Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 832 Тема Міжмережевий екран Kerio WinRoute Firewall 6.0 Навчальний посібник Internet для користувача частина 2, НУДПСУ

Тема Міжмережевий екран Kerio WinRoute Firewall 6.0 Навчальний посібник Internet для користувача частина 2, НУДПСУ

« Назад

832 Тема Міжмережевий екран Kerio WinRoute Firewall 6.0 Навчальний посібник Internet для користувача частина 2, НУДПСУ

1.3.5.2. Міжмережевий екран Kerio  WinRoute  Firewall 6.0

Kerio WinRoute Firewall 6.0 - це комплексний інструмент для з'єднання локальної мережі з Інтернет  і захисту мережі від несанкціонованого доступу. Він розроблений для операційних систем Windows NT 4.0, 2000 і XP.

Базові можливості

1. Прозорий доступ в Інтернет

Технологія передачі мережевої|мережної| адреси (Network| Address| Translation| (NAT|)) дозволяє сполучати|з'єднувати| локальну мережу|сіть| Інтернет через одну спільну|загальну| | статичну або динамічну IP-адресу. На відміну від проксі-серверів, технологія NAT| робить|чинить| доступним все Інтернет служби з будь-якої робочої станції. При цьому можна використовувати стандартні мережеві|мережні| з'єднання, неначебто|начебто| всі комп'ютери локальної мережі|сіті| мають власні з'єднання|сполуки| з|із| Інтернет.

2. Безпека. Інтегрований брандмауер захищає всю локальну мережу, включаючи робочу станцію, на якій він встановлений, незалежно від того, чи використовується функція NAT (передача IP) або WinRoute використовується як "нейтральний" маршрутизатор між двома мережами. Kerio WinRoute Firewall пропонує такий же стандарт безпеки, як і набагато дорожчі програмні продукти.

3. Контроль доступу.  Всіма установками безпеки в WinRoute можна управляти через так звані правила політики трафіку. Це забезпечує ефективний захист мережі від зовнішніх атак, при цьому забезпечуючи легкий доступ до всіх служб, що працюють на серверах в межах захищеної локальної мережі (наприклад, Web сервер, поштовий сервер, FTP сервер і ін.). Правила комунікації в політиці трафіку можуть обмежувати доступ локальних користувачів до певних служб в Інтернет.

4. Інспектори протоколів. На практиці можуть зустрітися додатки|застосування|, які не підтримують стандартні зв'язки, використовують нестандартні мережеві з'єднання|сполук|, і т. і. Для вирішення цієї проблеми WinRoute| включає так звані інспектори протоколів (protocol| inspectors|), які визначають необхідний додатковий|застосуванню| мережевий протокол і динамічно модифікують роботу брандмауера. Наприклад, можна забезпечити тимчасовий доступ до певного порту, при цьому тимчасово відкриватиметься|відчинятиме| потрібний серверу порт. |зразків|.

5. Динамічна конфігурація мережі|сіті|. WinRout має вбудований сервер DHCP, який встановлює параметри TCP/IP для кожної робочої станції локальної мережі. Параметри для кожної робочої станції можуть встановлюватися централізований, тобто з одного робочого місця. Це зменшує витрати часу, необхідні для конфігурації мережі і мінімізує можливість помилки. Модуль DNS-форвардер забезпечує легку конфігурацію DNS і прискорює відповіді на DNS-запити. Використовується простий тип кешування імені сервера, при якому запити пересилаються іншому DNS- серверу, а відповіді зберігаються в кеш-пам'яті. Це значно підвищує швидкість відповідей на часті запити. У комбінації з DHCP-сервером і системними файлами вузлів, DNS-форвардер може використовуватися як динамічний сервер DNS для локального домена.

6. Віддалене |віддалене| адміністрування. Всі настройки виконуються за допомогою Адміністраторського терміналу (Kerio Administration Console). Це незалежний  термінал, який дозволяє управляти всіма функціями сервера Kerio. Він може працювати і на робочій станції з WinRoute, і на іншому вузлі локальної мережі або Інтернет. Зв'язок між WinRoute і адміністраторським терміналом кодується і захищений від перехоплення або несанкціонованого використання.

7. Використання різних операційних систем в межах локальної мережі|сіті|. WinRoute| працює із|із| стандартним протоколом TCP/IP. З точки зору|з погляду| робочих станцій локальної мережі, він діє як стандартний маршрутизатор, при цьому не потребує жодних|ніяких| спеціальних настройок для клієнтів. Таким чином, в локальній мережі|сіті| може працювати будь-яка операційна система сумісна з стеком протоколів|із| TCP/IP, наприклад - Windows|, Unix/Linux, Mac| OS| і ін. Зазначимо, що WinRoute може працювати лише з установками протоколу TCP/IP. Він не впливає на роботу інших протоколів (IPX/SPX, NETBEUI, AppleTalk і ін.).

Додаткові можливості

1. Фільтр контенту.  WinRoute| може відстежувати всі комунікації HTTP| і FTP| і блокувати об'єкти, що не відповідають встановленим|установленим| критеріям. Установки можуть бути глобальними або визначатися окремо для кожного користувача. Збережені об'єкти |скочували|можуть також швидко перевірятися зовнішніми антивірусними застосуваннями.

2. Антивірусна перевірка. WinRoute може виконувати антивірусну перевірку файлів, що передаються по мережі. Для цього доступні вбудований антивірус McAfee або зовнішні антивірусні програми (наприклад, NOD32, AVG і ін.). Перевірка на віруси може застосовуватися до протоколів HTTP, FTP, SMTP і POP3.

3. Поштові повідомлення. WinRoute може відправляти користувачам поштові повідомлення, інформуючи їх про різні події. Ця функція полегшує роботу адміністратора, оскільки не доводиться часто з'єднуватися з WinRoute і повністю його перевіряти. Всі відправлені повідомлення зберігаються в реєстраційний файл.

4. Призначення квот для користувачів. Для кожного користувача можна встановити обмеження (квоти) по передачі/прийому даних. Квоти встановлюються на кількість зберігаємих/передаваємих даних в день/місяць. Якщо квота перевищена, то для відповідного користувача блокуватиметься з'єднання|сполука| з|із| Internet. При цьому користувачеві може бути відправлене відповідне поштове повідомлення.

5. Блокування мереж|сітей| P2P. |WinRoute може визначати і блокувати так звані "рівноправні" мережі (Peer-to-Peer networks) (це мережі, вживані для спільного використання файлів, наприклад, Kazaa, DirectConnect і ін.)

6. Ведення статистики. WinRoute дозволяє переглядати докладну статистику інтерфейсу брандмауера (поточна швидкість передачі даних, кількість переданої інформації за певний період) і окремих користувачів (кількість переданої інформації, використовувані служби, категорії відвідуваних сайтів і ін.).

7.Особистий|особовий| сервер і клієнт VPN|. WinRoute дозволяє в режимах сервер-сервер і клієнт-сервер використовувати віртуальні приватні мережі (VPN). VPN може з обох сторін використовувати NAT (навіть множинний).

Програма Kerio VPN Client включена в пакет WinRoute і може використовуватися для створення клієнт-сервер VPN (з'єднання віддалених клієнтів з локальною мережею).

Установка та базова настройка програмного комплексу.

Системні Вимоги

Мінімальні вимоги для вузла, на якому може бути встановлений WinRoute:

- CPU| Intel| Pentium| II або сумісний; 300 Мгц

- 128 Мб RAM|

- 2 мережевих|мережних| інтерфейси

- 50 Мб вільного простору|простір-час| на диску для установки

- Наявність вільної пам'яті для реєстрацій (залежить від трафіку і вибраного рівня реєстрації)

Продукт може бути встановлений на наступні | операційні системи:

- Windows 2000.

- Windows XP.

- Windows Server 2003.

Попередні приготування

Для всіх підтримуваних операційних систем має бути встановлений компонент Клієнт Мереж Microsoft, інакше WinRoute не буде доступний як сервіс, і аутентифікація NTLM не працюватиме. Означений компонент встановлюється автоматично для всіх підтримуваних операційних систем.

WinRoute потрібно встановлювати на комп'ютер, який використовується як шлюз, між  локальною мережею і Інтернет. Цей комп'ютер повинен мати щонайменше один інтерфейс для зв'язку з локальною мережею ((Ethernet, TokenRing і ін.), і щонайменше один інтерфейс для зв'язку з Інтернет. Як інтерфейс для зв'язку з Інтернет, можна використовувати мережевий адаптер (Ethernet, WAVELAN, ін.) або модем (аналоговий, ISDN і так далі).

Перш ніж починати установку WinRoute, рекомендується перевірити:

- Правильність часу встановленого в операційній системі (для своєчасного виконання функцій, оновлень антивірусних програм і так далі).

- Наявність останнього доступного оновлення Microsoft для підвищення безпеки.

- Встановлення для всіх доступних мережевих адаптерів параметрів TCP/IP.

- Працездатність всіх мережевих з'єднань. Для тестування з'єднань можна скористатися командою ping.

Ці перевірки і тести допомагають уникнути подальших|дальших| труднощів і проблем. Зазначимо, що базова установка всіх підтримуваних операційних систем включає всі необхідні компоненти для нормальної роботи WinRoute.

Рекомендації по установці і базових настройках

Після|потім| запуску програми установки (kerio-kwf-mcafee-6.0.0-win.exe) слід використовувати інструкції, що допомагають провести|виробляти| базові налаштування параметрів брандмауера.  Насамперед необхідно вибрати тип установки - Повну (Full) або Вибіркову (Custom). Останній тип установки, відповідно рис. 1.21, дозволяє вибрати встановлювані компоненти WinRoute:

- Брандмауер WinRoute (WinRoute Firewall Engine) - ядро додатку.

- Монітор WinRoute (WinRoute Engine Monitor) - інструмент контролю для брандмауера WinRoute, що дозволяє відстежувати його статус (ікона в області завдань).

- Підтримка VPN (VPN Support ) - особистий VPN, розроблений Kerio Technologies.

- Адміністраторський термінал Kerio (Kerio Administration Console).

Зазначимо, що при виборі вибіркової установки:

- Всі відмічені компоненти будуть встановлені або оновлені.

- Всі невідмічені компоненти не будуть встановлені або будуть знищені.

- При проведенні оновлення, слід зазначити всі компоненти, які повинні залишитися.

Виконавши ці кроки, можна запускати процес установки. Всі файли будуть  копіюватись на жорсткий диск. Після цього будуть проведені всі необхідні попердні настройки системи. При першій реєстрації буде автоматично запущений Майстер реєстрації. Після завершення установки слід перезавантажити комп'ютер. При цьому в ядро операційної системи буде встановлений низькорівневий драйвер WinRoute. Після перезавантаження автоматично запуститься Брандмауер WinRoute. Він працює як сервісна програма. Монітор WinRoute буде запущений після реєстрації користувача. Ця програма дозволяє відстежувати статус Брандмауера, і використовується для його запуску і відключення. Ікона Монітора WinRoute буде відображатись в області завдань.

Можливі конфліктні ситуації при установці програми

Програма установки WinRoute автоматично визначає додатки і системні сервісні програми, які можуть конфліктувати з брандмауером WinRoute. Наведемо перелік найбільш ймовірних конфліктів:

WinRoute 6.0 не сумісний з версіями 4.х. Якщо майстер установки виявить  WinRoute Pro 4.x або WinRoute Lite 4.x, то з'явиться показане на рис.1.22,  повідомлення про помилку:

Для виправлення ситуації слід натиснути кнопку ОК, та відмінити установку. Після цього слід, за допомогою опції Установка/Знищення Програм на Панелі Управління, знищити WinRoute Pro/ Lite, перезавантажити систему і запустити установку заново.

Зазначимо, в випадку необхідності використання в Kerio WinRoute Firewall 6.x конфігурації WinRoute Pro (наприклад, якщо багато облікових записів користувачів), проведіть оновлення брандмауера до версії 5.х, а потім проведіть оновлення від Kerio WinRoute Firewall 5.x до Kerio WinRoute Firewall 6.x.  

  1. Запущені служби  Internet-з'єднання і брандмауер. Якщо на якому-небудь інтерфейсі вузла WinRoute працює служба Internet-з'єднання або брандмауер, з'явиться повідомлення показане на рис. 1.23. Слід зупинити установку, до тих пір поки обидві служби не відключено на всіх інтерфейсах. Інакше WinRoute| працюватиме не коректно.

  2. Універсальний Plug and Play Device Host і служба пошуку SSDP. Ці дві служби підтримують протокол UPnP (Universal Plug and Play) в операційних системах Windows XP і 2003 Server. Якщо існує ймовірність використовувати UPnP в WinRoute, то обидві служби слід відключити. 

Якщо майстром установки буде виявлений Universal| Plug| and| Play| Device| Host|, то з'явиться|появлятиметься| показане на рис. 1.24 вікно повідомлення|слідуючий|.

Якщо майстром установки буде виявлена служба пошуку SSDP, то з'явиться вікно показане на рис. 1.25.

Щоб зупинити службу слід натиснути на кнопку Yes і відключити автоматичний запуск цієї служби при завантаженні системи. Якщо натиснути кнопку No, то існуючий статус і параметри служби будуть збережені.

Компоненти WinRoute

Kerio WinRoute складається з трьох компонентів:

Брандмауер- представляє собою ядро програми, яке виконує всі служби і функції. Воно працює як сервісна програма операційної системи (сервіс називається Kerio WinRoute) За умовчанням сервіс автоматично працює в системі.

Монітор - призначений |для моніторингу роботи додатків WinRoute. Користувач може включати і вимикати сервіс, редагувати переваги запуску або відкрити адміністраторський термінал. Брандмауер не залежить від монітора. Це означає, що брандмауер може працювати, навіть якщо ікона не відображується на панелі інструментів.

Адміністраторський термінал. Це універсальний термінал для локального або віддаленого адміністрування декількох серверних продуктів Kerio. Для успішного з'єднання з додатком необхідний модуль з відповідним інтерфейсом. При установці WinRoute адміністраторський термінал встановлюється спільно з необхідним модулем.

Керування роботою WinRoute

Після інсталяції та запуску мережевого екрану значок монітору  відображується в області завдань, як це показано на рис. 1.26.

Якщо WinRoute відключений, на значку з'явиться червоний круг, перекреслений білою лінією. При різних обставинах, щоб запустити або зупинити WinRoute може знадобитись до декількох секунд. При цьому значок стає сірим і неактивним – він не реагуватиме на клацання мишею. Вибір значка монітору відкриє, показане на рис. 1.28, вікно Адміністраторського терміналу. Контекстне меню значка монітору показане на рис. 1.27.

Можливості контекстного меню такі:

Переваги запуску - дозволяє встановити автоматичний запуск брандмауера і монітора WinRoute при запуску операційної системи. За умовчанням (після інсталяції) обидві функції включено.

Адміністрування - опція відкриває, показане на рис. 1.28,  вікно Адміністраторського терміналу Kerio.

Запуск/зупинка - |перемикає|переключає| режими "Старт" і "Стоп". Текст пункту меню відображує|відображає| поточний статус.

Відключення монітора - |відключає монітор WinRoute. Це не вплине на статус брандмауера WinRoute.

Показане на рис. 1.28 головне діалогове вікно терміналу адміністрування WinRoute складається з лівого та правого розділів. У лівій колонці представлений структурований список (дерево) розділів вікна адміністрування. Окремі пункти (розділи) і підрозділи можна відкривати і приховувати за допомогою миші. При закритті терміналу адміністрування поточний статус дерева зберігається до наступного редагування. У правій секції головного|чільного| вікна показаний вміст|зміст| розділів, виділених в лівій колонці (список підрозділів, що містяться|утримуються| у виділеному розділі).

Наведемо коротку характеристику розділів:

1. Інтерфейси - дозволяє редагувати параметри мережевих підключень.  Відповідні настройки показані на рис.1.28.

2. Обмеження трафіку - дозволяє проводити настройки мережевих  протоколів и портів доступу. Відповідне вікно показане на рис. 1.29.

3. Обмеження HTTP-протоколу - дозволяє встановлювати деякі параметри цього протоколу, наприклад дозволяти/забороняти автоматичне оновлення додатків. Відповідне вікно показане на рис. 1.30. Перехід на вкладку Проксі-сервер дозволяє, як це показано на рис.1.31, змінити настройки проксі-сервера. Для прикладу на рис. 1.31 проксі-сервер відповідає на запити, що надходять в порт 3128.

4. Антивірус - дозволяє змінити настройки антивірусної системи. Можливі параметри показані на рис. 1.32. Для прикладу, на рис.1.32, активовано зовнішній антивірус, який перевіряє всю інформацію, що передається по протоколам HTTP, FTP, SMTP, POP3.

5. DHСP-сервер - дозволяє змінити настройки цього серверу. Для прикладу на рис. 1.33 показано, використання DHСP-сервер з IP-адресою 192.168.0.0.

6. Користувач - дозволяє ввести/знищити нового користувача мережевого екрану або поміняти параметри існуючого. Для прикладу на рис.1.34 показано перший етап вводу параметрів нового користувача з іменем user, який буде використовувати механізм авторизації Windows NT.

Зазначимо, що за допомогою Web-інтерфейсу WinRoute  дозволяє отримати віддалений доступ до терміналу адміністрування. Однак для цього користувач системи повинен ввести свої парольні дані, як це показано на рис. 1.35. 

Крім лівої та правої секцій вікна терміналу для адміністрування можливо використовувати головне меню, показане на рис. 1.28. Меню складається всього із двох пунктів Файл та Допомога, кожен з яких відкриває доступ до декількох підменю. Наведемо характеристику підменю Файл:

- Повторне з'єднання (Reconnect) – відкриває повторне з'єднання з Брандмауером WinRoute після обриву з'єднання (викликаного, наприклад, перезапуском Брандмауера або помилками в мережі). В цілях безпеки для повторного з'єднання потрібно ввести ім'я користувача і пароль. Зазначимо, що адміністраторський термінал автоматично визначає обрив з'єднання під час завантаження (вивантаження) даних з сервера (на сервер), тобто при натисненні.

кнопки Застосувати (Apply), або при перемиканні між розділами. У таких випадках автоматично з'явиться, показаний на рис. 1.36, діалог аутентифікації і повідомлення про помилку.

-    Нове з'єднання (New Connection) - ця опція може бути корисною для адміністрування декількох додатків сервера (наприклад, множинні сервери WinRoute). Її вибір призводить до відкриття головне діалогового вікна Адміністраторського терміналу.

- Вихід (Quit) - завершує сеанс (ця опція забезпечує вихід користувача і закриває вікно адміністрування). Сеанс також можна закрити, закривши вікно терміналу адміністрування.

Меню Допомога містить наступні пункти:

- Керівництво Адміністратора (Administrator's Guide) - ця опція відкриває керівництво адміністратора у форматі HTML Help.

- Про програму (About) – відкриває вікно з інформацією про поточну версію програми, посилання на сайт компанії-розробника та ін.

Досить інформативним є, показаний на рис. 1.36. рядок стану|стану| терміналу адміністрування, що знаходиться у нижній частині|частці| вікна|стану|.

Як правило в рядку стану відображається наступна інформація:

- Відкритий|відчиняти| розділ вікна адміністрування (виділений в лівій колонці). Це допоміжна інформація, яка може бути корисна, якщо якась частина|частка| дерева прихована|.

- Ім'я або IP-адреса сервера і порт додатку сервера. По умовчанню WinRoute використовує порт 44333.

- Ім'я користувача, з|із| яким встановлене|установлене| з'єднання|сполука|.

-  Поточний статус Адміністраторського терміналу:

Готовність (Ready) - очікування відповіді користувача.

Завантаження (Loading) - дані завантажуються із сервера.

Збереження (Saving) - збереження змін на сервері.

1.4. Контрольні запитання

  1. Що таке мережева атака?

  2. Що таке міжмережевий екран?

  3. Наведіть класифікацію міжмережевих екранів?

  4. Які принципи роботи міжмережевих екранів?

  5. Які принципи розгортання міжмережевих екранів?

  6. Які переваги використання міжмережевих екранів?

  7. Наведіть недоліки використання міжмережевих екранів?

  8. Наведіть переваги міжмережевого екрану Outpost Firewall Pro по відношенню до Kerio WinRoute  Firewall 6.0?

  9. Які базові налаштування міжмережевого екрану Outpost Firewall Pro?

  10. Які системні вимоги до комп'ютера на якому планується встановити міжмережевий екран Outpost Firewall Pro?

  11. Які системні вимоги до комп'ютера на якому планується встановити міжмережевий екран Kerio WinRoute  Firewall 6.0?

  12. Які системні вимоги до комп'ютера на якому планується встановити міжмережевий екран Kerio WinRoute  Firewall 6.0?

З повагою ІЦ “KURSOVIKS”!