آموزش کریو کنترل – کریو کنترل یک فایروال مدیریت تهدیدهای نرم افزاری است که ویژگی های آن شامل جلوگیری از نفوذ، فیلتر کردن محتوا، گزارش فعالیتها، مدیریت پهنای باند و شبکه خصوصی مجازی.
در این مقاله جهت آموزش کریو کنترل ما به یک راهنمای مرحله به مرحله برای دپلوی کردن کریو کنترل در یک سناریو متداول می پردازیم و با قسمت های مختلف کریو کنترل آشنا می شوید.
در اين سناریو برای کریو کنترل:
كريو كنترل بين ٢ لينك اينترنتي لود بالانس ايجاد مي كند.
ون یک، پنج آیپی ثابت دارد و سرویس هاست ها برای سرورهای پشت فایروال.
ون دو،يك ايپي متغییر دارد و در درجه اول به مرور کردن وب و دسترسی به اینترنت می پردازد.
در پشت فایروال چهار شبکه جداگانه وجود دارد (LAN ، phones، DMZ ، guest).
DHCP سرور در کریو کنترل به صورت خودکار به تمام شبکه آی پی می دهد.
یوزرها توسط یک دامین کنترل لوکالی تایید می شوند.
یوزرها جهت دسترسی به وب توسط ردیوس تایید می شوند.
کریو کنترل شبکه نقطه به نقطه را ممنوع میکند.
کریو کنترل یک شعبه خارج از دفتر مرکزی را توسط تونل VPN برقرار میکند.
يوزرها از راه دور از کامپیوتر ها و دستگاه های تلفن همراه خود با استفاده از VPN متصل می شوند.
کریو کنترل ۱ Mbps برای ترافیک ویپ رزرو می کند.
كريو كنترل دسترسي یوزرهای مهمان را ماكسيوم به ۱Mbps محدود مي كند.
رئیس شرکت یک گزارش هفتگی از کلیه فعالیت های کاربر دریافت می کند.
كريو كنترل به صورت خودكار هر روز کانفیگ ها را در Mykerio ذخيره مي كند.
انتخاب نوع دپلوی کردن:
كريو كنترل به عنوان یک نرم افزار ، مجازی یا سخت افزار در دسترس است (نسخه های سخت افزاری در آمریکای شمالی ، استرالیا و اتحادیه اروپا موجود است). ویژگی های محصول و عملکرد ان تقریباً در همه نسخه ها یکسان است.
نصب و ارتقاء كريو كنترل:
شما می توانید ایمیج كريو كنترل را از وب سایت كريو بارگیری کنید. برای راهنمایی در مورد نصب كريو كنترل، به قسمت نصب مراجعه کنید. اگر نسخه های مجازی نرم افزار را نصب می کنید ، مطمئن شوید که سخت افزار شما نیازهای سیستم را برآورده می کند.
پس از نصب ، نرم افزار بطور خودکار بروزرسانی ها را بررسی می کند.بخش مدیریت وب هنگام آماده بودن براي به روز رسانی ، به شما اطلاع می دهد. برای اطلاعات بیشتر به بخش بروزرسانی مراجعه کنید.
دسترسي به كريو كنترل:
پس از نصب،كريو كنترل به طور خودکار اینترنت و اینترفیس های لوکالی شما را تشخیص می دهد. برای تشخیص موفقیت آمیز رابط های شبکه ، قبل از نصب ، كريو كنترل را به تجهیزات شبکه مناسب (مانند مودم ، سوئیچ ، اکسس پوینت و غیره) وصل کنید.
با وارد کردن آدرس IP فایروال شما می توانید از طریق یک مرورگر به مدیریت کامل دسترسی پیدا کنید. توجه داشته باشید که كامپيوتر شما باید در subnet IP همانند فایروال باشد.
نسخه های مجازی و نرم افزار شامل یک رابط کاربری جداگانه ای است که مدیر می تواند مستقیماً از سیستم عامل به آن دسترسی داشته باشد. این کادر محاوره ای فقط ویژگی های اساسی را شامل می شود و در مرحله اول زمانی مفید است که شما قادر به دسترسی به مدیریت وب نیستید. قابلیت های این رابط شامل:
مجوز مدیریت از راه دور از شبکه های غیر قابل اعتماد
ریست کردن به تنظیمات کارخانه
خاموش کردن/ ری استارت کردن
کانفیگ پارامترهای TCP/IP
اکتیو کردن کریو کنترل:
هنگامی که سرپرست برای اولین بار وارد رابط مدیریت وب می شوید ، wizard فعال سازی باز می شود. Wizard پارامترهای اساسی سیستم را تنظیم می کند:
زبان پیش فرض را انتخاب کنید.
به اينترنت متصل شويد.
تاريخ و ساعت را تنظيم كنيد.
License را فعال كنيد.
رمز ورود ادمين را تعيين كنيد.
هشدارها و اعلان ها را تنظیم کنید.
مديريت mykerio را فعال كنيد.
برای جزئیات بیشترwizard Activition و مدیريت كريو كنترل به mykerio مراجعه کنید.
تعریف شبکه اینترفیس و کانکشن ها:
شبكه اینترفیس در كريو كنترل مسیریابی بین شبکه های لوکال و اینترنت را فراهم می کند. شما باید پارامترهای شبکه را کانفیگ و اینترنت خود را مشخص كرده و قبل از کانفیگ فایروال تعریف کنید. ادمین می تواند اینترفیس شبکه و اتصال اینترنت مدیریت کند. در قسمت configuration سپس interfaces. قابلیت ها شامل موارد زیر است:
اينترفيس ها را به گروه ها، سازمان دهی کنید.
کانفیگ لود بالانس کردن لینک اینترنت.
اضافه کردن اینترفیس vlan
مشخص کردن پارامترهای IP برای شبکه اینترفیس
اضافه کردن اینترفیس جهت کانکشن های L2TP, PPPoE, یا Dial-up
برای اطلاعات بیشتر به كانفيگهای شبکه مراجعه کنید.
در اين مثال سناريو، كريو كنترل بین دو لینک اینترنتی لود بالانس ایجاد میکند و به چهار شبکه لوكال مسیریابی می کند.
ادمین باید بر روی هر اینترفیس لیبل بزند.
مشخص کردن پارامترهای هریک از اینترفیس ها.
ادمین باید IP های اضافه را جهت Wan1 مشخص نماید. (در قسمت پروپرتیس اینترفیس می توان IP اضافه را مشخص نمود).
Wan1 و Wan2 به قسمت اینترنت اینترفیس انتقال داده شود.
انتقال DMZ انترفيس به قسمت گروه اینترفیس های دیگر (other interface).
انتقال اینترفیس گست (مهمان) به قسمت مربوطه.
انتقال اینترفیس lan و تلفن به بخش trusted / local interfaces.
انتخاب چند لینک اینترنت و انتخاب load balancing جهت کانکشن اینترنت.
انتخاب وزن مساوی یک جهت هر لینک اینترنت.
پارامترهاي اختصاصي در شبکه های لوکال:
کریو کنترل می تواند به راحتی شبکه را به وسیله DHCP سروری که دارد مدیریت کند. DHCP از قسمت Configuration سپس DHCP server مدیریت می شود.
در مثال سناريو، سرور DHCP در كريو كنترل به طور خودكار lP به همه شبكه ها اختصاص ميدهد.
برای اینکار ادمین شبکه باید DHCP SERVERرا فعال کند.
ادمین اجازه می دهد به فایروال تا به صورت خودکار اسکوپ ها رو تولید کند.
دستگاه ها به شبکه وصل می شوند و پارامترهای شبکه را بطور خودکار دریافت می کنند.
ادمین برای دستگاههایی که نیاز به آیپی دائمی دارند می تواند لیست رزرو درست کند.
اتصال به اکتیو دایرکتوری سرویس:
کریو کنترل می تواند به اپن دایرکتوری اپل و اکتیو دایرکتوری مایکروسافت وصل شود و یوزرها را توسط آنها وارد و تایید کند.از قسمت configurationسپس domain and user login می توان این ویژگی را مدیریت نمود.
در مثال سناریو یوزرها توسط یک لوکال دامین کنترلر تایید اعتبار می شوند.
ادمین باید کریو کنترل را به یک لوکال دومین جوین کند.
ادمین باید کریو را جهت اتصال به مپ یوزرها در اکتیو دایرکتوری کانفیگ نماید.
اجرای سیاست های امنیتی و دسترسی:
کریو کنترل امنیت را از طریق جلوگیری از نفوذ، رول های ترافیک و کریو آنتی ویروس اجرا می کند. این ویژگی ها به صورت خودکار کانفیگ شده اند و مطمئن شوید که فایروال تنها شبکه های مجاز را پرمیت می کند.
برای امنیت بیشتر، ادمین می تواند رول های ترافیک و رول های محتوا (content rules) را کانفیگ نماید. رول های محتوا نوع پرمیت یا دینای کردن فعالیت های تحت وب کاربران در شبکه را مشخص می کنند. برای مثال:
فرستادن نوع مشخصی از فایل
استریم کردن مدیا
دسترسی از راه دور
وب سایت های شبکه اجتماعی
سایت های خرید آنلاین
برنامه های مشخص
در مثال سناریو، کاربران از طریق ردیوس برای دسترسی به وب تایید اعتبار می شوند و کریو کنترل شبکه های نظیر به نظیر را ممنوع می کند.
ادمین باید گزینه “Always users to be authenticated…” و “WPA2 enterprise clients” در قسمت Domain and user login سپس Authentication option فعال نماید.
در قسمت فیلتر محتوا ، ادمین باید رول دیفالت peer-to-peer traffic را فعال نماید.
رول های ترافیک نوع پرمیت یا دینای ارتباطات شبکه را مشخص می کند. به طور دیفالت فایروال پالیسی های ابتدایی را که همه نوع ترافیک خروجی را پرمیت می کند، ایجاد می نماید. مثالی از رول های ترافیک شامل موارد زیر است:
اجازه دادن یا جلوگیری کردن از یک نوع خاصی از سرویس های شبکه (به طور مثال SMTP)
باز کردن پورت های کانکشن های ورودی (Port mapping)
فورس کردن یک نوع خاصی از ترافیک خروجی از طریق یک اینترفیس:
در مثال سناریو، فایروال ترافیک ورودی را به سمت سرورهایی که در قسمت DMZ شبکه قرار دارند مسیریابی می کند. ادمین باید رول port mapping ایجاد کند که کانکشن های ورودی را مجاز کند.
فعالسازی دسترسی ریموت:
شما می توانید از Virtual Networking Private Virtual (VPN) استفاده کنید تا به کاربران از راه دور یا کل شبکه ها امکان دسترسی به خدمات درون شبکه لوكال را بدهد. كريو كنترل ipsec را برای دسترسی دستگاه تلفن همراه و تانل های VPN گتوی های ثالث ایجاد کرده است.
شما همچنین می توانید از VPN اختصاصی کریو جهت دسترسی از راه دور از کامپیوتر و تانل کردن با فایروال کریو دیگر استفاده نمایید. شما می توانید تنظیماتVPN را از قسمت VPN server interface در قسمت باکس اینترفیس ها مدیریت کنید.
در مثال سناریو،كريو كنترل یک تانل VPN را با یک ريموت از راه دور حفظ می کند ، و کاربران با استفاده از VPN به كامپيوتر ودستگاه های تلفن همراه از راه دور متصل می شوند.
رول دیفالت ترافیک جهت سرویس VPN باید فعال شود.
قسمت user template باید برای دسترسی همه کاربران تغییر کند.
ادمين سرتيفيكيت SSL امضا شده را نصب و ان را به vpn اختصاص ميدهد.
ادمين باید برای شعبه شركت يك تانل كريو vpn ايجاد كند.
ادمین باید یک preshared key به سرور IPsec VPN اختصاص دهد.
یوزرها باید اکانت IPsec / L2TP را بر روی گوشی های خودشان اضافه نمایند.
یوزر ها باید VPN کریو را بر روی کامپیوتر یا موبایل خود نصب و تنظیم نماید.
مديريت پهناي باند:
كريو كنترل شامل چند ویژگی برای کمک به شما در نظارت بر فعالیت شبکه و بهینه سازی دسترسی به اینترنت مي باشد.
در مثال سناريو،كريو كنترل ۱Mbps برای Volp رزرو می کند و دسترسی guest را حداکثر به ۱Mbps محدود می کند.
ادمین باید برای هر یک از لینک های اینترت پهنای باند آن را مشخص نماید.
ادمین باید رول دیفالت SIP VoIP را فعال نماید و آن را بر روی ۱mbps قرار دهد.
ادمین باید رول Guest interface را نیز فعال و آن را بر روی ۱mbpsقرار دهد.
ایجاد و نمایش گزارش ها
كريو كنترل شامل یک ویژگی گزارش دهی به نام Statistics كريو كنترل است. Statistics كريو كنترل فعالیت کاربران معتبر را در يك پایگاه داده لوكال در فایروال ثبت می کند.
یوزر های سطح بالا می توانند به اطلاعات آماری از طریق اینترفیس وب خاص یا از طریق ایمیل دسترسی داشته باشند.
در سناریوی مثال ، رئیس شرکت یک گزارش هفتگی از کلیه فعالیت های کاربر دریافت می کند.
ادمین باید برای اکانت رییس یک ایمیل تعریف کند.
ادمین باید فایروال را جهت جمع آوری آمار میزان استفاده اینترنت کانفیگ نماید.
ادمین باید ریپورت ایمیل ها را برای رییس شرکت کانفیگ کند.
کانفیگ بک آپ اتوماتیک
شما مي توانيد از كانفينگ هاي كريو برای بازگرداندن اطلاعات در صورت خرابي سخت افزار و یا فاجعه هاي ديگر بک آپ گیری نمایید.
شما میتوانید به صورت دستی از قسمت Configuration Assistant بک آپ گیری نمایید یا به صورت خودکار در Mykerio. در مثال سناریو، کریو کنترل به صورت خودکار کانفیگ ها را در Mykerio هر روز ذخیره می نماید.
