جدار الحماية كيريو ينروتي، إعداد القواعد، حصص المستخدمين

يمارس:

1) قم بتثبيت برنامج Kerio Winroute Firewall 6.0.4 من دليل Proxy\Kerio Winroute Firewall على القرص المضغوط وقم بتكوين هذا البرنامج بحيث يعمل كخادم وكيل، مما يوفر للعميل (كمبيوتر افتراضي تحت التحكم بالويندوز 98) الدخول إلى خادم الويب الموجود على جهاز الكمبيوتر الخاص بالمعلم. في هذه الحالة، يجب أن يعمل محول الشبكة "اتصال الشبكة المحلية" كواجهة متصلة بالإنترنت (عام)، ويجب أن يعمل محول الشبكة VMware Network Adaptor VMnet1 كواجهة متصلة بالشبكة المحلية الداخلية (خاص).

2) قم بإنشاء مستخدم TestUser مع اختبار كلمة المرور في قاعدة البيانات الداخلية لجدار الحماية الشخصي Kerio وتكوين حقوقه حتى يتمكن من الوصول إلى الإنترنت. أعطه حصة إنترنت تبلغ 50 ميجابايت يوميًا و500 ميجابايت شهريًا. نيابة عن هذا المستخدم، قم بالاتصال بخادم الويب على جهاز الكمبيوتر الخاص بالمدرس، ثم قم بعرض سجل العمل والحصة المتبقية نيابة عنه.

ملحوظة.يتم استخدام مستخدم Kerio الداخلي (وليس مستخدم مجال Windows 2000) لأنه عندما يكون هذا العمل المختبريليس لدينا وسيلة للاتصال بوحدة تحكم المجال.

3) بعد الانتهاء من التمرين المعملي، قم بتعطيل الافتراضي كمبيوتر ويندوز 98 وقم بإزالة جدار الحماية Kerio WinRoute باستخدام وحدة التحكم إضافة/إزالة البرامج.

الإجابة على المهمة 1:

1) قم بتشغيل الملف kerio-kwf-6.0.4-win.exe من دليل Proxy\Kerio WinRoute Firewall. في شاشة نوع الإعداد، حدد نوع التثبيت المخصص وفي الشاشة التالية تأكد من تحديد كافة المكونات (المساعدة باللغة التشيكية لا تحتاج إلى التثبيت).

2) في شاشة الحساب الإداري، اترك اسم المسؤول الافتراضي كمسؤول وقم بتعيين كلمة المرور P @ssw 0rd له.

3) في شاشة الوصول عن بعد، تأكد من إلغاء تحديد خانة الاختيار الوصول عن بعد.

4) إذا ظهر تحذير Windows يشير إلى أن مكون Kerio VPN Adaptor لم يجتاز اختبار التوافق مع Windows، فانقر فوق الزر "متابعة على أي حال".

5) بعد اكتمال تثبيت جدار الحماية Kerio WInRoute، قم بإعادة تشغيل جهاز الكمبيوتر الخاص بك.

6) بعد إعادة التشغيل، أجب بنعم عندما يُطلب منك تشغيل وحدة تحكم إدارة Kerio. في نافذة الاتصال الجديد، تحقق من معلمات الاتصال المقدمة لك وأدخل كلمة المرور. سيتم فتح نافذة معالج قواعد الشبكة. في شاشته الأولى، انقر على زر التالي.

7) في شاشة نوع الاتصال بالإنترنت، اترك المفتاح في الوضع العلوي (إيثرنت، DSL، مودم الكابل أو غيرها).

8) في شاشة محول الإنترنت، حدد محول الاتصال المحلي.

9) في شاشة Outbound Policy، اترك المفتاح في وضع السماح بالوصول إلى الخدمات التالية فقط واترك مربعات الاختيار المقابلة فقط خطوط HTTPوHTTPS وFTP وDNS.

10) في شاشة خادم VPN، اضبط المفتاح على لا.

11) في شاشة Inbound Policy، انقر فوق الزر Next دون تحديد أي منها خوادم داخلية، والتي ينبغي أن تكون في متناول المستخدمين من الإنترنت.

12) في شاشة مشاركة الإنترنت (NAT)، اترك المفتاح في وضع تمكين NAT وفي الشاشة التالية انقر على زر إنهاء. قم بإلقاء نظرة على خيارات التكوين الأساسية لـ Kerio Winroute Firewall من وحدة التحكم الإدارية الخاصة به. قم بتوسيع عقدة تصفية المحتوى، الموجودة فيها - سياسة HTTP، انتقل إلى علامة التبويب "الخادم الوكيل" وانظر إلى القيم الموجودة في مجموعة "الخيارات العامة".

13) الإطلاق الكمبيوتر الافتراضييعمل بنظام التشغيل Windows 98 في VMWare Workstation وانقر على أيقونة Internet Explorer على سطح المكتب. سيتم فتح نافذة معالج الاتصال بالإنترنت. اضبط المفتاح على وضع "إعداد اتصال بالإنترنت يدويًا" وانقر على زر "التالي".

14) في الشاشة التالية، اضبط زر الاختيار على "أنا متصل بالإنترنت عبر شبكة محلية" وانقر على زر "التالي".

15) في الشاشة التالية، قم بإلغاء تحديد " الكشف التلقائيالخادم الوكيل" وتحقق من " الإعداد اليدويمخدم بروكسي".

16) في الشاشة التالية، حدد خانة الاختيار "خادم وكيل واحد لجميع البروتوكولات" وفي حقل الخادم الوكيل لحقل HTTP، أدخل عنوان IP لواجهة VMNet 1، في حقل المنفذ - 3128. انقر فوق "التالي" مرتين، ثم انقر فوق الزر "جاهز".

17) ب شريط العنوانأدخل إنترنت إكسبلورر

HTTP://لندن

وعرض الصفحة التي تفتح.

الإجابة على المهمة 2:

1) في نافذة وحدة التحكم الإدارية، قم بتوسيع عقدة المستخدمين والمجموعات وانقر على سطر المستخدمين. في علامة التبويب "حسابات المستخدمين"، انقر فوق الزر "إضافة". سيتم فتح نافذة معالج إنشاء مستخدم جديد.

2) في الشاشة الأولى - عام، أدخل اسم المستخدم TestUser وكلمة المرور (على سبيل المثال، اختبار). تأكد من تحديد قاعدة بيانات المستخدم الداخلية في سطر المصادقة وانقر على زر التالي.

3) في شاشتي المجموعات والحقوق، اترك القيم الافتراضية.

4) في شاشة الحصة النسبية، حدد مربعي الاختيار تمكين الحد اليومي وتمكين الحد الشهري وقم بتعيين الحد اليومي على 50 ميجابايت والحد الشهري على 500 ميجابايت. اترك شاشتي قواعد المحتوى وتسجيل الدخول التلقائي بقيمهما الافتراضية. انقر على زر إنهاء.

5) بعد إنشاء المستخدم، انتقل إلى علامة التبويب "خيارات المصادقة" وحدد خانة الاختيار "طلب مصادقة المستخدمين دائمًا عند الوصول إلى صفحات الويب". انقر على زر تطبيق.

6) انتقل إلى العقدة تصفية المحتوى -> سياسة HTTP.في علامة التبويب قواعد URL، انقر فوق الزر "إضافة". في حقل الوصف، أدخل "رفض الكل". في مجموعة الإجراء، قم بتعيين زر الاختيار على رفض الوصول إلى موقع الويب (اترك كافة عناصر التحكم الأخرى في قيمها الافتراضية) وانقر فوق موافق.

7) انقر فوق الزر "إضافة" مرة أخرى، وأدخل "مستخدم الاختبار المسموح به" في حقل "الوصف"، وحرك المفتاح أدناه إلى "المستخدمون المحددون" وانقر فوق الزر "تعيين". أضف TestUser إلى قائمة المستخدمين المحددين. اترك كافة المعلمات الأخرى دون تغيير وانقر فوق "موافق". ثم استخدم أزرار الأسهم الموجودة على الجانب الأيمن من الشاشة للتغيير الترتيب المتبادلالقواعد التي قمت بإنشائها بحيث تكون قاعدة TestUser المسموح بها أعلى رفض الكل وانقر فوق الزر "تطبيق". أعد تشغيل جدار الحماية الشخصي لـ Kerio لمسح بيانات الأذونات المخزنة مؤقتًا.

8) أعد تشغيل الكمبيوتر الافتراضي الذي يعمل بنظام التشغيل Windows 98، ثم افتح Internet Explorer وقم بالوصول إلى http://london. تظهر نافذة تنبيه أمان تحذرك من عدم إمكانية التحقق من الشهادة. انقر على زر نعم.

9) في نافذة صفحة مصادقة جدار الحماية (المفتوحة عبر اتصال آمن)، أدخل اسم المستخدم وكلمة المرور للاختبار. وبعد تحذير أمني آخر، سيتم فتح صفحة موقع الويب على كمبيوتر المعلم.

ملحوظة.في بعض الأحيان تظهر مطالبة باسم المستخدم وكلمة المرور في الملف المدمج نافذة ويندوز. لفتح صفحة المصادقة بشكل صريح، أدخل HTTP://192.168.X.1:4080 في متصفح الويب الخاص بك.

10) لعرض الإحصائيات الخاصة بمستخدم ما، عليك العودة إلى صفحة المصادقة (باستخدام زر الرجوع) والنقر على رابط صفحة الفهرس، ثم الإحصائيات.

11) لإزالة جدار الحماية Kerio Winroute، استخدم وحدة التحكم إضافة/إزالة البرامج في لوحة التحكم.

وصف

تتمثل المهمة الرئيسية لجدار الحماية الخاص بالشركة في التحكم في حركة مرور الشبكة الواردة والصادرة من أجل الامتثال لسياسة أمان الشركة.

يوفر Kerio WinRoute Firewall القدرة على تحديد قواعد الوصول بدقة لفحص جميع حركة المرور على الإنترنت وجعلها متوافقة مع سياسات أمان الشركة. معالج الاعداد قواعد الشبكةيساعد على تثبيت وتكوين جدار الحماية بسرعة.

يعد Kerio WinRoute Firewall جدار حماية قويًا للشبكة يعمل على مستويات TDI/NDIS نظام التشغيل. تساعد تقنية الفحص العميق المستخدمة لتحليل حركة المرور الواردة والصادرة على ضمان ذلك اعلى مستوىالأمن للشبكة المحلية بأكملها، وكذلك ل أجهزة الكمبيوتر الفرديةالعمل على الشبكة.

وظائف

سياسة المرور

يعتمد أمان Kerio WinRoute Firewall على القواعد المطبقة على حركة المرور ويسمح لك بتكوين عوامل تصفية الحزم وNAT (الترجمة) في جدول واحد مناسب عناوين الشبكة)، ورسم خرائط المنفذ والتحكم في الوصول.

يعمل معالج التكوين المدمج على تبسيط عملية إنشاء وتكوين قواعد الشبكة الضرورية إلى حد كبير. يستغرق إعداد جدار الحماية وتوصيل شبكتك بالإنترنت دقائق قليلة.

نظام منع الاختراق

أحد المتطلبات الأساسية للحصول على شهادة جدار حماية الشبكة من ICSA Labs هو القدرة على التعرف هجمات القراصنةوالغزوات. يتم تسجيل محاولات كافة هذه الإجراءات في سجل الأمان.

مكافحة الانتحال

يعد Anti-spoofing أحد مكونات مرشح الحزم في Kerio WinRoute Firewall الذي يوفر مستوى إضافيحماية الشبكة المحلية ضد الهجمات التي يستخدم فيها المتسلل عنوان IP المصدر.

سجلات جدار الحماية

إحدى الميزات المهمة لأي منتج أمان للنظام هي القدرة على ذلك سجل مفصلالاحداث الحالية.

يقوم Kerio WinRoute Firewall بتسجيل الأحداث في عدة سجلات مختلفة - رسائل الخطأ، وأحداث تصحيح الأخطاء، وإعدادات المستخدم، والحالة، وتصفح الويب، وفحص المنافذ، وما إلى ذلك.

يمكن تمكين التسجيل لأي من القواعد المحددة في جدول قواعد المرور. وهذا يمنح المسؤول التحكم الكامل في الاتصالات التي تم إنشاؤها من خلال جدار الحماية.

مراقبة البروتوكول

تسمح هذه الميزة للتطبيقات الفردية ببروتوكولاتها الخاصة (والتي لا تتطلب في البداية جدار حماية) للعمل بشكل آمن على الشبكات المحلية. يمكن فحص البروتوكولات المتعددة أو تصفيتها أو تعديلها، مما يزيد من الموثوقية الإجمالية لجدار الحماية.

جدار حماية Kerio Winroute - خادم VPN وعميل

لجميع الحديثة رجال الأعمالسواء كنت مسافرًا أو تعمل في المنزل، يمكنك الاتصال الآمن بـ شبكة الشركةهو شرط ضروري. باستخدام كيريو ينروتي تركيب جدار الحمايةلا تتطلب الشبكة الخاصة الافتراضية أي جهد تقريبًا. يعد خادم VPN وعملاءه جزءًا من إمكانات الوصول الآمن عن بعد لجدار الحماية Kerio WinRoute Firewall.

يتيح استخدام Kerio VPN للمستخدمين الاتصال عن بعد بموارد شبكة الشركة مثل خوادم الملفاتأو خوادم قواعد البيانات أو حتى الطابعات التي عادة ما تكون مخفية خلفها جدار الحمايةوليست متاحة للاستخدام خارج شبكة المكتب.

خادم كيريو VPN

يتيح لك خادم VPN المدمج في منتج Kerio WinRoute Firewall تنظيم شبكات VPN في سيناريوهين مختلفين:

خادم عميل VPN (يستخدمه Kerio عميل VPNللنوافذ)

خادم VPN إلى الخادم

يتم استخدام وضع الخادم-الخادم من قبل الشركات التي ترغب في الاتصال بمكتب بعيد عبر قناة آمنة مشاركةالموارد المشتركة. يتطلب هذا السيناريو وجود Kerio WinRoute Firewall على كل طرف من أطراف الاتصال لإنشاء قناة آمنة عبر الإنترنت المفتوح.

خادم عميل VPN

يسمح وضع خادم العميل لمستخدم بعيدقم بتوصيل جهاز كمبيوتر محمول أو جهاز كمبيوتر شخصي تم تكوينه بشكل آمن بشبكة الشركة.

عميل كيريو VPN

Kerio VPN Client هو تطبيق صغير يعمل على جانب الكمبيوتر المتصل. يعمل على نظام التشغيل Windows 2000 وما فوق.

VPN SSL بدون عملاء

يتضمن جدار الحماية Kerio WinRoute 6.1 خدمة جديدةيسمى Clientless SSL VPN، والذي يسمح العملاء عن بعدوصول الملفات المشتركةعلى خوادم الشبكة المحلية باستخدام متصفح عادي. وفي الوقت نفسه، تثبيت عميل خاص برمجةغير مطلوب.

ترجمة NAT

كما يعلم المسؤولون، لا يتم دعم VPN وNAT (ترجمة عنوان الشبكة) دائمًا العمل سويا. تم تصميم Kerio VPN من أجل عملية موثوقةمن خلال NAT وحتى من خلال سلسلة من بوابات NAT.

يستخدم Kerio VPN خوارزميات التشفير القياسية - SSL للتحكم في القناة (TCP) والسمكة المنتفخة لنقل البيانات (UDP).

IPSec، ويندوز، وVPN الشركات المصنعة الطرف الثالث

في الحالات التي يكون فيها لدى الشركة معيار معين لاستخدام منتجات VPN، يتضمن Kerio WinRoute Firewall دعمًا لبروتوكولات IPSec وPPTP، مما يسمح باستخدامها حلول مختلفةالشركات المصنعة الطرف الثالث.

ومن المقبول أيضًا استخدامه قدرات VPN، مدمج في Windows، والذي يسمح لك بالبناء شبكة VPNمع فقط أدوات مايكروسوفتويندوز وجدار الحماية كيريو وينروتي. لا يلزم وجود برامج طرف ثالث. يدعم Kerio WinRoute Firewall أيضًا وظائف RRAS المتوفرة في إصدارات الخادم لأنظمة التشغيل أنظمة مايكروسوفتشبابيك.

Kerio Winroute Firewall - جدار الحماية للحماية من الفيروسات

ينشئ Kerio WinRoute Firewall حماية إضافية لجدار الحماية ضد الفيروسات عن طريق فحص حركة المرور الواردة والصادرة:

• - البريد الإلكتروني (SMTP وPOP3)
• - الويب (HTTP)
• - نقل الملفات (FTP)

ولهذا الغرض، تم تطوير نسختين مرخصتين:

• 1. جدار الحماية Kerio WinRoute مدمج مع McAfee Anti-Virus
• 2. جدار الحماية Kerio WinRoute مع برامج مكافحة الفيروسات الأخرى

فوائد الحماية من الفيروسات بواسطة جدار الحماية

توفر الحماية من الفيروسات المثبتة على الشبكة المحلية حماية كاملة لجميع حركة المرور. يمكن للمسؤولين استخدام أحدث "صور" الفيروسات على البوابة، وهو ما يعد أكثر إنتاجية من تشغيل برنامج مكافحة الفيروسات على كل كمبيوتر.

حماية البريد الإلكتروني من الفيروسات

يقوم Kerio WinRoute Firewall بفحص الرسائل الواردة والصادرة، بالإضافة إلى كافة المرفقات. يتم حذف أي فيروس تم اكتشافه في الرسالة. إذا تم اكتشاف فيروس في أحد المرفقات، فسيتم حذف المرفق بأكمله وإضافة إشعار إلى الرسالة.

حماية الشبكة من الفيروسات

يقوم Kerio WinRoute Firewall بفحص كل حركة مرور الشبكة، بما في ذلك صفحات HTML، بحثًا عن الفيروسات المضمنة. يتم أيضًا فحص الملفات التي تم تنزيلها عبر HTTP والملفات المنقولة عبر بروتوكول FTP بحثًا عن الفيروسات.

الشراكة مع شركة McAfee, Inc.

شركة كيريو تكنولوجيز بالتعاون مع شركة McAfee, Inc. قامت شركة (Network Associates) بإنشاء منتج برنامج مكافحة فيروسات متعدد المنصات لغرف العمليات أنظمة ويندوزو Linux و Mac OS X. يمكن لجدار الحماية Kerio WinRoute Firewall، جنبًا إلى جنب مع McAfee، تلقي التحديثات باستخدام "صور" الفيروسات الجديدة كل ساعة تقريبًا.

جدار الحماية Kerio WinRoute مدمج مع McAfee Anti-Virus

إن Kerio WinRoute Firewall مع McAfee Anti-Virus عبارة عن حزمة برامج توفر حماية كاملة من فيروسات جدار الحماية لشبكتك بالكامل.

في هذه الحالة، تتعلق إعدادات مكافحة الفيروسات فقط بحماية جدار الحماية. التثبيت بسيط ومباشر، ولا يتطلب ذلك إعدادات إضافية. بفضل تكامل منتجات البرمجيات، تتوافق جميع عناصر الخادم - الحماية من الفيروسات وحماية جدار الحماية - مع بعضها البعض.

تم تصنيع McAfee AntiVirus بواسطة شركة McAfee, Inc.

جدار الحماية Kerio WinRoute مع برامج الحماية من الفيروسات الأخرى

يمكن أن يعمل Kerio WinRoute Firewall مع بعض برامج مكافحة الفيروسات منتجات البرمجياتالشركات المصنعة الأخرى (انظر الجدول 2): معلومات الخادم الوكيل للشركات

الجدول 2

إصدار خادم AVG
إي تراست لمكافحة الفيروسات	شركاء الكمبيوتر
سيمانتيك
أفاست! لكيريو
برنامج مكافحة الفيروسات VisNetic

مرشح الويب ISS البرتقالي

مكون إضافي لبرنامج Kerio WinRoute Firewall للحماية أثناء تصفح الإنترنت.

بالنسبة للمؤسسات والمؤسسات مثل المدارس التي لا ترغب في أن يقوم موظفوها وعملاؤها بزيارة صفحات إنترنت معينة، يوفر جدار حماية Kerio WinRoute مع مرشح الويب ISS Orange المدمج إمكانات إضافية.

يقدم ISS Orange Web Filter قائمة تضم 58 فئة من الصفحات، مثل المتاجر الافتراضية أو الأخبار أو المواد الإباحية أو الرياضة أو السفر، التي يمكن حظرها بواسطة Kerio WinRoute Firewall.

سعر

يُباع مرشح الويب ISS Orange على هيئة مكون إضافيجدار الحماية كيريو وينروتي.

كيف يعمل هذا الفلتر؟

يعد برنامج Kerio WinRoute Firewall سهل الاستخدام ويمكن أن تمتلكه مجموعات مستخدمين مختلفة وصول محدودإلى مواقع مختلفة.

في كل مرة يحاول فيها المستخدم الوصول إلى موقع ويب، يقوم Kerio WinRoute Firewall بفحص قاعدة بيانات ISS Orange Web Filter لمعرفة ما إذا كانت الصفحة مضمنة في إحدى الفئات. في حالة تضمينه، يقوم جدار الحماية Kerio WinRoute بحظر الوصول إليه تلقائيًا. يمكنك أيضًا تحذير المستخدم من أن المسؤول سيعلم بأفعاله.

تغطية كاملة

تعد قاعدة بيانات ISS Orange Web Filter واحدة من أكبر قواعد البيانات، حيث تحتوي على أكثر من 4 مليارات صفحة تم التحقق منها و20 مليون عنوان URL مرقم ومصنف.

إذا طلب المستخدم صفحة غير موجودة في قاعدة البيانات الرئيسية، فسيتم إرسال عنوان URL الخاص بها إلى ISS، حيث تتم مراجعته خلال 24 ساعة.

يقوم ISS Orange Web Filter بمعالجة الصفحات بـ 15 لغة.

السرعه العاليه

يقوم جدار الحماية Kerio WinRoute مع ISS Orange Web Filter بتخزين عناوين URL مؤقتًا في قاعدة بيانات محلية. تحتوي قاعدة البيانات الرئيسية فقط على عناوين URL التي لا يستطيع المستخدمون الوصول إليها.

يتم تخزين قاعدة البيانات الرئيسية على سبعة خوادم ISS منتشرة حول العالم، مما يضمن استجابات سريعة.

إحصائيات مفصلة

يوفر جدار الحماية كيريو وينروتي إحصاءات مفصلةحركة مرور الشبكة لكل مستخدم أو للمؤسسة بأكملها. يمكن للمسؤول استخدام هذه الإحصائيات لتحديد تفضيلات المستخدم وتحديد استراتيجيات استخدام موارد الشبكة.

جدار حماية كيريو وينروتي - التحكم في وصول المستخدم

المهمة الرئيسية لضمان أمن الشبكة هي تطوير استراتيجية الوصول إلى الإنترنت. يسمح Kerio WinRoute Firewall للمسؤولين ليس فقط بإنشاء إستراتيجية شاملة لاستخدام حركة المرور، ولكن أيضًا بوضع القيود وفرضها على كل مستخدم.

إدارةالمستخدم

في Kerio WinRoute Firewall، يمكن أن يعني مصطلح "المستخدم" ما يلي:

• - اسم المستخدم وكلمة المرور لكل مستخدم
• - مجموعة المستخدمين
• - عنوان IP أو اسم الكمبيوتر
• - الشبكة بالكامل

قبل الوصول إلى الإنترنت، يجب على كل مستخدم التسجيل في جدار الحماية Kerio WinRoute.

إدارة المستخدم باستخدام قاعدة بيانات المستخدم الداخلية

يتم تخزين حسابات المستخدمين إما في قاعدة بيانات مستخدم Kerio WinRoute Firewall داخلية منفصلة، ​​أو على جهاز تحكم عن بعد إذا كانت الشبكة كبيرة خادم مايكروسوفت الدليل النشط. يمكنك العمل مع قاعدتي البيانات هاتين في وقت واحد.

إدارة المستخدم مع باستخدام نشطالدليل

كون جزء من ويندوز 2000 Server، Active Directory يسمح للمسؤولين بإدارة حسابات المستخدمين وبيانات موارد الشبكة مركزيًا. يوفر Active Directory الوصول إلى معلومات المستخدم من جهاز كمبيوتر واحد.

يوفر دعم Active Directory لجدار الحماية Kerio WinRoute إمكانية الوصول في الوقت الفعلي إلى قاعدة بيانات المستخدم ويسمح لك بإعداد مستخدم على الشبكة المحلية دون حفظ كلمة المرور. بهذه الطريقة، ليست هناك حاجة لمزامنة كلمات المرور لكل مستخدم. تنعكس كافة التغييرات في Microsoft Active Directory تلقائيًا في جدار الحماية Kerio WinRoute.

إدارة حقوق الوصول

يمكن للمسؤول تعيين قيود مختلفة على حقوق الوصول لكل مستخدم. على سبيل المثال، يمكن لبعض المستخدمين تسجيل الدخول فقط الصفحات الداخلية، ويمكن للآخرين العمل فقط مع البريد الإلكتروني. يتم تكوين هذه الحقوق فقط وفقًا لجدول زمني محدد، لذا لا يمكن تعيينها إلا في فترات زمنية معينة.

قيود استخدام حركة المرور

يقوم بعض المستخدمين بتنزيل الكثير من الملفات والاستماع إلى الراديو عبر الإنترنت وإرسالها لبعضهم البعض فيديو منزلي. في كثير من الأحيان، إذا كان أحد المستخدمين يستهلك قدرًا كبيرًا من النطاق الترددي، فسيؤثر ذلك على جودة اتصالات المستخدمين الآخرين.

للحد من هؤلاء المستخدمين، يمكن للمسؤول تعيين حدود استخدام حركة المرور. يمكن أن يكون:

• - قيود على الإرسال أو التنزيل أو كليهما.
• - الحد من حركة المرور يوميا أو شهريا
• - أي مزيج من النقطتين الأولى والثانية

عند الوصول إلى الحد الأقصى، يرسل Kerio WinRoute Firewall تحذيرًا عبر البريد الإلكتروني إلى المستخدم والمسؤول. أو يمكن للمسؤول حظر هذا المستخدم حتى نهاية اليوم أو الشهر.

كيريو ينروتي جدار الحماية - الإدارة

الإحصائيات والتقارير (ستار)

لعرض استخدام الموظفين للإنترنت، يمكنك استخدام وحدة StaR. يتم عرض الإحصائيات في شكل رسوم بيانية توضح استهلاك حركة المرور غير المرتبط بسير العمل ونقص الموارد وغيرها من المشكلات. تحتوي التقارير على معلومات حول مقدار حركة المرور المستخدمة، والمواقع الرئيسية التي تمت زيارتها، وبالاشتراك مع الوحدة الاختيارية (IBM) ISS Orange Web Filter، النسبة المئوية للموارد الأكثر زيارة حسب الفئة. يمكن استخدام StaR عن بعد من خلال المتصفح دون الحاجة إلى ترخيص في وحدة التحكم الإدارية.

الإدارة عن بعد

يقوم مسؤول النظام بتكوين البرنامج وإدارة حسابات المستخدمين وسياسات الأمان من خلال وحدة تحكم إدارة Kerio. يمكن تثبيته على جهاز كمبيوتر مثبت عليه بالفعل جدار حماية، أو على جهاز كمبيوتر بعيد متصل بالإنترنت. يتم تبادل البيانات بين وحدة التحكم عن بعد ونظام جدار الحماية عبر قناة مشفرة.

الإخطارات عن طريق البريد الإلكتروني

في بعض الأحيان لا يستطيع المسؤول متابعة كل ما يحدث لنظام جدار الحماية. يساعدك Kerio WinRoute Firewall على تتبع الأحداث المهمة مثل قطع اتصال الشبكة أو تجاوز حركة مرور المستخدم أو اكتشاف الفيروسات أو انتهاء صلاحية الترخيص.

ويتم إخطار المسؤول بكل حدث من هذا القبيل. بالبريد الالكتروني، بينما يمكنه اختيار الأحداث التي يجب إعلامه بها.

إحصاءات استخدام حركة المرور والرسم البياني

تساعد الإحصائيات الدقيقة والمدروسة المسؤول على معرفة تفضيلات المستخدم عند العمل على الإنترنت، والعثور على العناصر والمشكلات الحاسمة.

يقوم Kerio WinRoute Firewall بإنشاء رسم بياني تفصيلي لاستخدام حركة المرور لكل مستخدم على الشبكة. يمكن للمسؤول تحديد الفترة التي يريد تتبع استخدام حركة المرور خلالها: ساعتين، يوم واحد، أسبوع واحد وشهر واحد.

بالإضافة إلى ذلك، يعرض جدار حماية Kerio WinRoute إحصائيات حول الاستخدام الفعلي لحركة المرور، حسب النوع: HTTP، وFTP، بريد إلكترونيوتدفق بروتوكولات الوسائط المتعددة وتبادل البيانات مباشرة بين أجهزة الكمبيوتر أو الوكلاء.

إذا قمت بتشغيل ISS Orange Web Filter، فسيعرض Kerio WinRoute Firewall إحصائيات زيارة صفحة الويب لكل مستخدم وللمؤسسة بأكملها.

خصائص البرنامج

طرق الاتصال بالإنترنت المستخدمة

يدعم DSL، اتصال المودم، ISDN، الإنترنت عبر الأقمار الصناعيةواتصالات الطلب الهاتفي و انترنت لاسلكييسمح لك بتثبيت Kerio WinRoute Firewall على الشبكات من أي حجم وفي أي مكان. يمكن استخدام اتصال واحد من قبل عدة مستخدمين في وقت واحد.

انقطع الإتصال

إذا اكتشف جدار حماية Kerio WinRoute فشل الاتصال، فإنه يتحول تلقائيًا إلى نسخة احتياطية. للحصول على اتصال احتياطي، يمكنك استخدام أي محول شبكة أو مودم.

NAT والخادم الوكيل

الوصول السريع إلى الإنترنت بفضل اثنين تقنيات مختلفة: ترجمة عنوان الشبكة (NAT) والخادم الوكيل.

يوفر جهاز توجيه NAT إمكانية الوصول إلى الإنترنت لجميع أجهزة الكمبيوتر الموجودة على شبكة محلية ويعمل مع أي بروتوكول تقريبًا. في باستخدام NATلا توجد إعدادات إضافية مطلوبة على كل كمبيوتر.

يتم استخدام الخادم الوكيل كجهاز كمبيوتر عميل السيرفر المتحكم. ونظرًا لتعقيد هذه التقنية، لا يتم دعم سوى عدد قليل من البروتوكولات. صحيح أنه يحتوي على وظائف مثل المصادقة والتحكم في وصول المستخدم.

آلية إعادة توجيه بيانات DNS

تقوم آلية إعادة توجيه بيانات DNS المضمنة بإنشاء استعلام DNS عندما يقوم المستخدم بزيارة موقع ويب. يرسل هذا الطلب إلى المحدد خادم DNSويخزن أحدث النتائج التي تم الحصول عليها لبعض الوقت. الإجابة على الصديق القادمطلبات بعضهم البعض تأتي على الفور.

خادم DHCP

يقوم خادم DHCP بتعيين معلمات تكوين IP لكل كمبيوتر على الشبكة المحلية، مما يجعل إدارة الشبكة أسهل بكثير.

خادم ذاكرة التخزين المؤقت وكيل HTTP

H.323 وSIP

تساعد وحدات التحقق من بروتوكول Kerio جدران الحماية على العمل بشكل صحيح معها الاتصالات الهاتفية عبر بروتوكول الإنترنت (VoIP).أو نقل الفيديو. يعمل Kerio WinRoute Firewall مع أجهزة VoIP التي تستخدم بروتوكولات H.323 أو SIP المتصلة بشبكة آمنة. وهذا هو، ليست هناك حاجة للاتصال معدات الصوت عبر بروتوكول الإنترنتفي الإنترنت.

سيسكو SCCP

إذا كانت الشركة ترغب في استخدام معدات VoIP في بيئة Cisco AVVID، فسيتم استخدام Skinny Client لإنشاء اتصال بين هاتف IP وCisco CallManager بروتوكول التحكم(SCCP) من شركة سيسكو. وبطبيعة الحال، يجب أن يتعرف جدار الحماية عليه ويفهم المعلومات التي يتم إرسالها.

يتعرف Kerio WinRoute Firewall تلقائيًا على بروتوكول SCCP ويقوم بترجمة عنوان الشبكة بين هاتف IP وCisco CallManager. نظرًا لأن Kerio WinRoute Firewall يقوم بترجمة عنوان IP ديناميكيًا، فلا يحتاج المسؤول إلى تكوين عنوان IP يدويًا لكل هاتف IP.

دعم بنب

يسمح معيار التوصيل والتشغيل العالمي (UPnP) المستخدم في نظام التشغيل Windows بذلك تطبيقات مختلفةالعمل مع بعضهم البعض دون إعدادات إضافية في حماية جدار الحماية. يعمل Kerio WinRoute Firewall مع تقنية UPnP بحيث يمكن تشغيل التطبيقات مثل MSN Messenger بسلاسة.

الحد الأدنى لمتطلبات النظام

جدار الحماية كيريو وينروتي

• ذاكرة الوصول العشوائي 256 ميجابايت
• 20 ميجا بايت HDD للتثبيت

إضافي مكان خالللسجلات وذاكرة التخزين المؤقت

الحد الأدنى 2 واجهات شبكة (بما في ذلك الطلب الهاتفي)

ويندوز 2000/إكس بي/2003/فيستا

عميل كيريو VPN

• 128 ميجا بايت رام
• هارد 5 ميجا بايت

ويندوز 2000/إكس بي/2003/فيستا

تكلفة التنفيذ

وبما أن عدد أجهزة الكمبيوتر في مؤسستنا يبلغ حوالي 150 جهازًا، فإن خيارنا يتضمن ترخيصًا يتضمن 250 مستخدمًا. يتم احتساب التكلفة على النحو التالي: (الأساسية لـ 5 مستخدمين) + (الإضافية لـ 250 مستخدم). سعر صرف اليورو إلى الروبل = 41.4

التحكم كيريو (على سبيل المثال جدار حماية كيريو وينروتي): 241.9*41.4+5605*41.4 = 10014.66+ 232047= 242,061.66r

تعد القدرة على تصفية الويب ضرورية أيضًا، خاصة في مفتش حركة المرور هذه الفرصةيتم تضمينه في سعر البرنامج ولا يتم توفيره كخيار منفصل.

فلتر ويب كيريو=28*41.4+250*443= 1159.2+ 10350= 11509.2r

المجموع الذي حصلنا عليه: 11509.2 + = 242.061.66 = 253.570.86 روبل مقابل 255 ترخيصًا!

قبل أن تفعل أي شيء يتعلق بالقواعد، تحتاج إلى تكوين واجهات الشبكة بشكل بشري، فمن لم يقرأ المقال تكوين DNS وواجهات الشبكة بشكل صحيح!!! ، افعلها الآن.

تم اختبار كل ما هو مكتوب أدناه على الإصدار 6.2.1 من KWF، ولكنه سيعمل على جميع الإصدارات 6.xx، الإصدارات القادمةإذا كانت هناك تغييرات، فلا أعتقد أنها ستكون مهمة.

لذلك، تم تكوين واجهات الشبكة، وتم تثبيت Kerio Winroute Firewall، وأول شيء نقوم به هو الانتقال إلى Configuration > Traffic Policy وتشغيل المعالج. حتى لو كنت قد أطلقته بالفعل من قبل. نحن نفعل الشيء الصحيح، أليس كذلك؟

1. كل شيء واضح في الخطوتين الأولى والثانية للمعالج، وفي الخطوة الثالثة نختار واجهة الشبكة الخارجية (واجهة الإنترنت، يحددها المعالج دائمًا بشكل صحيح تقريبًا).

2. وبعد ذلك، الخطوة الرابعة، وهي الأهم.
بشكل افتراضي، يقدم KWF خيار "السماح بالوصول إلى جميع الخدمات (بدون قيود)"، ولكن! نحن نواجه باستمرار حقيقة أن قواعد KWF هذه تعالج مشاكل في الخدمة، بعبارة ملطفة، وغريبة. أيطوال الوقت.

ولذلك نختار الخيار الثاني السماح بالوصول إلى الأتىالخدمات فقط. لا يهم أن KWF قد تقدم لك خدمات مختلفة قليلاً عما تحتاج إليه، ولكن كل هذا يمكن إضافته أو إزالته لاحقًا.

3. في الخطوة الخامسة، نقوم بإنشاء قواعد للشبكة الافتراضية الخاصة (VPN)؛ ويمكن لمن لا يحتاج إليها إزالة مربعات الاختيار. ولكن مرة أخرى، يمكنك القيام بذلك لاحقًا إذا لم تكن متأكدًا.

4. الخطوة 6 مهمة جدًا أيضًا. نقوم هنا بإنشاء قواعد لتلك الخدمات التي يجب الوصول إليها من الخارج، من خلال الإنترنت. أنصحك بإضافة خدمتين على الأقل، وسيكون من الأسهل عليك أن ترى كيف تم بناء هذه القاعدة.
على سبيل المثال:

خدمة مسؤول KWF على جدار الحماية
خدمة RDP على 192.168.0.15

5. الخطوة السابعة، بطبيعة الحال نقوم بتشغيل NAT، حتى لو لم يكن أحد بحاجة إليها (وهو أمر غير محتمل بالطبع)، يمكنك دائمًا إيقاف تشغيله.
في الخطوة الثامنة، انقر فوق إنهاء.

اتضح أن لدينا شيء مثل هذا:

بعض التوضيحات لمن لا يريد قراءة الدليل:
قاعدة نات- يحتوي في الواقع على تلك الخدمات المسموح لها بالوصول إلى الإنترنت من الأجهزة العميلة.
والقاعدة حركة جدار الحماية- هذه هي القاعدة الخاصة بالجهاز المثبت عليه KWF.
القواعد الحمراء الصغيرة أدناه مخصصة للوصول إلى الخدمات التي تحمل الاسم نفسه من الإنترنت.

من حيث المبدأ، يمكنك العمل بالفعل، ولكنك تحتاج إلى تكوين KWF قليلاً، لذلك بعد ذلك:

6. قاعدة حركة المرور المحليةننتقل إلى الأعلى، لأنه تتم معالجة القواعد من الأعلى إلى الأسفل وبما أن حركة المرور المحلية تسود عادةً على الباقي، فإن هذا سيؤدي إلى تقليل الحمل على البوابة بحيث لا ترسل حزمًا منها حركة المرور المحليةمن خلال جدول القواعد بأكمله.

7. في القاعدة حركة المرور المحليةتم تعطيل مفتش البروتوكول، وتم ضبطه على لا أحد.

8. من قواعد مرور NAT وجدار الحماية، نقوم بإزالة الخدمات التي لا نحتاج إليها، ونضيف الخدمات التي نحتاجها وفقًا لذلك. حسنا، على سبيل المثال اي سي كيوأنصحك بالتفكير فيما تضيفه وتزيله.

9. في بعض الأحيان تتطلب بعض الخدمات قاعدة منفصلة، ​​لأن مواطن الخلل الغريبة تبدأ مع الآخرين. حسنًا، من الأسهل تتبع كيفية عمله، بالطبع، عن طريق تسجيل هذه القاعدة.

بعض الملاحظات:

10. إذا كنت تريد أن تكون قادرًا على اختبار اتصال العناوين الخارجية من أجهزة الكمبيوتر العميلة، فقم بإضافة الخدمة بينغلقاعدة NAT.

11. إذا كنت لا تستخدم VPN على الإطلاق، فقم بتعطيل خادم VPN (التكوين > الواجهات > خادم VPN، انقر بزر الماوس الأيمن > تحرير > قم بإلغاء تحديد تمكين خادم VPN).
يمكنك أيضًا تعطيل واجهة Kerio VPN.

12. إذا كنت تستخدم وكيل الأصل، أضف إلى قاعدة جدار الحمايةالمنفذ المقابل لحركة المرور (إذا كان المعيار هو 3128، فيمكنك إضافة خدمة وكيل HTTP). وبعد ذلك من قاعدة NAT تحتاج إلى إزالة خدمات HTTP وHTTPS على الأقل.

13. إذا كنت بحاجة إلى منح الوصول إلى الإنترنت لمجموعة معينة من المستخدمين أو عناوين IP، فقم بإنشاء قاعدة مشابهة لـ NAT، فقط مصدرها ليس الواجهة المحلية، ولكن مجموعتك.

فيما يلي مثال يشبه إلى حد ما الواقع (خاصتي بالطبع، ولكن ليس تمامًا).

مثال.
المهمة: توزيع الإنترنت على جميع أجهزة الكمبيوتر الموجودة على الشبكة باستخدام وكيل غير شفاف، والسماح لـ ICQ وFTP المجموعات المختارةوتنزيل البريد عبر POP3 للجميع. منع إرسال الرسائل مباشرة إلى الإنترنت، إلا من خلال البريد. قم بالوصول إلى هذا الكمبيوتر من الإنترنت. حسنًا، من الطبيعي أن نأخذ الملاحظات بعين الاعتبار.
وإليكم القواعد الجاهزة:

شرح مختصر للقواعد:
حركة المرور المحلية- إلى الأعلى، كما هو مخطط له.
حركة المرور NTP- قاعدة مزامنة خادم الوقت (192.168.0.100) مع مصادر الوقت المحددة على الإنترنت.
حركة المرور ICQ- قاعدة تسمح لمجموعة المستخدمين "السماح لمجموعة ICQ" باستخدام ICQ.
حركة مرور بروتوكول نقل الملفات- قاعدة تسمح لمجموعة المستخدمين "السماح لمجموعة FTP" بتنزيل الملفات من خوادم FTP.
NAT للجميع- لم يتبق سوى القليل من NAT (نذهب إلى الإنترنت من خلال وكيل) فقط البريد المجاني و بينغ الإنترنتمسموح لجميع مستخدمي الشبكة.
حركة جدار الحماية- كل شيء واضح مع هذا، الخدمات المسموح بها لجدار الحماية. يرجى ملاحظة أنه تمت إضافة خدمة SMTP هنا (إذا لم يكن مرسل البريد على نفس الكمبيوتر مثل Winrout، فستحتاج إلى إنشاء قاعدة منفصلة) والمنفذ 3128 للوكيل الأصلي.
خدمة بينغ- القاعدة اللازمة لاختبار اتصال خادمنا من الخارج.
المشرف عن بعد- قاعدة للوصول الخارجي إلى وحدة تحكم KWF وKMS وإلى واجهة الويب الخاصة بهم.
خدمة كيريو VPN- قاعدة الوصول من الخارج عملاء كيريو VPN.
خدمة وين VPN- قاعدة الوصول من العملاء الخارجيين لـ Windows VPN الأصلي
خدمة RDP- قاعدة للوصول من العملاء الخارجيين لمحطة Windows (لكن الأفضل عبر VPN).

نحن نعتبر الحالات العامة الثلاث الأكثر شيوعًا:

1. شبكة نظير إلى نظير، بدون مجال، أو بالأحرى بدون خادم DNS، يتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت؛
2. شبكة ذات مجال، يقع خادم DNS على DC (وحدة تحكم المجال)، ويتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت؛
3. شبكة ذات مجال، يقع خادم DNS على DC، ويتم تثبيت Winroute أيضًا على هذا DC.

لا ينصح بالخيار الثالث بشكل قاطع لأسباب تتعلق بالأمن والفطرة السليمة، ولكن لسوء الحظ يتم استخدامه في كثير من الأحيان في الشبكات الصغيرة حيث يوجد مجال بالفعل، ولكن لا يوجد مال، على أي حال، لن نفكر في هذا الخيار، لأنه لا تختلف إعداداته عن الخيار الثاني، فيما عدا أن اسم وعنوان خادم DNS هما نفس اسم وعنوان الكمبيوتر الذي يستخدم Winroute، على التوالي.

على أي حال، يوجد جهاز كمبيوتر به بطاقتي شبكة (واحدة داخلية - تنظر إلى الشبكة المحلية، والأخرى خارجية - إلى الإنترنت، على التوالي)، تلعب دور البوابة التي سنصل من خلالها إلى الإنترنت، والتي من خلالها سيتم بطبيعة الحال تثبيت جدار الحماية Kerio Winroute.
لا تنس أن العناوين الموجودة على بطاقات الشبكة هذه يجب أن تكون من شبكات فرعية مختلفة، أي. على سبيل المثال مثل هذا:

192.168. 0 .1/24
192.168. 1 .1/24

لسبب ما، غالبًا ما يقع المبتدئون في هذا الأمر، على سبيل المثال، إذا كان لديهم مودم ADSL.

1. إعداد DNS على شبكة نظير إلى نظير.

إعدادات داخليشبكة:

192.168.0.1 - عنوان IP للكمبيوتر مع Winroute
255.255.255.0 - قناع.
192.168.0.1 - حدد عنوان IP لنفس الشبكة مثل خادم DNS

الملكية الفكرية 80.237.0.99 - الملكية الفكرية الحقيقية
قناع 255.255.255.240 - قناع
البوابة 80.237.0.97 - البوابة
نظام أسماء النطاقات 80.237.0.97 - مزود DNS

لكن!نحن لا نطرقهم بشكل أعمى خارجيالشبكة، لكننا نفعل ذلك بشكل مختلف قليلاً:

الملكية الفكرية 80.237.0.99
قناع 255.255.255.240
البوابة 80.237.0.97
نظام أسماء النطاقات 192.168.0.1 - باعتبارنا خادم DNS الرئيسي، نشير إلى عنوان IP الخاص بالشبكة الداخلية;
80.237.0.97 —مثل خادم DNS البديلتحديد خادم DNS الخاص بالموفر

انقر متقدم. في علامة التبويب DNS، قم بإلغاء تحديد تسجيل عناوين هذا الاتصال في DNS، وفي علامة التبويب WINS، قم بإلغاء تحديد تمكين بحث LMHOSTS وقم بتعيين تعطيل NetBIOS عبر TCP/IP. أيضا، ضع علامة يجب ألا يكون كذلكعلى عميل شبكات Microsoft وموازنة أحمال الشبكة والفشل ومشاركة الطابعة لشبكات Microsoft.

بالمناسبة، من الملائم إعادة التسمية نهاية المقدمة، أطلق عليه ليس اتصال المنطقة المحلية، ولكن على سبيل المثال واجهة الإنترنت.

بعد ذلك، انتقل إلى لوحة التحكم، اتصالات الشبكة، في هذه النافذة (نافذة Explorer) القائمة خيارات متقدمة -> خيارات إضافية. في علامة التبويب "Adapters and Bindings"، انقل "Local Area Connection" إلى الموضع العلوي:

على جهاز الكمبيوتر العميل، ستكون إعدادات بطاقة الشبكة كما يلي:

الملكية الفكرية 192.168.0.2
قناع 255.255.255.0
البوابة 192.168.0.1 -
نظام أسماء النطاقات 192.168.0.1 - نحدد عنوان IP الخاص بالكمبيوتر باستخدام Winroute كخادم DNS الرئيسي

في Winroute، التكوين -> DNS Forwarder، حدد مربع "تمكين إعادة توجيه DNS" وحدد خوادم DNS الخاصة بالموفر.

2. شبكة مع مجال، يقع خادم DNS على DC (وحدة تحكم المجال)، ويتم استخدام جهاز منفصل مثبت عليه Winroute كبوابة إلى الإنترنت

الإعدادات لا تختلف كثيرا عن الإصدار السابق، من حيث المبدأ كل شيء هو نفسه، فقط:

2.1 في مناطق البحث الأمامية لنظام DNS، يجب عليك إزالة المنطقة "." إذا كانت موجودة. بعد ذلك، قم بإعادة تشغيل خدمة خادم DNS.

2.2 في وحدة تحكم المجال في خصائص DNS، تحتاج إلى السماح بإعادة التوجيه إلى عنوان IP الخاص بخادم DNS الخاص بالموفر، في في هذه الحالة 80.237.0.97 (ولا تنس إضافة قاعدة إلى سياسة المرور التي تسمح لوحدة التحكم بالاتصال بخادم DNS الخاص بالموفر):

2.3 نقوم بإيقاف تشغيل DNS Forwarder في Winroute (قم بإلغاء تحديد خانة الاختيار "تمكين إعادة توجيه DNS")، نظرًا لأنه موجود بالفعل على خادم DNS الخاص بنا.

2.4 من الضروري إنشاء منطقة بحث عكسي على وحدة تحكم المجال في DNS (من المحتمل أن يقوم المسؤولون المناسبون بإنشائها عند رفع DNS)، لأنه بدونها يستحيل تحديد اسم الكمبيوتر حسب عنوان IP. نشير إلى المجموعات الثلاثة الأولى من أرقام عنوان IP الخاص بنا كرمز الشبكة.
للتحقق، انتقل إلى خصائص المنطقة وتأكد من وجود خادم DNS الخاص بنا (أو الخوادم، إذا كان هناك العديد منها) في علامة التبويب "خوادم الأسماء". إذا لم تكن هناك خوادم كافية، فإننا نضيفها هناك. من المستحسن القيام بذلك باستخدام "المراجعة". الجميع. كل ما تبقى هو الحل التحديث الديناميكيبحيث يتم تسجيل الأجهزة العميلة في هذه المنطقة، على الرغم من أنه يمكنك الاستغناء عنها.

2.5 الإعدادات الداخلية كمبيوتر الشبكةمع ينروتي:

IP 192.168.0.1 - عنوان IP للكمبيوتر مع Winroute
قناع 255.255.255.0 - قناع
نظام أسماء النطاقات 192.168.0.100 -

نحن لا نحدد البوابة!

إعدادات الشبكة الخارجية:

الملكية الفكرية 80.237.0.99
قناع 255.255.255.240
البوابة 80.237.0.97 - كبوابة، نشير إلى عنوان IP للبوابة الذي قدمه الموفر
نظام أسماء النطاقات 192.168.0.100 - حدد عنوان IP لخادم DNS المحلي (DC) باعتباره خادم DNS الرئيسي

نحن لا نحدد خادم DNS بديل!لدينا في العبور.

2.6 إعدادات العميل:

الملكية الفكرية 192.168.0.2
قناع 255.255.255.0
البوابة 192.168.0.1 - حدد عنوان IP الخاص بالكمبيوتر الذي يستخدم Winroute كبوابة
نظام أسماء النطاقات 192.168.0.100 - حدد عنوان IP لخادم DNS المحلي (DC) باعتباره خادم DNS الرئيسي

2.7 للتحقق من العميل، قم بتشغيل الأوامر التالية:

nslookup(GateWayName)
نسلوك اب (GateWayIP)
nslookup yandex.ru
نسلوك اب 213.180.204.11

إذا لم تكن هناك رسائل خطأ نتيجة لتنفيذ جميع الأوامر المذكورة أعلاه، فهذا يعني أن كل شيء قد نجح بالنسبة لك.

يتم قبول التصحيحات والإضافات.

لتنظيم التحكم في الشبكة المحلية لمؤسستنا، اخترنا Kerio Control Software Appliance 9.2.4. في السابق، كان هذا البرنامج يسمى Kerio WinRoute Firewall. لن نأخذ في الاعتبار الإيجابيات والسلبيات، ولماذا تم اختيار كيريو أيضًا، دعنا ننتقل مباشرة إلى هذه النقطة. يتم تثبيت إصدار البرنامج 7 وما فوق على المعدن بدون أي نظام تشغيل. في هذا الصدد، تم إعداد جهاز كمبيوتر منفصل (وليس جهاز ظاهري) مع المعلمات التالية:

معالج AMD 3200+؛

القرص الصلب 500 جيجابايت؛ (الحاجة أقل بكثير)

— كرت الشبكة – 2 قطعة.

نقوم بتجميع جهاز الكمبيوتر، وإدخال بطاقتي شبكة.

لتثبيت نظام يشبه Linux، تحتاج إلى إنشاء وسائط قابلة للتمهيد - محرك أقراص محمول أو قرص. في حالتنا، تم إنشاء محرك الأقراص المحمول باستخدام برنامج UNetbootin.

تحميل جهاز برنامج التحكم كيريو. (يمكنك شراء ترخيص أو تنزيل صورة باستخدام المنشط المدمج)

لا يتجاوز حجم صورة Kerio 300 ميجابايت، وحجم محرك الأقراص المحمول مناسب.

أدخل محرك الأقراص المحمول في موصل USB بجهاز الكمبيوتر أو الكمبيوتر المحمول.

نقوم بتنسيقه في FAT32 باستخدام Windows.

قم بتشغيل UNetbootin وحدد الإعدادات التالية.

نحن لا نلمس التوزيع.

الصورة - معيار ISO، يشير إلى المسار إلى صورة Kerio التي تم تنزيلها.

النوع - جهاز USB، حدد محرك الأقراص المحمول المطلوب. نعم.

بعد مرور بعض الوقت على الإنشاء، يصبح محرك الأقراص المحمول القابل للتمهيد جاهزًا. انقر فوق الخروج.

نقوم بإدخال محرك الأقراص المحمول القابل للتمهيد في جهاز الكمبيوتر المُجهز وتشغيله قائمه التمهيدحدد التمهيد من USB-HDD. عند بدء التنزيل، حدد Linux.

سيبدأ تثبيت برنامج Kerio Control Software Appliance 9.2.4. اختر لغة.

اقرأ اتفاقية الترخيص.

اقبله بالضغط على F8.

أدخل الرمز 135. البرنامج يحذر من ذلك الأقراص الصلبةسيتم تنسيقها.

نحن في انتظار متابعة التثبيت.

سيتم إعادة تشغيل النظام.

نحن ننتظر مرة أخرى.

وأخيرا وصلوا. تقول الرسالة التي تظهر على الشاشة أنك بحاجة إلى الانتقال إلى العنوان المكتوب في متصفحك على أي جهاز كمبيوتر متصل بنفس شبكة Kerio.

لن نقوم بهذا في الوقت الحالي، ولكننا ننتقل إلى تكوين الشبكة في Kerio نفسه.

تكوين واجهة شبكة إيثرنت. وضع علامة بمسافة - قم بتعيين عنوان IP ثابت.

ونعينه.

عنوان IP: 192.168.1.250

قناع الشبكة الفرعية: 255.255.255.0

إذا، قبل تثبيت البرنامج، تم توصيل سلكي الشبكة الضروريين للشبكات الخارجية والداخلية ببطاقات الشبكة، فيمكنك نسيان هذا الكمبيوتر. وضعته في الزاوية وأخذت الشاشة حتى.

الآن في متصفح الكمبيوتر المحمول الذي تم إنشاء محرك الأقراص المحمول القابل للتمهيد فيه، انتقل إلى العنوان:

https://192.168.1.250:4081/admin. قد يبلغ المتصفح عن وجود مشكلة في شهادة أمان هذا الموقع. انقر أدناه - استمر في فتح هذا الموقع وسيتم نقلك إلى معالج التنشيط.

بالطبع، نحن لا نرسل إحصائيات مجهولة المصدر؛ بل نقوم بإلغاء تحديد المربع.

يدخل كلمة المرور الجديدةمدير

هذا كل شئ. مرحبا كيريو.

تجدر الإشارة إلى أنه تقرر تغيير عنوان IP المحدد 192.168.1.250 لبطاقة الشبكة الخاصة بالشبكة الداخلية إلى العنوان 192.168.1.1 حتى لا يتم إعادة تكوين الكثير من المعدات. كانت الشبكة موجودة لفترة طويلة دون سيطرة وكان لا بد من إضافة كيريو إليها عن طريق التضمين. بعد تغيير IP، للوصول إلى الواجهة، عليك إدخال https://192.168.1.1:4081/admin. يوجد أدناه مخطط كتلة للاتصال.

في البداية، تم تنفيذ جميع وظائف التوجيه وDNS بواسطة مودم بعنوان IP هو 192.168.1.1. عند تثبيت Kerio، تم تعيين العنوان 192.168.0.1 للمودم وهو يصل إلى بطاقة شبكة Kerio الخارجية بالعنوان 192.168.0.250. العناوين في نفس الشبكة الفرعية. تلقت بطاقة الشبكة الداخلية العنوان الذي كان يستخدمه المودم. جميع الأجهزة الموجودة على الشبكة التي لها عناوين IP ثابتة وبوابة مسجلة (وهذه هي شبكتنا بأكملها تقريبًا) رأت البوابة الجديدة على أنها البوابة القديمة ولم تشك حتى في وجود بديل :)

عند تشغيل Kerio للمرة الأولى، يطالبك المعالج بتكوين الواجهات. يمكن تهيئتها دون استخدام المعالج. دعونا نلقي نظرة فاحصة على كل ما هو موضح أعلاه.

في علامة التبويب "الواجهات"، حدد "واجهات الإنترنت".

لقد توصلنا إلى اسم مثل الشبكة الخارجية أو الإنترنت، وهو مكتوب بشكل افتراضي WAN. نقوم بإدخال عنوان IP والقناع والبوابة وبيانات DNS يدويًا، كل ذلك في نفس الشبكة الفرعية مع المودم. نعم.

التالي، حدد الاتصال التاليفي قسم الواجهات الموثوقة/المحلية – لدينا الشبكة الداخلية. قد يتم استدعاء هذه العناصر بشكل مختلف اعتمادًا على إصدار Kerio. قم بإحضار اسم وأدخل البيانات كما في الصورة أدناه. لا يمكن أن تكون الشبكات الخارجية والداخلية على نفس الشبكة الفرعية. لا ينبغي أن ننسى هذا. DNS من كيريو. نحن لا نكتب البوابة. نعم.

انقر فوق الزر "تطبيق" في الجزء السفلي الأيمن من الشاشة، ويتم تنشيط الإعدادات. دعونا نتحقق من اتصالك بالإنترنت. الإنترنت يعمل.

يمكنك المتابعة لإنشاء قواعد المرور، وتصفية المحتوى، ومعرفة من يقوم بتنزيل السيول وزيادة التحميل على الشبكة، أو تحديد السرعة أو الحظر. باختصار، Kereo يعمل بشكل كامل ولديه العديد من الإعدادات. هنا يقوم الجميع بتكوين ما يحتاجون إليه.

دعونا نلقي نظرة على واحد آخر نقطة مهمة– هذا هو فتح الموانئ. قبل تثبيت Kereo، تم إعادة توجيه المنافذ إلى الخادم في المودم. أيضًا، في البداية كانت المنافذ الضرورية مفتوحة في الخادم نفسه. بدون هذه المنافذ الخاصة. لا يمكن لبرنامج الخادم أن يعمل بشكل صحيح. فكر في فتح المنفذ 4443.

مودم هواوي HG532e، ادخل إليه، للقيام بذلك، أدخل 192.168.0.1 في شريط عنوان المتصفح. انتقل إلى علامات التبويب خيارات متقدمة —> NAT —> تعيين المنفذ وأدخل البيانات كما في الصورة أدناه.

الواجهة هي اتصالنا (في وضع الطريق، بالمناسبة).

البروتوكول – TCP/UDP.

المضيف البعيد - لا شيء.

منفذ البداية/منفذ النهاية الخارجي - 4443 (منفذ خارجي).

المضيف الداخلي – 192.168.0.250 (عنوان بطاقة الشبكة الخارجية Kereo).

المنفذ الداخلي – 4443 (المنفذ الداخلي).

اسم التعيين – أي اسم مألوف.

مبدأ التشغيل هو أنه سيتم إعادة توجيه الوصول من الإنترنت إلى عنوان IP ثابت خارجي إلى المنفذ 4443 إلى بطاقة شبكة Kerio الخارجية. نحتاج الآن إلى التأكد من إعادة توجيه الطلب من بطاقة الشبكة الخارجية إلى البطاقة الداخلية بطاقة الشبكةثم إلى خادمنا على المنفذ 4443. ويتم ذلك عن طريق إنشاء قاعدتين. القاعدة الأولى تسمح بالوصول من الخارج، والقاعدة الثانية تسمح بالوصول من الداخل.

نقوم بإنشاء هاتين القاعدتين في علامة التبويب قواعد المرور. الفرق هو في نقاط المصدر والوجهة. الخدمة هي منفذنا 4443. انظر الصورة أعلاه.

في قسم البث قم بضبط الإعدادات كما في الصورة أدناه. حدد المربع - عنوان وجهة NAT واكتب هناك عنوان IP الخاص بالخادم الوجهة والمنفذ المطلوب. نعم.

انقر فوق تطبيق. نتحقق مما إذا كان المنفذ مفتوحًا في الخدمة عبر الإنترنت. الميناء مفتوح.

نتحقق من خدمات الخادم التي تم إجراء كل هذا من أجلها - فهي تعمل. يمكنك فتح أي منفذ بطريقة مماثلة.

قد تتم كتابة الإعدادات الأخرى الخاصة ببرنامج Kerio Control Software Appliance في مقالات أخرى.

(اتصال بصري)