Kerio kontrollühenduse ajalimiit. Kerio Controli põhifunktsioonide üksikasjalik konfiguratsioon. Turvasüsteemi seadistamine

Väike- ja keskmise suurusega ettevõtetele erinevaid turvatarkvaralahendusi tootva Kerio Technologiesi toodetega tutvumisest. Ettevõtte ametliku veebisaidi andmetel kasutab selle tooteid üle 60 000 ettevõtte üle maailma.

SEC Consulti spetsialistid avastasid palju turvaauke ettevõtte UTM-lahendusest Kerio Control, mis ühendab endas tulemüüri, ruuteri, IDS/IPS-i, lüüsi viirusetõrje, VPN-i jne funktsioone. Uurijad kirjeldasid kahte rünnakustsenaariumi, mis võimaldavad ründajal mitte ainult haarata kontrolli Kerio Controli, vaid ka ettevõtte võrgu üle, mida toode peaks kaitsma. Kuigi arendajad on enamiku avastatud vigade jaoks juba parandused välja andnud, märgivad teadlased, et üht ründestsenaariumit on siiski võimalik rakendada.

Uurijate sõnul on Kerio Controli lahendused haavatavad PHP unserialize funktsiooni ebaturvalise kasutamise tõttu, aga ka PHP vana versiooni (5.2.13) kasutamise tõttu, milles on varem avastatud tõsiseid probleeme. Eksperdid avastasid ka mitmeid haavatavaid PHP-skripte, mis võimaldavad XSS- ja CSRF-rünnakuid ning mööduvad ASLR-kaitsest. Lisaks töötab veebiserver SEC Consulti andmetel juurõigustega ning sellel puudub kaitse jõhkra jõu rünnakute ja mälu rikkumiste eest.

Esimese rünnaku stsenaariumi skeem

Esimene ekspertide kirjeldatud rünnakustsenaarium hõlmab mitme haavatavuse korraga ärakasutamist. Ründaja peab kasutama sotsiaalset manipuleerimist ja meelitama ohvri pahatahtlikule saidile, mis majutab skripti, mis võimaldab neil teada saada Kerio Controli sisemise IP-aadressi. Seejärel peab ründaja CSRF-i vea ära kasutama. Kui ohver pole Kerio juhtpaneelile sisse logitud, saab ründaja mandaatide valimiseks kasutada tavalist jõhkrat jõudu. Selleks on vaja XSS-i haavatavust, et SOP-kaitsest mööda minna. Pärast seda saate liikuda ASLR-ist mööda hiilimisele ja kasutada PHP-i vana viga (CVE-2014-3515), et käivitada juurõigustega shell. Põhimõtteliselt saab ründaja seejärel täieliku juurdepääsu organisatsiooni võrgule. Allolev video näitab rünnakut tegevuses.

Teine ründestsenaarium hõlmab RCE haavatavuse ärakasutamist, mis on seotud Kerio Controli värskendusfunktsiooniga ja mille avastas enam kui aasta tagasi üks SEC Consulti töötajatest. Eksperdid soovitavad kasutada seda viga, mis võimaldab suvalise koodi kaugkäivitamist, koos XSS-i haavatavusega, mis võimaldab rünnaku funktsionaalsust laiendada.

Kerio Technologiesi spetsialiste teavitati probleemidest 2016. aasta augusti lõpus. Praegu on ettevõte välja andnud Kerio Control 9.1.3, kus enamik turvaauke on kõrvaldatud. Ettevõte otsustas aga jätta veebiserverile juurõigused ning värskendusfunktsiooniga seotud RCE-viga jääb endiselt parandamata.

Ribalaiuse ebaõige haldamine kontorivõrgus (või selle puudumine) toob kaasa märgatavaid katkestusi: Internet on aeglane, kõne- ja videoside kvaliteet langeb jne. See aitab õigesti prioriseerida ja tagada olulise liikluse jaoks piisava ribalaiuse.

Teave Kerio Controli funktsioonide kohta

Kerio Controli tarkvaralahendus kuulub UTM (Unified Threat Management) toodete klassi ning pakub tööjaamadele ja serveritele igakülgset kaitset Internetis töötamisel. Lahendus on suunatud keskmise suurusega ettevõtete võrkudele ja põlvneb tuntud WinRoute tootest. Sõnad "täielik turvalisus" tähendavad, et Kerio Control koosneb paljudest moodulitest, mis vastutavad turvalisuse erinevate aspektide eest, nimelt:

tulemüür;
ruuter;
sissetungi tuvastamise ja ennetamise süsteem (IPS/IDS);
viirusetõrje liikluskaitse;
liikluse sisu filtreerimine;
kasutajate tegevuse jälgimine ja analüüs Internetis;
kaks VPN-serverit – üks põhineb oma protokollil ja teine avatud IPSec VPN-i standardil;
Ribalaiuse haldus ja QoS-i tugi.

Selles artiklis räägime selle loendi viimasest üksusest, kuid mitte kõige olulisemast.

Interneti-juurdepääsu optimeerimise probleemid

Vaatame mitut tüüpilist stsenaariumi.

Esiteks: haldur vajab teistest paremat piiramatut juurdepääsu ribalaiusele. Muide, halduri jaoks pole see vajalik - serveri jaoks, mis kopeerib andmebaasi kaugandmekeskusega, on vaja garanteeritud laia ribalaiust.

Teiseks: juhid kurdavad halva kuulmise ja katkenud kõnede üle. Või võtab makseterminal kolmandal korral kaardimakse vastu, kuna ei saa pangaga ühendust.

Kolmas: Kogu kontori kiirus langes järsku. On aeg kontrollida, kes tööl torrente alla laadib.

Kõik need stsenaariumid nõuavad ribalaiuse haldamist, näiteks prioriteetide seadmist ja anomaaliate tuvastamist. Juhtimisülesanded näevad välja umbes sellised:

VoIP nõuab alati ribalaiust 10 Mbps, mitte vähem;
voogesituse andmed ei tohiks tarbida rohkem kui 100 kbit/sek;
külaliste liiklus tuleb eraldada tööliste liiklusest ja mitte lülitada põhikanali rikke korral varukanalile;
privilegeeritud liiklus on olulisem kui tavaline liiklus tööajal.

Kõigi nende ülesannete vormistamiseks peame kindlaks määrama, miks ja milliste kriteeriumide alusel me prioritiseerime.

Liikluse tüübid. Esiteks on veebipõhised videokonverentsid, telefoniside, videosignaali edastamine, VPN, siin on ribalaius väga oluline. Teisel - tavaline juurdepääs saitidele, failidele, meilidele. Madalaima prioriteedi saab määrata meelelahutussaitidele juurdepääsuks, ostlemiseks jne.

Juurdepääsuaeg. Tööajale ja vabaajale saab seada erinevaid prioriteete. Saate anda andmete replikatsiooniperioodiks serverile kõrge prioriteedi ja piirata ülejäänud perioodi.

Reegel = formaliseeritud piirang

Kui loetletud kriteeriumid on kindlaks määratud, saate liikuda ribapiirangu reeglite juurde. Selgitame Kerio transpordilahenduse näitel, mida kasutatakse näiteks laevadel. Kui laeval on kalli liiklusega ja kitsa ribalaiusega satelliitkanal ning sadamates on lai kanal saadaval, on selge, kuidas prioritiseerida. Näiteks nii:

Tegelikult on see Kerio Controlis juba üsna reegel.

Nüüd pöördume tagasi laevalt kontorisse ja vaatame näidet IP-telefoniga. Kui riba on ülekoormatud, vähendab see kõneside kvaliteeti, mis tähendab, et prioriteediks on järgmine:

Ja need on Kerio Controlis ka kolm reeglit.

Samamoodi lahendavad reeglid halduse ja seadmete tagatud laia ribalaiuse, külalisühenduste piirangute jms probleeme.

Ribalaiuse haldamine Kerio Controlis

Kerio Control juhtpaneeli ülaosas näete saadaolevate Interneti-liideste loendit. Näiteks kiire kanal ja aeglane. Selle all on kohalikud võrgud, näiteks põhi- ja külalisvõrgud.

Nüüd peame Interneti-liidesed sobitama kohalike võrkudega, mida teeme vahekaardil "Liiklusreeglid". Näiteks määrame külaliste võrgule oma liidese (odavaim) ja külalised ei ummista peakontori võrku. Siin konfigureerime ka liikluse tüüpide piirangud, näiteks ainult külaliste veebijuurdepääsu ja meie enda jaoks igasuguse liikluse.

Nüüd, kui liidese marsruutimine on konfigureeritud, on aeg seada prioriteediks ribalaiuse kasutamine. Läheme vahekaardile Bandwidth Management and QoS, loome VIP-kasutajatele reegli, lisame sinna eelnevalt loodud rühmad Omanikud (samad VIP-kasutajad) ja Seadmed (mis vajavad kindlasti head ühendust) ning seame näiteks reserveerida 20% ribalaiusest.

Oluline punkt - see 20% arvestatakse seadetes määratud ribast! Siin on oluline panna mitte teenusepakkuja esitatud arv, vaid tegelik läbilaskevõime.

Nüüd loome kriitilise liikluse reegli ja lisame sellele liiklustüübid: SIP VoIP, VPN, kiirsõnumid ja kaugjuurdepääs.

Ja me reserveerime talle allalaadimiseks ja üleslaadimiseks näiteks 3 Mbit.

Seejärel loome olulise liikluse jaoks reegli ja kaasame liiklustüübid, nagu veebisirvimine, e-post, multimeedium ja FTP. Ja me seame tarbimise piiranguks mitte rohkem kui 50% ribalaiusest ja ainult tööajal.

Loome nüüd kahjuliku liikluse reegli. Kui klõpsate liikluse tüübi valimisel menüüs "Sisureeglit rahuldav ühendus", saate kasutada sisufiltrit ja valida sotsiaalvõrgustikud, poed, liiklus, mängud jne. Samuti saate piirata P2P-d. Andke neile rangeks piiranguks 256 kbit ja laske neil alla laadida.

Vaatame nüüd külaliskasutajaid. Aktiivsete hostide vahekaardilt on lihtne näha, mis praegu toimub. Tõenäoliselt leiate külalise, kes on juba gigabaidi alla laadinud ja jätkab teie Interneti kasutamist korraliku kiirusega.

Seetõttu teeme külalistele reegli. Näiteks ei tohi ületada 5% ribast.

Ja edasi. Nagu mäletate, suuname külalised kindlale võrguliidesele. Ribalaiuse piiramise reeglit saab konfigureerida nii, et see piiraks piirangut ühele konkreetsele võrguliidesele või kõikidele võrguliidestele. Viimasel juhul, kui muudame külalisvõrguga seotud liidest, jääb reegel kehtima.

Ja oluline punkt. Reeglid töötavad loendis kuvamise järjekorras ülalt alla. Seetõttu on mõistlik algusesse panna reeglid, mis filtreerivad välja paljud juurdepääsutaotlused.

Kõike seda kirjeldatakse üksikasjalikult Kerio teadmistebaasi käsitlevates artiklites.

Lingi kiiruse määramine (KB 1373)
Ribalaiuse halduse konfigureerimine (KB 1334)
Reeglite marsruutimise konfigureerimine (KB 1314)
Aktiivsete hostide jälgimine (KB 1593)

Enne ja pärast optimeerimist

Enne. Kogu liiklus toimus võrdsetel tingimustel, ilma prioriteetideta. Ummiku korral kannatab kogu liiklus, sealhulgas kriitiline liiklus.

Pärast. Oluline liiklus on eelistatud. Piirangud ja broneerimismehhanismid on konfigureeritud kasutaja tüübi, liikluse tüübi ja aja järgi.

Järelduse asemel

Oleme näinud, et kohandatud reeglite abil on lihtne piirata juurdepääsu ribalaiusele. Just oma toodete kasutusmugavust peab Kerio oma kõige olulisemaks eeliseks ja on aastate jooksul säilitanud, vaatamata nende kasvavale keerukusele ja funktsionaalsusele.

Kerio Control kuulub sellesse kategooriasse tarkvara, mis ühendavad laia valikut funktsionaalsust lihtsa rakendamise ja kasutamisega. Täna vaatame, kuidas saab selle programmi abil korraldada töötajate seas grupitööd Internetis, samuti kaitsta kohalikku võrku usaldusväärselt väliste ohtude eest.

kuulub toodete kategooriasse, milles lai valik funktsionaalsusi on ühendatud juurutamise ja kasutamise lihtsusega. Täna vaatleme, kuidas seda programmi saab kasutada töötajate seas Internetis grupitöö korraldamiseks ja ka kohaliku võrgu usaldusväärseks kaitsmiseks väliste ohtude eest.

Toote juurutamine algab selle installimisega arvutisse, mis täidab Interneti-lüüsi rolli. See protseduur ei erine mis tahes muu tarkvara installimisest ja seetõttu me sellel pikemalt ei peatu. Märgime ainult, et selle protsessi käigus keelatakse mõned Windowsi teenused, mis segavad programmi tööd. Kui installimine on lõppenud, võite jätkata süsteemi konfigureerimist. Seda saab teha kas kohapeal, otse Interneti-lüüsis või eemalt, mis tahes arvutist, mis on ühendatud ettevõtte võrku.

Kõigepealt käivitame standardmenüü kaudu " Alusta"halduskonsool. Seda kasutatakse kõnealuse toote konfigureerimiseks. Mugavuse huvides saate luua ühenduse, millega saate tulevikus kiiresti ühenduse luua. Selleks tehke üksusel topeltklõps" Uus ühendus", märkige aknas, mis avab toote (Kerio Control), hosti, millele see on installitud, samuti kasutajanime ja seejärel klõpsake nuppu " Salvesta kui" ja sisestage ühenduse nimi. Pärast seda saate ühenduse luua. Selleks topeltklõpsake loodud ühendusel ja sisestage oma parool.

Kerio Controli põhihäälestus

Põhimõtteliselt saab kõiki tööparameetreid käsitsi konfigureerida. Kuid esmaseks rakendamiseks on palju mugavam kasutada spetsiaalset viisardit, mis käivitub automaatselt. Esimesel etapil palutakse teil tutvuda süsteemi põhiteabega. Siin on ka meeldetuletus, et Kerio Controli töötav arvuti peab olema ühendatud kohtvõrku ja omama töötavat internetiühendust.

Teine etapp on Interneti-ühenduse tüübi valimine. Siin on saadaval neli võimalust, mille hulgast peate valima teie kohaliku võrgu jaoks sobivaima.

Püsijuurdepääs – internetilüüsil on püsiühendus Internetiga.
Dial-on-demand – loob vajadusel iseseisvalt Interneti-ühenduse (kui RAS-i liides on saadaval).
Ühenda uuesti tõrke korral – Interneti-ühenduse katkemisel lülitub see automaatselt teisele kanalile (vajalik on kaks Interneti-ühendust).
Kanalite koormuse tasakaalustamine - kasutab korraga mitut sidekanalit, jaotades koormuse nende vahel (vajalik on kaks või enam Interneti-ühendust).

Kolmandas etapis peate määrama Interneti-ühenduse võrguliidese või -liidesed. Programm ise tuvastab ja kuvab kõik saadaolevad liidesed loendi kujul. Seega saab administraator valida ainult sobiva valiku. Väärib märkimist, et kahte esimest tüüpi ühenduste puhul peate installima ainult ühe liidese ja kolmandas - kaks. Neljanda valiku seadistus erineb pisut teistest. See annab võimaluse lisada mis tahes arvu võrguliideseid, millest igaühe jaoks peate määrama maksimaalse võimaliku koormuse.

Neljas samm on valida kasutajatele kättesaadavad võrguteenused. Põhimõtteliselt saate valida valiku " Ei mingeid piiranguid". Enamasti pole see siiski täiesti mõistlik. Parem on märkida linnukesega need teenused, mida tõesti vaja läheb: HTTP ja HTTPS veebisaitide sirvimiseks, POP3, SMTP ja IMAP meiliga töötamiseks jne.

Järgmine samm on VPN-ühenduste reeglite konfigureerimine. Selleks kasutatakse ainult kahte märkeruutu. Esimene määrab, milliseid kliente kasutajad serveriga ühenduse loomiseks kasutavad. Kui need on „natiivsed”, st Kerio välja antud, tuleb märkeruut aktiveerida. Vastasel juhul, näiteks sisseehitatud Windowsi tööriistade kasutamisel, tuleb see keelata. Teine märkeruut määrab võimaluse kasutada Kerio Clientless SSL VPN-i funktsiooni (failide, kaustade haldamine, alla- ja üleslaadimine veebibrauseri kaudu).

Kuues samm on luua reeglid teenustele, mis töötavad kohalikus võrgus, kuid peavad olema juurdepääsetavad ka Internetist. Kui lubasid eelmises etapis Kerio VPN Server või Kerio Clientless SSL VPN tehnoloogia, siis konfigureeritakse kõik nende jaoks vajalik automaatselt. Kui peate tagama muude teenuste (ettevõtte meiliserver, FTP-server jne) kättesaadavuse, klõpsake nende kõigi jaoks nuppu " Lisama", valige teenuse nimi (avanevad valitud teenuse standardpordid) ja vajadusel määrake IP-aadress.

Lõpuks on häälestusviisardi viimane ekraan hoiatuseks enne reegli loomise protsessi algust. Lihtsalt lugege seda ja klõpsake nuppu " Täielik"

Põhimõtteliselt on viisard pärast töö lõpetamist juba töökorras. Siiski on mõttekas mõnda parameetrit veidi kohandada. Eelkõige saate määrata ribalaiuse kasutamise piiranguid. See ummistub kõige rohkem suurte mahukate failide edastamisel. Seetõttu saate piirata selliste objektide allalaadimise ja/või üleslaadimise kiirust. Selleks jaotises " Seadistamine"vaja avada sektsioon" Ribalaiuse piirang", lubage filtreerimine ja sisestage suurte failide jaoks saadaolev ribalaius. Vajadusel saate muuta piirangu paindlikumaks. Selleks klõpsake nuppu " Lisaks" ja määrake aknas, mis avab teenused, aadressid ja filtrite ajaintervallid. Lisaks saate kohe määrata suureks peetavate failide suuruse.

Kasutajad ja rühmad

Pärast süsteemi esialgset seadistamist saate alustada kasutajate lisamist. Siiski on mugavam need kõigepealt rühmadesse jagada. See muudab nende haldamise edaspidi lihtsamaks. Uue grupi loomiseks avage " Kasutajad ja rühmad-> Grupid" ja klõpsake nuppu " Lisama". See avab kolmest sammust koosneva spetsiaalse viisardi. Esimeses etapis peate sisestama grupi nime ja kirjelduse. Teises saate sinna kohe lisada kasutajaid, kui nad muidugi juba on loodud Kolmandas etapis tuleb määratleda grupi õigused: juurdepääs süsteemi administreerimisele, erinevate reeglite keelamise võimalus, VPN-i kasutamise luba, statistika vaatamine jne.

Pärast rühmade loomist saate jätkata kasutajate lisamisega. Lihtsaim viis seda teha on, kui domeen on juurutatud ettevõtte võrgus. Sel juhul minge lihtsalt jaotisesse " Kasutajad ja rühmad-> Kasutajad", avage vahekaart Active Directory, lubage märkeruut " Kasutage domeeni kasutajate andmebaasi" ning sisestage sellesse andmebaasi juurdepääsuõigust omava konto sisselogimine ja parool. Sel juhul kasutatakse domeenikontosid, mis on loomulikult väga mugav.

Vastasel juhul peate kasutajad käsitsi sisestama. Selleks on antud jaotise esimene vahekaart. Konto loomine koosneb kolmest etapist. Esimesel peate määrama sisselogimise, nime, kirjelduse, e-posti aadressi ja autentimisparameetrid: sisselogimise ja parooli või Active Directory andmed. Teises etapis saate lisada kasutaja ühte või mitmesse rühma. Kolmandas etapis on võimalik automaatselt registreerida konto, et pääseda ligi tulemüürile ja teatud IP-aadressidele.

Turvasüsteemi seadistamine

See rakendab palju võimalusi ettevõtte võrgu turvalisuse tagamiseks. Põhimõtteliselt oleme juba tulemüüri seadistades hakanud end kaitsma väliste ohtude eest. Lisaks rakendab kõnealune toode sissetungimise vältimise süsteemi. See on vaikimisi lubatud ja konfigureeritud optimaalselt toimima. Nii et te ei pea seda puudutama.

Järgmine samm on viirusetõrje. Väärib märkimist, et see pole saadaval kõigis programmi versioonides. Pahavaratõrje kasutamiseks tuleb see osta koos sisseehitatud viirusetõrjega või installida Interneti-lüüsi väline viirusetõrjemoodul. Viirusetõrje lubamiseks peate avama jaotise " Seadistamine -> Sisu filtreerimine -> Viirusetõrje". Selles peate aktiveerima kasutatava mooduli ja märkima kontrollitavate protokollide märkeruutude abil (soovitav on kõik lubada). Kui kasutate sisseehitatud viirusetõrjet, peate lubama tõrjeprogrammi värskendamise. viiruste andmebaasid ja määrake selle protseduuri läbiviimise intervall.

Järgmisena peate konfigureerima HTTP-liikluse filtreerimissüsteemi. Seda saab teha jaotises " Konfiguratsioon->Sisu filtreerimine->HTTP-poliitika". Lihtsaim filtreerimisvalik on tingimusteta blokeerida saidid, mis sisaldavad sõnu "mustast" loendist. Selle lubamiseks minge vahekaardile " Keelatud sõnad" ja täitke avaldiste loend. Siiski on olemas paindlikum ja usaldusväärsem filtreerimissüsteem. See põhineb reeglitel, mis kirjeldavad tingimusi kasutaja juurdepääsu blokeerimiseks teatud saitidele.

Uue reegli loomiseks minge vahekaardile " URL-i reeglid", paremklõpsake väljal ja valige kontekstimenüüst " Lisama". Reegli lisamise aken koosneb kolmest vahekaardist. Esimene määrab tingimused, mille korral see käivitatakse. Esiteks peate valima, kellele reegel kehtib: kõigile kasutajatele või ainult konkreetsetele kontodele. Pärast seda peate taotletud saidi URL-i sobitamise kriteeriumi määramiseks võite kasutada stringi, mis sisaldub Kerio veebifiltri süsteemis veebiprojekti aadressis, aadresside rühmas või reitingus (sisuliselt kategooria). millesse sait kuulub).

Teisel vahekaardil saate määrata intervalli, mille jooksul reegel rakendub (vaikimisi alati), samuti IP-aadresside rühma, millele see kehtib (kõik vaikimisi). Selleks peate lihtsalt valima eelseadistatud väärtuste ripploenditest sobivad üksused. Kui ajaintervallid ja IP-aadresside rühmad pole veel määratud, saate nuppude "Muuda" abil avada soovitud redaktori ja need lisada. Samuti saate sellel vahekaardil määrata programmi toimingu, kui sait on blokeeritud. See võib olla teatud keeldumistekstiga lehe väljastamine, tühja lehe kuvamine või kasutaja suunamine teatud aadressile (näiteks ettevõtte veebisaidile).

Kui ettevõtte võrk kasutab traadita tehnoloogiaid, on mõttekas lubada MAC-aadressi filter. See vähendab oluliselt erinevate seadmete volitamata ühendamise ohtu. Selle ülesande täitmiseks avage jaotis " Konfiguratsioon->Liikluspoliitika->Turvaseaded". Aktiveerige selles märkeruut " MAC-aadressi filter on lubatud", seejärel valige võrguliides, millele see levitatakse, lülitage MAC-aadresside loend valikule " Lubage võrku pääseda ainult loetletud arvutitel" ja täitke see ettevõttele kuuluvate juhtmeta seadmete üksikasjadega.

Teeme kokkuvõtte

Niisiis, nagu näeme, on laiast funktsionaalsusest hoolimata üsna lihtne korraldada selle abiga korporatiivvõrgu kasutajate rühmatööd Internetis. On selge, et oleme käsitlenud ainult selle toote põhiseadet.

Paljud inimesed kasutavad Kerio Controli tulemüüri. Sellel on kõige laiem funktsionaalsus, töökindlus ja kasutusmugavus. Täna räägime ribalaiuse haldamise reeglite seadistamisest. Lihtsamalt öeldes proovime piirata kasutajate ja rühmade Interneti-juurdepääsu kiirust.

Kuidas piirata Kerio Controli kasutajate ja rühmade Interneti-kiirust

Ja nii läheme Kerio Controli halduspaneelile. Vasakult otsime üksust Bandwidth Management. Esiteks näitame teie Interneti-ühenduse kiirust. Klõpsake allosas Interneti-ühenduse ribalaiuse väljal nuppu Muuda ja sisestage alla- ja üleslaadimise kiirus. Neid andmeid on vaja Kerio Controli enda korrektseks tööks.

Nüüd lisage uus reegel, klõpsake nuppu Lisa ja sisestage nimi.

Järgmisena tuleb väljale Liiklus märkida, kellele see piirang kehtib. Võimalusi on palju, kuid meid huvitavad konkreetsed rühmad ja kasutajad, nii et klõpsake nuppu Kasutajad ja rühmad. Avanevas aknas valige vajalikud kasutajad või rühm. Saate kohe valida nii rühma kui ka kasutajad.

Nüüd määrake allalaadimiskiiruse piirang. Näitame, kui suur osa kogukiirusest tuleb nendele rühmadele ja kasutajatele reserveerida ning piirangu ise. Sama näitame ka allalaaditava üksuse puhul.

Jätame vaikimisi liidese ja saadaoleva aja ning rakendame seda reeglit.

Liiklusjaotuse korrektseks konfigureerimiseks peate valima Interneti-ühenduse tüübi.

Iga kohaliku võrgu jaoks on konfigureeritud sobivaim. Selle funktsiooniga saab lubada pideva juurdepääsu, Internetiga on pidev ühendus.

Teine võimalus võib olla vajadusel ühenduse loomine – vajadusel loob programm ise ühenduse.

Kui Interneti-ühendus katkeb, loob Kerio Control uuesti ühenduse teise kanaliga.

Kahe või enama Interneti-kanali olemasolul saate valida neljanda ühenduse tüübi. Koormus jaotatakse kõigi kanalite vahel ühtlaselt.

: kasutaja seadistus

Vaja on konfigureerida kasutaja juurdepääsu parameetrid; Peate määrama ja lisama võrguliideseid, valima kasutajatele saadaolevad võrguteenused. Ärge unustage seadistada VPN-ühenduste reegleid ja teie kohalikus võrgus töötavate teenuste reegleid. Kasutajate lisamiseks programmi soovitame need esmalt rühmadesse jagada. Seda funktsiooni saab seadistada vahekaardil „Kasutajad ja rühmad”.

Rühmades peate looma juurdepääsuõigused, näiteks VPN-i kasutamise ja statistika vaatamise võimaluse.

Võrgus on domeen, kasutajate lisamine on väga lihtne. Peate lubama menüüs "Kasutajad" valiku "Kasuta domeeni kasutajaandmebaasi". Võrgus puudub domeen; kasutajaid tuleb käsitsi lisada, andes igaühele nime, e-posti aadressi, sisselogimise ja kirjelduse.

Statistika seadistamine

Kerio Control näitas Interneti-liikluse statistikat;

Peate jälgima kasutajastatistikat, et brauser saaks iga kasutaja automaatselt registreerida.

Ettevõttes on vähe töötajaid, igale arvutile on võimalik seadistada püsi IP ja iga kasutaja sellega siduda.

: sisu filtreerimine – seadistusvalikud

Turvasüsteemi konfigureerimiseks peate vahekaardilt "Konfiguratsioon" minema "Sisu filtreerimise" sätete juurde. Jaotises "Viirustõrje" saate konfigureerida viirusetõrje andmebaaside värskendamist ja kasutada märkeruutusid, et valida kontrollitavad protokollid.

HTTP-liikluse skannimise lubamiseks minge vahekaardile „HTTP-poliitika”. Aktiveerige "must nimekiri" ja lisage sellele keelatud sõnad. Teie lisatud maamärke kasutades blokeerib süsteem kohe kõik saidid, kus need väljendid ilmuvad. Paindlikuma filtreerimissüsteemi loomiseks looge reeglid alamjaotise „URL-i reeglid” abil.

: konfigureerige liikluseeskirju

Liikluseeskirju konfigureeritakse jaotise „Konfiguratsioon” kaudu. Minge vahekaardile „Liikluspoliitika” ja valige üks kolmest parameetrist, mida soovite konfigureerida. Jaotises “Liiklusreeglid” saate luua reeglid, mille abil reguleeritakse kasutaja juurdepääsu Internetile, sisu filtreerimist ja ühendust kaugkontorist.

Andke reeglile nimi. Veerus "Allikas" saate valida "Iga allikas", "Usaldusväärne allikas" või loetleda konkreetsed allikad. Veerus „Sihtkoht” peate märkima, kuhu andmed saadetakse, kas kohalikku võrku, VPN-tunnelisse või Internetti. Üksus "Teenused" on mõeldud kõigi teenuste ja sadamate loendisse lisamiseks, mille abil konkreetne reegel rakendub.

Koormuse tasakaalustamise seadistamine

Võrguliikluse juhtimiseks ja selle ratsionaalseks jaotamiseks olulisemate edastuskanalite vahel on vaja konfigureerida koormuse tasakaalustamine. Seega on kasutajate juurdepääs Internetile optimeeritud. Jaotades liikluse tähtsaimal ühenduskanalil oluliste andmete edastamiseks, on Internet alati katkematu.

Võrguliikluse mahu määramiseks rakendab programm QoS-i tuge. Saate luua prioriteetse kanali maksimaalse läbilaskevõime, peatades samal ajal madala prioriteediga liikluse. Koormuse tasakaalustamist on võimalik konfigureerida mitme ühenduse vahel.

NAT: seadistus

Kerio tulemüüri abil saate tagada turvalise arvutiühenduse kohaliku võrguga. Looge mõnele kaugkontoris olevale töötajale Interneti-juurdepääs ilma nendepoolsete tegevusteta. Selleks peate looma kohalikus võrgus VPN-ühenduse kaugkontorist. Installige ja konfigureerige liidesed Interneti-ühenduse loomiseks. Looge juhtpaneeli vahekaardil „Liikluspoliitika” reegel, mis lubab kohalikku liiklust.

Ärge unustage allikas märkida kõiki vajalikke objekte. Samuti peate looma reegli, mis võimaldab kohalikel kasutajatel Internetti pääseda. Peate konfigureerima NAT-i, hoolimata loodud reeglitest pole Interneti-juurdepääs ilma seda funktsiooni lubamata võimalik. Valige vahekaardil „Liikluspoliitika” jaotis „Edastamine” ja märkige ruut „Luba NAT-i allikas”. Määrake tasakaalustamise tee.

: liidese konfiguratsioon

Liidesed konfigureeritakse kohe pärast programmi installimist. Kui olete juba aktiveerinud selle, mis osteti, ja valinud Interneti-ühenduse tüübi, võite alustada liideste seadistamist. Avage halduskonsooli jaotis "Liidesed". Programm ise tuvastab liidesed, mis on Internetiga ühendatud ja juurdepääsetavad. Kõik nimed kuvatakse loendina.

Kui liideste koormus on jaotatud (Interneti-ühenduse tüübi valimine), saate võrguliideseid lisada piiramatul arvul. Igaühele neist määratakse maksimaalne võimalik koormus.