Обзор Kerio Control

Давно я не рассказывал ни о каких софтовых решениях, которых в наше время — великое множество. Хочется поговорить о решении, с которым я не сталкивался уже несколько лет, и как показывает практика — оно неплохо за это время преобразилось. О компании Kerio я лично ничего не слышал, наверное, со времён Kerion WinRoute, а это, как вы можете догадаться, было уж очень давно. Недавно мне задали вопрос относительно того, что сейчас из себя представляет продукт от компании Kerio и мне пришлось восполнить пробел в своих знаниях. Когда-то Kerio WinRoute начинался как альтернатива Microsoft Forefront TMG (в те времена известный как ISA) и работал так же под управлением Microsoft Windows. Теперь же, когда в нашу жизнь активно пошли девайсы на базе Linux, компания Kerio так же не отстала и представила своё решением на базе этой операционной системы, заметно расширив возможности приложения и качественно улучшив существующие.

Панель мониторинга - Kerio Control Administration 2014-06-02 09-47-31 2014-06-02 09-47-33

Kerio Control — это комплексное решение в области безопасности, объединяющее несколько основных функций:

  • Файервол
  • Маршрутизатор
  • Систему обнаружения и предотвращения вторжений (IPS)
  • Антивирус
  • VPN
  • Фильтр содержимого

Это простое комплексное решение поможет вам решить весь спектр возникающих задач по защите от угроз. Благодаря анализу пакетов и расширенной маршрутизации сети, межсетевой экран (файервол) поможет защитить вашу сеть на достаточно высоком уровне, обеспечив её надёжное функционирование.
Основные возможности фаервола:

  • Одновременная поддержка IPv4 и IPv6
  • Отслеживание подключений (SPI)
  • Лимит подключений
  • Анти-спуфинг
  • Инспекция протоколов
  • Мастер настройки политик трафика
  • Сервер DHCP
  • DNS ретранслятор
  • IDS/IPS (на базе Snort)

NAT и политики трафика:

  • Предустановленные сервисы
  • Сетевые политики для каждого пользователя
  • Правила Time based rules
  • Настройка преобразования портов в NAT
  • Групповые политики
  • Динамический DNS
  • MAC фильтрация
  • «Черный список» в IDS/IPS
  • Rule Exemption Capability

Правила трафика - Kerio Control Administration 2014-06-02 09-54-00 2014-06-02 09-54-02

Контентная фильтрация:

  • Ограничения длительности сесии
  • Блокировщик P2P-сетей
  • Категоризация URL
  • Настраиваемая страница отказа в доступе
  • Административные уведомления
  • Настраиваемые URL
  • Списки запрещенных слов
  • Настройка политик FTP
  • Прокси-сервер
  • «Белые списки» URL
  • Интегрированный антивирус Sophos (но так же есть возможность «прицепить» и более привычные продукты от Dr.Web или ESET NOD32)

Антивирус - Kerio Control Administration 2014-06-02 09-56-26 2014-06-02 09-56-28

Антивирус - Kerio Control Administration 2014-06-02 09-56-36 2014-06-02 09-56-40

Фильтрация содержимого - Kerio Control Administration 2014-06-02 09-55-43 2014-06-02 09-55-45

Вообще продукт получился достаточно мощный и при этом совершенно не требует глубокого изучения. Достаточно понимать как работает фаервол/proxy и с настройкой не будет никаких проблем, а в случае каких-то нетривиальных конфигураций или при возникновении проблем, существует достаточно большое русскоязычное комьюнити, где вы сможете найти помощь по возникшим вопросам.

Так же, лично мне, очень понравилась простая настройка балансировки нагрузки между каналами. Работает она соответственно в двух режимах:

  • Балансировка нагрузки
  • Отказоустойчивый канал

Я думаю, что никому из администраторов не нужно объяснять что это такое и как работает, стоит лишь оговориться, что настройка этого дела на «голом» linux может стать достаточно проблематичной задачей для начинающего linux-администратора — тут требуются и достаточно неплохие знания софт-фаерволов iptables или iproute и писать достаточно большие и не всегда понятные конфиги, да и объединение каналов (Ethernet Bonding) не такая уж простая вещь, одних только типов объединения интерфейсов существует великое множество и стоит в них разобраться перед началом использования. Продукт от Kerio же предоставляет удобный и самое главное — крайне простой для настройки всего этого дела (хотя конечно, кто-то может сказать что не самые лучшие варианты работы предоставляется нам в готовых продуктах, в этом тоже есть здравая мысль).

Интерфейсы - Kerio Control Administration 2014-06-02 09-53-40 2014-06-02 09-53-42

Управление полосой пропускания и QoS - Kerio Control Administration 2014-06-02 09-55-28 2014-06-02 09-55-29

Теперь хочется сказать пару слов о лицензировании: продукт, а так же входящие в него дополнительные пакеты, лицензируются по количеству пользователей. Так лицензия Kerio Control на 5 пользователей (включает 1 год техподдержки) стоит около 14000 рублей, за Web Filter придётся доплатить отдельно — 1100 рублей на 5 пользоватей, так же с поддержкой на год, ну и Sophos Antivirus стоит около 600 за 5 пользователей в год.
Итого, посчитаем на сколько нам обойдётся лицензирование офиса на 50 сотрудников:

Kerio Control 140000
Web Filter 11000
Sophos Antivirus 6000
итого 157000 /год

Получается достаточно внушительная сумма. С другой стороны — заплатив достаточно высокую стоимость за ПО, в долгосрочном плане вы сможете сэкономить на техническом специалисте, ведь хороший linux-администратор, который в состоянии поднять всю эту связку самостоятельно в консоле, будет стоить намного дороже, чем начинающий специалист, который без труда сможет разобраться в этом продукте.

На мой взгляд — это крайне удачный и очень мощный продукт, который способен удовлетворить нужды большинства администраторов и покрыть большинство поставленных задач, даже самых сложных.

3 ответа на “Обзор Kerio Control”

    • Пробовал я пару месяцев назад развернуть Zentyal на тестовом стенде, что то он у меня так и не встал в итоге, так что не пользовался — сказать ничего не могу.
      Не совсем корректно сравнивать между собой платные и бесплатные продукты, у них немного разные потребители, огромное количество компаний используют ISA/TMG не по тому что он лучше, а по тому что он платный и имеет поддержку (о качестве не говорим).
      Про разницу з/п в регионах я тоже сказать затрудняюсь, я живу в дефолт сити и пишу применительно к нему, у нас — две одинаковые вакансии в одной компании, одна на линукс админа, вторая на винду — разница порядка 15% в з/п.

  1. В свое время WinRoute славился рядом плохо предсказуемых глюков и врожденных болячек, так что когда доходило дело до продвинутого функционала в итоге приходилось менять его на что-то.

Добавить комментарий