logo

компьютеры серверы оргтехника

                                                   

Санкт-Петербург   +7(812) 380-74-27 | 998-12-89  



заявка на товар
            оптовый прайс от 17.07.2017        zakaz@vremyaitb.ru

КОРЗИНА Товаров: Предзаказ: на сумму: 0 руб.
0 шт.
0 шт.

Информеры - курсы валют
Рейтинг@Mail.ru
Яндекс.Метрика
RSS импорт: www.rss-script.ru
 
Главная > Kerio Winroute Firewall настройка в сети с доменом

Kerio Winroute Firewall настройка в сети с доменом

« Назад

Kerio Winroute Firewall настройка в сети с доменом  17.06.2012 09:53



Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.

1



Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC.

Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.

Открываем пункт меню Interfaces:


2


Поясню назначения интерфейсов:

  • LAN - сетевая карта, смотрящая в локальную сеть
  • INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP

Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:



3



Поясню смысл полей и правил в целом:

  • поле Source - источник трафика (то есть КТО)
  • поле Destination - получатель траффика (то есть КУДА)
  • поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
  • поле Action - запрет или разрешение трафика для созданного правила
  • поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
  • поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени
  • можно определить в меню Time Ranges (в данной статье рассматривать не будем)
  • поле Log - для включения записи в лог результата действия данного правила

Пояснения по правилам, показанным на рисунке 3:

  • правило 1 разрешает серверу "ходить" в локалку
  • правило 2 разрешает любой трафик из локалки на сервер
  • правило 3 разрешает любой трафик от самого сервера в интернет
  • правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет,
  • при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
  • правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер,
  • находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)

Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного"

Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета)

на указанные сервера + возможна настройка файла HOSTS


4



Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:


5



Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:


6



Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е.,

должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.

HTTP Policy:

В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы)

и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):



7



На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.

На следующей картинке показаны HTTP - правила, с применением групп адресов:



8



Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает

автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации,

третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано),

четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет

прользователю "генка" доступ по HTTP - БЕЗ авторизации.

Контентные правила оставляем по умолчанию:


9



Кеш отключаем:

10




На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):



11



Закладку Forbidden words не трогаем.

Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):



12



Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):


13



Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус

кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио)

может вставлять в тему письма предупреждающее слово (**VIRUS**):



14



Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов

можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо

или всем доступ к этим адресным группам):



15



В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика

для действия правил в указанные часы (интервалы):



16




Меню Services:



17



Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках

пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного

следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".

Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно

нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:


18



Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ

(отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких

трафика для разрешения или явного запрета.

Меню Advanced Options:



19



Отключаем все галочки.


20



Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.


21



В общем, настройки ISS (оранж фильтра) у меня вот такие...


22



Настроечки для автоматической проверки новых версий.


23




Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах

в почтовом трафике + всевозможные алерты).

 

24

Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах

в почтовом трафике + всевозможные алерты).

Тут включаем пользовательскую статистику.

Настраиваем логи:


25



Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:



26



Меню Users и Group - там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того,

что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP-правила доступа для

юзеров\групп индивидуально.



27





На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет

происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным

пользователем и начисляться в его (пользовательскую) статистику.

В общем, тут всё понятно.

Включаем обязательную авторизацию (работает только для HTTP ):



28



Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.


29



1.     Можно идентифицировать доменных пользователей.

Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш

УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.

Приведен скриншот настройки одного из пользовательских компьютеров:

30



В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера

следует указывать адрес локального DNS (во избежание долгого входа в домен).

P.S. Данные настройки приведены в самом простом виде, думать практически не надо.

Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать

и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.




Новые поступления
Информация
Опрос:
Смартфон какого бренда Вы предпочтете?

HTC
SONY
LG
SAMSUNG
NOKIA
ALCATEL
PHILIPS
APPLE
EXPLAY
ASUS
HUAWEI
ZTE
SENSEIT
SONIM
ACER
BLACKBERRY
LENOVO
SONYERICSSON
TEXET
DIGMA
FLY



 

Закрыть