Kerio WinRoute Firewall 6.5.2.5172 (x86 - x64)

Kerio WinRoute Firewall là phần mềm tường lửa chuyên dụng. Kerio có tất cả chức năng mà bạn cần đến nhưng hoạt động nhanh hơn các chương trình tường lửa khác như ZoneAlarm rất nhiều.



Hướng dẫn dành cho bạn và mọi người:

1. Cài đặt:



Yêu cầu hệ thống cài đặt tương đối đơn giản:

• CPU Intel Pentium II 300 MHz trở lên
• 128 MB RAM
• 2 card mạng trở lên
• 50 MB đĩa trống

Kerio hỗ trợ các OSs sau đây:

• Windows 2000
• Windows XP
• Windows Server 2003

Các file setup thường có tên dạng như:
kerio-kwf-6.0.11-win.exe
kerio-kwf-mcafee-6.0.0-win.exe

Các bước cài đặt:
Khi cài đặt, sẽ có một giao diện đồ họa cho phép người dùng tiến hành việc cài đặt.





Thông thường, có thể chọn kiểu cài đặt là FULL hay CUSTOM
WinRoute Firewall Engine hạt nhân của ứng dụng
WinRoute Engine Monitor đây là thành phần giúp điều khiển và theo dõi ứng dụng, khi cài đặt xong thành phần này thì sẽ có một biểu tượng phía góc dưới cùng bên phải.
VPN Support là một giải pháp VPN của Kerio
Kerio Administration Console: bàn điều khiển giúp cho bạn xem xét, thiết lập toàn bộ các cấu hình của Kerio.

Ghi chú: trong khi cài đặt có thể có một số lỗi, ví dụ xung đột với phiên bản trước, xung đột với ICS (Internet Connection Sharing),.. bạn sẽ phải dỡ bỏ Kerio 4 hoặc tắt ICS trước.

2. Cấu hình:
Các giao tiếp (kết nối mạng)





Trong ví dụ này, PC cài Kerio có 3 kết nối, 2 card mạng:
- Card mạng nối với mạng nội bộ có địa chỉ IP là: 192.168.1.10
- Card mạng nối ra Internet có IP là: 195.39.55.21
Ngoài ra còn một đường dial up nối ra Internet (ví dụ qua COM1)

Failover: cho phép định nghĩa một đường phụ (backup) để kết nối khi đường chính bị đứt, ví dụ trong trường hợp này đường chính là đường chạy qua giao diện Public, còn đường phụ là đường chạy qua giao diện dial-in.





Thông thường Kerio kiểm tra xem đường chính có hoạt động tốt không bằng cách gửi các ICMP echo request tới một số IP được chọn. Khi Kerio thấy đường nối chính được khôi phục, thì nó sẽ disable đường nối phụ và sử dụng đường nối chính.

Khi cài cấu hình đường nối chính phụ, các bạn có thể dùng probe hosts là IP của một trang nổi tiếng nào đó, ví dụ www.yahoo.com (68.142.197.77) hoặc www.fpt.vn (210.245.0.148) đều được. Tuy nhiên, đây phải là IP của một trang nào đó mà cho phép bạn PING được!

DNS forward:
Giúp cho việc kiểm tra DNS (dịch vụ tên miền) một cách thuận tiện. Ví dụ, khi bạn vào một trang Web www.yahoo.com, thì tên miền này cần được dịch thành địa chỉ IP 68.142.197.77 để có thể trình duyệt có thể kết nối dựa trên HTTP. Tên miền này sẽ được chuyển tới DNS server để “dịch” ra địa chỉ IP (các bạn có thể tìm hiểu thêm về việc phân giải tên miền trên các tài liệu khác)

Thông thường, nếu bạn cài Kerio FW phía sau một modem ADSL, bạn nên điền vào phần DNS servers địa chỉ IP của Modem ADSL.






Đặt cache cho hệ thống:
Mục đích: giúp cho việc truy xuất của người sử dụng nhanh hơn. Những trang Web được truy nhập thường xuyên sẽ được lưu trữ vào cache, sau đó khi người sử dụng truy nhập đến trang này, thông tin sẽ được lấy thẳng từ Firewall về chứ không cần nối tới Internet!



Về lý thuyết, dung lượng cache đặt càng lớn thì việc truy xuất các trang Web của người sử dụng sẽ càng nhanh hơn. Vì thế, mặc định của Kerio là 1GB, các bạn có thể đặt 2-3GB nếu có nhiều ổ cứng trống và Firewall mạnh.

2. Đặt các rule:
Khi bạn cài đặt xong, Kerio sẽ cho phép bạn dùng Rule Wizard để cài đặt một số rule quan trọng.
·Đầu tiên vào Network rules Wizard, chọn Next



·Chọn Type of Internet Connections (ví dụ mạng dùng ADSL thì bạn nên chọn là ADSL)




·Trong Internet Adapter, chọn Card Mạng kết nối tới Internet hoặc bạn có thể chọn Dial-up connections (trường hợp dùng dial-up).







Cài đặt các policy truy cập ra ngoài (OutBound Policy)




Bước tiếp theo sẽ yêu cầu Enable Kerio VPN, chọn No (trường hợp nếu bạn cài đặt các Server như WEB, FTP trong mạng của mình phục vụ cho các người sử dụng trên Internet thì có thể chọn là YES, tuy nhiên việc cấu hình này hơi phức tạp tôi sẽ nói ở phần sau)

Tạo khả năng NAT




Nếu bạn sử dụng một Public IP (WAN IP) cho phép công ty bạn truy xuất Internet thì bạn nên tạo khả năng NAT. Giúp cho các máy trong LAN của tổ chức có thể truy xuất được Internet.

Sau khi hoàn thành, các rule mặc định sẽ như sau:





Các Rule quan trọng là:

ICMP traffic: cho phép máy làm firewall có thể ping đến các IP bên ngoài
Ghi chú: các máy trong mạng mặc định sẽ không thể PING được tới các máy bên ngoài Internet!
Để có thể cho phép PING, cần phải thêm các Rule (sẽ nói ở phần sau)

ISS OrangeWeb Filter: cho phép kết nối tới CSDL riêng lưu trữ các trang WEB sex (đồi trụy), giúp cho việc ngăn cấm truy cập thẳng tới các trang sex.

NAT: cho phép chuyển IP nguồn của tất cả các packet đi ra từ một máy trong LAN thành IP của giao diện Internet (WAN IP). Trong phần cột Source có cả Dial-In tức là các máy quay số (dialup) vào server cũng có thể vào được Internet thông qua Firewall.

Local Traffic: cho phép các gói tin của máy trong LAN trao đổi tự do với nhau.

Firewall Traffic cho phép firewall truy xuất các dịch vụ trên Internet. Rule này giống như NAT chỉ khác ở chỗ nó không thực hiện việc phiên dịch địa chỉ (IP translation), vì firewall kết nối trực tiếp tới Internet.

HTTP and HTTPS (trong phần hướng dẫn chúng ta không cài đặt). Nếu chúng ta cài đặt thì rule này sẽ MAP tất cả các dịch vụ HTTP và HTTPS với địa chỉ IP của WEB server (ở hình trên cũng chính là máy Firewall trong LAN, kết nối tới Internet)
-------------------------
Kerio WinRoute Firewall là phần mềm tường lửa chuyên dụng. Kerio WinRoute Firewall có tất cả chức năng mà bạn cần đến nhưng hoạt động nhanh hơn các chương trình tường lửa khác như ZoneAlarm rất nhiều.Kerio WinRoute Firewall đặt ra các tiêu chuẩn mới trong versatility, đảm bảo an toàn và kiểm soát truy cập của người dùng. Được thiết kế cho các công ty mạng, nó bảo vệ chống lại cuộc tấn công bên ngoài, Virus và có thể giới hạn truy cập vào các trang web dựa trên nội dung của họ.

Kerio WinRoute Firewall :
• sâu thanh tra, kiểm tra tường lửa
Kerio WinRoute Firewall, được chứng nhận bởi ICSA Labs Tường lửa công ty trong danh mục, bao gồm các chi tiết để thực hiện các quy định định nghĩa stateful thanh tra, kiểm tra và thanh tra, kiểm tra của tất cả các giao thức và gửi đi các lưu lượng truy cập Internet. Một mạng lưới quy tắc trong thuật sĩ giúp nhanh chóng thiết lập của các bức tường lửa.
• VPN, VPN Client & SSL VPN
Kerio's-xây dựng trong SSL VPN dựa trên công trình phục vụ khách hàng trong cả hai-to-máy chủ và máy chủ-cho-chế độ phục vụ, cho phép cả hai văn phòng chi nhánh xa và an toàn lao động để kết nối vào mạng LAN công ty. Clientless SSL VPN cho phép người sử dụng để kết nối từ xa bảo mật cho công ty cho mạng chia sẻ tập tin từ bất kỳ máy tính nào với một trình duyệt và kết nối Internet.
• bảo vệ cửa ngõ Antivirus
Kerio WinRoute Firewall cung cấp các tùy chọn năng quét vi rút của các Inbound và gửi thư điện tử, lưu lượng truy cập web, FTP và chuyển khoản. Ngoài việc tích hợp với một phiên bản McAfee Anti-virus, có một số khác chống virus tùy chọn để lựa chọn.
• Surf bảo vệ
Các tích hợp (IBM) ISS Orange Web Lọc lựa chọn khối người dùng truy cập để lên đến 58 chuyên mục của nội dung trang web, giảm pháp lý cho các công ty trách nhiệm về pháp lý và giáo dục môi trường.
• Nội dung lọc
Kerio WinRoute Firewall cung cấp một loạt các tính năng bảo mật nội dung như MP3 music download chặn, lọc có khả năng gây nguy hiểm cho thi hanh chặn các tập tin hoặc gây phiền nhiễu của các cửa sổ quảng cáo. The P2P eliminator tự động phát hiện và khối peer-to-peer mạng như Kazaa.
• Thành viên cụ thể truy cập quản lý
Tất cả các thành viên trong mạng lưới có thể được yêu cầu để đăng nhập vào Kerio WinRoute Firewall trước khi kết nối Internet. Mà cho phép hạn chế cho an ninh và truy cập vào các chính sách được áp dụng dựa trên những người sử dụng cụ thể, chứ không phải là địa chỉ IP. Minh bạch hoạt động hỗ trợ Directory đơn giản tài khoản người dùng Windows để lập bản đồ các tên miền, và tự động thêm một tính năng cho phép người dùng tạo ra các chính sách cụ thể trước khi người sử dụng xác thực.
• chia sẻ Internet nhanh
Hỗ trợ cho DSL, modem cáp, ISDN, vệ tinh, dial-up hoặc Internet không dây cho phép quản trị viên để triển khai Kerio WinRoute Firewall trong mạng lưới của tất cả các kích cỡ và trong tất cả các địa điểm. Người dùng có thể chia sẻ một kết nối Internet với thất bại-hơn cho một kết nối sao lưu. Quản trị viên có thể sử dụng các Bandwidth LIMITER để tối ưu hóa dữ liệu thông qua các ứng dụng quan trọng cho các doanh nghiệp.
• VoIP và hỗ trợ UPnP
Kerio WinRoute Firewall cho phép các giao thức H.323 và SIP để kết nối thông qua nó, cần phải loại bỏ các phơi công khai các cơ sở hạ tầng VoIP đến Internet. Ngoài ra, nó tích hợp công nghệ UPnP để tuân thủ các ứng dụng như MSN Messenger chạy ngay lập tức mà không cần thêm cấu hình tại các bức tường lửa.
• Báo cáo và quản lý
Well-sắp xếp biểu đồ và thống kê giúp đỡ tại chỗ và báo cáo các vấn đề thói quen sử dụng. Quản lý có thể được cài đặt khiển từ xa để cho phép cấu hình an toàn từ bất cứ nơi nào trên mạng. Tất cả các sự kiện quan trọng là báo cáo với ban quản trị bằng email. Well-sắp xếp biểu đồ và số liệu thống kê tại chỗ giúp đỡ các vấn đề thói quen và cách sử dụng.
--------------------------


Công nghệ độc đáo Kerio WinRoute Firewall cung cấp một mức chất lượng mới của công ty an ninh CNTT, minh bạch, dễ cài đặt, cấu hình và hoạt động của các bức tường lửa để kiểm soát toàn bộ người dùng truy cập vào Internet. Được thiết kế đặc biệt cho mạng doanh nghiệp, Kerio WinRoute Firewall cho phép bạn tạo một bảo vệ hiệu quả chống lại các cuộc tấn công từ bên ngoài, vi rút và chặn truy cập đến trang web của nội dung có vấn đề ...




Kerio WinRoute Firewall đặt ra tiêu chuẩn mới trong tính linh hoạt, an ninh và kiểm soát truy cập của người dùng. Được thiết kế cho mạng doanh nghiệp, nó bảo vệ chống lại các cuộc tấn công từ bên ngoài và vi rút và có thể hạn chế quyền truy cập vào các trang web dựa trên nội dung của họ.

Sâu kiểm tra tường lửa
Kerio WinRoute Firewall, có xác nhận của ICSA Labs trong thể loại tường lửa doanh nghiệp, bao gồm các quy tắc định nghĩa chi tiết để thực hiện kiểm tra, thanh tra giao thức stateful và của tất cả lưu lượng Internet đi và đến. Một quy tắc hướng dẫn mạng lưới hỗ trợ trong việc thiết lập nhanh chóng của tường lửa.

VPN, VPN Client & SSL VPN
Kerio's built-in SSL VPN hoạt động dựa trên máy chủ ở cả hai client-to-máy chủ và máy chủ đến máy chủ các chế độ, cho phép các văn phòng chi nhánh và cả công nhân từ xa để kết nối bảo mật cho mạng LAN công ty. Clientless SSL VPN cho phép người dùng từ xa để kết nối bảo mật cho mạng công ty để chia sẻ tập tin từ bất kỳ máy tính với một trình duyệt và kết nối Internet.

Antivirus cổng bảo vệ
Kerio WinRoute Firewall cung cấp tùy chọn chức năng quét vi rút của email gửi đến và đi, lưu lượng truy cập web, và FTP chuyển. Ngoài việc tích hợp một phiên bản với McAfee Anti-virus, có một số khác chống virus tùy chọn để chọn lựa.

Lướt bảo vệ
Việc tích hợp IBM cam web tùy chọn lọc từ các khối người dùng truy cập vào để lên đến 58 loại nội dung web, giảm trách nhiệm pháp lý cho môi trường doanh nghiệp và giáo dục.

Lọc nội dung
Kerio WinRoute Firewall cung cấp nhiều tính năng bảo mật nội dung như tải nhạc MP3 chặn, lọc có khả năng gây nguy hiểm cho các file thực thi hoặc chặn các cửa sổ pop-up gây phiền nhiễu. The P2P Eliminator tự động phát hiện và khối peer-to-peer mạng như Kazaa.

Người sử dụng cụ thể truy cập quản lý
Mỗi người sử dụng trong mạng có thể được yêu cầu để đăng nhập vào Kerio WinRoute Firewall trước khi kết nối với Internet. Điều đó cho phép đối với an ninh và các chính sách hạn chế quyền truy cập vào được áp dụng dựa trên những người sử dụng cụ thể, chứ không phải là địa chỉ IP. Men hỗ trợ Active Directory đơn giản hoá lập bản đồ tài khoản người dùng vào các tên miền Windows, và tự động thêm một tính năng cho phép người dùng tạo ra các chính sách cụ thể trước khi người dùng xác thực.

Fast Internet chia sẻ
Hỗ trợ cho DSL, modem cáp, ISDN, vệ tinh, dial-up hoặc Internet không dây cho phép các quản trị viên để triển khai Kerio WinRoute Firewall trong các mạng của tất cả các kích cỡ và trong tất cả các địa điểm. Người dùng có thể chia sẻ một kết nối Internet với không-qua một kết nối dự phòng. Quản trị viên có thể sử dụng băng thông Limiter để tối ưu hóa thông lượng dữ liệu cho doanh nghiệp ứng dụng quan trọng.

VoIP và hỗ trợ UPnP
Kerio WinRoute Firewall cho phép các giao thức SIP, H.323 và kết nối thông qua nó, loại bỏ sự cần thiết phải công khai lộ ra phần cơ sở hạ tầng VoIP Internet. Ngoài ra, nó tích hợp công nghệ UPnP để tuân thủ các ứng dụng như MSN Messenger chạy ngay lập tức mà không cần cấu hình bổ sung tại tường lửa.

Internet giám sát
Dựa trên web báo cáo về cách sử dụng Internet để giúp sử dụng lao động và các vấn đề tại chỗ các quản trị viên, quản lý năng suất của nhân viên và ngăn chặn trách nhiệm pháp lý.

************************************************** ********************

Một bức tường lửa đầy đủ tính năng
Trung tâm Kiểm tra chứng nhận ICSA Labs trong thể loại "bức tường lửa doanh nghiệp", Kerio WinRoute Firewall cho phép bạn tạo các quy tắc linh hoạt để hoàn toàn kiểm soát tất cả lưu lượng đến từ mạng Internet và gửi đi. Wizards mạng trong các quy định có thể giúp bạn điều chỉnh một cách nhanh chóng và hiệu quả công việc của ITU, và hệ thống theo dõi Bandwidth Limiter tối ưu hóa băng thông của kênh Internet.

VPN, VPN-client và SSL VPN
Built-in VPN-server dựa trên công nghệ SSL hoạt động trong các khách hàng một máy chủ và máy chủ, máy chủ, cung cấp kết nối an toàn cho cả hệ thống mạng cho các chi nhánh và cho người dùng di động. Dịch vụ web mới Clientless SSL VPN cho phép bạn kết nối bảo mật đến nguồn tài nguyên mạng công ty từ bất kỳ máy tính từ xa bằng cách sử dụng bất kỳ trình duyệt web và kết nối Internet.

Tập trung bảo vệ vi rút
Theo yêu cầu của bạn, Kerio WinRoute Firewall có thể được trang bị tích hợp McAfee Antivitus cho quét virus tích hợp vào và ra e-mail, lưu lượng truy cập web và FTP-dữ liệu. Ngoài ra, sản phẩm này cung cấp nhiều tính năng bổ sung để bảo vệ khỏi chương trình độc hại.

Kiểm soát truy cập vào các trang web
IBM tích hợp Orange Web Filter chặn truy cập người dùng đến gần 60 loại khác nhau của các trang web nội dung đáng ngờ và phản đối, cho phép bạn để giữ cho năng suất nhân viên, làm giảm lưu lượng truy cập web không sanh sản và bảo vệ danh tiếng của công ty.

Lọc nội dung
Kerio WinRoute Firewall cung cấp một số chức năng hữu ích cho việc giám sát nội dung của lưu lượng mạng: lọc các tập tin từ một định dạng nhất định (ví dụ như MP3), phát hiện nguy hiểm tiềm tàng file thực thi, ngăn chặn cửa sổ pop-up. Tích hợp hệ thống P2P Eliminator tự động phát hiện và khối công việc của peering mạng như Kazaa và eMule.

Linh hoạt chính sách
Mỗi người sử dụng trước khi thiết lập kết nối vào Internet có thể phải được xác định ở cấp độ của Kerio WinRoute Firewall. Tính năng này cho phép bạn tạo các chính sách bảo mật linh hoạt cá nhân và kiểm soát truy cập cho mỗi nhân viên, thay vì sử dụng nhiều phương pháp tiếp cận dựa trên thô địa chỉ IP. Hỗ trợ đầy đủ dịch vụ thư mục Active Directory đơn giản hóa quá trình đồng bộ hóa các tài khoản người dùng.

Chia sẻ Truy cập Internet
Hỗ trợ DSL, ISDN, cáp, vệ tinh, không dây và Dial-Up-hợp chất làm cho nó có thể thành công trong việc khai thác Kerio WinRoute Firewall trong mạng doanh nghiệp thuộc mọi quy mô và topo. Nhân viên của bạn có thể chia sẻ một kết nối Internet với chức năng định tuyến động để các kênh dự phòng.

Hỗ trợ cho VoIP và UPnP
Kerio WinRoute Firewall hỗ trợ công việc của H.323 và SIP, cung cấp bảo vệ bổ sung cho cơ sở hạ tầng CNTT của công ty sử dụng VoIP. Sản phẩm cũng hỗ trợ UPnP, cho phép các ứng dụng tương thích (ví dụ, MSN Messenger) để làm việc mà không Cấu hình lại ITU.

Thuận tiện quản lý
Admin Console Kerio WinRoute Firewall có thể được cài đặt bất kỳ nơi nào trong mạng của công ty. Hệ thống sẽ thông báo kịp thời các quản trị hệ thống cho môi trường mạng chủ yếu qua e-mail. Visual các báo cáo thống kê để giúp phát hiện các vấn đề kết nối Internet và xác định các khu vực lạm dụng bởi các nhân viên.
-----------------------------
Với nhu cầu kết nối Internet hiện nay, nếu trong hệ thống mạng của chúng ta chỉ có 1 đường truyền ADSL thì tốc độ truy cập internet có thể bị chậm do đường truyền bị quá tải, hoặc tại 1 thời điểm không thể truy cập internet vì đường truyền đang bị mất tin hiệu.

	LAN	WAN1	WAN2
Server	IP: 172.16.1.1 SM: 255.255.255.0 GW: DNS	IP: 192.168.1.100 SM: 255.255.255.0 GW: 192.168.1.1 DNS: 203.162.4.191	IP: 192.168.2.100 SM: 255.255.255.0 GW: 192.168.2.1 DNS: 203.162.4.191
Client	IP: 172.16.1.2 SM: 255.255.255.0 GW: 172.16.1.1 DNS: 203.162.4.191
Router1	IP: 192.168.1.1 SM: 255.255.255.0
Router2	IP: 192.168.2.1 SM: 255.255.255.0

-          Tại máy Client, mở Internet Explorer, truy cập http://msopenlab.com , kiểm tra truy cập thành công
http://handheld.vn/threads/6521-Load-Balancing-cho-2-Line-ADSL?s=bf160b3a3ece11f0909dec1bcc11e269