Kerio WinRoute Firewall - защита корпоративной сетиАвтор: Марат Давлетханов
Опубликовано: 29.04.2010
Источник: SoftKey.info 
Наверное, сегодня уже никого не нужно убеждать в необходимости обеспечения безопасности корпоративной информационной системы от внешних угроз, в особенности от хакеров и всевозможного вредоносного программного обеспечения. Оптимальным вариантом решения этой задачи является организация комплексной системы защиты, которая блокирует опасности на входе локальной сети. Такой подход гораздо надежнее, чем вариант с использованием только лишь персональных брандмауэров. Кроме того, он удобнее для конечных пользователей, поскольку позволяет им спокойно работать и меньше отвлекаться. Одним из самых известных на российском рынке продуктов, позволяющих реализовать такой подход, является Kerio WinRoute Firewall.
Защита от угроз
В Kerio WinRoute Firewall реализован целый ряд инструментов, которые обеспечивают безопасность корпоративной сети от внешних угроз. Первым из них, безусловно, является антивирусная защита. Она автоматически проверяет входящий и исходящий трафик, обнаруживает в нем все типы вредоносного ПО (вирусы, троянские кони, шпионские утилиты и прочее) и блокирует их. Стоит отметить, что антивирусная защита распространяется на все основные протоколы: HTTP, FTP, POP3 и SMTP. Это позволяет обеспечить безопасность при работе сотрудников компании с электронной почтой, посещении ими веб-сайтов, а также загрузке из Интернета различных файлов.
Тут надо отметить один момент. У Kerio WinRoute Firewall есть две версии. В первой из них есть встроенный антивирусный модуль, в качестве которого используется сканер McAfee с регулярным обновлением баз данных. Второй вариант выпускается без антивируса. В этом случае необходимо приобрести и использовать другие антивирусные продукты, в частности Dr.Web, NOD32, Avast и так далее. Кроме того, можно применять двойную защиту. В этом случае нужно взять Kerio WinRoute Firewall с McAfee и дополнительно любой другой антивирус. При этом трафик будет проверяться дважды последовательно разными модулями.
Следующий важный инструмент по обеспечению безопасности - файрвол, работающий на уровне приложений. Он позволяет создавать гибкие правила, обеспечивающие безопасное использование Интернета. В нем реализовано все необходимое для контроля над передачей сетевых пакетов различными программами, использующимися сотрудниками на своих рабочих станциях.
Еще одним модулем защиты, реализованным в Kerio WinRoute Firewall, является блокировщик P2P. В последнее время увлечение файлообменными сетями приобрело поистине повальный характер, а поэтому компаниям приходится всерьез задуматься о защите от них. Дело в том, что P2P - прямая угроза корпоративной информационной безопасности. Во-первых, очень часто сотрудники загружают оттуда вредоносное ПО (оно может распространяться под видом полезных утилит, игр, видеороликов и прочего). Во-вторых, при их использовании существует риск утечки информации, в том числе и коммерческой, с рабочих станций. Именно поэтому в Kerio WinRoute Firewall для защиты от P2P реализован специальный модуль. Он может выявить использование разных типов файлообменных сетей на основе анализа нагрузки на сеть и пользовательской активности и заблокировать их. Важным преимуществом данного модуля является то, что он способен обнаруживать многие методы сокрытия P2P, например туннелирование шифрованного трафика через HTTP-порт.
Последним инструментом защиты в Kerio WinRoute Firewall является полноценный VPN-сервер. Понятно, что он нужен не всем компаниям. Но если у предприятия есть несколько филиалов или же удаленные сотрудники (в том числе и находящиеся в командировке), то представить себе их доступ в корпоративную ИС без VPN трудновато.
Рассматриваемый VPN-сервер обладает двумя ключевыми особенностями. Во-первых, он крайне прост в настройке и эксплуатации. Достигается это за счет удобного и понятного интерфейса, а также поддержки технологии NAT. Во-вторых, он универсален. Данный VPN-сервер может использоваться как для связи "сервер - сервер" (например, при объединении корпоративных сетей удаленных офисов), так и для связи "клиент - сервер" (для подключения к локальной сети отдельных компьютеров по проводным или беспроводным каналам связи).
Доступ в Интернет
Одной из ключевых особенностей Kerio WinRoute Firewal является интегрированный в данный продукт прокси-сервер. Что это значит? А то, что с помощью Kerio WinRoute Firewal можно не только защитить корпоративную сеть от внешних угроз, но и "раздать" Интернет сотрудникам. Таким образом, приобретая данный продукт, компания получает неплохую экономию за счет отсутствия необходимости покупки отдельного прокси-сервера. Но это еще не все. Прокси-сервер в Kerio WinRoute Firewal тесно интегрирован с файрволом и всей защитой в целом, что увеличивает надежность системы безопасности и упрощает настройку и обслуживание ИС предприятия.
Прокси-сервер в Kerio WinRoute Firewal обладает всеми необходимыми возможностями. В нем реализованы такие технологии, как DHCP, NAT и переадресация DNS-запросов, что позволяет просто и быстро настроить общий доступ к глобальной сети для всех сотрудников компании. Кроме того, в рассматриваемом продукте реализована поддержка VoIP, что позволяет использовать его вместе с системами IP-телефонии.
Важной особенностью Kerio WinRoute Firewal являются широкие возможности по управлению пользователями, которое может осуществляться как на уровне групп, так и на уровне отдельных записей. В первую очередь это касается процедуры аутентификации. В рассматриваемом продукте реализовано два ее способа. Первый - использование собственной базы данных пользователей, а второй - интеграция с Active Directory. Причем одновременно могут использоваться оба варианта. То есть одни пользователи могут находиться в своей базе, а другие - импортироваться из AD.
Естественно, в Kerio WinRoute Firewal есть возможность тонкой настройки прав пользователей на использование различных портов и протоколов. Кому-то из сотрудников можно разрешить только чтение электронной почты, а другим - полную работу в Интернете. При этом может использоваться целый ряд дополнительных инструментов. В первую очередь это фильтр веб-контента. С его помощью можно запретить доступ пользователям к определенным категориям сайтов. Например, заблокировать развлекательные проекты, проекты "для взрослых", анонимные прокси-серверы, чаты, социальные сети, юмористические проекты и тому подобное. С одной стороны, это позволяет увеличить степень безопасности информационной системы, поскольку сайты определенных категорий часто становятся источником распространения вредоносного ПО. А с другой - повысить работоспособность сотрудников (ведь ни для кого не секрет, что многие офисные работники много времени тратят на общение в "Одноклассниках" и прочих подобных проектах).
Другой важной особенностью Kerio WinRoute Firewal является возможность гибкого управления загрузкой интернет-канала. Достигается это за счет использования сразу же нескольких инструментов. Первый из них - распределение нагрузки на несколько каналов. Особенно большую роль он играет при использовании сетевых приложений с интенсивным обменом трафиком, например IP-телефонии. Суть распределения очень проста. Когда один канал "забивается", часть нагрузки переносится на резервную линию связи. Естественно, это работает, если у компании есть несколько подключений к Интернету. Кстати, резервный канал может работать не только для разгрузки основного, но и по своему прямому назначению. Kerio WinRoute Firewal может автоматически переключаться на его использование при недоступности главного. Кстати, в качестве резервного может использоваться практически любой канал связи, включая мобильные и диалап-подключения.
Другим инструментом управления загрузкой интернет-канала является система ограничения пропускной полосы для разных пользователей. В ней реализован целый ряд возможностей. Так, например, можно устанавливать для пользователей дневную и месячную квоты на входящий или исходящий трафик. А если кто-то из сотрудников превысит любую из них, то его скорость будет лимитирована. Помимо этого можно устанавливать ограничения, связанные со временем суток, протоколами, IP-адресами и пр. То есть гибко настраивать работу пользователей, не позволяя ненужному трафику нагружать канал и вызывать проблемы в работе критически важных сетевых приложений.
Kerio WinRoute Firewal: ПО, виртуальный образ или готовый шлюз?
Еще одной особенностью продукта Kerio WinRoute Firewal является наличие у него нескольких версий. Причем они отличаются друг от друга не функциональными возможностями, а самим принципом использования. Первая версия представляет собой обычную программу, которая устанавливается на интернет-шлюз, работающий под управлением ОС Windows (в том числе поддерживается и Windows 7).
Вторая версия - Kerio WinRoute Firewall Software Appliance. Это полностью готовый к установке интернет-шлюз, включающий в себя операционную систему (в ее качестве выступает 32-битный Linux 2.6). Ее дистрибутив представляет собой ISO-образ, который можно записать на диск и установить ПО прямо на "голое железо".
Последняя версия рассматриваемого продукта - Kerio WinRoute Firewall VMware Virtual Appliance. Как видно из ее названия, она предназначена для использования вместе с технологиями виртуализации. |
