny o dużym ruchu i wąskim paśmie, aw portach dostępny jest szeroki kanał, jasne jest, w jaki sposób ustalić priorytety. Na przykład:
W rzeczywistości jest to już całkiem reguła w Kerio Control.
Teraz wrócimy ze statku do biura i spojrzymy na przykład z telefonią IP. Jeśli pasmo jest przeciążone, obniża to jakość komunikacji głosowej, co oznacza, że \u200b\u200btraktujemy priorytetowo:
Są to również trzy reguły w Kerio Control.
Podobnie, zgodnie z zasadami, zadania są gwarantowane z gwarantowanym szerokim pasmem do zarządzania i sprzętu, ograniczeniami połączeń gości itp.
Zarządzanie pasmem w Kerio Control
Na pulpicie nawigacyjnym Kerio Control u góry znajduje się lista dostępnych interfejsów internetowych. Na przykład szybki kanał i wolny. Pod nim znajdują się sieci lokalne, na przykład sieci główne i sieci gości.
Teraz musimy zmapować interfejsy lokalne na interfejsy internetowe, co zrobimy na karcie „Reguły ruchu”. Na przykład odłożyliśmy interfejs na sieć dla gości (najtańszą), a goście nie zatykają głównej sieci biurowej. Tutaj wprowadzamy ograniczenia dotyczące rodzajów ruchu, na przykład tylko dostęp do sieci dla gości i wszelki ruch dla ich własnych.
A teraz, gdy skonfigurowano routing interfejsów, nadszedł czas, aby nadać priorytet wykorzystaniu przepustowości. Przechodzimy do zakładki Zarządzanie przepustowością i QoS, tworzymy regułę dla użytkowników VIP, dodajemy do niej grupy Właściciele (ci sami użytkownicy VIP) i Sprzęt (które zdecydowanie potrzebują dobrego połączenia) i ustawiamy na przykład 20% rezerwację przepustowości.
Ważna kwestia - te 20% bierze się z pasma określonego w ustawieniach! Ważne jest tutaj, aby nie podawać numeru zadeklarowanego przez dostawcę, ale rzeczywistą przepustowość.
Teraz tworzymy regułę dla ruchu krytycznego i dodajemy do niego typy ruchu: SIP VoIP, VPN, komunikatory i dostęp zdalny.
I rezerwujemy dla niego na przykład 3 Mb / s na pobieranie i pobieranie.
Następnie tworzymy regułę dla ważnego ruchu i uwzględniamy takie rodzaje ruchu, jak przeglądanie Internetu, poczty, multimediów i FTP. I nałożymy na niego ograniczenie zużycia nie więcej niż 50% pasma, i tylko w godzinach pracy.
Teraz stwórzmy regułę dla szkodliwego ruchu. Jeśli wybierzesz menu „Połączenie spełniające regułę treści” podczas wybierania rodzaju ruchu, możesz użyć filtru treści i wybrać sieci społecznościowe, sklepy, ruch, gry itp. Możesz również ograniczyć P2P. Nakładaj na nich poważne ograniczenie 256 kb / s i pozwól im pobierać.
Teraz spójrzmy na użytkowników-gości. Na karcie Aktywne hosty łatwo jest zobaczyć, co się teraz dzieje. Prawdopodobnie znajdziesz gościa, który już pobrał gigabajty i nadal korzysta z Internetu z przyzwoitą prędkością.
Dlatego tworzymy zasadę dla gości. Na przykład nie przekraczaj 5% paska.
I dalej. Jak pamiętasz, kierujemy gości do określonego interfejsu sieciowego. Regułę ograniczenia pasma można skonfigurować tak, aby ograniczenie dotyczyło tylko jednego określonego interfejsu sieciowego lub wszystkich interfejsów sieciowych. W tym drugim przypadku, jeśli zmienimy interfejs związany z siecią gościa, reguła będzie nadal obowiązywać.
I ważny punkt. Reguły działają w kolejności na liście, od góry do dołu. Dlatego reguły, które odfiltrowują wiele żądań dostępu, mają sens na początku.
Wszystko to opisano szczegółowo w artykułach z bazy wiedzy Kerio.
- Ustawianie prędkości łącza (KB 1373)
- Konfigurowanie zarządzania przepustowością (KB 1334)
- Konfigurowanie routingu zasad (KB 1314)
- Monitorowanie aktywnych hostów (KB 1593)
Przed i po optymalizacji
Przed. Cały ruch był na równi, bez priorytetów. W przypadku korków cierpi cały ruch, w tym ruch krytyczny.
Po. Ważny ruch ma priorytet. Mechanizmy ograniczeń i redundancja są konfigurowane według typu użytkownika, rodzaju ruchu, czasu.
Zamiast wniosku
Zadbaliśmy o to, aby ograniczenie dostępu do przepustowości nie było trudne przy użyciu niestandardowych reguł. Kerio uważa łatwość użytkowania swoich produktów za najważniejszą zaletę i zachowuje je przez lata, pomimo ich rosnącej złożoności i funkcjonalności.
Informacje o badaniu produktów Kerio Technologies, które produkują różne rozwiązania z zakresu bezpieczeństwa, dla małych i średnich firm. Według oficjalnej strony internetowej firmy, z jej produktów korzysta ponad 60 000 firm na całym świecie.
Specjaliści SEC Consult odkryli wiele luk w Kerio Control, rozwiązaniu UTM firmy, które łączy funkcje zapory ogniowej, routera, IDS / IPS, antywirusa bramy, VPN i tak dalej. Badacze opisali dwa scenariusze ataku, które pozwalają atakującemu nie tylko przejąć kontrolę nad Kerio Control, ale także przez sieć korporacyjną, którą produkt musi chronić. Chociaż programiści opublikowali już poprawki dla większości wykrytych błędów, naukowcy zauważają, że nadal można zaimplementować jeden ze scenariuszy ataku.
Według naukowców rozwiązania Kerio Control są podatne na zagrożenia ze względu na niebezpieczne korzystanie z funkcji unserializacji PHP, a także ze względu na użycie starej wersji PHP (5.2.13), w której wykryto już poważne problemy. Eksperci odkryli również szereg podatnych na ataki skryptów PHP, które pozwalają na ataki XSS i CSRF oraz obejście ochrony ASLR. Ponadto, według SEC Consult, serwer WWW działa z uprawnieniami roota i nie ma ochrony przed atakami siłowymi i naruszeniem integralności informacji w pamięci.
Schemat pierwszego scenariusza ataku
Pierwszy scenariusz ataku opisany przez ekspertów obejmuje wykorzystanie kilku luk jednocześnie. Atakujący będzie musiał zastosować socjotechnikę i zwabić ofiarę do złośliwej strony, która będzie hostować skrypt, który pozwoli ci znaleźć wewnętrzny adres IP Kerio Control. Następnie atakujący musi wykorzystać błąd CSRF. Jeśli ofiara nie jest zalogowana do panelu sterowania Kerio Control, atakujący może użyć zwykłej brutalnej siły do \u200b\u200bwybrania poświadczeń. Aby to zrobić, potrzebujesz usterki XSS, która omija ochronę SOP. Następnie możesz ominąć ASLR i użyć starego błędu w PHP (CVE-2014-3515), aby uruchomić powłokę z uprawnieniami roota. W rzeczywistości po tym atakujący uzyskuje pełny dostęp do sieci organizacji. Poniższy film przedstawia atak w akcji.
Drugi scenariusz ataku polega na wykorzystaniu luki w zabezpieczeniach RCE, która jest związana z funkcją aktualizacji Kerio Control i została odkryta ponad rok temu przez jednego z pracowników SEC Consult. Eksperci sugerują użycie tego błędu, który umożliwia zdalne wykonanie dowolnego kodu w połączeniu z podatnością XSS, która pozwala rozszerzyć funkcjonalność ataku.
Specjaliści Kerio Technologies zostali powiadomieni o problemach pod koniec sierpnia 2016 r. W tej chwili firma wydała Kerio Control 9.1.3, w którym większość luk została naprawiona. Firma zdecydowała się jednak pozostawić uprawnienia serwera root serwerowi WWW i bez jego naprawy nadal występuje błąd RCE związany z funkcją aktualizacji.
Dzień dobry, drodzy czytelnicy i goście strony blogowej, w każdej organizacji zawsze są ludzie, którzy nie chcą pracować i używają zasobów korporacyjnych do innych celów, dam prosty przykład, macie małe biuro, powiedzmy 50 pracowników i kanał internetowy o przepustowości 20 megabitów i miesięczny limit ruchu 50 GB, to wystarczy, aby biuro mogło korzystać z Internetu i budować pracę biznesową, ale są ludzie, którzy mogą chcieć pobrać film na wieczór lub nowy album muzyczny, i najczęściej używają do tego trackerów, pozwól mi Pokażę, jak w Kerio Control 8 możesz wyłączyć ruch p2p i ustawić dzienny limit dla oficera ruchu.
Zablokuj ruch p2p w Kerio Control 8
I tak masz wbudowaną sieć lokalną, w której pojawił się złośliwy rocker, myślę, że natychmiast zidentyfikujesz go z dzienników statystyk, filtrując według kolumn. Oprócz nagany, która nastąpi po stronie zarządzania, Ty jako administrator systemu powinieneś zapobiegać dalszym próbom pobierania treści za pośrednictwem ruchu P2P.
Masz dwie opcje:
- Włącz pełne blokowanie ruchu p2p
- Ustaw dzienny limit dla każdego użytkownika
Zacznijmy od zablokowania ruchu peer-to-peer, przejdź do filtra treści i utwórz nową regułę. Kliknij Dodaj i wybierz „Aplikacje i kategorie treści internetowych”
Znajdź sekcję pobierania i sprawdź sieć peer-to-peer.
W działaniu reguły ustaw usuń.
Teoretycznie, aby całkowicie zablokować ruch p2p, wystarczy utworzona reguła, ale radzę ustawić limity dla użytkowników, jeśli masz limit w Internecie, aby przeszkolić ich, aby korzystali z niego wyłącznie w kwestiach biznesowych. Aby to zrobić, przejdź do karty Użytkownicy i we właściwościach dowolnej na karcie Przydział określ dzienny limit w megabajtach.
Kerio Control należy do tej kategorii oprogramowaniew którym połączono szeroki zakres funkcjonalności z łatwością implementacji i obsługi. Dziś przeanalizujemy, w jaki sposób za pomocą tego programu można zorganizować pracę grupową pracowników w Internecie, a także niezawodnie chronić sieć lokalną przed zagrożeniami zewnętrznymi.
należy do kategorii produktów, w których szeroki zakres funkcjonalności łączy się z łatwością implementacji i obsługi. Dziś przeanalizujemy, w jaki sposób za pomocą tego programu można zorganizować pracę grupową pracowników w Internecie, a także niezawodnie chronić sieć lokalną przed zagrożeniami zewnętrznymi.
Wdrożenie produktu rozpoczyna się od jego instalacji na komputerze pełniącym rolę bramy internetowej. Ta procedura nie różni się niczym od instalowania jakiegokolwiek innego oprogramowania i dlatego nie będziemy się nad tym rozwodzić. Zauważamy tylko, że w tym czasie niektóre usługi Windows, które zakłócają program, zostaną wyłączone. Po zakończeniu instalacji możesz przystąpić do konfiguracji systemu. Można to zrobić zarówno lokalnie, bezpośrednio na bramie internetowej, jak i zdalnie, z dowolnego komputera podłączonego do sieci korporacyjnej.
Najpierw przejrzyj standardowe menu „ Początek„konsola zarządzania. Z jego pomocą przeprowadzana jest konfiguracja danego produktu. Dla wygody możesz utworzyć połączenie, które w przyszłości pozwoli ci szybko się połączyć. Aby to zrobić, kliknij dwukrotnie„ Nowe połączenie”, wskaż w oknie, które otwiera produkt (Kerio Control), host, na którym jest zainstalowany, a także nazwę użytkownika, a następnie kliknij„ Zapisz jako”i wprowadź nazwę połączenia. Następnie możesz nawiązać połączenie z. Aby to zrobić, kliknij dwukrotnie utworzone połączenie i wprowadź hasło.
Podstawowa konfiguracja Kerio Control
Zasadniczo wszystkie parametry operacyjne można konfigurować ręcznie. Jednak w przypadku początkowej implementacji wygodniej jest użyć specjalnego kreatora, który uruchamia się automatycznie. Na pierwszym etapie proponowane jest zapoznanie się z podstawowymi informacjami o systemie. Przypominamy również, że komputer z uruchomionym Kerio Control musi być podłączony do sieci lokalnej i mieć działające połączenie z Internetem.
Drugi etap to wybór rodzaju połączenia internetowego. W sumie dostępne są cztery opcje, z których musisz wybrać najbardziej odpowiedni dla konkretnej sieci lokalnej.
- Stały dostęp - brama internetowa ma stałe połączenie z Internetem.
- Wybierz na żądanie - w razie potrzeby niezależnie nawiąże połączenie z Internetem (jeśli istnieje interfejs RAS).
- Połącz ponownie w przypadku awarii - jeśli połączenie z Internetem zostanie przerwane, automatycznie przełączy się na inny kanał (potrzebujesz dwóch połączeń z Internetem).
- Równoważenie obciążenia na kanałach - będzie jednocześnie korzystać z kilku kanałów komunikacji, rozdzielając obciążenie między nimi (konieczne są dwa lub więcej połączeń internetowych).
W trzecim kroku musisz określić interfejs sieciowy lub interfejsy podłączone do Internetu. Sam program wykrywa i wyświetla wszystkie dostępne interfejsy na liście. Administrator może więc wybrać tylko odpowiednią opcję. Należy zauważyć, że w pierwszych dwóch typach połączeń musisz zainstalować tylko jeden interfejs, a w trzecim - dwa. Ustawienie czwartej opcji różni się nieco od pozostałych. Zapewnia możliwość dodania dowolnej liczby interfejsów sieciowych, dla każdego z nich należy ustawić maksymalne możliwe obciążenie.
Czwarty krok to wybór usług sieciowych, które będą dostępne dla użytkowników. Zasadniczo możesz wybrać „ Bez limitów„Jednak w większości przypadków nie będzie to całkowicie uzasadnione. Lepiej zaznaczyć te usługi, które są naprawdę potrzebne: HTTP i HTTPS do przeglądania stron, POP3, SMTP i IMAP do pracy z pocztą itp.
Następnym krokiem jest skonfigurowanie reguł dla połączeń VPN. W tym celu wykorzystywane są tylko dwa pola wyboru. Pierwszy określa, których klientów będą używać użytkownicy do łączenia się z serwerem. Jeśli „rodzimy”, to znaczy zwolniony przez Kerio, pole wyboru musi być aktywowane. W przeciwnym razie, na przykład podczas korzystania z wbudowanych narzędzi systemu Windows, należy je wyłączyć. Drugie pole wyboru określa możliwość korzystania z funkcji Kerio Clientless SSL VPN (zarządzanie plikami, folderami, pobieranie i pobieranie za pośrednictwem przeglądarki internetowej).
Szóstym krokiem jest stworzenie reguł dla usług, które działają w sieci lokalnej, ale muszą być dostępne z Internetu. Jeśli w poprzednim kroku włączyłeś Kerio VPN Server lub Kerio Clientless SSL VPN, wtedy wszystko, co jest do nich potrzebne, zostanie skonfigurowane automatycznie. Jeśli chcesz zapewnić dostępność innych usług (korporacyjny serwer poczty, serwer FTP itp.), Dla każdej z nich kliknij przycisk „ Dodaj”, wybierz nazwę usługi (otworzą się standardowe porty dla wybranej usługi) i, jeśli to konieczne, określ adres IP.
Wreszcie, ostatni ekran kreatora instalacji jest ostrzeżeniem przed rozpoczęciem procesu generowania reguł. Po prostu przeczytaj i kliknij „ Kompletny". Oczywiście, w przyszłości wszystkie utworzone reguły i ustawienia mogą zostać zmienione. Ponadto możesz albo ponownie uruchomić opisanego kreatora, albo ręcznie edytować parametry.
Zasadniczo po zakończeniu pracy kreator jest już w stanie roboczym. Jednak sensowne jest nieznaczne dostosowanie niektórych parametrów. W szczególności możesz ustawić limity przepustowości. Przede wszystkim „zapycha się” podczas przesyłania dużych, obszernych plików. Dlatego możesz ograniczyć prędkość załadunku i / lub rozładunku takich obiektów. Aby to zrobić, w polu „ Konfiguracja„trzeba otworzyć sekcję” Limit przepustowości”, włącz filtrowanie i wprowadź przepustowość dostępną dla plików zbiorczych. W razie potrzeby możesz uelastycznić ograniczenie. Aby to zrobić, kliknij„ dodatkowo”i określ w oknie otwierającym usługę, adresy, a także przedziały czasowe filtrów. Ponadto możesz natychmiast ustawić rozmiar plików, które są uważane za obszerne.
Użytkownicy i grupy
Po wstępnej konfiguracji systemu możesz zacząć wprowadzać do niego użytkowników. Jednak wygodniej jest najpierw podzielić je na grupy. W takim przypadku łatwiej będzie zarządzać w przyszłości. Aby utworzyć nową grupę, przejdź do „ Użytkownicy i grupy-\u003e Grupy„i kliknij przycisk” Dodaj". W takim przypadku zostanie otwarty specjalny kreator, składający się z trzech kroków. Po pierwsze, musisz wprowadzić nazwę i opis grupy. Po drugie, możesz od razu dodać do niej użytkowników, jeśli oczywiście są już utworzeni. Na trzecim etapie musisz określić prawa grupy: dostęp do administracja systemem, możliwość wyłączenia różnych reguł, pozwolenie na korzystanie z VPN, przeglądanie statystyk itp.
Po utworzeniu grup możesz przystąpić do dodawania użytkowników. Najłatwiej to zrobić, jeśli domena jest wdrożona w sieci firmowej. W takim przypadku przejdź do „ Użytkownicy i grupy-\u003e Użytkownicy”, otwórz kartę Active Directory, zaznacz pole wyboru” Użyj bazy danych użytkowników domeny”i wprowadź login i hasło do konta, które ma prawo dostępu do tej bazy danych. Jednocześnie będzie korzystał z kont domeny, co oczywiście jest bardzo wygodne.
W przeciwnym razie konieczne będzie ręczne wprowadzenie użytkowników. W tym celu udostępniana jest pierwsza zakładka rozważanej sekcji. Utworzenie konta składa się z trzech kroków. Pierwszym krokiem jest ustawienie loginu, nazwy, opisu, adresu e-mail, a także parametrów uwierzytelniania: login i hasło lub dane z Active Directory. W drugim kroku możesz dodać użytkownika do jednej lub więcej grup. W trzecim etapie możliwe jest automatyczne zarejestrowanie konta w celu uzyskania dostępu do zapory i niektórych adresów IP.
Skonfiguruj system bezpieczeństwa
Wdrożono wiele okazji do zapewnienia bezpieczeństwa sieci korporacyjnej. Zasadniczo już zaczęliśmy się bronić przed zagrożeniami zewnętrznymi podczas konfigurowania zapory. Ponadto rozważany produkt zawiera system zapobiegania włamaniom. Jest domyślnie włączony i skonfigurowany pod kątem optymalnej wydajności. Więc nie możesz tego dotknąć.
Następnym krokiem jest program antywirusowy. Warto zauważyć, że nie ma go we wszystkich wersjach programu. Aby korzystać z ochrony przed złośliwym oprogramowaniem, należy ją kupić z wbudowanym antywirusem lub zewnętrzny moduł antywirusowy musi być zainstalowany w bramie internetowej. Aby włączyć ochronę antywirusową, musisz otworzyć „ Konfiguracja-\u003e Filtrowanie zawartości-\u003e Antywirus". Konieczne jest aktywowanie użytego modułu i sprawdzenie protokołów do sprawdzenia za pomocą pól wyboru (zalecane jest włączenie wszystkich). Jeśli korzystasz z wbudowanego programu antywirusowego, musisz włączyć aktualizację antywirusowej bazy danych i ustawić odstęp czasu dla tej procedury.
Następnie musisz skonfigurować system filtrowania ruchu HTTP. Możesz to zrobić w „ Konfiguracja-\u003e Filtrowanie zawartości-\u003e Polityka HTTP„. Najprostszą opcją filtrowania jest bezwarunkowe blokowanie witryn zawierających słowa z czarnej listy. Aby je włączyć, przejdź do„ Zakazane słowa”i wypełnij listę wyrażeń. Istnieje jednak bardziej elastyczny i niezawodny system filtrowania. Opiera się on na zasadach opisujących warunki blokowania dostępu użytkowników do niektórych witryn.
Aby utworzyć nową regułę, przejdź do „ Reguły adresów URL”, kliknij prawym przyciskiem myszy pole i wybierz„ Dodaj". Okno dodawania reguły składa się z trzech zakładek. Pierwsza określa warunki, w których zostanie uruchomiona. Najpierw musisz wybrać, czy reguła dotyczy wszystkich użytkowników, czy tylko określonych kont. Następnie musisz ustawić kryteria dopasowania adresu URL żądanej witryny. Aby to zrobić, możesz użyć wiersza zawartego w adresie, grupie adresów lub ocenie projektu internetowego w systemie Kerio Web Filter (w rzeczywistości kategoria, do której należy strona. Na końcu powinieneś wskazać reakcję systemu na spełnienie warunków - aby zezwolić lub odmówić dostępu do teren.
Na drugiej karcie możesz określić przedział czasu, w którym reguła będzie ważna (zawsze domyślnie), a także grupę adresów IP, do których ma zastosowanie (domyślnie dla wszystkich). Aby to zrobić, po prostu wybierz odpowiednie pozycje z rozwijanych list predefiniowanych wartości. Jeśli przedziały czasowe i grupy adresów IP nie zostały jeszcze ustawione, to za pomocą przycisków „Edytuj” możesz otworzyć żądany edytor i dodać je. Również na tej karcie możesz ustawić akcję programu w przypadku zablokowania strony. Może to oznaczać rozdanie strony z danym tekstem odmowy, wyświetlenie pustej strony lub przekierowanie użytkownika na podany adres (na przykład na korporacyjną stronę internetową).
Jeśli w sieci korporacyjnej stosowane są technologie bezprzewodowe, sensowne jest włączenie filtrowania według adresu MAC. Zmniejszy to znacznie ryzyko nieautoryzowanego podłączenia różnych urządzeń. Aby zrealizować to zadanie, otwórz „ Konfiguracja-\u003e Polityka ruchu-\u003e Ustawienia zabezpieczeńMsgstr "Aktywuj w nim pole wyboru." Filtr MAC włączony”, a następnie wybierz interfejs sieciowy, do którego będzie on dystrybuowany, przełącz listę adresów MAC na„ Zezwalaj na dostęp do sieci tylko wymienionym komputerom”i podaj szczegółowe informacje na temat urządzeń bezprzewodowych firmy.
Podsumujmy
Tak więc, jak widzimy, pomimo szerokiej funkcjonalności, dość łatwo jest zorganizować pracę grupową użytkowników sieci korporacyjnej w Internecie za jej pomocą. Oczywiste jest, że rozważaliśmy tylko podstawową konfigurację tego produktu.
