史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   Kerio Winroute Firewall 6.0 final新功能評測 (http://forum.slime.com.tw/thread117311.html)

psac 2004-07-17 12:08 AM

Kerio Winroute Firewall 6.0 final新功能評測
 
KWF(Kerio Winroute Firewall)6.0 final於2004年6月7日正式發佈,作為唯一可以和ISA相抗衡的路由級防火牆,它的發佈讓我們備受矚目。得到它的完整版本後,我們第一時間對它的功能進行了比較完整的評測。

KWF 6.0相比5.x,主要的改動有:

1、對軟體的主界面和管理控制台的界面都進行了修改,越來越好看。

2、增加了內建VPN服務器;

3、增加了E-mail網路閘道級掃瞄;

4、增加了P2P終結者;

5、增加了告警通知;

6、對HTTP Policy進行了部分調整

7、對日誌資訊進行了比較大的修改

下面,我們分別進行詳細的介紹。

 

一、界面的修改

看看新的界面,比起過去的樣子,不知道有多清爽:)


http://www.isaservercn.org/pic/kwf6/admincon.jpg
Administration console比起過去版本變化非常大,不過一樣的簡單好用。

http://www.isaservercn.org/pic/kwf6/kwfmain.jpg[/img]

主界面上,修改了幾個圖示,增加了幾個欄目。

 VPN客戶端機沒有連線到VPN服務器時的IP位址表:



使用VPN連線到VPN服務器後



從VPN服務器獲得了新的IP 10.0.0.3。



此時,VPN客戶端機可以同時連線到10.0.0.0/8網段和原來的192.168.0.0/24網段,其中新獲得的TCP/IP資訊有:IP 10.0.0.3,子網路遮罩 255.0.0.0,dns為10.0.0.1(VPN服務器),但是其他的參數,如預設網路閘道等,並沒有做修改,相當於只是在路由表中新增了一個接頭和對應的路由。



在KWF的監控系統中,可以很清楚的看到當前VPN用戶的狀態(這個圖是在後面抓的,IP和上面的不一樣):



Kerio VPN套件基本不需要手動設定,就算是工作在預設環境下,也可以很完美的實現VPN的遠端接入,不由讓我感歎Kerio技術力量的強大。

 
二、內建VPN服務器

Kerio的內建VPN服務器是採用Kerio獨有的技術,外掛一個VPN客戶端,不過這個客戶端只能在Windows 2000及以後操作系統上工作,其工作原理是模擬一個硬體網路卡,通過此虛擬網路卡來完成VPN資料的流通。Kerio VPN除了可以完成 Clients to Server間的訪問外,還可以建立Site to Site (Server to Server)的連接。而且這個VPN服務器的配置極其簡單,如果是Clients to Server,只需要在Interfaces裡面設定一下VPN服務器分配給Clients的IP段就可以了,如果是Site to Site 模式,也只需要在Interfaces裡面新增一個隧道連接。


http://www.isaservercn.org/pic/kwf6/interface.jpg
Kerio VPN Client 1.0正式版的執行界面:


http://www.isaservercn.org/pic/kwf6/vpn_client.jpg


 

三、E-mail網路閘道級掃瞄

在整合E-mail網路閘道級掃瞄以後,結合過去的HTTP 、FTP網路閘道級掃瞄,KWF已經實現了一個完整的網路閘道防病毒體系。可惜,KWF支持的都是國外的反病毒軟體,而且都是企業服務器版本:(。



 

四、P2P終結者

在P2P軟體大行其道的今天,有幾個網管不為局局內網用戶使用P2P嚴疊影響帶寬而頭痛?KWF6.0中整合了對P2P軟體的禁止。它是通過對於某些類BIOS連接阜的檢測,然後如果這幾段連接阜開放了5個(預設數量)以上,將會封鎖該用戶。


VPN客戶端機沒有連線到VPN伺服器時的IP位址表:

http://www.isaservercn.org/pic/kwf6/beforeconnect.jpg

使用VPN連線到VPN伺服器後

http://www.isaservercn.org/pic/kwf6/connected.jpg

從VPN伺服器獲得了新的IP 10.0.0.3。


http://www.isaservercn.org/pic/kwf6/conneted_ip.jpg[/img]
此時,VPN客戶端機可以同時連線到10.0.0.0/8網段和原來的192.168.0.0/24網段,其中新獲得的TCP/IP資訊有:IP 10.0.0.3,子網路遮罩 255.0.0.0,dns為10.0.0.1(VPN伺服器),但是其他的參數,如預設網路閘道等,並沒有做修改,相當於只是在路由表中新增了一個接頭和對應的路由。

http://www.isaservercn.org/pic/kwf6/ping.jpg

在KWF的監控系統中,可以很清楚的看到當前VPN用戶的狀態(這個圖是在後面抓的,IP和上面的不一樣):

http://www.isaservercn.org/pic/kwf6/monitor.jpg

Kerio VPN套件基本不需要手動設定,就算是工作在預設環境下,也可以很完美的實現VPN的遠端接入,不由讓我感歎Kerio技術力量的強大。

 

 

三、E-mail網路閘道級掃瞄

在整合E-mail網路閘道級掃瞄以後,結合過去的HTTP 、FTP網路閘道級掃瞄,KWF已經實現了一個完整的網路閘道防病毒體系。可惜,KWF支持的都是國外的反病毒軟體,而且都是企業伺服器版本:(。



http://www.isaservercn.org/pic/kwf6/anti-virus%20engine.jpg

四、P2P終結者

在P2P軟體大行其道的今天,有幾個網管不為局內網用戶使用P2P嚴疊影響帶寬而頭痛?KWF6.0中整合了對P2P軟體的禁止。它是通過對於某些類BIOS連接阜的檢測,然後如果這幾段連接阜開放了5個(預設數量)以上,將會封鎖該用戶。

http://www.isaservercn.org/pic/kwf6/p2p_eliminator.jpg

它的P2P軟體連接阜號和使用連接阜的數量都是是可以自訂的,這也方便了各位網管。另外也可以只是限制該用戶只能使用某些服務,而不是完全禁止他上網。

http://www.isaservercn.org/pic/kwf6/p2p_eliminator2.jpg




它的P2P軟體連接阜號和使用連接阜的數量都是是可以自訂的,這也方便了各位網管。另外也可以只是限制該用戶只能使用某些服務,而不是完全禁止他上網。



http://www.isaservercn.org/pic/kwf6/p2p_eliminator2.jpg



 五、告警通知

在中國,不能使用SMS,只能發mail,這個功能其實有點事後諸葛亮的味道。不過對於部分比較懶的網管,還是給他們省了點事,只要沒收到告警郵件,就可以不去管kwf,何樂而不為。:)


http://www.isaservercn.org/pic/kwf6/alert.jpg
 

六、對HTTP Policy進行了部分調整

雖然在KWF 6.0的說明 系統中,說仍然可以在HTTP Policy中設定當用戶訪問web頁面時,轉向到身份驗證頁,可惜,已經不是在HTTP Rule裡面設定了。


http://www.isaservercn.org/pic/kwf6/http_policy.jpg
現在是位於Users的AUthentication Options選項裡面。

http://www.isaservercn.org/pic/kwf6/authticate.jpg

快取選項中裡面新增加了一個「快取 responses "302 Redirect"」選項



 
http://www.isaservercn.org/pic/kwf6/cache%20policy.jpg
 

七、對於日誌系統的修改

KWF的既時監控功能相當強悍,一定是從Kerio的另外一種著名的網路監控產品「Kerio Network Monitor」裡面取了經。可惜的是,KWF的報表系統比起ISA Server 2004,實在差太遠了,不過在具有N種外掛日誌分析軟體的今天,KWF的這項缺陷已經不成為缺陷了。




http://www.isaservercn.org/pic/kwf6/statistics12.jpg
 

最後想說一點,在KWF 6.0的Services裡面,SCCP服務依然牢據江山,此服務和聯眾遊戲大廳有衝突,相信在聯眾風行的地區,不知道這個內情的人,是不能成功使用KWF的。



 

 

 http://www.isaservercn.org/pic/kwf6/sccp.jpg

總結:KWF 6.0新增的功能都比較實用,特別是它內建的VPN服務器,可以說是目前市場上最簡單、最好用的VPN服務器。以KWF 6.0 $399的價格,對於微軟即將推出的ISA Server 2004來說,是個典型的巨人殺手,KERIO搶在微軟發佈ISA Server 2004前推出,可能也有敲山震虎的意思。不過限於KERIO公司其地理位置的偏遠,其中國代理公司技術的缺乏,可能在中國,只有對於路由技術的狂熱愛好者才會使用它。

另外有些朋友要求我重寫KWF 6.0的安裝指南,經過這次仔細的分析,我覺得KWF 6.0其實核心沒有變化,新增的VPN服務器的配置也是傻瓜型的,沒有必要重寫安裝指南,如果確實有需要,以後我會考慮寫個VPN服務器的安裝指南的。相關連接:KWF中文站



作者:風間子

psac 2004-07-17 12:11 AM

Kerio Winroute Firewall 使用詳解
於Kerio Winroute Firewall的使用詳解在KWF中文站,可以通過以下URL瀏覽:

http://onlyforyou.west263.com/skill.htm

該頁面上提供PDF版本的下載

此使用詳解是根據5.x版本來寫的,6.x中新增加的功能及VPN功能的使用詳解
就是上面的一部份...............

Kerio Winroute Firewall 6.0.1正式發佈!


Kerio Winroute Firewall 6.0.1於當地時間6月23日正式發佈,主要的更新如下:


- 修復了在啟用Windows Server的DNS服務時出現的CPU佔用100%的情況;
- 修復了在Windows Server 2003上安裝時KWF的DNS forwarder出現的錯誤(error 4507:10013);
- 修復了POP3傳輸協定檢查器對STLS指令的處理錯誤;
- 修復了在KWF的DNS forwarder禁用時代理伺服器不能正常工作的問題;
- 修復了代理伺服器總是需要NTLM認證的錯誤;
- 修復了通過代理伺服器認證時有時在認證結束時出現的空白頁的情況;
- 修復了在系統負載過大時VPN伺服器停止服務的問題;
- 修復了在刪除接頭時在傳輸原則中對應的接頭變為any的情況;
- 修復了在管理控制台顯示接頭統計時出現的崩潰情況;
- 修復了在VPN沒有安裝時不能編輯網路接頭的情況;
- 修復了AD/NT認證螢幕中消失的設定情況;
- 修復了對於HTTP/FTP的反病毒規則中錯誤的排序問題;
- 修復了在設定為保持無log文件時的log rotation選項不能使用的問題;
- 修復了license的數量的數量顯示問題(含試用license);


全部都是修復問題,而且數量如此之多。這種情況在KWF的歷史上是非常罕見的,看了真是讓我難受。看來Kerio推出這個6.0版更多的是為了商業目的,在以前也沒有進行過大量的有效的測試。

psac 2004-07-17 12:14 AM

再論KWF後的BT下載

在Kerio winroute firewall6.0.1透明代理模式下,需要三個條件才能進行BT下載
1.連線到發佈變態的WEB伺服器,以便提交自己的監聽連接阜和獲取正在下載的其它人的連接連接阜。
2.發起主動連接。
3.接受別人的連接。

如果不對KWF做設定,變態肯定不會下到任何東西。
分析:
發佈變態的WEB伺服器,使用的連接阜各不相同,有8000,6969,7802……,大家使用的變態軟體各不不相同,其監聽連接阜也不同,並且還可以自己修改,所以即使獲得了別人連接連接阜,也無法主動連接成功。KWF原則不允許。
不做連接阜映射,別人也無法連到你的機器。
下面提出我的解決方法:
對於第一、二個條件,由於使用的連接阜太雜亂,無法定義一種服務,使其通過,可以在KWF中建一用戶,然後定義一條原則,使其能使用任何服務,即any。用變態下載時,只需先登入防火牆即可。
對第三個條件,必須做連接阜映射,或開UPNP服務。
這樣才能使BT下載達到全速。





http://www.isaservercn.org/pic/btoverkwf2/image002.jpg

http://www.isaservercn.org/pic/btoverkwf2/image004.jpg


http://www.isaservercn.org/pic/btoverkwf2/image006.jpg

psac 2004-07-17 12:25 AM

KWF下的BitTorrent下載討論

開始接觸Kerio Winroute Firewall也是因為BT下載的原因,由於是局內網用戶,白天下載的速度最多不會超過10K,與我最初的期望相去甚遠,終於到了無法忍耐的地步,也就有了對BitTorrent下載深入研究的興趣。

首先說說我的網路拓撲,512K ADSL撥號Modem(電信所說的512K其實與我們理解的不一樣,512K=512Kbps=512K bits/s=64K bytes/s,也即個人用戶所能獨享的最大下載帶寬只有64K/s),代理伺服器Windows 2000 Advanced Server+SP4,使用Kerio Winroute FireWall 6.0代理上網,沒有安裝第三方防火牆和殺毒軟體。區域網路內變態下載客戶端機為Win98。

如果你是外網用戶,那麼變態下載沒有任何問題,基本上不需要做任何的配置就能達到理想的下載效果。怎樣區別局內網和外網,論壇上有很多類似的帖子,在這裡我就不囉嗦了。

很多帖子都提到通過連接阜映射來提速,個人認為完全沒有必要,對於局內網用戶來說是個誤導。這是根據BitTorrent傳輸協定使用Sniffer分析資料包得出來的結論。



BT原理

與其他的P2P軟體相比,BT有個獨特的地方,它存在一個中間的WEB伺服器,就是我們在發佈時所填寫的announce,該伺服器提供了發佈的統一管理。

BT 開啟一個 torrent文件後,先要你選項文件儲存哪裡。然後判斷該檔案不存在的話就建立新文件,存在的話就用 Sha1 校驗碼去校驗文件---錯誤的就是還沒下載的,這樣就可以實現續傳了。

現在知道要下載什麼了,到哪裡下載呢?這就要尋找有誰提供上傳了,變態是通過WEB伺服器來實現的,首先變態會通過分析 torrent 來得到發佈網址,從而建立與服務端的連接。



l 外網環境下BT客戶端與WEB伺服器建立TCP連接的程序



[img] http://www.isaservercn.org/pic/btoverkwf/image001.jpg[/img]



Source Address 61.194.98.92 ADSL撥號軟體從ISP處獲得的外網位址

Destiation Address 222.141.64.184 WEB伺服器位址

Source Port 2198

Destiation Port 8000

我們關注的是封裝在TCP畫格中的HTTP傳輸協定部分:

GET /announce?info_hash=%FE%237eND%ED%3B%08%0A%118TH%03%BE%FD%86%E5%D2&peer_id=exbc%005%E1%F3Q%5EQM%B9%FD%5D%0FJ%33C%7B%BD&port=16351&natmapped=1&localip=61.149.98.92&uploaded=68468736&downloaded=52133888&left=411632144&compact=1&no_peer_id=1&event=started HTTP/1.0



Host: btfans.3322.org:8000



btfans.3322.org:8000是發佈伺服器的位址



info_hash 是torrent文件中的 info 部分的Sha校驗碼,WEB通過它在發佈列表找到對應的紀錄



peer_id 是自身的標識,它是12個0和當前時間+全球的唯一標識碼(GUID)的Sha校驗的前八位,共20位



port 你提供上傳的 port,亦即常說的監控連接阜,這裡是16531



IP 你的ip位址,沒有的話伺服器會自己找到,由於是在外網環境,所以IP為ISP提供的位址61.149.98.92(問題的關鍵就在這裡,如果你是局內網用戶,那麼BitTorrent客戶端在此填入的位址即為你的內部分配位址,比如10.10.10.x,這個位址當然是不可路由的,下面我會對局內網環境下TCP建立程序作相應的比較)



uploadED downloadED 你上傳和下載了多少,伺服器可以用它來做流量分析

left 你還要下載多少個字元

event 狀態,告訴伺服器你是準備開始下載,還是停止,還是下載完成了

以上這個操作預設 5 分鐘做一次,或由伺服器設定


伺服器中有個一個 track 程序來管理這些請求,得到這一串程式碼後就會用 info_hash 來搜尋列表,找到你就可以下載。接著它會反連(NatCheck)你的 IP 和 Port來判斷你是局內網用戶還是公共外網用戶(象10.10.10.x這樣的位址,它是連不通的,這就是我說的為什麼局內網用戶做不做連接阜映射其實無所謂)。接下來伺服器返回現在正在下載這個文件的所有公共外網用戶的IP和port

http://www.isaservercn.org/pic/btoverkwf/image002.jpg



從上圖可以看出服務端返回了一個公共外網用戶的IP和Port列表

HTTP: 6: d10:done peersi34e8:intervali1800e13:num completedi287e9:num peersi59e5:peersld2:ip14:218.184.78.2317:peer id20:exbc

HTTP: porti6881eed2:ip14:218.81.227.1217:peer id20:exbc

HTTP: 7: 4:porti15949eed2:ip13:61.64.155.1647:peer id20:exbc

HTTP: 8: ? 4:porti10502eed2:ip14:219.197.64.2327:peer id20:exbc 欿

HTTP: ??:porti19856eed2:ip12:61.62.11.1557:peer id20:exbc 蘸鉐

HTTP: ?S_4:porti21213eed2:ip13:210.68.150.147:peer id20:exbc

HTTP: :@?:porti14373eed2:ip14:218.197.203.367:peer id20:exbc

HTTP: '拻\%_4:porti13425eed2:ip11:219.95.7.177:peer id20:exbc

HTTP: >-O+d4:porti14673eed2:ip12:81.156.58.177:peer id20:exbc

HTTP: 緗_ ?:porti15498eed2:ip14:218.79.175.1637:peer id20:exbc

HTTP: +t4:porti25868eed2:ip13:218.23.104.467:peer id20:exbc 蚋札

HTTP: 搷__K??:porti26102eed2:ip14:222.83.221.2547:peer id20:exbc

HTTP: {??華4:porti17104eed2:ip14:218.81.227.1217:peer id20:exbc

HTTP: 9: 4:porti15949eed2:ip12:218.80.9.2467:peer id20:exbc

HTTP: ?4:porti11458eed2:ip13:220.173.6.2407:peer id20:exbc

HTTP: U o4:porti9711eed2:ip15:219.148.178.2147:peer id20:exbc 櫓

HTTP: _鞖g4:porti13128eed2:ip13:138.88.221.197:peer id20:exbc

HTTP: ?g?:porti15492eed2:ip11:219.95.7.177:peer id20:exbc

HTTP: _?:porti19753eed2:ip12:61.150.43.307:peer id20:exbc

HTTP:



象d10:done peersi34e8:intervali1800e13:num completedi287e9:num peersi59e5:peersld2:ip14:218.184.78.2317:peer id20:exbc



這裡Tracker的回應資訊以一種簡單高效可擴展的格式(Bencoding,B編碼格式)傳送。

B編碼的規則如下:

·字串串表示為前綴十進制的字串串長度加冒號再跟原字串串。
如4:spam就相當於'spam'。


·整型資料的表示是前面加'i'後面加'e'中間是十進制數,如i3e就相當於3,i-3e就是-3。整型資料沒有長度限制。i-0e無效,所有以'i0'開頭的除了代表0的i0e,其它都無效。
·列表編碼為一個'l'開頭,後面跟它所包含的項目(已經被編碼過)最後加一個'e',比如 l4:spam4:eggse 就等於 ['spam', 'eggs'] 。
·字典編碼為一個'd'開頭,後面是關鍵值(key)及其對應值輪流出現,最後加一個'e'。
如:d3:cow3:moo4:spam4:eggse 相當於 {'cow': 'moo', 'spam': 'eggs'}
d4:spaml1:a1:bee 相當於 {'spam': ['a', 'b']}
關鍵值必須是處理過的字串串(用原始字串串編碼的,而不是數位字母混合編碼的)。

interval 1800 是告訴 變態 隔多少秒來查詢一次seed和peer這裡是 30 分鐘,如果你是公共外網用戶它會把你提交的 IP 和 Port 放到info_hash 對應的列表中,這樣其它人就可以找到你。



同樣我們可以注意到,公共外網用戶的監聽Port都是隨機選項產生的,換句話來說,監聽連接阜只是為了方便別人找到你。

對於局內網用戶來說,即便你在網路閘道上做了監聽連接阜的映射,但是由於在與Tracer通訊的資料包中填入的是你的私有位址,Tracer就不會把你的IP和Port放入列表。因此你只能主動發起對列表中公共外網用戶的連接,而沒有遠端端能找到你。

局內網環境下客戶端與服務端的TCP通信

前面說過,局內網環境下,客戶端與WEB伺服器通信程序唯一不同的地方就在於填入的IP位址是本身的私有位址

http://www.isaservercn.org/pic/btoverkwf/image004.jpg



GET /announce?info_hash=%FE%237eND%ED%3B%08%0A%118TH%03%BE%FD%86%E5%D2&peer_id=exbc%005%C8%8DqnvF%BFj%E4%12P%9E%D1%FC&port=15600&natmapped=1&localip=10.10.10.8&uploaded=299663360&downloaded=188547600&left=275317264&compact=1&no_peer_id=1&event=started

Host: btfans.3322.org:8000



綜上所述,在局內網環境下即便進行了連接阜映射,也因為Tracer不會把你提交的私有位址和連接阜放入info_hash列表中而導致沒有遠端端能主動發起與你監控連接阜的連接,所以下載的速度不會有根本的改善。除非你能強制客戶端程序把你共享上網的IP提交給Tracer伺服器作為你的綁定位址。





比特精靈就正好有此項功能,同時它還能提供所有Windows平台UPnP連接阜映射功能,包括Win98、Me、XP,但是2000並不支持UPNP,彌補這一缺陷的辦法是在Windows 2000代理伺服器上安裝Winroute Firewall。不需要做任何的連接阜映射,啟用它的UpnP即可。



http://www.isaservercn.org/pic/btoverkwf/image006.jpg

接下來,在局內網客戶端機安裝BitSpirit,官方下載位址http://www.17yy.com/bs/



安裝好以後會產生一個檢測UpnP設備的程序,按提示一步步往下走即可,它會自動搜尋安裝在代理伺服器的WinRoute FireWall。


http://www.isaservercn.org/pic/btoverkwf/image008.jpg
 

搜尋成功後會產生提示

 

http://www.isaservercn.org/pic/btoverkwf/image009.jpg

最關鍵的一步:

選項->個人設定->進階,在「強制指定IP」一欄前打勾,填入代理伺服器撥號上網後ISP分配的公共外網位址





這樣設定就行了,讓我們來做一下驗證,檢視BitSpirit的網路狀態日誌:



2004-06-22 20:06:11; 正在檢查Torrent文件...;

2004-06-22 20:06:11; 從Tracker伺服器獲取種子資訊 ...;

2004-06-2220:06:11;正在連接伺服器:

http://btbtbt.vicp.net:8000/announce...event=started;

這樣一來,Tracer就把你當成了公共外網用戶,並把你的IP和Port放入hash_info列表當中,讓其它的變態下載也能找到你,既有本機連接,又有遠端端發起的主動連接,從而把局內網下載速度提高到極限。



如圖,平均下來也有60多K的下載速度,這已經是512K ADSL所能達到的極限下載速度了。


http://www.isaservercn.org/pic/btoverkwf/image012.jpg


通過以上分析,希望你能對BitTorrent下載能有更深的認識,而不是在連接阜映射上做文章,那樣治標不治本。讓我們開始愉快的BT之旅吧!


所有時間均為台北時間。現在的時間是 07:23 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1