2.3  Instalace

Systémové požadavky

Minimální hardwarová konfigurace počítače, na který má být WinRoute nainstalován:

  • CPU 1 GHz,

  • 512 MB operační paměti RAM,

  • Dvě síťová rozhraní (včetně vytáčených),

  • 50 MB diskového prostoru pro instalaci,

  • Diskový prostor pro statistiky (viz kapitola 21  Kerio StaR — statistiky a reportování) a záznamy (dle intenzity provozu a zvolené úrovně logování — viz kapitola 22  Záznamy),

  • Z důvodu bezpečnosti nainstalovaného produktu (zejména jeho konfiguračních souborů) doporučujeme použít souborový systém NTFS.

Pro přístup k webovým službám WinRoute (Kerio StaR — viz kapitola 21  Kerio StaR — statistiky a reportování a Kerio SSL-VPN — viz kapitola 24  Kerio Clientless SSL-VPN) je možné použít tyto WWW prohlížeče:

  • Internet Explorer 6 a vyšší,

  • Firefox 1.5 a vyšší,

  • Safari.

Instalační balíky

Kerio WinRoute Firewall je distribuován ve dvou edicích: pro 32-bitové platformy a pro 64-bitové platformy (viz stránka pro stažení produktu: http://www.kerio.cz/kwfdwn).

32-bitovou edici (instalační balík označený „win32“) lze nainstalovat na tyto operační systémy:

  • Windows 2000,

  • Windows XP (32 bit),

  • Windows Server 2003 (32 bit),

  • Windows Vista (32 bit),

  • Windows Server 2008 (32 bit).

64-bitovou edici (instalační balík označený „win64“) lze nainstalovat na tyto operační systémy:

  • Windows XP (64 bit),

  • Windows Server 2003 (64 bit),

  • Windows Vista (64 bit),

  • Windows Server 2008 (64 bit).

Starší verze operačních systémů Windows nejsou podporovány.

Poznámka:

  1. Instalační balíky WinRoute již obsahují administrační program Kerio Administration Console. Samostatný instalační balík Kerio Administration Console (soubor kerio-kwf-admin*.exe) je určen pro instalaci na jiný počítač za účelem vzdálené správy. Tento balík je společný pro 32-bitové i 64-bitové verze systému Windows. Podrobnosti o správě WinRoute viz kapitola 3  Správa WinRoute.

  2. Pro správnou funkci rozhraní Kerio StaR (viz kapitola 21  Kerio StaR — statistiky a reportování) musí operační systém počítače s WinRoute podporovat všechny jazyky, které budou v rozhraní Kerio StaR používány. Pro některé jazyky (např. japonština a čínština) může být vyžadována instalace podpůrných souborů. Bližší informace naleznete v dokumentaci k příslušnému operačnímu systému.

Kroky před spuštěním instalace

WinRoute by měl být nainstalován na počítač, který tvoří bránu mezi lokální sítí a Internetem. Tento počítač musí obsahovat alespoň jedno rozhraní připojené do lokální sítě (Ethernet, WiFi apod.) a rozhraní do Internetu. Internetovým rozhraním může být buď síťový adaptér (Ethernet, WiFi atd.) nebo modem (analogový, ISDN apod.).

Před zahájením instalace WinRoute doporučujeme prověřit následující:

  • Správné nastavení systémového času (nutné pro kontrolu aktualizací operačního systému, antivirového programu atd.),

  • Instalaci všech nejnovějších (zejména bezpečnostních) aktualizací operačního systému,

  • Nastavení parametrů TCP/IP na všech aktivních síťových adaptérech,

  • Funkčnost všech síťových připojení — jak do lokální sítě, tak do Internetu (vhodným nástrojem je např. příkaz ping, který zjišťuje dobu odezvy počítače zadaného jménem nebo IP adresou).

Provedení těchto kroků vám ušetří mnoho komplikací při pozdějším odstraňování případných problémů.

Poznámka: Všechny podporované operační systémy obsahují ve standardní instalaci všechny komponenty, které WinRoute pro svoji činnost vyžaduje.

Postup instalace a počáteční konfigurace

Po spuštění instalačního programu (např. kerio-kwf-6.6.0-5700-win32.exe) lze vybrat jazyk instalačního programu. Výběr jazyka ovlivňuje pouze samotnou instalaci, jazyk uživatelského rozhraní lze pak nastavit nezávisle pro jednotlivé komponenty WinRoute.

V instalačním programu je možné zvolit typ instalace — Úplnou nebo Vlastní. Vlastní instalace umožňuje výběr volitelných komponent programu:

Instalace — výběr volitelných komponent

Obrázek 2.1. Instalace — výběr volitelných komponent


  • Kerio WinRoute Firewall Engine — vlastní výkonné jádro aplikace,

  • Podpora VPN — proprietární VPN řešení firmy Kerio Technologies (Kerio VPN),

  • Administration Console — program Kerio Administration Console (univerzální konzola pro správu serverových aplikací firmy Kerio Technologies),

  • Soubory nápovědy — soubory nápovědy (tato příručka ve formátu HTML Help). Podrobnosti o souborech nápovědy viz samostatný manuál Kerio Administration Console — Nápověda (k dispozici na WWW stránce http://www.kerio.cz/kwf-manual).

Podrobný popis komponent WinRoute naleznete v kapitole 2.4  Komponenty WinRoute. Proprietární VPN řešení je detailně popsáno v kapitole 23  Kerio VPN.

Po výběru volitelných komponent následuje vlastní instalace (tj. zkopírování souborů na pevný disk a nezbytná systémová nastavení). Poté je automaticky spuštěn průvodce nastavením základních parametrů WinRoute (viz kapitola 2.7  Průvodce počáteční konfigurací).

Za normálních okolností není třeba po instalaci počítač restartovat (restart může být vyžadován, pokud instalační program přepisuje sdílené soubory, které jsou právě používány). Po dokončení instalace se automaticky spustí WinRoute Firewall Engine, tj. vlastní výkonné jádro programu (běží jako systémová služba) a také WinRoute Engine Monitor.

Poznámka:

  1. Je-li zvolen typ instalace Vlastní, pak se instalační program chová takto:

    • všechny označené komponenty se nainstalují nebo aktualizují,

    • všechny neoznačené komponenty se nenainstalují nebo odstraní.

    Při instalaci nové verze WinRoute přes stávající (upgrade) je tedy třeba označit všechny komponenty, které mají zůstat zachovány.

  2. Instalační program neumožňuje nainstalovat samostatnou komponentu Administration Console. Pro instalaci Administration Console za účelem vzdálené správy je určen samostatný instalační balík (soubor kerio-kwf-admin*.exe).

Ochrana nainstalovaného produktu

Pro zajištění plné bezpečnosti firewallu je důležité, aby neoprávněné osoby neměly žádný přístup k souborům aplikace (zejména ke konfiguračním souborům). Je-li použit souborový systém NTFS, pak WinRoute při každém svém startu obnovuje nastavení přístupových práv k adresáři, ve kterém je nainstalován (včetně všech podadresářů): pouze členům skupiny Administrators a lokálnímu systémovému účtu (SYSTEM) je povolen přístup pro čtení i zápis, ostatní uživatelé nemají žádný přístup.

Upozornění

Při použití souborového systému FAT32 nelze soubory WinRoute výše popsaným způsobem zabezpečit. Z tohoto důvodu doporučujeme instalovat WinRoute výhradně na disk se souborovým systémem NTFS.

Kolizní programy a systémové služby

Instalační program WinRoute detekuje programy a systémové služby, které by mohly způsobovat kolize se službou WinRoute Firewall Engine.

  1. Systémové komponenty Windows Firewall[1] a Sdílení připojení k Internetu

    Tyto komponenty zajišťují podobné nízkoúrovňové funkce jako WinRoute. Pokud by byly spuštěny společně s WinRoute, nefungovala by síťová komunikace správně a WinRoute by mohl být nestabilní. Obě tyto komponenty jsou realizovány systémovou službou Windows Firewall / Sdílení připojení k Internetu (Windows Firewall / Internet Connection Sharing)[2].

    Upozornění

    Pro správnou funkci WinRoute musí být služba Windows Firewall / Sdílení připojení k Internetu zastavena a zakázána!

  2. Hostitel zařízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service)

    Uvedené služby tvoří podporu protokolu UPnP (Universal Plug and Play) v operačních systémech Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008. Tyto služby však vykazují kolize s podporou protokolu UPnP ve WinRoute (viz kapitola 18.2  Universal Plug-and-Play (UPnP)).

Instalační program WinRoute při instalaci zobrazí dialog, ve kterém může uživatel zakázat konfliktní systémové služby.

Zakázání konfliktních systémových služeb při instalaci

Obrázek 2.2. Zakázání konfliktních systémových služeb při instalaci


Ve výchozím nastavení instalační program WinRoute zakáže všechny výše uvedené kolizní služby. Za normálních okolností není třeba toto nastavení měnit. Obecně existují následující možnosti:

  • Služba Windows Firewall / Internet Connection Sharing (ICS) by měla být vždy zakázána. Pokud bude tato služba spuštěna, nebude WinRoute fungovat správně. Uvedenou volbu při instalaci lze chápat spíše jako varování, že tato služba je spuštěna a musí být zastavena a zakázána.

  • Pokud chceme využít podporu protokolu UPnP ve WinRoute (viz kapitola 18.2  Universal Plug-and-Play (UPnP)), pak je nutné zakázat také služby Hostitel zařízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service).

  • Nechceme-li využívat podporu UPnP ve WinRoute, není nutné služby Hostitel zařízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service) zakazovat.

Poznámka:

  1. WinRoute při každém svém startu automaticky detekuje, zda je spuštěna systémová služba Windows Firewall / Sdílení připojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví a zapíše informaci do záznamu warning. Tím je ošetřen případ, že dojde k povolení/spuštění této služby v době, kdy je již WinRoute nainstalován.

  2. V operačních systémech Windows XP Service Pack 2, Windows Server 2003, Windows VistaWindows Server 2008 se WinRoute také automaticky registruje v Centru zabezpečení (Security Center). To znamená, že Centrum zabezpečení bude vždy správně indikovat stav firewallu a nebude zobrazováno varování, že systém není chráněn.



[1] V operačním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána Firewall připojení k Internetu (Internet Connection Firewall).

[2] V uvedených starších verzích operačního systému Windows má služba název Součást ICF (Brána Firewall připojení k Internetu) / součást ICS (Sdílení připojení k Internetu); v angličtině Internet Connection Firewall / Internet Connection Sharing.