|
Страница 3 из 3 Настройка Kerio Winroute Firewall 6.0.11 в сети с доменомДля более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.  Схема локальной сети Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации. Открываем пункт меню Interfaces:  Interfaces Поясню назначения интерфейсов: - LAN - сетевая карта, смотрящая в локальную сеть
- INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP
Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:  Traffic policy Поясню смысл полей и правил в целом: - поле Source - источник трафика (то есть КТО)
- поле Destination - получатель траффика (то есть КУДА)
- поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
- поле Action - запрет или разрешение трафика для созданного правила
- поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
- поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
- поле Log - для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3: - правило 1 разрешает серверу "ходить" в локалку
- правило 2 разрешает любой трафик из локалки на сервер
- правило 3 разрешает любой трафик от самого сервера в интернет
- правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
- правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного" Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS  DNS Forvarder Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:  Custom DNS Forvarding Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:  Настрока пересылки Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding. HTTP Policy: В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):  HTTP Policy На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации. На следующей картинке показаны HTTP - правила, с применением групп адресов:  HTTP Policy Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю "генка" доступ по HTTP - БЕЗ авторизации. Контентные правила оставляем по умолчанию:  Content Rules Кеш отключаем:  Cache На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):  Proxy Server Закладку Forbidden words не трогаем. Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):  Antivirus Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):  HTTP, FTP Scanning Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):  Email Scanning Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):  Address Group В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):  Time Ranges Меню Services:  Services
Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного". Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:  Создание сервиса Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета. Меню Advanced Options:  Advanced Options Отключаем все галочки.  Advanced Options Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.  Advanced Options В общем, настройки ISS (оранж фильтра) у меня вот такие...  Advanced Options Настроечки для автоматической проверки новых версий.  Advanced Options Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).  Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты). Тут включаем пользовательскую статистику. Настраиваем логи:  Logs and Alerts Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:  Add Alert Меню Users и Group - там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того, что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP-правила доступа для юзеров\групп индивидуально.  Users На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику. В общем, тут всё понятно. Включаем обязательную авторизацию (работает только для HTTP ):  Users Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.  Users - Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет. Приведен скриншот настройки одного из пользовательских компьютеров:  Настройка компьютера пользователя В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен). P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.
|
