Kerio control firewall dasturini o’rnatish va sozlash
Kerio control firewall dasturini o’rnatish va sozlash
Nazoratni tashkil qilish
mahalliy tarmoq
tashkilotimiz Kerio Control Software
Appliance 9.2.4 ni tanladi. Ilgari ushbu dastur Kerio WinRoute Firewall deb nomlangan. Biz
ijobiy va salbiy tomonlarini ko'rib chiqmaymiz va nima uchun Kerio ham tanlangan, biz
to'g'ridan-to'g'ri nuqtaga o'tamiz. Dasturning 7 va undan yuqori versiyalari hech qanday holda
yalang'och metallga o'rnatiladi
operatsion tizim
. Shu munosabat bilan quyidagi parametrlarga
ega alohida shaxsiy kompyuter (virtual mashina emas) tayyorlangan:
Protsessor AMD 3200+;
HDD 500 GB; (kamroq talab qilinadi)
- Tarmoq kartasi - 2 dona.
Biz kompyuterni yig'amiz, 2 ta tarmoq kartasini joylashtiramiz.
Linuxga o'xshash tizimni o'rnatish uchun siz yaratishingiz kerak
yuklanadigan media
-
flesh-disk yoki disk. Bizning holatlarimizda flesh-disk UNetbootin dasturi yordamida
yaratilgan.
Kerio Control dasturini yuklab oling. (siz litsenziya sotib olishingiz yoki o'rnatilgan aktivator
bilan rasmni yuklab olishingiz mumkin)
Kerio tasvirining hajmi 300 MB dan oshmaydi, flesh-diskning o'lchami mos keladi.
Biz flesh-diskni kompyuter yoki noutbukning USB portiga joylashtiramiz.
Windows yordamida FAT32 formatida formatlash.
UNetbootin-ni ishga tushiring va quyidagi sozlamalarni tanlang.
Tarqatish - tegmang.
Rasm - ISO standarti, yuklab olingan Kerio tasviriga yo'lni belgilang.
turi -
USB qurilmasi
, kerakli flesh-diskni tanlang. OK.
Yaratilgan vaqtdan so'ng, yuklanadigan flesh-disk tayyor. Biz chiqish tugmasini bosamiz.
Biz yuklanadigan flesh-diskni tayyorlangan shaxsiy kompyuterga joylashtiramiz, uni yoqamiz
va ichkariga kiritamiz
yuklash menyusi
USB-HDD dan yuklashni tanlang. Boshlangan
yuklashda Linux-ni tanlang.
Kerio Control Software Appliance 9.2.4 ni o'rnatish boshlanadi. Til tanlang.
Biz litsenziya shartnomasini o'qiymiz.
F8 tugmasini bosib uni qabul qiling.
Biz kodni kiritamiz 135. Dastur qattiq disk formatlanishi haqida ogohlantiradi.
O'rnatishni kutmoqdamiz.
Tizim qayta ishga tushadi.
Yana kutamiz.
Nihoyat kutdi. Ekrandagi xabar Kerio bilan bir xil tarmoqqa ulangan har qanday shaxsiy
kompyuterda brauzerda yozilgan manzilga o'tishingiz kerakligini aytadi.
Biz buni hali qilmaymiz, lekin Kerio-ning o'zida Tarmoq konfiguratsiyasiga o'tamiz.
Ethernet tarmoq interfeysi konfiguratsiyasi. Bo'sh joy bilan belgilang - Statik IP manzilini
belgilang.
Va biz uni tayinlaymiz.
IP manzili: 192.168.1.250
Subtarmoq niqobi: 255.255.255.0
Agar dasturiy ta'minotni o'rnatishdan oldin tashqi va ichki tarmoqlar uchun ikkita zarur tarmoq
simlari tarmoq kartalariga ulangan bo'lsa, unda siz ushbu kompyuter haqida unutishingiz
mumkin. Men uni burchakka qo'ydim va hatto monitorni oldim.
Endi yuklanadigan flesh-disk yaratilgan noutbukning brauzerida men quyidagilarga o'taman:
https://192.168.1.250:4081/admin. Brauzer ushbu saytning xavfsizlik sertifikatida muammo
borligi haqida xabar berishi mumkin. Pastga bosing - Ushbu veb-saytni ochishda davom eting
va faollashtirish ustasiga kiring.
Albatta, biz anonim statistikani uzatmaymiz, katakchani olib tashlang.
Kirish
Yangi parol
administrator.
Shuni ta'kidlash kerakki, ko'plab uskunalarni qayta konfiguratsiya qilmaslik uchun ichki
tarmoqning tarmoq kartasi uchun tanlangan 192.168.1.250 IP manzilini 192.168.1.1 manziliga
o'zgartirishga qaror qilindi. Tarmoq mavjud edi
uzoq vaqt
nazoratsiz va Kerio unga o'rnatish
usuli bilan qo'shilishi kerak edi. IP-ni o'zgartirgandan so'ng, interfeysga kirish uchun siz
https://192.168.1.1:4081/admin-ni
kiritishingiz
kerak.
Quyidagi
rasm
strukturaviy
sxema
ulanishlar.
Dastlab, barcha marshrutlash va DNS funktsiyalari IP manzili 192.168.1.1 bo'lgan modem
tomonidan amalga oshirildi. Kerio o'rnatilganda modemga 192.168.0.1 manzili berildi va u
192.168.0.250 manzilli Kerio tashqi tarmoq kartasiga kiradi. bir xil pastki tarmoqdagi
manzillar. Ichki tarmoq kartasi modemda bo'lgan manzilni oldi. Statik IP manzillari va
ro'yxatdan o'tgan shlyuzi bo'lgan tarmoqdagi barcha jihozlar (va bu deyarli butun tarmog'imiz)
yangi shlyuzni eski deb ko'rdi va hatto almashtirishga shubha qilmadi :)
Kerio-ni birinchi marta ishga tushirganingizda, sehrgar interfeyslarni sozlashni taklif qiladi.
Siz sehrgar orqali emas, balki sozlashingiz mumkin. Keling, yuqorida tavsiflangan hamma
narsani batafsil ko'rib chiqaylik.
Interfeyslar yorlig'ida Internet interfeyslarini tanlang.
Biz tashqi tarmoq yoki Internet kabi nomni topamiz, sukut bo'yicha u WAN deb yozadi. Biz
IP-manzil ma'lumotlarini, niqobni, shlyuzni va DNS-ni qo'lda kiritamiz, barchasi modem bilan
bir xil pastki tarmoqqa. OK.
Keyinchalik, Ishonchli / mahalliy interfeyslar elementida keyingi ulanishni tanlang - bizning
ichki tarmog'imiz. Kerio versiyasiga qarab, ushbu elementlar boshqacha nomlanishi mumkin.
Biz nom topamiz va quyidagi rasmdagi kabi ma'lumotlarni kiritamiz. Tashqi va ichki tarmoqlar
bir xil pastki tarmoqda bo'lishi mumkin emas. Buni unutmaslik kerak. Kerio'dan DNS. Biz
shlyuzni yozmaymiz. OK.
Ekranning pastki o'ng qismidagi Qo'llash tugmasini bosing, sozlamalar faollashtiriladi. Keling,
internetga ulanishingizni tekshiramiz. Internet ishlayapti.
Siz yo'l harakati qoidalarini yaratishga, kontentni filtrlashga o'tishingiz, torrentlarni kim
yuklab olishini va tarmoqni ortiqcha yuklashini ko'rishingiz, tezlikni cheklashingiz yoki
bloklashingiz mumkin. Muxtasar qilib aytganda, Kereo to'liq ishlaydi va u juda ko'p
sozlamalarga ega. Bu erda har kim o'ziga kerak bo'lgan narsani o'rnatadi.
Yana bir muhim narsani ko'rib chiqing - bu portlarning ochilishi. Kereo-ni o'rnatishdan oldin
portlar modemdagi serverga yo'naltirildi. Bundan tashqari, dastlab serverning o'zida kerakli
portlar ochilgan. Ushbu portlarsiz maxsus. server dasturi normal ishlay olmaydi. 4443 portni
ochishni ko'rib chiqing.
Modem HUAWEI HG532e, unga kiring, buning uchun brauzerning manzil satriga 192.168.0.1
kiriting. Advanced->NAT-> Port Mapping yorliqlariga o'ting va quyidagi rasmdagi kabi
ma'lumotlarni kiriting.
Interfeys bizning aloqamizdir (aytmoqchi, marshrut rejimida).
Protokol - TCP/UDP.
Masofaviy xost - hech narsa.
Tashqi boshlash porti / tugatish porti - 4443 (tashqi port).
Ichki xost - 192.168.0.250 (tashqi Kereo tarmoq kartasining manzili).
Ichki port - 4443 (ichki port).
Xaritalash nomi - har qanday qulay nom.
Ishlash printsipi shundan iboratki, Internetdan tashqi statik IP-manzilga 4443-portga
yuborilgan so'rov tashqi Kerio tarmoq kartasiga yo'naltiriladi. Endi siz tashqi tarmoq
kartasidan so'rov ichki tarmoqqa yo'naltirilganligiga ishonch hosil qilishingiz kerak
tarmoq
kartasi
va undan keyin 4443 portidagi serverimizga. Bu ikkita qoida yaratish orqali amalga
oshiriladi. Birinchi qoida tashqaridan kirishga ruxsat beradi, ikkinchi qoida ichkaridan kirishga
imkon beradi.
Biz ushbu ikki qoidani "Yo'l harakati qoidalari" yorlig'ida yaratamiz. Manba va maqsad
o'rtasidagi farq. Xizmat bizning port 4443. yuqoridagi rasmga qarang.
Translyatsiya bo'limida quyidagi rasmdagi kabi sozlamalarni o'rnating. - NAT Destination
Address katagiga belgi qo'ying va u erda maqsad serverning IP manzilini va kerakli portni
yozing. OK.
Qo'llash-ni bosing. Onlayn xizmatda port ochilganligini tekshiramiz. Port ochiq.
Xulosa qilish
Shunday qilib, biz ko'rib turganimizdek, keng bo'lishiga qaramay
funksionallik
, uning yordami
bilan Internetda korporativ tarmoq foydalanuvchilarining guruh ishini tashkil qilish juda oddiy.
Biz ushbu mahsulotning faqat asosiy sozlamalarini ko'rib chiqqanimiz aniq.
O'zining flagman mahsulotining yangilangan versiyasi chiqarilishini e'lon qildi -
xavfsizlik
devori
Kerio nazorati. Yangi versiya 9.1 bir qator yaxshilanishlar va yangi xususiyatlarni oldi.
Ehtimol, ushbu nashrning asosiy xususiyati xavfsizlik devorini avtomatik yangilash
funktsiyasi edi. Bu sizga joylashtirish jarayonini avtomatlashtirish imkonini beradi
yangi
versiya
mavjud tarmoq infratuzilmasi bo'yicha. Bundan tashqari, kompaniya muhandislari
kichik biznes korxonalari uchun tarmoq xavfsizligi yechimini ba'zi yangi xususiyatlar,
jumladan, ilovalarni boshqarish va xavfsiz kontentni filtrlash bilan kengaytirdilar. E'tibor
bering, Kerio Control 9.0 ning asosiy versiyasi o'tgan yilning oxirida bo'lib o'tdi. Xavfsizlik
devorining to'qqizinchi versiyasi MyKerio-ga umumiy ta'riflar, xizmat ko'rsatishni rad
etishdan himoyalanish, MyKerio xizmati uchun ikki faktorli autentifikatsiya va boshqalarni
olib keladi. Lekin birinchi narsa.
Agar yangi versiyaning boshqaruv paneli haqida gapiradigan bo'lsak, biz piktogramma va
plitkalarning joylashuvi bilan bog'liq bir nechta yaxshilanishlarni ko'rishimiz mumkin. Har
doimgidek, ma'mur o'z manzilini o'zgartirishi va o'z nuqtai nazaridan interfeys turini tanlashi
mumkin.
E'tibor bering, tizimni kompyuterga dastlabki o'rnatish paytida yoki
virtual mashina
sukut
bo'yicha, foydalanuvchidan keyingi masofadan boshqarish uchun MyKerio xizmatiga yangi
Kerio Control qo'shish so'raladi.
Keyinchalik, administrator MyKerio xizmatini xavfsizlik devorida "Masofaviy xizmatlar"
alohida menyusidan faollashtirishi mumkin.
Eslatib o'tamiz, MyKerio xizmati Kerio mahsulotlarida yaqinda paydo bo'lgan, ammo bu
xususiyat bir nechta xavfsizlik devori va Kerio mahsulotlari bilan ishlash uchun juda qulay
ekanligi allaqachon aniq. Shuni ta'kidlash kerakki, administrator panelidan xavfsizlik devori
qo'shishdan tashqari, Kerio Control-ni uning seriya raqami va litsenziya raqamidan foydalanib
ulash mumkin. Xizmat bulutga asoslangan markazlashtirilgan veb-interfeys xavfsizligini
oshirish uchun Google Authenticator va FreeOTP Authenticator kabi mashhur ilovalardan
foydalangan holda ikki faktorli autentifikatsiyani qo‘llab-quvvatlaydi, bu esa AT
ma’murlariga autentifikatsiyaning qo‘shimcha shakli sifatida vaqtni sinxronlash bilan olti
xonali kodni o‘rnatish imkonini beradi. . Biznes egalari bunga ishonch hosil qilishlari
mumkin
tarmoq xavfsizligi
parollar noto'g'ri qo'llarga tushib qolsa ham saqlanib qoladi.
MyKerio xizmati sizga Kerio Control xavfsizlik devorlarini masofadan boshqarish va, eng
muhimi, ba'zi sozlamalarni biridan ikkinchisiga o'tkazish imkonini beradi. Bu ma'murlarga
URL guruhlari, IP manzillari diapazonlari va vaqt oralig'ini ko'chirish imkoniyatini beradi.
Boshqaruv xizmatidagi ushbu xususiyatlarning barchasi "Birgalikda ta'riflar" deb nomlanadi
va, ehtimol, Kerio Control-ning keyingi versiyalarida ularning ro'yxati kengaytiriladi.
Muammolarni tezda hal qilish va ma'murlarni xabardor qilish uchun asosiy ekranda ulangan
xavfsizlik devorining ishlashi haqida muhim bildirishnomalar ko'rsatiladi.
Kerio Control 9.1 ning yangilangan versiyasiga kelsak, unga Kerio sozlamalarining zaxira
nusxalarini avtomatik yaratish imkoniyati qo'shildi. Agar avvalgi sozlamalarning zahira
nusxalarini Samepage.io xizmatiga yoki FTP-ga yuklash mumkin bo'lsa, endi bu xususiyat
faqat FTP va MyKerio xizmati uchun mavjud. Sozlamalarni markazlashtirilgan saqlash sizga
Kerio Control-ni shaxsiy kompyuterda joylashtirishni sezilarli darajada soddalashtirishga
imkon beradi
virtual mashinalar
mumkin bo'lgan nosozliklardan keyin yoki noldan xavfsizlik
devorini o'rnatishda.
Kerio Control 9.1 yangi versiyasi, shuningdek, iPhone va uchun MyKerio ilovasini taklif
etadi
Apple Watch
, barcha ulangan qurilmalar uchun real vaqt rejimida monitoring va
bildirishnomalarni taqdim etadi. Status o'zgarishlari darhol xabar qilinadi, bu sizga har qanday
muammolarni tezda hal qilish imkonini beradi.
Ehtimol, Kerio Control-ning ushbu versiyasining eng muhim xususiyatlaridan biri xavfsizlik
devorini avtomatik ravishda yangilash qobiliyati edi. Kerio Control qurilmasi tarmoqqa
ulanganda, u avtomatik ravishda va darhol boshqaruv dasturining yangilangan versiyasini
o'rnatadi va tarmoqni, foydalanuvchilarni va aktivlarni himoya qilishni boshlaydi.
Avtomatik yangilanishning o'zi bilan bir qatorda, ma'murlar yangilanish oraliqlarini
o'zgartirish imkoniyatiga ega. Masalan, sukut bo'yicha yangilanishlar faqat dam olish kunlari
keladi.
Agar xohlasangiz, MyKerio xizmati orqali boshqa Kerio mahsulotlari bilan sinxronlashtirilishi
mumkin bo'lgan istalgan vaqt oralig'ini sozlashingiz mumkin. Ushbu jarayonni
avtomatlashtiradigan bulutga asoslangan ushbu texnologiya Kerio mahsulotlari o'rnatilgan bir
nechta qurilmalar bilan ishlashda ayniqsa dolzarbdir.
xulosalar
Har doimgidek, Kerio o'zining Kerio Control xavfsizlik devori orqali eng yuqori darajadagi
himoyani ta'minlab, tizim ma'murlari ishini imkon qadar oson qilishga intiladi. Yangilangan
versiya, albatta, eng kutilgan xususiyatlardan birini olib keldi
avtomatik yangilash
bu tizim,
shuning uchun u oxirgi foydalanuvchilar tomonidan talabga ega bo'lishiga shubha yo'q.
Ilovaning chiqarilishi haqida umid qilamiz
masofaviy boshqarish
Yoqilgan qurilmalar uchun
MyKerio
Android asosida
sizni kutib turmaydi, chunki internet asrida bu imkoniyat doim qo'l
keladi. Kerio Control-ning so'nggi versiyasini, har doimgidek, kompaniyaning rasmiy veb-
saytidan yuklab olish mumkin.
Arxivga boradigan yo'l quyidagi rasmlarda ko'rsatilgan:
Aytaylik, siz ko'chib ketyapsiz
oxirgi versiya
KWF 6.7.1, maqsadingiz Kerio Control
Appliance 8.3 ning ishlaydigan versiyasidir (ilovaning 2014-yil aprel oyidagi joriy versiyasi)
Bu holatda o'tishning asosiy "murakkabligi" KWF 6.7.1 dan Kerio Control 8.3 ga to'g'ridan-
to'g'ri yangilashni emas, balki ba'zi "asosiy" (asosiy) versiyalarga bosqichma-bosqich o'tish
zarurati. Bu ehtiyoj dasturni o'rnatgandan so'ng keyingi ishlov berishni talab qiladigan ba'zi
:
VMware pleerida virtual modulni o'rnatish
VMware ESX/ESXi/vSphere Hypervisor uchun virtual modulni import qilish uchun
maxsus OVF havolasidan foydalaning, u quyidagicha ko'rinadi:
http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf
VMware ESX/ESXi avtomatik ravishda OVF konfiguratsiya faylini va unga mos keladigan
virtualni
yuklab
oladi
qattiq
disk
(.vmdk)
OVF formatidan foydalanganda quyidagi jihatlarni hisobga olish kerak:
Kerio Control virtual blokida virtualizatsiya serveri bilan vaqt sinxronizatsiyasi o'chirilgan.
Biroq, Kerio Control-da Internet vaqtining umumiy tarmoq manbalari bilan vaqtni
sinxronlashtirish uchun o'rnatilgan vositalar mavjud. Shunday qilib, virtual mashina va
virtualizatsiya serveri o'rtasida sinxronizatsiyadan foydalanish ixtiyoriydir.
Virtual mashinaning "o'chirish" va "qayta ishga tushirish" vazifalari "standart" qiymatlarga
o'rnatiladi. Ushbu qiymatlarni "majburiy" o'chirish va "majburiy" qayta ishga tushirish
rejimlariga o'rnatish imkoniyati saqlanib qolgan, ammo bu o'chirish va qayta ishga tushirish
imkoniyatlari Kerio Control virtual modulida ma'lumotlar yo'qolishiga olib kelishi
mumkin. Kerio Control virtual moduli deb atalmishni qo'llab-quvvatlaydi. Soft Shutdown
va Soft Reboot sizga mehmon OTni to'g'ri tarzda o'chirish yoki qayta ishga tushirish
imkonini beradi, shuning uchun standart qiymatlardan foydalanish tavsiya etiladi.
VMware vSphere-da virtual qurilmani (ovf) o'rnatish
Hyper-V uchun virtual qurilmani o'rnatish
Arxivlangan (*.zip) tarqatish to'plamini yuklab oling, uni kerakli papkaga oching.
Yangi virtual mashina yarating, "Mavjud virtual mashinadan foydalanish" opsiyasini
tanlang
qattiq disk
”, disk tasviri sifatida yuklab olingan arxivdan ochilgan faylni ko'rsating
MS Hyper-V da virtual qurilmani o'rnatish
Appliance platformasiga o'tishga tayyorgarlik ko'rishning navbatdagi muhim nuqtasi
tanlangan Appliance platformasida tarmoq interfeyslarining to'g'ri konfiguratsiyasi
hisoblanadi.
Software Applianceda tarmoq interfeyslarini sozlash
Kerio Control Software Appliance psevdo-grafik interfeysida siz IP-manzilni/bir nechta
manzillarni statik yoki dinamik rejimda sozlashingiz, VLAN interfeyslarini yaratishingiz va
PPPoE rejimida interfeysni sozlashingiz mumkin.
| 