В последнее время угрозы в корпоративных сетях растут не только по количеству или скорости распространения, но и по увеличению способов их возможной кооперации, что требует комплексной постановки задачи при проектировании защиты сетевой среды компании. Одним из комплексных решений для организации защиты сетевой инфраструктуры при относительно небольших затратах может стать Kerio WinRoute Firewall 6 — полностью интегрированное программное средство, особенностью которого является объединение в рамках одного продукта практически всех функций, необходимых для построения межсетевого шлюза, централизованно выполняющего задачи антивирусной проверки трафика, его фильтрации и маршрутизации, защиты от сетевых атак, а также контроля действий пользователя.



Это упрощает работу администраторов в компаниях малого и среднего бизнеса, для которых разработан продукт, позволяя проводить все настройки в рамках одной консоли управления. Kerio WinRoute Firewall объединяет маршрутизатор, брандмауэр, VPN-сервер, антивирус, контентный фильтр и средства управления правами доступа пользователей. Архитектура продукта является многоуровневой, благодаря чему обеспечивается защита сетей, серверов и пользователей. Kerio WinRoute Firewall способен работать с различными интернет-соединениями: DSL, кабельным, ISDN, спутниковым или беспроводным.

Продукт обеспечивает фильтрацию на уровне пакетов, антивирусную защиту, фильтрацию веб-контента, фильтрацию HTTP и FTP, установку соединения по требованию, поддержку UPnP, поддержку зон DMZ, защищенное удаленное управление, поддержку Active Directory, работу с унифицированными правилами, поддерживает DHCP-сервер и кэширующий DNS-forwarder.

Настраиваемый межсетевой экран

Kerio WinRoute Firewall предоставляет возможность подробного определения правил доступа для контроля интернет-трафика и приведения его в соответствие с корпоративной политикой безопасности. Брандмауэр продукта позволяет настраивать в единой таблице пакетные фильтры, NAT, отображение портов и контроль доступа. Встроенный мастер настройки предназначен для упрощения процесса создания правил и подключения к сети.

Брандмауэр сертифицирован ICSA Labs и способен распознавать атаки и попытки вторжений различных уровней сложности. Все эти действия регистрируются в журнале безопасности. Для различных событий существуют несколько журналов: для сообщений об ошибках, отладочных событий, настроек, статуса, веб-серфинга, сканирования портов и другие. Администратор может активировать необходимые для своей работы журналы в таблице правил.

Межсетевая антивирусная защита

Новинку можно при­­менять для анти­вирус­ной проверки входящего и исходящего трафика, контролируя электронную почту (SMTP и POP3), веб-трафик, файловую пере­сылку (ftp), а также весь сетевой тра­фик. Существует две версии Kerio WinRoute Firewall: версия с McAfee Anti-Virus в составе и без него. Обе способны работать с антивирусными про­д­уктами других про­изводителей.

Защита веб-серфинга и фильтрация контента

В составе продукта предусмотрен допол­нительный модуль ISS Orange Web Filter, предназначенный для контроля и огра­ничения посещений нежелательных веб-сайтов. Этот компонент предлагает список из 58 категорий страниц, в числе которых интернет-магазины, сайты новостей, спортивные ресурсы и другие, посещение которых может быть не связано с выполнением сотрудниками прямых функциональных обязанностей.

При настройке ISS Orange Web Filter сущес­твует возможность соз­дать предупреждение поль­зователей о том, что об их действиях знает ад­м­и­нистратор. Если зап­рашиваемого адреса нет в базе данных, то он передается в ISS, где его рассматривают в течение 24 часов. В настоящее время в базе содержится более 4 миллиардов проверенных страниц на 15 языках.

Фильтр ISS в составе Kerio WinRoute Firewall для ускорения работы кэширует только те URL, которые запрещены для посещения. В распоряжение администратора пре­дос­тавляется полная статистика по­сещений по всей организации и по каждому пользователю. Кроме этого, Kerio WinRoute Firewall может блокировать работу одноранговых пиринговых сетей (Kazaa, eDonkey и других).


Межсетевой экран на основе Kerio WinRoute Firewall 6
Межсетевой экран на основе Kerio WinRoute Firewall 6
Фильтрацию содержимого ActiveX и JavaScript осуществляет HTTP-фильтр, с помощью которого блокируются всплывающие рекламные окна. При помощи FTP-фильтра можно запрещать доступ к FTP-серверам и ограничивать обмен файлами между разрешенным FTP-сервером и клиентом.

Защищенный удаленный доступ

Kerio WinRoute Firewall имеет в своем составе средства для настройки защищенного удаленного доступа к корпоративной сети. Встроенный VPN-сервер на базе SSL работает в режимах “клиент-сервер” и “сервер-сервер”, для доступа используется клиент Kerio VPN, который может работать под управлением ОС Windows, или обычный браузер. Режим “сервер-сервер” применяется для подключения удаленного офиса. Этот сценарий подключения требует наличия Kerio WinRoute Firewall на каждой из соединяющихся сторон.

Kerio VPN использует стандартные алгоритмы шифрования SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP), поддерживает функционал RRAS, имеющийся в серверных редакциях операционных систем Microsoft Windows. Допускается также использование возможностей VPN, встроенных в Windows. Решение Kerio VPN работоспособно при использовании NAT и создает канал даже через несколько шлюзов NAT.

Управление пользователями

В рамках стратегии безопасности компании администратор может устанавливать ограничения для каждого отдельного пользователя. При этом для получения доступа в интернет сотрудник должен зарегистрироваться в Kerio WinRoute Firewall. Учетные записи пользователей могут храниться в отдельной внутренней базе данных, а в крупной сети — на удаленном сервере Microsoft Active Directory. С обеими базами поддерживается одновременная работа.

Интеграция с Active Directory обеспечивает Kerio WinRoute Firewall доступ к базе данных пользователей в режиме реального времени. Все изменения в Microsoft Active Directory автоматически отражаются и в Kerio WinRoute Firewall.

Для каждого сотрудника можно установить ряд персональных ограничений по установке сетевых соединений или ограничения на использование трафика, действие которых можно настроить по расписанию.

Поддержка IP-телефонии

Kerio WinRoute Firewall предусматривает работу с различным оборудованием и программным обеспечением на базе технологии VoIP: с Cisco IP Phone 7960, IP SoftPhone, CallManager, Gatekeeper, SIP Proxy Server, Interactive Voice Response, голосовой почтой Cisco Unity Voice Mail.

Продукт поддерживает сквозную работу протоколов H.323 и SIP, исключая необходимость публичного раскрытия внутренней инфраструктуры VoIP. Kerio WinRoute Firewall автоматически распознает протокол SCCP и выполняет трансляцию сетевых адресов между IP-телефоном и Cisco CallManager, а поскольку Kerio WinRoute Firewall выполняет трансляцию IP-адреса динамически, администратору не нужно вручную настраивать IP адрес для каждого IP-телефона.

Встроенная поддержка технологии UPnP обеспечивает работу таких приложений, как MSN Messenger, без необходимости дополнительной настройки брандмауэра.

Администрирование и уведомления

Для управления всеми компонентами продукта предназначена Kerio Administration Console, которую можно установить и на удаленном компьютере, при этом обмен данных с системой межсетевой защиты будет осуществляться по шифрованному каналу.
Для упрощения администрирования системы предусмотрена возможность отслеживания важнейших событий, таких как отсоединение от сети, превышение трафика пользователем, обнаружение вируса или окончание срока действия лицензии.

Об определенном событии Kerio WinRoute Firewall может сообщать электронным письмом, а выбор списка важнейших событий администратор проводит самостоятельно.

Для выбора оптимального режима эксплуатации сетевой инфраструктуры и каналов связи важно в удобной форме получать полную статистику для последующего анализа. С этой целью Kerio WinRoute Firewall формирует подробную статистику в виде гистограмм использования трафика каждым пользователем в различных разрезах и за различные периоды. Программный продукт показывает статистику фактического использования трафика по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

Kerio WinRoute Firewall предоставляет практически все возможности по управлению и защите сетевой инфраструктуры компании в рамках одного продукта, включая использование резервного канала с автоматическим переключением на него в случае сбоя основного. Продукт позволяет построить полноценный программно-аппаратный межсетевой экран, контролирующий и защищающий внешние соединения всех пользователей, которые могут находиться в нескольких подсетях. При этом возможна защита веб-сервера и почтового сервера компании. Системные требования для сервера с Kerio WinRoute Firewall довольно демократичны: система будет работоспособна при использовании процессора Pentium III, оперативной памяти 256 МБ и 20 МБ дискового пространства на жестком диске.