Даже у маленькой фирмы могут быть большие секреты, которые ей надо защищать от посторонних глаз. А значит, есть потенциальная угроза для любителей чужих секретов. Для защиты от несанкционированого доступа на компьютеры локальной корпоративной сети через доступ в Сеть нужен файрвол. Если вы ищете корпоративный файрвол, то присмотритесь к продукту компании Kerio — Kerio WinRoute Firewall. Довольно многим известен брандмауэр Kerio для частного пользователя, с осени 2006 года у русских пользователей есть и корпоративный продукт (в других странах он продавался и раньше).

Kerio WinRoute Firewall от Kerio Technologies Inc. – это интегрированное решение, включающее брандмауэр, VPN-сервер, антивирус и контентный фильтр и предназначенное для защиты корпоративных сетей предприятий малого и среднего бизнеса.

Основные возможности этого брандмауэра:

• собственно межсетевой экран с очень гибкой настройкой политик доступа для каждого пользователя;
• встроенный VPN-сервер;
• встроенная антивирусная защита;
• управление доступом к веб-сайтам;
• контентная фильтрация;
• поддержка всех технологий доступа в Интернет: DSL, ISDN, кабельных, спутниковых, беспроводных и диалап-соединений;
• поддержка VoIP и UPnP;
• возможность удаленного администрирования.

Интерфейс программы

Правила для межсетевого экрана администратор может настроить как самостоятельно, так и с помощью мастера в восемь шагов. Последнее особенно удобно для начинающих администраторов: упрощается процесс настройки. Все правила отображаются в одной-единственной закладке, что также упрощает повседневную работу. Единственной потенциальной трудностью для сисадминов можно назвать отсутствие русскоязычного интерфейса и файла помощи. Но, покопавшись в Сети, можно найти немного устаревший, но все же актуальный мануал.

Особенностью данного файрвола можно назвать возможность мониторинга используемых протоколов, в том числе и специфических протоколов, не относящихся непосредственно к IP-трафику. Эта функция позволяет контролировать и защищать специфические приложения, необходимые для бизнес-деятельности компаний.

Ограничение пропускной способности для пользователей

Сам же интернет-канал может контролироваться не только по типовым для брандмауэров критериям (протоколам, портам, пользователям и так далее), но и по пропускной способности канала. Эта возможность особо ценна для фирм, активно использующих в своей деятельности IP-телефонию. Такая функция контроля называется Bandwidth Limiter и позволяет устанавливать конкретные параметры пропускной способности канала связи для определенных пользователей.

В Kerio WinRoute Firewall реализована своя технология работы с VPN-каналами. Проблему совместимости технологий VPN и NAT удалось решить с помощью функции NAT Traversal, которая обеспечивает стабильную работу VPN с NAT, в том числе множественными NAT-шлюзами. Проблемы несовместимости решены за счет того, что теперь разрешается сетевым приложениям определять присутствие устройства NAT, настраивать его и устанавливать необходимые соответствия между портами. Благодаря этому настройка VPN-соединений теперь очень проста.

Совмещение антивирусной и межсетевой защиты — идея далеко не новая и реализованная у многих разработчиков ПО. Особенностью Kerio WinRoute Firewall можно назвать то, что компания не производила собственных разработок антивирусных механизмов, а интегрировала в брандмауэр (как и в свой почтовый сервер Kerio Mail Server) отличную разработку от компании McAfee Security — антивирус McAfee. Такая интегрированная защита позволяет избежать конфликтов антивирусных программ, если иные антивирусы установлены на других серверах компании. Более того, интегрирование антивирусного движка в механизм защиты позволило дополнительно использовать (помимо встроенного McAfee) и другие антивирусные средства, инсталлированные на сервере с Kerio WinRoute Firewall. Для этого достаточно выбрать нужный антивирус из списка. Заметим только, что список поддерживаемых вторичных антивирусных защит не очень большой и ограничивается только семью продуктами.

Kerio WinRoute Firewall как со встроенной антивирусной защитой

Надо заметить, что такое совмещение брандмауэра и антивируса добавляет гибкости при выборе продуктов для обслуживания корпоративной сети. Можно приобрести Kerio WinRoute Firewall как со встроенной антивирусной защитой, так и без нее, если у вас уже есть удовлетворяющий вас охотник за вирусами.

Также дополнительной полезной опцией можно рассматривать дополнительный компонент ISS Orange Web Filter. Этот фильтр содержит подробную категоризацию веб-сайтов (всего около 60 категорий — новости, покупки, спорт, путешествия, порнография и так далее). Сортировке подверглись около 60 млн веб-сайтов и более 4,4 млн веб-страниц на 15 языках. Эта функция позволяет настроить Kerio WinRoute Firewall для автоматической блокировки доступа пользователей к сайтам той или иной категории. Доступ можно ограничивать как на уровне пользователей, так и на уровне групп пользователей.

С ростом неограниченного доступа в Интернет по высокоскоростным каналам растет вероятность использования сотрудниками корпоративного трафика в целях загрузки файлов из файлообменных сетей (KaZaA, eDonkey, eMule или DC++). С целью облегчения работы администраторов по выявлению таких фактов в Kerio WinRoute Firewall встроена функция блокировки работы P2P-клиентов. Также можно воспользоваться статистическим анализом трафика для выявления и нейтрализации неизвестных файлообменных сетей. Возможен аналогичный контроль трафика и по протоколу FTP.

Что касается фильтрации HTTP-трафика, то надо отметить возможность определять порядок обработки ActiveX-объектов и Java-скриптов для предотвращения доставки потенциально опасных вредоносных кодов через межсетевой экран. Также можно блокировать всплывающие окна любых типов, гарантируя комфортный веб-серфинг для сотрудников компании.

Активный поиск информации в Интернете по поводу обнаруженных уязвимостей Kerio WinRoute Firewall дал только одно упоминание. И то выявленная уязвимость легко устранялась апгрейдом до последней версии.

Шлюзовый брандмауэр Kerio WinRoute Firewall 6 от компании Kerio Technologies Inc. обеспечивает общий контролируемый доступ в Интернет и защиту от внешних атак и вирусов. Кроме того, он обеспечивает ограничение доступа к сайтам различной тематики и ограничение в работе пиринговых сетей. Разработанный специально для корпоративных сетей предприятий среднего и малого размера, этот файрвол является достаточно привлекательным в плане соотношения цена/качество, обеспечивая высокий уровень защиты.

Системные ограничения
Kerio WinRoute Firewall:

• процессор: Pentium III;
• оперативная память: 256 Mб RAM;
• свободное дисковое пространство: 20 Mб (также необходим дополнительный объем диска для файлов-отчетов и кеш-функции в зависимости от индивидуальных настроек);
• два сетевых интерфейса (включая диалап);
• операционная система Windows 2000/XP/2003.

Kerio VPN Client:

• процессор: Pentium III;
• оперативная память: 128 Mб RAM;
• свободное дисковое пространство: 5 Mб;
• операционная система Windows 2000/XP/2003.