Установка и настройка kerio control 7.2 0. Kerio Control — комплексная безопасность сети. Установка Software Appliance

Для Windows Phone 17.03.2019

Для Windows Phone

Путь к архиву показан на нижеследующих изображениях:

Предположим, что вы осуществляете переход с последней версии KWF 6.7.1, ваша цель - работающая версия Kerio Control Appliance 8.3 (актуальная версия приложения на Апрель 2014 года)

Основной «сложностью» перехода в данном случае является необходимость выполнять не прямое обновление с версии KWF 6.7.1 на Kerio Control 8.3, а последовательный переход на некоторые «мажорные» (major) версии. Данная необходимость обусловлена включением в конфигурационные файлы этих «мажорных» версий некоторых возможностей, которые требуют постобработки после установки приложения.
Для осуществления перехода с версии KWF 6.7.1 на версию Kerio Control 8.3 потребуется выполнить следующие шаги обновления:

1. Обновление до версии Kerio Control 7.0.0
2. Обновление до версии Kerio Control 7.1.0
3. Обновление до версии Kerio Control 7.4.2 (финальная версия для Windows)

Загрузить необходимые дистрибутивы вы сможете из нашего архива релизов .
Сам процесс обновления от версии к версии является обычной установкой новой версии «поверх» старой. Программа установки автоматически завершит работу системной службы Kerio Control (Kerio Winroute Firewall), определит директорию установки текущей версии Kerio Control (Kerio Win-route Firewall) и произведёт замену файлов приложения, требующих обновления; файлы протоколов приложения и пользовательской конфигурации сохраняются без изменений. Файлы конфигурации будут сохранены в специальной директории «UpgradeBackups», расположенной в корне директории %programmfiles%\Kerio\.

Видео ролик штатного процесса обновления:

Переход на последнюю Windows-версию Kerio Control 7.4.2 будет финальным шагом обновления в рамках данной платформы. Следующими этапами перехода является подготовка Appliance платформы, перенос конфигурации, базы журналов и пользовательской статистики.

Переход на платформу Appliance.

В данном разделе мы рассмотрим варианты разворачивания различных Appliance-дистрибутивов Kerio Control.

Установка Software Appliance

Данный вариант установочного пакета может быть развёрнут следующими способами:

ISO образ может быть записан на физический CD или DVD носитель, который в дальнейшем необходимо использовать для установки Kerio Control на физический или виртуальный хост.
В случае использования виртуальных ПК, ISO-образ можно подключить как виртуальный CD/DVD-ROM для совершения установки с него, без необходимости записи на физический носитель.
ISO образ можно записать на USB-flash накопитель и произвести установку с него. Для уточнения инструкций, обратитесь к соответствующей статье (kb.kerio.com/928) в нашей базе знаний.

Установка VMware Virtual Appliance

Для установки Kerio Control VMware Virtual Appliance на различные средства виртуализации от компании VMware, используйте соответствующий вариант дистрибутива Kerio Control VMware Virtual Appliance:

Для VMware Server, Workstation, Player, Fusion используйте заархивированный(*.zip) VMX файл:

Установка виртуального модуля в VMware player

Для VMware ESX/ESXi/vSphere Hypervisor используйте специальную OVF-ссылку для импорта виртуального модуля, имеющую вид:

http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf

VMware ESX/ESXi автоматически загрузит OVF-конфигурационный файл и соответствующий ему образ виртуального жёсткого диска (.vmdk)
При использовании OVF формата необходимо учитывать следующие аспекты:

В виртуальном модуле Kerio Control синхронизация времени с сервером виртуализации отключена. Однако Kerio Control обладает встроенными инструментами синхронизации времени с публичными сетевыми источниками времени Интернета. Таким образом, использование синхронизации между виртуальной машиной и сервером виртуализации необязательно.
Задачи «отключения» и «перезапуска» виртуальной машины будут выставлены в значения «по умолчанию». Возможность установления этих значений в режим «принудительного» отключения и «принудительного» перезапуска сохранена, однако данные варианты отключения и перезапуска могут стать причинами потери данных в виртуальном модуле Kerio Control. Виртуальный модуль Kerio Control поддерживает т.н. «мягкое» отключение и «мягкую» перезагрузку, позволяющие выключить или перезагрузить гостевую ОС правильным образом, поэтому рекомендуется использовать значения по умолчанию.

Установка виртуального модуля (ovf) в VMware vSphere

Установка Virtual Appliance для Hyper-V

Загрузите заархивированный (*.zip) дистрибутив, распакуйте его в нужную папку.
Создайте новую виртуальную машину, выберите опцию «Использовать имеющийся виртуальный жёсткий диск», указав в качестве образа диска файл, распакованный из загруженного архива

Установка виртуального модуля в MS Hyper-V

Следующим важным моментом подготовки к переходу на Appliance платформу, является корректная настройка сетевых интерфейсов на выбранной Appliance платформе.

Настройка сетевых интерфейсов в Software Appliance

В псевдографическом интерфейсе Kerio Control Software Appliance доступны возможности настройки IP адреса/множества адресов в статическом или динамическом режиме, создание VLAN интерфейсов и возможность настройки интерфейса в режиме PPPoE.

Примечание: Первоначальная настройка сетевых интерфейсов в самом дистрибутиве Kerio Control Software Appliance идентична для всех сборок Kerio Control Appliance, отличия есть только при настройке виртуальных сетевых интерфейсов в различных средах виртуализации, где может применяться Kerio Control.

Подготовка виртуальных сетевых интерфейсов в Hyper-V

Для выполнения корректной и минимально необходимой настройки виртуального коммутатора Hyper-V вам потребуется выполнить следующие шаги:

Сопоставление физических и виртуальных сетевых интерфейсов

Проверка наличия службы виртуального моста на физических сетевых интерфейсах сервера

Для ознакомления с вариантом быстрой настройки сетевых интерфейсов Kerio Control Hyper-V virtual Appliance просмотрите следующий видео ролик:

Подготовка виртуальных сетевых интерфейсов в VMware vSphere

Примерно такая же цепочка действий и в случае с подготовкой виртуальных сетевых интерфейсов в vSphere.

Создание нескольких виртуальных коммутаторов, количество зависит от ваших потребностей в виртуальных сетевых коммуникациях.

Создание виртуального коммутатора в VMware vSphere

Добавление соответствующих физических сетевых интерфейсов к виртуальным коммутаторам, для возможности взаимодействия с ними физической ЛВС предприятия

Сопоставление созданных виртуальных коммутаторов с виртуальными сетевыми интерфейсами Kerio Control VMware Virtual Appliance

После того, как Appliance сборка была развёрнута и была произведена настройка сетевых интерфейсов, вы можете перейти к переносу основной пользовательской конфигурации с вашей Windows версии Kerio Control.
Сам процесс переноса конфигурации состоит из двух шагов:

Сохранение текущей конфигурации с использованием помощника конфигурирования

При выполнении сохранения конфигурации рекомендуется запомнить, а лучше выписать, MAC-адреса Ваших текущих сетевых интерфейсов и их соответствие используемым IP-адресам. Это понадобится при восстановлении конфигурации на новой установке Kerio Control Appliance.

Процесс сохранения конфигурации показан на приведённых ниже изображениях:

После этого шага вы сохранили архив, включающий в себя все файлы пользовательской конфигурации текущей версии Kerio Control.

Следующим шагом, является восстановление ранее сохранённой конфигурации на Appliance. При восстановлении конфигурации помощник конфигурирования предложит сопоставить конфигурацию старых сетевых интерфейсов с новыми, использующимися на сервере Kerio Control Appliance.

Примечание: Это именно тот момент, когда Вам понадобится информация о MAC и IP-адресах со старого сервера, которую Вы выписали или запомнили при сохранении конфигурации на старом.

Процесс восстановления конфигурации показан на приведённых ниже изображениях:

Для сохранения конфигурации сервер Kerio Control Appliance выполнит автоматическую перезагрузку, после чего его можно будет использовать.

И вот тут начинается самое интересное! То, что вы будете читать ниже, не описано ни в одной официальной, да и в неофициальной документации, т.е. тут будет помещено несколько приемлемых «лайв хаков», использование которых поможет вам в выполнении столь важного процесса, перехода на Appliance платформу Kerio Control.

И как обычно, прежде, чем мы перейдём с вами к непосредственному описанию, привычный «дисклэймер»:

ВАЖНО: Описанная ниже процедура не является документированной возможностью, поэтому во избежание нежелательных последствий, прежде, чем Вы начнёте выполнять перенос данных, создайте их полную резервную копию путём копирования данных на защищённое хранилище.

И так преступим! Для начала сохраним текущую базу протоколов приложения. Для этого надо сохранить файлы протоколов, которые располагаются по указанному пути

%programfiles%\kerio\winroute firewall\logs\*

Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить их резервную копию на доступное безопасное хранилище.

Затем, сохраняем текущую базу данных пользовательской статистики. Вся эта информация сосредоточена в файле базы данных firebird, располагающегося в папке

%programfiles%\kerio\winroute firewall\star\data\

Оттуда нам нужен лишь файл star.fdb . Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить резервную копию на доступное безопасное хранилище.

После того, как мы обнаружили и сохранили всю необходимую информацию, нам необходимо её перенести на новый сервер, работающий под управлением Kerio Control Appliance, для этого первое, что вам потребуется сделать для загрузки сохранённых ранее данных на Kerio Control Appliance, это включить SSH сервер для выполнения SFTP доступа. Для этого в веб-интерфейсе администрирования Kerio Control перейдите в меню Состояние -> Состояние системы , нажмите и держите клавишу “Shift” и щёлкните по кнопке «Действия ». В раскрывшемся списке выберите пункт «Включить SSH », подтвердите ваши действия, согласившись с вопросом в появившемся окне.

После этого необходимо удостовериться, что в правилах трафика Kerio Control Вы разрешили доступ к хосту Kerio Control Appliance по протоколу SSH из нужного Вам местоположения.

После того, как Вы включили SSH и разрешили соответствующий доступ, Вам необходимо выполнить подключение к серверу Kerio Control Appliance для загрузки на него необходимых данных протоколов и базы данных пользовательской статистики. Для этого мы будем использовать приложение WinSCP, которое позволяет выполнять подключения по протоколу SFTP.
Для подключения к серверу Kerio Control Appliance необходимо указать имя пользователя и пароль доступа, в качестве имени пользователя укажите имя “root” (без кавычек); в качестве пароля укажите пароль встроенной в Kerio Control учётной записи “Admin”.

Параметры sFTP подключения к серверу Kerio Control

После установления подключения необходимо разместить Ваши данные в определённых папках сервера. Файлы протоколов необходимо скопировать в папку /var/winroute/logs , а файл пользовательской статистики в папку /var/ winroute/star/data , при этом старые файлы необходимо либо удалить, либо переименовать.

Примечание: Лучше переименовать старые файлы, для сохранения резервной копии текущих данных. В случае файлов протоколов приложения переименовывать надо лишь старые файлы с расширением *.log

После того как копирование завершено, необходимо перезапустить службу Kerio Control. Для этого необходимо получить прямой доступ к серверу Kerio Control Appliance. В случае Software Appliance, доступ осуществляется через монитор и клавиатуру самого сервера, на котором установлен Kerio Control Software Appliance. В случае виртуального модуля Kerio Control, доступ осуществляется через консоль соответствующей среды виртуализации. Во всём остальном действия будут одинаковы.

Для перехода из псевдографической консоли к интерфейсу командной строки, нажмите комбинацию клавиш “Alt-F2”. В приглашении на введение имени пользователя укажите имя “root” (без кавычек), нажмите “enter”, в поле пароль введите пароль встроенной в Kerio Control учётной записи «Admin».

Примечание: необходимо учесть, что в ОС семейства Linux введение пароля не отображается даже значками астериска, и если Вы допустили ошибку, исправить её будет нельзя - придётся вводить пароль заново.

В приглашении на ввод команды введите следующее:

/etc/boxinit.d/60winroute restart

Эта команда выполнит перезапуск демона (службы) Kerio Control, после чего Kerio Control «подцепит» скопированные ранее данные протоколов приложения и пользовательской статистики.

После старта демона Kerio Control, необходимо проверить целостность перенесённых данных, для этого можно воспользоваться веб-интерфейсом пользовательской статистики и/или веб-интерфейсом администрирования приложения Kerio Control.

Если со всеми данными всё в порядке, то можно считать переход на новую платформу Kerio Control Appliance завершённым и осталось лишь выполнить штатную процедуру обновления Kerio Control до актуальной на текущий момент версии. Если же с какой-то частью данных «не всё в порядке», то есть два варианта:
1) удостовериться, что данные взятые с исходного сервера Kerio Control (KWF) были изначально в порядке;)
2) если с исходными данными всё ок, то необходимо повторить процедуру переноса той части данных с которыми были проблемы.
3) если решения из пп. 1 и 2 не помогли, то оставьте тут комментарий, попробуем разобраться вместе:)

Теперь, когда все важные данные на своих местах, можно «подтянуть» версию Kerio Control Appliance до актуальной. Штатный процесс обновления может проходить двумя способами, в автоматическом и ручном режимах.

Автоматический режим обновления версии.

Kerio Control может выполнять автоматическую проверку наличия новых версий на сайте обновления компании Kerio.

Дополнительные опции », во вкладку «Проверка обновлений »
Включите опцию «Периодически проверять наличие новых версий ». Kerio Control будет проверять наличие новых версий каждые 24 часа. Как только будет установлено наличие новой версии, на вкладке «Проверка обновлений » будет отображена ссылка для загрузки обновления. Для того чтобы проверить наличие обновления незамедлительно, щёлкните по кнопке «Проверить сейчас »
Если Вы хотите загружать обновлённые версии сразу же после их обнаружения, включите опцию «Загружать новые версии автоматически ». Как только новая версия будет загружена, Вы получите соответствующее уведомление в веб-интерфейсе администрирования.
После загрузки обновления нажмите кнопку «Обновить сейчас »
Подтвердите Ваше намерение произвести обновление и выполнить последующую автоматическую перезагрузку Kerio Control
Дождитесь завершения установки новой версии и перезагрузки Kerio Control.
Обновление завершено.

Ручной режим обновления версии.

Данный режим обновления может быть полезен при следующих обстоятельствах:

Откат на предыдущую версию Kerio Control
Обновление на промежуточную или не очередную версию (например, закрытый Beta релиз).
Обновление шлюза при наличии максимальных ограничений для МСЭ на доступ к ресурсам сети Интернет.

Для выполнения обновления в ручном режиме Вам необходимо загрузить специальный образ (Upgrade Image) со страницы загрузки Kerio Control (http://www.kerio.ru/support/kerio-control).

После загрузки выполните следующие шаги:

В веб-интерфейсе администрирования перейдите в пункт меню «Дополнительные опции », во вкладку «Проверка обновлений »
Щёлкните по кнопку «Выбор »
Укажите местоположение файла образа обновления (kerio-control-upgrade.img)
Щёлкните по кнопке «Загрузить файл обновления версии »
После загрузки щёлкните по кнопке «Начать обновление версии »
Дождитесь обновления версии и перезагрузки Kerio Control
Обновление завершено.

Вуаля, у вас полноценный интернет шлюз на базе Kerio Control Appliance! Поздравляем вас с завершением процесса перехода на UTM Kerio Control!

Только зарегистрированные пользователи могут участвовать в опросе.

Максим Афанасьев

Начиная с 1997 года компания Kerio Technologies разрабатывает и выпускает уникальные программные решения в области компьютерной безопасности для защиты внутренних сетей компаний от атак извне и создает системы для совместной работы и электронных коммуникаций. Продукты от Kerio Technologies ориентированы на средний и малый бизнес, но с успехом могут использоваться и в крупных компаниях. Стоит отметить, что программное обеспечение разрабатывается с учетом мировых тенденций в области защиты информации, а сама компания является новатором в этой области.

Прототипом программного комплекса Kerio Control, о котором пойдет речь в этой статье, был программный шлюз Winroute Pro, первая версия которого была выпущена в 1997 году. Программное обеспечение Winroute Pro представляло собой усовершенствованный прокси-сервер, предназначенный для обеспечения доступа локальных компьютеров в Интернет через один внешний интернет-канал. Этот продукт практически сразу приобрел популярность и довольно быстро стал конкурентом одного из самых распространенных на тот момент прокси-серверов WinGate. Уже тогда продукты компании Kerio отличались понятным интерфейсом и удобной настройкой, а также, что немаловажно, надежностью и безопасностью. С тех пор Kerio Winroute постоянно модернизировался, в него было добавлено множество полезных функций и возможностей. В начале своего пути он назывался Winroute Pro, затем название было изменено на Winroute Firewall, а начиная с 7-й версии продукт получил свое нынешнее название - Kerio Control.

Компания Kerio достаточно быстро осознала возможности виртуализации и встала на путь максимальной интеграции с виртуальными средами, которые сегодня активно развиваются благодаря появлению многоядерных процессоров и существенному прогрессу в области ИT. Все новые продукты Kerio теперь выпускаются для сред виртуализации VMware и Hyper-V, что позволяет разворачивать это программное обеспечение на любых платформах и переносить продукт без необходимости его переустановки на новую аппаратную платформу. Кроме того, такой подход предлагает сетевым администраторам компаний возможность более широкого выбора при построении сетевой инфраструктуры. Первоначально продукты Kerio поставлялись в виде приложения Windows, но после появления версии для систем виртуализации компания решила полностью абстрагироваться от операционной системы и более не выпускать Kerio Control как отдельное приложение. Начиная с 8-й версии Kerio Control поставляется только в трех вариантах: Software Appliance, VMware Virtual Appliance и Hyper-V Virtual Appliance. Во всех вариантах применяется модернизированная операционная система Linux на базе Debian (используется SMP-версия с урезанным функционалом), которая не требует дополнительной длительной настойки и обслуживания. Вариант Software Appliance межсетевого экрана представлен в виде ISO-образа размером чуть более 250 Мбайт и легко устанавливается на выделенном оборудовании, не требуя при этом установки операционной системы. Вариант VMware Virtual Appliance поставляется в виде пакетов OVF и VMX для среды VMware, а Hyper-V Virtual Appliance предназначен для систем виртуализации от Microsoft, при этом все они представляют собой уже развернутую систему с настраиваемыми параметрами. Как заявляет разработчик, OVF-версия этого программного обеспечения, в принципе, может быть установлена и на другие системы виртуализации. Подобный подход позволяет более гибко подходить к реализации сети компании и отказаться от применения аппаратных решений, которые зачастую не могут быть модернизированы в аппаратной части, так как это требует существенных затрат, либо их возможности жестко ограничены.

Рассмотрим основные возможности программного обеспечения Kerio Control, а также ряд нововведений, отсутствовавших в предыдущих версиях. Напомним, что впервые 8-я версия Kerio Control была выпущена в марте этого года. На момент написания статьи помимо небольшого обновления компания Kerio выпустила в июне обновление Kerio Control 8.1, которое также привнесло некоторые дополнительные функциональные возможности.

Установка Kerio Control может производиться как с помощью Software Appliance, то есть развертывания системы с отдельного ISO-образа, так и посредством инициализации виртуальный машины на сервере виртуализации. Последний способ предполагает несколько путей установки, среди которых - возможность автоматической загрузки последней версии Kerio Control с сайта производителя через Vmware VA Marketplace. При установке с ISO-образа все шаги по развертыванию Kerio Control заключаются в ответах администратора на несколько простых вопросов мастера установочного процесса. Инициализация виртуальной машины Kerio Control позволяет пропустить основной этап установки, а администратору требуется только задать первоначальные параметры виртуальной машины: количество процессоров, объем оперативной памяти, количество сетевых адаптеров и размер дисковой подсистемы. В базовой версии виртуальная машина Kerio Control имеет самые минимальные параметры, однако для выполнения дальнейшего администрирования необходим как минимум один сетевой адаптер указанный в свойствах машины.

После установки системы тем или иным способом и успешной инициализации Kerio Control пользователю будет доступна базовая настройка сетевой конфигурации через консоль управления (рис. 1). По умолчанию сетевые адаптеры, подключенные к Kerio Control, пытаются получить IP-адреса с помощью DHCP. Если получение IP-адресов прошло успешно, администратор может подключиться к Kerio Control через локальную сеть, введя отображенный в консоли управления IP-адрес. Базовая консоль управления позволяет настроить сетевые настройки адаптеров, сбросить Kerio Control на базовые параметры, перегрузить или выключить Kerio Control. Стоит отметить, что при необходимости возможен выход в полноценную командную оболочку bash операционной системы путем нажатия сочетания клавиш Alt + F2-F3. Для входа в систему потребуется ввести логин root и пароль администратора, заданный при установке Kerio Control. Дополнительная отладочная информация может быть вызвана посредством нажатия сочетания клавиш Alt + F4-F5. Дальнейшая настройка параметров происходит через вебконсоль администрирования по шифрованному каналу SSL.

Рис. 1. Консоль управления

Все параметры можно установить посредством панели управления, которая работает через защищенный вебинтерфейс (рис. 2). Работа с таким интерфейсом осуществляется через защищенный протокол HTTPS/SSL. Консоль администрирования позволяет управлять всеми настройками межсетевого экрана. По сравнению с предыдущими версиями, основанными на 7-й версии Kerio Control, дизайн этой панели управления претерпел существенные изменения. Так, первая страница панели управления имеет плиточный настраиваемый интерфейс («Панель мониторинга»), в который можно добавлять или удалять необходимые элементы для быстрой диагностики состояния Kerio Control. Это очень удобно, поскольку администратор сразу видит загрузку каналов связи, активность пользователей, состояние системы, VPN-подключения и т.д.

Рис. 2. Панель управления

В обновленную версию Kerio Control 8.1 добавлены следующие опции: сохранение конфигурации и настроек в облачном сервисе Samepage.io в автоматическом режиме, мониторинг параметров посредством протокола SNMP, возможность использования инструментов отладки Ping, Traceroute, DNS Lookup, Whois от имени шлюза Kerio Control в вебинтерфейсе администрирования. Кроме того, теперь Kerio Control поддерживает регулярные выражения для URL-адресов, автоматическое поднятие VPN-туннелей, защиту от перебора паролей и более расширенные возможности по анализу пакетов. Необходимо также отметить, что в последней версии Kerio Control Software Appliance добавлена поддержка большего количества RAID-контроллеров, что позволит расширить возможности по развертыванию этой системы на отдельных аппаратных платформах.

Веб-интерфейс управления Kerio Control имеет не только административную панель, но и отдельный пользовательский интерфейс (рис. 3). Административная панель не имеет возможности чтото изменять в Kerio Control, но позволяет отслеживать статистику пользователей или пользователя в течение различных промежутков времени. Статистика предоставляет данные о посещаемых ресурсах, объеме переданных данных и прочей информации. Если пользователь имеет административный аккаунт в системе Kerio Control, он может получать статистические данные и о других пользователях системы через эту панель управления. Точная и продуманная статистика помогает администратору выяснить предпочтения пользователей при работе в Интернете, находить критические элементы и проблемы. Панель формирует подробную гистограмму использования трафика для каждого пользователя в сети. Администратор может выбрать период, за который он хочет отследить использование трафика: два часа, день, неделя и месяц. Кроме того, Kerio Control показывает статистику фактического использования трафика по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

Рис. 3. Панель пользователя

Для современной компании, филиалы которой могут быть расположены по всему миру, защищенное подключение к корпоративной сети является необходимым условием, поскольку сегодня активно развит аутсорсинг. С помощью Kerio Control установка виртуальной частной сети практически не требует усилий. Сервер и клиенты VPN являются составляющей частью возможностей Kerio Control по безопасному удаленному доступу к корпоративной сети. Использование виртуальной сети Kerio VPN позволяет пользователям удаленно подключаться к любым ресурсам корпоративной сети и работать с сетью организации, как будто это их собственная локальная сеть. Встроенный в продукт Kerio Control сервер VPN позволяет организовать VPN-сети по двум различным сценариям: «сервер - сервер» и «клиент - сервер» (используется Kerio VPN Client для Windows, Mac и Linux). Режим «сервер - сервер» применяется компаниями, которые желают подключить по защищенному каналу удаленный офис для совместного использования общих ресурсов. Данный сценарий требует наличия Kerio Control на каждой из соединяющихся сторон для установки защищенного канала через открытую сеть Интернет. Режим «клиент - сервер» позволяет удаленному пользователю безопасно подключить к корпоративной сети ноутбук или домашний компьютер. Как известно многим системным администраторам, протоколы VPN и NAT (трансляция сетевых адресов) не всегда поддерживают совместную работу. Решение Kerio VPN создано с целью надежной работы через NAT и даже через ряд шлюзов NAT. Kerio VPN применяет стандартные алгоритмы шифрования SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP), а также поддерживает IPSec.

Шлюз Kerio Control имеет встроенную защиту от вирусов, которая обеспечивается путем проверки как входящего, так и исходящего трафика. Если ранее в Kerio Control применялся встроенный антивирус от компании McAfee, то в последних версиях используется антивирус фирмы Sophos. Администратор может устанавливать правила проверки для трафика по различным протоколам: SMTP и POP3, WEB (HTTP) и пересылку файлов (FTP). Встроенный в брандмауэр антивирус, установленный на шлюзе, обеспечивает полную защиту проходящего через шлюз трафика. Поскольку интегрированный антивирус может получать обновления с новыми базами вирусов в реальном времени, это значительно повышает уровень безопасности сети, наряду с применением антивирусных программ на каждом компьютере локальной сети. Антивирус проверяет входящие и исходящие сообщения, а также все вложения. При обнаружении вируса во вложении удаляется всё вложение, а к письму добавляется уведомление. Кроме того, Kerio Control проверяет весь сетевой трафик, включая HTML-страницы, на встроенные вирусы. На вирусы также проверяются файлы, загруженные через HTTP, и файлы, переданные по FTP-протоколу. Кроме того, следует отметить, что для организаций и таких учреждений, как, например, школы, которые не хотят, чтобы их сотрудники и клиенты посещали определенные страницы, Kerio Control со встроенным фильтром Kerio Control Web Filter (поставляется как опция за дополнительную плату) предоставляет дополнительные возможности по блокированию страниц в Интернете.

Kerio Control позволяет администраторам не только создавать общую стратегию использования трафика, но и устанавливать и применять ограничения для каждого пользователя. Перед тем как получить доступ в Интернет, каждый пользователь должен авторизоваться в Kerio Control. Учетные записи пользователей хранятся в отдельной внутренней базе данных пользователей либо берутся из корпоративной базы Microsoft Active Directory или Apple Open Directory. Возможно параллельное использование как локальной, так и доменной баз пользователей. В случае использования интеграции с Microsoft Active Directory авторизация клиентов может происходить прозрачно для пользователей домена за счет NTLM-аутентификации. Являясь частью Windows 2008/2012 Server, Active Directory позволяет администраторам централизованно управлять учетными записями пользователей и данными о сетевых ресурсах. Active Directory обеспечивает доступ к информации о пользователях с одного компьютера. Поддержка Active Directory/Open Directory открывает Kerio Control доступ к базе данных пользователей в режиме реального времени и позволяет устанавливать пользователя в локальной сети без сохранения пароля. Таким образом, не нужно синхронизировать пароли для каждого пользователя. Все изменения в Microsoft Active Directory/Open Directory автоматически отражаются и в Kerio Control.

Администратор может установить различные ограничения на права доступа для каждого пользователя. Действие этих правил можно задать для определенных промежутков времени и установить различные ограничения на использование трафика. Когда предел достигнут, Kerio Control отправляет по электронной почте предупреждение пользователю и администратору либо администратор блокирует этого пользователя до конца дня либо месяца.

В заключение стоит отметить, что Kerio Control является весьма популярным продуктом среди системных администраторов благодаря его неоспоримым преимуществам, которые он имеет по сравнению, например, с аналогичными решениями, входящими в стандартный пакет операционных систем на базе Linux (к примеру, iptables). Быстрая настройка, широкие возможности и высокая степень защиты - всё это делает данный программный продукт привлекательным для небольших компаний.

Анонсировала выпуск обновленной версии своего флагманского продукта - межсетевого экрана Kerio Control. Новая версия 9.1 получила ряд усовершенствований и новых возможностей. Наверное, главной особенностью данного релиза стала функция автоматического обновления межсетевого экрана. Это позволяет автоматизировать процесс развертывания новой версии в уже имеющейся сетевой инфраструктуре. Кроме того, инженеры компании дополнили свое комплексное решение в области сетевой безопасности для малых и средних компаний некоторыми новыми возможностями, среди которых - контроль приложений и безопасная фильтрация контента. Отметим, что основной релиз Kerio Control 9.0 состоялся в конце прошлого года. Девятая по счету версия межсетевого экрана привнесла в продукт функции Shared definitions в MyKerio, защиту от атак типа «отказ в обслуживании», двухфакторную авторизацию для сервиса MyKerio и многое другое. Но обо всем по порядку.

Если говорить о панели управления новой версии, то можно заметить несколько улучшений, которые касаются иконок и расположения плиток. Как и всегда, администратор может изменить их расположение и подобрать оптимальный, с его точки зрения, вид интерфейса.

Отметим, что при первичной установке системы на компьютер или виртуальную машину пользователю по умолчанию предлагается добавить новый Kerio Control в сервис MyKerio для последующего удаленного управления им.

Впоследствии администратор может активировать работу сервиса MyKerio на межсетевом экране из отдельного меню «Удаленные службы».

Напомним, что сервис MyKerio появился у продуктов Kerio не так давно, но уже сейчас понятно, что эта возможность очень удобна для работы с несколькими межсетевыми экранами и продуктами Kerio. Стоит отметить, что кроме добавления межсетевого экрана из панели администратора существует возможность подключить Kerio Control по его серийному номеру и номеру лицензии. Этот сервис поддерживает двухфакторную авторизацию с помощью таких популярных приложений, как Google Authenticator и FreeOTP Authenticator для повышения уровня безопасности облачного централизованного web-интерфейса, что позволяет IT-администраторам настроить в качестве дополнительной формы проверки подлинности код из шести цифр с синхронизацией по времени. Владельцы предприятия могут быть уверены, что сетевая безопасность будет сохранена даже в таком маловероятном случае, когда пароли окажутся в чужих руках.

Сервис MyKerio позволяет удаленно управлять межсетевыми экранами Kerio Control и, что немаловажно, переносить часть настроек с одного на другой. Так администраторам доступна функция переноса групп URL, диапазонов IP-адресов и временных интервалов. Все эти возможности в сервисе управления имеют название «Shared definitions» и, вполне возможно, в следующих версиях Kerio Control их список будет расширен. Для оперативного устранения проблем и информирования администраторов на основном экране отображаются важные уведомления о работе подключенного межсетевого экрана.

Что же касается обновленной версии Kerio Control 9.1, то в нее была добавлена возможность автоматического создания резервных копий настроек Kerio. Если ранее резервные копии настроек можно было загружать на сервис Samepage.io или на FTP, то теперь эта функция доступна только для FTP и сервиса MyKerio. Централизованное хранилище настроек позволяет существенно упростить развертывание Kerio Control на ПК и виртуальных машинах после возможных сбоев или при установке межсетевого экрана с чистого листа.

В новой версии Kerio Control 9.1 также предлагается приложение MyKerio для iPhone и Apple Watch, обеспечивающее мониторинг и уведомления в реальном времени для всех подключенных устройств. При изменении состояния немедленно подается уведомление, что позволяет быстро устранить любые проблемы.

Наверное, одной из самых важных особенностей этого выпуска Kerio Control стала возможность автоматического обновления межсетевого экрана. При включении в сеть устройства Kerio Control оно самостоятельно и немедленно устанавливает обновленную версию управляющей программы и начинает защищать сеть, пользователей и активы.

Кроме самого автоматического обновления, администраторам доступна возможность изменять интервалы обновлений. К примеру, по умолчанию обновления будут приходить только в выходные дни.

При желании можно настроить любые временные интервалы, которые впоследствии можно синхронизировать с другими продуктами Kerio через сервис MyKerio. Эта облачная технология, позволяющая автоматизировать данный процесс, особенно актуальна при работе с несколькими устройствами с установленными продуктами Kerio.

Выводы

Как и всегда, компания Kerio старается максимально упростить работу системных администраторов и в то же время обеспечить высочайшую защиту посредством своего межсетевого экрана Kerio Control. Обновленная версия, безусловно, привнесла одну из самых ожидаемых функций по автоматическому обновлению этой системы, поэтому можно не сомневаться, что она будет востребована конечными пользователями. Будем надеяться, что выпуск приложения по удаленному управлению MyKerio для устройств на базе Android не заставит себя ждать, ведь в век Интернета эта возможность всегда окажется кстати. Последнюю версию Kerio Control, как всегда, можно скачать на официальном сайте компании.

Путь к архиву показан на нижеследующих изображениях:

Видео ролик штатного процесса обновления: