Ak chcete organizovať kontrolu v lokálna sieť naša organizácia si vybrala Kerio Control Software Appliance 9.2.4. Predtým sa tento program nazýval Kerio WinRoute Firewall. Nebudeme zvažovať klady a zápory a prečo bolo zvolené aj Kerio, prejdeme rovno k veci. Verzia programu 7 a vyššia sa inštaluje na holý kov bez akéhokoľvek operačný systém. V tejto súvislosti bol pripravený samostatný počítač (nie virtuálny stroj) s nasledujúcimi parametrami:

procesor AMD 3200+;

HDD 500 GB; (vyžaduje oveľa menej)

- Sieťová karta - 2 ks.

Zložíme PC, vložíme 2 sieťové karty.

Ak chcete nainštalovať systém podobný Linuxu, musíte vytvoriť zavádzacie médium- flash disk alebo disk. V našom prípade bol flash disk vytvorený pomocou programu UNetbootin.

Stiahnite si softvérové ​​zariadenie Kerio Control. (môžete si kúpiť licenciu alebo stiahnuť obrázok so vstavaným aktivátorom)

Objem obrazu Kerio nepresahuje 300 MB, veľkosť flash disku je primeraná.

Flash disk vložíme do USB portu počítača alebo notebooku.

Naformátujte v systéme Windows FAT32.

Spustite UNetbootin a vyberte nasledujúce nastavenia.

Distribúcia - nedotýkajte sa.

Image - ISO Standard, zadajte cestu k stiahnutému obrazu Kerio.

Typ - USB zariadenie, vyberte požadovaný flash disk. OK.

Po určitom čase vytvárania je zavádzacia jednotka flash pripravená. Stlačíme exit.

Zavádzaciu jednotku flash vložíme do pripraveného počítača, zapneme a zapneme boot menu vyberte bootovanie z USB-HDD. V zavádzaní, ktoré sa začalo, vyberte linux.

Spustí sa inštalácia softvéru Kerio Control Software Appliance 9.2.4. Vyberte jazyk.

Prečítali sme si licenčnú zmluvu.

Prijmite ho stlačením F8.

Zadáme kód 135. Program varuje, že pevný disk bude naformátovaný.

Čakáme na inštaláciu.

Systém sa reštartuje.

Opäť čakáme.

Nakoniec čakal. Hlásenie na obrazovke hovorí, že musíte prejsť na zapísanú adresu v prehliadači na akomkoľvek počítači, ktorý je pripojený k rovnakej sieti ako Kerio.

Zatiaľ to neurobíme, ale prejdite na Konfiguráciu siete v samotnom Kerio.

Konfigurácia sieťového rozhrania Ethernet. Označiť medzerou – Priraďte statickú IP adresu.

A pridelíme to.

IP adresa: 192.168.1.250

Maska podsiete: 255.255.255.0

Ak boli pred inštaláciou softvéru k sieťovým kartám pripojené dva potrebné sieťové káble pre externé a interné siete, môžete na tento počítač zabudnúť. Dal som to do rohu a dokonca som si vzal monitor.

Teraz v prehliadači prenosného počítača, v ktorom bola vytvorená zavádzacia jednotka flash, prejdem na:

https://192.168.1.250:4081/admin. Prehliadač môže hlásiť, že sa vyskytol problém s bezpečnostným certifikátom tejto stránky. Kliknite nižšie - Pokračujte v otváraní tejto webovej stránky a vstúpte do sprievodcu aktiváciou.

Samozrejme, neprenášame anonymné štatistiky, zrušte začiarknutie políčka.

Zadajte Nové heslo správca.

To je všetko. Ahoj Kerio.

Je potrebné poznamenať, že bolo rozhodnuté zmeniť vybranú IP adresu 192.168.1.250 pre sieťovú kartu internej siete na adresu 192.168.1.1, aby sa veľa zariadení neprekonfigurovalo. Sieť existovala na dlhú dobu bez kontroly a Kerio do nej bolo potrebné pridať metódou vkladania. Po zmene IP, aby ste sa dostali do rozhrania, musíte zadať https://192.168.1.1:4081/admin. Obrázok nižšie štrukturálna schéma spojenia.

Spočiatku všetky funkcie smerovania a DNS vykonával modem s IP adresou 192.168.1.1. Pri inštalácii Kerio bola modemu pridelená adresa 192.168.0.1 a pristupuje na externú sieťovú kartu Kerio s adresou 192.168.0.250. adresy v rovnakej podsieti. Interná sieťová karta dostala adresu, ktorú mal predtým modem. Všetky zariadenia v sieti so statickými IP adresami a registrovanou bránou (a to je takmer celá naša sieť) videli novú bránu ako starú a ani netušili o jej zámene :)

Pri prvom spustení Kerio vám sprievodca ponúkne konfiguráciu rozhraní. Môžete konfigurovať nie pomocou sprievodcu. Pozrime sa podrobnejšie na všetko, čo je opísané vyššie.

Na karte Rozhrania vyberte položku Internetové rozhrania.

Vymyslíme názov ako Externá sieť alebo Internet, v predvolenom nastavení je to WAN. Ručne zadávame údaje o IP adrese, maske, bráne a DNS, všetko v rovnakej podsieti ako modem. OK.

Ďalej v položke Dôveryhodné / lokálne rozhrania vyberte ďalšie pripojenie - naša interná sieť. Tieto položky sa v závislosti od verzie Kerio môžu nazývať odlišne. Vymyslíme názov a zadáme údaje ako na obrázku nižšie. Externá a interná sieť nemôžu byť v rovnakej podsieti. Na to by sa nemalo zabúdať. DNS od spoločnosti Kerio. Nepíšeme bránu. OK.

Stlačte tlačidlo Použiť v pravej dolnej časti obrazovky, nastavenia sa aktivujú. Skontrolujeme vaše internetové pripojenie. Internet funguje.

Môžete prejsť na vytváranie pravidiel premávky, filtrovanie obsahu, vidieť, kto sťahuje torrenty a preťažuje sieť, obmedziť rýchlosť alebo blokovať. Kereo skrátka funguje naplno a má veľa nastavení. Tu si každý nastaví, čo potrebuje.

Zvážte ďalší dôležitý bod - to je otvorenie portov. Pred inštaláciou Kerea boli porty presmerované na server v modeme. Potrebné porty boli pôvodne otvorené aj na samotnom serveri. Bez týchto špeciálnych portov. serverový softvér nemôže normálne fungovať. Zvážte otvorenie portu 4443.

Modem HUAWEI HG532e, choďte do neho, zadajte do panela s adresou prehliadača 192.168.0.1. Prejdite na záložky Advanced->NAT-> Port Mapping a zadajte údaje ako na obrázku nižšie.

Rozhranie je naše spojenie (mimochodom v režime trasy).

Protokol - TCP/UDP.

Vzdialený hostiteľ - nič.

Externý štartovací port / koncový port - 4443 (externý port).

Interný hostiteľ - 192.168.0.250 (adresa externej sieťovej karty Kereo).

Interný port - 4443 (interný port).

Názov mapovania – akýkoľvek priateľský názov.

Princíp fungovania je taký, že požiadavka z internetu na externú statickú IP adresu na port 4443 bude presmerovaná na externú sieťovú kartu Kerio. Teraz sa musíte uistiť, že požiadavka z externej sieťovej karty je presmerovaná na internú internetová karta a ďalej na náš server na porte 4443. To sa robí vytvorením dvoch pravidiel. Prvé pravidlo umožňuje prístup zvonku, druhé pravidlo umožňuje prístup zvnútra.

Tieto dve pravidlá vytvárame na karte Pravidlá premávky. Rozdiel medzi zdrojom a cieľom. Služba je náš port 4443. pozri obrázok vyššie.

V časti Vysielanie vykonajte nastavenia ako na obrázku nižšie. Zaškrtnite políčko NAT Destination Address a napíšte tam IP adresu cieľového servera a požadovaný port. OK.

Kliknite na použiť. Skontrolujeme, či je port otvorený v online službe. Prístav je otvorený.

Skontrolujeme služby servera, pre ktoré sa to všetko urobilo - zarobili. Podobným spôsobom je možné otvoriť ktorýkoľvek port.

Ďalšie nastavenia Kerio Control Software Appliance môžu byť napísané v iných článkoch.

(optické pripojenie)

Kerio Control patrí do tejto kategórie softvér , v ktorom veľký rozsah funkčnosť kombinovaná s jednoduchosťou implementácie a prevádzky. Dnes budeme analyzovať, ako možno tento program použiť na organizáciu skupinovej práce zamestnancov na internete, ako aj na spoľahlivú ochranu lokálnej siete pred vonkajšími hrozbami.

patrí do kategórie produktov, v ktorých sa spája široká funkčnosť s jednoduchosťou implementácie a obsluhy. Dnes budeme analyzovať, ako možno tento program použiť na organizáciu skupinovej práce zamestnancov na internete, ako aj na spoľahlivú ochranu lokálnej siete pred vonkajšími hrozbami.

Predstavenie produktu začína jeho inštaláciou na počítač, ktorý plní úlohu internetovej brány. Tento postup sa nelíši od inštalácie akéhokoľvek iného softvéru, a preto sa ním nebudeme zaoberať. Podotýkame len, že počas nej niektorí služby Windows ktoré bránia spusteniu programu. Po dokončení inštalácie môžete pokračovať v konfigurácii systému. Dá sa to urobiť lokálne, priamo na internetovej bráne, aj vzdialene, z akéhokoľvek počítača, ku ktorému je pripojený firemná sieť.

V prvom rade prebehneme štandardné menu "Štart"riadiaca konzola. S jej pomocou sa príslušný produkt nakonfiguruje. Pre pohodlie si môžete vytvoriť pripojenie, ktoré vám v budúcnosti umožní rýchle pripojenie. Ak to chcete urobiť, dvakrát kliknite na" Nové pripojenie", v okne, ktoré otvorí produkt (Kerio Control), zadajte hostiteľa, na ktorom je nainštalovaný, a používateľské meno, potom kliknite na tlačidlo " Uložiť ako“ a zadajte názov pripojenia. Potom môžete nadviazať spojenie s. Ak to chcete urobiť, dvakrát kliknite na vytvorené pripojenie a zadajte svoje heslo.

Základná konfigurácia Kerio Control

V zásade je možné všetky prevádzkové parametre nastaviť manuálne. Na úvodnú implementáciu je však oveľa pohodlnejšie použiť špeciálneho sprievodcu, ktorý sa spustí automaticky. V jeho prvom kroku sa navrhuje zoznámiť sa so základnými informáciami o systéme. Je tu tiež pripomenutie, že počítač s Kerio Control musí byť pripojený k lokálnej sieti a mať funkčné internetové pripojenie.

Druhou fázou je výber typu internetového pripojenia. Celkovo sú tu dostupné štyri možnosti, z ktorých si treba vybrať tú najvhodnejšiu pre konkrétnu lokálnu sieť.

• Trvalý prístup – internetová brána má trvalé pripojenie na internet.
• Dial-on-demand – podľa potreby automaticky vytvorí internetové pripojenie (ak je k dispozícii RAS rozhranie).
• Opätovné pripojenie pri zlyhaní – po prerušení pripojenia k internetu sa automaticky prepne na iný kanál (vyžaduje dve internetové pripojenia).
• Vyvažovanie zaťaženia kanálov - bude využívať niekoľko komunikačných kanálov súčasne, pričom medzi ne rozloží zaťaženie (vyžaduje dve alebo viac internetových pripojení).

Tretím krokom je špecifikácia sieťového rozhrania alebo rozhraní pripojených k internetu. Program sám rozpozná a zobrazí všetky dostupné rozhrania vo forme zoznamu. Správca teda môže vybrať iba vhodnú možnosť. Stojí za zmienku, že v prvých dvoch typoch pripojení musíte nainštalovať iba jedno rozhranie a v treťom - dve. Nastavenie štvrtej možnosti je trochu odlišné od ostatných. Poskytuje možnosť pridať ľubovoľný počet sieťových rozhraní, pre každé z nich je potrebné nastaviť maximálnu možnú záťaž.

Štvrtým krokom je výber sieťových služieb, ktoré budú používateľom dostupné. V zásade si môžete vybrať možnosť " Bez limitov". Vo väčšine prípadov to však nebude úplne rozumné. Je lepšie zaškrtnúť služby, ktoré skutočne potrebujete: HTTP a HTTPS na prehliadanie stránok, POP3, SMTP a IMAP na prácu s poštou atď.

Ďalším krokom je nastavenie pravidiel pre pripojenia VPN. Na tento účel sa používajú iba dve začiarkavacie políčka. Prvý definuje, ktorých klientov budú používatelia používať na pripojenie k serveru. Ak je "native", to znamená vydané spoločnosťou Kerio, musí byť začiarkavacie políčko aktivované. Inak napríklad pri použití vstavaných Nástroje systému Windows, musíte ho vypnúť. Druhý checkbox určuje možnosť využitia funkcie Kerio Clientless SSL VPN (správa súborov, priečinkov, sťahovanie a nahrávanie cez webový prehliadač).

Šiestym krokom je vytvorenie pravidiel pre služby, ktoré bežia na lokálnej sieti, ale musia byť dostupné aj z internetu. Ak ste v predchádzajúcom kroku povolili technológiu Kerio VPN Server alebo Kerio Clientless SSL VPN, všetko potrebné pre ne sa nakonfiguruje automaticky. Ak potrebujete zabezpečiť dostupnosť ďalších služieb (fir poštový server, FTP servery atď.), potom pre každý z nich kliknite na " Pridať“, vyberte názov služby (otvoria sa štandardné porty pre vybranú službu) a v prípade potreby zadajte IP adresu.

Nakoniec posledná obrazovka sprievodcu nastavením je varovaním pred spustením procesu generovania pravidiel. Stačí si to prečítať a kliknúť na " Dokončiť". Prirodzene, v budúcnosti je možné všetky vytvorené pravidlá a nastavenia zmeniť. Okrem toho môžete buď reštartovať popísaného sprievodcu, alebo upraviť parametre manuálne.

V zásade je po dokončení sprievodca už v funkčnom stave. Má však zmysel mierne upraviť niektoré parametre. Najmä môžete nastaviť limity šírky pásma. Najviac sa „upcháva“ pri prenášaní veľkých objemných súborov. Preto je možné obmedziť rýchlosť nakladania a/alebo vykladania takýchto predmetov. Ak to chcete urobiť, v sekcii Konfigurácia"treba otvoriť oddiel" Obmedzenie šírky pásma", povoľte filtrovanie a zadajte dostupnú šírku pásma pre veľké súbory. V prípade potreby môžete obmedzenie spružniť. Ak to chcete urobiť, kliknite na tlačidlo " Okrem toho" a zadajte v okne, ktoré otvorí služby, adresy a časové intervaly pre filtre. Okrem toho môžete okamžite nastaviť veľkosť súborov, ktoré sa považujú za veľké.

Používatelia a skupiny

Po úvodnom nastavení systému môžete začať pridávať používateľov do systému. Je však pohodlnejšie ich najskôr rozdeliť do skupín. V takom prípade budú v budúcnosti ľahšie spravovateľné. Ak chcete vytvoriť novú skupinu, prejdite na Používatelia a skupiny->Skupiny"a kliknite na tlačidlo" Pridať". Otvorí sa špeciálny sprievodca pozostávajúci z troch krokov. V prvom musíte zadať názov a popis skupiny. V druhom do nej môžete okamžite pridať používateľov, ak už, samozrejme, boli V tretej fáze je potrebné definovať práva skupiny: prístup k správe systému, možnosť deaktivovať rôzne pravidlá, povolenie používať VPN, prezerať štatistiky atď.

Po vytvorení skupín môžete pristúpiť k pridávaniu používateľov. Najjednoduchší spôsob, ako to urobiť, je, ak je doména nasadená v podnikovej sieti. V tomto prípade stačí prejsť do sekcie " Používatelia a skupiny->Používatelia“, otvorte kartu Aktívny adresár, začiarknite políčko " Použite databázu používateľov domény“ a zadajte prihlasovacie meno a heslo účtu, ktorý má právo na prístup k tejto databáze. V tomto prípade použije doménové účty, čo je, samozrejme, veľmi pohodlné.

V opačnom prípade budete musieť zadať používateľov manuálne. Na tento účel je k dispozícii prvá karta zvažovanej časti. Vytvorenie účtu pozostáva z troch krokov. Na prvom je potrebné nastaviť login, meno, popis, adresu Email, ako aj parametre autentifikácie: prihlasovacie meno a heslo alebo údaje z Active Directory. V druhom kroku môžete používateľa pridať do jednej alebo viacerých skupín. V tretej fáze existuje možnosť automatickej registrácie účtu pre prístup k firewallu a určitým IP adresám.

Nastavenie bezpečnostného systému

Implementované množstvo príležitostí na zaistenie bezpečnosti podnikovej siete. V zásade sme sa už pri nastavovaní firewallu začali chrániť pred vonkajšími hrozbami. Okrem toho má predmetný výrobok systém prevencie vniknutia. V predvolenom nastavení je povolená a nastavená na optimálny výkon. Takže sa ho nemôžete dotknúť.

Ďalším krokom je antivírus. Tu stojí za zmienku, že nie je k dispozícii vo všetkých verziách programu. Pre použitie antimalvérovej ochrany je potrebné zakúpiť si ju so vstavaným antivírusom, prípadne je potrebné na internetovú bránu nainštalovať externý antivírusový modul. Umožniť antivírusová ochrana musíte otvoriť sekciu Konfigurácia->Filtrovanie obsahu->Antivírus". V ňom je potrebné aktivovať používaný modul a skontrolovať protokoly, ktoré sa majú kontrolovať pomocou checkboxov (odporúča sa povoliť všetky). Ak používate vstavaný antivírus, musíte povoliť aktualizáciu antivírusových databáz a nastaviť interval na vykonanie tohto postupu.

Ďalej musíte nakonfigurovať systém filtrovania návštevnosti HTTP. Môžete to urobiť v " Konfigurácia->Filtrovanie obsahu->Zásady HTTP". Najjednoduchšou možnosťou filtrovania je bezpodmienečné blokovanie stránok, ktoré obsahujú slová z "čiernej" listiny. Ak ju chcete povoliť, prejdite na kartu " Zakázané slová" a vyplňte zoznam výrazov. Existuje však aj flexibilnejší a spoľahlivejší systém filtrovania. Je založený na pravidlách, ktoré popisujú podmienky blokovania prístupu používateľov na určité stránky.

Ak chcete vytvoriť nové pravidlo, prejdite na " Pravidlá URL“, kliknite pravým tlačidlom myši na pole a vyberte položku obsahové menu odsek " Pridať". Okno na pridanie pravidla pozostáva z troch záložiek. Na prvej sa nastavujú podmienky, za ktorých bude fungovať. Najprv si musíte vybrať, na koho sa pravidlo vzťahuje: na všetkých používateľov alebo len na konkrétne účty. Potom je potrebné nastaviť kritérium pre zhodu URL požadovanej stránky. Na tento účel možno použiť reťazec, ktorý je zahrnutý v adrese, skupine adries alebo hodnotení webového projektu v systéme Kerio Web Filter (v skutočnosti kategória stránka patrí).

Na druhej záložke môžete určiť interval, počas ktorého bude pravidlo platné (štandardne vždy), ako aj skupinu IP adries, na ktoré sa vzťahuje (štandardne všetky). Ak to chcete urobiť, jednoducho vyberte príslušné položky v rozbaľovacích zoznamoch preddefinovaných hodnôt. Ak ešte nie sú nastavené časové intervaly a skupiny IP adries, pomocou tlačidiel "Upraviť" môžete otvoriť požadovaný editor a pridať ich. Aj na tejto karte môžete nastaviť akciu programu v prípade zablokovania stránky. Môže ísť o vydanie stránky s daným textom odmietnutia, zobrazením prázdna stránka alebo presmerovanie používateľa na zadanú adresu (napríklad na firemnú webovú stránku).

V prípade, že podniková sieť využíva bezdrôtová technológia, má zmysel povoliť filter podľa MAC adresy. Tým sa výrazne zníži riziko neoprávneného pripojenia. rôzne zariadenia. Ak chcete vykonať túto úlohu, otvorte sekciu " Konfigurácia->Zásady premávky->Nastavenia zabezpečenia". V ňom aktivujte začiarkavacie políčko " Filter MAC adries povolený", potom vyberte sieťové rozhranie, do ktorého sa bude distribuovať, prepnite zoznam MAC adries na " Povoliť prístup k sieti iba počítačom uvedeným v zozname“ a vyplňte ho zadaním údajov bezdrôtové zariadenia vo vlastníctve spoločnosti.

Zhrnutie

Takže, ako vidíme, napriek širokému funkčnosť, organizovanie skupinovej práce používateľov podnikovej siete na internete s jeho pomocou je celkom jednoduché. Je jasné, že sme zvážili iba základné nastavenie tohto produktu.

Oznámil vydanie aktualizovanej verzie svojho vlajkového produktu - POŽARNE DVERE Kerio Control. Nová verzia 9.1 dostala množstvo vylepšení a nových funkcií. Možno, Hlavná prednosť toto vydanie bolo funkciou automatických aktualizácií brány firewall. To vám umožní automatizovať proces nasadenia Nová verzia na existujúcej sieťovej infraštruktúre. Okrem toho inžinieri spoločnosti vylepšili svoje komplexné riešenie zabezpečenia siete pre malé a stredné podniky o niekoľko nových funkcií, vrátane kontroly aplikácií a bezpečného filtrovania obsahu. Upozorňujeme, že hlavné vydanie Kerio Control 9.0 sa uskutočnilo koncom minulého roka. Deviata verzia firewallu prináša zdieľané definície do MyKerio, ochranu proti odmietnutiu služby, dvojfaktorovú autentifikáciu pre službu MyKerio a ďalšie. Ale najprv to.

Ak hovoríme o ovládacom paneli novej verzie, môžeme vidieť niekoľko vylepšení, ktoré sa týkajú ikon a umiestnenia dlaždíc. Ako vždy, správca môže zmeniť ich umiestnenie a vybrať si z jeho pohľadu najlepší typ rozhrania.

Upozorňujeme, že pri prvotnej inštalácii systému na počítač resp virtuálny prístrojštandardne je používateľ vyzvaný na pridanie nového Kerio Control do služby MyKerio pre následné diaľkové ovládanie.

Následne môže administrátor aktivovať službu MyKerio na firewalle zo samostatného menu „Vzdialené služby“.

Pripomeňme, že služba MyKerio sa objavila v produktoch Kerio nie tak dávno, no už teraz je jasné, že táto funkcia je veľmi vhodná pre prácu s viacerými firewallmi a produktmi Kerio. Za zmienku stojí, že okrem pridania firewallu z administračného panela je možné pripojiť Kerio Control pomocou jeho sériového čísla a licenčného čísla. Služba podporuje dvojfaktorovú autentifikáciu pomocou populárnych aplikácií, ako sú Google Authenticator a FreeOTP Authenticator na zvýšenie bezpečnosti cloudového centralizovaného webového rozhrania, čo umožňuje IT administrátorom nastaviť šesťmiestny kód s časovou synchronizáciou ako dodatočnú formu autentifikácie. . Majitelia firiem si môžu byť istí bezpečnosť siete budú zachované aj v nepravdepodobnom prípade, že sa heslá dostanú do nesprávnych rúk.

Služba MyKerio vám umožňuje vzdialene spravovať firewally Kerio Control a, čo je dôležité, prenášať niektoré nastavenia z jedného do druhého. To dáva správcom možnosť migrovať skupiny URL, rozsahy adries IP a časové úseky. Všetky tieto funkcie v správcovskej službe sa nazývajú „Zdieľané definície“ a ich zoznam bude pravdepodobne rozšírený v ďalších verziách Kerio Control. Na rýchle vyriešenie problémov a informovanie administrátorov sa na hlavnej obrazovke zobrazujú dôležité upozornenia o činnosti pripojeného firewallu.

Čo sa týka aktualizovanej verzie Kerio Control 9.1, pribudla do nej možnosť automatického vytvárania záloh. Nastavenia Kerio. Ak bolo možné staršie zálohy nastavení nahrať do služby Samepage.io alebo na FTP, teraz je táto funkcia dostupná len pre FTP a službu MyKerio. Centralizované ukladanie nastavení umožňuje výrazne zjednodušiť nasadenie Kerio Control na PC a virtuálne stroje po prípadných poruchách alebo pri inštalácii brány firewall od začiatku.

Nová verzia Kerio Control 9.1 ponúka aj aplikáciu MyKerio pre iPhone a Apple Watch, ktorý poskytuje monitorovanie v reálnom čase a upozornenia pre všetky pripojené zariadenia. Zmeny stavu sú okamžite oznámené, čo vám umožní rýchlo vyriešiť akékoľvek problémy.

Pravdepodobne jednou z najdôležitejších funkcií tohto vydania Kerio Control bola schopnosť automaticky aktualizovať firewall. Keď je zariadenie Kerio Control zapojené do siete, automaticky a okamžite nainštaluje aktualizovanú verziu ovládacieho programu a začne chrániť sieť, používateľov a majetok.

Okrem samotnej automatickej aktualizácie majú správcovia možnosť meniť intervaly aktualizácie. Napríklad v predvolenom nastavení budú aktualizácie prichádzať iba cez víkendy.

V prípade potreby je možné nakonfigurovať ľubovoľné časové intervaly, ktoré je možné neskôr synchronizovať s ostatnými produktmi Kerio prostredníctvom služby MyKerio. Táto cloudová technológia, ktorá automatizuje tento proces, je obzvlášť dôležitá pri práci s viacerými zariadeniami s nainštalovanými produktmi Kerio.

závery

Ako vždy, Kerio sa snaží čo najviac uľahčiť prácu systémových administrátorov a zároveň poskytuje najvyššiu úroveň ochrany prostredníctvom firewallu Kerio Control. Aktualizovaná verzia určite priniesla jednu z najočakávanejších funkcií automatická aktualizácia tento systém, takže niet pochýb o tom, že bude žiadaný koncovými užívateľmi. Dúfajme, že vydanie aplikácie na diaľkové ovládanie MyKerio pre zariadenia zapnuté založené na systéme Android vás nenechá čakať, pretože v dobe internetu sa vám táto možnosť vždy zíde. Najnovšiu verziu Kerio Control si ako vždy môžete stiahnuť z oficiálnej stránky spoločnosti.

Cesta k archívu je znázornená na nasledujúcich obrázkoch:

Predpokladajme, že migrujete z Najnovšia verzia KWF 6.7.1, vaším cieľom je pracovná verzia Kerio Control Appliance 8.3 (aktuálna verzia aplikácie z apríla 2014)

Hlavnou „zložitosťou“ prechodu je v tomto prípade nutnosť vykonať nie priamy upgrade z KWF 6.7.1 na Kerio Control 8.3, ale postupný prechod na niektoré „hlavné“ (hlavné) verzie. Táto potreba je spôsobená zahrnutím niektorých funkcií, ktoré vyžadujú následné spracovanie po inštalácii aplikácie, do konfiguračných súborov týchto „hlavných“ verzií.
Ak chcete migrovať z KWF 6.7.1 na Kerio Control 8.3, budete musieť vykonať nasledujúce kroky aktualizácie:

1. Inovujte na Kerio Control 7.0.0
2. Inovujte na Kerio Control 7.1.0
3. Aktualizácia na Kerio Control 7.4.2 ( Finálna verzia pre Windows)

Potrebné distribúcie si môžete stiahnuť z nášho archívu vydaní.
Samotný proces aktualizácie z verzie na verziu je obvyklá inštalácia novej verzie „navrch“ starej verzie. Inštalátor sa automaticky ukončí systémová služba Kerio Control (Kerio Winroute Firewall), určí inštalačný adresár aktuálna verzia Kerio Control (Kerio Win-route Firewall) a nahradí aplikačné súbory, ktoré je potrebné aktualizovať; aplikačné protokolové súbory a užívateľské konfiguračné súbory sa zachovajú nezmenené. Konfiguračné súbory budú uložené v špeciálnom adresári "UpgradeBackups", ktorý sa nachádza v koreňovom adresári %programmfiles%\Kerio\.

Videoklip z procesu pravidelnej aktualizácie:

Ísť do najnovšia verzia systému Windows Kerio Control 7.4.2 bude posledným krokom inovácie v rámci tejto platformy. Ďalšími fázami prechodu sú príprava platformy Appliance, prenos konfigurácie, databázy logov a užívateľských štatistík.

Prechod na platformu Appliance.

V tejto časti sa pozrieme na možnosti nasadenia pre rôzne distribúcie zariadení Kerio Control.

Inštalácia softvérového zariadenia

Túto verziu inštalačného balíka je možné nasadiť nasledujúcimi spôsobmi:

• Obraz ISO je možné zapísať na fyzické médium CD alebo DVD, ktoré sa neskôr musí použiť na inštaláciu Kerio Control na fyzický alebo virtuálny hostiteľ.
• V prípade použitia virtuálnych počítačov je možné obraz ISO pripojiť ako virtuálny disk CD/DVD-ROM a vykonať z neho inštaláciu bez potreby napaľovania na fyzické médium.
• Obraz ISO je možné zapísať na USB flash disk a nainštalovať z neho. Podrobné pokyny nájdete v príslušnom článku (kb.kerio.com/928) v našej databáze znalostí.

Inštalácia virtuálneho zariadenia VMware

Ak chcete nainštalovať Kerio Control VMware Virtual Appliance na rôzne virtualizačné nástroje od VMware, použite príslušnú verziu distribúcie Kerio Control VMware Virtual Appliance:

Pre VMware Server, Workstation, Player, Fusion použite zip (*.zip) súbor VMX:

Inštalácia virtuálneho modulu do prehrávača VMware

• Pre VMware ESX/ESXi/vSphere Hypervisor použite špeciálny odkaz OVF na importovanie virtuálneho modulu, ktorý vyzerá takto:

http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf

VMware ESX/ESXi automaticky stiahne konfiguračný súbor OVF a jeho zodpovedajúci virtuálny pevný disk(.vmdk)
Pri používaní formátu OVF je potrebné zvážiť nasledujúce aspekty:

• Vo virtuálnej jednotke Kerio Control je vypnutá synchronizácia času s virtualizačným serverom. Kerio Control má však vstavané nástroje na synchronizáciu času s verejnými sieťovými zdrojmi internetového času. Preto je použitie synchronizácie medzi virtuálnym strojom a virtualizačným serverom voliteľné.
• Úlohy „vypnutie“ a „reštart“ virtuálneho počítača budú nastavené na „predvolené“ hodnoty. Možnosť nastavenia týchto hodnôt na režimy „vynúteného“ vypnutia a „vynúteného“ reštartu je zachovaná, avšak tieto možnosti vypnutia a reštartu môžu spôsobiť stratu dát vo virtuálnom module Kerio Control. Virtuálny modul Kerio Control podporuje tzv. Soft Shutdown a Soft Reboot vám umožňujú vypnúť alebo reštartovať hosťujúci OS správnym spôsobom, preto sa odporúča použiť predvolené hodnoty.

Inštalácia virtuálneho zariadenia (ovf) vo VMware vSphere

Inštalácia virtuálneho zariadenia pre Hyper-V

• Stiahnite si archivovanú (*.zip) distribučnú súpravu, rozbaľte ju do požadovaného priečinka.
• Vytvorte nový virtuálny stroj, vyberte možnosť „Použiť existujúci virtuálny stroj“. HDD“, pričom ako obraz disku uvediete súbor rozbalený zo prevzatého archívu

Inštalácia virtuálneho zariadenia v MS Hyper-V

Ďalším dôležitým bodom prípravy na prechod na platformu Appliance je správna konfigurácia sieťových rozhraní na zvolenej platforme Appliance.

Konfigurácia sieťových rozhraní v softvérovom zariadení

V pseudografickom rozhraní Kerio Control Software Appliance môžete konfigurovať IP adresu/viaceré adresy v statickom alebo dynamickom režime, vytvárať rozhrania VLAN a konfigurovať rozhranie v režime PPPoE.

Poznámka: Pôvodné nastavenie sieťové rozhrania v samotnej distribúcii Kerio Control Software Appliance sú identické pre všetky zostavy Kerio Control Appliance, rozdiely sú len pri konfigurácii virtuálnych sieťových rozhraní v rôznych virtualizačných prostrediach, kde je možné Kerio Control použiť.

Poskytovanie virtuálnych sieťových rozhraní v Hyper-V

Vykonávať správne a minimálne potrebné nastavenia Virtuálny prepínač Hyper-V, budete musieť vykonať nasledujúce kroky:

Mapovanie fyzických a virtuálnych sieťových rozhraní

Kontrola prítomnosti služby virtuálneho mosta na fyzických sieťových rozhraniach servera

Pre možnosť rýchla inštalácia Sieťové rozhrania virtuálneho zariadenia Kerio Control Hyper-V, pozrite si nasledujúci videoklip:

Poskytovanie virtuálnych sieťových rozhraní vo VMware vSphere

Približne rovnaký reťazec akcií je v prípade prípravy virtuálnych sieťových rozhraní vo vSphere.

Vytvorenie niekoľkých virtuálnych prepínačov, počet závisí od vašich potrieb pre virtuálnu sieťovú komunikáciu.

Vytvorenie virtuálneho prepínača vo VMware vSphere

Vytvorenie virtuálneho prepínača vo VMware vSphere

Pridanie vhodných fyzických sieťových rozhraní k virtuálnym prepínačom, aby s nimi mohla podniková fyzická LAN interagovať

Mapovanie vytvorených virtuálnych prepínačov na virtuálne sieťové rozhrania Kerio Control VMware Virtual Appliance

Po nasadení zostavy zariadenia a konfigurácii sieťových rozhraní môžete pokračovať v prenose konfigurácie hlavného používateľa z vášho Verzie systému Windows Kerio Control.
Samotný proces prenosu konfigurácie pozostáva z dvoch krokov:

Uloženie aktuálnej konfigurácie pomocou Asistenta konfigurácie

Pri ukladaní konfigurácie sa odporúča zapamätať si, alebo skôr zapísať, MAC adresy vašich aktuálnych sieťových rozhraní a ich zhodu s používanými IP adresami. Toto bude potrebné pri obnove konfigurácie nová inštalácia Zariadenie Kerio Control.

Proces uloženia konfigurácie je znázornený na obrázkoch nižšie:

Po tomto kroku ste uložili archív, ktorý obsahuje všetky používateľské konfiguračné súbory aktuálnej verzie Kerio Control.

Ďalším krokom je obnovenie predtým uloženej konfigurácie v zariadení. Pri obnove konfigurácie vám konfiguračný asistent ponúkne zhodu konfigurácie starých sieťových rozhraní s novými používanými na serveri Kerio Control Appliance.

Poznámka: To je presne ten moment, kedy potrebujete informácie o MAC a IP adresách zo starého servera, ktoré ste si vypísali alebo zapamätali pri ukladaní konfigurácie na ten starý.

Proces obnovenia konfigurácie je znázornený na obrázkoch nižšie:

Na uloženie konfigurácie sa server Kerio Control Appliance automaticky reštartuje a potom je možné ho používať.

A tu začína zábava! To, čo sa dočítate nižšie, nie je popísané v žiadnej oficiálnej a dokonca ani v neoficiálnej dokumentácii, t.j. tu bude umiestnených niekoľko prijateľných „živých hackov“, ktorých použitie vám pomôže pri realizácii takého dôležitého procesu, ktorým je prechod na platformu Kerio Control Appliance.

A ako obvykle, predtým, ako prejdeme k priamemu popisu s vami, obvyklé „vylúčenie zodpovednosti“:

DÔLEŽITÉ: Postup popísaný nižšie nie je zdokumentovaná možnosť, preto, aby ste sa vyhli nežiaducim následkom, pred začatím migrácie údajov vytvorte ich úplnú zálohu skopírovaním údajov na bezpečné úložisko.

A tak prestupujeme! Najprv si uložme aktuálnu databázu protokolov aplikácie. Ak to chcete urobiť, musíte uložiť súbory protokolu, ktoré sa nachádzajú na zadanej ceste.

%programfiles%\kerio\winroute firewall\logs\*

Pre najlepšiu bezpečnosť týchto údajov sa odporúča pred vykonaním migrácie ich zálohovať na dostupné zabezpečené úložisko.

Následne uložíme aktuálnu databázu užívateľských štatistík. Všetky tieto informácie sú sústredené v databázovom súbore firebird, ktorý sa nachádza v priečinku

%programfiles%\kerio\winroute firewall\star\data\

Odtiaľ potrebujeme len súbor star.fdb. Pre najlepšiu bezpečnosť týchto údajov sa odporúča pred vykonaním migrácie zálohovať na dostupné zabezpečené úložisko.

Potom, čo sme našli a uložili všetky potrebné informácie, musíme ich preniesť na nový server so systémom Kerio Control Appliance. Prvá vec, ktorú musíte urobiť, aby ste nahrali predtým uložené údaje do zariadenia Kerio Control Appliance, je povoliť Server SSH na vykonávanie prístupu SFTP. Ak to chcete urobiť, v administračnom webovom rozhraní Kerio Control prejdite do ponuky Stav -> Stav systému, stlačte a podržte kláves „Shift“ a kliknite na „ Akcie". V rozbaľovacom zozname vyberte možnosť „ Povoliť SSH“, potvrďte svoje akcie súhlasom s otázkou v zobrazenom okne.

Potom sa musíte uistiť, že ste v pravidlách komunikácie Kerio Control povolili prístup k hostiteľovi zariadenia Kerio Control Appliance protokol SSH z požadovaného miesta.

Po povolení SSH a povolení príslušného prístupu sa musíte pripojiť k serveru Kerio Control Appliance, aby ste si naň stiahli potrebné údaje denníka a databázu používateľských štatistík. Na to nám poslúži aplikácia WinSCP, ktorá umožňuje vytvárať spojenia pomocou protokolu SFTP.
Ak sa chcete pripojiť k serveru Kerio Control Appliance, musíte zadať používateľské meno a prístupové heslo, ako používateľské meno zadať názov „root“ (bez úvodzoviek); ako heslo zadajte heslo vstavaného Kerio Control účtu"Správca".

Parametre sFTP pripojenia k serveru Kerio Control

Po nadviazaní spojenia musíte umiestniť svoje údaje do určitých priečinkov na serveri. Súbory denníka sa musia skopírovať do priečinka /var/winroute/logs a súbor so štatistikou používateľov do priečinka /var/winroute/star/data, pričom staré súbory musia byť buď vymazané, alebo premenované.

Poznámka: Je lepšie premenovať staré súbory na uloženie zálohovanie aktuálne údaje. V prípade súborov denníka aplikácií je potrebné premenovať iba staré súbory *.log

Po dokončení kopírovania je potrebné reštartovať službu Kerio Control. Ak to chcete urobiť, musíte získať priamy prístup k serveru Kerio Control Appliance. V prípade softvérového zariadenia je prístup cez monitor a klávesnicu samotného servera, na ktorom je nainštalované softvérové ​​zariadenie Kerio Control. V prípade virtuálneho modulu Kerio Control je prístup cez konzolu príslušného virtualizačného prostredia. Vo všetkých ostatných ohľadoch budú akcie rovnaké.

Prepnutie z pseudografickej konzoly na rozhranie príkazový riadok, stlačte kombináciu klávesov „Alt-F2“. Vo výzve na zadanie používateľského mena zadajte meno „root“ (bez úvodzoviek), stlačte „enter“, do poľa heslo zadajte heslo účtu „Admin“ zabudovaného v Kerio Control.

Poznámka: treba brať do úvahy, že v OS rodiny Linux sa zadávanie hesla nezobrazuje ani s ikonami hviezdičiek a ak sa pomýlite, nebude možné to opraviť - budete musieť zadať heslo znova .

Do príkazového riadka zadajte nasledovné:

/etc/boxinit.d/60winroute reštartujte

Tento príkaz reštartuje démona (službu) Kerio Control, po ktorom Kerio Control „pripojí“ predtým skopírované dáta aplikačného protokolu a používateľské štatistiky.

Po spustení démona Kerio Control je potrebné skontrolovať integritu prenášaných dát, na to je možné použiť webové rozhranie štatistík používateľov a/alebo webové rozhranie administrácie aplikácie Kerio Control.

Ak je všetko v poriadku so všetkými údajmi, potom môžeme zvážiť prechod na nová platforma Kerio Control Appliance je dokončený a zostáva už len vykonať bežný postup aktualizácie Kerio Control na aktuálnu verziu. Ak s niektorou časťou údajov „nie je všetko v poriadku“, existujú dve možnosti:
1) uistite sa, že údaje prevzaté z pôvodného servera Kerio Control (KWF) boli pôvodne v poriadku;)
2) ak je všetko v poriadku s počiatočnými údajmi, potom je potrebné zopakovať postup prenosu tej časti údajov, s ktorou boli problémy.
3) ak sú riešenia z odsekov. 1 a 2 nepomohli, potom zanechajte komentár tu, skúsme to spolu prísť na to :)

Teraz, keď sú všetky dôležité údaje na svojom mieste, môžete „vytiahnuť“ verziu zariadenia Kerio Control Appliance na aktuálnu. Proces pravidelnej aktualizácie môže prebiehať dvoma spôsobmi, v automatickom a manuálnom režime.

Režim automatickej aktualizácie verzie.

Kerio Control môže fungovať automatická kontrola dostupnosť nových verzií na stránke aktualizácie Kerio.

1. Ďalšie možnosti “, na záložku “ Skontroluj aktualizácie»
2. Zapnite možnosť " Pravidelne kontrolujte dostupnosť nových verzií". Kerio Control bude kontrolovať nové verzie každých 24 hodín. Hneď ako sa zistí prítomnosť novej verzie, na karte " Skontroluj aktualizácie“ zobrazí odkaz na stiahnutie aktualizácie. Ak chcete okamžite skontrolovať dostupnosť aktualizácie, kliknite na tlačidlo " Skontroluj teraz»
3. Ak si chcete stiahnuť aktualizované verzie hneď, ako budú objavené, povoľte možnosť " Stiahnite si nové verzie automaticky". Akonáhle bude nahraná nová verzia, dostanete notifikáciu vo webovom administračnom rozhraní.
4. Po stiahnutí aktualizácie kliknite na „ Teraz aktualizovať»
5. Potvrďte svoj zámer aktualizovať a vykonajte následný automatický reštart Kerio Control
6. Počkajte na dokončenie inštalácie novej verzie a reštartujte Kerio Control.
7. Aktualizácia dokončená.

Manuálny mód aktualizácie verzií.

Tento režim aktualizácie môže byť užitočný za nasledujúcich okolností:

• Vrátiť späť na predošlá verzia Kerio Control
• Inovácia na strednú alebo neaktuálnu verziu (napríklad uzavreté vydanie beta).
• Aktualizácia brány, keď existujú maximálne obmedzenia pre prístup ITU k internetovým zdrojom.

Pre manuálnu aktualizáciu si musíte stiahnuť špeciálny obraz (Upgrade Image) zo stránky sťahovania Kerio Control (http://www.kerio.ru/support/kerio-control).

Po stiahnutí postupujte podľa týchto krokov:

• Vo webovom rozhraní administrácie prejdite na položku ponuky " Ďalšie možnosti“, na záložku “ Skontroluj aktualizácie»
• Kliknite na tlačidlo " Voľba»
• Zadajte umiestnenie súboru s obrázkom aktualizácie (kerio-control-upgrade.img)
• Kliknite na tlačidlo " Stiahnite si súbor aktualizácie verzie»
• Po stiahnutí kliknite na tlačidlo Spustite aktualizáciu verzie»
• Počkajte na aktualizáciu verzie a reštartujte Kerio Control
• Aktualizácia dokončená.

Voilá, máte plnohodnotnú internetovú bránu založenú na zariadení Kerio Control Appliance! Gratulujeme k dokončeniu prechodu na UTM Kerio Control!

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia.