Организация общего доступа в Интернет и защиты от вторжений на основе Kerio WinRoute Firewall 6

РОМАН МАРКОВ

Организация общего доступа в Интернет

и защиты от вторжений на основе

Kerio WinRoute Firewall 6

Данная статья – попытка помочь начинающим системным администраторам получить первоначальные навыки предоставления общего доступа в Интернет и защиты локальной сети от внешних вторжений. Это не подробное описание всех возможностей данного продукта, а методика настройки – от момента установки до начала работы пользователей. В ней рассматривается организация шлюза в Интернет на основе выделенного компьютера с двумя сетевыми картами.

Выбор оборудования и первоначальная настройка системы и локальной сети

Описываемая система будет крайне непритязательна к аппаратным ресурсам. Фактически требования совпадают с требованиями устанавливаемой операционной системы. То есть для среднего сервера, предназначенного для предоставления общего доступа в Интернет на скорости до 128 Кбит/сек для 5-7 пользователей, достаточно будет компьютера Celeron 300-400 МГц, 128 Мб RAM, 5-10 Гб HDD.

Исходя из опыта автора данной статьи, можно также сказать, что роль такого сервера (Маршрутизатор, Прокси-сервер, Firewall, Почтовый сервер, FTP-сервер) для 10-15 пользователей прекрасно может выполнять компьютер следующей конфигурации: Intel Celeron 733, 256 Мб RAM, HDD 10 Гб IDE с установленной операционной системой Windows 2000 Server.

Принципиальное отличие данной системы от распространенных решений, основанных на анализе сторонними программами журналов доступа к прокси-серверу – это возможность наиболее простым способом организовать офисную биллинговую систему для любого трафика пользователей, проходящего через NAT. Также важным нововведением является функция мгновенного отключения пользователю доступа в Интернет при превышении персонального лимита. При анализе же журналов доступа при помощи сторонних программ изменение статистики происходит дискретно, через заданный промежуток времени. Помимо этого, в распространенных простых системах анализируется только трафик приложений через прокси-сервер, а не весь трафик пользователя.

Если количество пользователей колеблется от 20 до 50, то для абсолютной уверенности в надежности и скорости работы подобного сервера рекомендуется использовать следующую конфигурацию оборудования: Intel Pentium II-III (Celeron) 1000-1500 МГц, 512 Мб RAM, HDD 18 Гб SCSI. Но это уже вопрос финансов. SCSI-диски рекомендуется использовать для надежности и увеличения скорости доступа к кэшу прокси-сервера. Крайне рекомендуется использовать SCSI-диски, если вы будете применять систему статистики по пользователям – процедура записи и анализа журнала запросов очень сильно нагружает именно дисковую систему.

Настройка операционной системы

На внутреннем сетевом интерфейсе не должно быть прописано шлюза по умолчанию! В качестве DNS-сервера на нем прописываем либо DNS-сервер провайдера (если нет домена Windows 2000), либо внутренний DNS-сервер локальной сети, в случае если Active Directory поднят. Рекомендую в свойствах сетевого окружения сразу переименовать подключения, например «LAN» и «Internet», чтобы в будущем не путаться. Во втором случае надо будет настроить внутренний сервер DNS. В консоли управления DNS-сервером правой клавишей мыши кликаем по нужному серверу и выбираем «Свойства». Закладка «Пересылка» (Forwarding). Ставим галочку «Разрешить пересылку» и задаем внутренний адрес нашего сервера общего доступа. Если внутренний DNS-сервер совпадает с нашим сервером общего доступа, то прописываем здесь DNS-сервер провайдера.

Если галочка «Пересылка» недоступна, то необходимо удалить зону «.» (точка) из списка зон вашего DNS-сервера, закрыть консоль DNS и заново открыть. Изменения могут вступить в силу в течение 15 минут, так что не волнуйтесь, если галочка «Пересылка» не стала доступна сразу после удаления зоны «.». Закройте оснастку DNS и подождите некоторое время.

Затем заходим на закладку «Корневые ссылки» (Root Hints). Удаляем там все, что видим, так как разрешением DNS занимается провайдер, а не ваш шлюз напрямую. Иначе при некорректной настройке вы рискуете получить довольно большой паразитный трафик от DNS-запросов к корневым интернет-серверам. Подробная инструкция по настройке DNS-сервера домена Windows 2000/2003 приведена в октябрьском номере журнала – в статье «Установка и настройка W2K Server».

Затем настраиваем свойства сетевого подключения к интернет-провайдеру. Подразумевается, что эти действия производит либо ваш провайдер, либо вы по инструкции провайдера.

Внимание: рекомендуется подключать кабель внешней сетевой карты (к интернет-провайдеру) только после установки Kerio WinRoute Firewall. В противном случае вы рискуете тут же подвергнуться вирусной атаке. Из опыта автора статьи: иногда достаточно нескольких минут работы без межсетевого экрана, чтобы поймать червя семейства Blaster или Sasser.

Обязательно снимите галочки с привязок «Клиент для сетей Microsoft» и «Служба доступа к файлам и принтерам» в свойствах внешнего интерфейса.

После этого приступаем к установке Kerio WinRoute Firewall 6.

Установка

Дистрибутив скачиваем с официального сайта http://www.kerio.com/kwf_download.html. Это trial-версия, работающая в течение 30 дней – срока, достаточного для тестирования продукта. Потом необходимо приобрести лицензию. Trial-версия полностью функциональна.

Запускаем программу установки, принимаем лицензионное соглашение и указываем путь расположения файлов. При необходимости получения постоянного контроля за трафиком пользователей и анализа журналов доступа рекомендуется использовать SCSI-диск, так как данный тип дисков является наиболее отказоустойчивым при большом количестве дисковых операций в единицу времени. Затем выбираем тип установки: «Custom». После этого нам предложат выбрать необходимые компоненты. Если мы не планируем использовать WinRoute для организации VPN-канала между сетями, то снимаем галку «VPN Support». Файлы помощи на чешском языке нам тоже вряд ли понадобятся. Поэтому снимаем галку «Czech» внутри опции «Help Files». Переходим к следующему экрану.

Создаем первую учетную запись администратора и пароль.

Внимание! Поменяйте имя предложенной записи «Admin» на другое. Задайте и подтвердите для нее сложный пароль (в противном случае вы рискуете подвергнуться атаке злоумышленников). Переходим к следующему экрану. Программа предупреждает нас о том, что после установки по умолчанию будет блокирован любой сетевой трафик, поэтому если вы в момент установки конфигурируете сервер общего доступа удаленно – укажите внутренний IP-адрес, с которого необходимо разрешить доступ к удаленному конфигурированию. Для дальнейшего конфигурирования WinRoute через Интернет необходимо будет добавить соответствующее разрешение в Traffic Policy. Например, IP-адрес рабочей станции, с которой производится удаленное конфигурирование.

Если в процессе установки мы получим сообщение о том, что данное программное обеспечение не тестировалось или не подписано – не обращаем внимания и выбираем продолжение установки. После установки будет предложено перезагрузить компьютер.

Помните, что если вы конфигурируете компьютер, входящий в домен при помощи терминального доступа (Remote Desktop), то после перезагрузки войти в него при помощи доменной учетной записи вам, скорее всего, не удастся. Придется использовать либо учетную запись локального администратора, либо не использовать терминальный доступ, а войти на сервер локально. Честно говоря, не совсем понятно, почему это происходит. Возможно, что будет исправлено в последней версии (автор использовал 6.0.4). При экспериментах создалось впечатление, что трафик авторизации блокировался в момент первого входа.

Итак, регистрируемся с учетной записью администратора любым возможным способом. Если предлагают запустить консоль администрирования WinRoute – отказываемся. В меню «Пуск –> Программы –> Kerio –> WinRoute Firewall» запускаем Engine Monitor. В системном трее появится значок WinRoute. Щелкаем по нему правой клавишей мыши и выбираем «Startup Preferences». В открывшемся окне устанавливаем обе галочки. Первая – задает автоматический запуск сервиса WinRoute, а вторая – автоматический запуск его монитора в системном трее.

Дважды щелкаем на значке WinRoute в трее и вводим адрес нашего сервера WinRoute, а также данные созданной нами учетной записи администратора. Если WinRoute установлен на этом же компьютере – оставляем в поле адреса «Localhost».

Запустится мастер (Network Rules Wizard), который поможет произвести первоначальную настройку. Тут есть два варианта – либо воспользоваться мастером, либо отказаться от него и настроить все вручную. Если вы досконально понимаете, что именно необходимо настраивать, можно выбрать второй метод. Мы опишем настройку при помощи мастера, так как она без особых хлопот позволяет организовать настройку защиты и общего доступа «за 7 кликов мышью».

Настройка при помощи мастера

Соглашаемся с предложением мастера продолжить настройку. На втором шаге выбираем тип нашего соединения с Интернетом. В нашем случае это «Ethernet, DSL, cable modem or other». На следующем шаге выбираем тот сетевой адаптер, который подключен к сети Интернет. Если в списке не появился нужный нам адаптер – подключите сетевой кабель к нему и заново запустите мастера. Шаг 4 позволит нам решить – к каким именно внешним сервисам разрешено будет обращаться клиентам локальной сети. Рекомендуемый минимум: HTTP и HTTPs. Если помимо просмотра веб-страниц клиенты локальной сети должны получать почту с внешних почтовых ящиков по протоколам POP3, IMAP, а также отправлять по SMTP – устанавливаем необходимые галочки. То же самое с доступом к внешним FTP-серверам. Прямое разрешение имен DNS через Интернет для клиентов локальной сети не является необходимым – наш шлюз будет перенаправлять такие запросы и возвращать ответы. Затем отвечаем на вопрос, будем ли мы использовать VPN-соединение средствами WinRoute.

На шаге 6 можно указать внутренние сервера, к которым необходимо дать доступ из внешней сети, т.е. Интернета. Например, внутренние Web, FTP или почтовые сервера. Если мы вообще не хотим предоставлять доступ к нашей сети извне – не добавляем никаких правил.

• Добавим доступ из Интернета к удаленному управлению рабочим столом (Terminal Services) нашего шлюза. Нажимаем Add… В поле «Service is running on» – указываем «Firewall». В поле «Service» выбираем «RDP».
• Теперь добавим доступ к внутреннему веб-серверу, расположенному на другом компьютере с IP-адресом 192.168.0.5. Снова нажимаем Add… В поле «Service is running on» – указываем «IP address – 192.168.0.5». В поле «Service» выбираем «HTTP».

По аналогии конфигурируем доступ из Интернета к другим внутренним службам.

Шаг 7 предоставляет возможность организовать общий доступ для клиентов локальной сети наружу при помощи технологии NAT. Соглашаемся с предложением мастера (галочка «Enable NAT»).

Если мы согласны с указанными настройками, то на 8-м шаге нажимаем кнопку «Далее».

Все, первоначальные настройки сделаны!

Настройка базы пользователей

Теперь наша задача – создать или импортировать из базы Active Directory учетные записи пользователей. Если доменная структура не используется, то всех пользователей придется завести вручную. Заведение пользователей вручную аналогично описанной ниже процедуре создания шаблона автоматически импортируемых пользователей (Define User Template).

Открываем консоль Users and Groups. Сначала создадим две основные группы: Admins и Users. В группу Admins мы включим учетные записи администраторов нашего шлюза, а в группу Users – обычных пользователей, которые должны будут получать доступ в Интернет. Добавляем в группу Admins единственного на данный момент пользователя нашего брандмауэра – учетную запись, с которой мы регистрируемся для конфигурирования WinRoute, выбираем опцию «Full Access to administration» и, при необходимости, все нижеследующие галочки.

Опишем их назначение:

• Users can override WWW content rules – разрешает пользователям доступ к запрещенным в Content Rules ресурсам. Установка этой опции делает доступными все просматриваемые ресурсы, независимо от явных запретов в правилах.
• Users can unlock URL rules – пользователи могут разблокировать запрещенные ссылки. При посещении запрещенной ссылки пользователю выдается окно с указанием, что посещение данного ресурса запрещено правилами, однако предлагается отменить этот запрет нажатием на ссылку «Unlock».
• Users can dial RAS connection – пользователи имеют право инициировать соединение через RAS (модемное подключение, например).
• Users can connect using VPN – пользователи имеют право инициировать VPN-соединение.
• Users are allowed to use P2P networks – пользователям разрешено пользоваться P2P-сетями (Kazaa, Edonkey и пр.).

Затем открываем консоль Users and Groups, в ней – Users. Переходим на закладку – Authentication Options. Устанавливаем опцию «Always require users to be authenticated when accessing web pages». Опция «Automatically logout users when they are inactive» задает период в минутах, после которого пользователь, не проявлявший активности, будет отключен от брандмауэра. В этом случае при следующем обращении к веб-ресурсам окно аутентификации появится вновь. Данная опция позволяет предотвратить использование «чужого» входа в систему для просмотра веб-страниц. То есть, даже если пользователь оставил свой компьютер незаблокированным, через указанное время происходит отключение его сеанса доступа в Интернет.

Если мы импортируем учетные записи пользователей из домена Active Directory, то переходим к закладке Active Directory/NT Domain и устанавливаем опцию Enable Active Directory authentication.

Если же используется домен NT, то устанавливаем галочку Enable NT Domain authentication в нижней части закладки.

Задаем имя домена. Далее у нас есть два пути:

Нажимаем Import Users Accounts Now и отмечаем галками тех пользователей, которых хотим импортировать. Очень большой минус этого метода заключается в том, что тогда каждому пользователю придется вручную задавать принадлежность к группе, права доступа и персональный лимит. При количестве пользователей более 20 это очень утомительно.

Более рациональный способ. Разрешаем автоматический импорт учетных записей из Active Directory – Automatically Import User Accounts from Active Directory. Указываем имя сервера, с которого будет производиться чтение учетных записей, а также специальную учетную запись, единственное предназначение которой – получить доступ Read-Only к базе AD. Пользователи будут добавляться в базу WinRoute по мере их обращения к ресурсам Интернета. То есть WinRoute проверяет, существует ли в домене указанная учетная запись и если указанные пользователем при первом входе данные совпадают с данными домена – пользователь автоматически прописывается в базу WinRoute и получает стандартные настройки. Их создание описано ниже.

Нажимаем кнопку Define User Template. Указываем группу пользователей, к которой автоматически будут причисляться новые пользователи (в нашем случае – Users). В закладке Rights оставляем все по умолчанию – No access to administration и никаких Additional Rights (либо указываем те, которые необходимы. Описание дополнительных прав приведено выше). В закладке Quota задаем лимит трафика по умолчанию. Есть возможность задать два типа ограничений – на суточный трафик, и на суммарный месячный. Причем оба параметра могут существовать одновременно. То есть даже если пользователю задан месячный лимит на 100 Мб, можно указать, что за день он не имеет права использовать более 4 Мб. Тогда вы гарантированно избавляетесь от проблем, связанных с использованием всего месячного лимита за один день и последующего обивания вашего порога с криками: «Интернет нужен мне по работе! Немедленно верните Интернет!». Здесь же можно указать, на какой именно трафик устанавливается лимит – входящий, исходящий или суммарный. Чаще всего оплачивается входящий трафик, хотя бывают и другие тарифы. Уточните у своего провайдера. Очень полезна опция «Quota Exceed Action». В этой части задается действие, которое необходимо произвести при превышении пользователем своей квоты.

Generate Alert Message Only – пользователь получит сообщение о превышении персонального лимита, но не лишится доступа в Интернет.

Do not allow the user to open new connection – запрещает пользователю создавать новые соединения, однако те, которые в данный момент активны, продолжат свое существование. Например, если пользователь закачивает большой файл и его лимит оказывается превышен на середине процесса закачки – WinRoute все равно позволит скачать этот файл, а затем запретит доступ.

Kill all users connections immediately – наиболее полезная и долгожданная для многих администраторов опция. При превышении персонального лимита все соединения пользователя отключаются. В отличие от предыдущего пункта, даже если пользователь закачивает большой файл, при достижении лимита все его соединения отключаются. Следует помнить, что небольшая погрешность все-таки существует, так как счетчики не обновляются мгновенно. То есть в зависимости от скорости соединения пользователь все-таки немного превысит допустимый трафик (при высокой скорости величина превышения может колебаться до 1 Мб).

В закладке Content Rules можно принудительно запрещать или разрешать использование различных скриптов, таких как ActiveX, Java-Script и пр.

Настройка клиентов

Настройка клиентов крайне проста. В свойствах сетевого подключения по локальной сети указываем шлюз по умолчанию (Default Gateway) – внутренний адрес созданного нами сервера общего доступа. В качестве DNS-сервера указываем либо внутренний DNS-сервер (при наличии домена Active Directory), либо тот же внутренний адрес нашего шлюза.

Все! Принципиально новое неоспоримое преимущество нового продукта от Kerio в том, что можно забыть про указание прокси-сервера в свойствах приложений. При поступлении запроса от клиента WinRoute 6 сам определяет его тип (браузер, FTP и т. д.) и обрабатывает соответствующим образом. Больше не нужно заботиться о том, чтобы клиенты использовали прокси-сервер для просмотра веб-страниц, для контроля расхода интернет-трафика. Kerio WinRoute Firewall 6 принудительно подсчитает трафик.

Проверяем, все ли корректно настроено. На клиенте откроем интернет-браузер и попробуем посетить любую страничку. При первом подключении к ресурсам внешней сети будет выведен запрос о перенаправлении на защищенное соединение и при подтверждении выведено окно авторизации. В нем вы должны указать корректное имя пользователя и пароль. После этого авторизация будет проходить для новых соединений автоматически.

Если после авторизации запрошенная страница не открылась – попробуйте ввести адрес еще раз. Запрос авторизации появляется только один раз. Дальше (до истечения выставленного тайм-аута авторизации) авторизация осуществляется автоматически.

На этом минимальная настройка для полноценной работы закончена. Далее будут описаны продвинутые концепции: использование фильтра Cobion, ручная настройка Traffic Policy и пр. Акцентирую ваше внимание, что настройку Traffic Policy вручную рекомендуется проводить только если вы в совершенстве знаете механизмы обмена в IP-сетях. В противном случае рискуете подвергнуть локальную сеть атакам злоумышленников, а также предоставить пользователям полный неконтролируемый доступ к внешним ресурсам.

Настройка фильтров HTTP, FTP и Cobion

Переходим в консоль Content Filtering. Выбираем HTTP. Рассмотрим доступные закладки в порядке их использования:

URL Rules: Правила фильтрации контента по вхождению значений в URL ресурса. По умолчанию (и для примера) здесь уже созданы несколько правил. Разрешающие – для Windows Update и Kerio Update. А также запрещающие: для фильтрации рекламы и трафика по категориям в фильтре Cobion. Kerio умеет подменять баннеры своими собственными изображениями, чтобы форматирование страницы не рушилось. Можно либо выводить «пустое место», либо перенаправлять запрос на другой ресурс. Комплексное использование и тонкая настройка этих фильтров успешно решают проблему запрета доступа к огромному количеству нежелательных ресурсов. Использование фильтров Cobion позволяет ограничивать доступ к ресурсам не на основе маски URL, а по простому смысловому вхождению. Рассмотрим настройку фильтров на конкретном примере, поясняя неоднозначные действия. Итак:

Закладка URL Rules: Оставляем правила Windows Update и Kerio Update как есть. Устанавливаем галку на правиле «Remove Advertisement and banners», открываем правило двойным щелчком мыши. Можно переименовать правило так, как удобно, а также настроить особенности его применения.

If user accessing the URL is – здесь можно выбрать распространение правила на всех пользователей, либо указать принадлежность пользователя к группе.

And URL matches criteria – задает категорию ресурсов, на которые распространяется правило. Можно указать маску, с которой начинается ссылка, выбрать группу адресов, указать на поиск в рейтинге фильтра Cobion, а также указать, что необходимо производить данное действие над ресурсами, которые не имеют DNS-имени, а адресуются простым указанием IP-адреса. Наиболее удобные и рациональные способы – это задание групп адресов, а также использование фильтра Cobion. Группе может соответствовать много разных критериев, которые рассматриваются по принципу «OR» (логическое ИЛИ), а смысловые фильтры Cobion вообще отличаются интеллектуальным механизмом анализа запрашиваемого контента.

В разделе Action указывается действие, которое предпринимается при совпадении условий.

Закладка Advanced: здесь можно задать дополнительные критерии правила:

• Valid at time interval – задает интервал времени, в течение которого действует правило.
• Valid for IP address group – задает группу IP-адресов, на которую будет распространяться это правило.

Используя эти параметры, можно гибко настраивать правила фильтрации. Например, задав группу IP-адресов и требуемый интервал действия правила, можно запретить посещать указанные категории ресурсов в рабочее время для группы компьютеров. Например, создавая правило с «URL begin with *» и указывая рабочий временной интервал, мы запретим указанной группе пользоваться доступом в Интернет в рабочее время. Или наоборот – во внерабочее. Все зависит от корпоративной политики предприятия.

В Denial Options задается выводимое сообщение, которое появляется при совпадении условий запроса и правила. Можно перенаправлять такие запросы на заданный URL.

В закладке Content Rules задаются правила фильтрации, описанные выше, в разделе создания пользовательских шаблонов (Define User Template).

Настроим правило с использованием Cobion-фильтра. Оно уже прописано по умолчанию в HTTP-Policy – «Deny sites rated in Cobion categories». По умолчанию фильтры в Cobion отключены. Подключим необходимые вручную. Открываем правило и проверяем, что данный трафик запрещен (Deny access to Web site), а в URL matches criteria установлен переключатель: «Is rated by Cobion Content Rating system». Затем нажимаем справа кнопку «Select Rating» и галочками отмечаем категории, которые необходимо запретить. Каждая категория обладает определенным «весом», который суммируется и, исходя из него, принимается решение о разрешении/запрете объектов. В правом нижнем углу можно настроить «суммарный вес» объектов, при которых запрос к сайту будет отклонен. После этого любая попытка посетить сайт, запрещенный с точки зрения Cobion Rating, окончится выдачей запрещающей страницы с мотивацией этого запрета. То есть пользователь не просто получает отказ сервера, а видит сообщение о том, что данный ресурс входит в запрещенную категорию, с указанием ее названия.

Закладка Content Rules задает правила фильтрации HTML-объектов для всего трафика.

На закладке Cache есть возможность задать кэширование уже скачанных объектов для ускорения доступа к ним и экономии трафика. Однако экономия трафика не всегда оправдывает включение кэширования, особенно если задан большой «срок жизни» объектов (TTL). Например, нет смысла кэшировать содержимое сообщений форумов или новостных агентств. Кэширование можно настроить либо на обработку всех запросов без исключения (режим Transparent proxy), либо только тех, что исходят от программ с явными установками параметров прокси-сервера.

Параметр HTTP protocol TTL – срок хранения объектов в кэше до их обновления с оригинальных сайтов. При помощи кнопки URL Specific Settings можно задавать исключения для ресурсов по маске. Например, если HTTP protocol TTL установлен в «1», а в URL Specific Settings добавить URL: *forum* и выставить TTL=0, то ресурсы, содержащие в любом месте URL вхождение «forum», кэшироваться не будут.

В Cache Options задаются параметры кэширования данных. Опишем их назначение:

Continue Aborted Download – продолжает закачку объектов, даже если пользователь ее отменил. Не рекомендуется устанавливать эту опцию, так как потребляемый трафик увеличится непомерно.

Keep aborted file in cache – сохраняет в кэше частично закачанные файлы. Рекомендуется установить. Так как при повторном обращении частичный файл будет взят из кэша.

Cache responses «302 Redirect» – сохраняет в кэше перенаправления запросов.

Use server supplied Time-to-Live – использует параметр TTL, передаваемый целевым сервером. Можно активировать эту опцию, однако это решение спорно, так как некорректно настроенный администратором ресурса параметр TTL может задать объекту слишком большой срок жизни в кэше. Соответственно, пользователи при обращении к ресурсу получат устаревшую информацию.

Ignore server Cache-Control directive – игнорирует параметр TTL, передаваемый запрашиваемым сервером.

Always validate files in cache – проверяет обновление файла на исходном сервере при каждом запросе, независимо от TTL. Наверное, самый оптимальный параметр настройки, так как минимизирует риск выдачи клиенту устаревшей информации из кэша.

На закладке Proxy Server включается непрозрачный прокси-сервер, который и указывается явно в интернет-приложениях. В принципе, если без него все работает – указывать приложениям работу через него не требуется. Это принципиальное отличие от предыдущего продукта (Kerio WinRoute Pro 4) оказалось очень приятным нововведением для администраторов. В URL Groups задаются группы адресов, которые потом можно использовать при создании правил фильтрации.

Forbidden Words – набор правил для смыслового-фильтра, который также используется для фильтрации контента (описано выше). Он анализирует информацию подобно поисковой системе. То есть рассматривается не только сама ссылка, но и ее содержание. В этом и есть главное отличие смыслового фильтра от обычных URL-Access-Rules. Справа внизу задается лимит «суммарного веса» наличия на запрашиваемой странице запрещенных слов. Изменяя это значение, а также значения каждого слова, можно добиться оптимальной работы фильтра. Для удобства слова можно объединять в группы. Каждому запрещенному слову необходимо присвоить определенный «вес», который и будет влиять на суммарную политику доступа.

Эта фильтрация глобально применяется ко всему http-трафику и осуществляется после обработки правил URL (только в случае, если доступ к запрошенной странице разрешен).

Помимо этого WinRoute 6 имеет встроенный «Cobion Orange Filter». Включить его можно через cледующую консоль «Configuration –> Advanced Options –> Cobion Settings».

Система оценки содержания Cobion – часть системы Cobion, интегрированная в WinRoute. Она позволяет WinRoute оценивать содержание веб-страниц по категориям. Фильтр Cobion использует динамическую международную базу данных, которая включает URL и классификацию интернет-ресурсов. Каждый раз, когда пользователь пытается получить доступ к веб-странице, WinRoute посылает запрос оценки этой страницы. Согласно классификации страницы пользователю будет разрешен или запрещен доступ к странице. Для ускорения работы данные, которые были уже оценены, кэшируются и используются в течение заданного сервером периода.

На практике совокупность трех фильтров (URL, Forbidden Words и Cobion) зарекомендовала себя с лучшей стороны. Процент корректного определения запрещенных ресурсов очень велик. Однако, как и любая подобная система, она нуждается в тонкой настройке в процессе эксплуатации. Для этого существуют многочисленные настройки, описанные выше, а также Cobion White List – список ресурсов, которые не требуется оценивать при помощи запросов к базе Cobion.

Политика FTP-доступа настраивается аналогично и интуитивно понятна.

Отдельного внимания заслуживает раздел Antivirus. В дистрибутив встроен антивирусный продукт McAffee для сканирования всего трафика, проходящего через WinRoute 6. Здесь задается периодичность проверки обновлений (рекомендую выставить 1 час). Помимо проходящего HTTP- и FTP-трафика есть возможность сканировать SMTP- и POP3-трафик, отрезая зараженные вложения и (при необходимости) добавляя в тему письма модифицируемое сообщение. Кроме встроенного McAffee, имеется возможность подключать внешние антивирусы (из списка).

В настройках антивируса имеется возможность оповещать пользователя по e-mail о том, что он пытался скачать инфицированный объект, перенаправлять зараженные письма администратору, сохранять инфицированные объекты в карантине, а также добавлять в тему письма сигнальные строки. Однако оповещение по e-mail (в отличие от pop-up-сообщений) не является удобным и актуальным, поэтому проще просто блокировать объект. К сожалению, возможность посылать пользователю мгновенные всплывающие сообщения об обнаружении вируса в его трафике отсутствует.

Kerio WinRoute Firewall – очень мощное и многофункциональное средство для защиты и организации общего доступа в Интернет. Описанные возможности составляют лишь половину его функциональности. Система имеет прекрасную встроенную систему помощи (на английском языке), которая поможет получить ответы на многие вопросы, связанные с конфигурированием продукта.