Kerio Kontrolli - Siguria e Rrjetit Kompleks. Kerio Kontrolli i detajuar i funksioneve bazë Rregulla \u003d Kufizimi i formalizuar
Mirëdita e dashur Lexuesit dhe mysafirët Website Blogs, në çdo organizatë ka gjithmonë njerëz që nuk duan të punojnë dhe që përdorin burimet e korporatave jo si emërim, unë do të jap një shembull të thjeshtë. Ju keni një zyrë të vogël, thoni kështu punonjës 50 dhe Internet Channel me një bandwidth 20 megabit dhe një kufizim mujor të trafikut në 50 GB, për përdorimin e zakonshëm të internetit dhe ndërtimin e një zyre biznesi të mjaftueshme, por ka njerëz të tillë që mund të duan të shkarkojnë një film për mbrëmje ose një Album i ri muzikor, dhe më shpesh ata përdorin trackers terres, më lejoni që unë do t'ju tregoj të dy në Kerio Control 8, ju mund të ndaloni trafikun P2P dhe të dorëzoni një kufi ditor për punonjësin e trafikut.
Blloku i trafikut P2P në Kerio Control 8
Dhe kështu ju keni një rrjet të ndërtuar lokal në të cilin u shfaq një swinger me qëllim të keq, unë mendoj se ju e zbuloni menjëherë nga regjistrimet e statistikave, filtroni në kolona. Nga shpërblimi, i cili do të ndjekë udhëheqjen, ju si një administrator i sistemit duhet të parandalojë përpjekjet e mëtejshme për të shkarkuar përmbajtjen përmes trafikut P2P.
Ju keni dy opsione:
- Aktivizo trafikun e plotë të bllokimit të P2P
- Instaloni limitin e ditës për çdo përdorues
Le të fillojmë me bllokimin e trafikut të shikuar, të shkojmë në filtrin e përmbajtjes dhe të krijojmë një rregull të ri. Klikoni Shto dhe zgjidhni "Aplikacionet dhe Kategoritë e Përmbajtjes së uebit"
Gjeni seksionin e shkarkimit dhe shënoni Rrjetin Pyring.
Në veprim, vendosni rregullin për të fshirë.
Në teori, për të bllokuar plotësisht trafikun P2P, një rregull mjaft i krijuar, por unë ende ju këshilloj që të vendosni kuotat për përdoruesit nëse keni një kufi nga interneti për t'i mësuar ata që ta përdorin atë ekskluzivisht në punëtorët. Për ta bërë këtë, shkoni te skedat e përdoruesve dhe në vetitë e çdo skedari në skedën "kuota", specifikoni kufirin daegabyte.
Kerio Control i takon asaj kategorie softuernë të cilën një gamë e gjerë funksionaliteti është e kombinuar me lehtësinë e zbatimit dhe funksionimit. Sot do të analizojmë se si me ndihmën e këtij programi mund të organizoni një punë grupore të punonjësve në internet, dhe gjithashtu të mbroni në mënyrë të besueshme rrjetin lokal nga kërcënimet e jashtme.
ajo i referohet kategorisë së produkteve në të cilat një gamë e gjerë funksionaliteti është e kombinuar me lehtësinë e zbatimit dhe funksionimit. Sot do të analizojmë se si me ndihmën e këtij programi mund të organizoni një punë grupore të punonjësve në internet, dhe gjithashtu të mbroni në mënyrë të besueshme rrjetin lokal nga kërcënimet e jashtme.
Zbatimi i produktit fillon me instalimin e tij në një kompjuter që luan rolin e një portë online. Kjo procedurë nuk është e ndryshme nga instalimi i ndonjë softueri tjetër, prandaj nuk do të ndalemi në të. Ne vetëm theksojmë se disa shërbime të Windows që parandalojnë funksionimin e programit do të jenë të paaftë gjatë tij. Pas përfundimit të instalimit, mund të kaloni në vendosjen e sistemit. Kjo mund të bëhet si në nivel lokal, direkt në portën e internetit, dhe në distancë, nga çdo kompjuter i lidhur me rrjetin e korporatës.
Së pari, të drejtuar përmes menusë standarde " Filloj"Kontrolli konsol. Me ndihmën e tij dhe konfiguroni produktin në shqyrtim. Për lehtësi, ju mund të krijoni një lidhje që do t'ju lejojë të lidheni me shpejtësi. Për këtë, klikoni mbi artikullin" Lidhje e re", Specifikoni dritaren e produktit (Kerio Control), host në të cilin është instaluar, si dhe emrin e përdoruesit, pastaj klikoni mbi butonin" Përveç si"Dhe futni emrin e lidhjes. Pas kësaj, ju mund të vendosni lidhjen. Për këtë, klikoni dy herë mbi lidhjen e krijuar dhe futni fjalëkalimin tuaj.
Customization Basic Customization Kerio
Në parim, të gjitha parametrat e punës mund të konfigurohen me dorë. Megjithatë, për zbatimin fillestar, është shumë më i përshtatshëm për të përfituar nga një mjeshtër i veçantë që shkon automatikisht. Në hapin e parë, ftohet të njihen me informacionin kryesor në lidhje me sistemin. Gjithashtu ka një kujtesë se kompjuteri në të cilin kontrolli i kerio po kandidon duhet të lidhet me rrjetin lokal dhe të ketë një lidhje të punës në internet.
Faza e dytë është zgjedhja e llojit të lidhjes në internet. Në total, këtu janë katër opsione, nga të cilat ju duhet të zgjidhni më të përshtatshmet për një rrjet të veçantë lokal.
- Qasje e përhershme - Gateway Internet ka një lidhje të përhershme në internet.
- Telefonimi sipas kërkesës - ajo do të instalojë në mënyrë të pavarur në internet sipas nevojës (nëse ka një ndërfaqe RAS).
- Recondection Nëse refuzoni - kur thyej komunikimin me internetin automatikisht do të kaloni në një kanal tjetër (keni nevojë për dy lidhje në internet).
- Shpërndarja e ngarkesës në kanalet - do të përdorë njëkohësisht kanale të shumëfishta të komunikimit, duke shpërndarë ngarkesën midis tyre (dy ose më shumë lidhje interneti janë të nevojshme).
Në hapin e tretë, ju duhet të specifikoni ndërfaqen e rrjetit ose ndërfaqet e lidhura me internetin. Programi vetë zbulon dhe shfaq të gjitha ndërfaqet në dispozicion si një listë. Pra, administratori mund të zgjedhë vetëm opsionin e duhur. Vlen të përmendet se në dy llojet e para të lidhjeve, duhet të instalohet vetëm një ndërfaqe, dhe në të tretën - dy. Vendosja e katërt e opsioneve është disi e ndryshme nga pjesa tjetër. Ai parashikon mundësinë e shtimit të ndonjë numri të ndërfaqeve të rrjetit, për secilën prej të cilave ju duhet të vendosni ngarkesën më të lartë të mundshme.
Faza e katërt është të zgjedhësh shërbimet e rrjetit që do të jenë në dispozicion të përdoruesve. Në parim, ju mund të zgjidhni opsionin " Pa kufizime"Megjithatë, në shumicën e rasteve nuk do të jetë plotësisht e arsyeshme. Është më mirë të theksohet" checkmarks "ato shërbime që me të vërtetë kanë nevojë: http dhe https për të parë faqet, POP3, SMTP dhe IMAP për të punuar me postë etj.
Hapi tjetër është konfigurimi i rregullave për lidhjet VPN. Për këtë, përdoren vetëm dy kutitë e zgjedhjes. E para përcakton se cilat klientë do të përdorin përdoruesit për t'u lidhur me serverin. Nëse "të afërmit", domethënë, Kerio lëshohet, kutia e zgjedhjes duhet të aktivizohet. Përndryshe, për shembull, kur përdorni mjete të ndërtuara, duhet të fiket. Kutia e dytë përcakton aftësinë për të përdorur funksionin VPN të Kerio Clientless SSL (menaxhimi i skedarëve, dosjet shkarko dhe shkarko nëpërmjet një shfletuesi të internetit).
Faza e gjashtë është krijimi i rregullave për shërbimet që punojnë në rrjetin lokal, por duhet të jenë në dispozicion nga interneti. Nëse në hapin e mëparshëm ju keni kthyer në kerio vpn server ose kerio klienti SSL VPN teknologji, pastaj gjithçka që ju duhet të konfiguruar automatikisht. Nëse keni nevojë për të siguruar disponueshmërinë e shërbimeve të tjera (serverin e korporatave të postës, server FTP, etj), pastaj për secilën prej tyre, klikoni mbi butonin " Shtoj", Zgjidhni emrin e shërbimit (do të hapë standardin për shërbimin e përzgjedhur të portit) dhe, nëse është e nevojshme, specifikoni adresën IP.
Së fundi, ekrani i fundit i Setup Wizard është një paralajmërim para fillimit të procesit të gjenerimit të rregullave. Vetëm lexoni atë dhe klikoni mbi butonin " I plotë"Natyrisht, në të ardhmen, të gjitha rregullat dhe cilësimet e krijuara mund të ndryshohen. Dhe përsëri mund të drejtoni magjistarin e përshkruar dhe të redaktoni parametrat manualisht.
Në parim, pas përfundimit të magjistarit është tashmë në gjendje pune. Megjithatë, ka kuptim për të korrigjuar disa parametra. Në veçanti, ju mund të krijoni kufizime në përdorimin e bandwidthit. Më së shumti, është "bllokuar" kur transmeton skedarë të mëdhenj, voluminoze. Prandaj, ju mund të kufizoni shpejtësinë e shkarkimit dhe / ose shkarkimin e objekteve të tilla. Për të bërë këtë seksion " Konfigurim"Ju duhet të hapni seksionin" Kufizimi i bandwidthit", Aktivizo filtrimin dhe futni bandwidth në dispozicion për skedarë voluminoze. Nëse është e nevojshme, ju mund të bëni një kufi më fleksibël. Për ta bërë këtë, klikoni mbi butonin" Gjithashtu"Dhe specifikoni në dritaren e shërbimit që hap, adreson, si dhe intervalet kohore të filtrave. Përveç kësaj, ju mund të vendosni menjëherë madhësinë e dosjeve që konsiderohen volumetrike.
Përdoruesit dhe grupet
Pas konfigurimit të sistemit fillestar, mund të vazhdoni me futjen e përdoruesve në të. Megjithatë, është më e përshtatshme për t'i ndarë së pari në grupe. Në këtë rast, në të ardhmen ata do të jenë më të lehtë për të menaxhuar. Për të krijuar një grup të ri, shkoni në seksionin " Përdoruesit dhe grupet-\u003e Grupet"Dhe klikoni mbi butonin" Shtoj"Në të njëjtën kohë, një mjeshtër i veçantë i përbërë nga tre hapa do të hapet. Në të parën ju duhet të futni një emër dhe përshkrim të grupit. Në të dytin ju menjëherë mund të shtoni përdoruesit në të, përveç nëse, natyrisht, ata janë krijuar tashmë. Në fazën e tretë, është e nevojshme të përcaktohet të drejtat e grupit: qasja në administrimin e sistemit, aftësinë për të çaktivizuar rregulla të ndryshme, lejen për të përdorur VPN, për të parë statistikat etj.
Pas krijimit të grupeve, ju mund të vazhdoni për të shtuar përdoruesit. Mënyra më e lehtë për të bërë është nëse një fushë është e vendosur në rrjetin e korporatës. Në këtë rast, thjesht shkoni në seksionin " Përdoruesit dhe grupet-\u003e përdoruesit", Hapni skedën Active Directory, përfshini kutinë e zgjedhjes" Përdorni bazën e të dhënave të përdoruesit të domain-it"Dhe futni një emër përdoruesi dhe fjalëkalim të një llogarie që ka të drejtë të hyjë në këtë bazë të dhënash. Në të njëjtën kohë, llogaritë e domain do të përdorin atë, natyrisht, shumë i përshtatshëm.
Përndryshe, do t'ju duhet të futni me dorë përdoruesit. Kjo parashikon tabin e parë të seksionit në shqyrtim. Krijimi i një llogarie përbëhet nga tre hapa. E para duhet të kërkojë një login, emër, përshkrim, adresë e-mail, si dhe opsionet e legalizimit: Identifikohu dhe fjalëkalimi ose të dhënat nga Active Directory. Në hapin e dytë, ju mund të shtoni një përdorues në një ose më shumë grupe. Në fazën e tretë, ekziston aftësia për të regjistruar automatikisht një llogari për të hyrë në firewall dhe adresat e veçanta IP.
Personalizoni sistemin e sigurisë
Në mundësi të mjaftueshme për të siguruar sigurinë e rrjetit të korporatës. Në parim, ne kemi filluar të mbrojmë kundër kërcënimeve të jashtme kur vendosni punën e firewall. Përveç kësaj, parandalimi i produktit zbatohet në produkt në shqyrtim. Ajo është e mundësuar nga default dhe konfiguruar në punë optimale. Pra, nuk mund të preket.
Hapi tjetër është antivirus. Vlen të përmendet se nuk është në të gjitha versionet e programit. Për të përdorur mbrojtjen kundër malware duhet të blihen me një antivirus të integruar, një modul antivirus i jashtëm duhet të instalohet në portën e internetit. Për të aktivizuar mbrojtjen antivirus, ju duhet të hapni seksionin " Konfigurimi-\u003e Filtrimi i përmbajtjes-\u003e Antivirus". Duhet të aktivizohet nga moduli i përdorur dhe i shënuar me ndihmën e protokolleve të kontrolluara (rekomandohet të përfshihet të gjitha). Nëse përdorni antivirusin e integruar, atëherë duhet të aktivizoni përditësimin e bazave të të dhënave anti-virus dhe Vendosni intervalin e kësaj procedure.
Tjetra, ju duhet të konfiguroni sistemin e filtrimit të trafikut HTTP. Bëni mund të jetë në seksionin " Konfigurimi-\u003e Filtrimi i përmbajtjes-\u003e Politika HTTP"Opsioni më i thjeshtë i filtrimit është bllokimi i pakushtëzuar i vendeve ku gjenden fjalë nga lista" e zezë ". Për ta mundësuar atë, të shkosh në tab" Fjalët e ndaluara"Dhe plotësoni listën e shprehjeve. Megjithatë, ekziston një sistem filtrues më fleksibël dhe i besueshëm. Ai bazohet në rregullat që përshkruajnë kushtet për bllokimin e qasjes së përdoruesit në ato ose vende të tjera.
Për të krijuar një rregull të ri, shkoni në skedën " Rregullat e URL-së", Klikoni me të djathtën në fushë dhe përzgjidhni artikullin në menunë e kontekstit. Shtoj". Shtimi i një dritare rregulle përbëhet nga tre skeda. Së pari përcakton kushtet në të cilat do të funksionojë. Së pari ju duhet të zgjidhni të cilat shpërndahen rregulla: në të gjithë përdoruesit ose vetëm në llogari specifike. Pas kësaj, ju duhet të specifikoni Kriteri për pajtueshmërinë me URL-në e faqes së kërkuar. Për ta bërë këtë, një varg që përfshihet në adresën, grupin e adresave ose një vlerësim të projektit në internet në sistemin e filtrit të uebit të Kerio (në fakt, kategoria në të cilën faqja i takon është). Në fund, është e nevojshme të specifikoni reagimin e sistemit për të kryer kushtet - lejoni ose çaktivizoni qasjen në vend.
Në skedën e dytë, ju mund të specifikoni intervalin gjatë së cilës rregulli do të veprojë (sipas parazgjedhjes), si dhe një grup adresash IP për të cilat zbatohet (sipas parazgjedhjes për të gjithë). Për ta bërë këtë, thjesht zgjidhni artikujt e duhur në listat e braktisjes së vlerave të paracaktuara. Nëse intervalet kohore dhe grupet e adresave IP ende nuk janë vendosur, ju mund të hapni redaktorin e dëshiruar duke përdorur butonat "Edit" dhe shtoni ato. Gjithashtu në këtë tab, ju mund të vendosni veprimin e programit në rast të bllokimit të faqes. Kjo mund të lëshojë një faqe me një tekst të dështimit të specifikuar, duke shfaqur një faqe të zbrazët ose duke ridrejtuar një përdorues në një adresë të caktuar (për shembull, në një vend të korporatës).
Në rast se teknologjitë pa tel përdoren në rrjetin e korporatave, ka kuptim të aktivizohet filtri i adresës MAC. Kjo do të zvogëlojë ndjeshëm rrezikun e lidhjes së paautorizuar të pajisjeve të ndryshme. Për të zbatuar këtë detyrë, hapni seksionin " Konfigurimi-\u003e Politika e trafikut-\u003e Parametrat e sigurisë"Në të, aktivizoni ÇBOX" Filtri i adresave MAC përfshirë", pastaj zgjidhni ndërfaqen e rrjetit në të cilën do të shpërndajë, kaloni listën e adresave Mac në modalitetin" Lejo qasje në rrjet vetëm kompjuterët e listuar"Dhe plotësoni atë duke bërë të dhëna nga pajisjet pa tel në pronësi të kompanisë.
Merr rezultatet
Pra, siç e shohim, pavarësisht nga funksionaliteti i gjerë, për të organizuar punën e grupit të përdoruesve të rrjetit të korporatave në internet thjesht të mjaftueshme. Është e qartë se ne kemi shqyrtuar vetëm vendosjen bazë të këtij produkti.
Ne do të vazhdojmë të krijojmë sigurinë e portës tonë UTM në Platformën e Kerio 7.4.1
Para së gjithash, ne vazhdojmë të konfigurojmë sistemin e IDS / IPS dhe të vendosë orarin e përditësimit prej 1 orë në vend të paragjykimit 24 orë. Përditësimi nuk "anije" me MU, por rrit ndjeshëm shanset për të kapur malware.
Tani instaloni veprime, për seriozitet të lartë "Shkruani për të hyrë dhe fshini", për të mesme "Shkruani të regjistroheni dhe të fshini", për një "shkrim në revistë" të ulët:
Cilësimet e tilla mund të ndikojnë ndjeshëm në punën "normale" të PC-ve "problematike", të cilat në të vërtetë do të dëgjohen përmes ndihmës së ndihmës dhe të shohin në revistën e sigurisë:
Epo, tani shkoni në seksionin "Cilësimet e Sigurisë" Dhe lejoni qasje në rrjetin lokal në Mac ADRSS vetëm të listuara kompjuterët, për të përgatitur një listë të para-përgatitur të adresave MAC që përdoren në organizatë.
Kur shtoni një pajisje të re në rrjet, ne do ta shtojmë atë në MAS, është e papërshtatshme dhe prandaj është logjike të besoni këtë shërbim të ndihmës. Por në këtë rast, ata do të duhet të ndajnë të drejta administrative në UTM, e cila është e papranueshme sepse Roshit ndonjë siguri 🙂
Dikur Kerio do të aplikojë RBAC në produktet e saj, por për tani, për mysafirët e organizatës, ne theksojmë rrjetin e ftuar dhe filtrin në mas nuk do të bëjmë.
Shkoni në nënseksionin "tjetër" dhe rrisni kufizimin e lidhjeve për një mikpritës në 6000. Mund të jetë e nevojshme për të gjitha aplikacionet si bankat e klientëve etj.
Ju gjithashtu sigurohuni që moduli anti-spoofing është aktivizuar, dhe ngjarjet janë regjistruar në:
Le të kthehemi në seksionin "HTTP Politika" dhe gjëja e parë që duhet të përfshijë "Hiq reklamën dhe banderolat", dhe për mundësinë e debugging, ne do të përfshijmë revistën e kësaj rregull.
Tani ne do të marrim parasysh mundësinë e kullimit të informacionit përmes rrjeteve sociale që ndalojnë përdorimin e tyre, për këtë ne do të krijojmë një rregull të ri "social", të zgjedhim veprimin "refuzojnë", ne prezantojmë tekstin " Sipas politikave të sigurisë së informacionit, është e ndaluar përdorimi i rrjeteve sociale. "Por që në rastin tonë nuk është një ndalim, por rekomandim, ne do të aktivizojmë aftësinë për përdoruesit për të zhbllokuar këtë rregull.
Në URL Kaccher, ne nuk do të listojmë të gjitha llojet e http://vk.com dhe https://fac.com dhe https://facebook.com, dhe të specifikojë URL, një sistem vlerësimi i filtrit të kontrollit të kerio të vlerësuar (dhe natyrisht do të filtrohet përfshirë. Https ).
Rregulli do të duhet të veprojë për të gjithë përdoruesit, në çdo kohë, dhe ngjarjet do të regjistrohen në log.
Në kushte reale, më së shpeshti ndodh që për të gjithë përdoruesit një rregull ndalues \u200b\u200bkrijohet për orarin e punës, me përjashtim të drekës (i.e., në mëngjes, në drekë dhe pas punës, do të jetë si të punojë për të punuar).
Dhe për grupin Vip (në të cilin menaxherët, majat dhe punonjësit e tjerë të informuar mund të përfshijnë) në çdo kohë do të ndalohet qasja, por me mundësinë e zhbllokimit.
Unë do të largohem pa komentuar një vendim të tillë të konsumatorit, vetëm të tregojë se si duket:
Në mënyrë të ngjashme, ju mund të kontrolloni shumë në mënyrë fleksibile të gjithë trafikun e internetit, sepse filtri i kerio web është një mrekulli aq e mirë.
Fjalët e ndaluara unë nuk e përdor, lë parametrat e parazgjedhur, por në cilësimet e filtrit të kontrollit të kerio, ne do t'u lejojmë përdoruesve të raportojnë për gabimet e supozuara, sepse të gjitha sistemet janë të papërsosura në mënyrën e tyre dhe konfirmimin e kësaj bllokimi të Habra "nga kutia":
Sa për filtrimin e FTP, përdoruesit praktikisht nuk e përdorin atë, kështu që unë do të përfshij vetëm dy rregulla standarde dhe të shkruaj veten për të shkruar në shfaqjen e incidenteve:
Duke lëvizur në parametrat e antivirus. Para së gjithash, vendosni orarin e përditësimit në një kohë, sepse Praktika sugjeron që nënshkrimet të përditësohen më shpesh se 8 orë.
Sepse Mbroni email në nivelin e portës për mua nuk është ide shumë e mirë, scan SMTP dhe POP3 Unë do të çaktivizoj, unë gjithashtu fik FTP. Praktika sugjeron që ky protokoll përdoret më shpesh nga administratorët dhe përdoruesit e kanë harruar tashmë me sukses.
Dhe në "Scan el. Mail "Unë vetëm në rast se ne do të lejojmë transferimin e investimeve, edhe nëse ata janë bërë në asnjë mënyrë për keqdashës.
Natyrisht, në çështjen e sigurisë, monitorimi është kushti më i rëndësishëm, kështu që ne do të konfigurojmë yllin e Kerio në përputhje me nevojat.
Me qëllim të reduktimit të ngarkesave administrative, ne do të konfigurojmë përjashtime për një trafik dhe për punonjësit e Vip, madje edhe administratorët e sistemit nuk duhet të kenë qasje në trafik:
Në nënseksionin "Qasja në sistem" duke i lejuar përdoruesit të hyjnë në statistikat e tyre dhe për më tepër, ne do ta dërgojmë atë automatikisht këtë statistika shumë javore.
Për një person përgjegjës (në këtë rast, unë kryej këtë fytyrë) është e mundur të hyni dhe të merrni raporte ditore për aktivitetet e të gjithë të punësuarve.
Gjithashtu, administratori i sistemit ka aftësinë për të marrë alarme në ngjarje të tilla të sistemit:
Natyrisht, për funksionimin normal të të gjitha këtyre funksioneve, Kerio Control duhet të ketë një staf të konfiguruar SMTP, dhe një email i vlefshëm duhet të specifikohet në profilin e secilit përdorues.
Në opsionet shtesë, në nënseksionin "Limiter P2P" ju mund të bllokoni tortura që janë të dëmshme për rrjetin e korporatës.
Në të njëjtën kohë, përdoruesi do të njoftohet me email (administratori mund të njoftohet me email) dhe të bllokohet për 20 minuta.
Përditësim. Është e mundur të çaktivizoni Java, ActiveX, etj. si për përdoruesit individualë dhe për të gjithë organizatën:
Dhe natyrisht, rregullisht shfletoni të gjitha revistat, pasi ky proces mund të bëhet rehat, unë do të them herën tjetër.
Në mënyrë të gabuar kontrollon bandwidth në rrjetin e zyrës (ose mungesa e një menaxhimi të tillë) çon në ndërprerje të prekshme: interneti punon ngadalë, cilësia e komunikimit të zërit dhe video është zvogëluar, etj. Do të ndihmojë në mënyrë të duhur prioritetet dhe të garantojnë bandwidth të mjaftueshëm të trafikut .
Për mundësitë e kontrollit kerio
Zgjidhja e softuerit të kontrollit të kerio i referohet produkteve të klasës UTM (menaxhim të unifikuar të kërcënimeve) dhe siguron mbrojtje të plotë të stacioneve të punës dhe serverë kur punojnë në internet. Vendimi është i fokusuar në rrjetet e mesme të korporatave dhe drejton një origjinë nga një produkt i njohur WinRoute. Fjalët "mbrojtje komplekse" do të thotë se kontrolli kerio përbëhet nga një shumëllojshmëri modulesh përgjegjëse për aspekte të ndryshme të sigurisë, domethënë:
- firewall;
- router;
- sistemi i zbulimit dhe parandalimit të ndërhyrjes (SPI / ID);
- mbrojtja e trafikut antivirus;
- përmbajtja e filtrimit të trafikut;
- monitorimi dhe analiza e aktivitetit të përdoruesit në internet;
- dy serverë VPN - një në bazë të protokollit të vet dhe të dytë në bazë të standardit të hapur IPSEC VPN;
- kontrolli i Mbështetjes së Bandwidthit dhe QoS.
Në artikull ne do të flasim për paragrafin e fundit në këtë listë, por larg nga ky i fundit.
Problemet e optimizimit të qasjes në internet
Konsideroni disa skenarë tipikë.
Së pari: Mbikëqyrësi ka nevojë për qasje të pakufizuar në bandwidth, më mirë se të tjerët. Nga rruga, nuk është e nevojshme për mbikëqyrësit - një grup i gjerë është i garantuar në një server që përsëritet bazën e të dhënave me një qendër të largët të të dhënave.
Së dyti: Menaxherët ankohen për audibilitetin e keq dhe thirrjet e thirrjeve. Ose terminali i pagesës pranon pagesën në hartë nga hera e tretë, sepse nuk mund të kontaktojë bankën.
E treta: Papritmas ra në shpejtësi në të gjithë zyrën. Është koha për të kontrolluar se kush shtrëngon torrents.
Të gjitha këto skenare kërkojnë një bandwidth për të menaxhuar, përkatësisht përcaktojnë prioritetet dhe zbulojnë fenomenet anormale. Detyrat e menaxhimit do të duken diçka të tillë:
- voIP kërkon një kapacitet prej 10 Mbps, jo më pak, në çdo kohë;
- të dhënat e transmetimit nuk duhet të konsumojnë më shumë se 100 kbps;
- trafiku i mysafirëve duhet të ndahet nga punonjësi dhe të mos kalojë në kanalin e rezervimit në rast të një dështimi themelor;
- trafiku i privilegjuar është i rëndësishëm se zakonisht në orët e punës.
Për të formalizuar secilën prej këtyre detyrave, është e nevojshme të përcaktohet për çfarë dhe për cilat kritere kemi ngritur prioritete.
Llojet e trafikut. Në radhë të parë online konferenca video, telefonisë, transmetimit video, VPN, këtu bandwidth është shumë e rëndësishme. Në të dytin është qasja e zakonshme në faqet, skedarët, posta. Prioriteti më i ulët mund të instalohet për të hyrë në faqet e argëtimit, pazaret, etj.
Koha e qasjes. Mund të instalohen prioritete të ndryshme për orët e punës dhe jo të punës. Ju mund t'i jepni prioritet të lartë serverit për periudhën e përsëritjes dhe të kufizoni pjesën tjetër.
Rregulla \u003d Kufizimi i formalizuar
Kur përcaktohen kriteret e listuara, mund të shkoni në rregullat për kufizimin e shiritit. Le të shpjegojmë në shembullin e zgjidhjes kerio për transportin e përdorur, për shembull, në anijet. Nëse anija është një kanal satelitor me trafik të shtrenjtë dhe një shirit të ngushtë dhe ka një kanal të gjerë në dispozicion në portet, është e qartë se si të vendosen prioritetet. Për shembull, kështu:
Në të vërtetë, kjo është tashmë një rregull mjaft në kontrollin e kerio.
Tani le të kthehemi nga anija në zyrë dhe të shohim një shembull me telefoninë IP. Nëse grupi është i mbingarkuar, zvogëlon cilësinë e komunikimit zanor, prandaj prioritetet e vënë në këtë mënyrë:
Dhe kjo është gjithashtu tre rregulla në kontrollin e kerio.
Ngjashëm, rregullat zgjidhen nga detyrat e një grupi të gjerë të garantuar për manualet dhe pajisjet, kufizimet e lidhjeve të mysafirëve etj.
Kontrolli i bandwidth në Kerio Control
Në kontrollin e kerios së panelit të kontrollit, mund të shihni listën e ndërfaqeve të internetit në dispozicion. Për shembull, kanali i shpejtë dhe i ngadalshëm. Nën atë - rrjetet lokale, të tilla si kryesore dhe mysafir.
Tani ndërfaqet e internetit duhet të përputhen, të cilat ne do të bëjmë në tabin "Rregullat e Trafikut". Për shembull, rrjeti i ftuar është caktuar në ndërfaqen tuaj (më e lirë), dhe të ftuarit nuk bllokojnë rrjetin kryesor të zyrës. Këtu ne konfigurojmë kufizimet në llojet e trafikut, për shembull, vetëm qasjen në internet për mysafirët dhe çdo trafik për të tyren.
Dhe tani, kur konfigurohet kursimi i ndërfaqeve, është koha për të shprehur përparësitë për përdorimin e bandwidthit. Ne shkojmë në tab të bandwidth dhe Qos Tab, të krijojë një rregull për përdoruesit VIP, të shtoni atë grupet e krijuara të pronarëve (ata përdoruesit më VIP) dhe pajisjet (e cila është e nevojshme për të lidhur një lidhje të mirë), për të Shembull, rezerva 20% e grupit.
Një pikë e rëndësishme - këto 20% janë konsideruar nga shiriti i specifikuar në cilësimet! Është e rëndësishme për të vënë numrin që nuk është deklaruar nga ofruesi, por bandwidth aktuale.
Tani krijoni një rregull për trafik kritik dhe shtoni lloje të trafikut në të: SIP VoIP, VPN, mesazhe të menjëhershme dhe qasje të largët.
Dhe rezervoni, për shembull, 3 Mbps për të shkarkuar dhe shkarkuar.
Pastaj ne do të krijojmë një rregull për trafik të rëndësishëm dhe do të përfshijmë lloje të tilla të trafikut të tilla si shfletimi i faqeve të internetit, postës, multimedias dhe FTP. Dhe ne do t'i vendosim atij një kufizim mbi konsumin jo më shumë se 50% të grupit, dhe vetëm në orët e punës.
Dhe tani le të krijojmë një rregull për trafikun e dëmshëm. Nëse, kur zgjidhni llojin e trafikut, klikoni në menunë "Lidhje, Satilefying Content Rregull", ju mund të përdorni përmbajtjen e filtrit dhe të zgjidhni rrjetet sociale, dyqanet, trafikun, lojërat etj. Ju gjithashtu mund të kufizoni P2P. Vendoseni një kufizim të ashpër prej 256 kbps dhe le të lëkunden.
Tani shikoni përdoruesit e ftuar. Në skedën Active Hosts, është e lehtë të shihet se çfarë po ndodh tani. Është e mundshme që ju do të gjeni një mysafir që tashmë ka derdhur gigabajt dhe duke vazhduar të përdorin internetin tuaj me një shpejtësi të mirë.
Prandaj, ne bëjmë një rregull për mysafirët. Për shembull, mos e kaloni 5% të shiritit.
Dhe më tej. Si ju mbani mend, vizitoni mysafirët në një ndërfaqe të veçantë të rrjetit. Rregulli i kufizimit të grupit mund të konfigurohet ose në mënyrë që kufizimi të ka të bëjë vetëm me një ndërfaqe të veçantë të rrjetit ose të gjitha ndërfaqet e rrjetit. Në rastin e fundit, nëse ndryshojmë ndërfaqen e lidhur me rrjetin e mysafirëve, rregulli do të vazhdojë të veprojë.
Dhe një pikë të rëndësishme. Rregullat punojnë në vendin në listë, nga lart poshtë. Prandaj, rregullat që nxjerrin shumë kërkesa për qasje kanë kuptim në fillim.
Në detaje, e gjithë kjo përshkruhet në artikujt mbi bazën e njohurive të Kerio.
- Vendosja e shpejtësisë së lidhjes (KB 1373)
- Konfigurimi i Menaxhimit të Bandwidth (KB 1334)
- Konfigurimi i drejtimit të politikave (KB 1314)
- Monitorimi i hostëve aktivë (KB 1593)
Para dhe pas optimizimit
Më parë. Të gjithë trafiku kaluan në të barabartë, pa prioritete. Në rastin e "bllokimit të trafikut" vuan të gjithë trafikun, duke përfshirë një kritik.
Pas. Trafiku i rëndësishëm është dhënë prioritet. Kufizimi dhe mekanizmat e rezervimit janë konfiguruar nga lloji i përdoruesit, lloji i trafikut, koha.
Në vend të burgimit
Ne ishim të bindur se kufizimi i qasjes në bandwidth duke përdorur rregullat me porosi është krejtësisht e thjeshtë. Është thjeshtësia e përdorimit të produkteve të saj që Kerio e konsideron avantazhin e saj më të rëndësishëm dhe ruan gjatë viteve, pavarësisht nga kompleksiteti dhe funksionaliteti i tyre në rritje.
Maxim Afanasyev
Që nga viti 1997, teknologjitë kerio zhvillon dhe prodhon zgjidhje unike të softuerit të sigurisë kompjuterike për të mbrojtur rrjetet e brendshme të kompanive nga jashtë dhe krijon sisteme për bashkëpunim dhe komunikime elektronike. Produktet nga teknologjitë kerio janë të përqendruara në biznesin e mesëm dhe të vogël, por me sukses mund të përdoren në kompani të mëdha. Vlen të përmendet se softueri është zhvilluar duke marrë parasysh tendencat globale të mbrojtjes së informacionit, dhe vetë kompania është një novator në këtë fushë.
Prototipi i kompleksit të softuerit të kontrollit të Kerio, i cili do të diskutohet në këtë artikull, ishte një portë e WinRoute Pro Software, versioni i parë i të cilit u lirua në vitin 1997. WinRoute Pro Software ishte një server i avancuar proxy i projektuar për të hyrë në kompjuterët lokalë të internetit përmes një kanali të jashtëm të internetit. Ky produkt pothuajse menjëherë fitoi popullaritet dhe shpejt u bë një konkurrent i një prej serverëve më të zakonshëm të proxy me krahë në atë kohë. Tashmë atëherë produktet kerio u dalluan nga një ndërfaqe e kuptueshme dhe konfigurimi i përshtatshëm, si dhe, i cili është i rëndësishëm, besueshmëria dhe siguria. Që atëherë, Kerio WinRoute është përmirësuar vazhdimisht, shumë karakteristika dhe veçori të dobishme janë shtuar në të. Në fillim të rrugës së tij, ai u quajt WinROoute Pro, atëherë emri u ndryshua në WinRoute Firewall, dhe duke filluar me versionin e 7-të të produktit mori emrin e saj aktual - Kerio Control.
Kerio ka realizuar shpejt mundësitë e virtualizimit dhe qëndroi në rrugën e integrimit maksimal me mjediset virtuale, të cilat sot po zhvillohen në mënyrë aktive për shkak të shfaqjes së përpunuesve multi-core dhe përparimit të dukshëm në fushën e saj. Të gjitha produktet e reja kerio tani janë në dispozicion për mjediset e virtualizimit VMware dhe Hyper-V, të cilat ju lejojnë të vendosni këtë softuer në çdo platformë dhe të transferoni produktin pa nevojën për ta instaluar atë në një platformë të re hardware. Përveç kësaj, kjo qasje ofron administratorë të rrjetit të kompanive mundësinë e përzgjedhjes më të gjerë kur ndërtimi i një infrastrukture të rrjetit. Fillimisht, produktet e Kerio janë furnizuar si një aplikacion i Windows, por pas shfaqjes së versionit për sistemet e virtualizimit, kompania vendosi të abstrakojë plotësisht nga sistemi operativ dhe të mos lirojë më Kerio Control si një aplikim të veçantë. Duke filluar nga versioni i 8-të i Kerio Control, vetëm tre versione janë furnizuar: Appliance Software, VMware Virtual Appliance dhe Hyper-V Appliance Virtual. Në të gjitha mishërimet, përdoret një sistem operativ i përmirësuar i Linux bazuar në Debian (përdoret një version SMP me një funksional të shkurtuar), i cili nuk kërkon tinkturë dhe mirëmbajtje afatgjatë të gjatë. Versioni i softuerit të softuerit të softuerit është paraqitur në formën e një imazhi ISO të pak më shumë se 250 MB dhe të instaluar lehtësisht në pajisjet e theksuara pa kërkuar instalimin e sistemit operativ. Versioni VMWare Virtual Appliance vjen në formën e paketave të OVF dhe VMX për mjedisin VMware, dhe pajisja virtuale Hyper-V është projektuar për Sistemet e Virtualizimit të Microsoft, ndërsa të gjithë ata tashmë janë një sistem i vendosur me parametra me porosi. Ndërsa zhvilluesi deklaron, versioni i OVF i këtij softueri, në parim, mund të instalohet në sistemet e tjera të virtualizimit. Kjo qasje ju lejon të afroheni më shumë në zbatimin e rrjetit të kompanisë dhe të braktisni përdorimin e zgjidhjeve të harduerit që nuk mund të përmirësohen shpesh në harduer, pasi kërkon kosto të rëndësishme, ose aftësia e tyre është e kufizuar në mënyrë të ngurtë.
Konsideroni tiparet kryesore të softuerit të kontrollit kerio, si dhe një numër inovacionesh që mungonin në versionet e mëparshme. Kujtojnë se për herë të parë versioni i 8-të i Kerio Control u lirua në mars të këtij viti. Në kohën e këtij shkrimi, përveç një përditësimi të vogël, Kerio ka lëshuar kontrollin e Kerio 8.1 në qershor, i cili gjithashtu solli disa funksione shtesë.
Instalimi i kontrollit kerio mund të bëhet duke përdorur pajisjen softuerike, domethënë, vendosjen e sistemit nga një imazh i veçantë ISO dhe duke inicializuar makinat virtuale në serverin e virtualizimit. Metoda e fundit përfshin disa shtigje të instalimit, ndër të cilat është aftësia për të shkarkuar automatikisht versionin më të fundit të Kerio Control nga faqja e internetit e prodhuesit nëpërmjet tregut VMware VA. Kur instaloni nga një imazh ISO, të gjitha hapat për të vendosur kontrollin e kerio janë në përgjigjet e administratorit ndaj disa çështjeve të thjeshta të magjistarit të procesit të instalimit. Fillimi i makinës virtuale të kontrollit të Kerio ju lejon të kaloni hapin kryesor të instalimit, dhe administratori duhet vetëm të vendosni parametrat fillestar të makinës virtuale: numrin e përpunuesve, sasinë e RAM, numrin e adaptorëve të rrjetit dhe madhësinë e nënsistem disk. Në versionin bazë, makina virtuale e kontrollit të kerio ka parametrat më minimale, megjithatë, të paktën një përshtatës i rrjetit të specifikuar në vetitë e makinës kërkohet të kryejë administrim të mëtejshëm.
Pas instalimit të sistemit në një mënyrë ose në një tjetër inicializim të suksesshëm, përdoruesi i kontrollit të Kerio do të jetë i disponueshëm për vendosjen bazë të konfigurimit të rrjetit përmes konsolës së kontrollit (Fig. 1). Sipas parazgjedhjes, adaptorët e rrjetit të lidhur me Kerio Control po përpiqen të marrin adresat IP duke përdorur DHCP. Nëse marrja e adresave IP ka kaluar me sukses, administratori mund të lidhet me Kerio Control nëpërmjet rrjetit lokal, duke hyrë në adresën IP të shfaqur në konsolin e kontrollit. Console bazë të kontrollit ju lejon të konfiguroni cilësimet e përshtatësit të rrjetit, rivendosni kontrollin e kerio në parametrat bazë, mbingarkesat ose çaktivizoni kontrollin e kerio. Vlen të përmendet se nëse është e nevojshme, është e mundur të dalësh një predhë të plotë të komandës së sistemit operativ Bash duke shtypur kombinimin kyç ALT + F2-F3. Për të hyrë, do t'ju duhet të futni hyrjen e rrënjëve dhe fjalëkalimin e administratorit të specifikuar gjatë instalimit të kontrollit kerio. Informacioni shtesë i debugimit mund të shkaktohet duke shtypur kombinimin kyç të Alt + F4-F5. Vendosja e mëtejshme e parametrave ndodh përmes internetit të administratës nëpërmjet kanalit të koduar SSL.
Fik. 1. Menaxhimi konsol
Të gjitha parametrat mund të instalohen me anë të një paneli kontrolli që punon përmes një hipoteyre të mbrojtur (Fig. 2). Puna me këtë ndërfaqe kryhet përmes protokollit të mbrojtur HTTPS / SSL. Administrata Console ju lejon të menaxhoni të gjitha cilësimet e firewall. Krahasuar me versionet e mëparshme bazuar në versionin e 7-të të Kontrollit Kerio, dizajni i këtij paneli kontrolli ka pësuar ndryshime të rëndësishme. Kështu, faqja e parë e panelit të kontrollit ka një ndërfaqe të konfigurueshme të tiled ("Paneli monitorues"), në të cilin mund të shtoni ose fshini artikujt e nevojshëm për të diagnostikuar shpejt shtetin e kontrollit të kerio. Është shumë i përshtatshëm sepse administratori menjëherë e sheh shkarkimin e kanaleve të komunikimit, aktivitetit të përdoruesit, statusit të sistemit, lidhjes VPN etj.
Fik. 2. Paneli i Kontrollit
Opsionet e mëposhtme janë shtuar në versionin e përditësuar të Kerio Control 8.1: Ruajtja e një konfigurimi dhe cilësimet në SamePage.io Cloud Service në mënyrë automatike, duke monitoruar parametrat nëpërmjet Protokollit SNMP, aftësinë për të përdorur Ping Debugging Tools, Traceroute, DNS lookup, Whois në emër të portës së kontrollit kerio në markën e administratës. Përveç kësaj, tani Kerio Control mbështet shprehjet e rregullta për URL-të, heqjen automatike të VPN-tuneleve, mbrojtjen nga fjalëkalimet dhe aftësitë më të avancuara të analizës së paketës. Duhet gjithashtu të theksohet se në versionin më të fundit të aplikimit të softuerit të kontrollit të Kerio, mbështetja për më shumë kontrollues të bastisjes është shtuar, e cila do të lejojë zgjerimin e mundësive për vendosjen e këtij sistemi në platforma të veçanta hardware.
Ndërfaqja e Kerio Control Web nuk ka vetëm një panel administrativ, por edhe një ndërfaqe të veçantë të përdoruesit (Fig. 3). Paneli administrativ nuk ka aftësinë për të ndryshuar diçka në kontrollin e kerio, por ju lejon të gjurmoni statistikat ose përdoruesit e përdoruesve për intervale të ndryshme kohore. Statistikat japin të dhëna për burimet e vizituara, shumën e të dhënave të transferuara dhe informacione të tjera. Nëse përdoruesi ka një llogari administrative në sistemin e kontrollit të Kerio, mund të marrë të dhëna statistikore dhe përdorues të tjerë të sistemit përmes këtij paneli kontrolli. Statistikat e sakta dhe të zhytura në mendime ndihmojnë administratorin të zbulojë preferencat e përdoruesve kur punon në internet, të gjejë elemente kritike dhe probleme. Paneli gjeneron një përdorues të detajuar të tërheqjes për çdo përdorues në rrjet. Administratori mund të zgjedhë periudhën për të cilën ai dëshiron të ndjekë përdorimin e trafikut: dy orë, ditë, javë dhe muaj. Përveç kësaj, Kerio Control tregon statistikat e përdorimit aktual të trafikut nga llojet e tij: http, ftp, email, streaming protokollet multimediale, shkëmbim të të dhënave direkt në mes të kompjuterëve ose prokurë.
Fik. 3. Paneli i përdoruesit
Për një kompani moderne, degët e të cilave mund të vendosen në mbarë botën, një lidhje e sigurt me rrjetin e korporatave është një parakusht, pasi që outsourcing është zhvilluar në mënyrë aktive sot. Me ndihmën e Kerio Control, instalimi i një rrjeti privat virtual praktikisht nuk kërkon përpjekje. Serveri VPN dhe klientët janë pjesë e aftësive të kontrollit të kerio për qasje të sigurt në mënyrë të sigurtë në rrjetin e korporatave. Përdorimi i rrjetit virtual kerio vpn lejon përdoruesit të lidhen në distancë me ndonjë burim të rrjetit të korporatave dhe të punojnë me rrjetin e organizatës, sikur të jenë rrjeti i tyre lokal. Serveri VPN i ndërtuar në produktin e Kontrollit të Kerio ju lejon të organizoni një rrjet VPN për dy skenarë të ndryshëm: "Server - Server" dhe "Client-Server" (Klienti i përdorur Kerio VPN për Windows, Mac dhe Linux). Modaliteti i serverit-server zbatohet nga kompanitë që dëshirojnë të lidhin një zyrë të largët për të ndarë një kanal të sigurt për të ndarë burimet e përbashkëta. Ky skript kërkon kontrollin e kerio në secilën prej palëve lidhëse për të instaluar një kanal të sigurt përmes një Interneti të Hapur. Modaliteti i "klientit-server" lejon përdoruesin e largët të lidhë në mënyrë të sigurtë një kompjuter portativ ose kompjuter në rrjet të korporatave. Sa i njohur për shumë administratorë të sistemit, protokollet VPN dhe NAT (përkthimi i rrjetit) nuk e mbështesin gjithmonë bashkëpunimin. Zgjidhja e Kerio VPN u krijua për të punuar me besueshmëri përmes NAT dhe madje edhe përmes portave të NAT. Kerio VPN aplikon algoritme standarde SSL encryption për Kontrollin e Kanalit (TCP) dhe Blowfish gjatë transmetimit të të dhënave (UDP), dhe gjithashtu mbështet IPsec.
Kerio Control Gateway ka mbrojtje të integruar të virusit, e cila sigurohet duke kontrolluar trafikun në hyrje dhe që po largohet. Nëse antivirus i integruar nga McAfee është përdorur më herët në Kerio Control, atëherë Sophos Anti-Virus është përdorur në versionet e fundit. Administratori mund të përcaktojë rregullat për të kontrolluar trafikun në protokolle të ndryshme: SMTP dhe POP3, Web (HTTP) dhe dërgojnë skedarë (FTP). Anti-virus i ngulitur në firewall të instaluar në portë siguron mbrojtje të plotë duke kaluar përmes portës së trafikut. Meqenëse antivirusi i integruar mund të marrë përditësime me bazat e të dhënave të reja të viruseve në kohë reale, ajo rrit ndjeshëm nivelin e sigurisë të rrjetit, së bashku me përdorimin e programeve anti-virus në çdo kompjuter LAN. Antivirus kontrollon mesazhet hyrëse dhe dalëse, si dhe të gjitha bashkëngjitjet. Kur të zbulohet virusi, të gjitha bashkëngjitjet fshihen në shtojcën, dhe njoftimi i shtohet letrës. Përveç kësaj, kontrolli i kerio kontrollon të gjithë trafikun e rrjetit, duke përfshirë faqet HTML, për viruset e ngulitura. Viruset gjithashtu kontrollojnë skedarët e ngarkuar nëpërmjet HTTP, dhe skedarët e transmetuar nëpërmjet protokollit FTP. Përveç kësaj, duhet të theksohet se për organizatat dhe institucionet e tilla si, për shembull, shkollat \u200b\u200bqë nuk duan që punonjësit dhe klientët e tyre të vizitojnë faqet e caktuara, Kerio kontrollin me filtrin e integruar të filtrit të kontrollit të Kerio (të furnizuar si një shtesë Opsioni i tarifës) ofron veçori shtesë për bllokimin e faqeve në internet.
Kerio Control lejon administratorët jo vetëm për të krijuar një strategji të përbashkët për përdorimin e trafikut, por edhe për të krijuar dhe aplikuar kufizime për çdo përdorues. Para se të merrni qasje në internet, çdo përdorues duhet të hyjë në kontrollin e kerio. Llogaritë e përdoruesit ruhen në një bazë të dhënash të brendshme të përdoruesve të brendshëm ose janë marrë nga baza e të dhënave të korporatave të Microsoft Active Directory ose Directory Apple Open. Përdorimi paralel i mundshëm i bazave të të dhënave lokale dhe domain të përdoruesve. Në rastin e përdorimit të integrimit me Microsoft Active Directory, autorizimi i klientit mund të ndodhë transparente për përdoruesit e domain për shkak të autentifikimit NTLM. Si pjesë e serverit të Windows 2008/2012, Active Directory lejon administratorët që të menaxhojnë në mënyrë qendrore llogaritë e përdoruesit dhe të dhënat e burimeve të rrjetit. Active Directory siguron qasje në informacionin e përdoruesit nga një kompjuter. Active Directory / Open Directory hapin qasje të kontrollit kerio në bazën e të dhënave të përdoruesit në kohë reale dhe ju lejon të instaloni përdoruesin në rrjetin lokal pa kursyer fjalëkalimin. Kështu, ju nuk keni nevojë të sinkronizoni fjalëkalimet për çdo përdorues. Të gjitha ndryshimet në Microsoft Active Directory / Open Directory reflektohen automatikisht në Kerio Control.
Administratori mund të vendosë kufizime të ndryshme për të drejtat e qasjes për çdo përdorues. Veprimi i këtyre rregullave mund të vendoset për intervale të caktuara kohore dhe të vendosë kufizime të ndryshme për përdorimin e trafikut. Kur të arrihet kufiri, kontrolli i kerio dërgon një paralajmërim për përdoruesit dhe administratorin ose administratorin bllokon këtë përdorues deri në fund të ditës ose muajit.
Në përfundim, vlen të përmendet se Kerio Control është një produkt shumë popullor midis administratorëve të sistemit për shkak të avantazheve të tij të padiskutueshme që ajo ka krahasuar, për shembull, me zgjidhje të ngjashme që janë të përfshira në paketën standarde të sistemit operativ Linux (për shembull, iptables) . Vendosja e shpejtë, mundësitë e mjaftueshme dhe shkalla e lartë e mbrojtjes - e gjithë kjo e bën këtë produkt të softuerit tërheqës për kompanitë e vogla.