前言

Kerio Winroute Firewall（以下简称KWF）是KERIO公司（http://www.kerio.com/）推出的一个集路由、NAT、代理于一身的防火墙，同时集成了MCAFEE的防病毒组件以及COBION的网页内容过滤技术。与KERIO公司另一著名产品WinRoute相比，KWF最大的特色在于透明代理以及内容过滤，你可以从http://www.kerio.com/kwf_download.html去下载该软件的英文试用版。

PDF版下载 

一、安装篇

运行下载下来的kerio-kwf-5.0.4-win.exe，弹出界面如图

然后就是与其他软件安装时一样的选择路径，然后开始复制文件，此时，开始setting wizard

点击“NEXT”，叫你输入管理账户用户名及密码，可以用默认的ADMIN用户，但是密码不能为空，而且建议你最低设置6位密码。

    然后设置远程管理，这个看你自己的需要了，最后出来一个对话框，告诉你KWF进行了些什么操作，然后建议你重新启动计算机。

 

 

二、基本设置篇

重新启动后，在任务栏上出现了一个蓝色的圆形图标，这表明KWF在正常运行，双击此图标，打开Kerio Administration Console ，如图

输入你安装时设置的密码，单击Connect，进入KWF配置菜单

由于是首次运行，Network rules wizard（网络规则向导）会自动运行，它将引导你完成TRAFFIC POLICY的设置，点击NEXT，会让你选择你的网络结构，

此时你要根据你的网络来进行选择，如果是用ADSL拨号（如RASPPPOE、XP中自带的拨号），那么选择Dial-Up，如果是用ADSL ETHERNET 300/500来拨号的或者使用的是固定IP的，要选择上面一个。

选择上面一个，会弹出一个对话框让你选择通往INTERNET的接口，

如果是选择下面一个，会让你选择对应的INTERNET拨号接口，

这儿只是定义一个INTERNET接口，KWF会根据你选择的方式来定义接口及TRAFFIC POLICY，剩余的步骤都是一致的。

点击NEXT后，会让你选择对内网用户访问INTERNET的限制，你可以点上面一个（无限制），或者限制用户使用列表框中的服务。

点击NEXT，这次是让你选择让INTERNET用户可以访问的内部服务，点击“ADD”，会弹出输入映射对话框，你可以添加对应的服务。例如，如果你想让外部用户访问你本机上（就是装KWF的这台计算机）的HTTP服务，那么你在servixe is running 选择firewall（如果是其他计算机上的服务，你选择IP ADDRESS然后输入那台计算机的IP），然后在下面的service中选择HTTP，我选择的是192.168.0.101上的HTTP服务，然后点击OK。

点next后出现Internet Sharing（NAT）属性选择，此处要选择Enable NAT，KWF会根据你在步骤2、3中选择的接口来实现NAT。

然后点击next，再点finish，TRAFFIC POLICY 就OK了。如果以后想运行这个网络配置向导，可以通过CONFIGURATION中TRAFFIC POLICY右边的Wizard来进入。

 

三、高级设置篇

此时你就进入了KWF的主界面，其中Configuration菜单配置KWF中所有的选项，Users and Groups是管理KWF中的用户和组，Status是KWF当前的状态信息，Logs为KWF的Log信息。

1、Configuration详解

（1）Interface

在INTERFACE里面配置计算机的网络接口，该计算机中所有的正常接口都会显示出来，不管是否在该接口使用了TCP/IP协议。我只有拨号接口，不过使用ETHERNET接口（固定IP接口）和这个的用法是一致的，我会在后面为大家讲解。

双击Interface列表中的接口，你可以打开此接口的属性，例如，我双击ADSL接口，弹出下图，

单击Dialing settings，在此处可以修改此拨号接口的属性，如果你想每次服务器启动时KWF自动拨号，那么先输入拨号时的用户和密码，然后在下面的Conntection中选择拨号方式

Manual：手动拨号，KWF不拨号；

On demand : 请求拨号，当客户机需要时拨号，这个对限时的用户比较有用；使用此选项，本机上任何TCP/IP接口都不能设置默认网关。

Persistend : 永久，KWF自动拨号，不断开，如果此拨号被外部断开，KWF会自动再拨号；

Custom : 可以设置拨号可以使用的时间。

在Interface里面只是配置接口，不能配置接口的NAT属性，这与WinRoute不同。KWF的NAT属性是在下面的TRAFFIC POLICY中配置的。

（2）TRAFFIC POLICY

注意：此TRAFFIC POLICY为我服务器上的规则，与我刚才在本机上安装时选择的规则不一样。

KWF的核心在于TRAFFIC POLICY。大家看上面的图片，首先要理解每列代表什么意思。

NAME是该策略的名称；

SOURCE是数据包的源地址；

DESTINATION是数据包的目的地址；

SERVICE是服务名称（其实这个只是在DEFINITIONS里面预定义好了的协议、端口等等）；

ACTION是当数据包匹配此策略时的动作；

LOG是选择是否纪录；

（抱歉，后面两列没有显示完，见下图）

TRASLATION是设置地址转换；

DESCRIPTION是该策略的说明；

例如，第一条规则，NAT ON INTERFACE，（请结合上面两图看），则是从两个内部接口（INTEL、D-LINK）发出到ADSL的数据（通往INTERNET的数据），ACTION是放行，LOG无（数据量太大，没必要做LOG），TRANSLATION则是通过ADSL接口做NAT（就是把D-LINK、INTER接口的数据通过ADSL进行NAT转换后发送出去）。

这条就是NAT规则，允许客户机通过ADSL接口NAT数据出去。如果你想限制某个客户机，那么对应的规则一定要在NAT前面。

如上面对应的第4条规则“Allow Incoming ICMP Traffic”为我自定义的规则，顾名思义，是允许外部的ICMP流量，SOURCE是ADSL，即INTERNET，DESTILATION是FIREWALL，即本机，ACTION是ALLOW，但是LOG上选择了纪录匹配的数据包。

纪录匹配数据包（上面一个）和纪录匹配的连接（下面一个）的不同之处在于，纪录匹配数据包是将纪录写在LOGS的FILTER纪录中，纪录匹配的连接是将纪录写在LOGS中的CONNECTION中。

我设置这条策略的意思是纪录下所有INTERNET上通往本机的ICMP信息，因为很多黑客的尝试都是从ICMP开始，例如先PING。本来我想禁止掉的，但是考虑到在处理网络故障时很多时候需要ICMP信息，还是打开了。

今天的部分纪录：

我现在为大家做个示范，如何控制内部网络的客户机流量：

我现在想让内部所有客户机不能PING外部网络主机：

现在我的计算机（非服务器）可以PING http://www.sohu.com/。

现在我点击ADD添加一个策略，如下图：

现在来修改此策略，双击NAME，下面一个颜色选项可以使用默认的透明。

现在选择SOURCE和DESTILATION，由于是内部网络到INTERNET，SOURCE是内网接口D-LINK，DESTILATION是ADSL接口，SERVICE是ICMP，动作是DROP（注意，DROP和DENY的区别在于DROP只是默默的丢弃该数据包，而DENY要返回一个数据包拒绝信息到源主机），LOG我选择纪录匹配数据包，后面的不需要再设置。

单击APPLY，再PING一个http://www.sohu.com/，已经PING不通了。

 

（3）DHCP SERVER

这个没有什么好讲的，根据你网络的需要来选择。勾选DHCP Server enabled启用，点击下面的ADD添加作用域及保留IP。

 

（4）DNS Forwarder

这个选项是设置DNS的查询转发的，保持默认就行了。如果你不选择ENABLE DNS forwarding，那么服务器无法对非权威的客户机的DNS查询请求（就是外部的DNS名字）做回复。DNS forwarding是让你选择将DNS转发到哪个DNS服务器，保持第一个选项让KWF自动选择即可，ENABLE cache for faster response of repeated queries可以加快DNS解析速度。下面的Simple DNS resolution是在DNS转发查询以前先查询本机的HOSTS文件及DHCP租用表，下面的那个是设置当使用HOSTS文件及DHCP租用表解析DNS名字时得到回复时所附加在名字后的DNS后缀。

    （5）Content Filtering

下面给大家介绍KWF的特色功能：内容过滤。

先从HTTP POLICY说起：

URL GROUPS是预定义的部分HTTP名称，你可以设置KWF禁止客户机访问含有这些名称的网页。再看URL Rules

现在我没有任何URL策略，我现在打开www.163.com

大家看，弹了两个广告出来，现在我设置URL过滤策略，

再打开www.163.com

这两个广告已经被禁止了，因为它们匹配URL中的定义（名字中含有AD）。

下面的一个Deny site rated in cobion categories则是限制用户使用含有Forbidden Words中设定的内容，与限制URL同理。

最后的那个Authenticate all users，非常有用，可以限制用户，当用户想要访问HTTP服务时，会要求用户输入他的账户和密码，才能正常访问。

我在这儿顺便将USERS AND GROUPS的内容也说了，

先是添加组（非必需，举例而已），如图：

单击next后，弹出对话框如下图，让你选择添加进该组的用户，

单击next进入用户权限设置，一半用户可以保持默认，如下图：

然后是添加用户，如下图：

在Users里面点击Add，弹出Add user对话框，输入用户名及密码，单击next

点击next设置用户权限，

 

最后可以限制用户可以访问的内容：

现在来设置只有认证后的用户才能访问HTTP服务：

现在我打开浏览器，输入一个URL，现在KWF要求我输入用户名和账户才能访问：

输入刚才建立的test用户名和密码，单击LOGIN，现在又可以正常访问了：

同时，在status的Hosts/Users里面会纪录下你的状态信息：

注意，这个用户认证对非HTTP数据无效。

 

下面接着讲HTTP Policy中的内容：

Content Rules里面可以让你选择是否限制用户使用定义的这些内容。

现在给大家讲讲KWF中最激动人心的功能，也是它和其他NAT软件及代理软件最大的区别所在，透明代理缓存功能：

我们过去的观念，是只有代理软件可以缓存HTTP页面，NAT软件不行；但是代理软件需要在客户机上设置代理服务器IP及端口，非常麻烦。现在有了KWF，这一切都不用你操心了。KWF是到目前为止唯一一个NAT软件带HTTP页面缓存的。它把HTTP数据包从NAT数据包中分解了出来，并且可以像代理软件一样缓存HTTP页面，这一切功能，只需要你点选上面的Enable cache on transparent proxy就可以实现了。然后在下面设置CACHE目录及大小等等。但是最好选择最下面的Always validate file in cache，否则客户在访问部分论坛时将不能正常显示。

PROXY SERVER是设置非透明代理的，你必须在客户机上设置的，但是有了透明代理，这个非透明还有必要吗？

URL Groups 和 Forbidden Words则可以定义你不想让客户机访问的URL及页面内容。

 

FTP Policy与HTTP Policy一样，可以定义FTP协议中的策略，不过只有这4个：禁止在防病毒软件扫描时恢复连接、禁止上传、禁止传送MP*文件、禁止传送AVI文件，选择后点击APPLY启用。

最后一个AitiVirus则是可以使用部分杀毒软件对所传输的数据进行扫描，建议使用Mcafee。除了Mcafee，还支持其他的几种，可惜都是国外的，L

 

（6）DEFINITIONS

Definitions是KWF中的预定义，你可以修改Address Groups、Time Ranges、Services。

（7）Demand-Dial

Demand-Dial是设置请求拨号的规则，你可以定义访问哪个DNS的请求能够让KWF自动拨号。

（8）Routing Table

在Routing Table里面可以定义静态的路由，这是KWF以防万一留下的。

（9）Advance Options

Advance Options是一些高级的选项。其中Upnp是可以让客户机上运行的程序在服务器上临时开端口，建议不采用；Anti-Spoofing是防止IP地址欺骗，要打开；在User Authentication里面可以设置用户多长时间不活动就让他Logon out，还可以设置WEB方式登录的端口及认证方式等等；Cobion Setting如果没有装Cobion Plug-in则不能使用；IPsec里面一定要选择Enable IPsec pass-though，这样IPsec数据可以通过（这个是WIN2000 NAT的缺点，它不支持IPsec）。

 

2、Status

STATUS是当前KWF的信息，TRAFFIC CHARTS是当前的流量图表，HOSTS/USERS是当前活动的用户或主机，Connections是当前活动的连接。

3、LOGS

LOGS是KWF的纪录，按内容不同分了类，其中DEBUG LOG是最强大的LOG，可以按你的定义来显示数据包信息，以下是KWF中自带的E文表达式定义帮助：

 

Description of keywords for packet filtering: 描述包过滤的关键词

 

any   - always true 任意条件

 

addr  - address in destination or source field 地址

saddr - source address 源地址

daddr - destination address 目的地址

 

Possible conditions for addr, saddr, daddr: 地址、目的地址、源地址可以使用的条件

      = 1.2.3.4 按IP地址

      = 1.2.3.4/255.255.255.0 按IP地址及子网掩码方式一

      = 1.2.3.4/24 按IP地址及子网掩码方式二

      = 1.2.3.4-1.2.3.10 按IP范围

      = list:"listname" 按列表

      = user:"user1,user2,[group1],user3,[group2],..." 按用户

例如： SADDR = 192.168.0.1 监控192.168.0.1发出的数据包

port  - port number in destination or source field 端口号

sport - source port number 源端口号

dport - destination port number 目的端口号

例如：dport =  8000 监控发往端口8000的数据包

tcpfl - flag(s) in TCP header 可以通过TCP包头信息来监控

      = possibilities are: FIN SYN RST PSH ACK URG NONE ALL      - more flags may be written with one 'tcpfl' and may be        prepended with + or -

        e.g.: tcpfl = SYN +ACK -RST - matches packets with SYN and ACK                                      flags set and with zero RST flag

 

direc - direction of packet 数据包方向

      = in     - incoming packet

      = out    - outgoing packet

 

iif, oif - incoming/outgoing interface 进入、发出接口

      = "Name of interface"

 

Example:

 

Conditon for Netbios on public interface ("Inet"):

(oif = "Inet" | iif = "Inet") & port >= 137 & port <= 138

其中 | 表或，&表与

例如，我想监控192.168.0.2发往端口为8000的数据包，则该使用以下表达式：

saddr=192.168.0.2 & dport = 8000 & direc =out

在DEBUG LOG中点鼠标右键，然后选择IP TRAFFIC，输入 以上表达式，则KWF会把匹配这些条件的数据包都纪录下来。

其他的LOG除了ERROR和WARNING一定要多注意外，其他的LOG有空都可以看。

 

四、Kerio Administration Console的书签

每次打开Kerio Administration Console（KAC）都要求你输入密码才能登录，烦不烦哦。幸好KERIO已经考虑到了这点，像我，打开KAC，不会弹出Connect对话框，我直接点上面的那个192.168.0.1的图标就可以登录了。

这个称为KAC的书签功能，你可以设置书签为图标，也可以设置为菜单。具体步骤：

打开Bookmarks，选择Manage bookmarks。在Manage bookmarks界面中，有两个部分，Bookmarks menu是生成书签菜单，Bookmarks toolbar是生成图标，你选中一个，然后点New item，然后像下图那样设置就可以了。

你也可以选择对书签进行加密，但是加密之后每次使用都要输入口令，和不使用书签没有什么区别。然后你在KAC的Setting下的Options菜单中把Show Connect to选项取消，这样每次进入KAC就不会出现那个Connect对话框了。

下午1点开始写，写到16:37完。限于时间，后面的不能写的很详细，如果大家有什么问题，可以和我讨论，QQ：4484262，转载请注明作者。