企业级网络安全行为管理防火墙 Kerio Control 安装使用及防病毒产品更新方法

欧文斯 2020/09/03 运维 评论(0) 浏览(5044) 点赞(5) 字数(1897) 简阅
小助手读文章 00:00 / 00:00

温馨提示:
本文所述内容具有依赖性,可能因软硬条件不同而与预期有所差异,故请以实际为准,仅供参考。

产品介绍

Kerio Control 是一款简单快捷的企业级网络安全行为管理防火墙,汇集了包括网络防火墙和路由器、入侵检测和入侵预防(IPS)、防病毒网关、VPN 和内容过滤等多个功能,可以保护网络免受病毒、 恶意软件和恶意行为破坏,这些综合功能具有无与伦比的部署灵活性,让 Kerio Control 成为中小型企业防火墙的理想选择。

防火墙、路由、IPS

维护与深度包检测和先进的网络路由功能 — — 包括同时 IPv4 和 IPv6 支持服务器的完整性。创建入站和出站通信策略,限制通信特定的 URL、 通信类型、 内容的类别和每天的时间。

image006.png

Kerio Control 的 IPS 添加了一层透明的网络保护,这个保护是基于 Snort 的行为分析和定期更新的规则和列入黑名单IP 地址的数据库,防止重新出现威胁。

高级 Bitdefender 防病毒网关

集成的 Bitdefender 防病毒网关阻止病毒、木马、蠕虫和间谍软件入侵你的网络。

image008.png

可选的 Bitdefender 防病毒服务能扫描所有 Web 和 FTP 通信、 电子邮件附件和下载文件,自动更新本身使用的最新病毒定义。

行业领先的网站和内容过滤

Kerio Control Web 过滤器可以选择性地阻止、 允许或登录访问到 141 类别的 Web 内容。保障网络带宽合理分配,阻止流媒体、点到点方式占用大量带宽。阻止用户访问包含病毒和间谍软件或从事网络钓鱼网站的身份盗窃,过滤已知的恶意软件网站。

image010.png

可选的 Kerio Control Web 过滤器服务通过限制用户对危险或不适当的网站访问来限制的违法行为、 保护您的网络,限制用户访问非法站点浪费时间提高工作效率。

无与伦比的服务质量

轻松地确定优先次序和网络流量监控,保证高优先级类型传输的通讯质量。互联网链路负载均衡,可以通过部署多个链接,从而优化互联网接入。Kerio Control 实时监视链接的可用性,识别并自动禁用或重新启用链接以确保 Internet 访问的连续性。

image012.png

Kerio Control QoS 可以精细控制没中带宽类型的网络流量会消耗多少带宽。通过带宽优先级设置最大限度提高带宽使用,通过设置带宽保障高优先级通讯。Kerio Control 也使用互联网链路负载均衡技术来合并多个链接保障互联网通信。

以上内容来自 Kerio 中文网,以下正文开始

安装

硬件要求

  • 处理器:最低 500 MHz
  • 内存大小:建议大于 4GB
  • 硬盘空间:建议大于 8GB
  • 网络接口:至少 2 个(10/100/1000 Mbit)
  • 硬件兼容性:支持 Linux Kernel 3.16

下载

Kerio 提供 ISO 镜像(kerio-control-installer.iso)、升级包(kerio-control-upgrade.img)、VMware 虚拟设备(kerio-control-appliance-vmware.zip)、Hyper-V 虚拟设备(kerio-control-appliance-hyperv.exe),根据自己的需要选择下载。

本文以最新版 9.3.5 build 4367 为例,故下载 ISO 镜像 即可:

下载.png

安装

与安装 Windows 或者 Linux 差不多,更简单,没什么难度,根据屏幕提示操作即可(纯英文界面):

安装.png

配置

初始配置

Kerio Control 采用 Web 的管理方式,首次安装,在登录 Web 管理前需要先在服务器上确认网络接口。

Kerio Control 首次运行未配置前,会在每一个接口都发起自动获取 DHCP,并将获取不到 DHCP 分配的接口认为是本地接口(Ethernet),获取到的接口则认为是网络接口(WAN),因此首次需要开机前注意接口的联通性(即作为内网的端口不能可以获取到 IP):

网络接口.png

配置好本地接口(LAN)后,可以通过同网段的 IP 登录 Web 管理界面,地址在服务器上会显示(如果这个地址登不上去的话,请再次确认网络接口):

管理地址.png

使用 Chrome、Firefox 等现代浏览器,打开管理地址,同样根据页面提示操作即可,没什么难度:

激活向导.png

Kerio Control 是需要授权的软件,因此开机首先就是要授权,这里我们先以 30 天试用的方式授权:

授权.png

授权申请地址:Download your free 30-day trial,激活码会发送到填写的邮箱,注意,不要使用别人分享的激活码,虽然可以进入系统,但是无法更新 IPS 和防病毒产品,浪费功夫。

更新 IPS

Kerio 具有强大的入侵防护功能,但是自带的 IPS 数据库版本比较低,所以我们先更新下:

更新 IPS.png

激活系统

更新完 IPS 我们就可以激活系统了,当然我们测试环境试用使用开心版来激活了,因为开心版不支持更新 IPS 数据库、防病毒产品,所以上面我们先进行了 IPS 更新,由于部分版本的开心版(比如 9.3.5)安装后防病毒产品会无法识别,所以我们等后面再通过其他方法更新。

本站不提供开心版下载,请自行搜索下面字符串下载:

9.3.5-4367 版本:

File: kerio-control-upgrade-9.3.5-4367-linux_4360_LG210.img
MD5: 29C9B4A0A424412695FDAABF6A277FB7

File: kerio-control-installer-9.3.5-4367-linux_4360_LG210.iso
MD5: A44CB740427B66B737BFBE24E846C796

搜索.png

如果不需要入侵防护,那么一开始就可以直接安装开心版的 ISO 镜像了。

方法很简单,通过 Web 管理界面 -> 高级选项 -> 软件更新 -> 通过上载二进制图像文件进行升级 即可,其中二进制图像文件是上面的 kerio-control-upgrade 文件。

升级.png

升级完成重启后, Kerio Control 就永久激活了。

防反弹

为防止反弹,我们将以下域名通过 DNS 屏蔽:

127.0.0.1 gogs.dontexist.com
127.0.0.1 register.kerio.com
127.0.0.1 update.kerio.com
127.0.0.1 control-update.kerio.com
127.0.0.1 sophos-update.kerio.com
127.0.0.1 snort-update.kerio.com
127.0.0.1 wf-activation.kerio.com

DNS.png

再严格一点的话,可以在流量规则和内容筛选器里进一步屏蔽阻止相关域名连接。

更新

特征库

前面已经提到,至少需要有效的试用版授权才可以更新入侵保护数据库防病毒产品,才可以开启 Kerio Control Web Filter,所以前面我们在永久激活前,先使用了试用版激活。

由于防反弹我们屏蔽了相关域名连接,Kerio Control Web Filter 又是采用实时在线验证,故确定无法使用,直接关掉即可:

内容筛选器.png

入侵保护数据库我们在试用版的时候更新了,一般来说没有太大必要实时保持最新,因此可以等下一次更新系统时再更新:

更新入侵保护.png

病毒库

防病毒产品,由于使用的开心版,服务端会直接拒绝请求,无法更新病毒库,因此我们采取手动更新的方式。

开启 SSH

按住 Shift 键,再点击系统健康状况,然后点击开启 SSH :

开启 SSH.png

通过 Xshell 或者其他支持 SSH 的客户端,通过 SSH 方式登录防火墙,注意此时登录的用户名是 root 不是 Web 管理时的 admin,但是密码是一样的。

先下载 Bitdefender 离线病毒库到本地:

32 位:http://download.bitdefender.com/updates/update_av32bit/cumulative.zip
64 位:http://download.bitdefender.com/updates/update_av64bit/cumulative.zip

注意,请使用国外 IP 下载,国内 IP 访问会跳转国内 CDN 节点,但是目前国内 CDN 节点并没有同步这两个文件。

然后通过 Xshell 或者其他支持 SSH 的客户端,使用 SSH 方式登录防火墙,注意此时登录的用户名是 root 不是 Web 管理时的 admin,但是密码是一样的。登录后按如下步骤操作:

~ # mkdir /var/winroute/bitdefender/Plugins/1/
~ # cd /var/winroute/bitdefender/Plugins/1/
/var/winroute/bitdefender/Plugins/1 #

使用 SFTP/STCP 等方式上传刚下载的病毒库 cumulative.zip,接着在 SSH 操作:

/var/winroute/bitdefender/Plugins/1 # unzip cumulative.zip  && rm -rf cumulative.zip 
Archive:  cumulative.zip
  inflating: bdcore.dll
  inflating: bdcore.so.freebsd7-x86_64
  inflating: bdcore.so.linux-x86_64
  inflating: bdcore.so.linux-x86_64-wg
  inflating: bdcore.so.macosx-x86_64
...
  inflating: Plugins/zip.xmd
  inflating: Plugins/zoo.xmd

创建库文件关联:

/var/winroute/bitdefender/Plugins/1 # ln -s /var/winroute/bitdefender/Plugins/1/bdcore.so.linux-x86_64 /var/winroute/bitdefender/Plugins/1/bdcore.so

重启防火墙,然后就可以启用防病毒产品了:

防病毒产品.png

参考文章:

1、《керио 9.2.2 антивирус как обновить
2、《Kerio Control Software Appliance 9.3.5 build 4367 [i386] 1xCD [Multi]

ArmxMod for Typecho
个性化、自适应、功能强大的响应式主题

推广

 继续浏览关于 部署教程防火墙安装病毒方法更新企业级网络安全行为管理keriokerio controlkerio connect 的文章

 本文最后更新于 2020/09/07 10:13:06,可能因经年累月而与现状有所差异

 引用转载请注明: VirCloud's Blog > 运维 > 企业级网络安全行为管理防火墙 Kerio Control 安装使用及防病毒产品更新方法