Kerio kontrola - kompleksna mrežna sigurnost. Kerio kontrola Detaljna konfiguracija glavnih funkcija Kerio kontrole onemogućuje dolazni kanal

Mnogi koriste Kerio kontrolni vatrozid. Ima najširu funkcionalnost, pouzdanost i jednostavnost korištenja. Danas ćemo govoriti o tome kako konfigurirati pravila za upravljanje propusnom opsegom. Jednostavno rečeno, pokušajmo ograničiti brzinu pristupa internetu korisnicima i grupama.

Kao u Kerio kontroli ograničite brzinu interneta za korisnike i grupe

I tako nastavite otići na panelu uprave Kerio. Lijevo u potrazi za kontrolom propusnosti. Za početak, navedite brzinu veze na internet. Od dna u polju propusnosti za komunikaciju s internetom kliknite Promjena i unesite brzinu za preuzimanje i preuzimanje. Ovi podaci su potrebni za ispravan rad same kontrole Keria.

Sada dodajte novo pravilo kliknite Dodaj i unesite ime.

Zatim, u polju trgovanja ljudima, morate odrediti ovo ograničenje za koga. Opcija je vrlo mnogo, ali zainteresirani smo za određene skupine i korisnike, na ovom kliku na korisnike i grupe stavke. U prozoru koji se otvara, odaberite potrebne korisnike ili grupu. Možete odmah odabrati i grupu i korisnike.

Sada konfigurirajte ograničenje brzine pri preuzimanju. Navodimo koliko trebate rezervirati za te skupine i korisnike iz ukupne brzine i izravno ograničiti. Također navedu isto za točku za preuzimanje.

Sučelje i dostupno vrijeme ostavljamo zadanu, primijenimo ovo pravilo.

Dobar dan Poštovani čitatelji i gosti Blogs Web stranica, u bilo kojoj organizaciji Uvijek postoje ljudi koji ne žele raditi i koji koriste korporativne resurse ne kao imenovanje, dat ću jednostavan primjer. Imate mali ured, recimo tako zaposlenike 50 i internet kanal s bandwith 20 megabit i mjesečno prometno ograničenje u 50 GB, za uobičajenu uporabu Interneta i izgradnju poslovnog ureda za to dovoljno, ali postoje takve osobe koje se žele skinuti film za večer ili a Novi glazbeni album, a najčešće koriste terenske trackere, dopustite mi da ću vam pokazati u Kerio kontroli 8, možete zabraniti P2P promet i dostaviti dnevnu granicu za zaposlenika u prometu.

Blok P2P promet u Kerio kontroli 8

I tako imate izgrađenu lokalnu mrežu u kojoj se pojavio zlonamjerni stallger, mislim da ga odmah otkrijete iz dnevnika za statistiku, filtriranje na stupcima. Uz nagradu, koja će slijediti vodstvo, vi kao administrator sustava mora spriječiti daljnje pokušaje preuzimanja sadržaja putem P2P prometa.

Imate dvije opcije:

  • Omogućite puni blokiranje P2P prometa
  • Instalirajte Dan ograničenje za svakog korisnika

Počnimo s blokiranjem prometa, idite na filtar sadržaja i stvorite novo pravilo. Kliknite Dodaj i odaberite "Aplikacije i kategorije web sadržaja"

Pronađite odjeljak za preuzimanje i označite mrežu Pyring.

U akciji, stavite pravilo za brisanje.

U teoriji, u potpunosti blokirati P2P promet, prilično stvoreno pravilo, ali još uvijek savjetujem da postavite kvote korisnicima ako imate ograničenje s interneta da ih naučite da ga koriste isključivo na radnike. Da biste to učinili, idite na karticu Korisnici i u svojstvima bilo koje kartice u kartici "kvota", navedite Daegabyte Day Limit.

Neispravno kontroliranje propusnosti u uredskoj mreži (ili odsutnost takvog upravljanja) dovodi do opipljivih prekida: Internet radi polako, kvaliteta glasovnih i video komunikacija se smanjuje, itd. Pomoći će ispravno organizirati prioritete i jamčiti dovoljnu propusnost važnog prometa ,

O mogućnostima Kerio kontrole

Kerio kontrolno rješenje se odnosi na UTM klase proizvoda (Unified Prijetnjama) i pruža potpunu zaštitu radnih stanica i poslužitelja pri radu na internetu. Odluka je usmjerena na korporativne srednje mreže i dovodi do pedigrea iz dobro poznatog Winroute proizvoda. Riječi "složena zaštita" znači da se kontrola Kerio sastoji od raznih modula odgovornih za različite sigurnosne aspekte, naime:

  • vatrozid;
  • usmjerivač;
  • sustav za otkrivanje i prevenciju upada (IPS / IDS);
  • antivirusna zaštita prometa;
  • filtriranje sadržaja prometa;
  • praćenje i analiza aktivnosti korisnika na internetu;
  • dva VPN poslužitelja - jedan na temelju vlastitog protokola, a drugi na temelju otvorenog IPSec VPN standarda;
  • kontrola potpore propusnosti i QoS-a.

U članku ćemo govoriti o posljednjem odlomku na ovom popisu, ali daleko od potonjeg.

Problemi s optimizacijom pristupa internetu

Razmotrite nekoliko tipičnih scenarija.

Prvi: Supervizor je potreban neograničen pristup propusnosti, bolji od drugih. Usput, nije potrebno nadzorniku - zajamčeno je širok traku poslužitelju koji replicira bazu podataka s udaljenim podatkovnim centrom.

Drugi: Menadžeri se žale na lošu čujnost i pozive litice. Ili terminal za plaćanje prihvaća plaćanje na karti od trećeg puta, jer ne može kontaktirati banku.

Treći: Iznenada je pala u cijelom uredu. Vrijeme je da provjerite tko trese bujice.

Svi ovi scenariji zahtijevaju propusnost za upravljanje, naime odrediti prioritete i otkriti anomalne pojave. Zadaci upravljanja izgledat će nešto ovako:

  • voIP zahtijeva kapacitet od 10 Mbps, ne manje, u bilo koje vrijeme;
  • streaming podataka ne bi trebali konzumirati više od 100 kbps;
  • promet gostiju mora biti odvojen od radnika, a ne da se prebaci na backup kanal u slučaju temeljnog neuspjeha;
  • privilegirani promet je važan nego inače u radnom vremenu.

Da bi se svaka od tih zadataka formalizirala, potrebno je odrediti što i za koje kriterije postavljamo prioritete.

Vrste prometa. Na prvom mjestu online video konferencija, telefonija, video prijenos, VPN, ovdje je bandwidth vrlo važan. U drugom je uobičajeni pristup web-lokacijama, datotekama, pošti. Najmanji prioritet može se instalirati za pristup zabavnim mjestima, shopping itd.

Vrijeme pristupa. Različiti prioriteti mogu se instalirati za radno vrijeme i nerađivati. Možete dati visoko prioritet poslužitelju za razdoblje replikacije i ograničiti ostatak.

Pravilo \u003d formalizirano ograničenje

Kada se definiraju navedeni kriteriji, možete otići na pravila za ograničavanje trake. Objasnimo na primjer rješenja Kerio za prijevoz, na primjer, na brodovima. Ako je brod satelitski kanal sa skupim prometom i uskom trakom i nalazi se širok kanal u lukama, jasno je kako postaviti prioritete. Na primjer, tako:

Zapravo, to je već pravilo u Kerio kontroli.

Sada se vratimo s broda u ured i pogledamo primjer s IP telefonijom. Ako je bend preopterećen, smanjuje kvalitetu glasovne komunikacije, a time i prioriteti na ovaj način:

A to su također tri pravila u Kerio kontroli.

Slično tome, pravila se rješavaju zadaci zajamčenog širokog benda za priručnike i opremu, ograničenja gostiju itd.

Kontrola propusnosti u kontroli Keria

Na upravljačkoj ploči Kerio kontrola možete vidjeti popis dostupnih internetskih sučelja. Na primjer, brz kanal i sporo. Pod njim - lokalne mreže, kao što su glavni i gost.

Sada se internetska sučelja moraju uskladiti, koju ćemo učiniti na kartici "Prometni pravila". Na primjer, gostinska mreža je dodijeljena vašem sučelju (najjeftinije), a gosti ne začepljuju glavnu uredsku mrežu. Ovdje konfiguriramo ograničenja na vrste prometa, na primjer, samo web pristup za goste i bilo koji promet za vlastite.

A sada, kada je konfigurirano usmjeravanje sučelja, vrijeme je za izražavanje prioriteta za korištenje propusnosti. Idemo na karticu Bandwidth i QoS karticu, stvorite pravilo za VIP korisnike, dodajući joj stvorene skupine vlasnika (one najviše VIP korisnike) i opremu (koja je potrebna za povezivanje dobre veze) i instalirati, za Primjer, rezervacija 20% benda.

Važna točka - ovih 20% se smatraju od trake navedene u postavkama! Važno je staviti broj koji nije proglašen od strane pružatelja usluga, već stvarni propusnost.

Sada stvorite pravilo za kritični promet i dodavanje vrsta prometa na njega: SIP VoIP, VPN, instant poruke i daljinski pristup.

I rezervirajte ga, na primjer, 3 Mbps za preuzimanje i preuzimanje.

Tada ćemo stvoriti pravilo za važan promet i uključivati \u200b\u200btakve vrste prometa kao što su pregledavanje web stranica, pošte, multimedija i FTP. I stavit ćemo ga ograničenje na potrošnju ne više od 50% benda, a samo u radnom vremenu.

A sada ćemo stvoriti pravilo za štetan promet. Ako, kada odaberete vrstu prometa kliknite na "vezu, zadovoljavajući pravilo pravila sadržaja", možete koristiti sadržaj filtra i odabrati društvene mreže, trgovine, promet, igre itd. Također možete ograničiti P2P. Stavite ga oštre ograničenje od 256 kbps i pustite ih da se ljuljaju.

Sada pogledajte korisnike gosta. Na kartici Active Hosts lako je vidjeti što se sada događa. Vrlo je vjerojatno da ćete naći gosta koji je već napumpao gigabajtu i nastavio koristiti vaš internet s pristojnom brzinom.

Stoga pravilo za goste. Na primjer, ne prelaze 5% trake.

I dalje. Kao što se sjećate, posjetite goste na određeno mrežno sučelje. Pravilo ograničenja benda može se konfigurirati tako da se ograničenje odnosi samo na jedno određeno mrežno sučelje ili sva mrežna sučelja. U potonjem slučaju, ako promijenimo sučelje vezano za gostinsku mrežu, pravilo će nastaviti djelovati.

I važnu točku. Pravila rade na mjestu na popisu, od vrha do dna. Dakle, pravila koja izvaljuju mnoge zahtjeve za pristup ima smisla na početku.

U detaljima, sve je opisano u člancima o bazi znanja u Kerio.

  • Postavljanje brzine veze (KB 1373)
  • Konfiguriranje upravljanja propusnim sredstvima (KB 1334)
  • Konfiguriranje usmjeravanja pravila (KB 1314)
  • Praćenje aktivnih domaćina (KB 1593)

Prije i poslije optimizacije

Prije. Sva promet je prošla jednak, bez prioriteta. U slučaju "prometni gužvi" pati sav promet, uključujući i kritičnu.

Nakon. Važan promet daje se prioritet. Mehanizmi ograničenja i rezervacije konfiguriraju se pomoću vrste korisnika, vrsti prometa, vrijeme.

Umjesto zatvora

Uvjereni smo da je razgraničenje pristup propusnosti korištenjem prilagođenih pravila u potpunosti jednostavna. To je jednostavnost korištenja svojih proizvoda koje Kerio razmatra svoju najvažnu prednost i zadržava tijekom godina, unatoč povećanoj složenosti i funkcionalnosti.

Kerio kontrola pripada toj kategoriji softveru kojoj se širok raspon funkcionalnosti kombinira s lakoćom implementacije i rada. Danas ćemo analizirati kako uz pomoć ovog programa možete organizirati grupni rad zaposlenika na internetu, a također pouzdano štiti lokalnu mrežu od vanjskih prijetnji.

odnosi se na kategoriju proizvoda u kojima se širok raspon funkcionalnosti kombinira s lakoćom implementacije i rada. Danas ćemo analizirati kako uz pomoć ovog programa možete organizirati grupni rad zaposlenika na internetu, a također pouzdano štiti lokalnu mrežu od vanjskih prijetnji.

Provedba proizvoda počinje s instalacijom na računalo koje igra ulogu online gatewaya. Ovaj postupak se ne razlikuje od instalacije bilo kojeg drugog softvera, te se stoga nećemo zaustaviti. Napominjemo samo da će neke Windows usluge sprječavati rad programa tijekom njega. Nakon završetka instalacije, možete se prebaciti na postavku sustava. To se može učiniti i lokalno, izravno na internetskom gatewayu i daljinski, s bilo kojeg računala spojenog na korporativnu mrežu.

Prvo, pokrenite standardni izbornik " Početak"Kontrolna konzola. Uz njegovu pomoć i konfigurirate proizvod koji se razmatra. Za praktičnost možete stvoriti vezu koja će vam omogućiti brzo povezivanje. Za to kliknite na stavku" Nova veza", Navedite prozor proizvoda (Kerio Control), host na kojem je instaliran, kao i korisničko ime, a zatim kliknite na gumb" Spremi kao"I unesite naziv veze. Nakon toga možete postaviti vezu. Za to dvokliknite na kreiranu vezu i unesite zaporku.

Osnovna prilagodba Kerio kontrola

U načelu, svi radni parametri mogu se konfigurirati ručno. Međutim, za početnu provedbu, to je mnogo prikladnije iskoristiti poseban master koji se automatski pokreće. U prvom koraku, pozvan je da se upoznaju s glavnim informacijama o sustavu. Također postoji podsjetnik da računalo na kojem se radi Kerio kontrola treba spojiti na lokalnu mrežu i imati radnu internetsku vezu.

Druga faza je izbor vrste veze s internetom. Ukupno, ovdje postoje četiri opcije, iz koje trebate odabrati najprikladnije za određenu lokalnu mrežu.

  • Stalni pristup - Internet pristupnik ima stalnu internetsku vezu.
  • Biranje na zahtjev - samostalno će se instalirati povezati s internetom (ako postoji RAS sučelje).
  • Ponovno povezivanje Ako odbijete - prilikom razbijanje komunikacije s internetom automatski će se prebaciti na drugi kanal (trebate dvije internetske veze).
  • Distribucija opterećenja na kanalima - istodobno će koristiti višestruke komunikacijske kanale, distribuirajući opterećenje između njih (obavezno su dvije ili više internetskih veza).

U trećem koraku morate odrediti mrežno sučelje ili sučelja povezane s internetom. Sam program otkriva i prikazuje sva dostupna sučelja kao popis. Dakle, administrator može odabrati samo odgovarajuću opciju. Važno je napomenuti da u prve dvije vrste veza mora biti instalirano samo jedno sučelje, a u trećem - dva. Četvrta opcija postavka je nešto drugačija od ostalih. Ona pruža mogućnost dodavanja bilo kojeg broja mrežnih sučelja, za svaki od kojih je potrebno postaviti najviše moguće opterećenje.

Četvrta faza je odabrati mrežne usluge koje će biti dostupne korisnicima. U načelu možete odabrati opciju " Bez ograničenja"Međutim, u većini slučajeva neće biti potpuno razumno. Bolje je zabilježiti" kvačice "te usluge koje stvarno trebaju: http i https za pregled web-mjesta, POP3, SMTP i IMAP za rad s poštom itd.

Sljedeći korak je konfiguriranje pravila za VPN veze. Za to se koriste samo dva potvrdna okviri. Prvi određuje koje će klijenti koristiti korisnike za povezivanje s poslužiteljem. Ako "rođaci", to jest, Kerio je objavljen, potvrdni okvir mora biti aktiviran. U suprotnom, na primjer, kada koristite ugrađene alate, potrebno je isključiti. Drugi potvrdni okvir određuje mogućnost korištenja Kerio klijenata SSL VPN funkcije (upravljanje datotekama, mape preuzimanje i preuzimanje putem web-preglednika).

Šesta faza je stvoriti pravila za usluge koje rade na lokalnoj mreži, ali moraju biti dostupne s interneta. Ako ste u prethodnom koraku uključili Kerio VPN poslužitelj ili Kerio Kerio SSL VPN tehnologiju, zatim sve što trebate biti konfigurirani automatski. Ako trebate osigurati dostupnost drugih usluga (korporativni mail poslužitelj, FTP poslužitelj itd.), Zato za svaku od njih kliknite na gumb " Dodati", Odaberite naziv usluge (otvorit će se standard za odabranu uslugu portova) i, ako je potrebno, navedite IP adresu.

Konačno, posljednji zaslon čarobnjaka za postavljanje je upozorenje prije početka procesa generacije pravila. Samo ga pročitajte i kliknite na gumb " Dovršiti". Naravno, u budućnosti se mogu promijeniti sva stvorena pravila i postavke. I možete ponovno pokrenuti opisani čarobnjak i ručno urediti parametre.

U načelu, nakon završetka čarobnjaka već u radnom stanju. Međutim, ima smisla ispraviti neke parametre. Konkretno, možete uspostaviti ograničenja korištenja propusnosti. Najviše od svega, to je "začepljeno" prilikom prijenosa velikih, voluminoznih datoteka. Stoga možete ograničiti brzinu preuzimanja i / ili istovar takvih objekata. Učiniti ovaj odjeljak " Konfiguracija"Morate otvoriti odjeljak" Ograničavajuće propusnost", Omogućite filtriranje i unesite propusnost dostupnu za voluminozne datoteke. Ako je potrebno, možete napraviti ograničenje fleksibilnijeg. Da biste to učinili, kliknite na gumb" Dodatno"I navedite u prozoru usluge koji se otvara, adrese, kao i vremenski intervali filtera. Osim toga, možete odmah postaviti veličinu datoteka koje se smatraju volumetrijskim.

Korisnici i grupe

Nakon početnog postavljanja sustava, možete nastaviti s uvođenjem korisnika u njega. Međutim, to je prikladnije prvo podijeliti u skupine. U tom slučaju, u budućnosti će biti lakše upravljati. Da biste stvorili novu skupinu, idite na odjeljak " Korisnici i grupe-\u003e grupe"I kliknite na gumb" Dodati"U isto vrijeme, otvorit će se poseban majstor koji se sastoji od tri koraka. Na prvom morate unijeti ime i opis skupine. Na drugome možete odmah dodati korisnike, osim ako, naravno, oni su već stvoreni. U trećoj fazi, potrebno je odrediti prava grupe: pristup upravljanju sustavu, mogućnost onemogućavanja različitih pravila, dopuštenje za korištenje VPN-a, pogledajte statistiku itd.

Nakon stvaranja grupa, možete nastaviti dodati korisnike. Najlakši način da se učini je ako je domena raspoređena u korporativnoj mreži. U ovom slučaju, samo idite na odjeljak " Korisnici i grupe-\u003e korisnici", Otvorite karticu Active Directory, uključite potvrdni okvir" Koristite baze podataka korisnika domene"I unesite korisničko ime i lozinku računa koji ima pravo pristup ovoj bazi podataka. U isto vrijeme, računi domene će to koristiti, naravno, vrlo zgodan.

U suprotnom, morat ćete ručno unijeti korisnike. To osigurava prvu karticu odjeljka koja se razmatra. Stvaranje računa sastoji se od tri koraka. Prvo treba postaviti prijavu, naziv, opis, adresu e-pošte, kao i opcije provjere autentičnosti: prijava i lozinku ili podatke iz Active Directory. U drugom koraku možete dodati korisnika jednom ili više skupina. U trećoj fazi postoji mogućnost automatskog registracije računa za pristup vatrozidu i određenim IP adresama.

Prilagodite sigurnosni sustav

U implementiranim obilnim mogućnostima kako bi se osigurala sigurnost korporativne mreže. U načelu smo se već počeli braniti od vanjskih prijetnji kada postavite rad vatrozida. Osim toga, prevencija proizvoda se provodi u razmatranju proizvoda. To je omogućeno prema zadanim postavkama i konfiguriran za optimalan rad. Tako da se ne može dirati.

Sljedeći korak je antivirusni. Važno je napomenuti da nije u svim verzijama programa. Da biste koristili zaštitu od zlonamjernog softvera treba kupiti s ugrađenim antivirusom, a vanjski antivirusni modul mora biti instaliran na internet gateway. Da biste uključili antivirusnu zaštitu, morate otvoriti odjeljak " Konfiguracija-\u003e Filtriranje sadržaja -\u003e Antivirus". Mora se aktivirati pomoću korištenog modula i zabilježeno uz pomoć protokola (preporuča se uključiti sve). Ako koristite ugrađeni antivirusni, onda morate omogućiti ažuriranje antivirusnih baza podataka i postavite interval ovog postupka.

Zatim morate konfigurirati HTTP sustav filtriranja prometa. Neka bude u odjeljku " Konfiguracija-\u003e Filtriranje sadržaja-\u003e HTTP pravila". Najjednostavnija opcija filtriranja je bezuvjetno blokiranje mjesta na kojima se nalaze riječi s popisa" Black ". Da biste ga omogućili, idite na karticu" Zabranjene riječi"I ispunite popis izraza. Međutim, postoji fleksibilniji i pouzdaniji sustav filtriranja. Temelji se na pravilima koja opisuju uvjete za blokiranje korisničkog pristupa onima ili drugim web-lokacijama.

Da biste stvorili novo pravilo, idite na karticu " URL pravila", Desnom tipkom miša kliknite na polje i odaberite stavku u kontekstnom izborniku. Dodati". Dodaj prozor pravila sastoji se od tri kartice. Prvo postavlja uvjete pod kojima će raditi. Prvo morate odabrati koji se pravilo distribuira: na svim korisnicima ili samo na određenim računima. Nakon toga morate odrediti Kriterij za usklađenost s URL-om tražene web-lokacije. Da biste to učinili, niz koji je uključen u adresu, skupinu adresa ili web-ocjene web-projekta u sustavu Kerio Web filtriranja (u stvari, kategorija kojoj pripada web-lokacija je). Na kraju, potrebno je odrediti reakciju sustava za obavljanje uvjeta - omogućiti ili onemogućiti pristup mjestu.

Na drugoj kartici možete odrediti interval tijekom kojeg će pravilo djelovati (prema zadanim postavkama), kao i skupinu IP adresa na koje se primjenjuje (prema zadanim postavkama svima). Da biste to učinili, jednostavno odaberite odgovarajuće stavke u padajućim popisima unaprijed određenih vrijednosti. Ako vremenski intervali i skupine IP adresa još nisu postavljene, možete otvoriti željeni urednik pomoću gumba "Uredi" i dodati ih. Također na ovoj kartici možete postaviti programsku akciju u slučaju blokiranja web-lokacije. To se može izdavati stranicu s određenim tekstom kvara, prikazujući praznu stranicu ili preusmjeravanje korisnika na određenu adresu (na primjer, na korporativnu stranicu).

U slučaju da se bežične tehnologije koriste u korporativnoj mreži, ima smisla uključiti MAC adresu. To će značajno smanjiti rizik od neovlaštene veze različitih uređaja. Za provedbu ovog zadatka otvorite odjeljak " Konfiguracija-\u003e Prometna politika -\u003e Sigurnosni parametri"U njemu, aktivirajte Chekbox" Uključen je MAC adresa", zatim odaberite mrežno sučelje na koje će distribuirati, prebaciti popis MAC adresa u način rada" Dopusti pristup samo na navedenim računalima samo na navedenim računalima"I ispunite ga izradom podataka iz bežičnih uređaja u vlasništvu tvrtke.




















Uzeti rezultate

Dakle, kao što vidimo, unatoč širokoj funkcionalnosti, organizirati grupni rad korisnika korporativnih mreža na internetu jednostavno dovoljno. Jasno je da smo pregledali samo osnovnu postavku ovog proizvoda.