Kerio Control - Komplexe Netzwerksicherheit. KERIO-Steuerung Detaillierte Einstellung der Grundfunktionen Regel \u003d formalisierte Einschränkung
Guten Tag lieber Leser und Gäste Blogs-Website, in jeder Organisation gibt es immer Menschen, die nicht arbeiten wollen, und wer Unternehmensressourcen nicht als Ernennung verwendet, ich werde ein einfaches Beispiel geben. Sie haben ein kleines Büro. Sagen Sie ein kleines Büro, sagen Sie ein kleines Büro, sagen Sie ein kleines Büro, sagen Sie ein kleines Büro. Sie haben ein kleines Büro, sagen Sie ein kleines Büro. Sie haben ein kleines Büro. Kanal mit einer Bandbreite 20 Megabit und einem monatlichen Verkehrsgrenze in 50 GB, für die übliche Nutzung des Internets und der Erstellung eines Geschäftsbüros davon ausreichend, aber es gibt solche Leute, die sich möglicherweise einen Film für den Abend oder einen Film herunterladen möchten NEUES MUSIC-ALBUM, und meistens verwenden sie terrentische Tracker, lassen Sie mich Ihnen sowohl in der Kerio-Kontrolle 8 zeigen. Sie können P2P-Verkehr verbieten und ein tägliches Limit für den Verkehrsangestellte liefern.
Blockieren Sie den P2P-Verkehr in Kerio-Steuerung 8
Und so haben Sie ein eingebautes lokales Netzwerk, in dem ein bösartiger Swinger erschien, denke ich, dass Sie es sofort von Statistikenprotokollen zeigen, auf Spalten filteren. Durch die Belohnung, die der Führung folgt, muss Sie als Systemadministrator weitere Versuche verhindern, Inhalte über den P2P-Verkehr herunterzuladen.
Sie haben zwei Möglichkeiten:
- Aktivieren Sie den vollen Blockieren von P2P-Verkehr
- Tageslimit für jeden Benutzer installieren
Beginnen wir mit der Blockierung des Peering Traffic, gehen Sie zum Inhaltsfilter und erstellen Sie eine neue Regel. Klicken Sie auf Hinzufügen und wählen Sie "Anwendungen und Webinhaltskategorien".
Finden Sie den Download-Bereich und markieren Sie das Pyring-Netzwerk.
Geben Sie in Aktion die Regel an, um zu löschen.
Theoretisch, um den P2P-Verkehr vollständig zu blockieren, eine ziemlich erstellte Regel, aber ich berate Ihnen trotzdem, Quoten an Benutzer festzulegen, wenn Sie ein Limit aus dem Internet haben, um sie beizubringen, sie ausschließlich an den Arbeitnehmern zu verwenden. Gehen Sie dazu auf die Registerkarte Benutzer und in den Eigenschaften einer beliebigen Registerkarte in der Registerkarte "Quota" geben Sie die DAGABYTE-Tageslimit an.
Kerio Control gehört zu dieser Kategorie softwarein dem ein breites Sortiment an Funktionsbereich mit einer einfachen Einführung von Implementierung und Betrieb kombiniert wird. Heute werden wir analysieren, wie mit Hilfe dieses Programms Sie ein Gruppenbetrieb von Mitarbeitern im Internet organisieren können, und schützt das lokale Netzwerk auch über externe Bedrohungen.
es bezieht sich auf die Kategorie der Produkte, in denen eine Vielzahl von Funktionalität mit einfachen Implementierungs- und Betriebsbereich kombiniert wird. Heute werden wir analysieren, wie mit Hilfe dieses Programms Sie ein Gruppenbetrieb von Mitarbeitern im Internet organisieren können, und schützt das lokale Netzwerk auch über externe Bedrohungen.
Die Implementierung des Produkts beginnt mit seiner Installation auf einem Computer, der die Rolle eines Online-Gateways spielt. Dieses Verfahren unterscheidet sich nicht von der Installation einer anderen Software, und daher werden wir nicht aufhören. Wir beachten nur, dass einige Windows-Dienste, die den Betrieb des Programms verhindern, dabei deaktiviert werden. Nachdem die Installation abgeschlossen ist, können Sie zur Systemeinstellung wechseln. Dies kann sowohl lokal als auch direkt auf dem Internet-Gateway und der Ferne von jedem Computer, der mit dem Corporate Network verbunden ist, durchgeführt werden.
Laufen Sie zuerst das Standardmenü " Start"Steuerkonsole. Mit seiner Hilfe und konfigurieren Sie das unter Berücksichtigung des Produkts. Für den Komfort können Sie eine Verbindung erstellen, mit der Sie schnell verbinden können. Dafür klicken Sie auf den Artikel" Neue Verbindung", Geben Sie das Fenster" KERIO CONTROL) an, den Host, auf dem er installiert ist, sowie der Benutzername, dann auf die Schaltfläche " Speichern als"Und geben Sie den Verbindungsnamen ein. Danach können Sie die Verbindung einstellen. Dabei doppelklicken Sie hier auf die erstellte Verbindung und geben Sie Ihr Passwort ein.
Basic Anpassung Kerio Control
Grundsätzlich können alle Arbeitsparameter manuell konfiguriert werden. Für die anfängliche Implementierung ist es jedoch viel bequemer, einen speziellen Meister zu nutzen, der automatisch ausgeführt wird. Bei seinem ersten Schritt ist es eingeladen, sich mit den wichtigsten Informationen über das System vertraut zu machen. Es ist auch daran erinnert, dass der Computer, auf dem der Kerio-Steuerung ausgeführt wird, an das lokale Netzwerk angeschlossen sein muss und eine funktionierende Internetverbindung aufweist.
Die zweite Stufe ist die Wahl der Art der Verbindung zum Internet. Insgesamt gibt es hier vier Optionen, von denen Sie das am besten geeignete für ein bestimmtes lokales Netzwerk auswählen müssen.
- Dauerhafter Zugriff - Das Internet-Gateway verfügt über eine dauerhafte Internetverbindung.
- Wählt auf Anfrage - Es wird unabhängig voneinander verbundene Verbindung zum Internet nach Bedarf installiert (wenn eine RAS-Schnittstelle vorhanden ist).
- Wiedereinschluss Wenn Sie sich ablehnen - Wenn Sie die Kommunikation mit dem Internet mit dem Internet automatisch auf einen anderen Kanal wechseln (Sie benötigen zwei Internetverbindungen).
- Die Verteilung der Last auf den Kanälen - Verwenden Sie gleichzeitig mehrere Kommunikationskanäle, die die Last zwischen ihnen verteilen (zwei oder mehr Internetverbindungen sind erforderlich).
Im dritten Schritt müssen Sie die Netzwerkschnittstelle oder Schnittstellen angeben, die mit dem Internet verbunden sind. Das Programm selbst erkennt und zeigt alle verfügbaren Schnittstellen als Liste an. Der Administrator kann also nur die entsprechende Option auswählen. Es ist erwähnenswert, dass in den ersten beiden Anschlüssen nur eine Schnittstelle installiert werden muss, und in der dritten zwei. Die vierte Optionseinstellung unterscheidet sich etwas vom Rest. Es bietet die Möglichkeit, eine beliebige Anzahl von Netzwerkschnittstellen hinzuzufügen, für die jeweils die höchstmögliche Last eingestellt werden müssen.
Die vierte Stufe besteht darin, Netzwerkdienste zu wählen, die den Benutzern zur Verfügung stehen. Im Prinzip können Sie die Option auswählen " Ohne Einschränkungen"In den meisten Fällen ist es jedoch nicht völlig vernünftig. Es ist besser, die" Checkmarks "diese Dienste zu beachten, die wirklich benötigt werden: http und https, um Websites, POP3, SMTP und IMAP anzuzeigen, um mit E-Mails zu arbeiten usw.
Der nächste Schritt besteht darin, die Regeln für VPN-Verbindungen zu konfigurieren. Dazu werden nur zwei Kontrollkästchen verwendet. Der erste bestimmt, welche Clients Benutzer verwenden, um eine Verbindung zum Server herzustellen. Wenn "Verwandte", das heißt, das Kontrollkästchen Kerio, muss das Kontrollkästchen aktiviert sein. Andernfalls muss es beispielsweise bei Verwendung von eingebauten Werkzeugen deaktiviert sein. Das zweite Kontrollkästchen ermittelt die Möglichkeit, die KERIO-Clientless-SSL-VPN-Funktion (Dateiverwaltung, Ordner, Download und Download über einen Webbrowser) zu verwenden.
Die sechste Stufe besteht darin, Regeln für Dienste zu erstellen, die auf dem lokalen Netzwerk arbeiten, aber im Internet verfügbar sein müssen. Wenn Sie im vorherigen Schritt auf Kerio-VPN-Server- oder Kerio-Clientless-SSL-VPN-Technologie eingeschaltet haben, müssen Sie alles automatisch konfiguriert werden. Wenn Sie die Verfügbarkeit anderer Dienste (Corporate Mail Server, FTP-Server usw.) sicherstellen müssen, klicken Sie für jeden von ihnen auf die Schaltfläche " Hinzufügen", Wählen Sie den Service-Name aus (öffnet den Standard für den ausgewählten Anschlussdienst) und geben Sie ggf. die IP-Adresse an.
Schließlich ist der letzte Bildschirm des Setup-Assistenten eine Warnung vor Beginn des Regelung des Regelns. Lesen Sie es einfach und klicken Sie auf die Schaltfläche " Komplett". Natürlich können in Zukunft alle erstellten Regeln und Einstellungen geändert werden. Und Sie können den beschriebenen Assistenten erneut ausführen und die Parameter manuell bearbeiten.
Im Prinzip ist es nach dem Abschluss des Assistenten bereits im Arbeitszustand. Es ist jedoch sinnvoll, einige Parameter zu korrigieren. Insbesondere können Sie Einschränkungen zur Verwendung von Bandbreite festlegen. Vor allem ist es beim Übertragen großer voluminösen Dateien "verstopft". Daher können Sie die Downloadgeschwindigkeit und / oder Entladen solcher Objekte einschränken. Um diesen Abschnitt zu tun " Aufbau"Sie müssen den Abschnitt öffnen" Bandbreite einschränkendAktivieren Sie das Filtern und geben Sie die Bandbreite ein, die für voluminöse Dateien verfügbar ist. Bei Bedarf können Sie flexibler ein Limit vornehmen. Klicken Sie dazu auf die Schaltfläche " zusätzlich"Und geben Sie in dem Dienstfenster an, das sich öffnet, Adressen sowie Zeitzellen von Filtern. Darüber hinaus können Sie die Größe der als volumetrischen Dateien sofort einstellen.
Benutzer und Gruppen
Nach dem ersten System-Setup können Sie mit der Einführung von Benutzern hineingehen. Es ist jedoch bequemer, sie zuerst in Gruppen aufzuteilen. In diesem Fall werden sie in der Zukunft leichter zu handhaben sein. Um eine neue Gruppe zu erstellen, gehen Sie zum Abschnitt " Benutzer und Gruppen-\u003e Gruppen"Und klicken Sie auf die Schaltfläche" Hinzufügen". Zur gleichen Zeit wird ein spezielles Master bestehend aus drei Schritten geöffnet. Auf dem ersten müssen Sie einen Namen und eine Beschreibung der Gruppe eingeben. In der zweitens können Sie Benutzer sofort Benutzer hinzufügen, es sei denn, sie sei denn, sie sind bereits erstellt. In der dritten Etappe ist es notwendig, die Rechte der Gruppe zu ermitteln: Zugriff auf die Verwaltung des Systems, die Fähigkeit, verschiedene Regeln zu deaktivieren, Erlaubnis zur Verwendung von VPN, Ansichtsstatistik usw.
Nach dem Erstellen von Gruppen können Sie Benutzer hinzufügen. Der einfachste Weg zu tun ist, wenn im Corporate Network eine Domäne eingesetzt wird. In diesem Fall gehen Sie einfach in den Abschnitt " Benutzer und Gruppen-\u003e Benutzer"Öffnen Sie die Registerkarte Active Directory, ein Kontrollkästchen" Verwenden Sie Domänenbenutzerdatenbank"Und geben Sie einen Benutzernamen und ein Kennwort eines Kontos ein, das das Recht auf Zugriff auf diese Datenbank hat. Gleichzeitig verwenden die Domänenkonten das natürlich sehr praktisch.
Andernfalls müssen Sie Benutzer manuell eingeben. Dies bietet die erste Registerkarte des unter Berücksichtigung des Abschnitts. Das Erstellen eines Kontos besteht aus drei Schritten. Die erste muss ein Login, Name, Beschreibung, E-Mail-Adresse sowie Authentifizierungsoptionen bitten: Anmelden und Kennwort oder Daten aus Active Directory. Im zweiten Schritt können Sie einem oder mehreren Gruppen einen Benutzer hinzufügen. In der dritten Stufe können Sie automatisch ein Konto registrieren, um auf die Firewall und bestimmte IP-Adressen zuzugreifen.
Sicherheitssystem anpassen
In umgesetzten reichhaltigen Möglichkeiten, um die Sicherheit des Unternehmensnetzwerks sicherzustellen. Grundsätzlich haben wir bereits begonnen, sich gegen externe Bedrohungen zu verteidigen, wenn Sie die Arbeit der Firewall einrichten. Darüber hinaus ist die Produktprävention in dem unter Berücksichtigen Produkt implementiert. Es ist standardmäßig aktiviert und auf optimale Arbeit konfiguriert. So kann es nicht berührt werden.
Der nächste Schritt ist Antivirus. Es ist erwähnenswert, dass es nicht in allen Versionen des Programms ist. Um den Schutz gegen Malware zu nutzen, sollte mit einem eingebauten Antivirus erworben werden, ein externes Antivirus-Modul muss auf dem Internet-Gateway installiert sein. Um den Antivirenschutz einzuschalten, müssen Sie den Abschnitt öffnen " Konfiguration-\u003e Inhaltsfilterung-\u003e Antivirus". Es muss von dem verwendeten Modul aktiviert und mit Hilfe von geprüften Protokollen verwendet werden (es wird empfohlen, alle aufzunehmen). Wenn Sie den eingebauten Antivirus verwenden, müssen Sie das Update der Antiviren-Datenbanken aktivieren und Legen Sie das Intervall dieses Verfahrens fest.
Als Nächstes müssen Sie das HTTP-Verkehrsfiltersystem konfigurieren. Machen Sie es sich im Abschnitt " Konfiguration-\u003e Inhaltsfilterung-\u003e HTTP-Richtlinien". Die einfachste Filteroption ist das unbedingte Blockieren von Sites, an denen Wörter aus der Liste" Black "gefunden werden. Um es zu aktivieren, gehen Sie zur Registerkarte" Formte Wörter verboten"Und füllen Sie die Liste der Ausdrücke aus. Es gibt jedoch ein flexibleres und zuverlässiges Filtersystem. Es basiert auf den Regeln, die die Bedingungen für den Blockieren des Benutzers auf diese oder anderen Sites beschreiben.
Um eine neue Regel zu erstellen, gehen Sie zur Registerkarte " URL-RegelnKlicken Sie mit der rechten Maustaste auf das Feld und wählen Sie den Artikel im Kontextmenü aus. Hinzufügen". Das Fenster hinzufügen besteht aus drei Registerkarten. Der erste legt die Bedingungen fest, unter denen sie funktionieren wird. Zuerst müssen Sie auswählen, welche Regel ausgeschüttet wird: auf allen Benutzern oder nur auf bestimmten Konten. Danach müssen Sie festlegen das Kriterium für die Einhaltung der URL des angeforderten Standorts. Dazu ist eine Zeichenfolge, die in der Adresse, der Gruppe von Adressen oder einem Webprojektwert im KERIO-Webfiltersystem enthalten ist (in der Tat in der Kategorie, an die der Standort gehört ist). Am Ende ist es notwendig, die Systemreaktion angeben, um die Bedingungen durchzuführen - den Zugriff auf die Site zuzulassen oder zu deaktivieren.
Auf der zweiten Registerkarte können Sie das Intervall angeben, in dem die Regel (standardmäßig) sowie eine Gruppe von IP-Adressen aktiviert (standardmäßig) sowie eine Gruppe von IP-Adressen, auf die er gilt (standardmäßig an alle). Wählen Sie dazu einfach die entsprechenden Elemente in den Dropdown-Listen vorgegebener Werte aus. Wenn die Zeitintervalle und Gruppen von IP-Adressen noch nicht eingestellt sind, können Sie den gewünschten Editor mit den Tasten "Bearbeiten" öffnen und sie hinzufügen. Auf dieser Registerkarte können Sie auch die Programmaktion in einem Site-Blockieren festlegen. Dies kann eine Seite mit einem angegebenen Fehler Text ausgeben, wobei eine leere Seite anzeigt oder einen Benutzer auf eine bestimmte Adresse umgeleitet wird (z. B. auf eine Corporate-Site).
Für den Fall, dass drahtlose Technologien im Unternehmensnetzwerk verwendet werden, ist es sinnvoll, den MAC-Adressfilter einzuschalten. Dies wird das Risiko der unbefugten Verbindung verschiedener Geräte erheblich reduzieren. Um diese Aufgabe zu implementieren, öffnen Sie den Abschnitt " Konfiguration-\u003e Verkehrspolitik-\u003e Sicherheitsparameter". Aktivieren Sie dabei Chekbox" MAC-Adressfilter enthalten", wählen Sie dann die Netzwerkschnittstelle aus, mit der er verteilen, wechseln Sie die Liste der MAC-Adressen in den Modus" Erlauben Sie den Zugriff auf das Netzwerk nur aufgelisteten Computern"Und füllen Sie es aus, indem Sie Daten von drahtlosen Geräten des Unternehmens erstellen.
Nimm die Ergebnisse
So wie wir sehen, trotz der breiten Funktionen, um die Gruppenarbeit der Unternehmensnetzwerke einfach genug auf dem Internet zu organisieren. Es ist klar, dass wir nur die Grundeinstellung dieses Produkts überprüft haben.
Wir werden die Sicherheit unseres UTM-Gateways auf der Kerio Control 7.4.1-Plattform einrichten.
Zunächst konfigurieren wir das IDS / IPS-System und setzen den Aktualisierungszeitplan von 1 Stunde anstelle der Standardeinstellung 24 Stunden ein. Das Update "versenden" nicht mit dem MU, erhöht jedoch die Chancen, Malware zu fangen.
Installieren Sie nun Aktionen, um eine hohe Ernsthaftigkeit "schreibe, um es zu logizieren und löschen", für mittlere "Schreiben in Protokollieren und Löschen" für ein niedriges "Write in Magazine":
Solche Einstellungen können die "normale" Arbeit der "problematischen" PCs erheblich beeinflussen, was tatsächlich durch Helpdesk gehört und im Sicherheitsmagazin siehe
Na dann gehen Sie zum Abschnitt "Sicherheitseinstellungen" Und ermöglichen den Zugriff auf das lokale Netzwerk auf MAC-ADRS nur aufgelisteten Computern, denn diese erstellen Sie eine Liste der MAC-Adressen vor der Vorbereitung, die in der Organisation verwendet werden.
Wenn Sie ein neues Gerät an das Netzwerk hinzufügen, fügen wir ihn zu MAS hinzu, es ist unbequem, und daher ist es logisch, diesen Helpdesk-Service anzurufen. In diesem Fall müssen sie jedoch administrative Rechte an UTM zuzuteilen, was inakzeptabel ist, weil Roshit jeglicher Sicherheit 🙂
Manchmal wird Kerio RBAC in seinen Produkten anwenden, aber für die Gäste der Organisation heben wir das Gästennetz auf das Gästennetz und filtern auf Mas, das wir nicht tun werden.
Gehen Sie zum "anderen" Unterabschnitt und erhöhen Sie die Einschränkung der Verbindungen für einen Host auf 6000. Es kann für alle Anwendungen wie Clientbanken usw. erforderlich sein.
Sie stellen auch sicher, dass das Anti-Spoofing-Modul aktiviert ist, und die Ereignisse werden angemeldet an:
Lassen Sie uns den Abschnitt "HTTP-Richtlinien" zuwenden, und das erste, um "Advertisement und Banner entfernen" und für die Möglichkeit des Debuggings einzubeziehen, werden wir die Journaling dieser Regel einschließen.
Jetzt berücksichtigen wir die Möglichkeit, Informationen durch die sozialen Netzwerke durch die sozialen Netzwerke zu entwässern. Dafür erstellen wir eine neue Regel "Social", wählen Sie die Aktion "Ablehnen", wir stellen den Text ein " Nach Angaben der Informationssicherheitspolitik ist die Verwendung sozialer Netzwerke verboten. "Aber da in unserem Fall kein Verbot ist, sondern eine Empfehlung, wir werden die Fähigkeit für Benutzer einschalten, diese Regel freizuschalten.
In der URL Kaccher werden wir nicht alle Sorten http://vk.com und https://facebook.com auflisten und die URL angeben, ein geschätztes KERIO-Steuerungs-Webfilter-Bewertungssystem (und natürlich wird inkl. HTTPS ).
Die Regel muss jederzeit für alle Benutzer vertreten sein, und die Ereignisse werden angemeldet sein.
In realen Bedingungen passiert es am häufigsten, dass für alle Benutzer eine Verbilligungsregel für die Arbeitszeit erstellt wird, mit Ausnahme des Mittagessens (d. H. Am Morgen, zum Mittagessen und nach der Arbeit, ist es gerne zur Arbeit).
Und für die VIP-Gruppe (in welchen Managern, Tops und anderen informierten Mitarbeitern können) jederzeit Zugriff verboten, jedoch mit der Möglichkeit des Entriegelns.
Ich werde gehen, ohne eine solche Entscheidung des Kunden zu kommentieren, zu zeigen, wie es aussieht:
In ähnlicher Weise können Sie den gesamten Internetverkehr sehr flexibel steuern, da der Kerio-Webfilter ein Wunder so gut ist.
Verbotene Wörter, die ich nicht benutzen, hinterlassen Sie die Standardeinstellungen, aber in den Kerio-Steuerungs-Webfiltereinstellungen können Benutzer über die angeblichen Fehlern berichten, da alle Systeme auf ihre Weise unvollständig sind, und die Bestätigung dieser Blockierung der Habra "aus der Schachtel":
Bei der FTP-Filterung verwenden Benutzer es praktisch nicht, also beinhaltet ich nur zwei Standardregeln und schreiben Sie Ihre eigenen, um auf das Erscheinungsbild von Vorfällen zu schreiben:
Umzug zu den Einstellungen des Antivirus. Legen Sie zunächst den Aktualisierungszeitplan auf einmal fest, denn Die Praxis legt nahe, dass Signaturen häufiger als 8 Stunden aktualisiert werden.
weil Schützen Sie die E-Mail auf dem Gateway-Level an mich ist nicht zu gut Idee, scannen Sie SMTP und POP3 Ich werde deaktivieren, ich schalte auch das FTP aus. Die Praxis legt nahe, dass dieses Protokoll häufiger von Administratoren verwendet wird, und Benutzer haben es bereits erfolgreich vergessen.
Und auf dem "Scan el. E-Mail "Ich werde nur für den Fall, dass wir die Übertragung von Investitionen ermöglichen, auch wenn sie in irgendeiner Weise für bösartige Weise gemacht wurden.
In der Frage der Sicherheit ist die Überwachung natürlich der wichtigste Zustand, sodass wir den Keriostern entsprechend den Bedürfnissen konfigurieren.
Um die Verwaltungslasten zu reduzieren, konfigurieren wir Ausnahmen für einen gewissen Datenverkehr und für VIP-Mitarbeiter, auch Systemadministratoren sollten nicht Zugriff auf den Verkehr haben:
In Absatz "Zugriff auf das System", indem Anwender erlaubt, auf ihre eigenen Statistiken zuzugreifen, und darüber hinaus senden wir diese sehr wöchentliche Statistiken automatisch.
Für eine verantwortungsbewusste Person (in diesem Fall erfülle ich dieses Gesicht) Es ist möglich, den täglichen Berichten über die Aktivitäten aller Mitarbeiter zuzugreifen und zu erhalten.
Der Systemadministrator hat auch die Möglichkeit, Benachrichtigungen auf solchen Systemereignissen zu erhalten:
Natürlich muss KERIO-Steuerung für den normalen Betrieb aller diese Funktionen ein konfiguriertes SMTP-Relais aufweisen, und in jedem Benutzerprofil des Benutzers sollte eine gültige E-Mail angegeben werden.
In den zusätzlichen Optionen können Sie im Unterabschnitt "P2P-Limiter" die Qualen blockieren, die dem Unternehmensnetzwerk schädlich sind.
Gleichzeitig wird der Benutzer per E-Mail benachrichtigt (der Administrator kann auch per E-Mail benachrichtigt werden) und 20 Minuten blockiert.
Update. Es ist möglich, Java, ActiveX usw. zu deaktivieren. sowohl für einzelne Benutzer als auch für die gesamte Organisation:
Natürlich durchsuchen Sie regelmäßig alle Zeitschriften, da dieser Prozess angenehm gestaltet werden kann, ich werde das nächste Mal erzählen.
Falsch steuern der Bandbreite im Büronetzwerk (oder das Fehlen eines solchen Managements) führt zu greifbaren Unterbrechungen: Das Internet arbeitet langsam, die Qualität der Sprach- und Videokommunikation wird reduziert usw. atmet ordnungsgemäß Prioritäten und garantieren ausreichende Bandbreite des wichtigen Verkehrs .
Über die Möglichkeiten der Kerio-Kontrolle
Die KERIO-Control-Softwarelösung bezieht sich auf UTM-Klasse-Produkte (einheitliches Bedrohungsmanagement) und bietet den vollständigen Schutz von Arbeitsplätzen und Servern, wenn Sie im Internet arbeiten. Die Entscheidung konzentriert sich auf mittelständische Netzwerke von Unternehmen und führt einen Stammbaum aus einem bekannten WinRoute-Produkt. Die Wörter "komplexer Schutz" bedeuten, dass Kerio Control aus einer Vielzahl von Modulen besteht, die für unterschiedliche Sicherheitsaspekte verantwortlich sind, nämlich:
- firewall;
- router;
- intrusion Detektion und Präventionssystem (IPS / IDS);
- antivirus-Verkehrsschutz;
- inhaltsfilterung des Verkehrs;
- Überwachung und Analyse der Benutzeraktivitäten im Internet;
- zwei VPN-Server - eine auf der Grundlage eines eigenen Protokolls und der zweiten auf der Grundlage des offenen IPSec-VPN-Standards;
- steuerung der Bandbreite und der QoS-Unterstützung.
Im Artikel sprechen wir über den letzten Absatz in dieser Liste, aber weit von letzterem.
Internetzugang Optimierungsprobleme
Betrachten Sie mehrere typische Szenarien.
Zuerst: Der Supervisor benötigt unbegrenzten Zugang zur Bandbreite, besser als andere. Übrigens ist es dem Supervisor nicht notwendig, ein breites Band ist einem Server garantiert, der die Datenbank mit einem Remote-Rechenzentrum repliziert.
Zweite: Manager beschweren sich über schlechte Hörbarkeit und klicken Klippen. Oder das Zahlungsterminal akzeptiert die Zahlung auf der Karte vom dritten Mal, da er die Bank nicht kontaktieren kann.
Der dritte: Plötzlich fiel die Geschwindigkeit im gesamten Büro. Es ist Zeit zu überprüfen, wer Torrents schüttelt.
Alle diese Szenarien erfordern eine Bandbreite, um zu verwalten, nämlich Prioritäten zu bestimmen und anomale Phänomene zu erkennen. Managementaufgaben werden so etwas aussehen:
- voIP erfordert eine Kapazität von 10 MBit / s, jederzeit nicht weniger;
- streaming-Daten sollten nicht mehr als 100 Kbit / s konsumieren;
- der Gastverkehr muss vom Arbeiter getrennt werden und wechseln Sie im Falle eines grundlegenden Versagens nicht auf den Sicherungskanal.
- privilegierter Verkehr ist wichtig als üblich in der Arbeitszeit.
Um jede dieser Aufgaben zu formalisieren, ist es notwendig, für was und für welche Kriterien Prioritäten einrichten.
Arten des Verkehrs. In erster Linie Online-Videokonferenzen, Telefonie, Videoübertragung, VPN, ist hier die Bandbreite sehr wichtig. In der zweiten ist der übliche Zugriff auf Websites, Dateien, E-Mails. Die niedrigste Priorität kann installiert werden, um Zugriff auf Unterhaltungsstätten, Shopping usw. zu erhalten.
Zugriffszeit. Für Arbeitszeiten und nicht funktionierende Prioritäten können unterschiedliche Prioritäten installiert werden. Sie können dem Server für den Replikationszeitraum hohe Priorität geben und den Rest einschränken.
Regel \u003d formalisierte Einschränkung
Wenn die aufgelisteten Kriterien definiert sind, können Sie die Regeln zum Begrenzen des Streifens fortsetzen. Lassen Sie uns das Beispiel der Kerio-Lösung für den verwendeten Transport, beispielsweise auf Schiffen, erläutern. Wenn das Schiff ein Satellitenkanal mit einem teuren Verkehr und einem schmalen Streifen ist und ein breiter Kanal in Ports verfügbar ist, ist klar, wie er Prioritäten platziert werden kann. Zum Beispiel: Also:
Tatsächlich ist dies in der Kerio-Kontrolle schon ziemlich in der Regel.
Nun gehen wir vom Schiff zum Büro zurück und schauen Sie sich ein Beispiel mit IP-Telefonie an. Wenn die Band überlastet ist, reduziert es die Qualität der Sprachkommunikation, und daher werden die Prioritäten auf diese Weise gelegt:
Und dies ist auch drei Regeln in der Kerio-Steuerung.
In ähnlicher Weise werden die Regeln durch die Aufgaben eines garantierten Breitbandes für Handbücher und Ausrüstungen, Guest-Verbindungen eingeschränkt usw. gelöst.
Kontrolle der Bandbreite in der Kerio-Steuerung
Auf der Schaltregler KERIO-Steuerung können Sie die Liste der verfügbaren Internet-Schnittstellen sehen. Zum Beispiel schneller Kanal und langsam. Darunter - lokale Netzwerke wie Haupt- und Gast.
Nun müssen die Internet-Schnittstellen abgestimmt sein, die wir auf der Registerkarte "Verkehrsregeln" tun werden. Das Gästennetzwerk ist beispielsweise Ihrer Benutzeroberfläche (billigste) zugewiesen, und die Gäste verstopfen das Haupt-Office-Netzwerk nicht. Hier konfigurieren wir Einschränkungen für die Verkehrstypen, z. B. nur Web-Zugriff für Gäste und jeden eigenen Verkehr.
Wenn nun das Routing der Schnittstellen konfiguriert ist, ist es an der Zeit, Prioritäten für die Verwendung von Bandbreite auszudrücken. Wir gehen zur Registerkarte der Registerkarte Bandbreite und QoS, erstellen Sie eine Regel für VIP-Benutzer, fügen Sie die erstellten Eigentümergruppen (die meisten VIP-Benutzer) und -geräte hinzu (die zum Anschließen einer guten Verbindung), und installieren, für Beispiel, Reservierung von 20% der Band.
Ein wichtiger Punkt - diese 20% werden vom in den Einstellungen angegebenen Streifen betrachtet! Es ist wichtig, die Zahl zu setzen, die nicht vom Anbieter deklariert wird, sondern die eigentliche Bandbreite.
Erstellen Sie nun eine Regel für den kritischen Datenverkehr und fügen Sie den Verkehrstypen hinzu: SIP VoIP, VPN, Sofortnachrichten und Fernzugriff.
Und reservieren Sie es beispielsweise, um 3 MBit / s herunterzuladen und herunterzuladen.
Dann erstellen wir eine Regel für einen wichtigen Verkehr und umfassen solche Verkehrstypen wie Suche mit Webseiten, Post, Multimedia und FTP. Und wir werden ihn nicht mehr als 50% der Band einschränken, und nur in Arbeitszeiten.
Und nun schaffen wir eine Regel für den schädlichen Verkehr. Wenn, wenn Sie die Art des Traffics auswählen, klicken Sie auf die Menü "Anschluss, Zufriedenheitsregel", Sie können den Inhalt des Filters verwenden und soziale Netzwerke, Geschäfte, Verkehr, Spiele usw. auswählen. Sie können auch P2P beschränken. Setzen Sie es eine raue Begrenzung von 256 Kbit / s und lassen Sie sie schwingen.
Jetzt an Gastbenutzer anschauen. Auf der Registerkarte Active Hosts ist es einfach zu erkennen, was gerade passiert. Es ist wahrscheinlich, dass Sie einen Gast finden, der bereits Gigabytes gepumpt und Ihr Internet weiterhin mit einer anständigen Geschwindigkeit nutzt.
Daher machen wir eine Regel für Gäste. Beispielsweise überschreiten Sie nicht 5% des Streifens.
Und weiter. Wie Sie sich erinnern, besuchen Sie die Gäste in eine bestimmte Netzwerkschnittstelle. Die Bandeinschränkungsregel kann entweder so konfiguriert werden, dass die Einschränkung nur eine bestimmte Netzwerkschnittstelle oder alle Netzwerkschnittstellen betrifft. Wenn wir im letzteren Fall die an das Gästennetz angeschlossene Schnittstelle ändern, wird die Regel weiter agieren.
Und ein wichtiger Punkt. Die Regeln arbeiten am Standort in der Liste von oben nach unten. Daher sind die Regeln, die viele Anfragen zum Zugang ausrollen, zu Beginn sinnvoll.
Im Einzelnen ist all dies in den Artikeln zu Kerio's Knowledge Base beschrieben.
- Festlegen der Geschwindigkeit des Links (KB 1373)
- Konfigurieren des Bandbreitenmanagements (KB 1334)
- Konfigurieren der politischen Routing (KB 1314)
- Überwachung aktiver Hosts (KB 1593)
Vor und nach der Optimierung
Vor. Der gesamte Verkehr wurde ohne Prioritäten eingestiegen. Im Falle von "Stau" erleidet der gesamte Verkehr, einschließlich eines kritischen.
Nach dem. Wichtiger Verkehr wird vorrangig gegeben. Einschränkungen und Reservierungsmechanismen werden durch den Typ des Benutzers, der Art des Verkehrs, der Zeit, konfiguriert.
Anstelle von Inhaftierung.
Wir waren überzeugt, dass der Begrenzungszugriff auf die Bandbreite mit benutzerdefinierten Regeln nicht einfach ist. Es ist die Einfachheit der Verwendung seiner Produkte, die Kerio ihren wichtigsten Vorteil betrachtet und im Laufe der Jahre, trotz ihrer zunehmenden Komplexität und Funktionalität beibehält.
Maxim Afanasyev.
Seit 1997 entwickelt und produziert KERIO Technologies einzigartige Computersicherungssoftware-Lösungen, um interne Netzwerke von Unternehmen von außen zu schützen und Systeme für die Zusammenarbeit und die elektronische Kommunikation zu schaffen. Produkte aus Kerio-Technologien konzentrieren sich auf mittlere und kleine Geschäfte, können jedoch in großen Unternehmen erfolgreich eingesetzt werden. Es ist erwähnenswert, dass die Software unter Berücksichtigung der globalen Informationsschutztrends entwickelt wird, und das Unternehmen selbst ist ein Innovator in diesem Bereich.
Der Prototyp des Kerio-Steuerungs-Softwarekomplexes, der in diesem Artikel diskutiert wird, war ein WinRoute Pro-Software-Gateway, der 1997 veröffentlicht wurde. WinRoute Pro-Software war ein fortschrittlicher Proxy-Server, der über einen externen Internetkanal auf lokale Internetcomputer zugreifen soll. Dieses Produkt hat fast sofort Popularität erworben und wurde zu diesem Zeitpunkt schnell zu einem Wettbewerber eines der häufigsten Wingate Proxy-Servern. Die Kerio-Produkte zeichnen sich bereits dann durch eine verständliche Schnittstelle und ein bequemes Setup aus, was wichtig ist, Zuverlässigkeit und Sicherheit ist. Seitdem wurde KERIO WinRoute ständig aufgerüstet, vielen nützlichen Funktionen und Funktionen wurden hinzugefügt. Zu Beginn seiner Art errann er WinRoute Pro, dann wurde der Name in WinRoute Firewall geändert, und begann mit der 7. Version des Produkts seinen aktuellen Namen - Kerio Control.
Kerio hat die Möglichkeit der Virtualisierungsmöglichkeiten schnell realisiert und standen auf dem Weg der maximalen Integration mit virtuellen Umgebungen, die sich heute aufgrund der Entstehung von Multi-Core-Prozessoren aktiv entwickeln, und erhebliche Fortschritte in diesem Bereich. Alle neuen Kerio-Produkte sind jetzt für VMware- und Hyper-V-Virtualisierungsumgebungen verfügbar, mit denen Sie diese Software auf allen Plattformen bereitstellen und das Produkt weiterleiten können, ohne dass sie in eine neue Hardware-Plattform neu installiert werden müssen. Darüber hinaus bietet dieser Ansatz Netzwerkadministratoren von Unternehmen die Möglichkeit einer breiteren Auswahl bei der Erstellung einer Netzwerkinfrastruktur. Anfänglich wurden Kerio-Produkte als Windows-Anwendung geliefert, nachdem die Version jedoch für Virtualisierungssysteme erscheint, entschied sich das Unternehmen, vollständig aus dem Betriebssystem vollständig abzugleichen und die Kerio-Steuerung nicht mehr als separate Anwendung freizusetzen. Ab der 8. Version der Kerio-Steuerung werden nur drei Versionen mitgeliefert: Softwaregerät, VMware Virtual Appliance und Hyper-V Virtual Appliance. In allen Ausführungsformen wird ein aktualisiertes Linux-Betriebssystem basierend auf Debian verwendet (eine SMP-Version mit einer getrimmten Funktionalität), die keine zusätzliche Langzeittinktur und Wartung erfordert. Die Software-Software-Software-Software-Software-Software wird in Form eines ISO-Bildes von etwas mehr als 250 MB dargestellt und einfach auf hervorgehobenen Geräten installiert, ohne dass die Installation des Betriebssystems erforderlich ist. Die Version der VMware Virtual Appliance ist in Form von EVF- und VMX-Paketen für die VMware-Umgebung geliefert, und das virtuelle Hyper-V-Gerät ist für Microsoft Virtualization-Systeme konzipiert, während alle bereits ein bereitgestelltes System mit benutzerdefinierten Parametern sind. Wie der Entwickler erklärt, kann die OVF-Version dieser Software grundsätzlich auf anderen Virtualisierungssystemen installiert werden. Mit diesem Ansatz können Sie sich flexibler an die Umsetzung des Netzwerks des Unternehmens nähern und den Einsatz von Hardwarelösungen aufgeben, die nicht häufig in der Hardware aufgerüstet werden können, da er erhebliche Kosten erfordert, oder ihre Fähigkeit ist starr begrenzt.
Berücksichtigen Sie die Hauptmerkmale der KERIO-Steuerungssoftware sowie eine Reihe von Innovationen, die in früheren Versionen abwesend waren. Erinnern Sie sich an das erste Mal, dass die 8. Version der Kerio-Kontrolle im März dieses Jahres veröffentlicht wurde. Zum Zeitpunkt dieses Schreibens hat Kerio neben einem kleinen Update das KERIO CONTROL 8.1-Update im Juni veröffentlicht, das auch einige zusätzliche Funktionen erhoben hat.
Die Installation der KERIO-Steuerung kann sowohl mithilfe von Software-Appliance erfolgen, dh der Einsatz des Systems aus einem separaten ISO-Image und durch Initialisieren der virtuellen Maschinen auf dem Virtualisierungsserver. Die letzte Methode beinhaltet mehrere Installationspfade, darunter die Möglichkeit, die neueste Version der Kerio-Kontrolle automatisch von der Website des Herstellers über den vMware VA-Marktplatz herunterzuladen. Bei der Installation von einem ISO-Image befinden sich alle Schritte zum Bereitstellen der KERIO-Steuerung in den Antworten des Administrators auf mehrere einfache Probleme des Installationsprozesse-Assistenten. Mit der Initialisierung des virtuellen KERIO-Steuergeräts können Sie den Hauptinstallationsschritt überspringen, und der Administrator muss nur die Anfangsparameter der virtuellen Maschine festlegen: Die Anzahl der Prozessoren, die Anzahl der RAM, die Anzahl der Netzwerkadapter und der Größe von das Festplatten-Subsystem. In der Basisversion hat die virtuelle KERIO-Steuerungsmaschinen die minimalsten Parameter, jedoch muss mindestens ein in den Eigenschaften der Maschine angegebene Netzwerkadapter erforderlich sein, um eine weitere Verabreichung durchzuführen.
Nach der Installation des Systems auf der einen oder einer anderen oder einer anderen und einer erfolgreichen Initialisierung steht der KERIO-Steuerungsbenutzer für die grundlegende Einstellung der Netzwerkkonfiguration über die Steuerkonsole (Abb. 1) zur Verfügung. Standardmäßig versuchen Netzwerkadapter, die an die KERIO-Steuerung angeschlossen sind, um IP-Adressen mit DHCP zu erhalten. Wenn der Empfang von IP-Adressen erfolgreich bestanden hat, kann der Administrator über das lokale Netzwerk an die Kerio-Steuerung herstellen, die die in der Steuerkonsole angezeigte IP-Adresse eingeben. Mit der Basiskontrollkonsole können Sie die Einstellungen für die Netzwerkadapter konfigurieren, die Kerio-Steuerung auf Basisparameter zurücksetzen, überlast oder die Kerio-Steuerung deaktivieren. Es ist erwähnenswert, dass es bei Bedarf möglich ist, eine vollwertige Befehlsschale des Betriebssystems durch Drücken der Kombination Alt + F2-F3 zu verlassen. Um sich anzumelden, müssen Sie das Root-Login eingeben, und das Administratorkennwort, das bei der Installation von Kerio Control angegeben ist. Zusätzliche Debugging-Informationen können durch Drücken der Kabelkombination Alt + F4-F5 verursacht werden. Die weitere Einstellung von Parametern erfolgt über das Verwaltungswebgehäuse über den SSL-verschlüsselten Kanal.
Feige. 1. Managementkonsole
Alle Parameter können mit einem Bedienfeld installiert werden, das durch eine geschützte Vengesface funktioniert (Abb. 2). Die Arbeit mit dieser Schnittstelle erfolgt über das geschützte HTTPS / SSL-Protokoll. Mit der Verwaltungskonsole können Sie alle Einstellungen der Firewall verwalten. Im Vergleich zu früheren Versionen, die auf der 7. Version der Kerio-Steuerung basieren, hat das Design dieses Bedienfelds erhebliche Änderungen erfahren. Somit hat die erste Seite des Bedienfelds eine geflieste konfigurierbare Schnittstelle ("Überwachungsfenster"), in der Sie die erforderlichen Elemente hinzufügen oder löschen können, um den Kerio-Steuerungszustand schnell zu diagnostizieren. Es ist sehr praktisch, da der Administrator sofort den Download von Kommunikationskanälen, Benutzeraktivitäten, Systemstatus, VPN-Anschluss usw. sieht.
Feige. 2. Bedienfeld
Die folgenden Optionen werden der aktualisierten Version von Kerio Control 8.1 hinzugefügt: Speichern einer Konfiguration und Einstellungen im Cloud-Service von Samepage.IO im Automatikmodus, wobei die Parameter über das SNMP-Protokoll überwacht, die Möglichkeit, Ping-Debugging-Tools, Traceroute, DNS-Lookup zu verwenden, Whois im Namen des Kerio Control Gateways in der Verwaltungsmarke. Darüber hinaus unterstützt die KERIO-Steuerung regelmäßige Ausdrücke für URLs, automatisches Anheben von VPN-Tunneln, Schutz gegen Kennwörter und fortschrittlichere Paketanalysefunktionen. Es sei auch darauf hingewiesen, dass bei der neuesten Version der KERIO-Steuerungssoftware-Appliance Unterstützung für mehr RAID-Controller hinzugefügt wurde, wodurch die Möglichkeiten, dieses System auf separaten Hardwareplattformen zu erweitern, zu erweitern.
Die KERIO-Steuerungs-Webschnittstelle hat nicht nur ein Verwaltungsfeld, sondern auch eine separate Benutzeroberfläche (Abb. 3). Das Verwaltungsfeld hat nicht die Möglichkeit, etwas an die KERIO-Steuerung zu ändern, können jedoch Benutzerstatistiken oder Benutzer für verschiedene Zeitintervalle verfolgen. Statistiken geben Daten zu den besuchten Ressourcen, die übertragene Datenmenge und andere Informationen. Wenn der Benutzer ein Administratorkonto im KERIO-Steuerungssystem hat, kann er statistische Daten und andere Systembenutzer über dieses Bedienfeld empfangen. Genaue und nachdenkliche Statistiken helfen dem Administrator, die Präferenzen von Benutzern beim Arbeiten im Internet herauszufinden, kritische Elemente und Probleme finden. Das Panel erzeugt für jeden Benutzer ein detailliertes Traktions-Etypogramm für jeden Benutzer im Netzwerk. Der Administrator kann den Zeitraum auswählen, für den er die Verwendung von Verkehr verfolgen möchte: zwei Stunden, Tag, Woche und Monat. Darüber hinaus zeigt die KERIO-Steuerung die Statistiken der tatsächlichen Verwendung des Datenverkehrs durch seine Typen: http, ftp, E-Mail, Streaming Multimedia-Protokolle, Datenaustausch direkt zwischen Computern oder Proxy.
Feige. 3. Benutzerfenster
Für ein modernes Unternehmen, dessen Niederlassungen weltweit sich befinden können, ist eine sichere Verbindung zum Corporate Network Voraussetzung, da das Outsourcing heute aktiv entwickelt wird. Mit Hilfe der KERIO-Steuerung erfordert ein virtuelles privates Netzwerk praktisch keine Anstrengungen. Der VPN-Server und die Clients sind Teil der Kerio-Steuerungsfunktionen für den sicheren Fernzugriff auf das Corporate Network. Mit dem virtuellen KERIO-VPN-Netzwerk können Benutzer die Ferne mit allen Ressourcen des Unternehmensnetzwerks herstellen und mit dem Netzwerk der Organisation arbeiten, als ob sie ein eigenes lokales Netzwerk sind. Mit dem in das KERIO-Control-Produkt eingebauten VPN-Server können Sie ein VPN-Netzwerk für zwei verschiedene Szenarien organisieren: "Server - Server" und "Client-Server" (gebrauchter Kerio-VPN-Client für Windows, Mac und Linux). Der Server-Server-Modus wird von Unternehmen angewendet, die ein Remote-Büro anschließen möchten, um einen sicheren Kanal freizugeben, um gemeinsame Ressourcen zu teilen. Dieses Skript erfordert eine Kerio-Steuerung an jedem der Verbindungsparteien, um einen sicheren Kanal durch ein offenes Internet zu installieren. Mit dem Modus "Client-Server" können der Remote-Benutzer einen Laptop- oder Heimcomputer sicher an das Corporate Network anschließen. Wie vielen Systemadministratoren bekannt, unterstützen VPN- und NAT-Protokolle (Network Address-Übersetzung) Protokolle nicht immer die Zusammenarbeit. Die Kerio-VPN-Lösung wurde erstellt, um durch NAT und sogar durch die NAT-Gateways zuverlässig zu arbeiten. Kerio VPN wendet Standard-SSL-Verschlüsselungsalgorithmen für Kanalsteuerung (TCP) und Blowfish während der Datenübertragung (UDP) an und unterstützt auch IPSec.
Das KERIO-Control-Gateway verfügt über einen eingebauten Virenschutz, der durch Überprüfung sowohl des ankommenden als auch den ausgehenden Verkehr bereitgestellt wird. Wenn der eingebaute Antivirus von McAfee früher in der Kerio-Steuerung verwendet wurde, wird Sophos Anti-Virus in den neuesten Versionen verwendet. Der Administrator kann die Regeln für den Verkehr auf verschiedenen Protokollen einstellen: SMTP- und POP3, Web (HTTP) und Dateien (FTP) senden. Das in der Firewall eingebaute Anti-Virus, der auf dem Gateway installiert ist, bietet einen vollen Schutz, der durch das Verkehrsgateway passiert. Da das integrierte Antivirus Updates mit neuen Datenbanken von Echtzeitviren empfangen kann, erhöht er den Sicherheitsniveau des Netzwerks sowie die Verwendung von Antivirenprogrammen auf jedem LAN-Computer erheblich. Antivirus prüft ankommende und ausgehende Nachrichten sowie alle Anhänge. Wenn der Virus erkannt wird, werden alle Anhänge in der Anlage gelöscht, und die Benachrichtigung wird dem Buchstaben hinzugefügt. Darüber hinaus prüft KERIO-Steuerung alle Netzwerkverkehr, einschließlich HTML-Seiten, auf eingebettete Viren. Die Viren prüfen auch Dateien, die über HTTP geladen wurden, und Dateien, die über das FTP-Protokoll übertragen werden. Darüber hinaus sollte darauf hingewiesen werden, dass für Organisationen und solcher Institutionen wie beispielsweise Schulen, die ihre Mitarbeiter und Kunden nicht möchten, bestimmte Seiten, Keriosteuerung mit dem integrierten Kerio-Steuerfilter-Filter (als zusätzlicher geliefert Gebühroption) Bietet zusätzliche Funktionen zum Blockieren von Seiten online.
Die Kerio-Steuerung ermöglicht es Administratoren nicht nur, keine gemeinsame Strategie für den Datenverkehr zu schaffen, sondern auch Einschränkungen für jeden Benutzer zu erstellen und anzuwenden. Bevor Sie Zugriff auf das Internet erhalten, muss sich jeder Benutzer bei der Kerio-Steuerung anmelden. Benutzerkonten werden in einer separaten internen Benutzerdatenbank gespeichert oder werden aus der Microsoft Active Directory Corporate Database oder Apple Open Directory aufgenommen. Mögliche parallele Verwendung von lokalen und domänen Datenbanken der Benutzer. Bei der Verwendung der Integration mit Microsoft Active Directory kann die Kundenberechtigung aufgrund der NTLM-Authentifizierung transparent für Domänenbenutzer auftreten. Im Rahmen des Windows 2008/2012-Servers können Active Directoratoren Administratoren über zentrale Verwaltung von Benutzerkonten und Netzwerkressourcen dienen. Active Directory bietet Zugriff auf Benutzerinformationen von einem Computer. Active Directory / Open Directory Öffnet den KERIO-Steuerungszugriff auf die Echtzeit-Benutzerdatenbank und ermöglicht Ihnen, den Benutzer auf dem lokalen Netzwerk installieren, ohne das Kennwort zu speichern. Daher müssen Sie keine Kennwörter für jeden Benutzer synchronisieren. Alle Änderungen in Microsoft Active Directory / Open Directory spiegelt sich automatisch in der Kerio-Steuerung wider.
Der Administrator kann für jeden Benutzer verschiedene Beschränkungen für Zugriffsrechte festlegen. Die Aktion dieser Regeln kann für bestimmte Zeitintervalle eingestellt und verschiedene Einschränkungen für den Verkehrsaufwand einstellen. Wenn das Limit erreicht ist, sendet die Kerio-Steuerung eine Warnung an den Benutzer und den Administrator oder der Administrator blockiert diesen Benutzer bis zum Ende des Tages oder des Monats.
Abschließend ist es erwähnenswert, dass Kerio Control aufgrund seiner unbestreitbaren Vorteile ein sehr beliebtes Produkt unter den Systemadministratoren ist, das sie beispielsweise mit ähnlichen Lösungen verglichen hat, die im Standard-Linux-Betriebssystempaket enthalten sind (z. B. IPTables). . Schnelle Einstellung, reichlich Möglichkeiten und hoher Schutz - all dies macht dieses Softwareprodukt für kleine Unternehmen attraktiv.