Про вивчення продуктів компанії Kerio Technologies, яка випускає різноманітні захисні програмні рішення для малого та середнього бізнесу. Згідно з офіційним сайтом компанії, її продукцією користуються понад 60 000 компаній у всьому світі.

Фахівці SEC Consult виявили безліч вразливостей у Kerio Control, UTM-рішенні компанії, яке поєднує функції брандмауера, маршрутизатора, IDS/IPS, шлюзового антивірусу, VPN і так далі. Дослідники описали два сценарії атак, які дозволяють зловмиснику не лише перехопити контроль над Kerio Control, а й над корпоративною мережею, яку продукт має захищати. Хоча розробники вже випустили виправлення для більшої частини виявлених багів, дослідники зазначають, що реалізувати один зі сценаріїв атак, як і раніше, можливо.

За словами дослідників, рішення Kerio Control уразливі через небезпечне використання PHP функції unserialize, а також через використання старої версії PHP (5.2.13), в якій раніше вже були виявлені серйозні проблеми. Також експерти виявили ряд уразливих PHP-скриптів, які дозволяють здійснити XSS та CSRF атаки та обхід захисту ASLR. Крім того, за словами SEC Consult, веб-сервер працює з root-привілеями та не має захисту від брутфорс-атак та порушення цілісності інформації в пам'яті.

Схема першого сценарію атаки

Перший описаний експертами сценарій атаки передбачає експлуатацію одразу кількох вразливостей. Атакуючий знадобиться застосувати соціальну інженерію і заманити жертву на шкідливий сайт, на якому буде розміщено скрипт, що дозволяє з'ясувати внутрішню IP-адресу Kerio Control. Потім зловмисник має експлуатувати баг CSRF. Якщо жертва не залогінена в панелі управління Kerio Control, атакуючий може застосувати звичайний брутфорс для підбору облікових даних. Для цього знадобиться вразливість XSS, яка дозволить обійти захист SOP. Після цього можна переходити до обходу ASLR і скористатися старим багом у PHP (CVE-2014-3515), щоб запустити шелл із root-правами. По суті після цього атакуючий отримує повний доступ до мережі організації. Відеоролик демонструє атаку в дії.

Другий сценарій атаки включає експлуатацію RCE-вразливості, яка пов'язана з функцією оновлення Kerio Control і була виявлена ​​більше року тому одним із співробітників SEC Consult. Експерти пропонують використовувати цей баг, що допускає віддалене виконання довільного коду, у поєднанні з XSS-уразливістю, що дозволяє розширити функціональність атаки.

Фахівців Kerio Technologies повідомили про проблеми ще наприкінці серпня 2016 року. На даний момент компанія випустила Kerio Control 9.1.3 де більшість уразливостей усунуті. Однак компанія вирішила залишити веб-серверу root-привілеї, а також без виправлення поки що залишається RCE-баг, пов'язаний із функцією оновлення.

Неправильне керування смугою пропускання в офісній мережі (або відсутність такого керування) призводить до відчутних перебоїв: інтернет працює повільно, знижується якість голосового та відеозв'язку і т. д. допоможе правильно розставити пріоритети та гарантувати достатню пропускну здатність важливому трафіку.

Про можливості Kerio Control

Програмне рішення Kerio Control відноситься до продуктів класу UTM (Unified Threat Management) та забезпечує комплектний захист робочих станцій та серверів під час роботи в інтернеті. Рішення орієнтоване на корпоративні мережі середніх розмірів і веде родовід від добре відомого продукту WinRoute. Слова «комплексний захист» означають, що Kerio Control складається з багатьох модулів, що відповідають за різні аспекти безпеки, а саме:

• міжмережевий екран;
• маршрутизатор;
• система виявлення та запобігання вторгненням (IPS/IDS);
• антивірусний захист трафіку;
• контент-фільтрація трафіку;
• моніторинг та аналіз активності користувачів в інтернеті;
• два VPN сервери - один з власного протоколу і другий з урахуванням відкритого стандарту IPSec VPN;
• управління смугою пропускання та підтримка QoS.

У статті ми поговоримо про останній пункт у цьому переліку, але далеко не останній за важливістю.

Проблеми оптимізації доступу до Інтернету

Розглянемо кілька типових сценаріїв.

Перший:керівнику необхідний необмежений доступом до смуги пропускання, краще, ніж в інших. До речі, необов'язково керівнику - гарантовано широка смуга буде потрібна серверу, який реплікує базу з віддаленим дата-центром.

Другий:менеджери скаржаться на погану чутність та обриви дзвінків. Або платіжний термінал приймає платіж карткою з третього разу, тому що не може зв'язатися з банком.

Третій:несподівано впала швидкість біля всього офісу. Настав час перевірити, хто гойдає на роботі торренти.

Усі ці сценарії вимагають керувати смугою пропускання, а саме визначати пріоритети та виявляти аномальні явища. Завдання управління виглядатимуть приблизно так:

• для VoIP потрібна пропускна здатність 10 мбіт/сек, не менше, будь-коли;
• потокові дані не повинні споживати більше ніж 100 кбіт/сек;
• гостьовий трафік треба відокремлювати від робітника та не перемикати на резервний канал у разі збою основного;
• привілейований трафік важливіший за звичайний у робочі години.

Щоб формалізувати кожне з цих завдань, потрібно визначити, навіщо і за якими критеріями ми розставляємо пріоритети.

Типи трафіку.На першому місці онлайн-відеоконференції, телефонія, передача відеосигналу, VPN тут смуга пропускання дуже важлива. На другому – звичайний доступ до сайтів, файлів, пошта. Найнижчий пріоритет можна встановити для доступу до розважальних сайтів, шопінгу і т.д.

Час доступу.Різні пріоритети можна встановлювати для робочих годин та неробочих. Можна надати високий пріоритет серверу для періоду реплікації даних та обмежити інших.

Правило = формалізоване обмеження

Коли ці критерії визначені, можна перейти до правил обмеження смуги. Пояснимо на прикладі рішення Kerio для транспорту, який використовується, наприклад, на судах. Якщо на судні є супутниковий канал з дорогим трафіком і вузькою смугою і є широкий канал, доступний у портах, зрозуміло, як розставити пріоритети. Наприклад, так:

Власне, це вже цілком правило Kerio Control.

Тепер повернемося з корабля до офісу та подивимося на приклад з IP-телефонією. Якщо смуга перевантажена, це знижує якість голосового зв'язку, а отже, пріоритети розставимо так:

І це теж три правила у Kerio Control.

Аналогічно через правила вирішуються завдання гарантовано широкої смуги для керівництва та обладнання, обмежень на гостьові підключення тощо.

Управління смугою пропускання в Kerio Control

На панелі керування Kerio Control зверху можна побачити список доступних інтернет-інтерфейсів. Наприклад, швидкий канал та повільний. Під ним - локальні мережі, наприклад, основна та гостьова.

Тепер потрібно зіставити локальним мережам інтернет-інтерфейси, що й зробимо на вкладці «Правила трафіку». Наприклад, гостьової мережі відводимо свій інтерфейс (найдешевший), і гості не забивають основну офісну мережу. Тут же налаштовуємо обмеження за типами трафіку, наприклад лише web-доступ для гостей і будь-який трафік для своїх.

А тепер, коли маршрутизація інтерфейсів налаштована, настав час розставити пріоритети з використання смуги пропускання. Ідемо на вкладку Управління смугою пропускання та QoS, створюємо правило для VIP-користувачів, додаємо до нього заздалегідь створені групи Власники (ті самі VIP-користувачі) та Обладнання (якому обов'язково потрібне гарне підключення), та встановлюємо, наприклад, резервування 20% смуги.

Важливий момент – ці 20% вважаються від смуги, вказаної в налаштуваннях! Тут важливо поставити не заявлену провайдером цифру, а фактичну пропускну спроможність.

Тепер створюємо правило для критичного трафіку та додаємо до нього типи трафіку: SIP VoIP, VPN, миттєві повідомлення та віддалений доступ.

І зарезервуємо йому, наприклад, по 3 Мбіт на скачування та завантаження.

Потім створимо правило для важливого трафіку і включимо такі типи трафіку, як перегляд веб-сторінок, пошту, мультимедіа і FTP. І поставимо йому обмеження на споживання не більше 50% смуги, причому лише у робочі години.

А тепер створимо правило для шкідливого трафіку. Якщо при виборі типу трафіку натиснути в меню «Підключення, що відповідає правилу вмісту», можна скористатися контент фільтром і вибрати соцмережі, магазини, трафік, ігри тощо. Також можна обмежити P2P. Поставити їм серйозне обмеження 256 кбіт і нехай качають.

Тепер подивимося на гостьових користувачів. На вкладці Active Hosts неважко подивитися, що відбувається зараз. Цілком імовірно, що ви виявите гостя, що вже накачав гігабайт і продовжує з пристойною швидкістю користуватися вашим інтернетом.

Тому робимо правило для гостей. Наприклад, не перевищувати 5% від смуги.

І ще. Як ви пам'ятаєте, гостей ми направляємо на певний інтерфейс мережі. Правило обмеження смуги можна налаштувати або так, щоб обмеження стосувалося лише одного конкретного інтерфейсу, або всіх мережних інтерфейсів. В останньому випадку, якщо ми змінимо інтерфейс, прив'язаний до мережі, правило продовжить діяти.

І важливий момент. Правила працюють у порядку розташування у списку, зверху донизу. Тому правила, які відсівають багато запитів на доступ, мають сенс ставити на початку.

Подробиці все це описано в статтях на knowledge base компанії Kerio.

• Налаштування швидкості з'єднання (KB 1373)
• Configuring bandwidth management (KB 1334)
• Configuring policy routing (KB 1314)
• Monitoring active hosts (KB 1593)

До та після оптимізації

До.Весь трафік проходив на рівні, без пріоритетів. У разі "пробки" страждає весь трафік, у тому числі критично важливий.

Після.Важливому трафіку віддано пріоритет. Механізми обмеження та резервування налаштовуються за типом користувача, типом трафіку, часом.

Замість ув'язнення

Ми переконалися, що розмежувати доступ до смуги пропускання за допомогою правил, що настроюються, зовсім нескладно. Саме простоту використання своїх продуктів компанія Kerio вважає своєю найважливішою перевагою та зберігає протягом років, незважаючи на їхню зростаючу складність та функціональність.

Kerio Control відноситься до тієї категорії програмного забезпечення, В яких широкий спектр функціональних можливостей поєднується з простотою впровадження та експлуатації. Сьогодні ми розберемо, як за допомогою програми можна організувати групову роботу співробітників в Інтернеті, а також надійно захистити локальну мережу від зовнішніх загроз.

відноситься до тієї категорії продуктів, у яких широкий спектр функціональних можливостей поєднується з простотою впровадження та експлуатації. Сьогодні ми розберемо, як за допомогою програми можна організувати групову роботу співробітників в Інтернеті, а також надійно захистити локальну мережу від зовнішніх загроз.

Використання продукту починається з його інсталяції на комп'ютері, що грає роль інтернет-шлюзу. Ця процедура нічим не відрізняється від інсталяції будь-якого іншого програмного забезпечення, а тому зупинятися на ній ми не будемо. Зазначимо лише, що під час неї будуть відключені деякі служби Windows, що перешкоджають роботі програми. Після завершення інсталяції можна переходити до системи. Це можна зробити як локально, прямо на інтернет-шлюзі, так і віддалено з будь-якого комп'ютера, підключеного до корпоративної мережі.

Насамперед запускаємо через стандартне меню " Пуск" Консоль управління. З її допомогою і здійснюється налаштування розглянутого продукту. Для зручності можна створити з'єднання, яке в майбутньому дозволить швидко підключатися до . Для цього двічі клацніть на пункт " Нове з'єднання", вкажіть у вікні продукт (Kerio Control), хост, на якому він встановлений, а також ім'я користувача, після чого натисніть на кнопку " Зберегти як" і введіть ім'я підключення. Після цього можна встановити з'єднання з . Для цього двічі клацніть на створеному підключенні та введіть свій пароль.

Базове налаштування Kerio Control

В принципі всі параметри роботи можна налаштовувати вручну. Однак для початкового впровадження набагато зручніше скористатися спеціальним майстром, який запускається автоматично. На першому його етапі пропонується ознайомитися з основною інформацією про систему. Також тут є нагадування про те, що комп'ютер, на якому запущено Kerio Control, має бути підключений до локальної мережі та мати підключення до Інтернету.

Другий етап – вибір типу підключення до Інтернету. Усього тут є чотири варіанти, з яких необхідно вибрати найбільш підходящий для конкретної локальної мережі.

• Постійний доступ – Інтернет-шлюз має постійне підключення до Інтернету.
• Дзвінок на запит - самостійно встановлюватиме підключення до Інтернету в міру необхідності (за наявності інтерфейсу RAS).
• Перепідключення при відмові – при розриві зв'язку з Інтернетом автоматично перемикатиметься на інший канал (потрібно два підключення до Інтернету).
• Розподіл навантаження на канали - одночасно використовуватиме кілька каналів зв'язку, розподіляючи навантаження між ними (необхідно два або більше підключень до Інтернету).

На третьому кроці потрібно вказати мережні інтерфейси або інтерфейси, підключені до Інтернету. Програма сама виявляє та виводить усі доступні інтерфейси у вигляді списку. Так що адміністратору залишається лише вибрати відповідний варіант. Варто зазначити, що у перших двох типах підключень потрібно встановлювати лише один інтерфейс, а в третьому – два. Налаштування четвертого варіанта дещо відрізняється від інших. У ньому передбачено можливість додавання будь-якої кількості мережевих інтерфейсів, для кожного з яких необхідно встановити максимально можливе навантаження.

Четвертий етап полягає у виборі мережевих служб, які будуть доступні користувачам. В принципі, можна вибрати варіант " Без обмеженьОднак у більшості випадків це буде не зовсім розумно. Краще відзначити "галочками" ті служби, які дійсно потрібні: HTTP і HTTPS для перегляду сайтів, POP3, SMTP та IMAP для роботи з поштою і т.п.

Наступний крок – налаштування правил для підключення до VPN. Для цього використовується всього два чекбокси. Перший визначає, які клієнти використовуватимуть користувачі для підключення до сервера. Якщо "рідні", тобто випущені Kerio, то чекбокс має бути активовано. В іншому випадку, наприклад, при використанні вбудованих у Windows засобів, його потрібно вимкнути. Другий чекбокс визначає можливість використання функції Kerio Clientless SSL VPN (керування файлами, папками скачування та завантаження через веб-браузер).

Шостий етап полягає у створенні правил для служб, які працюють у локальній мережі, але мають бути доступні і з Інтернету. Якщо на попередньому кроці ви увімкнули Kerio VPN Server або технологію Kerio Clientless SSL VPN, все необхідне для них буде налаштовано автоматично. Якщо вам потрібно забезпечити доступність інших служб (корпоративного поштового сервера, FTP-сервера тощо), то для кожної з них натисніть кнопку " Додати", виберіть назву сервісу (відкриватимуться стандартні для вибраного сервісу порти) і за потреби вкажіть IP-адресу.

Нарешті, останній екран майстра налаштування є попередженням перед початком процесу генерації правил. Просто прочитайте його та натисніть на кнопку " ЗавершитиПриродно, у майбутньому всі створені правила та налаштування можна змінювати. Причому можна як повторно запустити описаний майстер, так і відредагувати параметри вручну.

В принципі, після завершення роботи майстра вже перебуває у робочому стані. Однак є сенс трохи підкоригувати деякі параметри. Зокрема, можна встановити обмеження використання смуги пропускання. Найбільше вона "забивається" під час передачі великих, об'ємних файлів. Тому можна обмежити швидкість завантаження та/або вивантаження таких об'єктів. Для цього у розділі " Конфігурація" потрібно відкрити розділ " Обмеження смуги пропускання", увімкнути фільтрацію та ввести доступну для об'ємних файлів смугу пропускання. При необхідності можна зробити обмеження більш гнучким. Для цього необхідно натиснути кнопку " Додатково" і вказати у вікні служби, адреси, а також часові інтервали дії фільтрів. Крім того, тут же можна встановити розмір файлів, які вважаються об'ємними.

Користувачі та групи

Після початкового налаштування системи можна розпочинати внесення до неї користувачів. Проте зручніше спочатку розбити їх у групи. І тут у майбутньому ними легше управляти. Для створення нової групи перейдіть до розділу " Користувачі та групи->Групи" та натисніть на кнопку " ДодатиПри цьому буде відкрито спеціальний майстер, що складається з трьох кроків. На першому потрібно ввести ім'я та опис групи. На другому можна відразу додати до неї користувачів, якщо, звичайно, вони вже створені. На третьому етапі необхідно визначити права групи: доступ до адміністрування системи, можливість відключення різних правил, дозвіл на використання VPN, перегляд статистики та ін.

Після створення груп можна переходити до додавання користувачів. Найпростіше це зробити, якщо у корпоративній мережі розгорнуть домен. У цьому випадку достатньо перейти до розділу " Користувачі та групи->Користувачі", відкрити вкладку Active Directory, увімкнути чекбокс" Використовувати базу даних користувачів домену" і ввести логін та пароль облікового запису, що має право на доступ до цієї бази. При цьому буде використовувати облікові записи домену, що, звичайно ж, дуже зручно.

В іншому випадку потрібно буде ввести користувачів вручну. Для цього передбачена перша вкладка розділу, що розглядається. Створення облікового запису складається із трьох кроків. На першому необхідно задати логін, ім'я, опис, адресу електронної пошти, а також параметри автентифікації: логін та пароль або дані з Active Directory. На другому кроці можна додати користувача до однієї або кількох груп. На третьому етапі є можливість автоматичної реєстрації облікового запису для доступу до міжмережевого екрану та певних IP-адрес.

Налаштовуємо систему безпеки

В реалізовані широкі можливості щодо забезпечення безпеки корпоративної мережі. У принципі, захищатись від зовнішніх загроз ми вже почали, коли налаштували роботу файрвола. Крім того, в продукті, що розглядається, реалізована система запобігання вторгнень. Вона за замовчуванням увімкнена та налаштована на оптимальну роботу. Тож її можна не чіпати.

Наступний крок – антивірус. Тут варто відзначити, що він є не у всіх версіях програми. Для використання захисту від шкідливого програмного забезпечення повинен бути придбаний із вбудованим антивірусом, або на інтернет-шлюзі має бути встановлений зовнішній модуль антивіруса. Для увімкнення антивірусного захисту необхідно відкрити розділ " Конфігурація->Фільтрування вмісту->АнтивірусУ ньому потрібно активувати використовується модуль і відзначити за допомогою чекбоксів протоколи, що перевіряються (рекомендується включити всі). Якщо у вас використовується вбудований антивірус, то необхідно включити оновлення антивірусних баз і встановити інтервал виконання цієї процедури.

Далі необхідно налаштувати систему фільтрації HTTP-трафіку. Зробити це можна у розділі " Конфігурація->Фільтрування вмісту->Політика HTTPНайпростішим варіантом фільтрації є безумовне блокування сайтів, на яких зустрічаються слова з "чорного" списку. Для його включення перейдіть на вкладку " Заборонені слова" і заповніть список висловів. Однак є і більш гнучка і надійна система фільтрації. Вона заснована на правилах, в яких описуються умови блокування доступу користувачів до тих чи інших сайтів.

Для створення нового правила перейдіть на вкладку " Правила URL", клацніть правою кнопкою миші на полі та виберіть у контекстному меню пункт " ДодатиВікно додавання правила складається з трьох вкладок. На першій задаються умови, за яких воно буде спрацьовувати. Спочатку потрібно вибрати, на кого поширюється правило: на всіх користувачів або тільки на конкретні облікові записи. Після цього необхідно задати критерій відповідності URL-адреси запитуваного сайту. Для цього може використовуватися рядок, який входить на адресу, групу адрес або рейтинг веб-проекту в системі Kerio Web Filter (по суті, категорія, до якої належить сайт). сайту.

На другій вкладці можна вказати інтервал, протягом якого діятиме правило (за замовчуванням завжди), а також групу IP-адрес, на які воно поширюється (за замовчуванням на все). Для цього необхідно просто вибрати відповідні пункти у списках, що випадають, попередньо заданих значень. Якщо тимчасові інтервали та групи IP-адрес ще не задавалися, то за допомогою кнопок "Правка" можна відкрити потрібний редактор і додати їх. Також на цій вкладці можна задати дію програми у разі блокування сайту. Це може бути видача сторінки із заданим текстом відмови, відображення порожньої сторінки або перенаправлення користувача на задану адресу (наприклад, на корпоративний сайт).

У тому випадку, якщо в корпоративній мережі використовуються бездротові технології, є сенс увімкнути фільтр за MAC-адресою. Це дозволить значно знизити ризик несанкціонованого підключення різних пристроїв. Для реалізації цього завдання відкрийте розділ " Конфігурація->Політика трафіку->Параметри безпеки". У ньому активуйте чекбокс" Фільтр MAC-адрес включений", потім виберіть мережний інтерфейс, на який він буде поширюватися, переключіть список MAC-адрес у режим " Дозволити доступ до мережі лише переліченим комп'ютерам" і заповніть його, внісши дані бездротових пристроїв, що належать компанії.

Підводимо підсумки

Отже, як бачимо, попри широкі функціональні можливості , організувати з його допомогою групову роботу користувачів корпоративної мережі в Інтернеті досить просто. Зрозуміло, що ми розглянули лише базове налаштування цього продукту.

Багато хто використовують міжмережевий екран Kerio Control. Він має найширший функціонал, надійність і простоту в користування. Сьогодні поговоримо про те, як налаштувати правила управління смугою пропускаючи. Простіше кажучи, спробуємо обмежити швидкість доступу в інтернет користувачам і групам.

Як у Kerio Control обмежити швидкість інтернету для користувачів та груп

І так приступимо заходимо в панель адміністрування Kerio Control. Зліва шукаємо пункт Управління смугою пропускання. Спочатку вкажемо швидкість підключення до інтернету. Знизу в полі Смуга пропускання для зв'язку з Інтернетом натискаємо змінити і вводимо швидкість для скачування та завантаження. Ці дані потрібні для коректної роботи Kerio Control.

Тепер додаємо нове правило тиснемо додати і вводимо ім'я.

Далі У полі Трафік потрібно вказати для кого діятиме дане обмеження. Варіантом дуже багато але нас цікавлю конкретні групи та користувачі, тому клацаємо на пункт Користувачі та групи. У вікні вибираємо необхідних користувачів або групу. Можна відразу вибрати групу і користувачів.

Тепер налаштувати обмеження швидкості на скачування. Вказуємо скільки потрібно резервувати для цих груп та користувачів від загальної швидкості та безпосередньо обмеження. Теж саме вказуємо і завантажити для пункту.

Інтерфейс і доступний час залишаємо за умовчанням, застосовуємо це правило.

Для коректного настроювання роздачі трафіку необхідно вибрати тип підключення до Інтернету.

Для кожної локальної мережі налаштовується найбільш вдалий. Може бути підключений постійний доступ, при такій функції є постійне підключення до Інтернету.

Другим варіантом, можливо підключення за необхідності – програма сама встановить з'єднання, коли потрібно.

Є два підключення, Kerio Control при втраті зв'язку з Інтернетом створюватиме перепідключення на інший канал.

За допомогою двох або декількох каналів Інтернету можна вибрати четвертий тип підключення. Навантаження розподілятиметься на всі канали рівномірно.

: налаштування користувачів

Потрібно настроювати параметри доступу користувачів, необхідне базове налаштування програми. Вам необхідно вказати та додати мережеві інтерфейси, вибрати мережеві служби, доступні для користувачів. Не забудьте налаштувати правила для підключення до VPN і правила для служб, що працюють у локальній мережі. Для внесення користувачів у програму, рекомендуємо спочатку розбити їх на групи. Цю функцію можна встановити у вкладці «Користувачі та групи».

У групах потрібно створити права доступу, наприклад, можливість скористатися VPN, дивитися статистику.

У мережі є домен, зробити користувачів дуже просто. Потрібно увімкнути функцію «Використовувати базу даних користувачів домену» у меню «Користувачі». У мережі домену немає, користувачів потрібно додавати вручну, задавши кожному ім'я, адресу пошти, логін та опис.

Налаштування статистики в

Kerio Control показувала статистику Інтернет-трафіку, необхідно авторизувати користувачів.

Вам потрібний моніторинг статистику користувачів, увімкніть функцію автоматичної реєстрації браузером кожного користувача.

Співробітників у компанії невелика кількість, можна для кожного комп'ютера налаштувати постійний IP та кожного користувача зв'язати з ним.

: фільтрація вмісту – налаштування параметрів

Щоб настроїти систему безпеки, перейдіть із вкладки «Конфігурація» до параметрів «Фільтрування вмісту». У розділі «Антивірус» можна настроїти оновлення антивірусних баз і відзначити за допомогою прапорців ті протоколи, які перевірятимуться.

Щоб увімкнути перевірку HTTP-трафіку, перейдіть на вкладку «Політика HTTP». Активуйте «чорний список» та внесіть до нього заборонені слова. Використовуючи додані орієнтири, всі сайти, на яких будуть зустрічатися дані висловлювання, система відразу заблокує. Створити більш гнучку систему фільтрації створіть правила за допомогою підрозділу «Правила URL».

: налаштування правил трафіку

Налаштування правил трафіку здійснюється через розділ "Конфігурація". Перейдіть у вкладку «Політика трафіку» та виберіть один із трьох параметрів, який потрібно налаштувати. У пункті «Правила трафіку» ви створюєте правила, за допомогою яких регулюватиметься доступ користувачів до Інтернету, фільтрація контенту та підключення з віддаленого офісу.

Введіть ім'я правила. У графі "Джерело" ви можете вибрати "Будь-яке джерело", "Довірене джерело" або перерахувати конкретні джерела. У графі «Призначення» потрібно вказати, куди направлятимуться дані, локальну мережу, VPN-тунель або Інтернет. Пункт «Служби» призначений для внесення до списку всіх служб та портів, за допомогою яких реалізовуватиметься конкретне правило.

Налаштування балансування навантаження

Контролювати мережевий трафік та раціонально його розподіляти між найважливішими каналами передачі необхідно налаштувати балансування навантаження. Таким чином, оптимізується доступ до інтернет-користувачів. Завдяки розподілу трафіку на найважливішому каналі з'єднання для передачі важливих даних завжди буде безперервний Інтернет.

Для призначення обсягу мережного трафіку у програмі реалізовано підтримку QoS. Ви можете створити максимальну пропускну здатність для пріоритетного каналу, при цьому трафік з низьким ступенем важливості буде припинено. Є можливість настроїти балансування навантаження за кількома з'єднаннями.

NAT: налаштування

За допомогою фаєрволу Kerio можна забезпечити безпечне з'єднання ПК локальної мережі. Створити доступ до інтернету деяким співробітникам у віддаленому офісі, при цьому без будь-яких дій з їхнього боку. Для цього потрібно створити VPN-підключення у вашій локальній мережі з віддаленого офісу. Встановіть та настройте інтерфейси для підключення до Інтернету. На панелі керування у вкладці «Політика трафіку» створіть правило, яке дозволяє локальний трафік.

Не забудьте вказати у джерелі всі необхідні об'єкти. Також потрібно створити правило, яке дозволить локальним користувачам доступ до інтернету. Потрібно налаштувати NAT, незважаючи на створені правила доступу до Інтернету не буде без включення цієї функції. У вкладці «Політика трафіку» виберіть розділ «Трансляція» та встановіть прапорець «Увімкнути джерело NAT». Вкажіть шлях балансування.

: налаштування інтерфейсів

Налаштування інтерфейсів здійснюється безпосередньо після встановлення програми. Вже активували який був куплений і вибрали тип підключення до інтернету, можна зайнятися налаштуванням інтерфейсів. Перейдіть до консолі керування в розділі «Інтерфейси». Інтерфейси, які підключені до інтернету та доступні, програма сама виявляє. Усі назви будуть виведені у вигляді списку.

При розподіленому навантаженні на інтерфейси (вибір типу підключення до інтернету) можна додавати мережеві інтерфейси в необмеженій кількості. Встановлюється максимально можливе навантаження кожного з них.

Відео