Định cấu hình Máy chủ Kerio VPN để kết nối các máy khách VPN riêng lẻ. Kerio Control - cài đặt và một số cài đặt cơ bản
Trước khi làm bất cứ điều gì với các quy tắc, bạn cần phải định cấu hình các giao diện mạng một cách nhân bản, vì vậy nếu bạn chưa đọc bài viết, hãy thực hiện ngay bây giờ.
Mọi thứ được viết bên dưới đã được thử nghiệm trên KWF phiên bản 6.2.1 nhưng sẽ hoạt động trên tất cả các phiên bản 6.xx, dành cho phiên bản tiếp theo Nếu có thay đổi, tôi không nghĩ chúng sẽ đáng kể.
Như vậy, các giao diện mạng đã được cấu hình, Tường lửa Kerio Winroute đã được cài đặt, việc đầu tiên chúng ta làm là vào Cấu hình > Chính sách lưu lượng và khởi chạy Wizard. Ngay cả khi bạn đã khởi chạy nó trước đó. Chúng ta đang làm điều đúng đắn phải không?
1. Mọi thứ đều rõ ràng với bước đầu tiên và thứ hai của trình hướng dẫn, ở bước thứ ba, chúng tôi chọn giao diện mạng bên ngoài (Giao diện Internet, Trình hướng dẫn hầu như luôn xác định chính xác).
2.
Tiếp theo, bước bốn, bước quan trọng nhất.
Theo mặc định, KWF cung cấp tùy chọn “Cho phép truy cập vào tất cả các dịch vụ (không giới hạn)”, nhưng! Chúng tôi liên tục phải đối mặt với thực tế là các quy tắc KWF như vậy xử lý, nói một cách nhẹ nhàng, kỳ lạ là có vấn đề với dịch vụ :) BẤT KÌ mọi lúc.
Vì vậy, chúng tôi chọn phương án thứ hai, Chỉ cho phép truy cập vào các dịch vụ sau. Việc KWF có thể cung cấp cho bạn các dịch vụ hơi khác so với nhu cầu của bạn không thành vấn đề, nhưng tất cả những dịch vụ này có thể được thêm hoặc xóa sau đó.
3. Ở bước thứ năm, chúng tôi tạo quy tắc cho VPN, những người không cần chúng có thể xóa các hộp kiểm. Nhưng một lần nữa, bạn có thể làm điều này sau nếu bạn không chắc chắn.
4.
Bước 6 cũng khá quan trọng. Ở đây chúng tôi tạo ra các quy tắc cho những dịch vụ có thể truy cập được từ bên ngoài, từ Internet. Tôi khuyên bạn nên thêm ít nhất một vài dịch vụ, khi đó bạn sẽ dễ dàng hơn trong việc xem quy tắc đó được xây dựng như thế nào.
Ví dụ:
Dịch vụ quản trị KWF trên tường lửa
Dịch vụ RDP trên 192.168.0.15
5.
Bước bảy, đương nhiên chúng ta bật NAT, ngay cả khi không ai cần nó (tất nhiên là không thể), bạn luôn có thể tắt nó đi.
Ở bước thứ tám, nhấp vào Kết thúc.
Hóa ra chúng ta có một cái gì đó như thế này:
Một số giải thích rõ ràng cho những ai không muốn đọc hướng dẫn:
Luật lệ NAT— nó thực sự chứa những dịch vụ được phép truy cập Internet từ máy khách.
Và quy tắc Lưu lượng tường lửa- đây là quy tắc dành cho máy được cài đặt KWF.
Các quy tắc nhỏ màu đỏ dưới đây dành cho việc truy cập các dịch vụ cùng tên từ Internet.
Về nguyên tắc, bạn đã có thể làm việc, nhưng bạn cần định cấu hình KWF một chút, vì vậy tiếp theo:
6. Luật lệ Giao thông địa phương chúng tôi di chuyển lên trên cùng, vì các quy tắc được xử lý từ trên xuống dưới và vì lưu lượng truy cập cục bộ thường chiếm ưu thế so với phần còn lại, điều này sẽ giảm tải cho cổng để nó không gửi gói từ giao thông địa phương thông qua toàn bộ bảng quy tắc.
7. Trong quy tắc Giao thông địa phương Trình kiểm tra giao thức bị tắt, được đặt thành Không có.
8. Từ các quy tắc NAT và Tường lửa lưu lượng truy cập, chúng tôi loại bỏ các dịch vụ chúng tôi không cần và thêm những dịch vụ chúng tôi cần cho phù hợp. à, ví dụ vậy ICQ🙂 Tôi khuyên bạn nên suy nghĩ về những gì bạn thêm và bớt.
9. Đôi khi một số dịch vụ yêu cầu một quy tắc riêng vì những trục trặc kỳ lạ bắt đầu xảy ra cùng với những dịch vụ khác. Chà, tất nhiên, việc theo dõi cách thức hoạt động của nó sẽ dễ dàng hơn bằng cách ghi lại quy tắc này.
Một vài lưu ý:
10. Nếu bạn muốn có thể ping các địa chỉ bên ngoài từ máy khách, hãy thêm dịch vụ Ping theo quy tắc NAT.
11.
Nếu bạn hoàn toàn không sử dụng VPN, hãy tắt máy chủ VPN (Cấu hình > Giao diện > Máy chủ VPN click chuột phải> Chỉnh sửa > bỏ chọn Bật máy chủ VPN).
Bạn cũng có thể tắt giao diện Kerio VPN.
12. Nếu bạn đang sử dụng proxy gốc, hãy thêm vào Quy tắc tường lửa Cổng tương ứng lưu lượng truy cập (Nếu tiêu chuẩn là 3128 thì bạn có thể thêm Dịch vụ HTTPỦy quyền). Và sau đó, khỏi quy tắc NAT, bạn cần xóa ít nhất các dịch vụ HTTP và HTTPS.
13. Nếu bạn cần cấp quyền truy cập Internet cho một nhóm người dùng hoặc địa chỉ IP nhất định thì hãy tạo một quy tắc tương tự như NAT, chỉ có điều nguồn của nó không phải là Giao diện cục bộ mà là nhóm của bạn.
Dưới đây là một ví dụ ít nhiều giống với thực tế (tất nhiên là của tôi 🙂, nhưng không hoàn toàn).
Ví dụ.
Nhiệm vụ: phân phối Internet đến tất cả các máy tính trên mạng bằng proxy mờ, cho phép ICQ và FTP cho các nhóm được chọn và tải thư qua POP3 cho mọi người. Cấm gửi thư trực tiếp lên Internet, chỉ qua bưu phẩm. Hãy truy cập vào máy tính này từ Internet. Chà, việc tính đến các ghi chú là điều đương nhiên.
Dưới đây là các quy tắc làm sẵn:
Giải thích ngắn gọn về các quy tắc:
Giao thông địa phương- lên đến đỉnh cao, như kế hoạch.
Lưu lượng truy cập NTP— quy tắc đồng bộ hóa máy chủ thời gian (192.168.0.100) với các nguồn thời gian chính xác trên Internet.
Giao thông ICQ— quy tắc cho phép nhóm người dùng “Cho phép nhóm ICQ” sử dụng ICQ.
Lưu lượng truy cập FTP— một quy tắc cho phép nhóm người dùng “Cho phép Nhóm FTP” tải xuống các tệp từ máy chủ FTP.
NAT cho tất cả— còn lại rất ít NAT (chúng tôi truy cập Internet thông qua proxy) chỉ có thư miễn phí và Ping Internet Tất cả người dùng mạng đều được phép.
Lưu lượng tường lửa- mọi thứ đều rõ ràng với điều này, các dịch vụ được phép cho tường lửa. Xin lưu ý rằng dịch vụ SMTP đã được thêm vào đây (nếu người gửi thư không ở trên cùng máy tính với winrout, bạn cần tạo một quy tắc riêng) và cổng 3128 cho proxy gốc.
Ping dịch vụ— quy tắc cần thiết để ping máy chủ của chúng tôi từ bên ngoài.
Quản trị viên từ xa— quy tắc để truy cập bên ngoài vào bảng điều khiển KWF và KMS cũng như vào giao diện web của chúng.
Dịch vụ Kerio VPN— một quy tắc để truy cập từ các máy khách Kerio VPN bên ngoài.
Dịch vụ Giành được VPN
— quy tắc truy cập từ các máy khách bên ngoài của Windows VPN gốc
RDP dịch vụ— quy tắc truy cập từ các máy khách bên ngoài của thiết bị đầu cuối Windows (nhưng tốt hơn qua VPN).
Cài đặt Máy chủ Kerio VPN kết nối VPN riêng lẻ khách hàng.
Máy chủ VPN được sử dụng để kết nối các đầu xa của đường hầm VPN và khách hàng từ xa sử dụng Máy khách Kerio VPN .Máy chủ VPN có sẵn trên tab Giao diện (Giao diện) trong phần Cài đặt/Giao diện (Cấu hình/Giao diện) như một giao diện riêng biệt.
Chúng tôi đi đến tab này và trong số các giao diện, chúng tôi thấy Máy chủ VPN mong muốn. Nhấn đúp chuột trên giao diện máy chủ VPN mở ra hộp thoại cho phép bạn thiết lập các thông số máy chủ VPN (bạn cũng có thể đánh dấu giao diện và nhấp vào Chỉnh sửa hoặc chọn Chỉnh sửa từ menu ngữ cảnh).
Trong cửa sổ mở ra, bạn cần kích hoạt máy chủ VPN (Bật máy chủ VPN). Và chỉ định địa chỉ IP của mạng cho Máy khách VPN. Trong mạng của tôi, tất cả người dùng cục bộ đều có địa chỉ như 192.168.100.xxx và tất cả máy khách VPN có 192.168.101.xxx
Theo mặc định (lúc đầu bắt đầu sau khi cài đặt) WinRoute tự động chọn một mạng con miễn phí để sử dụng cho VPN. Trong điều kiện bình thường, không cần thay đổi mạng mặc định. bạnĐảm bảo rằng mạng con máy khách VPN không xung đột với mạng con cục bộ!
Trên tab DNS bạn phải chỉ định máy chủ DNS s sẽ được gán cho máy khách VPN của bạn. Điều này có thể cần thiết trong mạng miền nơi yêu cầu quyền truy cập vào máy tính bằng tên NS.
Sử dụng máy chủ đặc biệt DNS (Sử dụng máy chủ DNS cụ thể) Tùy chọn này cho phép bạn chỉ định máy chủ DNS chính và phụ cho máy khách VPN. Nếu mạng cục bộ không sử dụng Chuyển tiếp DNS và một máy chủ DNS khác, sau đó sử dụng tùy chọn này.
Người dùng của tôi không sử dụng tên NS, vì vậy tôi để lại mọi thứ ở đây mà không có ngoại lệ.
Tôi cũng không cần tab Nâng cao nhưng chúng tôi vẫn sẽ viết về nó.
Cổng nghe - Cổng mà máy chủ VPN chấp nhận các kết nối đến (sử dụng giao thức TCP và UDP). Cổng mặc định là 4090 (trong điều kiện bình thường không cần thay đổi cổng).
Ghi chú:
- Nếu máy chủ VPN đang chạy, khi cổng được thay đổi, kết nối với tất cả các máy khách VPN sẽ tự động bị ngắt kết nối.
- Nếu máy chủ VPN không thể chạy trên cổng được chỉ định (cổng đang được dịch vụ khác sử dụng), thông báo lỗi sau sẽ xuất hiện trong Nhật ký lỗi (xem chương Nhật ký lỗi) khi bạn nhấp vào Áp dụng: (4103:10048) Lỗi ổ cắm: Không thể liên kết ổ cắm dịch vụ với cổng 4090.
(5002) Không khởi động được dịch vụ "VPN"
bị ràng buộc vào địa chỉ 192.168.1.1.Để đảm bảo rằng cổng được chỉ định thực sự trống, hãy kiểm tra Nhật ký lỗi để biết các mục tương tự.
Tuyến đường tùy chỉnh
Trong phần này, bạn có thể xác định các mạng khác sẽ thiết lập tuyến đường nào thông qua đường hầm VPN. Theo mặc định, các tuyến đường tới tất cả đều được xác định mạng con cục bộ từ phía máy chủ VPN - xem chương Trao đổi thông tin định tuyến).
Khuyên bảo: sử dụng netmask 255.255.255.255 để xác định tuyến đường đến một máy chủ cụ thể. Điều này có thể hữu ích, chẳng hạn như khi thêm tuyến vào một nút trong DMZ từ máy chủ VPN.
Quy tắc đầu tiên cho phép người dùng Internet truy cập máy chủ VPN bằng giao thức Kerio VPN (cổng 4090).
Đây là nơi người dùng được kết nối sẽ được hiển thị. Trong cài đặt của chính người dùng, bạn có thể định cấu hình xem máy chủ VPN sẽ cấp địa chỉ cho máy khách hay bạn có thể chỉ định một địa chỉ IP cụ thể trên mạng cho từng máy khách VPN.
Đó là tất cả. Nếu có gì chưa rõ xin vui lòng hỏi tại đây.
Cách định cấu hình phân phối Internet tới người dùng thông qua NAT trong Tường lửa Kerio Winroute. Định cấu hình NAT trong Tường lửa Kerio Winroute.
Được cho - máy chủ Windows 2003 Server EE, với tường lửa Kerio Winroute 6.4.2 được cài đặt và cấu hình.
Nhiệm vụ - Đưa quản trị viên hệ thống lên Internet không phải thông qua proxy như những người khác mà thông qua NAT. Vì vậy, contra và webmoney có thể được tung ra. Đi...
Đầu tiên chúng ta hãy tạo một quy tắc mới trong phần Chính sách giao thông. Nó sẽ được gọi đầu tiên Quy tắc mới.
Tiếp theo bạn cần thêm một nguồn. Đó là máy tính của người sẽ có quyền truy cập Internet. Trong trường hợp của chúng tôi đây là một máy tính quản trị hệ thống. tôi đã viết Tên DNS máy tính trong miền - sysadmin.local. Bạn cũng có thể viết địa chỉ IP. Tùy theo hoàn cảnh.
Sau khi thêm Nguồn cần thêm và Điểm đến. Trong trường hợp của chúng tôi, đây là kết nối mạng có tên Internet. Nhấp chuột Thêm -> Giao diện mạng và chọn kết nối Internet của chúng tôi từ danh sách.
Sau khi thêm các tham số này vào quy tắc của chúng tôi. Có thể nói, chúng tôi gợi ý cho máy tính rằng chiếc ô tô sysadmin.local có quyền truy cập vào Kết nối mạng Internet. Tiếp theo, chúng ta cần chỉ định loại kết nối, cổng và dịch vụ mà nó sẽ có quyền truy cập này.
Trong lĩnh vực Dịch vụ chúng tôi sẽ không thêm bất cứ điều gì. Ở đó đã có ý nghĩa rồi Bất kì. Obo nói rằng quyền truy cập được mở cho tất cả các cổng và dịch vụ.
Trong tab Dịch mặc định là trống. Chúng tôi không quan tâm đến điều này, vì vậy hãy nhấp vào cánh đồng trống trên tab Dịch và chúng tôi thấy một cửa sổ (Chỉnh sửa bản dịch) Cài đặt NAT trước mặt bạn.
Chúng tôi chỉ cần giải phóng người dùng lên Internet trên tất cả các cổng. Vì vậy chúng tôi chọn phương án "Dịch sang địa chỉ IP của giao diện gửi đi (cài đặt thông thường)". Với quy tắc này, chúng tôi nói với Kerio rằng tất cả lưu lượng truy cập đi từ người dùng phải được phát trực tiếp lên Internet. Bạn có thể chọn bất kỳ giao diện nào nơi các gói sẽ được phát và địa chỉ IP. Nhưng bây giờ chúng ta không cần nó.
Nhấn OK và xem quy tắc của chúng tôi. Mọi thứ có vẻ ổn nhưng lại không thành công :) Tại sao?
Quên cho phép quy tắc và nhấp vào nút Áp dụng. Để kích hoạt quy tắc, hãy nhấp vào trường trống trong tab Hoạt động và chọn tham số ở đó Cho phép làm gì.
Bây giờ quy tắc của chúng tôi trông như thế này:
Và nó hoạt động. Người dùng có quyền truy cập Internet gửi đi NATed. Có thể chơi counter, Warcraft và chạy Webmoney.
Tôi đã kế thừa từ quản trị viên trước một hệ thống phân phối Internet rất tinh vi. UserGate 2.8 đã được cài đặt trên Windows XP. Bản thân chiếc xe đã có 2 giao diện mạng(mạng nội bộ và internet). Tất cả điều này đã chạy trên một máy tính để bàn thông thường. Cấu trúc logic Việc phân phối cũng rất thú vị:
1. Tất cả người dùng được chia thành các nhóm tùy thuộc vào hạn ngạch lưu lượng được phân bổ (tức là 100mb, 200mb, 300mb, chỉ ICQ, v.v.) Có khoảng 10 nhóm.
2. Việc ủy quyền người dùng diễn ra bằng địa chỉ IP của máy tính (khi công ty có 20 máy tính trong một nhóm làm việc với địa chỉ tĩnh mọi thứ vẫn có thể chấp nhận được, nhưng hiện tại có khoảng 150 người dùng, tương đương với số lượng máy tính).
Các vấn đề khác cũng xuất hiện theo thời gian:
1. Số lượng người dùng ngày càng tăng.
2. Việc ủy quyền bằng IP mang lại nhiều vấn đề. Rất khó để theo dõi chuyển động của người dùng và lưu lượng truy cập của người dùng vẫn không được bảo vệ.
3. Cơ sở hạ tầng của công ty với nhóm làm việcđã được chuyển sang miền.
4. Tính ổn định trong công việc của nhà cung cấp còn nhiều điều chưa được mong đợi. Do đó, Internet đã được kết nối từ một nhà cung cấp khác.
5. Phần cứng mà proxy đang chạy không tồn tại được lâu.
Tôi đã chuẩn bị kế hoạch chuyển sang máy chủ proxy khác.
Hãy bắt đầu nào. Lập kế hoạch
1. Chúng ta cần quyết định xem chúng ta muốn gì (tức là chúng ta cần chức năng gì).
2. Tất cả những điều này sẽ hoạt động trên nền tảng nào?
3. Cách phân quyền người dùng
4. Cách tách người dùng.
5. Những món quà khác.
Câu trả lời từng điểm một.
1. Yêu cầu:
1.1 Chúng tôi cần một máy chủ proxy lắng nghe giao diện cục bộ trên cổng cụ thể và đưa ra yêu cầu tới 2 giao diện mạng khác nhìn vào Internet.
1.2 Cũng cần phân phối tải giữa 2 nhà cung cấp và chuyển hướng yêu cầu đến một nhà cung cấp nếu nhà cung cấp kia không thành công.
1.3 Hỗ trợ NAT cũng cần thiết để vận hành máy chủ thư.
1.4 Nhóm người dùng phải được lấy từ AD và được xác thực bằng mật khẩu tài khoản của họ.
1.5 Khả năng cấp hạn ngạch cho người dùng dựa trên số megabyte nhận được.
1.6 Chính sách HTTP và FTP linh hoạt.
1.7 Thống kê máy chủ web dành cho người dùng
2. Nền tảng:
Nền tảng được chọn là máy ảo trên máy chủ Xen.
Các tùy chọn sau được coi là sự kết hợp OS+proxy.
FreeBSD+mực+ipfw+Samba+SARG (FreeBSD + mực + ipfw + SAMBA + )
Windows+UserGate 5 (www.usergate.ru/)
Tường lửa Windows+Kerio Winroute 6 (www.kerio.ru/ru/firewall)
Lựa chọn được thực hiện trên Windows+Kerio Winroute Tường lửa 6 (Tôi sẽ cho bạn biết lý do tại sao Kerio trong bài viết tiếp theo)
3 Phân quyền người dùng.
Nó đã được quyết định sử dụng Thư mục hoạt động làm cơ sở dữ liệu người dùng và cho phép sử dụng thông tin đăng nhập và mật khẩu từ AD.
4. Hệ thống hạn ngạch đã được đơn giản hóa thành 4 nhóm - 300mb, 500mb, unlim, ICQ + các trang web công ty.
Triển khai và vận hành.
1. Vì đã quyết định chuyển máy chủ proxy sang máy chủ ảo hóa (đã được thảo luận). Cần phải thêm 2 card mạng(để kết nối Internet). Làm thế nào điều này được thực hiện được mô tả.
2. Tạo VM và dừng Windows XP. Chúng tôi thực hiện tất cả các cài đặt cần thiết cho hệ điều hành.
3. Thiết lập mạng. Giao diện cục bộ đầu tiên nhận tất cả cài đặt từ DHCP (chạy trên bộ điều khiển miền)
Giao diện thứ hai được đặt trong mạng con 192,168,1,0
Giao diện thứ ba được đặt trong mạng con 192,168,2,0
Modem được kết nối với chúng.
Chúng tôi kiểm tra chức năng mạng bằng lệnh traceroute và ping.
4. Cài đặt tường lửa Kerio Winroute
5. Và thiết lập nó (chúng tôi lấy tài liệu từ trang web kerio).
Không có gì khó khăn về các cài đặt. Nhưng có một số cạm bẫy.
1. Khi nào cài đặt tự nhiênđối với máy chủ thư, chúng tôi chuyển tất cả lưu lượng truy cập đi đến cổng 110 và 25 sang địa chỉ IP của máy chủ thư. Sự cố xảy ra nếu một trong những người dùng sử dụng thư trên máy chủ của bên thứ ba (ví dụ: mail.ru và google.ru) thông qua khách hàng email. Giải pháp cho vấn đề này có thể là sử dụng thư thông qua giao diện web của các trang web này hoặc thiết lập chuyển tiếp thư từ trang web của bên thứ ba đến máy chủ thư của công ty.
2. Bởi vì có sự phân bổ tải và khả năng chịu lỗi của 2 kênh thì trong bản ghi DNS của bạn miền thư thật hợp lý khi thực hiện một số thay đổi.
Ví dụ
bạn có một mục trong DNS
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
trong đó xxx.xxx.xxx.xxx là địa chỉ IP được nhà cung cấp của bạn cung cấp cho bạn
thực hiện một mục khác
MX xxx.xxx.xxx.xxx 20 mail.domen.ru
trong đó xxx.xxx.xxx.xxx là địa chỉ IP do nhà cung cấp thứ hai cấp cho bạn.
Với các bản ghi máy chủ DNS như vậy chuyển tiếp bưu chính sẽ kiểm tra tính khả dụng của IP đầu tiên và nếu không có, hãy gửi thư đến địa chỉ IP thứ hai.
3. Nếu bạn thay đổi cổng và địa chỉ của máy chủ proxy, thì để không phải chạy quanh văn phòng, bạn chỉ cần chính sách nhóm chỉ định cài đặt máy chủ proxy sẽ được áp dụng tự động. Nhưng điều này áp dụng cho những trình duyệt có tùy chọn Lấy cài đặt proxy từ hệ thống trong cài đặt của chúng. Ví dụ: nếu người dùng có thiết lập proxy thủ công trong Mozilla, thì anh ta vẫn sẽ phải truy cập vào đó. Mặc dù... tôi không thể nói chắc chắn vì... tất cả người dùng trong công ty của tôi đều sử dụng IE.
4. Kerio có một nhược điểm lớn. Không có cách nào để chỉ định hạn ngạch cho một nhóm. Có mẫu hạn ngạch cho tất cả người dùng hoặc bạn cần đặt hạn ngạch theo cách thủ công cho từng người dùng.
Vâng, có vẻ như vậy đó.
Bây giờ máy chủ đang ở chế độ chuyển tiếp, tức là. chúng tôi ngắt kết nối máy khách khỏi máy khách cũ và kết nối chúng với máy khách mới. Ngày nay, Kerio được khoảng 65 người dùng sử dụng. Vấn đề đặc biệt ngoài những điều được mô tả ở trên, không được chú ý.
Vì vậy, cảm ơn tất cả các bạn đã quan tâm. Chơ để biết thêm.
Tường lửa Kerio Winroute, thiết lập quy tắc, hạn ngạch người dùng
Bài tập:
1) Cài đặt từ thư mục Tường lửa Proxy\Kerio Winroute trên đĩa CD phần mềm Kerio Winroute Tường lửa 6.0.4 và cấu hình chương trình này để nó hoạt động như một máy chủ proxy, cung cấp cho máy khách (máy tính ảo dưới Kiểm soát cửa sổ 98) truy cập máy chủ Web trên máy tính của giáo viên. trong đó bộ điều hợp mạng Kết nối mạng cục bộ sẽ hoạt động như giao diện được kết nối với Internet (công khai) và VMware Network Adapter VMnet1 sẽ hoạt động như giao diện được kết nối với mạng cục bộ nội bộ (riêng tư).
2) Tạo người dùng TestUser bằng cách kiểm tra mật khẩu trong cơ sở dữ liệu nội bộ của Tường lửa cá nhân Kerio và định cấu hình các quyền của người dùng để có thể truy cập Internet. Cung cấp cho anh ta hạn ngạch Internet là 50 MB mỗi ngày và 500 MB mỗi tháng. Thay mặt người dùng này, hãy kết nối với máy chủ Web trên máy tính của giáo viên, sau đó thay mặt họ xem nhật ký công việc và hạn ngạch còn lại.
Ghi chú. Người dùng nội bộ Kerio (không phải người dùng Miền Windows 2000) được sử dụng vì trong quá trình thực hiện điều này công việc trong phòng thí nghiệm chúng tôi không có cách nào để kết nối với bộ điều khiển miền.
3) Sau khi hoàn thành bài thực hành, hãy tắt ảo máy tính Windows 98 và xóa Tường lửa Kerio WinRoute bằng bảng điều khiển Thêm/Xóa Chương trình.
Đáp án bài 1:
1) Chạy tệp kerio-kwf-6.0.4-win.exe từ thư mục Tường lửa Proxy\Kerio WinRoute. Trên màn hình Loại cài đặt, chọn loại cài đặt Tùy chỉnh và trên màn hình tiếp theo, đảm bảo rằng tất cả các thành phần đã được chọn (không cần cài đặt trợ giúp bằng tiếng Séc).
2) Trên màn hình Tài khoản quản trị, để tên quản trị viên mặc định là Quản trị viên và gán mật khẩu P @ssw 0rd cho nó.
3) Trên màn hình Truy cập từ xa, đảm bảo hộp kiểm Truy cập từ xa đã được chọn.
4) Nếu cảnh báo Windows xuất hiện cho biết thành phần Bộ điều hợp Kerio VPN chưa vượt qua quá trình kiểm tra khả năng tương thích của Windows, hãy nhấp vào nút Vẫn tiếp tục.
5) Sau khi hoàn tất cài đặt Tường lửa Kerio WInRoute, hãy khởi động lại máy tính của bạn.
6) Sau khi khởi động lại, hãy trả lời Có khi được nhắc khởi chạy Bảng điều khiển quản trị Kerio. Trong cửa sổ Kết nối mới, kiểm tra các tham số kết nối được cung cấp cho bạn và nhập mật khẩu. Cửa sổ Network Rules Wizard sẽ mở ra. Trên màn hình đầu tiên, nhấp vào nút Tiếp theo.
7) Trên màn hình Type of Internet Connection, để nút gạt ở vị trí hướng lên (Ethernet, DSL, modem cáp hoặc loại khác).
8) Bật Màn hình Internet Bộ chuyển đổi chọn bộ chuyển đổi Khu vực địa phương Sự liên quan.
9) Trên màn hình Chính sách gửi đi, hãy để nút gạt ở vị trí Chỉ cho phép truy cập vào các dịch vụ sau và chỉ để lại các hộp kiểm đối diện với các dòng HTTP, HTTPS, FTP và DNS.
10) Trên màn hình Máy chủ VPN, đặt nút chuyển thành Không.
11) Trên màn hình Chính sách gửi đến, nhấp vào nút Tiếp theo mà không xác định bất kỳ máy chủ nội bộ, mà người dùng có thể truy cập được từ Internet.
12) Trên màn hình Chia sẻ Internet (NAT), để nút gạt ở vị trí Bật NAT và trên màn hình tiếp theo, nhấp vào nút Kết thúc. Hãy xem các tùy chọn cấu hình cơ bản cho Tường lửa Kerio Winroute từ bảng điều khiển quản trị của nó. Mở rộng nút Lọc nội dung, trong đó - Chính sách HTTP, chuyển đến tab Máy chủ proxy và xem các giá trị trong nhóm "Tùy chọn chung".
13) Khởi động máy tính ảo chạy Windows 98 trong VMWare Workstation và nhấp vào biểu tượng Internet Explorer trên màn hình nền. Cửa sổ Trình hướng dẫn kết nối Internet sẽ mở ra. Đặt nút chuyển sang vị trí "Thiết lập kết nối Internet theo cách thủ công" và nhấp vào nút "Tiếp theo".
14) Trên màn hình tiếp theo, đặt nút chuyển thành "Tôi kết nối Internet thông qua mạng nội bộ" và nhấp vào nút "Tiếp theo".
15) Trên màn hình tiếp theo, bỏ chọn " Tự động phát hiện máy chủ proxy" và kiểm tra " Cài đặt thủ công máy chủ proxy".
16) Trên màn hình tiếp theo, chọn hộp kiểm “Một máy chủ proxy cho tất cả các giao thức” và trong trường Máy chủ proxy cho HTTP, nhập địa chỉ IP của giao diện VMNet 1, trong trường cổng - 3128. Nhấp vào Tiếp theo hai lần, sau đó nhấp vào nút "Sẵn sàng".
17) B thanh địa chỉ Internet Explorer nhập
HTTP://London
và xem trang mở ra.
Đáp án bài 2:
1) Trong cửa sổ Bảng điều khiển quản trị, mở rộng nút Người dùng và Nhóm và nhấp vào dòng Người dùng. Trên tab Tài khoản người dùng, nhấp vào nút Thêm. Cửa sổ Trình hướng dẫn tạo người dùng mới sẽ mở ra.
2) Trên màn hình đầu tiên - Chung, nhập tên người dùng TestUser và mật khẩu (ví dụ: test). Đảm bảo rằng Cơ sở dữ liệu người dùng nội bộ được chọn trong dòng Xác thực và nhấp vào nút Tiếp theo.
3) Trên màn hình Nhóm và Quyền, để nguyên các giá trị mặc định.
4) Trên màn hình Hạn ngạch, chọn hộp kiểm Bật giới hạn hàng ngày và Bật giới hạn hàng tháng, đồng thời đặt giới hạn hàng ngày thành 50 MB và giới hạn hàng tháng thành 500 MB. Để nguyên màn hình Nội dung và Đăng nhập tự động ở giá trị mặc định. Bấm vào nút Kết thúc.
5) Sau khi tạo người dùng, hãy chuyển đến tab Tùy chọn xác thực và chọn hộp kiểm Luôn yêu cầu người dùng được xác thực khi truy cập trang web. Bấm vào nút Áp dụng.
6) Đi đến nút Lọc nội dung -> Chính sách HTTP. Trên tab Quy tắc URL, nhấp vào nút Thêm. Trong trường Mô tả, nhập Từ chối Tất cả. Trong nhóm Hành động, đặt nút radio thành Từ chối quyền truy cập vào trang Web (để tất cả các điều khiển khác ở giá trị mặc định) và nhấp vào OK.
7) Nhấp lại vào nút Thêm, nhập TestUser Allowed vào trường Mô tả, chuyển nút gạt bên dưới sang Người dùng đã chọn và nhấp vào nút Đặt. Thêm TestUser vào danh sách Người dùng đã chọn. Để nguyên tất cả các thông số khác và nhấn OK. Sau đó sử dụng các nút mũi tên ở bên phải màn hình để thay đổi sắp xếp lẫn nhau các quy tắc bạn đã tạo sao cho quy tắc TestUser Allowed ở trên Deny All và nhấp vào nút Apply. Khởi động lại Tường lửa cá nhân Kerio để xóa dữ liệu quyền được lưu trong bộ nhớ cache.
8) Khởi động lại máy tính ảo Windows 98, sau đó mở Internet Explorer và truy cập http://london. Cửa sổ Cảnh báo bảo mật xuất hiện cảnh báo bạn rằng chứng chỉ không thể được xác minh. bấm vào nút Có.
9) Trong cửa sổ Trang xác thực tường lửa (được mở qua kết nối an toàn) nhập tên người dùng và mật khẩu Kiểm tra. Sau một cảnh báo bảo mật khác, trang Web sẽ mở ra trên máy tính của giáo viên.
Ghi chú.Đôi khi lời nhắc tên người dùng và mật khẩu xuất hiện trong phần cài đặt sẵn cửa sổ Windows. Để mở trang xác thực một cách rõ ràng, hãy nhập HTTP://192.168.X.1:4080 vào trình duyệt Web của bạn.
10) Để xem số liệu thống kê cho người dùng, bạn phải quay lại trang xác thực (sử dụng nút Quay lại) và nhấp vào liên kết Trang chỉ mục, sau đó nhấp vào Thống kê.
11) Để xóa Tường lửa Kerio Winroute, hãy sử dụng bảng điều khiển Thêm/Xóa Chương trình trong Bảng Điều khiển.
