За проучување на производите на Kerio Technologies, која произведува различни безбедносни софтверски решенија за мали и средни бизниси. Според официјалната веб-страница на компанијата, повеќе од 60.000 компании ширум светот ги користат нејзините производи.

Специјалистите на SEC Consult открија многу пропусти во Kerio Control, UTM решението на компанијата, кое ги комбинира функциите на заштитен ѕид, рутер, IDS/IPS, антивирус на портал, VPN итн. Истражувачите опишаа две сценарија за напад кои му овозможуваат на напаѓачот не само да ја преземе контролата над Kerio Control, туку и над корпоративната мрежа што производот треба да ја заштити. Иако програмерите веќе објавија поправки за повеќето пронајдени грешки, истражувачите забележуваат дека сè уште е можно да се спроведе едно од сценаријата за напад.

Според истражувачите, решенијата на Kerio Control се ранливи поради небезбедната употреба на функцијата за несеријализирање на PHP, како и поради употребата на стара верзија на PHP (5.2.13), во која веќе се пронајдени сериозни проблеми. Експертите пронајдоа и голем број ранливи PHP скрипти кои овозможуваат напади на XSS и CSRF и ја заобиколуваат заштитата ASLR. Покрај тоа, според SEC Consult, веб-серверот работи со права на root и нема заштита од напади со брутална сила и нарушување на интегритетот на информациите во меморијата.

Шема на првото сценарио за напад

Првото сценарио за напад опишано од експерти вклучува експлоатација на неколку пропусти одеднаш. Напаѓачот ќе треба да користи социјален инженеринг и да ја намами жртвата на злонамерна локација која ќе биде домаќин на скрипта што ви овозможува да ја дознаете внатрешната IP адреса на Kerio Control. Потоа, напаѓачот треба да ја искористи грешката CSRF. Ако жртвата не е најавена во контролната табла на Kerio Control, напаѓачот може да ја употреби вообичаената брутална сила за да ги избере ингеренциите. Ова ќе бара XSS ранливост за да се заобиколи SOP заштитата. После тоа, можете да продолжите да го заобиколувате ASLR и да користите стара PHP бубачка (CVE-2014-3515) за да ја извршите школката како root. Всушност, после тоа, напаѓачот добива целосен пристап до мрежата на организацијата. Видеото подолу го прикажува нападот во акција.

Второто сценарио за напад вклучува експлоатација на RCE ранливост, која е поврзана со функцијата за ажурирање на Kerio Control и беше откриена пред повеќе од една година од еден од вработените во SEC Consult. Експертите предлагаат да се користи оваа грешка, која овозможува далечинско извршување на произволен код, во комбинација со ранливоста на XSS што овозможува проширување на функционалноста на нападот.

Експертите на Kerio Technologies беа известени за проблеми на крајот на август 2016 година. Во моментов, компанијата го објави Kerio Control 9.1.3, каде што повеќето пропусти се поправени. Сепак, компанијата одлучи да ги остави правата на root привилегиите на веб-серверот и засега, грешката RCE поврзана со функцијата за ажурирање останува непоправена.

Погрешното управување со пропусниот опсег во канцелариската мрежа (или недостатокот на такво управување) доведува до забележителни прекини: Интернетот е бавен, квалитетот на гласовните и видео комуникациите се намалува, итн. ќе помогне правилно да се даде приоритет и да се обезбеди доволен опсег за важен сообраќај.

За можностите на Kerio Control

Софтверското решение Kerio Control припаѓа на производите од класата UTM (Unified Threat Management) и обезбедува целосна заштита на работните станици и серверите при работа на Интернет. Решението е наменето за средни корпоративни мрежи и потекнува од добро познатиот производ WinRoute. Зборовите „сеопфатна заштита“ значат дека Kerio Control се состои од многу модули одговорни за различни аспекти на безбедноста, имено:

• заштитен ѕид;
• рутер;
• систем за откривање и спречување на упад (IPS/IDS);
• антивирусна заштита на сообраќајот;
• филтрирање на содржината на сообраќајот;
• следење и анализа на активноста на корисниците на Интернет;
• два VPN сервери - едниот базиран на неслободен протокол и вториот базиран на отворен стандард IPSec VPN;
• управување со пропусниот опсег и поддршка за QoS.

Во написот ќе зборуваме за последната ставка од оваа листа, но не и за последната по важност.

Проблеми со оптимизација на пристап до Интернет

Ајде да погледнеме неколку типични сценарија.

Прво:на менаџерот му треба неограничен пристап до пропусниот опсег, подобар од кој било друг. Патем, не мора за менаџерот - серверот што ја реплицира базата на податоци со далечински центар за податоци ќе бара гарантиран широк пропусен опсег.

Второ:менаџерите се жалат на слаба слушаност и исклучени повици. Или терминалот за плаќање прифаќа плаќање со картичка од трет пат, бидејќи не може да контактира со банката.

Трето:брзината на целата канцеларија наеднаш падна. Време е да провериме кој презема торенти на работа.

Сите овие сценарија бараат управување со пропусниот опсег, како што се приоритизација и откривање аномалии. Контролните задачи ќе изгледаат вака:

• VoIP бара пропусен опсег од 10 Mbps, не помалку, во секое време;
• стриминг податоците не треба да трошат повеќе од 100 kbps;
• сообраќајот на гости мора да биде одделен од работникот и да не се префрли на резервниот канал во случај на дефект на главниот;
• Привилегираниот сообраќај е поважен од редовниот сообраќај за време на работното време.

За да се формализира секоја од овие задачи, потребно е да се утврди за што и според кои критериуми даваме приоритет.

видови сообраќај.На прво место се онлајн видео конференции, телефонија, пренос на видео сигнал, VPN, тука пропусниот опсег е многу важен. На втората - нормален пристап до сајтови, датотеки, пошта. Најмал приоритет може да се постави за пристап до места за забава, купување итн.

Време на пристап.Може да се постават различни приоритети за работното време и за неработното време. Може да му дадете висок приоритет на серверот за периодот на репликација на податоците и да го ограничите остатокот.

Правило = формализирано ограничување

Кога ќе се дефинираат наведените критериуми, можете да преминете на правилата за ограничување на пропусниот опсег. Ајде да објасниме користејќи го примерот на решение Kerio за транспорт што се користи, на пример, на бродови. Ако бродот има сателитски канал со скап сообраќај и тесен опсег, а има широк канал достапен во пристаништата, јасно е како да се даде приоритет. На пример, вака:

Всушност, ова е сосема правило во Kerio Control.

Сега да се вратиме од бродот до канцеларијата и да го погледнеме примерот за IP телефонија. Ако бендот е преоптоварен, ова го намалува квалитетот на гласовната комуникација, што значи дека ќе дадеме приоритет на следниов начин:

И ова се исто така три правила во Kerio Control.

Слично, преку правилата се решаваат задачите за гарантиран широк пропусен опсег за управување и опрема, ограничувања за поврзување на гости и сл.

Управување со пропусен опсег во Kerio Control

На врвот на контролната табла Kerio Control, можете да видите листа на достапни интернет интерфејси. На пример, брз канал и бавен. Под него се локални мрежи, на пример, главната и гостинската.

Сега треба да ги мапираме интернет-интерфејсите на локалните мрежи, што ќе го направиме на табулаторот „Правила за сообраќај“. На пример, ние доделуваме сопствен интерфејс (најевтиниот) на гостинската мрежа, а гостите не ја затнуваат мрежата на главната канцеларија. Овде поставуваме и ограничувања за видовите сообраќај, на пример, само веб-пристап за гостите и секој сообраќај за нашиот сопствен.

Сега кога е поставено рутирањето на интерфејсот, време е да се даде приоритет на користењето на пропусниот опсег. Одиме во табулаторот Пропусен опсег и управување со QoS, создаваме правило за ВИП корисници, на него ги додаваме претходно создадените групи Сопственици (истите ВИП корисници) и Опрема (на која дефинитивно и треба добра врска) и поставуваме, на пример, 20% резервација на пропусниот опсег.

Важна точка - овие 20% се пресметуваат од опсегот наведен во поставките! Тука е важно да не се стави бројката што ја декларира давателот, туку вистинската пропусната моќ.

Сега создаваме правило за критичниот сообраќај и додаваме типови сообраќај во него: SIP VoIP, VPN, инстант пораки и далечински пристап.

И ние ќе резервираме за него, на пример, 3 Mbps за преземање и поставување.

Потоа ќе создадеме правило за важен сообраќај и ќе вклучиме типови сообраќај, како што се прелистување веб, пошта, мултимедија и FTP. И ќе ставиме ограничување на неговата потрошувачка не повеќе од 50% од пропусниот опсег, и тоа само во работно време.

Сега да создадеме правило за штетен сообраќај. Кога го избирате типот на сообраќај, ако кликнете во менито „Поврзување што одговара на правилото за содржина“, можете да го користите филтерот за содржина и да изберете социјални мрежи, продавници, сообраќај, игри итн. Можете исто така да го ограничите P2P. Поставете им строга граница од 256 kbps и оставете ги да преземат.

Сега да ги погледнеме гостите корисници. Јазичето Active Hosts го олеснува гледањето што се случува во моментов. Многу е веројатно дека ќе најдете гостин кој веќе наполнил гигабајти и продолжува да го користи вашиот Интернет со пристојна брзина.

Затоа, правиме правило за гостите. На пример, не надминувајте 5% од опсегот.

И понатаму. Како што се сеќавате, ние ги насочуваме гостите кон специфичен мрежен интерфејс. Правилото за ограничување на пропусниот опсег може да се конфигурира или да ограничува само еден специфичен мрежен интерфејс или сите мрежни интерфејси. Во вториот случај, ако го промениме интерфејсот врзан за гостинската мрежа, правилото ќе продолжи да работи.

И важна точка. Правилата работат по редоследот по кој се појавуваат во списокот, од врвот до дното. Затоа, има смисла да се постават правила кои филтрираат многу барања за пристап на почетокот.

Сето ова е детално опишано во написите за базата на знаење на Kerio.

• Поставување на брзината на врската (KB 1373)
• Конфигурирање на управување со пропусниот опсег (KB 1334)
• Конфигурирање на рутирање на политиката (KB 1314)
• Следење на активни хостови (KB 1593)

Пред и по оптимизација

Пред.Целиот сообраќај помина рамноправно, без приоритети. Во случај на застој, целиот сообраќај страда, вклучително и критичниот сообраќај.

По.Приоритет е даден на важен сообраќај. Механизмите за ограничување и резервација се конфигурирани по тип на корисник, тип на сообраќај, време.

Наместо заклучок

Видовме дека не е тешко да се ограничи пристапот до пропусниот опсег користејќи сопствени правила. Тоа е леснотијата на користење на своите производи што Kerio ја смета за своја најважна предност и ја одржува со текот на годините, и покрај нивната зголемена сложеност и функционалност.

Kerio Control спаѓа во таа категорија софтвер, кои комбинираат широк опсег на функционалност со леснотија на имплементација и работа. Денес ќе анализираме како оваа програма може да се користи за организирање на групна работа на вработени на Интернет, како и за сигурна заштита на локалната мрежа од надворешни закани.

спаѓа во категоријата производи во кои е комбиниран широк опсег на функционалност со леснотија на имплементација и работа. Денес ќе анализираме како оваа програма може да се користи за организирање на групна работа на вработени на Интернет, како и за сигурна заштита на локалната мрежа од надворешни закани.

Воведувањето на производот започнува со негова инсталација на компјутер кој ја игра улогата на интернет портал. Оваа постапка не се разликува од инсталирањето на кој било друг софтвер, и затоа нема да се задржиме на неа. Забележуваме само дека за време на тоа ќе бидат оневозможени некои услуги на Windows што ја спречуваат програмата да работи. Откако ќе заврши инсталацијата, можете да продолжите со конфигурацијата на системот. Ова може да се направи и локално, директно на интернет порталот и далечински, од кој било компјутер поврзан на корпоративната мрежа.

Пред сè, стартуваме преку стандардното мени " Започнете"управувачка конзола. Со негова помош, предметниот производ е конфигуриран. За погодност, можете да креирате врска со која ќе можете брзо да се поврзете во иднина. За да го направите ова, кликнете двапати на" Нова врска", наведете во прозорецот што го отвора производот (Kerio Control), домаќинот на кој е инсталиран и корисничкото име, потоа кликнете на " Зачувај како" и внесете име на врската. После тоа, можете да воспоставите врска со. За да го направите ова, кликнете двапати на креираната врска и внесете ја вашата лозинка.

Основна конфигурација на Kerio Control

Во принцип, сите работни параметри може да се прилагодат рачно. Сепак, за првичната имплементација, многу попогодно е да се користи специјален волшебник што започнува автоматски. На првиот чекор, се предлага да се запознаете со основните информации за системот. Овде има и потсетник дека компјутерот што работи со Kerio Control мора да биде поврзан на локална мрежа и да има работна интернет конекција.

Втората фаза е изборот на типот на интернет конекција. Севкупно, тука се достапни четири опции, од кои треба да изберете најпогодна за одредена локална мрежа.

• Постојан пристап - Интернет портата има постојана врска со Интернет.
• Dial-on-demand - автоматски ќе воспостави интернет конекција по потреба (ако има RAS интерфејс).
• Повторно поврзување при неуспех - кога врската со Интернет е исклучена, таа автоматски ќе се префрли на друг канал (потребни се две интернет конекции).
• Балансирање на оптоварување на каналот - ќе користи неколку комуникациски канали во исто време, дистрибуирајќи го оптоварувањето меѓу нив (потребни се две или повеќе интернет конекции).

Третиот чекор е да го наведете мрежниот интерфејс или интерфејсите поврзани на Интернет. Самата програма ги открива и прикажува сите достапни интерфејси во форма на листа. Така, администраторот може да ја избере само соодветната опција. Вреди да се напомене дека во првите два типа на врски треба да инсталирате само еден интерфејс, а во третиот - два. Поставувањето на четвртата опција е нешто поразлично од другите. Обезбедува можност за додавање на кој било број мрежни интерфејси, за секој од нив треба да го поставите максималното можно оптоварување.

Четвртиот чекор е да ги изберете мрежните услуги што ќе им бидат достапни на корисниците. Во принцип, може да се избере опцијата " Нема лимит". Сепак, во повеќето случаи тоа нема да биде сосема разумно. Подобро е да ги означите услугите што навистина ви се потребни: HTTP и HTTPS за прелистување сајтови, POP3, SMTP и IMAP за работа со пошта итн.

Следниот чекор е да поставите правила за VPN конекции. За ова, се користат само две полиња за избор. Првиот дефинира кои клиенти ќе ги користат корисниците за да се поврзат со серверот. Ако е „мајчин“, односно објавен од Kerio, тогаш полето за избор мора да се активира. Во спротивно, на пример, кога ги користите алатките вградени во Windows, тој мора да биде оневозможен. Второто поле за избор ја одредува можноста за користење на функцијата Kerio Clientless SSL VPN (управување со датотеки, папки, преземање и поставување преку веб-прелистувач).

Шестиот чекор е да се создадат правила за услуги кои работат на локалната мрежа, но мора да бидат достапни и од Интернет. Ако сте овозможиле Kerio VPN Server или Kerio Clientless SSL VPN технологија во претходниот чекор, тогаш сè што е потребно за нив автоматски ќе се конфигурира. Ако треба да обезбедите достапност на други услуги (сервер за корпоративна пошта, FTP сервер, итн.), тогаш за секоја од нив кликнете на " Додадете", изберете го името на услугата (стандардните порти за избраната услуга ќе се отворат) и, доколку е потребно, наведете ја IP адресата.

Конечно, последниот екран на волшебникот за поставување е предупредување пред да започне процесот на генерирање правила. Само прочитајте го и кликнете на „ Заврши". Секако, во иднина, сите креирани правила и поставки може да се променат. Покрај тоа, можете или да го рестартирате опишаниот волшебник или да ги уредувате параметрите рачно.

Во принцип, по завршувањето на волшебникот е веќе во работна состојба. Сепак, има смисла малку да се прилагодат некои параметри. Особено, можете да поставите ограничувања на пропусниот опсег. Најмногу од сè, се „затнува“ при пренос на големи, обемни датотеки. Затоа, можно е да се ограничи брзината на товарење и/или растоварување на таквите предмети. За да го направите ова, во делот Конфигурација„Треба да се отвори партиција“ Ограничување на пропусниот опсег", овозможете филтрирање и внесете го опсегот достапен за големи датотеки. Доколку е потребно, можете да го направите ограничувањето пофлексибилно. За да го направите ова, кликнете на " дополнително" и наведете во прозорецот што ги отвора услугите, адресите и временските интервали за филтрите. Покрај тоа, можете веднаш да ја поставите големината на датотеките што се сметаат за големи.

Корисници и групи

По првичното поставување на системот, можете да започнете да додавате корисници на него. Сепак, попогодно е прво да ги поделите во групи. Во овој случај, полесно ќе се управуваат во иднина. За да креирате нова група, одете на " Корисници и групи->Групи"и кликнете на копчето" Додадете". Ова ќе отвори посебен волшебник кој се состои од три чекори. На првиот, треба да го внесете името и описот на групата. На вториот, можете веднаш да додадете корисници на неа, ако, се разбира, тие веќе биле Во третата фаза, треба да ги дефинирате правата на групата: пристап до системска администрација, можност за оневозможување на различни правила, дозвола за користење VPN, преглед на статистика итн.

Откако ќе креирате групи, можете да продолжите со додавање корисници. Најлесен начин да го направите ова е ако доменот е распореден на корпоративната мрежа. Во овој случај, само одете во делот " Корисници и групи->Корисници", отворете го табот Active Directory, овозможете го полето за избор " Користете база на податоци за корисници на домен" и внесете ги најавата и лозинката на сметката што има право на пристап до оваа база на податоци. Во овој случај, таа ќе користи домени сметки, што, се разбира, е многу погодно.

Во спротивно, ќе треба рачно да ги внесувате корисниците. За ова е обезбедено првото јазиче од делот што се разгледува. Креирањето сметка се состои од три чекори. На првиот, треба да ги поставите најавувањето, името, описот, адресата на е-пошта, како и параметрите за автентикација: најава и лозинка или податоци од Active Directory. Во вториот чекор, можете да го додадете корисникот во една или повеќе групи. Во третата фаза, постои опција за автоматска регистрација на сметка за пристап до заштитниот ѕид и одредени IP адреси.

Поставување безбедносен систем

Имплементирани многу можности за обезбедување на безбедноста на корпоративната мрежа. Во принцип, веќе почнавме да се заштитуваме од надворешни закани кога го поставуваме заштитниот ѕид. Покрај тоа, предметниот производ има систем за спречување на упад. Стандардно е овозможено и конфигурирано за оптимални перформанси. Значи не можете да го допрете.

Следниот чекор е антивирус. Овде вреди да се напомене дека не е достапен во сите верзии на програмата. За да се користи заштита од малициозен софтвер, мора да се купи со вграден антивирус или мора да се инсталира надворешен антивирусен модул на Интернет-портата. За да овозможите антивирусна заштита, отворете го „ Конфигурација->Филтрирање на содржина->Антивирус". Во него, треба да го активирате користениот модул и да ги проверите протоколите што треба да се проверат користејќи полиња за избор (се препорачува да ги овозможите сите). Ако користите вграден антивирус, мора да овозможите ажурирање на базите на податоци за анти-вирус и да поставите интервалот за изведување на оваа постапка.

Следно, треба да го конфигурирате системот за филтрирање на сообраќај HTTP. Можете да го направите ова во " Конфигурација->Филтрирање на содржина->Политика на HTTP". Наједноставната опција за филтрирање е безусловно блокирање на сајтови кои содржат зборови од "црната" листа. За да ја овозможите, одете во картичката " Забранети зборови" и пополнете ја листата на изрази. Сепак, постои и пофлексибилен и посигурен систем за филтрирање. Тој се заснова на правила кои ги опишуваат условите за блокирање на пристапот на корисниците до одредени страници.

За да креирате ново правило, одете на " Правила за URL", кликнете со десното копче на полето и изберете " Додадете". Прозорецот за додавање правило се состои од три јазичиња. Првиот ги поставува условите под кои ќе работи. Прво, треба да изберете за кого важи правилото: сите корисници или само конкретни сметки. После тоа, треба да поставете го критериумот за совпаѓање на URL-то на бараната локација. За ова може да се користи низа што е вклучена во адресата, група адреси или рејтинг на веб-проект во системот Kerio Web Filter (всушност, категоријата локалитетот припаѓа).локалитет.

На вториот таб, можете да го одредите интервалот во кој правилото ќе важи (секогаш стандардно), како и групата на IP адреси на кои се применува (стандардно, сите). За да го направите ова, едноставно изберете ги соодветните ставки во паѓачките списоци со предефинирани вредности. Ако временските интервали и групите на IP адреси сè уште не се поставени, тогаш со помош на копчињата „Уреди“ можете да го отворите саканиот уредник и да ги додадете. Исто така, на ова јазиче, можете да го поставите дејството на програмата во случај на блокирање на страницата. Ова може да биде издавање страница со даден текст за одбивање, прикажување празна страница или пренасочување на корисникот на дадена адреса (на пример, на корпоративна веб-локација).

Во случај да се користат безжични технологии во корпоративната мрежа, има смисла да се овозможи филтерот по MAC адреса. Ова значително ќе го намали ризикот од неовластено поврзување на различни уреди. За да ја постигнете оваа задача, отворете го делот " Конфигурација->Сообраќајна политика->Поставки за безбедност". Во него, активирајте го полето за избор " Филтерот за MAC адреса е овозможен", потоа изберете го мрежниот интерфејс на кој ќе се дистрибуира, префрлете ја листата на MAC адреси на " Дозволете само наведените компјутери да пристапат до мрежата“ и пополнете го со внесување на податоците од безжичните уреди во сопственост на компанијата.

Сумирање

Значи, како што можеме да видиме, и покрај широката функционалност, организирањето групна работа на корисници на корпоративна мрежа на Интернет со него е прилично едноставно. Јасно е дека го разгледавме само основното поставување на овој производ.

Многумина користат заштитен ѕид на Kerio Control. Има најширока функционалност, доверливост и леснотија на користење. Денес ќе разговараме за тоа како да поставите правила за управување со пропусниот опсег. Едноставно кажано, ајде да се обидеме да ја ограничиме брзината на пристап до Интернет на корисници и групи.

Како да ја ограничите брзината на Интернет за корисници и групи во Kerio Control

И така, да одиме на административниот панел на Kerio Control. Лево, побарајте ја ставката Управување со пропусниот опсег. Прво, да ја одредиме брзината на интернет-врската. Подолу во полето Пропусен опсег за поврзување на интернет кликнете промени и внесете ја брзината за преземање и прикачување. Овие податоци се потребни за правилно функционирање на самиот Kerio Control.

Сега додадете ново правило, кликнете додадете и внесете име.

Следно Во полето Сообраќај, треба да наведете за кого ќе важи ова ограничување. Има многу опции, но ние сме заинтересирани за одредени групи и корисници, па кликнуваме на ставката Корисници и групи. Во прозорецот што се отвора, изберете ги потребните корисници или група. Можете веднаш да ги изберете и групата и корисниците.

Сега поставете го ограничувањето на брзината на преземање. Наведете колку треба да резервирате за овие групи и корисници од вкупната брзина и самото ограничување. Истото е означено и за ставката за преземање.

Стандардно го оставаме интерфејсот и достапното време, примени го ова правило.

За правилно да ја конфигурирате дистрибуцијата на сообраќајот, мора да го изберете типот на интернет конекција.

За секоја локална мрежа е конфигурирана најсоодветната. Може да се поврзе постојан пристап, со оваа функција има постојана врска со Интернет.

Втората опција може да биде да се поврзете доколку е потребно - самата програма ќе воспостави врска кога ќе биде потребно.

Има две конекции, Kerio Control повторно ќе се поврзе со друг канал ако се изгуби интернет-врската.

Имајќи два или повеќе интернет канали, можете да го изберете четвртиот тип на врска. Товарот ќе се дистрибуира на сите канали рамномерно.

: корисничка поставка

Потребно е да се конфигурираат параметрите за пристап на корисникот, неопходна е основната конфигурација на програмата. Треба да наведете и додадете мрежни интерфејси, да изберете мрежни услуги достапни за корисниците. Не заборавајте да поставите правила за VPN конекции и правила за услуги што работат на локалната мрежа. За да додадете корисници во програмата, препорачуваме прво да ги поделите во групи. Оваа функција може да се постави во картичката Корисници и групи.

Во групи, треба да креирате права за пристап, на пример, можност за користење VPN, прегледување статистика.

Мрежата има домен, многу е лесно да се додаваат корисници. Треба да ја овозможите функцијата „Користете база на податоци за корисници на домен“ во менито „Корисници“. Нема домен во мрежата, корисниците треба да се додадат рачно, давајќи им на секој име, адреса на е-пошта, најавување и опис.

Поставување статистика во

Kerio Control покажа статистика за интернет сообраќај, треба да ги овластите корисниците.

Ако треба да ја следите статистиката на корисниците, овозможете ја функцијата за автоматска регистрација на прелистувачот за секој корисник.

Во компанијата има мал број вработени, можете да поставите постојана IP адреса за секој компјутер и да го поврзете секој корисник со него.

: филтрирање содржина - опции за поставување

За да го конфигурирате безбедносниот систем, треба да отидете од табулаторот „Конфигурација“ до поставките „Филтрирање содржина“. Во делот „Анти-вирус“, можете да ги конфигурирате ажурирањата на базата на податоци за антивирус и да ги штиклирате полињата за да ги проверите протоколите што ќе се скенираат.

За да овозможите проверка на сообраќајот на HTTP, одете во табулаторот „Политика на HTTP“. Активирајте ја „црната листа“ и додајте забранети зборови на неа. Користејќи ги обележјата што ги додадовте, системот веднаш ќе ги блокира сите локации каде што ќе се појават овие изрази. Создадете пофлексибилен систем за филтрирање креирајте правила користејќи ја потсекцијата „Правила за URL“.

: Поставете сообраќајни правила

Сообраќајните правила се конфигурирани преку делот „Конфигурација“. Одете во табулаторот „Сообраќајна политика“ и изберете една од трите опции што сакате да ги конфигурирате. Во делот „Правила за сообраќај“, создавате правила што ќе го регулираат пристапот на корисниците до Интернет, филтрирањето на содржината и поврзувањето од оддалечена канцеларија.

Наведете име за правилото. Во колоната „Извор“, можете да изберете „Секој извор“, „Доверлив извор“ или да наведете одредени извори. Во колоната „Дестинација“ треба да наведете каде ќе се испраќаат податоците, до локалната мрежа, VPN тунел или Интернет. Ставката „Услуги“ е наменета за наведување на сите услуги и пристаништа што ќе се користат за спроведување на одредено правило.

Конфигурирање на балансирање на оптоварување

За да го контролирате мрежниот сообраќај и рационално да го дистрибуирате помеѓу најважните канали за пренос, треба да го конфигурирате балансирањето на оптоварувањето. Така, пристапот до Интернет на корисниците е оптимизиран. Благодарение на распределбата на сообраќајот на најважниот канал за поврзување за пренос на важни податоци, секогаш ќе има непрекинат интернет.

За да се додели количината на мрежниот сообраќај, програмата имплементира QoS поддршка. Може да креирате максимална пропусност за приоритетен канал, додека сообраќајот со низок степен на важност ќе биде суспендиран. Можно е да се постави балансирање на оптоварување преку повеќе врски.

NAT: поставување

Со помош на Kerio firewall, можете да го обезбедите поврзувањето на компјутерите на локалната мрежа. Создадете пристап до Интернет за некои вработени во оддалечена канцеларија, без никакво дејство од нивна страна. За да го направите ова, ќе треба да креирате VPN конекција на вашата локална мрежа од оддалечена канцеларија. Инсталирајте и конфигурирајте интерфејси за поврзување на Интернет. На контролната табла, во табулаторот „Сообраќајна политика“, креирајте правило што дозволува локален сообраќај.

Не заборавајте да ги наведете сите потребни објекти во изворот. Исто така, ќе треба да креирате правило што ќе им овозможи на локалните корисници пристап до Интернет. Неопходно е да се конфигурира NAT, и покрај креираните правила, пристапот до Интернет нема да биде возможен без да се овозможи оваа функција. Во табулаторот „Сообраќајна политика“, изберете го делот „Емитување“ и проверете го полето „Овозможи извор на NAT“. Наведете ја патеката за балансирање.

: конфигурирање на интерфејси

Интерфејсите се конфигурираат веднаш по инсталирањето на програмата. Веќе сте го активирале кој е купен и го избравте типот на интернет конекција, можете да започнете со поставување интерфејси. Одете во конзолата за управување во делот „Интерфејси“. Интерфејси кои се поврзани на Интернет и достапни, самата програма ги открива. Сите наслови ќе бидат прикажани како листа.

Со дистрибуирано оптоварување на интерфејсите (избор на тип на интернет конекција), можете да додавате мрежни интерфејси во неограничен број. Се поставува максималното можно оптоварување за секој од нив.

Видео