Настройка Kerio Winroute Firewall 6.0.11 в сети с доменом

Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.

Схема локальной сети

Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.

Открываем пункт меню Interfaces:

Interfaces

Поясню назначения интерфейсов:

• LAN - сетевая карта, смотрящая в локальную сеть
• INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP

Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:

Traffic policy

Поясню смысл полей и правил в целом:

• поле Source - источник трафика (то есть КТО)
• поле Destination - получатель траффика (то есть КУДА)
• поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
• поле Action - запрет или разрешение трафика для созданного правила
• поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
• поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
• поле Log - для включения записи в лог результата действия данного правила

Пояснения по правилам, показанным на рисунке 3:

• правило 1 разрешает серверу "ходить" в локалку
• правило 2 разрешает любой трафик из локалки на сервер
• правило 3 разрешает любой трафик от самого сервера в интернет
• правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
• правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)

Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного"

Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS

DNS Forvarder

Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:

Custom DNS Forvarding

Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:

Настрока пересылки

Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.

HTTP Policy:

В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):

HTTP Policy

На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.

На следующей картинке показаны HTTP - правила, с применением групп адресов:

HTTP Policy

Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю "генка" доступ по HTTP - БЕЗ авторизации.

Контентные правила оставляем по умолчанию:

Content Rules

Кеш отключаем:

Cache

На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):

Proxy Server

Закладку Forbidden words не трогаем.

Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):

Antivirus

Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):

HTTP, FTP Scanning

Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):

Email Scanning

Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):

Address Group

В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):

Time Ranges

Меню Services:

Services

Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".

Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:

Создание сервиса

Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.

Меню Advanced Options:

Advanced Options

Отключаем все галочки.

Advanced Options

Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.

Advanced Options

В общем, настройки ISS (оранж фильтра) у меня вот такие...

Advanced Options

Настроечки для автоматической проверки новых версий.

Advanced Options

Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).

Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).

Тут включаем пользовательскую статистику.

Настраиваем логи:

Logs and Alerts

Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:

Add Alert

Меню Users и Group - там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того, что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP-правила доступа для юзеров\групп индивидуально.

Users

На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.

В общем, тут всё понятно.

Включаем обязательную авторизацию (работает только для HTTP ):

Users

Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.

Users

1. Можно идентифицировать доменных пользователей.

Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.

Приведен скриншот настройки одного из пользовательских компьютеров:

Настройка компьютера пользователя

В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).

P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.