| Модератор | Дата: Пятница, 19.02.2016, 11:53 | Сообщение # 1 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 8006
Статус: Оффлайн
| 2.1. Настройка сетевых интерфейсов
Интернет-интерфейсы
Параметры TCP/IP для интернет-интерфейса должны быть установлены согласно информации, полученной от провайдера. В случае использования модемного коммутируемого подключения (диалап) необходимо создать соответствующее подключение на вкладке "Сетевые подключения" панели управления Windows.
Проверьте соединение (используйте команду ping или откройте любой веб-сайт в вашем браузере).
Выбор IP-адресов для локальной сети (LAN)
Вы можете использовать следующие варианты при выборе адресов для вашей локальной сети:
- " публичные IP-адреса. Провайдер выделяет диапазон IP-адресов и устанавливает правила маршрутизации.
- " частные IP-адреса и IP-трансляция (NAT). Мы рекомендуем использовать данную опцию, так как это позволяет упростить администрирование и техническую поддержку.
Частные адреса представляют из себя специальные IP-диапазоны, зарезервированные для использования исключительно в локальных сетях (частные сети). Данные адреса не должны существовать в адресном пространстве сети Интернет (Интернет-маршрутизаторы обычно настраиваются на блокировку прохождения всех пакетов, содержащих эти адреса).
Для частных сетей зарезервированы следующие IP-диапазоны:
- 10.x.x.x, сетевая маска 255.0.0.0
- 172.16.x.x, сетевая маска 255.240.0.0
- 192.168.x.x, сетевая маска 255.255.0.0
Предупреждение: Не используйте другие адреса в частной сети, т.к. в этом случае некоторые веб-сайты (работающие на тех же адресах) могут быть недоступны.
В нашем примере для локальной сети используется адрес 192.168.1.0 и сетевая маска 255.255.255.0.
LAN-интерфейс
На LAN-интерфейсе должны быть сделаны следующие настройки:
- IP address — будет использоваться адрес 192.168.1.1
- network mask — 255.255.255.0
- default gateway —на данном интерфейсе параметр не должен быть установлен!
- DNS server — адрес DNS-сервера должен быть таким же, как и IP-адрес интерфейса, подключенного к локальной сети, чтобы DNS-запросы между головным офисом и филиалами обрабатывались корректно (см. главы Настройка головного офиса и Настройка филиала) а также дозвон по требованию с брандмауэра работал правильно.
Укажите в параметре Preferred DNS server - 192.168.1.1
2.2. Установка WinRoute
Запустите файл установки WinRoute и выберите опцию Typical installation.
Отключите сервисы Internet Connection Sharing (Windows Me, 2000, XP) или Internet Connection Firewall (Windows XP), если таковые будут обнаружены инсталлятором, в противном случае WinRoute может работать некорректно.
Введите имя пользователя и пароль, которые будут использоваться в дальнейшем в качестве учетной записи администратора.
Перезагрузите компьютер после завершения процесса установки.
2.3. Базовая настройка политики трафикаПосле перезагрузки запустите консоль управления Kerio Administration Console (Start / Programs / Kerio). Подключитесь к localhost (локальный компьютер), используя имя пользователя и пароль, заданные на этапе установки продукта. После первого входа в систему автоматически запустится мастер настройки сетевых правил Network Rules Wizard. Установите следующие параметры с помощью мастера:- Тип Интернет-подключения (Шаг 2) - тип интерфейса, через который брандмауэр подключен к сети Интернет
- Интернет-интерфейс (Шаг 3) - выберите Интернет-интерфейс или соответствующую запись диалап-соединения (в этом случае также необходимо указать имя пользователя и пароль).В случае диалап-соединения WinRoute требует указания соответствующего учетного имени пользователя и пароля. Указание этих данных необязательно в случае, если информация уже сохранена в операционной системе. Если нет (или вы не уверены, сохранена ли действительно данная информация), выберите опцию "Use the following login data" и укажите имя пользователя и пароль для соответствующей записи диалап-соединения.
- Правила для исходящего трафика (Шаг 4) - данные правила разрешают доступ к интернет-службам.
- Политика VPN-сервера (Шаг 5) — выберите Yes, I want to use Kerio VPN для создания правил, разрешающих подключение мобильных пользователей и удаленных филиалов к головному офису (см. главу Связь головного офиса с филиалом).
- Правила для входящего трафика (Шаг 6) — например, маппинг почтового SMTP сервера.
 Примечание: На этом шаге вы можете также определить правила маппинга (подстановки портов, трансляции адреса получателя) для других поддерживаемых служб, например, FTP-сервера, с помощью второго метода - определение собственных правил. Более подробно данный вопрос рассмотрен в разделе Разрешение доступа к службам из сети Интернет.
- Общий доступ к Интернет-подключению (Шаг 7) — трансляция сетевых адресов (NAT) должна быть разрешена, если в локальной сети используются частные IP-адреса.
2.4. Настройка DHCP-сервера
Примечания к примеру
Для назначения IP-адресов локальным компьютерам могут быть использованы следующие методы:
- Статический адрес 192.168.1.2 будет присвоен файловому/FTP серверу (его адрес не должен изменяться, иначе маппинг не будет работать).
- Статический адрес будет присвоен сетевому принтеру с помощью DHCP-сервера. Принетры не могут иметь динамические адреса, т.к. в случае изменения адреса они станут недоступными с клиентских машин.
Примечание: IP-адреса могут быть назначены принтерам вручную или с помощью DHCP-сервера. Если используется DHCP-сервер, то принеры настраиваются автоматически и их адреса отображаются в таблице выделенных адресов сервера. В случае ручной настройки принтеры становятся независимыми от доступности DHCP-сервера. - Динамические IP-адреса будут назначены локальным рабочим станциям (тем самым упрощается настройка).
В локальной сети будет использоваться DNS-домен company.com.
Примечание: Для сети филиала будут использоваться адреса 10.1.1.х, сетевая маска 255.255.255.0 и DNS-домен filial.company.com.
Настройка сервера DHCP
Перейдите в раздел Configuration / DHCP server консоли управления Kerio Administration Console. Откройте вкладку Scopes для создания IP-диапазона для машин, адреса которым будут присваиваться динамически (опция Add / Scope). Для настройки диапазона должны быть указаны следующие параметры:
- First Address (Первый адрес) — выберите 192.168.1.10 (адреса с 192.168.1.1. до 192.168.1.9 будут зарезервированы для серверов и принтеров)
- Last Address (Последний адрес) — 192.168.1.254 (адрес с самым большим номером, который может использоваться в данной сети)
- Network mask (Сетевая маска) — 255.255.255.0
- Default gateway (Основной шлюз) — IP-адрес сетевой карты шлюза, подключенной к локальной сети (192.168.1.1).Примечание: Основной шлюз определяет путь, по которому пакеты из локальной сети будут направлены в сеть Интернет. Направление пакетов через WinRoute позволит создать правила фильтрации трафика, авторизацию пользователей и т.п.
- DNS server — IP-адрес сетевой карты шлюза, подключенной к локальной сети (см. главу Настройка DNS Форвардера)
Зарезервируем адрес для сетевого принтера с помощью опции Add / Reservation... Резервируемый адрес не обязательно должен принадлежать диапазону, заданному ранее, однако, он должен находиться в той же сети (в данном примере резервируется адрес 192.168.1.3). Вам необходимо знать аппаратный (MAC) адрес принтера для осуществления данной операции.
Подсказка: Не рекомендуется делать ручное резервирование адреса для принтера, если вы точно не знаете его аппаратный адрес. Запустите DHCP-сервер и подключите принтер к сети. Принтеру будет выделен адрес из диапазона, определенного ранее. Найдите этот адрес на вкладке Leases и используйте кнопку Reserve... для того, чтобы открыть диалоговое окно, в котором и будет указан аппаратный адрес. Укажите необходимый IP-адрес (и описание в случае необходимости) и нажмите на кнопку OK. Перезапустите принтер. Требуемый IP-адрес будет назначен принтеру DHCP-сервером.
Примечания:
Не используйте DHCP-сервер, пока вы не определили все диапазоны и не зарезервировали все необходимые адреса.
Вы также можете использовать другой DHCP-сервер для автоматической настройки сетевого оборудования. Задайте IP-адрес внутреннего интерфейса шлюза в качестве параметра Default gateway и DNS server в настройках DHCP-сервера для выбранного диапазона адресов.
2.5. Настройка DNS Форвардера
Перейдите в меню Configuration / DNS Forwarder для настройки DNS-серверов, на которые будут перенаправляться DNS-запросы. Выберите опцию "Check the Forward DNS queries to the specified DNS servers" и укажите один или несколько серверов в сети Интернет. Обычно лучшим выбором является указание DNS-серверов провайдера. Для получения данных адресов свяжитесь с вашим провайдером.
Внимание: Автоматический выбор DNS-серверов невозможен, т.к. DNS-сервер на сетевой карте, подключенной к локальной сети, использует тот же IP-адрес, что и DNS-сервер на брандмауэре (см. главу Настройка сетевых интерфейсов)— DNS-сервера всегда должны быть указаны в DNS форвардере, в противном случае DNS Форвардер не будет работать правильно.
Дополнительные параметры DNS Форвардера:
- Рекомендуется включить опцию Enable cache... (это уменьшит время ответа на повторяющиеся DNS-запросы).
- Включите опцию Use custom forwarding для установки параметров, необходимых для корректной пересылки DNS-запросов между сетью головного офиса и сетью филиалов. Более подробно о данных опциях см. главы Настройка головного офиса и Настройка филиала).
- Обе опции 'hosts' file и DHCP lease table должны быть включены (DNS Форвардер использует файл hosts и/или таблицу аренды DHCP для поиска имен и IP-адресов локальных машин).
Укажите локальный домен company.com в поле When resolving name... DNS Форвардер при этом сможет правильно отвечать на запросы, ссылающиеся на имена в локальной сети (например, fw) или на полные DNS-имена машин (например, fw.company.com).
Нажмите кнопку Edit file... для редактирования системного файла hosts. В этом диалоговом окне укажите все IP-адреса и имена компьютеров, для которых IP-адреса были назначены вручную (включая и сам брандмауэр).
2.6. Создание учетных записей пользователей и групп
Перейдите в раздел Users and Groups / Users для создания учетных записей для всех пользователей в локальной сети.
Если сеть построена на базе доменов Windows NT или Windows 2000, то пользователи могут быть импортированы из данных доменов. Имена и пароли пользователей будут использоваться для доступа к любым сетевым ресурсам, в том числе и к сети Интернет.
Установите права доступа к VPN-серверу для каждого пользователя, которому будет позволено удаленно подключаться к локальной сети (как VPN-клиент — см. главу Защищенный доступ удаленных клиентов к локальной сети).
Если планируется использовать автоматическую авторизацию, то имя домена Windows NT/Windows 2000 должно быть указано в соответствующем поле диалога Advanced Options / User Authentication.
Подсказка:
Также возможно импортировать учетные записи пользователей из домена NT или из Active Directory. Это позволит сэкономить время и упростить задачу администрирования.
Для автоматического импорта учетных записей из Active Directory необходимо указать IP-адрес сервера AD, а также имя пользователя и пароль с соответствующими правами (может быть использона учетная запись любого пользователя домена). Кроме того, можно создать шаблон настроек (группы, права, квоты и т.п.), применяемый автоматически ко всем новым пользователям при их первой авторизации на сервере.
Перейдите в раздел Users and Groups / Groups для создания групп пользователей, которые будут использоваться для управления доступом к интернет-ресурсам. Распределите пользователей по соответствующим группам.
2.7. Адресные группы и временные интервалы
Перейдите в раздел Definitions / Address Groups для создания IP-групп, которые будут использоваться для ограничения доступа к почтовым учетным записям (см. главу Разрешение доступа к службам из сети Интернет). Эта группа будет состоять из адресов 123.23.43.123 и 50.60.70.80, а также из полной сети 195.95.95.128 с маской 255.255.255.248.
Добавляем IP-адрес:
Добавляем сеть:
Примечание: Имя должно быть одинаковым для всех элементов, чтобы все записи были добавлены к одной и той же группе.
В конечном итоге мы должны получить следующее:
Перейдите в раздел Definitions / Time Ranges для создания интервала времени, ограничивающего интернет-доступ в рабочее время (с понедельника по пятницу с 8 часов утра до 17-00, в субботу и воскресенье с 8 до 12 часов).
Определение рабочего времени для будних дней (с понедельника по пятницу):
Определение рабочего времени для выходных дней (суббота и воскресенье):
Примечание:
Вы можете использовать готовые группировки дней (Weekday или Weekend) для настройки параметра Valid on — при этом нет необходимости индивидуально выделять каждый день.
Имя записей должно быть идентично, чтобы был создан только один временной интервал.
На рисунке приведен итоговый результат определения интервала времени Labor time:
2.8. Определение Web-правил
Требования
Доступ к web-страницам будет ограничен согласно следующим правилам:
- на web-страницах фильтруется реклама;
- доступ к эротическому/сексуальному контенту запрещен;
- доступ к страницам с предложениями работы запрещен (исключение делается только для пользователей из отдела кадров (Personal Department);
- для получения доступа к сети Интернет пользователи должны авторизоваться на шлюзе (это позволит проводить мониторинг просмотренных пользователями страниц).
Предопределенные HTTP-правила
Следующие HTTP-правила предопределены при установке и доступны на вкладке URL Rules в разделе Configuration / Content Filtering / HTTP Policy:
Allow automati updates (Разрешить автоматические обновления)Данное правило разрешает производить автоматическое обновление WinRoute и антивируса McAfee с сайта Kerio Technologies.Remove advertisement and banners (Удалять рекламу и баннеры)Фильтрация рекламы и баннеров. Согласно этому правилу блокируются все объекты, подпадающие под определение группы Ads/banners. Щелкните на данном правиле для его активации.Примечание: Иногда может так случиться, что страница, на которой нет рекламы, будет заблокирована. В этом случае удалите соответствующую запись из группы Ads/banners или создайте правило-исключение для подобных страниц (мы рекомендуем именно второй метод).Allow MS Windows automatic updates (Разрешить автоматические обновления Windows)Правило разрешает автоматические обновления операционной системы Windows с серверов Microsoft.Deny sites rated in Cobion categories (Запретить сайты по категориям Cobion)Данное правило запрещает доступ к Web-сайтам, входящим в выбранные категории фильтра Cobion Orange Filter.Нажмите кнопку Select Rating... для выбора блокируемых категорий. Отметьте соответствующие категории в разделе Pornography для запрета доступа к страницам с эротическим/сексуальным контентом. Примечание:
Базовая лицензия WinRoute не включает систему Cobion (необходимо приобрести специальную версию лицензии). Однако данная система доступна в триальной версии WinRoute.
Система Cobion, включенная в поставку WinRoute, должна иметь возможность установки соединения с серверами баз данных в сети Интернет. Это означает, что политика трафика должна разрешать доступ к сервису COFS (6000/tcp) со шлюзовой машины. Разрешающее правило создается автоматически мастером настройки политики.
Вы можете создать несколько URL-правил, использующих технологию Cobion Orange Filter. Несколько категорий может быть выбрано для каждого правила.
Мы рекомендуем включить опцию “unlock” в правилах, использующих технологию Cobion Orange Filter, так как отдельные страницы могут быть классифицированы неверно и важная информация в некоторых случаях может блокироваться. Все запросы на разблокировку доступа сохраняются в журнале Filter — это позволяет вам отслеживать, были ли подобные запросы правомерны.
Примечание: Вы можете указать информацию, которая будет отображена на странице блокировки, на вкладке Advanced (URL Rules) или перенаправить пользователей на другую страницу при попытке доступа к запрещенной странице.
Создание собственных URL-правил
Правила, которые будут применяться для отдельных пользователей или групп, могут быть добавлены после правила, требующего авторизацию от всех пользователей.
Вы можете добавить правило, разрешающее пользователям из группы Personal Department, получать доступ к страницам с предложениями работы.
Правило, запрещающее доступ всем остальным пользователям к данным страницам, должно быть добавлено после предыдущего правила.
Примечания:
Рекомендуется включить опцию "do not require athentication" для данного запрещающего правила, так как в противном случае пользователи будут направлены на страницу авторизации до того, после чего получат информацию о запрете.
В двух вышеописанных правилах должна быть выбрана только категория JobSearch.
Авторизация пользователей для доступа к веб-сайтам
Последнее опциональное ограничение - требование авторизации для доступа к веб-сайтам. Активируйте опцию Always require users to be authenticated when accessing web pages на вкладке Authentication Options в разделе Users and groups / Users.
Настройка кэша HTTP
Кэш ускоряет доступ к повторно открываемым веб-страницам, при этом одновременно уменьшая интернет-трафик. Кэш может быть активирован c помощью опций Enable cache on transparent proxy и Enable cache on proxy server в разделе Configuration / Content Filtering / HTTP Policy. Установите желаемый размер кэш-области с учетом свободного дискового пространства. По умолчанию установлено значение 1 Гб (1024 Мб), максимальное значение - 2 Гб (2048 Мб).
2.8. Определение Web-правил
Требования
Доступ к web-страницам будет ограничен согласно следующим правилам:
- на web-страницах фильтруется реклама;
- доступ к эротическому/сексуальному контенту запрещен;
- доступ к страницам с предложениями работы запрещен (исключение делается только для пользователей из отдела кадров (Personal Department);
- для получения доступа к сети Интернет пользователи должны авторизоваться на шлюзе (это позволит проводить мониторинг просмотренных пользователями страниц).
Предопределенные HTTP-правила
Следующие HTTP-правила предопределены при установке и доступны на вкладке URL Rules в разделе Configuration / Content Filtering / HTTP Policy:
Allow automati updates (Разрешить автоматические обновления)Данное правило разрешает производить автоматическое обновление WinRoute и антивируса McAfee с сайта Kerio Technologies.Remove advertisement and banners (Удалять рекламу и баннеры)Фильтрация рекламы и баннеров. Согласно этому правилу блокируются все объекты, подпадающие под определение группы Ads/banners. Щелкните на данном правиле для его активации.Примечание: Иногда может так случиться, что страница, на которой нет рекламы, будет заблокирована. В этом случае удалите соответствующую запись из группы Ads/banners или создайте правило-исключение для подобных страниц (мы рекомендуем именно второй метод).Allow MS Windows automatic updates (Разрешить автоматические обновления Windows)Правило разрешает автоматические обновления операционной системы Windows с серверов Microsoft.Deny sites rated in Cobion categories (Запретить сайты по категориям Cobion)Данное правило запрещает доступ к Web-сайтам, входящим в выбранные категории фильтра Cobion Orange Filter.Нажмите кнопку Select Rating... для выбора блокируемых категорий. Отметьте соответствующие категории в разделе Pornography для запрета доступа к страницам с эротическим/сексуальным контентом.Примечание:
Базовая лицензия WinRoute не включает систему Cobion (необходимо приобрести специальную версию лицензии). Однако данная система доступна в триальной версии WinRoute.
Система Cobion, включенная в поставку WinRoute, должна иметь возможность установки соединения с серверами баз данных в сети Интернет. Это означает, что политика трафика должна разрешать доступ к сервису COFS (6000/tcp) со шлюзовой машины. Разрешающее правило создается автоматически мастером настройки политики.
Вы можете создать несколько URL-правил, использующих технологию Cobion Orange Filter. Несколько категорий может быть выбрано для каждого правила.
Мы рекомендуем включить опцию “unlock” в правилах, использующих технологию Cobion Orange Filter, так как отдельные страницы могут быть классифицированы неверно и важная информация в некоторых случаях может блокироваться. Все запросы на разблокировку доступа сохраняются в журнале Filter — это позволяет вам отслеживать, были ли подобные запросы правомерны.
Примечание: Вы можете указать информацию, которая будет отображена на странице блокировки, на вкладке Advanced (URL Rules) или перенаправить пользователей на другую страницу при попытке доступа к запрещенной странице.
Создание собственных URL-правил
Правила, которые будут применяться для отдельных пользователей или групп, могут быть добавлены после правила, требующего авторизацию от всех пользователей.
Вы можете добавить правило, разрешающее пользователям из группы Personal Department, получать доступ к страницам с предложениями работы.
Правило, запрещающее доступ всем остальным пользователям к данным страницам, должно быть добавлено после предыдущего правила.
Примечания:
Рекомендуется включить опцию "do not require athentication" для данного запрещающего правила, так как в противном случае пользователи будут направлены на страницу авторизации до того, после чего получат информацию о запрете.
В двух вышеописанных правилах должна быть выбрана только категория JobSearch.
Авторизация пользователей для доступа к веб-сайтам
Последнее опциональное ограничение - требование авторизации для доступа к веб-сайтам. Активируйте опцию Always require users to be authenticated when accessing web pages на вкладке Authentication Options в разделе Users and groups / Users.
Настройка кэша HTTP
Кэш ускоряет доступ к повторно открываемым веб-страницам, при этом одновременно уменьшая интернет-трафик. Кэш может быть активирован c помощью опций Enable cache on transparent proxy и Enable cache on proxy server в разделе Configuration / Content Filtering / HTTP Policy. Установите желаемый размер кэш-области с учетом свободного дискового пространства. По умолчанию установлено значение 1 Гб (1024 Мб), максимальное значение - 2 Гб (2048 Мб).
|
| |
| |
