XI. GIỚI THIỆU MỘT SỐ PHẦN MỀ M ỨNG DỤNG
2. Kerio Winroute Firewall 6
Kerio WinRoute Firewall 6 là phần mềm tường lửa chuyên dụng. Kerio có tất cả chức năng mà bạn cần đến nhưng hoạt động nhanh hơn các chương trình tường lửa khác như ZoneAlarm rất nhiều.
Kerio WinRoute Firewall 6 đặt ra các tiêu chuẩn mới trong kiểm soát truy
cập linh hoạt, an ninh và người sử dụng. Được thiết kế cho các mạng doanh nghiệp, bảo vệ chống lại các cuộc tấn công bên ngoài và virus và có thể hạn chế
truy cập đến các trang web dựa trên nội dung của họ.
Sâu kiểm tra tường lửa Kerio WinRoute Firewall 6, có xác nhận của ICSA Labs trong thể loại tường lửa doanh nghiệp, bao gồm định nghĩa quy tắc chi tiết để thực hiện thanh tra giao thức stateful và kiểm tra tất cả lưu lượng Internet đi và đến. Một mạng lưới quy tắc hướng dẫn hỗ trợ trong việc thiết lập nhanh chóng của tường lửa. ...
VPN, VPN Client & Kerio SSL VPN tích hợp trong máy chủ SSL VPN dựa trên hoạt động trong cả hai máy khách-máy chủ và chế độ máy chủ đến máy chủ, cho phép cả hai văn phòng chi nhánh và công nhân từ xa để kết nối bảo mật cho mạng LAN của công ty. Clientless SSL VPN cho phép người dùng từ xa kết nối an toàn với mạng công ty để chia sẻ tập tin từ bất kỳ máy tính nào với một trình duyệt và kết nối Internet Tìm hiểu thêm ...
Anti-virus cổng bảo vệ Kerio WinRoute Firewall 6 cung cấp cho virus tuỳ chọn quét email trong và ngoài nước, lưu lượng truy cập web, và chuyển giao FTP. Ngoài ra một phiên bản tích hợp với McAfee Anti-Virus, có một số khác chống virus tuỳ chọn để lựa chọn. ...
Lướt bảo vệ Kerio tích hợp tuỳ chọn Web Filter sẽ khoá người sử dụng truy cập lên đến 53 chuyên mục của nội dung trang web, giảm trách nhiệm pháp lý cho môi trường doanh nghiệp và giáo dục. ...
Nội dung lọc Kerio WinRoute Firewall 6 cung cấp một loạt các tính năng bảo mật nội dung như MP3 music download chặn, lọc cho các tập tin thực thi có khả năng gây nguy hiểm hoặc ngăn chặn các cửa sổ pop-up gây phiền nhiễu. The P2P eliminator tự động phát hiện và khối peer-to-peer mạng như Kazaa.Tìm hiểu thêm ...
Điều đó cho phép cho an ninh và chính sách hạn chế truy cập sẽ được áp dụng dựa trên người sử dụng cụ thể, chứ không phải là địa chỉ IP. Transparent hỗ trợ Active Directory đơn giản hoá việc lập bản đồ tài khoản người dùng vào các tên miền Windows, và một tính năng tự động tiện ích cho phép tạo ra các chính sách cụ thể người sử dụng trước khi người dùng xác thực. Tìm hiểu thêm ...
Chia sẻ Internet nhanh Hỗ trợ cho DSL, modem cáp, ISDN, vệ tinh, dial-up hoặc Internet không dây cho phép quản trị viên để triển khai Kerio WinRoute Firewall 6 trong mạng lưới của tất cả các kích cỡ và trong tất cả các địa điểm. Người dùng có thể chia sẻ một kết nối Internet với thất bại trên một kết nối sao lưu. Quản trị viên có thể sử dụng giới hạn băng thông để tối ưu hoá thông lượng dữ liệu cho các ứng dụng kinh doanh quan trọng. ...
VoIP và hỗ trợ UPnP Kerio WinRoute Firewall 6 cho phép các giao thức H.323 và SIP để kết nối thông qua nó, loại bỏ sự cần thiết phải công khai tiếp xúc với các cơ sở hạ tầng VoIP đến Internet. Ngoài ra, nó tích hợp công nghệ UPnP để các ứng dụng phù hợp chẳng hạn như MSN Messenger chạy ngay lập tức mà không cần thêm cấu hình tường lửa . ...
Internet báo cáo giám sát Web dựa trên việc sử dụng Internet để giúp người sử dụng lao động và các vấn đề tại chỗ các quản trị viên, quản lý suất của nhân viên và ngăn chặn trách nhiệm pháp lý.
Kerio WinRoute Firewall 6 - Phần mềm tường lửa
Hướng dẫn kỹ thuật cho phần mềm Kerio WinRoute Firewall 6 - Phần mềm tường lửa:
Kerio WinRoute Firewall 6 kiểm soát là một bức tường lửa UTM chiến thắng
giải thưởng thiết kế để bảo vệ các doanh nghiệp vừa và nhỏ từ một phạm vi toàn diện các mối đe doạ xâm lấn và làm tê liệt mạng công ty.
Kerio WinRoute Firewall 6 kiểm soát của lớp tự động cập nhật bảo mật phát
hiện và ngăn chặn các mối đe doạ đang nổi lên tự động trong khi cung cấp quản trị mạng với các công cụ chính sách linh hoạt sử dụng, quản lý băng thông hoàn chỉnh và kiểm soát QoS, mạng lưới giám sát chi tiết, và một trong các nhanh nhất, mạng riêng ảo đáng tin cậy nhất trên thị trường.
Phần mềm Kerio WinRoute Firewall 6 sẽ cung cấp bảo vệ mạng và trí thông minh có hiệu quả đó là cả hai ổn định và đơn giản để quản lý.
Dưới đây là một số tính năng chính của "Kerio WinRoute Firewall 6 Control":
Unified Threat Management:
Kerio WinRoute Firewall 6 Bảo vệ chống lại các mối đe doạ phát triển với bức tường lửa lớp ứng dụng, bảo vệ chống virus và P2P eliminator.
Quản lý người dùng:
Kerio WinRoute Firewall 6 Kiểm soát người sử dụng Internet hoạt động và năng suất với người dùng dựa trên chính sách, theo dõi Internet và lọc nội dung web.
Chất lượng dịch vụ:
Kerio WinRoute Firewall 6 ưu tiên các dòng chảy của mạng lưới giao thông quan trọng với liên kết cân bằng tải, giao thông hình thành, và chuyển đổi dự phòng kết nối.
Triển khai linh hoạt và hành chính:
Triển khai trong IPv4 và IPv6 môi trường như là một thiết bị phần mềm, máy ảo, hoặc một thiết bị phần cứng tối ưu hoá hiệu suất. Quản lý thông qua một trình duyệt web trên một máy tính để bàn hoặc iPad.
Yêu cầu khi cài Kerio WinRoute Firewall 6:
Pentium IV hoặc tương thích với
CPU 1 GHz
512 MB RAM
50 MB ổ cứng còn trống để cài đặt A. MÔ HÌNH:
DC Mail
Server Kerio Connect VIP User
Card LAN IP Address 172.16.0.2 192.168.1.2 172.16.0.10 172.16.0.51 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255. 0 255.255.255. 0 Default Gateway 172.16.0.1 192.168.1.1 172.16.0.1 172.16.0.1 Preffer DNS Server 172.16.0.22 Để trống 172.16.0.2 172.16.0.2
BẢNG CẤU HÌNH ĐỊA CHỈ IP CHO TỪNG MÁY
Card CROSS IP Address Disable 172.16.0.1 Disable Disable Subnet Mask 255.255.255. 0 Default Gateway Để trống Preffer DNS Server 172.16.0.2 B. CÁC BƯỚC TRIỂN KHAI
- Bài Lab gồm: 1 Máy Windows server 2003 làm DC, Mail Server (Kerio Connect), 1 Máy Windows server 2003 làm Firewall (Kerio Winroute).1 Máy XP dùng làm máy của VIP, 1 Máy XP dùng làm máy của User.
- Các bước thực hiện:Cấu hình thông số TCP/IP và cài đặt Kerio Winroute.Khai báo các thành phần nội bộ trên Kerio Winroute như VIP, USER.Thiết lập các Traffic Policy, HTTP Filter… trên Kerio Winroute để kiểm soát các giao dịch.Cài đặt và cấu hình Kerio Connect.Tạo User từ Database của Kerio và từ AD.Triển khai Mail Online , cho phép User sử dụng mail bằng Web & POP3.
C. TRIỂN KHAI CHI TIẾT:
I. CHUẨN BỊ
1. Nâng cấp Domain Controler trên máy Server: Đặt IP address 2. Máy Kerio Winroute (gọi tắt là KW) Cần 2 Card mạng:
CROSS: Cùng lớp với mạng nội bộ.
Join Domain máy Kerio Winroute3.
4. Máy XP2 (thuộc nhóm User, sử dụng IP từ 51 - 100): Đặt IP và Join Domain
II. CÀI ĐẶT VÀ CẤU HÌNH KERIO WINROUTE FIREWALL:
1. Cài đặt Kerio Winroute.
Đặt Username và Password quản lý, Next.
Nếu đang cài Winroute từ xa, click chọn “I am… remotely”, không thì bỏ qua, click Next.
Click Install → Finish
Cài đặt xong góc phải của thanh Taskbar xuất hiện icon của Kerio Winroute Firewall.
Cấu hình interface:
Double Click vào icon của Winroute, nhập password lúc cài đặt → Click Connect.
License cho Winroute
Cấu hình interface:
Click Configuration → Interface
Chọn card LAN → Edit → Internet Interface → OK
Chọn card CROSS → Edit → Trusted/Local Interfaces →OK → Apply.
3. Cấu hình Traffic Policy:
a. Kiểm tra hoạt động của Firewall:
Click Configuration → Traffic Policy.Mặc định, KW sẽ khoá toàn bộ truy cập từ trong ra ngoài và từ ngoài vào trong, trừ máy cài KW.(Trường hợp cài KW từ xa thì Kerio sẽ mở tất cả).
- Dùng máy DC truy cập Internet thử, sẽ không truy cập được.
Ping IP của KW và Google không có trả lời.
b. Cho phép DC ra internet:
Trở lại màn hình Traffic Policy → Click Add → xuất hiện 1 Rules mới
Right click chọn New Rule → Edit Rule → Name: DC → OK
Right Click trên phần Source của Rule DC → Click Edit Source
Right click vào cột Translation của cột Rule DC → Edit Translation
Chọn Enable Source NAT → OK
Right click vào cột Action của Rule DC → Chọn Permit → Apply
c. Định nghĩa VIP và user:
Configuration → Definitions → Address Groups → Add
d. Cho phép VIP ra internet:
Quay lại Traffic Policy → Click Add tạo Rule mới → Name: cho Phep Vip ra Internet → Edit Source: Add → IP Address Group.
Chọn Group VIP → OK → OK.
Enable Souce NAT và chọn Permit như Rule DC.
Test:
Từ máy XP1 (VIP), ping google.com và truy cập Web thành công.
Từ máy XP2 (User), ping google.com và truy cập Web vẫn không được.
Lúc này VIP đã ra được Internet, nhưng vẫn không ping được Kerio Winroute Server. Muốn Ping thì tạo Rule: Name: “cho phep VIP ping”. Firewall Source: 172.16.0.10 – 172.16.0.50. Destination: Right click, chọn Edit Destination:
Add→ Firewall Host → OK. Service: Right click cột Service: Chọn Add → Service → Ping → OK → OK.
TEST:
Từ Vip ping 172.16.0.1 thành công
e. Cho phép nhóm User gửi nhận Mail từ Internet: Tạo Rule mới: Name: “Cho
phep User su dung MailSource”. Group: User. Destination: AnyService: DNS, POP3, POP3S, SMTP, SMTPS
Kiểm tra: User gửi nhận Mail bình thường, nhưng không vào Web được.
f. Cho nhóm User được truy cập các trang web hỗ trợ công việc:
- B1: Định nghĩa “Web ho tro cong viec”:Click Configuration → Definitions
→URL Groups → Add 2 trang:http://nhatnghe.com/* và http://vietcombank.com.vn/*
B2: Định nghĩa giờ làm việc:
B3: Cho phép user truy cập web:
Click Configuration → Traffic Policy → Tạo Rule mới cho phép user sử dụng web: add 2 service HTTP và HTTPS.
B4: Tạo filter chặn tất cả trang web, sau đó mở lại hai trang cần làm việc.
Click Configuration → Content Filtering: HTTP Policy add: Rule cấm user truy cập tất cả các website→ Add rule cho phép truy cập 2 website trên.
g. Cho phép User truy cập Web không hạn chế trong giờ giải lao:
B1. Định nghĩa “Giờ Giải Lao”: Configuration → Definitions → Time
Ranges → Add.
B2. Tạo URL Rule:Configuration → Content Filtering → HTTP Policy →
h. Cấm tất cả User truy cập website ngoisao.net, nếu truy cập sẽ redirect về nhatnghe.com:
B1. Định Nghĩa URL ngoisao.net: Click Configuration → Definitions →
URL Groups→ Add 2 trang: http://ngoisao.net, http://ngoisao.net/*
B2: Tạo URL Rule: Click Configuration → Content Filtering → http Policy
→ Add.
i. Cấm tất cả user sử dụng Media trực tuyến (nghe nhạc, xem phim):
B1: Định nghĩa media: Click Configuration → Definitions → URL Groups
B2: Tạo URL Rule: Click Configuration → Content Filtering → HTTP
Policy → Add.
j. Cấm tất cả user download file .exe; .rar; .zip; …
B1: Định nghĩa “Cấm download”: Click Configuration → Definitions →
B2: Tạo URL Rule: Click Configuration → Content Filtering → http Policy
→ Add.
k. Cấm chat Yahoo/Skype…
Click Configuration → Content Filtering → http Policy → Add → Click Select Rating, tick Chat/IM → OK → Deny → OK → Apply.
l. Lọc web theo ký tự nhạy cảm:
B1: Click Configuration → Content Filtering → HTTP Policy → [Tab]
Forbiden Works
→ Tab URL Rules → Chọn Rule “Truy cap web trong gio giai lao”.
→ [Tab] Content Rules → Check: Deny Webpages contening forbidden work in HTML Code.
III. CÀI ĐẶT VÀ CẤU HÌNH KERIO CONNECT:
1. Cài đặt Kerio Connect:
IV. KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.
B1. Mở Outlook Express.
B2. Cửa sổ Your name: gõ Admin →Next.
Email server name:
My incomming mail server is a: POP3
Incoming mail: 172.16.0.2
Outgoing mail: 172.16.0.2 →Next.
Gõ admin, password→ Next.
Tools → Accounts → [Tab] Mail → Properties → [Tab] Server → Check: My server requires authentication → Apply.
[Tab] Advanced → Check: Leave a copy of messages on server → OK → OK.
Admin soạn 1 email gửi cho chính mình (admin@sinhvienkontum.com).
Click Send/Recev. Kiểm tra đã nhận được mail.
2. Cấu hình Kerio Connect. a.Tạo User mới.
- Tạo user trong Directory của Kerio: Accounts → Users → Add
Tạo user từ Active Directory (Import từ AD của Windows Server 2003).
B1: Tạo user trong AD: Start → Run → Gõ dsa.msc
Tạo user name: sep
Tương tự cho các user còn lại: ketoan1; ketoan2; kinhdoanh1, kinhdoanh2.
B2: Import user: Từ cửa sổ Kerio Connect → chọn Administrator → Accounts → User → Import and Export → Import from a Directory Service…
→ Cửa sổ Import Users:
Import users from: Active Directory®
Active Directory® domain name: sinhvienkontum.local (domain nội bộ)
Import from server: dc.sinhvienkontum.local (domain controller).
Login as user: Administrator
Chọn những User cần Import → OK.
Kiểm tra đã có các user mới import
Chú ý: Domain nội bộ và Domain mail không cùng tên (.local và .com) nên
cần sửa lại tên Doamain chứng thực Kerberos:
Click Configuration → Domain → Edit: sinhvienkontum.com → [Tab] Advanced → Kerberos™ 5: sinhvienkontum.local → OK.
Giới hạn dung lượng hộp Mail và mail gửi đi:
Right Click User cần giới hạn → [Tab] Quota: Giới hạn dung lượng hộp Mail 2 GB.
[Tab] Messages: Giới hạn Mail gửi đi tối đa 2MB.
b. Tạo Group: Click Accounts → Groups → Add → Name: VIP
[Tab] Email address → Add
[Tab] Users → Add
Tương tự với group user.
Kiểm tra:
- Dùng mail Admin gửi tới vip@sinhvienkontum.com và user@sinhvienkontum.com
- Truy cập http://172.16.0.2.Login vào tất cả các User đều nhận được mail. 2. Cấu hình trên Domain sinhvienkontum.com và Router, và Winroute Firewall
để Public mail server:
a. Cấu hình trên domain sinhvienkontum.com: - Truy cập trang quản lý domain.
- Add Host Record như sau: Hostname: mail Address: IP tĩnh đã thuê. Host type: A
(Address)
b. Cấu hình trên Router (Mỗi router có cách cấu hình khác nhau). - B1: Tạo static route:
Mở trình duyệt nhập http://192.168.1.1 → Nhập user name và password Router → OK → Advanced Setup → Routing → Static Route → Add:
Destination Network Address: 172.16.0.0
SM: 255.255.255.0
Use Gateway IP Address: 192.168.1.2
- B2: NAT → Advanced Setup → NAT → Virtual Server → Add các Port: 110, 25,
80, 443 về IP: 172.16.0.2.
c. Cấu hình trên Winroute Firewall:Configuration → Traffic Policy → Add New
Rule. Source: Any. Destination: 172.16.0.2. Service: HTTP, HTTPS, POP3, SMTP. Action: Permit. Translation: NAT→ Apply.
d.Kiểm tra hoạt động: Từ ngoài internet truy cập địa chỉ:
http://mail.sinhvienkontum.com. Cấu hình Outlook Express từ ngoài với địa chỉ POP3 và SMTP là “mail.sinhvienkontum.com”.Gửi nhận mail thành công.Kiểm tra gửi ra ngoài Yahoo! Mail, Gmail.
a.Archive: Click Configuration → Archiving and Backup – Check: Enable email
archiving – Path to the archive directory: Trỏ tới phân vùng hoặc ổ cứng khác nơi cài đặt Kerio Connect → Apply.
Kiểm tra trong Mail của Admin đã có Folder Archive
c. Backup: Giả lập Sếp xoá nhầm mail (hoặc Database hư), trước đó có 1 bản
Backup và tiến hành Restore lại.Vào mail Amin gửi 1 email cho sếp:
Vào mail của sếp, kiểm tra đã nhận được mail từ admin:
Tiến hành Backup:
Click Configuration → Archiving and Backup → [Tab] Backup - Check: Enable message store and configuration recovery backup - Mặc định Kerio Connect đã tạo Schedue sẵn từ thứ 2 đến Chủ Nhật. - Backup Directory: Trỏ đến thư mục D:\backup\Mail.
- Click Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm tra đã có 1 File *.Zip.
Vào Email của sếp, xoá Mail admin mới gửi. Tiến hành Recover.
c. Recover
Tắt Kerio Connect: Right click vào biểu tượng dưới thanh Taskbar