Все же помним, что TMG более недоступен? И все же дружно в голос рыдаем по этому поводу? Однако же товарищи из Kerio подсуетились и выслали рассылку с темой “Kerio Control – лучшая альтернатива MS TMG Forefront!”. Насчет “лучшая” можно поспорить, но вот, что очень неплохая – факт.


Поставляется продукт в трех вариантах – железный Appliance, образ HDD с установленной системой в формате VmWare или Hyper-V, либо ISO-образ для установки на голое железо. Внутри живет какой-то Linux, доступа к консоли не предусмотрено. Есть еще возможность добыть версию, которая имеет сертификат ФСТЭК – вот она под Windows, но старая. Системные требования на мой вкус жирноваты для приложения, которое занимается перепасовкой пакетов. Рулить системой предлагается с помощью веб-интерфейса, русский язык доступен. Локально устанавливаемую консоль выкорчевали (ИМХО, зря).
Посмотрим, чего же тут есть… Ну стандартный функционал роутера нас мало волнует – маршрутизация, правила для пакетов. Ясное дело, есть поддержка разного рода PPPoE или PPTP в качестве клиента для выхода в интернет. Поддержка IPv6 имеется, тоже стандартно уже, хотя и радует. Так, DNS-ретранслятор, DHCP-сервер, учет и мониторинг траффика, SNMP…
Ага, есть поддержка туннелей двух типов – IPSec и Kerio. Любопытно, особенно учитывая простоту настройки. С одной стороны – пнул и взлетело, с другой – нет возможности подкрутить параметры по вкусу. Хотя… Если на второй стороне тоже Kerio Control – используй внутренний формат, если железка – настраивай шифрование на ней, а Kerio Control подхватит все. Благо, поддерживается довольно много всего.
Раз уж пошел разговор за VPN, есть возможность поднять VPN-сервер. Правда, только IPSec или своего формата – обыкновенный PPTP поднять не выйдет. Клиент имеется под Windows, Mac OS X, а также для Debian и Ubuntu. Для подключения Android и iOS предполагается использовать IPSec. Описание внутреннего протокола я не нашел (да и не слишком искал), но хочется верить, что оно достаточно стойкое. Порт по умолчанию – 4090 и, конечно же, может быть изменен по вкусу.
Интерфейсы – из полезного есть поддержка VLAN, работа с несколькими внешними каналами в режиме балансировки или failover. Для балансировки можно задать “вес” канала для распределения нагрузки, для failover – кто основной, а кто “на подхвате”. Прямо в настройках интерфейса меняется MTU (мелочь, а приятно). Группировка интерфейсов деревянная – это ощутимый минус при большом количестве интерфейсов. Для внешних интерфейсов можно задать ширину канала и пользоваться QoS в любых позах – в привязке к протоколу, пользователю, выставленному значению QoS, правилу для траффика…
Из систем безопасности присутствуют антивирус Sophos, который может сканировать почту, веб и FTP. В старых версиях была возможность выбрать используемый антивирусный движок, теперь эту возможность убрали. Есть фильтр MAC-адресов, антиспуфинг и защита от вторжений на основе обновляемых данных от Kerio. Имеется фильтрация содержимого – можно использовать прокси-сервер, а можно на лету разбирать траффик. Фильтровать можно по ключевым словам, адресам, категориям (их можно настраивать по своему усмотрению) или типу качаемого содержимого – можно запретить скачивание музыки, например.
Самое вкусное – напоследок 🙂 При желании, можно прикрутить Active Directory и разного рода правила прикручивать не только к хосту, но и к пользователям. Причем узнавать народ можно с помощью NTLM. Можно сам шлюз втащить в домен или указать ему где находится контроллер домена и с каким паролем к нему не откажут в ответе. Для истинных ценителей нетрадиционного секса техники от Джобса, можно привязаться к Apple Open Directory, хотя наверняка поддерживается любой LDAP. Конечно же, доменов может быть несколько.
Вот такая вот загогулина. Один мой друг использует Kerio Connect уже много лет в своей компании и доволен как слон. По поводу стоимости – это к партнерам, могу подсказать парочку прикормленных 😉 До новых встреч в эфире

5 комментарий для “Замена для MS TMG”
  1. У меня слегка странные впечатления от этого продукта. С одно стороны приличный функционал, с другой не так уж редко возникают баги неизвестной природы.
    В общем разработчики погнались за функционалом оставив надёжность на второй план.

      1. Ну например может в какой-то момент потерять шлюз на WAN интерфейсе, чего почему неясно, в блогах тишина. Прописываешь шлюз заново все работает…

Добавить комментарий