Kerio Winroute Firewall: защита локальной сети

Сергей Кошель

Резервирование канала

Фильтрация пакетов — с помощью антивирусов

Администрирование

Пользователи

Статус и статистика

 

Защита локальной сети от вторжений извне — необходимое условие функционирования локальной сети любого предприятия или домашней сети. Однако функцией защиты от вторжений сейчас никого не удивишь, а кроме исполнения своей первейшей функции, от брандмауэра (межсетевого экрана) очень часто требуется выполнение дополнительных функций, а именно: ограничения на выход в Интернет из внутренней сети, защиты межсетевого трафика антивирусным ПО, учета статистики трафика, ограничения объема трафика и т.п. В данной статье предлагается краткое описание брандмауэра Kerio Winroute Firewall (KWF), который надлежащим образом выполняет все перечисленные функции, и не только.

Функциональность брандмауэра определяется развитостью управления трафиком. Удобное и логичное управление трафиком уменьшает вероятность ошибок со стороны администратора, сокращает сроки проектирования и реализации межсетевого взаимодействия, упрощает повседневное сопровождение системы. Кроме логичной системы управления, важную роль здесь играет качественная и полная документация, причем имеется в виду именно техническое руководство, а не справочная online-система (help), которая описывает кнопки в отдельном диалоговом окне. Цельная документация, построенная по принципу «зачем это нужно», «почему надо так, а не иначе», «как построить полную систему» — отличительная черта брандмауэра от Kerio.

В KWF управление межсетевым трафиком определяется набором пакетных правил. Каждый сетевой пакет на пути от одного интерфейса сервера к другому (в том числе и к самому серверу) проходит через своего рода сито правил для определения того, подпадает ли пакет под действие определенного правила или нет. Критерием соответствия пакета правилу являются три параметра: источник пакета, адресат (адрес назначения) пакета, протокол (тип и порт). Правило, которому соответствует пакет, определяет дальнейшую судьбу пакета: пропустить, запретить с уведомлением отправителя, сбросить без уведомления отправителя. Если для какого-либо пакета не нашлось соответствующего пакетного правила, то пакет будет сброшен самым последним обязательным правилом («сбросить все»), которое действует в отношении всех пакетов, дошедших до него.

Гибкость управления межсетевым экраном в случае KWF обусловлена разнообразием вариантов, которые допустимы в качестве адреса источника и получателя пакета. Кроме банального значения IP-адреса (адресов) или его диапазонов, можно указать группу (группы) IP-адресов, их диапазонов, сетей и самих групп (рекурсия, то есть вложенные группы — это мощное средство), а также пользователя (пользователей) и группы пользователей. Таким образом, в определениях пакетных правил уже заложена возможность управления трафиком определенных пользователей, а не только хостов.

К тому же атрибутом пакетного правила может выступать временной интервал, что дает возможность управлять трафиком в зависимости от времени суток или дня недели. Адресные группы, временные интервалы и протоколы, естественно, определяются заранее. Кстати, в KWF изначально предопределено довольно много протоколов, что облегчает их использование, поскольку нет необходимости знать номер порта, а достаточно знать название, например, FTP.

Резервирование канала

Для многих организаций надежность канала выхода в Интернет играет решающую роль. К сожалению, иногда даже канал надежного провайдера падает, а потому многие организации для надежности арендуют два канала, а KWF обеспечивает резервное переключение каналов.

Работает это так. Один из каналов назначается первичным, и до тех пор, пока он находится в работоспособном состоянии, используется именно он. Если же KWF обнаруживает (а он это умеет), что первичный канал не обеспечивает связь, то переключает весь трафик на вторичный (запасной) канал. Пока работа ведется через вторичный канал, KWF постоянно опрашивает первичный канал, чтобы определить восстановление его работоспособности. Как только первичный канал поднимается, KWF переключает весь трафик обратно на него, закрывая вторичный канал. При такой схеме организация может позволить себе в качестве вторичного дорогой и надежный канал, поскольку трафик через него будет минимальным.

Другая схема взаимодействия с внешним миром с помощью двух каналов (выравнивание нагрузки) реализована в KWF по принципу резервирования аппаратуры. Брандмауэр может быть установлен на кластер, состоящий из двух серверов Windows, каждый из которых использует собственный канал для выхода во внешний мир.

 

Фильтрация пакетов — с помощью антивирусов

Фильтрация пакетов (входящих и исходящих) посредством антивирусного ПО — обязательная функция KWF. При этом брандмауэр поддерживает одновременную работу двух антивирусов: один из них — это McAfee, который присутствует в стандартной поставке, а второй — любой другой из списка доступных к установке. Антивирусное ПО прекрасно справляется со своей задачей, так что можно не беспокоиться о проникновении в локальную сеть вирусов через Интернет. Единственное, что может заботить администратора в такой ситуации, — это всевозможные навязчивые рекламы, с которыми, однако, вполне можно бороться, подобрав наиболее подходящий антивирусный модуль. KWF регулярно обновляет антивирусные базы встроенного модуля McAfee (по умолчанию — каждые восемь часов), а внешний антивирус должен сам обеспечивать свое обновление. Кстати, KWF регулярно проверяет наличие своей новой версии на сайте www.kerio.com.

Администрирование

Для администрирования KWF предназначена отдельная утилита — консоль администрирования. Связь между консолью и KWF устанавливается в защищенном режиме, поэтому канал безопасен для передачи пароля. По умолчанию администрирование разрешено только из локальной сети, то есть со стороны интерфейса, представляющего локальную сеть. При необходимости администрирования из других сетей необходимо создать пакетное правило, разрешающее соединение с сервером по предопределенному протоколу KWF Admin. Поскольку данное правило принципиально ничем не отличается от любого другого, то для его реализации могут быть применены все обычные защитные механизмы: можно (и нужно) ограничить источник подключения только определенными сетями, можно определить допустимое время подключения.

К администрированию допускаются только пользователи, которым разрешен административный доступ (полный либо только на чтение). Следует отметить, что по отношению к администрированию каждый пользователь имеет одно из следующих прав: полное (для администраторов), только чтение административных данных, запрет доступа к административным данным. В процессе установки KWF создает первого пользователя с полными административными правами. Административная консоль представляет собой довольно удобный инструмент и обладает интуитивно понятным интерфейсом, что, по-видимому, является следствием логичной структуры управления самим KWF.

Пользователи

Пользователи (и группы пользователей) в KWF определяются (или могут определяться) для целей безопасности и статистики.

С точки зрения безопасности пользователи могут выступать в качестве адреса источника и назначения пакета. Такая особенность определения пакетных правил дает возможность администратору управлять ограничениями или разрешениями в терминах конкретных пользователей независимо от того, за каким хостом работает пользователь. Другие особенности безопасности, касающиеся пользователей и их групп, связаны с фильтрацией трафика независимо от пакетных правил. При создании фильтров для HTTP- и FTP-трафика можно указывать пользователей (группы), на которых будет распространяться данный фильтр. Таким образом можно ограничить Интернет-серфинг, основываясь на URL, и ограничить FTP-передачу, основываясь на типе файла.

Пользователи создаются администратором во внутренней базе пользователей KWF или импортируются брандмауэром из Windows Active Directory или домена Windows NT. В последнем случае KWF регулярно обращается к контроллеру домена для чтения базы данных пользователей домена Windows. В результате такой интеграции KWF в Active Directory отпадает необходимость вручную синхронизировать пользователей KWF и домена Windows. В общем случае в KWF могут сосуществовать пользователи из локальной базы и из нескольких доменов Windows.

Статус и статистика

Наличие развитых средств статистики является огромным плюсом KWF. Статистика ведется по интерфейсам, пользователям, хостам (IP-адресам), протоколам. В разрезе времени информация присутствует по таким интервалам: два часа, сутки, неделя, месяц, все время с момента запуска KWF. Статистические данные могут использоваться для контроля данных провайдера и трафика пользователей. Следствием этого является возможность управлять квотами трафика для каждого пользователя, при этом можно ограничить как ежедневный трафик, так и ежемесячный. При достижении 75, 90 и 100% квоты KWF может отправить уведомление по почте администратору и самому пользователю. К тому же пользователь сам может посмотреть (если ему это разрешено) свой трафик по Web-интерфейсу.

 

Протоколирование работы KWF осуществляется в нескольких журналах. В частности, в журнале «Безопасность» отображаются все попытки несанкционированных проникновений в сеть, факты поимки вирусов, а в журнал «Фильтр» попадают сообщения от пакетных правил, для которых разрешено протоколирование работы. В отдельном журнале «Тревога» фиксируются самые серьезные нарушения (в том числе о пойманных вирусах), извещения об этих событиях могут быть отправлены брандмауэром по электронной почте на предопределенный адрес, причем возможны два формата сообщений: яркий, бросающийся в глаза — для стационарной почты и краткое текстовое сообщение — для почты, проверяемой на мобильном телефоне.

***

В качестве межсетевого экрана KWF представляет собой, как нынче модно говорить, масштабируемое решение. Другими словами, этот продукт прекрасно справится со своей задачей как в организации с несколькими сотнями рабочих мест, так и в домашней сети. Наглядность и логичность управления, наличие антивирусных фильтров, управление резервированием канала, развитая статистика трафика, гибкое управление пользователями, удобное и безопасное администрирование — вот те особенности, которые делают целесообразным использование KWF.

 

В начало В начало

КомпьютерПресс 8'2006

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует