ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 179
Скачиваний: 6
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
| 2.8 Настройка Proxy-сервера Kerio Control – новая версия достаточно старого и заслужившего широкую известность продукта Kerio WinRoute Firewall. Эта программа позиционировалась на рынке в первую очередь как корпоративный брандмауэр, надежное средство защиты интернет-шлюза от всех видов внешних угроз. Тем не менее, в ней реализован полноценный прокси-сервер, позволяющий организовать групповую работу сотрудников компании в Интернете. Фактически, Kerio Control полноценное решение, которое позволяет организовать интернет-шлюз и обезопасить его от вирусов и атак. Окно программы показано на рисунке 2.25. Рисунок 2.25 – Окно программы Начинать разбор продукта Kerio Control стоит с его возможностей по защите корпоративной сети. В первую очередь стоит отметить, конечно же, антивирус. У рассматриваемой программы есть версия со встроенным антивирусным модулем Sophos, который может контролировать трафик, передаваемый по протоколам SMTP, POP3, HTTP и FTP. Помимо этого, Kerio Control может использовать и внешние антивирусы от известных производителей. Стоит отметить, что работать | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 58 | ||
| они могут как отдельно друг от друга, так и совместно, обеспечивая последовательную проверку всей информации. Есть в Kerio Control и полноценный файрволл, работающий на уровне приложений. Он позволяет задавать гибкие политики контроля входящего и исходящего трафика. Стоит отметить, что файрволл имеет сертификат ICSA Labs. И хотя этот сертификат в нашей стране формально не дает продукту никаких преимуществ, его наличие говорит о качестве программы и надежности предоставляемой ею защиты. Из дополнительных инструментов обеспечения безопасности в Kerio Control есть система предотвращения вторжений (IPS) и VPN-сервер. Первый модуль защищает корпоративную информационную систему в целом и интернет-шлюз в частности от различного типа атак. Для этого в нем есть такие механизмы, как сигнатурный анализ пакетов данных, база данных правил безопасности, черный список IP-адресов и пр. VPN-сервер может использоваться для создания VPN-туннелей между удаленными офисами компании, а также безопасного подключения сотрудников к корпоративной сети через интернет. Также в Kerio Control существует система фильтрации по MAC-адресам, которая позволяет уменьшить риск несанкционированного использования подключения к Интернету. Особого упоминания заслуживает реализованная в рассматриваемом продукте технология Kerio Web Filter. Суть ее заключается в блокировании доступа к сайтам по категориям. Она позволяет, например, запретить просмотр социальных сетей, проектов с содержанием для взрослых и пр. Всего, база данных разбита на 53 категории, а ее поддержкой занимается компания Kerio. Что касается организации работы пользователей, то здесь возможности Kerio Control не столь широки. Впрочем, и их вполне достаточно для комфортного использования. Начать нужно с того, что в рассматриваемом продукте есть все необходимое для построения производительного интернет-шлюза. Организовать коллективную работу сотрудников можно как с помощью обычного прокси- сервера, так и с использованием технологии NAT. Кроме того, в Kerio Control | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 59 | ||
| реализованы некоторые дополнительные возможности, например, DHCP-сервер, который позволяет организовать работу в небольших сетях. Важной особенностью Kerio Control являются функции по увеличению эффективности работы в Интернете. К ним относится восстановление связи при обрыве, автоматическое переключение на резервный канал при необходимости, одновременное использование нескольких подключений к глобальной сети с распределением нагрузки между ними. В плане управления пользователями рассматриваемый продукт обеспечивает все необходимые возможности. Это и интеграция с Active Directory, и установка лимитов на потребляемый сотрудниками трафик, и полный мониторинг использования Интернета, и многое, многое другое. Таким образом, Kerio Control – полноценное решение для организации интернет-шлюза, в котором есть все необходимое для организации коллективной работы сотрудников в Интернете, однако основной упор сделан на безопасность локальной сети [21].
До проектирования ЛВС организации ООО «Кварц Групп» рабочие компьютера расположенные в производственных цехах были не настроены и не подключены к ЛВС организации. Следовательно, при объединении сети в единую была выполнена настройка рабочих мест. А именно, настроена учетная запись пользователей и права на сервере, подключены корпоративно доступные ресурсы организации с правами на внесение изменений и возможностью удаления.
VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 60 | ||
| если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств. Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN’ы только в коммутаторе. Эту технологию будем рассматривать на управляемом коммутаторе D-link DGS-1100-24. IEEE 802.1Q – открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого, в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN, пропускают трафик прозрачно. Создание VLAN на D-link DGS-1100-24. Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены компьютеры пользователей, абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище, окно программы представлено на рисунке 2.26. | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 61 | ||
| Рисунок 2.26 – Окно программы Выбрать пункт «Настройки», откроется окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию «admin» (Рисунок 2.27). Рисунок 2.27 – Окно настройки коммутатора | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 62 | ||
| После подключиться на Web-интерфейсе устройства и перейти в ветку VLAN – Port-Based VLAN. На картинке 2.28 виден уже созданный VLAN, создадим еще один. Рисунок 2.28 – Ветка VLAN - Port-Based VLAN Выполнить настройки, нажать «Add VLAN» и назначить имя VLAN и порты. Рисунок 2.29 – Имя VLAN Рисунок 2.30 – Сохранение имени VLAN | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 63 | ||
| После создания необходимых VLAN, сохранить настройки «Save», «Save configuration». Рисунок 2.31 – Сохранение конфигурации Итак, видно, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN 2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет доступа к остальным машинам. 2.11 Настройка Ubiquiti NanoStation M2 Для процедуры подключения и начала процесса настройки NanoStation2 требуется подключить прибор. Для этого следует с помощью одного провода связать роутер, подключенный к компьютеру, с блоком питания M2 NanoStation, а другим проводом произвести подключение порта Main с гнездом POE блока, как показано на рисунке 2.32. | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 64 | ||
| Рисунок 2.32 – Процедура подключения Для Ubiquiti NanoStation M2 настройка сетевой карты компьютера осуществляется так же, как и для модели Локо. Наиболее надежным вариантом при процедуре настройки является проводное соединение, а не по Wi-Fi. Поэтому далее будет рассматривать вариант подключения по кабелю роутера с компьютером. Настройка состоит из следующих последовательных этапов действий. Войти в «Панель управления». Перейти во вкладку «Центр управления сетями и общим доступом» (Рисунок 2.33). Рисунок 2.33 – Панель управления | ||
| | ЮУрГУ-09.03.01.797.2019.ПЗ | Лист |
| 65 | ||