KWF(Kerio Winroute Firewall)6.0 final於2004年6月7日正式發佈,作為唯一可以和ISA相抗衡的路由級防火牆,它的發佈讓我們備受矚目。得到它的完整版本後,我們第一時間對它的功能進行了比較完整的評測。
KWF 6.0相比5.x,主要的改動有:
1、對軟體的主界面和管理控制台的界面都進行了修改,越來越好看。
2、增加了內建VPN服務器;
3、增加了E-mail網路閘道級掃瞄;
4、增加了P2P終結者;
5、增加了告警通知;
6、對HTTP Policy進行了部分調整
7、對日誌資訊進行了比較大的修改
下面,我們分別進行詳細的介紹。
一、界面的修改
看看新的界面,比起過去的樣子,不知道有多清爽:)
Administration console比起過去版本變化非常大,不過一樣的簡單好用。
http://www.isaservercn.org/pic/kwf6/kwfmain.jpg[/img]
主界面上,修改了幾個圖示,增加了幾個欄目。
VPN客戶端機沒有連線到VPN服務器時的IP位址表:
使用VPN連線到VPN服務器後
從VPN服務器獲得了新的IP 10.0.0.3。
此時,VPN客戶端機可以同時連線到10.0.0.0/8網段和原來的192.168.0.0/24網段,其中新獲得的TCP/IP資訊有:IP 10.0.0.3,子網路遮罩 255.0.0.0,dns為10.0.0.1(VPN服務器),但是其他的參數,如預設網路閘道等,並沒有做修改,相當於只是在路由表中新增了一個接頭和對應的路由。
在KWF的監控系統中,可以很清楚的看到當前VPN用戶的狀態(這個圖是在後面抓的,IP和上面的不一樣):
Kerio VPN套件基本不需要手動設定,就算是工作在預設環境下,也可以很完美的實現VPN的遠端接入,不由讓我感歎Kerio技術力量的強大。
二、內建VPN服務器
Kerio的內建VPN服務器是採用Kerio獨有的技術,外掛一個VPN客戶端,不過這個客戶端只能在Windows 2000及以後操作系統上工作,其工作原理是模擬一個硬體網路卡,通過此虛擬網路卡來完成VPN資料的流通。Kerio VPN除了可以完成 Clients to Server間的訪問外,還可以建立Site to Site (Server to Server)的連接。而且這個VPN服務器的配置極其簡單,如果是Clients to Server,只需要在Interfaces裡面設定一下VPN服務器分配給Clients的IP段就可以了,如果是Site to Site 模式,也只需要在Interfaces裡面新增一個隧道連接。
Kerio VPN Client 1.0正式版的執行界面:
三、E-mail網路閘道級掃瞄
在整合E-mail網路閘道級掃瞄以後,結合過去的HTTP 、FTP網路閘道級掃瞄,KWF已經實現了一個完整的網路閘道防病毒體系。可惜,KWF支持的都是國外的反病毒軟體,而且都是企業服務器版本:(。
四、P2P終結者
在P2P軟體大行其道的今天,有幾個網管不為局局內網用戶使用P2P嚴疊影響帶寬而頭痛?KWF6.0中整合了對P2P軟體的禁止。它是通過對於某些類BIOS連接阜的檢測,然後如果這幾段連接阜開放了5個(預設數量)以上,將會封鎖該用戶。
VPN客戶端機沒有連線到VPN伺服器時的IP位址表:
使用VPN連線到VPN伺服器後
從VPN伺服器獲得了新的IP 10.0.0.3。
http://www.isaservercn.org/pic/kwf6/conneted_ip.jpg[/img]
此時,VPN客戶端機可以同時連線到10.0.0.0/8網段和原來的192.168.0.0/24網段,其中新獲得的TCP/IP資訊有:IP 10.0.0.3,子網路遮罩 255.0.0.0,dns為10.0.0.1(VPN伺服器),但是其他的參數,如預設網路閘道等,並沒有做修改,相當於只是在路由表中新增了一個接頭和對應的路由。
在KWF的監控系統中,可以很清楚的看到當前VPN用戶的狀態(這個圖是在後面抓的,IP和上面的不一樣):
Kerio VPN套件基本不需要手動設定,就算是工作在預設環境下,也可以很完美的實現VPN的遠端接入,不由讓我感歎Kerio技術力量的強大。
三、E-mail網路閘道級掃瞄
在整合E-mail網路閘道級掃瞄以後,結合過去的HTTP 、FTP網路閘道級掃瞄,KWF已經實現了一個完整的網路閘道防病毒體系。可惜,KWF支持的都是國外的反病毒軟體,而且都是企業伺服器版本:(。
四、P2P終結者
在P2P軟體大行其道的今天,有幾個網管不為局內網用戶使用P2P嚴疊影響帶寬而頭痛?KWF6.0中整合了對P2P軟體的禁止。它是通過對於某些類BIOS連接阜的檢測,然後如果這幾段連接阜開放了5個(預設數量)以上,將會封鎖該用戶。
它的P2P軟體連接阜號和使用連接阜的數量都是是可以自訂的,這也方便了各位網管。另外也可以只是限制該用戶只能使用某些服務,而不是完全禁止他上網。
它的P2P軟體連接阜號和使用連接阜的數量都是是可以自訂的,這也方便了各位網管。另外也可以只是限制該用戶只能使用某些服務,而不是完全禁止他上網。
五、告警通知
在中國,不能使用SMS,只能發mail,這個功能其實有點事後諸葛亮的味道。不過對於部分比較懶的網管,還是給他們省了點事,只要沒收到告警郵件,就可以不去管kwf,何樂而不為。:)
六、對HTTP Policy進行了部分調整
雖然在KWF 6.0的說明 系統中,說仍然可以在HTTP Policy中設定當用戶訪問web頁面時,轉向到身份驗證頁,可惜,已經不是在HTTP Rule裡面設定了。
現在是位於Users的AUthentication Options選項裡面。
快取選項中裡面新增加了一個「快取 responses "302 Redirect"」選項
七、對於日誌系統的修改
KWF的既時監控功能相當強悍,一定是從Kerio的另外一種著名的網路監控產品「Kerio Network Monitor」裡面取了經。可惜的是,KWF的報表系統比起ISA Server 2004,實在差太遠了,不過在具有N種外掛日誌分析軟體的今天,KWF的這項缺陷已經不成為缺陷了。
最後想說一點,在KWF 6.0的Services裡面,SCCP服務依然牢據江山,此服務和聯眾遊戲大廳有衝突,相信在聯眾風行的地區,不知道這個內情的人,是不能成功使用KWF的。
總結:KWF 6.0新增的功能都比較實用,特別是它內建的VPN服務器,可以說是目前市場上最簡單、最好用的VPN服務器。以KWF 6.0 $399的價格,對於微軟即將推出的ISA Server 2004來說,是個典型的巨人殺手,KERIO搶在微軟發佈ISA Server 2004前推出,可能也有敲山震虎的意思。不過限於KERIO公司其地理位置的偏遠,其中國代理公司技術的缺乏,可能在中國,只有對於路由技術的狂熱愛好者才會使用它。
另外有些朋友要求我重寫KWF 6.0的安裝指南,經過這次仔細的分析,我覺得KWF 6.0其實核心沒有變化,新增的VPN服務器的配置也是傻瓜型的,沒有必要重寫安裝指南,如果確實有需要,以後我會考慮寫個VPN服務器的安裝指南的。相關連接:KWF中文站
作者:風間子