介绍

Kerio Control 是一款简单快捷的企业级网络安全行为管理防火墙，汇集了包括网络防火墙和路由器、入侵检测和入侵预防(IPS)、防病毒网关、VPN 和内容过滤等多个功能，可以保护网络免受病毒、 恶意软件和恶意行为破坏，这些综合功能具有无与伦比的部署灵活性，让 Kerio Control 成为中小型企业防火墙的理想选择。

防火墙、路由、IPS

维护与深度包检测和先进的网络路由功能 — — 包括同时 IPv4 和 IPv6 支持服务器的完整性。创建入站和出站通信策略，限制通信特定的 URL、 通信类型、 内容的类别和每天的时间。

Kerio Control 的 IPS 添加了一层透明的网络保护，这个保护是基于 Snort 的行为分析和定期更新的规则和列入黑名单IP 地址的数据库，防止重新出现威胁。

高级 Bitdefender 防病毒网关

集成的 Bitdefender 防病毒网关阻止病毒、木马、蠕虫和间谍软件入侵你的网络。

可选的 Bitdefender 防病毒服务能扫描所有 Web 和 FTP 通信、 电子邮件附件和下载文件，自动更新本身使用的最新病毒定义。

行业领先的网站和内容过滤

Kerio Control Web 过滤器可以选择性地阻止、 允许或登录访问到 141 类别的 Web 内容。保障网络带宽合理分配，阻止流媒体、点到点方式占用大量带宽。阻止用户访问包含病毒和间谍软件或从事网络钓鱼网站的身份盗窃，过滤已知的恶意软件网站。

可选的 Kerio Control Web 过滤器服务通过限制用户对危险或不适当的网站访问来限制的违法行为、 保护您的网络，限制用户访问非法站点浪费时间提高工作效率。

无与伦比的服务质量

轻松地确定优先次序和网络流量监控，保证高优先级类型传输的通讯质量。互联网链路负载均衡，可以通过部署多个链接，从而优化互联网接入。Kerio Control 实时监视链接的可用性，识别并自动禁用或重新启用链接以确保 Internet 访问的连续性。

Kerio Control QoS 可以精细控制没中带宽类型的网络流量会消耗多少带宽。通过带宽优先级设置最大限度提高带宽使用，通过设置带宽保障高优先级通讯。Kerio Control 也使用互联网链路负载均衡技术来合并多个链接保障互联网通信。

安装

硬件要求

• 处理器：最低 500 MHz
• 内存大小：建议大于 4GB
• 硬盘空间：建议大于 8GB
• 网络接口：至少 2 个（10/100/1000 Mbit）
• 硬件兼容性：支持 Linux Kernel 3.16

安装

与安装 Windows 或者 Linux 差不多，更简单，没什么难度，根据屏幕提示操作即可（纯英文界面）：

配置

初始配置

Kerio Control 采用 Web 的管理方式，首次安装，在登录 Web 管理前需要先在服务器上确认网络接口。

Kerio Control 首次运行未配置前，会在每一个接口都发起自动获取 DHCP，并将获取不到 DHCP 分配的接口认为是本地接口（Ethernet），获取到的接口则认为是网络接口（WAN），因此首次需要开机前注意接口的联通性（即作为内网的端口不能可以获取到 IP）：

配置好本地接口（LAN）后，可以通过同网段的 IP 登录 Web 管理界面，地址在服务器上会显示（如果这个地址登不上去的话，请再次确认网络接口）：

使用 Chrome、Firefox 等现代浏览器，打开管理地址，同样根据页面提示操作即可，没什么难度：

Kerio Control 是需要授权的软件，因此开机首先就是要授权，这里我们直接选第一种方式授权：

激活系统

当然我们测试环境试用使用PJ版来激活了，但是pj版不支持更新 IPS 数据库、防病毒产品，所以上面我们先进行了 IPS 更新，由于部分版本的PJ版（比如 9.3.5）安装后防病毒产品会无法识别，所以我们等后面再通过其他方法更新。

如果不需要入侵防护，那么一开始就可以直接安装激活免费版的 ISO 镜像了。

如果是老版本方法很简单，通过 Web 管理界面 -> 高级选项 -> 软件更新 -> 通过上载二进制图像文件进行升级 即可，其中二进制图像文件是上面的 kerio-control-upgrade 文件。

升级完成重启后， Kerio Control 就永久激活了。

防反弹

为防止反弹，我们将以下域名通过 DNS 屏蔽：

127.0.0.1 gogs.dontexist.com
127.0.0.1 register.kerio.com
127.0.0.1 update.kerio.com
127.0.0.1 control-update.kerio.com
127.0.0.1 sophos-update.kerio.com
127.0.0.1 snort-update.kerio.com
127.0.0.1 wf-activation.kerio.com

更新

特征库

至少需要有效的试用版授权才可以更新入侵保护数据库、防病毒产品，才可以开启 Kerio Control Web Filter，如果需要此功能前面我们在永久激活前，应该选择使用了试用版30天激活。

由于防反弹我们屏蔽了相关域名连接，Kerio Control Web Filter 又是采用实时在线验证，故确定无法使用，直接关掉即可：

入侵保护数据库我们在试用版的时候更新了，一般来说没有太大必要实时保持最新，因此可以等下一次更新系统时再更新：

病毒库

防病毒产品，由于使用的开心版，服务端会直接拒绝请求，无法更新病毒库，因此我们采取手动更新的方式。

开启 SSH

按住 Shift 键，再点击系统健康状况，然后点击开启 SSH ：

通过 Xshell 或者其他支持 SSH 的客户端，通过 SSH 方式登录防火墙，注意此时登录的用户名是 root 不是 Web 管理时的 admin，但是密码是一样的。

先下载 Bitdefender 离线病毒库到本地：

32 位：http://download.bitdefender.com/updates/update_av32bit/cumulative.zip
64 位：http://download.bitdefender.com/updates/update_av64bit/cumulative.zip

然后通过 Xshell 或者其他支持 SSH 的客户端，使用 SSH 方式登录防火墙，注意此时登录的用户名是 root 不是 Web 管理时的 admin，但是密码是一样的。登录后按如下步骤操作：

~ # mkdir /var/winroute/bitdefender/Plugins/1/
~ # cd /var/winroute/bitdefender/Plugins/1/
/var/winroute/bitdefender/Plugins/1 # 

使用 SFTP/STCP 等方式上传刚下载的病毒库 cumulative.zip，接着在 SSH 操作：

/var/winroute/bitdefender/Plugins/1 # unzip cumulative.zip  && rm -rf cumulative.zip 
Archive:  cumulative.zip
  inflating: bdcore.dll
  inflating: bdcore.so.freebsd7-x86_64
  inflating: bdcore.so.linux-x86_64
  inflating: bdcore.so.linux-x86_64-wg
  inflating: bdcore.so.macosx-x86_64
...
  inflating: Plugins/zip.xmd
  inflating: Plugins/zoo.xmd

创建库文件关联：

/var/winroute/bitdefender/Plugins/1 # ln -s /var/winroute/bitdefender/Plugins/1/bdcore.so.linux-x86_64 /var/winroute/bitdefender/Plugins/1/bdcore.so

重启防火墙，然后就可以启用防病毒产品了：

相关下载