Kerio control 9 paigaldamine ja seadistamine. Automaatne versiooniuuenduse režiim. Migreerimine seadmeplatvormile

Arhiivi tee on näidatud järgmistel piltidel:

Oletame, et lähete üle KWF 6.7.1 uusimalt versioonilt, teie eesmärk on Kerio Control Appliance 8.3 tööversioon (rakenduse praegune versioon 2014. aasta aprilli seisuga)

Sel juhul on ülemineku peamiseks "raskuseks" vajadus teostada mitte otsest värskendamist versioonilt KWF 6.7.1 versioonile Kerio Control 8.3, vaid järjestikust üleminekut mõnele "peamisele" versioonile. See vajadus tuleneb mõne funktsiooni "peamiste" versioonide lisamisest konfiguratsioonifailidesse, mis nõuavad pärast rakenduse installimist järeltöötlust.
KWF 6.7.1 versioonilt Kerio Control 8.3 üleminekuks peate täitma järgmised täiendustoimingud.

1. Minge üle Kerio Controli versioonile 7.0.0
2. Minge üle Kerio Controli versioonile 7.1.0
3. Minge üle Kerio Controli versioonile 7.4.2 (Windowsi lõplik versioon)

Vajalikud distributsioonid saate alla laadida meie väljaannete arhiivist.
Versioonilt versioonile värskendamise protsess ise on uue versiooni tavaline installimine vana versiooni peale. Installiprogramm sulgeb automaatselt Kerio Controli (Kerio Winroute Firewall) süsteemiteenuse, määrab Kerio Controli (Kerio Win-route Firewall) praeguse versiooni installikataloogi ja asendab värskendamist vajavad rakendusfailid; rakenduse ja kasutaja konfiguratsiooni logifailid salvestatakse muutmata kujul. Konfiguratsioonifailid salvestatakse spetsiaalsesse kataloogi “UpgradeBackups”, mis asub kataloogi %programmfiles%\Kerio\ juurtes.

Videolõik standardsest värskendusprotsessist:

Üleminek Kerio Controli 7.4.2 uusimale Windowsi versioonile on selle platvormi viimane värskendusetapp. Ülemineku järgmised etapid on Appliance platvormi ettevalmistamine, konfiguratsiooni, logide andmebaasi ja kasutajastatistika ülekandmine.

Üleminek seadmeplatvormile.

Selles jaotises vaatleme erinevate Kerio Control Appliance'i distributsioonide juurutamisvalikuid.

Tarkvaraseadmete paigaldamine

Seda installipaketi versiooni saab juurutada järgmistel viisidel.

ISO-pildi saab põletada füüsilisele CD-le või DVD-le, mida tuleb seejärel kasutada Kerio Controli installimiseks füüsilisse või virtuaalsesse hosti.
Kui kasutate virtuaalseid personaalarvuteid, saab ISO-kujutise paigaldada virtuaalse CD/DVD-ROMina, et sellelt installida, ilma et oleks vaja seda füüsilisele andmekandjale kirjutada.
ISO-pildi saab kirjutada USB-mälupulgale ja sealt installida. Täpsemad juhised leiate meie teadmistebaasi vastavast artiklist (kb.kerio.com/928).

VMware Virtual Appliance'i installimine

Kerio Control VMware Virtual Appliance'i installimiseks erinevatele VMware'i virtualiseerimistööriistadele kasutage Kerio Control VMware Virtual Appliance'i levitamiskomplekti sobivat versiooni:

VMware Serveri, Workstationi, Playeri, Fusioni jaoks kasutage ZIP-faili (*.zip) VMX-fail:

Virtuaalse mooduli installimine VMware pleierisse

VMware ESX/ESXi/vSphere Hypervisori puhul kasutage virtuaalse mooduli importimiseks spetsiaalset OVF linki, mis näeb välja järgmine:

http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf

VMware ESX/ESXi laadib automaatselt OVF-i konfiguratsioonifaili ja vastava virtuaalse kõvaketta kujutise (.vmdk)
OVF-vormingu kasutamisel tuleb arvestada järgmiste aspektidega:

Virtuaalses moodulis Kerio Control on aja sünkroonimine virtualiseerimisserveriga keelatud. Kerio Controlil on aga sisseehitatud tööriistad aja sünkroonimiseks avaliku võrgu ajaallikatega Internetis. Seetõttu on virtuaalmasina ja virtualiseerimisserveri vahelise sünkroonimise kasutamine valikuline.
Virtuaalse masina väljalülitamise ja taaskäivitamise ülesanded seatakse vaikeväärtustele. Võimalus seada need väärtused sundseiskamise ja sunniviisilise taaskäivitamise režiimile säilib, kuid need sulgemis- ja taaskäivitusvalikud võivad Kerio Controli virtuaalses moodulis põhjustada andmete kadu. Kerio Controli virtuaalmoodul toetab nn. Pehme väljalülitamine ja pehme taaskäivitamine võimaldavad külaliste OS-i õigel viisil sulgeda või taaskäivitada, seega on soovitatav kasutada vaikeväärtusi.

Virtuaalse seadme (ovf) installimine VMware vSphere'i

Virtuaalse seadme installimine Hyper-V jaoks

Laadige alla pakitud (*.zip) distributsioon ja pakkige see soovitud kausta lahti.
Looge uus virtuaalmasin, valige suvand "Kasuta olemasolevat virtuaalset kõvaketast", määrates kettapildiks allalaaditud arhiivist lahtipakitud faili

Virtuaalse mooduli installimine MS Hyper-V-sse

Järgmine oluline punkt Appliance platvormile ülemineku ettevalmistamisel on võrguliideste õige seadistamine valitud Appliance platvormil.

Võrguliideste konfigureerimine tarkvaraseadmes

Kerio Control Software Appliance'i pseudograafiline liides annab võimaluse konfigureerida IP-aadressi/mitu aadressi staatilises või dünaamilises režiimis, luua VLAN-liideseid ja konfigureerida liidest PPPoE režiimis.

Märge: Võrguliideste esialgne konfiguratsioon Kerio Control Software Appliance'i distributsioonis on kõigi Kerio Control Appliance'i järgude puhul identne; erinevusi on ainult virtuaalsete võrguliideste konfigureerimisel erinevates virtualiseerimiskeskkondades, kus Kerio Controli kasutada saab.

Virtuaalsete võrguliideste ettevalmistamine Hyper-V-s

Hyper-V virtuaalse lüliti õige ja minimaalselt nõutava konfiguratsiooni tegemiseks peate tegema järgmised toimingud.

Füüsiliste ja virtuaalsete võrguliideste kaardistamine

Virtuaalse sillateenuse olemasolu kontrollimine serveri füüsilistel võrguliidestel

Kerio Control Hyper-V virtuaalse seadme võrguliideste kiire seadistamise võimalusega tutvumiseks vaadake järgmist videot:

Virtuaalsete võrguliideste ettevalmistamine rakenduses VMware vSphere

Ligikaudu sama toimingute ahel kehtib ka virtuaalse võrguliidese ettevalmistamisel vSphere'is.

Mitme virtuaalse lüliti loomisel sõltub nende arv teie vajadustest virtuaalse võrgusuhtluse järele.

Virtuaalse lüliti loomine rakenduses VMware vSphere

Virtuaalsetele lülititele sobivate füüsiliste võrguliideste lisamine, et ettevõtte füüsiline kohtvõrk saaks nendega suhelda

Kaardistades loodud virtuaalsed lülitid Kerio Control VMware Virtual Appliance virtuaalse võrgu liidestega

Pärast seadmekoostu juurutamist ja võrguliideste konfigureerimist saate jätkata põhikasutaja konfiguratsiooni ülekandmist oma Kerio Controli Windowsi versioonist.
Konfiguratsiooni edastamise protsess ise koosneb kahest etapist:

Praeguse konfiguratsiooni salvestamine konfiguratsiooniabilise abil

Konfiguratsiooni salvestamisel on soovitatav meeles pidada, või veel parem, kirja panna oma praeguste võrguliideste MAC-aadressid ja nende vastavus kasutatud IP-aadressidele. Seda läheb vaja Kerio Control Appliance'i uue installi konfiguratsiooni taastamisel.

Konfiguratsiooni salvestamise protsess on näidatud allolevatel piltidel:

Pärast seda sammu olete salvestanud arhiivi, mis sisaldab kõiki Kerio Controli praeguse versiooni kasutaja konfiguratsioonifaile.

Järgmine samm on seadmesse varem salvestatud konfiguratsiooni taastamine. Konfiguratsiooni taastamisel palub konfiguratsiooniassistent võrrelda vanade võrguliideste konfiguratsiooni Kerio Control Appliance serveris kasutatavate uutega.

Märge: See on täpselt hetk, mil vajate vana serveri MAC- ja IP-aadresside kohta teavet, mille vana serverisse konfiguratsiooni salvestades üles kirjutasite või meelde jätsite.

Konfiguratsiooni taastamise protsess on näidatud allolevatel piltidel:

Konfiguratsiooni salvestamiseks taaskäivitub Kerio Control Appliance'i server automaatselt, misjärel saab seda kasutada.

Ja siit see lõbu algab! See, mida te allpool loete, ei ole kirjeldatud üheski ametlikus ega mitteametlikus dokumentatsioonis, st. siia paigutatakse mitu vastuvõetavat "reaalajas häkkimist", mille kasutamine aitab teil lõpetada nii olulise protsessi, ülemineku Kerio Control Appliance platvormile.

Ja nagu tavaliselt, enne tegeliku kirjelduse juurde liikumist tavaline "vastutusest loobumine":

TÄHTIS: Allpool kirjeldatud protseduur ei ole dokumenteeritud valik, nii et soovimatute tagajärgede vältimiseks looge enne andmete edastamise alustamist sellest täielik varukoopia, kopeerides andmed turvalisse salvestusruumi.

Ja nii astugem üle! Esmalt salvestame praeguse rakendusprotokolli andmebaasi. Selleks peate salvestama logifailid, mis asuvad määratud teel

%programfiles%\kerio\winroute firewall\logs\*

Nende andmete parima ohutuse tagamiseks on soovitatav need enne edastust varundada saadaolevasse turvalisse salvestuskohta.

Seejärel salvestame praeguse kasutajastatistika andmebaasi. Kogu see teave on koondatud Firebirdi andmebaasi faili, mis asub kaustas

%programfiles%\kerio\winroute firewall\star\data\

Sealt edasi vajame ainult faili star.fdb. Nende andmete parima ohutuse tagamiseks on soovitatav need enne edastust varundada saadaolevasse turvalisse salvestuskohta.

Pärast kogu vajaliku teabe leidmist ja salvestamist peame selle üle kandma uude serverisse, kus töötab Kerio Control Appliance. Selleks tuleb eelnevalt salvestatud andmete Kerio Control Appliance'i üleslaadimisel esimese asjana SSH lubada. server SFTP-juurdepääsu teostamiseks. Selleks tuleb Kerio Controli halduse veebiliideses minna menüüsse Olek -> Süsteemi olek, vajutage ja hoidke all klahvi "Shift" ja klõpsake " Tegevused" Valige rippmenüüst " Luba SSH", kinnitage oma tegevust, nõustudes ilmuvas aknas küsimusega.

Pärast seda peate veenduma, et Kerio Controli liiklusreeglites lubate SSH kaudu juurdepääsu Kerio Control Appliance'i hostile vajalikust asukohast.

Kui olete SSH lubanud ja vastava juurdepääsu lubanud, peate looma ühenduse Kerio Control Appliance serveriga, et laadida sinna üles vajalikud logiandmed ja kasutajastatistika andmebaas. Selleks kasutame WinSCP rakendust, mis võimaldab ühendusi SFTP protokolli kaudu.
Kerio Control Appliance serveriga ühenduse loomiseks peate määrama kasutajanime ja juurdepääsuparooli, kasutajanimeks sisestage nimi "root" (ilma jutumärkideta); Parooli jaoks sisestage Kerio Controli sisseehitatud administraatori konto parool.

sFTP ühenduse parameetrid Kerio Control serveriga

Pärast ühenduse loomist peate oma andmed paigutama teatud serveri kaustadesse. Logifailid tuleb kausta kopeerida /var/winroute/logs ja kaustas olev kasutajastatistika fail /var/winroute/star/data ja vanad failid tuleb kas kustutada või ümber nimetada.

Märge: Parem on vanad failid ümber nimetada, et salvestada praeguste andmete varukoopia. Rakenduste logifailide puhul tuleb vanad failid ümber nimetada ainult *.log laiendiga

Pärast kopeerimise lõpetamist peate taaskäivitama Kerio Control teenuse. Selleks peate saama otsese juurdepääsu Kerio Control Appliance serverile. Tarkvaraseadme puhul on juurdepääs selle serveri monitori ja klaviatuuri kaudu, millele Kerio Control Software Appliance on installitud. Kerio Controli virtuaalmooduli puhul tagatakse juurdepääs vastava virtualiseerimiskeskkonna konsooli kaudu. Kõigis muudes aspektides on toimingud samad.

Pseudograafiliselt konsoolilt käsurea liidesele lülitumiseks vajutage klahvikombinatsiooni “Alt-F2”. Kui teil palutakse sisestada kasutajanimi, sisestage nimi "root" (ilma jutumärkideta), vajutage "enter" ja sisestage parooliväljale Kerio Controli sisseehitatud administraatori konto parool.

Märge: Tuleb arvestada, et Linuxi operatsioonisüsteemides ei näita parooli sisestamist isegi tärniga ikoonid ning vea tegemisel pole võimalik seda parandada – tuleb parool uuesti sisestada.

Sisestage käsureale järgmine tekst:

/etc/boxinit.d/60winroute restart

See käsk taaskäivitab Kerio Controli deemoni (teenuse), misjärel Kerio Control “korjab” eelnevalt kopeeritud rakendusprotokolli ja kasutajastatistika andmed.

Peale Kerio Controli deemoni käivitamist tuleb kontrollida edastatavate andmete terviklikkust, selleks saab kasutada kasutajastatistika veebiliidest ja/või Kerio Controli rakenduse halduse veebiliidest.

Kui kõigi andmetega on kõik korras, siis võid lugeda uuele Kerio Control Appliance platvormile ülemineku lõppenuks ning jääb üle teha Kerio Controli praegusele versioonile värskendamise standardprotseduur. Kui mõne andmete osaga "kõik pole korras", on kaks võimalust:
1) veenduge, et allika Kerio Control (KWF) serverist võetud andmed olid algselt korras;)
2) kui algandmetega on kõik korras, siis tuleb korrata protseduuri selle andmeosa ülekandmiseks, millega probleeme oli.
3) kui lahendused lõigetest. 1 ja 2 ei aidanud, siis jäta siia kommentaar ja proovime koos välja mõelda :)

Nüüd, kui kõik olulised andmed on paigas, saate Kerio Control Appliance'i versiooni „uuendada“ uusimale versioonile. Regulaarne värskendusprotsess võib toimuda kahel viisil, automaat- ja käsitsirežiimis.

Automaatne versiooniuuenduse režiim.

Kerio Control saab Kerio värskendussaidilt automaatselt otsida uusi versioone.

Lisavalikud", vahekaardile " Kontrolli kas uuendused on saadaval»
Luba valik " Kontrollige perioodiliselt uusi versioone" Kerio Control kontrollib uusi versioone iga 24 tunni järel. Niipea kui uue versiooni olemasolu on kindlaks tehtud, kuvatakse Kontrolli kas uuendused on saadaval» kuvatakse värskenduse allalaadimise link. Kohe värskenduse kontrollimiseks klõpsake nuppu " Kontrollige kohe»
Kui soovite värskendatud versioonid kohe pärast nende avastamist alla laadida, lubage suvand " Laadige uued versioonid automaatselt alla" Niipea kui uus versioon on alla laaditud, saate administratsiooni veebiliideses vastava teate.
Pärast värskenduse allalaadimist klõpsake nuppu " Uuendage kohe»
Kinnitage oma kavatsust Kerio Controli värskendada ja sellele järgnev automaatne taaskäivitamine
Oodake, kuni uue versiooni installimine on lõppenud ja Kerio Control taaskäivitub.
Värskendus on lõpetatud.

Käsitsi versiooniuuenduse režiim.

See värskendusrežiim võib olla kasulik järgmistel juhtudel.

Kerio Controli eelmisele versioonile tagasipöördumine
Värskendamine vahepealsele versioonile või mitte järgmisele versioonile (näiteks suletud beetaversioonile).
Lüüsi värskendamine, kui ITU jaoks on Interneti-ressurssidele juurdepääsul maksimaalsed piirangud.

Värskenduse käsitsi tegemiseks peate Kerio Controli allalaadimislehelt (http://www.kerio.ru/support/kerio-control) alla laadima spetsiaalse pildi (Upgrade Image).

Pärast allalaadimist toimige järgmiselt.

Avage halduse veebiliideses menüüelement " Lisavalikud", vahekaardile " Kontrolli kas uuendused on saadaval»
Klõpsake nuppu " Valik»
Määrake täienduse pildifaili asukoht (kerio-control-upgrade.img)
Klõpsake nuppu " Laadige alla versiooniuuenduse fail»
Pärast allalaadimist klõpsake nuppu Alusta versiooniuuendust»
Oodake Kerio Controli versiooniuuendust ja taaskäivitamist
Värskendus on lõpetatud.

Voila, teil on Kerio Control Appliance'il põhinev täieõiguslik Interneti-lüüs! Õnnitleme UTM Kerio Controlile ülemineku lõpetamise puhul!

Küsitluses saavad osaleda ainult registreerunud kasutajad.

Kerio Control kuulub sellesse kategooriasse tarkvara, mis ühendavad laia valikut funktsionaalsust lihtsa rakendamise ja kasutamisega. Täna vaatame, kuidas saab selle programmi abil korraldada töötajate seas grupitööd Internetis, samuti kaitsta kohalikku võrku usaldusväärselt väliste ohtude eest.

kuulub toodete kategooriasse, milles lai valik funktsionaalsusi on ühendatud juurutamise ja kasutamise lihtsusega. Täna vaatame, kuidas saab selle programmi abil korraldada töötajate seas grupitööd Internetis, samuti kaitsta kohalikku võrku usaldusväärselt väliste ohtude eest.

Toote juurutamine algab selle installimisega arvutisse, mis täidab Interneti-lüüsi rolli. See protseduur ei erine mis tahes muu tarkvara installimisest ja seetõttu me sellel pikemalt ei peatu. Märgime ainult, et selle protsessi käigus keelatakse mõned Windowsi teenused, mis segavad programmi tööd. Kui installimine on lõppenud, võite jätkata süsteemi konfigureerimist. Seda saab teha kas kohapeal, otse Interneti-lüüsis või eemalt, mis tahes arvutist, mis on ühendatud ettevõtte võrku.

Kõigepealt käivitame standardmenüü kaudu " Alusta"halduskonsool. Seda kasutatakse kõnealuse toote seadistamiseks. Mugavuse huvides saate luua ühenduse, millega saate tulevikus kiiresti ühenduse luua. Selleks tehke üksusel topeltklõps" Uus ühendus", märkige aknas, mis avab toote (Kerio Control), hosti, millele see on installitud, samuti kasutajanime, seejärel klõpsake nuppu " Salvesta kui" ja sisestage ühenduse nimi. Pärast seda saate ühenduse luua. Selleks topeltklõpsake loodud ühendusel ja sisestage oma parool.

Kerio Controli põhihäälestus

Põhimõtteliselt saab kõiki tööparameetreid käsitsi konfigureerida. Kuid esmaseks rakendamiseks on palju mugavam kasutada spetsiaalset viisardit, mis käivitub automaatselt. Esimesel etapil palutakse teil tutvuda süsteemi põhiteabega. Siin on ka meeldetuletus, et Kerio Controli töötav arvuti peab olema ühendatud kohtvõrku ja omama töötavat internetiühendust.

Teine etapp on Interneti-ühenduse tüübi valimine. Siin on saadaval neli võimalust, mille hulgast peate valima teie kohaliku võrgu jaoks sobivaima.

Püsijuurdepääs – internetilüüsil on püsiühendus Internetiga.
Dial-on-demand – loob vajadusel iseseisvalt Interneti-ühenduse (kui RAS-i liides on saadaval).
Ühenda uuesti tõrke korral – Interneti-ühenduse katkemisel lülitub see automaatselt teisele kanalile (vajalik on kaks Interneti-ühendust).
Kanalite koormuse tasakaalustamine - kasutab korraga mitut sidekanalit, jaotades koormuse nende vahel (vajalik on kaks või enam Interneti-ühendust).

Kolmandas etapis peate määrama Interneti-ühenduse võrguliidese või -liidesed. Programm ise tuvastab ja kuvab kõik saadaolevad liidesed loendi kujul. Seega saab administraator valida ainult sobiva valiku. Väärib märkimist, et kahte esimest tüüpi ühenduste puhul peate installima ainult ühe liidese ja kolmandas - kaks. Neljanda valiku seadistus erineb pisut teistest. See annab võimaluse lisada mis tahes arvu võrguliideseid, millest igaühe jaoks peate määrama maksimaalse võimaliku koormuse.

Neljas samm on valida kasutajatele kättesaadavad võrguteenused. Põhimõtteliselt saate valida valiku " Piiranguid pole". Enamasti pole see siiski täiesti mõistlik. Parem on märkida linnukesega need teenused, mida tõesti vaja läheb: HTTP ja HTTPS veebisaitide sirvimiseks, POP3, SMTP ja IMAP meiliga töötamiseks jne.

Järgmine samm on VPN-ühenduste reeglite konfigureerimine. Selleks kasutatakse ainult kahte märkeruutu. Esimene määrab, milliseid kliente kasutajad serveriga ühenduse loomiseks kasutavad. Kui need on „natiivsed”, st Kerio välja antud, tuleb märkeruut aktiveerida. Vastasel juhul, näiteks sisseehitatud Windowsi tööriistade kasutamisel, tuleb see keelata. Teine märkeruut määrab võimaluse kasutada Kerio Clientless SSL VPN-i funktsiooni (failide, kaustade haldamine, alla- ja üleslaadimine veebibrauseri kaudu).

Kuues samm on luua reeglid teenustele, mis töötavad kohalikus võrgus, kuid peavad olema juurdepääsetavad ka Internetist. Kui lubasid eelmises etapis Kerio VPN Server või Kerio Clientless SSL VPN tehnoloogia, siis konfigureeritakse kõik nende jaoks vajalik automaatselt. Kui peate tagama muude teenuste (ettevõtte meiliserver, FTP-server jne) kättesaadavuse, klõpsake nende kõigi jaoks nuppu " Lisama", valige teenuse nimi (avanevad valitud teenuse standardpordid) ja vajadusel määrake IP-aadress.

Lõpuks on häälestusviisardi viimane ekraan hoiatuseks enne reegli loomise protsessi algust. Lihtsalt lugege seda ja klõpsake nuppu " Täielik"

Põhimõtteliselt on viisard pärast töö lõpetamist juba töökorras. Siiski on mõttekas mõnda parameetrit veidi kohandada. Eelkõige saate määrata ribalaiuse kasutamise piiranguid. See ummistub kõige rohkem suurte mahukate failide edastamisel. Seetõttu saate piirata selliste objektide allalaadimise ja/või üleslaadimise kiirust. Selleks jaotises " Seadistamine"vaja avada sektsioon" Ribalaiuse piirang", lubage filtreerimine ja sisestage suurte failide jaoks saadaolev ribalaius. Vajadusel saate muuta piirangu paindlikumaks. Selleks klõpsake nuppu " Lisaks" ja määrake aknas, mis avab teenused, aadressid ja filtrite ajaintervallid. Lisaks saate kohe määrata suureks peetavate failide suuruse.

Kasutajad ja rühmad

Pärast süsteemi esialgset seadistamist saate alustada kasutajate lisamist. Siiski on mugavam need kõigepealt rühmadesse jagada. See muudab nende haldamise edaspidi lihtsamaks. Uue grupi loomiseks avage " Kasutajad ja rühmad-> Grupid" ja klõpsake nuppu " Lisama". See avab kolmest sammust koosneva spetsiaalse viisardi. Esimeses etapis peate sisestama grupi nime ja kirjelduse. Teises saate kohe lisada kasutajaid, kui nad muidugi juba on loodud Kolmandas etapis tuleb määratleda grupi õigused: juurdepääs süsteemihaldusele, erinevate reeglite keelamise võimalus, VPN-i kasutamise luba, statistika vaatamine jne.

Pärast rühmade loomist saate jätkata kasutajate lisamisega. Lihtsaim viis seda teha on, kui domeen on juurutatud ettevõtte võrgus. Sel juhul minge lihtsalt jaotisesse " Kasutajad ja rühmad-> Kasutajad", avage vahekaart Active Directory, lubage märkeruut " Kasutage domeeni kasutajate andmebaasi" ning sisestage sellesse andmebaasi juurdepääsuõigust omava konto sisselogimine ja parool. Sel juhul kasutatakse domeenikontosid, mis on loomulikult väga mugav.

Vastasel juhul peate kasutajad käsitsi sisestama. Selleks on antud jaotise esimene vahekaart. Konto loomine koosneb kolmest etapist. Esimesel peate määrama sisselogimise, nime, kirjelduse, e-posti aadressi ja autentimisparameetrid: sisselogimise ja parooli või Active Directory andmed. Teises etapis saate lisada kasutaja ühte või mitmesse rühma. Kolmandas etapis on võimalik tulemüürile ja teatud IP-aadressidele juurdepääsuks automaatselt konto registreerida.

Turvasüsteemi seadistamine

See rakendab palju võimalusi ettevõtte võrgu turvalisuse tagamiseks. Põhimõtteliselt oleme juba tulemüüri seadistades hakanud end kaitsma väliste ohtude eest. Lisaks rakendab kõnealune toode sissetungimise vältimise süsteemi. See on vaikimisi lubatud ja konfigureeritud optimaalselt toimima. Nii et te ei pea seda puudutama.

Järgmine samm on viirusetõrje. Väärib märkimist, et see pole saadaval kõigis programmi versioonides. Pahavaratõrje kasutamiseks tuleb see osta koos sisseehitatud viirusetõrjega või installida Interneti-lüüsi väline viirusetõrjemoodul. Viirusetõrje lubamiseks peate avama jaotise " Seadistamine -> Sisu filtreerimine -> Viirusetõrje". Selles peate aktiveerima kasutatava mooduli ja märkima kontrollitavate protokollide märkeruutude abil (soovitav on kõik lubada). Kui kasutate sisseehitatud viirusetõrjet, peate lubama tõrjeprogrammi värskendamise. viiruste andmebaasid ja määrake selle protseduuri teostamise intervall.

Järgmisena peate konfigureerima HTTP-liikluse filtreerimissüsteemi. Seda saab teha jaotises " Konfiguratsioon->Sisu filtreerimine->HTTP-poliitika". Lihtsaim filtreerimisvalik on tingimusteta blokeerida saidid, mis sisaldavad sõnu "mustast" loendist. Selle lubamiseks minge vahekaardile " Keelatud sõnad" ja täitke avaldiste loend. Siiski on olemas paindlikum ja usaldusväärsem filtreerimissüsteem. See põhineb reeglitel, mis kirjeldavad tingimusi kasutaja juurdepääsu blokeerimiseks teatud saitidele.

Uue reegli loomiseks minge vahekaardile " URL-i reeglid", paremklõpsake väljal ja valige kontekstimenüüst " Lisama". Reegli lisamise aken koosneb kolmest vahekaardilt. Esimene määrab tingimused, mille korral see käivitatakse. Esiteks peate valima, kellele reegel kehtib: kõigile kasutajatele või ainult konkreetsetele kontodele. Pärast seda peate et määrata soovitud saidi URL-i sobitamise kriteerium. Selleks saate kasutada stringi, mis sisaldub Kerio veebifiltri süsteemis veebiprojekti aadressis, aadresside rühmas või reitingus (sisuliselt kategooria millele sait kuulub). Lõpetuseks tasub ära näidata süsteemi reaktsioon tingimuste täitmisele – luba või keela juurdepääs veebisaidile.

Teisel vahekaardil saate määrata intervalli, mille jooksul reegel rakendub (vaikimisi alati), samuti IP-aadresside rühma, millele see kehtib (vaikimisi kõik). Selleks peate lihtsalt valima eelseadistatud väärtuste ripploenditest sobivad üksused. Kui ajaintervallid ja IP-aadresside rühmad pole veel määratud, saate nuppude "Muuda" abil avada soovitud redaktori ja need lisada. Samuti saate sellel vahekaardil määrata programmi toimingu, kui sait on blokeeritud. See võib olla teatud keeldumistekstiga lehe väljastamine, tühja lehe kuvamine või kasutaja suunamine teatud aadressile (näiteks ettevõtte veebisaidile).

Kui ettevõtte võrk kasutab traadita tehnoloogiaid, on mõttekas lubada MAC-aadressi filter. See vähendab oluliselt erinevate seadmete volitamata ühendamise ohtu. Selle ülesande täitmiseks avage jaotis " Konfiguratsioon->Liikluspoliitika->Turvaseaded". Aktiveerige selles märkeruut " MAC-aadressi filter on lubatud", seejärel valige võrguliides, millele see levitatakse, lülitage MAC-aadresside loend valikule " Lubage võrku pääseda ainult loetletud arvutitel" ja täitke see ettevõttele kuuluvate juhtmeta seadmete üksikasjadega.

Teeme kokkuvõtte

Niisiis, nagu näeme, on laiast funktsionaalsusest hoolimata üsna lihtne korraldada selle abiga korporatiivvõrgu kasutajate rühmatööd Internetis. On selge, et oleme käsitlenud ainult selle toote põhiseadet.

Teatas oma lipulaeva toote – Kerio Controli tulemüüri – uuendatud versiooni väljalaskmisest. Uus versioon 9.1 on saanud mitmeid täiustusi ja uusi funktsioone. Tõenäoliselt oli selle väljaande peamine omadus tulemüüri automaatse värskendamise funktsioon. See võimaldab automatiseerida uue versiooni juurutamise protsessi olemasolevas võrguinfrastruktuuris. Lisaks on ettevõtte insenerid lisanud väikestele ja keskmise suurusega ettevõtetele mõeldud terviklikule võrguturbelahendusele mõned uued võimalused, sealhulgas rakenduste juhtimise ja turvalise sisu filtreerimise. Pange tähele, et Kerio Control 9.0 põhiväljalase toimus eelmise aasta lõpus. Tulemüüri üheksas versioon tutvustas MyKerio jagatud määratlusi, kaitset teenuse keelamise rünnakute eest, MyKerio teenuse kahefaktorilist autentimist ja palju muud. Aga kõigepealt asjad kõigepealt.

Kui räägime uue versiooni juhtpaneelist, võite märgata mitmeid täiustusi, mis on seotud ikoonide ja plaatide paigutusega. Nagu ikka, saab administraator oma asukohta muuta ja valida enda seisukohast optimaalse liidese tüübi.

Arvestage, et süsteemi esmakordsel arvutisse või virtuaalmasinasse installimisel palutakse kasutajal vaikimisi lisada MyKerio teenusesse uus Kerio Control selle hilisemaks kaughalduseks.

Seejärel saab administraator eraldi menüüst “Kaugteenused” tulemüüril MyKerio teenuse aktiveerida.

Tuletame meelde, et MyKerio teenus ilmus Kerio toodetesse mitte väga ammu, kuid juba praegu on selge, et see funktsioon on väga mugav mitmete tulemüüride ja Kerio toodetega töötamiseks. Tasub teada, et lisaks tulemüüri lisamisele administraatoripaneelilt on Kerio Controli võimalik ühendada ka selle seerianumbri ja litsentsinumbri abil. Teenus toetab kahefaktorilist autentimist, kasutades populaarseid rakendusi, nagu Google Authenticator ja FreeOTP Authenticator, et suurendada pilvepõhise tsentraliseeritud veebiliidese turvalisust, võimaldades IT-administraatoritel konfigureerida täiendava autentimisvormina ajasünkroniseeritud kuuekohalist koodi. Ettevõtete omanikud võivad olla kindlad, et võrgu turvalisus säilib ka sel ebatõenäolisel juhul, kui paroolid satuvad valedesse kätesse.

MyKerio teenus võimaldab teil Kerio Controli tulemüüre kaughaldada ja, mis kõige tähtsam, mõningaid sätteid ühelt teisele üle kanda. See võimaldab administraatoritel üle kanda URL-ide rühmi, IP-aadressi vahemikke ja ajavahemikke. Kõiki neid haldusteenuse funktsioone nimetatakse "Jagatud definitsioonideks" ja suure tõenäosusega täiendatakse nende loendit Kerio Controli tulevastes versioonides. Probleemide kiireks lahendamiseks ja administraatorite teavitamiseks kuvatakse põhiekraanil olulised teated ühendatud tulemüüri töö kohta.

Mis puudutab Kerio Control 9.1 värskendatud versiooni, siis see lisas võimaluse Kerio sätetest automaatselt varukoopiaid luua. Kui varem sai seadete varukoopiaid üles laadida teenusesse Samepage.io või FTP-sse, siis nüüd on see funktsioon saadaval ainult FTP ja MyKerio teenuse jaoks. Sätete tsentraliseeritud salvestamine võib oluliselt lihtsustada Kerio Controli juurutamist arvutites ja virtuaalmasinates pärast võimalikke tõrkeid või tulemüüri nullist installimist.

Uus Kerio Control 9.1 pakub ka MyKerio rakendust iPhone'ile ja Apple Watchile, pakkudes reaalajas jälgimist ja märguandeid kõigi ühendatud seadmete jaoks. Kui olek muutub, teavitatakse teid kohe, mis võimaldab teil kõik probleemid kiiresti lahendada.

Tõenäoliselt on selle Kerio Controli versiooni üks olulisemaid omadusi tulemüüri automaatse värskendamise võimalus. Kui Kerio Control seade on võrku ühendatud, installib see automaatselt ja koheselt juhtimistarkvara uuendatud versiooni ning hakkab kaitsma võrku, kasutajaid ja varasid.

Lisaks automaatsele värskendusele on administraatoritel võimalus värskendamise intervalle muuta. Näiteks vaikimisi saabuvad värskendused ainult nädalavahetustel.

Soovi korral saate seadistada mis tahes ajavahemikke, mida saab hiljem MyKerio teenuse kaudu sünkroonida teiste Kerio toodetega. See pilvetehnoloogia, mis võimaldab seda protsessi automatiseerida, on eriti asjakohane, kui töötate mitme seadmega, kuhu on installitud Kerio tooted.

järeldused

Nagu alati, püüab Kerio muuta süsteemiadministraatorite töö võimalikult lihtsaks, pakkudes samal ajal oma Kerio Controli tulemüüri kaudu kõrgeimat turvalisuse taset. Värskendatud versioon toob kindlasti kaasa selle süsteemi automaatse värskendamise ühe oodatuima funktsiooni, nii et pole kahtlust, et lõppkasutajad seda nõuavad. Loodame, et MyKerio kaugjuhtimisrakenduse Android-seadmetele ilmumine ei lase end kaua oodata, sest internetiajastul tuleb see funktsioon alati kasuks. Kerio Controli uusima versiooni, nagu alati, saab alla laadida ettevõtte ametlikult veebisaidilt.

Oma organisatsiooni kohalikus võrgus juhtimise korraldamiseks valisime Kerio Control Software Appliance 9.2.4. Varem kandis seda programmi nime Kerio WinRoute Firewall. Me ei kaalu plusse ja miinuseid ning miks ka Kerio valiti, asume otse asja juurde. Programmi versioon 7 ja uuem on installitud tühjale metallile ilma operatsioonisüsteemita. Sellega seoses on ette valmistatud eraldi arvuti (mitte virtuaalne masin), millel on järgmised parameetrid:

AMD 3200+ protsessor;

kõvaketas 500 GB; (palju vähem vaja)

— Võrgukaart – 2 tk.

Me paneme arvuti kokku, sisestame 2 võrgukaarti.

Linuxi-laadse süsteemi installimiseks peate looma buutiva andmekandja - mälupulga või ketta. Meie puhul loodi mälupulk UNetbootini programmi abil.

Laadige alla Kerio Control Software Appliance. (saate osta litsentsi või alla laadida pildi sisseehitatud aktivaatoriga)

Kerio pildi maht ei ületa 300MB, mälupulga suurus on sobiv.

Sisestage mälupulk oma arvuti või sülearvuti USB-pessa.

Vormindame selle Windowsi abil FAT32-s.

Käivitage UNetbootin ja valige järgmised sätted.

Me ei puuduta levitamist.

Pilt – ISO standard, märkige allalaaditud Kerio pildi tee.

Tüüp – USB-seade, valige soovitud välkmälu. OKEI.

Mõne aja pärast on buutitav mälupulk valmis. Klõpsake välju.

Sisestame käivitatava välkmälu ettevalmistatud arvutisse, lülitame selle sisse ja valige menüüs Boot USB-HDD-lt alglaadimine. Kui allalaadimine algab, valige linux.

Algab Kerio Control Software Appliance 9.2.4 installimine. Valige keel.

Lugege litsentsilepingut.

Aktsepteerime seda, vajutades klahvi F8.

Sisestage kood 135. Programm hoiatab, et kõvaketas vormindatakse.

Ootame installimise jätkumist.

Süsteem taaskäivitub.

Ootame jälle.

Lõpuks jõudsid nad kohale. Ekraanil kuvatav teade ütleb, et peate minema brauseris kirjutatud aadressile mis tahes arvutis, mis on ühendatud Kerioga samasse võrku.

Me ei tee seda praegu, vaid läheme Kerio enda võrgukonfiguratsiooni juurde.

Etherneti võrguliidese konfiguratsioon. Märgi tühikuga – määrake staatiline IP-aadress.

Ja me nimetame ta ametisse.

IP-aadress: 192.168.1.250

Alamvõrgu mask: 255.255.255.0

Kui enne tarkvara installimist olid võrgukaartidega ühendatud kaks vajalikku välis- ja sisevõrgu võrgujuhet, siis võite selle arvuti unustada. Panin selle nurka ja võtsin isegi monitori ära.

Nüüd lähen selle sülearvuti brauseris, milles käivitatav välkmäluseade loodi, aadressile:

https://192.168.1.250:4081/admin. Brauser võib teatada, et selle saidi turvasertifikaadiga on probleem. Klõpsake allpool – jätkake selle veebisaidi avamist ja teid suunatakse aktiveerimisviisardi juurde.

Loomulikult me ei edasta anonüümset statistikat; eemaldame märkeruudu.

Sisestage uus administraatori parool.

See on kõik. Tere Kerio.

Tuleb märkida, et sisevõrgu võrgukaardi valitud IP-aadress 192.168.1.250 otsustati muuta aadressile 192.168.1.1, et mitte paljusid seadmeid ümber seadistada. Võrk eksisteeris pikka aega ilma kontrollita ja Kerio tuli sinna lisada manustamise teel. Pärast IP-aadressi muutmist peate liidesesse pääsemiseks sisestama https://192.168.1.1:4081/admin. Allpool on ühenduse plokkskeem.

Algselt teostas kõiki marsruutimise ja DNS-i funktsioone modem IP-aadressiga 192.168.1.1. Kerio installimisel määrati modemile aadress 192.168.0.1 ja see pääseb juurde Kerio välisele võrgukaardile aadressiga 192.168.0.250. Aadressid samas alamvõrgus. Sisemine võrgukaart sai aadressi, mis modemil varem oli. Kõik staatiliste IP-aadresside ja registreeritud lüüsiga võrgus olevad seadmed (ja see on peaaegu kogu meie võrk) nägid uut lüüsi vanana ega kahtlustanud isegi asendamist :)

Kerio esmakordsel käivitamisel palub viisard teil liidesed konfigureerida. Saab konfigureerida ilma viisardit kasutamata. Vaatame kõike eespool kirjeldatut lähemalt.

Vahekaardil Liidesed valige Interneti-liidesed.

Me mõtleme välja sellise nime nagu Välisvõrk või Internet, vaikimisi on see kirjutatud WAN. Sisestame käsitsi IP-aadressi, maski, lüüsi ja DNS-i andmed, kõik modemiga samas alamvõrgus. OKEI.

Järgmisena valige üksuses Usaldusväärsed/kohalikud liidesed järgmine ühendus – meie sisevõrk. Olenevalt Kerio versioonist võib neid üksusi nimetada erinevalt. Mõtle välja nimi ja sisesta andmed nagu alloleval pildil. Välis- ja sisevõrk ei saa olla samas alamvõrgus. Seda ei tohiks unustada. DNS Keriolt. Me ei kirjuta lüüsi. OKEI.

Klõpsake ekraani paremas alanurgas nuppu Rakenda, seaded aktiveeritakse. Kontrollime teie Interneti-ühendust. Internet töötab.

Saate jätkata liiklusreeglite loomist, sisu filtreerimist, vaadata, kes torrente alla laadib ja võrku üle koormab, kiirust piirata või blokeerida. Ühesõnaga Kereo töötab täielikult ja sellel on palju seadistusi. Siin konfigureerib igaüks seda, mida ta vajab.

Mõelgem veel ühele olulisele punktile – sadamate avamisele. Enne Kereo installimist suunati pordid modemi serverisse. Samuti olid esialgu vajalikud pordid avatud serveris endas. Ilma nende portideta spetsiaalsed. Serveri tarkvara ei saa korralikult töötada. Kaaluge pordi 4443 avamist.

Modem HUAWEI HG532e, sisenege sellesse, selleks sisestage brauseri aadressiribale 192.168.0.1. Minge vahekaartidele Advanced—>NAT—> Port Mapping ja sisestage andmed nagu alloleval pildil.

Liides on meie ühendus (muide, marsruudirežiimis).

Protokoll – TCP/UDP.

Kaughost – ei midagi.

Väline algusport/lõppport – 4443 (väline port).

Sisemine host – 192.168.0.250 (Kereo välise võrgukaardi aadress).

Siseport – 4443 (siseport).

Kaardistamisnimi – mis tahes sõbralik nimi.

Tööpõhimõte on selline, et juurdepääs Internetist välisele staatilisele IP-aadressile pordile 4443 suunatakse ümber välisele Kerio võrgukaardile. Nüüd peame veenduma, et välise võrgukaardi päring suunatakse sisemisele võrgukaardile ja seejärel meie serverisse pordis 4443. Seda tehakse kahe reegli loomisega. Esimene reegel lubab juurdepääsu väljast, teine reegel lubab juurdepääsu seest.

Loome need kaks reeglit vahekaardil Liiklusreeglid. Erinevus on lähte- ja sihtpunktides. Teenus on meie port 4443. Vaata ülalt pilti.

Tehke jaotises Broadcast sätted nagu alloleval pildil. Märkige ruut - NAT Destination Address ja kirjutage sinna sihtserveri IP-aadress ja soovitud port. OKEI.