Kerio Control kapsamlı bir güvenlik önlemidir. Kerio Control Ana fonksiyonların ayrıntılı ayarı Kural = resmileştirilmiş değişim
İyi günler, sevgili okuyucular ve blog sitesinin konukları, herhangi bir organizasyonda her zaman çalışmak istemeyen ve tanınma için kurumsal kaynaklar kazanmak istemeyen insanlar olacaktır, size basit bir örnek vereceğim, siz küçük bir ofisi var, diyelim ki 50 ve s ağ bant genişliğine sahip işçilere yardım et 20 megabit I Misyachny LIMIT TRAFIK 50 GB, Zvishishny Vikoristanni için mahkûm Buster Roboti ofisi Tsyogo Vistachi, Ale Buvayat insanları, hto, soblm'ı indirmek istiyorsunuz Muziki'nin ebedi albümünde, bir vicorista viralistim olacak, size Kerio Control 8'de p2p trafiğini nasıl engelleyebileceğinizi ve trafik arayan için ücretsiz bir sınır belirleyebileceğinizi göstereceğim.
Kerio Control 8'de p2p trafiğini engelle
Ve böylece, kötü bir rocker'ın ortaya çıktığı yerel bir çizginiz var, sanırım aynı zamanda istatistik günlüklerinden ortaya çıkaracaksınız, adımlardan sonra filtre uygulayacaksınız. dogani'ye ek olarak, bir yan kerіvnitstva gibi, bir sistem yöneticisi gibi, p2p trafiği yoluyla içerik yakalama girişimlerini engellemekten suçludur.
İki seçeneğiniz var:
- p2p trafiğinin harici olarak engellenmesini etkinleştir
- Dermal coristuvac için günlük bir sınır belirleyin
Eşler arası trafiği engellemeye başlayalım, bunun yerine filtreye gidelim ve yeni bir kural oluşturalım. Eklemek için tıklayın ve "Bu kategorideki programlar web-birlikte"yi seçin
Vanity arasındaki farkı bilin ve gözetleme çizgisini bir şafakla işaretleyin.
Kurallara görseller koyarsınız.
p2p trafiğinin tamamen engellenmesi için bir fikir için, oluşturulan kuralı tamamlamak için, ancak internette bir sınırınız olduğundan, onları vicoristovuvati'ye alıştırabilmeniz için size coristuvachalar için kotalar ayarlamanız için bir raja vereceğim. çalışma bazında yogo. Kimin için, "Koristuvachi" sekmesine gidin ve yetkililerde, "Kota" sekmesinde olsun, günlük sınırı megabayt olarak girin.
Kerio Control bu kategoriye kadar listelenmiştir yazılım, Çok çeşitli işlevlerin uygulama ve çalıştırma kolaylığı ile birleştiği. Bugün, ek yardım programları için internette bir grup spivrobitnikov çalışmasını nasıl organize edebileceğinizi ve ayrıca yerel ağı dış tehditlerden nasıl koruyacağınızı anlayacağız.
çok çeşitli işlevsel olanakların uygulama ve çalıştırma kolaylığı ile birleştirilebildiği aynı ürün kategorisine dahil edilebilir. Bugün, ek yardım programları için internette bir grup spivrobitnikov çalışmasını nasıl organize edebileceğinizi ve ayrıca yerel ağı dış tehditlerden nasıl koruyacağınızı anlayacağız.
Ürünün uygulanması, İnternet ağ geçidi rolünü oynayan bilgisayardaki ilk kurulumdan başlar. Bu prosedür, başka bir yazılımın kurulumu sırasında hiçbir şekilde değişmez ve bununla ilgilenmeyeceğiz. Yalnızca, її sırasında, robotik programlar tarafından değiştirilecek olan Windows hizmetinin çözümlerinin açılması önemlidir. Kurulum tamamlandıktan sonra sistemin kurulumuna geçebilirsiniz. Hem yerel olarak, doğrudan İnternet ağ geçitlerinde hem de şirket ağına bağlı herhangi bir bilgisayardan uzakta çalışabilirsiniz.
İlk etapta standart menü aracılığıyla başlatılıyor " Başlama"Yönetim konsolu. Yardım ve görüntülenen ürünü ayarlamak için. Netlik için, örneğin gelecekte bir sipariş oluşturabilirsiniz, hızlı bir şekilde bağlanmanıza izin verin. Bu dvіchі için öğeye tıklayın" yeni sipariş", Kurulum şarabı için ürünü (Kerio Control), ana bilgisayarı ve ana bilgisayarın adını belirtin, ardından düğmeye tıklayın" Yak'ı kurtar"Bağlantımı giriyorum. Bundan sonra şifre belirleyebilirsiniz. Bu cihaz için oluşturulan bağlantıya tıklayın ve şifrenizi girin.
Kerio Control'ün temel konfigürasyonu
Prensip olarak robotun tüm parametreleri manuel olarak ayarlanabilir. Ancak, koçan üretimi için, otomatik olarak başlayan özel bir master ile hızlandırmak daha iyidir. İlk aşamada sistemle ilgili temel bilgilerin öğrenilmesi önerilir. Ayrıca burada Kerio Control'ün çalıştığı bilgisayarın yerel ağ bağlantılarından ve internete bağlanan anneden sorumlu olduğuna dair bir ipucu var.
Diğer aşama, İnternete bağlantı türünü seçmektir. Toplamda, belirli bir yerel alan için en uygun olanı seçmenin gerekli olduğu birkaç seçenek vardır.
- Kalıcı erişim - İnternet ağ geçidi, İnternet'e kalıcı olarak bağlanabilir.
- Bir aramadan sonra çevirmeli bağlantı - ihtiyaç dünyasında bağımsız olarak İnternet'e bir bağlantı kuracaksınız (RAS arayüzünün varlığı için).
- Bağlandığında yeniden bağlantı - İnternete bağlanırken otomatik olarak başka bir kanala geçecektir (İnternete iki bağlantı gereklidir).
- Kanallarda Rozpodіl navantazhennya - kanalın kanallarını, aralarındaki rozpodіlyayuchi boşluklarını tek elle destekleyeceksiniz (İnternete iki veya daha fazla bağlantıya ihtiyacınız var).
Üçüncü aşamada ise internete bağlı en az arayüz veya arayüzün belirtilmesi gerekmektedir. Programın kendisi, listedeki mevcut tüm arayüzleri görüntüler ve görüntüler. Bu nedenle yöneticinin yalnızca uygun seçeneği seçmesi gerekir. Varto, ilk iki bağlantı türünde yalnızca bir arabirim ve üçüncü - iki bağlantı kurmanın gerekli olduğu anlamına gelir. Dördüncü varyantın uygulanması diğerlerinde düşünülebilir. Yenisi, az sayıda ağ arabirimi ekleme yeteneğine sahiptir, dermal olan için mümkün olan en iyi avantajı kurmak gerekir.
Dördüncü aşama, koristuvach'lara sunulacak birleştirme hizmetlerinin seçimine dayanmaktadır. Prensip olarak, seçeneği seçebilirsiniz " obizheniya olmadan". Bununla birlikte, çoğu durumda makul olmayacaktır. Bunun yerine, etkili bir şekilde ihtiyaç duyulan hizmetleri işaretleyin: siteleri incelemek için HTTP ve HTTPS, postayla çalışmak için POP3, SMTP ve IMAP vb.
Saldırgan Croc - VPN bağlantısı için kurallar ayarlama. Vicorist için yalnızca iki onay kutusu vardır. Birincisi, istemcilerin sunucuya bağlanmak için galip geleceğini belirler. "Akrabalar" Kerio tarafından serbest bırakılacaksa, onay kutusu etkinleştirilmelidir. Farklı bir durumda, örneğin, Windows'ta başarılı olduğunuzda, onu açmanız gerekir. Başka bir onay kutusu, Kerio Clientless SSL VPN işlevinin (bir web tarayıcısı aracılığıyla dosyaları, klasörleri, indirmeleri ve yakalamaları yönetme) mümkün olup olmadığını gösterir.
Altıncı aşama, yerel alanda çalışan hizmetler için kuralların oluşturulmasına dayanır, ancak yalnızca İnternet'te mevcut olmaları durumunda. Ön uçta Kerio VPN Server veya Kerio Clientless SSL VPN teknolojisini etkinleştirdiyseniz, bunlar için gerekli olan her şey otomatik olarak ayarlanacaktır. Diğer hizmetlerin (kurumsal posta sunucusu, FTP sunucusu vb.) kullanılabilirliğini sağlamanız gerekiyorsa, " Ekle", Hizmetin adını seçin (seçilen hizmet bağlantı noktası için standart olarak kullanılacaktır) ve gerekirse IP adreslerini girin.
Nareshti, ustanın kurulumunun kalan ekranı, kural oluşturma sürecinin koçanının önündedir. Sadece yoga okuyun ve düğmeye tıklayın " tamamlamak"Doğal olarak, gelecekte, tüm kuralların oluşturulması ve ayarlanması değiştirilebilir. Ayrıca, master'ın açıklamalarını yeniden başlatabilir, böylece parametreleri manuel olarak düzenleyebilirsiniz.
Prensip olarak, ustanın işi tamamlandıktan sonra zaten tezgahtadır. Ancak, maє sens trohi pіdkoriguvati deakі parametreleri. Zokrema, bir vikoristannya smughi geçişinde bir takas kurmak mümkün. Çoğu, büyük, büyük dosyaları aktarırken "tıkanmaz". Bu nedenle, bu tür nesnelerin zavantazhennia ve / veya vivantazhennia'larını göz ardı etmek mümkündür. Perakendede kimin için " yapılandırma"Yaymanız için gerekli" Smuga buz çözme", Filtrelemeyi açın ve büyük dosyalar için mevcut olan bant genişliği miktarını girin. Gerekirse daha fazla bant genişliği ekleyebilirsiniz. Bunun için butona tıklamanız gerekiyor" dodatkovo"Hizmetin başında adresleri, zaman aralıklarını ve filtreleri belirtebilirsiniz. Ayrıca bunlar hakkında bilmeniz gerektiği gibi dosya uzantısını hemen ayarlayabilirsiniz.
Koristuvachi ve grupları
Sistemin koçan sonrası ayarından sonra, içine coristuvachiv'in tanıtımına geçebilirsiniz. Ancak, onları gruplara ayırmak daha iyidir. Gelecekte bu anda onları yönetmek daha kolay olacak. Yeni bir grup oluşturmak için şubeye gidin " Koristuvachi ve grupları-> Gruplar"Düğmeye basıyorum" Ekle". Üç bölümden oluşan özel bir master eklemeniz gerekiyorsa. İlk aşamada, grubun adını ve açıklamasını girmeniz gerekiyor. : sistem yönetimine erişim, farklı kuralları açma yeteneği, VPN seçmesine, istatistikleri incelemesine ve içeri girmesine izin verilir.
Bir grup oluşturduktan sonra, coristuvachiv'in eklenmesine gidebilirsiniz. Yapılacak en basit şey, kurumsal bir önlemde olduğu gibi etki alanını bölmektir. Kime katlanmak istiyorsan, bölüme git " Koristuvachi ve gruplar-> Katılımcılar", Active Directory sekmesini aç, onay kutusunu etkinleştir" Vykoristuvativ veritabanı koristuvachіv alan adı"І bu veritabanına erişim hakkına sahip olabilecek oblіkovogo kaydının kullanıcı adını ve şifresini girin. Etki alanı için oblіkovі kaydını kiminle kazanacağınız, açıkçası daha uygun.
Başka bir durumda, coristuvachiv'i manuel olarak girmeniz gerekecektir. İncelenen bölümün ilk sekmesi kimler için aktarılmıştır. Oblіkovogo kaydının oluşturulması üç krokіv'den oluşur. İlk olarak, oturum açma adınızı, adınızı, e-posta adresinizi ve ayrıca kimlik doğrulama parametrelerini ayarlamanız gerekir: oturum açma ve parola veya Active Directory'den veriler. Diğer tarafta, bir veya bir çaça grubuna bir koristuvach ekleyebilirsiniz. Üçüncü aşamada, aracı ekranlara ve diğer IP adreslerine erişim için otomatik olarak bir kamu kaydının kaydedilmesi mümkündür.
Güvenlik sistemi kurduk
Kurumsal güvenliğin güvenliğini sağlamak için çok çeşitli fırsatları hayata geçirdik. Prensip olarak, güvenlik duvarı düzeltildiyse kendimizi yol dışı tehditlerden korumaya başladık. Ayrıca, bu ürün bir saldırı önleme sistemine sahiptir. Yatırım için kazanılan dahildir ve optimum çalışma için sabitlenir. Yani її çip yapamazsınız.
Nastupny krok - antivirüs. Burada varto, şarabın programın tüm sürümleri için olmadığını belirtir. Vikoristannya zahistu için, basit bir yazılımdır, antivirüs değildir, ayrıca internet ağ geçidi de çok sık değildir. Anti-virüs korumasını etkinleştirmek için onu açmak gerekiyor " Yapılandırma-> İçerik Filtreleme-> Antivirüs". Sihirbaz modülünü etkinleştirmeniz ve protokolleri ek onay kutuları ile kontrol etmeniz gerekiyorsa (tümünü etkinleştirmeniz önerilir).
HTTP trafik filtreleme sistemini ayarlamak gerekliydi. Bunu rozdіlі'da yapabilirsiniz " Yapılandırma-> İçerik Filtreleme-> HTTP Politikası". En basit filtreleme seçeneği, "kara" listedeki kelimelerin toplandığı siteleri delice engellemektir. Bunları etkinleştirmek için sekmeye gidin" çitle çevrili kelimeler"Virüs listesini kaydediyorum. Ancak daha büyük bir gnuchka ve farklı bir filtreleme sistemi var. Korylistlerin diğer sitelere erişiminin nasıl engelleneceğini açıklayan kurallara dayanıyor.
Yeni bir kural oluşturmak için " URL Kuralları", Alanda fareye sağ tıklayın ve içerik menüsünden öğeyi seçin" Ekle".. Kurallara üçlü şeklinde saklanacak kurallar verilir. İlkinde birinciye giderler, mümkünse Yaki ile, eğer yeri çok vibrati ise, kuralın dikildiği kişi: bir satır kazanabileceğiniz, Kerio Web Filtresi sisteminde bir web projesinin adresini, grup adresini veya derecelendirmesini nasıl gireceğiniz (aslında, kategori, hangi siteye) belirtilen gönderideki all -a -breeze nobili listelenmiştir). site.
Diğer sekmede, kuralı (kilitlemek için) genişletecek bir aralığın yanı sıra genişleyeceği IP adresi grubunu (her şeyi kilitlemek için) belirleyebilirsiniz. Bunun için verilen değerlerin önündeki açılır listelerden uygun öğeleri seçmeniz yeterlidir. Zaman aralıkları ve grupların IP adresi henüz ayarlanmadıysa, "Düzenle" düğmelerinin yardımı için gerekli düzenleyiciyi açıp ekleyebilirsiniz. Ayrıca bu para yatırma işleminde siteyi bloke etme zamanlarında farklı bir program belirleyebilirsiniz. Ayrıca verilen metinden tarafı görüntülemek, boş tarafı görüntülemek veya coristuvach'ı belirtilen adrese (örneğin kurumsal web sitesine) yönlendirmek de mümkündür.
Bu durumda kurumsal bir ortamda olduğu gibi kablosuz teknolojiler kullanılıyorsa MAC adresine göre filtreyi açmak mümkündür. Tse, çeşitli ek binaların yetkisiz bağlantı riskini azaltmaya izin verir. Bu görevin uygulanması için bölmeniz gerekir " Yapılandırma-> Trafik politikası-> Güvenlik ayarları". Yeni için onay kutusunu etkinleştirin" MAC adresi filtresini etkinleştir", vin'in genişletileceği farklı bir arayüz seçelim, MAC adres listesini " Mümkün olan en az bilgisayarlara erişime izin verin"Yogo'yu dolduruyorum, şirketin sahip olması gereken ağaçsız ek binaların verilerini giriyorum.
ara sıra pіdbags
O zamandan beri, geniş işlevsel olanaklara hayret etmeyen Bachimo'ymuşuz gibi, internette kurumsal ağların ek grup çalışmalarını organize etmek kolaydır. Bu ürünün sadece temel ayarına baktığımızı fark ettim.
UTM ağ geçidimizi Kerio Control 7.4.1 platformunda güvenceye almaya başlayalım
Gelelim IDS/IPS sisteminin kurulumuna ve varsayılan 24 yılın yerine 1 yıllık güncelleme takvimini belirlemeye. Güncelleme, mu ile "taklit etmek" için değil, kötü amaçlı yazılım tespit etme şansını artırdığı anlamına geliyor.
Şimdi, Yüksek ciddiyet için "Günlük ve gör" için, Orta "Günlük ve gör" için, Düşük "Günlük" için ayarlayalım:
Bu tür ayarlar, bizim için daha iyi olan ve Yardım Masası ve Güvenlik Günlüğü aracılığıyla biraz uzanmak için "sorunlu" bilgisayarların "normal" robotuna doğrudan itilebilir:
Vay, şimdi "Güvenlik ayarları" bölümüne gidin ve sadece MAC adresleri listesi hazırlanmış, yeniden güvenliği sağlanan bilgisayarlar kuruluşta kullanıldığı için MAC adresi ile yerel ağa erişime izin verilir.
Yeni bir aksesuar eklerken biraz MAC ekleyeceğiz, kullanışlı değil ve Help Desk hizmetini devretmek mantıklı. Ancak böyle bir zamanda, UTM'ye idari haklar görüyorlar, bu da o mahvolmuş be-yak güvenliği için kabul edilemez 🙂
Kerio zastosu RBAC'ın ürünlerinde hiç varsa, ama şimdilik organizasyonun misafirleri için misafir hattını görebiliyoruz ve MAC ile filtreleme olmayacak.
“Rizne” alt bölümüne gidelim ve ana bilgisayar başına ücret sayısını 6000'e çıkaralım.
Ayrıca, kimlik sahtekarlığı önleme modülü eklentiler değiştirilir ve günlüğe yazılır:
"HTTP Politikası" bölümüne geçelim ve yapılacak ilk şey "Reklamları ve bannerları kaldır" seçeneğini açmak ve yükseltme olasılığı için bu kuralın günlüğünü açmak.
Şimdi sosyal ağlar aracılığıyla bilgi öfke olasılığını serbest bıraktık, yeni bir kural “Sosyal” oluşturduğumuz iftirayı ortadan kaldıracağız, “Bilgi” yi seçeceğiz, “ metnini gireceğiz” Bilgi güvenliği politikasına Vidpovidno, sosyal engeller çitle çevrildi.”, Ama bizim durumumuzda, bu bir çit değil, koristuvach'ların kuralı engelleme olasılığı da dahil olmak üzere bir öneri.
URL kalitesi için tüm http://vk.com ve https://facebook.com'ları filtrelemeyeceğiz, ancak Kerio Control Web Filter derecelendirme sistemi tarafından derecelendirilen URL'leri belirteceğiz (ve https dahil filtreleyeceğiz) .
Tüm muhabirler için herhangi bir saatte bir kuralımız olacak ve dergiye yazacaklar.
Gerçek zihinlerde, çoğu zaman, tüm koristuvach'lar için, bir çalışma saati için bir suçlama için bir kural oluşturulur (bu bir yalandır, bir hakarette ve eğer robotlar sevilirse uygulama ile temas halinde olacaktır).
Ve VIP grubu için (kerivniki, bataklık ve diğer ayrıcalıklı spivrobitnik'lere girebilirler) herhangi bir saatte erişim engellenir, ancak kilidi açılabilir.
Zamovnik'in böyle bir kararını yorum yapmadan bırakacağım, size nasıl göründüğümü göstereceğim:
Benzer şekilde, tüm İnternet trafiğini yönetebilirsiniz, Kerio Web Filtresi bile inanılmaz derecede iyidir.
Kelimeleri anlamıyorum, ayarları kilitlerin arkasında bırakıyorum, sonra Kerio Control Web Filtresi kurulumlarında, tüm sistemler kendi yollarıyla mükemmel olmasa bile, korumaların aflar hakkında konuşmasına izin vereceğim. , ve bunun teyidi Habr'ı "kutunun dışında" engelliyor:
FTP filtrelemeye ihtiyaç duyulursa, pratik olarak muzaffer değildir, bu yüzden sadece iki standart kural ekleyeceğim ve olaylar ortaya çıkana kadar kendiminkini yazmayacağım:
Antivirüsü düzeltmeye devam edelim. Güncelleme takvimini bir yıl içinde belirleyeceğiz, bu nedenle uygulama, 8 yıldan daha sık güncellenen imzalar hakkında konuşmaktır.
Ağ geçidinde e-postayı korumanın iyi bir fikir olduğunu düşünmüyorum, SMTP ve POP3 taramasını açıyorum, ayrıca FTP'yi de açıyorum, bu nedenle yöneticiler tarafından genellikle galip gelen protokoller hakkında konuşmak bir uygulamadır ve onlar başarıyla unuttum.
Ve sekmesinde “Scanuvannya yedi. gönder, “Her türlü değişiklikle ilgili bir depozito transferine izin vereceğim, bir koku gibi getirmek için, bir tür rütbe olsun, shkidli için alındılar.
Açıkçası, beslenme güvenliğinde izleme en önemli akıldır, bu nedenle Kerio Star'ın gerekli olduğu kanıtlanmıştır.
İdari yükün azaltılması yöntemi ile artık mevcut trafik ve VIP spivrobitnikler için sistem yöneticilerine erişimden suçlu olmayanların trafiğine kapatmak mümkün:
"Sisteme erişim" alt bölümünde, koristlerin kendi istatistiklerine erişmeleri mümkündür ve ayrıca istatistikleri biz otomatik olarak düzenleyeceğiz.
Böyle özel bir kişi için (bu durumda özel bir şekilde konuşuyorum) - tüm spivrobitniklerin faaliyetleri hakkında iyi haberlere erişim ve bunların kaldırılması olasılığı.
Sistem yöneticisinin bu tür sistem alt bölümleri hakkında bilgi alması da mümkündür:
Açıkçası, tüm bu işlevlerin normal çalışması için Kerio Control, SMTP rölesinin annesi için suçlanacak ve cilt coristuvach profilinde geçerli e-posta suçlanacak.
Eklenti seçeneklerinde, “P2P Obmezhuvach” eklentisinde kurumsal ortamda şarkı söyleme gibi olan Torreto'yu engelleyebilirsiniz.
Herhangi bir zamanda, e-posta yoluyla bildirimler (yönetici ayrıca e-posta yoluyla da bilgilendirilebilir) ve 20. yüzyıl için engelleme olacaktır.
UPD Java, ActiveX vb. dahil etmek için temel yetenek. okremy koristuvachiv için olduğu gibi, tüm kuruluşlar için:
Pekala, tüm dergilere düzenli olarak bakmak harika, çünkü tüm süreç bittiğinde saldırganlığı düzelteceğim.
Ofiste bant genişliğini önemli kesintilere neden olacak şekilde bloke etmek (veya böyle bir kontrolün olmaması) doğru değildir: İnternet düzgün çalışıyor, sesli ve görüntülü aramaların kalitesi düşüyor vb.
Kerio Control'ün yetenekleri hakkında
Kerio Control yazılım çözümü, UTM (Birleşik Tehdit Yönetimi) sınıfı ürünlerdir ve İnternet üzerinde çalışırken iş istasyonları ve sunucular için tam koruma sağlar. Çözüm, WinRoute ürününün orta vadeli genişlemesi ve bakımı için kurumsal önlemlere odaklanmıştır. "Karmaşık koruma" kelimeleri, Kerio Control'ün güvenliğin çeşitli yönlerinden ve kendisinden sorumlu olan kişisel olmayan modüllerden oluştuğu anlamına gelir:
- ara ekran;
- yönlendirici;
- saldırı tespit ve önleme sistemi (IPS/IDS);
- trafiğin anti-virüs koruması;
- içerik filtreleme trafiği;
- koristuvach'ların internetteki faaliyetlerinin izlenmesi ve analizi;
- iki VPN sunucusu - biri genel protokolü, diğeri IPSec VPN standardını temel alır;
- Smugou bant genişliği yönetimi ve QoS desteği.
Makalede, bu konudaki son nokta hakkında konuşacağız, ancak diğerlerinden çok uzak.
İnternet erişimini optimize etme sorunları
Tipik bir senaryo örneğine bir göz atalım.
ilk: Katipin smugha'ya erişmesi gerekiyor, daha kısa, diğerleri için daha düşük. Konuşmadan önce, neobov'yazkovo kerіvnik - garantili geniş smuga bude, veritabanını uzak bir veri merkezinden çoğaltan bir sunucuya ihtiyaç duyar.
başka: yöneticiler pis chutnist ve dzvinkiv'in tıraşı tarafından yemin ediyor. Aksi takdirde, ödeme terminali üçüncü kez kartla ödeme kabul eder, bu nedenle banka ile iletişime geçemezsiniz.
üçüncü: tüm ofisin güvenliği kontrolsüz bir şekilde düştü. Robotlarda kimin torrent indirdiğini gözden geçirmenin zamanı geldi.
Tüm bu senaryolar çok fazla trafiği kontrol etmeli ve öncelikleri belirlemeli ve anormal fenomenler göstermelidir. Yöneticinin ofisi şöyle görünecek:
- VoIP için gereken bant genişliği, herhangi bir saatte 10 Mbit / sn'dir, daha az değildir;
- 100 kb/s'den fazla veri akışından sorumlu değildir;
- ana kanalın arızalanması durumunda misafir trafiğinin çalışan bir kanal olarak kapatılması ve bir yedek kanala geçmemesi gerekir;
- trafik ayrıcalıkları, iş gününde büyük olandan daha önemlidir.
Bu görevlerin kabuğunu resmileştirebilmek için hangi kriterlere göre öncelik verdiğimizi belirlemek gerekir.
Trafik yazın.İlk etapta çevrimiçi video konferans, telefon, video sinyal iletimi, VPN, burada çok fazla bant genişliği önemlidir. Öte yandan - sitelere, dosyalara, postalara daha iyi erişim. En düşük öncelik, önemli sitelere erişim, alışveriş vb. için ayarlanabilir.
Erişim zamanı.Çalışma günleri ve çalışma dışı günler için farklı öncelikler belirlenebilir. Veri çoğaltma süresi ve diğer alanlar için yüksek bir sunucu önceliği belirleyebilirsiniz.
Kural = resmileştirilmiş değişim
Kriterler belirlenmişse smuga alışverişi kurallarına gidebilirsiniz. Örneğin gemilerde galip gelen ulaşım için Kerio çözümünün örneğinde açıktır. Gemilerde ise pahalı trafiği olan bir uydu kanalı ve limanlarda dar sis ve geniş bir kanal mevcut olduğundan, önceliklerin belirlenmesi gerektiği anlaşıldı. Örneğin, bunun gibi:
Kerio Control'deki tüm kural bu.
Şimdi gemiden ofise dönelim ve IP telefon ile popoya bakalım. Bir smuga bunaldığı için sesli aramanın kalitesini düşürür ve bu, önceliklerin aşağıdaki gibi belirlendiği anlamına gelir:
І Kerio Control'de üç kural tezh.
Benzer şekilde, kurallar aracılığıyla, kerіvnitstvа ve obladnannya için geniş bir smuga garantisi, konukların bağlantısı için obizhenie vb.
Kerio Control'de duman yönetimi
Kerio Control'ün kontrol panelinde mevcut internet arayüzlerini kontrol edebilirsiniz. Örneğin, bir İsveç kanalı ve daha iyisi. Altında - yerel merezhі, örneğin ana ve misafir.
Şimdi, "Trafik Kuralları" sekmesinde de bulunan yerel bir İnternet arayüzleri ağı kurmak gerekiyor. Örneğin misafir odasına kendi arayüzü (bulunan) sağlanır ve misafirler ana ofis odasını engellemez. Tam orada, trafik türleri için bir değişim kurduk, örneğin sadece misafirler için web erişimi ve kendi trafiğimiz için herhangi bir trafik olup olmadığı.
Ve şimdi, arayüzlerin yönlendirmesi ayarlandıysa, smuga veriminin nasıl seçileceğine öncelik vermenin zamanı geldi. Sekmeye gidin Smog bant genişliğini ve QoS'yi yönetin, VIP-koristuvachіv için bir kural oluşturun, Vlasniki grubunun (kendi VIP-coristuvachі'nız) yeni oluşturma sırasına ekleyin.
Önemli bir an - ayarlarda atanan smuga için% 20 qi tahsil edilir! Burada, sağlayıcı tarafından beyan edilen sayıyı değil, binanın gerçek verimini koymak önemlidir.
Şimdi kritik trafik için bir kural oluşturuyoruz ve bunu yeni bir trafik türüne ekliyoruz: SIP VoIP, VPN, mittvidomlennya ve uzaktan erişim.
Örneğin, indirme ve yükleme için 3 Mbps'yi sizin için ayırıyorum.
Önemli trafik için bir kural oluşturalım ve onu web sayfalarında gezinme, posta, multimedya ve FTP gibi yeni trafik türüne dahil edelim. Ve sadece çalışma saatlerinde smog'un %50'sinden fazlasını koruyamayacağınızı size söyleyeceğiz.
Şimdi shkidlivy trafiği için bir kural oluşturalım. “Bağlantı, kuralı birlikte sağlıyorsanız” menüsünde bastığınız trafik türünü seçerseniz, içeriği filtreleyebilir ve sosyal hizmetler, mağazalar, trafik, oyunlar vb. seçebilirsiniz. P2P'yi de kullanabilirsiniz. Onlar için 256 kbps kurun ve indirmelerine izin verin.
Şimdi konukların koristuvach'larına hayret edelim. Aktif Ana Bilgisayarlar sekmesinde, hemen ne gördüğünüzün bir önemi yok. Bir misafir gördüğünüzde, zaten gigabaytları indirdiğinizde ve internetinizi kullanarak makul bir hızla devam ettiğinizde tamamen hayal gücünüzdür.
Bu yüzden misafirler için bir kuralımız var. Örneğin, smuga'nın %5'ini aşırıya kaçmayın.
ben daha. Hatırladığınız gibi konukları şarkı söyleyen mesh arayüzüne yönlendiriyoruz. Smuga'nın iç içe geçme kuralı, yalnızca belirli bir arabirim arabiriminin veya tüm arabirim arabirimlerinin değiştirilebileceği şekilde ayarlanabilir. Günün geri kalanında hatırladığımız kadarıyla arayüz, misafir hattına bağlanıyor, kural aktiviteye devam etmektir.
Ben önemli an. Kurallar listede yukarıdan aşağıya sıralanmıştır. Bu yüzden kurallar, erişim için çok fazla istek verirseniz, sansasyonu koçanın üzerine koyabilirsiniz.
Ayrıntılarda, Kerio şirketinin bilgi tabanı hakkındaki makalelerde her şey açıklanmaktadır.
- Bağlantının hızını ayarlama (KB +1373)
- Bant genişliği yönetimini yapılandırma (KB 1334)
- İlke yönlendirmesini yapılandırma (KB 1314)
- Etkin ana bilgisayarları izleme (KB 1593)
Optimizasyon öncesi ve sonrası
Önceki. Tüm trafik, öncelikler olmaksızın eşler üzerinden geçer. Trafik sıkışıklığı zamanlarında, kritik öneme sahip olanlar da dahil olmak üzere tüm trafik bundan zarar görür.
Pіslya.Önemli trafiğe öncelik verilir. Değişim ve rezervasyon mekanizmaları taşıyıcı tipine, trafik tipine, saate göre yapılandırılır.
visnovka'yı değiştir
İşleri batırdık, bu nedenle kuralları belirleme konusunda yardım için bir smuga geçişine erişimi ayırmak kolay değil. Ürünlerini kullanmanın basitliği, artan katlanma ve işlevselliklerinden bağımsız olarak, en önemli avantajı ve zamandan tasarruf sağlamasıyla Kerio şirketi tarafından değerlidir.
Maksim Afanasyev
1997'den beri Kerio Technologies, şirketlerin dahili ağlarını çağrı saldırıları şeklinde korumak ve uyku robotları ve elektronik iletişim için sistemler oluşturmak için bilgisayar güvenliği alanında benzersiz yazılım çözümlerini genişletiyor ve piyasaya sürüyor. Kerio Technologies'in ürünleri orta ve küçük işletmelere yöneliktir, ancak başarı ile büyük şirketlerde kazanabilirler. Varto, bilgi koruma alanındaki dünya trendlerinin gelişmesiyle birlikte yazılım güvenliğinin geliştirildiği gerçeğiyle tanınır ve şirketin kendisi bu alanda bir yenilikçidir.
Bu yazıda tanıtılan Kerio Control yazılım paketinin prototipi, ilk sürümü 1997 yılında piyasaya sürülen Winroute Pro yazılım ağ geçidiydi. Winroute Pro yazılımı, yerel bilgisayarların tek bir harici İnternet kanalı üzerinden İnternet'e erişimini güvence altına almak için tasarlanmış eksiksiz bir proxy sunucusuydu. Bu ürün, o zamanın en geniş WinGate proxy sunucularından birine rakip olarak hemen popülerlik kazandı ve hız kazandı. Kerio şirketinin bazı ürünleri, akıllı arayüzleri ve kullanışlı ayarları ile daha da önemlisi güvenilirlik ve güvenliklerinden etkilenmişti. Sessizce, Kerio Winroute sürekli modernize edildi, yenisinde kişisel olmayan kahverengi işlevler ve yetenekler eklendi. Öncelikle Winroute Pro olarak adlandırıldı, ardından adı Winroute Firewall olarak değiştirildi ve 7. sürümden itibaren ürün orijinal adını değiştirdi - Kerio Control.
Kerio şirketi, zengin çekirdekli işlemcilerin ortaya çıkması ve BT alanındaki mevcut ilerlemenin aktif olarak gelişmesiyle sanallaştırma olasılığını hızla fark etti ve sanal ortamlarla maksimum entegrasyon yoluna girdi. Tüm yeni Kerio ürünleri artık VMware ve Hyper-V sanallaştırma ortamları için mevcut olup, yazılımın herhangi bir platformda çalışmasına ve ürünü yeni bir donanım platformuna yeniden yüklemeye gerek kalmadan taşımasına olanak tanır. Buna ek olarak, şirket yöneticilerine böyle bir destek, bir pobudovі altyapısı ile daha geniş bir seçim imkanı sunar. Kerio ürünleri çoğu zaman bir Windows eklentisi olarak teslim edildi, ancak sanallaştırma sistemleri için sürümlerin ortaya çıkmasından sonra şirket, işletim sisteminden daha fazla soyutlamaya ve artık Kerio Control'ü bir eklenti olarak yayınlamamaya karar verdi. Kerio Control'ün 8. sürümünden itibaren yalnızca üç seçenek mevcuttur: Software Appliance, VMware Virtual Appliance ve Hyper-V Virtual Appliance. Her durumda, Debian tabanlı Linux işletim sistemi yükseltilir (düşük işlevselliğe sahip SMP sürümü yükseltilir), çünkü ek kurulum ve bakım gerektirmez. Görünüm güvenlik duvarının Software Appliance sürümü, 250 MB'den fazla üç boyutlu bir ISO görüntüsüne benziyor ve işletim sisteminin kurulumunu etkilemeden belirli bir kullanıcıya kolayca kurulabilir. VMware Virtual Appliance seçeneği, VMware ortamı için OVF ve VMX paketleri ile birlikte gelir ve Microsoft sanallaştırma sistemleri için Hyper-V Virtual Appliance, tüm kokuları ile, özel parametrelere sahip, önceden ateşlenen bir sistemdir. Satıcıya göre, bu yazılımın OVF versiyonu prensipte diğer sanallaştırma sistemlerine kurulabilir. Böyle bir yaklaşım, bir şirketin uygulanmasına daha esnek bir yaklaşıma ve yeterli pencerelerin kullanılabilirliğini sağlamak için genellikle donanım kısmında modernize edilemedikleri için donanım çözümlerinin eksikliği durumunda bir değişikliğe izin verir, aksi takdirde mümkün.
Kerio Control yazılımının ana özelliklerine ve önceki sürümlerde bulunan bir takım yeniliklere bir göz atalım. Kerio Control'ün 8. versiyonunun huş kayasında çıktığını tahmin edelim. Küçük bir güncelleme yazarken, Kerio, Kerio Control 8.1'e bazı ek işlevler de getiren kırmızı bir güncelleme yayınladı.
Kerio Control kurulumu, hem sistemin bir ISO görüntüsünden genişletilmesi için Software Appliance'ın yardımı için hem de sanal makinenin sanallaştırma sunucusunda ek olarak başlatılması için gerçekleştirilebilir. Aralarında birkaç kurulum seçeneği aktarmanın kalan yolu, Kerio Control'ün kalan sürümünü derleyicinin sitesinden Vmware VA Marketplace aracılığıyla otomatik olarak indirme yeteneği. Bir ISO görüntüsünden kurulum yapılırken, Kerio Control gırtlağının tüm adımları, kurulum sürecinin yöneticisine basit güç beslemesi için yöneticinin talimatlarına dayanır. Kerio Control sanal makinesinin başlatılması, ana kurulum aşamasını atlamanıza izin verir ve yöneticinin yalnızca sanal makinenin temel parametrelerini ayarlaması yeterlidir: işlemci sayısı, RAM miktarı, ağ bağdaştırıcılarının sayısı ve boyutu. disk sistemi. Kerio Control sanal makinesinin temel sürümünün kendi minimum parametreleri vardır ve daha fazla yönetim için makinenin yetkilileri için en az bir bağlantı adaptörü gerekir.
Sistemin kurulumundan sonra, ikinci yöntem ve Kerio Control'ün başarılı bir şekilde başlatılması, yönetim konsolu aracılığıyla ağın temel konfigürasyonu için mevcut olacaktır (Şekil 1). Kerio Control'e bağlı zamovchuvannyam merezhevі adaptörleri için, DHCP'nin yardımı için IP adresleri almaya çalışın. IP adresinin alınması başarılı olursa, yönetici IP adresini yönetim konsoluna girerek yerel ağ üzerinden Kerio Control'e bağlanabilir. Temel yönetim konsolu, adaptörlerin ağ ayarlarını yapılandırmanıza, Kerio Control'ü temel ayarlara sıfırlamanıza, Kerio Control'ü yeniden yapılandırmanıza veya devre dışı bırakmanıza izin verir. Varto, gerekirse Alt + F2-F3 tuşlarına basarak bash işletim sisteminin tam komut kabuğuna girmenin mümkün olduğu anlamına gelir. Sisteme girmek için, Kerio Control kurulumu sırasında root giriş ve yönetici şifresini, görevleri girmeniz gerekir. Dodatkova nalagodzhuvalna іnformatsija, Alt + F4-F5 tuşlarına basarak yardım için vyklikana olabilir. Daha fazla parametre ayarı, şifreli bir SSL kanalı aracılığıyla web tabanlı yönetim konsolu aracılığıyla gerçekleştirilir.
mal. 1. Yönetim konsolu
Tüm parametreler, web arayüzü ele geçirme işlemiyle çalışıyormuş gibi ek bir kontrol panelinin arkasında ayarlanabilir (Şekil 2). Böyle bir arayüze sahip bir robot, HTTPS / SSL protokolünün ele geçirilmesi yoluyla uygulanır. Yönetim konsolu, tüm güvenlik duvarı ayarlarını yönetmenize olanak tanır. Kerio Control'ün 7. sürümüne dayanan önceki sürümlere benzer şekilde, kontrol panelinin tasarımı orijinal değişiklikleri tanır. Böylece, kontrol panelinin ilk tarafı, Kerio Control'ün teşhisi için gerekli öğeleri ekleyebileceğiniz veya görebileceğiniz, yapılandırılabilen (“İzleme Paneli”) döşenmiş bir arayüze sahip olabilir. Daha da kullanışlıdır, yöneticinin parçaları iletişim kanallarını, iletişim etkinliğini, sistem durumunu, VPN bağlantısını vb. hemen kontrol etmelidir.
mal. 2. Kontrol paneli
Kerio Control 8.1'in güncellenmiş sürümünde, aşağıdaki seçenekler eklendi: Samepage.io hack hizmetinde otomatik modda yapılandırmayı kaydetme ve ayarlama, SNMP protokolü yardımı için parametreleri izleme, Ping, Traceroute, DNS kullanma yeteneği Controllookup web yönetimindeki ağ geçidi. Ek olarak, Kerio Control artık normal URL taramasını destekliyor, VPN tünellerini otomatik olarak başlatıyor, kaba kuvvet parola koruması ve daha gelişmiş paket analiz yetenekleri. Ayrıca, Kerio Control Software Appliance'ın kalan versiyonunda, sistemin boğazını farklı donanım platformlarında genişletme kapasitesini genişletmeye izin verecek daha fazla sayıda RAID denetleyicisinin eklendiğini de belirtmek gerekir.
Kerio Control web yönetim arayüzünde sadece bir yönetim paneli değil, aynı zamanda çekirdek arayüz için bir dizi atama vardır (Şekil 3). Yönetim paneli Kerio Control'de değiştirilemez, ancak zaman aralıklarının veya zaman aralıklarının istatistiklerini değiştirmenize izin verir. İstatistikler, sağlanan kaynaklar hakkında diğer bilgiler olarak da aktarılan veriler sağlar. Kerio Control sisteminde yönetici hesabınız varsa, bu kontrol paneli üzerinden diğer sistem yöneticileri ile ilgili istatistiksel verileri görüntüleyebilirsiniz. Doğru ve iyi düşünülmüş istatistikler, yöneticinin internette çalışırken coristuvach'ın avantajlarını anlamasına, kritik unsurları ve sorunları bilmesine yardımcı olur. Panel, bölgedeki dermal koristürist için en son trafiğin ayrıntılı bir histogramını oluşturur. Yönetici, en çok trafiği almak istediği tarih aralığını seçebilir: iki yıl, bir gün, bir hafta ve bir ay. Ek olarak, Kerio Control çeşitli türlere göre gerçek trafik kullanımının istatistiklerini gösterir: HTTP, FTP, e-posta, akışlı multimedya protokolleri, bilgisayarlar veya proxy'ler arasında veri alışverişi.
mal. 3. Koristuvach paneli
Şubeleri tüm dünyaya dağıtılabilen, kurumsal bir güvenlik ve gerekli entelektüel sermaye ile bağlantılı olarak korunan modern bir şirket için mevcut dış kaynak kullanımı aktif olarak kullanılmaktadır. Kerio Control'ün yardımı için sanal bir özel çitin kurulumu pratik olarak yardımcı olmuyor. Kurumsal Güvenliğe Güvenli Uzaktan Erişim için Kerio Control Depolama Yeteneklerine sahip VPN Sunucusu ve İstemciler. Sanal bir ağ kullanmak Kerio VPN, müşterilerin bir şirket ağındaki herhangi bir kaynağa uzaktan bağlanmasına ve bir organizasyonun ağının yanı sıra kendi yerel ağlarıyla çalışmasına izin verir. Kerio Control ürününe dahil edildiğinde, VPN sunucusu, VPN-merezh'i iki farklı senaryoda düzenlemenizi sağlar: “sunucu-sunucu” ve “istemci-sunucu” (Windows, Mac ve Linux için Kerio VPN İstemcisi test edilmiştir). "Sunucu-sunucu" modu, paylaşılan bir küresel kaynak ağı için güvenli bir kanal aracılığıyla uzak ofislere bağlanması beklenen şirketler tarafından kurulur. Bu komut dosyası, Kerio Control'ün İnternet bağlantısı üzerinden güvenli bir kanal kurmak için dış görünüm tarafında görünmesini sağlar. "İstemci-sunucu" modu, uzaktaki bir coristuvachev'in bir dizüstü bilgisayarı veya ev bilgisayarını şirket ağına güvenli bir şekilde bağlamasını sağlar. Sistem yöneticileri tarafından görüldüğü gibi, VPN ve NAT protokolleri (çoklu adres çevirisi) her zaman çalışmayı desteklemez. Kerio VPN Çözümü, NAT üzerinden akıllıca çalışmak ve bir dizi NAT ağ geçidinde gezinmek üzere tasarlanmıştır. Kerio VPN, kanal kontrolü (TCP) için standart SSL şifreleme algoritmalarını ve veri aktarımı için Blowfish'i (UDP) dondurur ve IPSec'i destekler.
Kerio Control ağ geçidi, hem gelen hem de giden trafiğin yeniden doğrulanması için bir yolla korunduğu için virüslerden korunabilir. Kerio Control'de daha önce olduğu gibi, McAfee'den bir antivirüs duyuruldu, ancak kalan sürümlerde Sophos şirketinden bir antivirüs galip geldi. Yönetici, farklı protokolleri kullanarak trafiği yeniden kontrol etmek için kurallar belirleyebilir: SMTP ve POP3, WEB (HTTP) ve dosya aktarımı (FTP). Güvenlik duvarındaki Vbudovaniya antivirüs, ağ geçidi üzerindeki kurulumlar, ağ geçidi trafiğinden en son saldırganın geçmesini sağlar. Antivirüs entegrasyon osilatörleri, gerçek zamanlı olarak yeni virüs veritabanları ile güncellenebilir, bu da güvenlik önlemlerinin seviyesini, cilt bilgisayarındaki ve yerel ağlardaki anti-virüs programlarının durdurulma sırasını önemli ölçüde artırır. Antivirüs, tüm eklerin yanı sıra giriş ve çıkışları da kontrol eder. Bir virüs tespit edildiğinde, depozitodaki tüm tortular görünür ve sayfaya bir not eklenir. Ayrıca Kerio Control, HTML tarafları da dahil olmak üzere tüm web trafiğini virüslere karşı tarar. Virüs ayrıca HTTP aracılığıyla indirilen dosyaları ve FTP protokolü aracılığıyla aktarılan dosyaları da kontrol eder. Ek olarak, örneğin okullar gibi kuruluşlar ve bu tür tesisler için, istemedikleri takdirde, sponsorlarının ve müşterilerinin aynı tarafları görmeleri için, Kerio Control'ün yerleşik Kerio Control Web ile Kerio Control olduğu belirtilmelidir. İnternette tarafları engellemek için ek fırsatları filtreleyin (ek bir ücret karşılığında bir seçenek olarak sunulur).
Kerio Control, yöneticilerin yalnızca trafik kazanmak için küresel bir strateji oluşturmasına değil, aynı zamanda cilt soyma için bir değişim kurmasına ve durdurmasına da izin verir. İnternete erişmeden önce, cilt koristuvach'ın Kerio Control'de oturum açması gerekir. Muhabirlerin bulut kayıtları, muhabirlerin farklı bir dahili veri tabanında saklanır veya Microsoft Active Directory veya Apple Open Directory'nin kurumsal veri tabanından alınır. Coristuvach'ların hem yerel hem de etki alanı veritabanlarını paralel hale getirmek mümkündür. Microsoft Active Directory ile entegrasyon sırasında, NTLM kimlik doğrulaması için etki alanının köküne karşı şeffaf olması için istemci yetkilendirmesi gerekebilir. Windows 2008/2012 Sunucusunun bir parçası olan Active Directory, yöneticilerin bulut kayıtlarını ve paylaşılan kaynaklar hakkındaki verileri merkezi olarak yönetmesine olanak tanır. Active Directory, bir bilgisayardan adli tabipler hakkındaki bilgilere erişim sağlar. Active Directory / Open Directory desteği, Kerio Control'ün dosya veritabanına gerçek zamanlı olarak erişmesine ve parolayı kaydetmeden yerel alana bir dosya yüklemenize izin verir. Bu şekilde, cilt koristuvach için şifreleri senkronize etmek gerekli değildir. Microsoft Active Directory / Open Directory'deki tüm değişiklikler Kerio Control'e otomatik olarak eklenir.
Yönetici, bir dış görünüm coristuvach için erişim hakları için farklı bir değişim ayarlayabilir. Bu kuralları aynı zaman aralıkları için ayarlayabilir ve çoğu trafik için farklı bir döviz kuru belirleyebilirsiniz. Sınıra ulaşılırsa, Kerio Control, coristuvachevі'dan önce e-posta ile yönetir ve yönetici veya yönetici, gün veya ay sonuna kadar coristuvacha'yı engeller.
Savaşın sonunda, Kerio Control, örneğin Linux tabanlı işletim sistemlerinin standart paketinde yer alan benzer çözümlerle (örneğin, iptables) birçok farklı nedenden dolayı sistem yöneticileri arasında oldukça popüler bir ürün gibi görünüyor. . Shvydka ayarı, geniş olanaklar ve zahistu'nun yüksek adımları - tüm bu yazılım ürünü küçük şirketler için uygundur.