Kerio WinRoute Firewall — идеальное сочетание простоты и функциональности
Kerio WinRoute Firewall: концептуальное видение
Kerio WinRoute Firewall: детальный осмотр
Американская компания Kerio уникальна тем, что ее продукты сами себя продают. Решения Kerio официально появились в продаже в России в 2003 году, однако их начали использовать гораздо раньше. Устойчивый спрос на эти продукты привел в ряды дистрибьюторов несколько российских компаний, давно зарекомендовавших себя на рынке ПО. С одной из них, компанией Softkey, фирма Kerio наладила более тесное партнерство, возложив на нее некоторые представительские функции до конца прошлого года. Компания Softkey долгое время продавала продукты американских разработчиков без какой-либо маркетинговой поддержки со стороны вендора. И не просто продавала, а умудрялась при этом демонстрировать быстрый рост — продажи Kerio росли на сотни процентов в год.
В конечном счете «большие боссы» Kerio обратили свой взгляд на российский рынок и, как обычно, осознали его блестящие перспективы. На пресс-конференции, прошедшей в марте прошлого года, менеджеры Kerio из ближайшего к нам, чешского офиса торжественно объявили о «новой фазе сотрудничества с Softkey» и о «запуске активной маркетинговой политики в России». Результаты не заставили себя долго ждать: несмотря на возросшие объемы, продажи Kerio как росли, так и растут, а известность этих продуктов в нашей стране все повышается. Непонятным остается только одно обстоятельство: каким образом небольшой американский разработчик столь успешно работает на российском рынке?
По всей видимости, главной причиной блестящих результатов Kerio в России является четкое позиционирование продуктов компании. Спикеры Kerio не устают повторять, что компания ориентирована на сектор среднего и малого бизнеса, и только на него. А особенности целевой аудитории диктуют требования к функциональности продуктов, их стоимости и модели продаж. В данной статье мы рассмотрим эти особенности на примере одного из основных продуктов Kerio — межсетевого экрана Kerio WinRoute Firewall 6.3. Отметим, что это чисто корпоративное решение, а персональный межсетевой экран Kerio, который хорошо помнят многие пользователи, был продан компании Sunbelt в 2005 году. Таким образом, вендор сконцентрировался на сегменте именно корпоративных пользователей и применяет уже наработанные технологии для защиты бизнеса организаций.
Kerio WinRoute Firewall: концептуальное видение
Представим себе системного администратора небольшой компании. В его подчинении находится маленькая локальная сеть, в которой работают несколько десятков неумелых пользователей. Сам администратор, в свою очередь, находится в подчинении у недалекого начальника, для которого компьютер — это средство для игры в «косынку» и выбора обоев на рабочий стол. И вдруг нашему администратору (между прочим, грамотному специалисту) приспичило поставить себе файервол, дабы защитить собственные владения от атак со стороны злых хакеров, а заодно лишить неумелых пользователей последней радости — посещения ресурсов типа дамочки.ру.
Теперь вообразим, что наш администратор имеет устоявшиеся моральные ценности, а именно — он категорически не приемлет пиратство. По его мнению, лицензионные продукты гораздо лучше, поскольку без них нельзя воспользоваться техподдержкой. К тому же никто не гарантирует, что пиратская «софтина» будет хорошо работать.
При выборе лицензионного файервола важнейшим параметром для администратора в любом случае остается цена. Казалось бы, чем меньше она будет — тем проще убедить начальника выделить деньги. Однако не все так просто. На современном рынке практически не осталось «голых» брандмауэров — все они совмещают в себе массу различных функций. Поэтому грамотному администратору будет интересен не только самый дешевый продукт, но и самый универсальный. Ему вовсе не хочется по двадцать раз ходить к начальнику и выпрашивать у него средства на очередную затею.
В этом свете продукт Kerio WinRoute Firewall выглядит очень привлекательно. Покупая одно решение, администратор получает не только межсетевой экран, но и целый комплект сопутствующих продуктов. В частности, решение включает встроенный VPN-сервер на базе технологии SSL и поддерживает фильтрацию контента по различным типам данных (например, mp3). В качестве опции предлагается встроенная антивирусная защита (основанная на технологиях McAfee), а также модуль Orange Web Filter, предназначенный для блокировки доступа к различным типам сайтов.
Помимо цены и заявленных характеристик системы, грамотного администратора волнуют еще как минимум два обстоятельства. Первое и наиболее важное из них связано с простотой развертывания и использования продукта. Подчеркнем, что данное обстоятельство важнее второго — реальных функциональных возможностей системы. Важнее потому, что даже грамотные администраторы компаний сектора СМБ не являются высококлассными специалистами. А зачем нужны функциональные возможности, если не умеешь их использовать?
Надо сказать, что компания Kerio — один из первых разработчиков, осознавших огромную важность пользовательского интерфейса. Это сейчас, когда корпорация Microsoft вбухивает громадные деньги в создание Aero для Vista и Ribbon для Office, такая позиция выглядит вполне очевидной. А несколько лет назад основное внимание разработчиков было направлено на функциональность, а не на удобство работы пользователей.
Собственно, продукты Kerio уже тогда выделялись из общей массы представленных на рынке решений. Американские разработчики всегда считали администраторов обычными людьми, а не эдакими монстрами, не вылезающими за пределы текстовой консоли. Поэтому все без исключения продукты Kerio обладают невероятно дружественным и красивым интерфейсом, понятным любому администратору. В то же время WinRoute Firewall представляет собой прекрасный пример продукта, в котором гармонично сочетаются интерфейс и функциональность.
Впрочем, последний тезис вовсе не говорит о технологической отсталости продукта. В целом Kerio WinRoute Firewall содержит абсолютное большинство функций, необходимых современному сисадмину. И что самое главное — пользоваться этими возможностями удобно и невероятно приятно. Нехватка каких-либо экзотических функций, в которой упрекают Kerio некоторые исследователи, на самом деле недостатком не является, поскольку наличие подобных функций неизбежно привело бы к усложнению продукта в целом.
Kerio WinRoute Firewall: детальный осмотр
Рассмотрев общую концепцию продукта, пройдемся по его функциональным возможностям:
- межсетевой экран — основная составляющая Kerio WinRoute Firewall, сертифицированная лабораторией ICSA Labs специально для предприятий сектора СМБ. Экран работает на уровнях TDI/NDIS операционной системы (семейство Windows, начиная с версии 2000) и контролирует весь трафик между локальной сетью и Интернетом. Из основных функций экрана выделим наличие гибких политик для контроля трафика, встроенную систему защиты от хакерских атак и вторжений (IPS) и антиспуфинга (использования поддельного IP-адреса с целью взлома). Кроме того, межсетевой экран ведет журнал, при помощи которого можно получать подробные отчеты, например в виде графика активности пользователей;
- ограничитель полосы пропускания — данная функция на самом деле встроена в межсетевой экран. Мы выделили ее в отдельный пункт, поскольку она в некотором роде является уникальной. Ограничитель полосы пропускания позволяет задать скорость соединения с Интернетом в зависимости от типа приложений (например, VoIP) или конкретных пользователей;
- сервер и клиент Kerio VPN — данный модуль предназначен для удаленного подключения к сети посредством технологии VPN. Поддерживаются соединения типа «сервер-сервер» (для удаленных офисов) и типа «сервер-клиент» (для отдельных пользователей). Подключение «сервер-клиент» производится с помощью небольшой программы (Kerio VPN Client), которая устанавливается на компьютере. Кроме того, возможно и бесклиентское подключение через веб-браузер (Clientless SSL VPN);
- межсетевая защита от вирусов — мы уже отмечали, что Kerio WinRoute Firewall может поставляться вместе со встроенным антивирусом (McAfee). Такой подход позволяет задействовать второй (внешний) антивирус для дополнительной проверки трафика. Сегодня поддерживаются такие поставщики антивирусных систем, как Symantec, Eset, Sophos и ряд других. При этом проверяется электронная почта, а также трафик по протоколам http и ftp;
- блокировка нежелательных сайтов — опциональная надстройка Orange Web Filter содержит более 60 сайтовых категорий, 60 млн веб-сайтов на 15 различных языках. Администратор может ограничить доступ пользователей (или групп пользователей) к разным категориям сайтов;
- фильтрация трафика — Kerio WinRoute Firewall способен ограничивать проходящий трафик в зависимости от его типа (расширения) или источника. В частности, поддерживаются настройки блокировки доступа к P2P-сетям, ftp-серверам и всплывающим http-окнам;
- управление доступом на уровне пользователей — относительно редкая функция. Продукт Kerio поддерживает регистрацию на шлюзе, где он работает. Таким образом, появляется возможность настройки политик именно для каждого пользователя, а не для каждого IP-адреса компьютера;
- управление и статистика — консоль управления Kerio WinRoute Firewall может быть установлена на любом компьютере сети. Система способна выдавать различные типы отчетов, что позволяет выявить привычки пользователей и найти наиболее уязвимые места в корпоративной сети.
Доступность и стоимость
Самая последняя редакция Kerio WinRoute Firewall имеет номер 6.3.1 и исправляет ряд недочетов в предыдущей версии — 6.3. А вот версия 6.3 имеет ряд принципиальных особенностей: она поддерживает новое семейство ОС Windows Vista, способна эффективно работать в 64-разрядном окружении, а также имеет расширенный модуль статистики StaR (Statistics Reports) с графическим интерфейсом.
Согласно ценам, приведенным в интернет-супермаркете Softkey, стоимость базового комплекта Kerio WinRoute Firewall (без McAfee и Orange WebFilter) составляет около 500 долл. В дальнейшем заказчики приобретают пакеты расширения (add-on) на определенное количество пользователей. Стоимость одного рабочего места при покупке add-on напрямую зависит от размера этого add-on. При покупке дополнительных лицензий на пять мест одно рабочее место обойдется в 25 долл., а при приобретении пакета на 250 пользователей в 15 долл. Добавим, что наличие встроенного антивируса McAfee делает продукт дороже примерно на 25-30%.