Kerio WinRoute Firewall představuje mnohem více, než z názvu vyplývá. Co nabízí síťový firewall tradičního výrobce malým a středním firmám? Překvapivě hodně.
Firewall s tradicí
Název společnosti Kerio Technologies patří mezi ty, které jsou nejen u českých administrátorů, ale i u domácích uživatelů Internetu, přinejmenším těch pokročilých, známy. Osobní firewall této firmy býval špičkou ve svém oboru a v mnoha případech byl nasazován místo konkurenčních produktů i tam, kam původně nebyl určen. V současnosti se tato z Česka vycházející firma soustředí na produkty určené jiným uživatelům, a to malým a středně velkým organizacím. Dnes si představíme aplikaci, která je komplexním řešením – Kerio WinRoute Firewall.
KWF pro malé a střední
Kerio WinRoute Firewall (KWF), aktuálně v šesté generaci, je softwarovým řešením pro zabezpečení sítě před ohrožením z Internetu a současně produktem, který k základnímu poslání firewallu přidává některé zajímavé funkce a přidané hodnoty. KWF je určen, jak jeho výrobce tvrdí, pro „malé a střední firmy“. WinRoute Firewall je určen k běhu na počítačích s operačními systémy Windows.
Podporován je provoz jak na serverových tak i desktopových verzích operačního systému (Windows 2000 – Vista a serverový systém Windows 2003). Ačkoliv je Kerio WinRoute Firewall produktem, který je z principu serverový (předpokládá se u něj, že připojení k Internetu, jež má chránit, sdílí více koncových zařízení), může být instalován také do nededikovaných počítačů. Předpokladem funkčnosti jsou dvě síťová rozhraní s tím, že na rozdíl od některých obdobných produktů jsou podporována i připojení typu DialUp.
Základní funkcí Kerio WinRoute Firewallu je kontrola síťového provozu v místní sítí a prostředím veřejného Internetu. Patří sem jednak schopnost detekce možného ohrožení pocházejícího z vnější sítě a ochrana vnitřní infrastruktury před případnými pokusy o vniknutí, ať už automatizovanými, nebo prováděnými živým člověkem. K této elementární funkcionalitě se přidávají nástroje pro definici a vynucení firemní bezpečnostní datové politiky. Mezi další vlastnosti patří definice komplexních pravidel pro komunikaci s veřejnou sítí pro jednotlivé protokoly, aplikace uživatele vnitřní sítě a obsah. Tato pravidla jsou jednoduše definovatelná administrátorem. Narušení bezpečnostní zóny nebo porušení pravidel firewall zaznamenává, díky čemuž je možné podnikat nezbytné kroky pro vyšší zabezpečení sítě a především si udržet pořádek. Kromě základních funkcí Firewallu umožňuje Kerio WinRoute Firewall také blokovat útoky s podvržením falešné síťové adresy a kontrolovat proprietární protokoly aplikací.
Bezpečné sdílení
Jak již bylo řečeno, Kerio WinRoute Firewall je mnohem více než pouhý firewall se sadou pravidel a schopností detekovat pokusy o průnik do lokální sítě. Může být použit v rámci svého určení jako plnohodnotný nástroj pro sdílení připojení do Internetu. Standardně obsahuje všechny nástroje, které jsou k tomu potřebné, tedy NAT, Proxy, i DHCP server a podporu hlavní – záložní linky, mezi nimiž je v případě výpadku konektivity automaticky přepojováno. V případě, že organizace využívá vytáčené připojení, dokáže Kerio WinRoute Firewall v případě potřeby toto připojení sestavit. Díky zabudovanému modulu omezování pásma, Bandwidth Limiteru, je možné upřednostnit provoz klíčových aplikací před ostatními, avšak tato funkce vyžaduje velmi pečlivou konfiguraci.
Součástí funkce sdílení připojení je také jeho zabezpečení. Jak jsme již uvedli, pro jednotlivé aplikace i uživatelské účty (s podporou Active Directory, avšak bez nutnosti jej používat) je možné definovat standardní pravidla a omezení provozu. Společně s obsahovým filtrem hlídajícím web (IBM Orange Web Filter) je tak do značné míry možné omezit nežádoucí provoz na firemní síti, především pokud se jedná o využívání výměnných sítí, prohlížení a stahování nevhodného obsahu zaměstnanci v pracovní době a podobně. Webový filtr od IBM je online služba fungující na principu definovaných kategoriích vhodných/nevhodných stránek a na pravidelně aktualizované databázi. Vše je možné nastavit komplexně a v případě potřeby definovat výjimky, respektive konkrétní nastavení pro jednotlivé uživatele a jejich skupiny.
Data, která procházejí firewallem, mohou být kontrolována pomocí antivirového modulu. Kerio WinRoute Firewall standardně obsahuje vestavěný modul pro antivir McAfee, nicméně jsou podporovány i další. Data mohou být standardně kontrolována dvěma antivirovými filtry, což zvyšuje účinnost a snižuje riziko průchodu škodlivého kódu v kritické době od jeho objevení do aktualizace antiviru, nicméně jako určité omezení působí to, že i v současné verzi umí Kerio WinRoute Firewall kontrolovat pouze poštovní provoz, HTTP a FTP. Podstatné je, že nejčastější zdroj infekcí, tedy elektronická pošta, kontrolován je, a to s protokoly POP3 a SMTP. V současnosti existuje podpora osmi externích antivirových programů, které jsou do Kerio WinRoute Firewallu integrovány jako pluginy.
VPN
Kerio WinRoute Firewall obsahuje integrovaný VPN server, díky kterému je možné zajistit bezpečné propojení poboček společnosti za pomocí veřejné sítě, a také vzdálený přístup uživatelů. Kromě standardního klientského řešení je rovněž možný dálkový přístup k prostředkům organizace prostřednictvím integrované webové aplikace Clientless SSL VPN. Tato aplikace zprostředkuje přístup k souborům na lokálních serverech bez nutnosti instalovat do počítače speciálního klienta, jen s použitím standardního webového prohlížeče a jeho integrovaných bezpečnostních vlastností. I když VPN klienta zcela nenahradí, v mnoha případech se jedná o dobré řešení, a to v případě nutnosti operativně zpřístupnit odkudkoliv data z místní sítě.
Komu a za kolik
KWF je v současné podobě vyzrálé a kvalitní řešení, které si neklade ambice nahradit „těžké“ firewally určené velkým organizacím, ani specializované serverové systémy, ale poskytnout širokou škálu bezpečných a snadno upravovatelných služeb cílovému uživateli – tedy malé a střední organizaci. Existuje v několika verzích, přičemž záleží na tom, zda se potenciální zákazník rozhodne pro verzi s integrovaným antivirem a zda bude využívat zmíněný webový filtr od IBM. Za základní verzi pro 10 uživatelů zaplatí zákazník málo přes 10 000 Kč. Licence obsahuje roční předplatné (plný ceník). K této licenci lze „přikupovat“ další uživatele po pěti, dvaceti a stu uživatelích podle potřeby společnosti, respektive podle jejího růstu.
Pokud potřebujete kombinované řešení umožňující pohodlně zabezpečit přístup k Internetu a jeho sdílení, požadujete schopnost antivirového testování obsahu firewallem, rádi byste využívali VPN a preferujete platformu Microsoft Windows, pak stojí za to si Kerio WinRoute Firewall vyzkoušet (http://www.kerio.cz/kwf_download.html). Můžete totiž jediným produktem nahradit hned několik různých systémů a zajistit vašim uživatelům optimální prostředí k práci.
