Сетевой брандмауэр Kerio Winroute Firewall

Максим Афанасьев

Функционал

VPN сервер-сервер

VPN клиент-сервер

Kerio VPN Client

Защита от вирусов

Фильтры

P2P Eliminator

HTTP-фильтр для всплывающих окон

FTP-фильтр и проверка

Управление пользователями

Поддержка UPnP

Удаленное администрирование

 

В прошлом номере нашего журнала мы рассказали о достоинствах относительно нового продукта известной компании Kerio — почтового сервера Kerio Mailserver. В настоящей статье речь пойдет о главном флагманском продукте, с которого началась история этой компании. В 1997 году пока еще никому не известная компания Kerio выпустила программный шлюз Winroute Pro, который представлял собой усовершенствованный прокси-сервер для обеспечения доступа локальных компьютеров в Интернет через один внешний интернет-канал. Этот программный продукт сразу приобрел популярность и довольно быстро стал конкурентом прокси-сервера WinGate, который был на тот момент одним из самых распространенных. Уже тогда продукты компании Kerio отличались понятным интерфейсом и удобной настройкой, а также, что немаловажно, надежностью и безопасностью. С тех пор Kerio Winroute постоянно модернизировался, в него было добавлено множество полезных функций и возможностей. Последняя на данный момент версия называется Kerio Winroute Firewall 6.6.

Рассмотрим главные особенности этого программного пакета. Kerio Winroute Firewall является программным комплексом для обеспечения доступа локальной сети организации в Интернет. Продукт ориентирован на корпоративный рынок и позиционируется как отличное решение для компаний малого и среднего бизнеса. Отличительные черты данного продукта — гибкая и быстрая настройка, интеграция в существующую сеть организации с поддержкой Active Directory и других программ Microsoft, высокий уровень безопасности и надежности системы, поддержка построения корпоративной виртуальной сети через Интернет, простота администрирования и скромные требования к ресурсам.

Безусловно, рассмотреть все достоинства продукта Kerio Winroute Firewall будет затруднительно, поскольку их очень много. В данном обзоре мы остановимся на основных узлах этого программного комплекса.

Отметим, что рассматриваемый продукт поддерживает установку на большинство операционных систем семейства Windows, включая их серверные версии: Windows 2000/XP/2003/Vista/2008.

Функционал

Не секрет, что основная задача корпоративного межсетевого экрана — контроль входящего и исходящего сетевого трафика на соответствие корпоративной политике безопасности. Продукт Kerio WinRoute Firewall обеспечивает возможность детального определения правил доступа для проверки всего проходящего интернет-трафика и приведения его в соответствие с корпоративной политикой безопасности. Мастер настройки сетевых правил помогает быстро установить и настроить брандмауэр в существующей корпоративой сети.

Необходимо отметить, что это достаточно устойчивый сетевой брандмауэр, который работает на уровнях сетевых драйверов TDI/NDIS операционной системы. Технология глубинной проверки, применяемая при анализе входящего и исходящего трафиков, помогает обеспечить высокий уровень безопасности для всей корпоративной сети, а также для удаленных компьютеров, работающих через Всемирную сеть. Безопасность Kerio WinRoute Firewall основана на правилах, применяемых к трафику, и позволяет настраивать в единой удобной таблице пакетные фильтры, NAT (трансляцию сетевых адресов), отображение портов и контроль доступа, что дает возможность работать с правилами практически на лету.

Необходимым условием сертификации ICSA Labs сетевого брандмауэра является возможность распознавания хакерских атак и вторжений. Попытки всех подобных действий протоколируются в журнале безопасности. Важная функция любого продукта, обеспечивающего безопасность системы, — это возможность детальной записи происходящих событий. Брандмауэр протоколирует события в нескольких различных журналах: сообщения об ошибках, отладочные события, настройки пользователя, статус, веб-серфинг, сканирование портов и т.д. Ведение журнала может быть активировано для любого из правил. Таким образом, системный администратор получает полный контроль над соединениями, устанавливаемыми через межсетевой экран.

Для современной организации, филиалы которой могут быть расположены по всему миру, защищенное подключение к корпоративной сети является необходимым условием, поскольку сейчас активно развит аутсорсинг. С помощью Kerio WinRoute Firewall установка виртуальной частной сети практически не требует усилий. Сервер и клиенты VPN являются составляющей частью возможностей WinRoute Firewall по безопасному удаленному доступу к корпоративной сети. Использование виртуальной сети Kerio VPN позволяет пользователям удаленно подключаться к любым ресурсам корпоративной сети и работать с сетью организации, как будто это их собственная локальная сеть.

Встроенный в продукт Kerio WinRoute Firewall сервер VPN позволяет организовать VPN-сети по двум различным сценариям: сервер-сервер и клиент-сервер (используется Kerio VPN Client для Windows, Mac и Linux).

VPN сервер-сервер

Режим «сервер-сервер» применяется компаниями, которые желают подключить по защищенному каналу удаленный офис для совместного использования общих ресурсов. Данный сценарий требует наличия Kerio WinRoute Firewall на каждой из соединяющихся сторон для установки защищенного канала через открытую сеть Интернет.

VPN клиент-сервер

Режим «клиент-сервер» позволяет удаленному пользователю безопасно подключить к корпоративной сети ноутбук или домашний компьютер.

Kerio VPN Client

Клиент Kerio VPN Client — это небольшое приложение, устанавливаемое на стороне подключаемого ПК. С недавнего времени брандмауэр Kerio WinRoute Firewall включает новую службу под названием Clientless SSL VPN, позволяющую удаленным клиентам получать доступ к общим файлам на серверах локальной сети с помощью обычного браузера. При этом установка специального клиентского программного обеспечения не требуется.

Как известно многим системным администраторам, протоколы VPN и NAT (трансляция сетевых адресов) не всегда поддерживают совместную работу. Решение Kerio VPN разработано с целью надежной работы через NAT и даже через ряд шлюзов NAT.

Kerio VPN применяет стандартные алгоритмы шифрования SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP). В случаях, когда компания имеет некий стандарт на использование продуктов VPN, Kerio WinRoute Firewall включает поддержку протоколов IPSec и PPTP, позволяя применять различные решения сторонних производителей.

Защита от вирусов

Kerio WinRoute Firewall создает дополнительную межсетевую защиту от вирусов, проверяя как входящий, так и исходящий трафик:

  • электронную почту (SMTP и POP3);
  • WEB (HTTP);
  • пересылку файлов (FTP).

Встроенный в брандмауэр антивирус, установленный на шлюзе, обеспечивает полную защиту проходящего через шлюз трафика. Администраторы могут использовать последние базы данных вирусов на шлюзе, что намного более продуктивно, чем применение антивирусных программ на каждом компьютере.

Kerio WinRoute Firewall проверяет входящие и исходящие сообщения, а также все вложения. Обнаруженный в письме вирус удаляется. При обнаружении вируса во вложении удаляется все вложение, а к письму добавляется уведомление.

Кроме того, брандмауэр проверяет весь сетевой трафик, включая HTML-страницы, на встроенные вирусы. На вирусы также проверяются файлы, загруженные через HTTP, и файлы, переданные по FTP-протоколу.

Компания Kerio Technologies внедрила антивирус от компании McAfee и создала межплатформенный программный продукт для защиты от вирусов для операционных систем Windows, Linux и Mac OS X. Интегрированный анивирус может получать обновления с новыми базами вирусов в реальном времени.

Также стоит отметить, что Kerio WinRoute Firewall может работать совместно с некоторыми антивирусными программными продуктами других производителей: AVG Server Edition, NOD32, eTrust, SAVI Sophos, Symantec Antivirus, Avast! и VisNetic AntiVirus.

Для организаций и таких учреждений, как, например, школы, которые не хотят, чтобы их сотрудники и клиенты посещали определенные страницы, Kerio WinRoute Firewall со встроенным фильтром ISS Orange Web Filter (поставляется как опция) предоставляет дополнительные возможности.

Фильтр ISS Orange Web Filter предлагает список из 58 категорий страниц, таких как виртуальные магазины, новости, порнография, спорт или путешествия, которые могут блокироваться Kerio WinRoute Firewall.

Kerio WinRoute Firewall предоставляет подробную статистику сетевого трафика для каждого пользователя или для всей организации. Администратор может применять ее для выяснения предпочтений пользователей и определения стратегии использования сетевых ресурсов.

Фильтры

P2P Eliminator

Обмен данными напрямую между компьютерами (Р2Р), например Kazaa, eDonkey или DC++, может быть очень опасен, не говоря уже о возможных юридических последствиях. Kerio WinRoute Firewall не только блокирует клиентов таких файлообменных сетей, но и благодаря возможности сбора статистики помогает обнаружить ранее неизвестных.

Администратор может создать список страниц, которые пользователи не могут просматривать.

HTTP-фильтр для всплывающих окон

HTTP-фильтр позволяет установить фильтр для содержимого ActiveX и JavaScript, защищающего от проникновения опасных программ. С его помощью межсетевая защита блокирует любое всплывающее и выскакивающее окно с рекламой, упрощая работу пользователей в Интернете.

FTP-фильтр и проверка

Как с помощью HTTP-фильтра, посредством FTP-фильтра можно ограничить доступ к FTP-серверам в Интернете, а также обмену файлами между разрешенным FTP-сервером и клиентом. Kerio WinRoute Firewall проверяет FTP-трафик и разрешает выполнение только некоторых FTP-команд.

Управление пользователями

Главная задача обеспечения безопасности сети — разработка стратегии доступа в Интернет. Kerio WinRoute Firewall позволяет администраторам не только создавать общую стратегию использования трафика, но и устанавливать и применять ограничения для каждого пользователя.

Перед тем как получить доступ в Интернет, каждый пользователь должен зарегистрироваться в Kerio WinRoute Firewall. Учетные записи пользователей хранятся или в отдельной внутренней базе данных пользователей Kerio WinRoute Firewall, или же, если сеть велика, на удаленном сервере Microsoft Active Directory. С двумя этими базами данных можно работать одновременно.

Являясь частью Windows 2000/2003 Server, Active Directory позволяет администраторам централизованно управлять учетными записями пользователей и данными о сетевых ресурсах. Active Directory обеспечивает доступ к информации о пользователях с одного компьютера.

Поддержка Active Directory открывает Kerio WinRoute Firewall доступ к базе данных пользователей в режиме реального времени и позволяет устанавливать пользователя в локальной сети без сохранения пароля. Таким образом, не нужно синхронизировать пароли для каждого пользователя. Все изменения в Microsoft Active Directory автоматически отражаются и в Kerio WinRoute Firewall.

Администратор может установить различные ограничения на права доступа для каждого пользователя. Например, одни пользователи могут заходить только на внутренние страницы, другие могут работать лишь с электронной почтой. Действие этих правил возможно задать для определенных промежутков времени. Некоторые пользователи скачивают множество файлов, слушают радио через Интернет и пересылают друг другу домашнее видео. Однако если один пользователь занимает слишком много трафика, то это, как правило, сказывается на качестве связи других пользователей. Администратор может установить различные ограничения на использование трафика. Когда предел достигнут, Kerio WinRoute Firewall отправляет по электронной почте предупреждение пользователю и администратору. Или же администратор может заблокировать этого пользователя до конца дня либо месяца.

Поддержка UPnP

Универсальный стандарт Plug and Play (UPnP), используемый в Windows, позволяет различным приложениям работать друг с другом без дополнительных настроек в межсетевой защите. Kerio WinRoute Firewall взаимодействует с технологией UPnP, благодаря чему такие приложения, как MSN Messenger, могут работать без дополнительной настройки.

Рассматриваемый продукт поддерживает DSL, модемное соединение, ISDN, спутниковый Интернет, соединение по dial-up и беспроводной Интернет; Kerio WinRoute Firewall можно устанавливать в сетях любого размера и в любом месте. Одно подключение могут использовать сразу несколько пользователей.

Удаленное администрирование

Системный администратор настраивает программу, управляет учетными записями пользователей и стратегией безопасности через консоль Kerio Administration Console. Ее можно установить на компьютере с уже установленной системой межсетевой защиты или же на удаленном компьютере, подключенном к Интернету. Обмен данными между удаленной консолью и системой межсетевой защиты осуществляется по зашифрованному каналу. Иногда администратор не может уследить за всем, что происходит с системой межсетевой защиты. Программа Kerio WinRoute Firewall помогает отследить такие важные события, как отсоединение от сети, превышение трафика пользователя, обнаружение вируса или окончание срока действия лицензии.

О каждом таком событии администратору сообщается электронным письмом, при этом он сам может выбирать, о каких событиях его следует уведомлять.

Точная и продуманная статистика помогает администратору выяснить предпочтения пользователей при работе в Интернете, находить критические элементы и проблемы.

Kerio WinRoute Firewall формирует подробную гистограмму использования трафика для каждого пользователя в сети. Администратор может выбрать период, за который он хочет отследить использование трафика: 2 часа, день, неделя и месяц.

Кроме того, Kerio WinRoute Firewall показывает статистику фактического использования трафика по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

Если запустить фильтр ISS Orange Web Filter, то Kerio WinRoute Firewall показывает статистику посещения интернет-страниц для каждого пользователя и для всей организации.

В заключение отметим, что данный продукт является весьма популярным среди системных администраторов благодаря его неоспоримым преимуществам, например, перед аналогичными решениями, входящими в стандартный пакет операционных систем на базе Linux (к примеру, iptables). Быстрая настройка, широкие возможности и высокая степень защиты — всё это делает данный программный продукт привлекательным для небольших компаний.

 

В начало В начало

КомпьютерПресс 7'2009