Kerio Control - securitate complexă a rețelei. Kerio Control Configurarea detaliată a funcțiilor principale ale controlului Kerio dezactivează canalul de intrare

Mulți folosesc firewall-ul de control Kerio. Are cea mai largă funcționalitate, fiabilitate și ușurință în utilizare. Astăzi vom vorbi despre modul de configurare a regulilor de gestionare a lățimii de bandă. Pur și simplu, să încercăm să limităm viteza de acces la Internet către utilizatori și grupuri.

Ca și în controlul Kerio, limitați viteza internetului pentru utilizatori și grupuri

Și deci continuați să mergeți la panoul de administrare a controlului Kerio. Stânga căutând un control al lățimii de bandă. Pentru a începe cu, specificați viteza de conectare la Internet. Din partea de jos din câmpul lățimii de bandă pentru a comunica cu internet, faceți clic pe Schimbare și introduceți viteza de descărcare și descărcare. Aceste date sunt necesare pentru munca corectă a controlului Kerio în sine.

Acum adăugați o nouă regulă Faceți clic pe Adăugare și introduceți un nume.

Apoi, în câmpul TRAFFIK, trebuie să specificați această restricție pentru cine. Opțiunea este foarte mult, dar suntem interesați de anumite grupuri și utilizatori, pe acest clic pe elementele utilizatorilor și grupurilor. În fereastra care se deschide, selectați utilizatorii necesari sau un grup. Puteți alege imediat un grup, cât și un utilizator.

Acum configurați limita de viteză la descărcare. Indicăm cât de mult trebuie să rezervați pentru aceste grupuri și utilizatori din viteza totală și restricționarea directă. De asemenea, specificați același lucru pentru punctul de descărcare.

Interfață și timp disponibil, lăsăm implicit, aplicați această regulă.

Bun după-amiază Dragi cititori și site-ul blogurilor oaspeților, în orice organizație există întotdeauna oameni care nu doresc să lucreze și care folosește resursele corporative nu ca numire, voi da un exemplu simplu. Aveți un birou mic, spuneți astfel angajați 50 și Internet canal cu o lățime de bandă 20 Megabit și o limită de trafic lunar în 50 GB, pentru utilizarea obișnuită a Internetului și construirea unui birou de afaceri suficient de suficient, dar există astfel de oameni care ar putea dori să se descarce un film pentru seara sau a Noul album muzical, și cel mai adesea ei folosesc trackers, lasă-mă să vă arăt amândoi în Kerio Control 8, puteți interzice traficul P2P și puteți livra o limită zilnică a angajatului de trafic.

Blocați traficul P2P în controlul Kerio 8

Și astfel aveți o rețea locală construită în care a apărut un swinger rău intenționat, cred că îl dezvăluiți imediat din jurnalele de statistici, filtrați pe coloane. Prin recompensă, care va urma conducerea, dvs. ca administrator de sistem trebuie să împiedicați încercările ulterioare de a descărca conținut prin traficul P2P.

Aveți două opțiuni:

  • Activați blocarea integrală a traficului P2P
  • Limita de zi pentru fiecare utilizator

Să începem cu blocarea traficului de peer, mergeți la filtrul de conținut și creați o nouă regulă. Faceți clic pe Adăugare și selectați "Aplicații și Categorii de conținut web"

Găsiți secțiunea de descărcare și marcați rețeaua de pyning.

În acțiune, puneți regula pentru a șterge.

În teorie, pentru a bloca pe deplin traficul P2P, o regulă destul de creată, dar vă sfătuiesc încă să stabiliți cote utilizatorilor dacă aveți o limită de pe Internet pentru a le învăța să o folosească exclusiv asupra lucrătorilor. Pentru a face acest lucru, accesați fila Utilizatori și în proprietățile oricărei filă din fila "Cota", specificați limita DaeGabyte Day.

Controlul incorect al lățimii de bandă în rețeaua de birouri (sau absența unei astfel de manageri) duce la întreruperi tangibile: Internetul funcționează încet, calitatea comunicațiilor vocale și video este redusă etc. va ajuta la aranjarea corectă a priorităților și garantează o lățime de bandă suficientă de trafic important .

Despre posibilitățile de control Kerio

Soluția software de control Kerio se referă la produsele de clasă UTM (unificat de amenințare) și oferă o protecție completă a stațiilor de lucru și a serverelor atunci când lucrează la Internet. Decizia este axată pe rețelele de dimensiuni medii corporative și conduce un pedigree dintr-un produs bine cunoscut Winroute. Cuvintele "protecția complexă" înseamnă că controlul Kerio constă dintr-o varietate de module responsabile pentru diferite aspecte de siguranță, și anume:

  • firewall;
  • router;
  • sistem de detectare și prevenire a intruziunilor (IPS / IDS);
  • protecția traficului antivirus;
  • filtrarea conținutului de trafic;
  • monitorizarea și analiza activității utilizatorilor pe Internet;
  • două servere VPN - unul pe baza propriului protocol și al doilea pe baza standardului Open IPSec VPN;
  • controlul lățimii de bandă și al suportului QoS.

În articol vom vorbi despre ultimul paragraf din această listă, dar departe de acesta din urmă.

Probleme de optimizare a accesului la Internet

Luați în considerare câteva scenarii tipice.

Primul: Supraveghetorul are nevoie de acces nelimitat la lățimea de bandă, mai bine decât alții. Apropo, nu este necesar pentru supervizor - o bandă largă este garantată unui server care replică baza de date cu un centru de date la distanță.

Al doilea: Managerii se plâng de audibilitate proastă și de a apela stânci. Sau terminalul de plată acceptă plata pe hartă din a treia oară, deoarece nu poate contacta banca.

Al treilea: Brusc a scăzut viteza în întregul birou. Este timpul să verificați cine scutură torrentele.

Toate aceste scenarii necesită o lățime de bandă pentru a gestiona, și anume determinarea priorităților și detectarea fenomenelor anormale. Sarcinile de gestionare vor arăta așa ceva:

  • voIP necesită o capacitate de 10 Mbps, nu mai puțin, în orice moment;
  • datele de streaming nu ar trebui să consume mai mult de 100 kbps;
  • traficul oaspeților trebuie să fie separat de lucrător și să nu treacă la canalul de rezervă în caz de eșec fundamental;
  • traficul privilegiat este important decât de obicei în orele de lucru.

Pentru a formaliza fiecare dintre aceste sarcini, este necesar să se determine pentru ce și pentru ce criterii stabilim priorități.

Tipuri de trafic. În primul loc conferințe video online, telefonie, transmisie video, VPN, aici, lățimea de bandă este foarte importantă. În al doilea rând este accesul obișnuit la site-uri, fișiere, poștă. Cea mai mică prioritate poate fi instalată pentru a accesa site-uri de divertisment, cumpărături etc.

Timpul de acces. Diferitele priorități pot fi instalate pentru orele de lucru și non-de lucru. Puteți oferi o prioritate ridicată serverului pentru perioada de replicare și limitați restul.

Regula \u003d restricție formalizată

Când sunt definite criteriile enumerate, puteți ajunge la regulile pentru limitarea benzii. Să explicăm despre exemplul soluției Kerio pentru transportul utilizat, de exemplu, pe nave. Dacă nava este un canal satelit cu trafic scump și o bandă îngustă și există un canal larg disponibil în porturi, este clar cum să plasați prioritățile. De exemplu, deci:

De fapt, aceasta este deja o regulă în controlul Kerio.

Acum, să ne întoarcem de la navă la birou și să ne uităm la un exemplu cu telefonia IP. Dacă banda este supraîncărcată, reduce calitatea comunicării vocale și, prin urmare, prioritățile puse în acest fel:

Și aceasta este de asemenea trei reguli în controlul Kerio.

În mod similar, regulile sunt soluționate de sarcinile unei benzi largi garantate pentru manuale și echipamente, restricții de conexiuni de oaspeți etc.

Controlul lățimii de bandă în controlul Kerio

Pe panoul de control Kerio Control, puteți vedea lista interfețelor de internet disponibile. De exemplu, canal rapid și lent. Sub IT - rețele locale, cum ar fi principalul și oaspetele.

Acum interfețele de internet trebuie să fie potrivite, pe care le vom face în fila "Regulile de trafic". De exemplu, rețeaua de oaspeți este repartizată la interfața dvs. (cea mai ieftină), iar oaspeții nu se blochează rețeaua principală de birouri. Aici configurăm restricții privind tipurile de trafic, de exemplu, numai accesul la web pentru oaspeți și orice trafic pentru propriile lor.

Și acum, când este configurată rutarea interfețelor, este timpul să exprimăm priorități pentru utilizarea lățimii de bandă. Mergem la fila Bandwidth și QoS fila, creez o regulă pentru utilizatorii VIP, adaugă grupurilor create de proprietari (cei mai mulți utilizatori VIP) și echipamente (care este necesar pentru a conecta o conexiune bună) și instalați, pentru Exemplu, rezervare 20% din bandă.

Un punct important - aceste 20% sunt luate în considerare din banda specificată în setări! Este important să puneți numărul care nu este declarat de către furnizor, dar lățimea de bandă reală.

Acum creați o regulă pentru traficul critic și adăugați tipuri de trafic: SIP VoIP, VPN, mesaje instantanee și acces la distanță.

Și o rezervați, de exemplu, 3 Mbps pentru a descărca și descărca.

Apoi vom crea o regulă pentru un trafic important și vom include astfel de tipuri de trafic, cum ar fi navigarea de pagini web, poștă, multimedia și FTP. Și îi vom pune o restricție asupra consumului nu mai mult de 50% din bandă și numai în orele de lucru.

Și acum să creăm o regulă pentru traficul dăunător. Dacă, atunci când selectați tipul de trafic, faceți clic pe meniul "conexiune, satisfacere a conținutului", puteți utiliza conținutul filtrului și selectați rețele sociale, magazine, trafic, jocuri etc. Puteți, de asemenea, să limitați P2P. Puneți o limitare aspră a 256 kbps și lăsați-i să leagă.

Acum, uitați-vă la utilizatorii de oaspeți. În fila Active Hosts, este ușor să vedeți ce se întâmplă chiar acum. Este posibil ca veți găsi un oaspete care a pompat deja gigabytes și continuând să utilizeze Internetul dvs. cu o viteză decentă.

Prin urmare, facem o regulă pentru oaspeți. De exemplu, nu depășiți 5% din bandă.

Și mai departe. După cum vă amintiți, vizitați oaspeții la o anumită interfață de rețea. Regula de restricționare a benzii poate fi configurată fie astfel încât restricția să se refere la o anumită interfață de rețea sau la toate interfețele de rețea. În ultimul caz, dacă schimbăm interfața legată de rețeaua de oaspeți, regula va continua să acționeze.

Și un punct important. Regulile funcționează în locația din listă, de sus în jos. Prin urmare, regulile care înregistrează multe cereri de acces au sens la început.

În detaliu, toate acestea sunt descrise în articole despre baza de cunoștințe a lui Kerio.

  • Setarea vitezei linkului (KB 1373)
  • Configurarea managementului lățimii de bandă (KB 1334)
  • Configurarea rutei de politică (KB 1314)
  • Monitorizarea gazdelor active (KB 1593)

Înainte și după optimizare

Inainte de. Tot traficul a fost egal, fără priorități. În cazul "blocajelor de trafic" suferă întregul trafic, inclusiv unul critic.

După. Traficul important este acordat prioritate. Mecanismele de restricționare și rezervare sunt configurate de tipul de utilizator, tipul de trafic, timpul.

În loc de închisoare

Am fost convinși că accesul delimiting la lățimea de bandă care utilizează reguli personalizate este complet simplu. Este simplitatea utilizării produselor sale pe care Kerio îl consideră cel mai important avantaj și păstrează de-a lungul anilor, în ciuda complexității și funcționalității lor în creștere.

Controlul Kerio aparține acestei categorii software.în care o gamă largă de funcționalități este combinată cu ușurință de implementare și de funcționare. Astăzi vom analiza cum cu ajutorul acestui program puteți organiza o activitate de grup de angajați pe Internet și, de asemenea, protejează în mod fiabil rețeaua locală de amenințările externe.

se referă la categoria de produse în care o gamă largă de funcționalități este combinată cu ușurință de implementare și funcționare. Astăzi vom analiza cum cu ajutorul acestui program puteți organiza o activitate de grup de angajați pe Internet și, de asemenea, protejează în mod fiabil rețeaua locală de amenințările externe.

Implementarea produsului începe cu instalarea acestuia pe un computer care joacă rolul unei gateway-uri online. Această procedură nu este diferită de instalarea oricărui alt software și, prin urmare, nu ne vom opri. Observăm doar că unele servicii Windows care împiedică funcționarea programului vor fi dezactivate în timpul acesteia. După finalizarea instalării, puteți comuta la setarea sistemului. Acest lucru se poate face atât la nivel local, direct pe gateway-ul de Internet și de la distanță, de la orice computer conectat la rețeaua corporativă.

În primul rând, rulați prin meniul standard " start"Consola de control. Cu ajutorul său și configurați produsul în cauză. Pentru confort, puteți crea o conexiune care vă va permite să vă conectați rapid la. Pentru aceasta, faceți clic pe elementul" Noua conexiune", Specificați fereastra produsului (Kerio Control), gazda pe care este instalată, precum și numele de utilizator, apoi faceți clic pe butonul" Salvează ca"Și introduceți numele conexiunii. După aceea, puteți seta conexiunea. Pentru acest lucru, faceți dublu clic pe conexiunea creată și introduceți parola.

Personalizarea de bază Krio Control

În principiu, toți parametrii de lucru pot fi configurați manual. Cu toate acestea, pentru implementarea inițială, este mult mai convenabil să profitați de un maestru special care rulează automat. La primul pas, este invitat să se familiarizeze cu principalele informații despre sistem. De asemenea, există un memento că computerul pe care rulează controlul Kerio trebuie să fie conectat la rețeaua locală și să aibă o conexiune la internet de lucru.

A doua etapă este alegerea tipului de conexiune la Internet. În total, există patru opțiuni aici, de la care aveți nevoie pentru a alege cele mai potrivite pentru o anumită rețea locală.

  • Acces permanent - Gateway-ul de Internet are o conexiune permanentă la internet.
  • Apelarea la cerere - va instala independent Conectarea la Internet după cum este necesar (dacă există o interfață RAS).
  • Reconectarea dacă refuzi - Când ruperea comunicării cu Internetul va trece automat la un alt canal (aveți nevoie de două conexiuni la Internet).
  • Distribuția încărcării pe canale - va folosi simultan mai multe canale de comunicare, distribuind sarcina între ele (sunt necesare două sau mai multe conexiuni la Internet).

În al treilea pas, trebuie să specificați interfața de rețea sau interfețele conectate la Internet. Programul în sine detectează și afișează toate interfețele disponibile ca o listă. Deci, administratorul poate alege doar opțiunea corespunzătoare. Este demn de remarcat faptul că în primele două tipuri de conexiuni, trebuie instalată o singură interfață, iar în a treia - două. A patra setare opțiune este oarecum diferită de restul. Acesta oferă posibilitatea de a adăuga orice număr de interfețe de rețea, pentru fiecare dintre care trebuie să setați cea mai mare încărcare posibilă.

A patra etapă este de a alege servicii de rețea care vor fi disponibile utilizatorilor. În principiu, puteți alege opțiunea " Fără restricții"Cu toate acestea, în majoritatea cazurilor nu va fi complet rezonabil. Este mai bine să menționăm" marcajele "acele servicii care au nevoie de: HTTP și HTTPS pentru a vizualiza site-urile, POP3, SMTP și IMAP pentru a lucra cu poșta etc.

Următorul pas este de a configura regulile pentru conexiunile VPN. Pentru aceasta, sunt utilizate doar două casete de selectare. Primul determină ce clienți vor folosi utilizatorii să se conecteze la server. Dacă "rudele", adică Kerio a eliberat, caseta de selectare trebuie să fie activată. În caz contrar, de exemplu, atunci când utilizați instrumente încorporate, trebuie să fie dezactivată. A doua casetă de selectare determină capacitatea de a utiliza funcția Kerio ClienTless SSL VPN (gestionarea fișierelor, descărcarea și descărcarea fișierelor prin intermediul unui browser web).

A șasea etapă este de a crea reguli pentru serviciile care lucrează la rețeaua locală, dar trebuie să fie disponibile de pe Internet. Dacă în pasul anterior ați pornit serverul Kerio VPN sau tehnologia Kerio fără client SSL VPN, atunci tot ce trebuie să fiți configurat automat. Dacă aveți nevoie să vă asigurați disponibilitatea altor servicii (serverul de mail corporativ, serverul FTP etc.), apoi pentru fiecare dintre ele, faceți clic pe butonul " Adăuga", Selectați numele serviciului (va deschide standardul pentru serviciul portuar selectat) și, dacă este necesar, specificați adresa IP.

În cele din urmă, ultimul ecran al expertului de configurare este un avertisment înainte de începerea procesului de generare a regulilor. Doar citiți-l și faceți clic pe butonul " Complet"În mod natural, în viitor, toate regulile și setările create pot fi modificate. Și puteți rula din nou expertul descris și editați manual parametrii.

În principiu, după finalizarea expertului este deja în stare de funcționare. Cu toate acestea, este logic să corectați unii parametri. În special, puteți stabili restricții privind utilizarea lățimii de bandă. Mai presus de toate, este "înfundat" atunci când transmiteți fișiere mari, voluminoase. Prin urmare, puteți limita viteza de descărcare și / sau descărcarea unor astfel de obiecte. Pentru a face această secțiune " Configurare"Trebuie să deschideți secțiunea" Limitarea lățimii de bandă", Activați filtrarea și introduceți lățimea de bandă disponibilă pentru fișiere voluminoase. Dacă este necesar, puteți face o limită mai flexibilă. Pentru a face acest lucru, faceți clic pe butonul" În plus"Și specificați în fereastra de service care se deschide, adrese, precum și intervale de timp ale filtrelor. În plus, puteți seta imediat dimensiunea fișierelor care sunt considerate volumetrice.

Utilizatori și grupuri

După configurarea inițială a sistemului, puteți trece la introducerea utilizatorilor în acesta. Cu toate acestea, este mai convenabil să le împărțiți mai întâi în grupuri. În acest caz, în viitor vor fi mai ușor de gestionat. Pentru a crea un nou grup, mergeți la secțiunea " Utilizatori și grupuri-\u003e Grupuri"Și faceți clic pe butonul" Adăuga"În același timp, va fi deschis un maestru special format din trei pași. Pe primul loc pentru a introduce un nume și descriere a grupului. În al doilea, puteți adăuga imediat utilizatorii, cu excepția cazului în care, bineînțeles, ei sunt deja create. În cea de-a treia etapă, este necesar să se determine drepturile Grupului: accesul la administrarea sistemului, capacitatea de a dezactiva diverse reguli, permisiunea de a utiliza VPN, vizualizarea statisticilor etc.

După crearea de grupuri, puteți continua să adăugați utilizatori. Cea mai ușoară modalitate de a face este dacă un domeniu este implementat în rețeaua corporativă. În acest caz, du-te la secțiunea " Utilizatori și grupuri-\u003e Utilizatori", Deschideți fila Active Directory, include caseta de selectare" Utilizați baza de date a utilizatorului de domeniu"Și introduceți un nume de utilizator și o parolă a unui cont care are dreptul de a accesa această bază de date. În același timp, conturile de domeniu vor folosi acest lucru, desigur, foarte convenabil.

În caz contrar, va trebui să introduceți utilizatorii utilizatori manual. Aceasta oferă prima filă a secțiunii în cauză. Crearea unui cont este format din trei pași. Primele trebuie să întrebe o autentificare, nume, descriere, adresa de e-mail, precum și opțiunile de autentificare: autentificare și parolă sau date din Active Directory. În al doilea pas, puteți adăuga un utilizator la unul sau mai multe grupuri. În cea de-a treia etapă, există posibilitatea de a înregistra automat un cont pentru a accesa firewall-ul și adresele IP specifice.

Personalizați sistemul de securitate

În cazul oportunităților ample implementate pentru a asigura securitatea rețelei corporative. În principiu, am început deja să ne apărăm împotriva amenințărilor externe când ați înființat lucrarea firewall-ului. În plus, prevenirea produsului este implementată în produsul în cauză. Este activat implicit și configurat la o muncă optimă. Deci nu poate fi atins.

Următorul pas este antivirus. Este demn de remarcat faptul că nu este în toate versiunile programului. Pentru a utiliza protecția împotriva programelor malware trebuie achiziționată cu un antivirus încorporat, un modul antivirus extern trebuie instalat pe gateway-ul de internet. Pentru a activa protecția antivirus, trebuie să deschideți secțiunea " Configurare-\u003e Filtrarea conținutului-\u003e Antivirus". Trebuie să fie activat de modulul utilizat și notat cu ajutorul protocoalelor verificate (se recomandă includerea tuturor). Dacă utilizați antivirusul încorporat, atunci trebuie să activați actualizarea bazelor de date antivirus și Setați intervalul acestei proceduri.

Apoi, trebuie să configurați sistemul de filtrare a traficului HTTP. Face ca acesta să poată fi în secțiunea " Configurare-\u003e Filtrarea conținutului-\u003e Politica HTTP"Opțiunea cea mai simplă de filtrare este blocarea necondiționată a locurilor în care se găsesc cuvintele din lista" negru ". Pentru a activa, mergeți la fila" Cuvinte interzise"Și completați lista de expresii. Cu toate acestea, există un sistem de filtrare mai flexibil și mai fiabil. Se bazează pe regulile care descriu condițiile de blocare a accesului utilizatorilor la cele sau la alte site-uri.

Pentru a crea o nouă regulă, mergeți la fila " Regulile URL"Faceți clic dreapta pe câmp și selectați elementul din meniul contextual. Adăuga"Fereastra Adăugați o regulă este formată din trei file. Primul stabilește condițiile în care acesta va funcționa. Mai întâi trebuie să selectați regula: la toți utilizatorii sau numai pe conturile specifice. După aceea, trebuie să specificați Criteriul pentru respectarea adresei URL a site-ului solicitat. Pentru a face acest lucru, un șir care este inclus în adresa, grupul de adrese sau un rating de proiect web în sistemul de filtrare Web Kerio (de fapt, categoria la care aparține site-ul este). La sfârșit, este necesar să specificați reacția sistemului pentru a efectua condițiile - permiteți sau dezactivați accesul la site.

În cea de-a doua filă, puteți specifica intervalul în care regula va acționa (în mod implicit), precum și un grup de adrese IP la care se aplică (implicit la toate). Pentru a face acest lucru, pur și simplu selectați elementele corespunzătoare din listele derulante ale valorilor pre-specificate. Dacă intervalele de timp și grupurile de adrese IP nu au fost încă setate, puteți deschide editorul dorit utilizând butoanele "Editare" și le puteți adăuga. De asemenea, în această filă, puteți seta acțiunea programului în cazul blocării site-ului. Acest lucru poate emite o pagină cu un text de eroare specificat, afișând o pagină goală sau redirecționarea unui utilizator la o adresă specificată (de exemplu, la un site corporativ).

În cazul în care tehnologiile fără fir sunt utilizate în rețeaua corporativă, este logic să porniți filtrul de adrese MAC. Acest lucru va reduce semnificativ riscul de conectare neautorizată a diferitelor dispozitive. Pentru a implementa această sarcină, deschideți secțiunea " Configurare-\u003e Politica de trafic -\u003e Parametrii de securitate"În ea, activați Chekbox" Filtrul de adrese MAC inclus", apoi selectați interfața de rețea la care va distribui, comutați lista de adrese Mac în modul" Permiteți accesul la rețea numai pentru computerele"Și completați-o făcând date de la dispozitive wireless deținute de companie.




















Ia rezultatele

Deci, după cum vedem, în ciuda funcționalității largi, de a organiza activitatea de grup a utilizatorilor de rețea corporativă pe internet pur și simplu. Este clar că am revizuit doar setarea de bază a acestui produs.